Radius client
L’ultimo passo per la configurazione di IEEE 802.1x é quello di installare e configurare il client. Solo nelle recenti versioni dei sistemi operativi, quali ad esempio Windows XP é incluso un client per questo protocollo, mentre per altri sistemi operativi é necessiario disporre di un client separato, sia esso commerciale od OpenSource. Nei prossimi paragrafi verranno descritti tali client, assumendo che l’amministratore abbia buona familiarità con la configurazione del sistema operativo e della configurazione dei certificati digitali (per Windows XP).
Esempio con Windows XP e Windows 2000
Come accennato in precedenza, Windows 2000 e Windows XP sono attualmente gli unici sistemi operativi che dispongono del protocollo IEEE 802.1x. Su Windows 2000 è però necessario installare l’apposito client descritto Microsoft Knowledge Base Article numero 313664 e scaricabile gratuitamente sul sito internet http://support.microsoft.com/default.aspx?scid=kb;en-us;313664. Vedremo negli esempi successivi la configurazione attraverso Windows XP, che differisce da Windows 2000 dalla gestione nativa delle chiavi WEP e di WPA. Si assume che l’amministratore di sistema o l’utente abbia già scaricato ed installato il proprio certificato digitale X.509.
- Da Control Panel, selezionare Network Connections (si trova sotto Network and Internet Connections)
- Con il tasto destro del mouse su Wireless Network Connection, selezionare Properties
- Selezionare la sezione Authentication, selezionare Enable network access control using IEEE 802.1X e selezionare infine nel riquadro “EAP Type” Smart Card or other Certificate.
Solamente con Windows XP é possibile configurare la generazione della chiave WEP per sessione (EAPOL-Key), qualora l’Access Point lo supportasse. Per effettuare la configurazione, sempre dalle proprietà della Wireless Network Connection:
- Selezionare la sezione Wireless Networks
- Selezionare la rete in cui abilitare EAPOL-Key nel riquadro Available Networks e premere Configure
- Selezionare l’opzione Data encryption (WEP enabled)
- Selezionare The key is provided for me automatically
Esempio con Windows 95/98/ME
La famiglia Windows 95/98/ME non dispone di un client nativo IEEE 802.1x. Uno dei client più popolari é AEGIS Client della società Meetinghouse Data Communication (MDC), disponibile anche per Linux e presto per MacOS X. Anche in questo caso é necessario che l’amministratore di sistema abbia installato prima i certificati all’interno di Windows.
Al primo avvio dopo l’installazione il software riconoscerà il primo avvio del client e proporrà di effettuare la configurazione.
Dopo aver premuto su Ok, una finestra di dialogo verrà presentata, consentendo l’immissione della configurazione utente (sezione User settings).
- Selezionare in Authentication type il valore TLS/Smart Card
- Premere il pulsante Change nel riquadro Client Certificate.
- Verrà presentata una finestra Select Certificate che permette di selezionare il certificato dell’utente. Selezionare il certificato tra quelli disponibili e premere Ok
- Automaticamente il campo Identity verrà riempito con il nome del proprietario del certificato.
- Selezionare successivamente la sezione Server Identity
- Nel riquadro Certificate issuer must be, selezionare la Certification Authority che ha rilasciato il certificato
- Nel riquadro Server name must be é suggeribile inserire solo il nome del dominio, ad esempio “azienda.it”, anziché il nome completo del server. Questo é utile in caso si abbia più di un server RADIUS, ad esempio per una ragione di ridondaza. Selezionare anche Domain name must end in specified name e premere Ok.
Per visualizzare lo stato del client, fare doppo click con il mouse sull’apposita icona del SysTray. Nella finestra di dialogo proposta sarà possibile visualizzare la scheda Wireless, lo stato dell’autenticazione IEEE 802.1x ed alte informazioni sulla rete Wireless quali il MAC address dell’Access Point a cui si é collegati.
Esempio con Linux
Il client più utilizzato per Linux é xsupplicant, un progetto di Open1X che ha come scopo fornire tools OpenSource per il protocollo IEEE 802.1x. É possibile scaricare l’ultima versione del client sul sito internet http://www.open1x.org, che ha come requisiti i pacchetti software OpenSSL 0.9.7, libpcap 0.7.1 e libdnet 1.6. Si faccia riferimento al file README incluso con xsupplicant per maggiori informazioni su come reperire i pacchetti software requisiti. Dopo aver decompresso il file di xsupplicant, entrare nella directory ed eseguire i comandi:
./configure make make install
I comandi elencati provvederanno ad autoconfigurare le dipendenze e le capacità del programma, a compilarlo ed installarlo. É necessario possedere i certificati X.509 nei seguenti formati:
Tipo di certificato | Formato |
---|---|
Pubblico dell’utente | DER |
Privato dell’utente | PEM |
Pubblico della CA | PEM |
É possibile che il certificato pubblico/privato dell’utente sia distribuito in formato PKCS#12. I produttori di xsupplicant hanno messo a disposizione uno script chiamato pkcs12toDERandPEM.sh in grado di effettuare le opportune conversioni. Per configurare il programma é necessario agire sul file di configurazione /etc/1x/1x.conf. In questo file é possibile specificare come il programma debba agire su reti differenti specificando un network id, il quale corrisponde in ambito wireless al valore dell’ESSID. Tale valore é espresso in ogni riga del file di configurazione prima del carattere “:”. Nell’esempio sottostante si specifica un network id chiamato “myssid”.
################################################### ## Collegamento alla rete Wireless ################################################### ## ID Utente myssid:id = mrossi@azienda.it ## Certificato pubblico myssid: cert = /etc/1x/certs/xsupplicant-public.cer ## Certificato privato myssid: key = /etc/1x/certs/xsupplicant-private.pem ## Certificato della CA myssid:root = /etc/1x/certs/CA.pem ## Autenticazione EAP myssid:auth = EAP ## Dopo aver autenticato, prendi un IP da DHCP myssid: first_auth = "/sbin/dhclient eth0" ## Messaggio utente myssid: after_auth = "/bin/echo Autenticato alla rete"
Dopo aver effettuato la configurazione del programma xsupplicant, é sufficiente configurare l’ESSID corrispondente e eseguire il client come segue:
/sbin/iwconfig eth0 essid myssid /sbin/ifconfig eth0 up xsupplicant -i eth0