Configurazione accessi WiFi INFN Workshop CCR ’15 25-29 Maggio

Slides:



Advertisements
Presentazioni simili
E.M.V. Fasanelli & S. Arezzini
Advertisements

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Configuring Network Access
Microsoft Education Academic Licensing Annalisa Guerriero.
Rete Wireless per Informatica Grafica
Commessa: HotSpot Wi-Fi
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Test sul Cisco VPN Concentrator
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Wireless Authentication
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA Facoltà di Ingegneria “Enzo Ferrari” – Sede di Modena Corso di Laurea Specialistica in Ingegneria Informatica.
SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.
Amministrazione della rete: web server Apache
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
1 COSA SERVE PER COLLEGARSI? - UNA SCHEDA DI RETE La scheda di rete è il componente che collega il nostro computer con la rete locale (LAN). Il collegamento.
Sistemi di stampa Incontro con i Referenti 17 Novembre 2003 D. Bortolotti.
Francesco M. Taurino – INFM Napoli 1 Netdisco Gestione e controllo degli apparati di rete Workshop sulle problematiche di Calcolo.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.
Certificati e VPN.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
PiattaformePiattaformePiattaformePiattaforme Antonio Cisternino 28 Gennaio 2005 OpenSourceOpenSourceOpenSourceOpenSource e ProprietarieProprietarieProprietarieProprietarie.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Meeting Referenti Sicurezza Network Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Meeting Referenti – Bologna 28 Aprile 2004 – F. Brasolin.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
CB CLUB PALMANOVA & RADIOAMATORI La BAKEKA PARTE TEORICA Le origini, la sua evoluzione e le potenzialità.
Commissione Calcolo e Reti Gruppo Multimediale Stefano Zani, Alfredo Pagano INFN-CNAF Bologna, 3 Marzo 2008.
Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.
Il nuovo sito della CSN1 Salvatore Costa (Catania) Andrea Ventura (Lecce) Roma - Riunione di CSN gennaio 2016.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
Riunione SICR 16/2/2015. Rete Intervento 6509 – Sostituzione scheda avvenuta con successo – Fase di configurazione nuova scheda – Spostamento link? Mercoledi.
INFN-AAI stato e prospettive Workshop CCR La Biodola Isola d’Elba 17 maggio 2016 Silvia Arezzini (per il gruppo aai-wg) 1.
Servizi Nazionali e Locali Preentivo 2013
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.
Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR maggio 2016.
Riunione SICR E. P.. Certificati  Digicert  Server  Personali per dipendenti ed associati  Non associati e macchine su phys.uniroma1.it ?  Problema.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
TRIP nell’era AAI CCR - 07/07/ Riccardo Veraldi - CCR.
Accesso alla rete WiFi INFN-dot1x & eduroam
TRIP 27 Maggio 2013Riccardo Veraldi - CCR WS
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2008.
P. Morettini. Organizzazione della CCR Le principali attività della CCR consistono da un lato nell’assegnazione di fondi per le infrastrutture di rete.
Identità Digitali Rappresentanti del personale in assemblea a ROMA 9/10 giugno 2015 Daniela, Enrico e Silvia.
Gruppo di lavoro “Sistema Informativo Nazionale”: Report Attivita’ Silvia Arezzini Domenico Diacono Michele Gulmini Francesco Prelz CCR – Roma - 6 Ottobre.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Riccardo Veraldi - Riunione CCR
Implementazione di TRIP e Eduroam
Transcript della presentazione:

Configurazione accessi WiFi INFN Workshop CCR ’ Maggio

Tutto è nato con… TRIP Autenticazione 802.1x + EAP-TTLS (strutturati) – INFN-dot1x + eduroam Proxy radius – Autenticazione locale alla sede INFN (radius locale, kerberos, unix password, NIS…) Autenticazione portale WEB TINO (visitatori) – Autenticazione via https con certificato X509 oppure in locale username/password – NO PROXY Workshop CCR ’ Maggio

INFN-dot1x EAP-TTLS Workshop CCR ’ Maggio 3 Access Point Verso il GARR VLAN 202 Net SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x Proxy RADIUS IP settings EAP/TTLS (inner tunnel) EAP/TTLS (outer tunnel)

Workshop CCR ’ Maggio 4 Access Point Verso il GARR VLAN 202 Net SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x EAP/TTLS Proxy RADIUS IP settings Proxy RADIUS Traffico IP cifrato WPA EAP/TTLS (inner tunnel) eduroam EAP-TTLS

