Včera jsem vám přinesl první článek o konferenci Všechny cesty k internetu, jak jsem psal, bylo tam toho mnohem více, a tak si dnes dovolím pokračovat a zmíním další z probíraných témat a tím je mobilita v bezdrátových sítích (nejen) na evropských univerzitách.
Úvodem bych měl ale noticku k CDMA. Na akci byla totiž i přednáška Eurotelu k CDMA, nicméně není to na samostatný článek. Dnes se ale objevily informce o nových vysílačích Eurotelu v tomto pásmu, například na Mobilmanii či Digiwebu. O těchto záležitostech už se mluvilo začátkem minulého týdne, takže kdyby se novináři účastnili těchto přednášek, mohli by uvádět exkluzivní informace a nemuseli by opisovat tiskové zprávy. ;-)
Dovolím si ale hlavně zchladit hlavy všem případným zájemcům, protože po skončení přednášky jsem se ing. Ecka zeptal, co ten velký bílý flek na mapě pokrytí od Prahy na jih, kdy že bude pokryto.
Odpověď byla, že zde vlastní potřebné pásmo armáda ČR a že tam se pokrytí nedočkáme. (zřejmě špatně pochopeno - viz diskuse, omouvám se) Další nemilou zprávou je změna chování CDMA ke stahování většího objemu dat, na kterou na svém blogu upozornil Radek Hulán. Dovolím si citovat “Eurotel na svém CDMA zjevně nezavedl jen omezení P2P sítí, ale zavádí normální F.U.P., kdy Vám po stažení určitého množství dat sníží rychlost i http a ftp přenosů na desetinu rychlosti původní, takže Vám CDMA jede na rychlosti GPRS nebo dial-upu.”
Mobilita a roaming v akademických sítích
Nadpis tohoto odstavce se shoduje se jménem přednášky, kterou měl na zmiňované konferenci Ing. Jan Fürman ze sdružení CESNET. Podnadpis “principy fungování mobility a roamingu v rámci evropských akademických sítí, autentizační mechanizmy, bezpečností aspekty a centrální autentizační infrastruktura” vám také asi nic moc neřekne, pokusím se tedy v krátkosti vysvětlit o co jde.
Evropské technické univerzity si všimly rostoucího zájmu studentů o mobilní přístup do akademické sítě, mnohé z nich začaly vybudovávat bezdrátová přípojná místa již koncem minulého tisíciletí (tehdy ještě s využitím prvků dle standardu 802.11, tedy max. 2 Mb/s) — sám jsem některým tehdy hardware pro tyto sítě dodával a dělal školení.
Ovšem v Evropě, více snad než v ČR je běžná spolupráce několika univerzit na různých problémech či výzkumech, studenti se tak často pohybují na půdě jiných vysokých škol a nemohli se tak donedávna připojovat do cizí sítě bez znalosti jejích přístupových údajů.
To se právě mění, neboť vznikla pracovní skupina TERENA mobility task force, která zavádí principy mobility (nejen) mezi univerzitami po celé Evropě.
Byly definovány tři způsoby autentizace uživatele v cizí síti:
- Autentizace na bázi VPN: spojení VPN sítí a uživatel přes tunel na domácí VPN koncentrátor dostane do své sítě — je vyhrazen samostatný segment IP adres, které slouží k tomuto účelu, řešení je relativně náročné jak na síť jako celek, tak i na počítač klienta.
- Autentizace na bázi webového formuláře: známé z některých hot-spotových řešení — uživatel se po připojení přesměruje na ověřovací stránku, kde musí zadat své jméno a heslo (autentizuje se vůči centrálnímu AAA serveru) a dále má již přístup volný — tento způsob je nenáročný, přináší ovšem jen malou míru bezpečnosti
- Autentizace na bázi 802.1x: to nejzajímavější a také nejpoužívanější a nejperspektivnější řešení je využití standardního 802.1x standardu s autentizačním protokolem EAP. Dále se budu věnovat tedy jen tomuto způsobu.
Autentizace na bázi 802.1x
Celý princip je prostý a vychází z principů Internetu — byla vytvořena hierarchická struktura Radius serverů jednotlivých organizací a států, nad tím vším je pak top-level Radius server, jak ukazuje následující obrázek.
