Radius Wim

S.Bordères Séminaire RAISIN - 17/02/2005

Authentification sur réseau sans-filUtilisation d’un serveur radius

Expérience du CENBG


Critères de choix d’architecture

Solution adoptée

Serveur radius

Configurations

Cas des visiteurs – portail captif

Sommaire

Clients Linux



Le C.E.N.B.G n’est pas un hotspot

Tout PC se connectant sur le réseau sans-fil doit êtreidentifié au même titre que les PC filaires

L’introduction du réseau sans-fil ne doit pas remettre en causeles principes de sécurité déjà existants.

Postulats



Un même PC doit être vu sur le réseau de façon identiquequ’il utilise une connexion filaire ou sans-fils.

Place d’un PC sans-fil dans le réseau

Un PC connecté sur le réseau filaire dans le VLAN x doit être placédans le même VLAN lorsqu’il se connecte sur le réseau sans-fil

Un visiteur doit se trouver dans le réseau visiteurs qu’il se connectepar le réseau filaire ou sans-fil.


Critères de choix d’architecturePlace d’un PC sans-fil dans le réseau

Routage/filtrage

Vlan1 Vlan2

Vlan3

PC connecté sur le réseau filaire

PC connecté sur le réseau sans-fil

Routage/filtrage

Vlan2

Vlan3

Vlan1


Une authentification par clé partagée n’est pas envisageable

Clé WEP trop fragile.

Clé WPA-PSK plus solide mais…

Trop difficile à gérer lorsque le nombre de postes est grand.

Il suffit de connaître la clé pour se connecter au réseau sans-filsdonc aucun contrôle sur les postes.


Authentification


CENBG

L’authentification doit se faire sans ajouter un mot de passe supplémentaire pour l’utilisateur.(il en a déjà suffisamment)


Authentification

C’est plus la machine qu’on cherche à authentifierque l’utilisateur lui-même

Mais l’authentification par adresse MAC sur un réseausans-fil n’est pas suffisante.


Solution adoptée

Dans une première étape, identifier la machine par son adresse MACet , dans une deuxième étape, consolider par une authentificationpar username/password ou bien un certificat.

L’adresse MAC permet de placer la machine dans un VLAN

Le username/password est celui du domaine Windows

Pour se connecter au réseau sans-fil il faut posséder une adresseMAC enregistrée et un compte Windows ou un certificat.

Choix pour l’authentification


Protocole 802.1x

Protocole WPA

Serveur Radius

Des bornes wifi capables de gérer :* Les vlans* WPA* radius

Solution adoptéeLes moyens


802.1x: Principe général

BUT: Offrir un mécanisme d’authentification des postes de travail

Initialement destiné au réseau filaire et étendu au réseau sans-fil

Principe:Authentification d’un client sur un serveur d’authentification(radius)au travers d’un équipement réseau (switch, AP).

L’équipement réseau reçoit du serveur l’autorisation de laisserle passage à un client.

Le protocole utilisé est EAP (Extensible Authentification Protocol)



Port non controléPort controlé

Uniquement traficEAP over Lanou EAP over Wireless

Serveur d’authentificationRADIUS

Poste client

Authentificateur(switch,AP)

EAP over radius



Port non controléPort controlé

Serveur d’authentificationRADIUS

Poste client

authentificateur

Uniquement traficEAP over Lanou EAP over Wireless


EAP: Extensible Authentication Protocol

EAP permet la négociation d’un protocole d’authentificationentre le client et un serveur radius

EAP-TLSauthentification mutuelle par certificat

EAP-TTLSEAP-PEAP

Authentification du serveur par certificat et du clientpar login/mot de passe.

Utilise un tunnel TLS

EAP n’est pas une méthode de cryptage des communications du client mais fourni un mécanisme d’initialisation des clés de cryptage.


