Wireless Authentication Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Autenticazione: MAC Address fino ad oggi: MAC Address based – poco sicuro (MAC ADDRESS Spoofing) – il traffico non è cifrato – richiede intervento manuale di CCL per la gestione dei MAC Address (registrazione, pulizia, scadenze...) – IN DISMISSIONE!!!!! NB: l’autenticazione MAC Address Based continuerà a funzionare per i collegamenti WIRED dei portatili!! Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Autenticazione: TRIP Nuovo sistema GIÀ in funzione (The Roaming INFN Physicist) – permette ai dipendenti ed associati INFN di accedere alle reti wireless con le stesse modalità in tutte le sedi INFN senza ulteriore registrazione (al momento: BO, CNAF, FE, FI, GE, LE, TS) – più sicuro: il traffico è cifrato (con rotazione automatica delle chiavi) – NON richiede intervento manuale dei Servizi di Calcolo nelle sedi INFN Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna SSID INFN-dot1x (1/2) L’autenticazione è demandata alle sedi di provenienza tramite una rete di proxy radius. Per gli utenti della Sezione di Bologna: 1. Certificato digitale personale INFN-CA 2. Username/password del MailServer NB1: è fondamentale utilizzare driver aggiornati per le schede wireless dei portatili!! (seguire le nostre istruzioni su web) NB2: Windows VISTA al momento non è supportato Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna SSID INFN-dot1x (2/2) Il portatile deve supportare: - 802.1x - WPA/WPA2 • driver scheda wireless aggiornati • software SecureW2 (per WPA/WPA2) • autenticazione: certificato digitale personale INFN CA oppure username/passw del Mailserver • login e traffico cifrato • Documentazione: www.bo.infn.it/calcolo/helpdesk/wireless/index.html Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna SSID INFN-Web (1/3) portale Web Last Resort per: 1. dipendenti e associati INFN delle sedi che NON partecipano ancora al progetto TRIP 2. Per chi ha un portatile che non supporta 802.1x 3. Ospiti esterni 4. Meeting/riunioni/conferenze Login cifrato (tramite https), traffico non cifrato Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna SSID INFN-Web (2/3) portale Web Autenticazione: 1. certificato digitale personale installato nel browser 2. username/passw verranno richiesti quando si lancia il browser. Vengono creati ad hoc per ogni ospite da CCL/Ufficio Missioni/Dataweb@LNF: vanno richiesti in anticipo!! • Documentazione: www.bo.infn.it/calcolo/helpdesk/wireless/trip-web.html Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna SSID INFN-Web (3/3) portale Web • • • All’atto della registrazione degli ospiti (Ufficio Missioni) verrà creato automaticamente un account per il portale Web. La registrazione è coordinata con un database centralizzato gestito da LNF/Dataweb ed è valida per tutto l’Ente Ulteriori dettagli durante la presentazione di A.M. Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Migrazione autenticazione: MacAddr2TRIP • La rete Wireless attualmente in uso INFNWL (MAC Address based) è in dismissione • Non verranno più registrati nuovi MAC Address • Gli utenti che ancora la utilizzano DEVONO migrare al sistema TRIP entro il 30 Aprile 2007 Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna HW Wireless per conferenze: • Sistema portatile (pc portatile + APs) • Per riunioni/conferenze fuori sede: – Ambienti con copertura insufficiente – Sedi dotate di una connessione di rete singola • MAC Address Authentication + TRIP www.bo.infn.it/calcolo/netgroup/wireless/doc/sede-esterna/sede-esterna.html Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Nuovo Router-Firewall Juniper ISG2000 • • • Nuovo sistema ACL (filtri): da PERMIT-ALL-BUT a DENY-ALL-BUT Interfaccie di rete in Gb: LAN, GARR, CNAF Possibilità di analisi dei flussi per: - Anomaly Detection,Signature Detection - Intrusion detection and prevention Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna