SLIM GRAAFWERK Inleiding door Kees Neggers Directeur SURFnet.
802.1x op het SURFnet kantoor Mediaplaza, 15 april 2003 Paul Dekkers Stagair Innovatie Management.
17
802.1x op het SURFnet kantoor Mediaplaza, 15 april 2003 Paul Dekkers Stagair Innovatie Management
-
Upload
irena-boer -
Category
Documents
-
view
219 -
download
0
Transcript of 802.1x op het SURFnet kantoor Mediaplaza, 15 april 2003 Paul Dekkers Stagair Innovatie Management.
802.1x op het SURFnet kantoor
Mediaplaza, 15 april 2003
Paul DekkersStagair Innovatie Management
2
• Huidige netwerk• Probleemstelling• Oplossingen• Ervaringen• Huidige status• Conclusie
Inhoud
3
4
Probleemstellingen WLAN
• Wireless LAN is onveilig– Slechte authenticatie voor toegang– Transport is onveilig
• Er is geen scheiding tussen gasten en medewerkers
– Verkeer– Authenticatie (sterk/zwak)
5
Opties voor veilig data-transport
Oplossingen voor problemen met WEP
• Veilig pad (VPN/PPPoE)
• WEPplus• WPA (pre standard 802.11i, TKIP)• 802.11i: 802.1x + eerst TKIP, later AES
• 802.1x
6
802.1xBeveiligde toegang – Manieren
• TLS• TTLS (PAP)• PEAP• (MD5)
7
Beveiligde toegang
• Productie-netwerk– Sterke authenticatie,
TLS via SURFnet PKI
• Test-netwerk– TTLS
• Gast-netwerk (FlexNet)– Toegang tot het SURFnet– EAP via RADIUS
8
Gasten zonder supplicant
• Default Wireless VLAN– AP zonder 1x– Apart SSID
Met daarop:
– Instructies voor supplicant– Web toegang– Toegang met WEP
9
VLAN scheiding
10
Wired 802.1x – “zelf patchen”
11
Spelen!… met hardware
• Access-Points (authenticator)– AP 350, AP 1200
• Switches– 3com 4400– Cisco 6500 (vlan-tag is naam)
• Wireless adapters– Cisco Aironet 350, Orinoco/Lucent
(Silver en Gold), Prism2 (Edimax), ATMEL (Edimax)
12
Spelen!… met software (1)
• Supplicants– Windows 2000 of XP (MD5, TLS, PEAP)– Open1x onder Linux / FreeBSD (TLS, TTLS)– Aegis/Meetinghouse met Win 9X (TLS, TTLS)– Odyssey met Win 9X (TLS, TTLS)
– En natuurlijk SecureW2 (TTLS)
13
Spelen!… met software (2)
• Authentication servers– Radiator (TTLS, TLS, PEAP, MD5)– FreeRadius (MD5, TLS)– ACS– IAS
• PKI voor servers en gebruikers– In de vingers krijgen (met goede extensions)
– Openssl– Microsoft
• Backends (LDAP)
14
Uitdagingen…
• VLAN’s– Native VLAN
• Supplicants– Open1x
– Linux– FreeBSD
• Adapters• Encryptie
– Gastgebruik– 64-bits WEP
• IPv6• Broadcasts “Default VLAN”
15
Huidige status
• Nu– Een proef-802.1x-infrastructuur met bijna 20
kantoorgebruikers via TLS– 802.1x-gastgebruik– Oude netwerk (WEP) parallel voor gasten– Werkend wired voorbeeld
• Binnenkort– Productienetwerk op Wireless LAN– Wired ook 802.1x
16
17
Conclusie
• 802.1x doet wat we er van verwachten
• Kinderziekte’s moeten nog opgelost worden maar belemmeren uitrol niet
• Toekomstige ontwikkelingen bouwen voort op 802.1x – het is goede keuze
