Trådløskurs del 2, dag 2. Sesjon 6. Fredag kl. 09:00-10:30

Like dokumenter
GigaCampus Mobilitetskurs Del 2. Sesjon 4. Torsdag

Trådløssamling NORDUnet Stockholm Tom Ivar Myren

Installasjonen krever en Windows 2008 server innmeldt i domene.

Installasjonen krever en Windows 2003 server innmeldt i domene.

Eduroam på Windows Vista

Konfigurasjon av Eduroam i Windows Vista

Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly

Hva er 802.1X - EAPoL?

ANBEFALT SIKKERHETSLØSNING FOR TRÅDLØSE NETTVERK

ANBEFALT SIKKERHETSLØSNING FOR TRÅDLØSE NETTVERK IMPLEMENTASJON AV IEEE 802.IX. UNINETT Fagspesifikasjon. UFS nr.: 112 Versjon: 1

Trådløst nett UiT. Feilsøking. Wireless network UiT Problem solving

NorskInternett Brukermanual. Sist oppdatert Side 1/30

Autentisering og autorisasjon i webapplikasjoner med en etablert standard: SAML 2.0

SQL Server guide til e-lector

Hovedprosjekt 41E Arnstein Søndrol. Cisco Clean Access Valdres Videregående Skole

2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Installasjonsveiledning

6107 Operativsystemer og nettverk

Visma Avendo ekonomi/økonomi server installation

Install av VPN klient

Trådløst nett UiT Feilsøking. Wireless network UiT Problem solving

6105 Windows Server og datanett

6105 Windows Server og datanett

Åpen telefonistruktur

Sikkerhet i trådløse nett

INTEGRASJONSGUIDE BP CODE Cisco ASA 8.3x 9.1x

TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC

TAIME DATABASE INSTALLASJONSVEILEDNING

Status og nyheter. Av cand.scient Knut Yrvin KOMIT 27. okt Lysark kun til fri kopiering

6107 Operativsystemer og nettverk

Erfaringer med IPv6 hos HiOA

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH

Controller Brukerstøttedatabase Ottar Holstad/Cantor 09.

Programvare som installeres Følgende tre programmer benyttes til oppgraderingen og kan lastes ned fra

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76

Trådløssamling København Tom Myren, UNINETT

Velkommen til Pressis.

Brukerveiledning Mobilsynkronisering HTC HD2

6105 Windows Server og datanett

6105 Windows Server og datanett

Mamut Business Software

Canvas for IT-vakter

Avansert oppsett. I denne manualen finner du informasjon og veiledning for avansert oppsett av din Jensen AirLink ruter.

Sikkerhet og tilgangskontroll i RDBMS-er

Utrulling av sertifikater til IOS

6105 Windows Server og datanett

Viktig informasjon til nye brukere av Mac-klient fra UiB

Norsk Internett Brukermanual. Sist oppdatert Side 1/37

Tipsark til Sony Ericsson P800/P900 tilpasset UiB.

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

Kort brukerveiledning om fjerntilgangsløsningen

17. april GoOpen Slik har vi gjort det - Erfaring med innføring av fri programvare og standardisert drift

Lønn 5.0. Veiledning for ASP leverandører

INSTALLASJONSVEILEDNING FOR DATAX REISEREGNING BEDRIFT

Scan Secure GTS PAS

Se egen dokumentasjon for hele CSC Ortopedi systemet for parametersetting.

Huldt & Lillevik Lønn og Personal - System 4. Installasjon. - første gang. Med MS SQL Server eller eksisterende MS Express.

Manual for å oppgrade TS 1000 fra:

Dataporten sikker og enkel deling av data i UH-sektoren

Visma Contracting og tilleggsprodukter på en terminalserver. Det anbefales å sette opp egen terminalserver, som kun brukes som terminalserver.

