Authentification sur réseau sans-fil

	Authentification sur réseau sans-fil	Téléchargement
	Publié par : Docenstoc

Authentification sur réseau sans-fil
Utilisation d’un serveur radius
Expérience du CENBG
S.Bordères Séminaire
RAISIN - 17/02/2005

Sommaire
Critères de choix d’architecture
Solution adoptée
Serveur radius
Configurations
Cas des visiteurs – portail captif
Clients Linux
S.Bordères Séminaire
RAISIN - 17/02/2005

Critères de choix d’architecture
Postulats
Le C.E.N.B.G n’est pas un hotspot
Tout PC se connectant sur le réseau sans-fil doit être
identifié au même titre que les PC filaires
L’introduction du réseau sans-fil ne doit pas remettre en cause
les principes de sécurité déjà existants.
S.Bordères Séminaire
RAISIN - 17/02/2005

Critères de choix d’architecture
Place d’un PC sans-fil dans le réseau
Un même PC doit être vu sur le réseau de façon identique
qu’il utilise une connexion filaire ou sans-fils.
Un PC connecté sur le réseau filaire dans le VLAN x doit être placé
dans le même VLAN lorsqu’il se connecte sur le réseau sans-fil
Un visiteur doit se trouver dans le réseau visiteurs qu’il se connecte
par le réseau filaire ou sans-fil.
S.Bordères Séminaire
RAISIN - 17/02/2005

Critères de choix d’architecture
Place d’un PC sans-fil dans le réseau
Routage/filtrage
Vlan1
Vlan2
PC connecté sur le réseau sans-fil
Routage/filtrage
Vlan1
Vlan2
Vlan3
PC connecté sur le réseau filaire
Vlan3
S.Bordères Séminaire
RAISIN - 17/02/2005

Critères de choix d’architecture
Authentification
Une authentification par clé partagée n’est pas envisageable
Clé WEP trop fragile.
Clé WPA-PSK plus solide mais…
Trop difficile à gérer lorsque le nombre de postes est grand.
Il suffit de connaître la clé pour se connecter au réseau sans-fils
donc aucun contrôle sur les postes.
S.Bordères Séminaire
RAISIN - 17/02/2005

Critères de choix d’architecture
CENBG
Authentification
L’authentification doit se faire sans ajouter un mot de passe
supplémentaire pour l’utilisateur.(il en a déjà suffisamment)
C’est plus la machine qu’on cherche à authentifier
que l’utilisateur lui-même
Mais l’authentification par adresse MAC sur un réseau
sans-fil n’est pas suffisante.
S.Bordères Séminaire
RAISIN - 17/02/2005

Solution adoptée
Choix pour l’authentification
Dans une première étape, identifier la machine par son adresse MAC
et , dans une deuxième étape, consolider par une authentification
par username/password ou bien un certificat.
Le username/password est celui du domaine Windows
L’adresse MAC permet de placer la machine dans un VLAN
Pour se connecter au réseau sans-fil il faut posséder une adresse
MAC enregistrée et un compte Windows ou un certificat.
S.Bordères Séminaire
RAISIN - 17/02/2005

Solution adoptée
Les moyens
Protocole 802.1x
Protocole WPA
Serveur Radius
Des bornes wifi capables de gérer :
* Les vlans
* WPA
* radius
S.Bordères Séminaire
RAISIN - 17/02/2005

802.1x: Principe général
BUT: Offrir un mécanisme d’authentification des postes de travail
Initialement destiné au réseau filaire et étendu au réseau sans-fil
Principe:
Authentification d’un client sur un serveur d’authentification(radius)
au travers d’un équipement réseau (switch, AP).
L’équipement réseau reçoit du serveur l’autorisation de laisser
le passage à un client.
Le protocole utilisé est EAP (Extensible Authentification Protocol)
S.Bordères Séminaire
RAISIN - 17/02/2005

802.1x: Principe général
Serveur d’authentification
RADIUS
EAP over radius
Port controlé
Port non controlé
Authentificateur
(switch,AP)
Uniquement trafic
EAP over Lan
ou
EAP over Wireless
Poste client
S.Bordères Séminaire
RAISIN - 17/02/2005

802.1x: Principe général
Serveur d’authentification
RADIUS
Port controlé
Port non controlé
authentificateur
Uniquement trafic
EAP over Lan
ou
EAP over Wireless
Poste client
S.Bordères Séminaire
RAISIN - 17/02/2005

EAP: Extensible Authentication Protocol
EAP permet la négociation d’un protocole d’authentification
entre le client et un serveur radius
EAP-TLS
authentification mutuelle par certificat
EAP-TTLS
EAP-PEAP
Utilise un tunnel TLS
Authentification du serveur par certificat et du client
par login/mot de passe.
EAP n’est pas une méthode de cryptage des communications du client
mais fourni un mécanisme d’initialisation des clés de cryptage.
S.Bordères Séminaire
RAISIN - 17/02/2005

