Projeto Eduroam-br Education Roaming em Universidades Brasileiras

Transcrição

1 Projeto Eduroam-br Education Roaming em Universidades Brasileiras Acesso Federado a Redes Sem-fio Miguel Elias Mitre Campista UFRJ/COPPE-GTA/DEL-Poli

2 Introdução No início, a Internet era... Acadêmica com instituições sem fins lucrativos Para transferência de arquivos e autenticação remota Utilizada por usuários confiáveis

3 Identidade Hoje, cada usuário pode ter múltiplas identidades Como confiar? Do que depende? Da localização? Da aplicação? Da importância?

4 Identidade Pior ainda, como identificar terceiros? Problema cada vez mais complexo Um sub-problema de interesse é atacado no projeto Eduroam!

5 Roteiro Problema de autenticação federada Iniciativas internacionais Eduroam-BR: Fase 1 IEEE 802.1X + Eduroam-BR: Fase 2 IEEE 802.1X + + RadSec + Certificação

6 Problema Abordado Por favor, gostaria de Anote o login e acessar a rede. a senha. miguel senha123

7 Problema Abordado Por favor, gostaria de Por favor, anote a rede. o login e acessar a senha. campista 321senha

8 Problema Abordado Por favor, gostaria de acessar a rede. Por favor, anote o login e a senha. miguelc 123senha

9 Algum tempo depois...

10 Problema Abordado Você já tem conta aqui, Tenho! certo???? miguel campista miguelc senha senha 123senha Dificuldade de identificação a partir de bases de dados totalmente isoladas

11 Projeto Eduroam (Education Roaming) Iniciativa europeia para prover mobilidade de usuários Enquadrada na força-tarefa TERENA (Trans-European Research and Education Networking Association) em mobilidade Lançada em 2003 Gerencia bases de dados distribuídas para autenticar usuários multi-institucionais

12 Objetivos Prover serviço de acesso sem-fio seguro Foco na comunidade de educação e pesquisa Oferecer conectividade à Internet para usuários universitários Conexão sem-fio, dentro do próprio campus e ao visitarem outras instituições participantes Para isso... Projeto implementa infraestrutura de autenticação distribuída Baseada em servidores e no padrão IEEE 802.1x

13 Números do Eduroam no Mundo Estatísticas da TNC 2011 Terena Network Conference (durante o evento em Praga): 525 participantes 304 eduroamers simultâneos autenticações eduroam bem sucedidas 880 dispositivos distintos

14 Números do Eduroam no Mundo EduroamEuropa: Quase instituições participantes EduroamCanadá: 35 instituições participantes Eduroam-US: 57 instituições participantes E a América Latina? E o Brasil? Eduroam-Asia Pacific: Quase 100 instituições participantes

15 Eduroam-br: Fase 1

16 Projeto Eduroam-br: Fase 1 Objetivo: Desenvolver um piloto do serviço Eduroam em universidades brasileiras Um dos primeiros esforços na América Latina Três universidades participam do piloto com a RNP UFF, UFRJ, UFMS Mais três voluntárias se integram ao piloto UFSC, UNICAMP, UFRGS

17 Equipe Eduroam-br: Fase 1 UFF Profa. Débora Christina Muchaluat Saade - Coordenadora Prof. Célio Vinicius N. de Albuquerque Prof. Luiz C. Schara Magalhães Edelberto F. Silva Otávio F. da C. Roma Esdras Caleb O. Silva Prof. Miguel Elias M. Campista Prof. Luís Henrique M. K. Costa Luiz Felipe M. V. de Moraes Alessandro Martins UFRJ

18 Equipe Eduroam-br: Fase 1 UFMS Profa. Hana K. S. Rubinsztejn Prof. Ronaldo A. Ferreira Brivaldo Júnior Péricles C. M. Lopes Juliano T. Bergamo UFSC Prof. Ricardo Felipe Custódio Hendri Nogueira Guilherme Arthur

19 Equipe Eduroam-br: Fase 1 UNICAMP Ricardo B. da Silva Maurício R. Possari Thiago R. Pereira Rachel de C. Paschoalino Leandro F. Rey Fernando Macedo Caciano Machado Márcio Pohlmman UFRGS

20 Equipe Eduroam-br: Fase 1 RNP Profa. Noemi Rodriguez - PUC-RJ Lourival Neto

21 Funcionamento do Piloto Infraestrutura de implantação do piloto: Servidores de autenticação hierárquicos AAA (authentication, authorization e accounting) Proxy Pontos de Acesso IEEE 802.1X Banco de Dados LDAP

22 +IEEE 802.1X IEEE 802.1X EAPOL Cliente Servidor de acesso à rede (Cliente ) EAP: Extensible Authentication Protocol EAPOL: EAP over LANs EAP no Servidor

23 Estrutura Hierárquica Estrutura de servidores em três níveis: Confederação Federação (país) Instituição Identificação baseada em domínio Ex.:

24 Estrutura Hierárquica 3º Nível Confederação 2º Nível Federação 1º Nível Institucional

25 Infraestrutura do Provedor de Acesso 2º Nível Federação UFF UFRJ 1º Nível Institucional UFF

26 Processo de Autenticação Local 2 Nível Federação º usuario@ufrj.br senha 1º Nível Institucional UFF

27 Processo de Autenticação Remota 2º Nível Federação X usuario@uff.br usuario@uff.br senhasenha 1º Nível Institucional UFF

