Wireless Leiden 802.1x RADIUS server AP Hsleiden Hogeschool Leiden Wireless Ledien SURFnet RADIUS proxy Internet Universiteit Leiden RADIUS server RADIUS server UTwente Plan van Aanpak Naam : Richard van Mansom Organisatie : Wireless Leiden Datum : 25 februari 2008 Opleiding : Hogeschool Leiden Informatica Document : Plan van aanpak Versie : 1.0
Inhoudsopgave 1. Opdracht... 4 1.1 Deelvragen... 4 1.2 De doelstelling... 4 1.3 Eisen... 4 1.4 Succes... 4 1.5 Vakkennis... 4 1.6 Thermologie... 5 2 Motivatie... 5 2.1 Het belang... 5 3. Theorie... 6 3.1 Radius... 6 3.2 802.1x... 6 3.3 FreeBSD... 6 3.4 Draadloze netwerken... 6 3.5 Soekris... 6 4. Planning... 7 4.1 Initiële planning... 7 4.2 Gantt Chart:... 7 P. 2/7
Versiebeheer Datum Versie Omschrijving 25 feb 2008 1.0 Eerste versie P. 3/7
1. Opdracht Een prototype node opzetten die 802.1x authenticatie gebruikt om gebruikers van het Wireless Leiden netwerk toegang te verschaffen tot eigen netwerken en het verbonden internet, met name Hogeschool Leiden studenten en docenten. 1.1 Deelvragen 1. Kan de 802.1x authenticatie gebruik worden met behoud van het huidige volledig vrij toegankelijke netwerk. 2. Hoe wordt de toegang beveiligd tot een eigen netwerken tegen niet geauthentiseerde gebruikers (voor dat specifieke netwerk). 1.2 De doelstelling Het verschaven van beveiligde toegang tot het eigen netwerk en daarbij ook internet (via het eigen netwerk) met behulp van het Wireless Leiden netwerk. 1.3 Eisen Het eindproduct dient aan de volgende eisen te voldoen De software moet toepasbaar zijn op de huidige nodes. Alle software dient open source te zijn. Er staat geen vertrouwelijke informatie op de node of deze met ontoegankelijk zijn gemaakt voor gebruikers die (remote) op de node zijn ingelogd (bijvoorbeeld: Terminal Sessie) 1.4 Succes Er is een opzet waarin 802.1x authenticatie is toegepast, rekening houdend met de deelvragen en de eisen. 1.5 Vakkennis De volgende kennis is van belang om de doelstelling duidelijk te maken. FreeBSD Netwerk beveiliging Draadloze netwerken Netwerken algemeen P. 4/7
1.6 Thermologie 802.1x Een standaard opgezet door het I.E.E.E. gespecificeerd voor het authenticeren van netwerk gebruikers. Radius Staat voor Remote Access Dial In User Service, is een authenticatie prococol/server FreeBSD Het besturingsysteem (O.S.) dat gebruikt wordt binnen Wireless Leiden Eigen netwerk Een privé netwerk van een deelnemer van Wireless Leiden dat gekoppeld is aan het Wireless Leiden netwerk maar niet in beheer is van Wireless Leiden. Eduroam Een initiatief van Surfnet (ISP van hogescholen en universiteiten in Nederland) en partners. Eduroam is het delen van het schoolnetwerk (+internet) voor studenten en medewerkers van andere Eduroam deelnemers. 2 Motivatie Mijn interesses liggen op het gebied Computernetwerken/Infrastructuur. Wireless Leiden biedt een publiek MAN Netwerk over de stad Leiden en omstreken. Dit netwerk koppelt de organisatie Wireless Leiden aan mijn interesses. Wireless Leiden bood een aantal opdrachten aan welke betrekking hadden op het netwerk. Mijn specifieke redenen 802.1x is een authenticatie protocol voor netwerken wat koppeling biedt met computernetwerken. Als het slaagt dan zal mijn werk gebruikt worden bij meerdere bedrijven in Leiden die Wireless Leiden gebruiken wat voor mij naamsbekendheid geeft. Het authenticatie protocol 802.1x wordt bij steeds meer bedrijven gebruikt. 