firewall/proxy avec authentification

Bonjour,

Je travaille pour la salle informatique de mon université. On a reçu
l'autorisation d'installer du Wifi et des prises ethernet pour les
étudiants.
Cependant, on ne veut pas risquer d'avoir n'importe qui qui se connecte à
n'importe quoi.
On voudrait faire du Nat à partir d'une adresse IP qu'on nous a allouée, et
faire passer les ports importants (ssh, ftp, http, subversion, cvs,...)
donc la solution du proxy http est incomplète.
La problème est qu'on voudrait que l'étudiant que se connecte aie à
s'authentifier avant de pouvoir utiliser la connection (par exemple, s'il
rentre une adresse quelconque il est redirigé vers le panneau
d'authentification).
J'ai discuté avec des personnes ayant eu affaire à ce genre de systèmes dans
des lieux publics (conférences sur le LL & co) mais je n'ai pas eu de noms.

Quelqu'un pourait m'éclairer ?
Merci beaucoup,

NuFW semble correspondre à ce cahier des charges.

http://www.nufw.org/

Il s'agit d'un parfeu authentifiant se greffant sur Netfilter du noyau
Linux. Il sait travailler avec squid (proxy) et les annuaires ldap,
faire de l'authentification par utilisateur, du filtrage par OS,
logiciel. Il sait même faire du Single Sign On.

Je réfléchis d'ailleurs à l'implémenter sur le réseau de mon
entreprise, composé entièrement de stations et serveurs Windows
(sic). Il n'est donc pas tributaire du type de clients présents sur le
LAN.
--
Laurent

Salut,

La problème est qu'on voudrait que l'étudiant que se connecte aie à
s'authentifier avant de pouvoir utiliser la connection (par exemple, s'il
rentre une adresse quelconque il est redirigé vers le panneau
d'authentification).
J'ai discuté avec des personnes ayant eu affaire à ce genre de systèmes dans
des lieux publics (conférences sur le LL & co) mais je n'ai pas eu de noms.

Voir du coté de IPsec (en n'autorisant ensuite coté routeur que le
traffic IPsec correctement signé) ou du coté de 802.1x, agissant tous
deux à des niveaux différents.

La solution IPsec a l'avantage de demander moins de matériel (tout peut
être fait en logiciel au niveau des clients et du routeur), alors qu'il
faut des gros switchs pour du 802.1x, qui offre par contre une
protection supplémentaire dans le sens où toute communication sur le
réseau, y compris de "client à client", est impossible avant
authentification.

Dans les deux cas il va falloir deployer au moins un système de
génération de certificats numériques propres à chaque étudiants (donc
avec une autorité de certification probablement "maison").

@+
Bertrand

Bonjour aris,

Une solution serait d'utiliser ce qui se fait deja depuis longtemps
pour les reseaux wireless, c'est a dire une passerelle
d'authentification. Je sais par exemple qu'un module PAM existe pour se
faire, il s'agit de pam_iptables sur lequel tu pourras tres
certainement greffer d'autres composants.

Liens:
http://www.itlab.musc.edu/~nathan/pam_iptables/
http://en.tldp.org/HOWTO/Authentication-Gateway-HOWTO/services.html
http://nocat.net/

Bonne journee a tous.

Aris wrote:

Quelqu'un pourait m'éclairer ?
Merci beaucoup,

Aris
Merci pour vos indications. je vais me tourner vers nocat ou nufw qui

semblent correspondre à mes besoins. la solution de l'ipsec ou 802.1 me
semble un peu trop "dure" et contraignante pour nos utilisateurs (des pov'
étudiants) mais aussi demanderont trop d'efforts de notre part (un solide
travail, générer les certifs et répondre au téléphone quand ça ne marche
pas !)

Le Mon, 28 Nov 2005 18:59:55 +0000, Aris a écrit :

Aris wrote:

Aris
Merci pour vos indications. je vais me tourner vers nocat ou nufw qui

semblent correspondre à mes besoins. la solution de l'ipsec ou 802.1 me
semble un peu trop "dure" et contraignante pour nos utilisateurs (des pov'
étudiants) mais aussi demanderont trop d'efforts de notre part (un solide
travail, générer les certifs et répondre au téléphone quand ça ne marche
pas !)

le problème est que les pauvres étudiants se snifferont
tranquillement leurs mots de passe msn/hotmail, si vous autorisez des
protocoles non cryptés.
Une autre solution, limitée à http/https mais tout le transport wifi est
en https. Cela ne nécessite pas de client sur les machines :
http://www.crium.univ-metz.fr/reseau/talweg/

Le Mon, 28 Nov 2005 22:48:09 +0000, yves Agostini a écrit :.

Une autre solution, limitée à http/https mais tout le transport wifi est
en https. Cela ne nécessite pas de client sur les machines :
http://www.crium.univ-metz.fr/reseau/talweg/

Si j'ai bien compris le fonctionnement, le client ne sera plus en mesure
de vérifier le moindre certificat de site, ni de s'authentifier par le
biais d'un certificat client si besoin est.


