Download - 83839589 radius
S.Bordères Séminaire RAISIN - 17/02/2005
Authentification sur réseau sans-filUtilisation d’un serveur radius
Expérience du CENBG
S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Solution adoptée
Serveur radius
Configurations
Cas des visiteurs – portail captif
Sommaire
Clients Linux
S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Le C.E.N.B.G n’est pas un hotspot
Tout PC se connectant sur le réseau sans-fil doit êtreidentifié au même titre que les PC filaires
L’introduction du réseau sans-fil ne doit pas remettre en causeles principes de sécurité déjà existants.
Postulats
S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecture
Un même PC doit être vu sur le réseau de façon identiquequ’il utilise une connexion filaire ou sans-fils.
Place d’un PC sans-fil dans le réseau
Un PC connecté sur le réseau filaire dans le VLAN x doit être placédans le même VLAN lorsqu’il se connecte sur le réseau sans-fil
Un visiteur doit se trouver dans le réseau visiteurs qu’il se connectepar le réseau filaire ou sans-fil.
S.Bordères Séminaire RAISIN - 17/02/2005
Critères de choix d’architecturePlace d’un PC sans-fil dans le réseau
Routage/filtrage
Vlan1 Vlan2
Vlan3
PC connecté sur le réseau filaire
PC connecté sur le réseau sans-fil
Routage/filtrage
Vlan2
Vlan3
Vlan1
S.Bordères Séminaire RAISIN - 17/02/2005
Une authentification par clé partagée n’est pas envisageable
Clé WEP trop fragile.
Clé WPA-PSK plus solide mais…
Trop difficile à gérer lorsque le nombre de postes est grand.
Il suffit de connaître la clé pour se connecter au réseau sans-filsdonc aucun contrôle sur les postes.
Critères de choix d’architecture
Authentification
S.Bordères Séminaire RAISIN - 17/02/2005
CENBG
L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment)
Critères de choix d’architecture
Authentification
C’est plus la machine qu’on cherche à authentifierque l’utilisateur lui-même
Mais l’authentification par adresse MAC sur un réseausans-fil n’est pas suffisante.
S.Bordères Séminaire RAISIN - 17/02/2005
Solution adoptée
Dans une première étape, identifier la machine par son adresse MACet , dans une deuxième étape, consolider par une authentificationpar username/password ou bien un certificat.
L’adresse MAC permet de placer la machine dans un VLAN
Le username/password est celui du domaine Windows
Pour se connecter au réseau sans-fil il faut posséder une adresseMAC enregistrée et un compte Windows ou un certificat.
Choix pour l’authentification
S.Bordères Séminaire RAISIN - 17/02/2005
Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de gérer :* Les vlans* WPA* radius
Solution adoptéeLes moyens
S.Bordères Séminaire RAISIN - 17/02/2005
802.1x: Principe général
BUT: Offrir un mécanisme d’authentification des postes de travail
Initialement destiné au réseau filaire et étendu au réseau sans-fil
Principe:Authentification d’un client sur un serveur d’authentification(radius)au travers d’un équipement réseau (switch, AP).
L’équipement réseau reçoit du serveur l’autorisation de laisserle passage à un client.
Le protocole utilisé est EAP (Extensible Authentification Protocol)
S.Bordères Séminaire RAISIN - 17/02/2005
802.1x: Principe général
Port non controléPort controlé
Uniquement traficEAP over Lanou EAP over Wireless
Serveur d’authentificationRADIUS
Poste client
Authentificateur(switch,AP)
EAP over radius
S.Bordères Séminaire RAISIN - 17/02/2005
802.1x: Principe général
Port non controléPort controlé
Serveur d’authentificationRADIUS
Poste client
authentificateur
Uniquement traficEAP over Lanou EAP over Wireless
S.Bordères Séminaire RAISIN - 17/02/2005
EAP: Extensible Authentication Protocol
EAP permet la négociation d’un protocole d’authentificationentre le client et un serveur radius
EAP-TLSauthentification mutuelle par certificat
EAP-TTLSEAP-PEAP
Authentification du serveur par certificat et du clientpar login/mot de passe.
Utilise un tunnel TLS
EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage.
