TRIP

1. TRIP deployment di 802.1x su Linux

2. Riguardo a TRIP… Ma secondo voi… Cos’e’ la MOBILITA’… ??

3. Piattaforme supportate • Portatili basati su Intel Centrino con sheda WiFi Intel PRO/Wireless 2200BG • ipw2200 Linux driver • ieee80211 Linux driver • Linux Wireless Extension • Linux Wireless Tools • wpa_supplicant • -Dipw per Linux WE < 18 • -Dwext per Linux WE >= 18

4. Distribuzioni testate • Scientific Linux 4.3 • Ubuntu 5.10 • Fedora Core 5 • Debian testing

5. Componenti Necessari • Linux Kernel 2.6.8+ • Linux Wireless Extension (>= v17) abilitate nel Kernel • Wireless Tools (>= v28) • Modulo ieee80211 http://ieee80211.sourceforge.net/ • Driver ipw2200 http://ipw2200.sourceforge.net/ • Firmware ipw2200 http://ipw2200.sourceforge.net/firmware.php • wpa_supplicant http://hostap.epitest.fi/wpa_supplicant/

6. Differenze nelle distribuzioni • Scientific Linux 4.3 • Installazione del kernel con yum (kernel-2.6.9-34.EL) • Driver, e client wpa si scaricano da http://atrpms.net/dist/el4/ • Il firmware si scarica da http://atrpms.net/dist/common • Ubuntu 5.10 • Installazione del kernel con apt (linux-image-2.6.12.12-10-686) • Non occorre installare driver aggiuntivi • wpa_supplicant si scarica con apt (universe) • Fedora Core 5 • Installazione del kernel con yum (kernel-2.6.16-1.2122_FC5) • Occorre installare il firmware da http://atrpms.net/dist/common • wpa_supplicant si scarica con yum • Debian testing • Installazione del kernel con apt (linux-image-2.6.15.1-686) • Non occorre installare driver aggiuntivi • wpa_supplicant si installa con apt (unstable main)

7. Scientific Linux 4.3 • Caratteristiche: • Kernel Utilizzato: 2.6.9-34.EL i686 • WE 16 • ipw2200 driver 1.1.0 • ipw2200 firmware 2.4 • ieee80211 1.1.13 • wireless-tools-27-0.pre25.4.EL4 • Pacchetti da installare: • kernel-2.6.9-34.EL • ieee80211-kmdl-2.6.9-34.EL-1.1.13-10.1.el4.at • ipw2200-firmware-2.4-7.at • ipw2200-kmdl-2.6.9-34.EL-1.1.0-40.el4.at • libpcsclite1-1.3.0-6.el4.at • wpa_supplicant-0.4.8-10.1.el4.at

8. Ubuntu 5.10 • Caratteristiche: • Kernel Utilizzato: 2.6.12-10-686 • WE 17 • ipw2200 driver 1.0.6 • ipw2200 firmware 2.3 • ieee80211 1.0.3 • wireless-tools 27+28pre8-1ubuntu4 • Pacchetti da installare: • linux-image-2.6.12.12-10-686 • Non sono necessari moduli aggiuntivi, il moduli ieee80211 e ipw2200 sono gia’ presenti • wpasupplicant 0.4.5-0ubuntu1 da scaricare nella repository universe

9. Fedora Core 5 • Caratteristiche: • Kernel Utilizzato: 2.6.16-1.2122_FC5 • WE 19 • ipw2200 driver 1.0.8 • ipw2200 firmware 2.4 • ieee80211 1.1.7 • wireless-tools-28-0.pre13.5.1 • Pacchetti da installare: • kernel-2.6.16-1.2122_FC5 • ipw2200-firmware-2.4-7.at • wpa_supplicant-0.4.8-10.fc5

10. Debian Testing (Etch) • Caratteristiche: • Kernel Utilizzato: 2.6.15-1-686 • WE 19 • ipw2200 driver 1.0.8 • ipw2200 firmware 2.4 • ieee80211 1.1.7 • wireless-tools 27+28pre14-1 • Pacchetti da installare: • Linux-image-2.6.15.1-686 • Non sono necessari moduli aggiuntivi, il moduli ieee80211 e ipw2200 sono gia’ presenti • wpasupplicant 0.4.8-4 da scaricare nella repository unstable main

11. Metodo Manuale • Rebuild dei kernel module ipw2200 e ieee80211 • Possibilita’ di utilizzare le ultime versioni • Maggiori features a disposizione • Hardware encryption • Supporto per Linux wext • Bisogna compilare e installare le ultime versioni dal codice sorgente

12. Metodo Manuale es:Fedora Core 5 • Download del firmware v3 http://ipw2200.sourceforge.net/firmware.php • Copiare I file dell’achivio ipw2200-fw-3.0.tgz in /lib/firmware • Assicurarsi che venga utilizzata l’header della versione di wireless-tools installati cd /usr/include/linux rm wireless.h ln -s ../wireless.h . • yum install kernel-devel-2.6.16-1.2122_FC5 • Scaricare ieee80211-1.1.13.tgz da http://ieee80211.sf.net cd ieee80211-1.1.13 make (yes per rimuovere i moduli di default) make install I moduli verranno installati in /lib/modules/2.6.16-1.2122_FC5/net/ieee80211

13. Metodo Manuale es:Fedora Core 5 • Scaricare ipw2200-1.1.2.tgz da http://ipw2200.sourceforge.net cd ipw2200-1.1.2 make make install chmod 744 /lib/modules/2.6.16-1.2122_FC5/kernel/drivers/net/wireless/ipw2200.ko • Settare le opzioni di hardware encryption del modulo in /etc/modprobe.conf options ipw2200 hwcrypto=1 • Per Fedora Core 5 installare un update che risolve un bug di sistema yum --enablerepo=updates-testing install initscripts • reboot

14. Come utilizzare 802.1x • wpa_supplicant • Supplicante che supporta diversi EAP type tra i quali anche EAP-TTLS • wpa_cli • Parte client di wpa_supplicant: e’ una user interface di controllo per wpa_supplicant • wpa_gui, kwlan • user interface grafiche per linux. Non funzionano ancora bene… meglio wpa_cli

15. wpa_supplicant - configurazione ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=2 fast_reauth=1 network={ ssid="INFN-dot1x" proto=WPA scan_ssid=1 key_mgmt=WPA-EAP pairwise=TKIP group=TKIP eap=TTLS identity="veraldi@cr.cnaf.infn.it" ca_cert="/etc/ssl/certs/INFN-CA.pem“ phase2="auth=PAP" priority=1 }

16. wpa_supplicant - start • Debug mode wpa_supplicant –w –d –ieth1 –Dipw –c ./etc/wpa_supplicant.conf • Daemon mode wpa_supplicant –B –ieth1 –Dipw –c ./etc/wpa_supplicant.conf

17. wpa_cli • Serve per interfaccarsi con wpa_supplicant • Si possono dare comandi a wpa_supplicant come se fossero letti dal file di configurazione • E’ possibile inserire dati sensibili come username o password per l’autenticazione

18. wpa_cli - autenticazione

19. Autenticati con 802.1x… associati alla rete…

20. Supporto WPA • WPA + TKIP funziona • WPA2 + AES_CCMP non funziona • WPA + TKIP e’ piu’ che sufficiente a garantire un accesso sicuro alla rete Wifi

21. 802.1x su Linux - considerazioni • Installazione dei lkm semplice, pacchetti gia’ pre-compilati o presenti nelle repo apt e yum • wpa_supplicant e’ un supplicant completo (EAP-TTLS, EAP-TLS, EAP-PEAP, EAP-FAST ecc…) • Funziona bene, connessione WiFi affidabile • Sempre piu’ distribuzioni contengono gia’ i pacchetti necessari al loro interno (Ubuntu 5.10, Fedora Core 5 …)