Workshop CCR ’ Maggio 5 Access Point Verso il GARR VLAN 202 Net SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x EAP-TLS IP settings Traffico IP cifrato WPA eduroam EAP-TLS

Workshop CCR ’ Maggio 6 Verso il GARR VLAN INFN-Web Utenti interni Interfaccia del router 3/ /28 Interfaccia Inside Server /29 Eth0 3T/2 Interfaccia Outside Server /24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) RADIUS Server DHCP Server VLAN INFN-dot1x Open: INFN-Web client IP settings Richiesta www Richiesta www (ssl) Autenticazione Proxy RADIUS INFN-Web

Problematiche DIAMO PER SCONTATO che NESSUNO utilizzi piu’ il portale Web TINO in proxy radius Inner and Outer tunnel: – i proxy radius non possono conoscere la username e il realm dell’inner tunnel ed effettuano la delega sulla base del realm dell’outer tunnel. – Una volta ottenuta l’autenticazione loggano l’informazione della outer username che in linea di principio puo’ non coincidere con la inner username – La outer username puo’ essere un fake o anonymous per cui le uniche info utili per risalire all’identita’ sono il realm, il mac address, e soprattutto l’ORA. Workshop CCR ’ Maggio

Problematiche: In&Out Inner and Outer tunnel: – Gli unici radius server che conoscono la inner username sono quelli di autenticazione e solo su questi si possono prendere decisioni in merito a inner e outer username – Sui radius dell’INFN e’ bene imporre che queste siano identiche (pena fallimento dell’autenticazione) per agevolare la identificabilita’ degli utenti – Non e’ affatto scontato che gli altri paesi confederati a eduroam facciano altrettanto, per cui potremmo trovarci in difficolta’ nell’identificare univocamente chi ha fatto accesso ad eduroam sulle reti WiFi INFN basandoci solo sull’ora di autenticazione Workshop CCR ’ Maggio

Problematiche: NAT Il captive portal Tino e/o i radius server dedicati ad eduroam sono spesso anche NAT server: – Il NAT fatto con IPTABLES, almeno fino alla SL6, scrive su LOG informazioni insufficienti a risalire univocamente al nodo sorgente del traffico IP manca il source IP e la source PORT translati dal NAT – Per sopperire si puo’ usare CONNTRACK che effettua dei LOG piu’ esaustivi – In mancanza di tali informazioni si possono verificare delle condizioni per cui puo’ risultare difficile o impossibile identificare univocamente il nodo sorgente Workshop CCR ’ Maggio

Altro problema noto eduroam: I certificati TERENA non funzionano con 802.1x nell’autenticazione EAP-TTLS, ma solo con EAP-TLS. – La questione andrebbe approfondita Avere certificati funzionanti, emessi da una CA riconosciuta, semplificherebbe sia la configurazione dei client sia quella dei radius server – eviterebbe di dover importare certificati di CA non riconosciute ufficialmente Cosa succedera’ con la nuova CA con cui ha sottoscritto il contratto Terena? Workshop CCR ’ Maggio

Discussioni recenti Molte sezioni supportano EAP-TLS – Questo perché è il default di freeradius – Per disabilitarlo va esplicitamente negato nel file users DEFAULT EAP-Type == EAP-TLS, Auth-Type := Reject – In principio non c’è nulla di male – In pratica potenzialmente si dà accesso a chiunque abbia un certificato INFN-CA (CIRMMP, dip. chimica, fisica, ecc di varie università italiane, ICTP, INGV, INAF, SISSA, Sns ecc.) – Unica ACL possibile l’elenco completo di tutti i CN con OU=INFN nel proprio server radius In caso ricordarsi di: – Disabilitare l’accesso tramite il certificato CA INFN e abilitare solo quello di TERENA – Aggiungere 2 moduli al radius per ottenere un log piu’ verboso (in cui sia scritto il subject del certificato di chi tenta l’autenticazione) Workshop CCR ’ Maggio