Například tedy student z ČVUT přijede do Nizozemska a chce se připojit se svým notebookem do akademické sítě místní univerzity. Nemusí se někde doprošovat o nějaký přístup, prostě stejně jako ve své domácí síti napíše v přihlašovacím okně Radius klienta (suplikant) své přihlašovací jméno (ve formátu prihlasovaci_jmeno@cvut.cz) a své vlastní heslo.
Suplikant požádá místní “autentikátor” (typicky bezdrátový AP) o spojení a ten na základě svého nastavení přepošle dotaz na Radius server nizozemské univerzity, který zkontroluje, zda-li má pro daného uživatel záznam ve své vlastní tabulce uživatelů. Když nemá, přepošle požadavek na nadřízený národní Radius server. Ten se pokusí podle domény rozlišit, zda-li patří uživatel do některé z jemu podřízených Radius serverů a protože nepatří, opět přepošle požadavek výše top-level Radius serveru. Ten pozná, že uživatelské jméno končí doménovým identifikátorem .cz a tak přepošle požadavek národnímu Radius serveru .cz domény. No a ta konečně pošle požadavek Radius serveru ČVUT a ten odpoví standardním způsobem, kde potvrdí či zamítne přístup.
Vypadá to velice zdlouhavě, ale je to otázka několika desítek milisekund. Samozřejmě veškerá komunikace mezi Radius servery putuje šifrovaná dvousměrným tunelem, nehrozí tak nabourání nezvaným útočníkem. V závislosti na ověřovacích údajích může klient dostat přístup např. do zaměstnanecké sítě, do sítě pro hosty a nebo na internet.
V budoucnu se plánuje přechod na standard 802.11i, který přinese ještě větší zabezpečení komunikace, čeká se jen na schválení této normy a dostatečnou podporu na AP i síťových kartách uživatelů.
Jak se zapojit
Uvedené řešení není něco, co by zatím jen leželo v hlavách vědátorů, ale opravdu funkční řešení (i když zatím v testovacím provozu), které funguje či alespoň horečně připravuje ve větší části Evropy (viz mapa).
Nejedná se také o něco určeného je pro univerzity, je vítána každá organizace, připojená do sítě národního výzkumu (v Česku jsou zatím členy ČVUT FEL Praha, Technická univerzita v Liberci, Západočeská univerzita v Plzni, Vysoká škola báňská - Technická univerzita Ostrava, Univerzita Karlova v Praze, Lékařská fakulta UK Hradec Králové, VŠCHT Praha a kraj Vysočina).
Samozřejmě jsou určitá pravidla roamingové politiky, které musí každý dodržovat či jejich dodržování vyžadovat po svých členech:
- pravidla, která musí splňovat domácí síť uživatele:
- technická podpora uživatelů
- poskytnout ověřování svých uživatelů
- je zodpovědná za veškerá akce uživatelů, které ověřila,
- musí reagovat na ohlášení bezpečnostních incidentů, které jsou způsobeny jejími uživateli
- musí logovat všechny autentizační události pro potřeby případného dohledávání
- pravidla, která musí splňovat hostující síť
- uchovávat v logu autentizační informace, které musí na vyžádání zpřístupnit oprávněným místům
- musí vytvořit vlastní zásady pro použití sítě
- musí poskytnout autentizační služby pro hostující uživatele
dále jsou samozřejmě pravidla pro chování uživatelů, pro autentizační proxy systém, jsou definovány i postupy řešení bezpečnostních incidentů a sankce za nedodržení pravidel.
Další důležitá věc, kterou by měla instituce splňovat (ale není to striktní podmínka) je použití jednotného SSID (jména bezdrátové sítě), dle návrhu TERENA se používá “eduroam”.
Organizace by také měly založit stránky s detailními informacemi o stavu sítě v dané organizaci. Ty budou v Česku odkazovány z centrálního “mobility portálu” http://www.eduroam.cz, který provozuje CESNET. Podobné stránky mají i ostatní státy, např. Nizozemsko. Mimochodem logo eduRoam vymyslel student technické univerzity v Liberci.