linux user group brescia

questo è un breve articolo che spiega una configurazione WPA enterprise
molto banale fatta con freeRADIUS e PEAP.

http://opentodo.net/2012/07/configuring-peap-authentication-with-freeradius/

PEAP è anche wired, ci sono gli switch che fanno 802.1x che lo supportano e
quando attacchi il cavo ti chiede username e password.

l'autenticazione in quell'articolo è molto banale ma è un esempio, poi di
solito ci si interfaccia con database SQL, ldap o active directory in
infrastrutture reali.

2015-02-06 0:27 GMT+01:00 Jamil <jamil.jamil a gmail.com>:

> Mi interessa anche questo aspetto...  Conosci della documentazione pratica
> da indicarmi?
> Jamil
>
> Il giorno gio 5 feb 2015 22:07 Francesco Rmp <atomikramp a gmail.com> ha
> scritto:
>
>> Ciao, solo in ambiente di test.
>>
>> Comunque l'802.1x per l'accountability layer2, oltre che farlo per mac
>> address puoi anche farlo per utente, è fighissimo, plugghi il cavo di rete
>> e ti chiede id e password.
>> in base all'autenticazione il server ti rilascia IP ed eventuali settaggi
>> vari per la rete.
>>
>> 2015-02-05 19:19 GMT+01:00 Jamil <jamil.jamil a gmail.com>:
>>
>>> Io intendevo anche un documento scarno ma con consigli preziosi da
>>> approfondire man mano che si costruisce l'architettura..
>>>
>>> Conosco sia vlan sia gli switch hp managed...
>>> Mi incuriosisce invece, avendo già il ferro a disposizione,  come
>>> implementare radius con accountability  dei PC (immagino a livello mac
>>> address) e profilazione degli utenti con regole dinamiche
>>>
>>> Hai già avuto modo di affrontare configurazioni simili?
>>> Jamil
>>> Il 05/feb/2015 18:55 "Francesco Rmp" <atomikramp a gmail.com> ha scritto:
>>>
>>>> Ciao Jamil,
>>>> c'è molta roba ma tutta sparsa.
>>>> Principalmente perchè richiede l'interazione di tanti apparati diversi.
>>>>
>>>> Io partirei dallo studiare come funziona un server RADIUS, cosa fa, e
>>>> come e a cosa serve.
>>>> poi una volta che hai capito quello, devi vedere con che cosa andrai ad
>>>> utilizzarlo e per quali scopi, e ti servirà verificare la documentazione
>>>> degli apparati specifici che andrai ad utilizzare (es, come configurare uno
>>>> switch cisco piuttosto che HP, lì è roba vendor specific).
>>>>
>>>> Poi puoi iniziare ad aggiungere pezzi all'architettura, come sistemi
>>>> proattivi per il controllo degli accessi alla rete... a me piace molto (per
>>>> esempio) packetfence.
>>>>
>>>> 2015-02-05 18:39 GMT+01:00 Jamil <jamil.jamil a gmail.com>:
>>>>
>>>>> Molto interessante la soluzione 4 proposto da @Francesco ; puoi
>>>>> consigliare un documento/sito che spieghi come poter iniziare a
>>>>> implementare una tale soluzione.?
>>>>> Grazie
>>>>> Jamil
>>>>>  Il 05/02/2015 10:10, Francesco Rmp ha scritto:
>>>>>
>>>>> Ciao
>>>>> si prospettano diversi scenari in questo caso secondo me e tutto
>>>>> dipende poi dai requisiti funzionali.
>>>>>
>>>>>  scenario 1
>>>>> tutto è come prima, non ha importanza con che router esce chi,
>>>>> l'importante è che ci sia più banda
>>>>> è la cosa più semplice da fare, basta mettere a monte un access
>>>>> gateway che possa fare load balancing tra le due WAN (pfsense, endian,
>>>>> vattelapesca)
>>>>> è molto semplice da implementare, non cambi nulla nella tua
>>>>> infrastruttura di rete interna... e tutto va SUBITO
>>>>>
>>>>>  soluzione 2
>>>>> le due reti sono separate a livello logico ma l'isolamento non è
>>>>> critico, l'unica cosa che conta è che ogni scuola esca col proprio access
>>>>> gateway (router adsl)
>>>>> anche qui è abbastanza semplice da fare, ma le due reti si possono
>>>>> comunque parlare tra di loro.
>>>>> crei due classi di indirizzamento per i PC di una e dell'altra scuola,
>>>>> e poi utilizzi sul firewall delle routing policies che instradano il
>>>>> traffico verso uno o l'altro gateway a seconda dell'IP sorgente
>>>>> c'è un contro madornale: la configurazione degli spazi di
>>>>> indirizzamento è un delirio perché se vuoi usare il DHCP devi configurare i
>>>>> leasing a mano.. e non ti passa più
>>>>> io questa la scarterei, è semplice all'inizio, ma poi diventa un
>>>>> delirio col passare del tempo
>>>>>
>>>>>  soluzione 3:
>>>>> compartimenti le due reti separandole a livello 2 con VLAN (se gli
>>>>> switch permettono) o semplicemente usando apparati diversi.
>>>>> viene una cosa molto pulita,
>>>>> hai due reti separate a tutti gli effetti
>>>>> hai pieno controllo su cosa eventualmente può passare e cosa no tra
>>>>> una rete e l'altra
>>>>> puoi anche decidere di tenere un unico domain controller che può stare
>>>>> da solo su una terza rete (DMZ) accessibile da entrambe le LAN per la parte
>>>>> di accountability.
>>>>> anche qui, spazi di indirizzamento IP diversi = routing policies
>>>>> configurabili e ogni rete può uscire sul proprio gateway.
>>>>> Unica cosa da stimare a priori in questo caso è quanti dati devono
>>>>> poter passare tra una rete e l'altra.
>>>>> Tutto il routing viene a questo punto gestito dal firewall (pfsense,
>>>>> endian, whatever) e se il traffico è tanto, ci vuole un firewall che sia in
>>>>> grado di gestire grossi volumi di throughput..
>>>>>
>>>>>  soluzione 4:
>>>>> AKA la rete superlusso
>>>>> accountability dei computer a layer 2 con 802.1x e server radius per
>>>>> le policy.
>>>>> aumenta la complessità di gestione ma hai tutti i vantaggi della rete
>>>>> 3, più la flessibilità di ppoter ribaltare tutto il layout della rete in
>>>>> pochissimo tempo.
>>>>> hai un server RADIUS dove gestisci gli spazi di indirizzamento e le
>>>>> VLAN a cui appartengono i singoli computer sulla base di mac address, puoi
>>>>> spostare i computer da una rete all'altra cambiado una configurazione,
>>>>> senza dover andare a smanettare sul singolo PC, o su altri mille apparati,
>>>>> e cosa più importante (in tutte le reti pubbliche imho), puoi adottare
>>>>> regole di whitelisting per cui eventuali apparati estranei non possono
>>>>> collegatsi (vedi il furbo che collega il suo portatile alla prima presa di
>>>>> rete che trova a muro).
>>>>> Secondo me questa soluzione per una scuola è un overkill, è molto figa
>>>>> sì, ma ci vogliono apparati che supportino i protocolli layer2, e una buona
>>>>> predisposizione del sistemista ad un livello di sofferenza notevole nella
>>>>> configurazione e nel testing iniziale.
>>>>>
>>>>>  se vuoi un consiglio...
>>>>> soluzione 3 :)
>>>>>
>>>>>  Francesco
>>>>>
>>>>> 2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com>:
>>>>>
>>>>>>
>>>>>> Il 04/02/2015 17:41, antonello facchetti ha scritto:
>>>>>>
>>>>>>> Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>>>>>>>
>>>>>>>> Endian e Zentyal fanno la stessa cosa di pfsense. Mi è poco chiara
>>>>>>>> la questione domini....
>>>>>>>> V.
>>>>>>>>
>>>>>>>>  La mia idea sarebbe di mantenere tutto nello stesso dominio
>>>>>>> (gestito da un server windows AD): trattandosi di rete didattica con
>>>>>>> laboratorio condiviso non ha senso differenziare, anzi causerebbe
>>>>>>> confusione.
>>>>>>>
>>>>>>  Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server di
>>>>>> solito li metto in una LAN e i PC in un'altra...
>>>>>>
>>>>>>> Avendo comunque due accessi adsl potrei pensare di connetterli
>>>>>>> entrambi via il proxy endian che sto mettendo in piedi.
>>>>>>> Il problema è come...
>>>>>>> potrei definire due gruppi di clients e indirizzarli uno a un ruter
>>>>>>> uno all'altro...
>>>>>>> oppure definire una policy di load-balancing tra i due router...
>>>>>>> dove posso trovare info in proposito?
>>>>>>>
>>>>>>>
>>>>>> http://help.endian.com/entries/20061101-How-to-Add-a-Failover-Internet-Uplink
>>>>>>
>>>>>>> Antonello
>>>>>>>
>>>>>>>
>>>>>> --
>>>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>>>
>>>>>
>>>>>
>>>>>
>>>>>  bella la 3...
>>>>> ma visto il tempo e le mie competenze mi sa ch opterò per la 1...
>>>>>
>>>>> grazie a tutti
>>>>> Antonello
>>>>>
>>>>> --
>>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>>
>>>>> --
>>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>>
>>>>
>>>>
>>>> --
>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>
>>>
>>> --
>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150206/09c99040/attachment.html>