WiFi Eduroam - Čo je eduroam
Základné informácie
Mobilita a roaming v rámci projektu eduroam sú založené na tom, že prístupové informácie (meno a heslo alebo certifikát) od užívateľa sú cez autentizačnú a autorizačnú infraštruktúru (AAI) postupne predané organizácií, u ktorej má užívateľ svoj účet (tzv. domovská organizácia). Tá potom na základe informácií o užívateľovi rozhodne, či mu bude umožnený prístup do siete. Vďaka tomu je možné identifikovať každý prístup do siete, resp. identifikovať a overiť užívateľa, ktorý sa snaží pripojiť k sieti.
Siete začlenené do projektu eduroam sú najčastejšie realizované ako bezdrôtové siete (WiFi) podľa štandardu 802.11b (11Mbit/s) alebo 802.11g (54Mbit/s). Pre overenie užívateľov sa používa niekoľko mechanizmov. Z hľadiska bezpečnosti a komfortu je preferovaná autentizácia podľa štandardu 802.1x (tzv. network login). Ako doplnok sa niekedy využívajú ďalšie metódy, napr. tzv. web-based autentizácia, popr. pripojenie do VPN. V súčasnej dobe sa v rámci projektu eduroam využíva takmer výhradne autentizácia podľa 802.1x s WPA/TKIP.
V bezdrôtových sieťach (WiFi) v rámci projektu eduroam sa používa štandardizovaný identifikátor siete (tzv. SSID) eduroam.
Aby mohol užívateľ využívať služby roamingu, musí mať zriadený účet u niektorej organizácie, ktorá je pripojená k AAI.
Prístup uživateľa k Eduroamu
Na jednoduchom príklade si ukážeme, ako je jednoduché Eduroam používať k pripojeniu k WiFi sieťam podporujúcich Eduroam. Užívateľ najprv získa eduroam účet vo svojej domovskej inštitúcií. Užívateľské meno sa skladá z loginu a z tzv. realmu, ktorý identifikuje inštitúciu, napr. Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebuješ mať nainštalovaný JavaScript. . Tieto dva údaje zadá do supplicanta (program, ktorý sa stará o pripojenie k WiFi sieti) a od tejto chvíle sa uživateľ môže pripojiť do všetkých sietí podporujúcich Eduroam. WiFi sieť, ktorá podporuje Eduroam, väčšinou obsahuje vo svojom názve text „eduroam“.
Čo robí Eduroam Eduroamom
Celá infraštruktúra Eduroamu je postavená na Radius serveroch a autentizačnom protokole 802.1x. Radius servery umiestnené v jednotlivých organizáciach spravujú svojích vlastných užívateľov. Žiadosť o pripojenie užívateľa z akéjkoľvek lokality pokrytej Eduroamom znamená vytvorenie bezpečného tunelu od klienta cez infraštruktúru Eduroamu až k domovskému radius serveru, ktorý prevádza autentizáciu.
Radius infraštruktúra
Radius server (Remote Authentication Dial In User Service) je určený k overovaniu identity užívateľov, ďalej prevádza autorizáciu užívateľov a accounting na základe informácií z prístupového bodu. S radius serverom nekomunikuje priamo užívateľ, ale iba prístupové body. Radius server môže tiež fungovať ako proxy - v tom prípade neoveruje identitu užívateľov, ale iba preposiela požiadavky na iné radius servery.
Radius servery sú v Eduroame hierarchicky zoskupené. Top-level radius servery sú umiestnené v Holandsku, ďalej každý štát má vlastné národné radius servery a samozrejme ich má aj každá pripojená inštitúcia. Radius servery v cieľových organizácíach zaisťujú overenie identity vlastných užívateľov. Národné a top-level radius servery sa starajú o predávanie autentizačných požiadaviek. Pokiaľ na akýkoľvek radius server príde požiadavka o overenie identity užívateľa, je z jeho užívateľského mena vyextrahovaný realm, ktorý určuje, ku ktorej inštitúcií prísluší. Pokiaľ nieje schopný požiadavku overiť tento radius server, tak je preposlaná na nadriadený radius server.
Riadenie prístupu k sieti
Možností ako riadiť prístup uživateľov do siete, bezdrôtovo alebo drôtovo, je mnoho, väčšina ale predpokladá zostavené IP spojenie alebo overovanie na základe MAC adresy. Eduroam využíva protokol 802.1x, ktorý umožňuje prístupovým prvkom (switch, prístupový bod WiFi) ríadiť prevádzku na jednotlivých portoch. Jedna sa o protokol, ktorý komunikuje na linkovej vrstve. Protokol 802.1x v spojení s protokolem EAP (Extensible Authentication Protocol) umožňuje bezpečnú výmenu dát medzi klientom a domovským radius serverom cez prístupové body alebo switche a ostatné radius servery. EAP protokol zaisťuje prenos prihlasovacích údajov až na domáci radius server, ktorý užívateľa autentizuje. O výsledku je informovaný prístupový prvok a potom užívateľa vpustí do siete alebo naopak zamietne prístup.
Dôležitou vlastnosťou EAP v spojení s radius infraštruktúrou je stanovenie bezpečného (šifrovaného) kanála medzi klientom a cieľovým radius serverom. Je preto vylúčené, aby akýkoľvek radius server alebo prístupový bod, ktorý predáva požiadavku ďalej, videl užívateľské heslo.
Samotný protokol EAP je iba obálka pre konkrétne autentizačné protokoly. V rámci Eduroamu sa najčastejšie používá protokol PEAP/MSCHAPv2 alebo TLS. Protokol PEAP vyžaduje od užívateľa zadaníe užívateľského mena a hesla, naopak TLS protokol je postavený na infraštruktúre verejných kľúčov PKI, kde sa k autentizacií využívajú certifikáty.
Bezpečný prenos dát
Všetky bezdrôtové siete, ktoré umožňujú prístup cez Eduroam garantujú užívateľovi, že dáta medzi jeho počítačom a prístupovým bodom sú šifrované. Eduroam vôbec nenariaďuje, ktorý typ šifry má byť použitý. Najčastejšie sa však stretávame so šifrovaním dát WPA alebo WEP104.