slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Utrecht, 29 maart 2006 PowerPoint Presentation
Download Presentation
Utrecht, 29 maart 2006

Loading in 2 Seconds...

play fullscreen
1 / 20

Utrecht, 29 maart 2006 - PowerPoint PPT Presentation


  • 148 Views
  • Uploaded on

eduroam voorwaarts!. nieuwe technische ontwikkelingen m.b.t. eduroam. Paul Dekkers. Utrecht, 29 maart 2006. Inhoud. Eindgebruikers Instellingen EAP Koppelvlak eduroam Eduroam infrastructuur RADIUS Groei en beperkingen

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Utrecht, 29 maart 2006' - chiku


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

eduroam voorwaarts!

nieuwe technische ontwikkelingen m.b.t. eduroam

Paul Dekkers

Utrecht, 29 maart 2006

inhoud
Inhoud
  • Eindgebruikers
  • Instellingen
    • EAP
    • Koppelvlak eduroam
  • Eduroam infrastructuur
    • RADIUS
    • Groei en beperkingen
    • Mogelijkheden en verbeteringen
  • Conclusie
eindgebruikers
Eindgebruikers
  • Vernieuwingen van wireless & beveiliging:
    • WPA (TKIP)
    • WPA2 (AES)
    • 802.11i

Werken op basis van 802.1x en EAP: toekomstvast!

802.1x + WEP is een backward compatible keus die goed genoeg is voor de komende tijd.

In time: 802.1x net zo gebruikelijk als DHCP…

instellingen
Instellingen

Supplicant

Authenticator

(AP or switch)

RADIUS server

institution

User DB

Guest

VLAN

LAN

instellingen1
Instellingen
  • Meer keus in apparatuur en software
  • Meer keus in EAP
  • Een EAP-type sluit het gebruik van een andere niet uit
  • Altijd EAP-type van de thuisinstelling
  • Koppelen en analyseren eenvoudiger en eenvoudiger…
instellingen2
Instellingen

… hebben een koppelvlak met de eduroam infrastructuur

Secured tunnel

Supplicant

Authenticator

(AP or switch)

RADIUS server

institution A

RADIUS server

institution B

User DB

User DB

Guest

user@institution-B.nl

Internet

guest

VLAN

regular

VLAN

Central RADIUS

Proxy server

eduroam infrastructuur1
eduroam infrastructuur

flexibiliteit van RADIUS werkt!

huidige infrastructuur
Huidige infrastructuur

RADIUS

  • RADIUS pakket op elke hop “zichtbaar” voor EAP is dat niet erg…
  • Verkeer tussen hops is zwak beveiligd voor EAP is dat niet erg…
  • Statische routering (mbv. @realm) configuratiewerk bij instelling & research netwerk
  • Schaalbaar, maar: meer aansluitingen =
        • meer configuratie
        • meer belasting op de top-level servers

meer…

huidige infrastructuur1
Huidige infrastructuur

UDP RADIUS transport

“dead server”-detectie niet goed mogelijk

indien slecht

geconfigureerd…

iets beters
Iets beters…
  • Uitschakelen overbodige hierarchie
    • Snelheid
    • Veiligheid (minder data op minder plaatsen)
    • Betrouwbaarder(minder “points of failure”)
  • Betere beveiliging op de transport-laag (tcp/ssl?)
  • Flexibele configuratie (lookup-service?)
mogelijkheden
Mogelijkheden
  • DiameterOpvolger van RADIUS(De definities zijn er al heel lang…)
  • RadSecOnderdeel van Radiator
  • DNSROAM & RadSecExperimenteel onderdeel van Radiator
radsec en dnsroam
RadSec en DNSROAM
  • RADIUS pakket in TCP of SCTP betrouwbaarder, dead peer detectie
  • Beveiliging met TLS/PKI (optioneel) geeft mogelijkheden voor beperken deelname:
        • door specifieke CA gesigned certificaat
        • validatie op attribuut in certificaat (nog niet)
  • DNSROAM gebruikt DNS als lookup-service
    • dynamische routering op basis van realm
    • mogelijk voor een deel van de hierarchie
radsec
RadSec

(afbeelding door Telematica Instituut uit Radiate / Test description and evaluation)

radsec1
RadSec

Vervangen van RADIUS-koppelingen met RadSec

radsec2
RadSec

Vervangen van statische koppelingen door dynamische

radsec en dnsroam2
RadSec en DNSROAM

Compleet dynamisch

Legacy koppelingen blijven mogelijk (via een proxy)

conclusie
Conclusie
  • Vernieuwingen op wireless gebied geen grote impact voor de eduroam-gebruiker. 802.1x en EAP zijn toekomstvast (WPA, WPA2, 802.11i).
  • Infrastructuur op een instelling degelijk, EAP is flexibel.
  • Verschillende mogelijkheden voor verbetering infrastructuur.
  • RadSec als vervanging voor RADIUS heeft direct potentie.
  • Verbeteringen infrastructuur niet ingrijpend.