Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoRoberto Massa Modificato 9 anni fa
1
Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Mirko Corosu per il gruppo TRIP
2
Obiettivo Creare una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza
3
Componenti software NOCAT: implementazione di captive portal per reti wireless e wired Freeradius: implementazione server di autenticazione ed autorizzazione con protocollo radius Apache + mod-SSL: web server con trattamento certificati X.509
4
Autenticazione della sessione
associazione concessa richiesta associazione certificato o user/password rete privata indirizzo IP concesso richiesta indirizzo IP accesso a porta 80 TCP apertura filtri iptables per la sessione NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT autenticazione confermata MySQL (NOCAT) NIS/K5/AFS redirezione pacchetto iniziale AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) certificato (Mod-SSL) radius vs PAM radius vs db locale RADIUS
5
Autenticazione della sessione
rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
6
Autenticazione della sessione
richiesta associazione rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
7
Autenticazione della sessione
associazione concessa rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
8
Autenticazione della sessione
rete privata richiesta indirizzo IP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
9
Autenticazione della sessione
rete privata indirizzo IP concesso NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
10
Autenticazione della sessione
rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
11
Autenticazione della sessione
rete privata accesso a porta 80 TCP NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP redirezione alla pagina di autenticazione NOCAT AFS/CA auth WAN NOCAT auth HTTP RADIUS
12
Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
13
Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP MySQL (NOCAT) AFS/CA auth WAN NOCAT auth HTTP RADIUS
14
Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP certificato (Mod-SSL) RADIUS
15
Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP radius (NOCAT) radius vs db locale RADIUS
16
Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP NIS/K5/AFS AFS/CA auth WAN AFS (WAN) NOCAT auth HTTP radius (NOCAT) radius vs PAM RADIUS
17
Autenticazione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP autenticazione confermata AFS/CA auth WAN NOCAT auth HTTP RADIUS
18
Autenticazione della sessione
rete privata accesso a porta 80 TCP apertura filtri iptables per la sessione NIS/K5/AFS/MySQL DHCP redirezione pacchetto iniziale AFS/CA auth WAN NOCAT auth HTTP RADIUS
19
Autenticazione della sessione
rete privata NOCAT gw NAT/FW (iptable) NIS/K5/AFS/MySQL DHCP AFS/CA auth WAN NOCAT auth HTTP RADIUS
20
Gestione della sessione
disconnessione senza logout richiesta di refresh logout certificato o user/password refresh con restart di T1 rete privata ticket (pop-up window) con timeout T1 di refresh apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) notifica di logout rinnovo autenticazione e restart di T2 conferma autenticazione verifica autenticazione NOCAT auth HTTP authentication service
21
Gestione della sessione
certificato o user/password rete privata NOCAT gw NAT/FW (iptable) verifica autenticazione NOCAT auth HTTP authentication service
22
Gestione della sessione
rete privata ticket (pop-up window) con timeout T1 di refresh apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) conferma autenticazione NOCAT auth HTTP authentication service
23
Gestione della sessione
richiesta di refresh rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service
24
Gestione della sessione
refresh con restart di T1 rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) rinnovo autenticazione e restart di T2 NOCAT auth HTTP authentication service
25
Gestione della sessione
logout rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) notifica di logout NOCAT auth HTTP authentication service
26
Gestione della sessione
rete privata NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service
27
Gestione della sessione
rete privata apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service
28
Gestione della sessione
disconnessione senza logout rete privata apertura inutilizzabile fino a scadenza T2 apertura firewall con timeout T2>T1 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service
29
Gestione della sessione
rete privata chiusura firewall alla scadenza di T2 NOCAT gw NAT/FW (iptable) NOCAT auth HTTP authentication service
30
Layout compatto rete privata WAN NIS/K5/AFS/MySQL auth DHCP NOCAT gw
NAT/FW (iptable) AFS/CA auth WAN NOCAT auth HTTP RADIUS
31
Layout compatto rete privata WAN NOCAT auth HTTP NIS/K5/AFS/MySQL auth
NOCAT gw NAT/FW (iptable) DHCP RADIUS AFS/CA auth WAN
32
Note NOCAT: tratta solo autenticazione via MySQL o via radius (con patch non inserita nell’ultima release). Richiede personalizzazione della pagina HTTP di autenticazione Apache + mod-SSL: per trattare certificati X.509 richiede mod-SSL V2.7.x, compatibile solo con apache V1.3 (non con V2.x) Non si puo’ differenziare gli accessi sulla base delle caratteristiche della autenticazione
33
Flessibilita’ e soluzione mista autorizzazione/autenticazione
Caratteristiche specifiche Cisco Aironet 1120: supporto per SSID multipli e VLAN, con criteri di autorizzazione ed autenticazione indipendenti possibilita’ di collocare dinamicamente il client su una VLAN in base alla autorizzazione radius Caratteristiche di freeradius: puo’ fornire all’Aironet le informazioni di VLAN puo’ autorizzare MAC address leggendo il database del dhcpd
34
Autorizzazione mista MAC/Layer3
richiesta associazione AP chiede autorizzazioneMAC address a radius richiesta valida per LAN1 MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database
35
Autorizzazione mista MAC/Layer3
richiesta associazione AP chiede autorizzazioneMAC address a radius LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale radius legge dhcpd database
36
Autorizzazione mista MAC/Layer3
richiesta associazione richiesta valida per LAN1 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale
37
Autorizzazione mista MAC/Layer3
LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale
38
Autorizzazione mista MAC/Layer3
richiesta associazione MAC non trovato; richiesta valida per LAN2 LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale
39
Autorizzazione mista MAC/Layer3
LAN2 NOCAT NOCAT + httpd iptables (NAT/FW) radiusd dhcpd LAN1 utenza locale accesso quasi completo alla rete locale (no MS-NET) accesso completo alla rete locale
40
Risultati Volevamo una infrastruttura di accesso wireless layer 3 con caratteristiche: autorizzazione/autenticazione flessibilita’ (diversi meccanismi di autenticazione) fruibilita’ (indipendenza da OS/HW) differenziazione accessi minimo management a regime sicurezza
41
Problemi Sicurezza 1: tutti i client non registrati vengono associati e messi nella LAN filtrata da NOCAT Sicurezza 2: la comunicazione tra access point e client non e’ criptata
42
Sviluppi Produzione della documentazione sullo stato di sviluppo del progetto su web Produzione di kickstart per l’installazione del software comprensivo di patches (rpm + doc) Analisi sulla possiblilita’ di differenziare gli accessi gestiti da NOCAT Integrazione con associazione via 802.1x Interazione NOCAT-Kerberos5
43
Documentazione Progetto ancora in fase di sviluppo
La documentazione si trova sul sito del progetto ( in fase di allestimento Informazioni sui progressi in questa fase verranno rese pubbliche tramite CCR
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.