ISTITUTO NAZIONALE DI FISICA NUCLEARE

Transcript

1 ISTITUTO NAZIONALE DI FISICA NUCLEARE INFN/code-xx/xxx giorno/mese/anno CCR/XX/XX/P TRIP E EDUROAM: PIANO DI MIGRAZIONE Roberto Cecchini 1, Roberto Gomezel 2, Marco Serra 3, Riccardo Veraldi 4 1) INFN, sezione di Firene, via G. Sansone Sesto Fiorentino (FI), Italy 2) INFN, sezions di Roma 1, P.le Aldo Moro Roma, Italy 3) INFN, sezione di Trieste, via Valerio Trieste, Italy 4) INFN-CNAF viale Berti Pichat 6/ Bologna, Italy Abstract Lo scopo del documento è di proporre in linee generali un piano di migrazione per le singole sezioni dall attuale infrastruttura WiFi INFN nazionale TRIP ad una struttura pienamente integrata con il progetto Eduroam Pubblicato da SIS Pubblicazioni Laboratori Nazionali di Frascati

2 2

3 1 TRIP Il numero dei dipendenti (o associati) INFN che ogni giorno si trovano a dover lavorare in una sede diversa dalla propria (e non sempre la stessa) è in continua crescita. I problemi che devono essere affrontati e risolti possono essere classificati in queste due categorie (in ordine di difficoltà crescente): collegarsi alla rete locale e utilizzare da remoto i servizi della Struttura di appartenenza; utilizzare i servizi della Struttura ospitante (ad es. le stampanti). Questo richiede opportune configurazioni, non solamente dei server remoti, ma anche di quelli della rete locale cui il dipendente si sta collegando: ad esempio è necessario che il system manager locale abiliti il server dhcp a rilasciare un indirizzo ip al portatile del viaggiatore. Il supplemento di autenticazione e autorizzazione necessario si traduce in un aggravio di lavoro per il system manager ("Ehi, stanno per arrivare 150 partecipanti ad un workshop, che hanno bisogno di un accesso wireless") e inconvenienti per il viaggiatore ("Accidenti, nessuno mi aveva detto che avrei dovuto comunicare una settimana prima il mac address della mia scheda!"). Una volta risolto il problema della concessione al visitatore dei permessi necessari per accedere alle risorse della sua Struttura di appartenenza (in pratica l'assegnazione di un indirizzo IP), si presenta quello ben più difficoltoso dell'accesso ai servizi della Struttura ospitante. In questo caso è necessario che le informazioni di autorizzazione vengano trasmesse dalla Struttura di appartenenza a quella ospitante, non essendo pensabile la loro duplicazione. In altri termini è necessaria la realizzazione di un meccanismo di Authentication and Authorization Infrastructure (AAI), che può essere schematizzato nei punti seguenti: 1. autenticazione dell'utente a cura della Struttura ospitante; 2. richieste dell'utente; 3. trasmissione delle richieste alla Struttura di appartenenza per verificarne la legittimità; 4. trasmissione dell'autorizzazione dalla Struttura di appartenenza a quella ospitante. Per risolvere il problema è stata implementata ed è in produzione da ormai 5 anni un architettura di autenticazione WiFi a livello nazionale per l INFN, svincolata dalla singola struttura ospitante. L autenticazione riguarda due differenti tipologie di utenza: utenti INFN (dipendenti e associati) e utenti non INFN, cioè ospiti e visitatori appartenenti ad altre strutture. Per quanto riguarda gli utenti INFN l autenticazione si basa su 802.1x con EAP-TTLS ed utilizza un architettura di server radius distribuiti. Per gli utenti ospiti l autenticazione è basata sull utilizzo di un portale web. 3

4 2 TRIP: modello e architettura L architettura di TRIP si basa su un modello di autenticazione distribuita, utilizzando SSID multipli a livello WiFi. In particolare si utilizza l SSID INFN-dot1x per gli Utenti INFN, e l SSID INFN-Web, per gli utenti non INFN. Fa eccezione il CNAF che utilizza come SSID CNAF-dot1x per gli utenti INFN e CNAF per gli ospiti, questo a causa di una sovrapposizione accidentale e non evitabile con la Sezione di Bologna che è ubicata nel medesimo edificio. L utente INFN che si trova in una qualsiasi sede INFN si associa alla rete WiFi utilizzando INFN-dot1x come SSID e EAP-TTLS come protocollo di autenticazione 1. Questo consente il tunneling delle credenziali all interno di un canale cifrato TLS. Se l utente è un entità locale, l autenticazione viene effettuata dal server radius della sezione, alternativamente la sua autenticazione viene demandata al server radius della propria sede tramite il meccanismo proxy radius. Le credenziali verranno controllate dal radius server di provenienza dell utente, la risposta arriverà al radius server locale e infine all access point il quale consentirà o negherà l accesso alla rete (fig.1). fig.1 1 E sconsigliato l utilizzo di EAP-TLS che utilizza il certificato digitale X509, in quanto il client supplicant di Windows non consente di proteggere il certificato personale con una password di accesso, e questo contrasta con la CPS della INFN-CA. 4

5 L architettura quindi si basa sul modello di autenticazione radius proxy distribuita nelle diverse sezioni. Ogni sezione potrà decidere di utilizzare il database più opportuno per la gestione delle credenziali per i propri utenti. Al CNAF sono stati testati due scenari: l utilizzo di un database radius gestito localmente con file di password unix o file di testo users, e l integrazione fra radius server e autenticazione Kerberos con autorizzazione LDAP. Il sistema di autenticazione è stato infine integrato pienamente con l architettura Kerberos V + LDAP presente al CNAF. Ogni sede INFN è libera di utilizzare per il database di autenticazione utente il metodo più consono alle proprie esigenze e dovrà fornire le credenziali ai propri utenti INFN i quali le utilizzeranno per autenticarsi nell infrastruttura WiFi di TRIP. Se l utente che necessita del collegamento WiFi non fa parte dell INFN e quindi è un ospite oppure un visitatore, deve obbligatoriamente utilizzare il SSID INFN-Web. Verrà quindi ridirezionato su una pagina di login del portale web TINO che chiederà le credenziali di autenticazione. Per ottenere l accesso alla rete il visitatore dovrà registrarsi preventivamente nella struttura locale INFN che lo ospita, leggere l AUP ed accettarla firmando un documento di registrazione. La struttura INFN ospitante è invitata ad utilizzare il sistema di registrazione degli utenti GO sviluppato e utilizzato ai Laboratori Nazionali di Frascati per la registrazione degli ospiti INFN in un database centralizzato. 2.1 TRIP: protocolli utilizzati Nell architettura si è pensato di utilizzare i recenti protocolli per l autenticazione a layer 2 in particolare 802.1x x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. Fa parte dell'insieme di standard IEEE 802. Questo standard provvede a autenticare e autorizzare i dispositivi collegati alle porte della rete (switch e access point) stabilendo un collegamento punto a punto e prevenendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol. Lo standard 802.1x non definisce un metodo preciso ma uno schema architetturale nel quale possono essere usate varie metodologie, per questo una delle sue caratteristiche fondamentali è la versatilità. Fin dalla sua ratifica, 802.1x è divenuto il framework di autenticazione delle wireless LAN. La sua rapida diffusione è stata dovuta, in larga parte, alla possibilità di utilizzo di standard precedentemente accettati, principalmente EAP (Extensible Authentication Protocol). Il controllo degli accessi alla rete basato sulle porte fa uso delle caratteristiche di accesso fisico alle infrastrutture LAN basate sugli standard IEEE 802, allo scopo di fornire autenticazione e autorizzazione tramite dispositivi connessi a una porta della LAN che abbia caratteristiche di connessione punto-punto, e prevenzione dell accesso a tale porta nel caso in cui autenticazione ed autorizzazione falliscano. Una porta, in questo contesto, è un singolo punto di accesso all infrastruttura della LAN. La specifica 802.1x definisce il passaggio dell autenticazione tra il client wireless (supplicant), un access point wireless (autenticatore) e un RADIUS (Remote Authentication Dial-In User Service) server (server di autenticazione). In pratica, il client wireless viene autenticato dal server RADIUS, e l access point gioca un ruolo di intermediario x e EAP Quando un nuovo nodo wireless (WN) richiede l accesso alle risorse di una LAN, l access point (AP) ne richiede l identità. Nessun altro tipo di traffico è consentito oltre a EAP, prima che il nodo 5

