Embed Size (px)
DESCRIPTION
Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802.1X Uygulamaları. Orta Doğu Teknik Üniversitesi Kuzey Kıbrıs Kampusu Seniha S. Öztemiz [email protected] Doruk Nezir [email protected] Evgül Avcı [email protected] İbrahim Çalışır [email protected] - PowerPoint PPT Presentation
Citation preview
1 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 11+ 1+ 1
Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile
802.1X Uygulamaları
Orta Doğu Teknik ÜniversitesiKuzey Kıbrıs Kampusu
Seniha S. Öztemiz [email protected]
Doruk Nezir [email protected]
Evgül Avcı [email protected]
İbrahim Çalışır [email protected]
Emre Sezginer [email protected]
AB’07 Ocak 2007
2 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 22+ 1+ 1
Sunumun Ana HatlarıODTÜ Kıbrıs
Yerleşke Altyapısı
Ağa Bağlanan Kişiyi Tanımaya Neden Gereksinim Var?
Geleneksel Ağ Erişimi Denetim Yöntemleri
IEEE 802.1X
EAP Kimlik Doğrulama Türleri
ODTÜ Kıbrıs .1X Seçim Kriterleri
.1X İstemci-İşletim Sistemi Uyumluluğu
TTLS Yazılım/Donanım Gereksinimleri
TTLS’in Zorlukları
ODTÜ Kıbrıs .1X Uygulamaları
Yararlı Kaynaklar
3 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 33+ 1+ 1
ODTÜ Kıbrıs
Ekim 2005’te açılış
10 Lisans programında ~700 öğrenci
~150 personel (İdari+Akademik)
Öğrencilerin %75’inde kişisel bilgisayar
2015’de 6000 öğrenci hedefi
Gelişkin bilişim altyapısı
4 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 44+ 1+ 1
KDM-3 (Misafirhane)
KDM-4 (Lojmanlar)
KDM-5 (96 abone toplam Lojmanlar)
KDM-17(Yurtlar-2)
KDM-G(Nizamiye)KDM-6
KDM-12 (Atölyeler)
KDM-9 (Eğt- Lab blk)
KDM-8 (Hazırlık Okulu)
KDM-18 (Eğt-2)
BIM
24 C
ore
SM
Out
doo
r F
O K
ablo
(300
Mt)
12 C
ore
SM O
utdo
or F
O K
ablo
(250
0 M
t)
24 Core SM Outdoor FO Kablo
(900 Mt)
24 Core SM Outdoor FO Kablo(700 Mt)
24 Core SM Outdoor FO Kablo
(1200 Mt)
12 Core
SM O
urdoor F
O Kablo
(950 Mt)
12 Core SM Outdoor FO Kablo(700 Mt)
12 Core SM Outdoor FO Kablo
(400 Mt)
24 Core SM
Outdoor FO
Kablo
(500 Mt)
12 Core SM
Outdoor F
O K
ablo
(1900 Mt)
1.YURTJ BLK
(220 abone toplam)
1.YURTA-B BLK
()
1.YURTC-D BLK
()
1.YURTE-F BLK
()
6 Cor
e SM
Outd
oor F
O K
ablo
(200
Mt)
6 C
ore
SM O
utdo
or F
O K
ablo
(150
Mt)
6 Core SM
Outdoor F
O K
ablo
(250 Mt)
6 Core SM
Outdoor FO
Kablo
(250 Mt)
HAZIRLIKC BLK
(24 abone) 6 Core SM Outdoor FO Kablo
(400 Mt)
HAZIRLIKH BLK
(76 abone)
EĞT BLK 1EĞT GÖRV
(72 abone toplam)
EĞT BLK 1DERSLİK
()
LAB. BLKEĞT GÖRV
(72 abone toplam)
LAB BLKDERSLİK
()
6 Core SM
Outdoor FO Kablo
(250 Mt)
6 Core SM
Outdoor FO Kablo
(300 Mt)
6 C
