Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
Realizzare un’unica piattaforma che garantisce Omni-channel, Zero-downtime, Functional-decomposition e Auto-scaling è possibile? Vi raccontiamo un caso reale di come, utilizzando Zuul, Eureka, SpringBoot, Docker abbiamo realizzato i desideri del cliente e attuato questa trasformazione.
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
Review degli strumenti a disposizione e loro contestualizzazione per erogare servizi tramite il protocollo HTTP reso sicuro (HTTPS) utilizzando il servizio Internet Let's Encripts e confronto tra gli approcci tecnologici applicabili a Apache, Nginx e Traefik.
Presentazione delle soluzioni di Truelite per i server aziendali delle piccole e medie imprese.
Relatore: Simone Piccardi
Evento: Lavorare Open Source - 20 Settembre 2011
Organizzatore: T-OSSLab / Comune di Massa
Luogo: Massa
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
Realizzare un’unica piattaforma che garantisce Omni-channel, Zero-downtime, Functional-decomposition e Auto-scaling è possibile? Vi raccontiamo un caso reale di come, utilizzando Zuul, Eureka, SpringBoot, Docker abbiamo realizzato i desideri del cliente e attuato questa trasformazione.
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
Review degli strumenti a disposizione e loro contestualizzazione per erogare servizi tramite il protocollo HTTP reso sicuro (HTTPS) utilizzando il servizio Internet Let's Encripts e confronto tra gli approcci tecnologici applicabili a Apache, Nginx e Traefik.
Presentazione delle soluzioni di Truelite per i server aziendali delle piccole e medie imprese.
Relatore: Simone Piccardi
Evento: Lavorare Open Source - 20 Settembre 2011
Organizzatore: T-OSSLab / Comune di Massa
Luogo: Massa
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Marco Guardigli
A italian presentation for introducing to the disaster recovery and business continuity concepts, for the technicians of the italian ministry of the treasure
Gli HTTP Security Header e altri elementi da sapere su HTTP in un Web Applica...Simone Onofri
Negli ultimi anni la disponibilità di Browser sempre più avanzati e le grandi capacità di calcolo dei Client hanno portato all’attenzione della comunità di sicurezza una serie di attacchi o tecniche che hanno come bersaglio principale l’utente dell’applicazione. I vendor e organizzazioni come IEFT e W3C hanno considerato opportuna l’implementazione di alcune protezioni attivabili tramite Header HTTP.
Gli header devono essere configurati per non rilasciare le informazioni, ottimizzare cache e codifica. Di contro manipolando direttamente i pacchetti HTTP è possibile alterare anche le risposte dell’applicazione o il suo funzionamento. Durate il talk analizzeremo attacchi come l’UI Redressing / HTTP Response Splitting, HTTP Verb Tampering e molto altro.
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
TCP/IP networking essential course in the healthcare area for the Karl Storz Endoskope Italia technical crew
Sorry for page 53 error: lightweight directory access protocol is LDAP, not TFTP!
Presentazione Scenario Normative Internazionali tratta dal seminario HELPING YOU BUILD A BETTER NETWORKS conclusosi con l\'ultima tappa di Lisbona in Portogallo
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
In questo eBook sarà affrontato un argomento legato alla sicurezza che riguarda il come rendere sicure le connessioni HTTP attraverso il protocollo SSL/TLS (da ora in avanti TLS). Questo aspetto di sicurezza non è strettamente legato a Liferay, infatti non esiste nessun riferimento sulla LDN, riguarda invece l’infrastruttura dove il portale Liferay è collocato.
Il percorso che seguiremo nel corso di questo eBook per raggiungere il nostro obiettivo, sarà così organizzato:
1. Gestione dei certificati
2. Configurazione del protocollo TLS
3. Configurazione del portale Liferay (sia Apache Tomcat sia WildFly)
Nata nel 2003, Nethesis si è affermata come uno dei principali attori della scena Open Source italiana, producendo numerose soluzioni ICT particolarmente apprezzate per completezza, flessibilità e prestazioni: Firewall UTM, HotSpot, UC&C, groupware, sistemi VoIP per aziende e callcenter, virtualizzazione, Business continuity, CRM, ECM, IT Monitoring e videosorveglianza.
Nethesis è oggi una struttura solida che ha instaurato relazioni durature con clienti e partner grazie a prodotti ricchi di funzionalità e facili da gestire e all’alta qualità dei servizi erogati quali assistenza, formazione, blog tecnico, FAQ e tutorial online costantemente aggiornati.
Un crescita costante negli anni ha portato Nethesis, in poco tempo, a raggiungere numeri importanti: una rete di oltre 200 rivenditori capillarmente distribuiti sul territorio nazionale e un parco installato, in costante aumento, che ha superato i 10.000 clienti.
Il percorso di sviluppo volto a progettare servizi e prodotti sempre innovativi e l'attento lavoro di ricerca, hanno portato oggi alla nascita del nuovo progetto Open Source NethServer (http://www.nethserver.it), utilizzato come base di tutte le soluzioni Nethesis
Uno dei molti vantaggi del Sistema Operativo Linux è che il suo “interno” è aperto a tutti. Il kernel Linux è un corpo grande e complesso di codice. I drivers di periferica, sono distinte “scatole nere” che fanno sì che un particolare pezzo di hardware risponda ad un interfaccia di programmazione ben definita. Le attività dell’utente sono effettuate tramite una serie di chiamate standardizzate indipendenti dal driver specifico. Quindi i driver possono essere costruiti separatamente dal resto del kernel e “inseriti” a runtime quando necessario.
Presentazione (in italiano) delle soluzioni ATEN per il controllo KVM in locale e da remoto uno o più server.
Maggio 2015
Autore: Luca ENEA-SPILIMBERGO - luca@aten.be
Vulnerability Assessment vuol dire mettersi per un attimo nei panni dei cattivi per capire se il nostro sito sia facilmente attaccabile in modo da proteggersi almeno dalle aggressioni più comuni.
Vedremo alcune modalità di attacco e assessment più comuni con dei rapidi esempi d'uso degli strumenti di software libero più comuni come nmap, nikto, dirb.
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Marco Guardigli
A italian presentation for introducing to the disaster recovery and business continuity concepts, for the technicians of the italian ministry of the treasure
Gli HTTP Security Header e altri elementi da sapere su HTTP in un Web Applica...Simone Onofri
Negli ultimi anni la disponibilità di Browser sempre più avanzati e le grandi capacità di calcolo dei Client hanno portato all’attenzione della comunità di sicurezza una serie di attacchi o tecniche che hanno come bersaglio principale l’utente dell’applicazione. I vendor e organizzazioni come IEFT e W3C hanno considerato opportuna l’implementazione di alcune protezioni attivabili tramite Header HTTP.
Gli header devono essere configurati per non rilasciare le informazioni, ottimizzare cache e codifica. Di contro manipolando direttamente i pacchetti HTTP è possibile alterare anche le risposte dell’applicazione o il suo funzionamento. Durate il talk analizzeremo attacchi come l’UI Redressing / HTTP Response Splitting, HTTP Verb Tampering e molto altro.
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
TCP/IP networking essential course in the healthcare area for the Karl Storz Endoskope Italia technical crew
Sorry for page 53 error: lightweight directory access protocol is LDAP, not TFTP!
Presentazione Scenario Normative Internazionali tratta dal seminario HELPING YOU BUILD A BETTER NETWORKS conclusosi con l\'ultima tappa di Lisbona in Portogallo
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
In questo eBook sarà affrontato un argomento legato alla sicurezza che riguarda il come rendere sicure le connessioni HTTP attraverso il protocollo SSL/TLS (da ora in avanti TLS). Questo aspetto di sicurezza non è strettamente legato a Liferay, infatti non esiste nessun riferimento sulla LDN, riguarda invece l’infrastruttura dove il portale Liferay è collocato.
Il percorso che seguiremo nel corso di questo eBook per raggiungere il nostro obiettivo, sarà così organizzato:
1. Gestione dei certificati
2. Configurazione del protocollo TLS
3. Configurazione del portale Liferay (sia Apache Tomcat sia WildFly)
Nata nel 2003, Nethesis si è affermata come uno dei principali attori della scena Open Source italiana, producendo numerose soluzioni ICT particolarmente apprezzate per completezza, flessibilità e prestazioni: Firewall UTM, HotSpot, UC&C, groupware, sistemi VoIP per aziende e callcenter, virtualizzazione, Business continuity, CRM, ECM, IT Monitoring e videosorveglianza.
Nethesis è oggi una struttura solida che ha instaurato relazioni durature con clienti e partner grazie a prodotti ricchi di funzionalità e facili da gestire e all’alta qualità dei servizi erogati quali assistenza, formazione, blog tecnico, FAQ e tutorial online costantemente aggiornati.
Un crescita costante negli anni ha portato Nethesis, in poco tempo, a raggiungere numeri importanti: una rete di oltre 200 rivenditori capillarmente distribuiti sul territorio nazionale e un parco installato, in costante aumento, che ha superato i 10.000 clienti.
Il percorso di sviluppo volto a progettare servizi e prodotti sempre innovativi e l'attento lavoro di ricerca, hanno portato oggi alla nascita del nuovo progetto Open Source NethServer (http://www.nethserver.it), utilizzato come base di tutte le soluzioni Nethesis
Uno dei molti vantaggi del Sistema Operativo Linux è che il suo “interno” è aperto a tutti. Il kernel Linux è un corpo grande e complesso di codice. I drivers di periferica, sono distinte “scatole nere” che fanno sì che un particolare pezzo di hardware risponda ad un interfaccia di programmazione ben definita. Le attività dell’utente sono effettuate tramite una serie di chiamate standardizzate indipendenti dal driver specifico. Quindi i driver possono essere costruiti separatamente dal resto del kernel e “inseriti” a runtime quando necessario.
Presentazione (in italiano) delle soluzioni ATEN per il controllo KVM in locale e da remoto uno o più server.
Maggio 2015
Autore: Luca ENEA-SPILIMBERGO - luca@aten.be
Vulnerability Assessment vuol dire mettersi per un attimo nei panni dei cattivi per capire se il nostro sito sia facilmente attaccabile in modo da proteggersi almeno dalle aggressioni più comuni.
Vedremo alcune modalità di attacco e assessment più comuni con dei rapidi esempi d'uso degli strumenti di software libero più comuni come nmap, nikto, dirb.
Rete di casa e raspberry pi - Home network and Raspberry Pi Daniele Albrizio
The document discusses setting up a Raspberry Pi 3 to improve home network privacy and security. It describes installing Kali Linux on the Raspberry Pi and configuring it with NAT, DHCP, and an access point to monitor network traffic. It also covers using Pi-hole for ad blocking and tools like Wireshark for sniffing and analyzing traffic patterns on the home network. The goal is to gain more visibility and control over devices connected to the network to limit information leakage and unauthorized behavior.
Un tesoro nascosto nella linea di comando.
Carrellata ragionata con esempi d'uso dei tool a linea di comando più diffusi.
Daniele Albrizio – albrizio@units.it
“Me ne hanno parlato di 'sto Linux... sto avendo tali problemi ultimamente, che questo pinguino potrebbe proprio fare al caso mio. Ma quante domande! Che PC devo comprare, quale distribuzione devo mettere, cos’è un desktop manager, la webcam poi, funzionerà? E cosa sono queste cose strane che mi chiede all’installazione? Filesystem? Ma è per forza necessario installarlo?” A queste e ad altre domande il talk darà risposta, o almeno un indirizzo.
The document discusses exploit frameworks and provides information about several exploit frameworks including Core Impact, Immunity Canvas, and Metasploit. It describes these frameworks as tools for penetration testing, IDS/IPS testing, and fast exploit development. It also provides basic instructions for how to get started with the Metasploit framework, including downloading it from SVN and the knowledge and tools needed to write exploits.
Il mercato del nuovo millennio chiede capacità di costruire la propria solidità in una situazione di grandi perturbazioni. Ogni azienda è chiamata ad interpretare le costanti sfide accogliendo ogni istanza proposta dal mercato, avendo la capacità di re-immaginarsi, rispondendo a stimoli costanti e spesso disparati.
Oggi la grande sfida e’ interpretare la cosiddetta società della conoscenza. Entrare e costruire valore a partire dalla grande opportunità rappresentata dalla rete. L’informazione produce valore, la corretta gestione delle informazioni migliora la qualità della vita e del lavoro, consente di ridurre gli sprechi e di aggredire i mercati in modo competitivo.
In tale contesto Insiel si sta misurando, ad esempio con il FLOSS, impegnata ad aprire interlocuzioni con la comunità, con le istituzioni internazionali, con gli operatori e con gli utenti stessi. L’obiettivo e’ interpretare questo innovativo modello di business sia all’interno dell’azienda che mettendo a sistema la solidità e la forza di Insiel nella partecipazione a diversi progetti nazionali e internazionali in ambito Open Source.
Nell’intervento verranno presentate esperienze e criticità maturate in ambito OS, sia per la conduzione di progetti di collaborazione e sviluppo che per l’adozione di strumenti all’interno dell’azienda.
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaDaniele Albrizio
Questo intervento presenta un approccio al problema del filtraggio dei contenuti delle email che consente di poter scalare verso alti volumi di traffico, di avere una soluzione altamente affidabile sulla quale puntare per poter sgravare i mailserver da tutte le funzionalità relative al filtraggio delle email, rendendo disponibili tutte le risorse per la gestione vera e propria delle mail.
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...Daniele Albrizio
Il desiderio di ridurre il "total cost of ownership" (TCO) ha portato molte realtà ad utilizzare sistemi "terminal server" (TS). Anche se il concetto di "terminale" è nato da Unix gli ultimi 15 anni hanno visto la casa di Redmond protagonista del mercato. Oggi si intravvede un'inversione di tendenza, dovuta al netto miglioramento di applicazioni desktop opensource, al minor costo dei sistemi Linux Embedded e - paradossalmente - alla necessità di riportare lato client applicativi multimediali e di comunicazione (SkyPe, VOIP, etc.) che si accompagna a hardware per i client decisamente performante. L'intervento mostra come installare un sistema TS basato su xrdp per realizzare desktop di lavoro assolutamente comparabili con altre soluzioni commerciali.
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
free radius 201106
1. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
FreeRADIUS
il protocollo e il daemon
per autenticare sulla rete
Daniele Albrizio - albrizio@units.it
2. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Parleremo di RADIUS
● Cosa è.
● Perché RADIUS.
● Come funziona.
● Sulla rete cosa succede
● Gli Attributi
● Estensioni recenti e CoA
3. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Parleremo di FreeRADIUS
● Caratteristiche del server
● Esempi di configurazione avanzata
● Tool di debug
4. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Cos'è RADIUS?
● Remote Authentication Dial In User Service
(RADIUS)
● standard de-facto per l’autenticazione remota
● è un protocollo ampiamente utilizzato negli
ambienti distribuiti.
● è comunemente usato per dispositivi di rete
integrati come router, server modem, switch
ecc.
5. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Dove si colloca
6. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Perché RADIUS?
● I sistemi integrati sono generalmente limitati
nel numero di utenti autenticabili
(memoria/cpu)
● ISP hanno 10k...10M utenti, aggiunti e
cancellati di continuo, le informazioni di
autenticazione cambiano costantemente.
L’amministrazione centralizzata degli utenti è
un requisito operativo.
7. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Perché RADIUS?
● RADIUS fornisce alcuni livelli di protezione
contro attacchi attivi e di sniffing. Altri
protocolli meno.
● Il supporto RADIUS è quasi onnipresente sui
dispositivi di accesso e non solo.
8. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Architettura e nomenclatura
Author Kgrr - Creative Commons Attribution-Share Alike 3.0 Unported
CLIENT SERVERPROXY
supplicant policy
enforcement point
policy
decision point
9. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
AAA
● Radius viene spesso appellato “AAA server”
– Authorization
– Authentication
– Accounting
● Fa parte dell'AAI (authorization and
authentication infrastructure)
10. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
RADIUS sulla rete
● Pacchetti UDP autenticati tramite shared
secret (port 1812 autz+auth, 1813
accounting)
● Richieste numerate
● Password hashed (rivelabile da un rogue
client modificato)
● EAP: estensione a plug-in che permette il
tunnelling criptato dell'autenticazione,
l'autenticazione a doppia chiave, one-time-
password (OTP), SIM, PEAP, LEAP, ecc.
11. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Autenticazione RADIUS
● Pacchetti di autenticazione
– 1 = Access-Request
– 2 = Access-Accept
– 3 = Access-Reject
– 11 = Access-Challenge
● Access-Accept porta anche attributi di
configurazione
● Access-Reject può portare anche un
messaggio di testo, ma nessun altro attributo
● Access-Challenge è usato principalmente
da CHAP e EAP
12. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Access-Request
● Sun Jun 5 16:59:26 2011
– Packet-Type = Access-Request
– User-Name = "ginopi@ds.units.it"
– User-Password = "lamiapassword"
– Service-Type = Login-User
– NAS-IP-Address = 111.103.38.15
– Huntgroup-Name = "VPN"
– Realm = "DEFAULT"
14. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Access-Challenge
● Una sessione EAP è composta da
– Un pacchetto Access-Request da client a server
– Seguito da un sacco di (ad es. 10-30) pacchetti
Access-Challange alternati da e verso il server
– Seguito da un pacchetto Access-Accept o
Access-Reject da server a client
15. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Access-Reject
● Sat Jun 4 16:51:51 2011
– Reply from radius proxy for user
s4322342342342@dsunits.it on NAS
172.11.55.14:15095 3Com 00-22-57-F4-5C-
11:eduroam-erdisu cli 00-26-5E-1F-72-61
– Packet-Type = Access-Reject
– Proxy-State = 0x313332
– Reply-Message = "Realm non valido! Appartiene
ad Eduroam?"
16. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Access-Accept
● Sat Jun 4 16:51:51 2011
– Packet-Type = Access-Accept
– Exec-Program = "/nac/trigger.sh"
– Idle-Timeout = 1800
– Session-Timeout = 7200
– Reply-Message = "Durata massima sessione 2
ore. Logout per inattività dopo 30 minuti"
17. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Attributi
● Possono essere di 3 tipi:
– Request attributes
– Reply attributes
– Internal attributes (freeRADIUS only)
● Sono definiti nei dizionari tramite tipo e
numero identificativo
● In FreeRADIUS ne viene fatto un largo uso e
quindi vanno filtrati in uscita (reply) con
l'apposito modulo attr-filter
18. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Attributi e file users
# program Exec
# Network admission control (better said
repression)
DEFAULT HuntgroupName == "Captive"
ExecProgram =
"/etc/adminscripts/nac/trigger.sh",
FallThrough = Yes
19. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Users file
gianni Huntgroup-Name =~ "VPN", Cleartext-
Password = "fwerfwe"
Framed-IP-Address := 172.30.225.65,
Framed-IP-Netmask := 255.255.255.255,
Service-Type := Framed-User,
Framed-Protocol := PPP,
Fall-Through = No
20. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
CoA
● Change of Authorization (rfc5716)
● Permette la rinegoziazione push (dal radius
server verso il client) dei parametri di
connessione utente.
● Di solito è prevista anche la disconnessione
dell'utente
● Pochi apparati lo supportano, ma
rappresenta un elemento di scelta nell'IT
21. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
FreeRADIUS: caratteristiche
● Il più usato (in termini di autenticazioni)
● Modulare (anche troppo)
– PAP, CHAP, MS-CHAP, MS-CHAPv2, SIP Digest
– EAP: AKA, FAST, GPSK, IKEv2 (experimental),
Cisco LEAP, PAX, PSK, SAKE, GTC, SIM, TLS,
MD5-Challenge, MSCHAPv2, TNC
– EAP-PEAPv0 e 1: MSCHAPv2, GPSK, GTC,
MD5-Challenge, PAX, PSK, SAKE
– EAP-PEAPv0-TLS
– EAP-TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2,
GPSK, GTC, MD5-Challenge, PAX, PSK, SAKE,
TLS
22. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
FreeRADIUS: caratteristiche
● Policy di autorizzazione in fase pre-
autenticazione e post-autenticazione.
● Policy in file di testo, db, perl java python
scripts
● Filtri degli attributi, riscrittura degli stessi,
attributi interni e personalizzabili.
● Esempi funzionanti per molti backend e una
collezione completa di dizionari per i client.
● Backend su db, testo, ldap
● Accounting su db e testo
23. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
FreeRADIUS: caratteristiche
● Failover e load balancing configurabili per le
funzionalità di:
– Proxying
– Backend di autenticazione, autorizzazione e
accounting
– Configurazione
● Configurazione annidabile tramite l'uso di
server freeRADIUS virtuali
● Unlang conditional language nell
configurazione, genera configurazioni
dinamiche
24. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Esempio di failover proxying
home_server garreduroam1 {
type = auth+acct
ipaddr = 194.44.1.1
port = 1812
secret = 4523vjhtu67
nostrip
}
home_server garreduroam2 {
type = auth+acct
ipaddr = 133.36.12.12
port = 1812
secret = fw34480125
nostrip
}
# Failover Pool Eduroam
home_server_pool garreduroam {
type = failover
home_server = garreduroam1
home_server = garreduroam2
}
realm DEFAULT {
pool = garreduroam
nostrip
}
25. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Instanziare dinamicamente i moduli
con Unlang
# EAP certificate selection depending on SSID
# CiscoAVPair = "ssid=eduroamunits"
if ("%{request:CiscoAVPair}" == "ssid=eduroam") {
eap_TCS {
ok = return
}
}
# 3Com CalledStationId = "ec44768187f0:eduroamunits"
elsif ("%{request:CalledStationId}" =~ "/eduroam$/" {
eap_TCS {
ok = return
}
}
else {
eap_rapidssl {
ok = return
}
}
26. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Gestire account a tempo
# Set the CurrentTime value for further comparison
# It is important that this is set before the module
that does the effective comparison
authorize {
update request {
MyRequestDate = "%D"
}
}
# MyRequestDate in a dictionary file.
# Request date attribute filled with %D value (YYYYMMDD)
# Used to do date based authorization
ATTRIBUTE MyRequestDate 3002 integer
27. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Tool di debug e pianificazione
● eapol_test
● wpasupplicant lato client
● radmin
● radclient
– radclient -x -f radiuspacjetfile SERVER:1812 auth
secret
● radsniff
– radsniff -d /usr/local/share/freeradius -i eth0 -x
● wireshark
● tcpdump
● mindmap
28. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Links e Riferimenti
● Wikipedia in inglese su Radius e EAP
● FreeRADIUS http://www.freeradius.org/
29. Università degli Studi di Trieste
Mercoledì 8 giugno 2011
copyleft 2011 – Daniele Albrizio
albrizio@units.it
Licenza d'uso
di questo documento
Quest'opera è stata rilasciata sotto la licenza Creative Commons
Attribuzione-Condividi allo stesso modo 2.5.
Per leggere una copia della licenza visita il sito web
http://creativecommons.org/licenses/publicdomain/ o spedisci una
lettera a Creative Commons, 559 Nathan Abbott Way, Stanford,
California 94305, USA.