De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.

Verwante presentaties


Presentatie over: "Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers."— Transcript van de presentatie:

1 Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers

2 Hoogwaardig internet voor hoger onderwijs en onderzoek 2 Inhoud Even opfrissen… Achtergrond Uitgangspunten Oplossingen 802.1x eduroam

3 Hoogwaardig internet voor hoger onderwijs en onderzoek 3 Even opfrissen…

4 Hoogwaardig internet voor hoger onderwijs en onderzoek 4 Even opfrissen… Wireless LAN, infrastructure mode

5 Hoogwaardig internet voor hoger onderwijs en onderzoek 5 Even opfrissen… WLAN Elk LAN een naam: een (on)zichtbaar SSID (Service Set Identity) Toegang / encryptie met “sleutels” –WEP, Wired Equivalent Privacy –WPA (met pre-shared key) 802.11 (“wireless Ethernet”, MAC) 802.11b, 802.11g, 802.11a (radio-laag, channels)

6 Hoogwaardig internet voor hoger onderwijs en onderzoek 6 Achtergrond Traditioneel WLAN is niet veilig –Wie gebruikt het netwerk? (misbruik, beperken doelgroep) –Luisteren anderen mee? (fysieke grenzen) Hoe verlenen we toegang voor gasten? –Distributie van geheimen (WEP-key)?

7 Hoogwaardig internet voor hoger onderwijs en onderzoek 7 Schijnveiligheid Niet gebroadcast SSID MAC- afscherming WEP, Wired- Equivalent- Privacy

8 Hoogwaardig internet voor hoger onderwijs en onderzoek 8 Uitgangspunten … voor iets beters: Gebruikers identificeren aan de rand van het netwerk Zo min mogelijk (gebruikers-)administratie Gemakkelijk te installeren / gebruiken Gast-toegang toestaan Schaalbaar Gebaseerd op open standaarden Veilig

9 Hoogwaardig internet voor hoger onderwijs en onderzoek 9 Mogelijkheden Instelling A WLAN Instelling B WLAN Access Provider WLAN Access Provider GPRS SURFnet backbone Internationale connectiviteit Inbel- netwerk Breedband (ADSL, …)

10 Hoogwaardig internet voor hoger onderwijs en onderzoek 10 Oplossingen: Captive Portal… Open netwerk, gateway tussen (W)LAN en de rest van het netwerk onderschept al het verkeer Authenticatie via website Kan gebruik maken van RADIUS Gemakkelijk voor gasten (commerciele hotspot’s) Browser nodig Niet veilig

11 Hoogwaardig internet voor hoger onderwijs en onderzoek 11 Oplossingen: VPN… Open netwerk, gateway tussen (W)LAN en de rest van het netwerk onderschept al het normale, niet VPN-verkeer Alle verkeer is encrypted VPN software nodig (dure) VPN concentrator nodig Proprietary (behalve bij IPsec of PPPoE) Moeilijk schaalbaar te maken & Gastgebruik is lastig

12 Hoogwaardig internet voor hoger onderwijs en onderzoek 12 Oplossingen: 802.1x Authenticatie/Identificatie aan de rand van het netwerk: voor er (normaal) verkeer mogelijk is op laag 2 Verkeerscheiding: VLAN assignment RADIUS voor de authenticatie: –Schaalbaar –Proven technology: bestaande infrastructuren Flexibele authenticatie Wired en wireless Bij WLAN: ook encryptie met dynamische keys Client software nodig (vaak vanuit het OS) Standaard

13 Hoogwaardig internet voor hoger onderwijs en onderzoek 13 Oplossingen … voor gastgebruik: WEB gebaserde portal schaalbaar, niet veilig (geen encryptie) VPN/PPPoE niet schaalbaar, veilig pad 802.1x schaalbaar, veilig – beveiliging aan de rand van het netwerk 802.1x is de basis voor de volgende generatie standaarden (WPA-Enterprise, 802.11i)

14 Hoogwaardig internet voor hoger onderwijs en onderzoek 14 802.1x Authenticatie (RADIUS) voor (W)LAN toegang RADIUS server institution Authenticator (AP or switch) User DB Supplicant Guest VLAN LAN Poort-gebaseerde authenticatie

15 Hoogwaardig internet voor hoger onderwijs en onderzoek 15 802.1x en EAP Verschillende EAP-types De (thuis-)instelling bepaalt welk type EAP-types met SSL/TLS –“Mutual authentication” –Zorgen voor de encryptie-sleutels EAP wordt getransporteerd en geproxied in RADIUS Extensible Authentication Protocol

16 Hoogwaardig internet voor hoger onderwijs en onderzoek 16 gebruikelijke EAP types EAP-TLS Sterke authenticatie met gebruikers-certificaat EAP-TTLS DIAMETER/RADIUS (bijv. u/p in PAP) in TLS tunnel sluit aan op de meeste u/p backends EAP-PEAP Microsoft implementatie met u/p via MSCHAPv2 vooral handig bij een AD EAP-FAST username/password authenticatie op Cisco manier uitrol is iets ingewikkelder, gebruikt geen SSL/TLS EAP-SIM Sterke authenticatie met de SIM-kaart... LEAP, EAP-MD5 zijn verouderd en zwak

17 Hoogwaardig internet voor hoger onderwijs en onderzoek 17 802.1x RADIUS server institution B RADIUS server institution A Internet Central RADIUS Proxy server Authenticator (AP or switch) User DB Supplicant Guest user@institution-B.nl regular VLAN guest VLAN Secured tunnel Gastgebruik: eduroam!

18 Hoogwaardig internet voor hoger onderwijs en onderzoek 18 eduroam: (inter)nationaal roamen

19 Hoogwaardig internet voor hoger onderwijs en onderzoek 19

20 Hoogwaardig internet voor hoger onderwijs en onderzoek 20 eduroam: Lokale informatie eduroam.nl eduroam.ac.uk eduroam.cz eduroam.es eduroam.de eduroam.no eduroam.lu eduroam.pl eduroam.si eduroam.edu.au …

21 Hoogwaardig internet voor hoger onderwijs en onderzoek 21 Usertracking… (work in progress)

22 Hoogwaardig internet voor hoger onderwijs en onderzoek 22 Conclusie 802.1x is heeft zichzelf bewezen, voldoet aan de eisen voor security, schaalbaarheid 802.1x is een veilige keus en toekomstvast (802.11i, WPA-Enterprise… baseren zich op 802.1x) Wel: innovaties voor de authenticatie-infrastructuur eduroam geeft meerwaarde voor de 802.1x gebruiker, (inter)nationaal: Europa, Australie, binnenkort USA…


Download ppt "Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers."

Verwante presentaties


Ads door Google