SlideShare une entreprise Scribd logo

Cri iut 2005-wifi_free_radius

J
James Curtis Camdoum Deudjui
1  sur  34
Télécharger pour lire hors ligne
CRI-IUT 2005 freeRADIUS Serveur d'authentification pour la sécurité des réseaux Wi-Fi Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 1
Plan ● Partie I – Théorie – Contexte: sécurité des réseaux Wi-Fi – Différentes solutions de sécurisation – 802.1x, EAP, RADIUS ● Partie II – Pratique – Installation de freeRADIUS 1.0.2 – Exemple de configuration en LEAP – Comparaison des différents EAPs testés à l'I.U.T du Creusot ● Conclusion ● Publicité Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 2
PARTIE I – RAPPELS THEORIQUES Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 3
Réseau Wi-Fi Réseau filaire Point d'accès Clients Wi-Fi Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 4
Définitions - Généralités – Wi-Fi (Wireless Fidelity): ● Label défini par plusieurs constructeurs de matériels compatibles 802.11 – ESSID ou SSID: ● Nom donné au réseau Wi-Fi pour l'identifier – Canaux (Channels) ● Bande de fréquence de 2,412 à 2,472 GHz (définie en France par l'ART) ● Attention, les canaux sont recouvrants, on ne peut utiliser que les canaux 1, 5, 9 et 13 Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 5
Sécurité Wi-Fi Problème: assurer le même niveau de sécurité en filaire et en Wi-Fi. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 6
Définitions - Normes – Les réseaux sans-fil sont basés sur des normes: ● 802.11: – Groupe de travail réseaux sans-fil (Wireless Local Area Networks) de l'IEEE ● 802.11b: 11 Mb/s, fréquence de 2,4 Ghz ● 802.11g: 54 Mb/s, fréquence de 2,4 GHz – Les autres services réseaux aussi: ● 802.1: – Groupe de travail couches hautes (High-Level Interface) de l'IEEE ● 802.1x (port-based authentication): Authenti- fication par port ● 802.1q (Virtual Area Network): VLAN Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 7
Solutions de sécurisation – WEP: cryptage des données avec des clés. ● Facile à décoder... – Filtrage d'adresse MAC. ● Facile à usurper... – Portail captif: authentification par page web sécurisée (https). ● Simple à mettre en oeuvre ● IP plug-and-play – 802.1x + EAP: authentification par serveur d'authentification. ● Protection optimale des réseaux Wi-Fi Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 8
Définitions - Cryptage – WEP (Wired Equivalent Privacy): ● protection équivalente au filaire, algorithme de cryptage symétrique RC4 – WPA (Wireless Protected Access): ● WPA = 802.1x + EAP + TKIP (MAJ* logicielle) ● TKIP (Temporal Key Integrity Protocol) + MIC (Message Integrity Check) – WPA2 – 802.11i ● WPA2 = 802.1x + EAP + AES (MAJ* matérielle) ● CCMP (Counter Mode with CBC-MAC Protocol) + AES (Advanced Encryption Standard) * MAJ: mise à jour Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 9
802.1x (I) – Accès au LAN par un port WLAN contrôlé, – Serveur d'authentification: RADIUS (RFC 2865 + extensions). Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 10
802.1x (II) ● Client (Supplicant): – Ordinateur qui demande l'accès à la ressource réseau ● Point d'accès (Authenticator): – Point d'accès au réseau Wi-Fi qui assure le contrôle d'accès ● Serveur d'authentification (Network Authentication Server): – Serveur RADIUS qui assure l'authentification, l'autorisation et la gestion de compte (Authentication, Authorization, Accounting). Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 11
802.1x (III) 1. Association 2. Authentification 3. Autorisation EAP over LAN EAP over RADIUS IP Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 12
Définitions - Termes ● RADIUS (Remote Authentication Dial-In User Service): – Service d'authentification à distance ● EAP (Extensible Authentication Protocol): – Protocole d'authentification entre le client et le serveur RADIUS (relayé par le point d'accès) ● Il existe plusieurs types d'EAP: – EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP, EAP- LEAP, EAP-SIM, ... Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 13
freeRADIUS – FreeRADIUS est compatible avec plus de 50 dictionnaires de constructeurs, – Il supporte les bases utilisateurs LDAP (AD sous condition), MySQL, PostgreSQL et Oracle, – Il supporte EAP, avec EAP-MD5, EAP-SIM, EAP- TLS, EAP-TTLS, EAP-PEAP, et les EAP Cisco, – Il autorise le relais (proxying) d'authentification avec gestion des erreurs et gestion de charge (load balancing), – En version 1.0, il est efficace, rapide et complet pour les réseaux locaux et étendus. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 14
