WIFI et Radius

Introduction

 

 

 

Le projet « WIFI » consiste à équiper l’entreprise d’un réseau sans-fil afin de permettre aux commerciaux de se connecter sur le réseau de l’entreprise de manière sécurisée, sans être obligé de brancher le câble réseau .Le renouvellement des ordinateurs portables des commerciaux avec la technologie centrino en 802.11g permettra d’évoluer vers ce type de technologie.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Le

 

Présentation du Wifi

 

 

Le WIFI (Wireless Fidelity) est une certification décernée par la Wifi Alliance aux produits conformes aux standards 802.11 de l' IEEE.

La technologie Wi-Fi permet de faire un réseau informatique haut - débit (11Mbps pour le 802.11b) sans fils. Cela présente plusieurs intérêts :

 

Mobilité dans le rayon du réseau tout en restant connecté au réseau local ou à l'Internet, échange de gros fichiers entre deux ordinateurs.

 

Mise en place d'un réseau local (LAN) moins coûteuse et plus facile que pour un réseau filaire.

 

Mise en place facile d'un réseau temporaire, le temps d'une démonstration, ou d'une réunion.

 

Accès à un réseau haut -débit pour des populations rurales non rentables pour les opérateurs commerciaux.

 

Il s'agit là de quelques exemples. La technologie étant très récente, les utilisations possibles restent en grande partie à inventer !

 

Matériellement, pour faire un réseau Wi-Fi, on utilise des Points d'Accès (AP, pour Access Point) connectés aux ordinateurs (stations) ou à un réseau filaire, des antennes, et des câbles éventuellement pour les relier ensemble.

 

 

Les Modes de connections

 

Il existe deux modes de communication possibles entre les différents éléments d’un réseau Wi-Fi :

Le mode infrastructure.

 

le mode infrastructure, basé sur l’utilisation d’un point d’accès W-Fi central, situé  au niveau d’un point de concentration radio. Dans ce cas, les informations envoyées entre les différentes stations transitent par le point d’accès.

 

Le mode ad-hoc.

 

le mode ad-hoc, permettant à plusieurs stations équipées de cartes Wi-Fi de communiquer directement entre elles. Des possibilités de routage dynamique existent.

Le mode infrastructure
 

Le mode ad-hoc
 

 


Les différents Périphériques Wi-Fi

 

Le Wi-Fi utilisant la radio comme support de communication, il faut des périphériques particuliers pour transformer les données informatiques en signaux radio et vice-versa.

 

Ces appareils transforment un signal numérique (des 1 et des 0), provenant d'un ordinateur ou d'un réseau filaire, en signal analogique (à valeurs réelles) envoyé vers une antenne, à l'émission, et inversement à la réception.Il s'agit donc d'un modem (MODulateur/DEModulateur), qui a la même fonction qu'un bon vieux modem téléphonique. Un périphérique Wi-Fi peut se présenter sous différentes formes :

Une carte PCMCIA pour un ordinateur portable.

Une carte PCI pour un ordinateur de bureau (il existe aussi des adaptateurs PCI accueillant une carte PCMCIA).

Un appareil externe, indépendant, souvent appelé AP.

Un appareil intégré (dans une caméra par exemple).

Certains ont une antenne intégrée (c'est le cas de la plupart des cartes PCMCIA), et d'autres permettent la connexion d'une antenne extérieure.

 

 

 

 

Matériel Wi-Fi fourni :

 

Un point d’accès Cisco Aironet 350 (sans antenne)

Carte réseau PCMCIA Cisco Aironet 350

Un point d’accès Netgear

Un routeur DSL Netopia

 

Matériel choisi et commandé :

 

Antenne directionnelle AIR-ANT2012 Cisco 6.5 DBI.

Point d’accès Cisco Aironet 1200 Series.

Antenne directionnelle AIR-ANT3549 8.5 DBI

 

Les antennes directionnelles :

 

Les antennes directionnelles sont de types et de formes très différentes. Une antenne ne renforce pas la puissance d’un signal mais se contente de rediriger l’énergie qu’elle reçoit de l’émetteur. Ce faisant, elle fournit davantage d’énergie dans une direction donnée et moins dans toutes les autres. En général, plus le gain d’une antenne directionnelle augmente, plus l’angle de rayonnement diminue ce qui offre une plus grande distance de couverture mais sur un faisceau plus étroit.

