Tüm Üniversitede Tek Kablosuz Ağ
İlker ULAŞ
Pamukkale Üniversitesi Bilgi İşlem Daire Başkanlığı
V. ULAKNET Çalıştay ve Eğitimi Karadeniz Teknik Üniversitesi/Trabzon
15-18 Mayıs 2011
eduroam NEDİR ?
• EDUcation ROAMing
• TERENA (Trans-European Research and Education Networking Association) kayıtlı markası
• ULAKBİM, Türkiye ulusal eduroam servisinden sorumlu servis sağlayıcı
• Amacı eduroam üyesi kurumların kullanıcılarının diğer eğitim kurumlarında da sorunsuzca ağ
kullanımını sağlamak
• Ticari değil
• Sloganı “Open your laptop and be online.”
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
eduroam ÖNCESİ
• 2009 yılına kadar sadece öğrenci kantinlerinde 6 adet Access Point’ten oluşan kablosuz ağ
• Ağa bağlanmak için kimlik denetimi yok
• Bağlantıların loglanması için LDAP üzerinden yetkilendirme yapan proxy sunucusu kullanıldı
• Kullanıcıların browser’larında proxy ayarı yapma zorunluluğu
• Proxy ayarlarının nasıl yapılacağı ile ilgili kantinlere
bilgilendirme metinleri asıldı, web üzerinden ve mail ile bilgilendirmeler yapıldı.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
• Öğrencilerin internete bağlanabilecekleri serbest alanlar yok. Bilgisayar laboratuvarlarında sürekli ders var.
• Notebook, netbook, internet bağlantılı cep telefonlarının fiyatları düştükçe sayıları arttı.
• Personel iş yerinde kullandıkları sabit bilgisayarın yanında evindeki taşınabilir cihazını okula
getirmeye başladı, odada yeterli sayıda data prizi mevcut değil. Sürekli yeni kablo çekilmesi
talepleri gelmeye başladı.
• Neredeyse her öğrencide mobil bir cihaz var.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
• Yönetim kolaylığı sebebi ile LightWeight teknolojisi tercih edildi
• 2009 yılında 96 adet indoor, 4 adet outdoor, 1 adet kontrol cihazı alınarak ana kampüse
kuruldu.
• Kurulumun tamamlanmasıyla birlikte kablosuz ağ eduroam’a dahil edildi.
• eduroam dışında başka bir yayın yok, olmayacak!..
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
• Kapsama alanı 2010 yılında 1 adet kontrol cihazı ve 50 adet indoor AP alınarak
genişletildi.
• 2011 yılında genişletilmeye devam ediliyor.
• Ana kampüsün tamamında, Denizli, Çivril, Buldan, Bekilli, Honaz, Çal Meslek Yüksek
Okullarımızda olmak üzere Üniversiteye ait her yerleşkede eduroam aktif durumda.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
Lokasyon AP Sayısı
Fen-Edebiyat Fakültesi 19
İktisadi İdari Bilimler Fakültesi 15
Mühendislik-Teknik Eğitim Fakültesi 7
Eğitim Fakültesi 12
İnşaat Mühendisliği 1
Mimarlık ve Tasarım Fakültesi 14
Güzel Sanatlar Fakültesi 4
Rektörlük 22
Yabancı Diller YüksekOkulu 5
Tıp Fakültesi 9
Turizm İşletmeciliği ve Otelcilik Yüksek Okulu 1 Spor Bilimleri ve Teknolojisi Yüksek Okulu 3
Denizli Meslek Yüksekokulu 7
Bekilli Meslek Yüksek Okulu 3
Buldan Meslek Yüksek Okulu 5
Çal Meslek Yüksek Okulu 2
Çivril Meslek Yüksek Okulu 6
Honaz Meslek Yüksek Okulu 6
Sosyal Tesisler 1
Göl Bölgesi (Outdoor) 1
Mühendislik Fakültesi Bölgesi (Outdoor) 1 İktisadi ve İdari Bilimler Fakültesi Bölgesi (Outdoor) 1
Yurtlar Bölgesi (Outdoor) 1
TOPLAM 146
AP Sayıları
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
LWAPP Sağladıkları
– DHCP sunucuya eklediğimiz option ile AP’ler controllerı buluyor.
– AP’lerde ayar yapılmıyor, tüm ayarlar (güvenlik, kimlik denetimi, software versiyonu) kontrol cihazından
otomatik olarak sağlanıyor.
– AP’in ağa bağlandığı yer eduroam yayınını yapmaya başlıyor.
– Switch’lerde VLAN ayarı yapılmıyor.
– AP’ler eduroam VLAN’ını mevcut VLAN içerisinden taşıyor.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
NEDEN eduroam ?
• Araştırmacılar mobil cihazlar kullanmaya başladılar.
• Gittikleri yerlerde internete bağlanmak için ayar yapmakla uğraşmak istemiyorlar.
• Kimlik bilgilerinin korunduğu, güvenli bir internet hizmeti istiyorlar.
• Bilgi işlem personeli için misafire internet
bağlantısı sağlamak zahmetli. (teknik destek, 5651 sayılı yasa)
NEDEN eduroam ?
1) eduroam kullanıcılara, kendi kurumlarındaki kullanıcı bilgileri ile eduroam ağı olan başka bir kuruma gittiklerinde, dışarıdan gelen
misafir öğretim elemanı ve öğrencilere de
kurumlarındaki kullanıcı bilgileri ile güvenli ve zahmetsiz olarak internete bağlanabilmesine olanak sağlamaktadır.
Bu nasıl sağlanıyor ?
eduroam BİR 802.1x UYGULAMASIDIR
802.1x kimlik doğrulaması, istemci ile erişim noktasına bağlı bir RADIUS sunucusu arasında kullanılan kimlik doğrulamasıdır.
802.1x Kimlik Kanıtlamada kullanılan 4 temel yapı vardır;
• İstemci (Suppliciant)
• Kimlik kanıtlayıcı (Ağ erişim cihazları)
• Kimlik Kanıtlama Sunucusu (Radius)
• Kullanıcı bilgilerinin tutulduğu sistem (LDAP)
eduroam YEREL KİMLİK DOĞRULAMA
Network Access Server
(with Radius client)
Local LDAP repository Parola
Kontrolü
Doğru/Yanlış Yerel RADIUS
Server Erişim İsteği
Erişim Kararı abc@pau.edu.tr
Parola
Bağlantı ve kimlik bilgisi isteği
Kimlik doğrulaması doğruysa yetkilendir, değilse reddet Erişim isteğinin kabul edilip edilmediğini dön
LDAP sunucudan kullanıcının kimlik doğrulaması
eduroam UZAK KİMLİK DOĞRULAMA
Supplicant
NAS
Yerel RADIUS Server
National RADIUS Proxy server
Remote LDAP Repository
Erişim İsteği +Kullanıcı Bilgisi
Erişim Kararı
Erişim İsteği +Kullanıcı Bilgisi
Erişim Kararı
Parola Bilgisini Karşılaştır
Doğru/
Yanlış
Erişim İsteği + Kullanıcı Bilgisi
Erişim Kararı
Erişim İsteği +Kullanıcı Bilgisi
Erişim Kararı
Remote Radius Server
Kullanıcı Bilgisi => Username@realm + password username: abc@pau.edu.tr, password pass123
eduroam UZAK KİMLİK DOĞRULAMA
RADIUS ve LDAP YAPIMIZ
• Vmware sanal makine olarak çalışan Ubuntu işletim sistemi, Freeradius
• Vmware sanal makine olarak çalışan Ubuntu üzerine OpenLDAP kurduk problem çıkardı.
• Çok fazla sayıda gelen istek sunucuya erişim sürelerini 2500-3000 ms.lere çıkardı. Sunucu reboot edilmeden de düzelmedi. 3-4 günde bir sunucuyu reboot etmek zorunda kaldık.
• Sunucuyu fiziksel hale getirmek zorunda kaldık.
Sun V210 (2x1,1 Ghz sparc işlemci, 4 GB ram, 72 GB SCSI Hdd)
• 50.000’in üzerinde kullanıcımız var. Kimlik denetimi isteyen herşey;
yazılımlarımız, mail, squid vs. LDAP üzerinden kimlik denetimi yapıyor.
