Post on 11-Jan-2017
transcript
Over SURFnet
2
Communities Collaboration (Video)conferencing Online video, e-learning Monitoring Mail-filtering Wireless, eduroam Authentication (federated) Certificate services Computing (cloud, virt., stor.) NTP DNS and resolving Security (SURFcert, …) IP network (IPv6!) Optical lightpaths Lo
wer
laye
rs
Mid
dlew
are
E
nd-u
sers
/ A
pps
het HO&O netwerk: >11000 km fiber, en …
… just some examples
eduroam, de edu-Wi-Fi standaard
• Ontwikkeld bij SURFnet in 2003, internationaal verband,nu grote community (inclusief kennis, documentatie, …)
• In gebruik bij bijna alle HO en research in Nederland,sinds 2013 ook PO/VO, … en wereldwijd!
• Wederzijds toegang bij eduroam deelnemers: authenticatie bij thuis-instelling met bestaande accounts
• Gebaseerd op toekomst-vaste standaarden
• Beproefd concept: nu govroam
3
Waarom eduroam
• Security problemen,traditioneel wireless LAN is niet veilig: - wie misbruikt of gebruikt het netwerk? geen identificatie - luisteren mensen mee? geen transport security - zwakke (of geen) encryptie (“leuk voor thuis”), geen authenticatie
• Gastgebruik lastig - Identificatie van gebruikers - Geheimen distribueren? Maybe not.
• Gebruikers zijn (inter)nationaal mobiel(Bologna proces, ECTS, overleggen …)
8
Waarom eduroam
• Eenvoud in gebruik! Always connected (net als 2/3/4G? *))Zelfs op drukke plaatsen, in steden, …
Open up your laptop and bang! You’re online
*) mobiele data werkt niet altijd goed op drukke plaatsen of gebouwen, collegezalen, Wi-Fi / eduroam kan gebruikt worden voor data offloading 4G zal Wi-Fi niet vervangen, beide hebben hun eigen roadmap
9
Open draadloos netwerk
• … was altijd al een slecht idee: - wie gebruikt het netwerk? - wie kijkt er mee?
• Zwakke encryptie, geen authenticatie, geen traceerbaarheid
• Perfecte Man-in-the-Middle - eenvoudig om een nep-hotspot te maken - end-to-end encryptie of VPN nodig - OpenSSL kwetsbaarheden maken dit riskanter dan ooit
10
Open wireless met captive portal
• Captive portals zijn onveilig • Geen mogelijkheid certificate
revocation te verifiëren • OCSP (online service) is
onbereikbaar (gemaakt, soft-fail) • Makkelijke prooi voor een
Man-in-the-Middle
• Makkelijk om een Rogue AP te maken • Tethering op je telefoon, noem ‘m
“t-mobile” of “KPN”… de authenticatie mis je niet!
11
802.1x
12
RADIUS server institution
Authenticator (AP or switch) User DB
Supplicant
Guest VLAN LAN
• “Poort” gebaseerde authenticatie
802.1x en gast-gebruik: eduroam!
13
RADIUS server institution B
RADIUS server institution A
Internet
Central RADIUS Proxy server
Authenticator (AP or switch) User
DB User DB
Supplicant
Guest user@institution-B.nl
regular VLAN
guest VLAN
Secured tunnel
Veilige internationale roaming
14
T op $ level $ server
.n l . . ..ac.uk .no.au
uva.n l
A ccess $ Po in tA ccess $ Po in t
user@un inett.no
un inett.nosurfnet.n l un i s .no
Client configuratie, eenvoudig, eenmalig
• Per organisatie verschillend, in eisen en deployment • Groot gemak voor eindgebruikers, winst in beveiliging
15