docTP3 WIFI Radius-EAP-VLAN - IUT de Nice
download 
Plainte Transcription
TP3 WIFI Radius-EAP-VLAN - IUT de Nice
Dpt R&T Aix en Provence
Module WIFI / Licence ASUR
Sécurisation WIFI
Serveur RADIUS & EAP-MD5 / EAP-LEAP & VLAN
0)
Préalable
Il est nécessaire avant toutes choses de :
1. vous munir d’un cd knoppix version 4.0 ;
2. démarrez sous window le PC qui servira de serveur d’authentification, et de vérifiez la
présence sur le disque C du fichier freeradius-1.0.5.tar.gz ;
3. relever l’adresse mac de la carte réseau qui reliera le serveur d’authentification au
routeur.
1)
Schéma de principe
SR1
10.0.1.0/24
SR2
192.168.30.0 /24 Serveur
d’authentification
Supplicant
Authenticator
.100
.1
PC 802.11 b/g
2)
.1
PC Knoppix
.10
Installation et configuration du serveur RADIUS
2.0) Préalable
Redémarrer le PC faisant office de serveur en ayant préalablement inséré le cd knoppix. Une
fois knoppix chargé, ouvrez une fenêtre terminal et passez en mode administrateur. Avec
la commande ifconfig –a, trouvez le nom de la carte ethernet reliant le point d’accès à
votre serveur d’authentification et dont l’adresse mac correspond à celle que vous aviez
relevée précédemment. Ensuite, affectez l’adresse IP 192.168.30.0/24 à cette carte ; si
la carte a pour nom eth1, alors tapez en console la commande
ifconfig eth1 192.168.30.10 netmask 255.255.255.0.
N’oubliez pas également de configurer la passerelle par défaut en tapant la commande
suivante : route add default gw 192.168.30.1.
2.1) Installation
Copiez sur le bureau knoppix le fichier freeradius-1.0.5.tar.gz situé le disque
C de window. Puis, dans le répertoire où se trouve l’archive, tapez les commandes suivantes :
Mv Desktop/freeradius-1.0.5.tar.gz ..
tar xzf freeradius-1.0.5.tar.gz
cd freeradius-1.0.5
./configure
make
make install
cd ..
rm –rf freeradius-1.0.5*
Jean-Luc Damoiseaux
1
Dpt R&T Aix en Provence
Module WIFI / Licence ASUR
2.2) Configuration du fichier clients.conf
Dans le répertoire /usr/local/etc/raddb/, éditez le fichier clients.conf et
insérez y les lignes suivantes :
# on précise l’adresse de l’authenticator,
# le secret partagé entre l’authenticator et le serveur RADIUS
# le type de l’authenticator
client 10.0.0.100/24 {
secret
= secretradius
shortname = AP1200
nastype
= cisco
}
2.3) Configuration du fichier users
Dans ce même répertoire, éditez ensuite le fichier users et insérez y les lignes suivantes :
letesteur
Auth-Type := Local, User-Password == "fou"
Reply-Message = "Authentification réussie"
admin
Auth-Type := EAP, User-Password == "adminpass"
Reply-Message = "admin Authentification réussie",
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 1
profs
Auth-Type := EAP, User-Password == "profspass"
Reply-Message = "profs Authentification réussie",
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
studs
Auth-Type := EAP, User-Password == "studspass"
Reply-Message = "studs Authentification réussie",
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 20
invite Auth-Type := EAP, User-Password == "invitepass"
Reply-Message = "invite Authentification réussie",
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 30
La signification des attributs RADIUS rajoutés pour chaque utilisateur est :
− Tunnel-Type positionné à la valeur 13 indique que l’on a un VLAN ;
− Tunnel-Medium-Type positionné à la valeur 6 indique que la couche physique
est de type 802 ;
− Tunnel-Private-Group-Id prend comme valeur du numéro du vlan auquel
appartiendra l’utilisateur en question.
Jean-Luc Damoiseaux
2
Dpt R&T Aix en Provence
Module WIFI / Licence ASUR
2.4) Lancement et test du serveur
Pour finir, nous allons maintenant tester en local le serveur RADIUS. Pour cela :
• lancez le serveur RADIUS au moyen de la commande radiusd –X ;
• dans une autre fenêtre console, exécutez la commande
radtest letesteur fou 127.0.0.1:1812 10 testing123
Si tout se passe bien, vous devriez voir apparaître dans la fenêtre où tourne le serveur
RADIUS, le message d’une authentification réussie.
