Upload
vohanh
View
216
Download
0
Embed Size (px)
Citation preview
AccessoAccesso wireless (e wired): wireless (e wired): autenticazioneautenticazione Layer 3 e Layer 3 e
soluzionesoluzione mistamista
MirkoMirko CorosuCorosuper per ilil gruppogruppo
TRIPTRIP
ObiettivoObiettivo
CreareCreare unauna infrastrutturainfrastruttura didi accessoaccesso wireless layer wireless layer 3 con 3 con caratteristichecaratteristiche::
!! autorizzazione/autenticazioneautorizzazione/autenticazione!! flessibilitaflessibilita’’ ((diversidiversi meccanismimeccanismi didi
autenticazioneautenticazione))!! fruibilitafruibilita’’ ((indipendenzaindipendenza dada OS/HW)OS/HW)!! differenziazionedifferenziazione accessiaccessi!! minimominimo managementmanagement a regimea regime!! sicurezzasicurezza
ComponentiComponenti softwaresoftware
!! NOCATNOCAT: : implementazioneimplementazione didi captive portal captive portal per per retireti wireless e wiredwireless e wired
!! FreeradiusFreeradius: : implementazioneimplementazione server server didiautenticazioneautenticazione ed ed autorizzazioneautorizzazione con con protocolloprotocollo radiusradius
!! Apache + modApache + mod--SSLSSL: web server con : web server con trattamentotrattamento certificaticertificati X.509X.509
apertura filtriiptables per la sessione
WAN
DHCP NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
richiesta associazioneassociazione concessa
richiesta indirizzoIP
indirizzoIP concesso
access
o a port
a 80 TCP
redirezione alla pagina diautenticazione NOCAT
certificato ouser/password
MySQL (NOCAT)
certificato (Mod-SSL)
radius(NOCAT)
radius vsdb localeradius vs PAM
autenticazioneconfermataredirezione
pacchetto iniziale
Autenticazione della sessione
rete privata
NIS/K5/AFSAFS (WAN)
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
rete privata
NOCAT authHTTP
RADIUS
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
richiesta associazioneAutenticazione della sessione
rete privata
NOCAT authHTTP
RADIUS
associazione concessa
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
Autenticazione della sessione
rete privata
NOCAT authHTTP
RADIUS
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
richiesta indirizzoIPrete privata
NOCAT authHTTP
RADIUS
Autenticazione della sessione
indirizzoIP concesso
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
rete privata
NOCAT authHTTP
RADIUS
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
access
o a port
a 80 TCP
rete privata
NOCAT authHTTP
RADIUS
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCP
NOCAT authHTTP
NIS/K5/AFS/MySQL
AFS/CA auth
access
o a port
a 80 TCP
redirezione alla pagina diautenticazione NOCAT
rete privata
RADIUS
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCP
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
certificato ouser/password
rete privata
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCP
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
certificato ouser/password
MySQL (NOCAT)
rete privata
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCP
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
certificato ouser/password
certificato (Mod-SSL)
rete privata
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCP
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
certificato ouser/password
radius(NOCAT)
radius vsdb locale
rete privata
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
radius vs PAM
WAN
DHCP
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
certificato ouser/password
radius(NOCAT)
rete privata
NIS/K5/AFSAFS (WAN)
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
autenticazioneconfermata
WAN
DHCP
NOCAT authHTTP
RADIUS
NIS/K5/AFS/MySQL
AFS/CA auth
certificato ouser/password
rete privata
Autenticazione della sessione
