Sécurité WIFI - WPA/802.1x - Windows & Software
Marsh Posté le 09-03-2006 à 15:15:45
Tu tombes bien ça fait quelques mois que je bosse sur l'authentification radius, je connais tout par coeur ...
par contre il me faut plus de détails: 802.1x ça marche avec des WEP tournantes, donc je suppose que tu veux pas faire du 802.1x mais du WPA/TKIP voir WPA/AES (802.11i).
Je suppose que tu as donc mis en place une infrastructure avec certificats (EAP/TLS,PEAP ... ?).
Au niveau serveur tu as bien installé IIS avec ASP.NET pour l'échange des certifs, une authorité de certification, des stratégies d'acces distant sous IAS etc....
Eventuellement tes event system sur ton serveur peuvent servir, voir ce que IAS nous dit.
Ah oui et tu dois avoir fait joindre ta machine au domaine, pour avoir un compte machine au niveau de l'AD. En effet quand tu démarres ton poste, il y a déjà une authentification machine AVANT l'authentification utilisateur. De plus il faut passer par le service natif d'XP pour la config wifi, car un logiciel client tiers se lance APRES le démarrage.
L'authentification peut donc très bien se faire lors de l'ouverture de session. Et heureusement, car sinon au niveau GPO, lecteurs réseaux etc. ce serait le merdier, faudrait se logguer en cache etc. donc impraticable en entreprise.
C'est pour un réseau d'entreprise ? sinon je te conseille de faire du WPA-PSK, c'est déjà costaud et ça t'évitera des heures d'emmerdements.
Marsh Posté le 09-03-2006 à 15:27:38
Quelle classe! Merci!
Ben ecoute en fait, ce que j'aimerais concrètement (et de n'importe quelle façon), c'est que pour la connexion du client sur le réseau, il demande un nom d'utilisateur et un MdP pour l'authentification... tu métrise le sujet aussi? ...
Merci d'avance...
Marsh Posté le 09-03-2006 à 15:29:26
Excuse moi pour le mess incomplet...
Pour le RADIUS j'ai effectivement mis en place un système de certificat. Mais est-ce nécessaire?
Pcq en fait j'aimerais travailler avec les utilisateurs se trouvant dans l'AD.
Marsh Posté le 09-03-2006 à 15:33:30
en fait j'aimerais mettre à disposition un Point d'accès dans mon immeuble pour tout le monde. Et chaque habitant aurait son prope compte utilisateur... voilà je pense avoir répondu à tes question! En 3 réponse!!!!! balezzzz kan mmm!!!!! a+
Marsh Posté le 09-03-2006 à 15:45:22
Je te conseille de faire du PEAP, c'est plus simple que de l'EAP/TLS car tu n'as pas besoin de déployer une infrastructure à clé publique, c'est à dire que tu as juste besoin d'un certificat sur ton serveur et pas d'un certificat serveur et d'un certif pour chaque client.
En EAP/TLS, il y a double assurance: ton client est sûr de se connecter au bon serveur, ton serveur est sur d'authentifier le bon utilisateur. En PEAP, c'est uniquement le client qui s'assure de dialoguer avec le bon serveur.
De plus PEAP est plus facilement géré par XP et 2003 car il a été développé par Crosoft( et Cisco).
Par contre comme toi tu n'as pas l'air de vouloir gérer les certificats, tu peux utiliser PEAP tout en ne vérifiant pas le certificat du serveur. Il te suffit dans la config wifi du portable de virer "valider le certificat du serveur". Comme ça tu utiliseras uniquement PEAP pour l'échange de login et pass.
Donc en fait pas besoin de s'emmerder avec le téléchargement du certificat serveur sur ton poste.
Pour ce qui est de la config serveur:
- au niveau d'AD, est-ce que ton portable a bien un compte dans le conteneur "computers" ?
- ton utilisateur doit avoir "permettre l'accès distant" dans les options "Dial-in" de son compte.
- faut pas se planter au niveau de la stratégie d'accès distant d'IAS: par exemple, essaye en mettant juste un filtre d'heure, et dans les options du profile, faut bien spécifier PEAP, MSCHAP-V2, sélectionner le certif du serveur (meme si il ne l'utilise pas).
Au niveau du client:
- bien passer en WPA/TKIP dans un premier temps, mettre PEAP, et SURTOUT "authentifier avec les informations de la machine quand elles sont dispo" si tu veux pouvoir te loguer à AD via WIFI lors de l'ouverture de session. Mettre également dans les propriétés d'eap, tout en bas "utiliser login et pass windows pour l'authentification", sans quoi il va te demander un autre login et pass (utile quand on veut se loguer en local ou en cache, ca permet, quand on active le wifi, de retaper un login et pass, par contre moins pratique).
