Raport z testów urządzeń Hewlett-Packard

Raport z testów urządzeń Hewlett-Packard przeprowadzonych w
Uczelnianym Centrum Informatycznym UMK
Zasadniczym celem przeprowadzonych testów było sprawdzenie przydatności urządzeń
bezprzewodowych produkcji Hewlett-Packard w projekcie eduroam.
Urządzenia zostały udostępnione przez TETA S.A. na okres trzech tygodni.
Przetestowano dwie konfiguracje:
• AP 420wl jako niezależny Access Point
• system składający się z kontrolerów 720wl i 740wl oraz mieszanej konfiguracji Access Point'ów.
Niniejszy raport zawiera opis instalacji testowej i przeprowadzonych testów oraz instrukcję
pozwalającą na skonfigurowanie urządzeń w celu powtórzenia testów.
Zespół testujący
•
•
Tomasz Wolniewicz – opracowanie metodologii i strategii testu
Kamil Ksiądz – konfiguracja instalacji testowej i dokumentacja
Test AP420wl
(wersja oprogramowania: 2.1.0)
Cel testów
Sprawdzeniu podlegała możliwość skonfigurowania Access Point'a obsługującego dwa standardy
szyfrowania danych:
• dynamicznie przydzielany klucz WEP przekazywany z serwera RADIUS,
• WPA z protokołem wymiany kluczy TKIP
Ponadto Access Point miał dynamicznie przydzielać VLAN'y na podstawie informacji pobranej z
serwera RADIUS.
Konfiguracja Access Point'a
• ustawiono obsługę dynamicznych VLAN'ów 802.1q
• ustawiono dwa SSID: edu oraz edu-wpa
• obydwa SSID korzystały z tego samego serwera RADIUS
Konfiguracja sieci testowej
AP 420wl był podłączony do switcha 3COM SS4400 do portu obsługującego VLAN'y 802.1q.
Drugi port switcha (również z włączonym tagowniem 802.1q) był podłączony do serwera
pracującego w systemie Linux i działającego jako router między siecią w której pracował AP i
siecią zawierająca serwer RADIUS. Router Linux'owy maił wielokrotne interfejsy wirtualne,
odpowiadające zdefiniowanym VLAN'om, na każdym interfejsie działał serwer DHCP. Router
zapewniał przekazywanie ruchu miedzy serwerem RADIUS a odpowiednim VLAN'em zarządzania
AP.
Testowane karty radiowe
• Intel 2200bg
• Linksys WPC54g v1.2
• 3COM 3CRPAG175
• D-Link DWL-650+
Przebieg testu
Sprawdzono:
• poprawność uwierzytelniania przy pomocy protokołów EAP-TLS i EAP-TTLS/PAP,
• poprawność przydzielenia VLAN'u (weryfikowane adresem przydzielonym przez serwer DHCP),
• poprawność transmisji danych
Testy przeprowadzono zarówno z szyfrowaniem WEP jak i WPA/TKIP.
Wynik testu
Wszystkie funkcje działały poprawnie.
Test kontrolerów 720wl + 740wl
Cel testów
Sprawdzeniu podlegała możliwość skonfigurowania sieci bezprzewodowej korzystającej z Access
Point'ów różnych typów działającej w oparciu o dwa modele uwierzytelniania:
• wewnętrzny model uwierzytelniania dostarczany przez kontrolery HP
• uwierzytelnianie 802.1x korzystające z zewnętrznej struktury RADIUS, zgodnej z założeniami
eduroam
Przyjęto, że sieć korzystająca z uwierzytelniania HP ma naśladować sieć do wewnętrznego użytku
instytucji, podczas gdy sieć eduroam ma być przeznaczona dla gości. W związku z tym pojawiła się
konieczność odseparowani ruchu dla obu grup użytkowników. Przyjęto, że SSID dla sieci
wewnętrznej będzie rozgłaszane, a SSID dla sieci eduroam – nie. W związku z prowadzonymi w
ramach projektu eduroam pracami na temat uproszczenia roamingu miedzy instytucjami
stosującymi różne typy szyfrowania, założono że eduroam będzie obsługiwane przez dwa SSID
przyporządkowane odpowiednio do dynamicznego WEP i do WPA/TKIP.
