Cosa è Tower Sistema di autenticazione per il controllo degli accessi a reti wireless struttura scalabile consente la federazione tra reti di enti/operatori t i differenti permette la nomadicità degli utenti È basato su captive portal
Tower - Meccanismi di accesso Il meccanismo di accesso è piuttosto semplice da fruire per l utente finale L utente accede sulla rete wireless in modalità open, tipicamente con le impostazioni di default del proprio terminale Usa il proprio browser per accedere ad una risorsa Web La richiesta è intercettata (captivation) dal Gateway, che la blocca e re-dirige il browser verso il portale di autenticazione tramite connessione cifrata HTTPS L utente t inserisce i sulla web form le credenziali di account (username e password) trasmesse su tunnel SSL verso l Authentication server, che contatta il Radius (o Radius Proxy) di riferimento. Nella configurazione più semplice il server e Radius è integrato- Il Radius verifica i dati di account sul database utenti e comunica la risposta all Authentication server Al termine della procedura il Gateway verifica la risposta e, se positiva, apre il firewall interno per far transitare il traffico dell utente in base alle politiche di servizio configurate (policy di accessibilità delle risorse di rete) È compito del Gateway verificare lo stato del terminale utente tramite messaggi ARP, in modo da attivare il timeout di connessione in caso l utente non faccia un logout esplicito
Tower- architettura
Tower funzionalità avanzate (1) Il valore aggiunto della soluzione Tower rispetto al sistema NoCat di base risiede in una serie di funzionalità aggiuntive, tra cui Re-direzione del traffico utente anche su HTTPS Sistema di registrazione dei log (accounting) in conformità alle disposizioni normative (norme anti-terrorismo) Gestione utenti locali su database MySQL con interfaccia di configurazione Estensione della piattaforma con meccanismi automatici di roaming gper utenti nomadici Meccanismo di roaming L utente inserisce lo username contenente informazioni sul dominio di appartenenza (es. user@infogest.it) it) sul web server del Gateway Il Gateway lo re-dirige sulla pagina di autenticazione dell Authentication server della home-network dell utente, identificato in modo automatico tramite il nome DNS costruito nella forma wica-auth.<dominio> Le credenziali sono scambiate su tunnel SSL solo con i server della rete/provider di origine dell utente
Tower funzionalità avanzate (2) I server della rete federata sono autenticati tramite chiavi PGP ed è stato creato un sistema di repository da cui tutti i Gateway aggiornano periodicamente i dati È stato anche implementato un sistema di gestione delle eccezioni per i domini non referenziabili tramite nome DNS Per ciascun sottodominio o eccezione si può specificare un Authentication server che gestisce gli utenti come locali È richiesta tra organizzazioni diverse la possibilità di creare connessioni di tipo HTTPS e non su altre porte (porte per protocollo Radius), semplificando la configurazione dei firewall e la predisposizione del sistema presso scenari molto diversi tra loro
Architettura- multisite
Requisiti minimi Requisiti minimi Processore: Pentium III OS: Slackware 10.1 o Ubuntu Interfacce di rete: 2 schede di rete 10/100 ETH RAM: 256MB HD: 10GB Server web (Apache) Server DHCP Server FreeRADIUS Moduli perl Database MySQL
Caratteristiche e vantaggi È programmato con codice aperto su cui operare customizzazioni (basato su progetto opensource NoCat) L elevato livello di sicurezza delle credenziali garantito agli utenti anche in condizione di roaming (password gestita dalla sola home-organization); Architettura modulare, adattabile anche a infrastrutture di rete già esistenti e non necessariamente wireless; Interfacciamento a sistemi di autenticazione standard AAA (Radius), oppure sistema di autenticazione integrato; Supporto accounting degli accessi come imposto da normativa servizi WISP; Tower garantisce la riservatezza delle credenziali, impedendo all ente federato che gestisce l accesso alla rete di intercettare le password di accesso. Vantaggi lato utente Requisiti hardware a minimali (è sufficiente e un browser compatibile e una scheda wireless comunemente disponibili su dispositivi consumer); L accesso di utenti in roaming su reti federate.
Impiego e soluzioni alternative Il principale beneficio strategico è quello di consentire la federazione tra differenti enti/operatori di rete. Il valore aggiunto di Tower è dato dalla garanzia di riservatezza delle credenziali di accesso. Ci sono soluzioni commerciali e open source, che offrono controllo di accesso di tipo captive portal, ma sono scarsamente customizzabili (codice chiuso per soluzioni proprietarie commerciali) oppure presentano architetture di autenticazione basate su Radius e l acquisizione delle credenziali d utente avviene sulla rete ospite.