TRIPTRIP

deployment di 802.1x su deployment di 802.1x su LinuxLinux

Riguardo a TRIP…Riguardo a TRIP…

Ma secondo voi…Ma secondo voi…

Cos’e’ la MOBILITA’… ??Cos’e’ la MOBILITA’… ??

Piattaforme supportatePiattaforme supportate

Portatili basati su Intel Centrino con sheda Portatili basati su Intel Centrino con sheda WiFi Intel PRO/Wireless 2200BGWiFi Intel PRO/Wireless 2200BG

ipw2200 Linux driveripw2200 Linux driver ieee80211 Linux driverieee80211 Linux driver Linux Wireless ExtensionLinux Wireless Extension Linux Wireless ToolsLinux Wireless Tools wpa_supplicantwpa_supplicant

• -Dipw per Linux WE < 18-Dipw per Linux WE < 18• -Dwext per Linux WE >= 18-Dwext per Linux WE >= 18

Distribuzioni testateDistribuzioni testate

Scientific Linux 4.3Scientific Linux 4.3 Ubuntu 5.10Ubuntu 5.10 Fedora Core 5Fedora Core 5 Debian testingDebian testing

Componenti NecessariComponenti Necessari

Linux Kernel 2.6.8+ Linux Kernel 2.6.8+ Linux Wireless Extension (>= v17) abilitate nel Linux Wireless Extension (>= v17) abilitate nel

KernelKernel Wireless Tools (>= v28)Wireless Tools (>= v28) Modulo ieee80211 Modulo ieee80211

http://ieee80211.sourceforge.net/http://ieee80211.sourceforge.net/ Driver ipw2200 Driver ipw2200

http://ipw2200.sourceforge.net/http://ipw2200.sourceforge.net/ Firmware ipw2200 Firmware ipw2200

http://ipw2200.sourceforge.net/firmware.phphttp://ipw2200.sourceforge.net/firmware.php wpa_supplicant wpa_supplicant

http://hostap.epitest.fi/wpa_supplicant/http://hostap.epitest.fi/wpa_supplicant/

Differenze nelle distribuzioniDifferenze nelle distribuzioni Scientific Linux 4.3Scientific Linux 4.3

• Installazione del kernel con yum (kernel-2.6.9-34.EL)Installazione del kernel con yum (kernel-2.6.9-34.EL)• Driver, e client wpa si scaricano daDriver, e client wpa si scaricano dahttp://atrpms.net/dist/el4/http://atrpms.net/dist/el4/• Il firmware si scarica daIl firmware si scarica dahttp://atrpms.net/dist/commonhttp://atrpms.net/dist/common

Ubuntu 5.10Ubuntu 5.10• Installazione del kernel con apt (linux-image-2.6.12.12-10-686)Installazione del kernel con apt (linux-image-2.6.12.12-10-686)• Non occorre installare driver aggiuntiviNon occorre installare driver aggiuntivi• wpa_supplicant si scarica con apt (universe)wpa_supplicant si scarica con apt (universe)

Fedora Core 5Fedora Core 5• Installazione del kernel con yum (kernel-2.6.16-1.2122_FC5)Installazione del kernel con yum (kernel-2.6.16-1.2122_FC5)• Occorre installare il firmware da http://atrpms.net/dist/commonOccorre installare il firmware da http://atrpms.net/dist/common• wpa_supplicant si scarica con yumwpa_supplicant si scarica con yum

Debian testingDebian testing• Installazione del kernel con apt (lInstallazione del kernel con apt (linux-image-2.6.15.1-686)inux-image-2.6.15.1-686)• Non occorre installare driver aggiuntiviNon occorre installare driver aggiuntivi• wpa_supplicant si installa con apt (unstable main)wpa_supplicant si installa con apt (unstable main)

Scientific Linux 4.3Scientific Linux 4.3 Caratteristiche:Caratteristiche:

• Kernel Utilizzato: 2.6.9-34.EL i686Kernel Utilizzato: 2.6.9-34.EL i686 WE 16WE 16

• ipw2200 driver 1.1.0ipw2200 driver 1.1.0• ipw2200 firmware 2.4ipw2200 firmware 2.4• ieee80211 1.1.13ieee80211 1.1.13• wireless-tools-27-0.pre25.4.EL4wireless-tools-27-0.pre25.4.EL4

Pacchetti da installare:Pacchetti da installare:• kernel-2.6.9-34.ELkernel-2.6.9-34.EL• ieee80211-kmdl-2.6.9-34.EL-1.1.13-10.1.el4.atieee80211-kmdl-2.6.9-34.EL-1.1.13-10.1.el4.at• ipw2200-firmware-2.4-7.atipw2200-firmware-2.4-7.at• ipw2200-kmdl-2.6.9-34.EL-1.1.0-40.el4.atipw2200-kmdl-2.6.9-34.EL-1.1.0-40.el4.at• libpcsclite1-1.3.0-6.el4.atlibpcsclite1-1.3.0-6.el4.at• wpa_supplicant-0.4.8-10.1.el4.atwpa_supplicant-0.4.8-10.1.el4.at

