Wireless Authentication Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Autenticazione: MAC Address fino ad oggi: MAC Address based poco sicuro (MAC ADDRESS Spoofing) il traffico non è cifrato richiede intervento manuale di CCL per la gestione dei MAC Address (registrazione, pulizia, scadenze...) IN DISMISSIONE!!!!! NB: l’autenticazione MAC Address Based continuerà a funzionare per i collegamenti WIRED dei portatili!! Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Franco Brasolin – Sezione INFN Bologna Autenticazione: TRIP Nuovo sistema GIÀ in funzione (The Roaming INFN Physicist) permette ai dipendenti ed associati INFN di accedere alle reti wireless con le stesse modalità in tutte le sedi INFN senza ulteriore registrazione (al momento: BO, CNAF, FE, FI, GE, LE, TS) più sicuro: il traffico è cifrato (con rotazione automatica delle chiavi) NON richiede intervento manuale dei Servizi di Calcolo nelle sedi INFN Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Franco Brasolin – Sezione INFN Bologna SSID INFN-dot1x (1/2) L’autenticazione è demandata alle sedi di provenienza tramite una rete di proxy radius. Per gli utenti della Sezione di Bologna: Certificato digitale personale INFN-CA Username/password del MailServer NB1: è fondamentale utilizzare driver aggiornati per le schede wireless dei portatili!! (seguire le nostre istruzioni su web) NB2: Windows VISTA al momento non è supportato Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Franco Brasolin – Sezione INFN Bologna SSID INFN-dot1x (2/2) Il portatile deve supportare: - 802.1x - WPA/WPA2 driver scheda wireless aggiornati software SecureW2 (per WPA/WPA2) autenticazione: certificato digitale personale INFN CA oppure username/passw del Mailserver login e traffico cifrato Documentazione: www.bo.infn.it/calcolo/helpdesk/wireless/index.html Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (1/3) portale Web Last Resort per: dipendenti e associati INFN delle sedi che NON partecipano ancora al progetto TRIP Per chi ha un portatile che non supporta 802.1x Ospiti esterni Meeting/riunioni/conferenze Login cifrato (tramite https), traffico non cifrato Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (2/3) portale Web Autenticazione: certificato digitale personale installato nel browser username/passw verranno richiesti quando si lancia il browser. Vengono creati ad hoc per ogni ospite da CCL/Ufficio Missioni/Dataweb@LNF: vanno richiesti in anticipo!! Documentazione: www.bo.infn.it/calcolo/helpdesk/wireless/trip-web.html Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (3/3) portale Web All’atto della registrazione degli ospiti (Ufficio Missioni) verrà creato automaticamente un account per il portale Web. La registrazione è coordinata con un database centralizzato gestito da LNF/Dataweb ed è valida per tutto l’Ente Ulteriori dettagli durante la presentazione di A.M. Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Migrazione autenticazione: MacAddr2TRIP La rete Wireless attualmente in uso INFNWL (MAC Address based) è in dismissione Non verranno più registrati nuovi MAC Address Gli utenti che ancora la utilizzano DEVONO migrare al sistema TRIP entro il 30 Aprile 2007 Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
HW Wireless per conferenze: Sistema portatile (pc portatile + APs) Per riunioni/conferenze fuori sede: Ambienti con copertura insufficiente Sedi dotate di una connessione di rete singola MAC Address Authentication + TRIP www.bo.infn.it/calcolo/netgroup/wireless/doc/sede-esterna/sede-esterna.html Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Franco Brasolin – Sezione INFN Bologna Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna
Nuovo Router-Firewall Juniper ISG2000 Nuovo sistema ACL (filtri): da PERMIT-ALL-BUT a DENY-ALL-BUT Interfaccie di rete in Gb: LAN, GARR, CNAF Possibilità di analisi dei flussi per: - Anomaly Detection,Signature Detection - Intrusion detection and prevention Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna