SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003
2 Inhoud Achtergrond De problemen Uitgangspunten Mogelijke oplossingen Dé oplossing De toekomst Conclusie
3 Achtergrond FttD Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS SURFnet backbone
4 Problemen/uitdagingen Mobiliteit –Gastgebruik –Verschillende types netwerken Verkeersscheiding Beveiliging Authenticatie & Autorisatie Conclusie: Op zoek naar een generieke (lees: middleware) oplossing voor het authenticatie en autorisatie probleem
5 Uitgangspunten Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud –Beheerbaar –Laagdrempelig voor gebruiker Schaalbaar –Gebruik bestaande infrastructuur –Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling –Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden
6 Mogelijke oplossingen 1.Open netwerk 2.Open netwerk + MAC-authenticatie 3.WEP (draadloos) 4.Open netwerk + VPN-gateway 5.Open netwerk + web gateway 6.IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary), PPPoE (niet breed gedeployed)
7 1. Open netwerk Geeft open ethernet connectiviteit, IP-address via DHCP Geen client software nodig (DHCP is alom aanwezig) Access control is moeilijk Network is open (sniffing eenvoudig, elke client en server op het LAN is bereikbaar)
8 2. Open netwerk + MAC authenticatie Zelfde als 1, maar het MAC-address van de netwerkkaart wordt geverifieerd Administratie MAC addressen nodig MAC addressen kunnen relatief eenvoudig gespoofed worden Gast gebruik erg lastig
9 3. WEP (wireless) Laag 2 encryptie tussen Client en Access Point Client moet (statische) WEP-key weten Operationele nachtmerrie bij wijzigen keys Sommige WEP-keys zijn erg makkelijk te kraken (sommige iets minder) Niet veilig
10 4. Open netwerk + VPN Gateway Open (onveilig) besloten netwerk, client moet authenticeren op een IP VPN-concentrator om buiten het besloten netwerk te komen Client software nodig Leveranciers-specifiek Schaalt slecht VPN-concentrators zijn duur Gastgebruik erg lastig Bij gastgebruik toch nog een extra VPN nodig
11 5. Open netwerk + web gateway Open (besloten) netwerk, een gateway tussen (W)LAN en de rest van het netwerk onderschept alle verkeer (session intercept) Gast toegang eenvoudig Browser noodzakelijk Lastig veilig te maken
12 6. IEEE 802.1X Echte toegangsoplossing (Laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes mogelijk (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Uitbreidbaar Gestandaardiseerd Encrypt alle data RADIUS back end: –Schaalbaar –Hergebruik bestaande trust-relaties Client software nodig (3d party of ingebouwd)
13 Evaluatie 802.1X Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud Beheerbaar Laagdrempelig voor gebruiker => SecureW2 Schaalbaar Gebruik bestaande infrastructuur Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden
14 Maar welk EAP-type? MD5, MS-CHAPv2: zwak TLS: sterk maar vereist client en server certificaat, en dus PKI TTLS: sterk: tunnel, daarbinnen authenticatie PEAP: sterk: tunnel, daarbinnen authenticatie, problemen Cisco MS SIM: semi-sterk maar nog niet wijdverbreid
15 Huidige status UT, HvA 1X in productie UvA, UvT, TUD, RUG in testfase Meeste anderen in evaluatiefase Op basis van EAP-TTLS met SecureW2 of TLS Contract met publieke WLAN operator getekend (publieke hotspots in aantal steden op basis van 1X voor de hele SURFnet doelgroep) i.h.k.v. Freeband In Europees verband moet de knoop nog worden doorgehakt i.h.k.v TERENA TF-Mobility
16 De toekomst x Nieuwe EAP typen WPA (pre standard i, TKIP) i: 802.1x + eerst TKIP, later AES Applicatie Integratie met A-Select
17 A-Select Apache IIS Blackboard Citrix Mobac Niegebach 802.1X???? (geen web!)
18 Conclusie 802.1X is beschikbaar 802.1X werkt 802.1X is schaalbaar 802.1X is veilig 802.1X is uitbreidbaar 802.1X maakt gastgebruik mogelijk 802.1X is de toekomst Dus SURFnet kiest voor…..
19 Meer informatie