Authentification sur réseau sans-fil
Utilisation d’un serveur radius
Expérience du CENBG

S.Bordères

Séminaire RAISIN - 1...
Sommaire

Critères de choix d’architecture
Solution adoptée
Serveur radius
Configurations
Cas des visiteurs – portail capt...
Critères de choix d’architecture
Postulats

Le C.E.N.B.G n’est pas un hotspot
Tout PC se connectant sur le réseau sans-fil...
Critères de choix d’architecture
Place d’un PC sans-fil dans le réseau

Un même PC doit être vu sur le réseau de façon ide...
Critères de choix d’architecture
Place d’un PC sans-fil dans le réseau
Routage/filtrage
Vlan2

Vlan1

PC connecté sur le r...
Critères de choix d’architecture
Authentification
Une authentification par clé partagée n’est pas envisageable
Clé WEP tro...
Critères de choix d’architecture
Authentification

L’authentification doit se faire sans ajouter un mot de passe
supplémen...
Solution adoptée
Choix pour l’authentification

Dans une première étape, identifier la machine par son adresse MAC
et , da...
Solution adoptée
Les moyens

Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de gérer :
* Les vlans...
802.1x: Principe général

BUT: Offrir un mécanisme d’authentification des postes de travail
Initialement destiné au réseau...
802.1x: Principe général

Serveur d’authentification
RADIUS

EAP over radius

Port controlé

Authentificateur
(switch,AP)
...
802.1x: Principe général

Serveur d’authentification
RADIUS

Port controlé

authentificateur

Port non controlé

Uniquemen...
EAP: Extensible Authentication Protocol

EAP permet la négociation d’un protocole d’authentification
entre le client et un...
Le protocole WPA

WPA = TKIP+802.1x+MIC
TKIP est un mécanisme d’échange de clés dynamiques.
Tkip=Temporal key Integrity Pr...
Le protocole WPA

Ne pas confondre
WPA-enterprise met en œuvre 802.1x
et
WPA-home qui met en œuvre des clés partagés (WPA-...
Le protocole WPA
Evolution du niveau de sécurité

WPA2=802.11i
a re
w
ard
h
WPA

iels
ic
log

WPA-PSK
WEP

S.Bordères

Sém...
Mise en œuvre des vlans sans-fil

La borne WIFI doit être capable de gérer les vlans
Elle est connectée sur un switch par ...
Serveur radius

Trafic EAP

Serveur radius
users

passwd

domaine windows
Ou
Domaine NIS
Ou
serveur LDAP
Ou
Base SQL
….

S...
Serveur radius
Les possibilités d’authentifications

Possibilité d’authentifier sur l’adresse MAC
La borne envoi au serveu...
Serveur radius
Avantages

De multiples possibilités d’authentification
Traitement individuel d’un utilisateur ou d’une mac...
Serveur radius
Mise en oeuvre

Configuration du poste client
Configuration sur la borne
Configuration du serveur radius

S...
Configurer le poste client

S.Bordères

Séminaire RAISIN - 17/02/2005
Configurer le poste client

Configuration PEAP

S.Bordères

Séminaire RAISIN - 17/02/2005
Configurer le poste client

Configuration TLS

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne

Définir le serveur radius
Définir chaque vlan et chaque SSID associé
Définir les caractéristiqu...
Configuration de la borne

(cisco aironet 1200)

Définir le serveur radius

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

Le native Vlan est le vlan par ...
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

S.Bordères

Séminaire RAISIN - ...
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

S.Bordères

Séminaire RAISIN - ...
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

S.Bordères

Séminaire RAISIN - ...
Configuration du serveur radius
(freeradius)

Définir quel matériel a le droit d’interroger le serveur radius
Définir comm...
Configuration du serveur radius
Définir quel matériel a le droit
d’interroger le serveur radius
/etc/raddb/clients.conf
Ce...
Configuration du serveur radius
Définir comment le serveur Radius authentifie.
Exemple d’authentification sur domaine Wind...
Configuration du serveur radius
Définir la configuration EAP

/etc/raddb/eap.conf
tls {
private_key_file = ${raddbdir}/cer...
Configuration du serveur radius
Construire le fichier des utilisateurs

/etc/raddb/users
Ce fichier contient la liste des ...
Exemple d’utilisation

Un utilisateur veut se connecter sur le SSID « informatique »

La borne envoi au serveur radius une...
Problèmes

La carte sans-fil doit supporter WPA (enterprise)
L’utilitaire de configuration aussi.
Parfois des problèmes so...
Le cas des visiteurs

Comme pour le réseau filaire les visiteurs doivent être
identifiés pour se connecter sur le réseau s...
Le cas des visiteurs
Le portail captif

Utilisateur du labo

Portail captif

routeur
Vla
n

visi

teu

Visiteur sans-fil

...
Le cas des visiteurs
Le portail captif: Principes

La borne place le PC visiteur sur un vlan intermédiaire
Ce vlan est con...
Le cas des visiteurs
Le portail captif

Il existe plusieurs logiciels de portail captif
Nocatauth
Chillispot
Au CENBG, chi...
Le cas des visiteurs
Le portail captif

radius
Utilisateur du labo

DNS

Portail captif

routeur

apache
Vla
n

visi

teu
...
Le cas des visiteurs
Le portail captif: Avantages

L’authentification est sécurisée (HTTPS)
Grande souplesse d’adaptation:...
Le cas des visiteurs
Le portail captif: Avantages

La page web permet de faire passer des informations
Par exemple: Les me...
Le cas des visiteurs
Le portail captif

Utilisateur du labo

Portail captif

routeur
Vla
n

visi

teu

rs

Visiteur sans-f...
Le cas des visiteurs
Le portail captif

Utilisateur du labo

Visiteur sans-fil

routeur

S.Bordères

Portail captif

Sémin...
Linux et WPA et Radius

Problème de disponibilité des drivers WIFI
Problème de disponibilité des drivers WIFI…compatibles ...
Linux et WPA et Radius

Utilisation d’un supplicant WPA
WPA_SUPPLICANT
Permet de configurer un client Linux avec toutes
le...
Références
http://2003.jres.org/actes/paper.143.pdf
http://www.sans.org/rr/whitepapers/authentication/123.php
http://www.p...
Dispositif de la démonstration. Chillispot

Portail captif
Réseau IXL

S.Bordères

Chillispot
serveur apache
serveur freer...
Prochain SlideShare
Chargement dans…5
×

83839589 radius

1 373 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 373
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
65
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

