La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Configurazione accessi WiFi INFN Workshop CCR ’15 25-29 Maggio

Presentazioni simili


Presentazione sul tema: "Configurazione accessi WiFi INFN Workshop CCR ’15 25-29 Maggio"— Transcript della presentazione:

1 Configurazione accessi WiFi INFN Massimo.Pistoni@lnf.infn.it Riccardo.Veraldi@cnaf.infn.it Workshop CCR ’15 25-29 Maggio 2015 @LNF1

2 Tutto è nato con… TRIP Autenticazione 802.1x + EAP-TTLS (strutturati) – INFN-dot1x + eduroam Proxy radius – Autenticazione locale alla sede INFN (radius locale, kerberos, unix password, NIS…) Autenticazione portale WEB TINO (visitatori) – Autenticazione via https con certificato X509 oppure in locale username/password – NO PROXY Workshop CCR ’15 25-29 Maggio 2015 @LNF2

3 INFN-dot1x EAP-TTLS Workshop CCR ’15 25-29 Maggio 2015 @LNF 3 Access Point Verso il GARR VLAN 202 Net 192.168.202.0 SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net 192.84.131.0 SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net 192.168.200.0 SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x Proxy RADIUS IP settings EAP/TTLS (inner tunnel) EAP/TTLS (outer tunnel)

4 Workshop CCR ’15 25-29 Maggio 2015 @LNF 4 Access Point Verso il GARR VLAN 202 Net 192.168.202.0 SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net 192.84.131.0 SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net 192.168.200.0 SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x EAP/TTLS Proxy RADIUS IP settings Proxy RADIUS Traffico IP cifrato WPA EAP/TTLS (inner tunnel) eduroam EAP-TTLS

5 Workshop CCR ’15 25-29 Maggio 2015 @LNF 5 Access Point Verso il GARR VLAN 202 Net 192.168.202.0 SSID: eduroam Utenti interni Rete wired RADIUS Server DHCP Server VLAN 131 Net 192.84.131.0 SSID: INFN-dot1x EDUGW: dhcp/router/FW/NAT/Radius proxy VLAN 200 Net 192.168.200.0 SSID: INFN-Web TINO: dhcp/router/FW/NAT/Web captive portal Altri servizi 802.1x EAP-TLS IP settings Traffico IP cifrato WPA eduroam EAP-TLS

6 Workshop CCR ’15 25-29 Maggio 2015 @LNF 6 Verso il GARR VLAN 192.168.200 INFN-Web Utenti interni Interfaccia del router 3/4 193.205.228.57/28 Interfaccia Inside Server 193.205.228.58/29 Eth0 3T/2 Interfaccia Outside Server 192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) RADIUS Server DHCP Server VLAN 192.84.131 INFN-dot1x Open: INFN-Web client IP settings Richiesta www Richiesta www (ssl) Autenticazione Proxy RADIUS INFN-Web

7 Problematiche DIAMO PER SCONTATO che NESSUNO utilizzi piu’ il portale Web TINO in proxy radius Inner and Outer tunnel: – i proxy radius non possono conoscere la username e il realm dell’inner tunnel ed effettuano la delega sulla base del realm dell’outer tunnel. – Una volta ottenuta l’autenticazione loggano l’informazione della outer username che in linea di principio puo’ non coincidere con la inner username – La outer username puo’ essere un fake o anonymous per cui le uniche info utili per risalire all’identita’ sono il realm, il mac address, e soprattutto l’ORA. Workshop CCR ’15 25-29 Maggio 2015 @LNF7

8 Problematiche: In&Out Inner and Outer tunnel: – Gli unici radius server che conoscono la inner username sono quelli di autenticazione e solo su questi si possono prendere decisioni in merito a inner e outer username – Sui radius dell’INFN e’ bene imporre che queste siano identiche (pena fallimento dell’autenticazione) per agevolare la identificabilita’ degli utenti – Non e’ affatto scontato che gli altri paesi confederati a eduroam facciano altrettanto, per cui potremmo trovarci in difficolta’ nell’identificare univocamente chi ha fatto accesso ad eduroam sulle reti WiFi INFN basandoci solo sull’ora di autenticazione Workshop CCR ’15 25-29 Maggio 2015 @LNF8