3)
Configuration de l’authenticator
Après avoir attribué à l’interface bvi1 du point d’accès l’adresse 10.0.1.100/24, utiliser
l’interface graphique pour configurer l’authenticator.
Commencez par préciser la passerelle par défaut.
Dans le menu SECURITY, cliquez sur Server Manager afin d’indiquez au point d’accès
où se trouve le serveur radius.
Jean-Luc Damoiseaux
3
Dpt R&T Aix en Provence
Module WIFI / Licence ASUR
Dans le menu SERVICES définissez maintenant les vlans 1, 10, 20 et 301. Attention,
pensez à cocher pour vlan 1, et uniquement le vlan 1, la case Native Vlan.
Revenez dans le menu SECURITY, et cliquez maintenant sur SSID Manager afin de
définir un SSID. Sélectionner l’utilisation du protocole EAP comme transport de la méthode
d’authentification2. N’oubliez pas d’associer cet SSID au vlan 30.
Toujours dans le menu SSID MANAGER, diffusez le SSID INVITE en broadcast et associez
lui le mode Guest :
Enfin, dans le menu SECURITY, cliquez maintenant sur Encrytion Manager afin de
définir une encryption pour chacun des vlans précédemment définis.
1
A partir de ce moment, les interfaces dot11 et ethernet sont découpées en sous interfaces.
2
Open Authentification with EAP correspond à l’utilisation d’EAP pour des clients non Cisco, et Network EAP
correspond également à l’utilisation d’EAP mais exclusivement pour des clients Cisco.
Jean-Luc Damoiseaux
4
Dpt R&T Aix en Provence
Module WIFI / Licence ASUR
Pour le vlan 30 (le vlan INVITE) définissez une encryption simple de type wep.
4)
Configuration du routeur
Sur cette configuration aucun protocole de routage ne sera nécessaire. Nous aurons besoin de
définir un serveur dhcp et des sous-interfaces pour chacun des vlans.
4.1) Définition des pools dhcp
Pour chaque vlan, définissez un pool d’adresses respectant le tableau suivant :
VLAN
1
10
20
30
Réseau
10.0.1.0 / 24
10.0.10.0 / 24
10.0.20.0 / 24
10.0.30.0 / 24
Passerelle
10.0.1.1
10.0.10.1
10.0.20.1
10.0.30.1
Nom de domaine
profs.com
studs.com
invite.com
Par exemple, pour le vlan INVITE, vous entrerez les commandes :
ip dhcp pool INVITE
network 10.0.30.0 255.255.255.0
default-router 10.0.30.1
domain-name invite.com
4.2) Mise en place d’une sous-interface par vlan
Nous supposerons que l’interface fa0/0 du routeur est reliée à la borne, et nous définirons
donc une sous-interface par vlan. Attention, la sous-interface associée au vlan 1 doit être
marqué comme native.
interface FastEthernet0/0
no ip address
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 10.0.1.1 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 10
ip address 10.0.10.1 255.255.255.0
Jean-Luc Damoiseaux
5
Dpt R&T Aix en Provence
Module WIFI / Licence ASUR
et ainsi de suite pour tous les vlans
5)
Configuration du supplicant
Là encore pratiquement rien à faire. Vous devez juste configurer un profile avec l’ACU ou
l’ADU, et ne pas oubliez dans l’onglet Network Security de sélectionner la méthode
EAP
ACU
ADU
et de la configurer pour qu’elle utilise demande un login et un password.
N’oubliez pas aussi de configurer la carte wifi en dhcp.
6)
Tests
Si tout est bon, alors vous auriez du voir apparaître une fenêtre d’authentification vous
demandant un login et un password. En fonction du login et du password saisis, vous serez
affecté dans le vlan correspondant. Profitez en alors pour faire des tests.
7)
Améliorations possibles
Mettez en place des listes d’accès pour interdire et/ou autoriser certains flux.
Intercalez un switch entre le point d’accès et le routeur. Attention :
− les ports reliant le switch à l’AP et le switch au routeur doivent être en mode trunk ;
− les mêmes vlans doivent être définis sur le switch.
Connectez alors une machine sur l’un des ports du switch et faites des tests.
Changer de méthode d’authentification, et optez pour de l’EAP-TLS par exemple.
Jean-Luc Damoiseaux
6
