Date post: | 03-May-2015 |
Category: |
Documents |
Upload: | bertina-monti |
View: | 214 times |
Download: | 0 times |
TRIPTRIP
deployment di 802.1x su deployment di 802.1x su LinuxLinux
Riguardo a TRIP…Riguardo a TRIP…
Ma secondo voi…Ma secondo voi…
Cos’e’ la MOBILITA’… ??Cos’e’ la MOBILITA’… ??
Piattaforme supportatePiattaforme supportate
Portatili basati su Intel Centrino con sheda Portatili basati su Intel Centrino con sheda WiFi Intel PRO/Wireless 2200BGWiFi Intel PRO/Wireless 2200BG
ipw2200 Linux driveripw2200 Linux driver ieee80211 Linux driverieee80211 Linux driver Linux Wireless ExtensionLinux Wireless Extension Linux Wireless ToolsLinux Wireless Tools wpa_supplicantwpa_supplicant
• -Dipw per Linux WE < 18-Dipw per Linux WE < 18• -Dwext per Linux WE >= 18-Dwext per Linux WE >= 18
Distribuzioni testateDistribuzioni testate
Scientific Linux 4.3Scientific Linux 4.3 Ubuntu 5.10Ubuntu 5.10 Fedora Core 5Fedora Core 5 Debian testingDebian testing
Componenti NecessariComponenti Necessari
Linux Kernel 2.6.8+ Linux Kernel 2.6.8+ Linux Wireless Extension (>= v17) abilitate nel Linux Wireless Extension (>= v17) abilitate nel
KernelKernel Wireless Tools (>= v28)Wireless Tools (>= v28) Modulo ieee80211 Modulo ieee80211
http://ieee80211.sourceforge.net/http://ieee80211.sourceforge.net/ Driver ipw2200 Driver ipw2200
http://ipw2200.sourceforge.net/http://ipw2200.sourceforge.net/ Firmware ipw2200 Firmware ipw2200
http://ipw2200.sourceforge.net/firmware.phphttp://ipw2200.sourceforge.net/firmware.php wpa_supplicant wpa_supplicant
http://hostap.epitest.fi/wpa_supplicant/http://hostap.epitest.fi/wpa_supplicant/
Differenze nelle distribuzioniDifferenze nelle distribuzioni Scientific Linux 4.3Scientific Linux 4.3
• Installazione del kernel con yum (kernel-2.6.9-34.EL)Installazione del kernel con yum (kernel-2.6.9-34.EL)• Driver, e client wpa si scaricano daDriver, e client wpa si scaricano dahttp://atrpms.net/dist/el4/http://atrpms.net/dist/el4/• Il firmware si scarica daIl firmware si scarica dahttp://atrpms.net/dist/commonhttp://atrpms.net/dist/common
Ubuntu 5.10Ubuntu 5.10• Installazione del kernel con apt (linux-image-2.6.12.12-10-686)Installazione del kernel con apt (linux-image-2.6.12.12-10-686)• Non occorre installare driver aggiuntiviNon occorre installare driver aggiuntivi• wpa_supplicant si scarica con apt (universe)wpa_supplicant si scarica con apt (universe)
Fedora Core 5Fedora Core 5• Installazione del kernel con yum (kernel-2.6.16-1.2122_FC5)Installazione del kernel con yum (kernel-2.6.16-1.2122_FC5)• Occorre installare il firmware da http://atrpms.net/dist/commonOccorre installare il firmware da http://atrpms.net/dist/common• wpa_supplicant si scarica con yumwpa_supplicant si scarica con yum
Debian testingDebian testing• Installazione del kernel con apt (lInstallazione del kernel con apt (linux-image-2.6.15.1-686)inux-image-2.6.15.1-686)• Non occorre installare driver aggiuntiviNon occorre installare driver aggiuntivi• wpa_supplicant si installa con apt (unstable main)wpa_supplicant si installa con apt (unstable main)
Scientific Linux 4.3Scientific Linux 4.3 Caratteristiche:Caratteristiche:
• Kernel Utilizzato: 2.6.9-34.EL i686Kernel Utilizzato: 2.6.9-34.EL i686 WE 16WE 16
• ipw2200 driver 1.1.0ipw2200 driver 1.1.0• ipw2200 firmware 2.4ipw2200 firmware 2.4• ieee80211 1.1.13ieee80211 1.1.13• wireless-tools-27-0.pre25.4.EL4wireless-tools-27-0.pre25.4.EL4