Le protocole WPA
WPA = TKIP+802.1x+MIC
TKIP est un mécanisme d’échange de clés dynamiques.
Tkip=Temporal key Integrity Protocol
Utilisation d’un cryptage RC4
(vecteur 48bits au lieu de 24bits avec wep)
MIC=mécanisme de contrôle d’intégrité
S.Bordères Séminaire
RAISIN - 17/02/2005

Le protocole WPA
Ne pas confondre
WPA-enterprise met en œuvre 802.1x
et
WPA-home qui met en œuvre des clés partagés (WPA-PSK)
S.Bordères Séminaire
RAISIN - 17/02/2005

Le protocole WPA
Evolution du niveau de sécurité
WPA2=802.11i
hardware
WPA
logiciels
WPA-PSK
WEP
S.Bordères Séminaire
RAISIN - 17/02/2005

Mise en œuvre des vlans sans-fil
La borne WIFI doit être capable de gérer les vlans
Elle est connectée sur un switch par un lien TRUNK
Chaque vlan correspond à un SSID (CISCO)
Ssid=informatique
Ssid=utilisateurs
Ssid vlan
informatique 10
utilisateurs 15
Trunk 802.1q
Routage/filtrage
Vlan 10
Vlan 15
S.Bordères Séminaire
RAISIN - 17/02/2005

Serveur radius
Trafic EAP
Serveur radius
users
passwd
domaine windows
Ou
Domaine NIS
Ou
serveur LDAP
Ou
Base SQL
….
S.Bordères Séminaire
RAISIN - 17/02/2005

Serveur radius
Les possibilités d’authentifications
Possibilité d’authentifier sur l’adresse MAC
La borne envoi au serveur radius l’adresse MAC du client
comme un username.
Le serveur radius valide (ou pas) cette adresse MAC comme un
utilisateur.
S.Bordères Séminaire
RAISIN - 17/02/2005

Serveur radius
Avantages
De multiples possibilités d’authentification
Traitement individuel d’un utilisateur ou d’une machine
(on peut mixer les méthodes d’authentification)
Gestion centralisée
Trace de toutes les connexions ou tentatives dans un log.
S.Bordères Séminaire
RAISIN - 17/02/2005

Serveur radius
Mise en oeuvre
Configuration du poste client
Configuration sur la borne
Configuration du serveur radius
S.Bordères Séminaire
RAISIN - 17/02/2005

Configurer le poste client
S.Bordères Séminaire
RAISIN - 17/02/2005

Configurer le poste client
Configuration PEAP
S.Bordères Séminaire
RAISIN - 17/02/2005

Configurer le poste client
Configuration TLS
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration de la borne
Définir le serveur radius
Définir chaque vlan et chaque SSID associé
Définir les caractéristiques de chaque SSID
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200)
Définir le serveur radius
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé
Le native Vlan est le vlan par lequel la borne communique avec
le reste du réseau pour ses propres besoins.
Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi:
interface FastEthernet0/2
switchport trunk native vlan 23
switchport mode trunk
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration de la borne (cisco aironet 1200)
Définir chaque vlan et chaque SSID associé
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration du serveur radius
(freeradius)
Définir quel matériel a le droit d’interroger le serveur radius
Définir comment le serveur Radius authentifie.
Définir la configuration EAP
Construire le fichier des utilisateurs
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration du serveur radius
Définir quel matériel a le droit
d’interroger le serveur radius
/etc/raddb/clients.conf
Ce fichier permet de définir les matériels qui ont le
droit de faire des requêtes au serveur Radius
client 10.50.0.4 {
secret = lesecret
Secret partagé avec les bornes
shortname = ap3
nastype = cisco
}
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration du serveur radius
Définir comment le serveur Radius authentifie.
Exemple d’authentification sur domaine Windows
Le serveur radius doit être inclus dans le domaine
winbind separator = %
Ceci nécessite un serveur samba avec une configuration minimale:
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
net rpc join -w MONDOMAINE -U administrateur
idmap uid = 10000-20000
(demande le mot de passe administrateur du domaine)
idmap gid = 10000-20000
net rpc testjoin (pour vérifier)
workgroup = DOMAIN
security = domain
password server = *
workgroup = MONDOMAINE
wins server = 10.50.0.12
/etc/raddb/radiusd.conf
mschap {
…..
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-User-
Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-
00}«
S.Bordères Séminaire
RAISIN - 17/02/2005
…….}

Configuration du serveur radius
Définir la configuration EAP
/etc/raddb/eap.conf
tls {
private_key_file = ${raddbdir}/certs/serveur-radius.key
certificate_file = ${raddbdir}/certs/serveur-radius.crt
CA_file = ${raddbdir}/certs/cert-cnrs.pem
……
}
peap {
….
default_eap_type=mschapv2
….
}
S.Bordères Séminaire
RAISIN - 17/02/2005

