La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista Mirko Corosu per il gruppo TRIP.

Presentazioni simili


Presentazione sul tema: "Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista Mirko Corosu per il gruppo TRIP."— Transcript della presentazione:

1 Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista Mirko Corosu per il gruppo TRIP

2 Obiettivo Creare una infrastruttura di accesso wireless layer 3 con caratteristiche:  autorizzazione/autenticazione  flessibilita’ (diversi meccanismi di autenticazione)  fruibilita’ (indipendenza da OS/HW)  differenziazione accessi  minimo management a regime  sicurezza

3 Componenti software  NOCAT: implementazione di captive portal per reti wireless e wired  Freeradius: implementazione server di autenticazione ed autorizzazione con protocollo radius  Apache + mod-SSL: web server con trattamento certificati X.509

4 apertura filtri iptables per la sessione WAN DHCP NOCAT gw NAT/FW (iptable) NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth richiesta associazioneassociazione concessa richiesta indirizzo IP indirizzo IP concesso accesso a porta 80 TCP redirezione alla pagina di autenticazione NOCAT certificato o user/password MySQL (NOCAT) certificato (Mod-SSL) radius (NOCAT) radius vs db locale radius vs PAM autenticazione confermata redirezione pacchetto iniziale Autenticazione della sessione rete privata NIS/K5/AFS AFS (WAN)

5 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth Autenticazione della sessione rete privata

6 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth richiesta associazione Autenticazione della sessione rete privata

7 associazione concessa NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth Autenticazione della sessione rete privata

8 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth richiesta indirizzo IP Autenticazione della sessione rete privata

9 indirizzo IP concesso NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth Autenticazione della sessione rete privata

10 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth accesso a porta 80 TCP Autenticazione della sessione rete privata

11 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth accesso a porta 80 TCP redirezione alla pagina di autenticazione NOCAT Autenticazione della sessione rete privata

12 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth certificato o user/password Autenticazione della sessione rete privata

13 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth certificato o user/password MySQL (NOCAT) Autenticazione della sessione rete privata

14 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth certificato o user/password certificato (Mod-SSL) Autenticazione della sessione rete privata

15 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth certificato o user/password radius (NOCAT) radius vs db locale Autenticazione della sessione rete privata

16 NOCAT gw NAT/FW (iptable) radius vs PAM WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth certificato o user/password radius (NOCAT) Autenticazione della sessione rete privata NIS/K5/AFS AFS (WAN)

17 NOCAT gw NAT/FW (iptable) autenticazione confermata WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth certificato o user/password Autenticazione della sessione rete privata

18 apertura filtri iptables per la sessione WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth Autenticazione della sessione rete privata accesso a porta 80 TCP redirezione pacchetto iniziale

19 NOCAT gw NAT/FW (iptable) WAN DHCP NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL AFS/CA auth Autenticazione della sessione rete privata

20 logout apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione certificato o user/password authentication service verifica autenticazione ticket (pop-up window) con timeout T1 di refresh conferma autenticazione richiesta di refresh refresh con restart di T1 rinnovo autenticazione e restart di T2 notifica di logout disconnessione senza logout apertura inutilizzabile fino a scadenza T2 chiusura firewall alla scadenza di T2 rete privata

21 certificato o user/password NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service verifica autenticazione rete privata

22 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service ticket (pop-up window) con timeout T1 di refresh conferma autenticazione rete privata apertura firewall con timeout T2>T1

23 richiesta di refresh apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service rete privata

24 rinnovo autenticazione e restart di T2 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service refresh con restart di T1 rete privata

25 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service rete privata notifica di logout

26 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service rete privata

27 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service rete privata

28 apertura inutilizzabile fino a scadenza T2 disconnessione senza logout apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service rete privata

29 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP Gestione della sessione authentication service chiusura firewall alla scadenza di T2 rete privata

30 WAN DHCP NOCAT gw NAT/FW (iptable) NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL auth AFS/CA auth Layout compatto rete privata

