Authentification sur rseau sans-fil Utilisation dun serveur radius Exprience du CENBG

S.Bordres

Sminaire RAISIN - 17/02/2005

Sommaire

Critres de choix darchitecture Solution adopte Serveur radius Configurations Cas des visiteurs portail captif Clients Linux

S.Bordres

Sminaire RAISIN - 17/02/2005

Critres de choix darchitecture Postulats

Le C.E.N.B.G nest pas un hotspot

Tout PC se connectant sur le rseau sans-fil doit tre identifi au mme titre que les PC filaires Lintroduction du rseau sans-fil ne doit pas remettre en cause les principes de scurit dj existants.
S.Bordres Sminaire RAISIN - 17/02/2005

Critres de choix darchitecture Place dun PC sans-fil dans le rseau

Un mme PC doit tre vu sur le rseau de faon identique quil utilise une connexion filaire ou sans-fils. Un PC connect sur le rseau filaire dans le VLAN x doit tre plac dans le mme VLAN lorsquil se connecte sur le rseau sans-fil Un visiteur doit se trouver dans le rseau visiteurs quil se connecte par le rseau filaire ou sans-fil.

S.Bordres

Sminaire RAISIN - 17/02/2005

Critres de choix darchitecture Place dun PC sans-fil dans le rseau

Routage/filtrage
Vlan1 Vlan2

PC connect sur le rseau sans-fil

Routage/filtrage
Vlan1 Vlan3 Vlan2

PC connect sur le rseau filaire

Vlan3

S.Bordres

Sminaire RAISIN - 17/02/2005

Critres de choix darchitecture Authentification

Une authentification par cl partage nest pas envisageable Cl WEP trop fragile. Cl WPA-PSK plus solide mais Trop difficile grer lorsque le nombre de postes est grand. Il suffit de connatre la cl pour se connecter au rseau sans-fils donc aucun contrle sur les postes.

S.Bordres

Sminaire RAISIN - 17/02/2005

Critres de choix darchitecture Authentification

CEN

BG

Lauthentification doit se faire sans ajouter un mot de passe supplmentaire pour lutilisateur.(il en a dj suffisamment) Cest plus la machine quon cherche authentifier que lutilisateur lui-mme Mais lauthentification par adresse MAC sur un rseau sans-fil nest pas suffisante.

S.Bordres

Sminaire RAISIN - 17/02/2005

Solution adopte Choix pour lauthentification

Dans une premire tape, identifier la machine par son adresse MAC et , dans une deuxime tape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows Ladresse MAC permet de placer la machine dans un VLAN

Pour se connecter au rseau sans-fil il faut possder une adresse MAC enregistre et un compte Windows ou un certificat.
S.Bordres Sminaire RAISIN - 17/02/2005

Solution adopte Les moyens

Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de grer : * Les vlans * WPA * radius
S.Bordres Sminaire RAISIN - 17/02/2005

802.1x: Principe gnral

BUT: Offrir un mcanisme dauthentification des postes de travail Initialement destin au rseau filaire et tendu au rseau sans-fil Principe: Authentification dun client sur un serveur dauthentification(radius) au travers dun quipement rseau (switch, AP). Lquipement rseau reoit du serveur lautorisation de laisser le passage un client. Le protocole utilis est EAP (Extensible Authentification Protocol)
S.Bordres Sminaire RAISIN - 17/02/2005

802.1x: Principe gnral

Serveur dauthentification RADIUS

EAP over radius

Port control

Authentificateur (switch,AP)

Port non control

Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordres Poste client Sminaire RAISIN - 17/02/2005

802.1x: Principe gnral

Serveur dauthentification RADIUS

Port control

authentificateur

Port non control

Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordres Poste client Sminaire RAISIN - 17/02/2005

EAP: Extensible Authentication Protocol

EAP permet la ngociation dun protocole dauthentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP nest pas une mthode de cryptage des communications du client mais fourni un mcanisme dinitialisation des cls de cryptage.
S.Bordres Sminaire RAISIN - 17/02/2005

