Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista

Slides:

Advertisements

Presentazioni simili

ARI sezione di Parma Sito ariparma ARI sezione di Parma.

Advertisements

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Riunione Referenti – Bologna 2 Luglio 2003 Wireless nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Informatica e Telecomunicazioni

Configuring Network Access

Sistema di gestione flussi documentali

Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.

Java Enterprise Edition (JEE)

Organizzazione di una rete Windows 2003

IEEE 802.1x (Port Based Network Access Control)

Secure Shell Giulia Carboni

Architettura Three Tier

UNIVERSITÀ DEGLI STUDI DI BOLOGNA

Il Portale delle Notizia di Reato

Rete Wireless per Informatica Grafica

Commessa: HotSpot Wi-Fi

Carotenuto Raffaele Distante Federico Picaro Luigi

Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.

RETI E INTERNET.

La Sicurezza nelle reti Wireless

Test sul Cisco VPN Concentrator

Wireless Authentication

Corso di Informatica per Giurisprudenza Lezione 7

Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.

Guida IIS 6 A cura di Nicola Del Re.

Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.

Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.

Amministrazione della rete: web server Apache

Connessioni wireless. introduzione Il primo standard fu creato nel 1995 dalla IEEE e fu attribuito il codice Le tecnologie utilizzate sono:  Raggi.

IPSec Fabrizio Grossi.

Google Auth Mechanism Emanuel Di Nardo m.

Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.

Tavolo tecnico 3 marzo  Tipologie di apparati  Primo approccio alla copertura  Copertura a regime.

Assicurare la connettività alla città attraverso tecnologie wireless Candidata: Sonia Di Sario Relatore: dott. Stefano Bistarelli a.a. 2003/2004.

Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.

Il DHCP (Dinamic Host Configuration Protocol) fornisce un meccanismo per assegnare dinamicamente gli indirizzi IP ed i parametri di configurazione ad un.

Certificati e VPN.

CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.

Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:

Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.

Stages Estivi 9-20 Giugno 2008 Davide Carosini ( E.Fermi-Roma ) Gian Marco Merici ( G.Ferraris-Roma ) Massimo Rosselli ( G.Lattanzio-Roma ) Federico Ruggieri.

Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.

I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.

Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.

Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.

Configurazione accessi WiFi INFN Workshop CCR ’ Maggio

Wireless Campus Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.

Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.

Roberto Covati – Roberto Alfieri INFN di Parma. Incontri di lavoro CCR dicembre Sommario VmWare Server (in produzione dal 2004) VmWare ESX.

TRIP controller itinerante. TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN.

 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.

Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Sicurezza.

Livello 7: Applicazione. Protocolli più importanti HTTP = Hyper Text Transfer Protocol HTTPS = Hyper Text Transfer Protocol over Secure Socket Layer DNS.

 Cenni su switch e vlan  Layout fisico per la rete della cloud  Layout virtuale dei computing nodes  Layout virtuale del nerwork node  Riassunto.

Configurazione accessi WiFi INFN Workshop CCR ' Maggio

Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.

Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.

TRIP nell’era AAI CCR - 07/07/ Riccardo Veraldi - CCR.

Accesso alla rete WiFi INFN-dot1x & eduroam

TRIP 27 Maggio 2013Riccardo Veraldi - CCR WS

Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.

13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.

Implementazione di TRIP e Eduroam

Transcript della presentazione:

Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista Mirko Corosu per il gruppo TRIP

Obiettivo Creare una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza

Componenti software NOCAT: implementazione di captive portal per reti wireless e wired Freeradius: implementazione server di autenticazione ed autorizzazione con protocollo radius Apache + mod-SSL: web server con trattamento certificati X.509

Autenticazione della sessione associazione concessa richiesta associazione certificato o user/password rete privata indirizzo IP concesso richiesta indirizzo IP accesso a porta 80 TCP apertura filtri iptables per la sessione NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT autenticazione confermata MySQL (NOCAT) NIS/K5/AFS redirezione pacchetto iniziale AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) certificato (Mod-SSL) radius vs PAM radius vs db locale RADIUS

Autenticazione della sessione rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione richiesta associazione rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione associazione concessa rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione rete privata richiesta indirizzo IP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione rete privata indirizzo IP concesso NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP MySQL (NOCAT) AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP certificato (Mod-SSL) RADIUS

