1 / 19

WLAN en samenwerking

WLAN en samenwerking. CvDUR/COMIT 21-11-2003 Klaas.Wierenga@SURFnet.nl. Inhoud. Achtergrond Veilig toegang tot WLAN IEEE 802.1X Gasttoegang Huidige status Internationaal Toekomst Conclusie. WLAN is onveilig. root@ibook:~# tcpdump -n -i eth1

makana
Download Presentation

WLAN en samenwerking

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WLAN en samenwerking CvDUR/COMIT 21-11-2003 Klaas.Wierenga@SURFnet.nl

  2. Inhoud • Achtergrond • Veilig toegang tot WLAN • IEEE 802.1X • Gasttoegang • Huidige status • Internationaal • Toekomst • Conclusie

  3. WLAN is onveilig root@ibook:~# tcpdump -n -i eth1 19:52:08.995104 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.996412 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:08.997961 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.999220 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:09.000581 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:09.003162 10.0.1.1 > 10.0.1.2: icmp: echo reply ^C

  4. Internationale connectiviteit Instelling A WLAN Access Provider WLAN Instelling B SURFnet backbone Access Provider GPRS WLAN FttD Access Provider ADSL Gebruikers zijn mobiel

  5. Uitgangspunten • Unieke identificatie van gebruiker aan de rand van het netwerk • Eenvoud • Beheerbaar • Laagdrempelig voor gebruiker • Schaalbaar! • Gebruik bestaande infrastructuur • Centrale administratie van gebruikers per instelling • Gastgebruik moet eenvoudig mogelijk zijn zonder administratieve overhead • Lokale authenticatie bij thuisinstelling • Mogelijkheid voor verschillende authenticatie-mechanismen • Daarna moet de gebruiker open connectiviteit krijgen, waarbij de data op de draadloze link versleuteld kan worden

  6. Mogelijke oplossingen • Open netwerk (niet veilig) • Open netwerk + MAC-authenticatie (niet veilig) • WEP (niet veilig) • Open netwerk + web gateway (niet echt veilig) • Open netwerk + VPN-gateway (niet schaalbaar) • IEEE 802.1X Niet beschouwd: LEAP (Cisco proprietary)

  7. IEEE 802.1X • Echte toegangsoplossing (Laag 2) tussen client en AP/switch • Verschillende authenticatie-mechanismes mogelijk (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP) • Uitbreidbaar • Gestandaardiseerd • Encrypt data • RADIUS back end: • Schaalbaar • Hergebruik bestaande trust-relaties • Eenvoudig te combineren met dynamische VLAN toewijzing (802.1Q) • Draadloos én vast • Client software nodig (3d party of ingebouwd)

  8. f.i. LDAP EAP over RADIUS EAPOL Hoe werkt 802.1X (in combinatie met 802.1Q)? Supplicant Authenticator (AP or switch) RADIUS server Institution A User DB jan@student.institution_a.nl Internet Guest VLAN Employee VLAN Student VLAN signalling data

  9. Door de protocol stack Supplicant (laptop, desktop) Authenticator (AccessPoint, Switch) Auth. Server (RADIUS server) EAP 802.1X RADIUS (TCP/IP) EAPOL Ethernet Ethernet

  10. Evaluatie 802.1X • Unieke identificatie van gebruiker aan de rand van het netwerk • Eenvoud • Beheerbaar • Laagdrempelig voor gebruiker => SecureW2 • Schaalbaar • Gebruik bestaande infrastructuur • Centrale administratie van gebruikers per instelling • Gastgebruik moet eenvoudig mogelijk zijn • Lokale authenticatie bij thuisinstelling • Mogelijkheid voor verschillende authenticatie-mechanismen • Daarna moet de gebruiker open connectiviteit krijgen (publiek IP adres, geen NAT, geen firewall), waarbij de data op de draadloze link versleuteld kan worden

  11. 802.1X technologieverkenning • Proef met UT en Alfa&Ariss • UT: Optuigen infrastructuur op campus • Alfa&Ariss: ontwikkelen SecureW2 • Basis voor Wireless Campus van de UT

  12. Cross-domein 802.1X met VLAN toewijzing Supplicant Authenticator (AP or switch) RADIUS server Institution A RADIUS server Institution B User DB User DB Guest piet@institution_b.nl Internet Guest VLAN Employee VLAN Central RADIUS Proxy server Student VLAN

  13. Huidige status (1)

  14. Huidige status (2) • Draft “AUP” gastgebruik klaar • Project Tracking aNd Tracing gestart met: • TUD • HvA • UT • UvA • Monitoren van ge- en misbruik en accounting

  15. WLAN hotspots (Freeband) • Contract met publieke WLAN operator Mobilander getekend • Publieke hotspots op basis van 1X voor de hele SURFnet doelgroep) • Amsterdam, Enschede, Groningen, Eindhoven, Delft, … • Contract met ProRail voor WLAN op stations en (deels) in de trein getekend • Op basis van 802.1X (óók ProRail en NS zelf) • Combinatie WLAN-GPRS/UMTS dmv Mobile-IP • Traject Enschede-Drienerloo-Hengelo • Samenwerking met CGEY, Volker Stevin Rail&Traffic en de UT

  16. FUNET SURFnet (DFN) CARnet Europa en VS (TF-Mobility) • Spanje, Norwegen, Slovenie, Tjechie en Griekenland hebben aangegeven te willen participeren. • Internet2 start een werkgroep University of Southampton FCCN RADIUS Proxy servers connecting to a European level RADIUS proxy server

  17. De toekomst • 802.11x • Nieuwe EAP typen • WPA (pre standard 802.11i, TKIP) • 802.11i: 802.1x + eerst TKIP, later AES • Applicatie Integratie met A-Select

  18. Conclusie • WLAN kan veilig • Gastgebruik geeft synergie • 802.1X is de toekomstvaste oplossing

  19. Meer informatie • SURFnet en 802.1X • http://www.surfnet.nl/innovatie/wlan • 802.1X uitrol binnen SURFnet doelgroep • http://www.surfnet.nl/innovatie/wlan/deployment.html • TERENA TF-Mobility • http://www.terena.nl/mobility • The unofficial IEEE802.11 security page • http://www.drizzle.com/~aboba/IEEE/

More Related