ore
SM
Out
doo
r F
O K
ablo
(300
Mt)
6 C
ore
SM
Out
door
FO
Kab
lo
(250
Mt)
ATÖLYELER(20 abone)
REKTÖRLÜK,(196 abone)
BIM-1(196 abone)
KÜTÜPHANE(48 abone)
6 Core SMOutdoor FO Kablo
(200 Mt)
MİSAFİRHANE(48 abone)
ÇARŞI(48 abone)
KAFETERYA(24 abone)
6 Core
SM O
utdoor FO K
ablo
(150 Mt)
6 Core SM Outdoor FO Kablo
(200 Mt)
KÜLTÜRKONGREMERKEZİ
ANFİ(96 abone)
6 Core SM O
utdoor FO K
ablo
(400 Mt)
6 Core SM Outdoor FO Kablo(350 Mt)
K.SPORSALONU(18 abone)
SAĞLIKMERKEZİ(30 abone
)
6 Core SM Outdoor FO
Kablo(250 Mt)
6 Core SMOutdoor FO Kablo
(275 Mt) 6 Core SMOutdoor FO Kablo
(150 Mt)
12 HU
12 HU 12 HU 16 HU
12 HU
12 HU 12 HU
12 HU
16 HU
12 HU
12 HU
12 HU
16 HU
12 HU26 HU
32 HU
16 HU
12 HU
26 HU
6 Core SM Outdoor FO Kablo(200 Mt)
6509-E CHASIS
3825 V-K9
42 HU
9 HU
12 HU
12 HU
12 HU
12 HU
12 HU
12 HU
LOJMANA1 BLK
()
7 HU
LOJMANA2 BLK
()
7 HU
LOJMANA4 BLK
()
7 HU
LOJMANA3 BLK
(8)
7 HU
LOJMANB1 BLK
()
7 HULOJMANB2 BLK
()
7 HU
LOJMANB4 BLK
()
7 HU
LOJMANB3 BLK
()
7 HU
LOJMANB5 BLK
()
7 HU
LOJMANB6 BLK
()
7 HU
LOJMANB8 BLK
()
7 HU
LOJMANB7 BLK
()
7 HU
LOJMANB9 BLK
()7 HU
LOJMANC-D-1 BLK
()
7 HU
LOJMANC-D-2 BLK
()
7 HU
LOJMANC-D-3 BLK
()
7 HU
LOJMANC-D-4 BLK
()
7 HU
LOJMANC-D-5 BLK
()
7 HU
LOJMANC-D-6 BLK
()
7 HU
12 HU
12 HU
6 Core MM Outdoor FO Kablo(3000 Mt)
16 HU
26 HU
6 Core SM Outdoor FO Kablo
(450 Mt)
Fiber Optik Kablolama
Merkezden 30 noktaya SM F/O
19 noktaya MM F/O kablolama
14,5 km. SM kablo – omurga
8 km. SM kablo – TT bağlantısı
3 km. MM F/O kablo
5 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 55+ 1+ 1
.1X Destekli Aktif Cihazlar
34 adet ikinci seviye ethernet anahtarı
21 noktada toplam 45 adet 3. seviye anahtar
15 adet 1Gbps kullanıcı arabirimli anahtar
360 adet 1Gbps ethernet arabirimi
2808 adet 100Mbps ethernet arabirimi
60 adet 1Gbps LX GBIC
228km. Cat5e kablolama
6 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 66+ 1+ 1
Ağa Bağlanan Kişiyi Tanımaya Neden Gereksinim Var?
Erişim HakkıVar mı?
Trafik normalmi?
Sanal/Gerçek==1 ?
H
H H
E
E E
Ağı kullananların:
7 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 77+ 1+ 1
Geleneksel Ağ Erişimi Denetim Yöntemleri
IP Adresi
MAC Adresi
IP/MAC Eşlemesi
Arabirim Tabanlı MAC Sınırlandırılması
8 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 88+ 1+ 1
IEEE 802.1X
KimlikKanıtlayıcı
İstemci
Kimlik Kanıtlama
Sunucusu
EAPOL
PC/Laptop
Ör: LDAP
EAP over RADIUS
Ağ
Anahtarlama Cihazı / Kablosuz Erişim Noktası
KullanıcıVeri Tabanı
Kullanıcı ağa erişmeden önce, kullanıcı bilgilerine dayalı denetleme yaparak ağ oturumu başlatan sistemdir.
