Accesso alla rete dei LNF

1
Accesso alla retedei LNF

• (wireless wired)

Servizio di Calcolo
Presentazione Massimo Pistoni
2
Agenda

• Ore 1420 Nuovi metodi daccesso alla rete
• Ore 1510 Dimostrazione pratica
• Ore 1530 Applicazione per la gestione degli
  ospiti
• Ore 1550 Modulo web per la registrazione
  alle conferenze e integrazione con
  In.Di.Co
• Ore 1600 Dimostrazione pratica

3
Premessa

• Il numero dei dipendenti (o associati) dellINFN
  che ogni giorno si trovano a dover lavorare in
  una sede diversa dalla propria è in continua
  crescita.
• Anche il numero di ospiti occasionali (non INFN)
  che hanno necessita di utilizzare
  linfrastruttura di networking dellINFN e
  aumentato molto
• Collaborazioni, meetings, seminari, workshop,
  conferenze, etc.

4
Legge antiterrorismo

• Il 16 agosto 2005, il Ministero dellInterno ha
  emanato un Decreto che specifica le misure per
  contrastare il terrorismo internazionale,
  focalizzandosi sullidentificazione degli utenti
  che accedono alle reti da postazioni telematiche
  non vigilate oppure ai quali viene offerta la
  possibilità di connettersi alla rete Internet
  attraverso una tecnologia wireless.

5
TRIP (The Roaming INFN Physicist)

• Working Group CCR per lo studio dei problemi di
  connettivita e mobilita
• utilizzare i servizi della Struttura ospitante
  (ad es. le stampanti)
• collegarsi alla rete locale e utilizzare da
  remoto i servizi della struttura di appartenenza
  
• In entrambi i casi e necessario fornire le
  credenziali per autenticarsi ed essere
  autorizzati alluso delle infrastrutture (AAI)

6
Infrastruttura attuale
RADIUS Server
DHCP Server
Utenti interni
VLAN 192.84.131 Pubblica
200Mbps Verso il GARR
Access Point
7
Futura
RADIUS Server
DHCP Server
Utenti interni
VLAN 192.84.131 SSID INFN-dot1x
200Mbps Verso il GARR
Access Point
Interfaccia del router 3/4 193.205.228.57/28
Web captive portal
VLAN 192.168.200 SSID INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
8
2 vie di accesso WL

• VLAN dedicata agli utenti Wireless INFN
• SSID (annunciato) INFN-dot1x
• Network Authentication WPA
• Wi-Fi Protected Access
• Data Encription TKIP
• Temporary Key Integrity Protocol
• VLAN per gli ospiti occasionali
• SSID (annunciato) INFN-Web
• Network Authentication none
• Data Encription none

9
Metodo 1

• Utile per connettersi alla rete wireless dei LNF
  da parte di
• utenti wireless LNF
• volendo anche da utenti INFN (non LNF)
• Utile per gli utenti LNF per connettersi alla
  rete wireless di altre sedi INFN

10
Metodo 2

• Utile per connettersi alla rete (wired e
  wireless) dei LNF da parte di
• ospiti occasionali o temporanei
• utenti INFN (non LNF)
• Utilizzabile dagli utenti LNF in altre sedi INFN

11
Metodo 1

• SSID (annunciato) INFN-dot1x
• Network Authentication WPA
• Data Encription TKIP

12
Autenticazione 802.1x

• WPA richiede lautenticazione attraverso il
  protocollo standard IEEE 802.1x che usa EAP
  (Extensible Authentication Protocol) su LAN sia
  wired che wireless
• Lo standard 802.1x non definisce un metodo
  preciso ma uno schema architetturale nel quale
  possono essere usate varie metodologie, per
  questo una delle sue caratteristiche fondamentali
  è la versatilità.

