De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein.

Verwante presentaties


Presentatie over: "EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein."— Transcript van de presentatie:

1 EduRoam en 802.1X workshop Klaas.Wierenga@SURFnet.nl & Paul.Dekkers@SURFnet.nl SURFnet Relatiedagen 8 December 2004 Nieuwegein

2 2 Inhoud Aanleiding 802.1X EduRoam Practicum uitleg –De RADIUS-server –Het Access Point –De laptop

3 3 WLAN is onveilig root@ibook:~# tcpdump -n -i eth1 19:52:08.995104 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.996412 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:08.997961 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.999220 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:09.000581 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:09.003162 10.0.1.1 > 10.0.1.2: icmp: echo reply ^C

4 4 Gebruikers zijn mobiel Access Provider Kabel Instelling A WLAN Instelling B WLAN Access Provider ADSL Internationale connectiviteit Access Provider WLAN Access Provider GPRS/ UMTS SURFnet backbone

5 5 Eisen Identificeer gebruikers uniek aan de rand van het netwerk –Geen session hijacking Maak gastgebruik mogelijk Schaalbaar –Lokale gebruikersadministratie en -authenticatie –Gebruik bestaande RADIUS-infrastructuur Eenvoudig te installeren en gebruiken Open –Ondersteuning voor alle gebruikelijke OSsen –Leveranciers onafhankelijk Veilig

6 6 Mogelijke oplossingen Open access: Schaalbaar, Onveilig MAC-address: Onschaalbaar, Onveilig WEP: Onschaalbaar, Onveilig Europese NRENs: Web-gateway: Schaalbaar Onveilig VPN-gateway: Onschaalbaar, Veilig 802.1X: Schaalbaar, Veilig, maar nieuw

7 7 IEEE 802.1X Poortgebaseerde toegangsbeveiliging (laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP) Gestandaardiseerd Encryptie van alle data, met dynamische sleutels RADIUS back end: –Schaalbaar –Gebruik bestaande vertrouwensstructuur (RADIUS) Eenvoudige integratie met dynamische VLAN-toewijzing Client software nodig (in OS of 3d party) Voor draadloos én vast

8 8 Hoe werkt 802.1X (in combinatie met 802.1Q)? data signalering EAPOL EAP over RADIUS bijv. LDAP RADIUS server Instelling A Internet Authenticator (AP of switch) User DB jan@student.instelling_a.nl Studenten VLAN Gasten VLAN Medewerkers VLAN Supplicant

9 9 EduRoam (RADIUS-proxy) RADIUS server Instelling B RADIUS server Instellinng A SURFnet Centrale RADIUS Proxy server Authenticator (AP of switch) User DB Supplicant Gast piet@instelling_b.nl Studenten VLAN Gasten VLAN Medewerkers VLAN data signalerling Trust fabric gebaseerd op RADIUS 802.1X en EAP (802.1Q VLAN toewijzing)

10 10 Practicum opgave Authentication Server (RADIUS server) Internet Authenticator (AP of switch) User DB Supplicant Configureren RADIUS-server Configureren AP Configureren Laptop

11 De RADIUS-server

12 12 Koppeling tussen RADIUS-server en AP Secret supergeheim Identifier ACCESSPOINT1

13 13 Configureren handler voor de realm groepx.rd.surfnet.nl Filename filename EAPType TTLS, PEAP, MSCHAP-V2 EAPTLS_CAFile %D/root.pem EAPTLS_CertificateFile %D/server.pem EAPTLS_CertificateType PEM EAPTLS_PrivateKeyFile %D/server.pem EAPTLS_PrivateKeyPassword serverkey EAPTLS_MaxFragmentSize 1024 AutoMPPEKeys EAPAnonymous anonymous@groepx.rd.surfnet.nl

14 14 Maak een user database klaas@groepx.rd.surfnet.nlklaas@groepx.rd.surfnet.nl Password=geheim paul@groepx.rd.surfnet.nlpaul@groepx.rd.surfnet.nl Password=noggeheimer

15 Het Access Point

16 16 Configureren 802.1X op AP

17 17 Juiste RADIUS-poorten op AP

18 De laptop

19 19 Selecteer de WLAN adapter

20 20 Configureer een nieuw WLAN

21 21 Selecteer het SSID van jullie groep

22 22 Selecteer 802.1X authenticatie met SecureW2

23 23 Configureer SecureW2

24 24 Vul de gebruikersgegevens in

25 En nu jullie!


Download ppt "EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein."

Verwante presentaties


Ads door Google