Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS



Documents pareils
TD3 - Radius et IEEE 802.1x

! "# Exposé de «Nouvelles Technologies Réseaux»

Installation du point d'accès Wi-Fi au réseau

Internet. Licence Pro R&S. TD 5 - Wifi / Radius. 1 Sur le réseau de distribution (DS) 1.1 Configuration des routeurs PC6

Le protocole RADIUS Remote Authentication Dial-In User Service

CRI-IUT Serveur d'authentification pour la sécurité des réseaux Wi-Fi

AUTHENTIFICATION x FREERADIUS. Objectifs

Réseaux Locaux Virtuels

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Configuration du matériel Cisco. Florian Duraffourg

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Authentification réseau

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Sécurité des réseaux sans fil

1. Présentation de WPA et 802.1X

Sommaire. III : Mise en place :... 7

VPN et tunnel au niveau de la couche 2

Installation d'un serveur RADIUS

Intégration de RADIUS dans un réseau VOIP avec ASTERISK. Table des matières

eduroam Journées Marwan juin 2007 Vincent CARPIER Comité Réseau des Universités Merci à Rok Papez d'arnes pour la partie eduroam in a box

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Cisco Network Admission Control

Introduction au Wi-Fi sécurisé

Exemple de configuration ZyWALL USG

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Table des matières Nouveau Plan d adressage... 3

Étude d une solution Radius

INDUSTRIALISATION «802.1X» CONFIG : 802.1X PEAP MSCHAPV2

WIFI sécurisé en entreprise (sur un Active Directory 2008)

La technologie de contrôle d accès réseau 802.1x et son implémentation pratique

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

Sécurité des réseaux wi fi

VOIP : Un exemple en Afrique

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Les réseaux /24 et x0.0/29 sont considérés comme publics

Protocoles d'authentification réseau. Sans-fil et filaire

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Projet n 10 : Portail captif wifi

7.1.2 Normes des réseaux locaux sans fil

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

How To? Sécurité des réseaux sans fils

Administration de Réseaux d Entreprises

Mettre en place un accès sécurisé à travers Internet

Charte d installation des réseaux sans-fils à l INSA de Lyon

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Authentification. réseau Radius. avec x EAP FreeRadius. Authentification Radius

Configuration de l'accès distant

Protocole AAA Principes et implantations

Monitoring, Accounting. ( Traçabilité ).

Présentation et portée du cours : CCNA Exploration v4.0

Authentification hybride SALAH KHMIRI (RT3) AMAMOU NESRINE (RT3) JOUA RIADH (GL4) BOUTARAA AMIRA (RT3) SAMALI HADHEMI (RT3)

IV. La sécurité du sans-fil

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Le produit WG-1000 Wireless Gateway

Gestion des identités Christian-Pierre Belin

Mise en place de la Téléphonie sur IP au U6

Configuration des VLAN

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

Licence professionnelle Réseaux et Sécurité Projets tutorés

WiFI Sécurité et nouvelles normes

TP 6 : Wifi Sécurité

Pare-feu VPN sans fil N Cisco RV120W

Présentation et portée du cours : CCNA Exploration v4.0

Contrôle d accès Centralisé Multi-sites

comment paramétrer une connexion ADSL sur un modemrouteur

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

WIFI (WIreless FIdelity)

Administration du WG302 en SSH par Magicsam

CONVENTION d adhésion au service. EDUROAM de Belnet

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

DMZ... as Architecture des Systèmes d Information

VTP. LAN Switching and Wireless Chapitre 4

Manuel d installation UCOPIA Advance

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

freeradius Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron, Wifirst, 7 janvier 2011

Parcours en deuxième année

Tour d horizon des différents SSO disponibles

La qualité de service (QoS)

Réseaux AirPort Apple

InstallatIon et configuration d une Infrastructure réseau sans-fil. Avec. Interface de gestion utilisateurs

Guide Share France. Web Single Sign On. Panorama des solutions SSO

L'authentification avec 802.1x

Kerberos en environnement ISP UNIX/Win2K/Cisco

Département Réseaux et Télécoms

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Licence professionnelle Réseaux et Sécurité Projets tutorés

