Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802 Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802.1X Uygulamaları Orta Doğu Teknik Üniversitesi Kuzey Kıbrıs Kampusu Seniha S. Öztemiz senihaoz@metu.edu.tr Doruk Nezir doruknez@metu.edu.tr Evgül Avcı evgul@metu.edu.tr İbrahim Çalışır icalisir@metu.edu.tr Emre Sezginer emre@metu.edu.tr AB’07 Ocak 2007

Sunumun Ana Hatları ODTÜ Kıbrıs Yerleşke Altyapısı Ağa Bağlanan Kişiyi Tanımaya Neden Gereksinim Var? Geleneksel Ağ Erişimi Denetim Yöntemleri IEEE 802.1X EAP Kimlik Doğrulama Türleri ODTÜ Kıbrıs .1X Seçim Kriterleri .1X İstemci-İşletim Sistemi Uyumluluğu TTLS Yazılım/Donanım Gereksinimleri TTLS’in Zorlukları ODTÜ Kıbrıs .1X Uygulamaları Yararlı Kaynaklar

ODTÜ Kıbrıs Ekim 2005’te açılış 10 Lisans programında ~700 öğrenci ~150 personel (İdari+Akademik) Öğrencilerin %75’inde kişisel bilgisayar 2015’de 6000 öğrenci hedefi Gelişkin bilişim altyapısı

Fiber Optik Kablolama Merkezden 30 noktaya SM F/O KDM-3 (Misafirhane) KDM-4 (Lojmanlar) KDM-5 (96 abone toplam Lojmanlar) KDM-17 (Yurtlar-2) KDM-G(Nizamiye) KDM-6 KDM-12 (Atölyeler) KDM-9 (Eğt- Lab blk) KDM-8 (Hazırlık Okulu) KDM-18 (Eğt-2) BIM 24 Core SM Outdoor FO Kablo (300 Mt) 12 Core SM Outdoor FO Kablo (2500 Mt) (900 Mt) (700 Mt) (1200 Mt) 12 Core SM Ourdoor FO Kablo (950 Mt) (400 Mt) (500 Mt) (1900 Mt) 1.YURT J BLK (220 abone toplam) A-B BLK () C-D BLK E-F BLK 6 Core SM Outdoor FO Kablo (200 Mt) (150 Mt) (250 Mt) HAZIRLIK C BLK (24 abone) H BLK (76 abone) EĞT BLK 1 EĞT GÖRV (72 abone toplam) DERSLİK LAB. BLK LAB BLK 6 Core SM Outdoor FO Kablo ATÖLYELER (20 abone) REKTÖRLÜK, (196 abone) BIM-1 KÜTÜPHANE (48 abone) MİSAFİRHANE ÇARŞI KAFETERYA KÜLTÜR KONGRE MERKEZİ ANFİ (96 abone) (350 Mt) K.SPOR SALONU (18 abone) SAĞLIK (30 abone ) (275 Mt) 12 HU 16 HU 26 HU 32 HU 6509-E CHASIS 3825 V-K9 42 HU 9 HU LOJMAN A1 BLK 7 HU A2 BLK A4 BLK A3 BLK (8) B1 BLK B2 BLK B4 BLK B3 BLK B5 BLK B6 BLK B8 BLK B7 BLK B9 BLK C-D-1 BLK C-D-2 BLK C-D-3 BLK C-D-4 BLK C-D-5 BLK C-D-6 BLK 6 Core MM Outdoor FO Kablo (3000 Mt) (450 Mt) Merkezden 30 noktaya SM F/O 19 noktaya MM F/O kablolama 14,5 km. SM kablo – omurga 8 km. SM kablo – TT bağlantısı 3 km. MM F/O kablo

.1X Destekli Aktif Cihazlar 34 adet ikinci seviye ethernet anahtarı 21 noktada toplam 45 adet 3. seviye anahtar 15 adet 1Gbps kullanıcı arabirimli anahtar 360 adet 1Gbps ethernet arabirimi 2808 adet 100Mbps ethernet arabirimi 60 adet 1Gbps LX GBIC 228km. Cat5e kablolama

Ağa Bağlanan Kişiyi Tanımaya Neden Gereksinim Var? Ağı kullananların: Erişim Hakkı Var mı? H E Sanal/Gerçek ==1 ? Trafik normal mi? H H E E