28 Demo Eduroam-br no WRNP/SBRC 2011.br Federação eduroam UFF.sbrc.br demo SBRC Base LDAP UFF Base LDAP teste.uff.br UFRJ UFMS Base LDAP Base LDAP teste CAFe UFSC Base LDAP CAFe.ufrj.br.ufsc.br.ufms.br UNICAMP Base LDAP CAFe UFRGS Base LDAP teste.unicamp.br.ufrgs.br

29 Demo Eduroam-br no WRNP/SBRC 2011 Domínio sbrc.br 30/05/ /05/2011 Pedidos de autenticação Autenticações com sucesso Usuário ou senha inválida 13 3 Usuários cadastrados* 14 * todos os usuários cadastrados utilizaram o acesso com sucesso

30 Demo Eduroam-br no WRNP/SBRC 2011 Outros domínios 30/05/ /05/2011 Pedidos de autenticação Autenticações com sucesso Usuário ou senha inválida Acessos únicos 8** 7*** ** 4 UFF, 3 UFMS e 1 UFRJ *** 3 UFF, 2 UFMS e 2 UFRJ

31 Interconexão com América Latina e Europa

32 Resultados da Fase 1 Criação de um serviço piloto eduroam Desenvolvido com sucesso em seis universidades brasileiras UFF, UFRJ, UFMS, UFSC, Unicamp e UFRGS Já com contatos na América Latina e Europa Identificação de pontos de aprimoramento Ex.: Redução das vulnerabilidades de segurança do uso do Free como proxy

33 Eduroam-br: Fase 2

34 Projeto Eduroam-br: Fase 2 Aumentar o número de universidades participantes Implementar mecanismos mais seguros de comunicação entre os servidores eduroam-br Armazenar logs de pedidos de autenticação Testar configuração de VLANs nas redes de acesso Melhorar a documentação

35 Equipe Eduroam-br: Fase 2 UFF Profa. Débora Christina Muchaluat Saade - Coordenadora Prof. Célio Vinicius N. de Albuquerque Prof. Luiz C. Schara Magalhães Edelberto F. Silva Esdras Caleb O. Silva UFRJ Prof. Miguel Elias M. Campista Prof. Luís Henrique M. K. Costa Prof. Marcelo Luiz Drumond Lanza Augusto Tundis Ferreira

36 Equipe Eduroam-br: Fase 2 UFMS Profa. Hana K. S. Rubinsztejn Prof. Ronaldo A. Ferreira Brivaldo Júnior Péricles C. M. Lopes Juliano T. Bergamo UFSC Prof. Ricardo Felipe Custódio Hendri Nogueira Guilherme Arthur

37 Equipe Eduroam-br: Fase 2 UNICAMP Ricardo B. da Silva Maurício R. Possari Thiago R. Pereira Rachel de C. Paschoalino Leandro F. Rey Fernando Macedo Caciano Machado Márcio Pohlmman UFRGS UFES Renan Manola

38 Equipe Eduroam-br: Fase 2 RNP Profa. Noemi Rodriguez - PUC-RJ Lourival Neto Parceiros Internacionais Jose Luis Quiroz A. Inictel, Peru José Manuel Macías Rede Íris, Espanha

39 Cenário Atual do Eduroam-br.br Federação eduroam UFF UFES Base LDAP CAFe.ufes.br UFF Base LDAP teste.uff.br UFRJ UFMS Base LDAP Base LDAP teste CAFe UFSC Base LDAP CAFe.ufrj.br.ufsc.br.ufms.br UNICAMP Base LDAP CAFe UFRGS Base LDAP CAFe.unicamp.br.ufrgs.br

40 Objetivo Inicial Aumento da segurança na implementação do serviço Uso do RadSec entre servidores de autenticação Estudo sobre uso de certificados digitais Mas por que o RadSec e os novos certificados?

41 Por que o RadSec? Uso do como proxy da federação Requisição tem vulnerabilidades Nome do usuário, endereço IP etc. em texto claro Algoritmos fracos de criptografia para senhas Chave compartilhada tem poucos bits Uso do protocolo de transporte UDP (User Datagram Protocol) não oferece garantia de entrega limitada o número de requisições de autenticação

42 Por que o RadSec? Utiliza TCP (Transmission Control Protocol) Elimina problema de confiabilidade das requisições Utiliza TLS (Transport Layer Security) Elimina o problema da transmissão em texto claro Utiliza autenticação por certificados digitais validados por entidades certificadoras Elimina o problema da impersonificação tanto do servidor quanto dos clientes

43 Autenticação com RadSec Ca1l3kfsndvasdde Estabelecimento csdkbm sessão TLS sobre TCP senha X 2º Nível Federação 1º Nível Institucional usuario@uff.br senha

44 Atividades em Andamento Inclusão de novas funcionalidades Registros (accounting) dos pedidos de autenticação Configuração dinâmica de VLANs dependendo do usuário Ampliação do serviço em instituições já na CAFe (Comunidade Acadêmica Federada) Previsão de suporte para 10 novas instituições Manutenção de uma lista de s Melhoria na documentação disponível Documentação adicional detalhada Manutenção do site eduroam-br

45 Conecte-se ao Eduroam-br! Projeto eduroam-br Lista eduroam: Eduroam internacional