Configuration du serveur radius
Construire le fichier des utilisateurs
/etc/raddb/users
Ce fichier contient la liste des utilisateurs et/ou adresses mac
et la façon dont ils sont authentifiés.
Login Windows
dupont Auth-Type := EAP
000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"
Cisco-AVPair = "ssid=utilisateurs"
CN du certificat client
"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d
Cisco-AVPair = "ssid=utilisateurs"
S.Bordères Séminaire
RAISIN - 17/02/2005

Exemple d’utilisation
Un utilisateur veut se connecter sur le SSID « informatique »
La borne envoi au serveur radius une requête d’authentification
de l’adresse MAC.
Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant.
La borne relaie le trafic EAP du client et le serveur radius authentifie
la requête sur le domaine Windows
S.Bordères Séminaire
RAISIN - 17/02/2005

Problèmes
La carte sans-fil doit supporter WPA (enterprise)
L’utilitaire de configuration aussi.
Parfois des problèmes sous Windows 2000
(patches nécessaires, pas de zero config comme sous XP)
Exemple de cartes qui fonctionnent en WPA-enterprise
DELL 1450
INTEL 2200
INTEL 2100 (avec dernière mise à jour ..)
NETGEAR WG-511T (uniquement sous XP avec wireless zero config))
GIGABYTE GN-WBKG (sous XP, USB)
ASUS WL-100g
DLINK DWL-G650 serie AirPlus XtremeG.
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Comme pour le réseau filaire les visiteurs doivent être
identifiés pour se connecter sur le réseau sans-fil.
Problèmes:
Un visiteur n’a pas de compte dans le labo
On ne peut pas lui imposer une carte sans-fil particulière.
Solution possible:
Utiliser un portail captif
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif
Utilisateur du labo
Visiteur sans-fil
routeur
Portail captif
Vlan visiteurs
Vlan intermédiaire
Visiteur filaire
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif: Principes
La borne place le PC visiteur sur un vlan intermédiaire
Ce vlan est connecté sur le serveur du portail qui fait office
de routeur/filtrage entre ce vlan et le vlan utilisateur.
Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui
lui affecte une adresse IP.
Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte
la requête et le redirige automatiquement (https) vers une page d’un serveur web
qui va lui permettre de s’authentifier.
Une fois authentifié il peut traverser le portail vers d’autres réseaux.
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif
Il existe plusieurs logiciels de portail captif
Nocatauth
Chillispot
Au CENBG, chillispot a été choisi parce qu’il supporte radius.
C’est-à-dire que l’authentification sur le serveur web se fait par
interrogation d’un serveur radius.
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif
radius
Utilisateur du labo
DNS
Visiteur sans-fil
routeur
Portail captif
apache
https
Vlan visiteu
chilli
rs
Vlan intermédiaire
Visiteur filaire
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif: Avantages
L’authentification est sécurisée (HTTPS)
Grande souplesse d’adaptation:
choix d’une politique pour le login et le mot de passe.
Par exemple:
Le login est le nom du visiteur et le password un mot de passe général
Le login est l’adresse MAC et le password un mot de passe général
ou spécifique.
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif: Avantages
La page web permet de faire passer des informations
Par exemple: Les mentions légales
Le serveur du portail peut filtrer les communications
(netfilter)
Possibilité d’avoir des traces des connexions
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif
Utilisateur du labo
routeur
Portail captif
Visiteur sans-fil
Vlan visiteurs
802.1q
Trunk
Vlan intermédiaire
Visiteur filaire
S.Bordères Séminaire
RAISIN - 17/02/2005

Le cas des visiteurs
Le portail captif
Utilisateur du labo
Visiteur sans-fil
routeur
Portail captif
S.Bordères Séminaire
RAISIN - 17/02/2005

Linux et WPA et Radius
Problème de disponibilité des drivers WIFI
Problème de disponibilité des drivers WIFI…compatibles WPA
Solution: NDISWRAPPER
Utilitaire permettant d’installer les drivers WINDOWS sous Linux
http://sourceforge.net/projects/ndiswrapper/
S.Bordères Séminaire
RAISIN - 17/02/2005

Linux et WPA et Radius
Utilisation d’un supplicant WPA
WPA_SUPPLICANT
Permet de configurer un client Linux avec toutes
les formes de WPA, WPA2, EAP.
Contient un supplicant 802.1X
S.Bordères Séminaire
RAISIN - 17/02/2005

Références
http://2003.jres.org/actes/paper.143.pdf
http://www.sans.org/rr/whitepapers/authentication/123.php
http://www.pouf.org/documentation/securite/html/node1.html
http://www.teksell.com/whitepapers/cisco_wireless.pdf
http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf
http://www.freeradius.org
http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf
http://www.chillispot.org/
Livre: RADIUS, Jonathan Hassel, O’REILLY
S.Bordères Séminaire
RAISIN - 17/02/2005

Dispositif de la démonstration. Chillispot
Portail captif
Chillispot
serveur apache
serveur freeradius
Réseau IXL
S.Bordères Séminaire
RAISIN - 17/02/2005