Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdSarah Visser Laatst gewijzigd meer dan 10 jaar geleden
2
802.1X in SURFnet Klaas.Wierenga@SURFnet.nl Intern seminar over 802.1X 24 Mei 2004 Utrecht
3
2 Inhoud Achtergrond Eisen 802.1X EduRoam Conclusie
4
3 Bedreigingen Mac-address and SSID discovery –TCPdump –Ethereal –Kismet WEP cracking –Airsnort Man-in-the-middle attacks
5
4 Voorbeeld: Kismet+Airsnort root@ibook:~# tcpdump -n -i eth1 19:52:08.995104 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.996412 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:08.997961 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.999220 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:09.000581 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:09.003162 10.0.1.1 > 10.0.1.2: icmp: echo reply ^C
6
5 Kansen Access Provider POTS Institution A WLAN Institution B WLAN Access Provider ADSL International connectivity Access Provider WLAN Access Provider GPRS SURFnet backbone
7
6 Eisen Veilig Unieke identificatie gebruikers aan rand netwerk Ondersteuning gastgebruik Schaalbaar Eenvoudige installatie en gebruik Open
8
7 IEEE 802.1X Porrtgebaseerde authenticatie (laag 2) tussen client en AP/switch Verschillende authenticatie mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP) Standaard Encrypt data gebruik makend van dynamische keys Kan RADIUS back end gebruiken: –Schaalbaar –Hergebruik bestaande trust relaties Eenvoudige integratie met dynamische VLAN toewijzing (802.1Q) Client software nodig (ingebouwd of 3d party) Wireless en wired
9
8 Hoe werkt 802.1X (in combinatie met 802.1Q)? data signalling EAPOL EAP over RADIUS f.i. LDAP RADIUS server Institution A Internet Authenticator (AP or switch) User DB jan@student.institution_a.nl Student VLAN Guest VLAN Employee VLAN Supplicant
10
9 Door de protocol stack EAP Ethernet EAPOL RADIUS (TCP/IP) 802.1X Auth. Server (RADIUS server) Authenticator (AccessPoint, Switch) Supplicant (laptop, desktop) Ethernet
11
10 EduRoam RADIUS server Institution B RADIUS server Institution A Internet Central RADIUS Proxy server Authenticator (AP or switch) User DB Supplicant Guest piet@institution_b.nl Student VLAN Guest VLAN Employee VLAN data signalling Simpel, schaalbaar en robuust mechanisme voor het doorsturen van de gebruikers AAA naar de thuisinstelling
12
11 Projecten Freeband Testbed –Hotspots (presentatie Erik) –WiFi in de trein met ProRail –UMTS-WLAN roaming met TU/e en Vodafone –UMTS-WLAN raoming met TU Delft en T- Mobile –802.1X bij TERENA, TI, TUDelft, WTCW, TNO Telecom en SURFnet (presentatie Paul) TERENA TF-Mobility en Géant2 JRA5
13
12 FCCN RADIUS Proxy servers connecting to a European level RADIUS proxy server University of Southampton SURFnet FUNET DFN CARnet Radius proxy hierarchie CEZnet RedIRIS UNI-C
14
13 Niet alles is goud wat er blinkt (Nog) geen 802.1X support voor FreeBSD Geen 802.1X support in Windows 98, ME etc. Geen TTLS support standaard in W2K en XP Geen harde koppeling tussen IP-adres en gebruiker Niet alle bezoekers hebben al 802.1X geinstalleerd =>webgateway met: –Uitleg –SecureW2 download –Webgebaseerde toegang (met door SURFnetters uitgegeven username/password)
15
14 Meer informatie SURFnet en 802.1X –http://www.surfnet.nl/innovatie/wlanhttp://www.surfnet.nl/innovatie/wlan The unofficial IEEE802.11 security page –http://www.drizzle.com/~aboba/IEEE/
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.