6 sia autenticato (la porta virtuale è chiusa). Il nodo wireless che richiede l autenticazione è spesso denominato supplicant, tuttavia sarebbe più corretto dire che esso contiene un supplicant. Il supplicant ha il compito di fornire risposte all autenticatore che ne verificherà le credenziali. Lo stesso vale per l access point; l autenticatore non è l access point. Invece, l access point contiene un autenticatore. L autenticatore non deve necessariamente trovarsi all interno dell access point; può essere un componente esterno. EAP, che è il protocollo utilizzato per l autenticazione, fu usato inizialmente per il dial-up PPP. L identità era lo username, ed era utilizzata l autenticazione PAP o CHAP per verificare la password dell utente. Poiché l identità è inviata in chiaro, uno sniffer malintenzionato può venirne facilmente a conoscenza. Si utilizza quindi un mascheramento dell identità, che non viene inviata finché non sia instaurato un tunnel TLS crittato. Dopo l invio dell identità, comincia il processo di autenticazione. Il protocollo utilizzato tra il supplicant e l autenticatore è EAP, o, più correttamente, EAP incapsulato su LAN (EAPOL). L autenticatore re-incapsula i messaggi EAP in formato RADIUS, e li passa al server di autenticazione. Durante l autenticazione, l autenticatore semplicemente ritarda i pacchetti tra il supplicant e il server di autenticazione. Quando il processo di autenticazione si conclude, il server di autenticazione invia un messaggio di successo (o di fallimento, se l autenticazione fallisce). L autenticatore quindi apre la porta al supplicant. Dopo un autenticazione andata a buon fine, viene garantito al supplicant l accesso alle altre risorse della LAN. Spesso 802.1x viene identificato come autenticazione basata su porte. L autenticatore ha a che fare con porte controllate e non controllate. Entrambi i tipi di porta sono entità logiche (porte virtuali), ma utilizzano la medesima connessione fisica alla LAN. Prima dell autenticazione, è aperta soltanto la porta non controllata. L unico traffico consentito è EAPOL. Dopo che il supplicant è stato autenticato, viene aperta la porta controllata, e garantito l accesso alle risorse x non fornisce dunque alcuna autenticazione; tutto ciò che fa è dare all access point la capacità di inoltrare le credenziali del client al server RADIUS e la relativa risposta verso il client stesso. Questa funzionalità trova compimento implementando i protocolli RADIUS e EAP (fig. 2). fig. 2 6

7 EAP viene definito nella Request for Comments (RFC) 2284 e aggiornato nella RFC 3748 e nella RFC 4017, è uno standard altamente flessibile che può essere implementato in numerose differenti modalità; 802.1x ha ereditato tale flessibilità per raggiungere svariati obiettivi di sicurezza x racchiude un range di metodi di autenticazione EAP, inclusi MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Ciascuno di questi metodi EAP ha vantaggi e svantaggi a seconda dell'ambiente. Ci interessa in particolar modo EAP-TTLS perché viene utilizzato nell architettura di TRIP x e EAP Tunnelled Transport Layer Security (TTLS) è un'estensione di TLS ed è stato sviluppato per superare la necessità, generata da TLS, di utilizzare certificati lato client (sono invece richiesti certificati lato server). Così come l'altro dei due metodi attualmente disponibili di autenticazione tramite tunnel, PEAP (protected EAP implementato da Microsoft), TTLS è un metodo a due passaggi. Nel primo, un algoritmo asimmetrico basato sulle chiavi del server è utilizzato per verificare l'identità del server e per creare il tunnel di crittazione simmetrica. Il secondo passaggio riguarda la verifica dell'identità del client utilizzando un secondo metodo di autenticazione tramite il tunnel di crittazione simmetrica per l'attuale negoziazione dell'autenticazione. Questo secondo metodo di autenticazione utilizzato con il tunnel può essere un tipo di EAP (spesso MD5) o un metodo di vecchio tipo come PAP, CHAP, MS-CHAP, o MS-CHAP V2. Il tunnel a crittazione simmetrica del TTLS è utilizzato solo per proteggere il metodo di autenticazione del client. Una volta verificato, il tunnel collassa WPA, WPA2 e i Se a livello di autenticazione del supplicant viene utilizzato 802.1x, per ottenere privacy nella comunicazione WiFi si utilizzano altri protocolli di sicurezza che consentono di cifrare la connessione tra scheda WiFi del portatile e Access Point (AP). A qusto scopo esistono i protocolli WPA e WPA2. Il protocollo è stato creato in risposta alle numerose falle che i ricercatori hanno trovato nel sistema precedente, Wired Equivalent Privacy (WEP), sebbene una ricerca condotta nel 2008 ha portato alla luce dei difetti nell'implementazione del WPA. Questo protocollo implementa la maggior parte dello standard IEEE i ed intende essere una soluzione intermedia, atta a sostituire il protocollo WEP mentre lo standard i veniva ultimato. Nella fattispecie, il protocollo TKIP (Temporal Key Integrity Protocol), fu incluso nel WPA. Il protocollo TKIP cambia dinamicamente la chiave in uso e la combina con un vettore di inizializzazione (IVS) di dimensione doppia rispetto al WEP (in modo da rendere vani gli attacchi simili a quelli previsti per il WEP) e può essere implementato nelle schede di interfaccia wireless pre-wpa, che cominciarono ad essere distribuite nel 1999, attraverso un aggiornamento del firmware. La successiva certificazione WPA2 indica conformità con un protocollo avanzato che implementa pienamente lo standard. Questo protocollo avanzato non può funzionare su alcune vecchie schede wireless. I prodotti che hanno completato con successo la fase di test da parte dell'alleanza per il Wi-Fi per la conformità con il protocollo possono esibire il marchio WPA. WPA è progettato per utilizzare lo standard IEEE 802.1x per gestire l'autenticazione dei client e dei server e la distribuzione di differenti chiavi per ogni utente, sebbene per questioni di compatibilità supporti la precedente gestione a chiave condivisa (PSK). I dati sono cifrati col l'algoritmo di cifratura a stream RC4 con chiave a 128 bit e vettore di inizializzazione a 48 bit. In aggiunta all'autenticazione e alla cifratura, il WPA introduce notevoli miglioramenti nella gestione dell'integrità. Il CRC utilizzato dal WEP non era sicuro, era possibile modificare il 7

