Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail captif Clients Linux

Critères de choix d architecture Postulats Le C.E.N.B.G n est pas un hotspot Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les PC filaires L introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité déjà existants.

Critères de choix d architecture Place d un PC sans-fil dans le réseau Un même PC doit être vu sur le réseau de façon identique qu il utilise une connexion filaire ou sans-fils. Un PC connecté sur le réseau filaire dans le VLAN x doit être placé dans le même VLAN lorsqu il se connecte sur le réseau sans-fil Un visiteur doit se trouver dans le réseau visiteurs qu il se connecte par le réseau filaire ou sans-fil.

Critères de choix d architecture Place d un PC sans-fil dans le réseau Routage/filtrage Vlan1 Vlan2 PC connecté sur le réseau sans-fil Routage/filtrage Vlan3 Vlan1 Vlan2 PC connecté sur le réseau filaire Vlan3

Critères de choix d architecture Authentification Une authentification par clé partagée n est pas envisageable Clé WEP trop fragile. Clé WPA-PSK plus solide mais Trop difficile à gérer lorsque le nombre de postes est grand. Il suffit de connaître la clé pour se connecter au réseau sans-fils donc aucun contrôle sur les postes.

Critères de choix d architecture Authentification CENBG L authentification doit se faire sans ajouter un mot de passe supplémentaire pour l utilisateur.(il en a déjà suffisamment) C est plus la machine qu on cherche à authentifier que l utilisateur lui-même Mais l authentification par adresse MAC sur un réseau sans-fil n est pas suffisante.

Solution adoptée Choix pour l authentification Dans une première étape, identifier la machine par son adresse MAC et, dans une deuxième étape, consolider par une authentification par username/password ou bien un certificat. Le username/password est celui du domaine Windows L adresse MAC permet de placer la machine dans un VLAN Pour se connecter au réseau sans-fil il faut posséder une adresse MAC enregistrée et un compte Windows ou un certificat.

Solution adoptée Les moyens Protocole 802.1x Protocole WPA Serveur Radius Des bornes wifi capables de gérer : * Les vlans * WPA * radius

802.1x: Principe général BUT: Offrir un mécanisme d authentification des postes de travail Initialement destiné au réseau filaire et étendu au réseau sans-fil Principe: Authentification d un client sur un serveur d authentification(radius) au travers d un équipement réseau (switch, AP). L équipement réseau reçoit du serveur l autorisation de laisser le passage à un client. Le protocole utilisé est EAP (Extensible Authentification Protocol)

802.1x: Principe général Serveur d authentification RADIUS EAP over radius Port controlé Authentificateur (switch,ap) Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless Poste client

802.1x: Principe général Serveur d authentification RADIUS Port controlé authentificateur Port non controlé Uniquement trafic EAP over Lan ou EAP over Wireless Poste client

EAP: Extensible Authentication Protocol EAP permet la négociation d un protocole d authentification entre le client et un serveur radius EAP-TLS authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe. EAP n est pas une méthode de cryptage des communications du client mais fourni un mécanisme d initialisation des clés de cryptage.

Le protocole WPA WPA = TKIP+802.1x+MIC TKIP est un mécanisme d échange de clés dynamiques. Tkip=Temporal key Integrity Protocol Utilisation d un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep) MIC=mécanisme de contrôle d intégrité

Le protocole WPA Ne pas confondre WPA-enterprise met en œuvre 802.1x et WPA-home qui met en œuvre des clés partagés (WPA-PSK)

Le protocole WPA Evolution du niveau de sécurité WEP WPA-PSK WPA logiciels WPA2=802.11i hardware

Mise en œuvre des vlans sans-fil La borne WIFI doit être capable de gérer les vlans Elle est connectée sur un switch par un lien TRUNK Chaque vlan correspond à un SSID (CISCO) Ssid=informatique Ssid=utilisateurs Ssid vlan informatique 10 utilisateurs 15 Routage/filtrage Trunk 802.1q Vlan 10 Vlan 15

Serveur radius Trafic EAP Serveur radius users passwd domaine windows Ou Domaine NIS Ou serveur LDAP Ou Base SQL.

Serveur radius Les possibilités d authentifications Possibilité d authentifier sur l adresse MAC La borne envoi au serveur radius l adresse MAC du client comme un username. Le serveur radius valide (ou pas) cette adresse MAC comme un utilisateur.

Serveur radius Avantages De multiples possibilités d authentification Traitement individuel d un utilisateur ou d une machine (on peut mixer les méthodes d authentification) Gestion centralisée Trace de toutes les connexions ou tentatives dans un log.

Serveur radius Mise en oeuvre Configuration du poste client Configuration sur la borne Configuration du serveur radius

Configurer le poste client

Configurer le poste client Configuration PEAP

Configurer le poste client Configuration TLS

Configuration de la borne Définir le serveur radius Définir chaque vlan et chaque SSID associé Définir les caractéristiques de chaque SSID

Configuration de la borne (cisco aironet 1200) Définir le serveur radius

Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé Le native Vlan est le vlan par lequel la borne communique avec le reste du réseau pour ses propres besoins. Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi: interface FastEthernet0/2 switchport trunk native vlan 23 switchport mode trunk

Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé

Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé

Configuration de la borne (cisco aironet 1200) Définir chaque vlan et chaque SSID associé

Configuration du serveur radius (freeradius) Définir quel matériel a le droit d interroger le serveur radius Définir comment le serveur Radius authentifie. Définir la configuration EAP Construire le fichier des utilisateurs

Configuration du serveur radius Définir quel matériel a le droit d interroger le serveur radius /etc/raddb/clients.conf Ce fichier permet de définir les matériels qui ont le droit de faire des requêtes au serveur Radius client 10.50.0.4 { secret = lesecret shortname = ap3 nastype = cisco } Secret partagé avec les bornes

