projet 2012 - perfectnetwork.free.frperfectnetwork.free.fr/pdf/windows/serveur radius.pdf ·...
TRANSCRIPT
Projet
PacketTracer en
Labo, et
Authentification
Wi-Fi Serveur
RADUIS (NPS)
23 novembre
2012 Dans ce document nous allons utiliser le Labo Cisco™ qui est à notre
disposition, ce texte peut servir de support d’aide ou bien de tutoriel. Il
constituera une base d’étude des réseaux informatiques, tout en restant
dans le cadre des conditions imposées au cours du TP.
SISR4 TP n
7
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
2
Sommaire
I. Introduction ..................................................................................................................................... 3
II. PacketTracer .................................................................................................................................... 5
III. Situation Labo .............................................................................................................................. 5
1. Présentation, Préparation ........................................................................................................... 5
2. Configuration Infrastructure Réseau ........................................................................................... 5
a. Commutateur(s)/Switch(s) ...................................................................................................... 5
b. Routeur .................................................................................................................................. 10
3. Point d’accès Wi-Fi .................................................................................................................... 11
c. Mot de passe d’accès configuration ...................................................................................... 11
d. Adresse IP réseau local .......................................................................................................... 11
e. DHCP ...................................................................................................................................... 11
f. Section Wireless .................................................................................................................... 11
4. Le Serveur RADIUS ..................................................................................................................... 12
g. Introduction ........................................................................................................................... 12
h. Configuration du serveur NPS (Network Policy Server) ........................................................ 13
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
3
I. Introduction
Ci-dessus le contexte technique de cette présentation, la suite du document présente les
différents aspects technique d’un contexte que l’on rencontre inévitablement en entreprise. Il est
vrai qu’auparavant et même aujourd’hui, des entreprises ne s’intéressent pas à l’aspect
administration et mise en place d’une infrastructure réseau structuré, néanmoins cela reste très rare,
mais toujours d’actualité.
Elle comporte une faille de sécurité extrêmement critique et comme je l’ai dit totalement
négligée, c’est pourquoi il est nécessaire de bien maîtriser ces notions, c’est la base de tous
infrastructure réseau, les notions de VLANs, et d’authentification RADIUS (abordé plus loin) font
partie intégrante de la sécurité réseau. De nombreux outils s’offrent à nous en effet ; dans notre
exemple je pourrais également aborder le thème très rapidement de PacketTracer, sachez qu’il s’agit
d’un outil très puissant, il offre une vision de préparation de maquettage très confortable.
C’est notre cas, avant de procéder à cette installation nous allons étudier le fonctionnement
sur PacketTracer, une fois finie, l’utilisation du « Labo » pourra commencer, vous allez pouvoir
constater que même si l’exemple est fait sous PacketTracer, il existe quelques différences en
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
4
situation réel qui peuvent vite vous mettre dans une position délicate, je vous expliquerais plus tard
ces aspects là.
Certes notre exemple comporte principalement du matériels Cisco™ les commandes vous
présenterons la « philosophie » Cisco™ mais sachez qu’en réalité la plupart des constructeurs
s’accordent plus ou moins, avec quelques particularités évidement ; dites vous bien que chaque
constructeur ne réinventent pas le monde du réseau informatique à chaque nouvelles séries de
Switch, routeur, ou tous autres matériel, et je dirais même plus que l’utilisation d’une doc n’est pas
indispensable, seulement que dans certains cas, et ne nécessite pas un réel intérêt pour un
technicien réseau avertie.
Vous comprendrez plus tard pourquoi. Le schéma ci-dessus peut également évoluer suivant
les situations je veux parler des postes informatiques, en d’autres termes la simulation de clients, PC
portable, OS, Smartphone, PC fixe, serveurs,… les adresses IP également, ils sont à titre indicatif
représente le contexte présent lors des tests, ce n’est pas un point capital dans notre cas,
l’assimilation des points techniques sont plus important.
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
5
II. PacketTracer
Pour récupérer PacketTracer, il faut être étudiant Netacad, ainsi que pour utiliser les TPs, si c’est
le cas, récupérer le fichier exo_linksys.pka. Passez le test.
