EduRoam en beveiliging

Slides:



Advertisements
Verwante presentaties
13/09/2004 Voice over IP/ IP Telephony Erwin Manshoven VoIP / IPTelephony.
Advertisements

802.1x op het SURFnet kantoor
K. U. L E U V E N - L U D I T Juli 2006 LinSam-AD 1/1819 april 2007 • FSW (Fac.Soc.Wet.) - CIB (Ind.Beleid) willen authenticatie op LDAP. • FSW wil Centrale.
Downloaden: Ad-aware. Downloaden bestaat uit 3 delen: •1. Zoeken naar de plek waar je het bestand kan vinden op het internet •2. Het nemen van een kopie.
Blok 7: netwerken Les 7 Christian Bokhove.
Personalisatie van de Archis website Naam: Sing Hsu Student nr: Datum: 24 Juni 2004.
Onderwerpen Oude situatie Eerste aanpak en problemen
IT-Workz Welkom bij IT-Workz WiFi, Vrijheid of niet?
Beveiligd berichtenverkeer Lust of Last ?
Labnet & PTSchemes : Installatie van de toepassingen
Aansluiten !! WirelessLeiden, 2004, Hugo Meiland.
Ronde (Sport & Spel) Quiz Night !
Presentatie Thuisnetwerken
SSL, HTTPS en SSH Johnny Schaap.
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
GigaPortGigaPort Klaas Wierenga 14 Maart 2001.
Blok 7: netwerken Les 8 Christian Bokhove.
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
F. Rubben NI Lookout 1 06/RIS/05 - NI Lookout VTI Brugge F. Rubben, ing.
Automation and Drives PROFINET technologie A&D AS/PT2/MC, 08/2005 Trends & functionaliteit PROFINET  Real-time communicatie  Veldunits  Motion Control.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
(Gast)gebruik van (W)LAN op basis van 802.1X
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
Uitbouw expertisecentrum voor webgebaseerde testing pag. 1 Webbased testing wordt steeds belangrijker Nu werkt elke onderzoeker met eigen middelen: versnippering.
Sneeuwschuivers en leren sneeuwschuiven myResearch Portal en het belang van workflow data analyse Richard L. Zijdeman DAI: info:eu-repo/dai/nl/
1 Voorwaarden hergebruik Modulair ontwerp Low coupling High cohesion.
Werken aan Intergenerationele Samenwerking en Expertise.
PLAYBOY Kalender 2006 Dit is wat mannen boeit!.
Cryptografische algoritmen en protocols (4) Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Wouter Jansweijer, 16 September, Literatuur zoeken Project informatiewetenschappen october 2002.
Netwerken / Internet ICT Infrastructuren David N. Jansen.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
The European eduroam confederation Klaas Wierenga 10º Encontro de Centros de Informática Universidade do Porto, 8 de Março 2007.
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein.
Veilige gast-toegang tot het instellingsnetwerk met 802.1X RADIUS server Instelling B RADIUS server Instelling A SURFnet Centrale SURFnet RADIUS server.
802.1X in SURFnet Intern seminar over 802.1X 24 Mei 2004 Utrecht.
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
ZijActief Koningslust 10 jaar Truusje Trap
Steven Körmeling, Mark Rotteveel, Jan Kouwenhoven januari 2006
ECHT ONGELOOFLIJK. Lees alle getallen. langzaam en rij voor rij
Opleiding CMS website Gent Bart Nelis Gent: #239/ docentengang Brussel: /naast bibliotheek
De financiële functie: Integrale bedrijfsanalyse©
Onsight Managed Security Services
1 Zie ook identiteit.pdf willen denkenvoelen 5 Zie ook identiteit.pdf.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
1 Freeband Test bed: de speeltuin voor draadloze communicatie in Nederland t.b.v. V&W Mobiele Informatiediensten Observer 10 april 2003, Oudaen Utrecht.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Algemene Techniek Wireless Leiden, 2004, Hugo Meiland.
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
WIFI IN DE GEZONDHEIDSZORG
TOR NETWERK.
Office365 & SURFconext.
Faciliteiten voor toegang tot het EURnet voor mobiele werkstations
UT Gert Meijerink Service Departement for Information Technology, Library and Education (ITBE) DFN 2004.
… een poging tot verheldering …
M5 Datacommunicatie Applicatielaag
M5 Datacommunicatie Transportlaag
M5 Datacommunicatie Netwerklaag
Netwerken & Internet 1.
Transcript van de presentatie:

EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht

Inhoud Inleiding EduRoam 802.1X RADIUS EduRoam RADIUS issues 802.1X issues EduRoam-NG Conclusie

Inleiding EduRoam EduRoam is voortzetting van 3-staps RADIUS infrastructuur tbv inbellen (en later ADSL) Nu gebruikt voor inbellen en 802.1X Binnenkort ook voor SVP en wellicht A-Select Model: 802.1X voor gastgebruik

IEEE 802.1X Porrtgebaseerde authenticatie (laag 2) tussen client en AP/switch Verschillende authenticatie mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP) Standaard Encrypt data gebruik makend van dynamische keys Kan RADIUS back end gebruiken: Schaalbaar Hergebruik bestaande trust relaties Eenvoudige integratie met dynamische VLAN toewijzing Client software nodig (ingebouw of 3d party) Wireless en wired

EAP PPP Extensible Authentication Protocol EAP ondersteunt verschillende authenticatie mechanismen Authenticatie mechanisme geselecteerd in de Authentication fase, niet in de Link Control fase Gebruik “backend” authenticatie server

