SlideShare ist ein Scribd-Unternehmen logo

83839589 radius

Achraf Mabrouk
Achraf Mabrouk
1 von 50
Downloaden Sie, um offline zu lesen
Authentification sur réseau sans-fil Utilisation d’un serveur radius Expérience du CENBG S.Bordères Séminaire RAISIN - 17/02/2005
Sommaire Critères de choix d’architecture Solution adoptée Serveur radius Configurations Cas des visiteurs – portail captif Clients Linux S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture Postulats Le C.E.N.B.G n’est pas un hotspot Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les PC filaires L’introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité déjà existants. S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Un même PC doit être vu sur le réseau de façon identique qu’il utilise une connexion filaire ou sans-fils. Un PC connecté sur le réseau filaire dans le VLAN x doit être placé dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte par le réseau filaire ou sans-fil. S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Routage/filtrage Vlan2 Vlan1 PC connecté sur le réseau sans-fil Routage/filtrage Vlan1 Vlan2 Vlan3 PC connecté sur le réseau filaire Vlan3 S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture Authentification Une authentification par clé partagée n’est pas envisageable Clé WEP trop fragile. Clé WPA-PSK plus solide mais… Trop difficile à gérer lorsque le nombre de postes est grand. Il suffit de connaître la clé pour se connecter au réseau sans-fils donc aucun contrôle sur les postes. S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture Authentification L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment) C’est plus la machine qu’on cherche à authentifier que l’utilisateur lui-même Mais l’authentification par adresse MAC sur un réseau sans-fil n’est pas suffisante. S.Bordères Séminaire RAISIN - 17/02/2005 CEN BG
Solution adoptée Choix pour l’authentification Dans une première étape, identifier la machine par son adresse MAC et , dans une deuxième étape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows L’adresse MAC permet de placer la machine dans un VLAN Pour se connecter au réseau sans-fil il faut posséder une adresse MAC enregistrée et un compte Windows ou un certificat. S.Bordères Séminaire RAISIN - 17/02/2005
Solution adoptée Les moyens Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de gérer : * Les vlans * WPA * radius S.Bordères Séminaire RAISIN - 17/02/2005
802.1x: Principe général BUT: Offrir un mécanisme d’authentification des postes de travail Initialement destiné au réseau filaire et étendu au réseau sans-fil Principe: Authentification d’un client sur un serveur d’authentification(radius) au travers d’un équipement réseau (switch, AP). L’équipement réseau reçoit du serveur l’autorisation de laisser le passage à un client. Le protocole utilisé est EAP (Extensible Authentification Protocol) S.Bordères Séminaire RAISIN - 17/02/2005
802.1x: Principe général Serveur d’authentification RADIUS EAP over radius Port controlé Authentificateur (switch,AP) Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
802.1x: Principe général Serveur d’authentification RADIUS Port controlé authentificateur Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
EAP: Extensible Authentication Protocol EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage. S.Bordères Séminaire RAISIN - 17/02/2005
Le protocole WPA WPA = TKIP+802.1x+MIC TKIP est un mécanisme d’échange de clés dynamiques. Tkip=Temporal key Integrity Protocol Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep) MIC=mécanisme de contrôle d’intégrité S.Bordères Séminaire RAISIN - 17/02/2005
Le protocole WPA Ne pas confondre WPA-enterprise met en œuvre 802.1x et WPA-home qui met en œuvre des clés partagés (WPA-PSK) S.Bordères Séminaire RAISIN - 17/02/2005
Le protocole WPA Evolution du niveau de sécurité WPA2=802.11i a re w ard h WPA iels ic log WPA-PSK WEP S.Bordères Séminaire RAISIN - 17/02/2005
Mise en œuvre des vlans sans-fil La borne WIFI doit être capable de gérer les vlans Elle est connectée sur un switch par un lien TRUNK Chaque vlan correspond à un SSID (CISCO) Ssid=informatique Ssid=utilisateurs Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 S.Bordères Vlan 15 Séminaire RAISIN - 17/02/2005 vlan 10 15
Serveur radius Trafic EAP Serveur radius users passwd domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL …. S.Bordères Séminaire RAISIN - 17/02/2005
Serveur radius Les possibilités d’authentifications Possibilité d’authentifier sur l’adresse MAC La borne envoi au serveur radius l’adresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur. S.Bordères Séminaire RAISIN - 17/02/2005
Serveur radius Avantages De multiples possibilités d’authentification Traitement individuel d’un utilisateur ou d’une machine (on peut mixer les méthodes d’authentification) Gestion centralisée Trace de toutes les connexions ou tentatives dans un log. S.Bordères Séminaire RAISIN - 17/02/2005
Serveur radius Mise en oeuvre Configuration du poste client Configuration sur la borne Configuration du serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
Configurer le poste client S.Bordères Séminaire RAISIN - 17/02/2005
Configurer le poste client Configuration PEAP S.Bordères Séminaire RAISIN - 17/02/2005
Configurer le poste client Configuration TLS S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne Définir le serveur radius Définir chaque vlan et chaque SSID associé Définir les caractéristiques de chaque SSID S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200) Définir le serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé Le native Vlan est le vlan par lequel la borne communique avec le reste du réseau pour ses propres besoins. Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du serveur radius (freeradius) Définir quel matériel a le droit d’interroger le serveur radius Définir comment le serveur Radius authentifie. Définir la configuration EAP Construire le fichier des utilisateurs S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du serveur radius Définir quel matériel a le droit d’interroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de définir les matériels qui ont le droit de faire des requêtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco } S.Bordères Séminaire RAISIN - 17/02/2005 Secret partagé avec les bornes
Configuration du serveur radius Définir comment le serveur Radius authentifie. Exemple d’authentification sur domaine Windows Le serveur radius doit être inclus dans le domaine Ceci nécessite un serveur samba avec une configuration minimale: net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vérifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12 /etc/raddb/radiusd.conf mschap { ….. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}« S.Bordères Séminaire RAISIN - 17/02/2005 …….}
Configuration du serveur radius Définir la configuration EAP /etc/raddb/eap.conf tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem …… } peap { …. default_eap_type=mschapv2 …. } S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du serveur radius Construire le fichier des utilisateurs /etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la façon dont ils sont authentifiés. Login Windows dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs" CN du certificat client "Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs" S.Bordères Séminaire RAISIN - 17/02/2005
Exemple d’utilisation Un utilisateur veut se connecter sur le SSID « informatique » La borne envoi au serveur radius une requête d’authentification de l’adresse MAC. Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant. La borne relaie le trafic EAP du client et le serveur radius authentifie la requête sur le domaine Windows S.Bordères Séminaire RAISIN - 17/02/2005
Problèmes La carte sans-fil doit supporter WPA (enterprise) L’utilitaire de configuration aussi. Parfois des problèmes sous Windows 2000 (patches nécessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise DELL 1450 INTEL 2200 INTEL 2100 (avec dernière mise à jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG. S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Comme pour le réseau filaire les visiteurs doivent être identifiés pour se connecter sur le réseau sans-fil. Problèmes: Un visiteur n’a pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulière. Solution possible: Utiliser un portail captif S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu Visiteur sans-fil rs Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif: Principes La borne place le PC visiteur sur un vlan intermédiaire Ce vlan est connecté sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier. Une fois authentifié il peut traverser le portail vers d’autres réseaux. S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a été choisi parce qu’il supporte radius. C’est-à-dire que l’authentification sur le serveur web se fait par interrogation d’un serveur radius. S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif radius Utilisateur du labo DNS Portail captif routeur apache Vla n visi teu rs Visiteur sans-fil https chilli chilli Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif: Avantages L’authentification est sécurisée (HTTPS) Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe général Le login est l’adresse MAC et le password un mot de passe général ou spécifique. S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif: Avantages La page web permet de faire passer des informations Par exemple: Les mentions légales Le serveur du portail peut filtrer les communications (netfilter) Possibilité d’avoir des traces des connexions S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu rs Visiteur sans-fil 802.1q Trunk Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
Le cas des visiteurs Le portail captif Utilisateur du labo Visiteur sans-fil routeur S.Bordères Portail captif Séminaire RAISIN - 17/02/2005
Linux et WPA et Radius Problème de disponibilité des drivers WIFI Problème de disponibilité des drivers WIFI…compatibles WPA Solution: NDISWRAPPER Utilitaire permettant d’installer les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/ S.Bordères Séminaire RAISIN - 17/02/2005
Linux et WPA et Radius Utilisation d’un supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X S.Bordères Séminaire RAISIN - 17/02/2005
Références http://2003.jres.org/actes/paper.143.pdf http://www.sans.org/rr/whitepapers/authentication/123.php http://www.pouf.org/documentation/securite/html/node1.html http://www.teksell.com/whitepapers/cisco_wireless.pdf http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf http://www.freeradius.org http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf http://www.chillispot.org/ Livre: RADIUS, Jonathan Hassel, O’REILLY S.Bordères Séminaire RAISIN - 17/02/2005
Dispositif de la démonstration. Chillispot Portail captif Réseau IXL S.Bordères Chillispot serveur apache serveur freeradius Séminaire RAISIN - 17/02/2005

Empfohlen

Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusJames Curtis Camdoum Deudjui
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radiusMoïse Guilavogui
 
Free radius
Free radiusFree radius
Free radiusSafae Ad
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
radius
radiusradius
radiusmohamed hadrich
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 

Empfohlen

Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusJames Curtis Camdoum Deudjui
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radiusMoïse Guilavogui
 
Free radius
Free radiusFree radius
Free radiusSafae Ad
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
radius
radiusradius
radiusmohamed hadrich
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPRaphaël Benja
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)Hackfest Communication
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpnImaneF1990
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireJeff Hermann Ela Aba
 
Vpn
VpnVpn
Vpnmalekoff
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole DiameterEmeric Kamleu Noumi
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERHermann GBILIMAKO
 
Vpn
VpnVpn
Vpnmalekoff
 
Pfsense
PfsensePfsense
PfsenseGlen La Legende Vivante
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSECSylvain Maret
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows Yaya N'Tyeni Sanogo
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1Al Ousseynou Gueye
 
Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidrBoubaker KHERFALLAH
 
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eJeff Hermann Ela Aba
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 

Weitere ähnliche Inhalte

Was ist angesagt?

FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPRaphaël Benja
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)Hackfest Communication
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireJeff Hermann Ela Aba
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERHermann GBILIMAKO
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 

Was ist angesagt? (20)

FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAP
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaire
 
Vpn
VpnVpn
Vpn
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole Diameter
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
 
Vpn
VpnVpn
Vpn
 
Pfsense
PfsensePfsense
Pfsense
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
 
Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidr
 

Andere mochten auch

Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eJeff Hermann Ela Aba
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Authentification
AuthentificationAuthentification
AuthentificationRaouf16
 
MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011Steven Francia
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seauMed Ali Bhs
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéAurore de Cosnac
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCERTyou Formation
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5Kristen Le Liboux
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)medalaa
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesIbrahima FALL
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracerChris Dogny
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 

Andere mochten auch (20)

Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5eSimulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
Simulation d'un réseau BSS dans la commune d'arrondissement de Douala 5e
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Authentification
AuthentificationAuthentification
Authentification
 
MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011MongoDB and PHP ZendCon 2011
MongoDB and PHP ZendCon 2011
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seau
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatique
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
Splunk
SplunkSplunk
Splunk
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5Programmation orientée objet en PHP 5
Programmation orientée objet en PHP 5
 
Tp snmp
Tp snmpTp snmp
Tp snmp
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et Technologies
 
05c reseaux-sans-fil
05c reseaux-sans-fil05c reseaux-sans-fil
05c reseaux-sans-fil
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
 
PHP MVC
PHP MVCPHP MVC
PHP MVC
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Firewall
FirewallFirewall
Firewall
 

Ähnlich wie 83839589 radius

cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfGodefroyCheumaniTche1
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudJulien SIMON
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCERTyou Formation
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)CERTyou Formation
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
QoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - FrenchQoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - FrenchAssia Mounir
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxWiemAssadi
 
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)SmartnSkilled
 
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm
 
Aerohive Jan09 Fr
Aerohive Jan09 FrAerohive Jan09 Fr
Aerohive Jan09 Frppuichaud
 
Cisco discovery-module-final-v4
Cisco discovery-module-final-v4Cisco discovery-module-final-v4
Cisco discovery-module-final-v4r2ch
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 

Ähnlich wie 83839589 radius (20)

cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdf
 
Ccna3 7
Ccna3 7Ccna3 7
Ccna3 7
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
 
Chap7_JavaNet.pdf
Chap7_JavaNet.pdfChap7_JavaNet.pdf
Chap7_JavaNet.pdf
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Cywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-filsCywifi formation-introduction-aux-reseaux-sans-fils
Cywifi formation-introduction-aux-reseaux-sans-fils
 
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)Cywifi formation-introduction-aux-reseaux-sans-fils (1)
Cywifi formation-introduction-aux-reseaux-sans-fils (1)
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
QoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - FrenchQoS of WLAN (WiFi) - French
QoS of WLAN (WiFi) - French
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptx
 
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
 
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
 
Aerohive Jan09 Fr
Aerohive Jan09 FrAerohive Jan09 Fr
Aerohive Jan09 Fr
 
Cisco discovery-module-final-v4
Cisco discovery-module-final-v4Cisco discovery-module-final-v4
Cisco discovery-module-final-v4
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefs
 

83839589 radius

  • 1. Authentification sur réseau sans-fil Utilisation d’un serveur radius Expérience du CENBG S.Bordères Séminaire RAISIN - 17/02/2005
  • 2. Sommaire Critères de choix d’architecture Solution adoptée Serveur radius Configurations Cas des visiteurs – portail captif Clients Linux S.Bordères Séminaire RAISIN - 17/02/2005
  • 3. Critères de choix d’architecture Postulats Le C.E.N.B.G n’est pas un hotspot Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les PC filaires L’introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité déjà existants. S.Bordères Séminaire RAISIN - 17/02/2005
  • 4. Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Un même PC doit être vu sur le réseau de façon identique qu’il utilise une connexion filaire ou sans-fils. Un PC connecté sur le réseau filaire dans le VLAN x doit être placé dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte par le réseau filaire ou sans-fil. S.Bordères Séminaire RAISIN - 17/02/2005
  • 5. Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Routage/filtrage Vlan2 Vlan1 PC connecté sur le réseau sans-fil Routage/filtrage Vlan1 Vlan2 Vlan3 PC connecté sur le réseau filaire Vlan3 S.Bordères Séminaire RAISIN - 17/02/2005
  • 6. Critères de choix d’architecture Authentification Une authentification par clé partagée n’est pas envisageable Clé WEP trop fragile. Clé WPA-PSK plus solide mais… Trop difficile à gérer lorsque le nombre de postes est grand. Il suffit de connaître la clé pour se connecter au réseau sans-fils donc aucun contrôle sur les postes. S.Bordères Séminaire RAISIN - 17/02/2005
  • 7. Critères de choix d’architecture Authentification L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment) C’est plus la machine qu’on cherche à authentifier que l’utilisateur lui-même Mais l’authentification par adresse MAC sur un réseau sans-fil n’est pas suffisante. S.Bordères Séminaire RAISIN - 17/02/2005 CEN BG
  • 8. Solution adoptée Choix pour l’authentification Dans une première étape, identifier la machine par son adresse MAC et , dans une deuxième étape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows L’adresse MAC permet de placer la machine dans un VLAN Pour se connecter au réseau sans-fil il faut posséder une adresse MAC enregistrée et un compte Windows ou un certificat. S.Bordères Séminaire RAISIN - 17/02/2005
  • 9. Solution adoptée Les moyens Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de gérer : * Les vlans * WPA * radius S.Bordères Séminaire RAISIN - 17/02/2005
  • 10. 802.1x: Principe général BUT: Offrir un mécanisme d’authentification des postes de travail Initialement destiné au réseau filaire et étendu au réseau sans-fil Principe: Authentification d’un client sur un serveur d’authentification(radius) au travers d’un équipement réseau (switch, AP). L’équipement réseau reçoit du serveur l’autorisation de laisser le passage à un client. Le protocole utilisé est EAP (Extensible Authentification Protocol) S.Bordères Séminaire RAISIN - 17/02/2005
  • 11. 802.1x: Principe général Serveur d’authentification RADIUS EAP over radius Port controlé Authentificateur (switch,AP) Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
  • 12. 802.1x: Principe général Serveur d’authentification RADIUS Port controlé authentificateur Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005
  • 13. EAP: Extensible Authentication Protocol EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage. S.Bordères Séminaire RAISIN - 17/02/2005
  • 14. Le protocole WPA WPA = TKIP+802.1x+MIC TKIP est un mécanisme d’échange de clés dynamiques. Tkip=Temporal key Integrity Protocol Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep) MIC=mécanisme de contrôle d’intégrité S.Bordères Séminaire RAISIN - 17/02/2005
  • 15. Le protocole WPA Ne pas confondre WPA-enterprise met en œuvre 802.1x et WPA-home qui met en œuvre des clés partagés (WPA-PSK) S.Bordères Séminaire RAISIN - 17/02/2005
  • 16. Le protocole WPA Evolution du niveau de sécurité WPA2=802.11i a re w ard h WPA iels ic log WPA-PSK WEP S.Bordères Séminaire RAISIN - 17/02/2005
  • 17. Mise en œuvre des vlans sans-fil La borne WIFI doit être capable de gérer les vlans Elle est connectée sur un switch par un lien TRUNK Chaque vlan correspond à un SSID (CISCO) Ssid=informatique Ssid=utilisateurs Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 S.Bordères Vlan 15 Séminaire RAISIN - 17/02/2005 vlan 10 15
  • 18. Serveur radius Trafic EAP Serveur radius users passwd domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL …. S.Bordères Séminaire RAISIN - 17/02/2005
  • 19. Serveur radius Les possibilités d’authentifications Possibilité d’authentifier sur l’adresse MAC La borne envoi au serveur radius l’adresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur. S.Bordères Séminaire RAISIN - 17/02/2005
  • 20. Serveur radius Avantages De multiples possibilités d’authentification Traitement individuel d’un utilisateur ou d’une machine (on peut mixer les méthodes d’authentification) Gestion centralisée Trace de toutes les connexions ou tentatives dans un log. S.Bordères Séminaire RAISIN - 17/02/2005
  • 21. Serveur radius Mise en oeuvre Configuration du poste client Configuration sur la borne Configuration du serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
  • 22. Configurer le poste client S.Bordères Séminaire RAISIN - 17/02/2005
  • 23. Configurer le poste client Configuration PEAP S.Bordères Séminaire RAISIN - 17/02/2005
  • 24. Configurer le poste client Configuration TLS S.Bordères Séminaire RAISIN - 17/02/2005
  • 25. Configuration de la borne Définir le serveur radius Définir chaque vlan et chaque SSID associé Définir les caractéristiques de chaque SSID S.Bordères Séminaire RAISIN - 17/02/2005
  • 26. Configuration de la borne (cisco aironet 1200) Définir le serveur radius S.Bordères Séminaire RAISIN - 17/02/2005
  • 27. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé Le native Vlan est le vlan par lequel la borne communique avec le reste du réseau pour ses propres besoins. Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordères Séminaire RAISIN - 17/02/2005
  • 28. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  • 29. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  • 30. Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005
  • 31. Configuration du serveur radius (freeradius) Définir quel matériel a le droit d’interroger le serveur radius Définir comment le serveur Radius authentifie. Définir la configuration EAP Construire le fichier des utilisateurs S.Bordères Séminaire RAISIN - 17/02/2005
  • 32. Configuration du serveur radius Définir quel matériel a le droit d’interroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de définir les matériels qui ont le droit de faire des requêtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco } S.Bordères Séminaire RAISIN - 17/02/2005 Secret partagé avec les bornes
  • 33. Configuration du serveur radius Définir comment le serveur Radius authentifie. Exemple d’authentification sur domaine Windows Le serveur radius doit être inclus dans le domaine Ceci nécessite un serveur samba avec une configuration minimale: net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vérifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12 /etc/raddb/radiusd.conf mschap { ….. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}« S.Bordères Séminaire RAISIN - 17/02/2005 …….}
  • 34. Configuration du serveur radius Définir la configuration EAP /etc/raddb/eap.conf tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem …… } peap { …. default_eap_type=mschapv2 …. } S.Bordères Séminaire RAISIN - 17/02/2005
  • 35. Configuration du serveur radius Construire le fichier des utilisateurs /etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la façon dont ils sont authentifiés. Login Windows dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs" CN du certificat client "Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs" S.Bordères Séminaire RAISIN - 17/02/2005
  • 36. Exemple d’utilisation Un utilisateur veut se connecter sur le SSID « informatique » La borne envoi au serveur radius une requête d’authentification de l’adresse MAC. Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant. La borne relaie le trafic EAP du client et le serveur radius authentifie la requête sur le domaine Windows S.Bordères Séminaire RAISIN - 17/02/2005
  • 37. Problèmes La carte sans-fil doit supporter WPA (enterprise) L’utilitaire de configuration aussi. Parfois des problèmes sous Windows 2000 (patches nécessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise DELL 1450 INTEL 2200 INTEL 2100 (avec dernière mise à jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG. S.Bordères Séminaire RAISIN - 17/02/2005
  • 38. Le cas des visiteurs Comme pour le réseau filaire les visiteurs doivent être identifiés pour se connecter sur le réseau sans-fil. Problèmes: Un visiteur n’a pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulière. Solution possible: Utiliser un portail captif S.Bordères Séminaire RAISIN - 17/02/2005
  • 39. Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu Visiteur sans-fil rs Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  • 40. Le cas des visiteurs Le portail captif: Principes La borne place le PC visiteur sur un vlan intermédiaire Ce vlan est connecté sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier. Une fois authentifié il peut traverser le portail vers d’autres réseaux. S.Bordères Séminaire RAISIN - 17/02/2005
  • 41. Le cas des visiteurs Le portail captif Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a été choisi parce qu’il supporte radius. C’est-à-dire que l’authentification sur le serveur web se fait par interrogation d’un serveur radius. S.Bordères Séminaire RAISIN - 17/02/2005
  • 42. Le cas des visiteurs Le portail captif radius Utilisateur du labo DNS Portail captif routeur apache Vla n visi teu rs Visiteur sans-fil https chilli chilli Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  • 43. Le cas des visiteurs Le portail captif: Avantages L’authentification est sécurisée (HTTPS) Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe général Le login est l’adresse MAC et le password un mot de passe général ou spécifique. S.Bordères Séminaire RAISIN - 17/02/2005
  • 44. Le cas des visiteurs Le portail captif: Avantages La page web permet de faire passer des informations Par exemple: Les mentions légales Le serveur du portail peut filtrer les communications (netfilter) Possibilité d’avoir des traces des connexions S.Bordères Séminaire RAISIN - 17/02/2005
  • 45. Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu rs Visiteur sans-fil 802.1q Trunk Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005
  • 46. Le cas des visiteurs Le portail captif Utilisateur du labo Visiteur sans-fil routeur S.Bordères Portail captif Séminaire RAISIN - 17/02/2005
  • 47. Linux et WPA et Radius Problème de disponibilité des drivers WIFI Problème de disponibilité des drivers WIFI…compatibles WPA Solution: NDISWRAPPER Utilitaire permettant d’installer les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/ S.Bordères Séminaire RAISIN - 17/02/2005
  • 48. Linux et WPA et Radius Utilisation d’un supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X S.Bordères Séminaire RAISIN - 17/02/2005
  • 50. Dispositif de la démonstration. Chillispot Portail captif Réseau IXL S.Bordères Chillispot serveur apache serveur freeradius Séminaire RAISIN - 17/02/2005