De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

(Gast)gebruik van (W)LAN op basis van 802.1X DSA-man 11-3-03.

Verwante presentaties


Presentatie over: "(Gast)gebruik van (W)LAN op basis van 802.1X DSA-man 11-3-03."— Transcript van de presentatie:

1

2 (Gast)gebruik van (W)LAN op basis van 802.1X DSA-man

3 2 Eisen aan authenticatie voor netwerken Unieke identificatie van gebruiker aan de rand van het netwerk Administratie en authenticatie van gebruikers bij thuisinstelling Laagdrempelig en eenvoudig beheerbaar Gastgebruik moet eenvoudig mogelijk zijn Additionele wensen voor toegang tot netwerken: Automatische VLAN-assignment Ge-encrypte wireless access

4 3 5. IEEE 802.1X Laag 2 oplossing tussen client en AP/Switch gestandaardiseerd Wireless pad-encryptie d.m.v. dynamische keys Keuze in authenticatie-mechanismen (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Clientsoftware nodig (EAP zit al in WinXP, voor andere platformen zijn er clients beschikbaar) SURFnet heeft Alfa&Ariss een TTLS client voor windows laten ontwikkelen

5 4 EAP over 802.1x Extensible Authentication Protocol (RFC 2284) Voorziet in een architectuur waarin verschillende authenticatie- mechanismen gebruikt kunnen worden: EAP-MD5Username/Password (onveilig, want geen server-side authenticatie) EAP-TLSPKI (client- en servercertificaten), sterk EAP-TTLSUsername/Password (veilig, servercertificaat) MS-CHAPv2Microsoft Username/Password (onveilig, want geen server-side authenticatie) PEAPMicrosoft/Cisco module die eerst een tunnel opzet voor veilige overdracht van MS- CHAPv2. TLS/TTLS is er ook over mogelijk

6 5 Protocol-overzicht EAP MD5 TLS TTLS PPP PEAP EAP MS-CHAPv2 CHAP PAP EAP 802.1X

7 6 Werking van 802.1X Authentication Server Internet Authenticator User DB Supplicant data signalling switch of Wireless Access Point EAPOL EAP over RADIUS bijv. LDAP RADIUS server AS voorziet Authenticator en Supplicant van tijdelijke WEP-keys.

8 7 Werking van 802.1X Authentication Server Internet Authenticator User DB Supplicant data signalling Nu is veilige communicati e mogelijk

9 8 Gastgebruik: RADIUS-proxy Instelling A heeft een gebruikers-database voor haar eigen gebruikers a.nl) Om gastgebruik mogelijk te maken, kan instelling alle RADIUS-requests die ze zelf niet vindt in haar database doorzetten naar een centrale RADIUS-proxy. Deze kan zien naar welke instelling het request doorgestuurd moet worden.

10 9 Werking van RADIUS proxy RADIUS server Instelling B RADIUS server Instelling B RADIUS server Instelling A RADIUS server Instelling A Internet Centrale RADIUS Proxy server Centrale RADIUS Proxy server Authenticator User DB Supplicant data signalling

11 10 Werking van RADIUS proxy RADIUS server Instelling B RADIUS server Instelling B RADIUS server Instelling A RADIUS server Instelling A Internet Centrale RADIUS Proxy server Centrale RADIUS Proxy server Authenticator User DB Supplicant data signalling

12 11 RADIUS outer AuthN request voor TTLS *** Received from port Code: Access-Request Identifier: 164 Authentic: &n $T t m ih Attributes: User-Name = NAS-IP-Address = Called-Station-Id = " e0" Calling-Station-Id = "0060b368fd39" NAS-Identifier = "wlan1" NAS-Port = 37 Framed-MTU = 1400 NAS-Port-Type = 19 EAP-Message = " Message-Authenticator = ] #fu Z

13 12 RADIUS inner AuthN request/accept voor TTLS Code: Access-Request Identifier: UNDEF Authentic: } EL N #G Attributes: User-Name = User-Password = “mijn_geheime_password" Code: Access-Accept Identifier: 5 Authentic: w/ > > 3 0 Attributes: MS-MPPE-Send-Key = “…" MS-MPPE-Recv-Key = "..." EAP-Message = Message-Authenticator = Tunnel-Medium-Type = 802 Tunnel-Type = VLAN Tunnel-Private-Group-ID =

14 13 Status instellingen UT en HvA zijn 802.1X voor WLAN aan het uitrollen SURFnet gaat 802.1X gebruiken voor zowel wireless als vast. TUD doet proef met 802.1X in FttD voor studentencomplexen KUB, Fontys, VU, UvA, KUN zijn zich aan het orienteren op het gebruik van 1X.

15 14 Status apparatuur/programmatuur Clients: Meetinghouse, Funk, Alfa&Ariss, Open1X WLAN cards: Alle (?) Switches: Cisco, HP Access Points: Cisco, Orinoco, Intel, 3com RADIUS server: Radiator, FreeRADIUS, Funk Steel Belted, Meetinghouse Aegis, Microsoft IAS, Cisco ACS

16 15 Meer info 802.1xhttp://standards.ieee.org/reading/ieee/std/lanman/802.1X-2001.pdfhttp://standards.ieee.org/reading/ieee/std/lanman/802.1X-2001.pdf RFC’s: zie EAPRFC 2284 EAP-MD5RFC 1994, RFC 2284 EAP-TLSRFC 2716 EAP-TTLShttp://www.funk.com/NIdx/draft-ietf-pppext-eap-ttls-01.txt PEAPhttp://www.globecom.net/ietf/draft/draft-josefsson-pppext-eap-tls-eap- 02.html RADIUSRFC 2865, 2866, 2867, 2868, 2869 (I/w EAP) En:


Download ppt "(Gast)gebruik van (W)LAN op basis van 802.1X DSA-man 11-3-03."

Verwante presentaties


Ads door Google