Slovenska izobraževalno raziskovalna federacija ArnesAAI

Delovanje omreža Eduroam

Vsako pridruženo omrežje oglašuje ime omrežja (angl. SSID - Service Set ID) eduroam, s čimer oznanja pripadnost omrežju Eduroam. Omrežje mora podpirati standard 802.11b/g ter WPA(2). Za prijavo je uporabljen protokol 802.1x z EAP-TTLS + PAP, uporabniki pa morajo povsod uporabljati enolično uporabniško ime v obliki zapisa: uporabnik@domaca.organizacija.si.

Ker vgrajeni odjemalci 802.1x v okolju Windows še ne podpirajo EAP-TTLS + PAP, si morajo uporabniki namestiti dodatne odjemalce:

SecureW2 (Brezplačen. V Windows XP vgrajeni odjemalec 802.1x doda podporo za EAP-TTLS + PAP)
Odyssey (Windows odjemalec 802.1x)
Aegis (Windows in UNIX odjemalec 802.1x)
wpa_supplicant (UNIX odjemalec 802.1x s podporo za WPA(2))
Xsupplicant (Windows in UNIX odjemalec 802.1x, že podpira WPA(2))

Čeprav oba, WPA(2) in WEP z dinamičnimi ključi uporabljata šifriranje RC4, zagotavlja WPA(2) večjo zaščito. WEP uporabi dodeljene ključe neposredno za šifriranje paketov, pri WPA(2) pa se dodeljeni ključi uporabijo za generiranje končnih šifririnih ključev, ki se redno menjavajo. Pri WPA(2) je dodano tudi polje, ki vsebuje zapis proti ponarejanju in ponavljanju prometa.

EAP-TTLS

EAP-TTLS deluje tako, da se vzpostavi šifrirni tunel med odjemalcem in domačim overovitvenim strežnikom RADIUS. Pri vzpostavljanju tunela se preveri veljavnost in pravilnost strežnikovega certifikata, s čimer strežnik potrdi svojo istovetnost. Ko je tunel vzpostavljen, odjemalec pošlje svoje uporabniško ime in geslo, strežnik pa dostop bodisi odobri bodisi zavrne. Uporabniško ime in geslo sta na ta način skrita tudi pred ostalimi strežniki RADIUS, ki sodelujejo pri prenosu zahteve za dostop. Ko je uporabniku dostop odobren, domači strežnik ostalim stražnikom RADIUS sporoči uporabniško ime osebe, ki dostopa do omrežja. Vsi strežniki RADIUS, ki sodelujejo pri posredovanju zahtev, si tudi beležijo evidenco uporabe omrežja.

Na sliki je prikazana prijava gostujočega uporabnika v omrežje. Prenosni računalnik vzpostavi povezavo z dostopovno točko (AP), ki posreduje zahtevo po prijavi strežniku RADIUS organizacije gostiteljice. Ta strežnik posreduje zahteve naprej preko hierarhije RADIUS vse do domačega strežnika. Odjemalec in domači strežnik vzpostavitva tunel TLS, preveri se istovetnost strežnika, nato pa uporabnik posreduje svoje uporabniško ime in geslo. Ker je tunel šifriran, nihče drug poleg strežnika ali odjemalca nima možnosti videti gesla. Domači strežnik nato zahtevo po prijavi odobri ali zavrne.