La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

TRIP nell’era AAI CCR - 07/07/2010 07-07-20101Riccardo Veraldi - CCR.

PubblicatoBernarda Salvi Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "TRIP nell’era AAI CCR - 07/07/2010 07-07-20101Riccardo Veraldi - CCR."— Transcript della presentazione:

1 TRIP nell’era AAI CCR - 07/07/2010 07-07-20101Riccardo Veraldi - CCR

2 INFN-Web INFN-dot1x router.x.infn.it WAN router.y.infn.itradius.y.infn.it radius.garr.net VLAN trunk Cisco AIR-AP1231G-E-K9 radius.x.infn.it tino.x.infn.it LAN switch-router layer 2 switch 802.1x VLAN Captive Portal VLAN Default VLAN 07-07-2010Riccardo Veraldi - CCR2

3 Modifiche a TRIP breve termine (802.1x) Migrazione da freeradius 1.x a freeradius 2.x – LNF (Kerberos + LDAP) – Firenze (LDAP) – CNAF (Kerberos + LDAP) – Da fare in tutte le altre sezioni Futuro di EAP-TTLS ?? – Passaggio a PEAP – Acquisto licenze SecureW2 – Possibilita’ di utilizzare EAP-TLS + X.509 ? 07-07-20103Riccardo Veraldi - CCR

4 PEAP Si o PEAP No ? PEAP, Indipendenza da software di terze parti (SecureW2) – E’ L’implementazione propietaria Microsoft di TTLS – Non compatibile con l’attuale architettura di AAI (krb5) Richiede che le password siano in chiaro o NTLM (INACCETTABILE) NO PEAP: acquisto di licenze per SecureW2 – ~ 1KEuro per 100 licenze – ~7KEuro per 1000 licenze – Uso di soluzioni Open (Open1X) solo per windows XP Open1X non funziona su sistemi Windows a 64 bit – Dismissione di EAP-TTLS e PEAP e utilizzo di EAP-TLS + X.509 (no compliance con Eduroam) 07-07-20104Riccardo Veraldi - CCR

5 INFN-Web INFN-dot1x router.x.infn.it WAN radius.garr.net VLAN trunk Cisco AIR-AP1231G-E-K9 radius.x.infn.it tino.x.infn.it LAN switch-router layer 2 switch 802.1x VLAN Captive Portal VLAN Default VLAN 07-07-2010Riccardo Veraldi - CCR5 Idp.infn.it ldap.x.infn.it kdc.x.infn.it eduroam

6 Modifiche a TRIP (portale web) Integrazione TINO in AAI utilizzando IdP INFN – Redirezione dell’autenticazione su portale IdP INFN – Portale TINO rivisto e completamente modificato – Mapping su LDAP dell’AA con il certificato personale – E’ stato testato e funziona bene – Non necessita cambiamenti strutturali all’interno delle sezioni, transizione immediata. – Portale Web un po’ piu’ sicuro e “resistente” ad attacchi – Richiede che l’IdP sia ridondato (per avere maggiore affidabilita’) Integrazione TINO in AAI usando LDAP/krb5 locale delle sezioni – Richiede che una infrastruttura Locale di AAI sia presente in ogni sezione – Richiede ulteriori pesanti modifiche al portale Web attuale se si vogliono mappare i certificati X.509 con autorizzazione LDAP – E’ piu’ semplice ingannare l’utente e caripire informazioni di autenticazione 07-07-20106Riccardo Veraldi - CCR

7 Risultati sicurezza portale Web Nonostante in questa sala siamo tutti esperti – Alcuni di voi sono caduti nel tranello del rogue AP Credenziali carpite 07-07-2010Riccardo Veraldi - CCR7 2010-03-16 11:09:39.410570 r???????.???????i@??.infn.it ??????r???????.???????i@??.infn.it 2010-03-16 11:15:17.993969 p????.???i@???.INFN.IT ???????????p????.???i@???.INFN.IT 2010-03-16 11:28:01.012975 ?z???@?????.infn.it ???????????@?????.infn.it 2010-03-16 11:55:32.654349 d??????? ??????? Qualsiasi persona con un portatile e abbastanza potenza di segnale puo’ fare questo

8 Redirect iniziale su TINO 07-07-2010Riccardo Veraldi - CCR8

9 Redirect su IdP INFN 07-07-2010Riccardo Veraldi - CCR9

10 EndPoint su TINO 07-07-2010Riccardo Veraldi - CCR10

11 Logout dal portale (Locale) 07-07-2010Riccardo Veraldi - CCR11

Scaricare ppt "TRIP nell’era AAI CCR - 07/07/2010 07-07-20101Riccardo Veraldi - CCR."

Presentazioni simili

E.M.V. Fasanelli & S. Arezzini

E.M.V. Fasanelli & S. Arezzini
Aspetti critici rete LAN e WAN per i Tier-2

Aspetti critici rete LAN e WAN per i Tier-2
Commessa: HotSpot Wi-Fi

Commessa: HotSpot Wi-Fi
Wireless Authentication

Wireless Authentication
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.

Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.

Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus 14-17 Dicembre 2010.

INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio 2007 - LNF.

Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.

Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:

Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR2002 - R.Gomezel Workshop sulle problematiche.

Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.
Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista

Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Dael Maselli – INFN LNF CCR – 17 Marzo 2009. Dael Maselli slide 2 CCR 17-03-2009 Oracle Collaboration Suite  Ci sono seri problemi con la suite della.

Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.

INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.

Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
Configurazione accessi WiFi INFN Workshop CCR ’15 25-29 Maggio

Configurazione accessi WiFi INFN Workshop CCR ’ Maggio
Panoramica Servizi Nazionali INFN Servizi gestiti al CNAF

Panoramica Servizi Nazionali INFN Servizi gestiti al CNAF

Presentazioni simili

Annunci Google