270 likes | 458 Views
Technische aspecten van 802.1X. Technische toelichting op 802.1X t.b.v. beveiligde toegang tot vaste en draadloze netwerken. Erik Dobbelsteijn Cisco/S URFnet workshop mei 2003. Basisnetwerk. GigaPort Backbone. instellingsnetwork. router. Internationale connectiviteit. switch. Dienst B
E N D
Technische aspecten van 802.1X Technische toelichting op 802.1X t.b.v. beveiligde toegang tot vaste en draadloze netwerken Erik Dobbelsteijn Cisco/SURFnet workshop mei 2003
Basisnetwerk GigaPort Backbone instellingsnetwork router Internationale connectiviteit switch Dienst B VLAN Wireless VLAN switch switch Faculteit A VLAN switch SHVcomplex VLAN switch UTP aansluiting
IEEE 802.1X • gestandaardiseerde Architectuur • beveiligd transport van authenticatie-gegeves • Laag 2 oplossing (fixed en wireless) tussen client en AP/switch • Regelt ook encryptie van datastroom d.m.v. dynamische keys\ • Keuze in authenticatie-mechanismen (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) • Werkt met RADIUS: • Schaalbaar • Trust relaties
bijv. LDAP EAP over RADIUS EAPOL Werking van 802.1X Supplicant (laptop, desktop) Authenticator (AccessPoint, Switch) Auth. Server (RADIUS server) User DB jan@instelling_a.nl Internet signalling data
EAP over 802.1x • EAP maakt het mogelijk om verschillende manieren van authenticatie te gebruiken • EAP-MD5 Username/Password (onveilig) • EAP-TLS PKI (certificaten), sterk • EAP-TTLS Username/Password (veilig) • MS-CHAPv2 Microsoft Username/Password (onveilig) • PEAP Microsoft/Cisco tunnelmodule voor veilige overdracht van MS-CHAPv2 • Extensible Authentication Protocol (RFC 2284)
Protocol-overzicht Supplicant (laptop, desktop) Authenticator (AccessPoint, Switch) Auth. Server (RADIUS server) EAP 802.1X RADIUS (TCP/IP) EAPOL Ethernet Ethernet
Protocol-overzicht: EAP typen EAP CHAP PAP EAP MD5 TLS TTLS PEAP MS-CHAPv2 EAP-SIM EAP
Configuratie Supplicant • Win98, ME: FUNK, Meetinghouse • Win2k, XP: FUNK, Meetinghouse, MS (+SecW2) • MacOS: Meetinghouse • Linux: Meetinghouse, Open1X • BSD: in ontwikkeling • PocketPC: Meetinghouse, MS (+SecW2) • Servers: nodig?
Configuratie Win2k Authentication tab
Configuratie Win2k TLS TTLS
Configuratie Authenticator • Switch (6500)
Configuratie Authentication Server • ACS • RADIATOR • Clients • Handler op realm xxx.nl • EAP afhandeling • Certificaten • Database koppeling • VLAN • Secret • Looping • Accounting
RADIUS configuratie Vertrouwde AP/switch/proxy <Client ap1.institution_a.nl> Secret aaaa </Client> <Client ap2.institution_a.nl> Secret bbbb </Client> <Client radius.surfnet.nl> Secret zzzz </Client>
RADIUS configuratie Processing van EAP-type # TTLS, Lookup local users in file <Realm institution_a.nl> <AuthBy FILE> Filename /var/Radiator3/users EAPType PEAP, TTLS, TLS EAPTLS_CAFile /var/Radiator3/cert/ca/cafile.p7b EAPTLS_CertificateFile /var/Radiator3/cert/certificate.crt EAPTLS_CertificateType PEM EAPTLS_PrivateKeyFile /var/Radiator3/cert/certificate.key EAPTLS_PrivateKeyPassword pppp EAPTLS_MaxFragmentSize 1024 AutoMPPEKeys </AuthBy> </Realm>
RADIUS configuratie Doorsturen van gastrequests # TTLS, Proxy other request to proxy <Realm DEFAULT> <AuthBy RADIUS> Host radius.surfnet.nl Secret zzzz AuthPort 1812 Retries 3 </AuthBy> </Realm>
Gastgebruik: RADIUS-proxy ...moet het mogelijk maken dat gebruikers van een willekeurige aangesloten instelling met hun eigen login naar het SURFnetwerk kunnen vanuit een andere instelling. • Elke instelling heeft haar eigen gebruikersdatabase en EAP-type (jan@instelling-a.nl) • Om gastgebruik mogelijk te maken, kan een instelling alle login verzoeken die ze zelf niet vindt in haar database (piet@instelling-b.nl), doorzetten naar een centrale SURFnet RADIUS-proxy. Deze kan zien naar welke instelling het request doorgestuurd moet worden. • De gastinstelling hoeft geen kennis te hebben van het EAP type dat de gast gebruikt.
Werking van RADIUS proxy Supplicant Authenticator RADIUS server Instelling A RADIUS server Instelling B User DB User DB Gast piet@instelling_b.nl Internet Centrale RADIUS Proxy server signalling data
RADIUS-proxy configuratie Vertrouwde RADIUS servers <Client radius.institution_a.nl> Secret zzzz </Client> <Client radius.institution_b.nl> Secret yyyy </Client>
RADIUS-proxy configuratie Processing van te proxy-en RADIUS verkeer a.d.h.v realm <Realm institution_a.nl> <AuthBy RADIUS> Host radius.institution_a.nl Secret xxxx AuthPort 1812 Retries 3 </AuthBy> </Realm> <Realm institution_b.nl> <AuthBy RADIUS> Host radius.institution_b.nl Secret wwww AuthPort 1812 Retries 3 </AuthBy> </Realm>
Verschil wired vs. wireless Wireless issues: • ‘Outer authentication’ nodig • Hoe kiest gebruiker zijn netwerk?
Praktijkdeel: stappenplan • Wired en wireless zonder beveiliging • RADIUS server configureren • AP en Switch configureren • Laptop configureren • 802.1X activeren • VLAN trunk aanmaken tussen AP en switch • VLAN toewijzing activeren • Gastgebruik configureren en activeren • Gastennetwerk zonder 802.1X toevoegen Bonus: 802.1X activeren onder CatOS
Praktijkdeel Internet
Meer info 802.1x http://standards.ieee.org/reading/ieee/std/lanman/802.1X-2001.pdf RFC’s: zie www.ietf-editor.org EAP RFC 2284 EAP-MD5 RFC 1994, RFC 2284 EAP-TLS RFC 2716 EAP-TTLS http://www.funk.com/NIdx/draft-ietf-pppext-eap-ttls-01.txt PEAP http://www.globecom.net/ietf/draft/draft-josefsson-pppext-eap-tls-eap-02.html RADIUS RFC 2865, 2866, 2867, 2868, 2869 (I/w EAP)