13
Metodi di autenticazione 802.1x

• TLS (Transport Layer Security)
• Nativo Windows XP e MacOSX
• Autenticazione tramite certificato X.509
• Certificato non proteggibile sul client Windows
  XP
• Praticamente non implementabile su Linux
• TTLS (Tunnelled Transport Layer Security)
• Autenticazione tramite username e password
• Nativo in MAC OSX (versione gt 10.4)
• Non e nativo in Windows XP
• Praticamente non implementabile su Linux

14
Scelto TTLS

• Necessaria linstallazione di un client free su
  Windows XP
• Alfa Ariss Secure W2
• Linux non e supportato
• Funziona solo con una particolare scheda WL Intel
• Funziona solo con un particolare driver per
  quella scheda
• Autenticazione attraverso Server RADIUS (Remote
  Access Dial-In User Service) usando
• Realm, Username e password
• Es LNF.INFN.IT, pistoni, ltpasswordgt

15
802.1x schema
16
WL net
RADIUS Server
DHCP Server
Proxy RADIUS
Utenti interni
IP settings
EAP/TTLS
802.1x
Supplicant
VLAN 192.84.131 INFN-dot1x
802.1x
WPA TKIP
200Mbps Verso il GARR
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
17
Metodo 2

• SSID (annunciato) INFN-Web
• Network Authentication none
• Data Encription none

18
Open network

• Definendo l SSID INFN-Web, la scheda di rete
  wireless viene associata alla network open non
  cifrata dedicata agli ospiti occasionali (VLAN
  INFN-Web)
• Automaticamente vengono assegnate da un DHCP
  tutte le impostazioni IP, sulla network privata
  192.168.200.x/24

19
VLAN INFN-Web (wired)

• Nella stessa VLAN INFN-Web verrano
  necessariamente mappati
• i nodi di rete wired il cui MAC Address e
  sconosciuto al Servizio di Calcolo (VLAN di fall
  back del VMPS)
• I PC della sala utenti dedicata ai seminari e ai
  workshop AE T73 (vicina allaula Touschek)
• I PC della biblioteca
• I PC dellAula didattica Master
• A regime i PC delle altre sale utenti saranno
  utilizzabili esclusivamente dagli utenti interni

20
Captive Portal TINO

• Di fatto pero tutta la VLAN INFN-Web e dietro
  ad un Captive Portal che funge da gateway verso
  la rete pubblica
• DHCP server
• Firewall
• DNAT
• Web Server
• Authentication via Radius
• SNAT

21
Net
RADIUS Server
DHCP Server
Proxy RADIUS
Utenti interni
client
Autenticazione
VLAN 192.84.131 INFN-dot1x
Open INFN-Web
IP settings
200Mbps Verso il GARR
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
IP settings
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
22
VPN

• Dalla VLAN INFN-Web e sempre consigliabile
  connettersi alla propria sede tramite un VPN
  concentrator che preveda la cifratura del
  traffico (GRE, SSL o IPSEC)
• Il traffico della VLAN INFN-Web non e cifrato
  ne protetto specialmente quello wireless e
  facilmente catturabile

23
Sede
VPN Concentrator
Traffico in chiaro
Switched LAN
Server
VLAN 192.84.131 INFN-dot1x
200Mbps Verso il GARR
Access Point
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
24
Server RADIUS

• Il Radius locale usa il REALM per fare da proxy
  alla richiesta di autenticazione diretta ai REALM
  non gestiti localmente
• ltnonegt
• lnf.infn.it
• LNF.INFN.IT
• K5.LNF.INFN.IT

25
RADIUS (schema)
26
Infrastruttura RADIUS INFN
al 12 dicembre 2006
Radius centrale
EDU Roam
Tutto dovrebbe essere Pronto entro i primi mesi
del 2007
INFN
Radius Bo
Radius CNAF
Radius Fi
Radius Ge
Radius Le
Radius Fe
Radius LNF
Radius LNL
Radius LNS
Radius MiB
Radius Pv
Radius To
Radius Pi
Radius Roma1
Radius altre sedi
27
Autenticazione ai LNF
passwd/ shadow
AFS Kerberos4
Active Directory
PKI X.509
DB MySQL
Kerberos5
DB Oracle
(WinKrb5/ LDAP)
28
Autenticazione Radius ai LNF
Flat files
Radius Server
Ospiti Utenti
PAM
PKI X.509
Kerberos5
AFS Kerberos4
29
Autenticazione ai LNF (futura)
30
Server RADIUS

