Commessa hotspot wi fi
This presentation is the property of its rightful owner.
Sponsored Links
1 / 15

Commessa: HotSpot Wi-Fi PowerPoint PPT Presentation


  • 87 Views
  • Uploaded on
  • Presentation posted in: General

Commessa: HotSpot Wi-Fi. Carotenuto Raffaele Distante Federico Picaro Luigi. Indice. Overview Scelte effettuate Risorse Hardware Software Strumenti di supporto Radius server I CaptivePortal Configurazione Accesso alla rete. Overview (1). Dettagli Commessa:. Overview (2).

Download Presentation

Commessa: HotSpot Wi-Fi

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Commessa hotspot wi fi

Commessa:HotSpot Wi-Fi

Carotenuto Raffaele

Distante Federico

Picaro Luigi


Indice

Indice

  • Overview

  • Scelte effettuate

    • Risorse Hardware

    • Software

      • Strumenti di supporto

      • Radius server

      • I CaptivePortal

    • Configurazione

  • Accesso alla rete


Overview 1

Overview (1)

  • Dettagli Commessa:


Overview 2

Overview (2)

  • Topologia della rete adottata per l’implementazione del servizio di HotSpot


Risorse hardware

Risorse Hardware

  • Un terminale server che faccia da gateway tra le due sottoreti

  • Un AccessPoint 3Com OfficeConnect Wireless 11a/b/g

  • Un terminale dotato di scheda wireless che si comporti da client dell’HotSpot


Scelte software 1

Scelte software (1)

  • Apache 1.3.27

    • mod_perl: modulo necessario per utilizzare uno script perl in apache

    • mod_ssl: modulo necessario per fornire la crittografia forte per il server apache

  • DBMS: MySql 5.0.22

    • Archiviazione dei dati relativi all’accounting e all’authoring dei client

    • Ottima integrazione con Freeradius


Scelte software 2

Scelte software (2)

  • FreeRadius 1.1.2

    • RADIUS (Remote Access Dial-In User Service) è un protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti o di mobilità IP. RADIUS è attualmente lo standard de-facto per l’autenticazione remota. I Protocolli supportati per l’autenticazione EAP(EAP-TLS, EAP-TTLS, EAP-PEAP), MS-CHAP, MS-CHAPv2


Scelte software 3

Scelte software (3)

  • I numeri riportati in figura illustrano il processo di accesso alla rete, che verrà descritto in dettaglio nella procedura riportata di seguito:

    • 1.Il client senza fili deve, in un determinato punto, definire le credenziali con un'autorità centrale prima di stabilire l'accesso di rete senza fili. Questa operazione può essere eseguita mediante alcuni strumenti fuori banda, ad esempio un disco floppy oppure una rete cablata o altra rete protetta.

    • 2.Quando il client richiede un accesso di rete, questo passa le credenziali (o, più precisamente, mostra di possedere le credenziali) al punto di accesso senza fili, il quale le passerà a sua volta al servizio RADIUS per richiedere l'autorizzazione.

    • 3.Il servizio RADIUS controlla le credenziali, consulta i relativi criteri di accesso e garantisce o nega l'autorizzazione al client.

    • 4.Se il client ha ottenuto l'autorizzazione, gli sarà consentito di accedere alla rete e quindi di scambiare in modo protetto le chiavi di crittografia con il punto di accesso senza fili. Queste chiavi vengono attualmente generate dal servizio RADIUS e trasmesse al punto di accesso senza fili su un canale protetto. Se il client, invece, non ha ottenuto l'autorizzazione da parte del servizio RADIUS, l'accesso gli verrà negato e quindi non potrà stabilire ulteriori comunicazioni.

    • 5.Utilizzando le chiavi di crittografia, il client e il punto di accesso senza fili stabiliscono una connessione protetta sul collegamento senza fili e quindi viene stabilita una connettività tra il client e la rete interna.

    • 6.Il client inizia a comunicare con le periferiche sulla rete interna.


