Sécurisation WIFI Serveur RADIUS & EAP-MD5 / EAP-LEAP 0) Préalable Il est nécessaire avant toutes choses de : 1. vous munir d un cd knoppix dont la version est supérieure ou égale à 3.9 ; 2. démarrez sous window le PC qui servira de serveur d authentification, et de vérifiez la présence sur le disque C du fichier freeradius-1.0.5.tar.gz ; 3. relever l adresse mac de la carte réseau qui reliera le serveur d authentification au point d accès. 1) Schéma de principe Authenticator Serveur d authentification 10.0.0.100/24 (optionnel) PC Knoppix 10.0.0.200/24 Supplicant PC 802.11 b/g 10.0.0.10/24 2) Installation et configuration du serveur RADIUS 2.0) Préalable Redémarrer le PC faisant office de serveur en ayant préalablement inséré le cd knoppix. Une fois knoppix chargé, ouvrez une fenêtre terminal et passez en mode administrateur. Avec la commande ifconfig a, trouvez le nom de la carte ethernet reliant le point d accès à votre serveur d authentification et dont l adresse mac correspond à celle que vous aviez relevée précédemment. Ensuite, affectez l adresse IP 10.0.0.200/24 à cette carte ; si la carte a pour nom eth1, alors tapez en console la commande ifconfig eth1 10.0.0.200 netmask 255.255.255.0. 2.1) Installation Copiez sur le bureau knoppix le fichier freeradius-1.0.5.tar.gz situé le disque C de window. Puis, dans le répertoire où se trouve l archive, tapez les commandes suivantes : Jean-Luc Damoiseaux 1
Mv Desktop/freeradius-1.0.5.tar.gz.. tar xzf freeradius-1.0.5.tar.gz cd freeradius-1.0.5./configure make make install cd.. rm rf freeradius-1.0.5* 2.2) Configuration La configuration du serveur RADIUS peut maintenant commencer. Dans le répertoire /usr/local/etc/raddb/, éditez le fichier clients.conf et insérez y les lignes suivantes : # on précise l adresse de l authenticator, # le secret partagé entre l authenticator et le serveur RADIUS # le type de l authenticator client 10.0.0.100/24 { secret = secretradius shortname = AP1200 nastype = cisco } Dans ce même répertoire, éditez ensuite le fichier users et insérez y les lignes suivantes : letesteur Auth-Type := Local, User-Password == "fou" Reply-Message = "Authentification réussie" adminloc Auth-Type := EAP, User-Password == "cna-tp" Reply-Message = "Authentification réussie" Pour finir, nous allons maintenant tester en local le serveur RADIUS. Pour cela : lancez le serveur RADIUS au moyen de la commande radiusd X ; dans une autre fenêtre console, exécutez la commande radtest letesteur fou 127.0.0.1:1812 10 testing123 Si tout se passe bien, vous devriez voir apparaître dans la fenêtre où tourne le serveur RADIUS, le message d une authentification réussie. 3) Configuration de l authenticator Après avoir attribué à l interface bvi1 du point d accès l adresse 10.0.0.100/24, utiliser l interface graphique pour configurer l authenticator. Cette configuration sera très simple, la preuve en trois images. Dans le menu SECURITY, cliquez sur Server Manager afin d indiquez au point d accès où se trouve le serveur radius (cf figure ci-dessous). Jean-Luc Damoiseaux 2
Toujours dans le menu SECURITY, cliquez maintenant sur SSID Manager afin de définir un SSID et de sélectionnez l utilisation du protocole EAP comme transport de la méthode d authentification 1. Enfin, dans le menu SECURITY, cliquez maintenant sur Encrytion Manager afin de définir une clef WEP. 1 Open Authentification with EAP correspond à l utilisation d EAP pour des clients non Cisco, et Network EAP correspond également à l utilisation d EAP mais exclusivement pour des clients Cisco. Jean-Luc Damoiseaux 3
4) Configuration du supplicant Là encore pratiquement rien à faire. Vous devez juste configurer un profile avec l ACU ou l ADU, et ne pas oubliez dans l onglet Network Security de sélectionner la méthode EAP ACU ADU et de la configurer pour qu elle utilise demande un login et un password. Jean-Luc Damoiseaux 4
5) Tests Tout d abord quelques pièges classiques à éviter : vérifiez la connectivité entre le point d accès et le serveur radius ; vérifiez la configuration de votre carte réseau wifi ; vérifiez que l interface radio du point d accès soit up. Si tout cela est bon, alors vous auriez du voir apparaître une fenêtre d authentification vous demandant un login et un password. N oubliez pas de lancez ethereal sur le serveur radius pour capturer un échange du protocole radius. N oubliez pas de m appelez pour que je vérifie votre authentification avec un client non cisco. Jean-Luc Damoiseaux 5