Project Brief

advertisement
Wireless Leiden 802.1x
Notulen
Johan Bruné
Richard van Mansom
Sebastiaan Willemse
Project: IMSM
Wireless Leiden
Datum: 23-7-2017
Versie 1.00
Notulen
2
23-7-2017
Inhoudsopgave
INHOUDSOPGAVE ............................................................................................................................................. 2
1.0 CONTACT MET WIRELESS LEIDEN ....................................................................................................... 3
2.0 CONTACT MET SURFNET ......................................................................................................................... 3
3.0 NOTULEN ....................................................................................................................................................... 4
3.1 27 MAART 2007 ............................................................................................................................................ 4
3.2 28 MAART 2007 ............................................................................................................................................ 6
3.3 4 APRIL 2007 ................................................................................................................................................. 7
pagina 2 van 7
Notulen
3
23-7-2017
1.0 Contact met Wireless Leiden
Het contact met Wireless Leiden is goed verlopen, in het begin zijn hiervan notulen
bijgehouden, zie verder in dit document, maar al snel is het notuleren komen te
vervallen. De meeste meetings met Wireless Leiden waren informeel, maar zeker wel
nuttig
2.0 Contact met SURFnet
We zijn begonnen met het ontwikkelen van scenario’s hoe we Wireless Leiden aan
Surfnet en/of Hogeschool Leiden kunnen koppelen. Hier hebben wij verschillende Visio
documenten voor gecreëerd.
Na enig onderzoek bleek dat het niet is toegestaan om het Hogeschool Leiden netwerk te
gebruiken om toegang te krijgen tot internet door en/of voor een derde instantie (in ons
geval Wireless Leiden).
Om dit wel mogelijk te maken moet er contact gelegd met Surfnet, het was besloten
door de leerkrachten dat dit niet onder onze opdracht valt.
Ongeveer een maand voor het eind van de minor kregen wij te horen dat wij contact
moeten zoeken met Surfnet om het eerste contact mogelijk te maken tussen Surfnet en
Wireless Leiden. Om dit mogelijk te maken is afgesproken dat Ruben van der Laan
contact opneemt met Klaas Wieringa (een Surfnet Medewerker) om ons te introduceren.
Omdat wij 1.5 week later nog niets van Ruben gehoord hebben, hebben wij het initiatief
genomen en zelf geprobeerd contact met Ruben te zoeken. Deze was echter een aantal
dagen ziek geweest (iets wat achteraf niet zeker was), iets waardoor we vertraging
opliepen met het contacteren van Surfnet.
Na een (kort) gesprek met Ruben van der Laan hebben wij het email adres gekregen van
Klaas Wieringa om zelf contact met deze persoon op te nemen. In de twee weken hierna
(het einde van de minor) hebben zowel wij als Ruben geen reactie gekregen van Surfnet.
Omdat er geen contact is geweest tussen Surfnet en onze projectgroep is het niet
mogelijk om een contact te leggen tussen Surfnet en Wireless Leiden.
pagina 3 van 7
Notulen
4
23-7-2017
3.0 Notulen
3.1 27 Maart 2007
Aanwezigen : Ruben van der Laan, Johan Bruné en Richard van Mansom
Notulist
Datum
Project
Onderwerp
:
:
:
:
Richard van Mansom
27 Maart 2007, 10:00
802.1x
Toegang tot Surfnet-internet voor Wireless Leiden
De verschillende mogelijkheden om het publieke deel van Wireless Leiden te splitsen van
het deel dat bedoeld is Surfnet gebruikers zijn besproken.
De volgende scenario’s zijn aan het licht gekomen.
 Het volledige netwerk op te splitsen in twee virtuele netwerken (vlans).
Deze optie is aangedragen door een eerdere projectgroep in een eerder project.
Een besproken nadeel hiervan is dat de vlans erg veel rekenkracht zullen
gebruiken van de relatief lichte hardware in de nodes. Verder onderzoek zal nodig
zijn.
