Gökhan Eryol TÜBİTAK-ULAKBİM Neşe KAPTAN KOÇ TÜBİTAK-ULAKBİM
Ebat: px
Şu sayfadan göstermeyi başlat:

Download "Gökhan Eryol TÜBİTAK-ULAKBİM Neşe KAPTAN KOÇ TÜBİTAK-ULAKBİM"

Transkript

1 Akademik Ağlarda Dolaşım: eduroam Gökhan Eryol TÜBİTAK-ULAKBİM Neşe KAPTAN KOÇ TÜBİTAK-ULAKBİM

2 GÜNDEM eduroam Nedir? Güvenli Ağ Teknolojileri Kurumlar: Bağlanmak için ne yapmalı? Kullanıcılar: Bağlanmak için ne yapmalı? eduroam Test Yatağı ULAKNET eduroam'a başvurular GN2-SA5

3 eduroam Nedir? Educational Roaming Üye Kurum Bileşenleri: Erişim cihazı (KEN/Anahtar) AAA Sunucusu (Radius) Supplicant (İstemci) Ev Kurum : Kaynak Sağlayıcı Misafir Kurum : Kimlik Sağlayıcı Federasyon Hiyerarşisi (Avrupa ve APAN)

4 eduroam Hiyerarşisi

5 Güvenli Ağ Kablolu ağlarda fiziksel erişim sorunu (toplantı çalışma odaları, sınıflar, vb) Kablosuz ağlarda yetkilendirme sorunu IEEE 802.1x : Ağ erişimini sadece yetkilendirilmiş kullanıcılara sağlamak (kablosuz ve kablolu (port/mac tabanlı)) EAP : Extensible Authentication Protocol (EAPOL) EAP-MD5 : hashed şifreler, mitm a açık LEAP : Cisco'ya özgü, mitm a açık EAP-TLS : İstemci Sunucu PKI yetkilendirmesi, X509 veya smartcard, güvenli, yüksek iş yükü EAP-TTLS ve PEAP: Sadece sunucu sertifikası, kullanıcı yetkilendirme (MD5, PAP, CHAP vb), PEAP Microsoft ve Cisco özelinde, TTLS herkese açık. RADIUS AAA Sunucu

6 Güvenli Ağ ULAK-CSIRT NAC Çalışma Grubu

7 FreeRadius EAP TTLS Kurulum openssl kurulur. 2. FreeRadius kurulur: freeradius source indirilmeli : ftp://ftp.freeradius.org/pub/radius/freeradius tar.gz 3. FreeRadius Yaması Yapılmalı: freeradius'un, realm tanımlarında regular expression kullanabilmemiz için (ki bu özellik kullanıcı_adı@*.universite.edu.tr gibi alt alan adlarını tek seferde tanımlamak için gerekli), source koduna patch yapmamız lazım. adresinde yeralan bilgilerle, Realms regular expression patch for FreeRADIUS uygulanır. patchlenmiş freeradius, derlenerek kurulur.

8 FreeRadius EAP TTLS Kurulum FreeRadius ayarları yapılır: Linux larda /etc/freeradius veya /etc/raddb altında bulunur. radiusd.conf : Bu dosyada, radius'un çalışma yapısı ile ilgili ayarlar tanımlanmaktadır. Bizim yapılandırmamızda EAP-TTLS modelinde çalışması için, aşağıdaki alanların yazıldığı şekilde bulunması gerekmektedir:

9 Modules Başlığı altına modules { pap { encryption_scheme = crypt #diger satirlar eap Başlığı altına $INCLUDE ${confdir/eap.conf radiusd.conf authorize Başlığı altına authorize { #diger satirlar preprocess suffix ntdomain eap files ldap authenticate Başlığı altına authenticate { #diger satirlar Auth-Type PAP { pap Auth-Type LDAP { ldap Eap #diger satirlar

10 FreeRadius EAP TTLS Kurulum - 4 Sertifikaların oluşturulması FreeRadius source kodu - certs.sh betiği /etc/freeradius/certs Hakların kontrolü

11 FreeRadius EAP TTLS Kurulum - 5 eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no md5 { gtc { auth_type = PAP tls { private_key_password = gizlihede private_key_file = ${raddbdir/certs/cert-srv.pem certificate_file = ${raddbdir/certs/cert-srv.pem CA_file = ${raddbdir/certs/democa/cacert.pem dh_file = ${raddbdir/certs/dh random_file = ${raddbdir/certs/random fragment_size = 1024 include_length = yes check_crl = no ttls { default_eap_type = md5 copy_request_to_tunnel = no use_tunneled_reply = no mschapv2 {

12 FreeRadius EAP TTLS Kurulum - 6 clients.conf : Federasyon mimarisinde, yerel radius sunucunuza, ULAKBİM'in radius sunucusundan başka harici radius sunucu tanımlamanıza gerek yoktur. client { secret = gizliparola shortname = ulakbim-ken # EDUROAM FEDERASYON SUNUCUSU client trrad01.ulakbim.gov.tr { secret = KARsilikLi_TanimLANAN_SiFRe shortname = ulakbim