PARTIE II – EN PRATIQUE Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 15
Installation de freeradius 1.0.2 (I) [root@ordi tmp]# tar xvzf freeradius-1.0.2.tar.gz freeradius-1.0.2/ freeradius-1.0.2/debian [...] freeradius-1.0.2/todo/proposed-new-users freeradius-1.0.2/todo/serverside-ip-pools [root@ordi tmp]# cd freeradius-1.0.2 [root@ordi freeradius-1.0.2]# ./configure --prefix=/usr/local/freeradius-1.0.2 creating cache ./config.cache checking for gcc... gcc checking whether the C compiler (gcc ) works... yes [...] creating Makefile creating config.h Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 16
Installation de freeradius 1.0.2 (II) [root@ordi freeradius-1.0.2]# make gmake[1]: Entering directory `/tmp/freeradius-1.0.2' Making all in src... [...] gmake[2]: Leaving directory `/tmp/freeradius-1.0.2/doc' gmake[1]: Leaving directory `/tmp/freeradius-1.0.2' [root@ordi freeradius-1.0.2]# make install /tmp/freeradius-1.0.2/install-sh -c -d -m 755 /usr/local/freeradius-1.0.2/sbin [...] Libraries have been installed in: /usr/local/freeradius-1.0.2/lib [...] [root@ordi freeradius-1.0.2]# vi /etc/ld.so.conf include ld.so.conf.d/*.conf /usr/local/freeradius-1.0.2/lib [root@ordi freeradius-1.0.2]# ldconfig -v | grep radius /usr/local/freeradius-1.0.2/lib: libradius-1.0.2.so -> libradius.so Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 17
Installation de freeradius 1.0.2 (III) [root@ordi freeradius-1.0.2]# cd /usr/local/freeradius-1.0.2/ [root@ordi freeradius-1.0.2]# ll total 64 drwxr-xr-x 2 root root 4096 mai 2 08:53 bin drwxr-xr-x 3 root root 4096 mai 2 08:52 etc drwxr-xr-x 2 root root 12288 mai 2 08:52 lib drwxr-xr-x 5 root root 4096 mai 2 08:52 man drwxr-xr-x 2 root root 4096 mai 2 08:53 sbin drwx------ 4 root root 4096 mai 2 08:53 share drwxr-xr-x 4 root root 4096 mai 2 08:52 var [root@ordi freeradius-1.0.2]# cd etc/raddb [root@ordi raddb]# ls acct_users experimental.conf oraclesql.conf snmp.conf attrs hints postgresql.conf sql.conf certs huntgroups preproxy_users users clients ldap.attrmap proxy.conf x99.conf clients.conf mssql.conf radiusd.conf x99passwd.sample dictionary naslist realms eap.conf naspasswd scripts Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 18
Fichiers de configuration ● certs: Répertoire des certificats utilisés par EAP-TLS, EAP-TTLS et PEAP. ● clients.conf: Fichier des points d'accès reconnus par RADIUS (même mot de passe partagé). ● eap.conf: Fichier définissant les EAP utilisés par le système d'authentification. ● ldap.attrmap: Correspondance entre les attributs LDAP et attributs RADIUS. ● radiusd.conf: Fichier de configuration principal de freeradius. ● sql.conf: Fichier de configuration pour MySQL. ● users: Fichier des utilisateurs locaux. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 19
Installation de freeradius 1.0.2 (IV) [root@ordi raddb]# vi users [...] "j.landre" Auth-Type := Local, User-Password == "testpw" Reply-Message = "Hello, %u" [...] [root@ordi raddb]# vi clients.conf [...] client 127.0.0.1 { secret = secretpartage shortname = localhost nastype = other # localhost isn't usually a NAS... } [...] [root@ordi raddb]# /usr/local/freeradius-1.0.2/sbin/radiusd -X Starting - reading configuration files ... [...] Listening on authentication *:1812 Listening on accounting *:1813 Listening on proxy *:1814 Ready to process requests. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 20
Test d'authentification [root@ordi raddb]# /usr/local/freeradius-1.0.2/bin/radtest j.landre testpw localhost:1812 1812 secretpartage Sending Access-Request of id 105 to 127.0.0.1:1812 User-Name = "j.landre" User-Password = "testpw" NAS-IP-Address = ordi.u-bourgogne.fr NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=105, length=37 Reply-Message = "Hello, j.landre" Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 21
Résultat du test d'authentification (simplifié) rad_recv: Access-Request packet from host 127.0.0.1:32768 User-Name = "j.landre" User-Password = "testpw" NAS-IP-Address = 255.255.255.255 NAS-Port = 1812 Processing the authorize section of radiusd.conf modcall[authorize]: module "suffix" returns noop for request 0 rlm_eap: No EAP-Message, not doing EAP users: Matched entry j.landre at line 97 rad_check_password: Found Auth-Type Local auth: user supplied User-Password matches local User-Password radius_xlat: 'Hello, j.landre' Sending Access-Accept of id 105 to 127.0.0.1:32768 Reply-Message = "Hello, j.landre" Finished request 0 Going to the next request --- Walking the entire request list --- Cleaning up request 0 ID 105 with timestamp 427683ca Nothing to do. Sleeping until we see a request. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 22
Exemple de configuration LEAP - sur le point d'accès (I) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 23
Exemple de configuration LEAP - sur le point d'accès (II) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 24
Exemple de configuration LEAP - sur le point d'accès (III) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 25
Exemple de configuration LEAP - sur le client (I) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 26
Exemple de configuration LEAP - sur le client (II) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 27
Exemple de configuration LEAP - sur le serveur (I) [root@ordi raddb]# vi radiusd.conf [...] authorize { [...] eap [...] files [...] authenticate { [...] eap } [root@ordi raddb]# vi eap.conf [...] eap { default_eap_type = leap leap { } [...] Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 28
Exemple de configuration LEAP - sur le serveur (II) [root@ordi ~]# vi /usr/local/freeradius-1.0.2/etc/raddb/clients.conf [...] client 10.0.0.189 { secret = secretpartage shortname = AP1100_TEST nastype = cisco } [...] [root@ordi ~]# vi /usr/local/freeradius-1.0.2/etc/raddb/users [...] j.landre Auth-Type := EAP, User-Password == "testpw" Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 100 [...] On bascule l'utilisateur j.landre dans le WVLAN 100 si l'authentification est réussie. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 29
Test de LEAP (I) [root@ordi raddb]# radiusd -X [...] Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813 Listening on proxy *:1814 Ready to process requests. rad_recv: Access-Request packet from host 10.0.0.189:1645, id=171 User-Name = "j.landre" Framed-MTU = 1400 Called-Station-Id = "0011.bbaa.bb96" Calling-Station-Id = "0012.f0cc.ddf9" Service-Type = Login-User Message-Authenticator = 0xc66f7f65f27b0454087da6745806e43f EAP-Message = 0x0202000d016a2e6c616e647265 NAS-Port-Type = Wireless-802.11 NAS-Port = 1447 NAS-IP-Address = 10.0.0.189 NAS-Identifier = "AP1100_TEST" Processing the authorize section of radiusd.conf [...] Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 30
Test de LEAP (II) rlm_eap: EAP/leap rlm_eap: processing type leap rlm_eap_leap: Stage 6 rlm_eap: Freeing handler modcall[authenticate]: module "eap" returns handled for request 2 modcall: group authenticate returns handled for request 2 Sending Access-Accept of id 173 to 10.0.0.189:1645 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "100" Cisco-AVPair += "leap:session-key=205i200r354200M035 EAP-Message = 0x02050028110100189b847f655451abef106021ab919 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "j.landre" Finished request 2 Going to the next request Waking up in 6 seconds... --- Walking the entire request list --- Cleaning up request 2 ID 172 with timestamp 428a0eaf Nothing to do. Sleeping until we see a request. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 31
Comparatif des EAPs testés Active EAP certificats WVLAN Simplicité Directory EAP-LEAP Non Oui Non ***** EAP-TLS Oui Non Non * EAP-PEAP Oui Oui Oui *** Non (Oui si EAP-TTLS Oui Oui *** MSCHAPv2) Le choix d'un EAP est important car il va influencer: - le travail à faire (clients, points d'accès, serveur) - le niveau de sécurité sur le réseau Wi-Fi. Il dépend de la politique de sécurité de l'établissement. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 32
Conclusion ● FreeRADIUS est un serveur fiable et performant, ● Il nécessite peu de ressources, ● Il est (assez) simple à installer, ● Il supporte de nombreux EAP, dont les plus utilisés: TLS, TTLS, PEAP, LEAP, SIM... ● Il est gratuit et ouvert (open source), ● Il est conforme aux dernières normes dont 802.11i (WPA2 = 802.1x+EAP+AES). Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 33
Merci pour votre attention... Publicité: Documentation “sécurité Wi-Fi” disponible sur le site du centre de ressources informatiques de l'I.U.T. du Creusot: http://iutlecreusot.u-bourgogne.fr/cri ... QUESTIONS / REPONSES Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 34

