EduRoam SEC seminar, 22 februari 2005

Slides:



Advertisements
Verwante presentaties
Thuisnetwerken. Thuisnetwerken Enkele statistieken 77% Belgische huisgezinnen met minstens één persoon tussen 16 en 74 jaar  minstens één of meerdere.
Advertisements

13/09/2004 Voice over IP/ IP Telephony Erwin Manshoven VoIP / IPTelephony.
802.1x op het SURFnet kantoor
WEB toepassingen. Wat is een WEB toepassing of applicatie t.t.z... een WEB applicatie is een applicatieprogramma welke je via internet kunt gebruiken,
Onderwerpen Oude situatie Eerste aanpak en problemen
IT-Workz Welkom bij IT-Workz WiFi, Vrijheid of niet?
Het Internet, achteruit of vooruit? Erik Huizer NOB Cross Media Facilities Faculteit Elektrotechniek, Wiskunde & Informatica.
Internet College 1 Architecturen.
Carl Possemiers CRM-manager 9 december 2005
Door Kick de Wolff Netwerk thuis maken Door Kick de Wolff
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
SSL, HTTPS en SSH Johnny Schaap.
Enkele weetjes Hoe stel ik een router in als access point
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
GigaPortGigaPort Klaas Wierenga 14 Maart 2001.
Wireless Fidelity Theorie en Praktijk.
Homcom Ledenvergadering 24/09/2012. Hotspot of Homespot.
WiFi netwerk Door Nico Van Damme.
EduRoam en beveiliging
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
(Gast)gebruik van (W)LAN op basis van 802.1X
The vision at work Batteries included Ervaringen van een ISV op hosting avontuur Sven Middelkoop Corporate ICT Manager Exact Holding N.V.
Werken aan Intergenerationele Samenwerking en Expertise.
Cryptografische algoritmen en protocols (4) Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
GigaPortGigaPort Klaas Wierenga 8 Mei 2001.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Hoogwaardig internet voor hoger onderwijs en onderzoek Location Based Services SURFnet Expertise Seminar 12 Oktober 2005
Middleware voor geavanceerde diensten SURFnet Relatiedagen, 9 December 2004
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein.
Veilige gast-toegang tot het instellingsnetwerk met 802.1X RADIUS server Instelling B RADIUS server Instelling A SURFnet Centrale SURFnet RADIUS server.
802.1X in SURFnet Intern seminar over 802.1X 24 Mei 2004 Utrecht.
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
SURFworksSURFworks Voorbeeldomgevingen –DOEL –Showcase –VAT –(3D)Presence Technologieproeven –Samenwerking (presence, VR, conferencing) –Informatieontsluiting.
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Uitbreiding WiFi diensten SURFnet TO 1 Mei 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
Universele toegang: over federaties
eduroam case study HU IT support
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Your GateWay to the Finest Academic Research papers in the Netherlands Technische aspecten: de ARNO archive server Thomas Place KUB.
PVGE Computerclub Best
Inleiding tot de multifunctionele aangifte
Steven Körmeling, Mark Rotteveel, Jan Kouwenhoven januari 2006
WIFI Efficient maar veilig draadloos netwerken Jan Guldentops
STERKE AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Business model SuaaS Eefje van der Harst – Productmanager SURFconext.
Patrick Huysmans. IEEE a IEEE b IEEE g IEEE n IEEE ac.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
1 Freeband Test bed: de speeltuin voor draadloze communicatie in Nederland t.b.v. V&W Mobiele Informatiediensten Observer 10 april 2003, Oudaen Utrecht.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Algemene Techniek Wireless Leiden, 2004, Hugo Meiland.
Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.
Ronald Wassink Senior ICT docent Cisco - Security – Virtualisatie
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
Byspy, het op internet technieken gebaseerde bewakingssysteem Agenda Inleiding met power point presentatie Live demonstraties via internet Vragen Afsluiting.
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
Salesforce Partner van Ordina Flexibel 3 Schaalbaar van 1 tot gebruikers Gebruik naar behoefte Eenvoudig aan te passen.
WirelessCity Ontdek de mogelijkheden van HP Wireless
WIFI IN DE GEZONDHEIDSZORG
The Hybrid Workspace Gino van Essen Technical Consultant.
Faciliteiten voor toegang tot het EURnet voor mobiele werkstations
UT Gert Meijerink Service Departement for Information Technology, Library and Education (ITBE) DFN 2004.
… een poging tot verheldering …
Gebruikersdag 2017 Welkom.
Transcript van de presentatie:

EduRoam SEC seminar, 22 februari 2005

2 Inhoud Aanleiding voor EduRoam Implementatie –Eisen –Techniek –Policy Status EduRoam De toekomst

3 Wireless LAN is onveilig tcpdump -n -i eth1 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply ^C

4 Gebruikers zijn mobiel Access Provider Kabel Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS/ UMTS SURFnet backbone

5 Eisen Identificeer gebruikers uniek aan de rand van het netwerk –Geen sessie diefstal Maak gastgebruik mogelijk Schaalbaar –Lokale gebruikersadministratie en –authenticatie –Geen exponentiële beheerslast bij deelname Eenvoudig te installeren en gebruiken –Hooguit eenmalige installatie door gebruiker Open –Ondersteuning voor alle gebruikelijke OSsen –Leverancier onafhankelijk Veilig

6 Mogelijke oplossingen Open toegang: Schaalbaar, Onveilig MAC-addres: Niet schaalbaar, Onveilig WEP: Niet schaalbaar, Onveilig Europese collega-netwerken: Web-gateway+RADIUS: Schaalbaar, Onveilig VPN-gateway: Niet schaalbaar, Veilig 802.1X+RADIUS: Schaalbaar, Veilig, (destijds) Nieuw

7 EduRoam architectuur Security op basis van de 802.1X –Verschillende authenticatiemechanismen mogelijk –Persoonsgebonden toegang –Wederzijdse authenticatie mogelijk –Bescherming van credentials –Integratie met VLAN toewijzing –Basis nieuwe beveiligingstandaarden WPA en i Roaming op basis van RADIUS proxying –Remote Authentication Dial In User Service –Transport-protocol voor authenticatie informatie Vertrouwensinfrastructuur op basis van: –Technisch: RADIUS hiërarchie –Beleidsmatig: Policy documenten die verantwoordelijkheden van gebruiker, instelling en SURFnet vastleggen

8 Een veilige toegang tot het instellingsnetwerk met 802.1X data signalering RADIUS server Instelling A Internet Authenticator (AP of switch) User DB Studenten VLAN Gasten VLAN Medewerkers VLAN Supplicant 802.1X (VLAN toewijzing)

9 EduRoam RADIUS server Instelling B RADIUS server Instellinng A SURFnet Centrale RADIUS Proxy server Authenticator (AP of switch) User DB Supplicant Gast Studenten VLAN Klanten VLAN Medewerkers VLAN data signalerling Vertrouwen gebaseerd op RADIUS ondersteund door policy documenten 802.1X (VLAN toewijzing)

10 Getunnelde authenticatie Gebruikt TLS/SSL tunnel om data af te schermen –De TLS tunnel wordt opgezet gebruik makend van het server certificaat, hierdoor wordt automatisch de server geauthenticeerd en worden man-in-the-middle attacks voorkomen –De user stuur zijn credentials door de veilige tunnel naar de server Kan dynamische sessie sleutels gebruiken voor ‘in de lucht’ encryptie © Alfa&Ariss

11 Status van EduRoam Meer dan 350 instellingen in Europa en Australië Meer dan 20 instellingen in Nederland

12 Toekomst: Usertracking

13 Toekomst: Toegang tot andere diensten?.nl Elsevier.nl Rug.nl…Windesheim.nl gebruikers database Mag Elsevier tijdschrift x online In het algemeen: Hoe kunnen attributen getransporteerd worden binnen EduRoam?

14 Conclusies De combinatie van 802.1X met RADIUS geeft een veilige en schaalbare toegang tot het eigen instellingsnetwerk Beveiligen van een netwerk op basis van 802.1X+RADIUS is een toekomstvaste investering Deelname aan EduRoam is een kleine stap voor de beheerder maar een grote sprong voor de gebruikers

15 Meer informatie EduRoam in SURFnet – EduRoam in Europa – TERENA TF-Mobility – The unofficial IEEE security page –