Tüm Üniversitede Tek Kablosuz Ağ

Tüm Üniversitede Tek Kablosuz Ağ İlker ULAŞ Pamukkale Üniversitesi Bilgi İşlem Daire Başkanlığı V. ULAKNET Çalıştay ve Eğitimi Karadeniz Teknik Üniversitesi/Trabzon 15-18 Mayıs 2011

eduroam NEDİR? EDUcation ROAMing TERENA (Trans-European Research and Education Networking Association) kayıtlı markası ULAKBİM, Türkiye ulusal eduroam servisinden sorumlu servis sağlayıcı Amacı eduroam üyesi kurumların kullanıcılarının diğer eğitim kurumlarında da sorunsuzca ağ kullanımını sağlamak Ticari değil Sloganı Open your laptop and be online.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI eduroam ÖNCESİ 2009 yılına kadar sadece öğrenci kantinlerinde 6 adet Access Point ten oluşan kablosuz ağ Ağa bağlanmak için kimlik denetimi yok Bağlantıların loglanması için LDAP üzerinden yetkilendirme yapan proxy sunucusu kullanıldı Kullanıcıların browser larında proxy ayarı yapma zorunluluğu Proxy ayarlarının nasıl yapılacağı ile ilgili kantinlere bilgilendirme metinleri asıldı, web üzerinden ve mail ile bilgilendirmeler yapıldı.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI Öğrencilerin internete bağlanabilecekleri serbest alanlar yok. Bilgisayar laboratuvarlarında sürekli ders var. Notebook, netbook, internet bağlantılı cep telefonlarının fiyatları düştükçe sayıları arttı. Personel iş yerinde kullandıkları sabit bilgisayarın yanında evindeki taşınabilir cihazını okula getirmeye başladı, odada yeterli sayıda data prizi mevcut değil. Sürekli yeni kablo çekilmesi talepleri gelmeye başladı. Neredeyse her öğrencide mobil bir cihaz var.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI Yönetim kolaylığı sebebi ile LightWeight teknolojisi tercih edildi 2009 yılında 96 adet indoor, 4 adet outdoor, 1 adet kontrol cihazı alınarak ana kampüse kuruldu. Kurulumun tamamlanmasıyla birlikte kablosuz ağ eduroam a dahil edildi. eduroam dışında başka bir yayın yok, olmayacak!..

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI Kapsama alanı 2010 yılında 1 adet kontrol cihazı ve 50 adet indoor AP alınarak genişletildi. 2011 yılında genişletilmeye devam ediliyor. Ana kampüsün tamamında, Denizli, Çivril, Buldan, Bekilli, Honaz, Çal Meslek Yüksek Okullarımızda olmak üzere Üniversiteye ait her yerleşkede eduroam aktif durumda.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI AP Sayıları Lokasyon AP Sayısı Fen-Edebiyat Fakültesi 19 İktisadi İdari Bilimler Fakültesi 15 Mühendislik-Teknik Eğitim Fakültesi 7 Eğitim Fakültesi 12 İnşaat Mühendisliği 1 Mimarlık ve Tasarım Fakültesi 14 Güzel Sanatlar Fakültesi 4 Rektörlük 22 Yabancı Diller YüksekOkulu 5 Tıp Fakültesi 9 Turizm İşletmeciliği ve Otelcilik Yüksek Okulu 1 Spor Bilimleri ve Teknolojisi Yüksek Okulu 3 Denizli Meslek Yüksekokulu 7 Bekilli Meslek Yüksek Okulu 3 Buldan Meslek Yüksek Okulu 5 Çal Meslek Yüksek Okulu 2 Çivril Meslek Yüksek Okulu 6 Honaz Meslek Yüksek Okulu 6 Sosyal Tesisler 1 Göl Bölgesi (Outdoor) 1 Mühendislik Fakültesi Bölgesi (Outdoor) 1 İktisadi ve İdari Bilimler Fakültesi Bölgesi (Outdoor) 1 Yurtlar Bölgesi (Outdoor) 1 TOPLAM 146