9 Problematiche: NAT Il captive portal Tino e/o i radius server dedicati ad eduroam sono spesso anche NAT server: – Il NAT fatto con IPTABLES, almeno fino alla SL6, scrive su LOG informazioni insufficienti a risalire univocamente al nodo sorgente del traffico IP manca il source IP e la source PORT translati dal NAT – Per sopperire si puo’ usare CONNTRACK che effettua dei LOG piu’ esaustivi – In mancanza di tali informazioni si possono verificare delle condizioni per cui puo’ risultare difficile o impossibile identificare univocamente il nodo sorgente Workshop CCR ’15 25-29 Maggio 2015 @LNF9

10 Altro problema noto eduroam: I certificati TERENA non funzionano con 802.1x nell’autenticazione EAP-TTLS, ma solo con EAP-TLS. – La questione andrebbe approfondita Avere certificati funzionanti, emessi da una CA riconosciuta, semplificherebbe sia la configurazione dei client sia quella dei radius server – eviterebbe di dover importare certificati di CA non riconosciute ufficialmente Cosa succedera’ con la nuova CA con cui ha sottoscritto il contratto Terena? Workshop CCR ’15 25-29 Maggio 2015 @LNF10

11 Discussioni recenti Molte sezioni supportano EAP-TLS – Questo perché è il default di freeradius – Per disabilitarlo va esplicitamente negato nel file users DEFAULT EAP-Type == EAP-TLS, Auth-Type := Reject – In principio non c’è nulla di male – In pratica potenzialmente si dà accesso a chiunque abbia un certificato INFN-CA (CIRMMP, dip. chimica, fisica, ecc di varie università italiane, ICTP, INGV, INAF, SISSA, Sns ecc.) – Unica ACL possibile l’elenco completo di tutti i CN con OU=INFN nel proprio server radius In caso ricordarsi di: – Disabilitare l’accesso tramite il certificato CA INFN e abilitare solo quello di TERENA – Aggiungere 2 moduli al radius per ottenere un log piu’ verboso (in cui sia scritto il subject del certificato di chi tenta l’autenticazione) Workshop CCR ’15 25-29 Maggio 2015 @LNF11

12 Discussioni recenti 2 eduroam: alcuni utenti CERN hanno tentato di autenticarsi all’INFN con il certificato CERN (a Roma1) – Aggiungere la CERN CA nelle trusted CA di freeradius (autentica per default qualsiasi certificato CERN) Utilizzare ACL di tutti i CN con OU=CERN per autenticazioni mirate Il CERN parla di EduRoam Certificate https://gridca.cern.ch/gridca/ (??)https://gridca.cern.ch/gridca/ – Se l’utente CERN non ha il certificato della INFN CA nelle trusted root CA non risucirà a verificare il radius server (RICHIEDE CONFIGURAZIONE DEL SUPPLICANT) – L’utente CERN deve eventualmente disabilitare la verifica del certificato (ORRORE) (RICHIEDE CONFIGURAZiONE DEL SUPPLICANT) In generale per abilitare all’autenticazione EAP-TLS tutti gli utenti confederati, occorre caricare sul radius server i certificati pubblici di tutte le istituzioni che aderiscono alla confederazione (TACAR) Workshop CCR ’15 25-29 Maggio 2015 @LNF12

13 Configurazione Client 802.1x INFN-dot1x e eduroam – Linux Desktop (Ubuntu, Fedora ecc) NetworkManager supporta l’autenticazione 802.1x EAP-TTLS nativo – MacOS X Lion, Mountain Lion, Mavericks, iOS device tutti supportano EAP-TTLS in modo nativo Auto-configuratore per MacOS/iOS: https://www.cnaf.infn.it/eduroam/Lionhttps://www.cnaf.infn.it/eduroam/Lion – Windows 8 e Windows 8.1 Supplicant supporta nativamente EAP-TTLS Occorre solo inserire username e password – Windows 7 (e precedenti) Necessario installare s/w commerciale Securew2 per supportare EAP-TTLS 13Workshop CCR ’15 25-29 Maggio 2015 @LNF