Flytte Lønn 5.0 fra SQL 2000 til SQL 2005 / 2008

Lagene spiller sammen

Bruk av Spark. ikke til dytting og sitting. Universitetet i Tromsø 22. mars Torbein Kvil Gamst Bruk av Spark, Side 1

6105 Windows Server og datanett

Kom i gang med TI-Nspire Navigator NC Teacher Software - IT-administratorer

Innocent Code Kapittel 1: The Basics Kapittel 2: Passing Data to Subsystems

Opus Dental 7.1 Oppdateringsveiledning

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold

Oppkobling mot SAFE detaljert Mac

Installasjon pospay...1 Installasjon PosPay klient... 2 Installasjon av VPN klient... 7 Innstillinger i dxbillett for PosPay...11

Vedlegg 1: Oversikt over noen mulige leverandører

Wi-Fi Direct veiledning

Installasjon og oppgradering av Advisor

Opus Dental 7.1 Oppdateingsveiledning

Huldt & Lillevik Lønn 5.0. Installere systemet

ENKEL BRUKERMANUAL. SP Telekom Mars 2017/revidert BBach; Side 1

DDS-CAD. Oppsett av student-/demolisens

Demoversjon. Installasjon Uni Økonomi V3. - økonomisystemer fra start til børs

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

Første oppstart av PC

Hurtigstart guide. Searchdaimon ES (Enterprise Server)

Brukerforum - Buypass Access Solution (BAS)

Netctrl har våren 2017 fått noen endringer som omhandler funksjonalitet.

Viktig informasjon til nye brukere av Mac-klient fra UiB

Sikkerhets skannere. Sikkerhets/sårbarhets skannere

Febdok Server må være installert på den datamaskinen du sitter på. Last ned siste versjon fra Febdok sin hjemmeside eller gjennom programmet.

6107 Operativsystemer og nettverk

En enkel lærerveiledning

Enkel brukerveiledning Cisco Meeting App

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT

Merknader for brukere av trådløst LAN

Innhold. Epostprogrammer og webmail.

SuperOffice. Remote Travel

1. Installasjon av ISA 2004

En liten oppskrift på hvordan jeg installert og fikk Xastir til å virke sånn at jeg ble synlig i APRS verden.

For kunder som kjører Huldt & Lillevik Reise 1.3 på Access database

6107 Operativsystem og nettverk

Eduroam. Hvordan koble seg til trådløst nettverk på UiS?

Merknader for brukere av trådløst LAN

Transkript:

Trådløskurs del 2, dag 2 Sesjon 6 Fredag 20.04.2006 kl. 09:00-10:30 kolbjorn.barmen@uninett.no

Agenda - RADIUS Hva gjør RADIUS-tjeneren? TLS vs. TTLS vs. PEAP Klientsertifikater og revocation-lister 2 MSCHAPv2 og brukerdatabase VLAN-tildeling Sikring av RADIUS-trafikk Eduroam

TLS vs. TTLS vs. PEAP Forespørsel kommer fra klient (AP) Klient sjekkes Gyldig klient? Delt hemmelighet stemmer? Forbindelse opprettes. 3 Klient sender forespørsel (Access Request) med ytre identitet og EAP-melding med EAP start. Tjener finner realm basert på ytre identitet og avgjør om det er lokal bruker eller noe som skal proxyes. EAP-melding angir også om det er TLS, TTLS eller PEAP.

TLS... Dersom EAP-melding fra klient sier TLS: Initier EAP-samtale over TLS (radius pludring mellom eap-klient og tjener. Klient sender (omsider) en forespørsel der EAPmelding inneholder klient-sertifikat. Tjener sjekker klient-sertifikatet og avgjør om det er godkjent eller ikke ut fra sine kjente CA-sertifikat. Radius kan settes opp til å gjøre flere sjekker, for eksempel sjekke CN mot brukerdatabase. Tjener sender melding til klient (AP) med ok eller reject. 4

TTLS (Tunneled TLS) & PEAP (Protected EAP) Dersom EAP-melding fra klient sier TTLS eller PEAP Initier EAP-samtale over TLS ( pludring ) Klient sender EAP-melding med MSCHAPv2-pakke som inneholder indre brukernavn og passord som NT-hash. Tjener pakker opp MSCHAPv2-pakken, finner bruker i brukerdatabase (fil, sql, ldap...) og henter ut NT-hash. Tjener sammenligner NT-hash fra brukerdatabase med NThash fra MSCHAPv2-pakken. Tjener sender melding til klient (AP) med ok eller reject. 5 TTLS og PEAP behandles ganske likt på radiustjener.