83839589 radius

  1. 1. Authentification sur réseau sans-fil Utilisation d’un serveur radius Expérience du CENBG S.Bordères Séminaire RAISIN - 17/02/2005
  2. 2. Sommaire Critères de choix d’architecture Solution adoptée Serveur radius Configurations Cas des visiteurs – portail captif Clients Linux S.Bordères Séminaire RAISIN - 17/02/2005
  3. 3. Critères de choix d’architecture Postulats Le C.E.N.B.G n’est pas un hotspot Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les PC filaires L’introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité déjà existants. S.Bordères Séminaire RAISIN - 17/02/2005
  4. 4. Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Un même PC doit être vu sur le réseau de façon identique qu’il utilise une connexion filaire ou sans-fils. Un PC connecté sur le réseau filaire dans le VLAN x doit être placé dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte par le réseau filaire ou sans-fil. S.Bordères Séminaire RAISIN - 17/02/2005
  5. 5. Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Routage/filtrage Vlan2 Vlan1 PC connecté sur le réseau sans-fil Routage/filtrage Vlan1 Vlan2 Vlan3 PC connecté sur le réseau filaire Vlan3 S.Bordères Séminaire RAISIN - 17/02/2005
  6. 6. Critères de choix d’architecture Authentification Une authentification par clé partagée n’est pas envisageable Clé WEP trop fragile. Clé WPA-PSK plus solide mais… Trop difficile à gérer lorsque le nombre de postes est grand. Il suffit de connaître la clé pour se connecter au réseau sans-fils donc aucun contrôle sur les postes. S.Bordères Séminaire RAISIN - 17/02/2005
  7. 7. Critères de choix d’architecture Authentification L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment) C’est plus la machine qu’on cherche à authentifier que l’utilisateur lui-même Mais l’authentification par adresse MAC sur un réseau sans-fil n’est pas suffisante. S.Bordères Séminaire RAISIN - 17/02/2005 CEN BG
  8. 8. Solution adoptée Choix pour l’authentification Dans une première étape, identifier la machine par son adresse MAC et , dans une deuxième étape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows L’adresse MAC permet de placer la machine dans un VLAN Pour se connecter au réseau sans-fil il faut posséder une adresse MAC enregistrée et un compte Windows ou un certificat. S.Bordères Séminaire RAISIN - 17/02/2005
  9. 9. Solution adoptée Les moyens Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de gérer : * Les vlans * WPA * radius S.Bordères Séminaire RAISIN - 17/02/2005
  10. 10. 802.1x: Principe général BUT: Offrir un mécanisme d’authentification des postes de travail Initialement destiné au réseau filaire et étendu au réseau sans-fil Principe: Authentification d’un client sur un serveur d’authentification(radius) au travers d’un équipement réseau (switch, AP). L’équipement réseau reçoit du serveur l’autorisation de laisser le passage à un client. Le protocole utilisé est EAP (Extensible Authentification Protocol) S.Bordères Séminaire RAISIN - 17/02/2005
  11. 11. 802.1x: Principe général Serveur d’authentification RADIUS EAP over radius Port controlé Authentificateur (switch,AP) Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
  12. 12. 802.1x: Principe général Serveur d’authentification RADIUS Port controlé authentificateur Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
  13. 13. EAP: Extensible Authentication Protocol EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage. S.Bordères Séminaire RAISIN - 17/02/2005
  14. 14. Le protocole WPA WPA = TKIP+802.1x+MIC TKIP est un mécanisme d’échange de clés dynamiques. Tkip=Temporal key Integrity Protocol Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep) MIC=mécanisme de contrôle d’intégrité S.Bordères Séminaire RAISIN - 17/02/2005
  15. 15. Le protocole WPA Ne pas confondre WPA-enterprise met en œuvre 802.1x et WPA-home qui met en œuvre des clés partagés (WPA-PSK) S.Bordères Séminaire RAISIN - 17/02/2005
  16. 16. Le protocole WPA Evolution du niveau de sécurité WPA2=802.11i a re w ard h WPA iels ic log WPA-PSK WEP S.Bordères Séminaire RAISIN - 17/02/2005
  17. 17. Mise en œuvre des vlans sans-fil La borne WIFI doit être capable de gérer les vlans Elle est connectée sur un switch par un lien TRUNK Chaque vlan correspond à un SSID (CISCO) Ssid=informatique Ssid=utilisateurs Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 S.Bordères Vlan 15 Séminaire RAISIN - 17/02/2005 vlan 10 15
  18. 18. Serveur radius Trafic EAP Serveur radius users passwd domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL …. S.Bordères Séminaire RAISIN - 17/02/2005
  19. 19. Serveur radius Les possibilités d’authentifications Possibilité d’authentifier sur l’adresse MAC La borne envoi au serveur radius l’adresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur. S.Bordères Séminaire RAISIN - 17/02/2005
  20. 20. Serveur radius Avantages De multiples possibilités d’authentification Traitement individuel d’un utilisateur ou d’une machine (on peut mixer les méthodes d’authentification) Gestion centralisée Trace de toutes les connexions ou tentatives dans un log. S.Bordères Séminaire RAISIN - 17/02/2005
  21. 21. Serveur radius Mise en oeuvre Configuration du poste client Configuration sur la borne Configuration du serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
  22. 22. Configurer le poste client S.Bordères Séminaire RAISIN - 17/02/2005
  23. 23. Configurer le poste client Configuration PEAP S.Bordères Séminaire RAISIN - 17/02/2005
  24. 24. Configurer le poste client Configuration TLS S.Bordères Séminaire RAISIN - 17/02/2005
  25. 25. Configuration de la borne Définir le serveur radius Définir chaque vlan et chaque SSID associé Définir les caractéristiques de chaque SSID S.Bordères Séminaire RAISIN - 17/02/2005
  26. 26. Configuration de la borne (cisco aironet 1200) Définir le serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
