(Gast)gebruik van (W)LAN op basis van 802.1X

Slides:



Advertisements
Verwante presentaties
802.1x op het SURFnet kantoor
Advertisements

Zelf objecten maken in VBA Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.
Agenda Blok 1 - Evolutie van Cloud Computing
Installatie & beheer Jonathan Mohnen Martijn Wolfs.
Een SIP softphone voor Linux Michel de Boer
Stateful web, developments, trends 1 Webtechnologie Lennart Herlaar.
Thuis netwerken Olaf Wevers –
JQuery en ASP.NET Bart De Meyer.
AUTHENTICATION SOLUTIONS
Access en MySql Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.
Customer confidential
Mindere specs, hogere prijs! (715 = 1.6???). IBM THINKPAD R51 Mobile Intel Pentium M GHz 40GB vaste schijf, 256MB DDR, maximaal 2GB 10/100Mbps.
Computer Cryptografie en PKI
Cloud Computing woensdag 20 november Wat is Cloud Computing ? Cloud Computing.
Lucene/SOLR 1: inleiding + indexering
ICT Infrastructuur.
EduRoam en beveiliging
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
NFC Near Field Communication. Wat is NFC NFC = Near Field Communication NFC = Near Field Communication Draadloze communicatie via (radio- frequentie)
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Voor VBA programmeurs Maurice de Beijer.  Maurice de Beijer.  The Problem Solver.  Visual Basic MVP.  Blog: theproblemsolver/default.aspxhttp://msmvps.com/blogs/
Speaking OData to SharePoint 2010 in a RESTful manner Michaël Hompus | Principal Developer | Winvision.
A-Select en ELO Surf SiX – UVA Amsterdam, Bart Kerver.
SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
Server side scripting 1 Webtechnologie Lennart Herlaar.
Network Address Translation
WinFX Overview Martin Tirion Senior Consultant Microsoft Services.
Client Management met ConfigMgr Jannes Alink – Management.
Applicatieplatform congres 12 & 13 maart
3.6 Architecture of HIS. 3.7 Integrity & Integration within HIS Suraja Padarath /10/2007.
 Siemens Nederland N.V Get a bit more. Siemens. 1 datum naam presentatie SMS & WAP Eerste stappen naar mobiel data verkeer.
Cloud computing. Cloud introductie  Gebruiker: ‘ Computer Basics: What is the Cloud?’ ‘De cloud.
HOMCOM Ledenvergadering 28/01/2013. Google is- niet-langer-een-spookstad/
PLAYBOY Kalender 2006 Dit is wat mannen boeit!.
Visual Basic.Net - Overzicht
Geheugen, distributie en netwerken Netwerken: de basis voor distributie van gegevens en taken (processen) –bestaan zo’n 40 jaar, zeer snelle ontwikkeling.
GigaPortGigaPort Klaas Wierenga 8 Mei 2001.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Middleware voor geavanceerde diensten SURFnet Relatiedagen, 9 December 2004
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
The European eduroam confederation Klaas Wierenga 10º Encontro de Centros de Informática Universidade do Porto, 8 de Março 2007.
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein.
Veilige gast-toegang tot het instellingsnetwerk met 802.1X RADIUS server Instelling B RADIUS server Instelling A SURFnet Centrale SURFnet RADIUS server.
802.1X in SURFnet Intern seminar over 802.1X 24 Mei 2004 Utrecht.
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
SURFworksSURFworks Voorbeeldomgevingen –DOEL –Showcase –VAT –(3D)Presence Technologieproeven –Samenwerking (presence, VR, conferencing) –Informatieontsluiting.
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Introductie tot de SEESCOA methodologie en de Draco Runtime omgeving Yves Vandewoude Peter Rigole.
Microsoft Operations Manager & Scripting
Windows 2000 Update & Windows.NET Server Family Preview Arthur de Meij Solution Specialist Business Infrastructure Enterprise & Partner Group Microsoft.
1 Inleiding Backups maken van VMs Klassieke aanpak VMware Consolidated Backup Conclusie.
Rework website Status op stafvergadering Bart Nelis Gent: #239/ docentengang Brussel: /naast bibliotheek.
1 De ontdekking van Web 2.0 Presentatie Team Ordina type hier de datum 19 april 2007.
Dick Dijkstra Azure Technical Specialist Microsoft
Les 2: Zaterdag 1 maart 2014 Wim Peeters
Patrick Huysmans. IEEE a IEEE b IEEE g IEEE n IEEE ac.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
1 Freeband Test bed: de speeltuin voor draadloze communicatie in Nederland t.b.v. V&W Mobiele Informatiediensten Observer 10 april 2003, Oudaen Utrecht.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
Faciliteiten voor toegang tot het EURnet voor mobiele werkstations
UT Gert Meijerink Service Departement for Information Technology, Library and Education (ITBE) DFN 2004.
Transcript van de presentatie:

(Gast)gebruik van (W)LAN op basis van 802.1X DSA-man 11-3-03 Klaas.Wierenga@surfnet.nl