Le protocole WPA

WPA = TKIP+802.1x+MIC

TKIP est un mécanisme d’échange de clés dynamiques.Tkip=Temporal key Integrity Protocol

Utilisation d’un cryptage RC4 (vecteur 48bits au lieu de 24bits avec wep)

MIC=mécanisme de contrôle d’intégrité


Le protocole WPA

Ne pas confondre

WPA-enterprise met en œuvre 802.1x

et

WPA-home qui met en œuvre des clés partagés (WPA-PSK)


Le protocole WPA

WEP

WPA-PSK

WPA

WPA2=802.11i

Evolution du niveau de sécurité

logiciels

hardware


Mise en œuvre des vlans sans-fil

La borne WIFI doit être capable de gérer les vlansElle est connectée sur un switch par un lien TRUNKChaque vlan correspond à un SSID (CISCO)

Ssid=informatique Ssid=utilisateurs

Ssid vlaninformatique 10utilisateurs 15

Vlan 10

Vlan 15

Routage/filtrageTrunk 802.1q


Serveur radius

Trafic EAP Serveur radius

domaine windowsOuDomaine NISOu serveur LDAPOuBase SQL….

passwd

users


Serveur radiusLes possibilités d’authentifications

Possibilité d’authentifier sur l’adresse MAC

La borne envoi au serveur radius l’adresse MAC du clientcomme un username.

Le serveur radius valide (ou pas) cette adresse MAC comme unutilisateur.


Serveur radiusAvantages

De multiples possibilités d’authentification

Traitement individuel d’un utilisateur ou d’une machine(on peut mixer les méthodes d’authentification)

Gestion centralisée

Trace de toutes les connexions ou tentatives dans un log.


Configuration du poste client

Configuration sur la borne

Configuration du serveur radius

Serveur radiusMise en oeuvre


Configurer le poste client



Configuration PEAP


Configuration TLS



Configuration de la borne

Définir chaque vlan et chaque SSID associé

Définir les caractéristiques de chaque SSID

Définir le serveur radius


Configuration de la borne (cisco aironet 1200)

Définir le serveur radius


Définir chaque vlan et chaque SSID associé

Le native Vlan est le vlan par lequel la borne communique avecle reste du réseau pour ses propres besoins.

interface FastEthernet0/2switchport trunk native vlan 23switchport mode trunk

Si le native vlan est 23 le port du switch où est connecté la borne doit être configuré ainsi:

Configuration de la borne (cisco aironet 1200)


Définir chaque vlan et chaque SSID associéConfiguration de la borne (cisco aironet 1200)



Définir quel matériel a le droit d’interroger le serveur radius

Définir la configuration EAP

Construire le fichier des utilisateurs

Définir comment le serveur Radius authentifie.

(freeradius)



/etc/raddb/clients.conf

Ce fichier permet de définir les matériels qui ont ledroit de faire des requêtes au serveur Radius

client 10.50.0.4 { secret = lesecretshortname = ap3 nastype = cisco

}

Définir quel matériel a le droit d’interroger le serveur radius

Secret partagé avec les bornes



winbind separator = %winbind cache time = 10template shell = /bin/bashtemplate homedir = /home/%D/%Uidmap uid = 10000-20000idmap gid = 10000-20000workgroup = DOMAINsecurity = domainpassword server = *workgroup = MONDOMAINEwins server = 10.50.0.12

net rpc join -w MONDOMAINE -U administrateur (demande le mot de passe administrateur du domaine)

net rpc testjoin (pour vérifier)

Définir comment le serveur Radius authentifie.

Exemple d’authentification sur domaine Windows

/etc/raddb/radiusd.conf

Le serveur radius doit être inclus dans le domaineCeci nécessite un serveur samba avec une configuration minimale:

mschap {

…..

ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=MONDOMAINE --username=%{Stripped-User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}«

…….}


/etc/raddb/eap.conf


tls {

private_key_file = ${raddbdir}/certs/serveur-radius.key

certificate_file = ${raddbdir}/certs/serveur-radius.crt

CA_file = ${raddbdir}/certs/cert-cnrs.pem

……

}

Définir la configuration EAP

peap {….default_eap_type=mschapv2….}


/etc/raddb/users

dupont Auth-Type := EAP

000b5f63c17d Auth-Type := Local, User-Password ==" 000b5f63c17d"

Cisco-AVPair = "ssid=utilisateurs"

Ce fichier contient la liste des utilisateurs et/ou adresses macet la façon dont ils sont authentifiés.

Configuration du serveur radiusConstruire le fichier des utilisateurs

"Pierre Dupont" Auth-Type := EAP, Calling-Station-Id == 000b.5f63.c17d Cisco-AVPair = "ssid=utilisateurs"

CN du certificat client

Login Windows


Exemple d’utilisation

Un utilisateur veut se connecter sur le SSID « informatique »

La borne envoi au serveur radius une requête d’authentification de l’adresse MAC.Le serveur radius valide l’adresse MAC est renvoi le SSID correspondant.

