Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X Windows XP service Pack2 Windows VISTA Windows 7 Mac OS X Linux Université de Franche Comté CRI Septembre 2009 Guide de configuration pour accès aux réseaux sans fils sécurisés 1

Sommaire Sommaire...2 Introduction...3 Téléchargement et installation du logiciel client SecureW2...3 Windows XP Service Pack2...4 Activation de la carte sans fil...4 Configuration de la connexion...5 Propriétés de connexion réseau sans fil...6 Propriétés du réseau sans fil...7 Configuration de SecureW2...9 Configuration d'internet Explorer...15 Configuration de Firefox...16 Se déconnecter correctement...17 Windows VISTA...19 Activation de la carte sans fil...19 Activation du service sans fil...21 Configuration de la connexion...22 Configuration de Secure W2...26 Pour retrouver rapidement tous les réseaux sans fil et se connecter...30 Configuration d'internet Explorer...33 Configuration de Firefox...35 Se déconnecter correctement...38 Mac OS X...40 Configuration de la connexion sans fil...40 Configuration du navigateur...40 LINUX...41 Installation de wicd...41 Découverte des réseaux sans fil...42 Connexion à un réseau sans fil sécurisé...43 Guide de configuration pour accès aux réseaux sans fils sécurisés 2

Introduction Ce guide s'adresse aux étudiants et personnels de l'université de Franche-Comté souhaitant se connecter aux réseaux sans fil de l'université au moyen d'une connexion sécurisée grâce au standard 802.1X et au WPA/TKIP. Le 802.1X est une solution de sécurisation, permettant d'authentifier (identifier) un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification. 802.1X repose sur le protocole EAP (Extensible Atuthentication Protocol) dont le rôle est de transporter les informations d'identification des utilisateurs. WPA (Wifi Protected Access) repose sur des protocoles d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity Protocol) Pour pouvoir vous identifier, vous aurez besoin de vos identifiants LDAP. Que vous soyez etudiants ou personnels, vous devez avoir activé votre entrée dans l'annuaire LDAP de l'université pour pouvoir vous connecter aux réseaux sans fil de l'université. Pour les étudiants, la procédure d'activation est disponible sur : http://web-edu.univ-fcomte.fr Pour les personnels, la procédure d'activation est disponible sur : http://annuaire.univ-fcomte.fr/activationmail/demactivermail.php Téléchargement et installation du logiciel client SecureW2 Vous trouverez le logiciel à l'adresse suivante : https://wifi.univ-fcomte.fr Décompresser l'archive, puis double cliquer sur l'icône du fichier exécutable et suivre les instructions à l'écran. Attention, vous devez disposer des droits administrateur pour pouvoir installer correctement l'application.

Windows XP Service Pack2 Activation de la carte sans fil Si ce n'est pas encore fait, activez la connexion sans fil. Sélectionnez le Panneau de configuration dans le menu démarrer de Windows. Double-cliquez sur l'icône Connexions réseaux, puis faites un clic droit sur l'icône Connexion réseau sans fil et sélectionnez Activer. L'icône Connexion réseau sans fil apparaît alors dans la zone de notification de la barre des tâches avec

l'état non connecté. Faites un clic droit sur l'icône de connexion au réseau sans fil et sélectionnez Afficher les réseaux sans fil disponibles. Configuration de la connexion L'ensemble des réseaux sans fil diffusés par l'ufc apparaît dans la zone Choisir un réseau sans fil. Si vous êtes étudiants, choisissez le réseau ufc-edu-secu. Si vous faites partie du personnel, choisissez le réseau ufc-personnels-secu. Sélectionnez le réseau correspondant à votre communauté et cliquez sur «Modifier les paramètres avancés» dans la section «Tâches apparentées».

Propriétés de connexion réseau sans fil Cliquez sur l'onglet «Configuration réseaux sans fil». Cochez la case intitulée : «Utiliser Windows pour configurer mon réseau sans-fil». Dans la section Réseaux Favoris, cliquez sur Ajouter.

Propriétés du réseau sans fil Onglet Association Champ Nom réseau (SSID), entrez le nom du réseau auquel vous souhaitez vous connecter (ufc-edu-secu pour les étudiants, ufc-personnels-secu pour les personnels universitaires). Dans le menu déroulant du champ «Authentification réseau», sélectionnez WPA. Dans le menu déroulant du champ «Cryptage des données», sélectionnez TKIP. Cliquez sur l'onglet Authentification.

Onglet Authentication Dans le menu déroulant du champ Type EAP, choisissez SecureW2, puis cliquez sur Propriétés pour configurer le client 802.1X Secure W2. NB : la case «Activer l'authentification IEEE 802.1X pour ce réseau» doit être cochée.

Configuration de SecureW2 Utilisez le profil DEFAULT ou créer un nouveau profil en cliquant sur bouton NEW et renseignez alors le champ Profile ID avec le non du profil à configurer (nom du SSID par exemple), validez en cliquant sur OK. Cliquez sur le bouton Configure.

Onglet connexion : Assurez vous que la case «Use alternate outer identity» est cochée. Cochez l'option «Specify outer identity» et renseignez le champ avec votre login LDAP. Cochez également la case «Enable session resumption (quick connect)».

Onglet certificates : Décochez «Verify server certificates» et cliquez sur l'onglet «Authentication».

Onglet Authentication : Dans le menu déroulant «Select Authentication Method», sélectionnez PAP. Cliquez sur l'onglet «User account».

Onglet User Account : Cochez la case «Prompt user for credentials». Ainsi, au moment de la connexion, une fenêtre pop-up vous invitera à entrer votre login et votre mot de passe. Validez l'ensemble de la configuration en cliquant sur le bouton OK. De retour à la fenêtre SecureW2 Profile, validez en cliquant sur le bouton OK.

Onglet connexion de la fenêtre «Propriétés du réseau sans fil» Cochez la case «Me connecter à ce réseau lorsqu'il est à portée». Validez en cliquant sur le bouton OK. Faites de même pour la fenêtre Propriétés de connexion sans fil. Si vous vous trouvez à proximité d'un point d'accès diffusant le réseau sans fil 802.1X Etudiants ou Personnels, la connexion s'initialisera automatiquement. Vous serez alors invité à vous authentifier au moyen de vos identifiants LDAP.

Configuration d'internet Explorer Les réseaux sans fil de l'université sont des réseaux en classe privée ( adresse du type 172.20.xxx.xxx). Les adresses privées ne peuvent pas sortir directement sur Internet, il est donc nécessaire de paramétrer la connexion réseau pour que celle-ci intègre la prise en charge du serveur proxy de l'université. Pour accéder aux Options Internet, cliquez su Démarrer > Panneau de Configuration > Options Internet. Dans la fenêtre «Propriétés Internet», cliquez sur l'onglet Connexions, puis sur le bouton Paramètres réseau. Dans la fenêtre Paramètres du réseau local, section configuration automatique, cochez la case Utiliser un script de configuration automatique et renseignez le champ adresse avec l'adresse suivante : http://wifi.univ-fcomte.fr/pac/proxy.pac

Configuration de Firefox Pour modifier les paramètres de connexion de Firefox, lancez le navigateur, puis sélectionnez Outils > Options. Dans la fenêtre Options, cliquez sur le bouton Général. Cliquez ensuite sur le bouton Paramètres de connexions de la section Connexion. Dans la fenêtre Paramètres de connexion, cochez Adresse de configuration automatique proxy et renseignez le champ avec l'adresse suivante : http://wifi.univ-fcomte.fr/pac/proxy.pac Validez successivement les écrans par OK.

Se déconnecter correctement Dans la barre de notification des tâches, repérez l'icône Réseaux Effectuez un clic droit sur l'icône Réseaux

La fenêtre de Connexion des réseaux sans fil s'ouvre. Sélectionnez le réseau auquel vous êtes connecté et cliquez sur le bouton Déconnecter. Confirmez votre choix en cliquant sur le bouton Oui.

Windows VISTA / Windows 7 Activation de la carte sans fil Par défaut, votre carte WiFi est activée. Voici cependant la marche à suivre pour l'activer. Sélectionnez le Panneau de configuration dans le menu démarrer de Windows. Cliquez sur Réseau et Internet

Cliquez sur Centre Réseau et partage Dans le menu à gauche de la fenêtre Centre Réseau et partage, cliquez sur le lien Gérer les connexions réseau ou Modifier les paramètres de la carte pour Windows 7.