 Een apart SSID netwerk aanleggen op de nodes van Wireless Leiden welke
speciaal bedoeld zijn voor gebruikers van Surfnet. Bij gebruik van de tweede SSID
zal 802.1x authenticatie nodig zijn voor toegang van het netwerk. Bij de
bestaande SSID’s zal geen authenticatie vereist zijn, wat op zijn beurt weer
bijdraagt aan de openheid van het netwerk.
Een extra mogelijkheid die hier mogelijk is, is het roamen over het netwerk,
waardoor bij mobiele gebruikers het reconnecten na elke X aantal meters niet
nodig is.
 De bestaande SSID, bij fouten authenticatie of geen authenticatie zal het publieke
netwerk gekozen worden. Bij correcte authenticatie zal toegang verleende worden
tot de surfnet diensten.
Wireless Leiden en Surfnet.
Het is op het moment onder de contractuele verbintenis tussen Hogeschool Leiden en
Surfnet niet toegestaan om de hogeschool Internet verbinding te gebruiken om
gebruikers van Wireless Leiden toegang te verlenen tot Surfnet.
Surfnet heeft aangegeven eventueel bereid te zijn om Wireless Leiden als proef instelling
te gebruiken om publieke draadloze netwerken toegang te verlenen tot het Surfnet
netwerk.
Wireless Leiden wordt dan als aparte instelling gezien en krijgt toestemming om gebruik
te maken van het Surfnet netwerk, dit met als voorwaarde dat alleen Surfnet deelnemers
van de link gebruik kunnen en mogen maken.
Bij succes zal het eventueel mogelijk zijn om dit door te voeren in andere netwerken.
De fysieke link tussen Wireless Leiden en Surfnet.
Op het moment zijn Surfnet en Wireless Leiden twee aparte entiteiten en er bestaat geen
link tussen deze instellingen. Als Surfnet deelnemers gebruik moeten kunnen maken van
Surfnet via Wireless Leiden dan zal er een link gelegd moeten worden.
Er zijn drie mogelijkheden voor:
 Hogeschool Leiden mag de link leggen tussen Surfnet en Wireless Leiden, in dit
geval moet zowel Surfnet als de systeem beheer afdeling van Hogeschool Leiden
hier toestemming voor geven.
 De link tussen de twee instelling wordt gelegd via de bestaande demon Internet
verbinding, dit met als nadeel dat snel Internet voor studenten niet gerealiseerd
wordt.
pagina 4 van 7
Notulen

5
23-7-2017
Er wordt een directe fysieke link gelegd (bijvoorbeeld glasvezel) om de twee
netwerken met elkaar te verbinden. De consensus bestond onder de deelnemers
van dit gesprek dat dit een erg onwaarschijnlijke oplossing is.
Superusers van Wireless Leiden:
Ruben van der Laan melde ons dat Wireless Leiden zogehete superusers bevat. Dit zijn
gebruikers die alles kunnen binnen het Wireless Leiden netwerk en geen restricties
hebben. Er zal aan Surfnet een garantie gegeven moeten worden dat ook deze
gebruikers geen gebruik kunnen maken van de Surfnet diensten. Een gedragscode zal
niet volstaan.
Vragen:
Ruben heeft aangeven bereid te zijn om eventuele vragen op het gebied van 802.1x
graag te willen beantwoorden. Ook zou hij graag documentatie die wij opstellen willen
inzien en is bereid hier commentaar op te leveren.
Documentatie zal ook altijd naar Peter van de Wijden gestuurd moeten worden. Dit als
leider van het project binnen de Hogeschool.
Email adressen:
Op verzoek van Ruben volgen de emailadressen van de 802.1x Wireless Leiden project
groep.
Richard van Mansom
[email protected]
Johan Bruné
[email protected]
Wim smit
pagina 5 van 7
Notulen
6
23-7-2017
3.2 28 Maart 2007
Aanwezigen
Notulist
Datum
Project
Onderwerp
:
:
:
:
:
Dirk Los, Johan Bruné en Richard van Mansom
Johan Bruné
28 Maart 2007, 15:30
802.1x
Toegang tot Surfnet-internet voor Wireless Leiden
Tijdens de bespreking is het volgende besproken:







Optie 3, “Verbinding via bestaande Wireless Leiden Internet uplink”, is geen optie.
