Onderzoek x

Wireless Leiden 802.1x

RADIUS server

AP Hsleiden

Hogeschool Leiden

Wireless Ledien

Internet SURFnet

RADIUS proxy

RADIUS server

Universiteit Leiden RADIUS server

UTwente

Faseplan Node Installatie / Onderzoek

Naam : Organisatie : Datum : Opleiding :

Richard van Mansom Wireless Leiden 25 februari 2008 Hogeschool Leiden Informatica Document : Faseplan Node Installatie/Onderzoek Versie : 1.0

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

Inhoudsopgave 1. Uitgangspunten ......................................................................................................................4 1.1 Planbeschrijving ................................................................................................................4 1.2 Samenvatting ....................................................................................................................4 1.3 Randvoorwaarden van de fase .........................................................................................4 1.4 Externe afhankelijkheden .................................................................................................4 1.5 Aannames m.b.t. planning ................................................................................................4 1.6 Voortgangsbewaking en rapportage .................................................................................4 2. Planning ..................................................................................................................................5 2.1 Product Breakdown Structure ...........................................................................................5 2.2 Deelproducten ...................................................................................................................5 2.2.1 - 1.1 Proxy server ....................................................................................................5 2.2.2 - 1.2 Simulatie gebruikers houdende Radius ..........................................................5 2.2.2.1 Node .....................................................................................................................6 2.2.3 Supplicant................................................................................................................6 2.3 Tijdsschema ......................................................................................................................6 2.4 Checklist ...........................................................................................................................6 2.5 Product Flow Diagram ......................................................................................................7 2.6 Activiteiten .........................................................................................................................7 3. Risico’s ...................................................................................................................................8 3.1 WPA broadcast zijn signaal niet correct ...........................................................................8 3.2 802.1x infrastructuur geeft problemen ..............................................................................8

P. 2/8

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

Versiebeheer Datum 6 maa 2008

Versie 1.0

Omschrijving Eerste versie

P. 3/8

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

1. Uitgangspunten 1.1 Planbeschrijving Dit faseplan beschrijft de ‘node installatie / onderzoek’ fase en bevat de planning en afhankelijkheden.

1.2 Samenvatting In deze fase wordt de node klaargemaakt voor WPA en vervolgens wordt 802.1x geïnstalleerd. 802.1x is afhankelijk van WPA voor een veilige werking. De radius infrastructuur wordt geïnstalleerd, inclusief een radius server waar gebruikers op staan als simulatie voor een Radiusserver die anders op de eigen netwerken staan.. Dit document geeft een gedetailleerde omschrijving van de uit te voeren werkzaamheden en de volgorde waarin deze worden uitgevoerd.

1.3 Randvoorwaarden van de fase Het volgende dient geregeld te worden







Er is een werkende Soekris of andere realistische hardware voor simulatie van een node. Indien er een Soekris gebruikt wordt dient er een Flashcard lezer (met compactflash mogelijkheid) aanwezig te zijn en een computer met seriële (RS232 – DB9) aansluiting Er is een laptop aanwezig welke WPA ondersteund. Er zijn 2 computers aanwezig voor de Radius infrastructuur (Virtueel is toegestaan). Er is een testlocatie beschikbaar welke geschikt is voor draadloze netwerken.

1.4 Externe afhankelijkheden Bij Wireless Leiden specifieke kennis over bijvoorbeeld bestaande infrastructuur is er een Wireless Leiden vrijwilliger beschikbaar welke de benodigde kennis bezit.

1.5 Aannames m.b.t. planning




De voorbereiding is afgerond De eisen zijn duidelijk Bij veranderingen in de eisen is het waarschijnlijk niet mogelijk om de huidige planning te behouden en vervalt de huidige planning.

1.6 Voortgangsbewaking en rapportage Er is geen vaste rapportage frequentie. Op het moment dat er relevante informatie beschikbaar komt, zoals bijvoorbeeld een behalen van een belangrijk milestone, wordt Wireless Leiden op de hoogte gesteld. Afhankelijk van de informatie wordt de melding gedaan aan Huub Schuurmans (voorzitter Wireless Leiden) of aan een van de mailinglists.

P. 4/8

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

2. Planning 2.1 Product Breakdown Structure Node installatie / onderzoek

1. Radius Infrastructuu r

1.1 Proxy server

2. Node / Authenticator

1.2 Simulatie gebruikers houdende Radius

2.1 WPA Node

1.1.1 O.S.

1.2.1 O.S.

1.1.2 Radiusserver

1.2.2 Radiusserver

3. Supplicant

3.1 Windows

2.1.1 802.x Node

3.2 Macintosh

3.3 Linux

2.2 Deelproducten De volgende deelproducten komen tot stand in de “node installatie en onderzoekfase”:

2.2.1 - 1.1 Proxy server Dit is de server waarop Radius server draait welke de authenticatie verzoeken door route naar de Radius server op de eigen netwerken. Deze bestaat uit een Besturingsysteem (O.S.) en een Radiusserver.

2.2.2 - 1.2 Simulatie gebruikers houdende Radius Dit is de server die de Radiusserver simuleert welke op de eigen netwerken draait. In het ontwikkelingsproces zijn er nog geen Radius server beschikbaar vanuit externe partijen (zoals Surfnet / Eduroam). Deze server functioneert als vervanging voor de externe Radiusserver welke de gebruikers accounts bevat.

P. 5/8

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

2.2.2.1 Node Het installeren van de Authenticator bestaat uit twee stappen. In de eerste instantie wordt er een WPA node geïnstalleerd. WPA maakt gebruik van dezelfde technieken in/en de software. Echter is er geen Supplicant of Radius server nodig. Deze tussenstap functioneert als test om te controleren of de node goed functioneert. Bij het functioneren van WPA kan in veel gevallen bij het mislopen van een 802.1x installatie, de node uitgesloten worden als het probleem in de keten. Na het werken met WPA is de volgende stap het klaar maken van de node voor 802.1x.

2.2.3 Supplicant De supplicant is de 802.1x client. Dit kan zowel de software zijn welke op het werkstation draait of het werk station zelf. In de drie gevallen (Windows, Macintosh en Linux) wordt de software geconfigureerd zodat deze gebruik kan maken 802.1x. Er wordt uit gegaan van een basis installatie van het besturingsysteem.

2.3 Tijdsschema De onderzoeksfase bestaat uit 6 weken en dit is verdeel over de volgende deelproducten. Radiusinfrastructuur Node / Authenticator Supplicant Documentatie schrijven

3/4 Week 2 1/2 Weken 1 3/4 Weken 1 Week

2.4 Checklist De volgende producten worden opgeleverd.








Proxy Radiusserver Radiusserver (met gebruikersaccounts). WPA Node 802.1x Node Windows Supplicant Macintosh Supplicant Linux Supplicant

Alle onderdelen worden opgeleverd inclusief installatie handleiding.

P. 6/8

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

2.5 Product Flow Diagram Het volgende flow diagram geeft de volgorde aan waarin de producten worden gemaakt en opgeleverd.

Proxy Server OS

Gebruikers Radius OS

WPA Mode

Proxy Server Radius

Gebruikers Radius Server

802.1x Node

Windows Supplicant

Macintosh Supplicant

Linux Supplicant

2.6 Activiteiten











2x FreeBSD Instaleren 2x FreeRadius Instaleren 1x FreeRadius configureren als proxy 1x FreeRadius configureren met gebruikersaccount Windows Supplicant installeren en configureren. HostAPD installeren op de Soekris HostAPD configureren als WPA Node HostAPD configureren als 802.1x Node Macintosh Supplicant installeren en configureren. Linux Supplicant installeren en configureren.

P. 7/8

Organisatie Project

: Wireless Leiden : 802.1x

Document Versie

Faseplan: Node Installatie/Onderzoek : 1.0

3. Risico’s 3.1 WPA broadcast zijn signaal niet correct In een voorgaand project is het niet gelukt om WPA correct te broadcasten. De client bleef het signaal zien als WEB encryptie. Het is niet bekend waar dit probleem ligt. Oplossing Zoek naar handleidingen op internet welke het volledige installatie beschrijven (os, hostapd en dependencies). Bijvoorkeur met lezers commentaar er bij. Dit zorgt er voor dat andere lezers al fouten gevonden hebben in de handleiding.

3.2 802.1x infrastructuur geeft problemen Na het installeren van de 802.1x node (Authenticator), de Radius server (Authenticatie server) en de Client (Supplicant) blijkt dat er iets in de keten mis gaat. Het gaat om drie onafhankelijk software pakketten. De drie punten in de keten kunnen alleen getest worden in een 802.1x infrastructuur, anders zijn de tests niet representatief. Oplossing Supplicant Test de supplicant in het Eduroam netwerk op de Hogeschool Leiden. Deze moet met de zelfde instellingen gaan werken. Als deze test slaagt is de Supplicant uitgesloten. Authenticator Vervang de Authenticator voor een andere Authenticator die zeker werkt, Bijvoorbeeld een broadband router welke 802.1x ondersteund. Als deze ook niet lukt dat is de Authenticator uitgesloten. Authenticator Server Vervang de Radius server voor een andere Radius server en controleer of er vergelijkbare foutmeldingen gegeven wordt. Logs Controleer alle logs. Zowel FreeRadius als HostAPD hebben een uitgebreide logfunctie. In deze logs kunnen ook oorzaken van problemen gevonden worden.

P. 8/8