• Per lautenticazione il Radius server dei LNF a
  sua volta puo usare
• EAP / TLS (tramite certificato digitale)
• File locale (users file)
• O delegare
• Kerberos 5
• PAM ? AFS/Kerberos 4

31
FreeRadius config file users
root Auth-Type Reject --------------------
--------------------------------------------------
------------------------------------ DEFAULT
Auth-Type Reject, EAP-Type
EAP-TLS DEFAULT Auth-Type EAP, Prefix "
" ----------------------------------------------
--------------------------------------------------
---------- DEFAULT Auth-Type PAM, Suffix
"_at_lnf\\.infn\\.it" DEFAULT Auth-Type PAM,
Suffix "_at_LNF\\.INFN\\.IT" DEFAULT Auth-Type
Kerberos, Suffix "_at_K5\\.LNF\\.INFN\\.IT" D
EFAULT Auth-Type Reject, Suffix _at_,
Suffix ! _at_(.\\.)(infn\\.itINFN\\.IT)" DEFAU
LT Auth-Type Reject, Client-IP-Address
"193.206.84.7", Suffix "_at_" DEFAULT Auth-Type
PAM, Prefix ! "\\." DEFAULT Auth-Type
PAM, Client-IP-Address ! "193.205.228.58" INCLU
DE users.guests
VPN Concentrator
Web Captive Portal
32
FreeRadius crontab
A crontab sul radius server ogni 10-15 minuti (
Esempio /10
/usr/custom/bin/GOsync.sh )
!/bin/bash ! cp -p /usr/custom/freeradius/etc/ra
ddb/users.guests /usr/custom/freeradius/etc/raddb/
users.guests.sav /usr/bin/wget \ -o
/tmp/GOsync.log \ --output-document/usr/cust
om/freeradius/etc/raddb/users.guests \
--no-check-certificate \ --no-proxy \
--post-data'USERlnfPASSltpasswordgt' \
https//sisinfo2.lnf.infn.it8443/GOWebApp/GetAcce
ssService if ? ! 0 then echo -e "\nError
doing WGET!!!\n" cat /tmp/GOsync.log exit
1 else chown radiusdradiusd /usr/custom/freerad
ius/etc/raddb/users.guests diff -q
/usr/custom/freeradius/etc/raddb/users.guests
/usr/custom/freeradius/etc/raddb/users.guests.sav
gt /dev/null if ? ! 0 then
/etc/init.d/radiusd restart gtgt /tmp/GOsync.log
2gt1 if ? ! 0 then echo -e
"\nError restarting RADIUSD!!!\n" cat
/tmp/GOsync.log exit 1 fi fi fi
(wget versione 1.10.2)
33
FreeRadius config file users.guests
Si ottiene il file users.guests del tipo
File degli utenti ospiti occasionali
users.guests Generato automaticamente dalla web
application GOWebApp by Bisegni Claudio
Passarelli Antonino claudio.bisegni User-Pas
sword asgphs7k" antonino.passarelli User-Pa
ssword yus12ghw
34
Credenziali

• Con le stesse credenziali (Kerberos/AFS) gia in
  dotazione agli utenti LNF, del tipo
• ltUsernamegt_at_lnf.infn.it
• ltPasswordgt
• si ottiene
• laccesso ai servizi di rete attraverso il Web
  Captive Portal (Tino)
• laccesso ai servizi di rete 802.1x (SSID
  INFN-dot1x)
• laccesso in VPN (rete privata virtuale) alla
  rete dei LNF

35
Matrice di autenticazione
802.1x Tino VPN
ltusernamegt_at_lnf.infn.it Si Si Si
ltusernamegt_at_LNF.INFN.IT Si Si Si
ltusernamegt_at_K5.LNF.INFN.IT Si Si Si
ltusernamegt (Deprecato) Si Si Si
ltusername.ospitegt No Si No
ltusernamegt_at_.INFN.IT Si Si No
ltusernamegt_at_ (non INFN) No No No
36
Documentazione

• http//www.lnf.infn.it/computing/networking/TRIP/
• Accesso alla rete wired
• Accesso alla rete tramite il captive portal
  (Tino) comunicazione non cifrata
• Doc lingua inglese
• Doc lingua italiana
• Accesso alla rete wireless interna (doc lingua
  italiana) tramite 802.1x comunicazione cifrata
• piattaforma Windows XP (ENG) SP1
• piattaforma Windows XP (ITA) SP2
• piattaforma Apple MAC OSX (ENG)

