Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdLaurens Molenaar Laatst gewijzigd meer dan 10 jaar geleden
1
EduRoam en 802.1X workshop Klaas.Wierenga@SURFnet.nl & Paul.Dekkers@SURFnet.nl SURFnet Relatiedagen 8 December 2004 Nieuwegein
2
2 Inhoud Aanleiding 802.1X EduRoam Practicum uitleg –De RADIUS-server –Het Access Point –De laptop
3
3 WLAN is onveilig root@ibook:~# tcpdump -n -i eth1 19:52:08.995104 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.996412 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:08.997961 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.999220 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:09.000581 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:09.003162 10.0.1.1 > 10.0.1.2: icmp: echo reply ^C
4
4 Gebruikers zijn mobiel Access Provider Kabel Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS/ UMTS SURFnet backbone
5
5 Eisen Identificeer gebruikers uniek aan de rand van het netwerk –Geen session hijacking Maak gastgebruik mogelijk Schaalbaar –Lokale gebruikersadministratie en -authenticatie –Gebruik bestaande RADIUS-infrastructuur Eenvoudig te installeren en gebruiken Open –Ondersteuning voor alle gebruikelijke OSsen –Leveranciers onafhankelijk Veilig
6
6 Mogelijke oplossingen Open access: Schaalbaar, Onveilig MAC-address: Onschaalbaar, Onveilig WEP: Onschaalbaar, Onveilig Europese NRENs: Web-gateway: Schaalbaar Onveilig VPN-gateway: Onschaalbaar, Veilig 802.1X: Schaalbaar, Veilig, maar nieuw
7
7 IEEE 802.1X Poortgebaseerde toegangsbeveiliging (laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP) Gestandaardiseerd Encryptie van alle data, met dynamische sleutels RADIUS back end: –Schaalbaar –Gebruik bestaande vertrouwensstructuur (RADIUS) Eenvoudige integratie met dynamische VLAN-toewijzing Client software nodig (in OS of 3d party) Voor draadloos én vast
8
8 Hoe werkt 802.1X (in combinatie met 802.1Q)? data signalering EAPOL EAP over RADIUS bijv. LDAP RADIUS server Instelling A Internet Authenticator (AP of switch) User DB jan@student.instelling_a.nl Studenten VLAN Gasten VLAN Medewerkers VLAN Supplicant
9
9 EduRoam (RADIUS-proxy) RADIUS server Instelling B RADIUS server Instellinng A SURFnet Centrale RADIUS Proxy server Authenticator (AP of switch) User DB Supplicant Gast piet@instelling_b.nl Studenten VLAN Gasten VLAN Medewerkers VLAN data signalerling Trust fabric gebaseerd op RADIUS 802.1X en EAP (802.1Q VLAN toewijzing)
10
10 Practicum opgave Authentication Server (RADIUS server) Internet Authenticator (AP of switch) User DB Supplicant Configureren RADIUS-server Configureren AP Configureren Laptop
11
De RADIUS-server
12
12 Koppeling tussen RADIUS-server en AP Secret supergeheim Identifier ACCESSPOINT1
13
13 Configureren handler voor de realm groepx.rd.surfnet.nl Filename filename EAPType TTLS, PEAP, MSCHAP-V2 EAPTLS_CAFile %D/root.pem EAPTLS_CertificateFile %D/server.pem EAPTLS_CertificateType PEM EAPTLS_PrivateKeyFile %D/server.pem EAPTLS_PrivateKeyPassword serverkey EAPTLS_MaxFragmentSize 1024 AutoMPPEKeys EAPAnonymous anonymous@groepx.rd.surfnet.nl
14
14 Maak een user database klaas@groepx.rd.surfnet.nlklaas@groepx.rd.surfnet.nl Password=geheim paul@groepx.rd.surfnet.nlpaul@groepx.rd.surfnet.nl Password=noggeheimer
15
Het Access Point
16
16 Configureren 802.1X op AP
17
17 Juiste RADIUS-poorten op AP
18
De laptop
19
19 Selecteer de WLAN adapter
20
20 Configureer een nieuw WLAN
21
21 Selecteer het SSID van jullie groep
22
22 Selecteer 802.1X authenticatie met SecureW2
23
23 Configureer SecureW2
24
24 Vul de gebruikersgegevens in
25
En nu jullie!
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.