1 / 19

SURFnet en IEEE 802.1X

SURFnet en IEEE 802.1X. Klaas.Wierenga@SURFnet.nl Amsterdam, 8&9 Mei 2003. Inhoud. Achtergrond De problemen Uitgangspunten Mogelijke oplossingen Dé oplossing De toekomst Conclusie. Internationale connectiviteit. Instelling A. WLAN. Access Provider WLAN. Instelling B.

bowie
Download Presentation

SURFnet en IEEE 802.1X

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SURFnet en IEEE 802.1X Klaas.Wierenga@SURFnet.nl Amsterdam, 8&9 Mei 2003

  2. Inhoud • Achtergrond • De problemen • Uitgangspunten • Mogelijke oplossingen • Dé oplossing • De toekomst • Conclusie

  3. Internationale connectiviteit Instelling A WLAN Access Provider WLAN Instelling B SURFnet backbone Access Provider GPRS WLAN FttD Access Provider ADSL Achtergrond

  4. Problemen/uitdagingen • Mobiliteit • Gastgebruik • Verschillende types netwerken • Verkeersscheiding • Beveiliging • Authenticatie & Autorisatie • Conclusie: Op zoek naar een generieke (lees: middleware) oplossing voor het authenticatie en autorisatie probleem

  5. Uitgangspunten • Unieke identificatie van gebruiker aan de rand van het netwerk • Eenvoud • Beheerbaar • Laagdrempelig voor gebruiker • Schaalbaar • Gebruik bestaande infrastructuur • Centrale administratie van gebruikers per instelling • Gastgebruik moet eenvoudig mogelijk zijn • Lokale authenticatie bij thuisinstelling • Mogelijkheid voor verschillende authenticatie-mechanismen • Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

  6. Mogelijke oplossingen • Open netwerk • Open netwerk + MAC-authenticatie • WEP (draadloos) • Open netwerk + VPN-gateway • Open netwerk + web gateway • IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary), PPPoE (niet breed gedeployed)

  7. 1. Open netwerk • Geeft open ethernet connectiviteit, IP-address via DHCP • Geen client software nodig (DHCP is alom aanwezig) • Access control is moeilijk • Network is open (sniffing eenvoudig, elke client en server op het LAN is bereikbaar)

  8. 2. Open netwerk + MAC authenticatie • Zelfde als 1, maar het MAC-address van de netwerkkaart wordt geverifieerd • Administratie MAC addressen nodig • MAC addressen kunnen relatief eenvoudig gespoofed worden • Gast gebruik erg lastig

  9. 3. WEP (wireless) • Laag 2 encryptie tussen Client en Access Point • Client moet (statische) WEP-key weten • Operationele nachtmerrie bij wijzigen keys • Sommige WEP-keys zijn erg makkelijk te kraken (sommige iets minder) • Niet veilig

  10. 4. Open netwerk + VPN Gateway • Open (onveilig) besloten netwerk, client moet authenticeren op een IP VPN-concentrator om buiten het besloten netwerk te komen • Client software nodig • Leveranciers-specifiek • Schaalt slecht • VPN-concentrators zijn duur • Gastgebruik erg lastig • Bij gastgebruik toch nog een extra VPN nodig

  11. 5. Open netwerk + web gateway • Open (besloten) netwerk, een gateway tussen (W)LAN en de rest van het netwerk onderschept alle verkeer (session intercept) • Gast toegang eenvoudig • Browser noodzakelijk • Lastig veilig te maken

  12. 6. IEEE 802.1X • Echte toegangsoplossing (Laag 2) tussen client en AP/switch • Verschillende authenticatie-mechanismes mogelijk (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) • Uitbreidbaar • Gestandaardiseerd • Encrypt alle data • RADIUS back end: • Schaalbaar • Hergebruik bestaande trust-relaties • Client software nodig (3d party of ingebouwd)

  13. Evaluatie 802.1X • Unieke identificatie van gebruiker aan de rand van het netwerk • Eenvoud • Beheerbaar • Laagdrempelig voor gebruiker => SecureW2 • Schaalbaar • Gebruik bestaande infrastructuur • Centrale administratie van gebruikers per instelling • Gastgebruik moet eenvoudig mogelijk zijn • Lokale authenticatie bij thuisinstelling • Mogelijkheid voor verschillende authenticatie-mechanismen • Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

  14. Maar welk EAP-type? • MD5, MS-CHAPv2: zwak • TLS : sterk maar vereist client en server certificaat, en dus PKI • TTLS: sterk: tunnel, daarbinnen authenticatie • PEAP: sterk: tunnel, daarbinnen authenticatie, problemen Cisco <-> MS • SIM : semi-sterk maar nog niet wijdverbreid

  15. Huidige status • UT, HvA 1X in productie • UvA, UvT, TUD, RUG in testfase • Meeste anderen in evaluatiefase • Op basis van EAP-TTLS met SecureW2 of TLS • Contract met publieke WLAN operator getekend (publieke hotspots in aantal steden op basis van 1X voor de hele SURFnet doelgroep) i.h.k.v. Freeband • In Europees verband moet de knoop nog worden doorgehakt i.h.k.v TERENA TF-Mobility

  16. De toekomst • 802.11x • Nieuwe EAP typen • WPA (pre standard 802.11i, TKIP) • 802.11i: 802.1x + eerst TKIP, later AES • Applicatie Integratie met A-Select

  17. A-Select • Apache • IIS • Blackboard • Citrix • Mobac • Niegebach • 802.1X???? (geen web!)

  18. Conclusie • 802.1X is beschikbaar • 802.1X werkt • 802.1X is schaalbaar • 802.1X is veilig • 802.1X is uitbreidbaar • 802.1X maakt gastgebruik mogelijk • 802.1X is de toekomst • Dus SURFnet kiest voor…..

  19. Meer informatie • http://www.surfnet.nl/innovatie/wlan • http://aselect.surfnet.nl

More Related