Configurazione accessi WiFi INFN Workshop CCR ’ Maggio
Tutto è nato con… TRIP Autenticazione 802.1x + EAP-TTLS (strutturati) – INFN-dot1x + eduroam Proxy radius – Autenticazione locale alla sede INFN (radius locale, kerberos, unix password, NIS…) Autenticazione portale WEB TINO (visitatori) – Autenticazione via https con certificato X509 oppure in locale username/password – NO PROXY Workshop CCR ’ Maggio
INFN-dot1x EAP-TTLS Workshop CCR ’ Maggio 3 Access Point Verso il GARR VLAN 202 Net SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x Proxy RADIUS IP settings EAP/TTLS (inner tunnel) EAP/TTLS (outer tunnel)
Workshop CCR ’ Maggio 4 Access Point Verso il GARR VLAN 202 Net SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x EAP/TTLS Proxy RADIUS IP settings Proxy RADIUS Traffico IP cifrato WPA EAP/TTLS (inner tunnel) eduroam EAP-TTLS
Workshop CCR ’ Maggio 5 Access Point Verso il GARR VLAN 202 Net SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x EAP-TLS IP settings Traffico IP cifrato WPA eduroam EAP-TLS
Workshop CCR ’ Maggio 6 Verso il GARR VLAN INFN-Web Utenti interni Interfaccia del router 3/ /28 Interfaccia Inside Server /29 Eth0 3T/2 Interfaccia Outside Server /24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) RADIUS Server DHCP Server VLAN INFN-dot1x Open: INFN-Web client IP settings Richiesta www Richiesta www (ssl) Autenticazione Proxy RADIUS INFN-Web
Problematiche DIAMO PER SCONTATO che NESSUNO utilizzi piu’ il portale Web TINO in proxy radius Inner and Outer tunnel: – i proxy radius non possono conoscere la username e il realm dell’inner tunnel ed effettuano la delega sulla base del realm dell’outer tunnel. – Una volta ottenuta l’autenticazione loggano l’informazione della outer username che in linea di principio puo’ non coincidere con la inner username – La outer username puo’ essere un fake o anonymous per cui le uniche info utili per risalire all’identita’ sono il realm, il mac address, e soprattutto l’ORA. Workshop CCR ’ Maggio
Problematiche: In&Out Inner and Outer tunnel: – Gli unici radius server che conoscono la inner username sono quelli di autenticazione e solo su questi si possono prendere decisioni in merito a inner e outer username – Sui radius dell’INFN e’ bene imporre che queste siano identiche (pena fallimento dell’autenticazione) per agevolare la identificabilita’ degli utenti – Non e’ affatto scontato che gli altri paesi confederati a eduroam facciano altrettanto, per cui potremmo trovarci in difficolta’ nell’identificare univocamente chi ha fatto accesso ad eduroam sulle reti WiFi INFN basandoci solo sull’ora di autenticazione Workshop CCR ’ Maggio
Problematiche: NAT Il captive portal Tino e/o i radius server dedicati ad eduroam sono spesso anche NAT server: – Il NAT fatto con IPTABLES, almeno fino alla SL6, scrive su LOG informazioni insufficienti a risalire univocamente al nodo sorgente del traffico IP manca il source IP e la source PORT translati dal NAT – Per sopperire si puo’ usare CONNTRACK che effettua dei LOG piu’ esaustivi – In mancanza di tali informazioni si possono verificare delle condizioni per cui puo’ risultare difficile o impossibile identificare univocamente il nodo sorgente Workshop CCR ’ Maggio
Altro problema noto eduroam: I certificati TERENA non funzionano con 802.1x nell’autenticazione EAP-TTLS, ma solo con EAP-TLS. – La questione andrebbe approfondita Avere certificati funzionanti, emessi da una CA riconosciuta, semplificherebbe sia la configurazione dei client sia quella dei radius server – eviterebbe di dover importare certificati di CA non riconosciute ufficialmente Cosa succedera’ con la nuova CA con cui ha sottoscritto il contratto Terena? Workshop CCR ’ Maggio
Discussioni recenti Molte sezioni supportano EAP-TLS – Questo perché è il default di freeradius – Per disabilitarlo va esplicitamente negato nel file users DEFAULT EAP-Type == EAP-TLS, Auth-Type := Reject – In principio non c’è nulla di male – In pratica potenzialmente si dà accesso a chiunque abbia un certificato INFN-CA (CIRMMP, dip. chimica, fisica, ecc di varie università italiane, ICTP, INGV, INAF, SISSA, Sns ecc.) – Unica ACL possibile l’elenco completo di tutti i CN con OU=INFN nel proprio server radius In caso ricordarsi di: – Disabilitare l’accesso tramite il certificato CA INFN e abilitare solo quello di TERENA – Aggiungere 2 moduli al radius per ottenere un log piu’ verboso (in cui sia scritto il subject del certificato di chi tenta l’autenticazione) Workshop CCR ’ Maggio