2.1 Het belang Wireless Leiden heeft internet verbindingen tot zijn beschikking, deze internet verbindingen komen van deelnemers van Wireless Leiden die een deel van hun internetverbinding beschikbaar hebben gesteld plus een internet aansluitingen van XS4ALL. Echter zijn deze internet verbindingen een limiterende factor bij het gebruik van het internet omdat deze gedeeld wordt door alle gebruikers van Wireless Leiden die internet toegang gebruiken. Een oplossing zou zijn dat deelnemers hun eigen internet verbinding gebruiken waar ze ook in Leiden zijn met behulp van het Wireless Leiden netwerk. Het 802.1x protocol is hier een mogelijkheid voor. Dit protocol biedt netwerk authenticatie waardoor gebruikers kunnen worden gevalideerd al vorens deze toegang krijgen tot het netwerk. P. 5/7
3. Theorie Het onderwerp kan worden opgesplitst in vijf onderwerpen Radius 802.1x FreeBSD Draadloze netwerken Soekris 3.1 Radius Radius (Remote Access Dail In User Service) is een authenticatie server wat zijn oorsprong heeft in *NIX (Unix, Linux, etc). Het voordeel met betrekking tot documentatie is dat er bij NIX besturingsystemen veel online gedocumenteerd wordt. Deze kennis is echter beperkt nodig omdat er bij een eerder project van Wireless Leiden al een werkende Radius server is opgezet welke aan de eisen van deze opdracht voldoet. 3.2 802.1x 802.1x is een authenticatie protocol. De informatie die nodig is, is voor de implementatie van het protocol, de programmatuur. De programmatuur moet compatible zijn met FreeBSD. FreeBSD ondersteund 802.1x officieel vanaf versie 6.0. Deze is op het moment van schrijven ruim twee jaar oud. De documentatie is beperkt, echter bestaat wel. 3.3 FreeBSD FreeBSD is gebaseerd op Unix en zoals veel programmatuur dat verwant is aan Unix is ook FreeBSD uitgebreid gedocumenteerd op het internet. 3.4 Draadloze netwerken De netwerktoegang moet volledig draadloos plaatsvinden. Deze theorie heeft raakvlakken met 802.1x welke over de draadloze verbinding plaats vindt, van omni naar client. 3.5 Soekris De test node die beschikbaar wordt gesteld is een Soekris. Dit is een embedded computer. Een voorgaande project (802.11a) heeft een installatie handleiding gemaakt voor FreeBSD 6.2. Deze zal gebruikt worden voor een installatie. Echter wordt er gebruik gemaakt van FreeBSD 6.3 wat afwijkt bij 802.11a, dit betekend dat het exact volgen van de handleiding niet gegarandeerd succes tot gevolg heeft. P. 6/7
4. Planning 4.1 Initiële planning De volgende tabel geeft de initiële planning weer. Week Nr Omschrijving Voorbereiden Week 1 Opzetten Plan van Aanpak Inlezen oude documentatie Installeren Soekris (basis installatie) Node Installatie / Onderzoek Week 2-7 Node met WPA Installatie Radius Node met 802.1x Installatie handleiding schrijven voor Node met 802.1x Scheiding Week 8-9 Mogelijkheden definiëren voor het scheiden van publiek WL Netwerk en 802.1x Netwerk. Keuze maken en testen Documenteren Beveiliging (eigen netwerken) Week 10-11 Mogelijkheden definiëren voor het afscheiden van eigen netwerken van niet geautheniceerde gebruikers. Keuze maken en testen Documenten Afronden Week 12 Afronden Presentatie Week 13-14 Presentatie voor Wireless Leiden maken Presentatie voor Afstudeer zitting. 4.2 Gantt Chart De volgende grafiek is een presentatie van het proces in de vorm van een Gantt Chart Tijdeenheid: Weken Begin Eind Duur 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 Voorbereiden 1 1 1 2 Node Installatie / Onderzoek 2 7 6 3 Scheiding 8 9 2 4 Beveiliging (eigen netwerken) 10 11 2 5 Afronden 12 12 1 6 Presentatie 13 14 2 P. 7/7