Hoe werkt 802.1X (in combinatie met 802.1Q)? f.i. LDAP EAP over RADIUS EAPOL Supplicant Authenticator (AP or switch) RADIUS server Institution A User DB jan@student.institution_a.nl Internet Employee VLAN Guest VLAN Student VLAN signalling data

Door de protocol stack EAP 802.1X EAPOL RADIUS (TCP/IP) Ethernet Supplicant (laptop, desktop) Authenticator (AccessPoint, Switch) Auth. Server (RADIUS server) EAP 802.1X EAPOL RADIUS (TCP/IP) Ethernet Ethernet

RADIUS: doel Protocol voor transport voor authenticatie en autorisatie informatie Entiteiten: Network Access Server (NAS) en RADIUS server RADIUS server moet om een gebruiker te authenticeren: Het authenticatie protocol van de gebruiker begrijpen (PAP, CHAP etc.) Begrijpen hoe de gebruiker credentials te verifieren tegen een user database

RADIUS: formaat RADIUS paketten bestaande uit attribuut-waarde paren (bijv. “Username=‘Klaas’, Password=‘saalK’”) RADIUS is uitbreidbaar, mogelijkheid tot Vendor Specific Attributes RADIUS gebruikt UDP (Authenticatie 1812 (1645), Accounting 1813 (1646))

Radius: security model RADIUS peers (NAS naar server, server naar server) vormen een trust relatie d.m.v. een shared secret Het secret wordt gebruikt om verschillende attributen te versleutelen (password) Versleutelde hash over pakket om wijziging pakket tegen te gaan

RADIUS: gebruikers authenticatie Client stuurt credentials naar NAS NAS genereert Access-Request Access-Request wordt geforward naar de RADIUS server RADIUS server valideert credentials Valide: Access-Accept Niet valide: Access-Reject

Proxy RADIUS Een RADIUS server kan RADIUS paketten naar andere RADIUS servers voor verdere verwerking Proxy RADIUS wordt normaliter gebaseerd op de basis van een ‘realm’ die wordt toegevoegd aan de username: User@realm Packet wordt geproxied naar een andere server geassocieerd met ‘realm’ Proxy RADIUS is de basis voor EduRoam

EduRoam Internet Guest Employee VLAN VLAN Student VLAN Supplicant Authenticator (AP or switch) RADIUS server Institution A RADIUS server Institution B User DB User DB Guest piet@institution_b.nl Internet Employee VLAN Guest VLAN Central RADIUS Proxy server Student VLAN Simpel, schaalbaar en robuust mechanisme voor het doorsturen van de gebruikers AAA naar de thuisinstelling signalling data

Radius proxy hierarchie SURFnet FUNET DFN CARnet Radius proxy hierarchie University of Southampton FCCN RADIUS Proxy servers connecting to a European level RADIUS proxy server

RADIUS issues: shared secrets Probleem: De communicatie tussen RADIUS-servers is beveiligd d.m.v. shared secrets Oplossing: Gebruik lange, moeilijke shared secrets Gebruik aanvullende indicatoren (CLIP, NAS-IP etc.) Gebruik een ander shared secret voor elke NAS IPsec TLS

RADIUS issues: proxy loops Probleem: De toplevel RADIUS-server stuurt user@kantoor.surfnet.nl naar radius.surfnet.nl op basis van een regel voor *.surfnet.nl Radius.surfnet.nl handelt requests van het type user@surfnet.nl af en stuurt alle andere requests door naar de toplevel RADIUS-server (dus ook @kantoor.surfnet.nl) D.C. al fine Oplossing: stuur nooit RADIUS paketten terug naar de afzender

RADIUS issues: hop-by-hop security en trust Probleem: Alleen het pad tussen NAS en server en servers onderling is versleuteld Tussenliggende servers kunnen alle communicatie zien Geen end2end security ‘Transitief’ web of trust Oplossing: Gebruik een PKI Beschouw infra als inherent onveilig en los de security op een andere laag op  EAP

EAP-typen EAP-TLS EAP-TTLS en PEAP Server en client verificatie middels server respectievelijk eindgebruikerscertificaten EAP-TTLS en PEAP Server verificatie middels server certificaat Client verificatie over TLS-tunnel

Getunnelde authenticatie (TTLS/PEAP) Gebruikt TLS tunnel om data te protecten De TLS tunnel wordt opgezet m.b.v. het server certificaat, hierdoor is er server authenticatie en worden man-in-the-middle attacks voorkomen

Oplossing: leg een koppeling tussen IP-adres, MAC-adres, user en tijd 802.1X issue Probleem: koppeling tussen user en poort met 802.1X op laag 2 (MAC-adres) terwijl incidenten op basis van IP zijn Oplossing: leg een koppeling tussen IP-adres, MAC-adres, user en tijd

EduRoam-NG Fundamentele keuze: De RADIUS-infra ‘veiliger’ maken of Zorgen voor veilige end2end communicatie … beide Om zo nieuw gebruik mogelijk te maken, bijvoorbeeld federatief gebruik van A-Select

Conclusie De huidige EduRoam infrastructuur is, mits op de juiste manier gebruikt, veilig Voor toekomstige uitbreiding dienen er nog wel keuzen gemaakt te worden

Oproep Er is behoefte aan best-current-practises, ofwel, wie biedt?

Meer information SURFnet en 802.1X http://www.surfnet.nl/innovatie/wlan The unofficial IEEE802.11 security page http://www.drizzle.com/~aboba/IEEE/