La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista

Presentazioni simili


Presentazione sul tema: "Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista"— Transcript della presentazione:

1 Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Mirko Corosu per il gruppo TRIP

2 Obiettivo Creare una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza

3 Componenti software NOCAT: implementazione di captive portal per reti wireless e wired Freeradius: implementazione server di autenticazione ed autorizzazione con protocollo radius Apache + mod-SSL: web server con trattamento certificati X.509

4 Autenticazione della sessione
associazione concessa richiesta associazione certificato o user/password rete privata indirizzo IP concesso richiesta indirizzo IP accesso a porta 80 TCP apertura filtri iptables per la sessione NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT autenticazione confermata MySQL (NOCAT) NIS/K5/AFS redirezione pacchetto iniziale AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) certificato (Mod-SSL) radius vs PAM radius vs db locale RADIUS

5 Autenticazione della sessione
rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

6 Autenticazione della sessione
richiesta associazione rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

7 Autenticazione della sessione
associazione concessa rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

8 Autenticazione della sessione
rete privata richiesta indirizzo IP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

9 Autenticazione della sessione
rete privata indirizzo IP concesso NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

10 Autenticazione della sessione
rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

11 Autenticazione della sessione
rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT AFS/CA auth WAN NOCAT auth HTTP RADIUS

12 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

13 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP MySQL (NOCAT) AFS/CA auth WAN NOCAT auth HTTP RADIUS

14 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP certificato (Mod-SSL) RADIUS

15 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP radius (NOCAT) radius vs db locale RADIUS

16 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP NIS/K5/AFS AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) radius vs PAM RADIUS

17 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP autenticazione confermata AFS/CA auth WAN NOCAT auth HTTP RADIUS

18 Autenticazione della sessione
rete privata accesso a porta 80 TCP apertura filtri iptables per la sessione NIS/K5/AFS/MySQL DHCP redirezione pacchetto iniziale AFS/CA auth WAN NOCAT auth HTTP RADIUS

19 Autenticazione della sessione
rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

20 Gestione della sessione
disconnessione senza logout richiesta di refresh logout certificato o user/password refresh con restart di T1 rete privata ticket (pop-up window) con timeout T1 di refresh apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) notifica di logout rinnovo autenticazione e restart di T2 conferma autenticazione verifica autenticazione NOCAT auth HTTP authentication service

21 Gestione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) verifica autenticazione NOCAT auth HTTP authentication service

22 Gestione della sessione
rete privata ticket (pop-up window) con timeout T1 di refresh apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) conferma autenticazione NOCAT auth HTTP authentication service

23 Gestione della sessione
richiesta di refresh rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

24 Gestione della sessione
refresh con restart di T1 rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) rinnovo autenticazione e restart di T2 NOCAT auth HTTP authentication service

25 Gestione della sessione
logout rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) notifica di logout NOCAT auth HTTP authentication service

26 Gestione della sessione
rete privata NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

27 Gestione della sessione
rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

28 Gestione della sessione
disconnessione senza logout rete privata apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

29 Gestione della sessione
rete privata chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

30 Layout compatto rete privata WAN NIS/K5/AFS/MySQL auth DHCP NOCAT gw
NAT/FW (iptable) AFS/CA auth WAN NOCAT auth HTTP RADIUS

31 Layout compatto rete privata WAN NOCAT auth HTTP NIS/K5/AFS/MySQL auth
NOCAT gw NAT/FW (iptable) DHCP RADIUS AFS/CA auth WAN

32 Note NOCAT: tratta solo autenticazione via MySQL o via radius (con patch non inserita nell’ultima release). Richiede personalizzazione della pagina HTTP di autenticazione Apache + mod-SSL: per trattare certificati X.509 richiede mod-SSL V2.7.x, compatibile solo con apache V1.3 (non con V2.x) Non si puo’ differenziare gli accessi sulla base delle caratteristiche della autenticazione

33 Flessibilita’ e soluzione mista autorizzazione/autenticazione
Caratteristiche specifiche Cisco Aironet 1120: supporto per SSID multipli e VLAN, con criteri di autorizzazione ed autenticazione indipendenti possibilita’ di collocare dinamicamente il client su una VLAN in base alla autorizzazione radius Caratteristiche di freeradius: puo’ fornire all’Aironet le informazioni di VLAN puo’ autorizzare MAC address leggendo il database del dhcpd

34 Autorizzazione mista MAC/Layer3
richiesta associazione AP chiede autorizzazioneMAC address a radius richiesta valida per LAN1 MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database

35 Autorizzazione mista MAC/Layer3
richiesta associazione AP chiede autorizzazioneMAC address a radius LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database

36 Autorizzazione mista MAC/Layer3
richiesta associazione richiesta valida per LAN1 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

37 Autorizzazione mista MAC/Layer3
LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

38 Autorizzazione mista MAC/Layer3
richiesta associazione MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

39 Autorizzazione mista MAC/Layer3
LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

40 Risultati Volevamo una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza

41 Problemi Sicurezza 1: tutti i client non registrati vengono associati e messi nella LAN filtrata da NOCAT Sicurezza 2: la comunicazione tra access point e client non e’ criptata

42 Sviluppi Produzione della documentazione sullo stato di sviluppo del progetto su web Produzione di kickstart per l’installazione del software comprensivo di patches (rpm + doc) Analisi sulla possiblilita’ di differenziare gli accessi gestiti da NOCAT Integrazione con associazione via 802.1x Interazione NOCAT-Kerberos5

43 Documentazione Progetto ancora in fase di sviluppo
La documentazione si trova sul sito del progetto (http://www.infn.it/TRIP), in fase di allestimento Informazioni sui progressi in questa fase verranno rese pubbliche tramite CCR


Scaricare ppt "Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista"

Presentazioni simili


Annunci Google