1 / 15

(Gast)gebruik van (W)LAN op basis van 802.1X

(Gast)gebruik van (W)LAN op basis van 802.1X. DSA-man 11-3-03. Klaas.Wierenga@surfnet.nl. Eisen aan authenticatie voor netwerken. Unieke identificatie van gebruiker aan de rand van het netwerk Administratie en authenticatie van gebruikers bij thuisinstelling

december
Download Presentation

(Gast)gebruik van (W)LAN op basis van 802.1X

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. (Gast)gebruik van (W)LAN op basis van 802.1X DSA-man 11-3-03 Klaas.Wierenga@surfnet.nl

  2. Eisen aan authenticatie voor netwerken • Unieke identificatie van gebruiker aan de rand van het netwerk • Administratie en authenticatie van gebruikers bij thuisinstelling • Laagdrempelig en eenvoudig beheerbaar • Gastgebruik moet eenvoudig mogelijk zijn Additionele wensen voor toegang tot netwerken: • Automatische VLAN-assignment • Ge-encrypte wireless access

  3. 5. IEEE 802.1X • Laag 2 oplossing tussen client en AP/Switch • gestandaardiseerd • Wireless pad-encryptie d.m.v. dynamische keys • Keuze in authenticatie-mechanismen (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) • Clientsoftware nodig (EAP zit al in WinXP, voor andere platformen zijn er clients beschikbaar) • SURFnet heeft Alfa&Ariss een TTLS client voor windows laten ontwikkelen

  4. EAP over 802.1x Extensible Authentication Protocol (RFC 2284) Voorziet in een architectuur waarin verschillende authenticatie- mechanismen gebruikt kunnen worden: EAP-MD5 Username/Password (onveilig, want geen server-side authenticatie) EAP-TLS PKI (client- en servercertificaten), sterk EAP-TTLS Username/Password (veilig, servercertificaat) MS-CHAPv2 Microsoft Username/Password (onveilig, want geen server-side authenticatie) PEAP Microsoft/Cisco module die eerst een tunnel opzet voor veilige overdracht van MS-CHAPv2. TLS/TTLS is er ook over mogelijk

  5. Protocol-overzicht EAP PAP CHAP EAP MD5 TLS TTLS PEAP MS-CHAPv2 EAP 802.1X PPP 802.11

  6. bijv. LDAP EAP over RADIUS EAPOL AS voorziet Authenticator en Supplicant van tijdelijke WEP-keys. Werking van 802.1X switch of Wireless Access Point RADIUS server Supplicant Authenticator Authentication Server User DB Internet signalling data

  7. Werking van 802.1X Supplicant Authenticator Authentication Server User DB Nu is veilige communicatie mogelijk Internet signalling data

  8. Gastgebruik: RADIUS-proxy • Instelling A heeft een gebruikers-database voor haar eigen gebruikers (jan@instelling-a.nl) • Om gastgebruik mogelijk te maken, kan instelling alle RADIUS-requests die ze zelf niet vindt in haar database (piet@instelling-b.nl), doorzetten naar een centrale RADIUS-proxy. Deze kan zien naar welke instelling het request doorgestuurd moet worden.

  9. Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

  10. Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Internet Centrale RADIUS Proxy server signalling data

  11. RADIUS outer AuthN request voor TTLS • *** Received from 192.87.116.14 port 1584 .... Code:       Access-Request Identifier: 164 Authentic:  <225><151>&n<136>$T<210>t<213>m<168><203>ih<130> Attributes:        User-Name = “Klaas.Wierenga@surfnet.nl"       NAS-IP-Address = 192.87.116.14        Called-Station-Id = "0040965766e0"        Calling-Station-Id = "0060b368fd39"        NAS-Identifier = "wlan1"        NAS-Port = 37        Framed-MTU = 1400        NAS-Port-Type = 19        EAP-Message = <2><3><0>"<1>Klaas.Wierenga@surfnet.nl       Message-Authenticator = <26><237><203>]<169>#fu<181>Z<214><183>;bCC

  12. RADIUS inner AuthN request/accept voor TTLS • Code:       Access-Request Identifier: UNDEF Authentic:  <22><249><167>}<237>EL<242>N<220><136>#G<15><164><146> Attributes:        User-Name = “Klaas.Wierenga@surfnet.nl"       User-Password = “mijn_geheime_password" Code:       Access-Accept Identifier: 5 Authentic:  <226>w/<14><189>><227>><18>3<213><245><22><195>0<255>Attributes:        MS-MPPE-Send-Key = “…"        MS-MPPE-Recv-Key = "..."        EAP-Message = <3><7><0><4>        Message-Authenticator = <0><0><0><0><0><0><0><0><0><0><0><0><0><0><0><0>        Tunnel-Medium-Type = 802        Tunnel-Type = VLAN        Tunnel-Private-Group-ID = 3

  13. Status instellingen • UT en HvA zijn 802.1X voor WLAN aan het uitrollen • SURFnet gaat 802.1X gebruiken voor zowel wireless als vast. • TUD doet proef met 802.1X in FttD voor studentencomplexen • KUB, Fontys, VU, UvA, KUN zijn zich aan het orienteren op het gebruik van 1X.

  14. Status apparatuur/programmatuur • Clients: Meetinghouse, Funk, Alfa&Ariss, Open1X • WLAN cards: Alle (?) • Switches: Cisco, HP • Access Points: Cisco, Orinoco, Intel, 3com • RADIUS server: Radiator, FreeRADIUS, Funk Steel Belted, Meetinghouse Aegis, Microsoft IAS, Cisco ACS

  15. Meer info 802.1x http://standards.ieee.org/reading/ieee/std/lanman/802.1X-2001.pdf RFC’s: zie www.ietf-editor.org EAP RFC 2284 EAP-MD5 RFC 1994, RFC 2284 EAP-TLS RFC 2716 EAP-TTLS http://www.funk.com/NIdx/draft-ietf-pppext-eap-ttls-01.txt PEAP http://www.globecom.net/ietf/draft/draft-josefsson-pppext-eap-tls-eap-02.html RADIUS RFC 2865, 2866, 2867, 2868, 2869 (I/w EAP) En: http://www.surfnet.nl/innovatie/wlan

More Related