Effectuez un clic droit sur l'icône Connexion réseau sans fil et choisir Activer. Activation du service sans fil Selon les modèles d'ordinateurs portables, pour activer la fonction sans fil, il faut : actionner le bouton sur le devant ou sur le côté de l'ordinateur ou presser une combinaison de touches, Fn+F2 est la combinaison par défaut. Cependant, sur certains ordinateurs, cette combinaison ne fonctionne pas, recherchez alors le sigle wifi sur une de vos touches et pressez Fn + la touche qui possède le sigle wifi.

Configuration de la connexion Sélectionnez le Panneau de configuration dans le menu démarrer de Windows. Cliquez sur Réseau et Internet

Cliquez sur Centre Réseau et partage Dans le menu à gauche de la fenêtre Centre Réseau et partage, cliquez sur le lien Gérer les réseaux sans fil

Cliquez sur le bouton Ajouter pour ajouter un nouveau réseau sans fil et choisir Créer un profil réseau manuellement. Entrez les informations relatives au réseau Pour le Nom réseau, écrire : ufc-edu-secu si vous êtes étudiants ufc-personnels-secu si vous faites partie du personnel Pour le Type de sécurité, choisir WPA Entreprise dans la liste déroulante Pour le Type de chiffrement, choisir TKIP.

Dans la fenêtre vous avisant que le réseau a été correctement ajouté, cliquez sur Modifier les paramètres de connexion Cliquer sur l'onglet Sécurité

Dans la section Choisissez une méthode d'authentification réseau, choisissez SecureW2 TTLS dans la liste déroulante. Cette option apparaît car vous avez précédemment installé cet utilitaire comme indiqué au début de ce document. Dans la section Choisissez une méthode d'authentification réseau, cliquez sur le bouton Paramètres... Configuration de Secure W2 L'utilitaire Secure W2 s'ouvre, nous allons procéder à sa configuration.

Utilisez le profil DEFAULT ou créer un nouveau profil en cliquant sur bouton NEW et renseignez alors le champ Profile ID avec le non du profil à configurer (nom du SSID par exemple), validez en cliquant sur OK. Cliquez sur le bouton Configure. Onglet connexion : Assurez vous que la case Use alternate outer identity est cochée. Cochez l'option Specify outer identity et renseignez le champ avec votre login LDAP.

Onglet certificates : Décochez Verify server certificate et cliquez sur l'onglet Authentication. Onglet Authentication : Dans le menu déroulant Select Authentication Method, sélectionnez PAP. Cliquez sur l'onglet User account.

Onglet User Account : Cochez la case Prompt user for credentials. Ainsi, au moment de la connexion, une fenêtre pop-up vous invitera à entrer votre login et votre mot de passe. Validez l'ensemble de la configuration en cliquant sur le bouton OK. De retour à la fenêtre SecureW2 Profile, validez en cliquant sur le bouton OK.

Pour retrouver rapidement tous les réseaux sans fil et se connecter Dans la la zone de notification de la barre des tâches, cliquez sur l'icône représentant les réseaux sans fil et choisissez le lien interactif Connexion à un réseau Sélectionnez le réseau sans fil auquel vous voulez vous connecter et cliquez sur le bouton Connexion.

Cliquez sur Entrer ou sélectionner d'autres informations d'ouverture de session

Renseignez la fenêtre du logiciel SecureW2 avec votre login et votre mot de passe LDAP. Validez avec le bouton OK.

Après quelques instants, vous obtiendrez une fenêtre vous avertissant que la connexion est réussie. Vous pouvez fermer la fenêtre à l'aide du bouton Fermer et ouvrir votre navigateur web.

Configuration d'internet Explorer Les réseaux sans fil de l'université sont des réseaux en classe privée ( adresse du type 172.20.xxx.xxx). Les adresses privées ne peuvent pas sortir directement sur Internet, il est donc nécessaire de paramétrer la connexion réseau pour que celle-ci intègre la prise en charge du serveur proxy de l'université. Pour modifier les paramètres de connexion d'internat Explorer, lancez le navigateur, puis sélectionnez Outils > Options. Dans la fenêtre Options, cliquez sur l'onglet Connexions puis sur le bouton Paramètres réseau.

