connect • communicate • collaborate
eduroam “next generation”
Evolution des internationalen Roaming- Dienstes
Stefan Winter, RESTENA
DFN Betriebstagung, 3. März 2010
connect • communicate • collaborate
RESTENA?
Réseau Téléinformatique de l'Education Nationale et de la Recherche
“das DFN von Luxemburg”
Starker Fokus auf internationales Roaming :-)
In GN3: Task Leadership für eduroam Forschung und Entwicklung (GN3-JRA3-T1)
– radsecproxy
– Chargeable-User-Identity
– IETF Standardisierung von RADIUS über TLS (a.k.a. RadSec)
– eduroam jenseits von Europa
– ...
connect • communicate • collaborate
Inhalt
• Aktuelle Nutzerzahlen• Chargeable-User-Identity
– Eine Einführung
• RADIUS über TLS– Grundlagen– Zukünftiges Potential
• radsecproxy
• Internationales Peering
Réseau Téléinformatiq
ue de l'Education
Nationale et de la Recherche
connect • communicate • collaborate
Nutzerzahlen
• Verdreifachung im letzen Jahr• mehrere zehntausend “Roaming-Tage” pro Monat• mehrere hunderttausend erfolgreiche Logins
• Neue Länder: USA (viele .edu's), Papua-Neuguinea (.pg), ...
• Dadurch aber auch: mehr Disziplin nötig beim “Routing”– als SP: alle unbekannten realms nach oben weiterleiten– Als FLR: nur innerhalb der eigenen TLD filtern– Nur root Server haben autoritative, globale Liste– Beispiel “.com kann ich blocken” -> FALSCH
(www.duisenbergschooloffinance.com - noch kein Teilnehmer, aber in der Community)
connect • communicate • collaborate
International traffic 2008 - 2009
0
50000
100000
150000
200000
250000
sept
embe
r 2008
octo
ber 2
008
nove
mbe
r 200
8
dece
mbe
r 200
8
janu
ary 2
009
febr
uary
2009
mar
ch 2
009
april
2009
may
200
9
june
200
9
july
2009
augu
st 2
009
sept
embe
r 2009
octob
er 2
009
nove
mbe
r 200
9
dece
mbe
r 200
9
etlrs1 etlrs2
(Folie mit freundlicher Genehmigung von SRCE, Kroatien)
connect • communicate • collaborate
International traffic 2008 - 2009
43398
5859966224
93746103258 101164
144709
120383
136143
204739 205464
234030
141959
42985421
6841
94778408
10827
1255811609
10530
19737
21322 21639
15311
0
50000
100000
150000
200000
250000
dece
mbe
r 200
8
janu
ary 200
9
febr
uary 200
9
mar
ch 2
009
april 2009
may
2009
june
200
9
july 2009
augu
st 2
009
sept
embe
r 2009
octo
ber 2
009
nove
mbe
r 200
9
dece
mbe
r 200
90
5000
10000
15000
20000
25000
30000
AuthNcount CSI
(Folie mit freundlicher Genehmigung von SRCE, Kroatien)
connect • communicate • collaborate
Chargeable-User-Identity
• Ausgangspunkt:
– Benutzer in eduroam sind zu großen Teilen anonym
• EAP: anonymous outer identity
• MAC: Adresse änderbar
– eduroam Prozedere: zum Blocken eines Individuums Heimatorganisation kontaktieren
– Geht, ist aber langsam und “out-of-band”
• Lösung:
– Implementierung von RFC4372 “Chargeable User Identity”
– SP kann einen Hash des inneren Bentzernamens anfragen
– IdP erstellt ihn und sendet zurück – ändert sich nicht, auch bei anderer outer id und MAC Adresse
• Kann zum Wiedererkennen und Blocken einzelner Benutzer verwendet werden
connect • communicate • collaborate
RADIUS über TLS
• RadSec Standardisierung weit fortgeschritten• Ersetzen statischer Verbindungen gut durch getestet• ... aber wir haben weitergehende Pläne: Dyamic Peer Discovery• Idee: User-Name [email protected] -> DNS Anfrage: eduroam Provider für
realm.lu -> dort authentifizieren• Format im DNS noch im Flux. Derzeitige Idee:
restena.lu has NAPTR record 100 10 "s" "x eduroam:radius.tls" "" _radsec._tcp.restena.lu.-
_radsec._tcp.restena.lu has SRV record 0 0 2083 radius 1.restena.lu.-
• Unterstützt “2-Phasen-Modell”
– FLR macht DNS Lookups
– Für teilnehmende SP/IdP bleibt alles wie gehabt
– Es gilt lediglich: alle IdPs in einem Land müssen ihre NAPTRs gesetzt haben
– Wenn bereit, kann IdP alles selbstübernehmen
connect • communicate • collaborate
RADIUS über TLS - CA
• Internationales Testbed läuft aus:– bestand aus “eduGAIN-CA” und “eduGAIN-SCA”– RA Modell mit zentraler CA in Spanien (RedIRIS)
• Produktionsinfrastruktur unterscheidet sich:– Task in GEANT3: eduPKI– entwickelt One-Statement policies für “eduroam IdP” und
“eduroam SP”– akkreditiert CAs für den eduroam “bag”– Qualifizierte CAs stellen Zertifikate an eduroam Server mit
entsprechendem Policy OID Feld aus– DFN-PKI selbstverständlich Kandidat hierfür!– eduPKI wird zusätzlich eigene “Orphanage” CA betreiben, falls
ein NREN keine eigene qualifizierte CA bereitstellen kann
connect • communicate • collaborate
radsecproxy
• 1.3.1 aktuelles Release• + einige Fixes im SVN
• Neuer Maintainer: Linus Nordberg
• Feature Requests an Mailingliste: [email protected]
[zum dynamischen Peer Discovery siehe Vortrag von Stig Venaas von der 50. BT]
connect • communicate • collaborate
Internationales Peering
• In Europa gibt es die European eduroam Confederation von GEANT (36 Mitglieder) mit dazu passender Dienstbeschreibung und Policy (DS5.1.1)
• Konföderationskonzept nicht tragfähig jenseits von Europa• NREN Konzept nicht tragfähig jenseits von Europa• WIP: eine “eduroam Declaration of Conformity”
– regelt grundlegende Fragen (wie: Unterzeichner verpflichtet sich, nur Benutzer in R&E aufzunehmen)
– weniger spezifisch als die EU-weite Dienstbeschreibung– Nur dieses Dokument erlaubt Nutzung des eduroam®
Trademarks (von TERENA angemeldet)
connect • communicate • collaborate
Vielen Dank für Ihre Aufmerksamkeit!
Für weitergehende Fragen stehe ich selbstverständlich jetzt und auch später unter [email protected] zur Verfügung!