Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Wireless Authentication Franco Brasolin Servizio di Calcolo

Meeting Referenti Informatici – Bologna 28 Febbraio 2007

Franco Brasolin – Sezione INFN Bologna

Wireless Authentication

Franco Brasolin

Servizio di Calcolo e Reti

Sezione INFN di Bologna



Autenticazione: MAC Address fino ad oggi: MAC Address based

– poco sicuro (MAC ADDRESS Spoofing)– il traffico non è cifrato– richiede intervento manuale di CCL per la gestione dei MAC Address (registrazione, pulizia, scadenze...)

– IN DISMISSIONE!!!!!NB: l’autenticazione MAC Address Based continuerà

a funzionare per i collegamenti WIRED dei portatili!!



Autenticazione: TRIP Nuovo sistema GIÀ in funzione (The Roaming INFN Physicist)

– permette ai dipendenti ed associati INFN di accedere alle reti wireless con le stesse modalità in tutte le sedi INFN senza ulteriore registrazione (al momento: BO, CNAF, FE, FI, GE, LE, TS)– più sicuro: il traffico è cifrato (con rotazione automatica delle chiavi)– NON richiede intervento manuale dei Servizi di Calcolo nelle sedi INFN



SSID INFN-dot1x (1/2) L’autenticazione è demandata alle sedi di

provenienza tramite una rete di proxy radius.Per gli utenti della Sezione di Bologna:

1. Certificato digitale personale INFN-CA

2. Username/password del MailServer

NB1: è fondamentale utilizzare driver aggiornati

per le schede wireless dei portatili!!

(seguire le nostre istruzioni su web)

NB2: Windows VISTA al momento non è supportato



SSID INFN-dot1x (2/2) Il portatile deve supportare:

- 802.1x

- WPA/WPA2• driver scheda wireless aggiornati• software SecureW2 (per WPA/WPA2)• autenticazione: certificato digitale personale INFN CA

oppure username/passw del Mailserver • login e traffico cifrato• Documentazione:

www.bo.infn.it/calcolo/helpdesk/wireless/index.html



SSID INFN-Web (1/3)portale Web

Last Resort per:1. dipendenti e associati INFN delle sedi che NON

partecipano ancora al progetto TRIP

2. Per chi ha un portatile che non supporta 802.1x

3. Ospiti esterni

4. Meeting/riunioni/conferenze

Login cifrato (tramite https), traffico non cifrato




Autenticazione:

1. certificato digitale personale installato nel browser

2. username/passw verranno richiesti quando si lancia il browser. Vengono creati ad hoc per ogni ospite da CCL/Ufficio Missioni/Dataweb@LNF: vanno richiesti in anticipo!!

• Documentazione:

www.bo.infn.it/calcolo/helpdesk/wireless/trip-web.html




• All’atto della registrazione degli ospiti (Ufficio Missioni) verrà creato automaticamente un

account per il portale Web.• La registrazione è coordinata con un database

centralizzato gestito da LNF/Dataweb ed è valida per tutto l’Ente

• Ulteriori dettagli durante la presentazione di A.M.



Migrazione autenticazione: MacAddr2TRIP

• La rete Wireless attualmente in uso INFNWL (MAC Address based) è in dismissione

• Non verranno più registrati nuovi MAC Address

• Gli utenti che ancora la utilizzano DEVONO migrare al sistema TRIP entro il 30 Aprile 2007



HW Wireless per conferenze:

• Sistema portatile (pc portatile + APs)

• Per riunioni/conferenze fuori sede:– Ambienti con copertura insufficiente– Sedi dotate di una connessione di rete singola

• MAC Address Authentication + TRIP

www.bo.infn.it/calcolo/netgroup/wireless/doc/sede-esterna/sede-esterna.html





Nuovo Router-FirewallJuniper ISG2000

• Nuovo sistema ACL (filtri):

da PERMIT-ALL-BUT a DENY-ALL-BUT

• Interfaccie di rete in Gb: LAN, GARR, CNAF

• Possibilità di analisi dei flussi per:

- Anomaly Detection,Signature Detection

- Intrusion detection and prevention

Documents

Meeting Referenti Informatici – Bologna 28 Febbraio 2007 Franco Brasolin – Sezione INFN Bologna Wireless Authentication Franco Brasolin Servizio di Calcolo