Accesso wireless (e wired):
autenticazione Layer 3 e
soluzione mista
Mirko Corosu
per il gruppo
TRIP
Obiettivo
Creare una infrastruttura di accesso wireless layer
3 con caratteristiche:
 autorizzazione/autenticazione
 flessibilita’ (diversi meccanismi di
autenticazione)
 fruibilita’ (indipendenza da OS/HW)
 differenziazione accessi
 minimo management a regime
 sicurezza
Componenti software
NOCAT: implementazione di captive portal
per reti wireless e wired
 Freeradius: implementazione server di
autenticazione ed autorizzazione con
protocollo radius
 Apache + mod-SSL: web server con
trattamento certificati X.509

Autenticazione della sessione
richiesta associazione
associazione
concessa
rete privata
NIS/K5/AFS/MySQL
AFS/CA auth
DHCP
AFS (WAN)
WAN
NOCAT gw
NAT/FW (iptable)
apertura
filtri alla
certificato
o pagina di
redirezione
per la NOCAT
user/password
autenticazione iptables
autenticazione
redirezione sessione
confermata
pacchetto iniziale
radius
RADIUS (NOCAT)
certificato (Mod-SSL)
radius vs PAM
db locale
NOCAT auth
HTTP
Gestione della sessione
disconnessione
senza logout
rete privata
refresh con
ticket
certificato
apertura
logout
richiesta
dioT1
refresh
chiusura
firewall
NOCAT gw
restart
di
(pop-up
window)
user/password
inutilizzabile
finodiaT2
NAT/FW (iptable) alla scadenza
con timeout T1 di
scadenza T2
refresh
apertura firewall
con timeout
T2>T1
notifica
di
rinnovo
conferma
verifica
logout
autenticazione
autenticazione
eautenticazione
restart di T2
authentication
service
NOCAT auth
HTTP
Layout compatto
rete privata
NOCAT gw
NAT/FW (iptable)
NIS/K5/AFS/MySQL auth DHCP
AFS/CA auth
NOCAT auth
HTTP
WAN
RADIUS
Note



NOCAT: tratta solo autenticazione via MySQL o
via radius (con patch non inserita nell’ultima
release). Richiede personalizzazione della
pagina HTTP di autenticazione
Apache + mod-SSL: per trattare certificati X.509
richiede mod-SSL V2.7.x, compatibile solo con
apache V1.3 (non con V2.x)
Non si puo’ differenziare gli accessi sulla base
delle caratteristiche della autenticazione
Flessibilita’ e soluzione mista
autorizzazione/autenticazione

Caratteristiche specifiche Cisco Aironet
1120:
• supporto per SSID multipli e VLAN, con criteri di
autorizzazione ed autenticazione indipendenti
• possibilita’ di collocare dinamicamente il client
su una VLAN in base alla autorizzazione radius

Caratteristiche di freeradius:
• puo’ fornire all’Aironet le informazioni di VLAN
• puo’ autorizzare MAC address leggendo il
database del dhcpd
Autorizzazione mista MAC/Layer3
richiesta associazione
AP chiede
autorizzazione
richiesta
valida
MAC
non
MAC
address a
per
LAN1
trovato;
radius
richiesta valida
per LAN2
LAN1
utenza locale
NOCAT + httpd
iptables (NAT/FW)
accesso
radiusd
completo alla
dhcpd
rete locale
radius legge
dhcpd database
LAN2
NOCAT
accesso quasi
completo alla
rete locale (no
MS-NET)
Risultati
Volevamo una infrastruttura di accesso wireless
layer 3 con caratteristiche:
 autorizzazione/autenticazione
 flessibilita’ (diversi meccanismi di
autenticazione)
 fruibilita’ (indipendenza da OS/HW)
 differenziazione accessi
 minimo management a regime
 sicurezza
Problemi
Sicurezza 1: tutti i client non registrati
vengono associati e messi nella LAN
filtrata da NOCAT
 Sicurezza 2: la comunicazione tra access
point e client non e’ criptata

Sviluppi
Produzione della documentazione sullo
stato di sviluppo del progetto su web
 Produzione di kickstart per l’installazione
del software comprensivo di patches (rpm
+ doc)
 Analisi sulla possiblilita’ di differenziare gli
accessi gestiti da NOCAT
 Integrazione con associazione via 802.1x
 Interazione NOCAT-Kerberos5

Documentazione
Progetto ancora in fase di sviluppo
 La documentazione si trova sul sito del
progetto (http://www.infn.it/TRIP), in fase
di allestimento
 Informazioni sui progressi in questa fase
verranno rese pubbliche tramite CCR