Recommandé

Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radiusMoïse Guilavogui
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Free radius
Free radiusFree radius
Free radiusSafae Ad
 
radius
radiusradius
radiusmohamed hadrich
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
83839589 radius
83839589 radius83839589 radius
83839589 radiusAchraf Mabrouk
 
FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPRaphaël Benja
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireJeff Hermann Ela Aba
 

Recommandé

Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radiusMoïse Guilavogui
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Free radius
Free radiusFree radius
Free radiusSafae Ad
 
radius
radiusradius
radiusmohamed hadrich
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
83839589 radius
83839589 radius83839589 radius
83839589 radiusAchraf Mabrouk
 
FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPRaphaël Benja
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireJeff Hermann Ela Aba
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Pfsense
PfsensePfsense
PfsenseGlen La Legende Vivante
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Vpn
VpnVpn
Vpnmalekoff
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESManassé Achim kpaya
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Boubaker KHERFALLAH
 
Deploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoDeploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoMame Cheikh Ibra Niang
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administratorinf_med13
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracerChris Dogny
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 

Contenu connexe

Tendances

VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Boubaker KHERFALLAH
 
Deploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoDeploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoMame Cheikh Ibra Niang
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administratorinf_med13
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 

Tendances (20)

Présentation Master
Présentation Master Présentation Master
Présentation Master
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Pfsense
PfsensePfsense
Pfsense
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2
 
Vpn
VpnVpn
Vpn
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCES
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Deploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoDeploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces cisco
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administrator
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 

En vedette

Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracerChris Dogny
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Authentification
AuthentificationAuthentification
AuthentificationRaouf16
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCERTyou Formation
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seauMed Ali Bhs
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéAurore de Cosnac
 
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eJeff Hermann Ela Aba
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)medalaa
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesIbrahima FALL
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 

En vedette (20)

Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
La première partie de la présentation PHP
La première partie de la présentation PHPLa première partie de la présentation PHP
La première partie de la présentation PHP
 
Authentification
AuthentificationAuthentification
Authentification
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatique
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seau
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
Splunk
SplunkSplunk
Splunk
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Tp snmp
Tp snmpTp snmp
Tp snmp
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et Technologies
 
05c reseaux-sans-fil
05c reseaux-sans-fil05c reseaux-sans-fil
05c reseaux-sans-fil
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Firewall
FirewallFirewall
Firewall
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 

Similaire à Cri iut 2005-wifi_free_radius

SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511Atilgan Sesen
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septikenane toufik
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCERTyou Formation
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)CERTyou Formation
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsIEEE 802
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Le Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2MLe Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2Msimon_anyware
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...CERTyou Formation
 

Similaire à Cri iut 2005-wifi_free_radius (20)

Vinothkumar palaniyappan cv
Vinothkumar palaniyappan cvVinothkumar palaniyappan cv
Vinothkumar palaniyappan cv
 
Kmpm CV
Kmpm CVKmpm CV
Kmpm CV
 
SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017
 
Curriculum Vitae
Curriculum VitaeCurriculum Vitae
Curriculum Vitae
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-fils
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des Objets
 
CV_court_ing_sys
CV_court_ing_sysCV_court_ing_sys
CV_court_ing_sys
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Cv yabinami damename kolani pri
Cv yabinami damename kolani priCv yabinami damename kolani pri
Cv yabinami damename kolani pri
 
Le Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2MLe Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2M
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
 

