802.1x op het SURFnet kantoor

Mediaplaza, 15 april 2003

Paul DekkersStagair Innovatie Management

2

• Huidige netwerk• Probleemstelling• Oplossingen• Ervaringen• Huidige status• Conclusie

Inhoud

3

4

Probleemstellingen WLAN

• Wireless LAN is onveilig– Slechte authenticatie voor toegang– Transport is onveilig

• Er is geen scheiding tussen gasten en medewerkers

– Verkeer– Authenticatie (sterk/zwak)

5

Opties voor veilig data-transport

Oplossingen voor problemen met WEP

• Veilig pad (VPN/PPPoE)

• WEPplus• WPA (pre standard 802.11i, TKIP)• 802.11i: 802.1x + eerst TKIP, later AES

• 802.1x

6

802.1xBeveiligde toegang – Manieren

• TLS• TTLS (PAP)• PEAP• (MD5)

7

Beveiligde toegang

• Productie-netwerk– Sterke authenticatie,

TLS via SURFnet PKI

• Test-netwerk– TTLS

• Gast-netwerk (FlexNet)– Toegang tot het SURFnet– EAP via RADIUS

8

Gasten zonder supplicant

• Default Wireless VLAN– AP zonder 1x– Apart SSID

Met daarop:

– Instructies voor supplicant– Web toegang– Toegang met WEP

9

VLAN scheiding

10

Wired 802.1x – “zelf patchen”

11

Spelen!… met hardware

• Access-Points (authenticator)– AP 350, AP 1200

• Switches– 3com 4400– Cisco 6500 (vlan-tag is naam)

• Wireless adapters– Cisco Aironet 350, Orinoco/Lucent

(Silver en Gold), Prism2 (Edimax), ATMEL (Edimax)

12

Spelen!… met software (1)

• Supplicants– Windows 2000 of XP (MD5, TLS, PEAP)– Open1x onder Linux / FreeBSD (TLS, TTLS)– Aegis/Meetinghouse met Win 9X (TLS, TTLS)– Odyssey met Win 9X (TLS, TTLS)

– En natuurlijk SecureW2 (TTLS)

13

Spelen!… met software (2)

• Authentication servers– Radiator (TTLS, TLS, PEAP, MD5)– FreeRadius (MD5, TLS)– ACS– IAS

• PKI voor servers en gebruikers– In de vingers krijgen (met goede extensions)

– Openssl– Microsoft

• Backends (LDAP)

14

Uitdagingen…

• VLAN’s– Native VLAN

• Supplicants– Open1x

– Linux– FreeBSD

• Adapters• Encryptie

– Gastgebruik– 64-bits WEP

• IPv6• Broadcasts “Default VLAN”

15

Huidige status

• Nu– Een proef-802.1x-infrastructuur met bijna 20

kantoorgebruikers via TLS– 802.1x-gastgebruik– Oude netwerk (WEP) parallel voor gasten– Werkend wired voorbeeld

• Binnenkort– Productienetwerk op Wireless LAN– Wired ook 802.1x

16

17

Conclusie

• 802.1x doet wat we er van verwachten

• Kinderziekte’s moeten nog opgelost worden maar belemmeren uitrol niet

• Toekomstige ontwikkelingen bouwen voort op 802.1x – het is goede keuze