31 WAN DHCP NOCAT gw NAT/FW (iptable) NOCAT auth HTTP RADIUS NIS/K5/AFS/MySQL auth AFS/CA auth Layout compatto rete privata

32 Note  NOCAT: tratta solo autenticazione via MySQL o via radius (con patch non inserita nell’ultima release). Richiede personalizzazione della pagina HTTP di autenticazione  Apache + mod-SSL: per trattare certificati X.509 richiede mod-SSL V2.7.x, compatibile solo con apache V1.3 (non con V2.x)  Non si puo’ differenziare gli accessi sulla base delle caratteristiche della autenticazione

33 Flessibilita’ e soluzione mista autorizzazione/autenticazione  Caratteristiche specifiche Cisco Aironet 1120: supporto per SSID multipli e VLAN, con criteri di autorizzazione ed autenticazione indipendentisupporto per SSID multipli e VLAN, con criteri di autorizzazione ed autenticazione indipendenti possibilita’ di collocare dinamicamente il client su una VLAN in base alla autorizzazione radiuspossibilita’ di collocare dinamicamente il client su una VLAN in base alla autorizzazione radius  Caratteristiche di freeradius: puo’ fornire all’Aironet le informazioni di VLANpuo’ fornire all’Aironet le informazioni di VLAN puo’ autorizzare MAC address leggendo il database del dhcpdpuo’ autorizzare MAC address leggendo il database del dhcpd

34 LAN1 utenza locale LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd accesso completo alla rete locale accesso quasi completo alla rete locale (no MS-NET) richiesta associazione AP chiede autorizzazione MAC address a radius radius legge dhcpd database richiesta valida per LAN1 MAC non trovato; richiesta valida per LAN2 Autorizzazione mista MAC/Layer3

35 LAN1 utenza locale LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd accesso completo alla rete locale accesso quasi completo alla rete locale (no MS-NET) richiesta associazione AP chiede autorizzazione MAC address a radius Autorizzazione mista MAC/Layer3 radius legge dhcpd database

36 LAN1 utenza locale LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd accesso completo alla rete locale accesso quasi completo alla rete locale (no MS-NET) richiesta associazione richiesta valida per LAN1 Autorizzazione mista MAC/Layer3

37 LAN1 utenza locale LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd accesso completo alla rete locale accesso quasi completo alla rete locale (no MS-NET) Autorizzazione mista MAC/Layer3

38 LAN1 utenza locale LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd accesso completo alla rete locale accesso quasi completo alla rete locale (no MS-NET) richiesta associazione MAC non trovato; richiesta valida per LAN2 Autorizzazione mista MAC/Layer3

39 LAN1 utenza locale LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd accesso completo alla rete locale accesso quasi completo alla rete locale (no MS-NET) Autorizzazione mista MAC/Layer3

40 Risultati Volevamo una infrastruttura di accesso wireless layer 3 con caratteristiche:  autorizzazione/autenticazione  flessibilita’ (diversi meccanismi di autenticazione)  fruibilita’ (indipendenza da OS/HW)  differenziazione accessi  minimo management a regime  sicurezza

41 Problemi  Sicurezza 1: tutti i client non registrati vengono associati e messi nella LAN filtrata da NOCAT  Sicurezza 2: la comunicazione tra access point e client non e’ criptata

42 Sviluppi  Produzione della documentazione sullo stato di sviluppo del progetto su web  Produzione di kickstart per l’installazione del software comprensivo di patches (rpm + doc)  Analisi sulla possiblilita’ di differenziare gli accessi gestiti da NOCAT  Integrazione con associazione via 802.1x  Interazione NOCAT-Kerberos5

43 Documentazione  Progetto ancora in fase di sviluppo  La documentazione si trova sul sito del progetto (http://www.infn.it/TRIP), in fase di allestimento  Informazioni sui progressi in questa fase verranno rese pubbliche tramite CCR


Scaricare ppt "Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista Mirko Corosu per il gruppo TRIP."

Presentazioni simili


Annunci Google