Discussioni recenti 2 eduroam: alcuni utenti CERN hanno tentato di autenticarsi all’INFN con il certificato CERN (a Roma1) – Aggiungere la CERN CA nelle trusted CA di freeradius (autentica per default qualsiasi certificato CERN) Utilizzare ACL di tutti i CN con OU=CERN per autenticazioni mirate Il CERN parla di EduRoam Certificate (??) – Se l’utente CERN non ha il certificato della INFN CA nelle trusted root CA non risucirà a verificare il radius server (RICHIEDE CONFIGURAZIONE DEL SUPPLICANT) – L’utente CERN deve eventualmente disabilitare la verifica del certificato (ORRORE) (RICHIEDE CONFIGURAZiONE DEL SUPPLICANT) In generale per abilitare all’autenticazione EAP-TLS tutti gli utenti confederati, occorre caricare sul radius server i certificati pubblici di tutte le istituzioni che aderiscono alla confederazione (TACAR) Workshop CCR ’ Maggio
Configurazione Client 802.1x INFN-dot1x e eduroam – Linux Desktop (Ubuntu, Fedora ecc) NetworkManager supporta l’autenticazione 802.1x EAP-TTLS nativo – MacOS X Lion, Mountain Lion, Mavericks, iOS device tutti supportano EAP-TTLS in modo nativo Auto-configuratore per MacOS/iOS: – Windows 8 e Windows 8.1 Supplicant supporta nativamente EAP-TTLS Occorre solo inserire username e password – Windows 7 (e precedenti) Necessario installare s/w commerciale Securew2 per supportare EAP-TTLS 13Workshop CCR ’ Maggio
Secure W2 Alfa&Ariss sta iniziando attivamente a perseguire gli utilizzatori del loro software senza regolare licenza (inclusa la versione che si riteneva liberamente distribuibile). L’INFN ha acquistato 780 licenze fino alla v. 3512_GA2, ma nel 2015 ha smesso di sottoscrivere il contratto di manutenzione, per cui non si ha piu’ diritto agli aggiornamenti successivi E’ ANCORA NECESSARIO Securew2 ? – Caldeggiata installazione di windows 8.1 al posto delle versioni precedenti di Windows (Win 7, Vista, XP, etc.) 14Workshop CCR ’ Maggio
Evoluzioni future ? INFN-dot1x e eduroam – Integrazione in AAI (ldap+kerberos nazionali) ? Sezione INFN Bologna Veraldi non è favorevole a questa soluzione GLI UTENTI INFN NON SONO OSPITI – DEVONO UTILIZZARE INFN-dot1x e eduroam GLI OSPITI INFN E SOLO LORO DOVREBBERO UTILIZZARE il portale INFN-Web Workshop CCR ’ Maggio
Evoluzioni future 2 GOapp GODiVA Circa meta’ delle sedi utilizza attualmente GOapp per la gestione dei visitatori occasionali e dare loro accesso al WiFi Sta partendo una fase di sviluppo di GODiVA affinche’ possa gestire direttamente i visitatori, in sostituzione di Goapp In realta’ GODiVA e’ gia’ pronto per gestire i Visitatori, ma occorre implementare una serie di piccoli ritocchi a procedure e a workflow al contorno Workshop CCR ’ Maggio
1.Modifica della form web di autoregistrazione per i visitatori, che richieda i dati anagrafici essenziali all’identificazione dell’utente, nonche’ il nome di un referente – Generazione di una username con assurance level 0, che consenta l’accesso solo ad Indico (agenda) 2.ACL su GestioneAnagrafica (web) per la visualizzazione dei soli visitatori (compresi autoregistrati) 3.Creazione di una form web per la validazione dei visitatori autoregistrati; a seguito della validazione del referente l'assurance level passerebbe a 1 – Il Visitatore con assurance level 1 potra’ connettersi al WiFi tramite Captive Portal Workshop CCR ’ Maggio Evoluzioni future 3 GOapp GODiVA
Evoluzioni future 4 GOapp GODiVA 4.Integrazione in Indico della richiesta di autoregistrazione 5.Modifica di Tino per l’autenticazione web via SAML2 tramite IDP (back end LDAP) gia’ pronta da tempo Attenzione: implementando l’autoregistrazione occorre assolutamente evitare che si abbia accesso a risorse informatiche INFN, basandosi semplicemente su autenticazione senza verifica delle autorizzazioni Occorre modificare opportunamente anche i radius server per limitare lo stesso accesso al wireless (SSID eduroam e INFN-dot1x) Workshop CCR ’ Maggio
Documentazione Configurazione radius per INFN-dot1x Configurazione radius per eduroam Configurazione dei clients Workshop CCR ’ Maggio
Domande? Workshop CCR ’ Maggio Grazie per l’attenzione