SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.

Slides:



Advertisements
Verwante presentaties
Thuisnetwerken. Thuisnetwerken Enkele statistieken 77% Belgische huisgezinnen met minstens één persoon tussen 16 en 74 jaar  minstens één of meerdere.
Advertisements

13/09/2004 Voice over IP/ IP Telephony Erwin Manshoven VoIP / IPTelephony.
802.1x op het SURFnet kantoor
Hardware voor draadloos netwerk
Evaluatie van MS Exchange 2000 en opzetten van een server voor wereldwijde uitwisseling van projectinformatie Bertels David 3ICT1 Stageplaats: Acros Organics.
Onderwerpen Oude situatie Eerste aanpak en problemen
Carl Possemiers CRM-manager 9 december 2005
Netwerken Wat is een netwerk ?
De PROFIBUS, PROFINET & IO-Link dag 2011
Aansluiten !! WirelessLeiden, 2004, Hugo Meiland.
LANCOM Systems – Bausch Datacom
Wireless internet Voordracht bij HCC Zoetermeer op dinsdag 8 december 2009 door Theo de Zeeuw Deel 1.
Server Management Framework
Blok 7: netwerken Les 4 Christian Bokhove Vraag Hoe kunnen ´vele´ gebruikers communiceren (informatie uitwisselen) met dezelfde physical service provider?
Door Kick de Wolff Netwerk thuis maken Door Kick de Wolff
Presentatie Thuisnetwerken
Enkele weetjes Hoe stel ik een router in als access point
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
GigaPortGigaPort Klaas Wierenga 14 Maart 2001.
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.
Wireless Fidelity Theorie en Praktijk.
Homcom Ledenvergadering 24/09/2012. Hotspot of Homespot.
WiFi netwerk Door Nico Van Damme.
EduRoam en beveiliging
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.
Automation and Drives PROFINET technologie A&D AS/PT2/MC, 08/2005 Trends & functionaliteit PROFINET  Real-time communicatie  Veldunits  Motion Control.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
(Gast)gebruik van (W)LAN op basis van 802.1X
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
The vision at work Batteries included Ervaringen van een ISV op hosting avontuur Sven Middelkoop Corporate ICT Manager Exact Holding N.V.
Breedbandverkeer in draadloze netwerken
Toelichting VERA als Integrator Galmaarden 4 februari 2010.
Werken aan Intergenerationele Samenwerking en Expertise.
GigaPortGigaPort Klaas Wierenga 8 Mei 2001.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Eduroam BELnet bezoek, 18 juli 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein.
Veilige gast-toegang tot het instellingsnetwerk met 802.1X RADIUS server Instelling B RADIUS server Instelling A SURFnet Centrale SURFnet RADIUS server.
802.1X in SURFnet Intern seminar over 802.1X 24 Mei 2004 Utrecht.
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
Universele toegang: over federaties
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Steven Körmeling, Mark Rotteveel, Jan Kouwenhoven januari 2006
WIFI Efficient maar veilig draadloos netwerken Jan Guldentops
PADS4 maakt het eenvoudig om informatie te verspreiden naar een specifiek publiek op de juiste plaats en het juiste moment PADS4 is een professionele oplossing.
Patrick Huysmans. IEEE a IEEE b IEEE g IEEE n IEEE ac.
Virtual Knowledge Center Doelstelling KBC Verzekeringen - 13 november 2003.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
1 Freeband Test bed: de speeltuin voor draadloze communicatie in Nederland t.b.v. V&W Mobiele Informatiediensten Observer 10 april 2003, Oudaen Utrecht.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Algemene Techniek Wireless Leiden, 2004, Hugo Meiland.
Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.
3CX Telefoon Centrales. 3CX Products – 3CX Phone System 3CX Phone System.
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
Kansen voor ICT Reseller Vast/mobiel SMS Gateways Remote beheer van de PBX Machine-to-Machine.
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
WirelessCity Ontdek de mogelijkheden van HP Wireless
WIFI IN DE GEZONDHEIDSZORG
Faciliteiten voor toegang tot het EURnet voor mobiele werkstations
LOREnet feb
Florence heeft in 2007 een LAN en WLAN netwerk aangelegd.
Netwerken & Internet 1.
Transcript van de presentatie:

SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003

2 Inhoud Achtergrond De problemen Uitgangspunten Mogelijke oplossingen Dé oplossing De toekomst Conclusie

3 Achtergrond FttD Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS SURFnet backbone

4 Problemen/uitdagingen Mobiliteit –Gastgebruik –Verschillende types netwerken Verkeersscheiding Beveiliging Authenticatie & Autorisatie Conclusie: Op zoek naar een generieke (lees: middleware) oplossing voor het authenticatie en autorisatie probleem

5 Uitgangspunten Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud –Beheerbaar –Laagdrempelig voor gebruiker Schaalbaar –Gebruik bestaande infrastructuur –Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling –Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

6 Mogelijke oplossingen 1.Open netwerk 2.Open netwerk + MAC-authenticatie 3.WEP (draadloos) 4.Open netwerk + VPN-gateway 5.Open netwerk + web gateway 6.IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary), PPPoE (niet breed gedeployed)

7 1. Open netwerk Geeft open ethernet connectiviteit, IP-address via DHCP Geen client software nodig (DHCP is alom aanwezig) Access control is moeilijk Network is open (sniffing eenvoudig, elke client en server op het LAN is bereikbaar)

8 2. Open netwerk + MAC authenticatie Zelfde als 1, maar het MAC-address van de netwerkkaart wordt geverifieerd Administratie MAC addressen nodig MAC addressen kunnen relatief eenvoudig gespoofed worden Gast gebruik erg lastig

9 3. WEP (wireless) Laag 2 encryptie tussen Client en Access Point Client moet (statische) WEP-key weten Operationele nachtmerrie bij wijzigen keys Sommige WEP-keys zijn erg makkelijk te kraken (sommige iets minder) Niet veilig

10 4. Open netwerk + VPN Gateway Open (onveilig) besloten netwerk, client moet authenticeren op een IP VPN-concentrator om buiten het besloten netwerk te komen Client software nodig Leveranciers-specifiek Schaalt slecht VPN-concentrators zijn duur Gastgebruik erg lastig Bij gastgebruik toch nog een extra VPN nodig

11 5. Open netwerk + web gateway Open (besloten) netwerk, een gateway tussen (W)LAN en de rest van het netwerk onderschept alle verkeer (session intercept) Gast toegang eenvoudig Browser noodzakelijk Lastig veilig te maken

12 6. IEEE 802.1X Echte toegangsoplossing (Laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes mogelijk (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Uitbreidbaar Gestandaardiseerd Encrypt alle data RADIUS back end: –Schaalbaar –Hergebruik bestaande trust-relaties Client software nodig (3d party of ingebouwd)

13 Evaluatie 802.1X Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud Beheerbaar  Laagdrempelig voor gebruiker => SecureW2 Schaalbaar Gebruik bestaande infrastructuur Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

14 Maar welk EAP-type? MD5, MS-CHAPv2: zwak TLS: sterk maar vereist client en server certificaat, en dus PKI TTLS: sterk: tunnel, daarbinnen authenticatie PEAP: sterk: tunnel, daarbinnen authenticatie, problemen Cisco MS SIM: semi-sterk maar nog niet wijdverbreid

15 Huidige status UT, HvA 1X in productie UvA, UvT, TUD, RUG in testfase Meeste anderen in evaluatiefase Op basis van EAP-TTLS met SecureW2 of TLS Contract met publieke WLAN operator getekend (publieke hotspots in aantal steden op basis van 1X voor de hele SURFnet doelgroep) i.h.k.v. Freeband In Europees verband moet de knoop nog worden doorgehakt i.h.k.v TERENA TF-Mobility

16 De toekomst x Nieuwe EAP typen WPA (pre standard i, TKIP) i: 802.1x + eerst TKIP, later AES Applicatie Integratie met A-Select

17 A-Select Apache IIS Blackboard Citrix Mobac Niegebach 802.1X???? (geen web!)

18 Conclusie 802.1X is beschikbaar 802.1X werkt 802.1X is schaalbaar 802.1X is veilig 802.1X is uitbreidbaar 802.1X maakt gastgebruik mogelijk 802.1X is de toekomst Dus SURFnet kiest voor…..

19 Meer informatie