De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.

GepubliceerdMargaretha Gerritsen Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003."— Transcript van de presentatie:

1 SURFnet en IEEE 802.1X Klaas.Wierenga@SURFnet.nl Amsterdam, 8&9 Mei 2003

2 2 Inhoud Achtergrond De problemen Uitgangspunten Mogelijke oplossingen Dé oplossing De toekomst Conclusie

3 3 Achtergrond FttD Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS SURFnet backbone

4 4 Problemen/uitdagingen Mobiliteit –Gastgebruik –Verschillende types netwerken Verkeersscheiding Beveiliging Authenticatie & Autorisatie Conclusie: Op zoek naar een generieke (lees: middleware) oplossing voor het authenticatie en autorisatie probleem

5 5 Uitgangspunten Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud –Beheerbaar –Laagdrempelig voor gebruiker Schaalbaar –Gebruik bestaande infrastructuur –Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling –Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

6 6 Mogelijke oplossingen 1.Open netwerk 2.Open netwerk + MAC-authenticatie 3.WEP (draadloos) 4.Open netwerk + VPN-gateway 5.Open netwerk + web gateway 6.IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary), PPPoE (niet breed gedeployed)

7 7 1. Open netwerk Geeft open ethernet connectiviteit, IP-address via DHCP Geen client software nodig (DHCP is alom aanwezig) Access control is moeilijk Network is open (sniffing eenvoudig, elke client en server op het LAN is bereikbaar)

8 8 2. Open netwerk + MAC authenticatie Zelfde als 1, maar het MAC-address van de netwerkkaart wordt geverifieerd Administratie MAC addressen nodig MAC addressen kunnen relatief eenvoudig gespoofed worden Gast gebruik erg lastig

9 9 3. WEP (wireless) Laag 2 encryptie tussen Client en Access Point Client moet (statische) WEP-key weten Operationele nachtmerrie bij wijzigen keys Sommige WEP-keys zijn erg makkelijk te kraken (sommige iets minder) Niet veilig

10 10 4. Open netwerk + VPN Gateway Open (onveilig) besloten netwerk, client moet authenticeren op een IP VPN-concentrator om buiten het besloten netwerk te komen Client software nodig Leveranciers-specifiek Schaalt slecht VPN-concentrators zijn duur Gastgebruik erg lastig Bij gastgebruik toch nog een extra VPN nodig

11 11 5. Open netwerk + web gateway Open (besloten) netwerk, een gateway tussen (W)LAN en de rest van het netwerk onderschept alle verkeer (session intercept) Gast toegang eenvoudig Browser noodzakelijk Lastig veilig te maken

12 12 6. IEEE 802.1X Echte toegangsoplossing (Laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes mogelijk (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Uitbreidbaar Gestandaardiseerd Encrypt alle data RADIUS back end: –Schaalbaar –Hergebruik bestaande trust-relaties Client software nodig (3d party of ingebouwd)

13 13 Evaluatie 802.1X Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud Beheerbaar  Laagdrempelig voor gebruiker => SecureW2 Schaalbaar Gebruik bestaande infrastructuur Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

14 14 Maar welk EAP-type? MD5, MS-CHAPv2: zwak TLS: sterk maar vereist client en server certificaat, en dus PKI TTLS: sterk: tunnel, daarbinnen authenticatie PEAP: sterk: tunnel, daarbinnen authenticatie, problemen Cisco MS SIM: semi-sterk maar nog niet wijdverbreid

15 15 Huidige status UT, HvA 1X in productie UvA, UvT, TUD, RUG in testfase Meeste anderen in evaluatiefase Op basis van EAP-TTLS met SecureW2 of TLS Contract met publieke WLAN operator getekend (publieke hotspots in aantal steden op basis van 1X voor de hele SURFnet doelgroep) i.h.k.v. Freeband In Europees verband moet de knoop nog worden doorgehakt i.h.k.v TERENA TF-Mobility

16 16 De toekomst 802.11x Nieuwe EAP typen WPA (pre standard 802.11i, TKIP) 802.11i: 802.1x + eerst TKIP, later AES Applicatie Integratie met A-Select

17 17 A-Select Apache IIS Blackboard Citrix Mobac Niegebach 802.1X???? (geen web!)