Le protocole WPA

WPA = TKIP+802.1x+MIC TKIP est un mcanisme dchange de cls dynamiques. Tkip=Temporal key Integrity Protocol Utilisation dun cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep)

MIC=mcanisme de contrle dintgrit

S.Bordres Sminaire RAISIN - 17/02/2005

Le protocole WPA

Ne pas confondre WPA-enterprise met en uvre 802.1x et WPA-home qui met en uvre des cls partags (WPA-PSK)

S.Bordres

Sminaire RAISIN - 17/02/2005

Le protocole WPA Evolution du niveau de scurit

WPA2=802.11i a re w ard h WPA WPA-PSK WEP

iels ic log

S.Bordres

Sminaire RAISIN - 17/02/2005

Mise en uvre des vlans sans-fil

La borne WIFI doit tre capable de grer les vlans Elle est connecte sur un switch par un lien TRUNK Chaque vlan correspond un SSID (CISCO)
Ssid=informatique Ssid=utilisateurs
Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 Vlan 15 Sminaire RAISIN - 17/02/2005 vlan 10 15

S.Bordres

Serveur radius

Trafic EAP

Serveur radius users

passwd

domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL .

S.Bordres

Sminaire RAISIN - 17/02/2005

Serveur radius Les possibilits dauthentifications

Possibilit dauthentifier sur ladresse MAC La borne envoi au serveur radius ladresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur.

S.Bordres

Sminaire RAISIN - 17/02/2005

Serveur radius Avantages

De multiples possibilits dauthentification Traitement individuel dun utilisateur ou dune machine (on peut mixer les mthodes dauthentification) Gestion centralise Trace de toutes les connexions ou tentatives dans un log.

S.Bordres

Sminaire RAISIN - 17/02/2005

Serveur radius Mise en oeuvre

Configuration du poste client Configuration sur la borne Configuration du serveur radius

S.Bordres

Sminaire RAISIN - 17/02/2005

Configurer le poste client

S.Bordres

Sminaire RAISIN - 17/02/2005

Configurer le poste client

Configuration PEAP

S.Bordres

Sminaire RAISIN - 17/02/2005

Configurer le poste client

Configuration TLS

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration de la borne

Dfinir le serveur radius Dfinir chaque vlan et chaque SSID associ Dfinir les caractristiques de chaque SSID

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration de la borne Dfinir le serveur radius

(cisco aironet 1200)

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ

Le native Vlan est le vlan par lequel la borne communique avec le reste du rseau pour ses propres besoins. Si le native vlan est 23 le port du switch o est connect la borne doit tre configur ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200) Dfinir chaque vlan et chaque SSID associ

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration du serveur radius (freeradius)

Dfinir quel matriel a le droit dinterroger le serveur radius Dfinir comment le serveur Radius authentifie. Dfinir la configuration EAP Construire le fichier des utilisateurs

S.Bordres

Sminaire RAISIN - 17/02/2005

Configuration du serveur radius Dfinir quel matriel a le droit dinterroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de dfinir les matriels qui ont le droit de faire des requtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco }
S.Bordres Sminaire RAISIN - 17/02/2005

Secret partag avec les bornes

Configuration du serveur radius Dfinir comment le serveur Radius authentifie. Exemple dauthentification sur domaine Windows
Le serveur radius doit tre inclus dans le domaine Ceci ncessite un serveur samba avec une configuration minimale:
net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vrifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12

/etc/raddb/radiusd.conf
mschap { .. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00} S.Bordres Sminaire RAISIN - 17/02/2005 .}

Configuration du serveur radius Dfinir la configuration EAP

/etc/raddb/eap.conf
tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem }

peap { . default_eap_type=mschapv2 . } S.Bordres Sminaire RAISIN - 17/02/2005

Configuration du serveur radius Construire le fichier des utilisateurs

/etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la faon dont ils sont authentifis.
Login Windows
dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs"

CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs"

S.Bordres

Sminaire RAISIN - 17/02/2005

Exemple dutilisation

Un utilisateur veut se connecter sur le SSID informatique

La borne envoi au serveur radius une requte dauthentification de ladresse MAC. Le serveur radius valide ladresse MAC est renvoi le SSID correspondant.

La borne relaie le trafic EAP du client et le serveur radius authentifie la requte sur le domaine Windows

S.Bordres

Sminaire RAISIN - 17/02/2005

Problmes

La carte sans-fil doit supporter WPA (enterprise) Lutilitaire de configuration aussi. Parfois des problmes sous Windows 2000 (patches ncessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise
DELL 1450 INTEL 2200 INTEL 2100 (avec dernire mise jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG.
S.Bordres Sminaire RAISIN - 17/02/2005

Le cas des visiteurs

Comme pour le rseau filaire les visiteurs doivent tre identifis pour se connecter sur le rseau sans-fil. Problmes: Un visiteur na pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulire. Solution possible: Utiliser un portail captif
S.Bordres Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif

Utilisateur du labo

routeur
Vla n visi teu rs

Portail captif

Visiteur sans-fil

Vlan intermdiaire

S.Bordres

Visiteur filaire

Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif: Principes

La borne place le PC visiteur sur un vlan intermdiaire Ce vlan est connect sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requte DHCP qui est intercepte par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (nimporte laquelle), le portail intercepte la requte et le redirige automatiquement (https) vers une page dun serveur web qui va lui permettre de sauthentifier. Une fois authentifi il peut traverser le portail vers dautres rseaux.
S.Bordres Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif

Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a t choisi parce quil supporte radius. Cest--dire que lauthentification sur le serveur web se fait par interrogation dun serveur radius.
S.Bordres Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif

radius
Utilisateur du labo

DNS

routeur
Vla n visi

Portail captif

Visiteur sans-fil

apache
teu rs

https

chilli chilli
Vlan intermdiaire

S.Bordres

Visiteur filaire

Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif: Avantages

Lauthentification est scurise (HTTPS) Grande souplesse dadaptation: choix dune politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe gnral Le login est ladresse MAC et le password un mot de passe gnral ou spcifique.
S.Bordres Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif: Avantages

La page web permet de faire passer des informations Par exemple: Les mentions lgales Le serveur du portail peut filtrer les communications (netfilter)

Possibilit davoir des traces des connexions

S.Bordres Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif

Utilisateur du labo

routeur
Vla n visi teu rs

Portail captif

Visiteur sans-fil

802.1q

Trunk
Vlan intermdiaire

S.Bordres

Visiteur filaire

Sminaire RAISIN - 17/02/2005

Le cas des visiteurs Le portail captif

Utilisateur du labo

Visiteur sans-fil

routeur

Portail captif

S.Bordres

Sminaire RAISIN - 17/02/2005

Linux et WPA et Radius

Problme de disponibilit des drivers WIFI Problme de disponibilit des drivers WIFIcompatibles WPA Solution: NDISWRAPPER Utilitaire permettant dinstaller les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/
S.Bordres Sminaire RAISIN - 17/02/2005

Linux et WPA et Radius

Utilisation dun supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X

S.Bordres

Sminaire RAISIN - 17/02/2005

Rfrences
http://2003.jres.org/actes/paper.143.pdf http://www.sans.org/rr/whitepapers/authentication/123.php http://www.pouf.org/documentation/securite/html/node1.html http://www.teksell.com/whitepapers/cisco_wireless.pdf http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf http://www.freeradius.org http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf http://www.chillispot.org/ Livre: RADIUS, Jonathan Hassel, OREILLY
S.Bordres Sminaire RAISIN - 17/02/2005

Dispositif de la dmonstration. Chillispot

Portail captif Rseau IXL

Chillispot serveur apache serveur freeradius

S.Bordres

Sminaire RAISIN - 17/02/2005