SlideShare a Scribd company logo
SUOMEN EDUROAM-JUURIPALVELUN
UUDISTUKSET
2023-01-30 Karri Huhtanen (Radiator Software Oy)
Alkutilanne
● Suomen eduroamin ja Funet-WLAN-verkkovierailun juuripalvelimen
konfiguraatiota on kehitetty kokeiluista vuosina 2002-2003 ja vuodesta
2004 lähtien Arch Red Oy:n, nykyisen Radiator Softwaren palveluna
CSC:lle.
● Radiatorin konfiguraatiota on muokattu lähemmäs 19 vuoden aikana,
suurimmat muutokset on tehty rauta- tai virtualisointialustaa vaihtaessa.
● Konfiguraatiossa on aikojen saatossa tuettu useampia yhtäaikaisia
roamausfederaatioita (Funet WLAN-verkkovierailu/eduroam), RadSecia
sekä clienttien että realmien lisäämistä SQL-kannan avulla ilman katkoja.
● (Uusien) ominaisuuksien lisääminen muuttui ajan myötä haastavammaksi
ja tästä syystä sovimme CSC:n kanssa juuripalvelun konfiguraation
uudelleen kirjoittamisesta huomioiden nyky- ja tulevaisuuden tarpeet.
TTKK:n ja CSC tutkimusprojektin
juuripalvelin 2004-02-11
Arch Red Oy:n toteuttama
Radiator-juuripalvelin keväällä 2004
Vuodesta
2004
Eduroam-juuren uusi arkkitehtuuri
radiator@
radsec_outbound
_eduroam
radiator@
radsec_inbound_
eduroam
radiator@
radius_proxy_auth
radiator@
radius_proxy_auth
radiator@
radius_proxy_auth
radiator@
radius_proxy_acct
radiator@
radius_proxy_acct
radiator@
radius_proxy_acct
UDP 1813, 1646
UDP 1812,1645
TCP 2083
Suomen RadSeciä
testaavat organisaatiot
Suomen eduroam
-organisaatiot
Maailman DNS-hakua
ja RadSeciä käyttävät
organisaatiot
Maailman
eduroam-juuret
RADIUS
RADIUS (ei haluttu)
RADSEC
Uudistukset juuren toiminnallisuudessa
● Skaalautuva hajautettu rakenne mahdollistaa suorituskyvyn noston lisäämällä
virtuaalikoneelle prosessoreita, muistia jne. Prosessit voidaan hajauttaa
tarvittaessa vaikka eri virtuaalikoneille ja/tai kontteihin.
● Uusi kanta (sqlite3), realmien käsittely ja rakenne yhdessä mahdollistavat
jatkossa juuripalvelun pystytyksen ja hallinnan esim. Ansiblella
● RadSec (TCP, Radius over TLS, RFC 6614) käytännössä millä tahansa
varmenteilla
● RadSec-palvelinten DNS-etsintä (DNS discovery, DNS roaming)
● RadSecilla suojatut verkkovierailut (roaming) suoraan DNS-etsinnän kautta tai
RadSecilla eduroamin maailman juuripalveluiden kautta. Mahdollisuus
suomalaisten organisaatioiden verkkovierailujen suojaamiseen myös.
● RADIUS Accountingin maadoittaminen: Suomen juuri vastaanottaa ja kuittaa,
mutta ei välitä eteenpäin.
Uudistukset juureen liittyneille
● Uusi rakenne mahdollistaa helpomman organisaatiokohtaisen mukautuksen:
○ Organisaation RADIUS-palvelinten tilan tarkastus onnistuu sekä RADIUS Status-Server-
että RADIUS Access Request -pyynnöillä
○ Juuri pystyy hajauttamaan organisaation suuntaan tulevat pyynnöt organisaation kaikille
RADIUS-palvelimille (hashbalance)
○ RadSec voidaan ottaa käyttöön organisaatioilla sitä mukaa kuin kyvykkyyttä löytyy
● Staattisia RadSec-yhteyksiä voidaan kokeilla ja ottaa käyttöön heti kun saadaan
sovittua varmenteiden käytöstä – juuri tukee useamman CA:n käyttöä
● Organisaatio voi ottaa kokeiluun ja käyttöönsä myös juuren kautta tapahtuvan
dynaamisen RadSec-verkkovierailun lisäämällä tarvittavat DNS-tietueet (NAPTR,
SRV) omaan nimipalveluunsa.
Kiitoksia. Kysymyksiä?