18 18 Conclusie 802.1X is beschikbaar 802.1X werkt 802.1X is schaalbaar 802.1X is veilig 802.1X is uitbreidbaar 802.1X maakt gastgebruik mogelijk 802.1X is de toekomst Dus SURFnet kiest voor…..

19 19 Meer informatie http://www.surfnet.nl/innovatie/wlan http://aselect.surfnet.nl

Download ppt "SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003."

Verwante presentaties

Thuisnetwerken. Thuisnetwerken Enkele statistieken 77% Belgische huisgezinnen met minstens één persoon tussen 16 en 74 jaar  minstens één of meerdere.

Thuisnetwerken. Thuisnetwerken Enkele statistieken 77% Belgische huisgezinnen met minstens één persoon tussen 16 en 74 jaar  minstens één of meerdere.
13/09/2004 Voice over IP/ IP Telephony Erwin Manshoven VoIP / IPTelephony.

13/09/2004 Voice over IP/ IP Telephony Erwin Manshoven VoIP / IPTelephony.
802.1x op het SURFnet kantoor

802.1x op het SURFnet kantoor
Hardware voor draadloos netwerk

Hardware voor draadloos netwerk
Evaluatie van MS Exchange 2000 en opzetten van een server voor wereldwijde uitwisseling van projectinformatie Bertels David 3ICT1 Stageplaats: Acros Organics.

Evaluatie van MS Exchange 2000 en opzetten van een server voor wereldwijde uitwisseling van projectinformatie Bertels David 3ICT1 Stageplaats: Acros Organics.
Onderwerpen Oude situatie Eerste aanpak en problemen

Onderwerpen Oude situatie Eerste aanpak en problemen
Carl Possemiers CRM-manager 9 december 2005

Carl Possemiers CRM-manager 9 december 2005
Netwerken Wat is een netwerk ?

Netwerken Wat is een netwerk ?
De PROFIBUS, PROFINET & IO-Link dag 2011

De PROFIBUS, PROFINET & IO-Link dag 2011
Aansluiten !! WirelessLeiden, 2004, Hugo Meiland.

Aansluiten !! WirelessLeiden, 2004, Hugo Meiland.
LANCOM Systems – Bausch Datacom

LANCOM Systems – Bausch Datacom
Wireless internet Voordracht bij HCC Zoetermeer op dinsdag 8 december 2009 door Theo de Zeeuw Deel 1.

Wireless internet Voordracht bij HCC Zoetermeer op dinsdag 8 december 2009 door Theo de Zeeuw Deel 1.
Server Management Framework

Server Management Framework
Blok 7: netwerken Les 4 Christian Bokhove Vraag Hoe kunnen ´vele´ gebruikers communiceren (informatie uitwisselen) met dezelfde physical service provider?

Blok 7: netwerken Les 4 Christian Bokhove Vraag Hoe kunnen ´vele´ gebruikers communiceren (informatie uitwisselen) met dezelfde physical service provider?
Door Kick de Wolff www.de-wolff.com Netwerk thuis maken Door Kick de Wolff www.de-wolff.com.

Door Kick de Wolff Netwerk thuis maken Door Kick de Wolff
Presentatie Thuisnetwerken

Presentatie Thuisnetwerken
Enkele weetjes Hoe stel ik een router in als access point

Enkele weetjes Hoe stel ik een router in als access point
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement 20-2-02.

De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
GigaPortGigaPort Klaas Wierenga 14 Maart 2001.

GigaPortGigaPort Klaas Wierenga 14 Maart 2001.
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.

... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.

Verwante presentaties

Ads door Google