TP3 WIFI Radius-EAP-VLAN - IUT de Nice
Transcription
TP3 WIFI Radius-EAP-VLAN - IUT de Nice
Dpt R&T Aix en Provence Module WIFI / Licence ASUR Sécurisation WIFI Serveur RADIUS & EAP-MD5 / EAP-LEAP & VLAN 0) Préalable Il est nécessaire avant toutes choses de : 1. vous munir d’un cd knoppix version 4.0 ; 2. démarrez sous window le PC qui servira de serveur d’authentification, et de vérifiez la présence sur le disque C du fichier freeradius-1.0.5.tar.gz ; 3. relever l’adresse mac de la carte réseau qui reliera le serveur d’authentification au routeur. 1) Schéma de principe SR1 10.0.1.0/24 SR2 192.168.30.0 /24 Serveur d’authentification Supplicant Authenticator .100 .1 PC 802.11 b/g 2) .1 PC Knoppix .10 Installation et configuration du serveur RADIUS 2.0) Préalable Redémarrer le PC faisant office de serveur en ayant préalablement inséré le cd knoppix. Une fois knoppix chargé, ouvrez une fenêtre terminal et passez en mode administrateur. Avec la commande ifconfig –a, trouvez le nom de la carte ethernet reliant le point d’accès à votre serveur d’authentification et dont l’adresse mac correspond à celle que vous aviez relevée précédemment. Ensuite, affectez l’adresse IP 192.168.30.0/24 à cette carte ; si la carte a pour nom eth1, alors tapez en console la commande ifconfig eth1 192.168.30.10 netmask 255.255.255.0. N’oubliez pas également de configurer la passerelle par défaut en tapant la commande suivante : route add default gw 192.168.30.1. 2.1) Installation Copiez sur le bureau knoppix le fichier freeradius-1.0.5.tar.gz situé le disque C de window. Puis, dans le répertoire où se trouve l’archive, tapez les commandes suivantes : Mv Desktop/freeradius-1.0.5.tar.gz .. tar xzf freeradius-1.0.5.tar.gz cd freeradius-1.0.5 ./configure make make install cd .. rm –rf freeradius-1.0.5* Jean-Luc Damoiseaux 1 Dpt R&T Aix en Provence Module WIFI / Licence ASUR 2.2) Configuration du fichier clients.conf Dans le répertoire /usr/local/etc/raddb/, éditez le fichier clients.conf et insérez y les lignes suivantes : # on précise l’adresse de l’authenticator, # le secret partagé entre l’authenticator et le serveur RADIUS # le type de l’authenticator client 10.0.0.100/24 { secret = secretradius shortname = AP1200 nastype = cisco } 2.3) Configuration du fichier users Dans ce même répertoire, éditez ensuite le fichier users et insérez y les lignes suivantes : letesteur Auth-Type := Local, User-Password == "fou" Reply-Message = "Authentification réussie" admin Auth-Type := EAP, User-Password == "adminpass" Reply-Message = "admin Authentification réussie", Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 1 profs Auth-Type := EAP, User-Password == "profspass" Reply-Message = "profs Authentification réussie", Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 10 studs Auth-Type := EAP, User-Password == "studspass" Reply-Message = "studs Authentification réussie", Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 20 invite Auth-Type := EAP, User-Password == "invitepass" Reply-Message = "invite Authentification réussie", Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 30 La signification des attributs RADIUS rajoutés pour chaque utilisateur est : − Tunnel-Type positionné à la valeur 13 indique que l’on a un VLAN ; − Tunnel-Medium-Type positionné à la valeur 6 indique que la couche physique est de type 802 ; − Tunnel-Private-Group-Id prend comme valeur du numéro du vlan auquel appartiendra l’utilisateur en question. Jean-Luc Damoiseaux 2 Dpt R&T Aix en Provence Module WIFI / Licence ASUR 2.4) Lancement et test du serveur Pour finir, nous allons maintenant tester en local le serveur RADIUS. Pour cela : • lancez le serveur RADIUS au moyen de la commande radiusd –X ; • dans une autre fenêtre console, exécutez la commande radtest letesteur fou 127.0.0.1:1812 10 testing123 Si tout se passe bien, vous devriez voir apparaître dans la fenêtre où tourne le serveur RADIUS, le message d’une authentification réussie. 