eduroam, govroam Paul Dekkers

eduroam, govroam

Paul Dekkers 14 april 2015

Over SURFnet

2

Communities Collaboration (Video)conferencing Online video, e-learning Monitoring Mail-filtering Wireless, eduroam Authentication (federated) Certificate services Computing (cloud, virt., stor.) NTP DNS and resolving Security (SURFcert, …) IP network (IPv6!) Optical lightpaths Lo

wer

laye

rs

Mid

dlew

are

E

nd-u

sers

/ A

pps

het HO&O netwerk: >11000 km fiber, en …

… just some examples

eduroam, de edu-Wi-Fi standaard

• Ontwikkeld bij SURFnet in 2003, internationaal verband,nu grote community (inclusief kennis, documentatie, …)

• In gebruik bij bijna alle HO en research in Nederland,sinds 2013 ook PO/VO, … en wereldwijd!

• Wederzijds toegang bij eduroam deelnemers: authenticatie bij thuis-instelling met bestaande accounts

• Gebaseerd op toekomst-vaste standaarden

• Beproefd concept: nu govroam

3

20? miljoen gebruikers, >70 landen

4

Waarom eduroam

• Security problemen,traditioneel wireless LAN is niet veilig: - wie misbruikt of gebruikt het netwerk? geen identificatie - luisteren mensen mee? geen transport security - zwakke (of geen) encryptie (“leuk voor thuis”), geen authenticatie

• Gastgebruik lastig - Identificatie van gebruikers - Geheimen distribueren? Maybe not.

• Gebruikers zijn (inter)nationaal mobiel(Bologna proces, ECTS, overleggen …)

8

Waarom eduroam

• Eenvoud in gebruik! Always connected (net als 2/3/4G? *))Zelfs op drukke plaatsen, in steden, …

Open up your laptop and bang! You’re online

*) mobiele data werkt niet altijd goed op drukke plaatsen of gebouwen, collegezalen, Wi-Fi / eduroam kan gebruikt worden voor data offloading 4G zal Wi-Fi niet vervangen, beide hebben hun eigen roadmap

9

Open draadloos netwerk

• … was altijd al een slecht idee: - wie gebruikt het netwerk? - wie kijkt er mee?

• Zwakke encryptie, geen authenticatie, geen traceerbaarheid

• Perfecte Man-in-the-Middle - eenvoudig om een nep-hotspot te maken - end-to-end encryptie of VPN nodig - OpenSSL kwetsbaarheden maken dit riskanter dan ooit

10

Open wireless met captive portal

• Captive portals zijn onveilig • Geen mogelijkheid certificate

revocation te verifiëren • OCSP (online service) is

onbereikbaar (gemaakt, soft-fail) • Makkelijke prooi voor een

Man-in-the-Middle

• Makkelijk om een Rogue AP te maken • Tethering op je telefoon, noem ‘m

“t-mobile” of “KPN”… de authenticatie mis je niet!

11

802.1x

12

RADIUS server institution

Authenticator (AP or switch) User DB

Supplicant

Guest VLAN LAN

• “Poort” gebaseerde authenticatie

802.1x en gast-gebruik: eduroam!

13

RADIUS server institution B

RADIUS server institution A

Internet

Central RADIUS Proxy server

Authenticator (AP or switch) User

DB User DB

Supplicant

Guest [email protected]

regular VLAN

guest VLAN

Secured tunnel

Veilige internationale roaming

14

T op $ level $ server

.n l . . ..ac.uk .no.au

uva.n l

A ccess $ Po in tA ccess $ Po in t

user@un inett.no

un inett.nosurfnet.n l un i s .no

Client configuratie, eenvoudig, eenmalig

• Per organisatie verschillend, in eisen en deployment • Groot gemak voor eindgebruikers, winst in beveiliging

15

eduroam en govroam

• Eenvoud in gebruik: Open up your laptop and bang! You’re online!

• Gasten identificeren aan de rand van het netwerk

• Schaalbaar: gebruik bestaande user-administratie

• Open standaarden,toekomstvast

• Veilig

• Staat gastgebruik toe

• Set a standard

16