Commessa:
HotSpot Wi-Fi
Carotenuto Raffaele
Distante Federico
Picaro Luigi
Indice
Overview
 Scelte effettuate

 Risorse
Hardware
 Software
Strumenti di supporto
 Radius server
 I CaptivePortal

 Configurazione

Accesso alla rete
Overview (1)

Dettagli Commessa:
COMMITTENTE
Aereoporti Internazionali Salernitani SpA Resp. settore
telematico: Dott. Matteo de Matteis Sede legale: Piazza
Sedile di Campo 84100 Salerno
COMMESSA
Realizzazione di una wi-fi area per l'aereoporto
internazionale di Salerno
DESCRIZIONE
 Si richede l'istallazione e la messa in funzione di un wifi point per una saletta dell'aereoporto. L'access point
consente l'accesso solo agli utenti registrati.
 Si richiede anche la realizzazione di una applicazione
WEB in cui gli utenti possono essere registrati e
rimossi.
COSA OCCORRE Registrazione del dominio "servizi.salernoflies.org",
richiesta ed ottenimento dei certificati digitali necessari
alle transazioni sicure
Overview (2)

Topologia della rete adottata per
l’implementazione del servizio di HotSpot
NIC
Guest
Access Point
Guest
KGB
hub
Guest
Isp1
Isp2
CA
Risorse Hardware
Un terminale server che faccia da gateway
tra le due sottoreti
 Un AccessPoint 3Com OfficeConnect
Wireless 11a/b/g
 Un terminale dotato di scheda wireless
che si comporti da client dell’HotSpot

Scelte software (1)

Apache 1.3.27
 mod_perl:
modulo necessario per utilizzare
uno script perl in apache
 mod_ssl: modulo necessario per fornire la
crittografia forte per il server apache

DBMS: MySql 5.0.22
 Archiviazione
dei dati relativi all’accounting e
all’authoring dei client
 Ottima integrazione con Freeradius
Scelte software (2)

FreeRadius 1.1.2

RADIUS (Remote Access Dial-In User Service) è un protocollo AAA
(authentication, authorization, accounting) utilizzato in applicazioni di accesso alle
reti o di mobilità IP. RADIUS è attualmente lo standard de-facto per
l’autenticazione remota. I Protocolli supportati per l’autenticazione EAP(EAP-TLS,
EAP-TTLS, EAP-PEAP), MS-CHAP, MS-CHAPv2
Scelte software (3)

I numeri riportati in figura illustrano il processo di accesso alla rete, che verrà
descritto in dettaglio nella procedura riportata di seguito:






1.Il client senza fili deve, in un determinato punto, definire le credenziali con
un'autorità centrale prima di stabilire l'accesso di rete senza fili. Questa
operazione può essere eseguita mediante alcuni strumenti fuori banda, ad
esempio un disco floppy oppure una rete cablata o altra rete protetta.
2.Quando il client richiede un accesso di rete, questo passa le credenziali (o, più
precisamente, mostra di possedere le credenziali) al punto di accesso senza fili, il
quale le passerà a sua volta al servizio RADIUS per richiedere l'autorizzazione.
3.Il servizio RADIUS controlla le credenziali, consulta i relativi criteri di accesso e
garantisce o nega l'autorizzazione al client.
4.Se il client ha ottenuto l'autorizzazione, gli sarà consentito di accedere alla rete
e quindi di scambiare in modo protetto le chiavi di crittografia con il punto di
accesso senza fili. Queste chiavi vengono attualmente generate dal servizio
RADIUS e trasmesse al punto di accesso senza fili su un canale protetto. Se il
client, invece, non ha ottenuto l'autorizzazione da parte del servizio RADIUS,
l'accesso gli verrà negato e quindi non potrà stabilire ulteriori comunicazioni.
5.Utilizzando le chiavi di crittografia, il client e il punto di accesso senza fili
stabiliscono una connessione protetta sul collegamento senza fili e quindi viene
stabilita una connettività tra il client e la rete interna.
6.Il client inizia a comunicare con le periferiche sulla rete interna.
Scelte software (4)