Pacchetti da installare:Pacchetti da installare:• kernel-2.6.9-34.ELkernel-2.6.9-34.EL• ieee80211-kmdl-2.6.9-34.EL-1.1.13-10.1.el4.atieee80211-kmdl-2.6.9-34.EL-1.1.13-10.1.el4.at• ipw2200-firmware-2.4-7.atipw2200-firmware-2.4-7.at• ipw2200-kmdl-2.6.9-34.EL-1.1.0-40.el4.atipw2200-kmdl-2.6.9-34.EL-1.1.0-40.el4.at• libpcsclite1-1.3.0-6.el4.atlibpcsclite1-1.3.0-6.el4.at• wpa_supplicant-0.4.8-10.1.el4.atwpa_supplicant-0.4.8-10.1.el4.at
Ubuntu 5.10Ubuntu 5.10
Caratteristiche:Caratteristiche:• Kernel Utilizzato: 2.6.12-10-686Kernel Utilizzato: 2.6.12-10-686
WE 17WE 17• ipw2200 driver 1.0.6ipw2200 driver 1.0.6• ipw2200 firmware 2.3ipw2200 firmware 2.3• ieee80211 1.0.3ieee80211 1.0.3• wireless-tools 27+28pre8-1ubuntu4wireless-tools 27+28pre8-1ubuntu4
Pacchetti da installare:Pacchetti da installare:• linux-image-2.6.12.12-10-686linux-image-2.6.12.12-10-686• Non sono necessari moduli aggiuntivi, il moduli Non sono necessari moduli aggiuntivi, il moduli
ieee80211 e ipw2200 sono gia’ presentiieee80211 e ipw2200 sono gia’ presenti• wpasupplicant 0.4.5-0ubuntu1 da scaricare nella wpasupplicant 0.4.5-0ubuntu1 da scaricare nella
repository repository universeuniverse
Fedora Core 5Fedora Core 5
Caratteristiche:Caratteristiche:• Kernel Utilizzato: 2.6.16-1.2122_FC5Kernel Utilizzato: 2.6.16-1.2122_FC5
WE 19WE 19
• ipw2200 driver 1.0.8ipw2200 driver 1.0.8• ipw2200 firmware 2.4ipw2200 firmware 2.4• ieee80211 1.1.7ieee80211 1.1.7• wireless-tools-28-0.pre13.5.1wireless-tools-28-0.pre13.5.1
Pacchetti da installare:Pacchetti da installare:• kernel-2.6.16-1.2122_FC5kernel-2.6.16-1.2122_FC5• ipw2200-firmware-2.4-7.atipw2200-firmware-2.4-7.at• wpa_supplicant-0.4.8-10.fc5wpa_supplicant-0.4.8-10.fc5
Debian Testing (Etch)Debian Testing (Etch) Caratteristiche:Caratteristiche:
• Kernel Utilizzato: 2.6.15-1-686Kernel Utilizzato: 2.6.15-1-686 WE 19WE 19
• ipw2200 driver 1.0.8ipw2200 driver 1.0.8• ipw2200 firmware 2.4ipw2200 firmware 2.4• ieee80211 1.1.7ieee80211 1.1.7• wireless-tools 27+28pre14-1wireless-tools 27+28pre14-1
Pacchetti da installare:Pacchetti da installare:• Linux-image-2.6.15.1-686Linux-image-2.6.15.1-686• Non sono necessari moduli aggiuntivi, il moduli ieee80211 Non sono necessari moduli aggiuntivi, il moduli ieee80211
e ipw2200 sono gia’ presentie ipw2200 sono gia’ presenti• wpasupplicant 0.4.8-4 da scaricare nella repository wpasupplicant 0.4.8-4 da scaricare nella repository
unstable mainunstable main
Metodo ManualeMetodo Manuale
Rebuild dei kernel module ipw2200 e Rebuild dei kernel module ipw2200 e ieee80211ieee80211• Possibilita’ di utilizzare le ultime versioniPossibilita’ di utilizzare le ultime versioni• Maggiori features a disposizioneMaggiori features a disposizione
Hardware encryptionHardware encryption Supporto per Linux wextSupporto per Linux wext
• Bisogna compilare e installare le ultime Bisogna compilare e installare le ultime versioni dal codice sorgenteversioni dal codice sorgente
Metodo Manuale es:Fedora Core 5Metodo Manuale es:Fedora Core 5 Download del firmware v3 Download del firmware v3
http://ipw2200.sourceforge.net/firmware.phphttp://ipw2200.sourceforge.net/firmware.php Copiare I file dell’achivio ipw2200-fw-3.0.tgz in Copiare I file dell’achivio ipw2200-fw-3.0.tgz in
/lib/firmware/lib/firmware Assicurarsi che venga utilizzata l’header della versione di Assicurarsi che venga utilizzata l’header della versione di
wireless-tools installatiwireless-tools installaticd /usr/include/linuxcd /usr/include/linuxrm wireless.hrm wireless.hln -s ../wireless.h .ln -s ../wireless.h .
yum install kernel-devel-2.6.16-1.2122_FC5yum install kernel-devel-2.6.16-1.2122_FC5 Scaricare ieee80211-1.1.13.tgz da http://ieee80211.sf.netScaricare ieee80211-1.1.13.tgz da http://ieee80211.sf.net
cd ieee80211-1.1.13cd ieee80211-1.1.13make make (yes per rimuovere i moduli di default)(yes per rimuovere i moduli di default)make installmake install I moduli verranno installati inI moduli verranno installati in/lib/modules/2.6.16-1.2122_FC5/net//lib/modules/2.6.16-1.2122_FC5/net/ieee80211 ieee80211
Metodo Manuale es:Fedora Core 5Metodo Manuale es:Fedora Core 5
Scaricare Scaricare ipw2200-1.1.2.tgz da ipw2200-1.1.2.tgz da http://ipw2200.sourceforge.nethttp://ipw2200.sourceforge.netcd ipw2200-1.1.2cd ipw2200-1.1.2
makemakemake installmake installchmod 744 chmod 744 /lib/modules/2.6.16-1.2122_FC5/kernel/driver/lib/modules/2.6.16-1.2122_FC5/kernel/drivers/net/wireless/ipw2200.kos/net/wireless/ipw2200.ko
Settare le opzioni di hardware encryption del modulo in Settare le opzioni di hardware encryption del modulo in /etc/modprobe.conf/etc/modprobe.confoptions ipw2200 hwcrypto=1options ipw2200 hwcrypto=1
Per Fedora Core 5 installare un update che risolve un bug di Per Fedora Core 5 installare un update che risolve un bug di sistemasistemayum --enablerepo=updates-testing install initscriptsyum --enablerepo=updates-testing install initscripts
rebootreboot
Come utilizzare 802.1xCome utilizzare 802.1x
wpa_supplicantwpa_supplicant• Supplicante che supporta diversi EAP type tra i Supplicante che supporta diversi EAP type tra i
quali anche EAP-TTLSquali anche EAP-TTLS
wpa_cliwpa_cli• Parte client di wpa_supplicant: e’ una user Parte client di wpa_supplicant: e’ una user
interface di controllo per wpa_supplicantinterface di controllo per wpa_supplicant
wpa_gui, kwlanwpa_gui, kwlan• user interface grafiche per linux. Non user interface grafiche per linux. Non
funzionano ancora bene… meglio wpa_clifunzionano ancora bene… meglio wpa_cli
wpa_supplicant - configurazionewpa_supplicant - configurazionectrl_interface=/var/run/wpa_supplicantctrl_interface=/var/run/wpa_supplicantctrl_interface_group=0ctrl_interface_group=0eapol_version=1eapol_version=1ap_scan=2ap_scan=2fast_reauth=1fast_reauth=1
network={network={ssid="INFN-dot1x"ssid="INFN-dot1x"proto=WPAproto=WPAscan_ssid=1scan_ssid=1key_mgmt=WPA-EAPkey_mgmt=WPA-EAPpairwise=TKIPpairwise=TKIPgroup=TKIPgroup=TKIPeap=TTLSeap=TTLSidentity="[email protected]"identity="[email protected]"ca_cert="/etc/ssl/certs/INFN-CA.pem“ca_cert="/etc/ssl/certs/INFN-CA.pem“phase2="auth=PAP"phase2="auth=PAP"priority=1priority=1
}}
wpa_supplicant - startwpa_supplicant - start
Debug modeDebug modewpa_supplicant –w –d –ieth1 –Dipw –wpa_supplicant –w –d –ieth1 –Dipw –c ./etc/wpa_supplicant.confc ./etc/wpa_supplicant.conf
Daemon modeDaemon mode
wpa_supplicant –B –ieth1 –Dipw –c wpa_supplicant –B –ieth1 –Dipw –c ./etc/wpa_supplicant.conf./etc/wpa_supplicant.conf
wpa_cliwpa_cli
Serve per interfaccarsi con Serve per interfaccarsi con wpa_supplicantwpa_supplicant
Si possono dare comandi a Si possono dare comandi a wpa_supplicant come se fossero letti wpa_supplicant come se fossero letti dal file di configurazionedal file di configurazione
E’ possibile inserire dati sensibili E’ possibile inserire dati sensibili come username o password per come username o password per l’autenticazionel’autenticazione
wpa_cli - autenticazionewpa_cli - autenticazione
Autenticati con 802.1x… associati Autenticati con 802.1x… associati alla rete…alla rete…
Supporto WPASupporto WPA
WPA + TKIP funzionaWPA + TKIP funziona WPA2 + AES_CCMP non funzionaWPA2 + AES_CCMP non funziona
WPA + TKIP e’ piu’ che sufficiente a WPA + TKIP e’ piu’ che sufficiente a garantire un accesso sicuro alla rete garantire un accesso sicuro alla rete WifiWifi
802.1x su Linux - considerazioni802.1x su Linux - considerazioni
Installazione dei lkm semplice, pacchetti Installazione dei lkm semplice, pacchetti gia’ pre-compilati o presenti nelle repo apt gia’ pre-compilati o presenti nelle repo apt e yume yum
wpa_supplicant e’ un supplicant completo wpa_supplicant e’ un supplicant completo (EAP-TTLS, EAP-TLS, EAP-PEAP, EAP-FAST (EAP-TTLS, EAP-TLS, EAP-PEAP, EAP-FAST ecc…)ecc…)
Funziona bene, connessione WiFi affidabileFunziona bene, connessione WiFi affidabile Sempre piu’ distribuzioni contengono gia’ i Sempre piu’ distribuzioni contengono gia’ i
pacchetti necessari al loro interno (Ubuntu pacchetti necessari al loro interno (Ubuntu 5.10, Fedora Core 5 …)5.10, Fedora Core 5 …)