SlideShare une entreprise Scribd logo
1  sur  50
Télécharger pour lire hors ligne
Authentification sur réseau sans-fil
Utilisation d’un serveur radius
Expérience du CENBG

S.Bordères

Séminaire RAISIN - 17/02/2005
Sommaire

Critères de choix d’architecture
Solution adoptée
Serveur radius
Configurations
Cas des visiteurs – portail captif
Clients Linux

S.Bordères

Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Postulats

Le C.E.N.B.G n’est pas un hotspot
Tout PC se connectant sur le réseau sans-fil doit être
identifié au même titre que les PC filaires
L’introduction du réseau sans-fil ne doit pas remettre en cause
les principes de sécurité déjà existants.
S.Bordères

Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Place d’un PC sans-fil dans le réseau

Un même PC doit être vu sur le réseau de façon identique
qu’il utilise une connexion filaire ou sans-fils.
Un PC connecté sur le réseau filaire dans le VLAN x doit être placé
dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil
Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte
par le réseau filaire ou sans-fil.

S.Bordères

Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Place d’un PC sans-fil dans le réseau
Routage/filtrage
Vlan2

Vlan1

PC connecté sur le réseau sans-fil
Routage/filtrage
Vlan1

Vlan2

Vlan3

PC connecté sur le réseau filaire
Vlan3

S.Bordères

Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Authentification
Une authentification par clé partagée n’est pas envisageable
Clé WEP trop fragile.
Clé WPA-PSK plus solide mais…
Trop difficile à gérer lorsque le nombre de postes est grand.
Il suffit de connaître la clé pour se connecter au réseau sans-fils
donc aucun contrôle sur les postes.

S.Bordères

Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Authentification

L’authentification doit se faire sans ajouter un mot de passe
supplémentaire pour l’utilisateur.(il en a déjà suffisamment)
C’est plus la machine qu’on cherche à authentifier
que l’utilisateur lui-même
Mais l’authentification par adresse MAC sur un réseau
sans-fil n’est pas suffisante.

S.Bordères

Séminaire RAISIN - 17/02/2005

CEN

BG
Solution adoptée
Choix pour l’authentification

Dans une première étape, identifier la machine par son adresse MAC
et , dans une deuxième étape, consolider par une authentification
par username/password ou bien un certificat.
Le username/password est celui du domaine Windows
L’adresse MAC permet de placer la machine dans un VLAN

Pour se connecter au réseau sans-fil il faut posséder une adresse
MAC enregistrée et un compte Windows ou un certificat.
S.Bordères

Séminaire RAISIN - 17/02/2005
Solution adoptée
Les moyens

Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de gérer :
* Les vlans
* WPA
* radius
S.Bordères

Séminaire RAISIN - 17/02/2005
802.1x: Principe général

BUT: Offrir un mécanisme d’authentification des postes de travail
Initialement destiné au réseau filaire et étendu au réseau sans-fil
Principe:
Authentification d’un client sur un serveur d’authentification(radius)
au travers d’un équipement réseau (switch, AP).
L’équipement réseau reçoit du serveur l’autorisation de laisser
le passage à un client.
Le protocole utilisé est EAP (Extensible Authentification Protocol)
S.Bordères

Séminaire RAISIN - 17/02/2005
802.1x: Principe général

Serveur d’authentification
RADIUS

EAP over radius

Port controlé

Authentificateur
(switch,AP)

Port non controlé

Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordères

Poste client
Séminaire RAISIN - 17/02/2005
802.1x: Principe général

Serveur d’authentification
RADIUS

Port controlé

authentificateur

Port non controlé

Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordères

Poste client
Séminaire RAISIN - 17/02/2005
EAP: Extensible Authentication Protocol

EAP permet la négociation d’un protocole d’authentification
entre le client et un serveur radius
EAP-TLS
authentification mutuelle par certificat
EAP-TTLS
Utilise un tunnel TLS
EAP-PEAP
Authentification du serveur par certificat et du client
par login/mot de passe.
EAP n’est pas une méthode de cryptage des communications du client
mais fourni un mécanisme d’initialisation des clés de cryptage.
S.Bordères

Séminaire RAISIN - 17/02/2005
Le protocole WPA

WPA = TKIP+802.1x+MIC
TKIP est un mécanisme d’échange de clés dynamiques.
Tkip=Temporal key Integrity Protocol
Utilisation d’un cryptage RC4
(vecteur 48bits au lieu de 24bits avec wep)

MIC=mécanisme de contrôle d’intégrité
S.Bordères

Séminaire RAISIN - 17/02/2005
Le protocole WPA

Ne pas confondre
WPA-enterprise met en œuvre 802.1x
et
WPA-home qui met en œuvre des clés partagés (WPA-PSK)

S.Bordères

Séminaire RAISIN - 17/02/2005
Le protocole WPA
Evolution du niveau de sécurité

WPA2=802.11i
a re
w
ard
h
WPA

iels
ic
log

WPA-PSK
WEP

S.Bordères

Séminaire RAISIN - 17/02/2005
Mise en œuvre des vlans sans-fil

La borne WIFI doit être capable de gérer les vlans
Elle est connectée sur un switch par un lien TRUNK
Chaque vlan correspond à un SSID (CISCO)
Ssid=informatique

Ssid=utilisateurs
Ssid
informatique
utilisateurs
Trunk 802.1q

Routage/filtrage
Vlan 10

S.Bordères

Vlan 15
Séminaire RAISIN - 17/02/2005

vlan
10
15
Serveur radius

Trafic EAP

Serveur radius
users

passwd

domaine windows
Ou
Domaine NIS
Ou
serveur LDAP
Ou
Base SQL
….

S.Bordères

Séminaire RAISIN - 17/02/2005
Serveur radius
Les possibilités d’authentifications

Possibilité d’authentifier sur l’adresse MAC
La borne envoi au serveur radius l’adresse MAC du client
comme un username.
Le serveur radius valide (ou pas) cette adresse MAC comme un
utilisateur.

S.Bordères

Séminaire RAISIN - 17/02/2005
Serveur radius
Avantages

De multiples possibilités d’authentification
Traitement individuel d’un utilisateur ou d’une machine
(on peut mixer les méthodes d’authentification)
Gestion centralisée
Trace de toutes les connexions ou tentatives dans un log.

S.Bordères

Séminaire RAISIN - 17/02/2005
Serveur radius
Mise en oeuvre

Configuration du poste client
Configuration sur la borne
Configuration du serveur radius

S.Bordères

Séminaire RAISIN - 17/02/2005
Configurer le poste client

S.Bordères

Séminaire RAISIN - 17/02/2005
Configurer le poste client

Configuration PEAP

S.Bordères

Séminaire RAISIN - 17/02/2005
Configurer le poste client

Configuration TLS

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne

Définir le serveur radius
Définir chaque vlan et chaque SSID associé
Définir les caractéristiques de chaque SSID

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne

(cisco aironet 1200)

Définir le serveur radius

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

Le native Vlan est le vlan par lequel la borne communique avec
le reste du réseau pour ses propres besoins.
Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi:
interface FastEthernet0/2
switchport trunk native vlan 23
switchport mode trunk
S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration du serveur radius
(freeradius)

Définir quel matériel a le droit d’interroger le serveur radius
Définir comment le serveur Radius authentifie.
Définir la configuration EAP
Construire le fichier des utilisateurs

S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration du serveur radius
Définir quel matériel a le droit
d’interroger le serveur radius
/etc/raddb/clients.conf
Ce fichier permet de définir les matériels qui ont le
droit de faire des requêtes au serveur Radius
client 10.50.0.4 {
secret
= lesecret
shortname = ap3
nastype
= cisco
}
S.Bordères

Séminaire RAISIN - 17/02/2005

Secret partagé avec les bornes
Configuration du serveur radius
Définir comment le serveur Radius authentifie.
Exemple d’authentification sur domaine Windows
Le serveur radius doit être inclus dans le domaine
Ceci nécessite un serveur samba avec une configuration minimale:
net rpc join -w MONDOMAINE -U administrateur
(demande le mot de passe administrateur du domaine)
net rpc testjoin (pour vérifier)

winbind separator = %
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
workgroup = DOMAIN
security = domain
password server = *
workgroup = MONDOMAINE
wins server = 10.50.0.12

/etc/raddb/radiusd.conf
mschap {
…..
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}«
S.Bordères
Séminaire RAISIN - 17/02/2005
…….}
Configuration du serveur radius
Définir la configuration EAP

/etc/raddb/eap.conf
tls {
private_key_file = ${raddbdir}/certs/serveur-radius.key
certificate_file = ${raddbdir}/certs/serveur-radius.crt
CA_file = ${raddbdir}/certs/cert-cnrs.pem
……
}

peap {
….
default_eap_type=mschapv2
….
}
S.Bordères

Séminaire RAISIN - 17/02/2005
Configuration du serveur radius
Construire le fichier des utilisateurs

/etc/raddb/users
Ce fichier contient la liste des utilisateurs et/ou adresses mac
et la façon dont ils sont authentifiés.
Login Windows
dupont Auth-Type := EAP
000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"
Cisco-AVPair = "ssid=utilisateurs"

CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d
Cisco-AVPair = "ssid=utilisateurs"

S.Bordères

Séminaire RAISIN - 17/02/2005
Exemple d’utilisation

Un utilisateur veut se connecter sur le SSID « informatique »

La borne envoi au serveur radius une requête d’authentification
de l’adresse MAC.
Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant.

La borne relaie le trafic EAP du client et le serveur radius authentifie
la requête sur le domaine Windows

S.Bordères

Séminaire RAISIN - 17/02/2005
Problèmes

La carte sans-fil doit supporter WPA (enterprise)
L’utilitaire de configuration aussi.
Parfois des problèmes sous Windows 2000
(patches nécessaires, pas de zero config comme sous XP)
Exemple de cartes qui fonctionnent en WPA-enterprise
DELL 1450
INTEL 2200
INTEL 2100 (avec dernière mise à jour ..)
NETGEAR WG-511T (uniquement sous XP avec wireless zero config))
GIGABYTE GN-WBKG (sous XP, USB)
ASUS WL-100g
DLINK DWL-G650 serie AirPlus XtremeG.
S.Bordères

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs

Comme pour le réseau filaire les visiteurs doivent être
identifiés pour se connecter sur le réseau sans-fil.
Problèmes:
Un visiteur n’a pas de compte dans le labo
On ne peut pas lui imposer une carte sans-fil particulière.
Solution possible:
Utiliser un portail captif
S.Bordères

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif

Utilisateur du labo

Portail captif

routeur
Vla
n

visi

teu

Visiteur sans-fil

rs

Vlan intermédiaire

S.Bordères

Visiteur filaire

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif: Principes

La borne place le PC visiteur sur un vlan intermédiaire
Ce vlan est connecté sur le serveur du portail qui fait office
de routeur/filtrage entre ce vlan et le vlan utilisateur.
Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui
lui affecte une adresse IP.
Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte
la requête et le redirige automatiquement (https) vers une page d’un serveur web
qui va lui permettre de s’authentifier.
Une fois authentifié il peut traverser le portail vers d’autres réseaux.
S.Bordères

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif

Il existe plusieurs logiciels de portail captif
Nocatauth
Chillispot
Au CENBG, chillispot a été choisi parce qu’il supporte radius.
C’est-à-dire que l’authentification sur le serveur web se fait par
interrogation d’un serveur radius.
S.Bordères

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif

radius
Utilisateur du labo

DNS

Portail captif

routeur

apache
Vla
n

visi

teu

rs

Visiteur sans-fil

https

chilli
chilli
Vlan intermédiaire

S.Bordères

Visiteur filaire

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif: Avantages

L’authentification est sécurisée (HTTPS)
Grande souplesse d’adaptation:
choix d’une politique pour le login et le mot de passe.
Par exemple:
Le login est le nom du visiteur et le password un mot de passe général
Le login est l’adresse MAC et le password un mot de passe général
ou spécifique.
S.Bordères

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif: Avantages

La page web permet de faire passer des informations
Par exemple: Les mentions légales
Le serveur du portail peut filtrer les communications
(netfilter)

Possibilité d’avoir des traces des connexions
S.Bordères

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif

Utilisateur du labo

Portail captif

routeur
Vla
n

visi

teu

rs

Visiteur sans-fil

802.1q

Trunk
Vlan intermédiaire

S.Bordères

Visiteur filaire

Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Le portail captif

Utilisateur du labo

Visiteur sans-fil

routeur

S.Bordères

Portail captif

Séminaire RAISIN - 17/02/2005
Linux et WPA et Radius

Problème de disponibilité des drivers WIFI
Problème de disponibilité des drivers WIFI…compatibles WPA
Solution: NDISWRAPPER
Utilitaire permettant d’installer les drivers WINDOWS sous Linux
http://sourceforge.net/projects/ndiswrapper/
S.Bordères

Séminaire RAISIN - 17/02/2005
Linux et WPA et Radius

Utilisation d’un supplicant WPA
WPA_SUPPLICANT
Permet de configurer un client Linux avec toutes
les formes de WPA, WPA2, EAP.
Contient un supplicant 802.1X

S.Bordères

Séminaire RAISIN - 17/02/2005
Références
http://2003.jres.org/actes/paper.143.pdf
http://www.sans.org/rr/whitepapers/authentication/123.php
http://www.pouf.org/documentation/securite/html/node1.html
http://www.teksell.com/whitepapers/cisco_wireless.pdf
http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf
http://www.freeradius.org
http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf
http://www.chillispot.org/
Livre: RADIUS, Jonathan Hassel, O’REILLY
S.Bordères

Séminaire RAISIN - 17/02/2005
Dispositif de la démonstration. Chillispot

Portail captif
Réseau IXL

S.Bordères

Chillispot
serveur apache
serveur freeradius

Séminaire RAISIN - 17/02/2005

Contenu connexe

Tendances

FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPRaphaël Benja
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)Hackfest Communication
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireJeff Hermann Ela Aba
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERHermann GBILIMAKO
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 

Tendances (20)

FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAP
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaire
 
Vpn
VpnVpn
Vpn
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole Diameter
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
 
Vpn
VpnVpn
Vpn
 
Pfsense
PfsensePfsense
Pfsense
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
 
Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidr
 

En vedette

Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eJeff Hermann Ela Aba
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Authentification
AuthentificationAuthentification
AuthentificationRaouf16
 
MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011Steven Francia
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seauMed Ali Bhs
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéAurore de Cosnac
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCERTyou Formation
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5Kristen Le Liboux
 
supervision réseau (snmp netflow)
 supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)medalaa
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesIbrahima FALL
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracerChris Dogny
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 

En vedette (20)

Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Authentification
AuthentificationAuthentification
Authentification
 
MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seau
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatique
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
Splunk
SplunkSplunk
Splunk
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5
 
Tp snmp
Tp snmpTp snmp
Tp snmp
 
supervision réseau (snmp netflow)
 supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et Technologies
 
05c reseaux-sans-fil
05c reseaux-sans-fil05c reseaux-sans-fil
05c reseaux-sans-fil
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
 
PHP MVC
PHP MVCPHP MVC
PHP MVC
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Firewall
FirewallFirewall
Firewall
 

Similaire à 83839589 radius

cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfGodefroyCheumaniTche1
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudJulien SIMON
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)CERTyou Formation
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCERTyou Formation
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
QoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - FrenchQoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - FrenchAssia Mounir
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxWiemAssadi
 
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)SmartnSkilled
 
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm
 
Aerohive Jan09 Fr
Aerohive Jan09 FrAerohive Jan09 Fr
Aerohive Jan09 Frppuichaud
 
Cisco discovery-module-final-v4
Cisco discovery-module-final-v4Cisco discovery-module-final-v4
Cisco discovery-module-final-v4r2ch
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 

Similaire à 83839589 radius (20)

cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdf
 
Ccna3 7
Ccna3 7Ccna3 7
Ccna3 7
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
 
Chap7_JavaNet.pdf
Chap7_JavaNet.pdfChap7_JavaNet.pdf
Chap7_JavaNet.pdf
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-fils
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
QoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - FrenchQoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - French
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptx
 
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
 
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
 
Aerohive Jan09 Fr
Aerohive Jan09 FrAerohive Jan09 Fr
Aerohive Jan09 Fr
 
Cisco discovery-module-final-v4
Cisco discovery-module-final-v4Cisco discovery-module-final-v4
Cisco discovery-module-final-v4
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefs
 

83839589 radius

  • 1. Authentification sur réseau sans-fil Utilisation d’un serveur radius Expérience du CENBG S.Bordères Séminaire RAISIN - 17/02/2005
  • 2. Sommaire Critères de choix d’architecture Solution adoptée Serveur radius Configurations Cas des visiteurs – portail captif Clients Linux S.Bordères Séminaire RAISIN - 17/02/2005
  • 3. Critères de choix d’architecture Postulats Le C.E.N.B.G n’est pas un hotspot Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les PC filaires L’introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité déjà existants. S.Bordères Séminaire RAISIN - 17/02/2005
  • 4. Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Un même PC doit être vu sur le réseau de façon identique qu’il utilise une connexion filaire ou sans-fils. Un PC connecté sur le réseau filaire dans le VLAN x doit être placé dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte par le réseau filaire ou sans-fil. S.Bordères Séminaire RAISIN - 17/02/2005
  • 5. Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Routage/filtrage Vlan2 Vlan1 PC connecté sur le réseau sans-fil Routage/filtrage Vlan1 Vlan2 Vlan3 PC connecté sur le réseau filaire Vlan3 S.Bordères Séminaire RAISIN - 17/02/2005
  • 6. Critères de choix d’architecture Authentification Une authentification par clé partagée n’est pas envisageable Clé WEP trop fragile. Clé WPA-PSK plus solide mais… Trop difficile à gérer lorsque le nombre de postes est grand. Il suffit de connaître la clé pour se connecter au réseau sans-fils donc aucun contrôle sur les postes. S.Bordères Séminaire RAISIN - 17/02/2005
  • 7. Critères de choix d’architecture Authentification L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment) C’est plus la machine qu’on cherche à authentifier que l’utilisateur lui-même Mais l’authentification par adresse MAC sur un réseau sans-fil n’est pas suffisante. S.Bordères Séminaire RAISIN - 17/02/2005 CEN BG
  • 8. Solution adoptée Choix pour l’authentification Dans une première étape, identifier la machine par son adresse MAC et , dans une deuxième étape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows L’adresse MAC permet de placer la machine dans un VLAN Pour se connecter au réseau sans-fil il faut posséder une adresse MAC enregistrée et un compte Windows ou un certificat. S.Bordères Séminaire RAISIN - 17/02/2005
  • 9. Solution adoptée Les moyens Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de gérer : * Les vlans * WPA * radius S.Bordères Séminaire RAISIN - 17/02/2005
  • 10. 802.1x: Principe général BUT: Offrir un mécanisme d’authentification des postes de travail Initialement destiné au réseau filaire et étendu au réseau sans-fil Principe: Authentification d’un client sur un serveur d’authentification(radius) au travers d’un équipement réseau (switch, AP). L’équipement réseau reçoit du serveur l’autorisation de laisser le passage à un client. Le protocole utilisé est EAP (Extensible Authentification Protocol) S.Bordères Séminaire RAISIN - 17/02/2005
  • 11. 802.1x: Principe général Serveur d’authentification RADIUS EAP over radius Port controlé Authentificateur (switch,AP) Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
  • 12. 802.1x: Principe général Serveur d’authentification RADIUS Port controlé authentificateur Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
  • 13. EAP: Extensible Authentication Protocol EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage. S.Bordères Séminaire RAISIN - 17/02/2005
  • 14. Le protocole WPA WPA = TKIP+802.1x+MIC TKIP est un mécanisme d’échange de clés dynamiques. Tkip=Temporal key Integrity Protocol Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep) MIC=mécanisme de contrôle d’intégrité S.Bordères Séminaire RAISIN - 17/02/2005
  • 15. Le protocole WPA Ne pas confondre WPA-enterprise met en œuvre 802.1x et WPA-home qui met en œuvre des clés partagés (WPA-PSK) S.Bordères Séminaire RAISIN - 17/02/2005
  • 16. Le protocole WPA Evolution du niveau de sécurité WPA2=802.11i a re w ard h WPA iels ic log WPA-PSK WEP S.Bordères Séminaire RAISIN - 17/02/2005
  • 17. Mise en œuvre des vlans sans-fil La borne WIFI doit être capable de gérer les vlans Elle est connectée sur un switch par un lien TRUNK Chaque vlan correspond à un SSID (CISCO) Ssid=informatique Ssid=utilisateurs Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 S.Bordères Vlan 15 Séminaire RAISIN - 17/02/2005 vlan 10 15
  • 18. Serveur radius Trafic EAP Serveur radius users passwd domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL …. S.Bordères Séminaire RAISIN - 17/02/2005
  • 19. Serveur radius Les possibilités d’authentifications Possibilité d’authentifier sur l’adresse MAC La borne envoi au serveur radius l’adresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur. S.Bordères Séminaire RAISIN - 17/02/2005
  • 20. Serveur radius Avantages De multiples possibilités d’authentification Traitement individuel d’un utilisateur ou d’une machine (on peut mixer les méthodes d’authentification) Gestion centralisée Trace de toutes les connexions ou tentatives dans un log. S.Bordères Séminaire RAISIN - 17/02/2005
  • 21. Serveur radius Mise en oeuvre Configuration du poste client Configuration sur la borne Configuration du serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
  • 22. Configurer le poste client S.Bordères Séminaire RAISIN - 17/02/2005
  • 23. Configurer le poste client Configuration PEAP S.Bordères Séminaire RAISIN - 17/02/2005
  • 24. Configurer le poste client Configuration TLS S.Bordères Séminaire RAISIN - 17/02/2005
  • 25. Configuration de la borne Définir le serveur radius Définir chaque vlan et chaque SSID associé Définir les caractéristiques de chaque SSID S.Bordères Séminaire RAISIN - 17/02/2005
  • 26. Configuration de la borne (cisco aironet 1200) Définir le serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
  • 27. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé Le native Vlan est le vlan par lequel la borne communique avec le reste du réseau pour ses propres besoins. Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordères Séminaire RAISIN - 17/02/2005
  • 28. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  • 29. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  • 30. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  • 31. Configuration du serveur radius (freeradius) Définir quel matériel a le droit d’interroger le serveur radius Définir comment le serveur Radius authentifie. Définir la configuration EAP Construire le fichier des utilisateurs S.Bordères Séminaire RAISIN - 17/02/2005
  • 32. Configuration du serveur radius Définir quel matériel a le droit d’interroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de définir les matériels qui ont le droit de faire des requêtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco } S.Bordères Séminaire RAISIN - 17/02/2005 Secret partagé avec les bornes
  • 33. Configuration du serveur radius Définir comment le serveur Radius authentifie. Exemple d’authentification sur domaine Windows Le serveur radius doit être inclus dans le domaine Ceci nécessite un serveur samba avec une configuration minimale: net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vérifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12 /etc/raddb/radiusd.conf mschap { ….. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}« S.Bordères Séminaire RAISIN - 17/02/2005 …….}
  • 34. Configuration du serveur radius Définir la configuration EAP /etc/raddb/eap.conf tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem …… } peap { …. default_eap_type=mschapv2 …. } S.Bordères Séminaire RAISIN - 17/02/2005
  • 35. Configuration du serveur radius Construire le fichier des utilisateurs /etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la façon dont ils sont authentifiés. Login Windows dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs" CN du certificat client "Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs" S.Bordères Séminaire RAISIN - 17/02/2005
  • 36. Exemple d’utilisation Un utilisateur veut se connecter sur le SSID « informatique » La borne envoi au serveur radius une requête d’authentification de l’adresse MAC. Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant. La borne relaie le trafic EAP du client et le serveur radius authentifie la requête sur le domaine Windows S.Bordères Séminaire RAISIN - 17/02/2005
  • 37. Problèmes La carte sans-fil doit supporter WPA (enterprise) L’utilitaire de configuration aussi. Parfois des problèmes sous Windows 2000 (patches nécessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise DELL 1450 INTEL 2200 INTEL 2100 (avec dernière mise à jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG. S.Bordères Séminaire RAISIN - 17/02/2005
  • 38. Le cas des visiteurs Comme pour le réseau filaire les visiteurs doivent être identifiés pour se connecter sur le réseau sans-fil. Problèmes: Un visiteur n’a pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulière. Solution possible: Utiliser un portail captif S.Bordères Séminaire RAISIN - 17/02/2005
  • 39. Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu Visiteur sans-fil rs Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  • 40. Le cas des visiteurs Le portail captif: Principes La borne place le PC visiteur sur un vlan intermédiaire Ce vlan est connecté sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier. Une fois authentifié il peut traverser le portail vers d’autres réseaux. S.Bordères Séminaire RAISIN - 17/02/2005
  • 41. Le cas des visiteurs Le portail captif Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a été choisi parce qu’il supporte radius. C’est-à-dire que l’authentification sur le serveur web se fait par interrogation d’un serveur radius. S.Bordères Séminaire RAISIN - 17/02/2005
  • 42. Le cas des visiteurs Le portail captif radius Utilisateur du labo DNS Portail captif routeur apache Vla n visi teu rs Visiteur sans-fil https chilli chilli Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  • 43. Le cas des visiteurs Le portail captif: Avantages L’authentification est sécurisée (HTTPS) Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe général Le login est l’adresse MAC et le password un mot de passe général ou spécifique. S.Bordères Séminaire RAISIN - 17/02/2005
  • 44. Le cas des visiteurs Le portail captif: Avantages La page web permet de faire passer des informations Par exemple: Les mentions légales Le serveur du portail peut filtrer les communications (netfilter) Possibilité d’avoir des traces des connexions S.Bordères Séminaire RAISIN - 17/02/2005
  • 45. Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu rs Visiteur sans-fil 802.1q Trunk Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  • 46. Le cas des visiteurs Le portail captif Utilisateur du labo Visiteur sans-fil routeur S.Bordères Portail captif Séminaire RAISIN - 17/02/2005
  • 47. Linux et WPA et Radius Problème de disponibilité des drivers WIFI Problème de disponibilité des drivers WIFI…compatibles WPA Solution: NDISWRAPPER Utilitaire permettant d’installer les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/ S.Bordères Séminaire RAISIN - 17/02/2005
  • 48. Linux et WPA et Radius Utilisation d’un supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X S.Bordères Séminaire RAISIN - 17/02/2005
  • 50. Dispositif de la démonstration. Chillispot Portail captif Réseau IXL S.Bordères Chillispot serveur apache serveur freeradius Séminaire RAISIN - 17/02/2005