Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Autenticatore Wireless

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Ven Apr 02, 2010 8:42 am    Oggetto: Autenticatore Wireless Rispondi citando

Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Apr 02, 2010 9:19 am    Oggetto: Re: Autenticatore Wireless Rispondi citando

Fabero ha scritto:
A questo punto, posso condividere i certificati, per la connessione, come indicato nella guida, alle pagine 9-10-11?

Ma tutto questo, come concilia col fatto di avere un DHCP!??! Devo per almeno il primo collegamento, impostare un IP statico al computer, perchè altrimenti come si collega a fare la convalida?

Questo perchè, così oltre ad avere una verifica tramite mac address, dei client collegati, posso avere un "check-point" anche con certificato..

Non sarebbe affatto male...

IIRC il certificato che l'utente vede e deve riconoscere è quello di ZS, non degli AP. Quindi con un solo server ZS ti serve un solo certificato riconducibile ad una root CA per evitare richieste di conferma, anche se hai decine di AP. L'AP infatti si limita ad "incanalare" la richiesta di autenticazione verso il server.
In questa fase (fino ad autenticazione avvenuta) è come se il client fosse su un cavo ethernet collegato al solo server RADIUS (e qui passano solo trame Ethernet: indirizzamento per MAC address, niente IP). Solo quando il server comunica all'AP che il tale client è autenticato, il "cavo" viene messo sulla rete normale, dove può finalmente ottenere un indirizzo dal DHCP.
Non hai quindi nessun bisogno di assegnare IP statici ai client. Solo a ZS ed agli AP.
Spero di averti chiarito il dubbio.
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Ven Apr 02, 2010 10:52 am    Oggetto: Re: Autenticatore Wireless Rispondi citando

Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Mer Apr 07, 2010 1:32 pm    Oggetto: Re: Autenticatore Wireless Rispondi citando

UP, nessuno ha fatto tale tipo di configurazione?
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Mer Apr 07, 2010 7:52 pm    Oggetto: Rispondi citando

Guarda, se nel fine settimana mi mandi una mail per ricordarmi, posso provare a fare un test con una macchina che ho a casa.
Top
Profilo Invia messaggio privato Invia e-mail
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Gio Apr 08, 2010 8:09 am    Oggetto: Rispondi citando

Francesco Steno ha scritto:
Guarda, se nel fine settimana mi mandi una mail per ricordarmi, posso provare a fare un test con una macchina che ho a casa.


Grazie francesco, ma non volevo arrivare a scomodare nessuno in tal senso..

Era per capire se stessi vaneggiando, oppure se quel che pensavo poteva avere un fondamento reale, e quindi come "risolverlo" nel caso..
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Apr 09, 2010 1:14 pm    Oggetto: Re: Autenticatore Wireless Rispondi citando

Fabero ha scritto:

Allora non ho capito.

Io ho 2 AP e 1 ZS.

Su ZS c'è già creata la mia CA + n Utenti.

Quindi per ogni utente potrei esportarmi il suo "certificato".

Sull'AP, assegno l'indirizzo IP del Radius Server, che corrisponde a quello di ZS, e la shared secret. Analogamente la cosa la faccio anche su ZS, dandogli gli IP dei 2 AP e la shared secret impostata.

Tra ZS e i 2 AP, non penso di dover far altro.

Non puoi e non devi.
Quello che dicevo è che quando un utente prova ad autenticarsi, gli viene presentato il certificato di ZS, non quello (inesistente) dell'AP.

Citazione:
se vedi in quelle pagine che ti ho indicato, si fa prima l'utente (pag. 8 ), poi se ne esporta il certificato (pag. 9), e si usa come metodo autenticativo (pagg. 9 10 e 11).

Nella configurazione dell'autenticazione (pag.11), devo impostare l'IP di ZS, ecco il perchè della mia domanda...

È un altro metodo. In pratica, invece della password viene usato un certificato.

Citazione:
Quindi quel che tu mi hai detto mi ha confuso ancora di più le idee..

Devi tenere conto del metodo usato per l'autenticazione. Se tu avessi un dominio AD per i tuoi utenti, sarebbe anche possibile far accedere lla rete solo le macchine joinate...

Citazione:
In pratica, mi piacerebbe usare anche il certificato, come mezzo per "certificare" che l'utente connesso alla mia WiFi sia un utente autorizzato.

Così oltre che la cifratura di protezione, il controllo del mac-address, ho anche un certificato. Beh, potrei dormire sogni abbastanza tranquilli riguardo intrusioni wifi.

Diventa pesante e tutto sommato inutile.
Intanto costringi l'utente a portarsi dietro sempre lo stesso PC (e se volesse usare un cellulare? O se gli si rompe il PC e lo sostituisce?), e non avrebbe neanche la comodità propria del certificato (cioè l'autenticarsi senza immettere la password).

Un "buon uso" di autenticazione multipla potrebbe essere se tu fornissi un "pool" di portatili agli utenti (alcuni dipartimenti/facoltà lo fanno). Ogni portatile avrà il suo certificato per potersi connettere al wireless (ed avere un insieme minimo di servizi: aggiornamenti SO ed AV, pagine intranet, ecc), ma per poter navigare gli utenti dovranno autenticarsi su un captive portal. In questo modo "tieni fuori" chi tenta di entrare con macchine non autorizzate (perché non dispone del certificato) e comunque identifichi chi cerca di uscire dalla tua rete, "rompendo le tasche" il minimo necessario (gli utenti possono tranquillamente non sapere che l'autenticazione wifi usa un certificato...).
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Ven Apr 09, 2010 2:02 pm    Oggetto: Re: Autenticatore Wireless Rispondi citando

Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Apr 09, 2010 7:18 pm    Oggetto: Rispondi citando

Ho capito solo ora.
In pratica NON si sta connettendo via IP come la intendi tu. Quel controllo lo fa solo sui dati che il server presenta nel proprio certificato. In pratica dovrebbe essere sufficiente che la stringa impostata in quel campo ed il nome host presente nel certificato di ZS coincidano, anche se non risulta un nome risolvibile dal DNS.
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Lun Apr 12, 2010 8:11 am    Oggetto: Rispondi citando

NdK ha scritto:
Ho capito solo ora.
In pratica NON si sta connettendo via IP come la intendi tu. Quel controllo lo fa solo sui dati che il server presenta nel proprio certificato. In pratica dovrebbe essere sufficiente che la stringa impostata in quel campo ed il nome host presente nel certificato di ZS coincidano, anche se non risulta un nome risolvibile dal DNS.


Forse non mi ero spiegato molto bene.

La tua spiegazione, è quella a cui logicamente sarei arrivato anche io, solo ne vorrei conferma, prima di metter mano a ciò che già funziona a dovere.

Tra l'altro con degli switch che hanno anche loro gestione 802.1x/radius sarebbe possibile modificare la cosa anche per la rete wired.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Apr 12, 2010 10:27 am    Oggetto: Rispondi citando

Confermo.
Comunque fai un backup per sicurezza Smile Non mi prendo responsabilità...

Per la rete wired, come ho già spiegato più volte, funziona solo se il sistema è presidiato, in modo che un utente malevolo non possa "aggiungere pezzi", altrimenti con un semplice AP con 2 porte ethernet può navigare a sbafo "in parallelo" ad ogni utente che si autentica sul PC.
802.1x su cavo, infatti, usa il sensore di presenza cavo per determinare quando disabilitare una porta. Se il cavo non viene staccato (perché è attaccato all'AP, che rimane acceso) allora la connessione rimarrà sempre attiva. Limitare ad un solo MAC address è abbastanza inutile: quasi tutti gli AP hanno la funzione di "clone" per inserirsi in modo trasparente, e se non ce l'hanno è generalmente possibile programmargli quello che si vuole. In wifi, invece, la "presenza cavo" è data dall'uso di una chiave di sessione diversa per ogni client e quindi l'attaccante non può "vampirizzare" il cavo virtuale.
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Mar Apr 13, 2010 2:17 pm    Oggetto: Rispondi citando

NdK ha scritto:
Confermo.
Comunque fai un backup per sicurezza Smile Non mi prendo responsabilità...


Ehehe... Smile

Citazione:

Per la rete wired, come ho già spiegato più volte, funziona solo se il sistema è presidiato, in modo che un utente malevolo non possa "aggiungere pezzi", altrimenti con un semplice AP con 2 porte ethernet può navigare a sbafo "in parallelo" ad ogni utente che si autentica sul PC.


Ed è questa la realtà in cui lo introdurrei. Quindi la mia ipotesi non era così fantasiosa Smile

Spesso alle cose ci arrivo, pero' mi piace confrontare le mie idee se e con chi puo' averle già provate o almeno similmente.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it