Implementering av 802.1x i trådbundna datanätverk / Implementation of 802.1x in wired computer networks

Forsman, Gustaf, Hult, Daniel

January 2008

<p>I dagsläget ligger oftast fokus för datasäkerhet hos de flesta företag och organisationer på att skydda gränsen mellan det egna interna datanätverket och det yttre publika. Detta kan leda till att skyddet på insidan försummas och öppna upp möjligheter för olika typer av obehörig användning.</p><p>Företag X har ett stort datanätverk med behov av skydd på insidan. Detta beror på att fysisk tillgång till nätverket är svår att begränsa på grund av att det till största del är placerat i öppna miljöer. Detta examensarbete behandlar en implementation av standarden 802.1x hos detta företag. 802.1x gör det möjligt att begränsa användandet av datanätverket baserat på vilka premisser ändutrustningen verifierar sig med. Åtkomst till nätverket sätts redan på den fysiska porten i nätverket där utrustningen kopplas in.</p><p>Kraven och önskemålen från företaget har varit att ta fram och genomföra test av en lösning som innehåller verifieringsmetoder för olika typer av ändutrustning. Kraven har inkluderat metoder för att verifiera ordinarie användare, besökare och övrig utrustning. Dessutom fanns krav på att lösningen inte skulle påverka nuvarande produktionssystem nämnvärt samt vara redundant för att garantera kontinuerlig tillgänglighet.</p><p>För att ta fram denna lösning utfördes laborationer i en miljö som motsvarar företagets produktionsmiljö. Lösningen som togs fram bygger i månt och mycket på befintliga komponenter i företagets datasystem. En radiusserver tar emot inloggningsförfrågningar från ändutrustning och verifierar mot katalogtjänsten. För att passa in i nuvarande system har FreeRADIUS använts för detta ändamål då funktionalitet finns för samarbete gentemot företagets befintliga katalogtjänst som är Novell eDirectory. Olika sorters användare och ändutrustning får sedan tillgång till rätt resurser dynamiskt beroende på deras förutbestämda rättigheter.</p> / <p>In today’s computer networks, the companies and organisations concerns of security mostly are about protecting the border between the internal and external networks. This can lead to neglecting the inside protection which creates opportunities for unauthorized usage of the companies resources.</p><p>The company that this thesis discusses have a large computer network with protection needed on the inside as physical access to the network is hard to limit due to open environments. This thesis focuses on an implementation of the 802.1x standard at the above mentioned company. 802.1x make it possible to limit usage of the computer network based on the credentials delivered from the connected devices. The devices get validated on the physical port that they connect to the network through.</p><p>The company requested a solution which included methods for authentication of different kinds of users and equipment. This could be regular users, visitors and other devices. Part from that there were demands of a minimal influence on the existing environment and redundancy to guarantee highest possible availability.</p><p>To reach the solution, a test setup was implemented in an environment corresponding to the company’s production system. The final solution was mainly built on components already existing at company’s site. Authentication requests made by users or devices are passed to a radius server which in turn asks the directory service for authentication validation. FreeRADIUS have been the solution of choice for this as it fits the requirements to cooperate with the company’s already existing Novell eDirectory. The end users and devices then dynamically get access to appropriate resources based on their assigned rights.</p>

802.1x

EAP

EAPOL

RADIUS

Supplicant

Authenticator

Authentication Server

FreeRADIUS

Novell eDirectory

Cisco Systems

Computer science

Datavetenskap

Untersuchung und Bewertung von Netzzugangssteuerungen auf Basis des Standards 802.1x (Port-Based Network Access Control)

Richter, Lars

11 March 2005

In der Arbeit wird der Standard 802.1x (Port-Based Network Access Control) näher betrachtet. Es werden die Funktionsweise und die Eigenschaften dieses Standards aufgezeigt. Weiterhin werden Hardware- und Softwareprodukte für die Nutzung des durch den Standard definierten Authentifizierungsverfahrens vorgestellt und analysiert. Abschließend erfolgt die Betrachtung für den Einsatz an der TU Chemnitz und der damit erfolgten Entwicklung einer Authenticator Komponenten.

