Authentification sur réseau sans-fil Utilisation d`un serveur radius

Transcription

Authentification sur réseau sans-fil
Utilisation d’un serveur radius
Expérience du CENBG
S.Bordères
Séminaire RAISIN - 17/02/2005
Sommaire
Critères de choix d’architecture
Solution adoptée
Serveur radius
Configurations
Cas des visiteurs – portail captif
Clients Linux
S.Bordères
Postulats
Le C.E.N.B.G n’est pas un hotspot
Tout PC se connectant sur le réseau sans-fil doit être
identifié au même titre que les PC filaires
L’introduction du réseau sans-fil ne doit pas remettre en cause
les principes de sécurité déjà existants.
S.Bordères
Place d’un PC sans-fil dans le réseau
Un même PC doit être vu sur le réseau de façon identique
qu’il utilise une connexion filaire ou sans-fils.
Un PC connecté sur le réseau filaire dans le VLAN x doit être placé
dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil
Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte
par le réseau filaire ou sans-fil.
S.Bordères
Place d’un PC sans-fil dans le réseau
Routage/filtrage
Vlan2
Vlan1
PC connecté sur le réseau sans-fil
Routage/filtrage
Vlan1
Vlan2
Vlan3
PC connecté sur le réseau filaire
Vlan3
S.Bordères
Authentification
Une authentification par clé partagée n’est pas envisageable
Clé WEP trop fragile.
Clé WPA-PSK plus solide mais…
Trop difficile à gérer lorsque le nombre de postes est grand.
Il suffit de connaître la clé pour se connecter au réseau sans-fils
donc aucun contrôle sur les postes.
S.Bordères
Authentification
L’authentification doit se faire sans ajouter un mot de passe
supplémentaire pour l’utilisateur.(il en a déjà suffisamment)
C’est plus la machine qu’on cherche à authentifier
que l’utilisateur lui-même
Mais l’authentification par adresse MAC sur un réseau
sans-fil n’est pas suffisante.
S.Bordères
CEN
BG
Solution adoptée
Choix pour l’authentification
Dans une première étape, identifier la machine par son adresse MAC
et , dans une deuxième étape, consolider par une authentification
par username/password ou bien un certificat.
Le username/password est celui du domaine Windows
L’adresse MAC permet de placer la machine dans un VLAN
Pour se connecter au réseau sans-fil il faut posséder une adresse
MAC enregistrée et un compte Windows ou un certificat.
S.Bordères
Solution adoptée
Les moyens
Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de gérer :
* Les vlans
* WPA
* radius
S.Bordères
802.1x: Principe général
BUT: Offrir un mécanisme d’authentification des postes de travail
Initialement destiné au réseau filaire et étendu au réseau sans-fil
Principe:
Authentification d’un client sur un serveur d’authentification(radius)
au travers d’un équipement réseau (switch, AP).
L’équipement réseau reçoit du serveur l’autorisation de laisser
le passage à un client.
Le protocole utilisé est EAP (Extensible Authentification Protocol)
S.Bordères
Serveur d’authentification
RADIUS
EAP over radius
Port controlé
Authentificateur
(switch,AP)
Port non controlé
Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordères
Poste client
Serveur d’authentification
RADIUS
Port controlé
authentificateur
Port non controlé
Uniquement trafic
EAP over Lan
ou
EAP over Wireless
S.Bordères
Poste client
EAP: Extensible Authentication Protocol
EAP permet la négociation d’un protocole d’authentification
entre le client et un serveur radius
EAP-TLS
authentification mutuelle par certificat
EAP-TTLS
Utilise un tunnel TLS
EAP-PEAP
Authentification du serveur par certificat et du client
par login/mot de passe.
EAP n’est pas une méthode de cryptage des communications du client
mais fourni un mécanisme d’initialisation des clés de cryptage.
S.Bordères
Le protocole WPA
WPA = TKIP+802.1x+MIC
TKIP est un mécanisme d’échange de clés dynamiques.
Tkip=Temporal key Integrity Protocol
Utilisation d’un cryptage RC4
(vecteur 48bits au lieu de 24bits avec wep)
MIC=mécanisme de contrôle d’intégrité
S.Bordères
Le protocole WPA
Ne pas confondre
WPA-enterprise met en œuvre 802.1x
et
WPA-home qui met en œuvre des clés partagés (WPA-PSK)
S.Bordères
Le protocole WPA
Evolution du niveau de sécurité
WPA2=802.11i
re
a
dw
r
a
