EduRoam en beveiliging

Klaas.Wierenga@SURFnet.nlSURF Security Officers11 April 2004Utrecht

2

Inhoud

• Inleiding EduRoam• 802.1X• RADIUS• EduRoam• RADIUS issues• 802.1X issues• EduRoam-NG• Conclusie

3

Inleiding EduRoam

• EduRoam is voortzetting van 3-staps RADIUS infrastructuur tbv inbellen (en later ADSL)

• Nu gebruikt voor inbellen en 802.1X• Binnenkort ook voor SVP en wellicht A-Select

• Model: 802.1X voor gastgebruik

4

IEEE 802.1X

• Porrtgebaseerde authenticatie (laag 2) tussen client en AP/switch

• Verschillende authenticatie mechanismes (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP)

• Standaard• Encrypt data gebruik makend van dynamische keys• Kan RADIUS back end gebruiken:

– Schaalbaar– Hergebruik bestaande trust relaties

• Eenvoudige integratie met dynamische VLAN toewijzing• Client software nodig (ingebouw of 3d party)• Wireless en wired

5

EAP

• PPP Extensible Authentication Protocol• EAP ondersteunt verschillende authenticatie

mechanismen• Authenticatie mechanisme geselecteerd in de

Authentication fase, niet in de Link Control fase• Gebruik “backend” authenticatie server

6

Hoe werkt 802.1X (in combinatie met 802.1Q)?

data

signalling

EAPOL EAP over RADIUS

f.i. LDAP

RADIUS server

Institution A

Internet

Authenticator

(AP or switch) User DB

jan@student.institution_a.nl

StudentVLAN

GuestVLAN

EmployeeVLAN

Supplicant

7

Door de protocol stack

EAPEAP

EthernetEthernet

EAPOLEAPOL RADIUS (TCP/IP)

RADIUS (TCP/IP)

80

2.1

XAuth. Server

(RADIUS server)

Authenticator

(AccessPoint,

Switch)

Supplicant

(laptop,

desktop)

EthernetEthernet

8

RADIUS: doel

• Protocol voor transport voor authenticatie en autorisatie informatie

• Entiteiten: Network Access Server (NAS) en RADIUS server

• RADIUS server moet om een gebruiker te authenticeren:

– Het authenticatie protocol van de gebruiker begrijpen (PAP, CHAP etc.)

– Begrijpen hoe de gebruiker credentials te verifieren tegen een user database

9

RADIUS: formaat

• RADIUS paketten bestaande uit attribuut-waarde paren (bijv. “Username=‘Klaas’, Password=‘saalK’”)

• RADIUS is uitbreidbaar, mogelijkheid tot Vendor Specific Attributes

• RADIUS gebruikt UDP (Authenticatie 1812 (1645), Accounting 1813 (1646))

10

Radius: security model

• RADIUS peers (NAS naar server, server naar server) vormen een trust relatie d.m.v. een shared secret

• Het secret wordt gebruikt om verschillende attributen te versleutelen (password)

• Versleutelde hash over pakket om wijziging pakket tegen te gaan

11

RADIUS: gebruikers authenticatie

• Client stuurt credentials naar NAS• NAS genereert Access-Request• Access-Request wordt geforward naar de

RADIUS server• RADIUS server valideert credentials• Valide: Access-Accept• Niet valide: Access-Reject

12

Proxy RADIUS

• Een RADIUS server kan RADIUS paketten naar andere RADIUS servers voor verdere verwerking

• Proxy RADIUS wordt normaliter gebaseerd op de basis van een ‘realm’ die wordt toegevoegd aan de username:

– User@realm– Packet wordt geproxied naar een andere

server geassocieerd met ‘realm’– Proxy RADIUS is de basis voor EduRoam

13

EduRoam

RADIUS server

Institution B

RADIUS server

Institution A

Internet

Central RADIUS

Proxy server

Authenticator

(AP or switch) User DB

User DB

Supplicant

Guest

piet@institution_b.nl

StudentVLAN

GuestVLAN

EmployeeVLAN

data

signalling

• Simpel, schaalbaar en robuust mechanisme voor het doorsturen van de gebruikers AAA naar de thuisinstelling

14

FCCN

RADIUS Proxy servers connecting to a European level RADIUS proxy server

University of Southampton

SURFnet

FUNET

DFN

CARnet

Radius proxy hierarchie

15

RADIUS issues: shared secrets

• Probleem: De communicatie tussen RADIUS-servers is beveiligd d.m.v. shared secrets

• Oplossing:– Gebruik lange, moeilijke shared secrets– Gebruik aanvullende indicatoren (CLIP, NAS-IP

etc.)– Gebruik een ander shared secret voor elke NAS– IPsec– TLS

16

RADIUS issues: proxy loops

• Probleem: – De toplevel RADIUS-server stuurt

user@kantoor.surfnet.nl naar radius.surfnet.nl op basis van een regel voor *.surfnet.nl

– Radius.surfnet.nl handelt requests van het type user@surfnet.nl af en stuurt alle andere requests door naar de toplevel RADIUS-server (dus ook @kantoor.surfnet.nl)

– D.C. al fine• Oplossing: stuur nooit RADIUS paketten terug naar

de afzender

17

RADIUS issues: hop-by-hop security en trust

• Probleem: Alleen het pad tussen NAS en server en servers onderling is versleuteld

– Tussenliggende servers kunnen alle communicatie zien

– Geen end2end security– ‘Transitief’ web of trust

• Oplossing:– Gebruik een PKI– Beschouw infra als inherent onveilig en los de

security op een andere laag op EAP

18

EAP-typen

• EAP-TLS– Server en client verificatie middels server

respectievelijk eindgebruikerscertificaten

• EAP-TTLS en PEAP– Server verificatie middels server certificaat– Client verificatie over TLS-tunnel

19

Getunnelde authenticatie (TTLS/PEAP)

• Gebruikt TLS tunnel om data te protecten– De TLS tunnel wordt opgezet m.b.v. het server

certificaat, hierdoor is er server authenticatie en worden man-in-the-middle attacks voorkomen

`

802.1X Client EAP RADIUS Server

TLS tunnel

User authentication

Protected by TunnelServer authentication

20

802.1X issue

• Probleem: koppeling tussen user en poort met 802.1X op laag 2 (MAC-adres) terwijl incidenten op basis van IP zijn

• Oplossing: leg een koppeling tussen IP-adres, MAC-adres, user en tijd

21

EduRoam-NG

• Fundamentele keuze:

• De RADIUS-infra ‘veiliger’ maken of• Zorgen voor veilige end2end communicatieof• … beide

• Om zo nieuw gebruik mogelijk te maken, bijvoorbeeld federatief gebruik van A-Select

22

Conclusie

• De huidige EduRoam infrastructuur is, mits op de juiste manier gebruikt, veilig

• Voor toekomstige uitbreiding dienen er nog wel keuzen gemaakt te worden

23

Oproep

• Er is behoefte aan best-current-practises, ofwel, wie biedt?

24

Meer information

• SURFnet en 802.1X– http://www.surfnet.nl/innovatie/wlan

• The unofficial IEEE802.11 security page– http://www.drizzle.com/~aboba/IEEE/