1 / 62

Accesso alla rete dei LNF

Accesso alla rete dei LNF. (wireless & wired). Servizio di Calcolo. Presentazione: Massimo Pistoni. Agenda. Ore 14:20: Nuovi metodi d’accesso alla rete Ore 15:10: Dimostrazione pratica Ore 15:30: Applicazione per la gestione degli ospiti

jazlynn
Télécharger la présentation

Accesso alla rete dei LNF

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Accesso alla retedei LNF (wireless & wired) Servizio di Calcolo Presentazione: Massimo Pistoni

  2. Agenda • Ore 14:20: Nuovi metodi d’accesso alla rete • Ore 15:10: Dimostrazione pratica • Ore 15:30: Applicazione per la gestione degli ospiti • Ore 15:50: Modulo web per la registrazione alle conferenze e integrazione con In.Di.Co • Ore 16:00: Dimostrazione pratica Accesso al network dei LNF

  3. Premessa • Il numero dei dipendenti (o associati) dell’INFN che ogni giorno si trovano a dover lavorare in una sede diversa dalla propria è in continua crescita. • Anche il numero di ospiti occasionali (non INFN) che hanno necessita’ di utilizzare l’infrastruttura di networking dell’INFN e’ aumentato molto • Collaborazioni, meetings, seminari, workshop, conferenze, etc. Accesso al network dei LNF

  4. Legge antiterrorismo • Il 16 agosto 2005, il Ministero dell’Interno ha emanato un Decreto che specifica le misure per contrastare il terrorismo internazionale, focalizzandosi sull’identificazione degli utenti che accedono alle reti da postazioni telematiche non vigilate oppure ai quali viene offerta la possibilità di connettersi alla rete Internet attraverso una tecnologia wireless. Accesso al network dei LNF

  5. TRIP (The Roaming INFN Physicist) Working Group CCR per lo studio dei problemi di connettivita’ e mobilita’ • utilizzare i servizi della Struttura ospitante (ad es. le stampanti) • collegarsi alla rete locale e utilizzare da remoto i servizi della struttura di appartenenza; In entrambi i casi e’ necessario fornire le credenziali per autenticarsi ed essere autorizzati all’uso delle infrastrutture (AAI) Accesso al network dei LNF

  6. Infrastruttura attuale RADIUS Server DHCP Server Utenti interni VLAN 192.84.131 Pubblica 200Mbps Verso il GARR Access Point Accesso al network dei LNF

  7. Futura RADIUS Server DHCP Server Utenti interni VLAN 192.84.131 SSID: INFN-dot1x 200Mbps Verso il GARR Access Point Interfaccia del router 3/4 193.205.228.57/28 Web captive portal VLAN 192.168.200 SSID: INFN-Web Interfaccia Inside Server 193.205.228.58/29 Eth0 3T/2 Interfaccia Outside Server 192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) Accesso al network dei LNF

  8. 2 vie di accesso WL • VLAN dedicata agli utenti Wireless INFN: • SSID (annunciato): INFN-dot1x • Network Authentication: WPA • Wi-Fi Protected Access • Data Encription: TKIP • Temporary Key Integrity Protocol • VLAN per gli ospiti occasionali: • SSID (annunciato): INFN-Web • Network Authentication: none • Data Encription: none Accesso al network dei LNF

  9. Metodo 1 • Utile per connettersi alla rete wireless dei LNF da parte di: • utenti wireless LNF • volendo anche da utenti INFN (non LNF) • Utile per gli utenti LNF per connettersi alla rete wireless di altre sedi INFN Accesso al network dei LNF

  10. Metodo 2 • Utile per connettersi alla rete (wired e wireless) dei LNF da parte di: • ospiti occasionali o temporanei • utenti INFN (non LNF) • Utilizzabile dagli utenti LNF in altre sedi INFN Accesso al network dei LNF

  11. Metodo 1 SSID (annunciato): INFN-dot1x Network Authentication: WPA Data Encription: TKIP Accesso al network dei LNF

  12. Autenticazione 802.1x • WPA richiede l’autenticazione attraverso il protocollo standard IEEE 802.1x che usa EAP (Extensible Authentication Protocol) su LAN sia wired che wireless • Lo standard 802.1x non definisce un metodo preciso ma uno schema architetturale nel quale possono essere usate varie metodologie, per questo una delle sue caratteristiche fondamentali è la versatilità. Accesso al network dei LNF

