TRIP
deployment di 802.1x su
Linux
Riguardo a TRIP…
Ma secondo voi…
Cos’e’ la MOBILITA’… ??
Piattaforme supportate






Portatili basati su Intel Centrino con sheda
WiFi Intel PRO/Wireless 2200BG
ipw2200 Linux driver
ieee80211 Linux driver
Linux Wireless Extension
Linux Wireless Tools
wpa_supplicant
• -Dipw per Linux WE < 18
• -Dwext per Linux WE >= 18
Distribuzioni testate
Scientific Linux 4.3
 Ubuntu 5.10
 Fedora Core 5
 Debian testing

Componenti Necessari







Linux Kernel 2.6.8+
Linux Wireless Extension (>= v17) abilitate nel
Kernel
Wireless Tools (>= v28)
Modulo ieee80211
http://ieee80211.sourceforge.net/
Driver ipw2200
http://ipw2200.sourceforge.net/
Firmware ipw2200
http://ipw2200.sourceforge.net/firmware.php
wpa_supplicant
http://hostap.epitest.fi/wpa_supplicant/
Differenze nelle distribuzioni

Scientific Linux 4.3
• Installazione del kernel con yum (kernel-2.6.9-34.EL)
• Driver, e client wpa si scaricano da
http://atrpms.net/dist/el4/
• Il firmware si scarica da
http://atrpms.net/dist/common

Ubuntu 5.10
• Installazione del kernel con apt (linux-image-2.6.12.12-10-686)
• Non occorre installare driver aggiuntivi
• wpa_supplicant si scarica con apt (universe)

Fedora Core 5
• Installazione del kernel con yum (kernel-2.6.16-1.2122_FC5)
• Occorre installare il firmware da http://atrpms.net/dist/common
• wpa_supplicant si scarica con yum

Debian testing
• Installazione del kernel con apt (linux-image-2.6.15.1-686)
• Non occorre installare driver aggiuntivi
• wpa_supplicant si installa con apt (unstable main)
Scientific Linux 4.3

Caratteristiche:
• Kernel Utilizzato: 2.6.9-34.EL i686

•
•
•
•

WE 16
ipw2200 driver 1.1.0
ipw2200 firmware 2.4
ieee80211 1.1.13
wireless-tools-27-0.pre25.4.EL4
Pacchetti da installare:
•
•
•
•
•
•
kernel-2.6.9-34.EL
ieee80211-kmdl-2.6.9-34.EL-1.1.13-10.1.el4.at
ipw2200-firmware-2.4-7.at
ipw2200-kmdl-2.6.9-34.EL-1.1.0-40.el4.at
libpcsclite1-1.3.0-6.el4.at
wpa_supplicant-0.4.8-10.1.el4.at
Ubuntu 5.10

Caratteristiche:
• Kernel Utilizzato: 2.6.12-10-686

•
•
•
•

WE 17
ipw2200 driver 1.0.6
ipw2200 firmware 2.3
ieee80211 1.0.3
wireless-tools 27+28pre8-1ubuntu4
Pacchetti da installare:
• linux-image-2.6.12.12-10-686
• Non sono necessari moduli aggiuntivi, il moduli
ieee80211 e ipw2200 sono gia’ presenti
• wpasupplicant 0.4.5-0ubuntu1 da scaricare nella
repository universe
Fedora Core 5

Caratteristiche:
• Kernel Utilizzato: 2.6.16-1.2122_FC5

•
•
•
•

WE 19
ipw2200 driver 1.0.8
ipw2200 firmware 2.4
ieee80211 1.1.7
wireless-tools-28-0.pre13.5.1
Pacchetti da installare:
• kernel-2.6.16-1.2122_FC5
• ipw2200-firmware-2.4-7.at
• wpa_supplicant-0.4.8-10.fc5
Debian Testing (Etch)

Caratteristiche:
• Kernel Utilizzato: 2.6.15-1-686

•
•
•
•

WE 19
ipw2200 driver 1.0.8
ipw2200 firmware 2.4
ieee80211 1.1.7
wireless-tools 27+28pre14-1
Pacchetti da installare:
• Linux-image-2.6.15.1-686
• Non sono necessari moduli aggiuntivi, il moduli ieee80211
e ipw2200 sono gia’ presenti
• wpasupplicant 0.4.8-4 da scaricare nella repository
unstable main
Metodo Manuale

Rebuild dei kernel module ipw2200 e
ieee80211
• Possibilita’ di utilizzare le ultime versioni
• Maggiori features a disposizione
Hardware encryption
 Supporto per Linux wext

• Bisogna compilare e installare le ultime
versioni dal codice sorgente
Metodo Manuale es:Fedora Core 5





Download del firmware v3
http://ipw2200.sourceforge.net/firmware.php
Copiare I file dell’achivio ipw2200-fw-3.0.tgz in
/lib/firmware
Assicurarsi che venga utilizzata l’header della versione di
wireless-tools installati
cd /usr/include/linux
rm wireless.h
ln -s ../wireless.h .
yum install kernel-devel-2.6.16-1.2122_FC5
Scaricare ieee80211-1.1.13.tgz da http://ieee80211.sf.net
cd ieee80211-1.1.13
make (yes per rimuovere i moduli di default)
make install
I moduli verranno installati in
/lib/modules/2.6.161.2122_FC5/net/ieee80211
Metodo Manuale es:Fedora Core 5

Scaricare ipw2200-1.1.2.tgz da
http://ipw2200.sourceforge.net
cd ipw2200-1.1.2
make
make install
chmod 744 /lib/modules/2.6.161.2122_FC5/kernel/drivers/net/wireless/ipw22
00.ko



Settare le opzioni di hardware encryption del modulo in
/etc/modprobe.conf
options ipw2200 hwcrypto=1
Per Fedora Core 5 installare un update che risolve un bug di
sistema
yum --enablerepo=updates-testing install initscripts
reboot
Come utilizzare 802.1x

wpa_supplicant
• Supplicante che supporta diversi EAP type tra i
quali anche EAP-TTLS

wpa_cli
• Parte client di wpa_supplicant: e’ una user
interface di controllo per wpa_supplicant

wpa_gui, kwlan
• user interface grafiche per linux. Non
funzionano ancora bene… meglio wpa_cli
wpa_supplicant - configurazione
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=2
fast_reauth=1
network={
ssid="INFN-dot1x"
proto=WPA
scan_ssid=1
key_mgmt=WPA-EAP
pairwise=TKIP
group=TKIP
eap=TTLS
identity="[email protected]"
ca_cert="/etc/ssl/certs/INFN-CA.pem“
phase2="auth=PAP"
priority=1
}
wpa_supplicant - start

Debug mode
wpa_supplicant –w –d –ieth1 –Dipw –c
./etc/wpa_supplicant.conf
Daemon mode
wpa_supplicant –B –ieth1 –Dipw –c
./etc/wpa_supplicant.conf

wpa_cli
Serve per interfaccarsi con
wpa_supplicant
 Si possono dare comandi a
wpa_supplicant come se fossero letti
dal file di configurazione
 E’ possibile inserire dati sensibili
come username o password per
l’autenticazione

wpa_cli - autenticazione
Autenticati con 802.1x… associati
alla rete…
Supporto WPA
WPA + TKIP funziona
 WPA2 + AES_CCMP non funziona


WPA + TKIP e’ piu’ che sufficiente a
garantire un accesso sicuro alla rete
Wifi
802.1x su Linux - considerazioni




Installazione dei lkm semplice, pacchetti
gia’ pre-compilati o presenti nelle repo apt
e yum
wpa_supplicant e’ un supplicant completo
(EAP-TTLS, EAP-TLS, EAP-PEAP, EAP-FAST
ecc…)
Funziona bene, connessione WiFi affidabile
Sempre piu’ distribuzioni contengono gia’ i
pacchetti necessari al loro interno (Ubuntu
5.10, Fedora Core 5 …)