802.11

802.11i

Supplicant

WPA

802.1x

Authentication-Server

Authenticator

EAP

EAPOL

Funknetzwerk

RADIUS

ddc:004

Zugangsverfahren

Netzwerk

Non-binary Authentication : Supplicant

Zhang, Hengchong

January 2009

There are a number of authentication methods for wireless local area networks. The IEEE 802.1x standard is one such method. This standard specifies a port-based access control protocol. There are three entities involved: a supplicant (a device that wishes to have network access and perhaps other services), an Access Point (AP) or other port to which access is to be controlled, and an Authentication Server (AS). The goal of this project was to design, implement, and evaluate a prototype of a non-binary alternative to IEEE 802.1x authentication. This report focuses on the supplicant. Specifically it describes the design, implementation, and evaluation of a supplicant program to test and stress the authenticator, in order to evaluate a non-binary authentication process. Following, a brief introduction is given to the problem that is to be solved, a number of existing IEEE 802.1x supplicants are described and compared. Following this, a number of potential non-binary authentication processes are analyzed. The ability of a supplicant to send and receive packets before and after authentication is also examined. Based upon our implementation and evaluation of a supplicant and an emulation of the non-binary authentication process, we conclude that non-binary authentication is both feasible and valuable. Furthermore, the thesis evaluates why and how non-binary authentication is valuable from the viewpoint of a supplicant. Additional future work is suggested at the end of this thesis. / Det finns ett antal metoder för trådlösa lokala nätverk. IEEE 802.1x-standarden är en sådan metod. Denna standard anger en port-baserad passagekontroll protokollet. Det finns tre enheter som är inblandade: en supplikant (en enhet som vill ha tillträde till nät och kanske andra tjänster), ett Access Point (AP) eller annan hamn som tillgång är att vara kontrollerad, och en Authentication Server (AS). Målet med projektet var att utforma, genomföra och utvärdera en prototyp av en icke-binära alternativ till IEEE 802.1x-autentisering. Denna rapport fokuserar på supplikant. Specifikt beskrivs utformning, genomförande och utvärdering av en supplikant program för att testa och betona authenticator, för att utvärdera ett icke-binära autentiseringsprocessen. Efter en kort introduktion ges till de problem som ska lösas, ett antal befintliga IEEE 802.1x supplikants beskrivs och jämförs. Efter detta har ett antal potentiella icke-binära autentisering processer analyseras. Möjligheten för en supplikant att skicka och ta emot paket före och efter autentisering är också undersökas. Baserat på vårt genomförande och utvärdering av en supplikant och en emulering av den icke-binära autentisering kan vi dra slutsatsen att icke-binära autentisering är både möjligt och värdefullt. Dessutom, avhandlingen utvärderar varför och hur icke-binära autentisering är värdefull ur ett supplikant. Ytterligare framtida arbetet föreslås i slutet av denna uppsats.

Supplicant

authentication

IEEE 802.1x

non-binary

Supplikant

autentisering

IEEE 802.1x

icke-binära autentisering

Communication Systems

Kommunikationssystem

Implementering av 802.1x i trådbundna datanätverk / Implementation of 802.1x in wired computer networks

Forsman, Gustaf, Hult, Daniel

January 2008

I dagsläget ligger oftast fokus för datasäkerhet hos de flesta företag och organisationer på att skydda gränsen mellan det egna interna datanätverket och det yttre publika. Detta kan leda till att skyddet på insidan försummas och öppna upp möjligheter för olika typer av obehörig användning. Företag X har ett stort datanätverk med behov av skydd på insidan. Detta beror på att fysisk tillgång till nätverket är svår att begränsa på grund av att det till största del är placerat i öppna miljöer. Detta examensarbete behandlar en implementation av standarden 802.1x hos detta företag. 802.1x gör det möjligt att begränsa användandet av datanätverket baserat på vilka premisser ändutrustningen verifierar sig med. Åtkomst till nätverket sätts redan på den fysiska porten i nätverket där utrustningen kopplas in. Kraven och önskemålen från företaget har varit att ta fram och genomföra test av en lösning som innehåller verifieringsmetoder för olika typer av ändutrustning. Kraven har inkluderat metoder för att verifiera ordinarie användare, besökare och övrig utrustning. Dessutom fanns krav på att lösningen inte skulle påverka nuvarande produktionssystem nämnvärt samt vara redundant för att garantera kontinuerlig tillgänglighet. För att ta fram denna lösning utfördes laborationer i en miljö som motsvarar företagets produktionsmiljö. Lösningen som togs fram bygger i månt och mycket på befintliga komponenter i företagets datasystem. En radiusserver tar emot inloggningsförfrågningar från ändutrustning och verifierar mot katalogtjänsten. För att passa in i nuvarande system har FreeRADIUS använts för detta ändamål då funktionalitet finns för samarbete gentemot företagets befintliga katalogtjänst som är Novell eDirectory. Olika sorters användare och ändutrustning får sedan tillgång till rätt resurser dynamiskt beroende på deras förutbestämda rättigheter. / In today’s computer networks, the companies and organisations concerns of security mostly are about protecting the border between the internal and external networks. This can lead to neglecting the inside protection which creates opportunities for unauthorized usage of the companies resources. The company that this thesis discusses have a large computer network with protection needed on the inside as physical access to the network is hard to limit due to open environments. This thesis focuses on an implementation of the 802.1x standard at the above mentioned company. 802.1x make it possible to limit usage of the computer network based on the credentials delivered from the connected devices. The devices get validated on the physical port that they connect to the network through. The company requested a solution which included methods for authentication of different kinds of users and equipment. This could be regular users, visitors and other devices. Part from that there were demands of a minimal influence on the existing environment and redundancy to guarantee highest possible availability. To reach the solution, a test setup was implemented in an environment corresponding to the company’s production system. The final solution was mainly built on components already existing at company’s site. Authentication requests made by users or devices are passed to a radius server which in turn asks the directory service for authentication validation. FreeRADIUS have been the solution of choice for this as it fits the requirements to cooperate with the company’s already existing Novell eDirectory. The end users and devices then dynamically get access to appropriate resources based on their assigned rights.

802.1x

EAP

EAPOL

RADIUS

Supplicant

Authenticator

Authentication Server

FreeRADIUS

Novell eDirectory

Cisco Systems

Computer Sciences

Datavetenskap (datalogi)

Untersuchung und Bewertung von Netzzugangssteuerungen auf Basis des Standards 802.1x (Port-Based Network Access Control)

Richter, Lars

02 January 2005

In der Arbeit wird der Standard 802.1x (Port-Based Network Access Control) näher betrachtet. Es werden die Funktionsweise und die Eigenschaften dieses Standards aufgezeigt. Weiterhin werden Hardware- und Softwareprodukte für die Nutzung des durch den Standard definierten Authentifizierungsverfahrens vorgestellt und analysiert. Abschließend erfolgt die Betrachtung für den Einsatz an der TU Chemnitz und der damit erfolgten Entwicklung einer Authenticator Komponenten.

info:eu-repo/classification/ddc/004

ddc:004

Zugangsverfahren

Netzwerk

802.11

802.11i

Supplicant

WPA

802.1x

Authentication-Server

Authenticator

EAP

EAPOL

Funknetzwerk

RADIUS

Session hijacking attacks in wireless local area networks

Onder, Hulusi

03 1900

Approved for public release, distribution is unlimited / Wireless Local Area Network (WLAN) technologies are becoming widely used since they provide more flexibility and availability. Unfortunately, it is possible for WLANs to be implemented with security flaws which are not addressed in the original 802.11 specification. IEEE formed a working group (TGi) to provide a complete solution (code named 802.11i standard) to all the security problems of the WLANs. The group proposed using 802.1X as an interim solution to the deficiencies in WLAN authentication and key management. The full 802.11i standard is expected to be finalized by the end of 2004. Although 802.1X provides a better authentication scheme than the original 802.11 security solution, it is still vulnerable to denial-of-service, session hijacking, and man-in-the- middle attacks. Using an open-source 802.1X test-bed, this thesis evaluates various session hijacking mechanisms through experimentation. The main conclusion is that the risk of session hijacking attack is significantly reduced with the new security standard (802.11i); however, the new standard will not resolve all of the problems. An attempt to launch a session hijacking attack against the new security standard will not succeed, although it will result in a denial-of-service attack against the user. / Lieutenant Junior Grade, Turkish Navy

Wireless LANs

IEEE 80211 (Standard)

Data encryption (Computer science)

Authentication

Wireless local area networks

Authentication

Security

Session hijacking

802.1X

802.11

802.11i

Encryption

Access control

Supplicant

Authenticator

Authentication server

Open-source test bed