Tüm Üniversitede Tek Kablosuz Ağ

Tüm Üniversitede Tek Kablosuz Ağ

İlker ULAŞ

Pamukkale Üniversitesi Bilgi İşlem Daire Başkanlığı

V. ULAKNET Çalıştay ve Eğitimi Karadeniz Teknik Üniversitesi/Trabzon

15-18 Mayıs 2011

eduroam NEDİR ?

• EDUcation ROAMing

• TERENA (Trans-European Research and Education Networking Association) kayıtlı markası

• ULAKBİM, Türkiye ulusal eduroam servisinden sorumlu servis sağlayıcı

• Amacı eduroam üyesi kurumların kullanıcılarının diğer eğitim kurumlarında da sorunsuzca ağ

kullanımını sağlamak

• Ticari değil

• Sloganı “Open your laptop and be online.”

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

eduroam ÖNCESİ

• 2009 yılına kadar sadece öğrenci kantinlerinde 6 adet Access Point’ten oluşan kablosuz ağ

• Ağa bağlanmak için kimlik denetimi yok

• Bağlantıların loglanması için LDAP üzerinden yetkilendirme yapan proxy sunucusu kullanıldı

• Kullanıcıların browser’larında proxy ayarı yapma zorunluluğu

• Proxy ayarlarının nasıl yapılacağı ile ilgili kantinlere

bilgilendirme metinleri asıldı, web üzerinden ve mail ile bilgilendirmeler yapıldı.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

• Öğrencilerin internete bağlanabilecekleri serbest alanlar yok. Bilgisayar laboratuvarlarında sürekli ders var.

• Notebook, netbook, internet bağlantılı cep telefonlarının fiyatları düştükçe sayıları arttı.

• Personel iş yerinde kullandıkları sabit bilgisayarın yanında evindeki taşınabilir cihazını okula

getirmeye başladı, odada yeterli sayıda data prizi mevcut değil. Sürekli yeni kablo çekilmesi

talepleri gelmeye başladı.

• Neredeyse her öğrencide mobil bir cihaz var.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

• Yönetim kolaylığı sebebi ile LightWeight teknolojisi tercih edildi

• 2009 yılında 96 adet indoor, 4 adet outdoor, 1 adet kontrol cihazı alınarak ana kampüse

kuruldu.

• Kurulumun tamamlanmasıyla birlikte kablosuz ağ eduroam’a dahil edildi.

• eduroam dışında başka bir yayın yok, olmayacak!..

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

• Kapsama alanı 2010 yılında 1 adet kontrol cihazı ve 50 adet indoor AP alınarak

genişletildi.

• 2011 yılında genişletilmeye devam ediliyor.

• Ana kampüsün tamamında, Denizli, Çivril, Buldan, Bekilli, Honaz, Çal Meslek Yüksek

Okullarımızda olmak üzere Üniversiteye ait her yerleşkede eduroam aktif durumda.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

Lokasyon AP Sayısı

Fen-Edebiyat Fakültesi 19

İktisadi İdari Bilimler Fakültesi 15

Mühendislik-Teknik Eğitim Fakültesi 7

Eğitim Fakültesi 12

İnşaat Mühendisliği 1

Mimarlık ve Tasarım Fakültesi 14

Güzel Sanatlar Fakültesi 4

Rektörlük 22

Yabancı Diller YüksekOkulu 5

Tıp Fakültesi 9

Turizm İşletmeciliği ve Otelcilik Yüksek Okulu 1 Spor Bilimleri ve Teknolojisi Yüksek Okulu 3

Denizli Meslek Yüksekokulu 7

Bekilli Meslek Yüksek Okulu 3

Buldan Meslek Yüksek Okulu 5

Çal Meslek Yüksek Okulu 2

Çivril Meslek Yüksek Okulu 6

Honaz Meslek Yüksek Okulu 6

Sosyal Tesisler 1

Göl Bölgesi (Outdoor) 1

Mühendislik Fakültesi Bölgesi (Outdoor) 1 İktisadi ve İdari Bilimler Fakültesi Bölgesi (Outdoor) 1

Yurtlar Bölgesi (Outdoor) 1

TOPLAM 146

AP Sayıları

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

LWAPP Sağladıkları

– DHCP sunucuya eklediğimiz option ile AP’ler controllerı buluyor.