Configuration du serveur radius Définir comment le serveur Radius authentifie. Exemple d authentification sur domaine Windows Le serveur radius doit être inclus dans le domaine Ceci nécessite un serveur samba avec une configuration minimale: net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine) net rpc testjoin (pour vérifier) /etc/raddb/radiusd.conf mschap {.. winbind separator = % winbind cache time = 10 template shell = /bin/bash template homedir = /home/%d/%u idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = * workgroup = MONDOMAINE wins server = 10.50.0.12 ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=mondomaine --username=%{stripped-user- Name:-%{User-Name:-None}} --challenge=%{mschap:challenge:-00} --nt-response=%{mschap:nt-response:- 00}«.}

Configuration du serveur radius Définir la configuration EAP /etc/raddb/eap.conf tls { } private_key_file = ${raddbdir}/certs/serveur-radius.key certificate_file = ${raddbdir}/certs/serveur-radius.crt CA_file = ${raddbdir}/certs/cert-cnrs.pem peap {. default_eap_type=mschapv2. }

Configuration du serveur radius Construire le fichier des utilisateurs /etc/raddb/users Ce fichier contient la liste des utilisateurs et/ou adresses mac et la façon dont ils sont authentifiés. Login Windows dupont Auth-Type := EAP 000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d" Cisco-AVPair = "ssid=utilisateurs" CN du certificat client "Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs"

Exemple d utilisation Un utilisateur veut se connecter sur le SSID «informatique» La borne envoi au serveur radius une requête d authentification de l adresse MAC. Le serveur radius valide l adresse MAC est renvoi le SSID correspondant. La borne relaie le trafic EAP du client et le serveur radius authentifie la requête sur le domaine Windows

Problèmes La carte sans-fil doit supporter WPA (enterprise) L utilitaire de configuration aussi. Parfois des problèmes sous Windows 2000 (patches nécessaires, pas de zero config comme sous XP) Exemple de cartes qui fonctionnent en WPA-enterprise DELL 1450 INTEL 2200 INTEL 2100 (avec dernière mise à jour..) NETGEAR WG-511T (uniquement sous XP avec wireless zero config)) GIGABYTE GN-WBKG (sous XP, USB) ASUS WL-100g DLINK DWL-G650 serie AirPlus XtremeG.

Le cas des visiteurs Comme pour le réseau filaire les visiteurs doivent être identifiés pour se connecter sur le réseau sans-fil. Problèmes: Un visiteur n a pas de compte dans le labo On ne peut pas lui imposer une carte sans-fil particulière. Solution possible: Utiliser un portail captif

Le cas des visiteurs Le portail captif Utilisateur du labo routeur Portail captif Visiteur sans-fil Vlan visiteurs Vlan intermédiaire Visiteur filaire

Le cas des visiteurs Le portail captif: Principes La borne place le PC visiteur sur un vlan intermédiaire Ce vlan est connecté sur le serveur du portail qui fait office de routeur/filtrage entre ce vlan et le vlan utilisateur. Le PC visiteur envoi une requête DHCP qui est interceptée par le portail qui lui affecte une adresse IP. Lorsque le visiteur ouvre une page web (n importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d un serveur web qui va lui permettre de s authentifier. Une fois authentifié il peut traverser le portail vers d autres réseaux.

Le cas des visiteurs Le portail captif Il existe plusieurs logiciels de portail captif Nocatauth Chillispot Au CENBG, chillispot a été choisi parce qu il supporte radius. C est-à-dire que l authentification sur le serveur web se fait par interrogation d un serveur radius.

Le cas des visiteurs Le portail captif radius Utilisateur du labo DNS routeur Vlan visiteurs Portail captif apache chilli https Visiteur sans-fil Vlan intermédiaire Visiteur filaire

Le cas des visiteurs Le portail captif: Avantages L authentification est sécurisée (HTTPS) Grande souplesse d adaptation: choix d une politique pour le login et le mot de passe. Par exemple: Le login est le nom du visiteur et le password un mot de passe général Le login est l adresse MAC et le password un mot de passe général ou spécifique.

Le cas des visiteurs Le portail captif: Avantages La page web permet de faire passer des informations Par exemple: Les mentions légales Le serveur du portail peut filtrer les communications (netfilter) Possibilité d avoir des traces des connexions

Le cas des visiteurs Le portail captif Utilisateur du labo routeur Portail captif Visiteur sans-fil Vlan visiteurs Trunk 802.1q Vlan intermédiaire Visiteur filaire

Le cas des visiteurs Le portail captif Utilisateur du labo Visiteur sans-fil routeur Portail captif

Linux et WPA et Radius Problème de disponibilité des drivers WIFI Problème de disponibilité des drivers WIFI compatibles WPA Solution: NDISWRAPPER Utilitaire permettant d installer les drivers WINDOWS sous Linux http://sourceforge.net/projects/ndiswrapper/

Linux et WPA et Radius Utilisation d un supplicant WPA WPA_SUPPLICANT Permet de configurer un client Linux avec toutes les formes de WPA, WPA2, EAP. Contient un supplicant 802.1X

Références http://2003.jres.org/actes/paper.143.pdf http://www.sans.org/rr/whitepapers/authentication/123.php http://www.pouf.org/documentation/securite/html/node1.html http://www.teksell.com/whitepapers/cisco_wireless.pdf http://www.lmcp.jussieu.fr/~morris/802.1x/mobile.pdf http://www.freeradius.org http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf http://www.chillispot.org/ Livre: RADIUS, Jonathan Hassel, O REILLY

Dispositif de la démonstration. Chillispot Réseau IXL Portail captif Chillispot serveur apache serveur freeradius