L AUTHENTIFICATION 802.1X DANS LES BRIDGES ET POINTS D ACCES ACKSYS

Documents pareils
Partie N 1 pour Windows VISTA

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

1. Présentation de WPA et 802.1X

Présenté par : Ould Mohamed Lamine Ousmane Diouf

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

Le protocole RADIUS Remote Authentication Dial-In User Service

7.1.2 Normes des réseaux locaux sans fil

How To? Sécurité des réseaux sans fils

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

! "# Exposé de «Nouvelles Technologies Réseaux»

Sommaire. III : Mise en place :... 7

Network WPA. Projecteur portable NEC NP905/NP901W Guide de configuration. Security WPA. Méthode d authentification supportée

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Configuration Wi-Fi pour l'utilisation d'eduroam

WiFI Sécurité et nouvelles normes

TP 6 : Wifi Sécurité

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Introduction au Wi-Fi sécurisé

Réplication de données de classe entreprise pour environnements distribués et reprise sur sinistre

Sécurisation du réseau

LES NOTES D PROCEDURE DE CONNEXION WIFI AU CAMPUS. Ce document décrit la procédure à suivre pour se connecter en WIFI au campus.

Sécurité des réseaux sans fil

IV. La sécurité du sans-fil

Charte d installation des réseaux sans-fils à l INSA de Lyon

Manuel d installation de Business Objects Web Intelligence Rich Client.

Le rôle Serveur NPS et Protection d accès réseau

IPS-Firewalls NETASQ SPNEGO

Configurez votre Neufbox Evolution

EXEMPLES DE PROCEDURE POUR METTRE A JOUR LES CERTIFICATS BANQUE _

Configuration du WiFi à l'ensmm

Sécurité des réseaux wi fi

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Mettre en place un accès sécurisé à travers Internet

Procédures d accès au nouveau réseau sans fil à l aide d un portable (Windows XP) géré par la DGTIC

MONNIER Marie /2009 WPA

Partie II PRATIQUE DES CPL

Contrôle d accès Centralisé Multi-sites

Comprendre le Wi Fi. Patrick VINCENT

Gestionnaire des services Internet (IIS)

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

OPTENET DCAgent Manuel d'utilisateur

CONSIGNES DE SECURITE... 2 CONTENU DE LA BOITE... 2 INSTALLATION DE LA CLE WI-FI... 3 CONNEXION A VOTRE RESEAU SANS FIL VIA L UTILITAIRE WINDOWS...

TAGREROUT Seyf Allah TMRIM

1. CONFIGURATION DE LA CLE WEP CONFIGURATION DE LA CLE WPA CONFIGURATION D UN SSID SANS CHIFFREMENT... 6

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Transmission de données

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Fiche technique rue de Londres Paris Tél. : Mail : contact@omnikles.com

Tour d horizon des différents SSO disponibles

AJOUTER UN COMPTE DE MESSAGERIE SUR UN SMARTPHONE

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Installation d'un serveur RADIUS

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

CONFIGURER UNE CONNEXION RTC SOUS WINDOWS XP/VISTA/SEVEN OU MAC OS

Configuration pour la connexion au réseau eduroam sous l environnement Windows XP (SP3) et Windows 7&8 au personnel de l IN2P3

Configuration de routeur D-Link Par G225

Guide SQL Server 2008 pour HYSAS

Spécifications système. Démarrage de l application CertiBru-Res. Premier accès à l application à partir de cet ordinateur

Projet n 10 : Portail captif wifi

Réseaux AirPort Apple

Installation du point d'accès Wi-Fi au réseau

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

Par KENFACK Patrick MIF30 19 Mai 2009

Configuration de l'accès distant

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Serveurs de noms Protocoles HTTP et FTP

Le protocole SSH (Secure Shell)

AudiParc Recommandations IMPORTANTES. AudiParc Principe de fonctionnement. AudiParc Installation Déployement

STATISTICA Version 12 : Instructions d'installation

Gio 5. Manuel d'utilisation

Sécurité des réseaux sans fil

Fiche Produit Desktop Popup

Accès aux ressources informatiques de l ENSEEIHT à distance

Connexion à SQL server

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

TP N 1 : Installer un serveur trixbox.