La borne relaie le trafic EAP du client et le serveur radius authentifiela requête sur le domaine Windows


Problèmes

La carte sans-fil doit supporter WPA (enterprise)L’utilitaire de configuration aussi.

Exemple de cartes qui fonctionnent en WPA-enterpriseDELL 1450INTEL 2200INTEL 2100 (avec dernière mise à jour ..)NETGEAR WG-511T (uniquement sous XP avec wireless zero config))GIGABYTE GN-WBKG (sous XP, USB)ASUS WL-100gDLINK DWL-G650 serie AirPlus XtremeG.

Parfois des problèmes sous Windows 2000(patches nécessaires, pas de zero config comme sous XP)


Le cas des visiteurs

Comme pour le réseau filaire les visiteurs doivent êtreidentifiés pour se connecter sur le réseau sans-fil.

Un visiteur n’a pas de compte dans le labo

On ne peut pas lui imposer une carte sans-fil particulière.

Problèmes:

Solution possible:Utiliser un portail captif


Le cas des visiteursLe portail captif

Portail captif

Vlan visiteurs

Visiteur filaire

Visiteur sans-fil

Vlan intermédiaire

Utilisateur du labo

routeur


Le cas des visiteursLe portail captif: Principes

La borne place le PC visiteur sur un vlan intermédiaire

Ce vlan est connecté sur le serveur du portail qui fait officede routeur/filtrage entre ce vlan et le vlan utilisateur.

Le PC visiteur envoi une requête DHCP qui est interceptée par le portail quilui affecte une adresse IP.

Lorsque le visiteur ouvre une page web (n’importe laquelle), le portail intercepte la requête et le redirige automatiquement (https) vers une page d’un serveur web qui va lui permettre de s’authentifier.

Une fois authentifié il peut traverser le portail vers d’autres réseaux.



Il existe plusieurs logiciels de portail captif

Nocatauth

Chillispot

Au CENBG, chillispot a été choisi parce qu’il supporte radius.C’est-à-dire que l’authentification sur le serveur web se fait parinterrogation d’un serveur radius.


Portail captif

Vlan visiteurs

Visiteur filaire

Visiteur sans-fil

Vlan intermédiaire

Utilisateur du labo


apacheapache

chillichilli

radius

DNS

httpsrouteur


Le cas des visiteursLe portail captif: Avantages

L’authentification est sécurisée (HTTPS)

Grande souplesse d’adaptation: choix d’une politique pour le login et le mot de passe.

Par exemple:Le login est le nom du visiteur et le password un mot de passe général

Le login est l’adresse MAC et le password un mot de passe généralou spécifique.


Le cas des visiteursLe portail captif: Avantages

La page web permet de faire passer des informations

Par exemple: Les mentions légales

Le serveur du portail peut filtrer les communications (netfilter)

Possibilité d’avoir des traces des connexions


Portail captif

Vlan visiteurs

Visiteur filaire

Visiteur sans-fil

Vlan intermédiaire

Utilisateur du labo


Trunk802.1q

routeur


Portail captif

Visiteur sans-fil

Utilisateur du labo


routeur


Linux et WPA et Radius

Problème de disponibilité des drivers WIFI

Problème de disponibilité des drivers WIFI…compatibles WPA

Solution: NDISWRAPPER

Utilitaire permettant d’installer les drivers WINDOWS sous Linux

http://sourceforge.net/projects/ndiswrapper/


Linux et WPA et Radius

Utilisation d’un supplicant WPA

WPA_SUPPLICANTPermet de configurer un client Linux avec toutesles formes de WPA, WPA2, EAP.

Contient un supplicant 802.1X


http://www.sans.org/rr/whitepapers/authentication/123.php

http://2003.jres.org/actes/paper.143.pdf

http://www.freeradius.org

Références

Livre: RADIUS, Jonathan Hassel, O’REILLY

http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf

http://www.chillispot.org/

http://www.pouf.org/documentation/securite/html/node1.html

http://www.hsc.fr/ressources/presentations/ossir-802.11b/ossir802.11b.pdf

http://www.teksell.com/whitepapers/cisco_wireless.pdf


Réseau IXL

Portail captif

Dispositif de la démonstration. Chillispot

Chillispotserveur apacheserveur freeradius

Radius Wim

Documents

Transcript of Radius Wim