apertura filtriiptables per la sessione
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
rete privata
NOCAT authHTTP
access
o a port
a 80 TCP
redirezionepacchetto iniziale
RADIUS
Autenticazione della sessione
NOCAT gwNAT/FW (iptable)
WAN
DHCPNIS/K5/AFS/MySQL
AFS/CA auth
rete privata
NOCAT authHTTP
RADIUS
Gestione della sessione
logoutapertura firewall con timeout T2>T1
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
certificato ouser/password
verificaautenticazione
ticket(pop-up window)con timeout T1 direfresh
confermaautenticazione
richiesta di refreshrefresh conrestart di T1
rinnovoautenticazionee restart di T2
notifica dilogout
disconnessionesenza logout
aperturainutilizzabile fino a scadenza T2
chiusura firewall alla scadenza di T2
rete privata
authenticationservice
Gestione della sessione
certificato ouser/password
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
rete privata
verificaautenticazione
authenticationservice
Gestione della sessione
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
ticket(pop-up window)con timeout T1 direfresh
confermaautenticazione
rete privata
apertura firewall con timeout T2>T1
authenticationservice
Gestione della sessione
richiesta di refreshapertura firewall con timeout T2>T1
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
rete privata
authenticationservice
Gestione della sessione
rinnovoautenticazionee restart di T2
apertura firewall con timeout T2>T1
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
refresh conrestart di T1
rete privata
authenticationservice
Gestione della sessione
apertura firewall con timeout T2>T1
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
rete privata
notifica dilogout
logout
authenticationservice
Gestione della sessione
apertura firewall con timeout T2>T1
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
rete privata
authenticationservice
Gestione della sessione
aperturainutilizzabile fino a scadenza T2
disconnessionesenza logout
apertura firewall con timeout T2>T1
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
rete privata
authenticationservice
Gestione della sessione
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
rete privata
chiusura firewall alla scadenza di T2
authenticationservice
Layout compatto
WAN
rete privata
NOCAT gwNAT/FW (iptable)
DHCPNIS/K5/AFS/MySQL auth
AFS/CA auth
NOCAT authHTTP
RADIUS
Layout compatto
WAN
rete privata
DHCP
NOCAT gwNAT/FW (iptable)
NOCAT authHTTP
NIS/K5/AFS/MySQL auth
AFS/CA auth
RADIUS
NoteNote
!! NOCAT: NOCAT: trattatratta solosolo autenticazioneautenticazione via via MySQLMySQL o o via radius (con via radius (con patchpatch non non inseritainserita nellnell’’ultimaultimarelease). release). RichiedeRichiede personalizzazionepersonalizzazione delladellapaginapagina HTTP HTTP didi autenticazioneautenticazione
!! Apache + modApache + mod--SSL: per SSL: per trattaretrattare certificaticertificati X.509 X.509 richiederichiede modmod--SSL V2.7.x, SSL V2.7.x, compatibilecompatibile solo con solo con apache V1.3 (apache V1.3 (non con V2.xnon con V2.x))
!! Non Non sisi puopuo’’ differenziaredifferenziare gligli accessiaccessi sullasulla base base delledelle caratteristichecaratteristiche delladella autenticazioneautenticazione
FlessibilitaFlessibilita’’ e e soluzionesoluzione mistamistaautorizzazione/autenticazioneautorizzazione/autenticazione
!! CaratteristicheCaratteristiche specifichespecifiche Cisco Cisco AironetAironet1120:1120:•• supportosupporto per SSID per SSID multiplimultipli e VLANe VLAN, con , con critericriteri didi
autorizzazioneautorizzazione ed ed autenticazioneautenticazione indipendentiindipendenti•• possibilitapossibilita’’ didi collocarecollocare dinamicamentedinamicamente ilil client client
