SLIM GRAAFWERK Inleiding door Kees Neggers Directeur SURFnet.
802.1x op het SURFnet kantoor Mediaplaza, 15 april 2003 Paul Dekkers Stagair Innovatie Management.
-
Upload
irena-boer -
Category
Documents
-
view
219 -
download
0
Transcript of 802.1x op het SURFnet kantoor Mediaplaza, 15 april 2003 Paul Dekkers Stagair Innovatie Management.
802.1x op het SURFnet kantoor
Mediaplaza, 15 april 2003
Paul DekkersStagair Innovatie Management
2
• Huidige netwerk• Probleemstelling• Oplossingen• Ervaringen• Huidige status• Conclusie
Inhoud
3
4
Probleemstellingen WLAN
• Wireless LAN is onveilig– Slechte authenticatie voor toegang– Transport is onveilig
• Er is geen scheiding tussen gasten en medewerkers
– Verkeer– Authenticatie (sterk/zwak)
5
Opties voor veilig data-transport
Oplossingen voor problemen met WEP
• Veilig pad (VPN/PPPoE)
• WEPplus• WPA (pre standard 802.11i, TKIP)• 802.11i: 802.1x + eerst TKIP, later AES
• 802.1x
6
802.1xBeveiligde toegang – Manieren
• TLS• TTLS (PAP)• PEAP• (MD5)
7
Beveiligde toegang
• Productie-netwerk– Sterke authenticatie,
TLS via SURFnet PKI
• Test-netwerk– TTLS
• Gast-netwerk (FlexNet)– Toegang tot het SURFnet– EAP via RADIUS
8
Gasten zonder supplicant
• Default Wireless VLAN– AP zonder 1x– Apart SSID
Met daarop:
– Instructies voor supplicant– Web toegang– Toegang met WEP
9
VLAN scheiding
10
Wired 802.1x – “zelf patchen”
11
Spelen!… met hardware
• Access-Points (authenticator)– AP 350, AP 1200
• Switches– 3com 4400– Cisco 6500 (vlan-tag is naam)
• Wireless adapters– Cisco Aironet 350, Orinoco/Lucent
(Silver en Gold), Prism2 (Edimax), ATMEL (Edimax)
12
Spelen!… met software (1)
• Supplicants– Windows 2000 of XP (MD5, TLS, PEAP)– Open1x onder Linux / FreeBSD (TLS, TTLS)– Aegis/Meetinghouse met Win 9X (TLS, TTLS)– Odyssey met Win 9X (TLS, TTLS)
– En natuurlijk SecureW2 (TTLS)
13
Spelen!… met software (2)
• Authentication servers– Radiator (TTLS, TLS, PEAP, MD5)– FreeRadius (MD5, TLS)– ACS– IAS
• PKI voor servers en gebruikers– In de vingers krijgen (met goede extensions)
– Openssl– Microsoft
• Backends (LDAP)
14
Uitdagingen…
• VLAN’s– Native VLAN
• Supplicants– Open1x
– Linux– FreeBSD
• Adapters• Encryptie
– Gastgebruik– 64-bits WEP
• IPv6• Broadcasts “Default VLAN”
15
Huidige status
• Nu– Een proef-802.1x-infrastructuur met bijna 20
kantoorgebruikers via TLS– 802.1x-gastgebruik– Oude netwerk (WEP) parallel voor gasten– Werkend wired voorbeeld
• Binnenkort– Productienetwerk op Wireless LAN– Wired ook 802.1x
16
17
Conclusie
• 802.1x doet wat we er van verwachten
• Kinderziekte’s moeten nog opgelost worden maar belemmeren uitrol niet
• Toekomstige ontwikkelingen bouwen voort op 802.1x – het is goede keuze