More Related Content

More from Karri Huhtanen

Disobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and Privacy
Disobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and PrivacyDisobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and Privacy
Disobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and Privacy
Karri Huhtanen
 
Wi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and PrivacyWi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and Privacy
Karri Huhtanen
 
OpenRoaming and CapPort
OpenRoaming and CapPortOpenRoaming and CapPort
OpenRoaming and CapPort
Karri Huhtanen
 
Adding OpenRoaming to existing IdP and roaming federation service
Adding OpenRoaming to existing IdP and roaming federation serviceAdding OpenRoaming to existing IdP and roaming federation service
Adding OpenRoaming to existing IdP and roaming federation service
Karri Huhtanen
 
OpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllOpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for All
Karri Huhtanen
 
Beyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoaming
Beyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoamingBeyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoaming
Beyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoaming
Karri Huhtanen
 
Routing host certificates in eduroam/govroam
Routing host certificates in eduroam/govroamRouting host certificates in eduroam/govroam
Routing host certificates in eduroam/govroam
Karri Huhtanen
 
Cooperative labs, testbeds and networks
Cooperative labs, testbeds and networksCooperative labs, testbeds and networks
Cooperative labs, testbeds and networks
Karri Huhtanen
 
Privacy and traceability in Wi-Fi networks
Privacy and traceability in Wi-Fi networksPrivacy and traceability in Wi-Fi networks
Privacy and traceability in Wi-Fi networks
Karri Huhtanen
 
EAP-TLS (extended version)
EAP-TLS (extended version)EAP-TLS (extended version)
EAP-TLS (extended version)
Karri Huhtanen
 
EAP-TLS
EAP-TLSEAP-TLS
Security issues in RADIUS based Wi-Fi AAA
Security issues in RADIUS based Wi-Fi AAASecurity issues in RADIUS based Wi-Fi AAA
Security issues in RADIUS based Wi-Fi AAA
Karri Huhtanen
 
TLS and Certificates
TLS and CertificatesTLS and Certificates
TLS and Certificates
Karri Huhtanen
 
What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?
Karri Huhtanen
 
What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?
Karri Huhtanen
 
Building secure, privacy aware, quality Wi-Fi coverage via cooperation
Building secure, privacy aware, quality Wi-Fi coverage via cooperationBuilding secure, privacy aware, quality Wi-Fi coverage via cooperation
Building secure, privacy aware, quality Wi-Fi coverage via cooperation
Karri Huhtanen
 
Connecting the Dots: Integrating RADIUS to Network Measurement and Monitoring
Connecting the Dots: Integrating RADIUS to Network Measurement and MonitoringConnecting the Dots: Integrating RADIUS to Network Measurement and Monitoring
Connecting the Dots: Integrating RADIUS to Network Measurement and Monitoring
Karri Huhtanen
 
Building city and nationwide Wi-Fi coverage via cooperation
Building city and nationwide Wi-Fi coverage via cooperationBuilding city and nationwide Wi-Fi coverage via cooperation
Building city and nationwide Wi-Fi coverage via cooperation
Karri Huhtanen
 
eduroam diagnostics in NTLR, IdPs and SPs
eduroam diagnostics in NTLR, IdPs and SPseduroam diagnostics in NTLR, IdPs and SPs
eduroam diagnostics in NTLR, IdPs and SPs
Karri Huhtanen
 