Scelte software 4

Scelte software (4)

  • Captive Portal:

    • Interfaccia tra i client e il server radius che permette la registrazione di un nuovo account e l’authenticazione per l’accesso alla wireless

    • Accesso tramite browser in modo da rendere trasparente la modalità di autenticazione

      • Modalità “catch & release”: quando un utente non autorizzato tenta di accedere alla rete, la sua richiesta viene indirizzata all’authentication server che reindirizza l’utente ad una pagina web di autenticazione


Scelte software 5

Scelte software (5)

  • Captive Portal:

    • Interfaccia tra i client e il server radius che permette la registrazione di un nuovo account e l’authenticazione per l’accesso alla wireless

    • Accesso tramite browser in modo da rendere trasparente la modalità di autenticazione

      • Modalità “catch & release”: quando un utente non autorizzato tenta di accedere alla rete, la sua richiesta viene indirizzata all’authentication server che reindirizza l’utente ad una pagina web di autenticazione


Scelte software 6

Scelte software (6)

  • NoCat:

    • Architettura costituita da due applicazioni: gateway e authserv

      • Gateway: si occupa della gestione delle connessioni degli utenti aggiungendo in modo dinamico regole di routing su iptables per l’assegnamento di un nuovo IP in DHCP

      • Authserv: si occupa dell’autenticazione dei singoli utenti interrogando il radius server

  • Chillispot:

    • Si occupa sia della funzione gateway che della funzione di authserv in maniera integrata


Configurazione 1

Configurazione (1)

  • Configurazione FreeRadius:

    • I files utilizzati per la nostra configurazione sono stati radiusd.conf,clients.conf, sql.conf.

      • Radiusd.conf contiene le direttive di configurazione del server radius e ha questa struttura:

        modules{}

        authorize{}

        authenticate{}

        accountig{}

      • Nella sezione modules vengono definiti i singoli moduli utilizzati nelle sezioni di autorizzazione, di autenticazione e di accounting


Configurazione 2

Configurazione (2)

  • Il file clients.conf contiene le informazioni inerenti i client. Lo schema di configurazione utilizzato è stato il seguente:

    client 192.168.0.0/24 {

    secret = testing123

    shortname = SR2WL

    nastype = other

    }

  • I client che tentando di accedere devono avere le credenziali richieste nella sezione


Configurazione 3

Configurazione (3)

  • Configurazione Chillispot:

    • Il file chillispot.conf:

      net 192.168.2.0/24

      Dns1 ns1.nic.org

      domain nic.org

      radiusserver1 127.0.0.1

      radiusserver2 127.0.0.1

      radiussecret radiussecret

      radiuslocationid isocc=it,cc=39,ac=41,network=SR2WL

      radiuslocationname Nic Team

      dhcpif1 eth1

      uamserver https://servizi.salernoflies.org/cgi-bin/hotspotlogin.cgi

      uamsecret uamsecret

      uamlisten 192.168.2.1


Accesso alla rete

Accesso alla rete

  • La seguente guida di riferimento è per gli utenti esterni ospiti della sezione che utilizzino un sistema operativo o un applicativo di gestione WiFi che non supporta o supporta soltanto in parte il protocollo di autenticazione 802.1X. L’utente che vuole connettersi, deve:

    • Configurare il proprio sistema in modo che utilizzi un tipo di Network Authentication Open e a non utilizzare nessun tipo di encryption dei dati. Specificare successivamente SR2WL come SSID nelle proprietà della connessione wireless.

    • Aprire un browser web in maniera tale che venga redirezionato su una pagina di default.

    • Cliccare su login se l’utente risulta essere già iscritto oppure andare alla pagina di registrazione. In maniera alternativa, se in possesso di un certificato idoneo, può accedere alla rete senza inserire login e password.

    • Effettuata l'autenticazione si ha accesso alla rete.

    • Nella pagina che notifica l’avvenuta autenticazione, l’utente può scaricare un certificato personalizzato per accedere alle pagine web che intende visitare in maniera sicura.

    • Per chiudere la sessione cliccare sul tasto di logout.

  • In maniera alternativa è possibile utilizzare un tipo di Network Authentication Restricted e obbligare gli utenti a fornire le proprie credenziali utilizzando il protocollo EAP.


  • Login