– AP’lerde ayar yapılmıyor, tüm ayarlar (güvenlik, kimlik denetimi, software versiyonu) kontrol cihazından

otomatik olarak sağlanıyor.

– AP’in ağa bağlandığı yer eduroam yayınını yapmaya başlıyor.

– Switch’lerde VLAN ayarı yapılmıyor.

– AP’ler eduroam VLAN’ını mevcut VLAN içerisinden taşıyor.

PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI

NEDEN eduroam ?

• Araştırmacılar mobil cihazlar kullanmaya başladılar.

• Gittikleri yerlerde internete bağlanmak için ayar yapmakla uğraşmak istemiyorlar.

• Kimlik bilgilerinin korunduğu, güvenli bir internet hizmeti istiyorlar.

• Bilgi işlem personeli için misafire internet

bağlantısı sağlamak zahmetli. (teknik destek, 5651 sayılı yasa)

NEDEN eduroam ?

1) eduroam kullanıcılara, kendi kurumlarındaki kullanıcı bilgileri ile eduroam ağı olan başka bir kuruma gittiklerinde, dışarıdan gelen

misafir öğretim elemanı ve öğrencilere de

kurumlarındaki kullanıcı bilgileri ile güvenli ve zahmetsiz olarak internete bağlanabilmesine olanak sağlamaktadır.

Bu nasıl sağlanıyor ?

eduroam BİR 802.1x UYGULAMASIDIR

802.1x kimlik doğrulaması, istemci ile erişim noktasına bağlı bir RADIUS sunucusu arasında kullanılan kimlik doğrulamasıdır.

802.1x Kimlik Kanıtlamada kullanılan 4 temel yapı vardır;

• İstemci (Suppliciant)

• Kimlik kanıtlayıcı (Ağ erişim cihazları)

• Kimlik Kanıtlama Sunucusu (Radius)

• Kullanıcı bilgilerinin tutulduğu sistem (LDAP)

eduroam YEREL KİMLİK DOĞRULAMA

Network Access Server

(with Radius client)

Local LDAP repository Parola

Kontrolü

Doğru/Yanlış Yerel RADIUS

Server Erişim İsteği

Erişim Kararı abc@pau.edu.tr

Parola

Bağlantı ve kimlik bilgisi isteği

Kimlik doğrulaması doğruysa yetkilendir, değilse reddet Erişim isteğinin kabul edilip edilmediğini dön

LDAP sunucudan kullanıcının kimlik doğrulaması

eduroam UZAK KİMLİK DOĞRULAMA

Supplicant

NAS

Yerel RADIUS Server

National RADIUS Proxy server

Remote LDAP Repository

Erişim İsteği +Kullanıcı Bilgisi

Erişim Kararı

Erişim İsteği +Kullanıcı Bilgisi

Erişim Kararı

Parola Bilgisini Karşılaştır

Doğru/

Yanlış

Erişim İsteği + Kullanıcı Bilgisi

Erişim Kararı

Erişim İsteği +Kullanıcı Bilgisi

Erişim Kararı

Remote Radius Server

Kullanıcı Bilgisi => Username@realm + password username: abc@pau.edu.tr, password pass123

eduroam UZAK KİMLİK DOĞRULAMA

RADIUS ve LDAP YAPIMIZ

• Vmware sanal makine olarak çalışan Ubuntu işletim sistemi, Freeradius

• Vmware sanal makine olarak çalışan Ubuntu üzerine OpenLDAP kurduk problem çıkardı.

• Çok fazla sayıda gelen istek sunucuya erişim sürelerini 2500-3000 ms.lere çıkardı. Sunucu reboot edilmeden de düzelmedi. 3-4 günde bir sunucuyu reboot etmek zorunda kaldık.

• Sunucuyu fiziksel hale getirmek zorunda kaldık.

Sun V210 (2x1,1 Ghz sparc işlemci, 4 GB ram, 72 GB SCSI Hdd)

• 50.000’in üzerinde kullanıcımız var. Kimlik denetimi isteyen herşey;

yazılımlarımız, mail, squid vs. LDAP üzerinden kimlik denetimi yapıyor.

