CZFree Wiki - Příspěvky uživatele [cs]

Diskuse s uživatelem:Jakubl

2009-09-21T19:28:17Z

Kuuba: Nová stránka: =Kontakt= *Jabber: jakubl@jabber.cz *ICQ: 273934205 *mobil: +420 777 67 00 55 =Životopis= *2005-2009: SPŠE Ječná *2009-?(snad 2014) - FIT ČVUT *Zaměstnání: ** Na vlastní noz...

=Kontakt=
*Jabber: jakubl@jabber.cz
*ICQ: 273934205
*mobil: +420 777 67 00 55
=Životopis=
*2005-2009: SPŠE Ječná
*2009-?(snad 2014) - FIT ČVUT
*Zaměstnání:
** Na vlastní noze :)
=Osobní info=
*Koníčky:
**Ferda Mravenec, práce všeho druhu (půjčeno od Dulika :)

CZFROAM

2009-09-21T19:24:17Z

Kuuba: /* Garanti projektu */

=Management summary=
CZFROAM je projekt jednotné Autentizační a Autorizační Infrastruktury (AAI) pro CZFree sítě.
Je inspirován projekty Eduroam a Edugain, které umožňují studentům používat zdarma počítačové sítě a aplikace vzdělávacích institucí po celé Evropě.

Co tento projekt přináší zapojeným sítím:
*možnost připojit se k plnohodnotnému rychlému internetu '''kdekoli''' v rámci vlastní sítě a také kdekoli v rámci sítí dalších sdružení, zapojených do projektu. Zapojená sdružení tím pro své členy získají výhodu rychlého připojení s roamingem, kterou v ČR poskytují pouze mobilní operátoři (TMobile/O2/Vodafone a jejich 3G zatím jen ve velkých městech, Ufon i v menších), ostatní operátoři (poskytovatelé ADSL/kabelovek/bezdrátů) nic podobného nemají.
*silné zabezpečení vlastních wifi sítí s centralizovanou správou oprávnění k použití sítě a jejích aplikací

=Garanti projektu=
*[http://www.unart.cz O. s. UnArt]
**zástupce: [[user:Dulik|Dulik]]
**schválení účasti v projektu Správní radou: ([http://vyuka.slfree.net/mod/forum/discuss.php?d=701 v řešení])
*[http://www.jmnet.cz O. s. JM-Net]
**zástupce: [[user:Jakubl|Jakubl]]
**schválení účasti v projektu Správní radou: schváleno

=Základní požadavky na celý systém=
*sdružení s peeringem do CZF a internetem budou moct používat czfroam - budou přímo lidi autentizovat pomoci radiusu.
*sdružení s peeringem pouze do CZF budou moct používat czfroam.czf, - budou přímo lidi autentizovat pomoci radiusu.
*Sdružení, které nebude roamovat přímo pomocí radiusu (např. má problém s virtual AP - viz P12, bude moct použít autentizaci přes web (tam je essid jedno). Tj. bude autentizovat vzdálene uživatele pomocí webu - [[#CZFROAM-simple|czfroam(.czf)-simple]] či jakýkoli jiný essid.
*Poté tu máme síť, která přímo nepatří pod CZF ale chce CZFRoamu nabídnout např. internet (když se nám podaří třeba dohodnout s nějakým úřadem apod) czfroam.nonczf
*Nakonec, pokud projekt dozraje se k nám můžou přidat i zahraniční sítě, tam bych nechal pravidla celkem otevřená a byla by dle dohody se skupinami.

Uživatelské třídy se dají řešit také. Vrámci radiusu můžeme udělat tzv. skupiny ID:

* id 1 - řádní členové
* id 2 - czf only
* id 3 - nonczf sítě
* id 4 - zahraniční CZF-like sítě

To pokud jsem správně pochopil se dělá dle vlanů na radiusu (jsi skupina 1? Letiš do Vlanu id ..., skupina 2? Letiš tam a tam..)

Každý subjekt si bude moct vybrat jak koho bude priorizovat, může například i členy jednotlivých sítí odmítat. Může i například vybrat, že VIP bude moct na internet, členové nikoliv. Nonczf sítě budou moct třeba jen do CZFree a pokud budou dosti šikovní, udělají si nějakou rouru do CZFree kde budou mít možnost svůj provoz směrovat přes VPN.

Jelikož žijeme ve svobodné síti, měli by si všechny subjekty peeringy mezi sebou dohadovat. Tj. princip NIX-u - může vstoupit kdokoli, ale svoje kamarády si musí sehnat. A to jakým způsobem uzná za vhodné.

Každý subjekt by si mohl zvolit, zda-li bude mít open peering nebo closed. Open by znamenal, že se bude moct přímo připojit na hlavní radius server, na kterém budou ostatní otevřené sítě a bude tak moct ihned s nimi peerovat bez jakékoli dohody (pokud budou dva subjekty v nepohodě vrámci jedné oblasti, můžou ve vyjímečných případech peering mezi sebou odmítat - jednoduché zabanování realmu v radiusu). V případě closed policy si holt bude muset každého peera nasmlouvat

Bylo by také možné, že se seskupí pár subjektů, které si založí vlastni peering skupinu a do ní budou moci přijímat členy dle svých pravidel, které si ve skupině zvolí. Bude možné i propojovat více skupin dohromady (logicky budou muset mít vlastní radius server).

