Académique Documents
Professionnel Documents
Culture Documents
S.Bordres
Sommaire
S.Bordres
S.Bordres
Vlan1
Vlan2
Vlan3
S.Bordres
S.Bordres
S.Bordres
CEN
BG
Solution adopte
Choix pour lauthentification
Dans une premire tape, identifier la machine par son adresse MAC
et , dans une deuxime tape, consolider par une authentification
par username/password ou bien un certificat.
Le username/password est celui du domaine Windows
Ladresse MAC permet de placer la machine dans un VLAN
Solution adopte
Les moyens
Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de grer :
* Les vlans
* WPA
* radius
S.Bordres
Serveur dauthentification
RADIUS
Port control
Authentificateur
(switch,AP)
Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordres
Poste client
Sminaire RAISIN - 17/02/2005
Serveur dauthentification
RADIUS
Port control
authentificateur
Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordres
Poste client
Sminaire RAISIN - 17/02/2005
Le protocole WPA
WPA = TKIP+802.1x+MIC
TKIP est un mcanisme dchange de cls dynamiques.
Tkip=Temporal key Integrity Protocol
Utilisation dun cryptage RC4
(vecteur 48bits au lieu de 24bits avec wep)
Le protocole WPA
Ne pas confondre
WPA-enterprise met en uvre 802.1x
et
WPA-home qui met en uvre des cls partags (WPA-PSK)
S.Bordres
Le protocole WPA
Evolution du niveau de scurit
WPA2=802.11i
re
a
dw
r
a
h
WPA
s
l
e
i
ic
log
WPA-PSK
WEP
S.Bordres
Ssid=utilisateurs
Ssid
informatique
utilisateurs
Trunk 802.1q
Routage/filtrage
Vlan 10
S.Bordres
Vlan 15
Sminaire RAISIN - 17/02/2005
vlan
10
15
Serveur radius
Trafic EAP
Serveur radius
users
passwd
domaine windows
Ou
Domaine NIS
Ou
serveur LDAP
Ou
Base SQL
.
S.Bordres
Serveur radius
Les possibilits dauthentifications
S.Bordres
Serveur radius
Avantages
S.Bordres
Serveur radius
Mise en oeuvre
S.Bordres
S.Bordres
Configuration PEAP
S.Bordres
Configuration TLS
S.Bordres
Configuration de la borne
S.Bordres
Configuration de la borne
S.Bordres
S.Bordres
S.Bordres
S.Bordres
S.Bordres
winbind separator = %
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
workgroup = DOMAIN
security = domain
password server = *
workgroup = MONDOMAINE
wins server = 10.50.0.12
/etc/raddb/radiusd.conf
mschap {
..
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}
S.Bordres
Sminaire RAISIN - 17/02/2005
.}
/etc/raddb/eap.conf
tls {
private_key_file = ${raddbdir}/certs/serveur-radius.key
certificate_file = ${raddbdir}/certs/serveur-radius.crt
CA_file = ${raddbdir}/certs/cert-cnrs.pem
peap {
.
default_eap_type=mschapv2
.
}
S.Bordres
/etc/raddb/users
Ce fichier contient la liste des utilisateurs et/ou adresses mac
et la faon dont ils sont authentifis.
Login Windows
dupont Auth-Type := EAP
000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"
Cisco-AVPair = "ssid=utilisateurs"
CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d
Cisco-AVPair = "ssid=utilisateurs"
S.Bordres
Exemple dutilisation
S.Bordres
Problmes
Utilisateur du labo
Portail captif
routeur
Vla
n
visi
teu
Visiteur sans-fil
rs
Vlan intermdiaire
S.Bordres
Visiteur filaire
radius
Utilisateur du labo
DNS
Portail captif
routeur
apache
Vla
n
visi
teu
rs
Visiteur sans-fil
https
chilli
chilli
Vlan intermdiaire
S.Bordres
Visiteur filaire
Utilisateur du labo
Portail captif
routeur
Vla
n
visi
teu
rs
Visiteur sans-fil
802.1q
Trunk
Vlan intermdiaire
S.Bordres
Visiteur filaire
Utilisateur du labo
Visiteur sans-fil
routeur
S.Bordres
Portail captif
S.Bordres
Rfrences
http://2003.jres.org/actes/paper.143.pdf
http://www.sans.org/rr/whitepapers/authentication/123.php
http://www.pouf.org/documentation/securite/html/node1.html
http://www.teksell.com/whitepapers/cisco_wireless.pdf
http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf
http://www.freeradius.org
http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf
http://www.chillispot.org/
Livre: RADIUS, Jonathan Hassel, OREILLY
S.Bordres
Portail captif
Rseau IXL
S.Bordres
Chillispot
serveur apache
serveur freeradius