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Documentation : Réseau

Cisco Certified Network Associate

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

INTRUSION SUR INTERNET

Transcription:

2ème année 2008-2009 Le protocole RADIUS Décembre 2008 Objectifs Objectifs : Le but de cette séance est de montrer comment un protocole d authentification peut être utilisé afin de permettre ou interdire à un utilisateur l accès à un réseau, que ce soit un réseau local, type Ethernet, ou un réseau d accès à un fournisseur Le protocole RADIUS (Remote Authentication Dial-In User Service est un protocole d AAA (Authentication, Authorization and Accounting : identification, autorisation et comptabilité) La figure 1 montre l utilisation du protocole RADIUS Ethernet (identification par 8021X) NAS Ethernet Switch RADIUS RADIUS LDAP SQL PPP (identification par PAP) NAS FIG 1 Utilisation du protocole RADIUS Le protocole RADIUS est utilisé entre un client appelé authenticator et un serveur Le client est par exemple un NAS (Network Access Server : un serveur d accès au réseau) qui doit identifier une entité (appelé supplicant désirant accéder au réseau Les mécanismes d identification mis en place entre cette entité et le NAS dépendent des protocoles par lesquels ils communiquent, comme nous allons le voir Le protocole RADIUS permet donc un accès uniforme à un serveur d AAA Comme l illustre la figure 1, les informations permettant l identification pourront à leur tour être stockées sur des serveurs de natures diverses accédés par des protocoles spécifiques Une séquence d identification pourra donc se dérouler de la façon suivante 1 Le NAS découvre la présence d un client à identifier afin de lui autoriser, ou non, l accès au réseau 2 Le NAS demande au client de s identifier Le protocole RADIUS 1

3 Le client fournit son identifiant au NAS 4 Le NAS interroge le serveur d AAA au travers du protocole RADIUS afin d identifier (ou autoriser, ou comptabiliser) le client 5 Le serveur RADIUS consulte la base de données hébergeant ces informations, par exemple au travers du protocole d annuaire LDAP 6 Le NAS peut alors authentifier le client grâce à la réponse obtenue du serveur RADIUS Nous utiliserons ici RADIUS à des fins d identification dans deux contextes différents l utilisation d un réseau local au travers d un équipement de niveau deux (un commutateur Ethernet) ; l accès à un réseau de FAI (ou d entreprise) au travers du protocole PPP Avant de procéder à chacune de ces deux manipulations, nous devrons mettre en place leur dénominateur commun : un serveur RADIUS 1 Mise en place d un serveur RADIUS Dans les deux cas, nous utiliserons un serveur RADIUS disponible sur le système Linux, nommé FreeRadius Le serveur FreeRadius est configuré par un ensemble de fichiers situés dans le répertoire /etc/- freeradius Le fichier de configuration principal est le fichier radiusdconf C est ce fichier qui définit les différents types d authentification, et les paramètres associés à chacun d entre eux Certains type d authentification peuvent utiliser des sources distantes au travers d autres protocoles tels que LDAP Le fichier users permet de définir localement des utilisateurs ainsi que les méthodes d identification qui leur est appliquée C est ici la base que nous utiliserons à des fins de simplification Le fichier clientsconf permet quant à lui de décrire les clients (les NAS) susceptibles de communiquer avec le serveur Chaque méthode d identification pouvant être utilisée entre le NAS et le serveur RADIUS sera à son tour définie dans un fichier spécifique, tel que eapconf pour le protcole EAP Nous utiliserons justement ici un EAP-MD5 pour l identification sur un réseau local En se fondant sur une identification simple, on aura par exemple les lignes suivantes dans le fichier users lan ppp Auth-Type :=EAP, User-Password == "lan308&9" Reply-Message = "Hello, %u" Auth-Type :=Local, User-Password == "ppp308&9" Reply-Message = "Hello, %u" Voici enfin comment un client tel que le commutateur Cisco pourra être configuré dans le clientsconf client 1921681988 { secret = cisco shortname = switch } Le protocole RADIUS 2