8 messaggio mantenendo coerente il CRC, anche senza conoscere la chiave. Per evitare il problema, il WPA utilizza un nuovo metodo per verificare l'integrità dei messaggi chiamato "Michael". Questo include un contatore associato al messaggio per impedire all'attaccante di ritrasmettere un messaggio che sia già stato trasmesso nella rete. In sostanza il WPA aumenta la dimensione della chiave, il numero delle chiavi in uso, include un sistema per verificare l'autenticità dei messaggi migliore e quindi incrementa la sicurezza della WLAN, rendendola effettivamente analoga a quella di una rete su cavo. La WiFi Alliance (il gruppo che gestisce lo standard WiFi) ha dichiarato che utilizzerà il termine WPA2 per identificare i dispositivi che avranno il pieno supporto dello standard IEEE i Wi-Fi Alliance ha introdotto i termini WPA(2)-Personal e WPA(2)-Enterprise per differenziare le due classi di sicurezza fornite dai prodotti. I WPA(2)-Personal utilizzeranno il metodo PSK a chiave condivisa mentre i WPA(2)-Enterprise utilizzeranno un server di autenticazione. L architettura TRIP implementa proprio quest ultimo standard di sicurezza. WPA2 sta sostituendo WPA. Come avvenne per il WPA, il WPA2 ha richiesto una fase di testing e la certificazione da parte dell'alleanza WiFi. WPA2 implementa gli elementi opzionali dello standard i. In particolare introduce un nuovo algoritmo basato su AES, CCMP, che è considerato completamente sicuro. La certificazione è iniziata nel Settembre Dal 13 marzo 2006 la certificazione WPA2 è diventata opzionale per i nuovi dispositivi WiFi. La WiFi Alliance ha deciso di chiamare le specifiche i con il nome di WPA2 per rendere semplice all'utente comune l'individuazione delle schede basate sul nuovo standard. L'802.11i utilizza come algoritmo crittografico l'advanced Encryption Standard (AES) a differenza del WEP e del WPA che utilizzano l'rc4. L'architettura dell'802.11i utilizza i seguenti componenti: IEEE 802.1x per autenticare (può essere utilizzato il protocollo EAP o un server di autenticazione) il protocollo RSN per tenere traccia delle associazioni e il CCMP per garantire la confidenzialità, l'integrità e la certezza del mittente. Il processo di autenticazione avviene mediante un four-way handshake. 3 EDUROAM Eduroam sta per EDUcation ROAMing. Offre agli utenti delle varie istituzioni accademiche che partecipano al progetto, un accesso sicuro alla rete WiFi L'architettura eduroam che rende possibile tutto questo si basa su una serie di tecnologie e accordi tali da rendere sicuro e semplice l accesso alla rete WiFi Eduroam in tutti gli istituti ove essa è disponibile indipendentemente dalla locazione geografica. L autenticazione tramite la tecnologia proxy radius è demandata secondo la terminologia di Eduroam al cosiddetto Identity Provider dell istituto da cui proviene l utente e utilizzerá una qualsivoglia tecnologia di autenticazione scelta dal sito remoto. L autorizzazzione per l accesso alla rete WiFi è data da ció che Eduroam definisce Service Provider, tipicamente un hotspot WiFi nella sede dell universitá o campus all interno del quale si trova l utilizzatore finale del servizio. La tecnologia utilizzata è del tutto analoga e omologa a quella utilizzata dal progetto TRIP dell INFN e quindi si basa sull inoltro della richiesta di autenticazione al server RADIUS autoritativo per il determinato ente o istituzione al quale afferisce l utente finale. Gli utenti utilizzeranno username della forma user@realm, dove realm corrisponde al dominio DNS dell IdP dell ente in questione, tipicamente della forma user@istituzione.tld (tld=top-level domain). Per trasferire le informazioni di autenticazioen dell utente al IdP di provenienza tramite lárchitettura di federazione tra server RADIUS e per impedire operazione di hijacking delle sezioni di autenticazione Eduroam richiede che i punt idi accesso alla rete WiFi utilizzino il protocollo 802.1X che include l utilizzo di EAP con metodi che prevedano la mutua autenticazione tra utente e IdP e la cifratura delle credenziali. I metodi EAP utilizzati piú comunemente in ambito Eduroam sono: 8

9 PEAP ("Protected EAP") implementazioen propietaria Microsoft di EAP-TTLS che invia in un tunnel TLS il nome utente e la password sotto forma di hash MS-CHAPv2 hashes allínerno del tunnel stesso) TTLS ("Tunneled TLS") protocollo IETF che stablilisce un tunnel TLS e invia username e password in diversi formati) TLS ("Transport Layer Security") protocollo IETF che consente l autenticazione tra utente e IdP tramite certificato X.509 FAST ("Flexible Authentication via Secure Tunneling") protocollo sviluppato da Cisco che stabilisce un tunnel TLS e invia utente e password secondo una modalitá proprietaria che prevede l utilizzo di un PAC file con le informazioni di autenticazione) 3.1 Elementi dell infrastruttura Eduroam L infrastruttura a livello di server RADIUS è suddivisa in, confederation top-level radius server (TLR), federation-level radius servers (FDR) ed infine infrstruttura radius IdP e SP: Confederation top-level RADIUS server (TLR) I top level RADIUS server di Eduroam si trovano nei Paesi Bassi e in Danimarca per la confederazione Europea, e in Australia e Hong Kong per la confederazione asiatica e del pacifico. Ciascuno ha una lista di domini facenti campo a paesi collegati a eduroam (.nl,.dk,.au,.cn.it etc.) e accettano le richieste di autenticazione per i domini federati in Eduroam per i quali sono autoritativi e successivamente inoltrano le autenticazioni al server RADIUS della determinata federazione alla quale un determinato utente fa parte. Le richieste per domini apaprtenenti a federazioni epr le quali non sono autoritativi, sono inoltrate al TLR competente Federation-level RADIUS server (FLR) Un federation-level radius server possiede una lista di IdP e SP con i rispettivi domini associati. Riceve le richieste da un server TLR e dagli IdP/SP ai quali è collegato e le inoltra al server RADIUS autoritativo per un determinato dominio. Nel caso di richiesta di autenticazione verso una confederazione di RADIUS server, inoltra questa al server TLR relativo Struttura RADIUS IdP e SP Gli IdP che fanno parte di Eduroam consistono in un server RADIUS che è responsabile per l autenticazione dei propri utenti controllando le credenziali utilizzando un sistema di autenticazione locale. Gli SP di Eduroam utilizzano risorse compatibili con il protocolo RADIUS (Access point, switch ecc) SP di grandi dimensioni utilizzano spesso un proprio RADIUS server che è poi responsabile di inoltrare le richieste di autenticazione ai rispettivi server RADIUS facenti parte della federazione. 9

