De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

(Gast)gebruik van (W)LAN op basis van 802.1X

GepubliceerdHugo Aerts Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "(Gast)gebruik van (W)LAN op basis van 802.1X"— Transcript van de presentatie:

1 (Gast)gebruik van (W)LAN op basis van 802.1X
DSA-man

2 Eisen aan authenticatie voor netwerken
Unieke identificatie van gebruiker aan de rand van het netwerk Administratie en authenticatie van gebruikers bij thuisinstelling Laagdrempelig en eenvoudig beheerbaar Gastgebruik moet eenvoudig mogelijk zijn Additionele wensen voor toegang tot netwerken: Automatische VLAN-assignment Ge-encrypte wireless access

3 5. IEEE 802.1X Laag 2 oplossing tussen client en AP/Switch
gestandaardiseerd Wireless pad-encryptie d.m.v. dynamische keys Keuze in authenticatie-mechanismen (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Clientsoftware nodig (EAP zit al in WinXP, voor andere platformen zijn er clients beschikbaar) SURFnet heeft Alfa&Ariss een TTLS client voor windows laten ontwikkelen

4 EAP over 802.1x Extensible Authentication Protocol (RFC 2284) Voorziet in een architectuur waarin verschillende authenticatie- mechanismen gebruikt kunnen worden: EAP-MD5 Username/Password (onveilig, want geen server-side authenticatie) EAP-TLS PKI (client- en servercertificaten), sterk EAP-TTLS Username/Password (veilig, servercertificaat) MS-CHAPv2 Microsoft Username/Password (onveilig, want geen server-side authenticatie) PEAP Microsoft/Cisco module die eerst een tunnel opzet voor veilige overdracht van MS-CHAPv2. TLS/TTLS is er ook over mogelijk

5 Protocol-overzicht MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11
PAP CHAP EAP MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11

6 Authentication Server
Werking van 802.1X switch of Wireless Access Point bijv. LDAP RADIUS server EAP over RADIUS EAPOL Supplicant Authenticator Authentication Server User DB AS voorziet Authenticator en Supplicant van tijdelijke WEP-keys. Internet signalling data

7 Authentication Server
Werking van 802.1X Supplicant Authenticator Authentication Server User DB Nu is veilige communicatie mogelijk Internet signalling data

8 Gastgebruik: RADIUS-proxy
Instelling A heeft een gebruikers-database voor haar eigen gebruikers Om gastgebruik mogelijk te maken, kan instelling alle RADIUS-requests die ze zelf niet vindt in haar database doorzetten naar een centrale RADIUS-proxy. Deze kan zien naar welke instelling het request doorgestuurd moet worden.

9 Werking van RADIUS proxy
Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

10 Werking van RADIUS proxy
Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

11 RADIUS outer AuthN request voor TTLS
*** Received from port Code:       Access-Request Identifier: 164 Authentic:  <225><151>&n<136>$T<210>t<213>m<168><203>ih<130> Attributes:        User-Name =        NAS-IP-Address =        Called-Station-Id = " e0"        Calling-Station-Id = "0060b368fd39"        NAS-Identifier = "wlan1"        NAS-Port = 37        Framed-MTU =        NAS-Port-Type = 19        EAP-Message =        Message-Authenticator = <26><237><203>]<169>#fu<181>Z<214><183>;bCC

12 RADIUS inner AuthN request/accept voor TTLS
Code:       Access-Request Identifier: UNDEF Authentic:  <22><249><167>}<237>EL<242>N<220><136>#G<15><164><146> Attributes:        User-Name =        User-Password = “mijn_geheime_password" Code:       Access-Accept Identifier: 5 Authentic:  <226>w/<14><189>><227>><18>3<213><245><22><195>0<255> Attributes:        MS-MPPE-Send-Key = “…"        MS-MPPE-Recv-Key = "..."        EAP-Message = <3><7><0><4>        Message-Authenticator = <0><0><0><0><0><0><0><0><0><0><0><0><0><0><0><0>        Tunnel-Medium-Type = 802        Tunnel-Type = VLAN        Tunnel-Private-Group-ID = 3

13 Status instellingen UT en HvA zijn 802.1X voor WLAN aan het uitrollen
SURFnet gaat 802.1X gebruiken voor zowel wireless als vast. TUD doet proef met 802.1X in FttD voor studentencomplexen KUB, Fontys, VU, UvA, KUN zijn zich aan het orienteren op het gebruik van 1X.