• Tüm eduroam trafiğini Squid ile transparent olarak proxy üzerinden çıkarıyoruz. Bağlantı log’larımız daha anlamlı..

RADIUS ve LDAP YAPIMIZ

NEDEN eduroam ?

2) Güvenli olması

• Kullanıcının kimlik denetimi tamamlanıncaya kadar sadece 802.1x EAP trafiği geçiyor. Diğer tüm trafik bloklanıyor (DHCP, HTTP vs.).

• Tüm veri dinamik anahtarlar kullanılarak şifreleniyor, bilgilerin çalınma olasılığı yok.

• EAP-TTLS kullanıyor.

EAP-TTLS kimlik kanıtlama verisinin

emniyetli iletimi için şifreli bir TLS tüneli kurar.

NEDEN eduroam ?

Kimlik doğrulama sunucusu kullanıcının kimlik doğrulama isteği yaptığını belirlerse, kullanıcıya sertifikasını gönderir

Kimlik doğrulama sunucu sertifikası kullanıcı ve sunucu arasında bir tünel oluşturmak için kullanılır

Tünel kurulduktan sonra, kimlik bilgileri, sunucu ve kullanıcı arasında güvenli bir şekilde iletilir.

NEDEN eduroam ?

3) Geniş kapsama alanı: DÜNYA

Avrupa 3442, Amerika 43, Uzak Doğu 34, Avusturalya 152, Afrika 8 Kurum

NEDEN eduroam ?

3) Geniş kapsama alanı: TÜRKİYE

Toplam 42 Kurum, 3189 Erişim Noktası

• Orta Doğu Teknik Üniversitesi

• Ankara Üniversitesi

• Çanakkkale 18 Mart Üniversitesi

• Erciyes Üniversitesi

• Uşak Üniversitesi

• Dokuz Eylül Üniversitesi

• Karadeniz Teknik Üniversitesi

• Eskişehir Osmangazi Üniversitesi

• Adnan Menderes Üniversitesi

• Pamukkale Üniversitesi

• İzmir Ekonomi Üniversitesi

• Muğla Üniversitesi

• Çankırı Karatekin Üniversitesi

• Namık Kemal Üniversitesi

• Mehmet Akif Ersoy Üniversitesi

• Ahi Evran Üniversitesi

• Batman Üniversitesi

• Süleyman Demirel Üniversitesi

• Gaziantep Üniversitesi

• Atatürk Üniversitesi

• Şırnak Üniversitesi

• İzmir Yüksek Teknoloji Enstitüsü

• Atılım Üniversitesi

• Afyon Kocatepe Üniversitesi

• Maltepe Üniversitesi

• İstanbul Üniversitesi

• Karamanoğlu Mehmetbey Üniversitesi

• Giresun Üniversitesi

• Abant İzzet Baysal Üniversitesi

• Sakarya Üniversitesi

• Marmara Üniversitesi

• Gümüşhane Üniversitesi

• Cumhuriyet Üniversitesi

• Dicle Üniversitesi

• Kastamonu Üniversitesi

• Ordu Üniversitesi

• İstanbul Teknik Üniversitesi

• Ege Üniversitesi

Yıl Kurum Sayısı 2007 3 2008 3 2009 10 2010 18 2011 7

NEDEN eduroam ?

3) Geniş kapsama alanı: TÜRKİYE

NEDEN eduroam ?

Çal MYO

Çivril MYO Bekilli MYO

Buldan MYO

Honaz MYO

Kınıklı Kampüsü Denizli MYO

3) Geniş kapsama alanı: DENİZLİ

Kınıklı Kampüsü

• Merkez Kampüs + 6 İlçe MYO

• 146 Erişim Noktası

NEDEN eduroam ?