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI LWAPP Sağladıkları DHCP sunucuya eklediğimiz option ile AP ler controllerı buluyor. AP lerde ayar yapılmıyor, tüm ayarlar (güvenlik, kimlik denetimi, software versiyonu) kontrol cihazından otomatik olarak sağlanıyor. AP in ağa bağlandığı yer eduroam yayınını yapmaya başlıyor. Switch lerde VLAN ayarı yapılmıyor. AP ler eduroam VLAN ını mevcut VLAN içerisinden taşıyor.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

NEDEN eduroam? Araştırmacılar mobil cihazlar kullanmaya başladılar. Gittikleri yerlerde internete bağlanmak için ayar yapmakla uğraşmak istemiyorlar. Kimlik bilgilerinin korunduğu, güvenli bir internet hizmeti istiyorlar. Bilgi işlem personeli için misafire internet bağlantısı sağlamak zahmetli. (teknik destek, 5651 sayılı yasa)

NEDEN eduroam? 1) eduroam kullanıcılara, kendi kurumlarındaki kullanıcı bilgileri ile eduroam ağı olan başka bir kuruma gittiklerinde, dışarıdan gelen misafir öğretim elemanı ve öğrencilere de kurumlarındaki kullanıcı bilgileri ile güvenli ve zahmetsiz olarak internete bağlanabilmesine olanak sağlamaktadır. Bu nasıl sağlanıyor?

eduroam BİR 802.1x UYGULAMASIDIR 802.1x kimlik doğrulaması, istemci ile erişim noktasına bağlı bir RADIUS sunucusu arasında kullanılan kimlik doğrulamasıdır. 802.1x Kimlik Kanıtlamada kullanılan 4 temel yapı vardır; İstemci (Suppliciant) Kimlik kanıtlayıcı (Ağ erişim cihazları) Kimlik Kanıtlama Sunucusu (Radius) Kullanıcı bilgilerinin tutulduğu sistem (LDAP)

eduroam YEREL KİMLİK DOĞRULAMA abc@pau.edu.tr Parola Erişim İsteği Yerel RADIUS Server Parola Kontrolü Network Access Server (with Radius client) Erişim Kararı Doğru/Yanlış Local LDAP repository Bağlantı ve kimlik bilgisi isteği LDAP sunucudan kullanıcının kimlik doğrulaması Kimlik doğrulaması doğruysa yetkilendir, değilse reddet Erişim isteğinin kabul edilip edilmediğini dön

eduroam UZAK KİMLİK DOĞRULAMA Yerel RADIUS Server Erişim İsteği +Kullanıcı Bilgisi Erişim İsteği +Kullanıcı Bilgisi Supplicant Erişim Kararı Erişim Kararı NAS Erişim İsteği + Kullanıcı Bilgisi Erişim Kararı National RADIUS Proxy server Erişim İsteği +Kullanıcı Bilgisi Erişim Kararı Remote Radius Server Parola Bilgisini Karşılaştır Doğru/ Yanlış Remote LDAP Repository Kullanıcı Bilgisi => Username@realm + password username: abc@pau.edu.tr, password pass123

eduroam UZAK KİMLİK DOĞRULAMA

RADIUS ve LDAP YAPIMIZ Vmware sanal makine olarak çalışan Ubuntu işletim sistemi, Freeradius Vmware sanal makine olarak çalışan Ubuntu üzerine OpenLDAP kurduk problem çıkardı. Çok fazla sayıda gelen istek sunucuya erişim sürelerini 2500-3000 ms.lere çıkardı. Sunucu reboot edilmeden de düzelmedi. 3-4 günde bir sunucuyu reboot etmek zorunda kaldık. Sunucuyu fiziksel hale getirmek zorunda kaldık. Sun V210 (2x1,1 Ghz sparc işlemci, 4 GB ram, 72 GB SCSI Hdd) 50.000 in üzerinde kullanıcımız var. Kimlik denetimi isteyen herşey; yazılımlarımız, mail, squid vs. LDAP üzerinden kimlik denetimi yapıyor. Tüm eduroam trafiğini Squid ile transparent olarak proxy üzerinden çıkarıyoruz. Bağlantı log larımız daha anlamlı..

RADIUS ve LDAP YAPIMIZ

NEDEN eduroam? 2) Güvenli olması Kullanıcının kimlik denetimi tamamlanıncaya kadar sadece 802.1x EAP trafiği geçiyor. Diğer tüm trafik bloklanıyor (DHCP, HTTP vs.). Tüm veri dinamik anahtarlar kullanılarak şifreleniyor, bilgilerin çalınma olasılığı yok. EAP-TTLS kullanıyor. EAP-TTLS kimlik kanıtlama verisinin emniyetli iletimi için şifreli bir TLS tüneli kurar.

NEDEN eduroam? Kimlik doğrulama sunucusu kullanıcının kimlik doğrulama isteği yaptığını belirlerse, kullanıcıya sertifikasını gönderir Kimlik doğrulama sunucu sertifikası kullanıcı ve sunucu arasında bir tünel oluşturmak için kullanılır Tünel kurulduktan sonra, kimlik bilgileri, sunucu ve kullanıcı arasında güvenli bir şekilde iletilir.

NEDEN eduroam? 3) Geniş kapsama alanı: DÜNYA Avrupa 3442, Amerika 43, Uzak Doğu 34, Avusturalya 152, Afrika 8 Kurum

NEDEN eduroam? 3) Geniş kapsama alanı: TÜRKİYE Toplam 42 Kurum, 3189 Erişim Noktası Yıl Kurum Sayısı 2007 3 2008 3 2009 10 2010 18 2011 7 Orta Doğu Teknik Üniversitesi Ankara Üniversitesi Çanakkkale 18 Mart Üniversitesi Erciyes Üniversitesi Uşak Üniversitesi Dokuz Eylül Üniversitesi Karadeniz Teknik Üniversitesi Eskişehir Osmangazi Üniversitesi Adnan Menderes Üniversitesi Pamukkale Üniversitesi İzmir Ekonomi Üniversitesi Muğla Üniversitesi Çankırı Karatekin Üniversitesi Namık Kemal Üniversitesi Mehmet Akif Ersoy Üniversitesi Ahi Evran Üniversitesi Batman Üniversitesi Süleyman Demirel Üniversitesi Gaziantep Üniversitesi Atatürk Üniversitesi Şırnak Üniversitesi İzmir Yüksek Teknoloji Enstitüsü Atılım Üniversitesi Afyon Kocatepe Üniversitesi Maltepe Üniversitesi İstanbul Üniversitesi Karamanoğlu Mehmetbey Üniversitesi Giresun Üniversitesi Abant İzzet Baysal Üniversitesi Sakarya Üniversitesi Marmara Üniversitesi Gümüşhane Üniversitesi Cumhuriyet Üniversitesi Dicle Üniversitesi Kastamonu Üniversitesi Ordu Üniversitesi İstanbul Teknik Üniversitesi Ege Üniversitesi

NEDEN eduroam? 3) Geniş kapsama alanı: TÜRKİYE

NEDEN eduroam? 3) Geniş kapsama alanı: DENİZLİ Buldan MYO Bekilli MYO Çal MYO Çivril MYO Merkez Kampüs + 6 İlçe MYO 146 Erişim Noktası Denizli MYO Honaz MYO Kınıklı Kampüsü Kınıklı Kampüsü

NEDEN eduroam? 4) 5651 ihtiyaçlarını karşılaması Radius.log Tue Apr 12 11:27:13 2011 : Auth: Login OK: [bidb@pau.edu.tr] (from client 10.200.1.0/24 port 4 cli 00-23-D3-E0-BB-9E via TLS tunnel) Wed Apr 6 13:08:05 2011 User-Name = "artuirl***@student.polsl.pl" NAS-Port = 13 NAS-IP-Address = 10.200.1.8 Framed-IP-Address = 10.241.0.153 NAS-Identifier = "Cisco_8e:c3:e4" Airespace-Wlan-Id = 1 Acct-Session-Id = "4d9953b5/6c:62:6e:22:ff:ce/60648" Acct-Authentic = RADIUS Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "241" Acct-Status-Type = Interim-Update Acct-Input-Octets = 981 Acct-Output-Octets = 656 Acct-Input-Packets = 19 Acct-Output-Packets = 8 Acct-Session-Time = 1 Acct-Delay-Time = 0 Calling-Station-Id = "10.241.0.153" Called-Station-Id = "10.200.1.8" Acct-Unique-Session-Id = "dd488c662455202c" Realm = "DEFAULT" Timestamp = 1302084485 Request-Authenticator = Verified Radius Detail Log

NEDEN eduroam? 4) 5651 ihtiyaçlarını karşılaması

NEDEN eduroam? 5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor. Windows Mobile, XP, Vista, 7 (SecureW2 ile) SecureW2.inf dosyası düzenlenip kurulum kolaylaştırılabiliyor

NEDEN eduroam? 5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor. Linux türevleri MacOS, Iphone, Ipad, Ipod Symbian Samsung BADA Blackberry Android Bağlantı Ayarları: http://pau.edu.tr/eduroam

NEDEN eduroam? 6) Prestij Özellikle kurum dışına giden öğrenci/personel ve misafir akademisyenler tarafından görülen takdir. eduroam: Uygulanması kolay ve doğrudan son kullanıcıya sağladıkları ile Bilgi İşlemi kurum içerisinde ön plana çıkaran bir projedir.

İSTATİSTİKLER 2011 Yılı Servis Sağlayıcı İstatistikleri (Kuruma Gelen Misafir Kullanıcılar) 4500 4215 4000 3500 3000 2847 2500 2000 1840 1713 1500 1169 1000 780 500 451 426 377 285 267 242 175 104 63 61 52 29 27 19 15 11 2 1 1 0

377 254 252 183 174 65 57 54 54 35 28 22 21 20 16 11 8 4 3 2 2 2 İSTATİSTİKLER 2011 Yılı Kimlik Sağlayıcı İstatistikleri (Kurumun Gezen Kullanıcıları) 7000 6293 6000 5000 4000 3949 3000 2000 1855 1000 1357 1096 895 835 600 592 0

İSTATİSTİKLER Pamukkale Üniversitesi 2011 Yılı Servis Sağlayıcı İstatistikleri (Pamukkale Üniversitesi ne Gelen Misafir Kullanıcılar) 500 450 430 400 350 300 250 200 150 100 113 103 100 50 0 47 47 37 6 5 4 2 1

İSTATİSTİKLER Pamukkale Üniversitesi 2011 Yılı Kimlik Sağlayıcı İstatistikleri (Pamukkale Üniversitesi nin Gezen Kullanıcıları) 1400 1200 1180 1000 800 600 400 200 0 191 125 116 80 44 23 20 17 15 11 6 4 4 3 1

İSTATİSTİKLER Radius Sunucusuna Gelen Aylık İstek Sayıları 1.246.244 PAÜ öğrencisi 224.733 PAÜ personeli 6226 Yurt Dışı 939 Yurt İçi

İSTATİSTİKLER Bant Genişliği Kullanımı

SONUÇ eduroam İçin Neye İhtiyacımız Var? Yatırım yapmaya gerek yok! Mevcut kablosuz ağ kullanılabiliyor. ULAKBİM eduroam ulusal yetkilendirme sunucusu tarafından ulaşılabilir bir Radius sunucu Donanımsal olarak düşük konfigürasyonlu bir sunucuya linux kurmak yeterli Kurulumu Kolay : http://www.eduroam.org.tr/dl/freeradius-v2.1.4-kurulumu.pdf Kullanıcıların tutulduğu kimlik denetim sunucusu (LDAP, AD) Genelde herkeste biri zaten var

JOIN TEŞEKKÜRLER