Wireless Leiden 802.1x Notulen Johan Bruné Richard van Mansom Sebastiaan Willemse Project: IMSM Wireless Leiden Datum: 23-7-2017 Versie 1.00 Notulen 2 23-7-2017 Inhoudsopgave INHOUDSOPGAVE ............................................................................................................................................. 2 1.0 CONTACT MET WIRELESS LEIDEN ....................................................................................................... 3 2.0 CONTACT MET SURFNET ......................................................................................................................... 3 3.0 NOTULEN ....................................................................................................................................................... 4 3.1 27 MAART 2007 ............................................................................................................................................ 4 3.2 28 MAART 2007 ............................................................................................................................................ 6 3.3 4 APRIL 2007 ................................................................................................................................................. 7 pagina 2 van 7 Notulen 3 23-7-2017 1.0 Contact met Wireless Leiden Het contact met Wireless Leiden is goed verlopen, in het begin zijn hiervan notulen bijgehouden, zie verder in dit document, maar al snel is het notuleren komen te vervallen. De meeste meetings met Wireless Leiden waren informeel, maar zeker wel nuttig 2.0 Contact met SURFnet We zijn begonnen met het ontwikkelen van scenario’s hoe we Wireless Leiden aan Surfnet en/of Hogeschool Leiden kunnen koppelen. Hier hebben wij verschillende Visio documenten voor gecreëerd. Na enig onderzoek bleek dat het niet is toegestaan om het Hogeschool Leiden netwerk te gebruiken om toegang te krijgen tot internet door en/of voor een derde instantie (in ons geval Wireless Leiden). Om dit wel mogelijk te maken moet er contact gelegd met Surfnet, het was besloten door de leerkrachten dat dit niet onder onze opdracht valt. Ongeveer een maand voor het eind van de minor kregen wij te horen dat wij contact moeten zoeken met Surfnet om het eerste contact mogelijk te maken tussen Surfnet en Wireless Leiden. Om dit mogelijk te maken is afgesproken dat Ruben van der Laan contact opneemt met Klaas Wieringa (een Surfnet Medewerker) om ons te introduceren. Omdat wij 1.5 week later nog niets van Ruben gehoord hebben, hebben wij het initiatief genomen en zelf geprobeerd contact met Ruben te zoeken. Deze was echter een aantal dagen ziek geweest (iets wat achteraf niet zeker was), iets waardoor we vertraging opliepen met het contacteren van Surfnet. Na een (kort) gesprek met Ruben van der Laan hebben wij het email adres gekregen van Klaas Wieringa om zelf contact met deze persoon op te nemen. In de twee weken hierna (het einde van de minor) hebben zowel wij als Ruben geen reactie gekregen van Surfnet. Omdat er geen contact is geweest tussen Surfnet en onze projectgroep is het niet mogelijk om een contact te leggen tussen Surfnet en Wireless Leiden. pagina 3 van 7 Notulen 4 23-7-2017 3.0 Notulen 3.1 27 Maart 2007 Aanwezigen : Ruben van der Laan, Johan Bruné en Richard van Mansom Notulist Datum Project Onderwerp : : : : Richard van Mansom 27 Maart 2007, 10:00 802.1x Toegang tot Surfnet-internet voor Wireless Leiden De verschillende mogelijkheden om het publieke deel van Wireless Leiden te splitsen van het deel dat bedoeld is Surfnet gebruikers zijn besproken. De volgende scenario’s zijn aan het licht gekomen. Het volledige netwerk op te splitsen