Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK Oprogramowanie klienckie Tomasz Wolniewicz UCI UMK.

Podobne prezentacje


Prezentacja na temat: "Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK Oprogramowanie klienckie Tomasz Wolniewicz UCI UMK."— Zapis prezentacji:

1 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Oprogramowanie klienckie Tomasz Wolniewicz UCI UMK

2 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK2/18 Jaki typ EAP? TLS –najprostsza instalacja w Windows –wymaga systemu dystrybucji kluczy i certyfikatów –odcięcie użytkownika od sieci wymaga utrzymywania jego wpisu lub unieważnienia certyfikatu i utrzymywaniu go na CRL –użytkownicy (zwłaszcza studenci) mogą rozdawać swoje certyfikaty PEAP –prosta instalacja –przypuszczalnie najwygodniejszy system w sieciach opartych o serwery Windows –nie daje się implementować w sieciach opartych o uwierzytelnianie Windows TTLS/PAP –brakuje wbudowanej obsługi w Windows (ale można doinstalować SecureW2) –współpracuje ze wszystkimi systemami uwierzytelniania bazującymi na hasłach

3 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK3/18 Jaki suplikant w Windows? Cechy suplikanta systemowego –automatycznie wykrywa typ szyfrowania nowej sieci –zmiana trybu szyfrowania w znanej sieci nie stanowi dużego problemu –łatwe globalne wsparcie użytkownika –brak wbudowanej obsługi EAP-TTLS (ale jest SecureW2) Cechy suplikantów dostarczanych z kartami –rozbudowana obsługa statystyki sieci –często wbudowana obsługa TTLS –mogą występować trudności przy zmianie szyfrowania znanej sieci –praktycznie niemożliwe wsparcie użytkownika wpa_supplicant –darmowy suplikant obsługujący praktycznie wszystkie metody uwierzytelniania –wymaga konfiguracji poprzez pliki tekstowe –pozwala na bardzo elastyczną konfigurację

4 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK4/18 SecureW2 Darmowy pakiet dokładający metodę EAP-TTLS do standardowego suplikanta w Windows 2000 i Windows XP Możliwość prekonfiguracji Wady –konieczność ingerencji użytkownika we właściwości sieci bezprzewodowej –brak możliwości przekonfigurowania dla kilku użytkowników jednego komputera

5 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK5/18 Instalator SecureW2 plik SecureW2.INF [Profile.1] AuthenticationMethod = PAP EAPType = 0 Name = "DEFAULT" Description = "Wprowadź swoje dane:" UseAlternateIdentity = FALSE VerifyServerCertificate = TRUE PromptUserForCredentials = FALSE TrustedRootCA.0 = 58067c343fdc0b5853 UserName = PROMPTUSER [Version] Signature = "$Windows NT$" Provider = "Alfa & Ariss" Config = 7 [Certificates] Certificate.1 = umk.der [WZCSVC] Enable = AUTO [SSID.1] Name = "eduroam" Profile = "DEFAULT"

6 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK6/18 Darmowy instalator o bardzo dużych możliwościach Zainstalowanie NSIS Przygotowanie skryptu instalacyjnego Przygotowanie plików składowych Kompilacja skryptu – wyprodukowanie pliku exe NSIS (Nullsoft Scriptable Install System)

7 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK7/18 Instalator SecureW2 - plik SecureW2_UMK.NSI ;General ;Name and file Name "${APPLICATION} ${VERSION}" OutFile "SecureW2_312_UMK.exe" ; ;Interface Settings !define MUI_ICON "eduroam32.ico" !define MUI_UNICON "eduroam32.ico" !define MUI_ABORTWARNING

8 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK8/18 Instalator SecureW2 - plik SecureW2_UMK.NSI Section "${APPLICATION}" SecInstall SectionIn RO ; Extract all file to the temp dir SetOutPath $TEMPDIR ; Define all the files required for the installation here: File "SecureW2_312.exe" File "SecureW2.INF" File "umk.der" ExecWait "SecureW2_312.exe" ; If an error occurs then goto Error label else goto Continue label IfErrors Error Goto Continue ; Error Label, show error box and then quit Error: MessageBox MB_OK|MB_ICONEXCLAMATION "Błąd przy instalacji SecureW2. Proszę zgłosić ten fakt na adres ; Continue Label Continue: ; Remove temporary files Delete "$TEMPDIR\SecureW2_312.exe" Delete "$TEMPDIR\SecureW2.INF" Delete "$TEMPDIR\umk.der" Quit SectionEnd

9 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK9/18 Bezpieczeństwo pliku instalatora Przygotowany instalator musi być zaufany Instalator może zostać podpisany kluczem, uwierzytelnionym przez główny klucz uczelni Certyfikat klucza podpisującego musi mieć odpowiednie rozszerzenie zezwalające na podpisywanie oprogramowania

10 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK10/18 Generowanie certyfikatu podpisującego Produkujemy klucz prywatny openssl genrsa -des3 -out test_sign.key 1024 i zlecenie certyfikacji (warto podać kontaktowy ) openssl req -new -key test_sign.key -out test_sign.csr CA certyfikuje openssl ca -out test_sign.crt -in test_sign.csr –extensions id_kp_codeSigning -extfile codesigning Zawartość pliku codesigning: [ id_kp_codeSigning ] extendedKeyUsage = Generujemy plik PFX openssl pkcs12 -export -out test_sign.pfx -in test_sign.crt -inkey test_sign.key -clcerts

11 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK11/18 Podpisywanie kodu (1) Niezbędny jest program signtool, będący częścią pakietu.NET SDK. Ten pakiet można pobrać ze stron Microsoft Należy zaimportować plik test_sign.pfx poprzez dwukrotnie kliknięcie i zaakceptowanie wszystkich opcji domyślnych. Niezbędne będzie podanie hasła zabezpieczającego. Warto włączyć silną ochronę klucza, tak aby przy każdej próbie podpisu system pytał nas o hasło

12 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK12/18 Podpisywanie kodu (2) Podpisanie programu najprościej zrealizować korzystając z okienkowego interfejsu do programu signtool: \Program Files\Microsoft.NET\SDK\v2.0\Bin\signtool.exe signwizard Podpis możemy sprawdzić przeglądając właściwości pliku programu

13 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK13/18 Sprawdzenie certyfikatu Podpis możemy sprawdzić przeglądając właściwości pliku programu; oczywiście na komputerze musi być zainstalowany główny certyfikat uczelni

14 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK14/18 wpa_supplicant Niezależny supplikant pod Windows i Linuxa Automatyczna obsługa wielu konfiguracji W Windows XP –konieczna instalacja dodatkowych bibliotek –wyłączona konfiguracja sieci bezprzewodowej przez system –DHCP jest obsługiwane przez system –wpa_supplicant -B –i interfejs -c wpa.conf –intefejs to np.: \Device\NPF_{252649BA-443E-495B-AB0E- CE85CC7BBCB3} (program win_if_list pokazuje listę) W Linuxie –w niektórych systemach (np. Suse10) wpa_supplicant jest fragmentem systemu, w takim przypadku wystarczy poprawienie pliku konfiguracyjnego –przy niezależnej instalacji należy niezależnie uruchamiać klienta DHCP –wpa_supplicant -B –i interfejs –c wpa.conf –D typ_drivera

15 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK15/18 wpa_supplicant – konfiguracja TTLS network={ ssid="eduroam" key_mgmt=IEEE8021X eap=TTLS ca_cert="/home/twoln/Cert/umk.cer" password="******" phase2="auth=PAP" } network={ ssid="eduroam" key_mgmt=WPA-EAP eap=TTLS ca_cert="/home/twoln/Cert/umk.cer" password="*******" phase2="auth=PAP" }

16 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK16/18 wpa_supplicant – konfiguracja PEAP network={ ssid="eduroam" key_mgmt=IEEE8021X eap=PEAP ca_cert="/home/twoln/Cert/umk.cer" password="******" phase2="auth=MSCHAPV2" } network={ ssid="eduroam" key_mgmt=WPA-EAP eap=TTLS ca_cert="/home/twoln/Cert/umk.cer" password="*******" phase2="auth= MSCHAPV2" }

17 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK17/18 wpa_supplicant – konfiguracja TLS network={ ssid="eduroam" key_mgmt=IEEE8021X eap=TLS ca_cert="/home/twoln/Cert/umk.cer" private_key="twoln.p12 private_key-password="******" phase2="auth=MSCHAPV2" } network={ ssid="eduroam" key_mgmt=WPA-EAP eap=TLS ca_cert="/home/twoln/Cert/umk.cer" private_key="twoln.p12 private_key-password="******" phase2="auth=MSCHAPV2" }

18 Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK18/18 wpa_supplicant – konfiguracja WPA-PSK network={ scan_ssid=1 ssid="Dom" key_mgmt=WPA-PSK psk="******" }

Pobierz ppt "Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK Oprogramowanie klienckie Tomasz Wolniewicz UCI UMK."

Podobne prezentacje


Reklamy Google