  13. Metodi di autenticazione 802.1x • TLS (Transport Layer Security) • Nativo Windows XP e MacOSX • Autenticazione tramite certificato X.509 • Certificato non proteggibile sul client Windows XP • Praticamente non implementabile su Linux • TTLS (Tunnelled Transport Layer Security): • Autenticazione tramite username e password • Nativo in MAC OSX (versione >= 10.4) • Non e’ nativo in Windows XP • Praticamente non implementabile su Linux Accesso al network dei LNF

  14. Scelto TTLS • Necessaria l’installazione di un client free su Windows XP • Alfa & Ariss: Secure W2 • Linux non e’ supportato • Funziona solo con una particolare scheda WL Intel • Funziona solo con un particolare driver per quella scheda • Autenticazione attraverso Server RADIUS (Remote Access Dial-In User Service) usando: • Realm, Username e password • Es: LNF.INFN.IT, pistoni, <password> Accesso al network dei LNF

  15. 802.1x schema Accesso al network dei LNF

  16. WL net RADIUS Server DHCP Server Proxy RADIUS Utenti interni IP settings EAP/TTLS 802.1x Supplicant VLAN 192.84.131 INFN-dot1x 802.1x WPA TKIP 200Mbps Verso il GARR Interfaccia del router 3/4 193.205.228.57/28 VLAN 192.168.200 INFN-Web Interfaccia Inside Server 193.205.228.58/29 Eth0 3T/2 Interfaccia Outside Server 192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) Accesso al network dei LNF

  17. Metodo 2 SSID (annunciato): INFN-Web Network Authentication: none Data Encription: none Accesso al network dei LNF

  18. Open network • Definendo l’ SSID INFN-Web, la scheda di rete wireless viene associata alla network open non cifrata dedicata agli ospiti occasionali (VLAN INFN-Web) • Automaticamente vengono assegnate da un DHCP tutte le impostazioni IP, sulla network privata 192.168.200.x/24 Accesso al network dei LNF

  19. VLAN INFN-Web (wired) • Nella stessa VLAN INFN-Web verrano necessariamente mappati: • i nodi di rete “wired” il cui MAC Address e’ sconosciuto al Servizio di Calcolo (VLAN di “fall back” del VMPS) • I PC della sala utenti dedicata ai seminari e ai workshop AE T73 (vicina all’aula Touschek) • I PC della biblioteca • I PC dell’Aula didattica Master • A regime i PC delle altre sale utenti saranno utilizzabili esclusivamente dagli utenti interni Accesso al network dei LNF

  20. Captive Portal: TINO • Di fatto pero’ tutta la VLAN INFN-Web e’ dietro ad un Captive Portal che funge da gateway verso la rete pubblica • DHCP server • Firewall • DNAT • Web Server • Authentication via Radius • SNAT Accesso al network dei LNF

  21. Richiesta www Richiesta www (ssl) Net RADIUS Server DHCP Server Proxy RADIUS Utenti interni client Autenticazione VLAN 192.84.131 INFN-dot1x Open: INFN-Web IP settings 200Mbps Verso il GARR Interfaccia del router 3/4 193.205.228.57/28 VLAN 192.168.200 INFN-Web Interfaccia Inside Server 193.205.228.58/29 Eth0 3T/2 Interfaccia Outside Server 192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46 IP settings Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) Accesso al network dei LNF

  22. VPN • Dalla VLAN INFN-Web e’ sempre consigliabile connettersi alla propria sede tramite un VPN concentrator che preveda la cifratura del traffico (GRE, SSL o IPSEC) • Il traffico della VLAN INFN-Web non e’ cifrato ne’ protetto; specialmente quello wireless e’ facilmente “catturabile” Accesso al network dei LNF

  23. Connessione VPN: IPSEC o SSL o GRE Sede VPN Concentrator Traffico in chiaro Switched LAN Server VLAN 192.84.131 INFN-dot1x 200Mbps Verso il GARR Access Point Interfaccia del router 3/4 193.205.228.57/28 VLAN 192.168.200 INFN-Web Interfaccia Inside Server 193.205.228.58/29 Eth0 3T/2 Interfaccia Outside Server 192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) Accesso al network dei LNF

  24. Server RADIUS • Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non gestiti localmente • <none> • lnf.infn.it • LNF.INFN.IT • K5.LNF.INFN.IT Accesso al network dei LNF

  25. RADIUS (schema) Accesso al network dei LNF

  26. Infrastruttura RADIUS INFN al 12 dicembre 2006 Radius centrale EDU Roam Tutto dovrebbe essere Pronto entro i primi mesi del 2007 INFN Radius Bo Radius CNAF Radius Fe Radius Fi Radius Ge Radius Le Radius LNF Radius LNL Radius LNS Radius MiB Radius Pv Radius Pi Radius Roma1 Radius To Radius altre sedi Accesso al network dei LNF

  27. Unix PAM Windows Domain VPN Concentrator Web applications Sistema Informativo Autenticazione ai LNF Active Directory passwd/ shadow AFS Kerberos4 PKI X.509 DB MySQL Kerberos5 DB Oracle (WinKrb5/ LDAP) Accesso al network dei LNF

  28. Accesso alla rete VPN Concentrator Autenticazione Radius ai LNF Radius Server Flat files Ospiti Utenti PAM PKI X.509 Kerberos5 AFS Kerberos4 Accesso al network dei LNF

  29. Sistemi / applicazioni Accesso alla rete / VPN Concentrator Windows Domain Radius Server Unix PAM LDAP Server Web Applications Active Directory passwd/ shadow AFS Kerberos4 PKI X.509 DB MySQL Kerberos5 (WinKrb5/ LDAP) AFS Kerberos5 PKI X.509 Autenticazione ai LNF (futura) Accesso al network dei LNF

  30. Server RADIUS • Per l’autenticazione il Radius server dei LNF a sua volta puo’ usare: • EAP / TLS (tramite certificato digitale) • File locale (users file) • O delegare: • Kerberos 5 • PAM  AFS/Kerberos 4 Accesso al network dei LNF

  31. FreeRadius config file: users root Auth-Type := Reject #---------------------------------------------------------------------------------------------------------- DEFAULT Auth-Type := Reject, EAP-Type == EAP-TLS #DEFAULT Auth-Type = EAP, Prefix =~ " " #---------------------------------------------------------------------------------------------------------- DEFAULT Auth-Type = PAM, Suffix =~ "@lnf\\.infn\\.it$" DEFAULT Auth-Type = PAM, Suffix =~ "@LNF\\.INFN\\.IT$" DEFAULT Auth-Type = Kerberos, Suffix =~ "@K5\\.LNF\\.INFN\\.IT$" DEFAULT Auth-Type := Reject, Suffix =~ “@”, Suffix !~ “@(.+\\.|)(infn\\.it|INFN\\.IT)$" DEFAULT Auth-Type := Reject, Client-IP-Address == "193.206.84.7", Suffix =~ "@" DEFAULT Auth-Type = PAM, Prefix !~ "\\." DEFAULT Auth-Type = PAM, Client-IP-Address != "193.205.228.58" $INCLUDE users.guests Web Captive Portal VPN Concentrator Accesso al network dei LNF

  32. FreeRadius crontab A crontab sul radius server ogni 10-15 minuti: ( Esempio: */10 * * * * /usr/custom/bin/GOsync.sh ) #!/bin/bash #! cp -p /usr/custom/freeradius/etc/raddb/users.guests /usr/custom/freeradius/etc/raddb/users.guests.sav /usr/bin/wget \ -o /tmp/GOsync.log \ --output-document=/usr/custom/freeradius/etc/raddb/users.guests \ --no-check-certificate \ --no-proxy \ --post-data='USER=lnf&PASS=<password>' \ https://sisinfo2.lnf.infn.it:8443/GOWebApp/GetAccessService if [ $? != 0 ]; then echo -e "\nError doing WGET!!!\n" cat /tmp/GOsync.log exit 1 else chown radiusd:radiusd /usr/custom/freeradius/etc/raddb/users.guests diff -q /usr/custom/freeradius/etc/raddb/users.guests /usr/custom/freeradius/etc/raddb/users.guests.sav > /dev/null if [ $? != 0 ]; then /etc/init.d/radiusd restart >> /tmp/GOsync.log 2>&1 if [ $? != 0 ]; then echo -e "\nError restarting RADIUSD!!!\n" cat /tmp/GOsync.log exit 1 fi fi fi (wget versione 1.10.2) Accesso al network dei LNF

  33. FreeRadius config file: users.guests Si ottiene il file users.guests del tipo # # File degli utenti ospiti occasionali: users.guests # Generato automaticamente dalla web application GOWebApp # by Bisegni Claudio & Passarelli Antonino # claudio.bisegni User-Password == “asgphs7k" antonino.passarelli User-Password == “yus12ghw“ Accesso al network dei LNF

