Tuto 3 : Wi-Fi et eduroam

Documents pareils
eduroam Journées Marwan juin 2007 Vincent CARPIER Comité Réseau des Universités Merci à Rok Papez d'arnes pour la partie eduroam in a box

Sécurité des réseaux sans fil

Contrôle d accès Centralisé Multi-sites

MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL GNU/LINUX. Direction des Systèmes d'information (DSI) Université de Nantes, Pôle Réseau & Sécurité

Sécurité des réseaux sans fil

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

WIFI (WIreless FIdelity)

Manuel d installation UCOPIA Advance

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

UCOPIA EXPRESS SOLUTION

Projet Sécurité des SI

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Figure 1a. Réseau intranet avec pare feu et NAT.

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Comprendre le Wi Fi. Patrick VINCENT

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

UCOPIA SOLUTION EXPRESS

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Charte d installation des réseaux sans-fils à l INSA de Lyon

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Sécurité des réseaux wi fi

CONVENTION d adhésion au service. EDUROAM de Belnet

7.1.2 Normes des réseaux locaux sans fil

KX ROUTER M2M SILVER 3G

UCOPIA COMMUNICATIONS

Référentiel ISVD Prévisionnel

1 LE L S S ERV R EURS Si 5

La solution ucopia advance La solution ucopia express

VPN. Réseau privé virtuel Usages :

Cradlepoint AER 2100 Spécifications

Cisco Certified Network Associate

Référentiel ASUR Prévisionnel

Rapport de stage Juillet/Août OUAHAB Karim ENSEEIHT - INPT Karim.Ouahab@etu.enseeiht.fr. Rapport de Stage

WiFI Sécurité et nouvelles normes

Le protocole RADIUS Remote Authentication Dial-In User Service

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Présentation du ResEl

I. Description de la solution cible

Pare-feu VPN sans fil N Cisco RV120W

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

La gamme express UCOPIA.

Votre Réseau est-il prêt?

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Introduction au Wi-Fi sécurisé

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Pare-feu VPN sans fil N Cisco RV110W

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Partie N 1 pour Windows VISTA

Sommaire. III : Mise en place :... 7

Guide pratique spécifique pour la mise en place d un accès Wifi

PACK SKeeper Multi = 1 SKeeper et des SKubes

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Mettre en place un accès sécurisé à travers Internet

Programme formation pfsense Mars 2011 Cript Bretagne

Fiche descriptive de module

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Formations. «Produits & Applications»

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Configuration du WiFi à l'ensmm

TOPOLOGIES des RESEAUX D ADMINISTRATION

Installation du point d'accès Wi-Fi au réseau

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions]

Catalogue «Intégration de solutions»

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

1. Présentation de WPA et 802.1X

Routeur VPN Wireless-N Cisco RV215W

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Services Réseaux - Couche Application. TODARO Cédric

2. DIFFÉRENTS TYPES DE RÉSEAUX

Passerelle ProSecure : La Gestion Centralisée des Menaces Série UTM S avec options Wireless-N et VDSL/ADSL2+

CAHIER DES CLAUSES TECHNIQUES

IPS-Firewalls NETASQ SPNEGO

APPLICATIONS WEB ET SECURITE

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Informations Techniques Clic & Surf V 2.62

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Présentation et portée du cours : CCNA Exploration v4.0

FORMATION CN01a CITRIX NETSCALER

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Serveur Appliance IPAM et Services Réseaux

pfsense Manuel d Installation et d Utilisation du Logiciel

Proxy et reverse proxy. Serveurs mandataires et relais inverses

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Cisco RV220W Network Security Firewall

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

Transcription:

Tuto 3 : Wi-Fi et eduroam 30 Janvier 2007 ENSAM PARIS Plan de la journée : http://www.jres.org/tuto/tuto3.php

eduroam.fr

Projet ARREDU en 2004 : buts Accès Internet authentifié et sécurisé à des personnels (étudiants) avec mêmes identifiant/mot de passe et procédure sur tous les sites des participants Communauté concernée : établissements de recherche et d'enseignement supérieur raccordés à RENATER Infrastructure d'authentification répartie utilisant les serveurs RADIUS Utilisation principale : accès Wi-Fi Intégration à eduroam

Qualité de service Les nomades doivent pouvoir utiliser le service avec la même confiance qu'un accès filaire dans leur établissement => mot de passe protégé => trafic non écoutable => accès à un minimum de services/protocoles

Aspects sécurité Accès Wi-Fi sujets à écoute, attaques MIM, faux points d'accès, DOS,... Sécurisation du trafic : Chiffrement fiable WEP dynamique + rotation fréquente des clés WPA, WPA2 => portails dits captifs prohibés

Aspects sécurité, suite Modèle de sécurité RADIUS : hop-to-hop avec secret partagé Protection intrinsèque peu robuste => le trafic RADIUS doit être protégé (ex. VLANs dédiés) Par défaut les mots de passe sont «déballés» et «réemballés» à chaque traversée => Sécurisation de l'authentification : Méthodes à base de tunnels SSL bout en bout Authentification mutuelle

Traçabilité Aspects sécurité, suite Journalisation des résultats d'authentification Journalisation DHCP, NAT Correspondance @IP <-> utilisateur en cas de besoin (abus)