14 Secure W2 Alfa&Ariss sta iniziando attivamente a perseguire gli utilizzatori del loro software senza regolare licenza (inclusa la versione 1.1.3 che si riteneva liberamente distribuibile). L’INFN ha acquistato 780 licenze fino alla v. 3512_GA2, ma nel 2015 ha smesso di sottoscrivere il contratto di manutenzione, per cui non si ha piu’ diritto agli aggiornamenti successivi E’ ANCORA NECESSARIO Securew2 ? – Caldeggiata installazione di windows 8.1 al posto delle versioni precedenti di Windows (Win 7, Vista, XP, etc.) 14Workshop CCR ’15 25-29 Maggio 2015 @LNF

15 Evoluzioni future ? INFN-dot1x e eduroam – Integrazione in AAI (ldap+kerberos nazionali) ? Sezione INFN Bologna Veraldi non è favorevole a questa soluzione GLI UTENTI INFN NON SONO OSPITI – DEVONO UTILIZZARE INFN-dot1x e eduroam GLI OSPITI INFN E SOLO LORO DOVREBBERO UTILIZZARE il portale INFN-Web Workshop CCR ’15 25-29 Maggio 2015 @LNF15

16 Evoluzioni future 2 GOapp  GODiVA Circa meta’ delle sedi utilizza attualmente GOapp per la gestione dei visitatori occasionali e dare loro accesso al WiFi Sta partendo una fase di sviluppo di GODiVA affinche’ possa gestire direttamente i visitatori, in sostituzione di Goapp In realta’ GODiVA e’ gia’ pronto per gestire i Visitatori, ma occorre implementare una serie di piccoli ritocchi a procedure e a workflow al contorno Workshop CCR ’15 25-29 Maggio 2015 @LNF16

17 1.Modifica della form web di autoregistrazione per i visitatori, che richieda i dati anagrafici essenziali all’identificazione dell’utente, nonche’ il nome di un referente – Generazione di una username con assurance level 0, che consenta l’accesso solo ad Indico (agenda) 2.ACL su GestioneAnagrafica (web) per la visualizzazione dei soli visitatori (compresi autoregistrati) 3.Creazione di una form web per la validazione dei visitatori autoregistrati; a seguito della validazione del referente l'assurance level passerebbe a 1 – Il Visitatore con assurance level 1 potra’ connettersi al WiFi tramite Captive Portal Workshop CCR ’15 25-29 Maggio 2015 @LNF17 Evoluzioni future 3 GOapp  GODiVA

18 Evoluzioni future 4 GOapp  GODiVA 4.Integrazione in Indico della richiesta di autoregistrazione 5.Modifica di Tino per l’autenticazione web via SAML2 tramite IDP (back end LDAP) gia’ pronta da tempo Attenzione: implementando l’autoregistrazione occorre assolutamente evitare che si abbia accesso a risorse informatiche INFN, basandosi semplicemente su autenticazione senza verifica delle autorizzazioni Occorre modificare opportunamente anche i radius server per limitare lo stesso accesso al wireless (SSID eduroam e INFN-dot1x) Workshop CCR ’15 25-29 Maggio 2015 @LNF18

19 Documentazione Configurazione radius per INFN-dot1x http://wiki.infn.it/strutture/lnf/dr/calcolo/wireless/dot1x Configurazione radius per eduroam http://wiki.infn.it/strutture/lnf/dr/calcolo/wireless/eduroam Configurazione dei clients https://web2.infn.it/CCR/index.php/it/sito-utenti-del-calcolo/network Workshop CCR ’15 25-29 Maggio 2015 @LNF19

20 Domande? Workshop CCR ’15 25-29 Maggio 2015 @LNF20 Grazie per l’attenzione


Scaricare ppt "Configurazione accessi WiFi INFN Workshop CCR ’15 25-29 Maggio"

Presentazioni simili


Annunci Google