• Tüm eduroam trafiğini Squid ile transparent olarak proxy üzerinden çıkarıyoruz. Bağlantı log’larımız daha anlamlı..
RADIUS ve LDAP YAPIMIZ
NEDEN eduroam ?
2) Güvenli olması
• Kullanıcının kimlik denetimi tamamlanıncaya kadar sadece 802.1x EAP trafiği geçiyor. Diğer tüm trafik bloklanıyor (DHCP, HTTP vs.).
• Tüm veri dinamik anahtarlar kullanılarak şifreleniyor, bilgilerin çalınma olasılığı yok.
• EAP-TTLS kullanıyor.
EAP-TTLS kimlik kanıtlama verisinin
emniyetli iletimi için şifreli bir TLS tüneli kurar.
NEDEN eduroam ?
Kimlik doğrulama sunucusu kullanıcının kimlik doğrulama isteği yaptığını belirlerse, kullanıcıya sertifikasını gönderir
Kimlik doğrulama sunucu sertifikası kullanıcı ve sunucu arasında bir tünel oluşturmak için kullanılır
Tünel kurulduktan sonra, kimlik bilgileri, sunucu ve kullanıcı arasında güvenli bir şekilde iletilir.
NEDEN eduroam ?
3) Geniş kapsama alanı: DÜNYA
Avrupa 3442, Amerika 43, Uzak Doğu 34, Avusturalya 152, Afrika 8 Kurum
NEDEN eduroam ?
3) Geniş kapsama alanı: TÜRKİYE
Toplam 42 Kurum, 3189 Erişim Noktası
• Orta Doğu Teknik Üniversitesi
• Ankara Üniversitesi
• Çanakkkale 18 Mart Üniversitesi
• Erciyes Üniversitesi
• Uşak Üniversitesi
• Dokuz Eylül Üniversitesi
• Karadeniz Teknik Üniversitesi
• Eskişehir Osmangazi Üniversitesi
• Adnan Menderes Üniversitesi
• Pamukkale Üniversitesi
• İzmir Ekonomi Üniversitesi
• Muğla Üniversitesi
• Çankırı Karatekin Üniversitesi
• Namık Kemal Üniversitesi
• Mehmet Akif Ersoy Üniversitesi
• Ahi Evran Üniversitesi
• Batman Üniversitesi
• Süleyman Demirel Üniversitesi
• Gaziantep Üniversitesi
• Atatürk Üniversitesi
• Şırnak Üniversitesi
• İzmir Yüksek Teknoloji Enstitüsü
• Atılım Üniversitesi
• Afyon Kocatepe Üniversitesi
• Maltepe Üniversitesi
• İstanbul Üniversitesi
• Karamanoğlu Mehmetbey Üniversitesi
• Giresun Üniversitesi
• Abant İzzet Baysal Üniversitesi
• Sakarya Üniversitesi
• Marmara Üniversitesi
• Gümüşhane Üniversitesi
• Cumhuriyet Üniversitesi
• Dicle Üniversitesi
• Kastamonu Üniversitesi
• Ordu Üniversitesi
• İstanbul Teknik Üniversitesi
• Ege Üniversitesi
Yıl Kurum Sayısı 2007 3 2008 3 2009 10 2010 18 2011 7
NEDEN eduroam ?
3) Geniş kapsama alanı: TÜRKİYE
NEDEN eduroam ?
Çal MYO
Çivril MYO Bekilli MYO
Buldan MYO
Honaz MYO
Kınıklı Kampüsü Denizli MYO
3) Geniş kapsama alanı: DENİZLİ
Kınıklı Kampüsü
• Merkez Kampüs + 6 İlçe MYO
• 146 Erişim Noktası
NEDEN eduroam ?
4) 5651 ihtiyaçlarını karşılaması
Radius.log
Tue Apr 12 11:27:13 2011 : Auth: Login OK: [bidb@pau.edu.tr] (from client 10.200.1.0/24 port 4 cli 00-23-D3-E0-BB-9E via TLS tunnel)
Radius Detail Log
Wed Apr 6 13:08:05 2011
User-Name = "artuirl***@student.polsl.pl"
NAS-Port = 13
NAS-IP-Address = 10.200.1.8 Framed-IP-Address = 10.241.0.153 NAS-Identifier = "Cisco_8e:c3:e4"
Airespace-Wlan-Id = 1
Acct-Session-Id = "4d9953b5/6c:62:6e:22:ff:ce/60648"
Acct-Authentic = RADIUS Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "241"
Acct-Status-Type = Interim-Update Acct-Input-Octets = 981 Acct-Output-Octets = 656 Acct-Input-Packets = 19 Acct-Output-Packets = 8 Acct-Session-Time = 1 Acct-Delay-Time = 0
Calling-Station-Id = "10.241.0.153"
Called-Station-Id = "10.200.1.8"
Acct-Unique-Session-Id = "dd488c662455202c"
Realm = "DEFAULT"
Timestamp = 1302084485 Request-Authenticator = Verified
NEDEN eduroam ?
4) 5651 ihtiyaçlarını karşılaması
NEDEN eduroam ?
5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor.
• Windows Mobile, XP, Vista, 7 (SecureW2 ile)
SecureW2.inf dosyası düzenlenip kurulum kolaylaştırılabiliyor
NEDEN eduroam ?
5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor.
• Linux türevleri
• MacOS, Iphone, Ipad, Ipod
• Symbian
• Samsung BADA
• Blackberry
• Android
Bağlantı Ayarları: http://pau.edu.tr/eduroam
NEDEN eduroam ?
6) Prestij
Özellikle kurum dışına giden öğrenci/personel ve misafir akademisyenler tarafından görülen
takdir.
eduroam:
Uygulanması kolay ve doğrudan son kullanıcıya sağladıkları ile Bilgi İşlemi kurum içerisinde ön plana çıkaran bir projedir.
İSTATİSTİKLER
4215
2847
1840 1713
1169
780
451 426 377
285 267 242
175 104 63 61 52 29 27 19 15 11 2 1 1 0
500 1000 1500 2000 2500 3000 3500 4000 4500
2011 Yılı Servis Sağlayıcı İstatistikleri (Kuruma Gelen Misafir Kullanıcılar)
İSTATİSTİKLER
2011 Yılı Kimlik Sağlayıcı İstatistikleri (Kurumun Gezen Kullanıcıları)
6293
3949
1855 1357
1096
895 835
600 592
377 254 252 183 174
65 57 54 54 35 28 22 21 20 16 11 8 4 3 2 2 2 0
1000 2000 3000 4000 5000 6000 7000
İSTATİSTİKLER
Pamukkale Üniversitesi 2011 Yılı Servis Sağlayıcı İstatistikleri (Pamukkale Üniversitesi’ne Gelen Misafir Kullanıcılar)
430
113 103 100
47 47
37
6 5 4 2 1
0 50 100 150 200 250 300 350 400 450 500
İSTATİSTİKLER
Pamukkale Üniversitesi 2011 Yılı Kimlik Sağlayıcı İstatistikleri (Pamukkale Üniversitesi’nin Gezen Kullanıcıları)
1180
191
125 116
80 44 23 20 17 15 11 6 4 4 3 1
0 200 400 600 800 1000 1200 1400
İSTATİSTİKLER
• 1.246.244 PAÜ öğrencisi
• 224.733 PAÜ personeli
• 6226 Yurt Dışı
• 939 Yurt İçi
Radius Sunucusuna Gelen Aylık İstek Sayıları
İSTATİSTİKLER
Bant Genişliği Kullanımı
SONUÇ
eduroam İçin Neye İhtiyacımız Var ?
• Yatırım yapmaya gerek yok!
Mevcut kablosuz ağ kullanılabiliyor.
• ULAKBİM eduroam ulusal yetkilendirme sunucusu tarafından ulaşılabilir bir Radius sunucu
Donanımsal olarak düşük konfigürasyonlu bir sunucuya linux kurmak yeterli
• Kurulumu Kolay :
http://www.eduroam.org.tr/dl/freeradius-v2.1.4-Kurulumu.pdf
• Kullanıcıların tutulduğu kimlik denetim sunucusu (LDAP, AD)
Genelde herkeste biri zaten var