Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Sécurité

LEAP / XP

Le
Thierry
'jour,

J'ai sous la main une AP Cisco et voudrait faire de l'autentification.

J'ai d'abord regardé le serveur d'authentification integré a la borne mais
apparement c'est du LEAP, non gére en natif par XP. google ne me retourne
que des telechargements de drivers/utilitaires pour adaptateurs Cisco ne
s'integrant qu'anarchiquement dans Windows puisqu'il faut arreter le
service wzcsvc de Windows. Vous connaitriez une extension LEAP s'integrant
"proprement" a XP ?


--
« Always look at the bright side of the life »
Lire les 9 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cedric Blancher
Le #239387
Le Fri, 16 Jul 2004 12:28:03 +0000, Thierry a écrit :
J'ai sous la main une AP Cisco et voudrait faire de l'autentification.
J'ai d'abord regardé le serveur d'authentification integré a la borne mais
apparement c'est du LEAP, non gére en natif par XP.


1. LEAP, c'est de la merde. Ça fait 3 ans qu'on sait que les
authentifications MS-CHAP sont sensibles à l'écoute, et tout ce que
trouve à faire Cisco, c'est de nous en monter une dans un contexte
wireless. Clap clap clap.

http://asleap.sourceforge.net/


2. Vous passerez probablement moins de temps à vous monter un RADIUS
libre sur un Linux qui supporte des vrais protocoles d'authentification,
genre PEAP, pour faire votre 802.1x.


3. Vous pouvez essayer le client Aegis de MeetingHouse, mais c'est payant.


--
Ce ne sont que des propositions. Je ne veux pas les faire passer en
force. Je pense que si mes idées doivent être reprises, elles ne
doivent pas passer au vote, pour plusieurs raison :
-+- BC in : http://neuneu.ctw.cc - Neuneu sans vote et sans forcer -+-

Répondre en citant
Thierry
Le #239178
Cedric Blancher news::

J'ai sous la main une AP Cisco et voudrait faire de
l'autentification. J'ai d'abord regardé le serveur d'authentification
integré a la borne mais apparement c'est du LEAP, non gére en natif
par XP.


1. LEAP, c'est de la merde. Ça fait 3 ans qu'on sait que les
authentifications MS-CHAP sont sensibles à l'écoute, et tout ce que
trouve à faire Cisco, c'est de nous en monter une dans un contexte
wireless. Clap clap clap.

http://asleap.sourceforge.net/


En fait c'est qu'un banc de test pour tester differentes conf, même si
pas robustes (de toute façon l'AP n'est reliée qu'a une machine de test).
J'essaye de me faire la main sur du pas trop compliqué.

2. Vous passerez probablement moins de temps à vous monter un RADIUS
libre sur un Linux qui supporte des vrais protocoles
d'authentification, genre PEAP, pour faire votre 802.1x.


A pas Linux et ça m'etonnerais que je passe moins de temps :-)
J'ai deja essayé radtac (sur la machine de test) sans trop de succes (les
trames arrivaient a lui, relayées par l'AP, ce qui qui est ma foi un bon
début, mais "Wrong or expired password").

3. Vous pouvez essayer le client Aegis de MeetingHouse, mais c'est
payant.


On a un client Odyssey de chez Funk qui supporte pas mal de protocoles
EAP mais je voulais commencer avec le moins de "briques" possibles et le
plus "simple" possible.

Bon, je repotasserai tout cela a tête reposée.


Répondre en citant
Bertrand
Le #239672
Salut,

J'ai sous la main une AP Cisco et voudrait faire de l'autentification.

J'ai d'abord regardé le serveur d'authentification integré a la borne
mais apparement c'est du LEAP, non gére en natif par XP. google ne me
retourne que des telechargements de drivers/utilitaires pour adaptateurs
Cisco ne s'integrant qu'anarchiquement dans Windows puisqu'il faut
arreter le service wzcsvc de Windows. Vous connaitriez une extension
LEAP s'integrant "proprement" a XP ?