37
Aspetti legali

• Un working group della CCR di nome Harmony ha
  preparato dei documenti che sintetizzano le norme
  di uso dei mezzi informatici nel rispetto delle
  leggi, sia per i sistemisti che per gli utenti
• http//www.lnf.infn.it/computing/regolamento/
• Non esiste riferimento al progetto TRIP e alla
  legge antiterrorismo

38
Legge antiterrorismo

• La legge antiterrorismo impone la
  rintracciabilita e lidentificazione degli
  utenti che accedono alle reti e
  limmagazzinamento dei documenti personali di
  riconoscimento scannerizzati e digitalizzati
• Cambiera il criterio di creazione delle username
  sui sistemi centrali
• Dipendenti, associati, borsisti, etc
• Persone conosciute agli atti della Direzione

39
Log degli accessi

• Serve necessariamente larchiviazione e il
  salvataggio a lungo periodo dei log
• Log di accesso ai sistemi
• Log di accesso al network
• log di autenticazione e di autorizzazione RADIUS
• Log del Web Captive Portal

40
Database degli ospiti

• E stato opportunamente costruito un DB (Oracle)
  di nome GO
• Installato centralmente ai LNF sulle macchine del
  Sistema Informativo
• Ad uso nazionale per tutto lINFN
• per contenere
• Tutti gli ospiti, le relative generalita e i
  relativi documenti personali scannerizzati e
  digitalizzati
• Le istituzioni di appartenenza
• relativi diritti di accesso differenziati per
  sede INFN
• Accessibile via rete con applicazione Java a 3
  livelli elaborata da C. Bisegni e A. Passarelli

41
Data dellimplementazione

• 9 marzo 2007

Proposte e/o domande?
42
Fine prima partePrevista Demo
43
Gestione Ospiti
Servizio di Calcolo
Presentazione Claudio Bisegni
44
Applicazione Gestione Ospiti

• Molto user friendly e rivolta al personale di
  segreteria per la ricerca e linserimento di
  nuove istituzioni, di nuovi ospiti, di nuovi
  accessi nel DB.
• Lapplicazione genera automaticamente la username
  e la password con cui lospite potra accedere
  ai servizi di rete
• Crea automatica la Guest Card con gli estremi
  per il collegamento

45
Sincronizzazione con RADIUS

• Il Radius Server effettua la sincronizza-zione
  del suo users file delle autentica-zioni con i
  dati inseriti nel DB GO
• Una volta modificata unautorizzazione di accesso
  per un dato ospite nel DB GO, tale informazione
  sara propagata e operativa (per laccesso alla
  rete) entro 10 minuti massimi

46
Conferenze, workshop, seminari,...

• Tuttavia e consigliabile prepararsi con anticipo
  il lavoro, in occasione di conferenze con grande
  affluenza di partecipanti ospiti
• Potrebbe essere di grande aiuto una eventuale
  form web di registrazione per levento, in cui
  venga richiesto lupload del documento di
  identita scannerizzato e digitalizzato su file,
  in formato jpeg.

47
Interfaccia Utente
Login
Creazione Istituzione
48
Interfaccia Utente
Ricerca Anagrafica E Accessi
49
Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
50
Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
51
Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
52
Requisiti Client

• Java Runtime 1.4.2 - 1.5

Tecnologia lato server

• J2EE (Oracle AS, Tomcat, etc.)
• Oracle DB Server 10G

53
URL o Java starter

• Lapplicazione e accessibile alla URL
• https//sisinfo2.lnf.infn.it8443/GOWebApp/
• Oppure copiando sul desktop il java starter
  reperibile a
• https//sisinfo2.lnf.infn.it8443/GOWebApp/GOApp.j
  nlp
• E lanciandolo con un doppio click

54
Conferenze, workshop, seminari,...

• Per tali circostanze e stata realizzata una
  pagina JSP (Java Server Page), che permette di
  registrare un accesso per un ospite sia nuovo che
  gia presente nel db degli ospiti.
• Link Pagina https//sisinfo2.lnf.infn.it8443/GOW
  ebApp/InsertOspite.jsp

