Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Captive Portal + Radius

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
tropenix



Registrato: 21/04/07 14:27
Messaggi: 10

MessaggioInviato: Sab Apr 21, 2007 2:40 pm    Oggetto: Captive Portal + Radius Rispondi citando

Salve a tutti,
ho istallato zeroshell su una rete con captive portal in route mode e tutto funziona alla perfezione sia su ethernet che su Wireless (attualmente aperta).
Gli access point supportano 802.1x ed ho quindi attivato il Radius su zeroshell con gli shared secret distinti per access point, ma non ho ancora configurato in WPA + PEAP i client Wireless, che quindi entrano attraverso il Captive portal dalla rete wireless.(dai log non vedo alcuna comunicazione tra access point e Radius.)
Domanda:
-se volessi attivare sui client il WPA con PEAP, utilizzando account e password degli user creati su zeroshell, l'autenticazione del captive portal verrebbe bypassata?
-il captive portal potrebbe continuare a funzionare per l'ethernet?
-sui client devo trasferire certificati?

grazie e buon lavoro,
N.T.

(attendo l'aggiornamento per il proxy e l'accounting del captive server)
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Apr 21, 2007 3:55 pm    Oggetto: Rispondi citando

Citazione:

se volessi attivare sui client il WPA con PEAP, utilizzando account e password degli user creati su zeroshell, l'autenticazione del captive portal verrebbe bypassata?

Captive Portal e WPA con 802.1x funzionano parallelamente su layer diversi.
WPA autentica i client già a livello di layer 2 al momento dell'associazione all'Access Point e in più cripta il traffico.
Il captive portal invece agisce sopra il livello IP, quando il client oltre ad essere associato ha ottenuto anche un indirizzo di rete. Esso semplicemente si limita a bloccare il routing verso l'esterno se l'utente non si è ancora autenticaticato con web login. Tutto questo, per dire che le due cose sono indipendenti e possono lavorare contemporaneamente.
Citazione:

il captive portal potrebbe continuare a funzionare per l'ethernet?

Se ho capito bene la tua idea, vuoi lasciare solo WPA Enterprice su Wi-Fi, mentre utilizzare il Captive portal per le connessione Wired dei PC. Se è questo il caso devi usare due schede ethernet distinte nel router Zeroshell:
Su di una scheda colleghi uno switch per gli Access Point, mentre su un'altra colleghi uno switch per le connessioni con filo. Su quest'ultima devi attivare il Captive Portal. Eventualmente se vuoi dare IP della stessa subnet o semplicemente vuoi che che gli host in Wireless comunichino con quelli Wired anche con protocolli non IP e anche in broadcast, come per esempio è necessario per la risoluzione dei nomi Netbios di Windows senza utilizzo di server WINS, puoi mettere le due interfacce di rete in Bridge. In questa maniera ci sarà tra host wired e wifi comunicazione a livello 2.
Citazione:

sui client devo trasferire certificati?

No, la modalità WPA/WPA2 con 802.1x+PEAP prevede il certificato X.509 e la chiave privata solo dal lato server Radius. Se invece vuoi utilizzare i certificati digitali per autenticare gli utenti invece che con username e password, dovresti utilizzare WPA/WPA2 con EAP-TLS.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
tropenix



Registrato: 21/04/07 14:27
Messaggi: 10

MessaggioInviato: Dom Apr 22, 2007 10:10 am    Oggetto: Rispondi citando

No, non posso separare su due schede il traffico perchè gli access point sono collegati a diversi (15) switch che non hanno tutti (forse solo 2 o 3) la funzionalità di vlan.
La rete ethernet ha indirizzi statici, quella wireless accede attraverso il DHCP dello zeroshell con altra classe,naturalmente essendo collegata alla rete switchata, un eventuale PC collegato alla rete con dhcp client raggiunge il server zeroshell e riceve IP ed autenticazione dal Captive portal.
Volevo rendere più sicura la connessione wireless passando a WPA+PEAP (attualmente solo SSID nascosto) in modo da utilizzare account e password registrati già su zeroshell, e mi sta bene il certificato solo lato server radius.
Che ne pensi?

grazie N.T.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Apr 22, 2007 11:25 am    Oggetto: Rispondi citando

Adesso mi è più chiara la situazione.
L'unico inconveniente è che sul wireless avrai sia autenticazione 802.1x con peap che autenticazione via wep captive portal. Oltre ad avere anche cifratura del traffico naturalmente.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
tropenix



Registrato: 21/04/07 14:27
Messaggi: 10

MessaggioInviato: Dom Apr 22, 2007 12:25 pm    Oggetto: Rispondi citando

Quindi, se ho ben capito dopo l'autenticazione a livello 2 (wpa+peap) che però dovrebbe eseguire la connessione in automatico (registrando account e password) ci si dovrà autenticare anche sul captive portal.

grazie N.T. e buon lavoro
Top
Profilo Invia messaggio privato
tropenix



Registrato: 21/04/07 14:27
Messaggi: 10

MessaggioInviato: Mar Mag 01, 2007 11:06 am    Oggetto: Rispondi citando

Caro Fulvio, ho un altro dubbio da chiederti:
Se lo switch a valle dell' access point non supporta 802.1x (è di fascia bassa per es. 24 porte Allied Telesis FS725), l'autenticazione sul radius dello zeroshell è compromessa, oppure funziona lo stesso?
Inoltre il setting dell'802.1x dell'access point (USR 5450) mi permette di impostare encryption key length da 64 a 256 bit oltre port ip e secret, funziona con zeroshell?

grazie N.T.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mag 02, 2007 8:51 pm    Oggetto: Rispondi citando

Ciao,
l'autenticazione 802.1x avviene soltanto sugli switch o accesspoint terminali su cui i supplicant dei client tentano di connettersi.
Pertanto in mezzo puoi avere anche switch che non supportano EAP.
Credo la dimensione della chiave di cifratura cosy come lo schema di encryption vengano negoziati. Dipende poi se il radius server, il nas e il supplicant condividano tale encryption. Non ti resta che provare e farci sapere.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it