10 4 TRIP vs. EDUROAM TRIP è sorto nei medesimi anni in cui Eduroam si stava espandendo, ed utilizza nella sua architettura le stesse tecnologie presenti nell architettura della confederazione Eduroam. A livello di modello e terminologia Eduroam l INFN si colloca come IdP/SP mentre il GARR rappresenta l entitá FLR per l INFN. 4.1 Piano di migrazione da TRIP a Eduroam Da pochi mesi (Luglio 2011) l INFN ha aderito ufficialmente alla federazione Eduroam pertanto si colloca nella terminologia architetturale di Eduroam a livello di IdP/SP per il dominio infn.it. Sarebbe auspicabile una migrazione dall attuale architettura TRIP ad Eduroam, ma per consentire agli utenti e alle sezioni INFN coinvolte nel passaggio ad Eduroam piena funzionalitá dell infrastruttura di accesso WiFi senza disservizi, è opportuno definire una fase graduale di migrazione, ove entrambe le strutture TRIP e Eduroam convivano per un periodo di tempo iniziale di almeno 6 mesi, al termine del quale si valuterá un eventuale estensione temporale se necessaria. Di seguito sono elencati i passi proposti per la migrazione ad Eduroam: L INFN installerà quanto prima un proprio server radius HUB al CNAF che ospiterà l'attuale struttura di TRIP con SSID INFN-dot1x, che verrà spostata dall'attuale collocazione in radius.garr.net. Nelle singole sedi sarà sufficiente cambiare il nome dell'hub nella configurazione del server radius. Le singole sezioni provvederanno poi ad implementare Eduroam dotandosi di un ulteriore server radius, o di una nuova istanza radius. Sarà quindi necessario attivare una VLAN dedicata al nuovo SSID eduroam. In questo modo sará possibile continuare a fornire servizio per gli utenti INFN tramite INFN-dot1x e realizzare in maniera semplice la nuova rete WiFi eduroam della quale potranno avvalersi sia gli ospiti, sia gli stessi utenti INFN. Le reti identificate dai SSID INFN-dot1x ed eduroam saranno due reti separate, che potranno quindi avere politiche di security indipendenti. Per esempio, gli utenti di INFNdot1x potrebbero avere accesso a tutte le risorse di rete, a differenza di quelli di eduroam. A regime è auspicabile una convergenza delle due reti in questione in un unico SSID eduroam in modo da creare un infrastruttura univoca in tutto l ente pienamente integrata in Eduroam. Nel caso si voglia distinguere fra utenti INFN e non per l accesso alla rete WiFi, è possibile, tramite radius, spostare un utente da una VLAN privilegiata a una VLAN con privilegi inferiori, controllando la parte di REALM relativa all username user@istituto.tld Per quanto riguarda il portale WEB, a regime il SSID INFN-Web dovrá essere integrato completamente in AAI utilizzando il portale di autenticazione WAWA dell IdP INFN. Esiste giá un prototipo funzionante basato su TINO. 10