Všechny cesty k internetu (2)

Logo eduRoam

Včera jsem vám přinesl první článek o konferenci Všechny cesty k internetu, jak jsem psal, bylo tam toho mnohem více, a tak si dnes dovolím pokračovat a zmíním další z probíraných témat a tím je mobilita v bezdrátových sítích (nejen) na evropských univerzitách.

Úvodem bych měl ale noticku k CDMA. Na akci byla totiž i přednáška Eurotelu k CDMA, nicméně není to na samostatný článek. Dnes se ale objevily informce o nových vysílačích Eurotelu v tomto pásmu, například na Mobilmanii či Digiwebu. O těchto záležitostech už se mluvilo začátkem minulého týdne, takže kdyby se novináři účastnili těchto přednášek, mohli by uvádět exkluzivní informace a nemuseli by opisovat tiskové zprávy. 😉

Dovolím si ale hlavně zchladit hlavy všem případným zájemcům, protože po skončení přednášky jsem se ing. Ecka zeptal, co ten velký bílý flek na mapě pokrytí od Prahy na jih, kdy že bude pokryto.

Odpověď byla, že zde vlastní potřebné pásmo armáda ČR a že tam se pokrytí nedočkáme. (zřejmě špatně pochopeno – viz diskuse, omouvám se) Další nemilou zprávou je změna chování CDMA ke stahování většího objemu dat, na kterou na svém blogu upozornil Radek Hulán. Dovolím si citovat “Eurotel na svém CDMA zjevně nezavedl jen omezení P2P sítí, ale zavádí normální F.U.P., kdy Vám po stažení určitého množství dat sníží rychlost i http a ftp přenosů na desetinu rychlosti původní, takže Vám CDMA jede na rychlosti GPRS nebo dial-upu.

Mobilita a roaming v akademických sítích

Nadpis tohoto odstavce se shoduje se jménem přednášky, kterou měl na zmiňované konferenci Ing. Jan Fürman ze sdružení CESNET. Podnadpis “principy fungování mobility a roamingu v rámci evropských akademických sítí, autentizační mechanizmy, bezpečností aspekty a centrální autentizační infrastruktura” vám také asi nic moc neřekne, pokusím se tedy v krátkosti vysvětlit o co jde.

Evropské technické univerzity si všimly rostoucího zájmu studentů o mobilní přístup do akademické sítě, mnohé z nich začaly vybudovávat bezdrátová přípojná místa již koncem minulého tisíciletí (tehdy ještě s využitím prvků dle standardu 802.11, tedy max. 2 Mb/s) — sám jsem některým tehdy hardware pro tyto sítě dodával a dělal školení.

Ovšem v Evropě, více snad než v ČR je běžná spolupráce několika univerzit na různých problémech či výzkumech, studenti se tak často pohybují na půdě jiných vysokých škol a nemohli se tak donedávna připojovat do cizí sítě bez znalosti jejích přístupových údajů.

To se právě mění, neboť vznikla pracovní skupina TERENA mobility task force, která zavádí principy mobility (nejen) mezi univerzitami po celé Evropě.

Byly definovány tři způsoby autentizace uživatele v cizí síti:

  • Autentizace na bázi VPN: spojení VPN sítí a uživatel přes tunel na domácí VPN koncentrátor dostane do své sítě — je vyhrazen samostatný segment IP adres, které slouží k tomuto účelu, řešení je relativně náročné jak na síť jako celek, tak i na počítač klienta.
  • Autentizace na bázi webového formuláře: známé z některých hot-spotových řešení — uživatel se po připojení přesměruje na ověřovací stránku, kde musí zadat své jméno a heslo (autentizuje se vůči centrálnímu AAA serveru) a dále má již přístup volný — tento způsob je nenáročný, přináší ovšem jen malou míru bezpečnosti
  • Autentizace na bázi 802.1x: to nejzajímavější a také nejpoužívanější a nejperspektivnější řešení je využití standardního 802.1x standardu s autentizačním protokolem EAP. Dále se budu věnovat tedy jen tomuto způsobu.

