De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.

Verwante presentaties


Presentatie over: "Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul."— Transcript van de presentatie:

1 Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul Dekkers Klaas Wierenga

2 Hoogwaardig internet voor hoger onderwijs en onderzoek 2 Inhoud Eindgebruikers (de voorkant) Instellingen –EAP –Koppelvlak eduroam eduroam infrastructuur (de achterkant) –RADIUS –Groei en beperkingen –Mogelijkheden en verbeteringen Conclusie

3 Hoogwaardig internet voor hoger onderwijs en onderzoek 3 Eindgebruikers Vernieuwingen van wireless & beveiliging: –WPA (TKIP) –WPA2 (AES)/802.11i Werken op basis van 802.1x en EAP: toekomstvast! Voor nu is 802.1x+WEP goed genoeg, maar dat gaat veranderen. Nu nog geen algemene beschikbaarheid supplicants, later net zo gebruikelijk als DHCP…

4 Hoogwaardig internet voor hoger onderwijs en onderzoek 4 Instellingen RADIUS server institution Authenticator (AP or switch) User DB Supplicant Guest VLAN LAN

5 Hoogwaardig internet voor hoger onderwijs en onderzoek 5 Instellingen Meer keus in apparatuur en software Meer keus in EAP-types Eén EAP-type sluit het gebruik van een ander niet uit gastgebruiker gebruikt EAP-type van de thuisinstelling Koppelen en analyseren van gebruik en misbruik wordt steeds beter.

6 Hoogwaardig internet voor hoger onderwijs en onderzoek 6 Instellingen … hebben een koppelvlak met de eduroam infrastructuur RADIUS server institution B RADIUS server institution A Internet Central RADIUS Proxy server Authenticator (AP or switch) User DB Supplicant Guest user@institution-B.nl regular VLAN guest VLAN Secured tunnel

7 Hoogwaardig internet voor hoger onderwijs en onderzoek 7 eduroam infrastructuur

8 Hoogwaardig internet voor hoger onderwijs en onderzoek 8 eduroam infrastructuur flexibiliteit van RADIUS werkt!

9 Hoogwaardig internet voor hoger onderwijs en onderzoek 9 eduroam infrastructuur groeit!

10 Hoogwaardig internet voor hoger onderwijs en onderzoek 10 Huidige infrastructuur RADIUS RADIUS pakket op elke hop “zichtbaar” voor het juiste EAP-type is dat niet erg… Verkeer tussen hops is zwak beveiligd (shared secret), bij het juiste EAP-type is dat niet erg… Statische routering (mbv. @realm) configuratiewerk bij instelling & research netwerk Schaalbaar, maar: meer aansluitingen = –meer configuratie –meer belasting op de top-level servers –Meer uitzonderingen meer…

11 Hoogwaardig internet voor hoger onderwijs en onderzoek 11 Huidige infrastructuur UDP RADIUS transport “dead server”-detectie niet goed mogelijk indien slecht geconfigureerd…

12 Hoogwaardig internet voor hoger onderwijs en onderzoek 12 Iets beters… Uitschakelen overbodige hierarchie –Snelheid –Veiligheid (minder data op minder plaatsen) –Betrouwbaarder (minder “points of failure”) Betere beveiliging op de transport-laag (tcp/ssl?) Flexibele configuratie (lookup-service?)

13 Hoogwaardig internet voor hoger onderwijs en onderzoek 13 Mogelijkheden Diameter Opvolger van RADIUS (Any time now… al minstens 5 jaar) RadSec –(Nu nog) onderdeel van Radiator DNSROAM & RadSec Experimenteel onderdeel van Radiator

14 Hoogwaardig internet voor hoger onderwijs en onderzoek 14 RadSec en DNSROAM RADIUS pakket in TCP of SCTP betrouwbaarder, dead peer detectie Beveiliging met TLS/PKI (optioneel) geeft mogelijkheden voor beperken deelname: –door specifieke CA gesigned certificaat –validatie op attribuut in certificaat (nog niet) DNSROAM gebruikt DNS als lookup-service –dynamische routering op basis van realm –mogelijk voor een deel van de hierarchie

15 Hoogwaardig internet voor hoger onderwijs en onderzoek 15 RadSec (afbeelding van Telematica Instituut uit Radiate / Test description and evaluation)

16 Hoogwaardig internet voor hoger onderwijs en onderzoek 16 RadSec Vervangen van RADIUS-koppelingen door RadSec

17 Hoogwaardig internet voor hoger onderwijs en onderzoek 17 RadSec en DNSROAM

18 Hoogwaardig internet voor hoger onderwijs en onderzoek 18 RadSec (Deels) vervangen van statische koppelingen door dynamische Voor algemene invoering DNSROAM is het nog te vroeg.

19 Hoogwaardig internet voor hoger onderwijs en onderzoek 19 Transitiefase

20 Hoogwaardig internet voor hoger onderwijs en onderzoek 20 Conclusie Vernieuwingen op wireless gebied geen grote impact voor de eduroam-gebruiker. 802.1x en EAP zijn toekomstvast (WPA, WPA2/802.11i). Infrastructuur op een instelling degelijk, EAP is flexibel. Verschillende mogelijkheden voor verbetering infrastructuur. RadSec als vervanging voor RADIUS heeft direct potentie, voor DNSROAM is de tijd nog niet rijp. Verbeteringen infrastructuur kunnen plaatselijk doorgevoerd worden. Dus nomaals…..

21 Hoogwaardig internet voor hoger onderwijs en onderzoek 21 Doe mee met…..


Download ppt "Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul."

Verwante presentaties


Ads door Google