14 Status apparatuur/programmatuur
Clients: Meetinghouse, Funk, Alfa&Ariss, Open1X WLAN cards: Alle (?) Switches: Cisco, HP Access Points: Cisco, Orinoco, Intel, 3com RADIUS server: Radiator, FreeRADIUS, Funk Steel Belted, Meetinghouse Aegis, Microsoft IAS, Cisco ACS

15 Meer info http://www.surfnet.nl/innovatie/wlan
802.1x RFC’s: zie EAP RFC 2284 EAP-MD5 RFC 1994, RFC 2284 EAP-TLS RFC 2716 EAP-TTLS PEAP RADIUS RFC 2865, 2866, 2867, 2868, 2869 (I/w EAP) En:

Download ppt "(Gast)gebruik van (W)LAN op basis van 802.1X"

Verwante presentaties

802.1x op het SURFnet kantoor

802.1x op het SURFnet kantoor
Zelf objecten maken in VBA Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.

Zelf objecten maken in VBA Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.
Agenda Blok 1 - Evolutie van Cloud Computing

Agenda Blok 1 - Evolutie van Cloud Computing
Installatie & beheer Jonathan Mohnen Martijn Wolfs.

Installatie & beheer Jonathan Mohnen Martijn Wolfs.
Een SIP softphone voor Linux Michel de Boer www.twinklephone.com.

Een SIP softphone voor Linux Michel de Boer
Stateful web, developments, trends 1 Webtechnologie Lennart Herlaar.

Stateful web, developments, trends 1 Webtechnologie Lennart Herlaar.
Thuis netwerken 09-11-2012 Olaf Wevers – 09-11-2012.

Thuis netwerken Olaf Wevers –
JQuery en ASP.NET Bart De Meyer.

JQuery en ASP.NET Bart De Meyer.
AUTHENTICATION SOLUTIONS

AUTHENTICATION SOLUTIONS
Access en MySql Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.

Access en MySql Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.
Customer confidential

Customer confidential
Mindere specs, hogere prijs! (715 = 1.6???). IBM THINKPAD R51 Mobile Intel Pentium M 715 1.5GHz 40GB vaste schijf, 256MB DDR, maximaal 2GB 10/100Mbps.

Mindere specs, hogere prijs! (715 = 1.6???). IBM THINKPAD R51 Mobile Intel Pentium M GHz 40GB vaste schijf, 256MB DDR, maximaal 2GB 10/100Mbps.
Computer Cryptografie en PKI

Computer Cryptografie en PKI
Cloud Computing woensdag 20 november 2013. Wat is Cloud Computing ? Cloud Computing.

Cloud Computing woensdag 20 november Wat is Cloud Computing ? Cloud Computing.
Lucene/SOLR 1: inleiding + indexering

Lucene/SOLR 1: inleiding + indexering
ICT Infrastructuur.

ICT Infrastructuur.
EduRoam en beveiliging

EduRoam en beveiliging
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.

Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
NFC Near Field Communication. Wat is NFC NFC = Near Field Communication NFC = Near Field Communication Draadloze communicatie via (radio- frequentie)

NFC Near Field Communication. Wat is NFC NFC = Near Field Communication NFC = Near Field Communication Draadloze communicatie via (radio- frequentie)
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.

Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.

Verwante presentaties

Ads door Google