Réseaux Wi-Fi + Radius EAP-TLS (utilisation de certificats) - Windows & Software
Marsh Posté le 03-03-2004 à 12:25:36
Sur mon DLink je peux déterminer la durée des sessions...
Marsh Posté le 03-03-2004 à 12:27:29
Mais sur le 3Com les sessions n'ont pas de limite. Si on n'est pas en mode entreprise, il n'y a aucune limite.
Donc je ne pense pas que ca vienne de là...
J'ai meme laisser un portable en ping permanant (-t) et ca a coupé au bout de 60min.
D'autant plus que je n'ai aucune envie de limiter les sessions.
Marsh Posté le 03-03-2004 à 21:14:50
J'ai vérifié le serveur Radius et ai défini des timout de 180min pour vérifier. Malgré celà, j'ai eu une déconnection à 27-30min.
Marsh Posté le 04-03-2004 à 04:15:07
je poste pour me tenir au jus, car je vais bientot commencer des tests de serveur radius
Marsh Posté le 04-03-2004 à 07:40:36
Fort de ce, j'ai repassé un des point d'accès en WPA PSK afin de vérifier si ca vient de l'architecture d'autentification Radius ou si ca vient du point d'accès.
Marsh Posté le 30-03-2004 à 14:08:43
Je dispose moi aussi de l'officeconnect de chez 3com mais je ne dispose vraisemblablement pas du meme firmware. Dans la partie encryption il n'est question que de wpa et de wep. Et ds wpa il n'apparait nul part le truc d'entreprise. Pourtant je dois absolument installer un serveur radius. Si c'est juste un pb de firmware ou puisje le trouver? j'ai déja chercher sur le site de 3com... ). Ou est un autre problème?
Marsh Posté le 31-03-2004 à 21:06:27
Freddddddd a écrit : Je dispose moi aussi de l'officeconnect de chez 3com mais je ne dispose vraisemblablement pas du meme firmware. Dans la partie encryption il n'est question que de wpa et de wep. Et ds wpa il n'apparait nul part le truc d'entreprise. Pourtant je dois absolument installer un serveur radius. Si c'est juste un pb de firmware ou puisje le trouver? j'ai déja chercher sur le site de 3com... ). Ou est un autre problème? |
Il est ici
http://www.3com.com/products/en_US [...] CRWE454G72
Marsh Posté le 14-04-2004 à 14:19:09
salut
je viens tardivement
au fait je me trouve dans le même cadre que toi et j'essai de mettre en place un réseua wifi entreprise
est ce que tu peux m'éclairer sur le choix entre deux AP 3com
3Com Wireless LAN Access Point 8700
ou
3Com® OfficeConnect® Wireless 11g Access Point
Marsh Posté le 14-04-2004 à 17:53:45
hola jef
t'es là ou pas?
Marsh Posté le 14-04-2004 à 19:31:04
Yes back.
Oulà, ca n'a rien à voir. Le OfficeConnect est un produit PME, home user, mais le 8700 est un produit d'entreprise (1000? env) SNMP etc...
Marsh Posté le 19-04-2004 à 15:22:57
Notre réseau de test a été reconstruit. Nouvelle installation de tous les DC et machines, je vais recommancer les tests.
Marsh Posté le 19-04-2004 à 17:03:02
ReplyMarsh Posté le 20-04-2004 à 14:10:42
je suis super interessé par ce sujet
jef34 as tu résolu tes blems d'EAP et de durées de session?
quel est ton serveur RADIUS "est ce windows ou un serveur physique - lequel dans cecas?"
à part l'EAP, qu'est ce que tu utilise pour sécuriser ton réseau:
1.au niveau lien wifi Wep/WPA autres?
2.au niveau applicatif t'as déjà mes des VPN pour des accès distant?
3.si tu as mis des VPN, a ce moment là n'est il pas inutile d'avoir un encodage du niveau en dessous
je uis désolé pour ces longues questions, je te remercie
Marsh Posté le 20-04-2004 à 17:00:37
espérant que quelqu'un vindra un jour
Marsh Posté le 21-04-2004 à 10:43:30
UP ou es tu jef
Marsh Posté le 21-04-2004 à 12:28:02
Je suis là, mais je suis en train de dépanner un serveur DHCP je reviens... lol
Marsh Posté le 21-04-2004 à 12:37:44
ce topic
Enfin une problématique CORRECTEMENT posée.
Avec ce qui a été deja fait et les problèmes.
Marsh Posté le 21-04-2004 à 14:23:19
Bon, c'est reparti. La base de données DHCP d'un serveur était corrompue.
Ben je recommance, je reinstalle l'autorité de certification de notre domaine de test et je recommance.
Marsh Posté le 21-04-2004 à 15:27:04
com21 a écrit : ce topic |
Merci
Marsh Posté le 21-04-2004 à 15:42:51
je profite de ce topic pour demander s'il y'a du monde ici qui utilise freeradius sous linux ?
Marsh Posté le 21-04-2004 à 15:45:04
elan a écrit : je suis super interessé par ce sujet |
en attente de réponse?!