 

Le Wi-Fi et la sécurité

 

Les risques liés au réseau sans fil

On peut classer les risques liés au réseau sans fil en 4 catégories :

Accès aux données

 Intrusion réseau

 Brouillage

 Déni de service (ou d’alimentation)

 

1) Accès aux données :

Puisque par défaut un réseau sans fil est ouvert, il est relativement facile d’écouter les communications et ainsi de récupérer les données échangées.

Il suffit pour cela de se trouver dans le périmètre correspondant à la portée du réseau, c’est-à-dire bien souvent dans la rue.

2) Intrusion réseau :

Encore plus grave, s’il existe un point d’accès au réseau local, il est alors possible de se connecter au réseau et de pirater ou même de modifier ou de détruire les données installées sur les serveurs ou sur les postes de travail.

Il est également possible de s’infiltrer sur le réseau pour ensuite attaquer un autre réseau via Internet en cachant ainsi sa véritable identité.

3) Brouillage :

Brouiller les communications des réseaux sans fil est simple dans la mesure où les ondes radioélectriques sont très sensibles aux interférences. Un appareil courant tel qu’un four à micro-ondes peut faire l’affaire.

4) Déni de service (ou d’alimentation)

Le dernier risque est ce que l’on appelle le déni de service (Denial Of Service ou DoS). Il s’agit d’envoyer des paquets de données en vue de saturer de fausses requêtes un service de sorte à empêcher les vraies requêtes d’être servies.

Une autre forme est le déni de service d’alimentation.

La connexion à des réseaux sans fil est fortement consommatrice d’électricité. Il suffit donc d’envoyer un grand volume de données pour surcharger une machine sur batterie et ainsi la rendre ainsi inutilisable.

Outils pour sécuriser les connections

SSID

 

La phase d'authentification consiste en une mise en relation d'un mobile avec un point d'accès par la comparaison d'une clé partagée et connue sous le nom de SSID. Ce nom de réseau est configuré dans les points d'accès et permet la segmentation du réseau sans fil. Par exemple, certains constructeurs de points d'accès autorisent la création de réseau virtuel de niveau 2 (VLan) associé à un SSID spécifique. Lorsqu'un client souhaite joindre un réseau Wi-Fi, il effectue une demande d'enregistrement en proposant un nom de réseau (SSID) spécifique où demande la liste des réseaux disponibles.

L'action de connecter un client avec un point d'accès ne repose que sur la comparaison du nom de réseau (SSID) proposé par le client et celui renseigné dans le point d'accès. Cette solution n'est pas en soit une solution de sécurisation du réseau mais peut contribuer à une segmentation. En effet, un client ne peut être associé à un instant donné qu'à un seul réseau.

 

 

WEP

 

En complément de la comparaison du SSID, on peut spécifier deux modes d'authentification. Le premier et le plus communément utilisé est dit "open system", il n'effectue aucun test spécifique complémentaire. Le second, dit "shared key" utilise la clé WEP afin de chiffrer un message permettant au point d'accès de valider l’utilisateur.

Dans l'hypothèse où la clé WEP utilisée ne serait pas la bonne, la station ne serait pas autoriser à entrer dans le réseau sans-fil c'est à dire à échanger des trames. Cette technique permet un filtrage plus efficace des stations mobiles pouvant pénétrer dans le réseau mais n'est en aucun cas un gage d'invulnérabilité de ce dernier.

WPA

 

WPA est une version intermédiaire de l'étape de normalisation de l'IEEE en matière de sécurité des réseaux sans-fil Wi-Fi du groupe I (802.11i). Sa sortie permet aux constructeurs de proposer une version de travail de la sécurité et de valider les mécanismes qui seront ratifiés dans la norme.

WPA impose aux infrastructures Wi-Fi l'utilisation de 802.1x afin d'authentifier les utilisateurs et les ressources connectées. Néanmoins, on trouve des implémentations de WPA permettant l'utilisation d'une clé partagée de type "pre-shared key", moins contraignante à mettre en place que 802.1x, mais également moins efficace. De plus, WPA met en place des mécanismes de changement régulier des clés de chiffrement des trames de données par le biais du protocole TKIP (Temporal Yey Integrity Protocol).

WPA intègre la prise en compte de protocoles de chiffrement différents comme par exemple l'utilisation d'AES (Advanced Encryption Standard), peu consommateur de ressources pour une qualité de chiffrement élevée. Enfin, WPA met en place un nouveau système de validation de l'intégrité des données transportées en complément de l'IV transporté en clair avec chaque trame dans la version initiale de 802.11.

La mise en place de WPA nécessite de valider la disponibilité du support sur plusieurs points du réseau:

 

le point d'accès : doit intégrer WPA pour la modification des clés de chiffrement ainsi que 802.1x pour la réception des demandes des clients et le relayage vers le serveur d'authentification (type RADIUS),

la carte Wi-Fi pour chaque utilisateur : doit prendre en compte la rotation des clés ainsi que la vérification du nouveau système d'intégrité pour chaque trame,

les pilotes pour les cartes Wi-Fi,

le service de centralisation des informations 802.1x au niveau d'un serveur RADIUS par exemple.

 

Solution de sécurité retenue et testée pour le réseau WIFI

RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur destiné à permettre à des serveurs d'accès de communiquer avec une base de données centralisée regroupant en un point l'ensemble des utilisateurs distants. Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS est la comptabilisation des informations concernant les utilisateurs distants.

RADIUS a été inventé par Livingston, depuis devenu propriété de Lucent, et est un standard de fait de l'industrie informatique. C'est un protocole ouvert, amendée par RFC, et déposé à l'IETF.

C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux.

 

architecture - 3.4 ko

 

 

Le rapport de Mr Alexandre Devely sur l’implémentation EAP-TLS sous WINDOWS 2003 nous a permis à mon collègue Laurent K et moi, de mettre en place un serveur d’authentification sous Windows 2003 Serveur.

 

 

Installation du serveur Windows 2003

Pour mettre en œuvre 802.1x, nous avons besoin des services suivants.

1.       Serveur Radius ( IAS), qui authentifie les utilisateurs

2.       Autorité de certification (certificat serveur), qui génère les certificats X509.

En théorie, l’installation de l’Active Directory n’est pas nécessaire…

Or sans Active Directory le serveur radius de Microsoft se contente de l’authentification MD5-challenge, j’ai l’impression que le serveur radius ne peut pas s’enregistrer au près du serveur de certificat, et comme dit le proverbe « pas de certificat X509 pour le radius, pas de EAP-TLS ». Une fois l’Active Directory installé, le radius s’inscrit dans l’annuaire et la méthode d’authentification EAP avec certificat apparaît dans la console d’administration du radius.

Installons l’Active Directory…

 

Installation d’Active Directory

 

L’installation s’effectue, en sélectionnant les options par défauts :

·         Démarrer | Exécuter et renseigner dcpromo.exe dans le champ Ouvrir :

Voir les documentations d’AD (active directory)

 

 

Installation de l’autorité de certification

 · Pour installer le service de certificat, aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de certificats.

·         Confirmer que ni le nom de l’ordinateur, ni son appartenance au domaine ne seront modifiés.

·         Choisir Autorité racine d’entreprise, puis cliquer sur Suivant

 

·         Choisir un nom pour l’autorité de certification ( cawifi, dans notre exemple )

 

·         Laisser les paramètres par défaut, et cliquer sur Suivant

 

·         Confirmer l’arrêt du service IIS, en cliquant sur Oui.

·         L’installation du serveur de certificat est terminée.

 

 

Installation du serveur radius

 

·         Pour installer le service Radius appelé aussi Service d’authentification Internet, chez Microsoft, aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en réseau | Service d’authentification Internet.

· Cliquer sur OK, l’installation s’effectue en sélectionnant les paramètres par défaut.

Configuration du serveur Windows 2003

Créer un compte utilisateur dans Active directory

·         Pour créer un compte utilisateur dans l’Active Directory, cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory

·         Dans le dossier Users,  cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur

Cliquer sur Suivant

·         Cliquer sur Suivant

·         Cliquer sur Terminer

·         Editer les propriétés de l’utilisateur, pour autoriser l’accès distant :

·         Séléctionner Autoriser l’accès dans la section Autorisation d’accès distant (appel entrant ou VPN )

·         Cliquer sur OK

 

Créer un groupe de sécurité global dans Active Directory

 

·         Pour créer un groupe de sécurité global dans l’Active Directory, cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory

·         Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe, ajoutez l’utilisateur au groupe

 

Paramétrer le service IAS

 

http://www.microsoft.com/windows2000/technologies/communications/ias/default.asp

Dans l’interface d’administration du Service d’authentification Internet, Ajouter un client Radius :

 

·         Renseigner le nom de l’AP, et son adresse IP

 

·         Définir le secret partagé entre l’AP et le serveur Radius

·         Le nouveau client radius apparaît dans la configuration du Service d’authentification Internet

 

 

·         Ajoutons une nouvelle stratégie d’accès distant, en utilisant l’assistant de configuration :

·         Cliquer sur suivant pour dérouler l’assistant

·         Nommer la stratégie wifi-eaptls dans notre exemple.

·         Choisir la méthode d’accès Sans fil pour la stratégie

·         Ajouter le groupe wifigrp précédement créé dans l’Active Directory.

·         Sélectionner le type EAP Carte à puce ou autre certificat pour cette stratégie.

 

·         Cliquer sur Terminer pour enregistrer la nouvelle stratégie, puis vérifier les propriétés de la nouvelle stratégie wifi-eaptls

 

 

 

·         Cliquer sur Modifier le profil…

·         Dans l’onglet Authentification, vérifier qu’aucune méthode d’Authentification n’est sélectionné, puis cliquer sur Méthodes EAP. Nous retenons uniquement EAP, car c’est la seule à supporte les clés WEP dynamiques.

·         Cliquer sur le bouton Modifier, après avoir sélectionné Carte à puce ou autre certificat

 ·         Vérifier que le certificat correspond à votre autorité de certification

                                   Fin installation Radius

Freeradius sous Linux fonctionne aussi, je ne me rappelle pas d’un bon support qui ma permis de le faire. Ecrivez moi si besoin

Installation des certificats sous Windows XP

Ajouter de l’autorité principale de confiance

Pour ajouter l’autorité de certification, sur le poste client :

·         Se connecter sur http://server/certsrv.

·         S’authentifier au près du serveur IIS,  avec le nom d’utilisateur crée précédemment 

·         Cliquer sur le lien Télécharger un certificat d'autorité de certification, une chaîne de certificats ou une liste de révocation de certificats.

·         Cliquer sur installez cette chaîne de certificats d'Autorité de certification

Valider la boite de dialogue informant l’installation d’une nouvelle autorité de certification

Le nouveau certificat de l’autorité de certification apparaît dans Menu | Outils | Options Internet | Contenu | Certificats | Certificats… | Autorité principales de confiance

Ajouter un certificat X-509

 

·         Pour ajouter un certificat X-509 utilisateur : se connecter sur http://server/certsrv.

·         Cliquer sur le lien Demander un certificat, la page suivante s’affiche :

·         Cliquer sur le lien Certificat utilisateur

 

·         Cliquer sur le bouton Envoyer >

·         Confirmer la génération de la clé publique pour le certificat utilisateur

·         Confirmer l’installation du certificat utilisateur, la page suivante s’affiche :

 

Vérifier que le certificat X509 contient bien l’attribut étendu Authentification du client (1.3.6.1.5.5.7.3.2) dans Menu | Outils | Options Internet | Contenu | Certificats | Personnel | wifi-util01 | Détails | Utilisation avancée de la clé.

Point d’accès CISCO aironet 350 série

Dans le cas d’une authentification avec un serveur RADIUS, le point d’accès  deviens client du serveur et c’est lui qui redirige l’authentification vers le serveur. Il a donc fallu vérifier que le point d’accès CISCO AIRONET 350 gère bien ce service.

 

Page de compte Radius

172.19.0.2 adresse IP de Radius                         Shared secret : clé échangée

Le point d’accès permet bien de faire une requête d’authentification au serveur RADIUS.

 

 

Les différentes étapes de l’authentification.

 

 

 

 

 

 

 

 

 

 

 

 

 



Conclusion

La mise en place d’un réseau Wi-Fi n’est pas quelque chose que l’on décide du jour au lendemain. Une étude du réseau et des besoins des utilisateurs doit être réalisée au préalable.

La sécurité, quant à elle, n’est pas à négliger. En effet, il ne suffi pas de brancher un point d’accès sur le réseau pour disposer d’une passerelle Wi-Fi ; même pour un particulier je conseille vivement un cryptage avec clef WEP.

Un serveur d’authentification Radius accroît la sécurité.

Merci à Laurent K et toutes les personnes qui mis de la documentation sur le net.