La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista

PubblicatoRoberto Massa Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista"— Transcript della presentazione:

1 Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Mirko Corosu per il gruppo TRIP

2 Obiettivo Creare una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza

3 Componenti software NOCAT: implementazione di captive portal per reti wireless e wired Freeradius: implementazione server di autenticazione ed autorizzazione con protocollo radius Apache + mod-SSL: web server con trattamento certificati X.509

4 Autenticazione della sessione
associazione concessa richiesta associazione certificato o user/password rete privata indirizzo IP concesso richiesta indirizzo IP accesso a porta 80 TCP apertura filtri iptables per la sessione NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT autenticazione confermata MySQL (NOCAT) NIS/K5/AFS redirezione pacchetto iniziale AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) certificato (Mod-SSL) radius vs PAM radius vs db locale RADIUS

5 Autenticazione della sessione
rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

6 Autenticazione della sessione
richiesta associazione rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

7 Autenticazione della sessione
associazione concessa rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

8 Autenticazione della sessione
rete privata richiesta indirizzo IP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

9 Autenticazione della sessione
rete privata indirizzo IP concesso NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

10 Autenticazione della sessione
rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

11 Autenticazione della sessione
rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT AFS/CA auth WAN NOCAT auth HTTP RADIUS

12 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

13 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP MySQL (NOCAT) AFS/CA auth WAN NOCAT auth HTTP RADIUS

14 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP certificato (Mod-SSL) RADIUS

15 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP radius (NOCAT) radius vs db locale RADIUS

16 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP NIS/K5/AFS AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) radius vs PAM RADIUS

17 Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP autenticazione confermata AFS/CA auth WAN NOCAT auth HTTP RADIUS

18 Autenticazione della sessione
rete privata accesso a porta 80 TCP apertura filtri iptables per la sessione NIS/K5/AFS/MySQL DHCP redirezione pacchetto iniziale AFS/CA auth WAN NOCAT auth HTTP RADIUS

19 Autenticazione della sessione
rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS

20 Gestione della sessione
disconnessione senza logout richiesta di refresh logout certificato o user/password refresh con restart di T1 rete privata ticket (pop-up window) con timeout T1 di refresh apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) notifica di logout rinnovo autenticazione e restart di T2 conferma autenticazione verifica autenticazione NOCAT auth HTTP authentication service

21 Gestione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) verifica autenticazione NOCAT auth HTTP authentication service

22 Gestione della sessione
rete privata ticket (pop-up window) con timeout T1 di refresh apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) conferma autenticazione NOCAT auth HTTP authentication service

23 Gestione della sessione
richiesta di refresh rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

24 Gestione della sessione
refresh con restart di T1 rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) rinnovo autenticazione e restart di T2 NOCAT auth HTTP authentication service

25 Gestione della sessione
logout rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) notifica di logout NOCAT auth HTTP authentication service

26 Gestione della sessione
rete privata NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

27 Gestione della sessione
rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

28 Gestione della sessione
disconnessione senza logout rete privata apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

29 Gestione della sessione
rete privata chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service

30 Layout compatto rete privata WAN NIS/K5/AFS/MySQL auth DHCP NOCAT gw
NAT/FW (iptable) AFS/CA auth WAN NOCAT auth HTTP RADIUS

31 Layout compatto rete privata WAN NOCAT auth HTTP NIS/K5/AFS/MySQL auth
NOCAT gw NAT/FW (iptable) DHCP RADIUS AFS/CA auth WAN

32 Note NOCAT: tratta solo autenticazione via MySQL o via radius (con patch non inserita nell’ultima release). Richiede personalizzazione della pagina HTTP di autenticazione Apache + mod-SSL: per trattare certificati X.509 richiede mod-SSL V2.7.x, compatibile solo con apache V1.3 (non con V2.x) Non si puo’ differenziare gli accessi sulla base delle caratteristiche della autenticazione

33 Flessibilita’ e soluzione mista autorizzazione/autenticazione
Caratteristiche specifiche Cisco Aironet 1120: supporto per SSID multipli e VLAN, con criteri di autorizzazione ed autenticazione indipendenti possibilita’ di collocare dinamicamente il client su una VLAN in base alla autorizzazione radius Caratteristiche di freeradius: puo’ fornire all’Aironet le informazioni di VLAN puo’ autorizzare MAC address leggendo il database del dhcpd

34 Autorizzazione mista MAC/Layer3
richiesta associazione AP chiede autorizzazioneMAC address a radius richiesta valida per LAN1 MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database

35 Autorizzazione mista MAC/Layer3
richiesta associazione AP chiede autorizzazioneMAC address a radius LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database

36 Autorizzazione mista MAC/Layer3
richiesta associazione richiesta valida per LAN1 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

37 Autorizzazione mista MAC/Layer3
LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

38 Autorizzazione mista MAC/Layer3
richiesta associazione MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

39 Autorizzazione mista MAC/Layer3
LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale

40 Risultati Volevamo una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza

41 Problemi Sicurezza 1: tutti i client non registrati vengono associati e messi nella LAN filtrata da NOCAT Sicurezza 2: la comunicazione tra access point e client non e’ criptata

42 Sviluppi Produzione della documentazione sullo stato di sviluppo del progetto su web Produzione di kickstart per l’installazione del software comprensivo di patches (rpm + doc) Analisi sulla possiblilita’ di differenziare gli accessi gestiti da NOCAT Integrazione con associazione via 802.1x Interazione NOCAT-Kerberos5

43 Documentazione Progetto ancora in fase di sviluppo
La documentazione si trova sul sito del progetto ( in fase di allestimento Informazioni sui progressi in questa fase verranno rese pubbliche tramite CCR

Scaricare ppt "Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista"

Presentazioni simili

Www.ariparma.it ARI sezione di Parma Sito ariparma www.ariparma.it ARI sezione di Parma.

ARI sezione di Parma Sito ariparma ARI sezione di Parma.
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Riunione Referenti – Bologna 2 Luglio 2003 Wireless nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna.

Riunione Referenti – Bologna 2 Luglio 2003 Wireless nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Informatica e Telecomunicazioni

Informatica e Telecomunicazioni
Configuring Network Access

Configuring Network Access
Sistema di gestione flussi documentali

Sistema di gestione flussi documentali
Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.

Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.
Java Enterprise Edition (JEE)

Java Enterprise Edition (JEE)
Organizzazione di una rete Windows 2003

Organizzazione di una rete Windows 2003
IEEE 802.1x (Port Based Network Access Control)

IEEE 802.1x (Port Based Network Access Control)
Secure Shell Giulia Carboni

Secure Shell Giulia Carboni
Architettura Three Tier

Architettura Three Tier
UNIVERSITÀ DEGLI STUDI DI BOLOGNA

UNIVERSITÀ DEGLI STUDI DI BOLOGNA
SEVER RAS.

SEVER RAS.
Il Portale delle Notizia di Reato

Il Portale delle Notizia di Reato
Rete Wireless per Informatica Grafica

Rete Wireless per Informatica Grafica
Commessa: HotSpot Wi-Fi

Commessa: HotSpot Wi-Fi
Carotenuto Raffaele Distante Federico Picaro Luigi

Carotenuto Raffaele Distante Federico Picaro Luigi
Punto di partenza 802.11b , 802.11a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.

Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.

Presentazioni simili

Annunci Google