  34. Credenziali Con le stesse credenziali (Kerberos/AFS) gia’ in dotazione agli utenti LNF, del tipo: <Username>@lnf.infn.it <Password> si ottiene: • l’accesso ai servizi di rete attraverso il Web Captive Portal (Tino) • l’accesso ai servizi di rete 802.1x (SSID: INFN-dot1x) • l’accesso in VPN (rete privata virtuale) alla rete dei LNF Accesso al network dei LNF

  35. Matrice di autenticazione Accesso al network dei LNF

  36. Documentazione http://www.lnf.infn.it/computing/networking/TRIP/ • Accesso alla rete wired • Accesso alla rete tramite il captive portal (Tino) [comunicazione non cifrata] • Doc lingua inglese • Doc lingua italiana • Accesso alla rete wireless “interna” (doc lingua italiana) tramite 802.1x [comunicazione cifrata] • piattaforma Windows XP (ENG) SP1 • piattaforma Windows XP (ITA) SP2 • piattaforma Apple MAC OSX (ENG) Accesso al network dei LNF

  37. Aspetti legali • Un working group della CCR di nome Harmony ha preparato dei documenti che sintetizzano le norme di uso dei mezzi informatici nel rispetto delle leggi, sia per i sistemisti che per gli utenti http://www.lnf.infn.it/computing/regolamento/ • Non esiste riferimento al progetto TRIP e alla legge antiterrorismo Accesso al network dei LNF

  38. Legge antiterrorismo • La legge antiterrorismo impone la rintracciabilita’ e l’identificazione degli utenti che accedono alle reti e l’immagazzinamento dei documenti personali di riconoscimento scannerizzati e digitalizzati • Cambiera’ il criterio di creazione delle username sui sistemi centrali • Dipendenti, associati, borsisti, etc • Persone conosciute agli atti della Direzione Accesso al network dei LNF

  39. Log degli accessi • Serve necessariamente l’archiviazione e il salvataggio a lungo periodo dei log: • Log di accesso ai sistemi • Log di accesso al network • log di autenticazione e di autorizzazione RADIUS • Log del Web Captive Portal Accesso al network dei LNF

  40. Database degli ospiti • E’ stato opportunamente costruito un DB (Oracle) di nome GO: • Installato centralmente ai LNF sulle macchine del Sistema Informativo • Ad uso nazionale per tutto l’INFN • per contenere • Tutti gli ospiti, le relative generalita’ e i relativi documenti personali scannerizzati e digitalizzati • Le istituzioni di appartenenza • relativi diritti di accesso differenziati per sede INFN • Accessibile via rete con applicazione Java a 3 livelli elaborata da C. Bisegni e A. Passarelli Accesso al network dei LNF

  41. Data dell’implementazione 9 marzo 2007 Proposte e/o domande? Accesso al network dei LNF

  42. Fine prima partePrevista Demo Accesso al network dei LNF

  43. Gestione Ospiti Servizio di Calcolo Presentazione: Claudio Bisegni

  44. Applicazione Gestione Ospiti • Molto user friendly e’ rivolta al personale di segreteria per la ricerca e l’inserimento di nuove istituzioni, di nuovi ospiti, di nuovi accessi nel DB. • L’applicazione genera automaticamente la username e la password con cui l’ospite potra’ accedere ai servizi di rete • Crea automatica la “Guest Card” con gli estremi per il collegamento Accesso al network dei LNF

  45. Sincronizzazione con RADIUS • Il Radius Server effettua la sincronizza-zione del suo users file delle autentica-zioni con i dati inseriti nel DB GO • Una volta modificata un’autorizzazione di accesso per un dato ospite nel DB GO, tale informazione sara’ propagata e operativa (per l’accesso alla rete) entro 10 minuti massimi Accesso al network dei LNF

  46. Conferenze, workshop, seminari,... • Tuttavia e’ consigliabile prepararsi con anticipo il lavoro, in occasione di conferenze con grande affluenza di partecipanti “ospiti” • Potrebbe essere di grande aiuto una eventuale form web di registrazione per l’evento, in cui venga richiesto l’upload del documento di identita’ scannerizzato e digitalizzato su file, in formato “jpeg”. Accesso al network dei LNF

  47. Interfaccia Utente Login Creazione Istituzione Accesso al network dei LNF

  48. Interfaccia Utente Ricerca Anagrafica E Accessi Accesso al network dei LNF

  49. Interfaccia Utente Inserimento / Modifica Anagrafica ospite Accesso al network dei LNF

  50. Interfaccia Utente Inserimento / Modifica Anagrafica ospite Accesso al network dei LNF

More Related