Authentification sur réseau sans-fil Utilisation d`un serveur radius
Transcription
Authentification sur réseau sans-fil Utilisation d`un serveur radius
Authentification sur réseau sans-fil Utilisation d’un serveur radius Expérience du CENBG S.Bordères Séminaire RAISIN - 17/02/2005 Sommaire Critères de choix d’architecture Solution adoptée Serveur radius Configurations Cas des visiteurs – portail captif Clients Linux S.Bordères Séminaire RAISIN - 17/02/2005 Critères de choix d’architecture Postulats Le C.E.N.B.G n’est pas un hotspot Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les PC filaires L’introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité déjà existants. S.Bordères Séminaire RAISIN - 17/02/2005 Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Un même PC doit être vu sur le réseau de façon identique qu’il utilise une connexion filaire ou sans-fils. Un PC connecté sur le réseau filaire dans le VLAN x doit être placé dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte par le réseau filaire ou sans-fil. S.Bordères Séminaire RAISIN - 17/02/2005 Critères de choix d’architecture Place d’un PC sans-fil dans le réseau Routage/filtrage Vlan2 Vlan1 PC connecté sur le réseau sans-fil Routage/filtrage Vlan1 Vlan2 Vlan3 PC connecté sur le réseau filaire Vlan3 S.Bordères Séminaire RAISIN - 17/02/2005 Critères de choix d’architecture Authentification Une authentification par clé partagée n’est pas envisageable Clé WEP trop fragile. Clé WPA-PSK plus solide mais… Trop difficile à gérer lorsque le nombre de postes est grand. Il suffit de connaître la clé pour se connecter au réseau sans-fils donc aucun contrôle sur les postes. S.Bordères Séminaire RAISIN - 17/02/2005 Critères de choix d’architecture Authentification L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment) C’est plus la machine qu’on cherche à authentifier que l’utilisateur lui-même Mais l’authentification par adresse MAC sur un réseau sans-fil n’est pas suffisante. S.Bordères Séminaire RAISIN - 17/02/2005 CEN BG Solution adoptée Choix pour l’authentification Dans une première étape, identifier la machine par son adresse MAC et , dans une deuxième étape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows L’adresse MAC permet de placer la machine dans un VLAN Pour se connecter au réseau sans-fil il faut posséder une adresse MAC enregistrée et un compte Windows ou un certificat. S.Bordères Séminaire RAISIN - 17/02/2005 Solution adoptée Les moyens Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de gérer : * Les vlans * WPA * radius S.Bordères Séminaire RAISIN - 17/02/2005 802.1x: Principe général BUT: Offrir un mécanisme d’authentification des postes de travail Initialement destiné au réseau filaire et étendu au réseau sans-fil Principe: Authentification d’un client sur un serveur d’authentification(radius) au travers d’un équipement réseau (switch, AP). L’équipement réseau reçoit du serveur l’autorisation de laisser le passage à un client. Le protocole utilisé est EAP (Extensible Authentification Protocol) S.Bordères Séminaire RAISIN - 17/02/2005 802.1x: Principe général Serveur d’authentification RADIUS EAP over radius Port controlé Authentificateur (switch,AP) Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005 802.1x: Principe général Serveur d’authentification RADIUS Port controlé authentificateur Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless S.Bordères Poste client Séminaire RAISIN - 17/02/2005 EAP: Extensible Authentication Protocol EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage. S.Bordères Séminaire RAISIN - 17/02/2005 Le protocole WPA WPA = TKIP+802.1x+MIC TKIP est un mécanisme d’échange de clés dynamiques. Tkip=Temporal key Integrity Protocol Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep) MIC=mécanisme de contrôle d’intégrité S.Bordères Séminaire RAISIN - 17/02/2005 Le protocole WPA Ne pas confondre WPA-enterprise met en œuvre 802.1x et WPA-home qui met en œuvre des clés partagés (WPA-PSK) S.Bordères Séminaire RAISIN - 17/02/2005 Le protocole WPA Evolution du niveau de sécurité WPA2=802.11i re a dw r a h WPA s l e i ic log WPA-PSK WEP S.Bordères Séminaire RAISIN - 17/02/2005 Mise en œuvre des vlans sans-fil La borne WIFI doit être capable de gérer les vlans Elle est connectée sur un switch par un lien TRUNK Chaque vlan correspond à un SSID (CISCO) Ssid=informatique Ssid=utilisateurs Ssid informatique utilisateurs Trunk 802.1q Routage/filtrage Vlan 10 S.Bordères Vlan 15 Séminaire RAISIN - 17/02/2005 vlan 10 15 Serveur radius Trafic EAP Serveur radius users passwd domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL …. S.Bordères Séminaire RAISIN - 17/02/2005 Serveur radius Les possibilités d’authentifications Possibilité d’authentifier sur l’adresse MAC La borne envoi au serveur radius l’adresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur. S.Bordères Séminaire RAISIN - 17/02/2005 Serveur radius Avantages De multiples possibilités d’authentification Traitement individuel d’un utilisateur ou d’une machine (on peut mixer les méthodes d’authentification) Gestion centralisée Trace de toutes les connexions ou tentatives dans un log. S.Bordères Séminaire RAISIN - 17/02/2005 Serveur radius Mise en oeuvre Configuration du poste client Configuration sur la borne Configuration du serveur radius S.Bordères Séminaire RAISIN - 17/02/2005 Configurer le poste client S.Bordères Séminaire RAISIN - 17/02/2005 Configurer le poste client Configuration PEAP S.Bordères Séminaire RAISIN - 17/02/2005 Configurer le poste client Configuration TLS S.Bordères Séminaire RAISIN - 17/02/2005 Configuration de la borne Définir le serveur radius Définir chaque vlan et chaque SSID associé Définir les caractéristiques de chaque SSID S.Bordères Séminaire RAISIN - 17/02/2005 Configuration de la borne (cisco aironet 1200) Définir le serveur radius S.Bordères Séminaire RAISIN - 17/02/2005 Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé Le native Vlan est le vlan par lequel la borne communique avec le reste du réseau pour ses propres besoins. Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk S.Bordères Séminaire RAISIN - 17/02/2005 Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005 Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005 Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé S.Bordères Séminaire RAISIN - 17/02/2005 Configuration du serveur radius (freeradius) Définir quel matériel a le droit d’interroger le serveur radius Définir comment le serveur Radius authentifie. Définir la configuration EAP Construire le fichier des utilisateurs S.Bordères Séminaire RAISIN - 17/02/2005 Configuration du serveur radius Définir quel matériel a le droit d’interroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de définir les matériels qui ont le droit de faire des requêtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco } S.Bordères Séminaire RAISIN - 17/02/2005 Secret partagé avec les bornes Configuration du serveur radius Définir comment le serveur Radius authentifie. Exemple d’authentification sur domaine Windows Le serveur radius doit être inclus dans le domaine Ceci nécessite un serveur samba avec une configuration minimale: net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vérifier) winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12 /etc/raddb/radiusd.conf mschap { ….. ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}« S.Bordères Séminaire RAISIN - 17/02/2005 …….} Configuration du serveur radius Définir la configuration EAP /etc/raddb/eap.conf tls { private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem …… } peap { …. default_eap_type=mschapv2 …. } S.Bordères Séminaire RAISIN - 17/02/2005 Configuration du serveur radius Construire le fichier des utilisateurs /etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la façon dont ils sont authentifiés. Login Windows dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs" CN du certificat client "Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs" S.Bordères Séminaire RAISIN - 17/02/2005 Exemple d’utilisation Un utilisateur veut se connecter sur le SSID « informatique » La borne envoi au serveur radius une requête d’authentification de l’adresse MAC. Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant. La borne relaie le trafic EAP du client et le serveur radius authentifie la requête sur le domaine Windows S.Bordères Séminaire RAISIN - 17/02/2005 Problèmes La carte sans-fil doit supporter WPA (enterprise) L’utilitaire de configuration aussi. Parfois des problèmes sous Windows 2000 (patches nécessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise DELL 1450 INTEL 2200 INTEL 2100 (avec dernière mise à jour ..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG. S.Bordères Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Comme pour le réseau filaire les visiteurs doivent être identifiés pour se connecter sur le réseau sans-fil. Problèmes: Un visiteur n’a pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulière. Solution possible: Utiliser un portail captif S.Bordères Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu Visiteur sans-fil rs Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif: Principes La borne place le PC visiteur sur un vlan intermédiaire Ce vlan est connecté sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier. Une fois authentifié il peut traverser le portail vers d’autres réseaux. S.Bordères Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a été choisi parce qu’il supporte radius. C’est-à-dire que l’authentification sur le serveur web se fait par interrogation d’un serveur radius. S.Bordères Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif radius Utilisateur du labo DNS Portail captif routeur apache Vla n visi teu rs Visiteur sans-fil https chilli chilli Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif: Avantages L’authentification est sécurisée (HTTPS) Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe général Le login est l’adresse MAC et le password un mot de passe général ou spécifique. S.Bordères Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif: Avantages La page web permet de faire passer des informations Par exemple: Les mentions légales Le serveur du portail peut filtrer les communications (netfilter) Possibilité d’avoir des traces des connexions S.Bordères Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif Utilisateur du labo Portail captif routeur Vla n visi teu rs Visiteur sans-fil 802.1q Trunk Vlan intermédiaire S.Bordères Visiteur filaire Séminaire RAISIN - 17/02/2005 Le cas des visiteurs Le portail captif Utilisateur du labo Visiteur sans-fil routeur S.Bordères Portail captif Séminaire RAISIN - 17/02/2005 Linux et WPA et Radius Problème de disponibilité des drivers WIFI Problème de disponibilité des drivers WIFI…compatibles WPA Solution: NDISWRAPPER Utilitaire permettant d’installer les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/ S.Bordères Séminaire RAISIN - 17/02/2005 Linux et WPA et Radius Utilisation d’un supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X S.Bordères Séminaire RAISIN - 17/02/2005 Références http://2003.jres.org/actes/paper.143.pdf http://www.sans.org/rr/whitepapers/authentication/123.php http://www.pouf.org/documentation/securite/html/node1.html http://www.teksell.com/whitepapers/cisco_wireless.pdf http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf http://www.freeradius.org http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf http://www.chillispot.org/ Livre: RADIUS, Jonathan Hassel, O’REILLY S.Bordères Séminaire RAISIN - 17/02/2005 Dispositif de la démonstration. Chillispot Portail captif Réseau IXL S.Bordères Chillispot serveur apache serveur freeradius Séminaire RAISIN - 17/02/2005