Dans la fenêtre Paramètres du réseau local, section configuration automatique, cochez la case Utiliser un script de configuration automatique et renseignez le champ Adresse avec l'adresse suivante : http://wifi.univ-fcomte.fr/pac/proxy.pac

Configuration de Firefox Pour modifier les paramètres de connexion de Firefox, lancez le navigateur, puis sélectionnez Outils > Options. Dans la fenêtre Options, cliquez sur le bouton Avancé. Cliquez ensuite sur l'onglet Réseau.

Dans la section Connexion, cliquez sur le bouton Paramètres...

Dans la fenêtre Paramètres de connexion, cochez Adresse de configuration automatique proxy et renseignez le champ avec l'adresse suivante : http://wifi.univ-fcomte.fr/pac/proxy.pac Validez successivement les écrans par OK.

Se déconnecter correctement Effectuez un clic sur l'icône Réseaux dans la zone de notification de la barre des tâches et cliquez sur le lien Se connecter ou se déconnecter... Choisissez le réseau sur lequel vous êtes connecté et cliquez sur le bouton Déconnecter.

Vous pouvez fermer la fenêtre vous avertissant que vous êtes déconnecté.

Mac OS X Configuration de la connexion sans fil Dans la barre des tâches, cliquez sur l'icône AirPort, puis cliquez sur autre. La fenêtre réseau s'ouvre. Champ Nom du Réseau : entrer le nom du réseau sans fil auquel vous souhaitez vous connecter. Dans le menu Sécurité sans fil,sélectionner WPA Entreprise. Dans le menu Configuration 802.1X, sélectionnez TTLS-PAP. Renseigner les champs nom d'utilisateur et mot de passe avec vos identifianfs LDAP. Si la fenêtre Vérifier le certificat s'ouvre : cliquez sur client certificates, dans la section CLIENT CERTIFICATE, menu Lors de l'utilisation de ce certificat sélectionner toujours approuver. Configuration du navigateur Les navigateurs Safari et IE:mac ne prenant pas en charge la configuration automatique du proxy par script de configuration automatique nous vous recommandons d'utiliser Mozilla Lancez le navigateur et naviguez dans le menu préférences de celui-ci pour configurer le proxy. Cliquez sur le menu Mozilla puis sélectionnez Préférences. Dans la fenêtre préférences, sélectionnez Advanced > Proxy. Cochez la case «Automatic proxy configuration URL» et entrez l'adresse suivante : http://wifi.univfcomte.fr/pac/proxy.pac Validez en cliquant sur le bouton OK.

LINUX L'accès aux réseaux WiFi a été testé sur les distributions KUbuntu Jaunty, Debian Lenny et Fedora 11. La solution que nous proposons pour une connexion aux réseaux sans fil de l'université est une solution parmi d'autres, elle est basée sur wpa-supplicant et Wicd. Le client 802.1x pour Linux, wpa-supplicant, est déjà installé sur les distributions récentes et nous n'avons pas à le configurer. Par contre, l'utilitaire de gestion des réseaux «network manager», installé par défaut dans la plupart des distributions, peinant à obtenir une adresse IP sur de nombreux réseaux sans fil, nous avons opté pour un autre utilitaire de gestion de réseaux filaires 1 et sans-fil : Wicd. Avec Wicd, il est facile d'accéder aux réseaux sans fil et son interface est très simple. Néanmoins, il présente deux inconvénients majeurs : pour les réseaux sans fil sécurisés, votre login et votre mot de passe sont visibles en clair d'un simple clic dans l'interface graphique. Par conséquent, si la machine n'est pas à votre usage unique, vous devez supprimer vos traces en entrant un login et un mot de passe factices pour tous les réseaux que vous avez paramétrés. Le deuxième inconvénient apparaît lorsque l'on se connecte successivement à de multiples réseaux sans fil comme on peut le faire pour des tests (ufc-vpn -> ufc-personnels-secu -> eduroam -> ufcpersonnels). Ces changements de réseaux avec des méthodes de chiffrement différente finissent par provoquer une erreur de Wicd : «Aucun L'installation de ce nouvel utilitaire va supprimer théoriquement network-manager et network-managergnome. Installation de wicd Pour pouvoir installer Wicd il faut ajouter le dépôt suivant (dans le fichier /etc/apt/sources.list) : pour jaunty : deb http://apt.wicd.net jaunty extras pour lenny : deb http://www.backports.org/debian lenny-backports main contrib non-free Maintenant, on recharge les dépôts. apt-get update Pour finir, on installe Wicd : apt-get insta ll wicd Afin de ne pas laisser de paquets inutiles sur le système, nous allons supprimer Network Manager. apt-get remove --purge network-manager network-manager-gnome pour Fedora 11 : ajouter le dépôt dans le répertoire /etc/yum.repos.d/ en créant un fichier fedora-wicd.repo contenant [system_wicd] name=wicd (Fedora_11) type=rpm md baseurl=http://download.opensuse.org/repositories/system:/wicd/fedora_11/ 1Pour gérer votre connexion filaire (par câble Ethernet), il faut cocher l'option «Always show wired interface» donc en français «Toujours afficher la connexion filaire» dans le menu Préférences de Wicd puis validez. La connexion filaire apparaît, donnez-lui un nom et cliquez sur Ajouter. Enfin sous Propriétés ne cochez rien si votre connexion filaire fonctionne en DHCP, sinon remplissez les champs IP, masque réseau, passerelle, DNS...

gpgcheck=1 gpgkey=http://download.opensuse.org/repositories/system:/wicd/fedora_11/repodata/repomd.xml.key enabled=1 Puis on installe Wicd : yum install wicd Pour cette distribution, Fedora 11, vous pouvez avoir ce message d'erreur concernant Wicd au démarrage de la machine Could not connect to wicd's D-Bus interface. messages. Check the wicd log for error Pour résoudre le problème, il faut désactiver le script traditionnel de démarrage des services réseaux et activer le script de wicd au démarrage de la machine. chkconfig network off chkconfig wicd on Découverte des réseaux sans fil Vérifier auparavant que le service des réseaux sans fils est bien activé sur votre ordinateur. Ouvrir l'utilitaire wicd Applications->Internet->(Wicd) Network Manager. Après quelques secondes, les réseaux découverts par l'utilitaire s'affichent. Pour les réseaux universitaires sécurisés (ufc-edu-secu, ufc-personnels-secu, ufc-eduroam), il est nécessaire de préciser à wicd le système de chiffrement et la méthode d'authentification. Malheureusement, le système de chiffrement/authentification implémentée à l'université ne se trouve pas, par défaut, dans l'utilitaire. Ajout du système de chiffrement Copier le script ci-dessous dans un fichier que vous appellerez «eap-ttls-pap» et que vous enregistrez dans /etc/wicd/encryption/templates name = EAP TTLS PAP author = UFC CRI version = 1 require identity *Identity private_key_passwd *Private_key_passwd ctrl_interface=/var/run/wpa_supplicant network={ ssid="$_essid" scan_ssid=$_scan proto=wpa WPA2 key_mgmt=wpa EAP group=tkip eap=ttls phase2="auth=pap" identity="$_identity" password="$_private_key_passwd" } Éditer le fichier /etc/wicd/encryption/templates/active et ajouter le nom du fichier nouvellement créé «eapttls-pap».

Redémarrer le démon wicd /etc/init.d/wicd restart. Auparavant, vérifier que l'utilitaire est bien fermé. De retour dans l'utilitaire wicd, cliquer sur le bouton Propriétés ou Paramètres avancés du réseau sécurisé à configurer. Dans la liste déroulante des chiffrements, vous trouverez maintenant le chiffrement EAP-TTLSPAP. Le sélectionner, entrer vos login et mot de passe et valider. Si vous êtes étudiants, choisissez ufc-edu-secu. Si vous faites partie du personnel, choisissez ufc-personnels-secu. Connexion à un réseau sans fil sécurisé Sélectionnez le réseau correspondant à votre communauté et cliquez sur le bouton Connecter. La phase d'attribution d'une adresse IP suit la phase d'authentification. Une fois l'adresse obtenue, vous pouvez utiliser le réseau sans fil.