III. Situation Labo
1. Présentation, Préparation
La première chose à faire avant toutes choses, et avant même de brancher quoi que ce soit, c’est
de vous munir d’une feuille de papier, d’un crayon à papier, ainsi que de « stabilos fluo ». Cette étape
consiste à faire un schéma basique et de façon concis incorporant chacun des éléments de la
structure que vous allez faire, ainsi que des différentes configurations à appliquer à chacun des
éléments actifs et postes utilisateurs. Elle peut paraître fastidieuses mais c’est une base capitale est
fortement conseillé voire obligatoire.
Dans notre cas vous vous rendrez compte très vite que l’on a vite fait d’oublier ce que l’on déjà
fait ce que l’on a pas fait, imaginer la même situation avec une infrastructure 3 à 4 fois plus grande,
vous arriverez réellement à retenir chacun des paramètres que vous avez appliqué sur tous vos
éléments ? Et j’insiste sur le faites d’utiliser un support papier plutôt qu’un support numérique pour
une question pratique. Notez les adresses IP les ports, et identifiez les VLANs à l’aide de couleurs ;
faites par exemple un tableau en plus de votre schéma (un tableau Excel® ici l’utilité d’utiliser une
feuille de papier n’est pas nécessairement fondamentale ; à vous de juger).
2. Configuration Infrastructure Réseau
a. Commutateur(s)/Switch(s)
Une fois cette première étape terminée, passons à la partie technique, nous allons configurer
notre Switch.
Sur le panneau arrière on branche le câble console jusqu’au port com. du PC, Cisco™ utilise
un câble propriétaire.
Une fois branché, lancez votre console « Putty » ou « Hyperterminal » par
exemple.
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
6
Nous Allons donc créer nos VLANs :
- VLAN 4 (Wi-Fi)
- VLAN 2
- VLAN 3
- VLAN 183 (Administration)
Ainsi que notre port « Trunk », chez Cisco™ la notion de Trunk signifie « Tagged » (norme
802.1Q), chez les autres constructeurs il s’agit d’un lien d’agrégation. Utilisez le « ? » après chaque
commande afin de voir les options disponible à chaque étapes de la construction de votre
commande.
Création de VLANs :
SW1>en
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#vlan 183
SW1(config-if)#no shut
SW1(config-vlan)#exit
SW1(config)#exit
SW1#write
Building configuration...
[OK]
Affectation de Ports au VLANs :
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#switchport access vlan 183
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#exit
SW1#write
Building configuration...
[OK]
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
7
Port « Trunk » :
SW1#conf t
SW1(config)#interface fastEthernet 0/10
SW1(config-if)#switchport trunk allowed vlan all
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#exit
SW1#write
Affectation Adresse IP VLAN 183 (Utile pour la prise en main Telnet) :
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#interface vlan 183
%LINK-5-CHANGED: Interface Vlan183, changed state to up
SW1(config-if)#ip address 183.174.220.111 255.255.0.0
SW1(config-if)# no shut
SW1(config-if)#exit
SW1(config)#exit
%SYS-5-CONFIG_I: Configured from console by console
SW1# write
Building configuration...
[OK]
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
8
Pensez à faire une commande show afin de vérifier vos différentes configurations ci-dessous
les VLANs.
SW1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/5, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Gi0/1, Gi0/2
2 VLAN0002 active Fa0/2
3 VLAN0003 active Fa0/3
4 VLAN0004 active Fa0/4
183 VLAN0183 active Fa0/24
SW1#show conf
interface FastEthernet0/2
switchport access vlan 2
!
interface FastEthernet0/3
switchport access vlan 3
!
interface FastEthernet0/24
switchport access vlan 183
interface Vlan1
no ip address
shutdown
!
interface Vlan183
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
9
ip address 183.174.220.111 255.255.0.0
!
line con 0
password password
login
line vty 0 4
password password
login
line vty 5 15
password password
login
!
end
En vert il s’agit de la configuration des droits d’accès, c’est une stratégie de sécurité définie
avec des mots de passe, elle est utile pour configurer le Telnet.
Mot de passe :
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#line con 0
SW1(config-line)#
SW1(config-line)#password password
SW1(config-line)#login
SW1(config-line)#end
SW1#
%SYS-5-CONFIG_I: Configured from console by console
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
10
b. Routeur
Pour le routeur nous allons configurer également la partie « Telnet », ainsi que l’interface
Gigabits (g0/0) et ses sous interfaces.
