Portail d'authentification RADIUS

Le
xavier
Bonjour,

On me demande de sécuriser notre réseau Wifi autrement que par un mot de
passe WPA global. Notre réseau est constitué exclusivement de PAs
DLINK DWL3200.

Ce qui est souhaité, c'est le même principe que les accés qu'on trouve
dans les hotels, par exemple : tant que l'utilisateur ne s'est pas
authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son
identifiant personnel. J'ai installé FreeRadius sur une passerelle
FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne
l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par
contre, en ce qui concerne le portail d'authentification, je n'ai aucune
idée de ce qu'il faut faire.

Merci,

--
Xav
Disponible au 01/04/2010
<http://www.xavierhumbert.net/perso/CV2.html>
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
xavier
Le #20680091
Xavier
On me demande de sécuriser notre réseau Wifi autrement que par un mot de
passe WPA global.



Bon, j'ai trouvé une doc là :

C'est copieux ! J'ai le matériel, et en principe, les compétences pour
déployer tout ce qui est indiqué là, mais pas le temps, ni les
ressources humaines...

Reconfigurer mes VLANs pour installer le 802.1x sur les switches,
installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça
ne va pas trop le faire...

Comment ils font, les gérants d'hôtels ou de cybercafés ?

--
Xav
Disponible au 01/04/2010
Fabien LE LEZ
Le #20680291
On Wed, 2 Dec 2009 16:41:06 +0100, (Xavier):

Comment ils font, les gérants d'hôtels ou de cybercafés ?



Ils ne font pas : ils font faire, ou ils achètent un système entier
déjà configuré.
Etienne
Le #20681401
Ce bavard de Xavier vient de nous dire:

Reconfigurer mes VLANs pour installer le 802.1x sur les switches,
installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça
ne va pas trop le faire...

Comment ils font, les gérants d'hôtels ou de cybercafés ?



Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui
en retour facturent l'heure de surf à des tarifs de débiles (ma
dernière expérience, c'était 17 euros pour une autorisation de surfer
pendant 24h).

Comble: Pour payer l'accès avec une carte bancaire, le système
proposait une page HTTPS. Question à cent balles: comment tu vérifie
l'authenticité du certificat SSL quand tu n'as pas encore accès au Net
? Question subsidiaire: Combien un cracker qui habite au voisinage d'un
hôtel peut récupérer de numéros de carte bleue par jour en montant une
attaque de type man-in-the-middle ?

--
Étienne
xavier
Le #20681701
Etienne
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui
en retour facturent l'heure de surf à des tarifs de débiles (ma
dernière expérience, c'était 17 euros pour une autorisation de surfer
pendant 24h).



Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef
voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP
pour 150 étudiants qui vont et viennent....

Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne
peux rien faire dans les délais impartis. On va rester sur pf + proxy
transparent + logging arp, et accès WPA2. Faut juste que je voie dans la
doc DLink si un des AP peut servir de maître pour l'authentification
WPA2, ou s'il faut se palucher les 20 qu'on a installés.

Anyway, je vais peut-être le faire quand même (802.1x + Radius + LDAP +
chillispot) sur un des ports d'un des switches, juste pour le fun :-) Ca
prendra juste des mois au lieu des trois jours qu'on me demande !

Merci,

(je remets fcs dans la liste des groupes pour remercier aussi Fabien)

--
XAv
Disponible au 01/06/2010
Dominique ROUSSEAU
Le #20703011
Le mer, 02 déc 2009 at 10:14 GMT, Xavier
Bonjour,

On me demande de sécuriser notre réseau Wifi autrement que par un mot de
passe WPA global. Notre réseau est constitué exclusivement de PAs
DLINK DWL3200.

Ce qui est souhaité, c'est le même principe que les accés qu'on trouve
dans les hotels, par exemple : tant que l'utilisateur ne s'est pas
authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son
identifiant personnel. J'ai installé FreeRadius sur une passerelle
FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne
l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par
contre, en ce qui concerne le portail d'authentification, je n'ai aucune
idée de ce qu'il faut faire.



http://www.chillispot.info/features.html
Christophe Bachmann
Le #20703221
Dominique ROUSSEAU a écrit :
Le mer, 02 déc 2009 at 10:14 GMT, Xavier


Ce qui est souhaité, c'est le même principe que les accés qu'on trouve
dans les hotels, par exemple : tant que l'utilisateur ne s'est pas
authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son
identifiant personnel. J'ai installé FreeRadius sur une passerelle
FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne
l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par
contre, en ce qui concerne le portail d'authentification, je n'ai aucune
idée de ce qu'il faut faire.



http://www.chillispot.info/features.html



Vous n'auriez-pas une solution similaire pour un serveur Windows ? Par
ce que là vous m'avez donné des idées...
--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France
GuiGui
Le #20744061
Xavier a écrit :


Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef
voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP
pour 150 étudiants qui vont et viennent....



Chez nous, on fonctionne avec un boitier Cisco ASA. Le WiFi est open,
mais ne permet que la connexion à l'ASA. Une fois authentifié sur l'ASA
(via Radius), le boitier pousse une applet java qui monte un tunnel VPN.
C'est super efficace, et les utilisateurs du WiFi sont isolés les uns
des autres (pas de sniff possible).

Par contre, Cisco c'est pas donné :-(

Il y a aussi la solution ucopia, qui est une solution de portail captif
packagée, avec gestion complète (jusqu'à l'édition des tickets de
connexion ou l'envoi d'identifiants via SMS).


Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne
peux rien faire dans les délais impartis. On va rester sur pf + proxy
transparent + logging arp, et accès WPA2. Faut juste que je voie dans la
doc DLink si un des AP peut servir de maître pour l'authentification
WPA2, ou s'il faut se palucher les 20 qu'on a installés.





Il existe l'AP manager de D-Link, qui permet de pousser des paramètres
sur tous les AP en même temps, mais ne fonctionne que sous windows.
Sinon on peut très facilement écrire un script qui se connecte sur les
AP en telnet ou SSH et fait le boulot.


Une autre solution serait de partir sur un nouvel équipement WiFi, avec
bornes passives et switch WiFi qui gère les bornes. Certains modèles de
switchs intègrent déjà le portail captif. En plus, ce genre d'équipement
permet le roaming natif même en WPA2 (très pratique pour les téléphones
WiFi, par exemple, ou encore pour l'équilibrage de charge, la connexion
pouvant être rejetée de façon transparente sur une borne moins chargée).
Dans le genre, les équipement motorola (ex-symbol) sont les moins chers
et très efficaces.


FU2 fcs qui me semble le plus approprié
xavier
Le #20748041
GuiGui
[... plein de choses passionnantes ...]



Merci beaucoup ! Ca ne va pas servir cette fois-ci, mais dans le
prochain (j'espère) boulot :-)

--
XAv - senior à 51 ans, misère :-(
Disponible au 01/06/2010
Publicité
Poster une réponse
Anonyme