Windows Serveur 2012 : DHCP. Installation et mise en place

CONFIGURATION DE LA RECEPTION DES MAILS EN POPS.


Administration du WG302 en SSH par Magicsam

WIFI (WIreless FIdelity)

Sécurité en milieu Wifi.

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

CS REMOTE CARE - WEBDAV

PREMIERE UTILISATION D IS-LOG

Internet. Licence Pro R&S. TD 5 - Wifi / Radius. 1 Sur le réseau de distribution (DS) 1.1 Configuration des routeurs PC6

Manuel d installation UCOPIA Advance

Cours 14. Crypto. 2004, Marc-André Léger

Transcription:

APPLICATION NOTE Ref APNFR002 rev. A-0, 08 Mars 2007 L AUTHENTIFICATION 802.1X DANS LES BRIDGES ET POINTS D ACCES ACKSYS Pourquoi? Outre le filtrage par adresse MAC, les produits ACKSYS supportent une méthode d authentification plus fiable, appelée 802.1x, qui s appuie sur l authentification des clients. Cette authentification fait aujourd hui partie de la nouvelle norme 802.11i (la dernière édition est encore appelée WPA2). Une authentification met en œuvre plusieurs acteurs : - Le client, encore appelé supplicant ou Wireless Node (WN), il s agit de l entité qui souhaite être authentifiée de façon à avoir accès aux ressources du réseau - Le point d accès sans fil WiFi encore appelé authenticator - Le serveur d authentification, en général un serveur RADIUS (Remote Authentication Dial-In User Service). Pour information, le serveur RADIUS est supporté par Windows 2003 Server et Linux. - La méthode d authentification. Il en existe plusieurs qui, suivant les mécanismes d authentification (login/mot de passe ou certificat) mis en place coté serveur et client, apportent des niveaux de sécurité différents. Liste des produits ACKSYS concernés WLg-ABOARD/N WLg-LINK WLg-LINK-OEM Page 1 sur 6

Les fonctions supportées par les produits ACKSYS : - La fonction authenticator, (qui requiert évidemment que le produit ACKSYS soit paramétré en mode point d accès), est supportée. - La fonction supplicant (qui requiert évidemment que le produit ACKSYS soit paramétré en mode bridge) n est pas encore supportée. Comment ça marche? La première étape est l'association physique du client avec le point d'accès (chemin 1 sur l illustration). Cette étape est bien sûr préalable à la phase d'authentification 802.1x. Tant qu'il n'est pas authentifié, le client ne peut pas avoir accès au réseau, seuls les échanges liés au processus d'authentification sont relayés vers le serveur d'authentification par le point d'accès (chemin 2 sur l illustration). Une fois authentifié, le point d'accès laisse passer le trafic lié au client (chemin 3 sur l illustration) et ce dernier peut avoir accès aux ressources du réseau. Il est important de rappeler que 802.1x offre aussi un mécanisme pour échanger des clés qui vont être utilisées pour chiffrer les communications et en contrôler l'intégrité. Page 2 sur 6

Les méthodes d authentification Toutes les méthodes s appuient sur un même protocole appelé EAP (Extensible Authentication Protocol) Les 4 méthodes les plus utilisées sont les suivantes. - EAP-MD5 : pas d'authentification mutuelle entre le client et le serveur RADIUS, le client s'authentifie par mot de passe ; - EAP-TLS : authentification mutuelle entre le client et le serveur RADIUS par le biais de certificats (côté client et côté serveur) ; - EAP-TTLS et EAP-PEAP : authentification mutuelle du client et du serveur RADIUS par le biais d'un certificat côté serveur, le client peut utiliser un couple login/mot de passe ; Attention, la méthode utilisée est transparente pour le point d accès, seuls le supplicant et le serveur d authentification l utilisent. Le choix d une méthode plutôt qu une autre dépend d une part, des méthodes supportées par le supplicant et le serveur d authentification et d autre part, du niveau de sécurité exigé. Par exemple, un supplicant Windows XP SP2 supporte en standard : - PEAP avec l authentification par login mot de passe (appelée MSCHAP Version 2) ou encore l authentification avec l utilisation de certificat. Autrement dit un point d accès supporte toutes les méthodes et c est bien sûr le cas du point d accès ACKSYS. Dans l illustration ci-après, est documenté le menu «EAP (802.1x)» qui contient tous les paramètres nécessaires à la mise en œuvre du 802.1x lorsque le produit ACKSYS est paramétré en point d accès et qu il réalise la fonction AUTHENTICATOR. En revanche, si le point d accès ACKSYS est paramétré en mode client (comprenez en mode bridge), l authentification 802.1x n est pas supportée directement par le bridge. Il n est donc pas possible de réaliser la fonction supplicant avec un nœud Wireless équipé d un bridge ACKSYS. Page 3 sur 6

