Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdGuus de Laatst gewijzigd meer dan 10 jaar geleden
1
CvDUR/COMIT 21-11-2003 Klaas.Wierenga@SURFnet.nl
WLAN en samenwerking CvDUR/COMIT
2
Inhoud Achtergrond Veilig toegang tot WLAN IEEE 802.1X Gasttoegang
Huidige status Internationaal Toekomst Conclusie
3
WLAN is onveilig root@ibook:~# tcpdump -n -i eth1
19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply 19:52: > : icmp: echo request 19:52: > : icmp: echo reply ^C
4
Gebruikers zijn mobiel
FttD Instelling A WLAN Instelling B Access Provider ADSL Internationale connectiviteit GPRS SURFnet backbone
5
Uitgangspunten Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud Beheerbaar Laagdrempelig voor gebruiker Schaalbaar! Gebruik bestaande infrastructuur Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn zonder administratieve overhead Lokale authenticatie bij thuisinstelling Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen, waarbij de data op de draadloze link versleuteld kan worden
6
Mogelijke oplossingen
Open netwerk (niet veilig) Open netwerk + MAC-authenticatie (niet veilig) WEP (niet veilig) Open netwerk + web gateway (niet echt veilig) Open netwerk + VPN-gateway (niet schaalbaar) IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary)
7
IEEE 802.1X Echte toegangsoplossing (Laag 2) tussen client en AP/switch Verschillende authenticatie-mechanismes mogelijk (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) Uitbreidbaar Gestandaardiseerd Encrypt data RADIUS back end: Schaalbaar Hergebruik bestaande trust-relaties Eenvoudig te combineren met dynamische VLAN toewijzing (802.1Q) Draadloos én vast Client software nodig (3d party of ingebouwd)
8
Hoe werkt 802.1X (in combinatie met 802.1Q)?
f.i. LDAP EAP over RADIUS EAPOL Supplicant Authenticator (AP or switch) RADIUS server Institution A User DB Internet Employee VLAN Guest VLAN Student VLAN signalling data
9
Door de protocol stack EAP 802.1X EAPOL RADIUS (TCP/IP) Ethernet
Supplicant (laptop, desktop) Authenticator (AccessPoint, Switch) Auth. Server (RADIUS server) EAP 802.1X EAPOL RADIUS (TCP/IP) Ethernet Ethernet
10
Evaluatie 802.1X Unieke identificatie van gebruiker aan de rand van het netwerk Eenvoud Beheerbaar Laagdrempelig voor gebruiker => SecureW2 Schaalbaar Gebruik bestaande infrastructuur Centrale administratie van gebruikers per instelling Gastgebruik moet eenvoudig mogelijk zijn Lokale authenticatie bij thuisinstelling Mogelijkheid voor verschillende authenticatie-mechanismen Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden
11
802.1X technologieverkenning
Proef met UT en Alfa&Ariss UT: Optuigen infrastructuur op campus Alfa&Ariss: ontwikkelen SecureW2 Basis voor Wireless Campus van de UT
12
Cross-domein 802.1X met VLAN toewijzing
Supplicant Authenticator (AP or switch) RADIUS server Institution A RADIUS server Institution B User DB User DB Guest Internet Employee VLAN Guest VLAN Central RADIUS Proxy server Student VLAN
13
Huidige status (1) Instelling Gebruikers Gastgebruik UT 6500 ja HvA
23000 nee TU Delft 20280 RUG ? UvT Windesheim 15000 NHL 10000 UvA 28000 VU TU/e nog niet EUR 20000 HAN 22000 Fontys
14
Huidige status (2) Draft “AUP” gastgebruik klaar
Project Tracking aNd Tracing gestart met: TUD HvA UT UvA Monitoren van ge- en misbruik en accounting
15
WLAN hotspots (Freeband)
Contract met publieke WLAN operator Mobilander getekend Publieke hotspots op basis van 1X voor de hele SURFnet doelgroep) Amsterdam, Enschede, Groningen, Eindhoven, Delft, … Contract met ProRail voor WLAN op stations en (deels) in de trein getekend Op basis van 802.1X (óók ProRail en NS zelf) Combinatie WLAN-GPRS/UMTS dmv Mobile-IP Traject Enschede-Drienerloo-Hengelo Samenwerking met CGEY, Volker Stevin Rail&Traffic en de UT
16
Europa en VS (TF-Mobility)
SURFnet FUNET (DFN) CARnet Europa en VS (TF-Mobility) Spanje, Norwegen, Slovenie, Tjechie en Griekenland hebben aangegeven te willen participeren. Internet2 start een werkgroep University of Southampton FCCN RADIUS Proxy servers connecting to a European level RADIUS proxy server
17
De toekomst 802.11x Nieuwe EAP typen WPA (pre standard 802.11i, TKIP)
802.11i: 802.1x + eerst TKIP, later AES Applicatie Integratie met A-Select
18
Conclusie WLAN kan veilig Gastgebruik geeft synergie
802.1X is de toekomstvaste oplossing
19
Meer informatie SURFnet en 802.1X
802.1X uitrol binnen SURFnet doelgroep TERENA TF-Mobility The unofficial IEEE security page
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.