Cri iut 2005-wifi_free_radius

  • 1. CRI-IUT 2005 freeRADIUS Serveur d'authentification pour la sécurité des réseaux Wi-Fi Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 1
  • 2. Plan ● Partie I – Théorie – Contexte: sécurité des réseaux Wi-Fi – Différentes solutions de sécurisation – 802.1x, EAP, RADIUS ● Partie II – Pratique – Installation de freeRADIUS 1.0.2 – Exemple de configuration en LEAP – Comparaison des différents EAPs testés à l'I.U.T du Creusot ● Conclusion ● Publicité Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 2
  • 3. PARTIE I – RAPPELS THEORIQUES Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 3
  • 4. Réseau Wi-Fi Réseau filaire Point d'accès Clients Wi-Fi Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 4
  • 5. Définitions - Généralités – Wi-Fi (Wireless Fidelity): ● Label défini par plusieurs constructeurs de matériels compatibles 802.11 – ESSID ou SSID: ● Nom donné au réseau Wi-Fi pour l'identifier – Canaux (Channels) ● Bande de fréquence de 2,412 à 2,472 GHz (définie en France par l'ART) ● Attention, les canaux sont recouvrants, on ne peut utiliser que les canaux 1, 5, 9 et 13 Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 5
  • 6. Sécurité Wi-Fi Problème: assurer le même niveau de sécurité en filaire et en Wi-Fi. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 6
  • 7. Définitions - Normes – Les réseaux sans-fil sont basés sur des normes: ● 802.11: – Groupe de travail réseaux sans-fil (Wireless Local Area Networks) de l'IEEE ● 802.11b: 11 Mb/s, fréquence de 2,4 Ghz ● 802.11g: 54 Mb/s, fréquence de 2,4 GHz – Les autres services réseaux aussi: ● 802.1: – Groupe de travail couches hautes (High-Level Interface) de l'IEEE ● 802.1x (port-based authentication): Authenti- fication par port ● 802.1q (Virtual Area Network): VLAN Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 7
  • 8. Solutions de sécurisation – WEP: cryptage des données avec des clés. ● Facile à décoder... – Filtrage d'adresse MAC. ● Facile à usurper... – Portail captif: authentification par page web sécurisée (https). ● Simple à mettre en oeuvre ● IP plug-and-play – 802.1x + EAP: authentification par serveur d'authentification. ● Protection optimale des réseaux Wi-Fi Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 8
  • 9. Définitions - Cryptage – WEP (Wired Equivalent Privacy): ● protection équivalente au filaire, algorithme de cryptage symétrique RC4 – WPA (Wireless Protected Access): ● WPA = 802.1x + EAP + TKIP (MAJ* logicielle) ● TKIP (Temporal Key Integrity Protocol) + MIC (Message Integrity Check) – WPA2 – 802.11i ● WPA2 = 802.1x + EAP + AES (MAJ* matérielle) ● CCMP (Counter Mode with CBC-MAC Protocol) + AES (Advanced Encryption Standard) * MAJ: mise à jour Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 9
  • 10. 802.1x (I) – Accès au LAN par un port WLAN contrôlé, – Serveur d'authentification: RADIUS (RFC 2865 + extensions). Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 10
  • 11. 802.1x (II) ● Client (Supplicant): – Ordinateur qui demande l'accès à la ressource réseau ● Point d'accès (Authenticator): – Point d'accès au réseau Wi-Fi qui assure le contrôle d'accès ● Serveur d'authentification (Network Authentication Server): – Serveur RADIUS qui assure l'authentification, l'autorisation et la gestion de compte (Authentication, Authorization, Accounting). Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 11
  • 12. 802.1x (III) 1. Association 2. Authentification 3. Autorisation EAP over LAN EAP over RADIUS IP Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 12
  • 13. Définitions - Termes ● RADIUS (Remote Authentication Dial-In User Service): – Service d'authentification à distance ● EAP (Extensible Authentication Protocol): – Protocole d'authentification entre le client et le serveur RADIUS (relayé par le point d'accès) ● Il existe plusieurs types d'EAP: – EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP, EAP- LEAP, EAP-SIM, ... Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 13
  • 14. freeRADIUS – FreeRADIUS est compatible avec plus de 50 dictionnaires de constructeurs, – Il supporte les bases utilisateurs LDAP (AD sous condition), MySQL, PostgreSQL et Oracle, – Il supporte EAP, avec EAP-MD5, EAP-SIM, EAP- TLS, EAP-TTLS, EAP-PEAP, et les EAP Cisco, – Il autorise le relais (proxying) d'authentification avec gestion des erreurs et gestion de charge (load balancing), – En version 1.0, il est efficace, rapide et complet pour les réseaux locaux et étendus. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 14
  • 15. PARTIE II – EN PRATIQUE Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 15
  • 16. Installation de freeradius 1.0.2 (I) [root@ordi tmp]# tar xvzf freeradius-1.0.2.tar.gz freeradius-1.0.2/ freeradius-1.0.2/debian [...] freeradius-1.0.2/todo/proposed-new-users freeradius-1.0.2/todo/serverside-ip-pools [root@ordi tmp]# cd freeradius-1.0.2 [root@ordi freeradius-1.0.2]# ./configure --prefix=/usr/local/freeradius-1.0.2 creating cache ./config.cache checking for gcc... gcc checking whether the C compiler (gcc ) works... yes [...] creating Makefile creating config.h Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 16
  • 17. Installation de freeradius 1.0.2 (II) [root@ordi freeradius-1.0.2]# make gmake[1]: Entering directory `/tmp/freeradius-1.0.2' Making all in src... [...] gmake[2]: Leaving directory `/tmp/freeradius-1.0.2/doc' gmake[1]: Leaving directory `/tmp/freeradius-1.0.2' [root@ordi freeradius-1.0.2]# make install /tmp/freeradius-1.0.2/install-sh -c -d -m 755 /usr/local/freeradius-1.0.2/sbin [...] Libraries have been installed in: /usr/local/freeradius-1.0.2/lib [...] [root@ordi freeradius-1.0.2]# vi /etc/ld.so.conf include ld.so.conf.d/*.conf /usr/local/freeradius-1.0.2/lib [root@ordi freeradius-1.0.2]# ldconfig -v | grep radius /usr/local/freeradius-1.0.2/lib: libradius-1.0.2.so -> libradius.so Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 17
  • 18. Installation de freeradius 1.0.2 (III) [root@ordi freeradius-1.0.2]# cd /usr/local/freeradius-1.0.2/ [root@ordi freeradius-1.0.2]# ll total 64 drwxr-xr-x 2 root root 4096 mai 2 08:53 bin drwxr-xr-x 3 root root 4096 mai 2 08:52 etc drwxr-xr-x 2 root root 12288 mai 2 08:52 lib drwxr-xr-x 5 root root 4096 mai 2 08:52 man drwxr-xr-x 2 root root 4096 mai 2 08:53 sbin drwx------ 4 root root 4096 mai 2 08:53 share drwxr-xr-x 4 root root 4096 mai 2 08:52 var [root@ordi freeradius-1.0.2]# cd etc/raddb [root@ordi raddb]# ls acct_users experimental.conf oraclesql.conf snmp.conf attrs hints postgresql.conf sql.conf certs huntgroups preproxy_users users clients ldap.attrmap proxy.conf x99.conf clients.conf mssql.conf radiusd.conf x99passwd.sample dictionary naslist realms eap.conf naspasswd scripts Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 18
  • 19. Fichiers de configuration ● certs: Répertoire des certificats utilisés par EAP-TLS, EAP-TTLS et PEAP. ● clients.conf: Fichier des points d'accès reconnus par RADIUS (même mot de passe partagé). ● eap.conf: Fichier définissant les EAP utilisés par le système d'authentification. ● ldap.attrmap: Correspondance entre les attributs LDAP et attributs RADIUS. ● radiusd.conf: Fichier de configuration principal de freeradius. ● sql.conf: Fichier de configuration pour MySQL. ● users: Fichier des utilisateurs locaux. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 19
  • 20. Installation de freeradius 1.0.2 (IV) [root@ordi raddb]# vi users [...] "j.landre" Auth-Type := Local, User-Password == "testpw" Reply-Message = "Hello, %u" [...] [root@ordi raddb]# vi clients.conf [...] client 127.0.0.1 { secret = secretpartage shortname = localhost nastype = other # localhost isn't usually a NAS... } [...] [root@ordi raddb]# /usr/local/freeradius-1.0.2/sbin/radiusd -X Starting - reading configuration files ... [...] Listening on authentication *:1812 Listening on accounting *:1813 Listening on proxy *:1814 Ready to process requests. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 20
  • 21. Test d'authentification [root@ordi raddb]# /usr/local/freeradius-1.0.2/bin/radtest j.landre testpw localhost:1812 1812 secretpartage Sending Access-Request of id 105 to 127.0.0.1:1812 User-Name = "j.landre" User-Password = "testpw" NAS-IP-Address = ordi.u-bourgogne.fr NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=105, length=37 Reply-Message = "Hello, j.landre" Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 21
  • 22. Résultat du test d'authentification (simplifié) rad_recv: Access-Request packet from host 127.0.0.1:32768 User-Name = "j.landre" User-Password = "testpw" NAS-IP-Address = 255.255.255.255 NAS-Port = 1812 Processing the authorize section of radiusd.conf modcall[authorize]: module "suffix" returns noop for request 0 rlm_eap: No EAP-Message, not doing EAP users: Matched entry j.landre at line 97 rad_check_password: Found Auth-Type Local auth: user supplied User-Password matches local User-Password radius_xlat: 'Hello, j.landre' Sending Access-Accept of id 105 to 127.0.0.1:32768 Reply-Message = "Hello, j.landre" Finished request 0 Going to the next request --- Walking the entire request list --- Cleaning up request 0 ID 105 with timestamp 427683ca Nothing to do. Sleeping until we see a request. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 22
