(Gast)gebruik van (W)LAN op basis van 802.1X DSA-man 11-3-03 Klaas.Wierenga@surfnet.nl

Eisen aan authenticatie voor netwerken Unieke identificatie van gebruiker aan de rand van het netwerk Administratie en authenticatie van gebruikers bij thuisinstelling Laagdrempelig en eenvoudig beheerbaar Gastgebruik moet eenvoudig mogelijk zijn Additionele wensen voor toegang tot netwerken: Automatische VLAN-assignment Ge-encrypte wireless access

5. IEEE 802.1X Laag 2 oplossing tussen client en AP/Switch gestandaardiseerd Wireless pad-encryptie d.m.v. dynamische keys Keuze in authenticatie-mechanismen (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Clientsoftware nodig (EAP zit al in WinXP, voor andere platformen zijn er clients beschikbaar) SURFnet heeft Alfa&Ariss een TTLS client voor windows laten ontwikkelen

EAP over 802.1x Extensible Authentication Protocol (RFC 2284) Voorziet in een architectuur waarin verschillende authenticatie- mechanismen gebruikt kunnen worden: EAP-MD5 Username/Password (onveilig, want geen server-side authenticatie) EAP-TLS PKI (client- en servercertificaten), sterk EAP-TTLS Username/Password (veilig, servercertificaat) MS-CHAPv2 Microsoft Username/Password (onveilig, want geen server-side authenticatie) PEAP Microsoft/Cisco module die eerst een tunnel opzet voor veilige overdracht van MS-CHAPv2. TLS/TTLS is er ook over mogelijk

Protocol-overzicht MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11 PAP CHAP EAP MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11

Authentication Server Werking van 802.1X switch of Wireless Access Point bijv. LDAP RADIUS server EAP over RADIUS EAPOL Supplicant Authenticator Authentication Server User DB AS voorziet Authenticator en Supplicant van tijdelijke WEP-keys. Internet signalling data

Authentication Server Werking van 802.1X Supplicant Authenticator Authentication Server User DB Nu is veilige communicatie mogelijk Internet signalling data

Gastgebruik: RADIUS-proxy Instelling A heeft een gebruikers-database voor haar eigen gebruikers (jan@instelling-a.nl) Om gastgebruik mogelijk te maken, kan instelling alle RADIUS-requests die ze zelf niet vindt in haar database (piet@instelling-b.nl), doorzetten naar een centrale RADIUS-proxy. Deze kan zien naar welke instelling het request doorgestuurd moet worden.

Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

RADIUS outer AuthN request voor TTLS *** Received from 192.87.116.14 port 1584 .... Code:       Access-Request Identifier: 164 Authentic:  <225><151>&n<136>$T<210>t<213>m<168><203>ih<130> Attributes:        User-Name = “Klaas.Wierenga@surfnet.nl"        NAS-IP-Address = 192.87.116.14        Called-Station-Id = "0040965766e0"        Calling-Station-Id = "0060b368fd39"        NAS-Identifier = "wlan1"        NAS-Port = 37        Framed-MTU = 1400        NAS-Port-Type = 19        EAP-Message = <2><3><0>"<1>Klaas.Wierenga@surfnet.nl        Message-Authenticator = <26><237><203>]<169>#fu<181>Z<214><183>;bCC

RADIUS inner AuthN request/accept voor TTLS Code:       Access-Request Identifier: UNDEF Authentic:  <22><249><167>}<237>EL<242>N<220><136>#G<15><164><146> Attributes:        User-Name = “Klaas.Wierenga@surfnet.nl"        User-Password = “mijn_geheime_password" Code:       Access-Accept Identifier: 5 Authentic:  <226>w/<14><189>><227>><18>3<213><245><22><195>0<255> Attributes:        MS-MPPE-Send-Key = “…"        MS-MPPE-Recv-Key = "..."        EAP-Message = <3><7><0><4>        Message-Authenticator = <0><0><0><0><0><0><0><0><0><0><0><0><0><0><0><0>        Tunnel-Medium-Type = 802        Tunnel-Type = VLAN        Tunnel-Private-Group-ID = 3

Status instellingen UT en HvA zijn 802.1X voor WLAN aan het uitrollen SURFnet gaat 802.1X gebruiken voor zowel wireless als vast. TUD doet proef met 802.1X in FttD voor studentencomplexen KUB, Fontys, VU, UvA, KUN zijn zich aan het orienteren op het gebruik van 1X.

Status apparatuur/programmatuur Clients: Meetinghouse, Funk, Alfa&Ariss, Open1X WLAN cards: Alle (?) Switches: Cisco, HP Access Points: Cisco, Orinoco, Intel, 3com RADIUS server: Radiator, FreeRADIUS, Funk Steel Belted, Meetinghouse Aegis, Microsoft IAS, Cisco ACS

Meer info http://www.surfnet.nl/innovatie/wlan 802.1x http://standards.ieee.org/reading/ieee/std/lanman/802.1X-2001.pdf RFC’s: zie www.ietf-editor.org EAP RFC 2284 EAP-MD5 RFC 1994, RFC 2284 EAP-TLS RFC 2716 EAP-TTLS http://www.funk.com/NIdx/draft-ietf-pppext-eap-ttls-01.txt PEAP http://www.globecom.net/ietf/draft/draft-josefsson-pppext-eap-tls-eap-02.html RADIUS RFC 2865, 2866, 2867, 2868, 2869 (I/w EAP) En: http://www.surfnet.nl/innovatie/wlan