EduRoam SEC seminar, 22 februari 2005

2 Inhoud Aanleiding voor EduRoam Implementatie –Eisen –Techniek –Policy Status EduRoam De toekomst

3 Wireless LAN is onveilig tcpdump -n -i eth1 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply ^C

4 Gebruikers zijn mobiel Access Provider Kabel Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS/ UMTS SURFnet backbone

5 Eisen Identificeer gebruikers uniek aan de rand van het netwerk –Geen sessie diefstal Maak gastgebruik mogelijk Schaalbaar –Lokale gebruikersadministratie en –authenticatie –Geen exponentiële beheerslast bij deelname Eenvoudig te installeren en gebruiken –Hooguit eenmalige installatie door gebruiker Open –Ondersteuning voor alle gebruikelijke OSsen –Leverancier onafhankelijk Veilig

6 Mogelijke oplossingen Open toegang: Schaalbaar, Onveilig MAC-addres: Niet schaalbaar, Onveilig WEP: Niet schaalbaar, Onveilig Europese collega-netwerken: Web-gateway+RADIUS: Schaalbaar, Onveilig VPN-gateway: Niet schaalbaar, Veilig 802.1X+RADIUS: Schaalbaar, Veilig, (destijds) Nieuw

7 EduRoam architectuur Security op basis van de 802.1X –Verschillende authenticatiemechanismen mogelijk –Persoonsgebonden toegang –Wederzijdse authenticatie mogelijk –Bescherming van credentials –Integratie met VLAN toewijzing –Basis nieuwe beveiligingstandaarden WPA en i Roaming op basis van RADIUS proxying –Remote Authentication Dial In User Service –Transport-protocol voor authenticatie informatie Vertrouwensinfrastructuur op basis van: –Technisch: RADIUS hiërarchie –Beleidsmatig: Policy documenten die verantwoordelijkheden van gebruiker, instelling en SURFnet vastleggen

8 Een veilige toegang tot het instellingsnetwerk met 802.1X data signalering RADIUS server Instelling A Internet Authenticator (AP of switch) User DB Studenten VLAN Gasten VLAN Medewerkers VLAN Supplicant 802.1X (VLAN toewijzing)

9 EduRoam RADIUS server Instelling B RADIUS server Instellinng A SURFnet Centrale RADIUS Proxy server Authenticator (AP of switch) User DB Supplicant Gast Studenten VLAN Klanten VLAN Medewerkers VLAN data signalerling Vertrouwen gebaseerd op RADIUS ondersteund door policy documenten 802.1X (VLAN toewijzing)

10 Getunnelde authenticatie Gebruikt TLS/SSL tunnel om data af te schermen –De TLS tunnel wordt opgezet gebruik makend van het server certificaat, hierdoor wordt automatisch de server geauthenticeerd en worden man-in-the-middle attacks voorkomen –De user stuur zijn credentials door de veilige tunnel naar de server Kan dynamische sessie sleutels gebruiken voor ‘in de lucht’ encryptie © Alfa&Ariss

11 Status van EduRoam Meer dan 350 instellingen in Europa en Australië Meer dan 20 instellingen in Nederland

12 Toekomst: Usertracking

13 Toekomst: Toegang tot andere diensten?.nl Elsevier.nl Rug.nl…Windesheim.nl gebruikers database Mag Elsevier tijdschrift x online In het algemeen: Hoe kunnen attributen getransporteerd worden binnen EduRoam?

14 Conclusies De combinatie van 802.1X met RADIUS geeft een veilige en schaalbare toegang tot het eigen instellingsnetwerk Beveiligen van een netwerk op basis van 802.1X+RADIUS is een toekomstvaste investering Deelname aan EduRoam is een kleine stap voor de beheerder maar een grote sprong voor de gebruikers

15 Meer informatie EduRoam in SURFnet – EduRoam in Europa – TERENA TF-Mobility – The unofficial IEEE security page –