Napadá mě ještě, že czfroam by byl jakoby samostatný subjekt (něco podobného jako NFX). Pak by každý subjekt, který je czfroamu členem, musel platit nějaký symbolický měsíční příspevek .

Bude také možné, že nějake sdružení si dohodne s jiným sdružením možnost přístupu na net pro svoje členy (výměnou). Poté pořád budou muset mit czfroam.czf

Ještě doplnění - vrámci skupin bude možné třeba i pořídit internetovou konektivitu dohromady (každý člen zaplatí nějaký díl) a případně se o to dělit..

=Zabezpečení=

==Certifikáty==
Certifikáty jsou potřeba jak pro [[#CZFROAM-simple|CZFROAM-simple]], tak pro [[#WPA2|WPA2]].

[http://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html Free certifikáty] bohužel nejsou vydávány CA uznávanými všemi web prohlížeči.

CESNET (nejen) pro Eduroam používá certifikáty [http://www.cesnet.cz/pki/cs/st-guide-gs.html SureServerEDU] společnosti GlobalSign, které mají členové CESNETu "zdarma". Cenu certifikátů SureServerEDU se mi bohužel nepodařilo vypátrat, ale něco takového (projekt "společný nákup certifikátů" od nějaké velké autority, defaultně instalované ve všech prohlížečích), bychom mohli spáchat i pod křídly NFX. Je potřeba ale zjistit cenové podmínky a dle nich nadefinovat, za jakých podmínek se budou certifikáty členům NFX poskytovat.

==WPA2==
(doplnit)
===Nastavení Linux AP===
===Nastavení Mikrotik AP===

Nejdříve nastavíme radius:

Položka v menu: radius
+
Service (dle sítě, při Wi-Fi wireless)
Address: adresa radius serveru
Secret: heslo
Auth. port: obvykle 1812
Accounting Port: 1813
Timeout: 10 000 ms
Zapamatovat ID (dle # v listu)

Wireless ->

záložka security profiles
+
Name: eduroam
Mode: dynamic keys
Authentification types: zaškrtnout pouze WPA EAP a WPA2 EAP
Unicast Ciphers: tkip a aes ccm zaškrtnout
Group Ciphers: tkip a aes ccm zaškrtnout
Supplicant Identify: {ID} DLE # V LISTU

Záložka RADIUS
MAC Mode: as username as password

záložka interfaces -> + virtual AP

Záložka wireless

SSID: eduroam
Master interface: 2,4 ci 5 GHz sektor/všesměr
Security Profile: eduroam

Hotovo :) a ještě pak ip adresy apod., ale to je na Vás.

==CZFROAM-simple==
Pro AP, která neumožňují virtuální SSID popř. nemají dostatečnou implementaci WPA2.
Pro zamezení útoků phishing/pharming lze při webovém přihlašování použít:
#InfoCards popř. InfoCards + OpenID
#One-Time-Password kalkulátor (implementace pro mobilní telefon)

=Právní a organizační náležitosti (dohody, smlouvy...)=

Eduroam má toto vše pěkně definováno v dokumentu "[http://www.eduroam.cz/doku.php?id=cs:roamingova_politika Roamingová politika]".

CZFROAM

2009-09-18T16:51:14Z

Kuuba: /* Nastavení Mikrotik AP */

=Úvod=
CZFROAM je projekt jednotné Autentizační a Autorizační Infrastruktury (AAI) pro CZFree sítě.
Je inspirován projekty Eduroam a Edugain, které umožňují studentům používat zdarma počítačové sítě a aplikace vzdělávacích institucí po celé Evropě.

=Základní požadavky na celý systém=
*sdružení s peeringem do CZF a internetem budou moct používat czfroam - budou přímo lidi autentizovat pomoci radiusu.
*sdružení s peeringem pouze do CZF budou moct používat czfroam.czf, - budou přímo lidi autentizovat pomoci radiusu.
*Sdružení, které nebude roamovat přímo pomocí radiusu (např. má problém s virtual AP - viz P12, bude moct použít autentizaci přes web (tam je essid jedno). Tj. bude autentizovat vzdálene uživatele pomocí webu - [[#CZFROAM-simple|czfroam(.czf)-simple]] či jakýkoli jiný essid.
*Poté tu máme síť, která přímo nepatří pod CZF ale chce CZFRoamu nabídnout např. internet (když se nám podaří třeba dohodnout s nějakým úřadem apod) czfroam.nonczf
*Nakonec, pokud projekt dozraje se k nám můžou přidat i zahraniční sítě, tam bych nechal pravidla celkem otevřená a byla by dle dohody se skupinami.