Ubuntu 5.10Ubuntu 5.10

Caratteristiche:Caratteristiche:• Kernel Utilizzato: 2.6.12-10-686Kernel Utilizzato: 2.6.12-10-686

WE 17WE 17• ipw2200 driver 1.0.6ipw2200 driver 1.0.6• ipw2200 firmware 2.3ipw2200 firmware 2.3• ieee80211 1.0.3ieee80211 1.0.3• wireless-tools 27+28pre8-1ubuntu4wireless-tools 27+28pre8-1ubuntu4

Pacchetti da installare:Pacchetti da installare:• linux-image-2.6.12.12-10-686linux-image-2.6.12.12-10-686• Non sono necessari moduli aggiuntivi, il moduli Non sono necessari moduli aggiuntivi, il moduli

ieee80211 e ipw2200 sono gia’ presentiieee80211 e ipw2200 sono gia’ presenti• wpasupplicant 0.4.5-0ubuntu1 da scaricare nella wpasupplicant 0.4.5-0ubuntu1 da scaricare nella

repository repository universeuniverse

Fedora Core 5Fedora Core 5

Caratteristiche:Caratteristiche:• Kernel Utilizzato: 2.6.16-1.2122_FC5Kernel Utilizzato: 2.6.16-1.2122_FC5

WE 19WE 19

• ipw2200 driver 1.0.8ipw2200 driver 1.0.8• ipw2200 firmware 2.4ipw2200 firmware 2.4• ieee80211 1.1.7ieee80211 1.1.7• wireless-tools-28-0.pre13.5.1wireless-tools-28-0.pre13.5.1

Pacchetti da installare:Pacchetti da installare:• kernel-2.6.16-1.2122_FC5kernel-2.6.16-1.2122_FC5• ipw2200-firmware-2.4-7.atipw2200-firmware-2.4-7.at• wpa_supplicant-0.4.8-10.fc5wpa_supplicant-0.4.8-10.fc5

Debian Testing (Etch)Debian Testing (Etch) Caratteristiche:Caratteristiche:

• Kernel Utilizzato: 2.6.15-1-686Kernel Utilizzato: 2.6.15-1-686 WE 19WE 19

• ipw2200 driver 1.0.8ipw2200 driver 1.0.8• ipw2200 firmware 2.4ipw2200 firmware 2.4• ieee80211 1.1.7ieee80211 1.1.7• wireless-tools 27+28pre14-1wireless-tools 27+28pre14-1

Pacchetti da installare:Pacchetti da installare:• Linux-image-2.6.15.1-686Linux-image-2.6.15.1-686• Non sono necessari moduli aggiuntivi, il moduli ieee80211 Non sono necessari moduli aggiuntivi, il moduli ieee80211

e ipw2200 sono gia’ presentie ipw2200 sono gia’ presenti• wpasupplicant 0.4.8-4 da scaricare nella repository wpasupplicant 0.4.8-4 da scaricare nella repository

unstable mainunstable main

Metodo ManualeMetodo Manuale

Rebuild dei kernel module ipw2200 e Rebuild dei kernel module ipw2200 e ieee80211ieee80211• Possibilita’ di utilizzare le ultime versioniPossibilita’ di utilizzare le ultime versioni• Maggiori features a disposizioneMaggiori features a disposizione

Hardware encryptionHardware encryption Supporto per Linux wextSupporto per Linux wext

• Bisogna compilare e installare le ultime Bisogna compilare e installare le ultime versioni dal codice sorgenteversioni dal codice sorgente

Metodo Manuale es:Fedora Core 5Metodo Manuale es:Fedora Core 5 Download del firmware v3 Download del firmware v3

http://ipw2200.sourceforge.net/firmware.phphttp://ipw2200.sourceforge.net/firmware.php Copiare I file dell’achivio ipw2200-fw-3.0.tgz in Copiare I file dell’achivio ipw2200-fw-3.0.tgz in

/lib/firmware/lib/firmware Assicurarsi che venga utilizzata l’header della versione di Assicurarsi che venga utilizzata l’header della versione di

wireless-tools installatiwireless-tools installaticd /usr/include/linuxcd /usr/include/linuxrm wireless.hrm wireless.hln -s ../wireless.h .ln -s ../wireless.h .

yum install kernel-devel-2.6.16-1.2122_FC5yum install kernel-devel-2.6.16-1.2122_FC5 Scaricare ieee80211-1.1.13.tgz da http://ieee80211.sf.netScaricare ieee80211-1.1.13.tgz da http://ieee80211.sf.net

cd ieee80211-1.1.13cd ieee80211-1.1.13make make (yes per rimuovere i moduli di default)(yes per rimuovere i moduli di default)make installmake install I moduli verranno installati inI moduli verranno installati in/lib/modules/2.6.16-1.2122_FC5/net//lib/modules/2.6.16-1.2122_FC5/net/ieee80211 ieee80211

Metodo Manuale es:Fedora Core 5Metodo Manuale es:Fedora Core 5

Scaricare Scaricare ipw2200-1.1.2.tgz da ipw2200-1.1.2.tgz da http://ipw2200.sourceforge.nethttp://ipw2200.sourceforge.netcd ipw2200-1.1.2cd ipw2200-1.1.2

makemakemake installmake installchmod 744 chmod 744 /lib/modules/2.6.16-1.2122_FC5/kernel/driver/lib/modules/2.6.16-1.2122_FC5/kernel/drivers/net/wireless/ipw2200.kos/net/wireless/ipw2200.ko

Settare le opzioni di hardware encryption del modulo in Settare le opzioni di hardware encryption del modulo in /etc/modprobe.conf/etc/modprobe.confoptions ipw2200 hwcrypto=1options ipw2200 hwcrypto=1

Per Fedora Core 5 installare un update che risolve un bug di Per Fedora Core 5 installare un update che risolve un bug di sistemasistemayum --enablerepo=updates-testing install initscriptsyum --enablerepo=updates-testing install initscripts

rebootreboot

Come utilizzare 802.1xCome utilizzare 802.1x

wpa_supplicantwpa_supplicant• Supplicante che supporta diversi EAP type tra i Supplicante che supporta diversi EAP type tra i

quali anche EAP-TTLSquali anche EAP-TTLS

wpa_cliwpa_cli• Parte client di wpa_supplicant: e’ una user Parte client di wpa_supplicant: e’ una user

interface di controllo per wpa_supplicantinterface di controllo per wpa_supplicant

wpa_gui, kwlanwpa_gui, kwlan• user interface grafiche per linux. Non user interface grafiche per linux. Non

funzionano ancora bene… meglio wpa_clifunzionano ancora bene… meglio wpa_cli

wpa_supplicant - configurazionewpa_supplicant - configurazionectrl_interface=/var/run/wpa_supplicantctrl_interface=/var/run/wpa_supplicantctrl_interface_group=0ctrl_interface_group=0eapol_version=1eapol_version=1ap_scan=2ap_scan=2fast_reauth=1fast_reauth=1

network={network={ssid="INFN-dot1x"ssid="INFN-dot1x"proto=WPAproto=WPAscan_ssid=1scan_ssid=1key_mgmt=WPA-EAPkey_mgmt=WPA-EAPpairwise=TKIPpairwise=TKIPgroup=TKIPgroup=TKIPeap=TTLSeap=TTLSidentity="veraldi@cr.cnaf.infn.it"identity="veraldi@cr.cnaf.infn.it"ca_cert="/etc/ssl/certs/INFN-CA.pem“ca_cert="/etc/ssl/certs/INFN-CA.pem“phase2="auth=PAP"phase2="auth=PAP"priority=1priority=1

}}

wpa_supplicant - startwpa_supplicant - start

Debug modeDebug modewpa_supplicant –w –d –ieth1 –Dipw –wpa_supplicant –w –d –ieth1 –Dipw –c ./etc/wpa_supplicant.confc ./etc/wpa_supplicant.conf

Daemon modeDaemon mode

wpa_supplicant –B –ieth1 –Dipw –c wpa_supplicant –B –ieth1 –Dipw –c ./etc/wpa_supplicant.conf./etc/wpa_supplicant.conf

wpa_cliwpa_cli

Serve per interfaccarsi con Serve per interfaccarsi con wpa_supplicantwpa_supplicant

Si possono dare comandi a Si possono dare comandi a wpa_supplicant come se fossero letti wpa_supplicant come se fossero letti dal file di configurazionedal file di configurazione

E’ possibile inserire dati sensibili E’ possibile inserire dati sensibili come username o password per come username o password per l’autenticazionel’autenticazione

wpa_cli - autenticazionewpa_cli - autenticazione

Autenticati con 802.1x… associati Autenticati con 802.1x… associati alla rete…alla rete…

Supporto WPASupporto WPA

WPA + TKIP funzionaWPA + TKIP funziona WPA2 + AES_CCMP non funzionaWPA2 + AES_CCMP non funziona

WPA + TKIP e’ piu’ che sufficiente a WPA + TKIP e’ piu’ che sufficiente a garantire un accesso sicuro alla rete garantire un accesso sicuro alla rete WifiWifi

802.1x su Linux - considerazioni802.1x su Linux - considerazioni

Installazione dei lkm semplice, pacchetti Installazione dei lkm semplice, pacchetti gia’ pre-compilati o presenti nelle repo apt gia’ pre-compilati o presenti nelle repo apt e yume yum

wpa_supplicant e’ un supplicant completo wpa_supplicant e’ un supplicant completo (EAP-TTLS, EAP-TLS, EAP-PEAP, EAP-FAST (EAP-TTLS, EAP-TLS, EAP-PEAP, EAP-FAST ecc…)ecc…)

Funziona bene, connessione WiFi affidabileFunziona bene, connessione WiFi affidabile Sempre piu’ distribuzioni contengono gia’ i Sempre piu’ distribuzioni contengono gia’ i

pacchetti necessari al loro interno (Ubuntu pacchetti necessari al loro interno (Ubuntu 5.10, Fedora Core 5 …)5.10, Fedora Core 5 …)