Le menu EAP (802.1x) Préalables Attention, par définition seul le mode «WPA ENTERPRISE» permet l activation de l authentification 802.1x. Le mode «WPA-PSK» est un mode dégradé, sans authentification. Ce mode ne réalise que le chiffrement des données. De plus nous rappelons ici que l authentification 802.1x n est supportée que dans le mode ACCESS POINT, au travers de la fonction AUTHENTICATOR. Le support dans le mode BRIDGE au travers de la fonction SUPPLICANT n est à ce jour pas encore disponible. Le menu EAP (802.1x) n est donc disponible qu en mode «ACCESS POINT» et que si le mode WPA-ENTERPRISE est sélectionné. Ce menu permet le paramétrage de l AP de façon à permettre à un supplicant de s authentifier auprès d un serveur RADIUS. Un bouton permet le paramétrage d un second serveur RADIUS avec les mêmes paramètres que le premier à l exception du timeout d authentification. Page 4 sur 6

Le champ «authentication timeout» Dès que le timeout renseigné dans ce champ expire (il est exprimé en minutes), le client doit alors se ré-authentifier. Le champ «RADIUS SERVER IP ADDRESS» Ce champ doit contenir l adresse IP du serveur RADIUS. Sur le serveur RADIUS doit être installé de la même façon l adresse du client RADIUS, il conviendra d y mettre l adresse IP du point d accès. Le champ «RADIUS SERVER SHARED SECRET» Ce champ est une chaîne de texte servant de mot de passe entre le point d accès (le client RADIUS) et le serveur RADIUS. Les secrets partagés sont utilisés pour vérifier que les messages RADIUS, à l'exception du message de requête d'accès, sont envoyés par un périphérique compatible RADIUS configuré avec le même secret partagé. Les secrets partagés vérifient aussi que le message RADIUS n'a pas été modifié en transit (intégrité du message). Le secret partagé est également utilisé pour crypter certains attributs RADIUS, tels que User-Password et Tunnel-Password. Lors de la création et de l'utilisation d'un secret partagé : vous devez utiliser le même secret partagé sensible à la casse sur les deux périphériques RADIUS ; vous devez utiliser un secret partagé différent pour chaque paire serveur RADIUS client RADIUS ; vous pouvez utiliser un secret partagé comportant jusqu'à 64 caractères. Pour protéger votre serveur IAS et vos clients RADIUS contre les attaques de force brute, utilisez de secrets partagés longs (plus de 22 caractères) ; le secret partagé doit être constitué d'une séquence aléatoire de lettres, de chiffres et de caractères de ponctuation, et il doit être souvent modifié afin de protéger votre serveur IAS et vos clients RADIUS contre les attaques de dictionnaire. Page 5 sur 6

Le champ «RADIUS SERVER PORT» Il s'agit du port utilisé lors d'une demande d'authentification d'un client RADIUS vers un serveur RADIUS. La valeur 1812 pour l'authentification est le port RADIUS standard défini dans le RFC 2865. Toutefois, de nombreux serveurs d'accès utilisent par défaut le port 1645 pour les demandes d'authentification. Quels que soient le numéro de port que vous choisissez d'utiliser, vérifiez que le service IAS et votre point d'accès sont configurés pour utiliser le même. La case à cocher «MAC ADDRESS AUTHENTIFICATION» Si cette case est activée, le contrôle de l adresse MAC du supplicant est ajoutée à l authentification. Autrement dit le supplicant doit toujours se connecter à la même station. Page 6 sur 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back