Eisen aan authenticatie voor netwerken Unieke identificatie van gebruiker aan de rand van het netwerk Administratie en authenticatie van gebruikers bij thuisinstelling Laagdrempelig en eenvoudig beheerbaar Gastgebruik moet eenvoudig mogelijk zijn Additionele wensen voor toegang tot netwerken: Automatische VLAN-assignment Ge-encrypte wireless access

5. IEEE 802.1X Laag 2 oplossing tussen client en AP/Switch gestandaardiseerd Wireless pad-encryptie d.m.v. dynamische keys Keuze in authenticatie-mechanismen (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Clientsoftware nodig (EAP zit al in WinXP, voor andere platformen zijn er clients beschikbaar) SURFnet heeft Alfa&Ariss een TTLS client voor windows laten ontwikkelen

EAP over 802.1x Extensible Authentication Protocol (RFC 2284) Voorziet in een architectuur waarin verschillende authenticatie- mechanismen gebruikt kunnen worden: EAP-MD5 Username/Password (onveilig, want geen server-side authenticatie) EAP-TLS PKI (client- en servercertificaten), sterk EAP-TTLS Username/Password (veilig, servercertificaat) MS-CHAPv2 Microsoft Username/Password (onveilig, want geen server-side authenticatie) PEAP Microsoft/Cisco module die eerst een tunnel opzet voor veilige overdracht van MS-CHAPv2. TLS/TTLS is er ook over mogelijk

Protocol-overzicht MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11 PAP CHAP EAP MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11

Authentication Server Werking van 802.1X switch of Wireless Access Point bijv. LDAP RADIUS server EAP over RADIUS EAPOL Supplicant Authenticator Authentication Server User DB AS voorziet Authenticator en Supplicant van tijdelijke WEP-keys. Internet signalling data

Authentication Server Werking van 802.1X Supplicant Authenticator Authentication Server User DB Nu is veilige communicatie mogelijk Internet signalling data

Gastgebruik: RADIUS-proxy Instelling A heeft een gebruikers-database voor haar eigen gebruikers (jan@instelling-a.nl) Om gastgebruik mogelijk te maken, kan instelling alle RADIUS-requests die ze zelf niet vindt in haar database (piet@instelling-b.nl), doorzetten naar een centrale RADIUS-proxy. Deze kan zien naar welke instelling het request doorgestuurd moet worden.

Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

RADIUS outer AuthN request voor TTLS *** Received from 192.87.116.14 port 1584 .... Code:       Access-Request Identifier: 164 Authentic:  <225><151>&n<136>$T<210>t<213>m<168><203>ih<130> Attributes:        User-Name = “Klaas.Wierenga@surfnet.nl"        NAS-IP-Address = 192.87.116.14        Called-Station-Id = "0040965766e0"        Calling-Station-Id = "0060b368fd39"        NAS-Identifier = "wlan1"        NAS-Port = 37        Framed-MTU = 1400        NAS-Port-Type = 19        EAP-Message = <2><3><0>"<1>Klaas.Wierenga@surfnet.nl        Message-Authenticator = <26><237><203>]<169>#fu<181>Z<214><183>;bCC

RADIUS inner AuthN request/accept voor TTLS Code:       Access-Request Identifier: UNDEF Authentic:  <22><249><167>}<237>EL<242>N<220><136>#G<15><164><146> Attributes:        User-Name = “Klaas.Wierenga@surfnet.nl"        User-Password = “mijn_geheime_password" Code:       Access-Accept Identifier: 5 Authentic:  <226>w/<14><189>><227>><18>3<213><245><22><195>0<255> Attributes:        MS-MPPE-Send-Key = “…"        MS-MPPE-Recv-Key = "..."        EAP-Message = <3><7><0><4>        Message-Authenticator = <0><0><0><0><0><0><0><0><0><0><0><0><0><0><0><0>        Tunnel-Medium-Type = 802        Tunnel-Type = VLAN        Tunnel-Private-Group-ID = 3

Status instellingen UT en HvA zijn 802.1X voor WLAN aan het uitrollen SURFnet gaat 802.1X gebruiken voor zowel wireless als vast. TUD doet proef met 802.1X in FttD voor studentencomplexen KUB, Fontys, VU, UvA, KUN zijn zich aan het orienteren op het gebruik van 1X.

Status apparatuur/programmatuur Clients: Meetinghouse, Funk, Alfa&Ariss, Open1X WLAN cards: Alle (?) Switches: Cisco, HP Access Points: Cisco, Orinoco, Intel, 3com RADIUS server: Radiator, FreeRADIUS, Funk Steel Belted, Meetinghouse Aegis, Microsoft IAS, Cisco ACS

Meer info http://www.surfnet.nl/innovatie/wlan 802.1x http://standards.ieee.org/reading/ieee/std/lanman/802.1X-2001.pdf RFC’s: zie www.ietf-editor.org EAP RFC 2284 EAP-MD5 RFC 1994, RFC 2284 EAP-TLS RFC 2716 EAP-TTLS http://www.funk.com/NIdx/draft-ietf-pppext-eap-ttls-01.txt PEAP http://www.globecom.net/ietf/draft/draft-josefsson-pppext-eap-tls-eap-02.html RADIUS RFC 2865, 2866, 2867, 2868, 2869 (I/w EAP) En: http://www.surfnet.nl/innovatie/wlan