in twee virtuele netwerken (vlans). Deze optie is aangedragen door een eerdere projectgroep in een eerder project. Een besproken nadeel hiervan is dat de vlans erg veel rekenkracht zullen gebruiken van de relatief lichte hardware in de nodes. Verder onderzoek zal nodig zijn. Een apart SSID netwerk aanleggen op de nodes van Wireless Leiden welke speciaal bedoeld zijn voor gebruikers van Surfnet. Bij gebruik van de tweede SSID zal 802.1x authenticatie nodig zijn voor toegang van het netwerk. Bij de bestaande SSID’s zal geen authenticatie vereist zijn, wat op zijn beurt weer bijdraagt aan de openheid van het netwerk. Een extra mogelijkheid die hier mogelijk is, is het roamen over het netwerk, waardoor bij mobiele gebruikers het reconnecten na elke X aantal meters niet nodig is. De bestaande SSID, bij fouten authenticatie of geen authenticatie zal het publieke netwerk gekozen worden. Bij correcte authenticatie zal toegang verleende worden tot de surfnet diensten. Wireless Leiden en Surfnet. Het is op het moment onder de contractuele verbintenis tussen Hogeschool Leiden en Surfnet niet toegestaan om de hogeschool Internet verbinding te gebruiken om gebruikers van Wireless Leiden toegang te verlenen tot Surfnet. Surfnet heeft aangegeven eventueel bereid te zijn om Wireless Leiden als proef instelling te gebruiken om publieke draadloze netwerken toegang te verlenen tot het Surfnet netwerk. Wireless Leiden wordt dan als aparte instelling gezien en krijgt toestemming om gebruik te maken van het Surfnet netwerk, dit met als voorwaarde dat alleen Surfnet deelnemers van de link gebruik kunnen en mogen maken. Bij succes zal het eventueel mogelijk zijn om dit door te voeren in andere netwerken. De fysieke link tussen Wireless Leiden en Surfnet. Op het moment zijn Surfnet en Wireless Leiden twee aparte entiteiten en er bestaat geen link tussen deze instellingen. Als Surfnet deelnemers gebruik moeten kunnen maken van Surfnet via Wireless Leiden dan zal er een link gelegd moeten worden. Er zijn drie mogelijkheden voor: Hogeschool Leiden mag de link leggen tussen Surfnet en Wireless Leiden, in dit geval moet zowel Surfnet als de systeem beheer afdeling van Hogeschool Leiden hier toestemming voor geven. De link tussen de twee instelling wordt gelegd via de bestaande demon Internet verbinding, dit met als nadeel dat snel Internet voor studenten niet gerealiseerd wordt. pagina 4 van 7 Notulen 5 23-7-2017 Er wordt een directe fysieke link gelegd (bijvoorbeeld glasvezel) om de twee netwerken met elkaar te verbinden. De consensus bestond onder de deelnemers van dit gesprek dat dit een erg onwaarschijnlijke oplossing is. Superusers van Wireless Leiden: Ruben van der Laan melde ons dat Wireless Leiden zogehete superusers bevat. Dit zijn gebruikers die alles kunnen binnen het Wireless Leiden netwerk en geen restricties hebben. Er zal aan Surfnet een garantie gegeven moeten worden dat ook deze gebruikers geen gebruik kunnen maken van de Surfnet diensten. Een gedragscode zal niet volstaan. Vragen: Ruben heeft aangeven bereid te zijn om eventuele vragen op het gebied van 802.1x graag te willen beantwoorden. Ook zou hij graag documentatie die wij opstellen willen inzien en is bereid hier commentaar op te leveren. Documentatie zal ook altijd naar Peter van de Wijden gestuurd moeten worden. Dit als leider van het project binnen de Hogeschool. Email adressen: Op verzoek van Ruben volgen de emailadressen van de 802.1x Wireless Leiden project groep. Richard van Mansom [email protected] Johan Bruné [email protected] Wim smit pagina 5 van 7 Notulen 6 23-7-2017 3.2 28 Maart 2007 Aanwezigen Notulist Datum Project Onderwerp : : : : : Dirk Los, Johan