13 FreeRadius EAP TTLS Kurulum - 7 proxy.conf alan adı : univ.edu.tr, kullanıcı adı: denek -> denek@univ.edu.tr Kurumun kendi kullanıcılarını yetkilendirebilmesi için: realm univ.edu.tr { type = radius authhost = LOCAL accthost = LOCAL nostrip regexp patch ile realm alt.univ.edu.tr { regexp = "^.*univ.edu.tr"

14 FreeRadius EAP TTLS Kurulum - 8 users.conf : # TEST HESABI denek@univ.edu.tr Cleartext-Password := "sifrehede" Reply-Message = "Hello, %u"

15 Kurumlar Ne Yapmalı? Yetkilendirmeli bir ağa sahip olmalı Kendi kullanıcılarının dolaşabilirliğini ve kendi ağlarında akademik kullanıcıların dolaşabilirliğini onaylamalı (konferanslar, mobil öğretim üyeleri, mobil öğrenciler) Hem kimlik sağlayıcı hem de kaynak sağlayıcı (politika) eduroam ssid yayını PGP ile adresine başvurmalı Realm tanımları ile yönlendirmeyi sağlamalı Politikayı imzalamalı

16 Kurum Radius Ayarları clients.conf dosyasi icerisinde, lokal AP'lerin iplerinin tanimlandigi yerin altina: client trrad01.ulakbim.gov.tr { secret = (e-postada belirtilen sifre) shortname = ulakbim

17 Kurum Radius Ayarları proxy.conf dosyasi icerisine, "Configuration for the proxy realms." bolumu altina: # # Universite yerel baglantilarinin bu radiusta yetkilendirilmesi icin: # realm itu.edu.tr { type = radius authhost = LOCAL accthost = LOCAL # # Universiteniz alt alan adlarini giren kullanicilari lokalde tutmak icin: # Bu satir, yanlis alan adi giren yerel kullanicilarin kimlik bilgilerini # korumak ve sunucular arasi gereksiz trafigi onlemek icin gereklidir. # realm.itu.edu.tr { regexp = "^.*itu.edu.tr" # # Diger tum baglantilarin ULAKBIM'e yonlenmesi icin: # realm DEFAULT { type = radius authhost = trrad01.ulakbim.gov.tr:1812 accthost = trrad01.ulakbim.gov.tr:1813 secret = (e-postada belirtilen sifre) nostrip II. ULAKNET EĞİTİM ve ÇALIŞTAYI (01-02 Mayıs 2008)

18 Test Hesabı kullanici adi: sifresi: (epostailebelirtilen) Ulakbim kullanıcısı için tanımların nasıl yapılacağı:

19 Kullanıcılar Ne Yapmalı? Ev ağında yetkilendirmeli ayarları ile, eduroam ssid sine bağlanabilir. WPA yapabilen kablosuz arayüz TTLS için: Windows XP,2000, Vista (SecureW2 ile) MacOS (işletim sistemi desteği) Linux (wpa_supplicant ile) Symbian OS :) eduroam.ulakbim.gov.tr ve eduroam.org

20 eduroam TR Test Yatağı Gökova Çalıştayı (Nisan 2007) ULAKBİM'de çalışmaların başlaması: Ekim 2007 ODTÜ (Ekim): Altyapısı hazır (Mayıs), kuruluma destek Ankara Üniversitesi (Kasım): Tüm kampüste tam destek, yeni altyapı Hiyerarşiye dahil olunması: Kasım 2007 Resmi kabuller başladı.

21 Başvurular Yerel Radius sunucusu alan adı ve IP adresi Yerel Radius sunucusunun kullandığı port numaraları (Radius ve accounting portları) Kullanıcıların yönlendirilmesi için kullanılacak yerel alan adı (örneğin ulakbim.gov.tr) Kurum içerisinde eduroam yayınının bulunduğu yerlerin listesi ve eduroam bağlantısı için kullanılacak SSID Ulusal Radius Vekil Sunucusu üzerinden iletişimi test etmek için kullanılmak üzere, kurumun yerel ağında tanımlı kullanıcı adı şifre ikilisi Kurumun yerel Radius sunucusu ile Ulusal Radius sunucusu arasında güvenli iletişim için kullanılmak üzere bir anahtar parola (örneğin: 67yuGl.sE34poKzVO9f ) Tüm bu bilgilerin güvenli bir ortamda bildirilmesi için, kurumun eduroam ile iletişime geçilecek personeline ait PGP anahtar

22 GN2-SA5 Dökümantasyon, yaygınlaştırma Sağlıklı işletimi için monitoring Araçları Bilgi deposu (günlük güncellenen veritabanı) Politika belirlenmesi ve servis ile ilgili stratejilerin belirlenmesi

23 GN2-SA5

24 GN2-SA5

25 GN2-SA5

26 GN2-SA5

27 Teşekkürler Sorularınız için:

Benzer belgeler
2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim