eduroam “next generation”
eduroam “next generation”
eduroam “next generation”
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>eduroam</strong> <strong>“next</strong> <strong>generation”</strong><br />
Evolution des internationalen Roaming- Dienstes<br />
Stefan Winter, RESTENA<br />
DFN Betriebstagung, 3. März 2010<br />
connect • communicate • collaborate
RESTENA?<br />
Réseau Téléinformatique de l'Education Nationale et de la Recherche<br />
“das DFN von Luxemburg”<br />
Starker Fokus auf internationales<br />
Roaming :-)<br />
In GN3: Task Leadership für <strong>eduroam</strong><br />
Forschung und Entwicklung<br />
(GN3-JRA3-T1)<br />
– radsecproxy<br />
– Chargeable-User-Identity<br />
– IETF Standardisierung von<br />
RADIUS über TLS (a.k.a.<br />
RadSec)<br />
– <strong>eduroam</strong> jenseits von Europa<br />
– ...<br />
connect • communicate • collaborate
Inhalt<br />
• Aktuelle Nutzerzahlen<br />
• Chargeable-User-Identity<br />
– Eine Einführung<br />
• RADIUS über TLS<br />
– Grundlagen<br />
– Zukünftiges Potential<br />
• radsecproxy<br />
• Internationales Peering<br />
connect • communicate • collaborate
Nutzerzahlen<br />
• Verdreifachung im letzen Jahr<br />
• mehrere zehntausend “Roaming-Tage” pro Monat<br />
• mehrere hunderttausend erfolgreiche Logins<br />
• Neue Länder: USA (viele .edu's), Papua-Neuguinea (.pg), ...<br />
• Dadurch aber auch: mehr Disziplin nötig beim “Routing”<br />
– als SP: alle unbekannten realms nach oben weiterleiten<br />
– Als FLR: nur innerhalb der eigenen TLD filtern<br />
– Nur root Server haben autoritative, globale Liste<br />
– Beispiel “.com kann ich blocken” -> FALSCH<br />
(www.duisenbergschooloffinance.com - noch kein<br />
Teilnehmer, aber in der Community)<br />
connect • communicate • collaborate
250000<br />
200000<br />
150000<br />
100000<br />
50000<br />
0<br />
september 2008<br />
International traffic 2008 - 2009<br />
october 2008<br />
november 2008<br />
december 2008<br />
january 2009<br />
(Folie mit freundlicher Genehmigung<br />
von SRCE, Kroatien)<br />
february 2009<br />
march 2009<br />
april 2009<br />
may 2009<br />
june 2009<br />
etlrs1 etlrs2<br />
july 2009<br />
august 2009<br />
september 2009<br />
october 2009<br />
november 2009<br />
december 2009<br />
connect • communicate • collaborate
250000<br />
200000<br />
150000<br />
100000<br />
50000<br />
0<br />
december 2008<br />
International traffic 2008 - 2009<br />
43398<br />
4298<br />
january 2009<br />
58599<br />
5421<br />
february 2009<br />
66224<br />
6841<br />
march 2009<br />
93746<br />
9477<br />
april 2009<br />
(Folie mit freundlicher Genehmigung<br />
von SRCE, Kroatien)<br />
103258 101164<br />
8408<br />
may 2009<br />
10827<br />
june 2009<br />
144709<br />
12558<br />
july 2009<br />
120383<br />
11609<br />
august 2009<br />
AuthNcount CSI<br />
136143<br />
10530<br />
september 2009<br />
204739 205464<br />
19737<br />
october 2009<br />
234030<br />
21322 21639<br />
november 2009<br />
december 2009<br />
141959<br />
30000<br />
25000<br />
20000<br />
15311 15000<br />
10000<br />
5000<br />
connect • communicate • collaborate<br />
0
Chargeable-User-Identity<br />
• Ausgangspunkt:<br />
– Benutzer in <strong>eduroam</strong> sind zu großen Teilen anonym<br />
• EAP: anonymous outer identity<br />
• MAC: Adresse änderbar<br />
– <strong>eduroam</strong> Prozedere: zum Blocken eines Individuums<br />
Heimatorganisation kontaktieren<br />
– Geht, ist aber langsam und “out-of-band”<br />
• Lösung:<br />
– Implementierung von RFC4372 “Chargeable User Identity”<br />
– SP kann einen Hash des inneren Bentzernamens anfragen<br />
– IdP erstellt ihn und sendet zurück – ändert sich nicht, auch bei<br />
anderer outer id und MAC Adresse<br />
• Kann zum Wiedererkennen und Blocken einzelner Benutzer verwendet<br />
werden<br />
connect • communicate • collaborate
RADIUS über TLS<br />
• RadSec Standardisierung weit fortgeschritten<br />
• Ersetzen statischer Verbindungen gut durch getestet<br />
• ... aber wir haben weitergehende Pläne: Dyamic Peer Discovery<br />
• Idee: User-Name xyz@realm.lu -> DNS Anfrage: <strong>eduroam</strong> Provider für<br />
realm.lu -> dort authentifizieren<br />
• Format im DNS noch im Flux. Derzeitige Idee:<br />
restena.lu has NAPTR record 100 10 "s" "x-<strong>eduroam</strong>:radius.tls" "" _radsec._tcp.restena.lu.<br />
_radsec._tcp.restena.lu has SRV record 0 0 2083 radius-1.restena.lu. • Unterstützt “2-Phasen-Modell”<br />
– FLR macht DNS Lookups<br />
– Für teilnehmende SP/IdP bleibt alles wie gehabt<br />
– Es gilt lediglich: alle IdPs in einem Land müssen ihre NAPTRs gesetzt<br />
haben<br />
– Wenn bereit, kann IdP alles selbst<br />
übernehmen<br />
connect • communicate • collaborate
RADIUS über TLS - CA<br />
• Internationales Testbed läuft aus:<br />
– bestand aus “eduGAIN-CA” und “eduGAIN-SCA”<br />
– RA Modell mit zentraler CA in Spanien (RedIRIS)<br />
• Produktionsinfrastruktur unterscheidet sich:<br />
– Task in GEANT3: eduPKI<br />
– entwickelt One-Statement policies für “<strong>eduroam</strong> IdP” und<br />
“<strong>eduroam</strong> SP”<br />
– akkreditiert CAs für den <strong>eduroam</strong> “bag”<br />
– Qualifizierte CAs stellen Zertifikate an <strong>eduroam</strong> Server mit<br />
entsprechendem Policy OID Feld aus<br />
– DFN-PKI selbstverständlich Kandidat hierfür!<br />
– eduPKI wird zusätzlich eigene “Orphanage” CA betreiben, falls<br />
ein NREN keine eigene qualifizierte CA bereitstellen kann<br />
connect • communicate • collaborate
adsecproxy<br />
• 1.3.1 aktuelles Release<br />
• + einige Fixes im SVN<br />
• Neuer Maintainer: Linus Nordberg<br />
• Feature Requests an Mailingliste: radsecproxy@uninett.no<br />
[zum dynamischen Peer Discovery siehe Vortrag von Stig Venaas von<br />
der 50. BT]<br />
connect • communicate • collaborate
Internationales Peering<br />
• In Europa gibt es die European <strong>eduroam</strong> Confederation von GEANT<br />
(36 Mitglieder) mit dazu passender Dienstbeschreibung und Policy<br />
(DS5.1.1)<br />
• Konföderationskonzept nicht tragfähig jenseits von Europa<br />
• NREN Konzept nicht tragfähig jenseits von Europa<br />
• WIP: eine “<strong>eduroam</strong> Declaration of Conformity”<br />
– regelt grundlegende Fragen (wie: Unterzeichner verpflichtet<br />
sich, nur Benutzer in R&E aufzunehmen)<br />
– weniger spezifisch als die EU-weite Dienstbeschreibung<br />
– Nur dieses Dokument erlaubt Nutzung des <strong>eduroam</strong>®<br />
Trademarks (von TERENA angemeldet)<br />
connect • communicate • collaborate
Vielen Dank für Ihre Aufmerksamkeit!<br />
Für weitergehende Fragen stehe ich selbstverständlich jetzt und<br />
auch später unter stefan.winter@restena.lu zur Verfügung!<br />
connect • communicate • collaborate