Sinon j'ai fait du 802.1x avec un AP NetGear ME103 ainsi qu'un serveur
FreeRadius tournant coté LAN. J'utilise l'authentification EAP-TLS qui
est simple a gerer dans mon cas. J'ai une CA qui delivre des certificats a
chaque utilisateur (client)... le serveur radius donnant l'ordre a l'AP de
laisser passer la connection si l'utilisateur presente un certificat
valide.

C'est super bien geré par Windows XP ! (meme que j'en suis etonné). Seul
bemol, j'ai ete obligé de laisser le certif client decrypté dans le
magasin de certificats de Windows, si je coche l'option "demander la
passphrase a chaque utilisation" ca foire lamentablement. Dommage !

En tout cas je prefere ca a du WEP 104bits "classique". C'est bien plus
flexible !

Bien sur, tu peux mettre un serveur Radius sous Windows, il suffit d'en
trouver un. Au moins, le 802.1x, c'est standard, ca marche, et c'est plus
costaud que le LEAP.

@+
Bertrand

Répondre en citant
GG
Le #240514
1. LEAP, c'est de la merde. Ça fait 3 ans qu'on sait que les
authentifications MS-CHAP sont sensibles à l'écoute, et tout ce que
trouve à faire Cisco, c'est de nous en monter une dans un contexte
wireless. Clap clap clap.


Je pense que LEAP n'est pas de la merde comme tu dis mais ce n'est
pas un mode de fonctionnement fiable pour le WIFI.

2. Vous passerez probablement moins de temps à vous monter un RADIUS
libre sur un Linux qui supporte des vrais protocoles
d'authentification, genre PEAP, pour faire votre 802.1x.


Si vous avez un serveur Windows pas la peine le serveur RADIUS est
compris dans le pris et on peut très bien l'utiliser cela s'appelle IAS, il
sert même a cela il y a des notes chez MS poour implanter un IAS autour
d'une solution Wifi sécurisé, et cela ne coute pas plus cher, le serveur
de certificats est aussi disponible est fonctionne très bien aussi, et
aussi compris dans le prix d'un serveur W2K ou W2K3.

--
Cordialement
GG.

Répondre en citant
Cedric Blancher
Le #240513
Le Wed, 28 Jul 2004 18:30:03 +0000, GG a écrit :
Je pense que LEAP n'est pas de la merde comme tu dis mais ce n'est
pas un mode de fonctionnement fiable pour le WIFI.


Si j'ai bien compris ton propos, on ne peut pas dire d'un protocole qui
n'est pas fiable dans le domaine d'application pour lequel il a été
créé que c'est de la merde ?
Ce que je veux dire par là, c'est que quand LEAP a été designé, on
savait déjà que MSCHAP était vulnérable à des attaques supposant
l'écoute du trafic, ce qui ne peut pas être évité en WiFi.

Si vous avez un serveur Windows pas la peine le serveur RADIUS est
compris dans le pris et on peut très bien l'utiliser cela s'appelle
IAS, il sert même a cela il y a des notes chez MS poour implanter un
IAS autour d'une solution Wifi sécurisé, et cela ne coute pas plus
cher, le serveur de certificats est aussi disponible est fonctionne
très bien aussi, et aussi compris dans le prix d'un serveur W2K ou W2K3.


Tout à fait. Mais ça ne fait que du PEAP-MSCHAPv2 et de l'EAP-TLS si je
me souviens bien. Ceci dit, c'est amplement suffisant pour les besoins
présentés dans ce thread.


--
Si t'est en manque de copine, c'est pas comme ça que tu vas le résoudre :)
Na, ça va aller. Je suis marié avec plusieurs ordinateurs déjà. Pas le temps

pour des trucs organiques avec lesquels faut argumenter la moindre décision :-)
-+- AL in GFA : "Mauvaise transplantation d'organes" -+-

Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme