Beruflich Dokumente
Kultur Dokumente
S.Bordres
Sommaire
Critres de choix darchitecture Solution adopte Serveur radius Configurations Cas des visiteurs portail captif Clients Linux
S.Bordres
Un mme PC doit tre vu sur le rseau de faon identique quil utilise une connexion filaire ou sans-fils. Un PC connect sur le rseau filaire dans le VLAN x doit tre plac dans le mme VLAN lorsquil se connecte sur le rseau sans-fil Un visiteur doit se trouver dans le rseau visiteurs quil se connecte par le rseau filaire ou sans-fil.
S.Bordres
S.Bordres
S.Bordres
CEN
BG
Lauthentification doit se faire sans ajouter un mot de passe supplmentaire pour lutilisateur.(il en a dj suffisamment) Cest plus la machine quon cherche authentifier que lutilisateur lui-mme Mais lauthentification par adresse MAC sur un rseau sans-fil nest pas suffisante.
S.Bordres
Dans une premire tape, identifier la machine par son adresse MAC et , dans une deuxime tape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows Ladresse MAC permet de placer la machine dans un VLAN
Pour se connecter au rseau sans-fil il faut possder une adresse MAC enregistre et un compte Windows ou un certificat.
S.Bordres Sminaire RAISIN - 17/02/2005
Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de grer : * Les vlans * WPA * radius
S.Bordres Sminaire RAISIN - 17/02/2005
BUT: Offrir un mcanisme dauthentification des postes de travail Initialement destin au rseau filaire et tendu au rseau sans-fil Principe: Authentification dun client sur un serveur dauthentification(radius) au travers dun quipement rseau (switch, AP). Lquipement rseau reoit du serveur lautorisation de laisser le passage un client. Le protocole utilis est EAP (Extensible Authentification Protocol)
S.Bordres Sminaire RAISIN - 17/02/2005
Port control
Authentificateur (switch,AP)
Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordres Poste client Sminaire RAISIN - 17/02/2005
Port control
authentificateur
Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordres Poste client Sminaire RAISIN - 17/02/2005
EAP permet la ngociation dun protocole dauthentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP nest pas une mthode de cryptage des communications du client mais fourni un mcanisme dinitialisation des cls de cryptage.
S.Bordres Sminaire RAISIN - 17/02/2005
Le protocole WPA
WPA = TKIP+802.1x+MIC TKIP est un mcanisme dchange de cls dynamiques. Tkip=Temporal key Integrity Protocol Utilisation dun cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep)
Le protocole WPA
Ne pas confondre WPA-enterprise met en uvre 802.1x et WPA-home qui met en uvre des cls partags (WPA-PSK)
S.Bordres
S.Bordres
La borne WIFI doit tre capable de grer les vlans Elle est connecte sur un switch par un lien TRUNK Chaque vlan correspond un SSID (CISCO)
Ssid=informatique Ssid=utilisateurs
Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 Vlan 15 Sminaire RAISIN - 17/02/2005 vlan 10 15
S.Bordres
Serveur radius
Trafic EAP
passwd
S.Bordres
Possibilit dauthentifier sur ladresse MAC La borne envoi au serveur radius ladresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur.
S.Bordres
De multiples possibilits dauthentification Traitement individuel dun utilisateur ou dune machine (on peut mixer les mthodes dauthentification) Gestion centralise Trace de toutes les connexions ou tentatives dans un log.