Affection des adresses IP aux sous-interfaces :
R1>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface gigabitEthernet 0/0.1
R1(config-subif)#ip address 192.168.2.1 255.255.255.0
R1(config-subif)#exit
R1(config)#exit
R1#
%SYS-5-CONFIG_I: Configured from console by console
R1#write
Building configuration...
[OK]
Pour définir accéder à une sous interface il s’suffit de spécifier l’interface de base 0/0 ou bien
0/1 par exemple, suivie d’un point et du numéro de l’interface logique.
Définition de l’encapsulation :
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#no shutdown
Lorsque vous configurer l’encapsulation dot1Q (802.1Q) spécifier pour cette sous-interface à
quel ID VLAN elle correspondant, dans l’exemple présenté ci-dessus, il s’agit de l’adresse IP
192.168.2.1 donc du VLAN « 2 », notez donc « 2 » au VLAN ID.
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
11
3. Point d’accès Wi-Fi
Pour que les poste sans fils puissent fonctionner il faut configurer notre point d’accès, nous
avons à notre disposition un Routeur-Switch Wi-Fi Cisco™, nous passerons par l’interface WEB.
c. Mot de passe d’accès configuration
d. Adresse IP réseau local
e. DHCP
Utiliser soit un DHCP server, ou soit le DHCP intégré à votre Routeur-Switch Wi-Fi.
f. Section Wireless
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
12
4. Le Serveur RADIUS
g. Introduction
Network Policy Server (NPS) peut être utilisé comme serveur RADIUS (Remote Authentication
Dial-In User Service) afin d’effectuer l’authentification, l’autorisation et la gestion des clients RADIUS.
Un client RADIUS peut être un serveur d’accès, tel qu’un serveur d’accès à distance ou un point
d’accès sans fil, ou un proxy RADIUS. Lorsque NPS est utilisé en tant que serveur RADIUS, il fournit les
services suivants :
• Un service d’authentification et d’autorisation central pour toutes les demandes de
connexion envoyées par des clients RADIUS.
NPS utilise un domaine Microsoft® Windows NT® Server 4.0, un domaine des services de
domaine Active Directory® (AD DS) ou la base de données de comptes d’utilisateurs SAM
(Security Accounts Manager) locale afin d’authentifier les informations d’identification des
utilisateurs pour les tentatives de connexion. NPE utilise les propriétés de numérotation du
compte d’utilisateur et des stratégies réseau pour autoriser une connexion.
• Un service d’enregistrement de gestion central pour toutes les demandes de gestion
envoyées par des clients RADIUS.
Les demandes de gestion sont stockées dans un fichier journal local ou dans une base de
données Microsoft® SQL Server™ à des fins d’analyse.
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
13
L’illustration suivante montre NPS en tant que serveur RADIUS pour différents clients d’accès, ainsi
qu’un proxy RADIUS. NPS utilise un domaine AD DS pour l’authentification des informations
d’identification utilisateur des messages de demande d’accès RADIUS entrants.
h. Configuration du serveur NPS (Network Policy Server)
i. Installation des rôles
Il est nécessaire d’installer le rôle IIS afin d’obtenir un certificat pour que le serveur puisse
répondre au requête RADIUS, nous allons donc installer le rôle « Services de Stratégie d’Accès
Réseau », et IIS. Dans « l’Assistant d’Ajout de rôles » Sélectionnez les rôles correspondant.
Pour les services de Rôle IIS laissez tous par défaut, du moins pour la présentation actuel, si
vous avez besoin d’autres services sélectionnez les, le certificat dans le rôle IIS est intégré de base,
c’est une fonctionnalité obligatoire. Pour le NPS sélectionnez « Serveur NPS »,
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
14
Les rôles s’installent maintenant.
On peut constater à la fin de l’installation dans la partie sécurité la notion de certificat est ici
présenté.
ii. Le Certificat
Donc dans un premier créons un certificat, ce certificat que nous allons nous auto-signé,
puisque c’est le seul moyen d’en obtenir un, effectivement il existe d’autre façon d’en obtenir un,
ceci dépend encore une fois du contexte d’installation. Cliquez sur
dans les outils d’administration, sélectionnez le serveur =>
dans le partie IIS => certificat de serveur => et faites clique droit au milieu de la fenêtre pour créer un
certificat auto-signé. Vous obtiendrez normalement ceci :
Dans la recherche de programme de programme tapez « mmc ».