Discussioni recenti 2 eduroam: alcuni utenti CERN hanno tentato di autenticarsi all’INFN con il certificato CERN (a Roma1) – Aggiungere la CERN CA nelle trusted CA di freeradius (autentica per default qualsiasi certificato CERN) Utilizzare ACL di tutti i CN con OU=CERN per autenticazioni mirate Il CERN parla di EduRoam Certificate (??) – Se l’utente CERN non ha il certificato della INFN CA nelle trusted root CA non risucirà a verificare il radius server (RICHIEDE CONFIGURAZIONE DEL SUPPLICANT) – L’utente CERN deve eventualmente disabilitare la verifica del certificato (ORRORE) (RICHIEDE CONFIGURAZiONE DEL SUPPLICANT) In generale per abilitare all’autenticazione EAP-TLS tutti gli utenti confederati, occorre caricare sul radius server i certificati pubblici di tutte le istituzioni che aderiscono alla confederazione (TACAR) Workshop CCR ’ Maggio

Configurazione Client 802.1x INFN-dot1x e eduroam – Linux Desktop (Ubuntu, Fedora ecc) NetworkManager supporta l’autenticazione 802.1x EAP-TTLS nativo – MacOS X Lion, Mountain Lion, Mavericks, iOS device tutti supportano EAP-TTLS in modo nativo Auto-configuratore per MacOS/iOS: – Windows 8 e Windows 8.1 Supplicant supporta nativamente EAP-TTLS Occorre solo inserire username e password – Windows 7 (e precedenti) Necessario installare s/w commerciale Securew2 per supportare EAP-TTLS 13Workshop CCR ’ Maggio

Secure W2 Alfa&Ariss sta iniziando attivamente a perseguire gli utilizzatori del loro software senza regolare licenza (inclusa la versione che si riteneva liberamente distribuibile). L’INFN ha acquistato 780 licenze fino alla v. 3512_GA2, ma nel 2015 ha smesso di sottoscrivere il contratto di manutenzione, per cui non si ha piu’ diritto agli aggiornamenti successivi E’ ANCORA NECESSARIO Securew2 ? – Caldeggiata installazione di windows 8.1 al posto delle versioni precedenti di Windows (Win 7, Vista, XP, etc.) 14Workshop CCR ’ Maggio

Evoluzioni future ? INFN-dot1x e eduroam – Integrazione in AAI (ldap+kerberos nazionali) ? Sezione INFN Bologna Veraldi non è favorevole a questa soluzione GLI UTENTI INFN NON SONO OSPITI – DEVONO UTILIZZARE INFN-dot1x e eduroam GLI OSPITI INFN E SOLO LORO DOVREBBERO UTILIZZARE il portale INFN-Web Workshop CCR ’ Maggio

Evoluzioni future 2 GOapp  GODiVA Circa meta’ delle sedi utilizza attualmente GOapp per la gestione dei visitatori occasionali e dare loro accesso al WiFi Sta partendo una fase di sviluppo di GODiVA affinche’ possa gestire direttamente i visitatori, in sostituzione di Goapp In realta’ GODiVA e’ gia’ pronto per gestire i Visitatori, ma occorre implementare una serie di piccoli ritocchi a procedure e a workflow al contorno Workshop CCR ’ Maggio

1.Modifica della form web di autoregistrazione per i visitatori, che richieda i dati anagrafici essenziali all’identificazione dell’utente, nonche’ il nome di un referente – Generazione di una username con assurance level 0, che consenta l’accesso solo ad Indico (agenda) 2.ACL su GestioneAnagrafica (web) per la visualizzazione dei soli visitatori (compresi autoregistrati) 3.Creazione di una form web per la validazione dei visitatori autoregistrati; a seguito della validazione del referente l'assurance level passerebbe a 1 – Il Visitatore con assurance level 1 potra’ connettersi al WiFi tramite Captive Portal Workshop CCR ’ Maggio Evoluzioni future 3 GOapp  GODiVA

Evoluzioni future 4 GOapp  GODiVA 4.Integrazione in Indico della richiesta di autoregistrazione 5.Modifica di Tino per l’autenticazione web via SAML2 tramite IDP (back end LDAP) gia’ pronta da tempo Attenzione: implementando l’autoregistrazione occorre assolutamente evitare che si abbia accesso a risorse informatiche INFN, basandosi semplicemente su autenticazione senza verifica delle autorizzazioni Occorre modificare opportunamente anche i radius server per limitare lo stesso accesso al wireless (SSID eduroam e INFN-dot1x) Workshop CCR ’ Maggio

Documentazione Configurazione radius per INFN-dot1x Configurazione radius per eduroam Configurazione dei clients Workshop CCR ’ Maggio

Domande? Workshop CCR ’ Maggio Grazie per l’attenzione