12
Deutsches Forschungsnetz
Deutsches Forschungsnetz
Aktuelles zuAktuelles zu DFNRoaming/eduroamg
58 DFN-Betriebstagung58. DFN Betriebstagung12./13.03.2013
Ralf PaffrathDFN-GS
Konzept
• Zugang WLAN/LAN zum X-WiN für reisende Wissenschaftler : eMail Web-Recherche VPNsWissenschaftler : eMail, Web Recherche, VPNs etc.
• Gemeinschaftsdienst (Unterstützung der• Gemeinschaftsdienst (Unterstützung der Einrichtungen), Ser ice Pro ider (obligatorisch) Identit Pro ider• Service Provider (obligatorisch), Identity Provider (fakultativ)V i i b i b d• Vertrauen in gemeinsam betriebenes und verteiltes Authentifizierungssystem (DFN PKI)(DFN-PKI)
• Eingebunden in europäische Initiative (eduroam)
DFNRoaming Seite 3
DFNRoaming/eduroam Update
• Aktuell 282 (255) teilnehmende Einrichtungen• 481(404) eingetragene Roaming Standorte mit ca• 481(404) eingetragene Roaming Standorte mit ca.
54.000 (48.000) Access Points Werktäglich authentifizieren sich ca 28 000 31 000• Werktäglich authentifizieren sich ca. 28.000-31.000 (20.000-23.000) Roaming-Nutzer/Endgeräte M tli h th tifi i i h üb 500 000• Monatlich authentifizieren sich über 500.000 (380.000) Roaming-Nutzer/Endgeräte (12% ausländischer Anteil 12% roamen“ ins Ausland)ausländischer Anteil, 12% „roamen ins Ausland), unter 5% der Nutzer werden abgelehnted roam gibt es in E ropa Kanada USA• eduroam gibt es in Europa, Kanada, USA, Asien/Pacific, Afrika (Kenia, Südafrika)
DFNRoaming Seite 4
Eduroam Statistik
Konfigurationsassistent• Aktuell: Version 1.0.1 vom 26.02.2013, im Betrieb ist 1.0
https://edit.dfn.de/CAT-1.0/webhttps://edit.dfn.de/CAT 1.0/web
• 45 Einrichtungen eingetragen, 22 Einrichtungen bisher aktivg g g , g
• Unterstützte Systeme: Windows XP SP3 bis Windows 8, y ,Linux, Mac OS X Lion und iOS
• ANDROID nicht, Mechanismen für Sicherheitseinstellungen bisher nicht vorhanden !
• Automatische Betriebssystemerkennung in der Version 2.0
DFNRoaming Seite 6
Konfigurationsassistent 1
Konfigurationsassistent 2
Konfigurationsassistent 3
Konfigurationsassistent 4
Einrichten Radius Infrastruktur• Wiki, CookBook unter www.eduroam.org• Mittlerweile sehr gut dokumentiert: FreeRadius 2 2 0 undMittlerweile sehr gut dokumentiert: FreeRadius 2.2.0 und
radsecproxy• DFN-Verein/DFN-CERT spielen aktive Rolle s. CVE-2012-p
3547 Schwachstelle: Zertifikatsüberprüfung, CVE-2011-2701 Schwachstelle: OCSP,RADSECPROXY 43 CVE 2012 4523 Schwachstelle:RADSECPROXY-43, CVE-2012-4523 Schwachstelle: Zertifikatsüberprüfung
• Beste Erfahrung: radsecproxy in die DMZ Radius ServerBeste Erfahrung: radsecproxy in die DMZ, Radius Server dahinter
• Probleme Server: ACS (Access Control System) u. NPS ( y )(Network Policy Server),
• Probleme Clients: WPA, WPA2
Fragen ...
??
?
? ??
DFNRoaming Seite 12
