Openroaming

Mindennapjaink elválaszthatatlan része az online jelenlét. Bárhol vagyunk is éppen, folyamatosan elérhetőek vagyunk; leveleket olvasunk a telefonunkon, VoIP hívásokat bonyolítunk. Ha betérünk egy étterembe, szervizbe, bevásárlóközpontba az első dolgunk, hogy csatlakozzunk a vezeték nélküli hálózatra. Ha konferencián vagy éppen a repülőtéren vagyunk nem is kérdés, hogy WiFi-n keresztül végezzük a munkánkat.
 
A technológia fejlődésével mindig fontos szerepet kapott, hogy a kapcsolat gyorsabb, megbízhatóbb és biztonságosabb legyen. Gondoljunk csak a 802.11b hálózatokra (1999), ahol 2.4 GHz-en, 11 Mbps elméleti (6-7 Mbps gyakorlati) sebességgel, WEP titkosítással kapcsolódtunk.
 
És hol tartunk most? A 802.11ax (WiFi6) maximális elméleti sebessége 9,6 Gbps….
 
De melyik az a terület, amely (látszólag) jóval kisebb figyelmet kapott az évek során?
Gondoljunk az alábbi mindennapos kérdésekre:
· Mi a WiFi jelszó az adott SSID-hez?
· Megbízhatok ebben a hálózatban? Nem próbál adatokat lopni?
· Biztosan titkosítva van a kapcsolat?
· Hogyan van megoldva a vendég WiFi hozzáférés? Captive portal?
Ha PSK-t (Pre-shared key) használunk a vezeték nélküli hálózaton, akkor guest WiFi esetében a jelszót sokszor kinyomtatva vagy emailben kapjuk meg. Egy elegánsabb megoldás az, ha egy QR kódot leolvasva a telefon kamerájával máris csatlakozhatunk a hálózatra (https://qifi.org/).
 
De mi lenne, ha a WiFi hálózat közelébe érve azonnal csatlakoznánk is úgy, hogy nem kell csinálnunk semmit? Ahogy otthon sem kell minden alkalommal megadnunk a jelszót a hálózathoz.
 
A mobiltelefon roamingnál ez már régóta létező megoldás, hiszen ha külföldre utazunk a telefonunk azonnal kapcsolódik a partner szolgáltató hálózatára. Sokszor csak azért tűnik fel, mert nézzük a Carrier bannert és kapunk SMS-t a roaming tényéről. De ha nem vesszük elő a zsebünkből és nem vesszük észre az SMS-t akkor is megtörténik a roaming és elérhetőek vagyunk.
 
Képzeljük el az alábbi esetet: elmegyünk egy konferenciára, ahol az épületbe érve azonnal csatlakozik az okostelefonunk a vezeték nélküli hálózatra anélkül, hogy bármit tennünk kellene. Ahogy beérünk a vezeték nélküli cellába, a telefonunkban lévő azonosítóval már csatlakoztunk is. Megbízhatunk a WiFi hálózatban, hiszen a kliens onboarding során a mobil szolgáltatónk végzi az authentikációt, azaz bizalmi kapcsolat van a WiFi hálózat üzemeltetője és a hitelesítést végző szolgáltató között.
 
Sokaknak ismerős lehet a fenti megoldás, hiszen pont erről szólt a 802.11u „Passpoint” (HotSpot 2.0) megoldás, ahol a mobiltelefon cellular ID-ja volt használható a WiFi hálózatra csatlakozáshoz.
 
Ennél tovább megy a Cisco által megálmodott „Openroaming”, amelynél az azonosításhoz már nem csak a cellular ID, hanem egyéb azonosítók (pl. Samsung account, Apple ID, Facebook) is használható.
 
Egy nagyon hasonló példa a bankkártyák esete, hiszen adott kártyatársaság kártyájával több banknál is fizethetünk. Az adott kártya azonosít minket minden bank termináljánál, nem kell minden kártyás vásárlásnál megadnunk pl. a születési helyünket.
 
És hogy láttuk -e már az Openroaming-ot működés közben?
 
Igen, például Barcelonában, a Ciscolive! rendezvényen, ahol 2019-ben a Samsung volt az „Identity Provider”, a Mobile World Congress pedig az access provider. A megoldás a Fira-n kívül működött a reptéren és a helyi vasútállomáson is, ami azért különösen érdekes, mert a Fira-ban az Unitronics, a városban a Cellnex, a reptéren pedig saját IT csoport van – mégis észrevétlenül működött a roaming. Openroaming természetesen idén is volt, de az Identity Providerről nem találtam információkat.
 
 

 

 
Fontos megjegyezni, hogy az Openroaming-nak nem követelménye a WiFi 6, de magától értetődő, hogy konferenciákon a kliensek száma és sűrűsége miatt elengedhetetlen ezen technológia használata is, hiszen a sebességen kívül számos egyéb faktort (low latency, stb) változtatott a régi szabványokhoz képest.
 
Az alábbi ábrákon az OpenRoaming logikai működése látható. A WiFi hálózat 802.11u beacon-t küld, melyre a kliens visszajelzése után a hálózat válaszol a támogatott azonosítók listájával, melyből a kliens választása után elindul a hitelesítési folyamat.
 
Fontos, hogy a network és identity provider tanúsítványokkal azonosítja egymást, megbízhatóvá téve ezzel a hálózatot (azaz biztosak lehetünk benne hogy nem valami public honeypot amire kapcsolódtunk).
 
 

 

 
 

 

 
Ahogy látható a WiFi hálózat sebességén kívül a csatlakozás módján is lehetett fejleszteni, a megoldás adott, már csak használni kell.