Netwerk toegangsbeveiliging Albert Siersema Michel Suurmeijer Data- en telecommunicatie experts
Dec 25, 2014
Netwerk toegangsbeveiliging
Albert SiersemaMichel Suurmeijer
Data- en telecommunicatie experts
Mediacaster
Onafhankelijk kenniscentrum
Mediacaster
hoogwaardige fundamentele
internettechnologieën
Mediacaster
Glasvezelof beter: ”verbinden”
Mediacaster
Belichten & benutten(b.v. switching, VLAN, routing, IPv4, IPv6)
Datacenter(b.v. SIG Telehouse / GN-IX)
Mediacaster
Mediacaster
Netwerk telefonieVoIP / Unified Communication
Mediacaster
Firewall,VPN,
(mail- & web) filtering
TelewerkenMobility
Exchange ontsluiting(b.v. SSL VPN)
Mediacaster
Mediacaster
Storage
Mediacaster
Free/Open Source(b.v. GNU/Linux)
Hoge beschikbaarheid
Mediacaster
Mediacaster - recent
Internet zonering & firewalling IB-GroepDraadloos GroningenDatacenter en werkplekken IB-GroepBeeldbellen voor seniorenProjectleiding dark fiber ring Alfa CollegeFirewalls en VPN Zernike CollegeTelefonie (VoIP) en Internet toegang KadijkServer platform computercollectief
Mediacaster
Advies en selectie
Ontwerp, architectuur
Aanbesteding
Implementatie en begeleiding
Versmelten met de organisatie
802.1x
802.1x
Poort gebaseerde authenticatie(aan de randen van het netwerk)
bedrade poorten (switch)
wifi (AP - access point)
Ongeauthoriseerde toegang ontzeggen
Gast toegang verlenen op eigen netwerk
Toegang verlenen naar andere netwerken(of andere locaties, ook eigen)
Toegang verlenen & ontzeggen
Netwerk parameters
Dynamische VLAN configuratie(op basis van authenticatie)
Architectuur
Bestaande gebruikers administratie
Schaalbare authenticators (RADIUS)
Ondersteuning in alle operating systemsen netwerk apparatuur
Leverancier onafhankelijk
Open protocollen
Authenticatie proces
Supplicant (computer), authenticator (switch/AP), en authentication server (RADIUS)
Authenticatie proces
Poort geblokkeerd (ook geen DHCP)
Authenticatie(EAP)
Poort open (DHCP, IP, HTTP)
Authenticatie
RADIUS
AD/NDS LDAP passwd
EAP (versleuteld)
Versleuteling
1. Bouw versleuteld kanaal op (”outer”)2. Stuur authenticatie door dit kanaal (”inner”)
Outer identity
Doorsturen naar andere (RADIUS) server is mogelijkvia (anonieme) identiteit in outer.
AP RADIUS(proxy)
School 1
RADIUS AD
School 2
outer:anoniem@school2
inner:j.klaassen@school2zeerGeheimWachtwoord
EAP (outer)
LEAP onveiligEAP-TLS server+client side certificatesEAP-TTLS(Tunneled TLS) alleen server certificaagGebruikt door Eduroam. Geen standaard support in Windows,wel gratis software (b.v. SecureW2)
PEAP alleen server certificaatEAP-FAST(Cisco)
EAP (inner)
PAPMS-CHAP(v2)SIMGTC (token)
WPA / WPA2 "Enterprise”
Wireless
Wired
”Network access control using IEEE 802.1X”
RADIUS / Microsoft
Standaard meegeleverd (authenticatie tegen AD):
Windows Server 2008-based Network Policy Server (NPS)
Windows Server 2003 Internet Authentication Service (IAS)
RADIUS
FreeRadiusRadiator
Steel-Belted (Juniper)
ook authenticatie tegen andere bronnen