ARREDU devient eduroam.fr Phase pilote jusqu'en avril 2006 En exploitation depuis Intégration à eduroam => ARREDU devient la branche française d'eduroam

eduroam.fr : solutions techniques RADIUS (serveurs et proxies) IEEE 802.1x/EAP Méthodes d'authentification mutuelle sécurisées PEAP TTLS TLS SSID eduroam

eduroam.fr : RENATER au centre des relations de confiance Les établissements s'engagent auprès de RENATER RENATER s'engage en leur nom auprès de Terena -> trust fabric

eduroam.fr : engagements de RENATER auprès de Terena Ses «clients» doivent s'engager sur de bonnes pratiques et sur l'éducation de leurs utilisateurs Au moins un serveur national doit être mis en oeuvre et sécurisé Informations sur le service Surveillance du service Implication du CERT

eduroam.fr : engagements des établissements / RENATER Offrir le service conformément aux recommandations Administrer et sécuriser un (ou +) proxy RADIUS Journaliser les résultats d'authentification Faire connaître l'existence du service (in)former leurs utilisateurs sur l'utilisation du service et le respect des règles d'utilisation des réseaux visités Offrir du support à leurs utilisateurs

eduroam.fr : engagements des établissements / RENATER Formalisés via signature de la Charte eduroam.fr/arredu associée au service mobilité de RENATER

eduroam.fr : état Opérationnel depuis avril 2006 Un serveur national opéré par le CRU gérant le domaine fr Un serveur de backup géré par le CRC Raccordé à eduroam depuis avril 2006 ~25 établissements raccordés

eduroam.fr carte des sites raccordés (janvier 2007)

Workflow de gestion du service NB : Service activé à réception de l'agrément signé => Possibilité de test de l'infrastructure au préalable Les spécifications techniques www.cru.fr/wiki/eduroam/specifications_techniques

Interface SAGA Service de mobilité pour la communauté RENATER 1 Demande d'inscription par le correspondant technique RENATER 2 Base d'enregistrement des établissements adhérants Renseignement par le correspondant eduroam des informations du compte Monitoring des clients RADIUS assuré par le CRU 3 Configuration du RADIUS d'établissement Proxies national et son backup Les nomades RENATER / CRU Etablissement

Interface de configuration du compte (1) interface Web de gestion de son compte http:arredu.cru.fr/admin => accès authentifié X509 ou Sympa

Interface de configuration du compte (2)

Interface de configuration du compte (3)

Renseignements fournis Type d'authentification de vos utilisateurs -> monitoring Chiffrement radio -> informations à mettre à disposition des utilisateurs User / mot de passe du compte test -> monitoring Type de serveur RADIUS -> informatif Latitude / Longitude (pré-remplie) -> affichage carte www.eduroam.fr

Authentification RADIUS Configuration proxy et client N'utiliser que EAP / {TLS TTLS ou PEAP} Mettre en place le nécessaire pour la traçabilité Pas de trafic venant de portail web dit captifs

Services à offrir Offrir le DHCP Préconisations : pas de filtrage de protocole en sorti (et dans tous les cas, au minimum : HTTP et HTTPS, DNS, ICMP (echo/reply), IPSec, OpenVPN, SSH, POPs, IMAPs, NTP, SMTP/AUTH, SMTP local) Diffusion de l'information Formation et support pour ses utilisateurs

eduroam.fr Monitoring de l'infrastructure nationale

Buts Surveiller la disponibilité et les temps de réponse des serveurs RADIUS d'établissement Permettre aux administrateurs de voir comment est vu leur serveur Aller au-delà de la surveillance des serveurs RADIUS Offrir aux utilisateurs de vérifier la disponibilité de l'infrastructure là où ils en ont besoin

Méthode Simuler une utilisation réelle Utiliser un compte d'utilisateur Utiliser la méthode d'authentification retenue par l'établissement N'utiliser l'authentification RADIUS (qui expose les credentials) qu'en secours

Problèmes Simuler un supplicant 802.1x + EAP Minimiser les intermédiaires Afficher les résultats

Choix Tests effectués depuis le proxy national rad1.eduroam.fr Autorisé sur tous les serveurs d'établissement Aucun serveur intermédiaire Pas de trafic inutile sur le proxy Pas d'aléa introduit par d'autres serveurs Affichage effectué sur www.eduroam.fr Pas de http sur rad1.eduroam.fr Couplage avec la carte géographique

rad1.eduroam.fr Architecture www.eduroam.fr sec.cru.fr RADIUS Monitoring w status Interface comptes eduroam ro rw Serveurs d'établissement Comptes eduroam-fr (LDAP)

Implémentation Basée sur la commande eapol_test de wpa_supplicant et sur radtest de FreeRADIUS Des scripts génèrent les configurations nécessaires à eapol_test pour tester chaque établissement et analysent les résultats d'exécution Affichage texte ou html Peut être utilisé pour faire du debugging sur un realm particulier

Résultats de monitoring

Couplage avec la carte géographique

À faire Adapter l'affichage à l'augmentation des adhérents Trier Alertes automatiques des correspondants?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back