83839589 radius

Authentification sur réseau sans-fil
Utilisation d’un serveur radius
Expérience du CENBG

S.Bordères

Séminaire RAISIN - 17/02/2005

Sommaire

Critères de choix d’architecture
Solution adoptée
Serveur radius
Configurations
Cas des visiteurs – portail captif
Clients Linux

S.Bordères


Postulats

Le C.E.N.B.G n’est pas un hotspot
Tout PC se connectant sur le réseau sans-fil doit être
identifié au même titre que les PC filaires
L’introduction du réseau sans-fil ne doit pas remettre en cause
les principes de sécurité déjà existants.
S.Bordères


Place d’un PC sans-fil dans le réseau

Un même PC doit être vu sur le réseau de façon identique
qu’il utilise une connexion filaire ou sans-fils.
Un PC connecté sur le réseau filaire dans le VLAN x doit être placé
dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil
Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte
par le réseau filaire ou sans-fil.

S.Bordères


Place d’un PC sans-fil dans le réseau
Routage/filtrage
Vlan2

Vlan1

PC connecté sur le réseau sans-fil
Routage/filtrage
Vlan1

Vlan2

Vlan3

PC connecté sur le réseau filaire
Vlan3

S.Bordères


Authentification
Une authentification par clé partagée n’est pas envisageable
Clé WEP trop fragile.
Clé WPA-PSK plus solide mais…
Trop difficile à gérer lorsque le nombre de postes est grand.
Il suffit de connaître la clé pour se connecter au réseau sans-fils
donc aucun contrôle sur les postes.

S.Bordères


Authentification

L’authentification doit se faire sans ajouter un mot de passe
supplémentaire pour l’utilisateur.(il en a déjà suffisamment)
C’est plus la machine qu’on cherche à authentifier
que l’utilisateur lui-même
Mais l’authentification par adresse MAC sur un réseau
sans-fil n’est pas suffisante.

S.Bordères


CEN

BG

Solution adoptée
Choix pour l’authentification

Dans une première étape, identifier la machine par son adresse MAC
et , dans une deuxième étape, consolider par une authentification
par username/password ou bien un certificat.
Le username/password est celui du domaine Windows
L’adresse MAC permet de placer la machine dans un VLAN

Pour se connecter au réseau sans-fil il faut posséder une adresse
MAC enregistrée et un compte Windows ou un certificat.
S.Bordères


Solution adoptée
Les moyens

Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de gérer :
* Les vlans
* WPA
* radius
S.Bordères


802.1x: Principe général

BUT: Offrir un mécanisme d’authentification des postes de travail
Initialement destiné au réseau filaire et étendu au réseau sans-fil
Principe:
Authentification d’un client sur un serveur d’authentification(radius)
au travers d’un équipement réseau (switch, AP).
L’équipement réseau reçoit du serveur l’autorisation de laisser
le passage à un client.
Le protocole utilisé est EAP (Extensible Authentification Protocol)
S.Bordères



Serveur d’authentification
RADIUS

EAP over radius

Port controlé

Authentificateur
(switch,AP)

Port non controlé

Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordères

Poste client


Serveur d’authentification
RADIUS

Port controlé

authentificateur

Port non controlé

Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordères

Poste client

EAP: Extensible Authentication Protocol

EAP permet la négociation d’un protocole d’authentification
entre le client et un serveur radius
EAP-TLS
authentification mutuelle par certificat
EAP-TTLS
Utilise un tunnel TLS
EAP-PEAP
Authentification du serveur par certificat et du client
par login/mot de passe.
EAP n’est pas une méthode de cryptage des communications du client
mais fourni un mécanisme d’initialisation des clés de cryptage.
S.Bordères


Le protocole WPA

WPA = TKIP+802.1x+MIC
TKIP est un mécanisme d’échange de clés dynamiques.
Tkip=Temporal key Integrity Protocol
Utilisation d’un cryptage RC4
(vecteur 48bits au lieu de 24bits avec wep)

MIC=mécanisme de contrôle d’intégrité
S.Bordères


Le protocole WPA

Ne pas confondre
WPA-enterprise met en œuvre 802.1x
et
WPA-home qui met en œuvre des clés partagés (WPA-PSK)

S.Bordères


Le protocole WPA
Evolution du niveau de sécurité

WPA2=802.11i
a re
w
ard
h
WPA

iels
ic
log

WPA-PSK
WEP

S.Bordères


Mise en œuvre des vlans sans-fil

La borne WIFI doit être capable de gérer les vlans
Elle est connectée sur un switch par un lien TRUNK
Chaque vlan correspond à un SSID (CISCO)
Ssid=informatique

Ssid=utilisateurs
Ssid
informatique
utilisateurs
Trunk 802.1q

Routage/filtrage
Vlan 10

S.Bordères

Vlan 15

vlan
10
15

Serveur radius

Trafic EAP

Serveur radius
users

passwd

domaine windows
Ou
Domaine NIS
Ou
serveur LDAP
Ou
Base SQL
….

S.Bordères


Serveur radius
Les possibilités d’authentifications

Possibilité d’authentifier sur l’adresse MAC
La borne envoi au serveur radius l’adresse MAC du client
comme un username.
Le serveur radius valide (ou pas) cette adresse MAC comme un
utilisateur.

S.Bordères


Serveur radius
Avantages

De multiples possibilités d’authentification
Traitement individuel d’un utilisateur ou d’une machine
(on peut mixer les méthodes d’authentification)
Gestion centralisée
Trace de toutes les connexions ou tentatives dans un log.

S.Bordères


Serveur radius
Mise en oeuvre

Configuration du poste client
Configuration sur la borne
Configuration du serveur radius

S.Bordères


Configurer le poste client

S.Bordères



Configuration PEAP

S.Bordères



Configuration TLS

S.Bordères


Configuration de la borne

Définir le serveur radius
Définir chaque vlan et chaque SSID associé
Définir les caractéristiques de chaque SSID

S.Bordères


Configuration de la borne

(cisco aironet 1200)

Définir le serveur radius

S.Bordères


Configuration de la borne (cisco aironet 1200)

Le native Vlan est le vlan par lequel la borne communique avec
le reste du réseau pour ses propres besoins.
Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi:
interface FastEthernet0/2
switchport trunk native vlan 23
switchport mode trunk
S.Bordères


Configuration de la borne (cisco aironet 1200)

S.Bordères


(freeradius)

Définir quel matériel a le droit d’interroger le serveur radius
Définir comment le serveur Radius authentifie.
Définir la configuration EAP
Construire le fichier des utilisateurs

S.Bordères


Définir quel matériel a le droit
d’interroger le serveur radius
/etc/raddb/clients.conf
Ce fichier permet de définir les matériels qui ont le
droit de faire des requêtes au serveur Radius
client 10.50.0.4 {
secret
= lesecret
shortname = ap3
nastype
= cisco
}
S.Bordères


Secret partagé avec les bornes

Définir comment le serveur Radius authentifie.
Exemple d’authentification sur domaine Windows
Le serveur radius doit être inclus dans le domaine
Ceci nécessite un serveur samba avec une configuration minimale:
net rpc join -w MONDOMAINE -U administrateur
(demande le mot de passe administrateur du domaine)
net rpc testjoin (pour vérifier)

winbind separator = %
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
workgroup = DOMAIN
security = domain
password server = *
workgroup = MONDOMAINE
wins server = 10.50.0.12

/etc/raddb/radiusd.conf
mschap {
…..
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}«
S.Bordères
…….}

Définir la configuration EAP

/etc/raddb/eap.conf
tls {
private_key_file = ${raddbdir}/certs/serveur-radius.key
certificate_file = ${raddbdir}/certs/serveur-radius.crt
CA_file = ${raddbdir}/certs/cert-cnrs.pem
……
}

peap {
….
default_eap_type=mschapv2
….
}
S.Bordères


Construire le fichier des utilisateurs

/etc/raddb/users
Ce fichier contient la liste des utilisateurs et/ou adresses mac
et la façon dont ils sont authentifiés.
Login Windows
dupont Auth-Type := EAP
000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"
Cisco-AVPair = "ssid=utilisateurs"

CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d
Cisco-AVPair = "ssid=utilisateurs"

S.Bordères


Exemple d’utilisation

Un utilisateur veut se connecter sur le SSID « informatique »

La borne envoi au serveur radius une requête d’authentification
de l’adresse MAC.
Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant.

La borne relaie le trafic EAP du client et le serveur radius authentifie
la requête sur le domaine Windows

S.Bordères


Problèmes

La carte sans-fil doit supporter WPA (enterprise)
L’utilitaire de configuration aussi.
Parfois des problèmes sous Windows 2000
(patches nécessaires, pas de zero config comme sous XP)
Exemple de cartes qui fonctionnent en WPA-enterprise
DELL 1450
INTEL 2200
INTEL 2100 (avec dernière mise à jour ..)
NETGEAR WG-511T (uniquement sous XP avec wireless zero config))
GIGABYTE GN-WBKG (sous XP, USB)
ASUS WL-100g
DLINK DWL-G650 serie AirPlus XtremeG.
S.Bordères


Le cas des visiteurs

Comme pour le réseau filaire les visiteurs doivent être
identifiés pour se connecter sur le réseau sans-fil.
Problèmes:
Un visiteur n’a pas de compte dans le labo
On ne peut pas lui imposer une carte sans-fil particulière.
Solution possible:
Utiliser un portail captif
S.Bordères


Le portail captif

Utilisateur du labo

Portail captif

routeur
Vla
n

visi

teu

Visiteur sans-fil

rs

Vlan intermédiaire

S.Bordères

Visiteur filaire


Le portail captif: Principes

La borne place le PC visiteur sur un vlan intermédiaire
Ce vlan est connecté sur le serveur du portail qui fait office
de routeur/filtrage entre ce vlan et le vlan utilisateur.
Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui
lui affecte une adresse IP.
Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte
la requête et le redirige automatiquement (https) vers une page d’un serveur web
qui va lui permettre de s’authentifier.
Une fois authentifié il peut traverser le portail vers d’autres réseaux.
S.Bordères


Le portail captif

Il existe plusieurs logiciels de portail captif
Nocatauth
Chillispot
Au CENBG, chillispot a été choisi parce qu’il supporte radius.
C’est-à-dire que l’authentification sur le serveur web se fait par
interrogation d’un serveur radius.
S.Bordères


Le portail captif

radius
Utilisateur du labo

DNS

Portail captif

routeur

apache
Vla
n

visi

teu

rs

Visiteur sans-fil

https

chilli
chilli
Vlan intermédiaire

S.Bordères

Visiteur filaire


Le portail captif: Avantages

L’authentification est sécurisée (HTTPS)
Grande souplesse d’adaptation:
choix d’une politique pour le login et le mot de passe.
Par exemple:
Le login est le nom du visiteur et le password un mot de passe général
Le login est l’adresse MAC et le password un mot de passe général
ou spécifique.
S.Bordères


Le portail captif: Avantages

La page web permet de faire passer des informations
Par exemple: Les mentions légales
Le serveur du portail peut filtrer les communications
(netfilter)

Possibilité d’avoir des traces des connexions
S.Bordères


Le portail captif

Utilisateur du labo

Portail captif

routeur
Vla
n

visi

teu

rs

Visiteur sans-fil

802.1q

Trunk
Vlan intermédiaire

S.Bordères

Visiteur filaire


Le portail captif

Utilisateur du labo

Visiteur sans-fil

routeur

S.Bordères

Portail captif


Linux et WPA et Radius

Problème de disponibilité des drivers WIFI
Problème de disponibilité des drivers WIFI…compatibles WPA
Solution: NDISWRAPPER
Utilitaire permettant d’installer les drivers WINDOWS sous Linux
http://sourceforge.net/projects/ndiswrapper/
S.Bordères


Linux et WPA et Radius

Utilisation d’un supplicant WPA
WPA_SUPPLICANT
Permet de configurer un client Linux avec toutes
les formes de WPA, WPA2, EAP.
Contient un supplicant 802.1X

S.Bordères


Références
http://2003.jres.org/actes/paper.143.pdf
http://www.sans.org/rr/whitepapers/authentication/123.php
http://www.pouf.org/documentation/securite/html/node1.html
http://www.teksell.com/whitepapers/cisco_wireless.pdf
http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf
http://www.freeradius.org
http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf
http://www.chillispot.org/
Livre: RADIUS, Jonathan Hassel, O’REILLY
S.Bordères


Dispositif de la démonstration. Chillispot

Portail captif
Réseau IXL

S.Bordères

Chillispot
serveur apache
serveur freeradius


83839589 radius

Contenu connexe

Tendances

En vedette

Similaire à 83839589 radius

83839589 radius