Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Trådløst karantenenett

Liknende presentasjoner


Presentasjon om: "Trådløst karantenenett"— Utskrift av presentasjonen:

1 Trådløst karantenenett
Øystein Gyland SINT/USIT/UiO

2 Kort om trådløst ved UiO.
LDAP som kildesystem FreeRADIUS Et stort 1X-nett og et stort vev-autentisert nett. Felles nett for WISM-kontrollerne (Aksesspunkter har egne mindre nett)

3 Bakgrunn for karantenenett
Før sperret vi alle brukere i FreeRADIUS. Brukerne fikk ikke med seg at eller hvorfor de var sperret ”Brukernavnsisten” hvor andre autentiserer for bruker som er sperret Få ting i RT gir bedre oversikt, som oversikt over antallet ganger brukeren har vært åpnet. Kan gjøre sikkerhetsoppdateringer, antivirusprogram med mer tilgjengelig på et lukket nett.

4 Karantenenett Sperrer i FreeRadius, kan også gjøres i LDAP (cerebrum)
Vlan-tagging skjer via rlm_perl i post-auth på 1X-autentiserte nett. Sikkert andre måter å gjøre det på også. Vlan-taggingen er hardkodet i perl- skriptet Sperring i authorize

5 Sperre / ikke sperre. Bruker 1X-nett på Campus EDUROAM Vev-autentisert
Annet 1X-nett Karantenenett Sperre

6 Sperre / ikke sperre. Ingen mulighet for dynamisk vlan-tildeling på vev-autentiserte nett. Et mindre antall randsoner har ikke sperrenett tilgjengelig. Brukere som kobler til fra eksterne steder (EDUROAM) (Sjekke NAS-IP).

7 Captive-portal for å informere brukerne.
Tjener på samme nett som klientene. Ikke rutet 3/4-6 komponenter: Navnetjener Vevtjener DHCP-tjener. (Iptables) (RT+database)

8 Captive-portal for å informere brukerne.
VLAN-tagging IP DNS Nettleser Sperreside

9 WISM / DHCP WISM: Allow AAA override på SSID.
VLAN tilgjengelig på 1q-trunk inn DHCPD option routers $egen_adresse option domain-name-servers $egen_adresse

10 Navnetjener Enkel variant av Net::DNS::Nameserver. Svarer
foo.tld is an alias for wireless-quarantine.uio.no. wireless-quarantine.uio.no has address Uansett hva slags A-record du spør om. Tilsvarende for PTR-record Iptables tar seg av all innkommende trafikk på 53/UDP, klienten kan bruke vilkårlig IP- adresse som navnetjener.

11 Vevtjener Fang opp 404/403 og pek det til index.cgi
<Directory /foo/bar> DirectoryIndex index.cgi ErrorDocument 404 /index.cgi ErrorDocument 403 /index.cgi </Directory> index.cgi: print $html->redirect(-uri=>"https://wireless- quarantine.uio.no/auth/login.php", -status=>301); HTTP/301 => moved permanently

12 Vevtjener II Innloggingsside for bruker.
Kjedet sertifikat for å unngå problemer med nettlesere og sertifikatproblematikk. Åpner flattekstfil med personlig budskap til brukeren. Logger inn i RT og oppretter en tom sak. Lagrer saksnummer i database. Sender epost til RT med selve innholdet og saksnummer som emne for at ting skal havne riktig.

13

14

15

16 Bilde fra RT her.

17 Versjon 2.0? Sperre i LDAP istedenfor?
Lettere å delegere rettigheter for å åpne/sperre brukerne. Vlan pr. bruker? Slipper autentisering utover det som allerede skjer via 1X.


Laste ned ppt "Trådløst karantenenett"

Liknende presentasjoner


Annonser fra Google