Using NoSQL databases to store RADIUS and Syslog data
Using NoSQL databases to store RADIUS and Syslog dataUsing NoSQL databases to store RADIUS and Syslog data
Using NoSQL databases to store RADIUS and Syslog data
Karri Huhtanen
 

More from Karri Huhtanen (20)

Disobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and Privacy
Disobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and PrivacyDisobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and Privacy
Disobey 2024: Karri Huhtanen: Wi-Fi Roaming Security and Privacy
 
Wi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and PrivacyWi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and Privacy
 
OpenRoaming and CapPort
OpenRoaming and CapPortOpenRoaming and CapPort
OpenRoaming and CapPort
 
Adding OpenRoaming to existing IdP and roaming federation service
Adding OpenRoaming to existing IdP and roaming federation serviceAdding OpenRoaming to existing IdP and roaming federation service
Adding OpenRoaming to existing IdP and roaming federation service
 
OpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for AllOpenRoaming -- Wi-Fi Roaming for All
OpenRoaming -- Wi-Fi Roaming for All
 
Beyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoaming
Beyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoamingBeyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoaming
Beyond eduroam: Combining eduroam, (5G) SIM authentication and OpenRoaming
 
Routing host certificates in eduroam/govroam
Routing host certificates in eduroam/govroamRouting host certificates in eduroam/govroam
Routing host certificates in eduroam/govroam
 
Cooperative labs, testbeds and networks
Cooperative labs, testbeds and networksCooperative labs, testbeds and networks
Cooperative labs, testbeds and networks
 
Privacy and traceability in Wi-Fi networks
Privacy and traceability in Wi-Fi networksPrivacy and traceability in Wi-Fi networks
Privacy and traceability in Wi-Fi networks
 
EAP-TLS (extended version)
EAP-TLS (extended version)EAP-TLS (extended version)
EAP-TLS (extended version)
 
EAP-TLS
EAP-TLSEAP-TLS
EAP-TLS
 
Security issues in RADIUS based Wi-Fi AAA
Security issues in RADIUS based Wi-Fi AAASecurity issues in RADIUS based Wi-Fi AAA
Security issues in RADIUS based Wi-Fi AAA
 
TLS and Certificates
TLS and CertificatesTLS and Certificates
TLS and Certificates
 
What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?
 
What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?What is Network Function Virtualisation (NFV)?
What is Network Function Virtualisation (NFV)?
 
Building secure, privacy aware, quality Wi-Fi coverage via cooperation
Building secure, privacy aware, quality Wi-Fi coverage via cooperationBuilding secure, privacy aware, quality Wi-Fi coverage via cooperation
Building secure, privacy aware, quality Wi-Fi coverage via cooperation
 
Connecting the Dots: Integrating RADIUS to Network Measurement and Monitoring
Connecting the Dots: Integrating RADIUS to Network Measurement and MonitoringConnecting the Dots: Integrating RADIUS to Network Measurement and Monitoring
Connecting the Dots: Integrating RADIUS to Network Measurement and Monitoring
 
Building city and nationwide Wi-Fi coverage via cooperation
Building city and nationwide Wi-Fi coverage via cooperationBuilding city and nationwide Wi-Fi coverage via cooperation
Building city and nationwide Wi-Fi coverage via cooperation
 
eduroam diagnostics in NTLR, IdPs and SPs
eduroam diagnostics in NTLR, IdPs and SPseduroam diagnostics in NTLR, IdPs and SPs
eduroam diagnostics in NTLR, IdPs and SPs
 
Using NoSQL databases to store RADIUS and Syslog data
Using NoSQL databases to store RADIUS and Syslog dataUsing NoSQL databases to store RADIUS and Syslog data
Using NoSQL databases to store RADIUS and Syslog data
 

Suomen eduroam-juuripalvelun uudistukset

  • 2. Alkutilanne ● Suomen eduroamin ja Funet-WLAN-verkkovierailun juuripalvelimen konfiguraatiota on kehitetty kokeiluista vuosina 2002-2003 ja vuodesta 2004 lähtien Arch Red Oy:n, nykyisen Radiator Softwaren palveluna CSC:lle. ● Radiatorin konfiguraatiota on muokattu lähemmäs 19 vuoden aikana, suurimmat muutokset on tehty rauta- tai virtualisointialustaa vaihtaessa. ● Konfiguraatiossa on aikojen saatossa tuettu useampia yhtäaikaisia roamausfederaatioita (Funet WLAN-verkkovierailu/eduroam), RadSecia sekä clienttien että realmien lisäämistä SQL-kannan avulla ilman katkoja. ● (Uusien) ominaisuuksien lisääminen muuttui ajan myötä haastavammaksi ja tästä syystä sovimme CSC:n kanssa juuripalvelun konfiguraation uudelleen kirjoittamisesta huomioiden nyky- ja tulevaisuuden tarpeet.
  • 3. TTKK:n ja CSC tutkimusprojektin juuripalvelin 2004-02-11 Arch Red Oy:n toteuttama Radiator-juuripalvelin keväällä 2004 Vuodesta 2004
  • 4. Eduroam-juuren uusi arkkitehtuuri radiator@ radsec_outbound _eduroam radiator@ radsec_inbound_ eduroam radiator@ radius_proxy_auth radiator@ radius_proxy_auth radiator@ radius_proxy_auth radiator@ radius_proxy_acct radiator@ radius_proxy_acct radiator@ radius_proxy_acct UDP 1813, 1646 UDP 1812,1645 TCP 2083 Suomen RadSeciä testaavat organisaatiot Suomen eduroam -organisaatiot Maailman DNS-hakua ja RadSeciä käyttävät organisaatiot Maailman eduroam-juuret RADIUS RADIUS (ei haluttu) RADSEC
  • 5. Uudistukset juuren toiminnallisuudessa ● Skaalautuva hajautettu rakenne mahdollistaa suorituskyvyn noston lisäämällä virtuaalikoneelle prosessoreita, muistia jne. Prosessit voidaan hajauttaa tarvittaessa vaikka eri virtuaalikoneille ja/tai kontteihin. ● Uusi kanta (sqlite3), realmien käsittely ja rakenne yhdessä mahdollistavat jatkossa juuripalvelun pystytyksen ja hallinnan esim. Ansiblella ● RadSec (TCP, Radius over TLS, RFC 6614) käytännössä millä tahansa varmenteilla ● RadSec-palvelinten DNS-etsintä (DNS discovery, DNS roaming) ● RadSecilla suojatut verkkovierailut (roaming) suoraan DNS-etsinnän kautta tai RadSecilla eduroamin maailman juuripalveluiden kautta. Mahdollisuus suomalaisten organisaatioiden verkkovierailujen suojaamiseen myös. ● RADIUS Accountingin maadoittaminen: Suomen juuri vastaanottaa ja kuittaa, mutta ei välitä eteenpäin.
  • 6. Uudistukset juureen liittyneille ● Uusi rakenne mahdollistaa helpomman organisaatiokohtaisen mukautuksen: ○ Organisaation RADIUS-palvelinten tilan tarkastus onnistuu sekä RADIUS Status-Server- että RADIUS Access Request -pyynnöillä ○ Juuri pystyy hajauttamaan organisaation suuntaan tulevat pyynnöt organisaation kaikille RADIUS-palvelimille (hashbalance) ○ RadSec voidaan ottaa käyttöön organisaatioilla sitä mukaa kuin kyvykkyyttä löytyy ● Staattisia RadSec-yhteyksiä voidaan kokeilla ja ottaa käyttöön heti kun saadaan sovittua varmenteiden käytöstä – juuri tukee useamman CA:n käyttöä ● Organisaatio voi ottaa kokeiluun ja käyttöönsä myös juuren kautta tapahtuvan dynaamisen RadSec-verkkovierailun lisäämällä tarvittavat DNS-tietueet (NAPTR, SRV) omaan nimipalveluunsa.