susu unauna VLAN VLAN in base in base allaalla autorizzazioneautorizzazione radiusradius!! CaratteristicheCaratteristiche didi freeradiusfreeradius::
•• puopuo’’ fornirefornire allall’’AironetAironet le le informazioniinformazioni didi VLANVLAN•• puopuo’’ autorizzareautorizzare MAC address MAC address leggendoleggendo ilil
database del database del dhcpddhcpd
Autorizzazione mista MAC/Layer3
LAN1utenza locale
LAN2 NOCAT
NOCAT + httpdiptables (NAT/FW)
radiusddhcpd
accessocompleto allarete locale
accesso quasi completo allarete locale (no MS-NET)
richiesta associazioneAP chiedeautorizzazioneMAC address a radius
radius leggedhcpd database
richiesta validaper LAN1MAC non trovato; richiesta validaper LAN2
Autorizzazione mista MAC/Layer3
LAN1utenza locale
LAN2 NOCAT
NOCAT + httpdiptables (NAT/FW)
radiusddhcpd
accessocompleto allarete locale
richiesta associazioneAP chiedeautorizzazioneMAC address a radius
accesso quasi completo allarete locale (no MS-NET)radius legge
dhcpd database
Autorizzazione mista MAC/Layer3
LAN1utenza locale
LAN2 NOCAT
NOCAT + httpdiptables (NAT/FW)
radiusddhcpd
accessocompleto allarete locale
richiesta associazione
richiesta validaper LAN1
accesso quasi completo allarete locale (no MS-NET)
Autorizzazione mista MAC/Layer3
LAN1utenza locale
LAN2 NOCAT
NOCAT + httpdiptables (NAT/FW)
radiusddhcpd
accessocompleto allarete locale
accesso quasi completo allarete locale (no MS-NET)
Autorizzazione mista MAC/Layer3
LAN1utenza locale
LAN2 NOCAT
NOCAT + httpdiptables (NAT/FW)
radiusddhcpd
accessocompleto allarete locale
richiesta associazione
MAC non trovato; richiesta validaper LAN2
accesso quasi completo allarete locale (no MS-NET)
Autorizzazione mista MAC/Layer3
LAN1utenza locale
LAN2 NOCAT
NOCAT + httpdiptables (NAT/FW)
radiusddhcpd
accessocompleto allarete locale
accesso quasi completo allarete locale (no MS-NET)
RisultatiRisultati
VolevamoVolevamo unauna infrastrutturainfrastruttura didi accessoaccesso wireless wireless layer 3 con layer 3 con caratteristichecaratteristiche::
!! autorizzazione/autenticazioneautorizzazione/autenticazione!! flessibilitaflessibilita’’ ((diversidiversi meccanismimeccanismi didi
autenticazioneautenticazione))!! fruibilitafruibilita’’ ((indipendenzaindipendenza dada OS/HW)OS/HW)!! differenziazionedifferenziazione accessiaccessi!! minimominimo managementmanagement a regimea regime!! sicurezzasicurezza
ProblemiProblemi
!! SicurezzaSicurezza 11: : tuttitutti i client i client non non registratiregistrativengonovengono associatiassociati e e messimessi nellanella LAN LAN filtratafiltrata dada NOCATNOCAT
!! SicurezzaSicurezza 22: la : la comunicazionecomunicazione tratra access access point e client point e client non enon e’’ criptatacriptata
SviluppiSviluppi
!! ProduzioneProduzione delladella documentazionedocumentazione sullosullostatostato didi svilupposviluppo del del progettoprogetto susu webweb
!! ProduzioneProduzione didi kickstartkickstart per per ll’’installazioneinstallazionedel software del software comprensivocomprensivo didi patches (patches (rpmrpm+ + docdoc))
!! AnalisiAnalisi sullasulla possiblilitapossiblilita’’ didi differenziaredifferenziare gligliaccessiaccessi gestitigestiti dada NOCATNOCAT
!! IntegrazioneIntegrazione con con associazioneassociazione via via 802.1x802.1x!! InterazioneInterazione NOCATNOCAT--Kerberos5Kerberos5
DocumentazioneDocumentazione
!! ProgettoProgetto ancoraancora in in fasefase didi svilupposviluppo!! La La documentazionedocumentazione sisi trovatrova sulsul sitosito del del
progettoprogetto ((http://www.infn.it/TRIPhttp://www.infn.it/TRIP), in ), in fasefasedidi allestimentoallestimento
!! InformazioniInformazioni suisui progressiprogressi in in questaquesta fasefaseverrannoverranno reserese pubblichepubbliche tramitetramite CCRCCR