Autentizace na bázi 802.1x

Hierarchie Radius serverů

Celý princip je prostý a vychází z principů Internetu — byla vytvořena hierarchická struktura Radius serverů jednotlivých organizací a států, nad tím vším je pak top-level Radius server, jak ukazuje následující obrázek.

Například tedy student z ČVUT přijede do Nizozemska a chce se připojit se svým notebookem do akademické sítě místní univerzity. Nemusí se někde doprošovat o nějaký přístup, prostě stejně jako ve své domácí síti napíše v přihlašovacím okně Radius klienta (suplikant) své přihlašovací jméno (ve formátu prihlasovaci_jmeno@cvut.cz) a své vlastní heslo.

Suplikant požádá místní “autentikátor” (typicky bezdrátový AP) o spojení a ten na základě svého nastavení přepošle dotaz na Radius server nizozemské univerzity, který zkontroluje, zda-li má pro daného uživatel záznam ve své vlastní tabulce uživatelů. Když nemá, přepošle požadavek na nadřízený národní Radius server. Ten se pokusí podle domény rozlišit, zda-li patří uživatel do některé z jemu podřízených Radius serverů a protože nepatří, opět přepošle požadavek výše top-level Radius serveru. Ten pozná, že uživatelské jméno končí doménovým identifikátorem .cz a tak přepošle požadavek národnímu Radius serveru .cz domény. No a ta konečně pošle požadavek Radius serveru ČVUT a ten odpoví standardním způsobem, kde potvrdí či zamítne přístup.

Vypadá to velice zdlouhavě, ale je to otázka několika desítek milisekund. Samozřejmě veškerá komunikace mezi Radius servery putuje šifrovaná dvousměrným tunelem, nehrozí tak nabourání nezvaným útočníkem. V závislosti na ověřovacích údajích může klient dostat přístup např. do zaměstnanecké sítě, do sítě pro hosty a nebo na internet.

V budoucnu se plánuje přechod na standard 802.11i, který přinese ještě větší zabezpečení komunikace, čeká se jen na schválení této normy a dostatečnou podporu na AP i síťových kartách uživatelů.

Jak se zapojit

Uvedené řešení není něco, co by zatím jen leželo v hlavách vědátorů, ale opravdu funkční řešení (i když zatím v testovacím provozu), které funguje či alespoň horečně připravuje ve větší části Evropy (viz mapa).

Mapa Eduroam v Evropě

Nejedná se také o něco určeného je pro univerzity, je vítána každá organizace, připojená do sítě národního výzkumu (v Česku jsou zatím členy ČVUT FEL Praha, Technická univerzita v Liberci, Západočeská univerzita v Plzni, Vysoká škola báňská – Technická univerzita Ostrava, Univerzita Karlova v Praze, Lékařská fakulta UK Hradec Králové, VŠCHT Praha a kraj Vysočina).

Samozřejmě jsou určitá pravidla roamingové politiky, které musí každý dodržovat či jejich dodržování vyžadovat po svých členech:

  • pravidla, která musí splňovat domácí síť uživatele:
    • technická podpora uživatelů
    • poskytnout ověřování svých uživatelů
    • je zodpovědná za veškerá akce uživatelů, které ověřila,
    • musí reagovat na ohlášení bezpečnostních incidentů, které jsou způsobeny jejími uživateli
    • musí logovat všechny autentizační události pro potřeby případného dohledávání
  • pravidla, která musí splňovat hostující síť
    • uchovávat v logu autentizační informace, které musí na vyžádání zpřístupnit oprávněným místům
    • musí vytvořit vlastní zásady pro použití sítě
    • musí poskytnout autentizační služby pro hostující uživatele

dále jsou samozřejmě pravidla pro chování uživatelů, pro autentizační proxy systém, jsou definovány i postupy řešení bezpečnostních incidentů a sankce za nedodržení pravidel.

Další důležitá věc, kterou by měla instituce splňovat (ale není to striktní podmínka) je použití jednotného SSID (jména bezdrátové sítě), dle návrhu TERENA se používá “eduroam”.