Ici vous allez pouvoir visualiser aussi votre certificat dans cette console « mmc ».
Qu'est-ce que MMC ?
MMC est une application MDI (interface multi-document) Windows qui utilise de façon
intensive les technologies Internet. Microsoft et les éditeurs de logiciels indépendants étendent les
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
15
capacités de cette console en écrivant des composants logiciels enfichables MMC qui se chargent des
tâches de gestion.
Les interfaces de programmation MMC permettent l'intégration de ces composants dans la
console. Ces interfaces portent uniquement sur les extensions d'IU (interface utilisateur) ; chaque
composant logiciel enfichable est entièrement responsable de la méthode utilisée pour exécuter les
tâches. La relation composant logiciel enfichable / console consiste à partager un environnement
d'hébergement commun, ainsi qu'une intégration multi applications. La console même n'offre pas de
fonctions de gestion. Les composants logiciels enfichables y résident ; ils ne s'exécutent pas de
manière autonome.
Microsoft et les éditeurs de logiciels indépendants peuvent développer des outils de gestion
exécutables dans MMC, ou encore écrire des applications qui seront gérées par des outils
d'administration MMC. Composante à part entière du Kit de développement logiciel (SDK) de la
plate-forme Microsoft, MMC est disponible pour un usage général. Pour plus d'informations sur ce
kit, rendez-vous sur le site Web.
Faites donc Fichier => => et fait la
procédure Certificat.
iii. Configuration 802.1X
Le gestionnaire NPS offre une première mise en route, cliquez sur
et , dans la fenêtre suivante, sélectionnez,
et attribuez y un nom. Créez maintenait un client RADIUS, type de méthode d’authentification,
Votre configuration Maintenant terminé, vous pouvez y accéder à tout, moment le « Tree
View », à gauche vous permet de visualiser vos stratégies, client RADIUS, et tous autres options.
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
16
Vous pouvez aussi configurer de nouvelle stratégie, attention lors de l’authentification,
spécifiez, le bon protocole d’authentification, ici PEAP, regardez le plus adapté à votre situation, et
attribuez –y un « Certificat ».
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
17
iv. Test de Connectivité
Avant de vous présenter la procédure de connexion et les échanges de trames entre client e
serveur, je vais vous présenter le fonctionnement de RADIUS. Qui demande quoi à Qui ?
Rappelons que dans notre cas présent nous somme en Wi-Fi, premier point important à
retenir est que le client Wi-Fi est à différence du client RADIUS, le client RADIUS est la borne Wi-Fi
c’est donc lui qui vas faire la demande d’authentification au serveur, non pas le Smartphone, ni le PC
portable, ou tous autres équipement réseaux.
• Protocole RADIUS
Ce sujet n'a pas encore été évalué
RADIUS est un protocole standard décrit dans la demande de l'Internet Engineering Task
Force (IETF) for Comments (RFC) 2865, « Remote Authentication Dial-in User Service (RADIUS) » et
RFC 2866, « RADIUS Accounting ». RADIUS est utilisé pour fournir des services de comptabilité,
l'autorisation et d'authentification.
Lors de la connexion réseau tentative par un ordinateur client ou tout autre périphérique, un
client RADIUS, tel qu'un serveur de réseau privé virtuel (VPN) ou d'un accès sans fil point, envoie
informations d'identification utilisateur et des informations sur les paramètres de connexion sous la
forme d'un message RADIUS à un serveur RADIUS. Le serveur RADIUS authentifie et autorise la
demande du client RADIUS et renverra un message de réponse RADIUS. Clients RADIUS envoient
également des messages de comptabilisation RADIUS aux serveurs RADIUS. En outre, les normes
RADIUS prennent en charge l'utilisation de proxy RADIUS. Un proxy RADIUS est un ordinateur qui
transfère les messages RADIUS entre les ordinateurs compatibles RADIUS.
Important
Les ordinateurs clients, tels que les ordinateurs portables sans fil et d'autres ordinateurs exécutant
des systèmes d'exploitation client, ne sont pas des clients RADIUS. Clients RADIUS sont des serveurs
d'accès réseau — telles que les points d'accès sans fil, les commutateurs 802. 1 X, les serveurs de
réseau privé virtuel (VPN) et les serveurs d'accès distant, car ils utilisent le protocole RADIUS pour
communiquer avec les serveurs RADIUS tels que les serveurs de serveur NPS (Network Policy).
Messages RADIUS sont envoyés sous forme de messages de protocole UDP (User Datagram). Le port
UDP 1812 est utilisé pour les messages d'authentification RADIUS et le port UDP 1813 est utilisé pour
les messages de gestion de comptes RADIUS. Certains anciens serveurs d'accès réseau (NAS) peuvent
utiliser le port UDP 1645 pour les messages d'authentification RADIUS et le port UDP 1646 pour les
messages de gestion de comptes RADIUS.
NPS peut recevoir des messages RADIUS sur n'importe quel ensemble de ports configurable. Par
défaut, NPS surveille, reçoit et envoie le trafic RADIUS sur les ports UDP suivants : 1812 et 1645 pour
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
18
les messages d'authentification RADIUS et 1813 et 1646 pour les messages de gestion de comptes
RADIUS. Exactement un message RADIUS est encapsulé dans la charge utile UDP.
• Format de message RADIUS
La section suivante fournit des informations qui peuvent être utiles pour les éléments suivants :
• Comprendre une capture Moniteur réseau.
• Présentation des formats de message différents pour analyser le journal comptable.
• Saisie des numéros de l'attribut spécifique au fournisseur (VSA).
Serveur
Windows
Server® 2008
R2 (NPS)
RADIUS
Serveur
Client RADIUS
Access-Request
Access-Accept
Accounting-Request (Start)
Accounting-Reponse
Accounting-Request (Stop)
Accounting-Reponse
1 1
2
3
4
5
6
Login Session
Logout Session
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
19
1
2
Ici il s’agit d’un Access-Challenge :
Si l’une des informations transmises par l'utilisateur est fausse ou erronée, le serveur renvoie un
paquet (« Access-Reject ») en lui précisant que la connexion est refusée. A l'inverse, si toutes les
informations sont correctes, le serveur renvoie un paquet (« Access-Challenge »), et en retour,
l'utilisateur émet de nouveau un paquet (« Access-Request ») qui contiendra la réponse au challenge.
3
(Non Visible)
4 (Non Visible)
5 (Visualisable si déconnexion)
6 (Visualisable si déconnexion)
Structure de paquet générale
La figure « Structure de rayon paquet générale, » fournit un résumé de la structure de
données d'un paquet RADIUS. Le client RADIUS ou le serveur envoie les champs de haut en bas ou à
partir du champ Code de manière verticale pour le champ attributs.
Structure générale d'un paquet RADIUS
Champ code
Le champ Code a une longueur de 1 octet et indique le type de message RADIUS. Un message avec
un champ de Code qui n'est pas valide est silencieusement rejeté. Les valeurs définies pour le champ
Code RADIUS sont répertoriés dans le tableau suivant.
1 Bytes = 1 Octet
Projet PacketTracer en Labo, et Authentification
Wi-Fi Serveur RADUIS (NPS)
2012
20
Codes (décimal) Paquets
1 Demande d'accès
2 Acceptation d'accès
3 Rejet d'accès
4 Demande de compte
5 Réponse de compte
11 Challenge d'accès
12 État-serveur (expérimental)
13 État-Client (expérimental)
255 Réservé
Champ d'identificateur
Le champ d'identificateur a une longueur de 1 octet et est utilisé pour faire correspondre une
demande avec sa réponse correspondante.
Champ de longueur
Le champ longueur est de deux octets de long et indique la longueur totale du message RADIUS, y
compris les champs Code, identificateur, longueur et l'authentificateur et les attributs RADIUS. Le
champ longueur peut varier de 20 à 4 096 octets.
Champ de l'authentificateur
Le champ de l'authentificateur est de 16 octets de long et contient les informations que le client
RADIUS et le serveur utilisent pour vérifier que le message provient d'un ordinateur est configuré
avec un secret partagé commun.
Section attributs
La section attributs de message RADIUS contient un ou plusieurs attributs RADIUS qui transportent
les détails de l'authentification, l'autorisation, informations et configuration spécifiques pour les
messages RADIUS.