Hva er forskjellen på TTLS og PEAP? EAP-TTLS er fra Funk, Software standardisert først. PEAP er fra Microsoft, RSA og Cisco. Forskjellen ligger i innholdet i EAP-meldingene, ulike språk. Det finnes også mange PEAP-varianter, men Microsoft støtter kun PEAPv0/EAP-MSCHAPv2 det vi kaller PEAP. Cisco (+ noen andre) støtter PEAPv0/EAP-SIM, PEAPv1/EAP-GTC, PEAPv2 og nye EAP-varianter kommer EAP-TTLS kan bruke mye annet enn MSCHAPv2 (MD5, crypt m.fl.) Den PEAP som brukes i dag kan kun bruke MSCHAPv2 6

RADIUS-tjenere Radius-servere som støtter EAP: FreeRadius(TLS, TTLS, PEAP) Microsoft Windows 2000 RADIUS server (TLS,PEAP) Cisco ACS (TLS,PEAP) Funk Steel-Belted RADIUS (TLS, TTLS, PEAP) Meetinghouse Aegis (TLS, TTLS, PEAP) Radiator (TLS, TTLS, PEAP) 7

TLS - klientsertifikater, CRL og OCSP Ved bruk av klientsertifikater vil det være nødvendig å kunne sperre et gitt sertifikat før det går ut på dato. Dette kan gjøres på to måter: CRL Certificate Revocation List CA genererer en liste over sertifikater som er ugyldige og denne listen kopieres manuelt inn på radiustjener. OCSP - Online Certificate Status Protocol Radiustjener spør en tjeneste om sertifikat er gyldig. CRL krever en prosedyre for oppdatering hos tjenere. 8 Finnes det OCSP-støtte i noen radiustjenere?

MSCHAPv2 og brukerdatabaser Ved bruk av MSCHAPv2 får radiustjener passordet i form av en NT-hash fra klienten. Dersom radius har tilgang til brukerpassord i klartekst kan radius selv generere NT-hash og sammenligne Dersom radius ikke har tilgang til klartekstpassord må den ha tilgang til ferdighashet passordstreng. Radiustjener kan hente brukerdata fra LDAP, SQL, flate filer m.m. 9

Hva med FEIDE? FEIDE tilbyr per i dag hverken passord i klartekst eller passord i form av en NThash. En FEIDE-bruker ligger typisk i LDAP med en SMD5-hash som passord og det forventes at en tjeneste binder seg mot FEIDE med det rette passordet. Dette vil forhåpentligvis endre seg i fremtiden. 10

VLAN-tildeling Ved å sende spesiell radius-attributt til basestasjon kan radiustjener fortelle basestasjon hvilket VLAN en klient skal flyttes til. Dette gjøres typisk i users-fila og kriteriene kan være omtrent hva som helst. Eksempelvis bruker UNINETT LDAP-group som bestemmes av LDAP-oppsettet til Freeradius. 11

Sikring av RADIUS-trafikk Bruk gjerne egne beskyttede VLAN mellom radiustjenere og basestasjon om mulig. Delt hemmelighet bør ikke være banal. RADSEC er en mulig framtidig løsning 12 Radiuspakker blir sendt over en TLSkryptert TCP-forbindelse mellom radiusklient og radiustjener i stedet for dagens UDP. Foreløpig kun støttet i Radiator Andre mulige tiltak?

eduroam eduroam er et roaming-samarbeid mellom NRENer i Europa, samt noen få andre (Australia, Taiwan) Gjennom et RADIUS hierarki kan man få tilgang til nettverk hos andre medlemmer i samarbeidet. 13 RADIUS kobling mot nasjonalt top-nivå (UNINETT, som igjen er koblet mot europeisk top-nivå) Felles SSID eduroam hos alle. http://www.eduroam.no http://www.eduroam.org

eduroam-ng? Kanskje RADSEC Deler av eduroam-nettet kan legges over til RADSEC uten at det går ut over funksjonaliteten for de andre. DNSRoaming Omgå radius-hierarkiet ved å bruke DNS 14 dig srv _radsec._tcp.home.uninett.no DIAMETER i stedet for RADIUS Mer avansert, enklere å koble mot FEIDE, edugain... Finnes ikke støtte for hos leverandører per idag Alt er foreløpig bare på test-stadiet.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding