Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdSimona Smets Laatst gewijzigd meer dan 10 jaar geleden
1
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006 Klaas.Wierenga@surfnet.nl
2
Hoogwaardig internet voor hoger onderwijs en onderzoek Inhoud Aanleiding voor eduroam Implementatie –Eisen –Techniek –Policy Status eduroam De toekomst
3
Hoogwaardig internet voor hoger onderwijs en onderzoek Gebruikers zijn mobiel Access Provider Kabel Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS/ UMTS SURFnet backbone
4
Hoogwaardig internet voor hoger onderwijs en onderzoek Wireless LAN is onveilig root@ibook:~# tcpdump -n -i eth1 19:52:08.995104 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.996412 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:08.997961 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.999220 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:09.000581 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:09.003162 10.0.1.1 > 10.0.1.2: icmp: echo reply ^C
5
Hoogwaardig internet voor hoger onderwijs en onderzoek Eisen Identificeer gebruikers uniek aan de rand van het netwerk –Geen sessie diefstal Maak gastgebruik mogelijk Schaalbaar –Lokale gebruikersadministratie en –authenticatie –Geen exponentiële beheerslast bij deelname Eenvoudig te installeren en gebruiken –Hooguit eenmalige installatie door gebruiker Open –Ondersteuning voor alle gebruikelijke OSsen –Leverancier onafhankelijk Veilig
6
Hoogwaardig internet voor hoger onderwijs en onderzoek Mogelijke oplossingen Open toegang: schaalbaar, onveilig MAC-addres: niet schaalbaar, onveilig WEP: niet schaalbaar, onveilig In Europa: Web-gateway+RADIUS: schaalbaar, onveilig VPN-gateway: niet schaalbaar, veilig 802.1X+RADIUS: schaalbaar, veilig, toekomstvast (WPA, WPA2)
7
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam architectuur Security op basis van de 802.1X –Verschillende authenticatiemechanismen mogelijk –Persoonsgebonden toegang –Wederzijdse authenticatie mogelijk –Bescherming van credentials –Integratie met VLAN toewijzing –Basis nieuwe beveiligingstandaarden WPA en 802.11i Roaming op basis van RADIUS proxying –Remote Authentication Dial In User Service –Transport-protocol voor authenticatie informatie Vertrouwensinfrastructuur op basis van: –Technisch: RADIUS hiërarchie –Beleidsmatig: Policy documenten die verantwoordelijkheden van gebruiker, instelling en NREN vastleggen
8
Hoogwaardig internet voor hoger onderwijs en onderzoek Een veilige toegang tot het instellingsnetwerk met 802.1X data signalering RADIUS server Instelling A Internet Authenticator (AP of switch) User DB jan@student.instelling_a.nl Studenten VLAN Gasten VLAN Medewerkers VLAN Supplicant 802.1X (VLAN toewijzing)
9
Hoogwaardig internet voor hoger onderwijs en onderzoek De eduroam federatieve toegang RADIUS server Instelling B RADIUS server Instellinng A SURFnet Centrale RADIUS Proxy server Authenticator (AP of switch) User DB Supplicant Gast piet@instelling_b.nl Studenten VLAN Klanten VLAN Medewerkers VLAN data signalering Vertrouwen gebaseerd op RADIUS ondersteund door policy documenten 802.1X (VLAN toewijzing)
10
Hoogwaardig internet voor hoger onderwijs en onderzoek Getunnelde authenticatie Gebruikt TLS/SSL tunnel om data af te schermen –De TLS tunnel wordt opgezet gebruik makend van het server certificaat, hierdoor wordt automatisch de server geauthenticeerd en worden man-in-the-middle attacks voorkomen –De user stuur zijn credentials door de veilige tunnel naar de server Kan dynamische sessie sleutels gebruiken voor ‘in de lucht’ encryptie © Alfa&Ariss
11
Hoogwaardig internet voor hoger onderwijs en onderzoek Status van eduroam Meer dan 400 instellingen in Europa, Australië en Azië Meer dan 25 instellingen in Nederland
12
Hoogwaardig internet voor hoger onderwijs en onderzoek Volgende stap: o.a. Usertracking Zie ook presentatie Paul Dekkers voor meer toekomstmuziek
13
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam voor applicatietoegang? Maar hoe bescherm je de credentials? Hoe doe je attributenuitwisseling?.nl Elsevier.nl gebruiker@uva.nl hu.nl…rug.nl gebruikers database
14
Hoogwaardig internet voor hoger onderwijs en onderzoek Conclusies De combinatie van 802.1X met RADIUS geeft een veilige en schaalbare toegang tot het eigen instellingsnetwerk eduroam is een (zeer) succesvolle toepassing van federaties Met eduroam kan beperkte autorisatie gedaan worden, maar voor meer complexe en applicatie-autorisatie is A- Select noodzakelijk. Velen gingen u voor dus…..
15
Hoogwaardig internet voor hoger onderwijs en onderzoek Doe mee met…..
16
Hoogwaardig internet voor hoger onderwijs en onderzoek Meer informatie eduroam in SURFnet –http://www.eduroam.nlhttp://www.eduroam.nl Usertracking –http://usertracking.surfnet.nl eduroam in Europa –http://www.eduroam.org TERENA TF-Mobility –http://www.terena.nl/mobilityhttp://www.terena.nl/mobility The unofficial IEEE802.11 security page –http://www.drizzle.com/~aboba/IEEEhttp://www.drizzle.com/~aboba/IEEE
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.