4) 5651 ihtiyaçlarını karşılaması

Radius.log

Tue Apr 12 11:27:13 2011 : Auth: Login OK: [bidb@pau.edu.tr] (from client 10.200.1.0/24 port 4 cli 00-23-D3-E0-BB-9E via TLS tunnel)

Radius Detail Log

Wed Apr 6 13:08:05 2011

User-Name = "artuirl***@student.polsl.pl"

NAS-Port = 13

NAS-IP-Address = 10.200.1.8 Framed-IP-Address = 10.241.0.153 NAS-Identifier = "Cisco_8e:c3:e4"

Airespace-Wlan-Id = 1

Acct-Session-Id = "4d9953b5/6c:62:6e:22:ff:ce/60648"

Acct-Authentic = RADIUS Tunnel-Type:0 = VLAN

Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "241"

Acct-Status-Type = Interim-Update Acct-Input-Octets = 981 Acct-Output-Octets = 656 Acct-Input-Packets = 19 Acct-Output-Packets = 8 Acct-Session-Time = 1 Acct-Delay-Time = 0

Calling-Station-Id = "10.241.0.153"

Called-Station-Id = "10.200.1.8"

Acct-Unique-Session-Id = "dd488c662455202c"

Realm = "DEFAULT"

Timestamp = 1302084485 Request-Authenticator = Verified

NEDEN eduroam ?

4) 5651 ihtiyaçlarını karşılaması

NEDEN eduroam ?

5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor.

• Windows Mobile, XP, Vista, 7 (SecureW2 ile)

SecureW2.inf dosyası düzenlenip kurulum kolaylaştırılabiliyor

NEDEN eduroam ?

5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor.

• Linux türevleri

• MacOS, Iphone, Ipad, Ipod

• Symbian

• Samsung BADA

• Blackberry

• Android

Bağlantı Ayarları: http://pau.edu.tr/eduroam

NEDEN eduroam ?

6) Prestij

Özellikle kurum dışına giden öğrenci/personel ve misafir akademisyenler tarafından görülen

takdir.

eduroam:

Uygulanması kolay ve doğrudan son kullanıcıya sağladıkları ile Bilgi İşlemi kurum içerisinde ön plana çıkaran bir projedir.

İSTATİSTİKLER

4215

2847

1840 1713

1169

780

451 426 377

285 267 242

175 104 63 61 52 29 27 19 15 11 2 1 1 0

500 1000 1500 2000 2500 3000 3500 4000 4500

2011 Yılı Servis Sağlayıcı İstatistikleri (Kuruma Gelen Misafir Kullanıcılar)

İSTATİSTİKLER

2011 Yılı Kimlik Sağlayıcı İstatistikleri (Kurumun Gezen Kullanıcıları)

6293

3949

1855 1357

1096

895 835

600 592

377 254 252 183 174

65 57 54 54 35 28 22 21 20 16 11 8 4 3 2 2 2 0

1000 2000 3000 4000 5000 6000 7000

İSTATİSTİKLER

Pamukkale Üniversitesi 2011 Yılı Servis Sağlayıcı İstatistikleri (Pamukkale Üniversitesi’ne Gelen Misafir Kullanıcılar)

430

113 103 100

47 47

37

6 5 4 2 1

0 50 100 150 200 250 300 350 400 450 500

İSTATİSTİKLER

Pamukkale Üniversitesi 2011 Yılı Kimlik Sağlayıcı İstatistikleri (Pamukkale Üniversitesi’nin Gezen Kullanıcıları)

1180

191

125 116

80 44 23 20 17 15 11 6 4 4 3 1

0 200 400 600 800 1000 1200 1400

İSTATİSTİKLER

• 1.246.244 PAÜ öğrencisi

• 224.733 PAÜ personeli

• 6226 Yurt Dışı

• 939 Yurt İçi

Radius Sunucusuna Gelen Aylık İstek Sayıları

İSTATİSTİKLER

Bant Genişliği Kullanımı

SONUÇ

eduroam İçin Neye İhtiyacımız Var ?

• Yatırım yapmaya gerek yok!

Mevcut kablosuz ağ kullanılabiliyor.

• ULAKBİM eduroam ulusal yetkilendirme sunucusu tarafından ulaşılabilir bir Radius sunucu

Donanımsal olarak düşük konfigürasyonlu bir sunucuya linux kurmak yeterli

• Kurulumu Kolay :

http://www.eduroam.org.tr/dl/freeradius-v2.1.4-Kurulumu.pdf

• Kullanıcıların tutulduğu kimlik denetim sunucusu (LDAP, AD)

Genelde herkeste biri zaten var

JOIN…

TEŞEKKÜRLER …