EduRoam en beveiliging [email protected] SURF Security Officers 11 April 2004 Utrecht.
-
Upload
suzanna-christiaens -
Category
Documents
-
view
220 -
download
0
Transcript of EduRoam en beveiliging [email protected] SURF Security Officers 11 April 2004 Utrecht.
![Page 2: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/2.jpg)
2
Inhoud
• Inleiding EduRoam• 802.1X• RADIUS• EduRoam• RADIUS issues• 802.1X issues• EduRoam-NG• Conclusie
![Page 3: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/3.jpg)
3
Inleiding EduRoam
• EduRoam is voortzetting van 3-staps RADIUS infrastructuur tbv inbellen (en later ADSL)
• Nu gebruikt voor inbellen en 802.1X• Binnenkort ook voor SVP en wellicht A-Select
• Model: 802.1X voor gastgebruik
![Page 4: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/4.jpg)
4
IEEE 802.1X
• Porrtgebaseerde authenticatie (laag 2) tussen client en AP/switch
• Verschillende authenticatie mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP)
• Standaard• Encrypt data gebruik makend van dynamische keys• Kan RADIUS back end gebruiken:
– Schaalbaar– Hergebruik bestaande trust relaties
• Eenvoudige integratie met dynamische VLAN toewijzing• Client software nodig (ingebouw of 3d party)• Wireless en wired
![Page 5: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/5.jpg)
5
EAP
• PPP Extensible Authentication Protocol• EAP ondersteunt verschillende authenticatie
mechanismen• Authenticatie mechanisme geselecteerd in de
Authentication fase, niet in de Link Control fase• Gebruik “backend” authenticatie server
![Page 6: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/6.jpg)
6
Hoe werkt 802.1X (in combinatie met 802.1Q)?
data
signalling
EAPOL EAP over RADIUS
f.i. LDAP
RADIUS server
Institution A
Internet
Authenticator
(AP or switch) User DB
[email protected]_a.nl
StudentVLAN
GuestVLAN
EmployeeVLAN
Supplicant
![Page 7: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/7.jpg)
7
Door de protocol stack
EAPEAP
EthernetEthernet
EAPOLEAPOL RADIUS (TCP/IP)
RADIUS (TCP/IP)
80
2.1
XAuth. Server
(RADIUS server)
Authenticator
(AccessPoint,
Switch)
Supplicant
(laptop,
desktop)
EthernetEthernet
![Page 8: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/8.jpg)
8
RADIUS: doel
• Protocol voor transport voor authenticatie en autorisatie informatie
• Entiteiten: Network Access Server (NAS) en RADIUS server
• RADIUS server moet om een gebruiker te authenticeren:
– Het authenticatie protocol van de gebruiker begrijpen (PAP, CHAP etc.)
– Begrijpen hoe de gebruiker credentials te verifieren tegen een user database
![Page 9: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/9.jpg)
9
RADIUS: formaat
• RADIUS paketten bestaande uit attribuut-waarde paren (bijv. “Username=‘Klaas’, Password=‘saalK’”)
• RADIUS is uitbreidbaar, mogelijkheid tot Vendor Specific Attributes
• RADIUS gebruikt UDP (Authenticatie 1812 (1645), Accounting 1813 (1646))
![Page 10: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/10.jpg)
10
Radius: security model
• RADIUS peers (NAS naar server, server naar server) vormen een trust relatie d.m.v. een shared secret
• Het secret wordt gebruikt om verschillende attributen te versleutelen (password)
• Versleutelde hash over pakket om wijziging pakket tegen te gaan
![Page 11: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/11.jpg)
11
RADIUS: gebruikers authenticatie
• Client stuurt credentials naar NAS• NAS genereert Access-Request• Access-Request wordt geforward naar de
RADIUS server• RADIUS server valideert credentials• Valide: Access-Accept• Niet valide: Access-Reject
![Page 12: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/12.jpg)
12
Proxy RADIUS
• Een RADIUS server kan RADIUS paketten naar andere RADIUS servers voor verdere verwerking
• Proxy RADIUS wordt normaliter gebaseerd op de basis van een ‘realm’ die wordt toegevoegd aan de username:
– User@realm– Packet wordt geproxied naar een andere
server geassocieerd met ‘realm’– Proxy RADIUS is de basis voor EduRoam
![Page 13: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/13.jpg)
13
EduRoam
RADIUS server
Institution B
RADIUS server
Institution A
Internet
Central RADIUS
Proxy server
Authenticator
(AP or switch) User DB
User DB
Supplicant
Guest
piet@institution_b.nl
StudentVLAN
GuestVLAN
EmployeeVLAN
data
signalling
• Simpel, schaalbaar en robuust mechanisme voor het doorsturen van de gebruikers AAA naar de thuisinstelling
![Page 14: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/14.jpg)
14
FCCN
RADIUS Proxy servers connecting to a European level RADIUS proxy server
University of Southampton
SURFnet
FUNET
DFN
CARnet
Radius proxy hierarchie
![Page 15: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/15.jpg)
15
RADIUS issues: shared secrets
• Probleem: De communicatie tussen RADIUS-servers is beveiligd d.m.v. shared secrets
• Oplossing:– Gebruik lange, moeilijke shared secrets– Gebruik aanvullende indicatoren (CLIP, NAS-IP
etc.)– Gebruik een ander shared secret voor elke NAS– IPsec– TLS
![Page 16: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/16.jpg)
16
RADIUS issues: proxy loops
• Probleem: – De toplevel RADIUS-server stuurt
[email protected] naar radius.surfnet.nl op basis van een regel voor *.surfnet.nl
– Radius.surfnet.nl handelt requests van het type [email protected] af en stuurt alle andere requests door naar de toplevel RADIUS-server (dus ook @kantoor.surfnet.nl)
– D.C. al fine• Oplossing: stuur nooit RADIUS paketten terug naar
de afzender
![Page 17: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/17.jpg)
17
RADIUS issues: hop-by-hop security en trust
• Probleem: Alleen het pad tussen NAS en server en servers onderling is versleuteld
– Tussenliggende servers kunnen alle communicatie zien
– Geen end2end security– ‘Transitief’ web of trust
• Oplossing:– Gebruik een PKI– Beschouw infra als inherent onveilig en los de
security op een andere laag op EAP
![Page 18: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/18.jpg)
18
EAP-typen
• EAP-TLS– Server en client verificatie middels server
respectievelijk eindgebruikerscertificaten
• EAP-TTLS en PEAP– Server verificatie middels server certificaat– Client verificatie over TLS-tunnel
![Page 19: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/19.jpg)
19
Getunnelde authenticatie (TTLS/PEAP)
• Gebruikt TLS tunnel om data te protecten– De TLS tunnel wordt opgezet m.b.v. het server
certificaat, hierdoor is er server authenticatie en worden man-in-the-middle attacks voorkomen
`
802.1X Client EAP RADIUS Server
TLS tunnel
User authentication
Protected by TunnelServer authentication
![Page 20: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/20.jpg)
20
802.1X issue
• Probleem: koppeling tussen user en poort met 802.1X op laag 2 (MAC-adres) terwijl incidenten op basis van IP zijn
• Oplossing: leg een koppeling tussen IP-adres, MAC-adres, user en tijd
![Page 21: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/21.jpg)
21
EduRoam-NG
• Fundamentele keuze:
• De RADIUS-infra ‘veiliger’ maken of• Zorgen voor veilige end2end communicatieof• … beide
• Om zo nieuw gebruik mogelijk te maken, bijvoorbeeld federatief gebruik van A-Select
![Page 22: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/22.jpg)
22
Conclusie
• De huidige EduRoam infrastructuur is, mits op de juiste manier gebruikt, veilig
• Voor toekomstige uitbreiding dienen er nog wel keuzen gemaakt te worden
![Page 23: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/23.jpg)
23
Oproep
• Er is behoefte aan best-current-practises, ofwel, wie biedt?
![Page 24: EduRoam en beveiliging Klaas.Wierenga@SURFnet.nl SURF Security Officers 11 April 2004 Utrecht.](https://reader036.fdocuments.net/reader036/viewer/2022062418/5551a0f14979591f3c8bbad4/html5/thumbnails/24.jpg)
24
Meer information
• SURFnet en 802.1X– http://www.surfnet.nl/innovatie/wlan
• The unofficial IEEE802.11 security page– http://www.drizzle.com/~aboba/IEEE/