S.Bordres
S.Bordres
S.Bordres
Configuration PEAP
S.Bordres
Configuration TLS
S.Bordres
Configuration de la borne
Dfinir le serveur radius Dfinir chaque vlan et chaque SSID associ Dfinir les caractristiques de chaque SSID
S.Bordres
S.Bordres
Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ
Le native Vlan est le vlan par lequel la borne communique avec le reste du rseau pour ses propres besoins. Si le native vlan est 23 le port du switch o est connect la borne doit tre configur ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordres
Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ
S.Bordres
Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ
S.Bordres
Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ
S.Bordres
Dfinir quel matriel a le droit dinterroger le serveur radius Dfinir comment le serveur Radius authentifie. Dfinir la configuration EAP Construire le fichier des utilisateurs
S.Bordres
Configuration du serveur radius Dfinir quel matriel a le droit dinterroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de dfinir les matriels qui ont le droit de faire des requtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco }
S.Bordres Sminaire RAISIN - 17/02/2005
Configuration du serveur radius Dfinir comment le serveur Radius authentifie. Exemple dauthentification sur domaine Windows
Le serveur radius doit tre inclus dans le domaine Ceci ncessite un serveur samba avec une configuration minimale:
net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vrifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12
/etc/raddb/radiusd.conf
mschap { .. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00} S.Bordres Sminaire RAISIN - 17/02/2005 .}
/etc/raddb/eap.conf
tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem }
/etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la faon dont ils sont authentifis.
Login Windows
dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs"
CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs"
S.Bordres
Exemple dutilisation
La borne envoi au serveur radius une requte dauthentification de ladresse MAC. Le serveur radius valide ladresse MAC est renvoi le SSID correspondant.
La borne relaie le trafic EAP du client et le serveur radius authentifie la requte sur le domaine Windows
S.Bordres
Problmes
La carte sans-fil doit supporter WPA (enterprise) Lutilitaire de configuration aussi. Parfois des problmes sous Windows 2000 (patches ncessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise
DELL 1450 INTEL 2200 INTEL 2100 (avec dernire mise jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG.
S.Bordres Sminaire RAISIN - 17/02/2005
Comme pour le rseau filaire les visiteurs doivent tre identifis pour se connecter sur le rseau sans-fil. Problmes: Un visiteur na pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulire. Solution possible: Utiliser un portail captif
S.Bordres Sminaire RAISIN - 17/02/2005
Utilisateur du labo
routeur
Vla n visi teu rs
Portail captif
Visiteur sans-fil
Vlan intermdiaire
S.Bordres
Visiteur filaire
La borne place le PC visiteur sur un vlan intermdiaire Ce vlan est connect sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requte DHCP qui est intercepte par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (nimporte laquelle), le portail intercepte la requte et le redirige automatiquement (https) vers une page dun serveur web qui va lui permettre de sauthentifier. Une fois authentifi il peut traverser le portail vers dautres rseaux.
S.Bordres Sminaire RAISIN - 17/02/2005
Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a t choisi parce quil supporte radius. Cest--dire que lauthentification sur le serveur web se fait par interrogation dun serveur radius.
S.Bordres Sminaire RAISIN - 17/02/2005
radius
Utilisateur du labo
DNS
routeur
Vla n visi
Portail captif
Visiteur sans-fil
apache
teu rs
https
chilli chilli
Vlan intermdiaire
S.Bordres
Visiteur filaire
Lauthentification est scurise (HTTPS) Grande souplesse dadaptation: choix dune politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe gnral Le login est ladresse MAC et le password un mot de passe gnral ou spcifique.
S.Bordres Sminaire RAISIN - 17/02/2005
La page web permet de faire passer des informations Par exemple: Les mentions lgales Le serveur du portail peut filtrer les communications (netfilter)
Utilisateur du labo
routeur
Vla n visi teu rs
Portail captif
Visiteur sans-fil
802.1q
Trunk
Vlan intermdiaire
S.Bordres
Visiteur filaire
Utilisateur du labo
Visiteur sans-fil
routeur
Portail captif
S.Bordres
Problme de disponibilit des drivers WIFI Problme de disponibilit des drivers WIFIcompatibles WPA Solution: NDISWRAPPER Utilitaire permettant dinstaller les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/
S.Bordres Sminaire RAISIN - 17/02/2005
Utilisation dun supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X
S.Bordres
Rfrences
http://2003.jres.org/actes/paper.143.pdf http://www.sans.org/rr/whitepapers/authentication/123.php http://www.pouf.org/documentation/securite/html/node1.html http://www.teksell.com/whitepapers/cisco_wireless.pdf http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf http://www.freeradius.org http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf http://www.chillispot.org/ Livre: RADIUS, Jonathan Hassel, OREILLY
S.Bordres Sminaire RAISIN - 17/02/2005
S.Bordres