55
Parametri JSP

• CONFCCR (nome conferenza)
• ID_UTENTE8 (identificativo di un utente della
  sede della conf.)
• CONF_INIZIO12-12-2007(data inizio conferenza)
• CONF_FINE15-12-2007(data fine conferenza)
• FORMATO_DATAdd-MM-yyyy (il formato deve
  contenere dd,MM e yyyy, in ogni combinazione dei
  tre token. I separatori possono essere ogni
  carattere es yyyy-dd-MM)
• LANGUAGEen (o it, linquaggio della form)

56
Parametri JSP (dati del visitatore)

• E-MAILMario.Rossi_at_dominio.it
• ---------------------------------
• NOMEMario
• COGNOMEDe Rossi
• DATA_NASCITA15-12-1980
• ---------------------------------
• DOC_TIPOCarta didentita
• DOC_RILASCIATO_DAComune di Roma
• DOC_NUMEROABX11601
• DOC_SCADENZA15-04-2009

57
Parametri JSP

• Link pagina https//sisinfo2.lnf.infn.it8443/GOW
  ebApp/InsertOspite.jsp?CONFCCRID_UTENTE8CONF_I
  NIZIO12-12-2007CONF_FINE15-12-2007FORMATO_DATA
  dd-MM-yyyy
• Il link sopra riportato visualizzerà la form di
  creazione del nuovo ospite per la conferenza CCR
  dal 12-12-2007 al 15-12-2007. Lospite non dovrà
  far altro che inserire nella form i campi
  richiesti (e-mail, Nome, Congome, data di
  nascita, tipo documento, rilasciato da, numero
  documento, scadenza immagine)
• Il campo ID_UTENTE individua lutente che
  inserisce il visitatore e il relativo accesso nel
  DB. Determina la sede INFN per la quale il
  visitatore ha laccesso abilitato.

58
Parametri JSP

• Il campo E_MAIL e un campo univoco di ricerca
  nel DB. Se gia esiste un visitatore con tale
  E-MAIL verra solo aggiunto un accesso per il
  periodo della conferenza. Altrimenti verranno
  richieste tutte le generalita.
• Anche i seguenti 3 campi
• NOME (nome ospite)
• COGNOME (cognome ospite)
• DATA_NASCITA (data di nascita ospite)
• Svolgono la stessa funzione di ricerca. Nel caso
  siano passati anche questi tre parametri, se nel
  db esite un ospite con quelle credenziali, verrà
  automaticamente salvato il nuovo accesso senza
  chiedere ulteriori informazioni. Nel caso
  contrario verrannno richieste tutte le generalità.

59
Integrazione con Indico

• E stato aggiunto un Javascript in un include
  file di Indico.
• Funziona solo per le conferenze
• Occorre creare la conferenza con l'accortezza di
  scrivere nel PLACE, un tag html/Javascript che
  contiene l'ID dell'utente a carico del quale
  verranno effettuate le registrazioni, esattamente
  nel formato Placeltscript type'text/javascript'gt
  var ID_UTENTExxxlt/scriptgt
• Ove xxx e' l'ID dell'utente della sede
  organizzatrice della conferenza (ovvero quella
  con il radius server delegato all'autenticazione).
  

60
Integrazione con Indico (2)

• Il visitatore, dopo essersi regolarmente
  registrato alla conferenza, trovera un pulsante
  con cui potra richiedere laccesso allutilizzo
  del network per il periodo della conferenza.
• Con precisione verra abilitato laccesso a
  partire da 7 giorni prima dellinizio, fino a 7
  giorni dopo la fine della conferenza
• In alternativa puo essere abilitata la sezione
  accomodation nel modulo di registrazione in
  tal caso verranno utilizzate puntualmente le date
  di arrivo e partenza dichiarate dal visitatore.

61
Integrazione con Indico (DOC)

• Documentazione
• https//sisinfo2.lnf.infn.it8443/GOWebApp/
• https//sisinfo2.lnf.infn.it8443/GOWebApp/Help/
• InserimentoWeb.htm

62
Proposte e/o domande?

• Prevista Demo