De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

WLAN en samenwerking CvDUR/COMIT 21-11-2003

Verwante presentaties


Presentatie over: "WLAN en samenwerking CvDUR/COMIT 21-11-2003"— Transcript van de presentatie:

1

2 WLAN en samenwerking CvDUR/COMIT

3 2 Inhoud Achtergrond Veilig toegang tot WLAN IEEE 802.1X Gasttoegang Huidige status Internationaal Toekomst Conclusie

4 3 WLAN is onveilig tcpdump -n -i eth1 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply ^C

5 4 Gebruikers zijn mobiel FttD Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS SURFnet backbone

6 5 Uitgangspunten Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud –Beheerbaar –Laagdrempelig voor gebruiker Schaalbaar! –Gebruik bestaande infrastructuur –Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn zonder administratieve overhead Lokale authenticatie bij thuisinstelling –Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen, waarbij de data op de draadloze link versleuteld kan worden

7 6 Mogelijke oplossingen Open netwerk (niet veilig) Open netwerk + MAC-authenticatie (niet veilig) WEP (niet veilig) Open netwerk + web gateway (niet echt veilig) Open netwerk + VPN-gateway (niet schaalbaar) IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary)

8 7 IEEE 802.1X Echte toegangsoplossing (Laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes mogelijk (EAP- MD5, EAP-TLS, EAP-TTLS, PEAP) Uitbreidbaar Gestandaardiseerd Encrypt data RADIUS back end: –Schaalbaar –Hergebruik bestaande trust-relaties Eenvoudig te combineren met dynamische VLAN toewijzing (802.1Q) Draadloos én vast Client software nodig (3d party of ingebouwd)

9 8 Hoe werkt 802.1X (in combinatie met 802.1Q)? data signalling EAPOL EAP over RADIUS f.i. LDAP RADIUS server Institution A Internet Authenticator (AP or switch) User DB Student VLAN Guest VLAN Employee VLAN Supplicant

10 9 Door de protocol stack EAP Ethernet EAPOL RADIUS (TCP/IP) 802.1X Auth. Server (RADIUS server) Authenticator (AccessPoint, Switch) Supplicant (laptop, desktop) Ethernet

11 10 Evaluatie 802.1X Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud Beheerbaar  Laagdrempelig voor gebruiker => SecureW2 Schaalbaar Gebruik bestaande infrastructuur Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

12 X technologieverkenning Proef met UT en Alfa&Ariss UT: Optuigen infrastructuur op campus Alfa&Ariss: ontwikkelen SecureW2 Basis voor Wireless Campus van de UT

13 12 Cross-domein 802.1X met VLAN toewijzing RADIUS server Institution B RADIUS server Institution A Internet Central RADIUS Proxy server Authenticator (AP or switch) User DB Supplicant Guest Student VLAN Guest VLAN Employee VLAN

14 13 Huidige status (1) InstellingGebruikersGastgebruik UT6500ja HvA23000nee TU Delft20280ja RUG?ja UvT?nee Windesheim15000nee NHL10000ja UvA28000ja VU?nee TU/e?nog niet EUR20000nog niet HAN22000nee Fontys?nee

15 14 Huidige status (2) Draft “AUP” gastgebruik klaar Project Tracking aNd Tracing gestart met: –TUD –HvA –UT –UvA Monitoren van ge- en misbruik en accounting

16 15 WLAN hotspots (Freeband) Contract met publieke WLAN operator Mobilander getekend Publieke hotspots op basis van 1X voor de hele SURFnet doelgroep) Amsterdam, Enschede, Groningen, Eindhoven, Delft, … Contract met ProRail voor WLAN op stations en (deels) in de trein getekend Op basis van 802.1X (óók ProRail en NS zelf) Combinatie WLAN-GPRS/UMTS dmv Mobile-IP Traject Enschede-Drienerloo-Hengelo Samenwerking met CGEY, Volker Stevin Rail&Traffic en de UT

17 16 FCCN RADIUS Proxy servers connecting to a European level RADIUS proxy server University of Southampton Spanje, Norwegen, Slovenie, Tjechie en Griekenland hebben aangegeven te willen participeren. Internet2 start een werkgroep SURFnet FUNET (DFN) CARnet Europa en VS (TF-Mobility)

18 17 De toekomst x Nieuwe EAP typen WPA (pre standard i, TKIP) i: 802.1x + eerst TKIP, later AES Applicatie Integratie met A-Select

19 18 Conclusie WLAN kan veilig Gastgebruik geeft synergie 802.1X is de toekomstvaste oplossing

20 19 Meer informatie SURFnet en 802.1X –http://www.surfnet.nl/innovatie/wlanhttp://www.surfnet.nl/innovatie/wlan 802.1X uitrol binnen SURFnet doelgroep –http://www.surfnet.nl/innovatie/wlan/deployment.html TERENA TF-Mobility –http://www.terena.nl/mobilityhttp://www.terena.nl/mobility The unofficial IEEE security page –http://www.drizzle.com/~aboba/IEEE/


Download ppt "WLAN en samenwerking CvDUR/COMIT 21-11-2003"

Verwante presentaties


Ads door Google