Bruné en Richard van Mansom Johan Bruné 28 Maart 2007, 15:30 802.1x Toegang tot Surfnet-internet voor Wireless Leiden Tijdens de bespreking is het volgende besproken: Optie 3, “Verbinding via bestaande Wireless Leiden Internet uplink”, is geen optie. Wireless Leiden geeft aan dat dit niet kan omdat er met Demon Internet contractueel is afgesproken dat er alleen traffic over port 80 mag gaan. Voor de scheiding tussen het 802.1x netwerk en het open netwerk is optie 3 het meest haalbaar. Dus één SSID die zowel 802.1x inlog requests verwerkt en zodra er geen inlog request gezonden word of de login faalt toegang vezorgd tot het open netwerk. Om gebruikers duidelijk te maken dat er met 802.1x ingelogd moet worden na het verbinden met Wireless Leiden kunnen HTPP request van internet pagina’s afgevangen worden en in plaats daarvan kan een help pagina getoond worden waarin beschreven word hoe gebruikers kunnen inloggen met 802.1x of hoe gebruikers gebruik kunnen maken van de proxy server op het openbare netwerk. Er moet een plan opgesteld worden waarin beschreven word hoe het netwerk eruit zal komen te zien inclusief IP adressering. Tevens moet er onderzocht worden hoe de communicatie tussen Wireless Leiden en SURFnet beveiligd word nadat de authenticatie tot stand is gekomen. Het kan zijn dat 802.1x hierin voorziet, maar het moet uitgezocht worden en op papier gezet worden. Om een beter inzicht te krijgen wat de vereisten zijn voor de verbinding met SURFnet is het verstandig om een afspraak te maken met het contactpersoon dat de Hogeschool heeft binnen SURFnet. Dirk wil graag aanwezig zijn bij deze afspraak. Ten laatste moet er onderzocht worden welke vrij verkrijgbare software (bij voorkeur opensource) er beschikbaar is om 802.1x te realiseren op een FreBSD omgeving en of deze software de fallback optie ondersteund om gebruikers alsnog toegang te geven tot het open netwerk. Ook moet er gekeken worden naar software voor de RADIUS server. De volgende afspraak met Dirk Los is woensdag 4 April op de Apotheekersdijk. pagina 6 van 7 Notulen 7 23-7-2017 3.3 4 April 2007 Aanwezigen Notulist Datum Project Onderwerp : : : : : Dirk Los, Johan Bruné en Richard van Mansom Johan Bruné 4 April 2007, 15:30 802.1x Toegang tot Surfnet-internet voor Wireless Leiden Tijdens de bespreking is het volgende besproken: Er moet onderzocht worden of het pakket hostapd (http://hostap.epitest.fi/hostapd/) draait onder FreeBSD 5.3. Als dat het geval is kan deze software draaien op de huidige accesspoints van Wireless Leiden. Als dit niet kan moet er gekeken worden naar alternatieven of gepraat worden over het upgraden van FreeBSD naar de laatste versie op de accesspoints. Er moet onderzocht worden hoe er via hostapd meerdere SSIDs gerealiseerd kunnen worden. Deze methode is wellicht beter haalbaar dan de “fallback” methode met een enkele SSID. Als laatste moet er bij het onderzoek naar hostapd gekeken worden naar wat er gedaan word na de authenticatie. Tot nu toe lijkt dit nog een zwart gat te zijn. Wat moet er gebeuren nadat de authenticatie is opgezet om te zorgen dat beveiliging gegarandeerd is? Het lokaal moet klaargemaakt worden om apperatuur in te zetten. Bij wie is de sleutel op te halen? Wie hebben er allemaal toegang tot het lokaal? Kunnen wij er al apperatuur in zetten? Peter moet hierover gemailed worden. Dirk verzorgd twee accesspoints met FreeBSD 5.3, deze zijn volgende week woensdag klaar. Zodra het lokaal bruikbaar is kan daar een RADIUS server neergezet worden met FreeBSD/FreeRadius. De Hogeschool kan hiervoor apperatuur verzorgen (?) De volgende afspraak met Dirk Los is woensdag 11 April op de Apotheekersdijk om 15:30 uur. pagina 7 van 7