En fait il y a encore plein de paramètres qui rentre en compte, c'est assez chaud comme architecture.
Pour plus de facilités, je te conseille d'utiliser l'observateur d'événement de 2003, onglet systeme, et tu verras tous les messages d'IAS. Ca te permettra de voir si ton client, au moins, dialogue bien avec IAS, et surtout ca te dira ce qui va pas.
Marsh Posté le 09-03-2006 à 15:47:07
Ok, bah vu ce que tu veux, pas besoin de faire de l'authentification lors de l'ouverture de session, car tes utilisateurs vont se logguer en local sur leur poste.
Donc pas besoin d'activer "authentifier avec les informations machines" etc et SURTOUT désactive "utiliser mes login et pass windows" sans quoi il va se logguer à IAS via ton compte local ... ca risque pas de marcher.
Pour plus de facilités de gestion tu peux créer un compte "wifi" ou tu mettras les comptes des gens de ton immeuble, avec les politiques de sécurité que tu veux, et filtrer dans les stratégies distant la connexion pour uniquement ces utilisateurs.
(prend pas en compte ce que j'ai dit dans le post d'avant pour la config client, c'était seulement au cas ou tu voudrais faire de l'authentification en meme temps que l'ouverture de session).
Marsh Posté le 09-03-2006 à 15:54:05
effectivement les certificats ne m'interesse pas le moins du monde.
tout ce que je désire c'est une boîte de dialogue qui s'ouvre me demandant mon domaine, mon nom d'utilisateur et mon mot de passe, comme tu l'as compris...
pour répondre a tes question, oui les machines concernées sont bien présentent dans l'AD.
je vais tester ta solution et je repost dans quelque instant!
merci pour tes nombreuses info qui me rendent gravement service!
Marsh Posté le 09-03-2006 à 15:57:37
ben tiens, plus facile, je vais te faire des screens de mon serveur et de mes clients du boulot. On est sous 2000 serveur mais ça change pas grand chose.
Marsh Posté le 09-03-2006 à 15:58:34
juste petit détail... pour la configuration de mon Access Point.
Comme type d'authentification je met 802.1x ou WPA alors? et dois-je activer la "Dynamic WEP Key Exchange"?
Vu que le client se configure en WPA/TKIP...
Marsh Posté le 09-03-2006 à 15:59:14
ho si tu me fais ca, ce serait la grande classe...
heu tu pense les faire pour aujourdhui? ou c'est un peu le stress?
Marsh Posté le 09-03-2006 à 16:00:43
S'il y a des commentaires à faire sur la configuration de l'Access Point tu me fais savoir l'ami?
merci de prendre du temps pour moi! ++
Marsh Posté le 09-03-2006 à 16:22:23
Tu mets WPA, 802.1x c'est pour les clés WEP dynamiques. C'est obsolète maintenant.
En principe si tu mets WPA (et non WPA-PSK), tu dois pouvoir entrer l'adresse IP de ton radius et le "secret" (un pass) du radius. Il faut également ajouter le radius dans IAS (mais je suppose que tu l'as fait).
par contre je retourne bosser, donc si t'as d'autres question je te répondrai ce soir ou demain ^^
Marsh Posté le 09-03-2006 à 16:31:28
merci beaucoup...
je vais tester tout cela... et redonne des news dès que possible... au plus tard demain...
bonne soirée! merci encore
Marsh Posté le 09-03-2006 à 16:38:24
Scrypt a écrit : Tu mets WPA, 802.1x c'est pour les clés WEP dynamiques. C'est obsolète maintenant. |
Dans tout ce que tu dis, j'ai 2 remarques:
-Que fait tu s'il ne fveut pas utiliser de l'AD, ou du 100% full microsoft ...
-la phrase que je quote me fait peur: 802.1x obsolète ??? en est-tu sûr ? j'ai des doutes ...
Marsh Posté le 09-03-2006 à 19:01:57
trictrac a écrit : Dans tout ce que tu dis, j'ai 2 remarques: |
je bosse pas dans un environnement unix, mais je pense qu'un freeradius+openldap devraient pouvoir offrir la meme sécurité.
En wifi quand on parle de 802.1x on fait référence au wep dynamique, bien que ce soit faux en réalité puisque le protocole 802.1x est également nécessaire pour de l'auth radius+wpa 1 ou 2 D'ailleurs dans les config d'AP de pas mal de constructeurs les dénominations ne sont pas exactes non plus (ce qui me semblait être le cas pour son AP).