S.Bordères Séminaire RAISIN - 17/02/2005
Le protocole WPA
WPA = TKIP+802.1x+MIC
TKIP est un mécanisme d’échange de clés dynamiques.Tkip=Temporal key Integrity Protocol
Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep)
MIC=mécanisme de contrôle d’intégrité
S.Bordères Séminaire RAISIN - 17/02/2005
Le protocole WPA
Ne pas confondre
WPA-enterprise met en œuvre 802.1x
et
WPA-home qui met en œuvre des clés partagés (WPA-PSK)
S.Bordères Séminaire RAISIN - 17/02/2005
Le protocole WPA
WEP
WPA-PSK
WPA
WPA2=802.11i
Evolution du niveau de sécurité
logiciels
hardware
S.Bordères Séminaire RAISIN - 17/02/2005
Mise en œuvre des vlans sans-fil
La borne WIFI doit être capable de gérer les vlansElle est connectée sur un switch par un lien TRUNKChaque vlan correspond à un SSID (CISCO)
Ssid=informatique Ssid=utilisateurs
Ssid vlaninformatique 10utilisateurs 15
Vlan 10
Vlan 15
Routage/filtrageTrunk 802.1q
S.Bordères Séminaire RAISIN - 17/02/2005
Serveur radius
Trafic EAP Serveur radius
domaine windowsOuDomaine NISOu serveur LDAPOuBase SQL….
passwd
users
S.Bordères Séminaire RAISIN - 17/02/2005
Serveur radiusLes possibilités d’authentifications
Possibilité d’authentifier sur l’adresse MAC
La borne envoi au serveur radius l’adresse MAC du clientcomme un username.
Le serveur radius valide (ou pas) cette adresse MAC comme unutilisateur.
S.Bordères Séminaire RAISIN - 17/02/2005
Serveur radiusAvantages
De multiples possibilités d’authentification
Traitement individuel d’un utilisateur ou d’une machine(on peut mixer les méthodes d’authentification)
Gestion centralisée
Trace de toutes les connexions ou tentatives dans un log.
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du poste client
Configuration sur la borne
Configuration du serveur radius
Serveur radiusMise en oeuvre
S.Bordères Séminaire RAISIN - 17/02/2005
Configurer le poste client
S.Bordères Séminaire RAISIN - 17/02/2005
Configurer le poste client
Configuration PEAP
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration TLS
Configurer le poste client
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne
Définir chaque vlan et chaque SSID associé
Définir les caractéristiques de chaque SSID
Définir le serveur radius
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration de la borne (cisco aironet 1200)
Définir le serveur radius
S.Bordères Séminaire RAISIN - 17/02/2005
Définir chaque vlan et chaque SSID associé
Le native Vlan est le vlan par lequel la borne communique avecle reste du réseau pour ses propres besoins.
interface FastEthernet0/2switchport trunk native vlan 23switchport mode trunk
Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi:
Configuration de la borne (cisco aironet 1200)
S.Bordères Séminaire RAISIN - 17/02/2005
Définir chaque vlan et chaque SSID associéConfiguration de la borne (cisco aironet 1200)
S.Bordères Séminaire RAISIN - 17/02/2005
Définir chaque vlan et chaque SSID associéConfiguration de la borne (cisco aironet 1200)
S.Bordères Séminaire RAISIN - 17/02/2005
Définir chaque vlan et chaque SSID associéConfiguration de la borne (cisco aironet 1200)
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du serveur radius
Définir quel matériel a le droit d’interroger le serveur radius
Définir la configuration EAP
Construire le fichier des utilisateurs
Définir comment le serveur Radius authentifie.
(freeradius)
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du serveur radius
/etc/raddb/clients.conf
Ce fichier permet de définir les matériels qui ont ledroit de faire des requêtes au serveur Radius
client 10.50.0.4 { secret = lesecretshortname = ap3 nastype = cisco
}
Définir quel matériel a le droit d’interroger le serveur radius
Secret partagé avec les bornes
S.Bordères Séminaire RAISIN - 17/02/2005
Configuration du serveur radius
winbind separator = %winbind cache time = 10template shell = /bin/bashtemplate homedir = /home/%D/%Uidmap uid = 10000-20000idmap gid = 10000-20000workgroup = DOMAINsecurity = domainpassword server = *workgroup = MONDOMAINEwins server = 10.50.0.12
net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine)
net rpc testjoin (pour vérifier)
Définir comment le serveur Radius authentifie.
Exemple d’authentification sur domaine Windows
/etc/raddb/radiusd.conf
Le serveur radius doit être inclus dans le domaineCeci nécessite un serveur samba avec une configuration minimale:
mschap {
…..
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}«
…….}
S.Bordères Séminaire RAISIN - 17/02/2005
/etc/raddb/eap.conf
Configuration du serveur radius
tls {
private_key_file = ${raddbdir}/certs/serveur-radius.key
certificate_file = ${raddbdir}/certs/serveur-radius.crt
CA_file = ${raddbdir}/certs/cert-cnrs.pem
……
}
Définir la configuration EAP
peap {….default_eap_type=mschapv2….}
S.Bordères Séminaire RAISIN - 17/02/2005
/etc/raddb/users
dupont Auth-Type := EAP
000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"
Cisco-AVPair = "ssid=utilisateurs"
Ce fichier contient la liste des utilisateurs et/ou adresses macet la façon dont ils sont authentifiés.
Configuration du serveur radiusConstruire le fichier des utilisateurs
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs"
CN du certificat client
Login Windows
S.Bordères Séminaire RAISIN - 17/02/2005
Exemple d’utilisation
Un utilisateur veut se connecter sur le SSID « informatique »
La borne envoi au serveur radius une requête d’authentification de l’adresse MAC.Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant.
La borne relaie le trafic EAP du client et le serveur radius authentifiela requête sur le domaine Windows
S.Bordères Séminaire RAISIN - 17/02/2005
Problèmes
La carte sans-fil doit supporter WPA (enterprise)L’utilitaire de configuration aussi.
Exemple de cartes qui fonctionnent en WPA-enterpriseDELL 1450INTEL 2200INTEL 2100 (avec dernière mise à jour ..)NETGEAR WG-511T (uniquement sous XP avec wireless zero config))GIGABYTE GN-WBKG (sous XP, USB)ASUS WL-100gDLINK DWL-G650 serie AirPlus XtremeG.
Parfois des problèmes sous Windows 2000(patches nécessaires, pas de zero config comme sous XP)
S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteurs
Comme pour le réseau filaire les visiteurs doivent êtreidentifiés pour se connecter sur le réseau sans-fil.
Un visiteur n’a pas de compte dans le labo
On ne peut pas lui imposer une carte sans-fil particulière.
Problèmes:
Solution possible:Utiliser un portail captif
S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteursLe portail captif
Portail captif
Vlan visiteurs
Visiteur filaire
Visiteur sans-fil
Vlan intermédiaire
Utilisateur du labo
routeur
S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteursLe portail captif: Principes
La borne place le PC visiteur sur un vlan intermédiaire
Ce vlan est connecté sur le serveur du portail qui fait officede routeur/filtrage entre ce vlan et le vlan utilisateur.
Le PC visiteur envoi une requête DHCP qui est interceptée par le portail quilui affecte une adresse IP.
Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier.
Une fois authentifié il peut traverser le portail vers d’autres réseaux.
S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteursLe portail captif
Il existe plusieurs logiciels de portail captif
Nocatauth
Chillispot
Au CENBG, chillispot a été choisi parce qu’il supporte radius.C’est-à-dire que l’authentification sur le serveur web se fait parinterrogation d’un serveur radius.
S.Bordères Séminaire RAISIN - 17/02/2005
Portail captif
Vlan visiteurs
Visiteur filaire
Visiteur sans-fil
Vlan intermédiaire
Utilisateur du labo
Le cas des visiteursLe portail captif
apacheapache
chillichilli
radius
DNS
httpsrouteur
S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteursLe portail captif: Avantages
L’authentification est sécurisée (HTTPS)
Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe.
Par exemple:Le login est le nom du visiteur et le password un mot de passe général
Le login est l’adresse MAC et le password un mot de passe généralou spécifique.
S.Bordères Séminaire RAISIN - 17/02/2005
Le cas des visiteursLe portail captif: Avantages
La page web permet de faire passer des informations
Par exemple: Les mentions légales
Le serveur du portail peut filtrer les communications (netfilter)
Possibilité d’avoir des traces des connexions
S.Bordères Séminaire RAISIN - 17/02/2005
Portail captif
Vlan visiteurs
Visiteur filaire
Visiteur sans-fil
Vlan intermédiaire
Utilisateur du labo
Le cas des visiteursLe portail captif
Trunk802.1q
routeur
S.Bordères Séminaire RAISIN - 17/02/2005
Portail captif
Visiteur sans-fil
Utilisateur du labo
Le cas des visiteursLe portail captif
routeur
S.Bordères Séminaire RAISIN - 17/02/2005
Linux et WPA et Radius
Problème de disponibilité des drivers WIFI
Problème de disponibilité des drivers WIFI…compatibles WPA
Solution: NDISWRAPPER
Utilitaire permettant d’installer les drivers WINDOWS sous Linux
http://sourceforge.net/projects/ndiswrapper/
S.Bordères Séminaire RAISIN - 17/02/2005
Linux et WPA et Radius
Utilisation d’un supplicant WPA
WPA_SUPPLICANTPermet de configurer un client Linux avec toutesles formes de WPA, WPA2, EAP.
Contient un supplicant 802.1X
S.Bordères Séminaire RAISIN - 17/02/2005
http://www.sans.org/rr/whitepapers/authentication/123.php
http://2003.jres.org/actes/paper.143.pdf
http://www.freeradius.org
Références
Livre: RADIUS, Jonathan Hassel, O’REILLY
http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf
http://www.chillispot.org/
http://www.pouf.org/documentation/securite/html/node1.html
http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf
http://www.teksell.com/whitepapers/cisco_wireless.pdf
S.Bordères Séminaire RAISIN - 17/02/2005
Réseau IXL
Portail captif
Dispositif de la démonstration. Chillispot
Chillispotserveur apacheserveur freeradius