11 Configuration des clients Les clients RADIUS sont configurés par des fichiers situés dans le répertoire /etc/radiusclient et nommé par exemple radiusclientconf qui contient en particulier une ou plusieurs lignes de la forme authserver nomduserveur et acctserver nomduserveur Le fichier servers contient quant à lui des couples : serveur clef-partagée permettant aux clients de s identifier auprès des serveurs Nous n utiliserons pas de client RADIUS lors de cette séance, aussi cette configuration est ici inutile Elle serait nécessaire pour une utilisation de RADIUS dans le cadre de PPP ou de l authentifcation PAM sur le poste Linux Exercice 1 : Mise en place d un serveur RADIUS Configurez un serveur RADIUS de sorte à permettre l authentification de deux clients, nommés PPP et LAN, par exemple On utilisera des fichiers locaux au serveur pour stocker les informations sur les clients 2 Identification pour l accès à un LAN Le protocole RADIUS peut donc également être utilisé afin de contrôler l accès à un réseau local, qu il soit sans fil ou de type Ethernet La norme 8021X décrit les mécanismes d identification permettant l acceptation ou le refus d un client (supplicant) par un élément de réseau (commutateur Ethernet, point d accès Wifi, ) Ce dernier utilisera le protocole RADIUS pour réaliser effectivement cette identification Il devra donc être en mesure de contacter un serveur RADIUS La configuration d un commutateur Cisco en temps que client RADIUS se fait de la façon suivante cisco# aaa new-model cisco# aaa authentication dot1x default group radius cisco# aaa authentication login default line pour un login/mdp local en telnet) cisco# aaa authentication enable default enable pour un enable/mdp local) cisco# radius-server host 192168198X port 1812 1813 ports auth acc sur 3750) cisco# radius server key <le-secret> cisco# dot1x system-auth-control (sur le 3750 uniquement) cisco# ctrl z La configuration de chaque port pourra alors se faire de la façon suivante Le protocole RADIUS 3

cisco# int FastEthernet0/X cisco# switchport mode access cisco# dot1x port-control auto cisco# ctrl Z On pourra observer la configuration à l aide des deux commandes suivantes cisco# show radius cisco# show dot1x Exercice 2 : Configuration d un commutateur Ethernet Configurez le commutateur Ethernet de sorte à conditionner l utilisation de certains ports à une identification préalable par EAP Vérifiez en essayant d utiliser ce port grâce à un poste non authentifié Le dialogue entre le supplicant et le point d accès se fait au travers du protocole EAP (Enhanced Authentication Protocol) Un client EAP sur poste Linux est wpa supplicant On le lancera par exemple de la façon suivante # wpa supplicant -c/etc/wpa suppplicantconf -Dwired -ieth1 -d Ce démon est donc configuré ici par le fichier /etc/wpa suppplicantconf On y configurera par exemple le type et la méthode d authentification Un exemple de fichier de configuration vous est fourni dans /home/admin Exercice 3 : Accès authentifié à un LAN Configurez un poste de sorte à lui permettre de s identifier auprès du commutateur Ethernet Exercice 4 : Observation des échanges Utilisez ethereal pour observer les échanges sur les différents liens et mettre ainsi en évidence les différentes étapes 21 Ajout d informations Il est également possible d ajouter des informations complémentaires dans les dialogues RA- DIUS Voyons par exemple comment le VLAN dans lequel une machine doit être placé peut être acheminé dans un message RADIUS Le serveur RADIUS doit bien entendu être modifié en ce sens Pour cela, le fichier users doit conenir les lignes suivantes Tunnel-Type = VLAN Tunnel-Medium-Type = IEEE-802 Tunnel-Private-Group-ID = 4832 Le switch Ethernet doit, lui aussi, être configuré de sorte à utiliser cette information : Le protocole RADIUS 4

cisco# aaa authorization network default group radius Le configuration de chaque port est inchangée par rapport à une autorisation simple, c està-dire sans configuration du numéro de VLAN Exercice 5 : Ajout du numéro de VLAN Configurez vos équipements de sorte à ce que le numéro de VLAN soit fourni par RADIUS Vérifiez le fonctionnement et observez le trafic engendré Le protocole RADIUS 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back