  • 23. Exemple de configuration LEAP - sur le point d'accès (I) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 23
  • 24. Exemple de configuration LEAP - sur le point d'accès (II) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 24
  • 25. Exemple de configuration LEAP - sur le point d'accès (III) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 25
  • 26. Exemple de configuration LEAP - sur le client (I) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 26
  • 27. Exemple de configuration LEAP - sur le client (II) Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 27
  • 28. Exemple de configuration LEAP - sur le serveur (I) [root@ordi raddb]# vi radiusd.conf [...] authorize { [...] eap [...] files [...] authenticate { [...] eap } [root@ordi raddb]# vi eap.conf [...] eap { default_eap_type = leap leap { } [...] Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 28
  • 29. Exemple de configuration LEAP - sur le serveur (II) [root@ordi ~]# vi /usr/local/freeradius-1.0.2/etc/raddb/clients.conf [...] client 10.0.0.189 { secret = secretpartage shortname = AP1100_TEST nastype = cisco } [...] [root@ordi ~]# vi /usr/local/freeradius-1.0.2/etc/raddb/users [...] j.landre Auth-Type := EAP, User-Password == "testpw" Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 100 [...] On bascule l'utilisateur j.landre dans le WVLAN 100 si l'authentification est réussie. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 29
  • 30. Test de LEAP (I) [root@ordi raddb]# radiusd -X [...] Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813 Listening on proxy *:1814 Ready to process requests. rad_recv: Access-Request packet from host 10.0.0.189:1645, id=171 User-Name = "j.landre" Framed-MTU = 1400 Called-Station-Id = "0011.bbaa.bb96" Calling-Station-Id = "0012.f0cc.ddf9" Service-Type = Login-User Message-Authenticator = 0xc66f7f65f27b0454087da6745806e43f EAP-Message = 0x0202000d016a2e6c616e647265 NAS-Port-Type = Wireless-802.11 NAS-Port = 1447 NAS-IP-Address = 10.0.0.189 NAS-Identifier = "AP1100_TEST" Processing the authorize section of radiusd.conf [...] Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 30
  • 31. Test de LEAP (II) rlm_eap: EAP/leap rlm_eap: processing type leap rlm_eap_leap: Stage 6 rlm_eap: Freeing handler modcall[authenticate]: module "eap" returns handled for request 2 modcall: group authenticate returns handled for request 2 Sending Access-Accept of id 173 to 10.0.0.189:1645 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "100" Cisco-AVPair += "leap:session-key=205i200r354200M035 EAP-Message = 0x02050028110100189b847f655451abef106021ab919 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "j.landre" Finished request 2 Going to the next request Waking up in 6 seconds... --- Walking the entire request list --- Cleaning up request 2 ID 172 with timestamp 428a0eaf Nothing to do. Sleeping until we see a request. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 31
  • 32. Comparatif des EAPs testés Active EAP certificats WVLAN Simplicité Directory EAP-LEAP Non Oui Non ***** EAP-TLS Oui Non Non * EAP-PEAP Oui Oui Oui *** Non (Oui si EAP-TTLS Oui Oui *** MSCHAPv2) Le choix d'un EAP est important car il va influencer: - le travail à faire (clients, points d'accès, serveur) - le niveau de sécurité sur le réseau Wi-Fi. Il dépend de la politique de sécurité de l'établissement. Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 32
  • 33. Conclusion ● FreeRADIUS est un serveur fiable et performant, ● Il nécessite peu de ressources, ● Il est (assez) simple à installer, ● Il supporte de nombreux EAP, dont les plus utilisés: TLS, TTLS, PEAP, LEAP, SIM... ● Il est gratuit et ouvert (open source), ● Il est conforme aux dernières normes dont 802.11i (WPA2 = 802.1x+EAP+AES). Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 33
  • 34. Merci pour votre attention... Publicité: Documentation “sécurité Wi-Fi” disponible sur le site du centre de ressources informatiques de l'I.U.T. du Creusot: http://iutlecreusot.u-bourgogne.fr/cri ... QUESTIONS / REPONSES Centre de Ressources Informatiques - IUT Le Creusot Jérôme LANDRE - CRI-IUT 2005 34