h
WPA
s
l
e
i
ic
log
WPA-PSK
WEP
S.Bordères
Mise en œuvre des vlans sans-fil
La borne WIFI doit être capable de gérer les vlans
Elle est connectée sur un switch par un lien TRUNK
Chaque vlan correspond à un SSID (CISCO)
Ssid=informatique
Ssid=utilisateurs
Ssid
informatique
utilisateurs
Trunk 802.1q
Routage/filtrage
Vlan 10
S.Bordères
Vlan 15
vlan
10
15
Serveur radius
Trafic EAP
Serveur radius
users
passwd
domaine windows
Ou
Domaine NIS
Ou
serveur LDAP
Ou
Base SQL
….
S.Bordères
Serveur radius
Les possibilités d’authentifications
Possibilité d’authentifier sur l’adresse MAC
La borne envoi au serveur radius l’adresse MAC du client
comme un username.
Le serveur radius valide (ou pas) cette adresse MAC comme un
utilisateur.
S.Bordères
Serveur radius
Avantages
De multiples possibilités d’authentification
Traitement individuel d’un utilisateur ou d’une machine
(on peut mixer les méthodes d’authentification)
Gestion centralisée
Trace de toutes les connexions ou tentatives dans un log.
S.Bordères
Serveur radius
Mise en oeuvre
Configuration du poste client
Configuration sur la borne
Configuration du serveur radius
S.Bordères
Configurer le poste client
S.Bordères
Configuration PEAP
S.Bordères
Configuration TLS
S.Bordères
Configuration de la borne
Définir le serveur radius
Définir chaque vlan et chaque SSID associé
Définir les caractéristiques de chaque SSID
S.Bordères
Configuration de la borne
(cisco aironet 1200)
Définir le serveur radius
S.Bordères
Configuration de la borne (cisco aironet 1200)
Le native Vlan est le vlan par lequel la borne communique avec
le reste du réseau pour ses propres besoins.
Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi:
interface FastEthernet0/2
switchport trunk native vlan 23
switchport mode trunk
S.Bordères
S.Bordères
S.Bordères
S.Bordères
(freeradius)
Définir quel matériel a le droit d’interroger le serveur radius
Définir comment le serveur Radius authentifie.
Définir la configuration EAP
Construire le fichier des utilisateurs
S.Bordères
Définir quel matériel a le droit
d’interroger le serveur radius
/etc/raddb/clients.conf
Ce fichier permet de définir les matériels qui ont le
droit de faire des requêtes au serveur Radius
client 10.50.0.4 {
secret
= lesecret
shortname = ap3
nastype
= cisco
}
S.Bordères
Secret partagé avec les bornes
Définir comment le serveur Radius authentifie.
Exemple d’authentification sur domaine Windows
Le serveur radius doit être inclus dans le domaine
Ceci nécessite un serveur samba avec une configuration minimale:
net rpc join -w MONDOMAINE -U administrateur
(demande le mot de passe administrateur du domaine)
net rpc testjoin (pour vérifier)
winbind separator = %
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
workgroup = DOMAIN
security = domain
password server = *
workgroup = MONDOMAINE
wins server = 10.50.0.12
/etc/raddb/radiusd.conf
mschap {
…..
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-UserName:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:00}«
S.Bordères
…….}
Définir la configuration EAP
/etc/raddb/eap.conf
tls {
private_key_file = ${raddbdir}/certs/serveur-radius.key
certificate_file = ${raddbdir}/certs/serveur-radius.crt
CA_file = ${raddbdir}/certs/cert-cnrs.pem
……
}
peap {
….
default_eap_type=mschapv2
….
}
S.Bordères
Construire le fichier des utilisateurs
/etc/raddb/users
Ce fichier contient la liste des utilisateurs et/ou adresses mac
et la façon dont ils sont authentifiés.
Login Windows
dupont Auth-Type := EAP
000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"
Cisco-AVPair = "ssid=utilisateurs"
CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d
Cisco-AVPair = "ssid=utilisateurs"
S.Bordères
Exemple d’utilisation
Un utilisateur veut se connecter sur le SSID « informatique »
La borne envoi au serveur radius une requête d’authentification
de l’adresse MAC.
Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant.
La borne relaie le trafic EAP du client et le serveur radius authentifie
la requête sur le domaine Windows
S.Bordères
Problèmes
La carte sans-fil doit supporter WPA (enterprise)
L’utilitaire de configuration aussi.