Captive Portal:
 Interfaccia
tra i client e il server radius che
permette la registrazione di un nuovo account
e l’authenticazione per l’accesso alla wireless
 Accesso tramite browser in modo da rendere
trasparente la modalità di autenticazione

Modalità “catch & release”: quando un utente non
autorizzato tenta di accedere alla rete, la sua
richiesta viene indirizzata all’authentication server
che reindirizza l’utente ad una pagina web di
autenticazione
Scelte software (5)

Captive Portal:
 Interfaccia
tra i client e il server radius che
permette la registrazione di un nuovo account
e l’authenticazione per l’accesso alla wireless
 Accesso tramite browser in modo da rendere
trasparente la modalità di autenticazione

Modalità “catch & release”: quando un utente non
autorizzato tenta di accedere alla rete, la sua
richiesta viene indirizzata all’authentication server
che reindirizza l’utente ad una pagina web di
autenticazione
Scelte software (6)

NoCat:
 Architettura
costituita da due applicazioni: gateway e
authserv



Gateway: si occupa della gestione delle connessioni degli
utenti aggiungendo in modo dinamico regole di routing su
iptables per l’assegnamento di un nuovo IP in DHCP
Authserv: si occupa dell’autenticazione dei singoli utenti
interrogando il radius server
Chillispot:
 Si
occupa sia della funzione gateway che della
funzione di authserv in maniera integrata
Configurazione (1)

Configurazione FreeRadius:
I
files utilizzati per la nostra configurazione
sono stati radiusd.conf, clients.conf, sql.conf.

Radiusd.conf contiene le direttive di configurazione
del server radius e ha questa struttura:
modules{}
authorize{}
authenticate{}
accountig{}

Nella sezione modules vengono definiti i singoli
moduli utilizzati nelle sezioni di autorizzazione, di
autenticazione e di accounting
Configurazione (2)

Il file clients.conf contiene le informazioni inerenti i
client. Lo schema di configurazione utilizzato è
stato il seguente:
client 192.168.0.0/24 {
secret = testing123
shortname = SR2WL
nastype = other
}

I client che tentando di accedere devono avere le
credenziali richieste nella sezione
Configurazione (3)

Configurazione Chillispot:

Il file chillispot.conf:
net 192.168.2.0/24
Dns1 ns1.nic.org
domain nic.org
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret radiussecret
radiuslocationid isocc=it,cc=39,ac=41,network=SR2WL
radiuslocationname Nic Team
dhcpif1 eth1
uamserver https://servizi.salernoflies.org/cgi-bin/hotspotlogin.cgi
uamsecret uamsecret
uamlisten 192.168.2.1
Accesso alla rete

La seguente guida di riferimento è per gli utenti esterni ospiti della sezione che
utilizzino un sistema operativo o un applicativo di gestione WiFi che non supporta o
supporta soltanto in parte il protocollo di autenticazione 802.1X. L’utente che vuole
connettersi, deve:
1.
2.
3.
4.
5.
6.

Configurare il proprio sistema in modo che utilizzi un tipo di Network Authentication
Open e a non utilizzare nessun tipo di encryption dei dati. Specificare
successivamente SR2WL come SSID nelle proprietà della connessione wireless.
Aprire un browser web in maniera tale che venga redirezionato su una pagina di
default.
Cliccare su login se l’utente risulta essere già iscritto oppure andare alla pagina di
registrazione. In maniera alternativa, se in possesso di un certificato idoneo, può
accedere alla rete senza inserire login e password.
Effettuata l'autenticazione si ha accesso alla rete.
Nella pagina che notifica l’avvenuta autenticazione, l’utente può scaricare un
certificato personalizzato per accedere alle pagine web che intende visitare in
maniera sicura.
Per chiudere la sessione cliccare sul tasto di logout.
In maniera alternativa è possibile utilizzare un tipo di Network Authentication
Restricted e obbligare gli utenti a fornire le proprie credenziali utilizzando il
protocollo EAP.
Scarica

commessa n.1 - Sicurezza su reti 2