Upload
nilda-capelli
View
218
Download
3
Tags:
Embed Size (px)
Citation preview
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Wireless Authentication
Franco Brasolin
Servizio di Calcolo e Reti
Sezione INFN di Bologna
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Autenticazione: MAC Address fino ad oggi: MAC Address based
– poco sicuro (MAC ADDRESS Spoofing)– il traffico non è cifrato– richiede intervento manuale di CCL per la gestione dei MAC Address (registrazione, pulizia, scadenze...)
– IN DISMISSIONE!!!!!NB: l’autenticazione MAC Address Based continuerà
a funzionare per i collegamenti WIRED dei portatili!!
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Autenticazione: TRIP Nuovo sistema GIÀ in funzione (The Roaming INFN Physicist)
– permette ai dipendenti ed associati INFN di accedere alle reti wireless con le stesse modalità in tutte le sedi INFN senza ulteriore registrazione (al momento: BO, CNAF, FE, FI, GE, LE, TS)– più sicuro: il traffico è cifrato (con rotazione automatica delle chiavi)– NON richiede intervento manuale dei Servizi di Calcolo nelle sedi INFN
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-dot1x (1/2) L’autenticazione è demandata alle sedi di
provenienza tramite una rete di proxy radius.Per gli utenti della Sezione di Bologna:
1. Certificato digitale personale INFN-CA
2. Username/password del MailServer
NB1: è fondamentale utilizzare driver aggiornati
per le schede wireless dei portatili!!
(seguire le nostre istruzioni su web)
NB2: Windows VISTA al momento non è supportato
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-dot1x (2/2) Il portatile deve supportare:
- 802.1x
- WPA/WPA2• driver scheda wireless aggiornati• software SecureW2 (per WPA/WPA2)• autenticazione: certificato digitale personale INFN CA
oppure username/passw del Mailserver • login e traffico cifrato• Documentazione:
www.bo.infn.it/calcolo/helpdesk/wireless/index.html
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (1/3)portale Web
Last Resort per:1. dipendenti e associati INFN delle sedi che NON
partecipano ancora al progetto TRIP
2. Per chi ha un portatile che non supporta 802.1x
3. Ospiti esterni
4. Meeting/riunioni/conferenze
Login cifrato (tramite https), traffico non cifrato
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (2/3)portale Web
Autenticazione:
1. certificato digitale personale installato nel browser
2. username/passw verranno richiesti quando si lancia il browser. Vengono creati ad hoc per ogni ospite da CCL/Ufficio Missioni/Dataweb@LNF: vanno richiesti in anticipo!!
• Documentazione:
www.bo.infn.it/calcolo/helpdesk/wireless/trip-web.html
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
SSID INFN-Web (3/3)portale Web
• All’atto della registrazione degli ospiti (Ufficio Missioni) verrà creato automaticamente un
account per il portale Web.• La registrazione è coordinata con un database
centralizzato gestito da LNF/Dataweb ed è valida per tutto l’Ente
• Ulteriori dettagli durante la presentazione di A.M.
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Migrazione autenticazione: MacAddr2TRIP
• La rete Wireless attualmente in uso INFNWL (MAC Address based) è in dismissione
• Non verranno più registrati nuovi MAC Address
• Gli utenti che ancora la utilizzano DEVONO migrare al sistema TRIP entro il 30 Aprile 2007
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
HW Wireless per conferenze:
• Sistema portatile (pc portatile + APs)
• Per riunioni/conferenze fuori sede:– Ambienti con copertura insufficiente– Sedi dotate di una connessione di rete singola
• MAC Address Authentication + TRIP
www.bo.infn.it/calcolo/netgroup/wireless/doc/sede-esterna/sede-esterna.html
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Meeting Referenti Informatici – Bologna 28 Febbraio 2007
Franco Brasolin – Sezione INFN Bologna
Nuovo Router-FirewallJuniper ISG2000
• Nuovo sistema ACL (filtri):
da PERMIT-ALL-BUT a DENY-ALL-BUT
• Interfaccie di rete in Gb: LAN, GARR, CNAF
• Possibilità di analisi dei flussi per:
- Anomaly Detection,Signature Detection
- Intrusion detection and prevention