Organizace by také měly založit stránky s detailními informacemi o stavu sítě v dané organizaci. Ty budou v Česku odkazovány z centrálního “mobility portálu” http://www.eduroam.cz, který provozuje CESNET. Podobné stránky mají i ostatní státy, např. Nizozemsko. Mimochodem logo eduRoam vymyslel student technické univerzity v Liberci.

Jak se vám líbil článek?
1 Star2 Stars3 Stars4 Stars5 Stars (zatím nehodnoceno)
Loading...

7 komentářů

  • Co je to za úlet s vojenskými frekvencemi ???

    Já zcela jasně slyšel odpověď, že bílý flek na jihu je vojenský prostor Boletice. Armádě patří ten flek – ne frekvence. Pokrytí se nedočkáme, protože pokrývat tankodromy se pochopitelně nevyplatí.

    Vzhledem k tomu, že jih Čech je souvisle bílý s několika zelenými fleky si navíc nejsem jist, že tazatel i tázaný měli na mysli ten samý bílý flek :-)))

    Nemotáte to náhodou s nutností koordinovat s armádou využití pásma 870 MHz? To požaduje ČTÚ, ale na konferenci o tom nebyla řeč.

  • [1] V tom případě se omlouvám za chybu, já to pochopil tak, že je problém s armádou, která to tam nepovolí. Vzhledem k tomu, že jsme koukali na mapu s rozlišením viz http://www.eurotel.cz/jnp/cz/services/service/cz-services-dataContainer-S4_InternetAemail-EurotelDataExpres-pokryti.html… a já se ptal na jihozápad čech, tak mě nenapadlo, že myslí nějaký konkrétní úsek kilometr na kilometr.
    Díky za opravu, škrtám v článku

  • [2] "…konkrétní úsek kilometr na kilometr…"

    Haha. To byste musel přidat – asi tak 220 krát.

  • [3] Nevím, přiznávám, že nevím jak jsou velké vojenské oblasti v ČR, Jen mi přijde oblast okoro vltavských kaskád a přehrad, která byla celé léto obležená miliony Čechů, jak dělaná pro službu mobilního Internetu, nebo alespoň stejně rentabilní, jako oblasti v serverovýchodních čechách či střední moravě, které jsou pokryty v podstatě jednolitě. A nevěděl jsem, že to celé je vojenská oblast, za dvacet let co jsem tam jezdil na dovolenou jsem tam vojáka nepotkal. Z článku to bylo vymazáno, ačkoliv to zřejmě nic nemění na faktu, že tato oblast nebude v dohledné době pokryta

  • I na konferenci IIR byla ve středu přednáška pan Knora z Eurotelu, který tam celkem bezostyšně srovnával a vychvaloval nesrovnatelné: pokrytí mezi Eurotelím CDMA a T-Mobilím EDGE.

    Na dvou slidech promítaných hned za sebou dokazoval, jak je pokrytí CDMA skvělé oproti pár městským flíčkům EDGE v pásmech GSM. Nazval to honosně "DATOVOU MOBILNÍ REVOLUCÍ v České kotlině a Moravských úvalech". Na dalších srovnávacích tabulkách potom dokazoval, že je vlastně EDGE nepoužitelné a jediné použitelné řešení, že přináší pouze CDMA.

    To se to pokrývá s exkluzivním přístupem bez výběrového řízení ke kmitočtům v pásmu 450 MHz. 🙂

    Potvrdil přitom na rok 2005 výstavbu nových 100 BTS ke stávajícím 160, které jsou prý již On Air.

    Zajímavý byl však dotaz od T-Mobile, zda spuštění CDMA by bylo možné ze strany ČTÚ považovat za naplnění závazku učiněného při získání licence na UMTS?

    Zástupce Eurotelu přitom ve své reakci tuto možnost nevyloučil, ale odkázal se až na budoucí stanovisko ČTÚ.

  • [5]…uprime receno, me jako zakaznika nezajima, na jake frekvenci data behaji a jak kdo k nim prisel, ale jak je sluzba kvalitni, kde je dostupna a kolik za to vse zaplatim… o tom asi byla prednaska pana Knora – ne o jednanich s CTU…

  • Ve WAPu není vidět, kdo je autorem článku!