Wireless
Authentication
Franco Brasolin
Servizio di Calcolo e Reti
Sezione INFN di Bologna
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Autenticazione: MAC Address
fino ad oggi: MAC Address based
– poco sicuro (MAC ADDRESS Spoofing)
– il traffico non è cifrato
– richiede intervento manuale di CCL per la gestione
dei MAC Address (registrazione, pulizia, scadenze...)
– IN
DISMISSIONE!!!!!
NB: l’autenticazione MAC Address Based continuerà
a funzionare per i collegamenti WIRED dei portatili!!
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Autenticazione: TRIP
Nuovo sistema GIÀ in funzione (The Roaming INFN Physicist)
– permette ai dipendenti ed associati INFN di
accedere alle reti wireless con le stesse modalità in
tutte le sedi INFN senza ulteriore registrazione (al
momento: BO, CNAF, FE, FI, GE, LE, TS)
– più sicuro: il traffico è cifrato (con rotazione
automatica delle chiavi)
– NON richiede intervento manuale dei Servizi di
Calcolo nelle sedi INFN
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-dot1x (1/2)
L’autenticazione è demandata alle sedi di
provenienza tramite una rete di proxy radius.
Per gli utenti della Sezione di Bologna:
1. Certificato digitale personale INFN-CA
2. Username/password del MailServer
NB1: è fondamentale utilizzare driver aggiornati
per le schede wireless dei portatili!!
(seguire le nostre istruzioni su web)
NB2: Windows VISTA al momento non è supportato
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-dot1x (2/2)
Il portatile deve supportare:
- 802.1x
- WPA/WPA2
• driver scheda wireless aggiornati
• software SecureW2 (per WPA/WPA2)
• autenticazione: certificato digitale personale INFN CA
oppure username/passw del Mailserver
• login e traffico cifrato
• Documentazione:
www.bo.infn.it/calcolo/helpdesk/wireless/index.html
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (1/3)
portale Web
Last Resort per:
1. dipendenti e associati INFN delle sedi che NON
partecipano ancora al progetto TRIP
2. Per chi ha un portatile che non supporta 802.1x
3. Ospiti esterni
4. Meeting/riunioni/conferenze
Login cifrato (tramite https), traffico non cifrato
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (2/3)
portale Web
Autenticazione:
1. certificato digitale personale installato nel browser
2. username/passw verranno richiesti quando si lancia
il browser. Vengono creati ad hoc per ogni ospite da
CCL/Ufficio Missioni/Dataweb@LNF: vanno
richiesti in anticipo!!
• Documentazione:
www.bo.infn.it/calcolo/helpdesk/wireless/trip-web.html
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (3/3)
portale Web
•
•
•
All’atto della registrazione degli ospiti (Ufficio
Missioni) verrà creato automaticamente un
account per il portale Web.
La registrazione è coordinata con un database
centralizzato gestito da LNF/Dataweb ed è valida
per tutto l’Ente
Ulteriori dettagli durante la presentazione di A.M.
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Migrazione autenticazione:
MacAddr2TRIP
• La rete Wireless attualmente in uso
INFNWL (MAC Address based) è in
dismissione
• Non verranno più registrati nuovi MAC
Address
• Gli utenti che ancora la utilizzano
DEVONO migrare al sistema TRIP
entro il 30 Aprile 2007
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
HW Wireless per conferenze:
• Sistema portatile (pc portatile + APs)
• Per riunioni/conferenze fuori sede:
– Ambienti con copertura insufficiente
– Sedi dotate di una connessione di rete singola
• MAC Address Authentication + TRIP
www.bo.infn.it/calcolo/netgroup/wireless/doc/sede-esterna/sede-esterna.html
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Nuovo Router-Firewall
Juniper ISG2000
•
•
•
Nuovo sistema ACL (filtri):
da PERMIT-ALL-BUT a DENY-ALL-BUT
Interfaccie di rete in Gb: LAN, GARR, CNAF
Possibilità di analisi dei flussi per:
- Anomaly Detection,Signature Detection
- Intrusion detection and prevention
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna