Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802

... konulu sunumlar: "Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802"— Sunum transkripti:

1 Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802
Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802.1X Uygulamaları Orta Doğu Teknik Üniversitesi Kuzey Kıbrıs Kampusu Seniha S. Öztemiz Doruk Nezir Evgül Avcı İbrahim Çalışır Emre Sezginer AB’07 Ocak 2007

2 Sunumun Ana Hatları ODTÜ Kıbrıs Yerleşke Altyapısı
Ağa Bağlanan Kişiyi Tanımaya Neden Gereksinim Var? Geleneksel Ağ Erişimi Denetim Yöntemleri IEEE 802.1X EAP Kimlik Doğrulama Türleri ODTÜ Kıbrıs .1X Seçim Kriterleri .1X İstemci-İşletim Sistemi Uyumluluğu TTLS Yazılım/Donanım Gereksinimleri TTLS’in Zorlukları ODTÜ Kıbrıs .1X Uygulamaları Yararlı Kaynaklar

3 ODTÜ Kıbrıs Ekim 2005’te açılış 10 Lisans programında ~700 öğrenci
~150 personel (İdari+Akademik) Öğrencilerin %75’inde kişisel bilgisayar 2015’de 6000 öğrenci hedefi Gelişkin bilişim altyapısı

4 Fiber Optik Kablolama Merkezden 30 noktaya SM F/O
KDM-3 (Misafirhane) KDM-4 (Lojmanlar) KDM-5 (96 abone toplam Lojmanlar) KDM-17 (Yurtlar-2) KDM-G(Nizamiye) KDM-6 KDM-12 (Atölyeler) KDM-9 (Eğt- Lab blk) KDM-8 (Hazırlık Okulu) KDM-18 (Eğt-2) BIM 24 Core SM Outdoor FO Kablo (300 Mt) 12 Core SM Outdoor FO Kablo (2500 Mt) (900 Mt) (700 Mt) (1200 Mt) 12 Core SM Ourdoor FO Kablo (950 Mt) (400 Mt) (500 Mt) (1900 Mt) 1.YURT J BLK (220 abone toplam) A-B BLK () C-D BLK E-F BLK 6 Core SM Outdoor FO Kablo (200 Mt) (150 Mt) (250 Mt) HAZIRLIK C BLK (24 abone) H BLK (76 abone) EĞT BLK 1 EĞT GÖRV (72 abone toplam) DERSLİK LAB. BLK LAB BLK 6 Core SM Outdoor FO Kablo ATÖLYELER (20 abone) REKTÖRLÜK, (196 abone) BIM-1 KÜTÜPHANE (48 abone) MİSAFİRHANE ÇARŞI KAFETERYA KÜLTÜR KONGRE MERKEZİ ANFİ (96 abone) (350 Mt) K.SPOR SALONU (18 abone) SAĞLIK (30 abone ) (275 Mt) 12 HU 16 HU 26 HU 32 HU 6509-E CHASIS 3825 V-K9 42 HU 9 HU LOJMAN A1 BLK 7 HU A2 BLK A4 BLK A3 BLK (8) B1 BLK B2 BLK B4 BLK B3 BLK B5 BLK B6 BLK B8 BLK B7 BLK B9 BLK C-D-1 BLK C-D-2 BLK C-D-3 BLK C-D-4 BLK C-D-5 BLK C-D-6 BLK 6 Core MM Outdoor FO Kablo (3000 Mt) (450 Mt) Merkezden 30 noktaya SM F/O 19 noktaya MM F/O kablolama 14,5 km. SM kablo – omurga 8 km. SM kablo – TT bağlantısı 3 km. MM F/O kablo

5 .1X Destekli Aktif Cihazlar
34 adet ikinci seviye ethernet anahtarı 21 noktada toplam 45 adet 3. seviye anahtar 15 adet 1Gbps kullanıcı arabirimli anahtar 360 adet 1Gbps ethernet arabirimi 2808 adet 100Mbps ethernet arabirimi 60 adet 1Gbps LX GBIC 228km. Cat5e kablolama

6 Ağa Bağlanan Kişiyi Tanımaya Neden Gereksinim Var?
Ağı kullananların: Erişim Hakkı Var mı? H E Sanal/Gerçek ==1 ? Trafik normal mi? H H E E

7 Geleneksel Ağ Erişimi Denetim Yöntemleri
IP Adresi MAC Adresi IP/MAC Eşlemesi Arabirim Tabanlı MAC Sınırlandırılması

8 IEEE 802.1X Kullanıcı ağa erişmeden önce, kullanıcı bilgilerine dayalı denetleme yaparak ağ oturumu başlatan sistemdir. Kimlik Kanıtlayıcı İstemci Kimlik Kanıtlama Sunucusu EAPOL PC/ Laptop Ör: LDAP EAP over RADIUS Ağ Anahtarlama Cihazı / Kablosuz Erişim Noktası Kullanıcı Veri Tabanı

9 .1X/EAP Kimlik Doğrulama Türleri
MD5 Radius’a hash gönderir. Doğrulamak için sunucuda parola “açık metin” olmalıdır. Kablosuz için güvenli değildir. TLS Sunucu ve istemci sertifikaları kullanır. Her istemciye özgün sertifika üretilerek dağıtılmalıdır. TTLS Sadece sunucu sertifikası kullanılır. Güvenli tünel ile kullanıcı kodu / parola doğrulaması yapar. PEAP/LEAP TTLS’e benzer. MS kullanıcı kodları için uygundur.

10 ODTÜ Kıbrıs .1X Seçim Kriterleri
Güvenlik Açık kaynak kod istemci/sunucu yazılımı İstemci sertifikasız LDAP merkezi kullanıcı veri tabanı desteği

11 .1X/EAP Kimlik DoğrulamaTürleri
MD5 TLS TTLS PEAP LEAP Standart Açık Firma İstemci Sertifikası   Sunucu Sertifikası Güvenlik Yok Güçlü Zayıf Kullanıcı Veritabanı “Açık Metin” Parola “Active Directory” Token Systems,SQL, LDAP Active Directory, NT Etki Alanı Dinamik Anahtar Değişimi Karşılıklı Doğrulama

12 .1X İstemci-İşletim Sistemi Uyumluluğu
98/ME XP/2K OS X Linux Pckt PC TLS PEAP TTLS Lisans Win Yerleşik   CHAP v2 Yerleşik OSX Yerleşik SecureW2 GPL Odyssey $$ AEGIS wpa_supp Xsupplicant

13 TTLS Yazılım/Donanım Gereksinimleri
Sunucu donanımı ve güncel işletim sistemi kurulumu 802.1X destekli ağ cihazı donanımı ve yapılandırılması OpenSSL kurulumu ve Sunucu Sertifikasının Üretilmesi FreeRADIUS Kurulumu ve Yapılandırılması OpenLDAP kurulumu ve LDAP sunucusunun FreeRADIUS’a sorgu hakkı vermek üzere yapılandırılması İstemci yazılımı kurulması ve yapılandırılması (SecureW2/WPA_suplicant)

14 TTLS’in Zorlukları İlave istemci yazılım gereksinimi
Daha iyi belgeleme/destek gereksinimi Sunucu kurulumu güçlükleri

15 ODTÜ Kıbrıs .1X Uygulamaları
Ağa erişim isteği İstemci Erişim Noktası İstemci doğrulama talebi Ethernet Anahtar İstemci doğrulama yanıtı İstemci Yerleşke Omurgası LDAP sorgusu LDAP yanıtı Öğrenci yurt odaları ağ erişimi (Kablolu) Kütüphane kablosuz ağ erişimi Free- Radius Open- LDAP

16 Yararlı Kaynaklar 2. http://www.linuxjournal.com/article/8017
1. 2. 3. 4. 5. 6. 7.

17 ODTÜ Kuzey Kıbrıs Kampusu Bilişim Teknolojileri Müdürlüğü
Teşekkürler Sorular... ODTÜ Kuzey Kıbrıs Kampusu Bilişim Teknolojileri Müdürlüğü Tel: (0392) İdeal Çözüm!