--
BOFH excuse #253:

We've run out of licenses

yves Agostini wrote:

Le Mon, 28 Nov 2005 18:59:55 +0000, Aris a écrit :

Aris wrote:

Aris
Merci pour vos indications. je vais me tourner vers nocat ou nufw qui

semblent correspondre à mes besoins. la solution de l'ipsec ou 802.1 me
semble un peu trop "dure" et contraignante pour nos utilisateurs (des
pov' étudiants) mais aussi demanderont trop d'efforts de notre part (un
solide travail, générer les certifs et répondre au téléphone quand ça ne
marche pas !)

le problème est que les pauvres étudiants se snifferont
tranquillement leurs mots de passe msn/hotmail, si vous autorisez des
protocoles non cryptés.
Une autre solution, limitée à http/https mais tout le transport wifi est
en https. Cela ne nécessite pas de client sur les machines :
http://www.crium.univ-metz.fr/reseau/talweg/
Tant pis, ils sont là pour réaliser leurs projets de groupe, pas pour

discuter sur msn. Je suis en train de faire fonctionner nocatauth, mais je
réalise que ce soft est loin d'un produit fini, et en plus il lui manque
l'authentification via NIS.

On ne veut surtout pas limiter à http/https, les étudiants ont besoin au
minimum de ssh. Maintenant si ils utilisent des protocoles non sûrs, c'est
leur problème (mais je vais m'arranger pour que leur login/pass du reseau
interne ne finisse *jamais* en clair sur le wifi, évidement.

Merci pour vos remarques,

Aris

OoO En cette nuit nuageuse du mardi 29 novembre 2005, vers 00:01,
Cedric Blancher <blancher@cartel-securite.fr> disait:

Une autre solution, limitée à http/https mais tout le transport wifi est
en https. Cela ne nécessite pas de client sur les machines :
http://www.crium.univ-metz.fr/reseau/talweg/

Si j'ai bien compris le fonctionnement, le client ne sera plus en mesure
de vérifier le moindre certificat de site, ni de s'authentifier par le
biais d'un certificat client si besoin est.

La description du système manque de précision, mais on peut imaginer
que pour les sites directement en HTTPS, il n'y a aucune interception
et on dialogue directement avec le serveur cible.
--
I WILL NOT HIDE THE TEACHER'S PROZAC
I WILL NOT HIDE THE TEACHER'S PROZAC
I WILL NOT HIDE THE TEACHER'S PROZAC
-+- Bart Simpson on chalkboard in episode 3G03

OoO En cette matinée pluvieuse du mardi 29 novembre 2005, vers 10:17,
je disais:

Une autre solution, limitée à http/https mais tout le transport wifi est
en https. Cela ne nécessite pas de client sur les machines :
http://www.crium.univ-metz.fr/reseau/talweg/

Si j'ai bien compris le fonctionnement, le client ne sera plus en mesure
de vérifier le moindre certificat de site, ni de s'authentifier par le
biais d'un certificat client si besoin est.

La description du système manque de précision, mais on peut imaginer
que pour les sites directement en HTTPS, il n'y a aucune interception
et on dialogue directement avec le serveur cible.

Vérifications prises dans le source, le trafic en HTTPS est également
détourné, donc il y aura bien des problèmes de certificats. Mais dans
l'absolu, on peut imaginer un système comme je le décris. Talweg
semble difficile à adapter tel quel car c'est le script Perl qui
effectue la redirection qui vérifie les autorisations. Il faudrait le
modifier pour qu'une IP autorisée soit autorisée à passer le firewall
pour le port 443.

C'est tout de même une idée intéressante que de forcer l'utilisation
de HTTPS pour tout. Cela ne limite pas les interceptions (à moins que
l'utilisateur ne vérifie à chaque fois que le certificat de la
passerelle ne change pas), mais il ne devient plus possible d'observer
passivement ce qu'il se passe.
--
Don't patch bad code - rewrite it.
- The Elements of Programming Style (Kernighan & Plauger)

Le Tue, 29 Nov 2005 13:33:55 +0000, Vincent Bernat a écrit :

OoO En cette matinée pluvieuse du mardi 29 novembre 2005, vers 10:17,
je disais:

Une autre solution, limitée à http/https mais tout le transport wifi est
en https. Cela ne nécessite pas de client sur les machines :
http://www.crium.univ-metz.fr/reseau/talweg/

Si j'ai bien compris le fonctionnement, le client ne sera plus en mesure
de vérifier le moindre certificat de site, ni de s'authentifier par le
biais d'un certificat client si besoin est.

.........

Vérifications prises dans le source, le trafic en HTTPS est également
détourné, donc il y aura bien des problèmes de certificats. Mais dans
l'absolu, on peut imaginer un système comme je le décris. Talweg
semble difficile à adapter tel quel car c'est le script Perl qui
effectue la redirection qui vérifie les autorisations. Il faudrait le
modifier pour qu'une IP autorisée soit autorisée à passer le firewall
pour le port 443.

Mais ici on risque le second problème de nocat : le vol de session.
Un utilisateur non authentifié peut utiliser cette connexion ouverte,
juste le temps d'envoyer un mail d'insulte.

C'est tout de même une idée intéressante que de forcer l'utilisation
de HTTPS pour tout. Cela ne limite pas les interceptions (à moins que
l'utilisateur ne vérifie à chaque fois que le certificat de la
passerelle ne change pas), mais il ne devient plus possible d'observer
passivement ce qu'il se passe.