Wireless Leiden geeft aan dat dit niet kan omdat er met Demon Internet
contractueel is afgesproken dat er alleen traffic over port 80 mag gaan.
Voor de scheiding tussen het 802.1x netwerk en het open netwerk is optie 3 het
meest haalbaar. Dus één SSID die zowel 802.1x inlog requests verwerkt en zodra
er geen inlog request gezonden word of de login faalt toegang vezorgd tot het
open netwerk.
Om gebruikers duidelijk te maken dat er met 802.1x ingelogd moet worden na het
verbinden met Wireless Leiden kunnen HTPP request van internet pagina’s
afgevangen worden en in plaats daarvan kan een help pagina getoond worden
waarin beschreven word hoe gebruikers kunnen inloggen met 802.1x of hoe
gebruikers gebruik kunnen maken van de proxy server op het openbare netwerk.
Er moet een plan opgesteld worden waarin beschreven word hoe het netwerk
eruit zal komen te zien inclusief IP adressering.
Tevens moet er onderzocht worden hoe de communicatie tussen Wireless Leiden
en SURFnet beveiligd word nadat de authenticatie tot stand is gekomen. Het kan
zijn dat 802.1x hierin voorziet, maar het moet uitgezocht worden en op papier
gezet worden.
Om een beter inzicht te krijgen wat de vereisten zijn voor de verbinding met
SURFnet is het verstandig om een afspraak te maken met het contactpersoon dat
de Hogeschool heeft binnen SURFnet. Dirk wil graag aanwezig zijn bij deze
afspraak.
Ten laatste moet er onderzocht worden welke vrij verkrijgbare software (bij
voorkeur opensource) er beschikbaar is om 802.1x te realiseren op een FreBSD
omgeving en of deze software de fallback optie ondersteund om gebruikers alsnog
toegang te geven tot het open netwerk. Ook moet er gekeken worden naar
software voor de RADIUS server.
De volgende afspraak met Dirk Los is woensdag 4 April op de Apotheekersdijk.
pagina 6 van 7
Notulen
7
23-7-2017
3.3 4 April 2007
Aanwezigen
Notulist
Datum
Project
Onderwerp
:
:
:
:
:
Dirk Los, Johan Bruné en Richard van Mansom
Johan Bruné
4 April 2007, 15:30
802.1x
Toegang tot Surfnet-internet voor Wireless Leiden
Tijdens de bespreking is het volgende besproken:






Er moet onderzocht worden of het pakket hostapd
(http://hostap.epitest.fi/hostapd/) draait onder FreeBSD 5.3. Als dat het geval is
kan deze software draaien op de huidige accesspoints van Wireless Leiden. Als dit
niet kan moet er gekeken worden naar alternatieven of gepraat worden over het
upgraden van FreeBSD naar de laatste versie op de accesspoints.
Er moet onderzocht worden hoe er via hostapd meerdere SSIDs gerealiseerd
kunnen worden. Deze methode is wellicht beter haalbaar dan de “fallback”
methode met een enkele SSID.
Als laatste moet er bij het onderzoek naar hostapd gekeken worden naar wat er
gedaan word na de authenticatie. Tot nu toe lijkt dit nog een zwart gat te zijn.
Wat moet er gebeuren nadat de authenticatie is opgezet om te zorgen dat
beveiliging gegarandeerd is?
Het lokaal moet klaargemaakt worden om apperatuur in te zetten. Bij wie is de
sleutel op te halen? Wie hebben er allemaal toegang tot het lokaal? Kunnen wij er
al apperatuur in zetten? Peter moet hierover gemailed worden.
Dirk verzorgd twee accesspoints met FreeBSD 5.3, deze zijn volgende week
woensdag klaar.
Zodra het lokaal bruikbaar is kan daar een RADIUS server neergezet worden met
FreeBSD/FreeRadius. De Hogeschool kan hiervoor apperatuur verzorgen (?)
De volgende afspraak met Dirk Los is woensdag 11 April op de Apotheekersdijk om 15:30
uur.
pagina 7 van 7
Download