Autenticazione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP radius (NOCAT) radius vs db locale RADIUS

Autenticazione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP NIS/K5/AFS AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) radius vs PAM RADIUS

Autenticazione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP autenticazione confermata AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione rete privata accesso a porta 80 TCP apertura filtri iptables per la sessione NIS/K5/AFS/MySQL DHCP redirezione pacchetto iniziale AFS/CA auth WAN NOCAT auth HTTP RADIUS

Autenticazione della sessione rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

Gestione della sessione disconnessione senza logout richiesta di refresh logout certificato o user/password refresh con restart di T1 rete privata ticket (pop-up window) con timeout T1 di refresh apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) notifica di logout rinnovo autenticazione e restart di T2 conferma autenticazione verifica autenticazione NOCAT auth HTTP authentication service

Gestione della sessione certificato o user/password rete privata NOCAT gw NAT/FW (iptable) verifica autenticazione NOCAT auth HTTP authentication service

Gestione della sessione rete privata ticket (pop-up window) con timeout T1 di refresh apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) conferma autenticazione NOCAT auth HTTP authentication service

Gestione della sessione richiesta di refresh rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

Gestione della sessione refresh con restart di T1 rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) rinnovo autenticazione e restart di T2 NOCAT auth HTTP authentication service

Gestione della sessione logout rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) notifica di logout NOCAT auth HTTP authentication service

Gestione della sessione rete privata NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

Gestione della sessione rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

Gestione della sessione disconnessione senza logout rete privata apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

Gestione della sessione rete privata chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

Layout compatto rete privata WAN NIS/K5/AFS/MySQL auth DHCP NOCAT gw NAT/FW (iptable) AFS/CA auth WAN NOCAT auth HTTP RADIUS

Layout compatto rete privata WAN NOCAT auth HTTP NIS/K5/AFS/MySQL auth NOCAT gw NAT/FW (iptable) DHCP RADIUS AFS/CA auth WAN

Note NOCAT: tratta solo autenticazione via MySQL o via radius (con patch non inserita nell’ultima release). Richiede personalizzazione della pagina HTTP di autenticazione Apache + mod-SSL: per trattare certificati X.509 richiede mod-SSL V2.7.x, compatibile solo con apache V1.3 (non con V2.x) Non si puo’ differenziare gli accessi sulla base delle caratteristiche della autenticazione

Flessibilita’ e soluzione mista autorizzazione/autenticazione Caratteristiche specifiche Cisco Aironet 1120: supporto per SSID multipli e VLAN, con criteri di autorizzazione ed autenticazione indipendenti possibilita’ di collocare dinamicamente il client su una VLAN in base alla autorizzazione radius Caratteristiche di freeradius: puo’ fornire all’Aironet le informazioni di VLAN puo’ autorizzare MAC address leggendo il database del dhcpd

Autorizzazione mista MAC/Layer3 richiesta associazione AP chiede autorizzazioneMAC address a radius richiesta valida per LAN1 MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database

Autorizzazione mista MAC/Layer3 richiesta associazione AP chiede autorizzazioneMAC address a radius LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database

Autorizzazione mista MAC/Layer3 richiesta associazione richiesta valida per LAN1 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

Autorizzazione mista MAC/Layer3 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

Autorizzazione mista MAC/Layer3 richiesta associazione MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

Autorizzazione mista MAC/Layer3 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

Risultati Volevamo una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza

Problemi Sicurezza 1: tutti i client non registrati vengono associati e messi nella LAN filtrata da NOCAT Sicurezza 2: la comunicazione tra access point e client non e’ criptata

Sviluppi Produzione della documentazione sullo stato di sviluppo del progetto su web Produzione di kickstart per l’installazione del software comprensivo di patches (rpm + doc) Analisi sulla possiblilita’ di differenziare gli accessi gestiti da NOCAT Integrazione con associazione via 802.1x Interazione NOCAT-Kerberos5

Documentazione Progetto ancora in fase di sviluppo La documentazione si trova sul sito del progetto (http://www.infn.it/TRIP), in fase di allestimento Informazioni sui progressi in questa fase verranno rese pubbliche tramite CCR