802.1X in SURFnet

1. 802.1X in SURFnet Klaas.Wierenga@SURFnet.nl Intern seminar over 802.1X 24 Mei 2004 Utrecht

2. Inhoud • Achtergrond • Eisen • 802.1X • EduRoam • Conclusie

3. Bedreigingen • Mac-address and SSID discovery • TCPdump • Ethereal • Kismet • WEP cracking • Airsnort • Man-in-the-middle attacks

4. Voorbeeld: Kismet+Airsnort root@ibook:~# tcpdump -n -i eth1 19:52:08.995104 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.996412 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:08.997961 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:08.999220 10.0.1.1 > 10.0.1.2: icmp: echo reply 19:52:09.000581 10.0.1.2 > 10.0.1.1: icmp: echo request 19:52:09.003162 10.0.1.1 > 10.0.1.2: icmp: echo reply ^C

5. Kansen International connectivity Institution A WLAN Access Provider WLAN Institution B SURFnet backbone Access Provider GPRS WLAN Access Provider POTS Access Provider ADSL

6. Eisen • Veilig • Unieke identificatie gebruikers aan rand netwerk • Ondersteuning gastgebruik • Schaalbaar • Eenvoudige installatie en gebruik • Open

7. IEEE 802.1X • Porrtgebaseerde authenticatie (laag 2) tussen client en AP/switch • Verschillende authenticatie mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP) • Standaard • Encrypt data gebruik makend van dynamische keys • Kan RADIUS back end gebruiken: • Schaalbaar • Hergebruik bestaande trust relaties • Eenvoudige integratie met dynamische VLAN toewijzing (802.1Q) • Client software nodig (ingebouwd of 3d party) • Wireless en wired

8. f.i. LDAP EAP over RADIUS EAPOL Hoe werkt 802.1X (in combinatie met 802.1Q)? Supplicant Authenticator (AP or switch) RADIUS server Institution A User DB jan@student.institution_a.nl Internet Guest VLAN Employee VLAN Student VLAN signalling data

9. Door de protocol stack Supplicant (laptop, desktop) Authenticator (AccessPoint, Switch) Auth. Server (RADIUS server) EAP 802.1X RADIUS (TCP/IP) EAPOL Ethernet Ethernet

10. EduRoam Supplicant Authenticator (AP or switch) RADIUS server Institution A RADIUS server Institution B User DB User DB Guest piet@institution_b.nl Internet Guest VLAN Employee VLAN Central RADIUS Proxy server Student VLAN • Simpel, schaalbaar en robuust mechanisme voor het doorsturen van de gebruikers AAA naar de thuisinstelling signalling data

11. Projecten • Freeband Testbed • Hotspots (presentatie Erik) • WiFi in de trein met ProRail • UMTS-WLAN roaming met TU/e en Vodafone • UMTS-WLAN raoming met TU Delft en T-Mobile • 802.1X bij TERENA, TI, TUDelft, WTCW, TNO Telecom en SURFnet (presentatie Paul) • TERENA TF-Mobility en Géant2 JRA5

12. Radius proxy hierarchie UNI-C FUNET DFN SURFnet University of Southampton CEZnet FCCN CARnet RADIUS Proxy servers connecting to a European level RADIUS proxy server RedIRIS

13. Niet alles is goud wat er blinkt • (Nog) geen 802.1X support voor FreeBSD • Geen 802.1X support in Windows 98, ME etc. • Geen TTLS support standaard in W2K en XP • Geen harde koppeling tussen IP-adres en gebruiker • Niet alle bezoekers hebben al 802.1X geinstalleerd =>webgateway met: • Uitleg • SecureW2 download • Webgebaseerde toegang (met door SURFnetters uitgegeven username/password)

14. Meer informatie • SURFnet en 802.1X • http://www.surfnet.nl/innovatie/wlan • The unofficial IEEE802.11 security page • http://www.drizzle.com/~aboba/IEEE/