Parfois des problèmes sous Windows 2000
(patches nécessaires, pas de zero config comme sous XP)
Exemple de cartes qui fonctionnent en WPA-enterprise
DELL 1450
INTEL 2200
INTEL 2100 (avec dernière mise à jour ..)
NETGEAR WG-511T (uniquement sous XP avec wireless zero config))
GIGABYTE GN-WBKG (sous XP, USB)
ASUS WL-100g
DLINK DWL-G650 serie AirPlus XtremeG.
S.Bordères
Le cas des visiteurs
Comme pour le réseau filaire les visiteurs doivent être
identifiés pour se connecter sur le réseau sans-fil.
Problèmes:
Un visiteur n’a pas de compte dans le labo
On ne peut pas lui imposer une carte sans-fil particulière.
Solution possible:
Utiliser un portail captif
S.Bordères
Le portail captif
Utilisateur du labo
Portail captif
routeur
Vla
n
visi
teu
Visiteur sans-fil
rs
Vlan intermédiaire
S.Bordères
Visiteur filaire
Le portail captif: Principes
La borne place le PC visiteur sur un vlan intermédiaire
Ce vlan est connecté sur le serveur du portail qui fait office
de routeur/filtrage entre ce vlan et le vlan utilisateur.
Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui
lui affecte une adresse IP.
Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte
la requête et le redirige automatiquement (https) vers une page d’un serveur web
qui va lui permettre de s’authentifier.
Une fois authentifié il peut traverser le portail vers d’autres réseaux.
S.Bordères
Le portail captif
Il existe plusieurs logiciels de portail captif
Nocatauth
Chillispot
Au CENBG, chillispot a été choisi parce qu’il supporte radius.
C’est-à-dire que l’authentification sur le serveur web se fait par
interrogation d’un serveur radius.
S.Bordères
Le portail captif
radius
Utilisateur du labo
DNS
Portail captif
routeur
apache
Vla
n
visi
teu
rs
Visiteur sans-fil
https
chilli
chilli
Vlan intermédiaire
S.Bordères
Visiteur filaire
Le portail captif: Avantages
L’authentification est sécurisée (HTTPS)
Grande souplesse d’adaptation:
choix d’une politique pour le login et le mot de passe.
Par exemple:
Le login est le nom du visiteur et le password un mot de passe général
Le login est l’adresse MAC et le password un mot de passe général
ou spécifique.
S.Bordères
Le portail captif: Avantages
La page web permet de faire passer des informations
Par exemple: Les mentions légales
Le serveur du portail peut filtrer les communications
(netfilter)
Possibilité d’avoir des traces des connexions
S.Bordères
Le portail captif
Utilisateur du labo
Portail captif
routeur
Vla
n
visi
teu
rs
Visiteur sans-fil
802.1q
Trunk
Vlan intermédiaire
S.Bordères
Visiteur filaire
Le portail captif
Utilisateur du labo
Visiteur sans-fil
routeur
S.Bordères
Portail captif
Linux et WPA et Radius
Problème de disponibilité des drivers WIFI
Problème de disponibilité des drivers WIFI…compatibles WPA
Solution: NDISWRAPPER
Utilitaire permettant d’installer les drivers WINDOWS sous Linux
http://sourceforge.net/projects/ndiswrapper/
S.Bordères
Linux et WPA et Radius
Utilisation d’un supplicant WPA
WPA_SUPPLICANT
Permet de configurer un client Linux avec toutes
les formes de WPA, WPA2, EAP.
Contient un supplicant 802.1X
S.Bordères
Références
http://2003.jres.org/actes/paper.143.pdf
http://www.sans.org/rr/whitepapers/authentication/123.php
http://www.pouf.org/documentation/securite/html/node1.html
http://www.teksell.com/whitepapers/cisco_wireless.pdf
http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf
http://www.freeradius.org
http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf
http://www.chillispot.org/
Livre: RADIUS, Jonathan Hassel, O’REILLY
S.Bordères
Dispositif de la démonstration. Chillispot
Portail captif
Réseau IXL
S.Bordères
Chillispot
serveur apache
serveur freeradius

Authentification sur réseau sans-fil Utilisation d`un serveur radius

Transcription

Documents pareils

la Cour ou CP

Intelligence économique 2009

Séminaire international de Karaté Sensei Luca Valdesi Sensei

Séminaire « Doublez le résultat de votre cabinet »

le cabilat 01-07-2011 - Bordères sur l`Echez

Venez assister à la Comédie musicale La Petite Sirène! 181 X MERCI!

Espace du possible 2016 - Marie-Thérèse BAL

zac ecoparc de borderes sur l`echez - des Hautes