3) Configuration de l’authenticator Après avoir attribué à l’interface bvi1 du point d’accès l’adresse 10.0.1.100/24, utiliser l’interface graphique pour configurer l’authenticator. Commencez par préciser la passerelle par défaut. Dans le menu SECURITY, cliquez sur Server Manager afin d’indiquez au point d’accès où se trouve le serveur radius. Jean-Luc Damoiseaux 3 Dpt R&T Aix en Provence Module WIFI / Licence ASUR Dans le menu SERVICES définissez maintenant les vlans 1, 10, 20 et 301. Attention, pensez à cocher pour vlan 1, et uniquement le vlan 1, la case Native Vlan. Revenez dans le menu SECURITY, et cliquez maintenant sur SSID Manager afin de définir un SSID. Sélectionner l’utilisation du protocole EAP comme transport de la méthode d’authentification2. N’oubliez pas d’associer cet SSID au vlan 30. Toujours dans le menu SSID MANAGER, diffusez le SSID INVITE en broadcast et associez lui le mode Guest : Enfin, dans le menu SECURITY, cliquez maintenant sur Encrytion Manager afin de définir une encryption pour chacun des vlans précédemment définis. 1 A partir de ce moment, les interfaces dot11 et ethernet sont découpées en sous interfaces. 2 Open Authentification with EAP correspond à l’utilisation d’EAP pour des clients non Cisco, et Network EAP correspond également à l’utilisation d’EAP mais exclusivement pour des clients Cisco. Jean-Luc Damoiseaux 4 Dpt R&T Aix en Provence Module WIFI / Licence ASUR Pour le vlan 30 (le vlan INVITE) définissez une encryption simple de type wep. 4) Configuration du routeur Sur cette configuration aucun protocole de routage ne sera nécessaire. Nous aurons besoin de définir un serveur dhcp et des sous-interfaces pour chacun des vlans. 4.1) Définition des pools dhcp Pour chaque vlan, définissez un pool d’adresses respectant le tableau suivant : VLAN 1 10 20 30 Réseau 10.0.1.0 / 24 10.0.10.0 / 24 10.0.20.0 / 24 10.0.30.0 / 24 Passerelle 10.0.1.1 10.0.10.1 10.0.20.1 10.0.30.1 Nom de domaine profs.com studs.com invite.com Par exemple, pour le vlan INVITE, vous entrerez les commandes : ip dhcp pool INVITE network 10.0.30.0 255.255.255.0 default-router 10.0.30.1 domain-name invite.com 4.2) Mise en place d’une sous-interface par vlan Nous supposerons que l’interface fa0/0 du routeur est reliée à la borne, et nous définirons donc une sous-interface par vlan. Attention, la sous-interface associée au vlan 1 doit être marqué comme native. interface FastEthernet0/0 no ip address ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 10.0.1.1 255.255.255.0 ! interface FastEthernet0/0.2 encapsulation dot1Q 10 ip address 10.0.10.1 255.255.255.0 Jean-Luc Damoiseaux 5 Dpt R&T Aix en Provence Module WIFI / Licence ASUR et ainsi de suite pour tous les vlans 5) Configuration du supplicant Là encore pratiquement rien à faire. Vous devez juste configurer un profile avec l’ACU ou l’ADU, et ne pas oubliez dans l’onglet Network Security de sélectionner la méthode EAP ACU ADU et de la configurer pour qu’elle utilise demande un login et un password. N’oubliez pas aussi de configurer la carte wifi en dhcp. 6) Tests Si tout est bon, alors vous auriez du voir apparaître une fenêtre d’authentification vous demandant un login et un password. En fonction du login et du password saisis, vous serez affecté dans le vlan correspondant. Profitez en alors pour faire des tests. 7) Améliorations possibles Mettez en place des listes d’accès pour interdire et/ou autoriser certains flux. Intercalez un switch entre le point d’accès et le routeur. Attention : − les ports reliant le switch à l’AP et le switch au routeur doivent être en mode trunk ; − les mêmes vlans doivent être définis sur le switch. Connectez alors une machine sur l’un des ports du switch et faites des tests. Changer de méthode d’authentification, et optez pour de l’EAP-TLS par exemple. Jean-Luc Damoiseaux 6