9 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 99+ 1+ 1
.1X/EAP Kimlik Doğrulama TürleriMD5
– Radius’a hash gönderir.– Doğrulamak için sunucuda parola “açık metin” olmalıdır.– Kablosuz için güvenli değildir.
TLS– Sunucu ve istemci sertifikaları kullanır.– Her istemciye özgün sertifika üretilerek dağıtılmalıdır.
TTLS– Sadece sunucu sertifikası kullanılır.– Güvenli tünel ile kullanıcı kodu / parola doğrulaması yapar.
PEAP/LEAP– TTLS’e benzer.– MS kullanıcı kodları için uygundur.
10 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1010+ 1+ 1
ODTÜ Kıbrıs .1X Seçim Kriterleri
Güvenlik
Açık kaynak kod istemci/sunucu yazılımı
İstemci sertifikasız
LDAP merkezi kullanıcı veri tabanı desteği
11 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1111+ 1+ 1
.1X/EAP Kimlik DoğrulamaTürleri
MD5 TLS TTLS PEAP LEAP
Standart Açık Açık Açık Açık Firma
İstemci Sertifikası Sunucu Sertifikası Güvenlik Yok Güçlü Güçlü Güçlü Zayıf
Kullanıcı Veritabanı “Açık Metin” Parola
“Active Directory
”
Token Systems,
SQL, LDAP
Active Directory, NT Etki Alanı
Active Directory, NT Etki Alanı
Dinamik Anahtar Değişimi
Karşılıklı Doğrulama
12 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1212+ 1+ 1
.1X İstemci-İşletim Sistemi Uyumluluğu
İstemci98/ME
XP/2K
OS X
Linux Pckt PC
TLS PEAP TTLS Lisans
Win Yerleşik CHAP
v2 Yerleşik
OSX Yerleşik Yerleşik
SecureW2 GPL
Odyssey $$
AEGIS $$
wpa_supp GPL
Xsupplicant GPL
13 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1313+ 1+ 1
TTLS Yazılım/Donanım Gereksinimleri
Sunucu donanımı ve güncel işletim sistemi kurulumu802.1X destekli ağ cihazı donanımı ve
yapılandırılmasıOpenSSL kurulumu ve Sunucu Sertifikasının
Üretilmesi FreeRADIUS Kurulumu ve YapılandırılmasıOpenLDAP kurulumu ve LDAP sunucusunun
FreeRADIUS’a sorgu hakkı vermek üzere yapılandırılması
İstemci yazılımı kurulması ve yapılandırılması (SecureW2/WPA_suplicant)
14 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1414+ 1+ 1
TTLS’in Zorlukları
İlave istemci yazılım gereksinimi
Daha iyi belgeleme/destek gereksinimi
Sunucu kurulumu güçlükleri
15 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1515+ 1+ 1
ODTÜ Kıbrıs .1X Uygulamaları
Free-
Radius
Open-
LDAP
Yerleşke Omurgası
İstemci
İstemci
Ethernet AnahtarErişim Noktası
Öğrenci yurt odaları ağ erişimi (Kablolu)
Kütüphane kablosuz ağ erişimi
Ağa erişim isteği
İstemci doğrulama talebiLDAP sorgusu
LDAP yanıtı
İstemci doğrulama yanıtı
16 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1616+ 1+ 1
Yararlı Kaynaklar
1. http://standards.ieee.org/getieee802/download/802.1X-2004.pdf
2. http://www.linuxjournal.com/article/8017
3. http://www.freeradius.org/
4. http://www.openssl.org/
5. http://www.openldap.org/
6. http://hostap.epitest.fi/wpa_supplicant/
7. http://www.securew2.com/
17 O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s uO r t a D o ğ u T e k n i k Ü n i v e r s i t e s i – K u z e y K ı b r ı s K a m p u s u 1717+ 1+ 1
Teşekkürler
Sorular...
ODTÜ Kuzey Kıbrıs Kampusu Bilişim Teknolojileri Müdürlüğü
Tel: (0392) 661 2051
İdeal Çözüm!
