Trådløssamling København 18.9.15 Tom Myren, UNINETT
Agenda 09:00 10:15 Nye nettverksleverandører info fra innkjøp Leverandørene presenterer seg Kaffe 10:45 12:00 NAT løsning NTNU (Kyrre) Passiv helsesjekk (Anders) Info fra UNINETT (Gjestenett, eduroam, IdP, CAT, WiFi prober ) Lunsj 12:30 14:00 Landet rundt / tilbakemeldinger Annet eduroam flyplasser, nytt fra SUNET (Anders): 7signal, LTE unlicenced band, Radius/TLS 2015.09.09 2
Nye rammeavtaler for nettverksutstyr Konkurranse utlyst 30. januar Kontrakter signert 25. juni Gjelder fra 30. juni 2015 for 2 år, kan forlenges 1+1+1 år 4 leverandører Datametrix (Produsent kablet: Cisco, Produsent trådløst: Cisco) Intelecom (produsent kablet: Cisco, Produsent trådløst: Aruba) Evry (Produsent kablet: HP, Produsent trådløst: HP) nlogic (Produsent kablet: Juniper, Produsent trådløst: Meru) Å handle på «gammelavtalen» er ikke mulig, da den ikke gjelder lenger 3
Hvordan bruke avtalene 2 kategorier: kablet og trådløst Kan velge å kjøre minikonkurranser samlet eller delt: Kablet og trådløst samlet i en konkurranse Valg av beste samlede tilbud Valg av beste tilbud i hver kategori Kun kablet i en konkurranse Evt. kun kjerneswitch i en konkurranse Evt. kun kantswitcher i en konkurranse Kun trådløst i en konkurranse 4
Hvordan bruke avtalene https://www.uninett.no/nettverksutstyr Der finner du: Mal for konkurransedokument Mal for kravspesifikasjon «Rammer for minikonkurranse» https://www.uninett.no/sites/drupal.uninett.no.uninett/files/rammer%20for%20minikonkurranse. pdf 5
«Rammer for minikonkurranse» Et dokument alle må lese Beskriver mulighetene man har i minikonkurranser Snakk med UNINETT (innkjop@uninett.no) Kvalitetssikring, diskusjoner, innspill, råd Både før, under og etter konkurranse 6
Leverandørene presenterer seg Info om eget firma, support, kontakt informasjon etc Litt om trådløst utstyr i avtalen Datametrix (Cisco) Eskil Skoglund, Erik Midthun Evry (HP) Thomas Hoff, Carl Petter Omberg Tørnqvist (HP) Intelecom (Aruba) Rolf Fossbakk nlogic (Meru) Jacob Fehn 2015.10.12 7
Gjestenett 13 deltagere, økt bruk og litt forskjeller i bruk SMS er levert 15, 7 og 38000 for hhv juni, juli og august Bruker over 5000 policy manager lisenser og over 1000 gjeste lisenser Lagt til mulighet for å registrere enheter statisk. https://guestportal.uninett.no https://guestportal.uninett.no/tips/ Bør vi endre påloggings rutine for brukere? Nå kommer bruker til registrering Endre til pålogging? Eller først info til eduroam brukere? Vurdere brukerbetalt SMS? 2015.10.12 8
CP Guest Devices Legge til MAC Beskrivelse / navn Airgroup brukes for Aruba controller til å begrense mdns tjenester 2015.10.12 9
Endre pålogging? https://guestportal.uninett.no/guest/hint.php https://guestportal.uninett.no/guest/hint_login.php 2015.10.12 10
19. desember 2013 11
CP - Insight 2015.10.12 12
2015.10.12 13
eduroam i tall 60.no realms 406 lokasjoner registrert SE 922, FI 303, DK - 220 LaaS og monitor.eduroam.org 2015.10.12 14
Fra LaaS siste 30 dager (til 10.9) 19. desember 2013 15
Laas fortsatt 19. desember 2013 16
F-ticks fra monitor.eduroam.org 19. desember 2013 17
eduroam.no Anbefaler bruk av edudbg! Den er mye raskere CAT profiler kan hentes fra https://eduroam.no/connect/ når: Pre-auth ACL for gjeste SSID Prod klar CAT profil og idp# i UNINETT kunde DB (kind) Oppdatering av info: https://eduroam.no/edumanage/ Sjekke status: https://eduroam.no/realmstatus/ Sikkerhetsutfordringer Nasjonal IdP? 2015.10.12 18
eduroam sikkerhet ACM WiSec konferanse 2015: A practical investigation of identity theft vulnerabilities in eduroam https://web.syssec.ruhr-uni-bochum.de/eduroam/ Over halvparten av enheter var sårbare Tiltak: 1. Korrekt klient konfig (CA installert og server sertifikat blir validert) 2. Aktiver CN sjekk 3. Eksklusiv CA infrastruktur 2015.10.12 19
Nasjonal IdP Et realm som for eksempel @<inst>.eduroam.no Student oppgave NTNU Feasibility study of national eduroam IdP based on EAP-TLS Enheter som kan/ikke kan bruke klient sertifikat Kode / dokumentasjon for å generere trådløs profiler Forslag til infrastruktur, Radius + CA 2015.10.12 20
CAT V 1.1 kom i mai. Android 4.3+ støttet via eduroamcat app HS 2.0 / Passpoint Ikke lenger XP støtte, og Win7/Vista ikke støtte for TTLS https://wiki.geant.org/pages/viewpage.action?pageid=38896414 V 1.1.1 ventes i disse dager Introduserer Win7/Vista TTLS støtte E-post liste https://mail.geant.net/mailman/listinfo/cat-users 50% av norske realm har aktivert profil 2015.10.12 21
Admin interface 2015.10.12 22
Admin interface Merk: IDP nr må registreres i kind for synlighet på eduroam.no/connect 2015.10.12 23
Landet rundt Hva er fokus framover? Hvilke utfordringer? Noe som er nyttig å dele? 12. October 2015 24
TLS 1.2 og krav til RADIUS TLS 1.2 i nye OS utgaver kan kreve oppgradering av RADIUS. Gjelder nye klienter: IOS9 og OSX El Capitan Android og Linux (wpa_supplicant 2.4) RADIUS tjenere Freeradius2 oppgrader til 2.2.9 (FR2 < 2.2.6 støtter ikke TLS 1.2, men kan ha andre defekter) Freeradius3 oppgrader til 3.0.9 (FR3 < 3.0.6 støtter ikke TLS 1.2) Microsoft NPS OK (har TLS 1.2 støtte via TlsVersion register setting) ISE 1.2 (ukjent) Clearpass oppgrader til min v6.5.2 (Har opsjon for enable/disable TLS 1.2) RADIATOR oppgrader til 4.15 (Net::SSLeay 1.70) Kilder https://community.jisc.ac.uk/groups/eduroam/article/tls-12-and-updated-radius-requirements https://community.aerohive.com/aerohive/topics/802-1x-compatibility-issue-with-freeradius-and-radiator-with-forthcoming-ios-9-and-os-x-elcapitan 2015.10.12 25
TLS 1.2 detaljer Deployment with WPA2-Enterprise/802.1X SSIDs backed by either FreeRADIUS 2.2.6, or Radiator 4.14 or later when used in conjunction with Net::SSLeay 1.52 or earlier. These unfortunately experience a critical bug where they miscalculate session keying material, the MPPE keys, when the TLS 1.2 protocol is negotiated by EAP clients (supplicant). The upcoming ios 9 and OS X El Capitan will not be able to get a usable association to affected wireless network because they negotiate with the TLS 1.2 protocol version in the TLS Client Hello. ios 9 16 th September, OSX 30 th September. Many users will update 'immediately. Two MPPE keys, the MS-MPPE-Recv-Key (MasterReceiveKey) and MS-MPPE-Send-Key (MasterSendKey), are used to derive the Master Session Key (MSK). This is absolutely essential to get a usable association. The mismatch occurs because the client derives the correct MSK and the AP derives a different, incorrect MSK due to the incorrectly calculated MPPE keys supplied in the RADIUS Access-Accept. This is likely to affect larger communities such as Universities. This is an acute issue, as Red Hat ship with a broken FreeRADIUS 2.2.6 package in RHEL 6.7 CentOS 6.7 is similarly affected as it derives from Red Hat's sources. 12. October 2015 26
Lagt til etter workshop Sikkerhetskrav i ios9 og El Capitan https://support.apple.com/en-us/ht205020 19. desember 2013 27
Status trådløs prober Ny ansvarlig Arne Øslebø Jobber med å få prosjektet inn i GN4 SA3 T1 Finansiering / forankring Spørsmål eller forslag kontakt Arne. Merk inaktive prober fjernes fra Zabbix etter 6 mnd 2015.10.12 28
Foreslått utvikling trådløs prober Pilot var fokusert på hva som er mulig å måle, ikke hvordan.. Utvide måleparametre Målinger pr frekvens bånd Separat monitorering for hver 802.11 standard Applikasjonsmålinger for eksempel SIP Bedre kontroll over prober Mulighet for kontroll/måling pr probe Forskjellige målinger i forskjellige intervaller Global kontroll på når målinger skal kjøres (pr nå kjøres måling når proben slås på) Foreslår bruk av kontroll protokoll for kjøring av tester og henting av resultater, IETF LMAP. Bytte monitorering Zabbix var lett tilgjengelig, men fokus på system monitorering og GUI ikke veldig intuitivt Et dedikert grafing GUI som Grafana foreslås som et bedre valg 2015.10.12 29
eduroam på flyplasser Har bidratt til større interesse Håper flere land kommer etter Ikke lenger mange tilbakemeldinger Hvordan oppleves det? 19. desember 2013 30
60000 eduroam bruk på flyplasser 50000 Unike MAC / Brukere fra 1.10 40000 30000 20000 TRD BGO OSL Total 10000 0 2014.02 2014.03 2014.04 2014.05 2014.06 2014.07 2014.08 2014.09 2014.10 2014.11 2014.12 2015.01 2015.02 2015.03 2015.04 2015.05 2015.06 2015.07 2015.08 19. desember 2013 31
Eventuelt SUNET 7 Signal prober? LTE og unlicenced band? WLPC konferanser kan anbefales http://berlin2015.wlanprosconference.com/ 2015.10.12 32
2015.10.12 33