TRIP nell’era AAI CCR - 07/07/2010 07-07-20101Riccardo Veraldi - CCR.

Slides:

Advertisements

Presentazioni simili

E.M.V. Fasanelli & S. Arezzini

Advertisements

Aspetti critici rete LAN e WAN per i Tier-2

Commessa: HotSpot Wi-Fi

Wireless Authentication

Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.

Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.

INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.

Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.

Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.

Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:

Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.

Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista

Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.

INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.

Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.

Configurazione accessi WiFi INFN Workshop CCR ’ Maggio

Panoramica Servizi Nazionali INFN Servizi gestiti al CNAF

INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.

Reparto Reti e Servizi Informatici Preventivo attività per il 2011 CNAF, Stefano Zani INFN CNAF.

Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.

Riunione SICR 24/6/2015. Cluster Cluster oVirt – Pronto alla migrazione dei servizi – Macchina virtuale radius per guest_conf in funzione – Tempi migrazione.

Il nuovo sito della CSN1 Salvatore Costa (Catania) Andrea Ventura (Lecce) Roma - Riunione di CSN gennaio 2016.

Roberto Covati – Roberto Alfieri INFN di Parma. Incontri di lavoro CCR dicembre Sommario VmWare Server (in produzione dal 2004) VmWare ESX.

TRIP controller itinerante. TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN.

CCR – 9 Settembre 2014 R.Fantechi, M.Gulmini, S.Parlati.

Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.

Servizi Nazionali INFN

Claudio Grandi Comunicazioni Claudio Grandi INFN Bologna.

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Sicurezza.

Presentazione WS del 23/10/2013 al CNAF: 0&resId=0&materialId=slides&confId=6920

Configurazione accessi WiFi INFN Workshop CCR ' Maggio

Referaggio apparati di rete 2014 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani CNAF, CCR 1-2 aprile 2014.

Report sui Servizi nazionali dell’INFN (ai LNF) Massimo Pistoni febbraio 2014.

“tutorial” sul dispiegamento di INFN-AAI Workshop CCR LNS Silvia Arezzini Massimo Pistoni Roberto Lulli.

INFN-AAI stato e prospettive Workshop CCR La Biodola Isola d’Elba 17 maggio 2016 Silvia Arezzini (per il gruppo aai-wg) 1.

Servizi Nazionali e Locali Preentivo 2013

Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.

Riunione SICR E. P.. Certificati  Digicert  Server  Personali per dipendenti ed associati  Non associati e macchine su phys.uniroma1.it ?  Problema.

Accesso alla rete WiFi INFN-dot1x & eduroam

TRIP 27 Maggio 2013Riccardo Veraldi - CCR WS

Report sullo stato dei Servizi Web nazionali AC Antonino PassarelliCNAF Riccardo Veraldi Giulia Vita FinziLNF Sandro Angius Dael Maselli Massimo Pistoni.

Referaggio apparati di rete 2013 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Referaggi aprile 2013.

Update attività gruppo WINDOWS Silvia Arezzini CCR 13 dicembre 2006.

P. Morettini. Organizzazione della CCR Le principali attività della CCR consistono da un lato nell’assegnazione di fondi per le infrastrutture di rete.

Gruppo Mailing: studio sulla posta centralizzata Workshop CCR LNGS, 9 giugno 2008.

Silvia Arezzini 2 luglio 2014 Consiglio di Sezione per Preventivi.

INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.

Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2009.

Library E. P.. Stato attuale Descizione dello stato attuale – Come io la conosco…

Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.

Calcolo – AAI – GRID Enrico M. V. Fasanelli Consiglio di Sezione - Lecce 7 luglio 2011.

Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.

13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.

INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.

