Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

NAS-IP-Address (attributo 4) da parte del CaptivePortal

 
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG
Precedente :: Successivo  
Autore Messaggio
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Ven Gen 30, 2009 10:49 am    Oggetto: NAS-IP-Address (attributo 4) da parte del CaptivePortal Rispondi citando

Caro Fulvio,
abbiamo necessità di discriminare diversi CaptivePortal (realizzati con ZeroShell) in base all'indirizzo IP, o meglio in base all'attributo n°4 nella Access-Request RADIUS.
Il server radius è ESTERNO (Cisco ACS4.1) e perciò zs è in modalità proxy.
Il problema sorge quando l'ACS discrimina i vari NAS ZeroShell SOLO in base all'attributo NAS-IP-Address che per ZeroShell è posto SEMPRE a 255.255.255.255.
La "colpa" non è del server RADIUS di ZeroShell (usato in modalità proxy) ma bensì del NAS "interno" al CaptivePortal che manda appunto questo attributo. Abbiamo infatti fatto dei test con un NAS 802.1x esterno (access-point, in realtà uno switch con porte 802.1x) e abbiamo constatato che il proxy radius di ZeroShell effettivamente "proxa" bene le richieste del NAS esterno (dandoci proprio l'IP corretto di tale NAS esterno)). Al contrario, per quanto riguarda il CaptivePortal le richieste hanno sempre "255.255.255.255". A noi occorrerebbe che il CaptivePortal inviasse il corretto ip address nel campo NAS-IP-Address (o che fosse perlomeno configurabile in base all'interfaccia che poi comunicherà con il radius esterno ACS).

E' possibile configurare tale attributo?
Magari con uno script di avvio?
Grazie,
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Gen 31, 2009 8:26 am    Oggetto: Rispondi citando

Devo indagare su questo, ma intanto fammi sapere se il captive portal lo avete configurato per fare delle semplici richieste con PAP o le piu' sicure EAP-TTLS+PAP e PEAP+MS-ChapV2.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Lun Feb 02, 2009 9:39 am    Oggetto: Rispondi citando

fulvio ha scritto:
Devo indagare su questo, ma intanto fammi sapere se il captive portal lo avete configurato per fare delle semplici richieste con PAP o le piu' sicure EAP-TTLS+PAP e PEAP+MS-ChapV2.

Usiamo solo PAP. Questo poiché siamo costretti ad autenticare gli utenti anche su un server LDAP, oltreché su un server AD e su utenti locali dell'ACS. In pratica sull'ACS Cisco convergono più utenze (docenti, studenti) che vorremmo autorizzare/non autorizzare in base alla posizione geografica (es. in aule magne solo docenti alla lavagna, nelle sedi remote docenti + studenti) e per far questo abbiamo attivato diversi ZeroShell per diverse VLAN. Ma nel server radius ACS tutti questi ZeroShell appaiono con indirizzo "255.255.255.255" che proviene appunto dall'attributo 4 spedito dal CaptivePortal. L'ACS permette di differenziare grupppi, utenti in base solo a questo paramentro e non meramente in base all'indirizzo IP da cui proviene la richiesta radius. Chiaramente se tu correggessi questo comportamento, dovresti anche permettere di specificare da quale ip dell'apparato zeroshell far provenire le richieste radius. Nel nostro caso usiamo sempre le Soekris 5501-70 che hanno ben 4 interfacce, che potenzialmente possono avere un loro indirizzo ip. Andrebbe bene una cosa del tipo, detta a parole: "l'ip dell'interfaccia che giace sulla subnet per la quale è specificato il default gateway dell'apparato", ma anche una assegnazione manuale & statica va bene.
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Lun Feb 02, 2009 10:28 am    Oggetto: Sicurezza tra CaptivePortal e radius Rispondi citando

fulvio ha scritto:
Devo indagare su questo, ma intanto fammi sapere se il captive portal lo avete configurato per fare delle semplici richieste con PAP o le piu' sicure EAP-TTLS+PAP e PEAP+MS-ChapV2.

Premetto che è un campo in cui cerco ancora di capirci qualcosa, comunque a noi andrebbe benissimo, in alternativa se il CaptivePortal facesse le richieste radius in "PEAPv1/EAP-GTC".
Il dialogo tra NAS (CaptivePortal di ZeroShell) e server RADIUS (ACS Cisco) attualmente lo dobbiamo tenere "in chiaro", portandolo a GTC si sanerebbe questo potenziale buco di sicurezza.
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Lun Feb 02, 2009 11:58 am    Oggetto: Re: Sicurezza tra CaptivePortal e radius Rispondi citando

cicciopasticcio ha scritto:
Il dialogo tra NAS (CaptivePortal di ZeroShell) e server RADIUS (ACS Cisco) attualmente lo dobbiamo tenere "in chiaro", portandolo a GTC si sanerebbe questo potenziale buco di sicurezza.

Mi correggo (è vero che ne so qualcosa, ma non tutto), PAP non prevede la password in chiaro, è semplicemente meno sicuro. In chiaro passa lo username e la pw è hash-ata in md5.
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Mer Mar 04, 2009 1:49 pm    Oggetto: Attributo n° 4 ? Rispondi citando

Mi scuso, ma attendo ancora delle delucidazioni su come settare manualmente l'attributo 4 del CaptivePortal, in modo che sia posto uguale all'ip che va a comunicare con il vero server radius (esterno, in modalità proxy).
Ad adesso tale attributo è posto di default a 255.255.255.255 rendendo indistinguibili (da parte di Cisco ACS 4.1) i vari apparati ZeroShell e impedendoci di attuare politiche di accesso differenziate.
Chiedo scusa ancora per il disturbo e ringrazio per l'attenzione rivoltaci.
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it