Wat is Mediacaster en wat doen ze met 802.1x

1. Netwerk toegangsbeveiliging
Albert Siersema
Michel Suurmeijer
Data- en telecommunicatie experts

2. Mediacaster
Onafhankelijk
kenniscentrum

3. Mediacaster
hoogwaardige
fundamentele
internet
technologieën

4. Mediacaster
Glasvezel
of beter: ”verbinden”

5. Mediacaster
Belichten & benutten
(b.v. switching, VLAN, routing, IPv4, IPv6)

6. Mediacaster
Datacenter
(b.v. SIG Telehouse / GN-IX)

7. Mediacaster
Netwerk telefonie
VoIP / Unified Communication

8. Mediacaster
Firewall,
VPN,
(mail- & web) filtering

9. Mediacaster
Telewerken
Mobility
Exchange ontsluiting
(b.v. SSL VPN)

10. Mediacaster
Storage

11. Mediacaster
Free/Open Source
(b.v. GNU/Linux)

12. Mediacaster
Hoge
beschikbaarheid

13. Mediacaster - recent
Internet zonering & firewalling IB-Groep
Draadloos Groningen
Datacenter en werkplekken IB-Groep
Beeldbellen voor senioren
Projectleiding dark fiber ring Alfa College
Firewalls en VPN Zernike College
Telefonie (VoIP) en Internet toegang Kadijk
Server platform computercollectief

14. Mediacaster
Advies en selectie
Ontwerp, architectuur
Aanbesteding
Implementatie en begeleiding
Versmelten met de organisatie

15. 802.1x

16. 802.1x
Poort gebaseerde authenticatie
(aan de randen van het netwerk)
bedrade poorten (switch)
wifi (AP - access point)

17. Toegang verlenen & ontzeggen
Ongeauthoriseerde toegang ontzeggen
Gast toegang verlenen op eigen netwerk
Toegang verlenen naar andere netwerken
(of andere locaties, ook eigen)

18. Netwerk parameters
Dynamische VLAN configuratie
(op basis van authenticatie)

19. Architectuur
Bestaande gebruikers administratie
Schaalbare authenticators (RADIUS)
Ondersteuning in alle operating systems
en netwerk apparatuur
Leverancier onafhankelijk
Open protocollen

20. Authenticatie proces
Supplicant (computer), authenticator (switch/AP), en authentication server (RADIUS)

21. Authenticatie proces
Poort geblokkeerd (ook geen DHCP)
Authenticatie
(EAP)
Poort open (DHCP, IP, HTTP)

22. Authenticatie
EAP (versleuteld)
RADIUS
AD/NDS LDAP passwd

23. Versleuteling
1. Bouw versleuteld kanaal op (”outer”)
2. Stuur authenticatie door dit kanaal (”inner”)

24. Outer identity
Doorsturen naar andere (RADIUS) server is mogelijk
via (anonieme) identiteit in outer.
AP RADIUS RADIUS AD
(proxy)
School 1 School 2
outer: inner:
anoniem@school2 j.klaassen@school2
zeerGeheimWachtwoord

25. EAP (outer)
LEAP onveilig
EAP-TLS server+client side certificates
EAP-TTLS
(Tunneled TLS) alleen server certificaag
Gebruikt door Eduroam. Geen standaard support in Windows,
wel gratis software (b.v. SecureW2)
PEAP alleen server certificaat
EAP-FAST
(Cisco)

26. EAP (inner)
PAP
MS-CHAP(v2)
SIM
GTC (token)

27. Wireless
WPA / WPA2 "Enterprise”

28. Wired
”Network access control using IEEE 802.1X”

29. RADIUS / Microsoft
Standaard meegeleverd (authenticatie tegen AD):
Windows Server 2008-based Network Policy Server (NPS)
Windows Server 2003 Internet Authentication Service (IAS)

30. RADIUS
FreeRadius
Radiator
Steel-Belted (Juniper)
ook authenticatie tegen andere bronnen