  27. 27. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé Le native Vlan est le vlan par lequel la borne communique avec le reste du réseau pour ses propres besoins. Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordères Séminaire RAISIN - 17/02/2005
  28. 28. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  29. 29. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  30. 30. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  31. 31. Configuration du serveur radius (freeradius) Définir quel matériel a le droit d’interroger le serveur radius Définir comment le serveur Radius authentifie. Définir la configuration EAP Construire le fichier des utilisateurs S.Bordères Séminaire RAISIN - 17/02/2005
  32. 32. Configuration du serveur radius Définir quel matériel a le droit d’interroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de définir les matériels qui ont le droit de faire des requêtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco } S.Bordères Séminaire RAISIN - 17/02/2005 Secret partagé avec les bornes
  33. 33. Configuration du serveur radius Définir comment le serveur Radius authentifie. Exemple d’authentification sur domaine Windows Le serveur radius doit être inclus dans le domaine Ceci nécessite un serveur samba avec une configuration minimale: net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vérifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12 /etc/raddb/radiusd.conf mschap { ….. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}« S.Bordères Séminaire RAISIN - 17/02/2005 …….}
  34. 34. Configuration du serveur radius Définir la configuration EAP /etc/raddb/eap.conf tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem …… } peap { …. default_eap_type=mschapv2 …. } S.Bordères Séminaire RAISIN - 17/02/2005
  35. 35. Configuration du serveur radius Construire le fichier des utilisateurs /etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la façon dont ils sont authentifiés. Login Windows dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs" CN du certificat client "Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs" S.Bordères Séminaire RAISIN - 17/02/2005
  36. 36. Exemple d’utilisation Un utilisateur veut se connecter sur le SSID « informatique » La borne envoi au serveur radius une requête d’authentification de l’adresse MAC. Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant. La borne relaie le trafic EAP du client et le serveur radius authentifie la requête sur le domaine Windows S.Bordères Séminaire RAISIN - 17/02/2005
  37. 37. Problèmes La carte sans-fil doit supporter WPA (enterprise) L’utilitaire de configuration aussi. Parfois des problèmes sous Windows 2000 (patches nécessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise DELL 1450 INTEL 2200 INTEL 2100 (avec dernière mise à jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG. S.Bordères Séminaire RAISIN - 17/02/2005
  38. 38. Le cas des visiteurs Comme pour le réseau filaire les visiteurs doivent être identifiés pour se connecter sur le réseau sans-fil. Problèmes: Un visiteur n’a pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulière. Solution possible: Utiliser un portail captif S.Bordères Séminaire RAISIN - 17/02/2005
  39. 39. Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu Visiteur sans-fil rs Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  40. 40. Le cas des visiteurs Le portail captif: Principes La borne place le PC visiteur sur un vlan intermédiaire Ce vlan est connecté sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier. Une fois authentifié il peut traverser le portail vers d’autres réseaux. S.Bordères Séminaire RAISIN - 17/02/2005
  41. 41. Le cas des visiteurs Le portail captif Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a été choisi parce qu’il supporte radius. C’est-à-dire que l’authentification sur le serveur web se fait par interrogation d’un serveur radius. S.Bordères Séminaire RAISIN - 17/02/2005
  42. 42. Le cas des visiteurs Le portail captif radius Utilisateur du labo DNS Portail captif routeur apache Vla n visi teu rs Visiteur sans-fil https chilli chilli Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  43. 43. Le cas des visiteurs Le portail captif: Avantages L’authentification est sécurisée (HTTPS) Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe général Le login est l’adresse MAC et le password un mot de passe général ou spécifique. S.Bordères Séminaire RAISIN - 17/02/2005
  44. 44. Le cas des visiteurs Le portail captif: Avantages La page web permet de faire passer des informations Par exemple: Les mentions légales Le serveur du portail peut filtrer les communications (netfilter) Possibilité d’avoir des traces des connexions S.Bordères Séminaire RAISIN - 17/02/2005
  45. 45. Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu rs Visiteur sans-fil 802.1q Trunk Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  46. 46. Le cas des visiteurs Le portail captif Utilisateur du labo Visiteur sans-fil routeur S.Bordères Portail captif Séminaire RAISIN - 17/02/2005
  47. 47. Linux et WPA et Radius Problème de disponibilité des drivers WIFI Problème de disponibilité des drivers WIFI…compatibles WPA Solution: NDISWRAPPER Utilitaire permettant d’installer les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/ S.Bordères Séminaire RAISIN - 17/02/2005
  48. 48. Linux et WPA et Radius Utilisation d’un supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X S.Bordères Séminaire RAISIN - 17/02/2005
  49. 49. Références http://2003.jres.org/actes/paper.143.pdf http://www.sans.org/rr/whitepapers/authentication/123.php http://www.pouf.org/documentation/securite/html/node1.html http://www.teksell.com/whitepapers/cisco_wireless.pdf http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf http://www.freeradius.org http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf http://www.chillispot.org/ Livre: RADIUS, Jonathan Hassel, O’REILLY S.Bordères Séminaire RAISIN - 17/02/2005
  50. 50. Dispositif de la démonstration. Chillispot Portail captif Réseau IXL S.Bordères Chillispot serveur apache serveur freeradius Séminaire RAISIN - 17/02/2005

×