Geleneksel Ağ Erişimi Denetim Yöntemleri IP Adresi MAC Adresi IP/MAC Eşlemesi Arabirim Tabanlı MAC Sınırlandırılması

IEEE 802.1X Kullanıcı ağa erişmeden önce, kullanıcı bilgilerine dayalı denetleme yaparak ağ oturumu başlatan sistemdir. Kimlik Kanıtlayıcı İstemci Kimlik Kanıtlama Sunucusu EAPOL PC/ Laptop Ör: LDAP EAP over RADIUS Ağ Anahtarlama Cihazı / Kablosuz Erişim Noktası Kullanıcı Veri Tabanı

.1X/EAP Kimlik Doğrulama Türleri MD5 Radius’a hash gönderir. Doğrulamak için sunucuda parola “açık metin” olmalıdır. Kablosuz için güvenli değildir. TLS Sunucu ve istemci sertifikaları kullanır. Her istemciye özgün sertifika üretilerek dağıtılmalıdır. TTLS Sadece sunucu sertifikası kullanılır. Güvenli tünel ile kullanıcı kodu / parola doğrulaması yapar. PEAP/LEAP TTLS’e benzer. MS kullanıcı kodları için uygundur.

ODTÜ Kıbrıs .1X Seçim Kriterleri Güvenlik Açık kaynak kod istemci/sunucu yazılımı İstemci sertifikasız LDAP merkezi kullanıcı veri tabanı desteği

.1X/EAP Kimlik DoğrulamaTürleri MD5 TLS TTLS PEAP LEAP Standart Açık Firma İstemci Sertifikası   Sunucu Sertifikası Güvenlik Yok Güçlü Zayıf Kullanıcı Veritabanı “Açık Metin” Parola “Active Directory” Token Systems,SQL, LDAP Active Directory, NT Etki Alanı Dinamik Anahtar Değişimi Karşılıklı Doğrulama

.1X İstemci-İşletim Sistemi Uyumluluğu 98/ME XP/2K OS X Linux Pckt PC TLS PEAP TTLS Lisans Win Yerleşik   CHAP v2 Yerleşik OSX Yerleşik SecureW2 GPL Odyssey $$ AEGIS wpa_supp Xsupplicant

TTLS Yazılım/Donanım Gereksinimleri Sunucu donanımı ve güncel işletim sistemi kurulumu 802.1X destekli ağ cihazı donanımı ve yapılandırılması OpenSSL kurulumu ve Sunucu Sertifikasının Üretilmesi FreeRADIUS Kurulumu ve Yapılandırılması OpenLDAP kurulumu ve LDAP sunucusunun FreeRADIUS’a sorgu hakkı vermek üzere yapılandırılması İstemci yazılımı kurulması ve yapılandırılması (SecureW2/WPA_suplicant)

TTLS’in Zorlukları İlave istemci yazılım gereksinimi Daha iyi belgeleme/destek gereksinimi Sunucu kurulumu güçlükleri

ODTÜ Kıbrıs .1X Uygulamaları Ağa erişim isteği İstemci Erişim Noktası İstemci doğrulama talebi Ethernet Anahtar İstemci doğrulama yanıtı İstemci Yerleşke Omurgası LDAP sorgusu LDAP yanıtı Öğrenci yurt odaları ağ erişimi (Kablolu) Kütüphane kablosuz ağ erişimi Free- Radius Open- LDAP

Yararlı Kaynaklar 2. http://www.linuxjournal.com/article/8017 1. http://standards.ieee.org/getieee802/download/802.1X-2004.pdf 2. http://www.linuxjournal.com/article/8017 3. http://www.freeradius.org/ 4. http://www.openssl.org/ 5. http://www.openldap.org/ 6. http://hostap.epitest.fi/wpa_supplicant/ 7. http://www.securew2.com/

ODTÜ Kuzey Kıbrıs Kampusu Bilişim Teknolojileri Müdürlüğü Teşekkürler Sorular... ODTÜ Kuzey Kıbrıs Kampusu Bilişim Teknolojileri Müdürlüğü ncc-cc@metu.edu.tr Tel: (0392) 661 2051 İdeal Çözüm!