Marsh Posté le 09-03-2006 à 19:06:58
802.1X c'est le contrôle d'accès de l'utilisateur au niveau du point d'entrée dans le réseau (borne, port de switch etc...), aucun rapport avec le WEP ou un quelconque protocole de chifrement.
Marsh Posté le 09-03-2006 à 19:09:38
je sais bien, ça n'empêche que la dénomination est rarement juste.
Marsh Posté le 09-03-2006 à 19:30:34
si, 802.1x c'est ca, et pas autre chose ..
tu peux l'appeler comme tu veux, mais c'est pas autre chose, et c'en est qu'à ses débuts ...
(pour une fois que je suis d'accord avec dreamer18 )
Marsh Posté le 09-03-2006 à 19:32:53
moi je fais du 802.1x avec des ACS Cisco en plus
je sais Cisco c'est le mal
Marsh Posté le 09-03-2006 à 20:04:58
non, c'est pas cisco le mal ..
c'est ta vision des chose, soulignée par ta citation, qui est le mal ..
les monopoles sont le mal ...
Marsh Posté le 09-03-2006 à 20:09:36
en fait je ne soutiens Cisco uniquement parce que leurs diplômes ont une valeur sur le marché du travail...
Du cisco j'en fait tout le temps, alors c'est pas à moi qu'on va apprendre que certains de leurs produits sont vraiment nuls à chier
Marsh Posté le 10-03-2006 à 08:10:56
yes yes!
heu j'ai pas pu tirer une conclusion...
Ma configuration est-elle correcte:
AP: 802.1x
Client: WPA/TKIP (avec authentification 802.1x)
Pcq là ça marche toujours pas... Et dans l'observateur ne me note plus rien depuis le début des manips de ce post :s...
quelqu'un peut-il encore éclaircir ma lanterne ?
Merci d'avance!!!!
Marsh Posté le 10-03-2006 à 08:17:19
Scrypt a écrit : je bosse pas dans un environnement unix, mais je pense qu'un freeradius+openldap devraient pouvoir offrir la meme sécurité. |
yes yes!
heu j'ai pas pu tirer une conclusion...
Ma configuration est-elle correcte:
AP: 802.1x
Client: WPA/TKIP (avec authentification 802.1x)
Pcq là ça marche toujours pas... Et dans l'observateur ne me note plus rien depuis le début des manips de ce post :s...
quelqu'un peut-il encore éclaircir ma lanterne ?
Merci d'avance!!!!
Marsh Posté le 10-03-2006 à 08:22:15
Heu petit détail tout con... c'est pas nécessaire de redémarrer la machine cliente après chaque changement de configuration ou bien?
Faut-il aussi attendre un moment avant que la config soit validée?
Merci ++
Marsh Posté le 10-03-2006 à 08:24:54
désolé de faire 15mess a la foi avec 30 kestions, mais les idée me viennent ensuite!
mon AP doit il être configurer dans le réseau? une adresse DNS doit être insérer?
Comme vous pouvez le voir le réseau n'est pas trop mon point fort!
Merci a tous
Marsh Posté le 05-04-2006 à 10:26:11
Est ce que l'IAS et l'AD doivent obligatoirement se trouver sur le meme serveur ?
Marsh Posté le 09-03-2006 à 10:57:58
Bonjour la compagnie!
Il se trouve que j'ai quelques problèmes de sécurité pour mon ti réseau WIFI.
Description du matériel:
Machines:
Access Point : Zyxel - ZyAir G-1000
Carte cliente: Zyxel - ZyAir G-300
Alors pour la sécurité WEP, aucun problème de configuration mais c'est une sécurité inutile.
Mon principale problème vient du WPA et 802.1x.
J'aimerai pouvoir venir avec mon portable, me connecter sur le réseau en entrant mon nom d'utilisateur (qui se trouve dans l'AD de mon serveur ou en local sur l'Access Point - les deux solutions me conviennent).
Je précise que mon serveur est également contrôleur de domaine, et que les machines font partie du domaine... Est-ce vraiment nécessaire étant donné que l'authentification se fait après l'ouverture de session Windows?...
En bref vous voyez bien que le sujet, pour moi, n'est pas très clair!
A chaque tentative le message "Echec de l'authentification" apparaît... Je ne comprends pas.. ET JE PETE LES PLOMBSSSSSSSSS!!! !!!! !!! qqn peut-il m'aider?