Marsh Posté le 21-04-2004 à 15:51:52
korny a écrit : je profite de ce topic pour demander s'il y'a du monde ici qui utilise freeradius sous linux ? |
J'ai eu utilisé (authentification par certificat)...
Marsh Posté le 21-04-2004 à 16:31:38
elan a écrit : je suis super interessé par ce sujet |
Alors, mes prob doivent venir soit du serveur Radius, soit du point d'accès.
Pour identifier la source du problème, j'ai mit un point d'accès en WPA PSK et un portable le ping en permanent depuis 15h45 un serveur en ligne. Ca me permettra de verifier s'il y a un timeout sur le PA.
Après quoi, je vais remonter le PA en Radius et recommancer les tests.
En attendant la fin de ce test, je me concentre sur la théorie afin de tout vérifier.
1. Pour sécuriser j'utilise les adresses MAC + WPA (en radius ou PSK pour les tests).
2. J'ai des clients en VPN mais ils ne sont pas en Wi-Fi d'où l'implémentation du Radius + certificat pour WPA.
J'oubliais, j'utilise un serveur logiciel IAS sous Windows 2003.
Je pense que si je veux convaincre, je vais utiliser le minimum de $$, cependant, je ne néglige pas une solution hard si le projet tient la route.
Marsh Posté le 21-04-2004 à 16:49:31
merci jeff
moi c'est pas le coût qui importe mais la pointe technolique en sécurité!
crois tu que WPA suffit pour pas être hacké si on vise ton réseau?
surtout en hijacking ou pour le radius en MitM?
Marsh Posté le 21-04-2004 à 17:26:33
ReplyMarsh Posté le 21-04-2004 à 17:28:49
elan a écrit : merci jeff |
Ben je compte bien cumuler les sécurités, mais je ne pense pas abandonner le WPA. Il n'est pas parfait, mais présente une bonne avancée par rapport au WEP.
Mais en effet, le VPN est une sécurité supplémentaire que je compte bien implanter.
Marsh Posté le 21-04-2004 à 18:17:40
Je pense finallement opter pour un tunnel IPSec. La stratégie de sécurité sera facile à implanter et à déployer.
Marsh Posté le 21-04-2004 à 18:52:35
Jef34 a écrit : Je pense finallement opter pour un tunnel IPSec. La stratégie de sécurité sera facile à implanter et à déployer. |
Isolation du réseau Wifi dans un DMZ + IPSec avec authentification à base de Certificat
Trankille mimile...
Marsh Posté le 22-04-2004 à 00:32:06
Tiramissu75 a écrit : |
Ouais, bien vu.
Marsh Posté le 22-04-2004 à 00:54:21
Jef34 a écrit : Ouais, bien vu. |
Merci mais j'ai rien inventé ... c'est un classique en entreprise, mais vu que vous n'aviez pas évoqué le protocole IPSec...j'avais pas osé le faire.
Marsh Posté le 22-04-2004 à 11:03:56
Ca y est, l'autorité est en ligne, le serveur Radius aussi.
J'ai deux clients qui ont obtenu leur certificat et sont connectés.
Je lance le chrono à 11h.
Marsh Posté le 03-03-2004 à 11:25:07
Bonjour,
Je fais quelques tests d'implémentation du réseau sans fil sécurisé en entreprise.
Si l'on s'équipe de plusieurs point d'accès avec une clé 256bits en WPA (une clé assez longue en fait), le mieux est d'équiper les point d'accès qui font relais.
Filtrage par adresse MAC ok
Mais en ce qui concerne le WPA, si demain un user nouveau arrive, il faut lui indiquer la clé où la lui donner. Si on ne veut plus qu'il utilise le Wi-Fi (raison polique ou autre), il faut changer la clé du point d'accès (et donc celle de tous les users.
- Pour ceux que ca intéresse WPA vs WEP -
http://blog.netpartoo.com/index.ph [...] seSurLeWpa
C'est là qu'intervient le mode WPA Entreprise qui utilise un serveur Radius.
En gros, le point d'accès gère toujours le filtrage par adresses MAC, mais n'autentifie plus les users.
Sur le serveur Radius : on indique un groupe d'utilisateurs d'Active Directory autorisé à se connecter (+ règles horaires etc...)
Une autorité de certification de l'entreprise délivre des certificats qui permettront aux utilisateurs de s'autentifier.
Guide Microsoft :
Création d'une Autorité de certificat racine d'entreprise dans les petites et moyennes entreprises
Wireless LANs - A Windows Server 2003 Certificate Services Solution: Build Guide
Autre guide et Plus de détails :
Et le guide afin d'y parvenir :
http://www.koumoula.com/wifi/eap-tls/eap-tls.htm
Mon prob now :
Tous mes clients sont déconnectés au bout de 30min ou de 60min de leur point d'accès. Il leur faut à nouveau s'autentifier en désignant leur certificat comme ca
J'ai cherché dans toutes les politiques de connections du serveur Radius et je n'ai rien trouvé.
Qui a déjà mis en place ce système d'autentification et qui pourrait m'aiguiller. Je n'ai jamais mis en place de serveur Radius.
Le point d'accès est le 3Com® OfficeConnect® Wireless 11g Access Point
Configuré en radius
Message édité par Jef34 le 12-11-2004 à 18:38:11