Uživatelské třídy se dají řešit také. Vrámci radiusu můžeme udělat tzv. skupiny ID:

* id 1 - řádní členové
* id 2 - czf only
* id 3 - nonczf sítě
* id 4 - zahraniční CZF-like sítě

To pokud jsem správně pochopil se dělá dle vlanů na radiusu (jsi skupina 1? Letiš do Vlanu id ..., skupina 2? Letiš tam a tam..)

Každý subjekt si bude moct vybrat jak koho bude priorizovat, může například i členy jednotlivých sítí odmítat. Může i například vybrat, že VIP bude moct na internet, členové nikoliv. Nonczf sítě budou moct třeba jen do CZFree a pokud budou dosti šikovní, udělají si nějakou rouru do CZFree kde budou mít možnost svůj provoz směrovat přes VPN.

Jelikož žijeme ve svobodné síti, měli by si všechny subjekty peeringy mezi sebou dohadovat. Tj. princip NIX-u - může vstoupit kdokoli, ale svoje kamarády si musí sehnat. A to jakým způsobem uzná za vhodné.

Každý subjekt by si mohl zvolit, zda-li bude mít open peering nebo closed. Open by znamenal, že se bude moct přímo připojit na hlavní radius server, na kterém budou ostatní otevřené sítě a bude tak moct ihned s nimi peerovat bez jakékoli dohody (pokud budou dva subjekty v nepohodě vrámci jedné oblasti, můžou ve vyjímečných případech peering mezi sebou odmítat - jednoduché zabanování realmu v radiusu). V případě closed policy si holt bude muset každého peera nasmlouvat

Bylo by také možné, že se seskupí pár subjektů, které si založí vlastni peering skupinu a do ní budou moci přijímat členy dle svých pravidel, které si ve skupině zvolí. Bude možné i propojovat více skupin dohromady (logicky budou muset mít vlastní radius server).

Napadá mě ještě, že czfroam by byl jakoby samostatný subjekt (něco podobného jako NFX). Pak by každý subjekt, který je czfroamu členem, musel platit nějaký symbolický měsíční příspevek .

Bude také možné, že nějake sdružení si dohodne s jiným sdružením možnost přístupu na net pro svoje členy (výměnou). Poté pořád budou muset mit czfroam.czf

Ještě doplnění - vrámci skupin bude možné třeba i pořídit internetovou konektivitu dohromady (každý člen zaplatí nějaký díl) a případně se o to dělit..

=Zabezpečení=

==Certifikáty==
Certifikáty jsou potřeba jak pro [[#CZFROAM-simple|CZFROAM-simple]], tak pro [[#WPA2|WPA2]].

[http://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html Free certifikáty] bohužel nejsou vydávány CA uznávanými všemi web prohlížeči.

CESNET (nejen) pro Eduroam používá certifikáty [http://www.cesnet.cz/pki/cs/st-guide-gs.html SureServerEDU] společnosti GlobalSign, které mají členové CESNETu "zdarma". Cenu certifikátů SureServerEDU se mi bohužel nepodařilo vypátrat, ale něco takového (projekt "společný nákup certifikátů" od nějaké velké autority, defaultně instalované ve všech prohlížečích), bychom mohli spáchat i pod křídly NFX. Je potřeba ale zjistit cenové podmínky a dle nich nadefinovat, za jakých podmínek se budou certifikáty členům NFX poskytovat.

==WPA2==
(doplnit)
===Nastavení Linux AP===
===Nastavení Mikrotik AP===

Nejdříve nastavíme radius:

Položka v menu: radius
+
Service (dle sítě, při Wi-Fi wireless)
Address: adresa radius serveru
Secret: heslo
Auth. port: obvykle 1812
Accounting Port: 1813
Timeout: 10 000 ms
Zapamatovat ID (dle # v listu)

Wireless ->

záložka security profiles
+
Name: eduroam
Mode: dynamic keys
Authentification types: zaškrtnout pouze WPA EAP a WPA2 EAP
Unicast Ciphers: tkip a aes ccm zaškrtnout
Group Ciphers: tkip a aes ccm zaškrtnout
Supplicant Identify: {ID} DLE # V LISTU

Záložka RADIUS
MAC Mode: as username as password

záložka interfaces -> + virtual AP

Záložka wireless

SSID: eduroam
Master interface: 2,4 ci 5 GHz sektor/všesměr
Security Profile: eduroam

Hotovo :) a ještě pak ip adresy apod., ale to je na Vás.

==CZFROAM-simple==
Pro AP, která neumožňují virtuální SSID popř. nemají dostatečnou implementaci WPA2.
Pro zamezení útoků phishing/pharming lze při webovém přihlašování použít:
#InfoCards popř. InfoCards + OpenID
#One-Time-Password kalkulátor (implementace pro mobilní telefon)

=Právní a organizační náležitosti (dohody, smlouvy...)=

Eduroam má toto vše pěkně definováno v dokumentu "[http://www.eduroam.cz/doku.php?id=cs:roamingova_politika Roamingová politika]".