Urządzenia wchodzące w skład testu
• kontroler HP 740wl
• kontroler HP 720wl
• HP AP 520wl (z kartę 802.11b)
• HP AP 420wl
• 3COM AP7250
• laptop do obsługi kart bezprzewodowych
Testowane karty radiowe
• Intel 2200bg
• Linksys WPC54g v1.2
• 3COM 3CRPAG175
• D-Link DWL-650+
Konfiguracja urządzeń
Kontroler 740wl został skonfigurowany na trzy rodzaje uwierzytelniania – użytkownik w bazie
wewnętrznej, baza LDAP (logowanie użytkownika), serwer RADIUS. Ponadto na kontrolerze
została skonfigurowania transmisja protokołu RADIUS miedzy Access Point'ami a wyznaczonym
serwerem RADIUS.
Kontroler 720wl nie wymagał konfiguracji, z wyjątkiem hasła skoordynowanego z 740wl.
HP AP 520wl skonfigurowano z jednym SSID odpowiadającym sieci wewnętrznej jednostki, SSID
był rozgłaszany (z powodu braku karty 802.11g niemożliwe było stworzenie bardziej rozbudowanej
konfiguracji).
HP AP 420wl skonfigurowano z trzema SSID odpowiadającym sieci wewnętrznej oraz dwóm dla
szyfrowania WEP i WPA/TKIP, bez obsługi dynamicznych VLAN'ów,
3COM AP7250 skonfigurowano identycznie jak HP AP 420wl.
Konfiguracja sieci testowej
Wszystkie Access Point'y zostały podłączone do kontrolera HP 720wl, kontroler 720wl połączono z
portem kontrolera 740wl, a wyjściowy port kontrolera 740wl z przełącznikiem włączonym w sieć
wewnętrzną UCI. W sieci wewnętrznej UCI pracowały:
• serwer RADIUS uwierzytelniający użytkowników za pomocą identyfikatora sieciowego i hasła
lub certyfikatu,
• serwer LDAP przechowujący identyfikatory oraz hasła,
• serwer DHCP.
Na kontrolerze 740wl ustawiono przydzielanie adresów prywatnych użytkownikom
uwierzytelnionym bezpośrednio przez kontroler oraz zezwalanie na przydział adresów przez
zewnętrzny serwer DHCP dla użytkowników uwierzytelnionych w protokole 802.1x.
Przebieg testu
Sprawdzono:
• poprawność uwierzytelnienia przez stronę WWW wysyłaną przez kontroler 740wl, we
wszystkich konfiguracjach (tzn. użytkownik lokalny zdefiniowany w 740wl, użytkownik z bazy
LDAP, użytkownik uwierzytelniony przez 740wl, za pośrednictwem zewnętrznego serwera
RADIUS),
• poprawność uwierzytelniania przy pomocy protokołów 802.1x + EAP-TLS i EAP-TTLS/PAP
• poprawność transmisji danych,
Testy przeprowadzono zarówno z szyfrowaniem WEP jak i WPA/TKIP.
Wynik testu
Uzyskano poprawne uwierzytelnienie użytkownika. Rozdział adresów przydzielanych klientom
pozwalał na nadanie odrębnych praw obu grupom. Nie testowano bardziej bezpiecznej metody –
przydziału odrębnych VLAN'ów.
Wszystkie funkcje i urządzenia działały poprawnie.
Podsumowanie testów
Wykazane zostało, że instytucja, która zainstaluje u siebie system oparty o uwierzytelnianie przy
pomocy kontrolerów HP może równolegle uruchomić sieć z uwierzytelnianiem 802.1x zgodną ze
standardem projektu eduroam. Jedynym wymogiem jest posiadanie Access Point'ów, na których
można ustawić co najmniej dwa SSID oraz niezależną politykę bezpieczeństwa dla każdego z nich
(optymalnie na jednym z SSID powinna być całkowicie otwarta sieć, a na drugim możliwość
uruchomienia uwierzytelniania 802.1x).
Sprawdzone zostało również działanie Access Point'a HP 420wl. To urządzenie posiada wszystkie
cechy niezbędne do uruchomienia sieci opartej w całości o uwierzytelnianie 802.1x.