Académique Documents
Professionnel Documents
Culture Documents
Nom : Bonesso
Prénom : Julien
Classe : 3 TI A
Enseignant : Mr Melchior Nicolas
Année 2018-2019
Flux Mobiles
Laboratoire
Authentification réseau de couche 2
Ce document est mis à disposition selon les termes de la licence Creative Commons
o Configuration du DHCP :
BVI : Une interface "Bridge Virtual Interface" ressemble à une interface SVI (crée par la commande
interface vlan).
Lorsque des interfaces sont regroupées en bridge (couche 2), la BVI est l'interface de couche 3 qui
peut recevoir une adresse IP.
Dans le cas d'un AP, les bridges servent à regrouper les interfaces Radios et Ethernet, sinon il
faudrait router entre les 2 et placer des IP's.
Mise en place
Dans quel VLAN doit-on placer le serveur radius Microsoft et pourquoi ?
Il faut placer le serveur radius dans le VLAN 1 (natif) afin que l’AP étant le client Radius puisse
communiquer avec.
o Il faut tout d’abord cliquer droit sur NPS puis sur « Register server in AD »
Mais si l’on veut que les certificats soient reconnus, il faudra mettre en place une PKI pour générer les
certificats et des certificats racines pour les valider.
Pourquoi est-il obligatoire de créer un certificat pour le serveur radius faisant du PEAP?
Lorsque vous utilisez EAP avec un type EAP fort, tels que TLS avec les cartes à puce ou TLS avec des
certificats, le client et le serveur utilisent des certificats pour vérifier leur identité à l’autre. Les certificats
doivent répondre aux exigences spécifiques sur le serveur et sur le client pour l’authentification. Une
condition requise est que le certificat doit être configuré avec un ou plusieurs rôles dans les extensions
Utilisation de clé étendue (EKU) qui correspondent à l’utilisation du certificat. Par exemple, un certificat
qui est utilisé pour l’authentification d’un client à un serveur doit être configuré avec le rôle
Authentification du Client. Ou bien, un certificat qui est utilisé pour l’authentification d’un serveur doit
être configuré avec le rôle Authentification du serveur.
Théorie
Pour authentifier l’utilisateur via un certificat, il faut modifier la stratégie NPS PEAP pour utiliser
l’authentification smartcard/other certificate.
Certificat serveur
N’ayant pas encore de réseau, l’utilisateur RADIUS ne sais pas se connecter à l’autorité de confiance qui
validera le certificat du serveur RADIUS.
Il faut donc télécharger le certificat de l’autorité afin de pouvoir effectuer cette validation. Cela se fait
via le Web Enrollment.
Certificat utilisateur
L'authentification de l'utilisateur doit se faire via un certificat qu'il aura au préalable demandé via le
Web Enrollment.
o Le mode utilisateur :
➢ Les utilisateurs ouvrent une session, après quoi Windows se fait authentifier.
➢ Les données nécessaires à l'ouverture de session doivent avoir été mises en cache
localement
➢ → Risque d’erreurs dues à l'échec des opérations d'ouverture de session car les
utilisateurs ne peuvent s'authentifier sur le domaine avant de se connecter au réseau
sans fil.
o Le mode ordinateur :
➢ Avant que l'utilisateur n'ouvre une session, Windows se fait authentifier en dot1x pour
se connecter aux contrôleurs de domaine, etc.
➢ L’utilisateur peut ensuite se connecter.
➢ L’authentification se déroule via un certificat attribué à l’ordinateur.
Il est possible d'activer le Wireless Single Sign On, configurant l'authentification utilisateur sur le réseau
sans fil afin qu'elle se déroule avant que l'utilisateur n'ouvre sa session.
o WEP
o WPA TKIP
o WPA2 AES
Attention au paramètre « default EAP server » ! Au besoin associer le SSID avec un serveur précis.
o WPA1 : TKIP
o WPA2 : CCMP-AES
CCMP : un mécanisme de chiffrement qui s'appuie sur AES et qui est plus fort que TKIP. On fait parfois
référence à cette méthode de chiffrement sous le nom d'AES plutôt que sous le nom de CCMP. CCMP
est utilisé par WPA2.
WPA entreprise (WPA-Enterprise) : connu également sous le nom de mode WPA-802.1X ou WPA-EAP,
WPA entreprise est conçu pour les réseaux d'entreprise et demande que l'on installe un serveur
d'authentification RADIUS. C'est plus compliqué à mettre en place, mais offre plus de sécurité, car cette
méthode ne repose pas sur des phrases secrètes, vulnérables aux attaques par dictionnaire. Le
protocole EAP (Extensible Authentication Protocol) est utilisé pour l'authentification. EAP existe en
plusieurs variantes, dont EAP-TLS, EAP-TTLS et EAP-SIM.
Ne pas passer par l'express security ! (Peut-être cocher Mandatory comme WEP Encryption, si marche
pas, et non pas Cipher !)
WPA CCMP
o Dans Security puis Encryption Manager
o Ajouter « smart card or other certificate » et le move up pour qu’il soit premier de la liste
La connexion est la même pour WPA AES CCMP, WPA AES CCMPP + TKIP et WEP.
o Installer ce certificat
Amélioration de la sécurité
o Désactiver les méthodes d'authentification moins sécurisées dans les stratégies NPS, tout
décocher :
o L’user n'accepte qu’un seul serveur radius (en plus du fait que le serveur aie un certificat valide)
Cela se fait dans la GPO créée par après, dans l’onglet « Security » →« Properties », puis dans
« Configure »
Avoir un hôte WIFI qui se connecte au WIFI lors du login via les credentials de l'AD grâce à
un mécanisme de SSO
o Aller dans « Active Directory Users and Computers »
o Créer une OU « bill »
o Y intégrer le PC préalablement ajouté au domaine avec lequel on souhaite utiliser SSO
o Y intégrer également le groupe « Wireless » préalablement créé et utilisé par NPS
o Ensuite dans « Properties », choisir le bon certificat et choisir l’authentification via password
(possible aussi via certificat client)
o Nous pouvons maintenant revenir sur le client, l’éteindre et tester la connexion au réseau Wi-Fi
au redémarrage (en laissant le câble branché dans un premier temps)
o Nous allons ensuite sélectionner le certificat que nous venons de créer en tant que certificat à
distribuer
Source : http://www.microsoft-desktop.com/2012/07/deploiement-automatise-de-certificats-par-
utilisateurs/
o Nous allons ensuite sélectionner le certificat que nous venons de créer en tant que certificat à
distribuer
o Ajouter un « Machine Group » dans les règles NPS : NPS → Policies → Network Policies →
Double clic sur « Secure Wireless Connections → Conditions → Add
Source : http://www.microsoft-desktop.com/2012/06/deploiement-automatise-de-certificats-sur-des-
postes-clients/