Határidős accountok WiFi rendszerekhez



Hasonló dokumentumok
Hálózatbiztonság növelése, automatikusan konfigurálódó access portok. Cseh Vendel, HBONE Workshop, 2011 november, Mátrafüred

DWL-G520 AirPlus Xtreme G 2,4GHz Vezeték nélküli PCI Adapter

A WiFi hálózatok technikai háttere

Az intézményi hálózathoz való hozzáférés szabályozása

Eduroam Az NIIF tervei

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Sulinet+ Azonosítási és jogosultságkezelési pilot. Sulinet eduid/eduroam oktatás. Bajnok Kristóf NIIF Intézet

Hama WLAN USB Stick 54 Mb/s. Használati útmutató

Adattípusok. Max. 2GByte

Adattípusok. Max. 2GByte

Adatbázis használat I. 5. gyakorlat

Adatbázisok* tulajdonságai

Switch konfigurációs demo

B I T M A N B I v: T M A N

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

IH Rendezvényközpont március

Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -

Tájékoztató. Használható segédeszköz: -

8. Gyakorlat SQL. DDL (Data Definition Language) adatdefiníciós nyelv utasításai:

Cisco Acces Pointok bemutatása

Széchenyi István Egyetem

III. előadás. Kovács Róbert

MOME WiFi hálózati kapcsolat beállítása február 25.

Tábla létrehozása: CREATE TABLE alma( ID INT( 3 ) NOT NULL PRIMARY KEY, Leiras VARCHAR( 100 ) );

Eduroam változások - fejlesztések, fejlődések. Mohácsi János NIIF Intézet HBONE Workshop 2015

BEVEZETÉS Az objektum fogalma

1. Kapcsolók konfigurálása

Adatbázis-kezelés. Harmadik előadás

DWL-G650 AirPlus Xtreme G 2.4GHz Vezeték nélküli Cardbus Adapter

Java és web programozás

Fábián Zoltán Hálózatok elmélet

Debreceni Egyetem Informatikai Kar TANULÓI NYILVÁNTARTÓ SZOFTVER FIREBIRD ADATBÁZIS ALKALMAZÁSÁVAL

Gyakorlás: Hozzunk létre egy Alkalmazottak táblát AZO szám, Részleg szöveg, Munkakör szöveg és BelépésDátuma dátum típussal.

WiFi szolgáltatás az SZTE Egyetemi Számítóközpontban I.

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

Felhasználói kézikönyv

Version /27/2013 Használati útmutató

Vezetéknélküli technológia

5. téma XML DB. Az adatkezelés és XML kapcsolata. Miért fontos az XML használata az adatbázis kezelésben?

SQL PÉLDATÁR. készült a PTE TTK Iskolai informatika III. kurzus teljesítésére

Biztonságos vezeték-nélküli hálózat tervezése és tesztelése

TP-LINK Business Wireless Az EAP Kontrolleres Wi-Fi termékcsalád bemutatása - bevezető SMB Product Line

Az SQL adatbázisnyelv: DML

Adatbázisok biztonsága

Készítette: Szabóné Nacsa Rozália

IP alapú komunikáció. 2. Előadás - Switchek 2 Kovács Ákos

SQL*Plus. Felhasználók: SYS: rendszergazda SCOTT: demonstrációs adatbázis, táblái: EMP (dolgozó), DEPT (osztály) "közönséges" felhasználók

Adatbázis Rendszerek I. 10. SQL alapok (DML esettanulmány)

Hálózatok építése és üzemeltetése. EAP RADIUS : Gyakorlati útmutató

SQL jogosultság-kezelés. Privilégiumok Grant és Revoke Grant Diagrammok

Adatbázis tartalmának módosítása

Tranzakciókezelés PL/SQL-ben

Statisztikai szoftverek Molnár Gábor József

Adatbázisok. 8. gyakorlat. SQL: CREATE TABLE, aktualizálás (INSERT, UPDATE, DELETE), SELECT október október 26. Adatbázisok 1 / 17

N1 Vezeték nélküli notebook-kártya

MÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kovács Gerely (GK2VSO) Mérés megrendelője: Derka István

Szoftverfejlesztések szolgáltatói hálózatok számára

Hálózatok építése, konfigurálása és működtetése EAP - RADIUS

Adatbázis Rendszerek II. 8. Gyakorló környezet

Gyorskalauz. AC1200 WiFi tartománybővítő. EX6150 típus

Adatbázis rendszerek SQL nyomkövetés

Adatbázis Rendszerek II. 2. Gyakorló környezet

Magyar változat. Telepítés Windows XP és Vista operációs rendszerre. LW311 Sweex Vezeték nélküli LAN cardbus adapter, 300 MB/mp

Cisco Mobility Express megoldás

Cisco Catalyst 3500XL switch segédlet

Adatbázis Rendszerek I. 9. SQL alapok (DDL esettanulmány)

Csomag. Adatbázis-objektum Programozási eszközök gyűjteménye Két részből áll. specifikáció törzs (opcionális)

Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

SQL ALAPOK. Bevezetés A MYSQL szintaxisa Táblák, adatok kezelésének alapjai

Elemi alkalmazások fejlesztése IV.

Vektoros grafikát tároló adatbázisok. Katona Endre Térképi adatbázisok diasorozata alapján

SQL haladó. Külső összekapcsolások, Csoportosítás/Összesítés, Beszúrás/Törlés/Módosítás, Táblák létrehozása/kulcs megszorítások

Hogyan tovább eduroam? Mohácsi János NIIF Intézet HBONE Workshop 2013

Megvalósítás: fókuszban az intézményi igények

Felhasználói kézikönyv. funscreen EM73 Tablet

SQL DDL-2 (aktív elemek) triggerek

Adatbázis Rendszerek II. 3. SQL alapok

WiFi biztonság A jó, a rossz és a csúf

Sugárvédelmi környezetellenőrző rendszer felújítása és bővítése - 2. sz. szerződésmódosítás

Szálkezelés. Melyik az a hívás, amelynek megtörténtekor már biztosak lehetünk a deadlock kialakulásában?

SQL OLAP 2. óra. Multi-dimenzionális adatmodell. A normalizált relációs modell bonyolult a felhasználók számára

A magyar URN:NBN rendszer alapelvei

Java és web programozás

Adatbázis Rendszerek II. 2. Ea: Gyakorló környezet

Sapientia - Erdélyi Magyar TudományEgyetem (EMTE) Marosvásárhely. ABR ( Adatbázisrendszerek) 12. Előadás:


2 Helyezze be a CD-ROM-ot a CD-ROM meghajtóba.

TANÚSÍTVÁNY. tanúsítja, hogy a Polysys Kft. által kifejlesztett és forgalmazott

IT hálózat biztonság. A WiFi hálózatok biztonsága

Telepítés. N300 WiFi erősítő. WN3000RPv3 típus

Excel ODBC-ADO API. Tevékenységpontok: - DBMS telepítés. - ODBC driver telepítése. - DSN létrehozatala. -Excel-ben ADO bevonása

A relációs adatbáziskezelés szabványos nyelve Két fő csoportba sorolhatók az utasításai

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához


Biztonságos PHP a gyakorlatban

Wireless LAN a Műegyetemen

Biztonságos wireless megoldás OpenWRT alapokon

Az indexelés újdonságai Oracle Database 12c R1 és 12c R2

Adatbázis. AMP! (Apache + MySql + PHP) XAMPP, LAMP, MAMP, WAMP et cetera

Kilencedik témakör: Lazarus-Firebird. Készítette: Dr. Kotsis Domokos

Átírás:

Határidős accountok WiFi rendszerekhez Pásztor György pasztor@bibl.u-szeged.hu Szegedi Tudományegyetem - Egyetemi Könyvtár Bán Attila István miham@bibl.u-szeged.hu Szegedi Tudományegyetem - Egyetemi Könyvtár 1 / 22

Az előadás szerkezeti áttekintése A probléma és a körülmények specifikálása A probléma megoldásához használt eszközök A eszközök felhasználásának hogyanja 2 / 22

A probléma I. A probléma: Adjunk a könyvtár használói számára drótnélküli internetelérést Biztonságos legyen Elvárások a rendszertől A felhasználó számára egyszerűen telepíthető legyen Egyszerű legyen a hozzá kapcsolódó adminisztráció Illeszkedjen be a meglévő hálózati infrastruktúránkba Többféle WiFi accountot képesek legyünk kezelni 3 / 22

A probléma II. Biztonsággal kapcsolatos kérdések: Biztonság A forgalmazott adatokat ne lehessen road-warrior eszközökkel lehallgatni Az accountokat lehetőség szerint, ne tudják egymástól ellopni Felhasználóbarátság Lehetőleg ne kelljen külön szoftvert telepíteni a laptopokra Gyorsan és könnyen beállítható legyen 4 / 22

A probléma III. Egyszerű adminisztráció A hálózat vagy avval kapcsolatos konfigurációba ne kelljene belenyúlnia, csak a hálózat üzemeltetőinek és ne az accountot kiadó nem-technikai munkatársaknak.,,kaparós sorsjegy ötlet: Az igényeknek megfelelően legyártunk előre accountokat, amelyek az első használattól lépnek életbe, és egy megadott ideig élnek csak. 5 / 22

A probléma IV. Az eddigi körülmények Adott egy hálózat az épületben (3750-es Routerek, és 2950-es Switchek) A hálózat üzemeltetéséhez adott egy radius szerver Adott a helyszín, ahol működnie kell: leárnyékolt részek, több emelet, stb. Többféle account,,normál lejárós accountok, korlátozott interneteléréssel,,vip accountok, amelyek nem járnak le, korlátlan netelérésük van, stb. 6 / 22

Eszközök I. Beléptetés 802.1X-el: MD5 auth elvetve, mert a windowsos kliensek SP után nem engedik kliens certificate elvetve, mert: túl sok adminisztráció kellene a certek előállításához a certificateket a laptopokra fel kell telepíteni, így nem kifejezetten felhasználóbarát nehezebben oldható meg a lejáratása (gyakorlatilag egy user/passw párosra kihegyezett infrastruktúrát így is üzembe kellene hozzá helyezzünk) PEAP+mschapv2 lett a nyerő: szinte minden supplicant ismeri 7 / 22

Eszközök II. Már adott eszközök, amiket felhasználtunk, kiegészítettünk A freeradius már adott volt, mint radius szerver(authenticator) plain text fájlról átálltunk sql backendre, így ha egy új bejegyzést tettünk, nem kellett a radius szervert újraindítani A freeradius saját sql sémáit módosítva létre tudunk hozni olyan táblákat, amelyekbe bizonyos adatok dinamikusan jellennek meg az accountok élettartamától függően 8 / 22

Eszközök III. A többféle accountok problémaköre A különböző típusú accountok különböző vlanokba (802.1Q trunking) A radius válaszban pedig megmondjuk, hogy melyik vlan-ba kerüljön a kliens Egy AP felé néző port konfigja: interface FastEthernet0/2 switchport trunk native vlan 200 switchport trunk allowed vlan 200,210,211,607 switchport mode trunk no snmp trap link-status spanning-tree portfast 9 / 22

Eszközök IV. A biztonság problémaköre WPA, ill. legacy célokra dinamikus 128 bites WEP Változó WEP kulcs Kliensenként változik a kulcs (radius szervert igényel!) Az idő elteltével a kliensekhez rendelt kulcs helyett is újat generál 10 / 22

Részletek az AP konfigból: interface Dot11Radio0 encryption vlan 607 mode ciphers tkip wep128 encryption vlan 211 mode ciphers tkip wep128 encryption vlan 210 mode ciphers tkip wep128 broadcast-key vlan 607 change 1200 broadcast-key vlan 211 change 1200 broadcast-key vlan 210 change 1200 ssid GUEST vlan 210 authentication open eap eap_methods authentication key-management wpa optional accounting acct_methods 11 / 22

Részletek II.: ssid SZTE-EK vlan 211 authentication open eap eap_methods authentication key-management wpa optional accounting acct_methods guest-mode ssid SZTE-EK-VIP vlan 607 authentication open eap eap_methods authentication key-management wpa optional accounting acct_methods dot1x reauth-period 1200 12 / 22

Megoldás I. A,,lejáró accountok CREATE TABLE kvt_wifi_access ( username text, start_time timestamp without time zone DEFAULT 1970-01-01 00:00:00 ::timestamp without time zone, valid_period integer DEFAULT 0, expire_date timestamp without time zone DEFAULT 1970-01-01 00:00:00 ::timestamp without time zone, id integer DEFAULT nextval( public.static_radcheck_id_seq ::text) NOT NULL ); 13 / 22

Megoldás II. A lejáró accountok ellenőrzése CREATE VIEW dynamic_radcheck AS SELECT kwa.id, kwa.username, User-Password ::text AS attribute, == ::text AS op, guestwifi ::text AS value FROM kvt_wifi_access kwa; Radius konfigmod (freeradius/postgresql.conf): postauth_query = "UPDATE kvt_wifi_access SET start_time = now, \ expire_date = now() + valid_period * interval 1 second \ WHERE username = %User-Name \ AND start_time = 1970-01-01 ::timestamp;" 14 / 22

Megoldás III. Minden radius attributum ellenőrzése CREATE VIEW radcheck AS SELECT dynamic_radcheck.id, dynamic_radcheck.username, dynamic_radcheck.attribute, dynamic_radcheck.op, dynamic_radcheck.value FROM dynamic_radcheck UNION ALL SELECT static_radcheck.id, static_radcheck.username, static_radcheck.attribute, static_radcheck.op, static_radcheck.value FROM static_radcheck; 15 / 22

Megoldás IV. A lejáró accountok csoportba sorolása CREATE VIEW dynamic_usergroup AS SELECT 0 AS id, kwa.username, CASE WHEN ((kwa.expire_date = 1970-01-01 00:00:00 ::timestamp without time zone) OR ((kwa.expire_date)::timestamp with time zone > now())) THEN wifi ::text ELSE cage ::text END AS groupname FROM kvt_wifi_access kwa; 16 / 22

Megoldás V. A csoportok összefésülése CREATE VIEW usergroup AS SELECT dynamic_usergroup.id, dynamic_usergroup.username, dynamic_usergroup.groupname FROM dynamic_usergroup UNION ALL SELECT static_usergroup.id, static_usergroup.username, static_usergroup.groupname FROM static_usergroup; 17 / 22

Megoldás VI. Klasszikus radius adminisztráció A klasszikus radius bejegyzések: INSERT INTO static_radcheck (username, attribute, op, value) VALUES ( pasztor, Auth-Type, :=, Local );... VALUES ( pasztor, User-Password, ==, s3cr3t );... VALUES ( miham, Auth-Type, :=, Local );... VALUES ( miham, User-Password, ==, s3cr3t2 ); INSERT INTO radreply (username, attribute, op, value) VALUES ( pasztor, Service-Type, =, Login-User );... VALUES ( miham, Service-Type, =, Login-User ); 18 / 22

wifi és vip csoport: Megoldás VII. WiFi csoportok vsa attribútumai INSERT INTO radgroupreply (groupname, attribute, op, value) VALUES ( wifi, Service-Type, =, Framed-User );... VALUES ( wifi, Tunnel-Type:1, =, 13 );... VALUES ( wifi, Tunnel-Medium-Type:1, =, 6 );... VALUES ( wifi, Tunnel-Private-Group-ID:1, =, 210 );... VALUES ( vip, Service-Type, =, Framed-User );... VALUES ( vip, Tunnel-Type, =, :1:13 );... VALUES ( vip, Tunnel-Medium-Type, =, :1:6 );... VALUES ( vip, Tunnel-Private-Group-ID, =, :1:607 ); 19 / 22

Megoldás VIII. vip&mac eap.conf: eap {...... } default_eap_type = peap peap { } default_eap_type = mschapv2 copy_request_to_tunnel = yes 20 / 22

Megoldás IX. WiFi accountok managemntje vip account: INSERT INTO static_radcheck (username, attribute, op, value) VALUES ( vip00, User-Password, ==, vippw00 );... VALUES ( vip00, Calling-Station-Id, ==, 0003.1b57.a443 ); INSERT INTO static_usergroup (username, groupname) VALUES ( vip00, vip ); nem vip account: INSERT INTO kvt_wifi_access (username, start_time, valid_period, expire_date) VALUES ( hsjzi1gllmpu, 1970-01-01 00:00:00, 345600, 1970-01-01 00:00:00 ); 21 / 22

online cím: http://www.bibl.u-szeged.hu/ pasztor/nws2k6/ 22 / 22