Attività gruppo Sicurezza CCR, 3 Ottobre CCR, 3/10/07 Attività del gruppo Sicurezza 2 Topologia LAN Configurazioni ottimali rete e monitoraggio,

Workshop CCR ' Maggio

Riccardo Veraldi - Riunione CCR

Implementazione di TRIP e Eduroam

Stato Mailing INFN

Attivita’ passata e futura CCR 29 settemre 2008

Dael Maselli Tutorial INFN-AAI

Transcript della presentazione:

TRIP nell’era AAI CCR - 07/07/ Riccardo Veraldi - CCR

INFN-Web INFN-dot1x router.x.infn.it WAN router.y.infn.itradius.y.infn.it radius.garr.net VLAN trunk Cisco AIR-AP1231G-E-K9 radius.x.infn.it tino.x.infn.it LAN switch-router layer 2 switch 802.1x VLAN Captive Portal VLAN Default VLAN Riccardo Veraldi - CCR2

Modifiche a TRIP breve termine (802.1x) Migrazione da freeradius 1.x a freeradius 2.x – LNF (Kerberos + LDAP) – Firenze (LDAP) – CNAF (Kerberos + LDAP) – Da fare in tutte le altre sezioni Futuro di EAP-TTLS ?? – Passaggio a PEAP – Acquisto licenze SecureW2 – Possibilita’ di utilizzare EAP-TLS + X.509 ? Riccardo Veraldi - CCR

PEAP Si o PEAP No ? PEAP, Indipendenza da software di terze parti (SecureW2) – E’ L’implementazione propietaria Microsoft di TTLS – Non compatibile con l’attuale architettura di AAI (krb5) Richiede che le password siano in chiaro o NTLM (INACCETTABILE) NO PEAP: acquisto di licenze per SecureW2 – ~ 1KEuro per 100 licenze – ~7KEuro per 1000 licenze – Uso di soluzioni Open (Open1X) solo per windows XP Open1X non funziona su sistemi Windows a 64 bit – Dismissione di EAP-TTLS e PEAP e utilizzo di EAP-TLS + X.509 (no compliance con Eduroam) Riccardo Veraldi - CCR

INFN-Web INFN-dot1x router.x.infn.it WAN radius.garr.net VLAN trunk Cisco AIR-AP1231G-E-K9 radius.x.infn.it tino.x.infn.it LAN switch-router layer 2 switch 802.1x VLAN Captive Portal VLAN Default VLAN Riccardo Veraldi - CCR5 Idp.infn.it ldap.x.infn.it kdc.x.infn.it eduroam

Modifiche a TRIP (portale web) Integrazione TINO in AAI utilizzando IdP INFN – Redirezione dell’autenticazione su portale IdP INFN – Portale TINO rivisto e completamente modificato – Mapping su LDAP dell’AA con il certificato personale – E’ stato testato e funziona bene – Non necessita cambiamenti strutturali all’interno delle sezioni, transizione immediata. – Portale Web un po’ piu’ sicuro e “resistente” ad attacchi – Richiede che l’IdP sia ridondato (per avere maggiore affidabilita’) Integrazione TINO in AAI usando LDAP/krb5 locale delle sezioni – Richiede che una infrastruttura Locale di AAI sia presente in ogni sezione – Richiede ulteriori pesanti modifiche al portale Web attuale se si vogliono mappare i certificati X.509 con autorizzazione LDAP – E’ piu’ semplice ingannare l’utente e caripire informazioni di autenticazione Riccardo Veraldi - CCR

Risultati sicurezza portale Web Nonostante in questa sala siamo tutti esperti – Alcuni di voi sono caduti nel tranello del rogue AP Credenziali carpite Riccardo Veraldi - CCR :09: :15: :28: :55: d??????? ??????? Qualsiasi persona con un portatile e abbastanza potenza di segnale puo’ fare questo

Redirect iniziale su TINO Riccardo Veraldi - CCR8

Redirect su IdP INFN Riccardo Veraldi - CCR9

EndPoint su TINO Riccardo Veraldi - CCR10

Logout dal portale (Locale) Riccardo Veraldi - CCR11