Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

LEAP / XP

9 réponses
Avatar
Thierry
'jour,

J'ai sous la main une AP Cisco et voudrait faire de l'autentification.

J'ai d'abord regardé le serveur d'authentification integré a la borne mais
apparement c'est du LEAP, non gére en natif par XP. google ne me retourne
que des telechargements de drivers/utilitaires pour adaptateurs Cisco ne
s'integrant qu'anarchiquement dans Windows puisqu'il faut arreter le
service wzcsvc de Windows. Vous connaitriez une extension LEAP s'integrant
"proprement" a XP ?


--
« Always look at the bright side of the life... »

9 réponses

Avatar
Cedric Blancher
Le Fri, 16 Jul 2004 12:28:03 +0000, Thierry a écrit :
J'ai sous la main une AP Cisco et voudrait faire de l'autentification.
J'ai d'abord regardé le serveur d'authentification integré a la borne mais
apparement c'est du LEAP, non gére en natif par XP.


1. LEAP, c'est de la merde. Ça fait 3 ans qu'on sait que les
authentifications MS-CHAP sont sensibles à l'écoute, et tout ce que
trouve à faire Cisco, c'est de nous en monter une dans un contexte
wireless. Clap clap clap.

http://asleap.sourceforge.net/


2. Vous passerez probablement moins de temps à vous monter un RADIUS
libre sur un Linux qui supporte des vrais protocoles d'authentification,
genre PEAP, pour faire votre 802.1x.


3. Vous pouvez essayer le client Aegis de MeetingHouse, mais c'est payant.


--
Ce ne sont que des propositions. Je ne veux pas les faire passer en
force. Je pense que si mes idées doivent être reprises, elles ne
doivent pas passer au vote, pour plusieurs raison :
-+- BC in : http://neuneu.ctw.cc - Neuneu sans vote et sans forcer -+-

Avatar
Thierry
Cedric Blancher écrivait
news::

J'ai sous la main une AP Cisco et voudrait faire de
l'autentification. J'ai d'abord regardé le serveur d'authentification
integré a la borne mais apparement c'est du LEAP, non gére en natif
par XP.


1. LEAP, c'est de la merde. Ça fait 3 ans qu'on sait que les
authentifications MS-CHAP sont sensibles à l'écoute, et tout ce que
trouve à faire Cisco, c'est de nous en monter une dans un contexte
wireless. Clap clap clap.

http://asleap.sourceforge.net/


En fait c'est qu'un banc de test pour tester differentes conf, même si
pas robustes (de toute façon l'AP n'est reliée qu'a une machine de test).
J'essaye de me faire la main sur du pas trop compliqué.

2. Vous passerez probablement moins de temps à vous monter un RADIUS
libre sur un Linux qui supporte des vrais protocoles
d'authentification, genre PEAP, pour faire votre 802.1x.


A pas Linux et ça m'etonnerais que je passe moins de temps :-)
J'ai deja essayé radtac (sur la machine de test) sans trop de succes (les
trames arrivaient a lui, relayées par l'AP, ce qui qui est ma foi un bon
début, mais "Wrong or expired password").

3. Vous pouvez essayer le client Aegis de MeetingHouse, mais c'est
payant.


On a un client Odyssey de chez Funk qui supporte pas mal de protocoles
EAP mais je voulais commencer avec le moins de "briques" possibles et le
plus "simple" possible.

Bon, je repotasserai tout cela a tête reposée.


Avatar
Bertrand
Salut,

J'ai sous la main une AP Cisco et voudrait faire de l'autentification.

J'ai d'abord regardé le serveur d'authentification integré a la borne
mais apparement c'est du LEAP, non gére en natif par XP. google ne me
retourne que des telechargements de drivers/utilitaires pour adaptateurs
Cisco ne s'integrant qu'anarchiquement dans Windows puisqu'il faut
arreter le service wzcsvc de Windows. Vous connaitriez une extension
LEAP s'integrant "proprement" a XP ?


Sinon j'ai fait du 802.1x avec un AP NetGear ME103 ainsi qu'un serveur
FreeRadius tournant coté LAN. J'utilise l'authentification EAP-TLS qui
est simple a gerer dans mon cas. J'ai une CA qui delivre des certificats a
chaque utilisateur (client)... le serveur radius donnant l'ordre a l'AP de
laisser passer la connection si l'utilisateur presente un certificat
valide.

C'est super bien geré par Windows XP ! (meme que j'en suis etonné). Seul
bemol, j'ai ete obligé de laisser le certif client decrypté dans le
magasin de certificats de Windows, si je coche l'option "demander la
passphrase a chaque utilisation" ca foire lamentablement. Dommage !

En tout cas je prefere ca a du WEP 104bits "classique". C'est bien plus
flexible !

Bien sur, tu peux mettre un serveur Radius sous Windows, il suffit d'en
trouver un. Au moins, le 802.1x, c'est standard, ca marche, et c'est plus
costaud que le LEAP.

@+
Bertrand

Avatar
GG
1. LEAP, c'est de la merde. Ça fait 3 ans qu'on sait que les
authentifications MS-CHAP sont sensibles à l'écoute, et tout ce que
trouve à faire Cisco, c'est de nous en monter une dans un contexte
wireless. Clap clap clap.


Je pense que LEAP n'est pas de la merde comme tu dis mais ce n'est
pas un mode de fonctionnement fiable pour le WIFI.

2. Vous passerez probablement moins de temps à vous monter un RADIUS
libre sur un Linux qui supporte des vrais protocoles
d'authentification, genre PEAP, pour faire votre 802.1x.


Si vous avez un serveur Windows pas la peine le serveur RADIUS est
compris dans le pris et on peut très bien l'utiliser cela s'appelle IAS, il
sert même a cela il y a des notes chez MS poour implanter un IAS autour
d'une solution Wifi sécurisé, et cela ne coute pas plus cher, le serveur
de certificats est aussi disponible est fonctionne très bien aussi, et
aussi compris dans le prix d'un serveur W2K ou W2K3.

--
Cordialement
GG.

Avatar
Cedric Blancher
Le Wed, 28 Jul 2004 18:30:03 +0000, GG a écrit :
Je pense que LEAP n'est pas de la merde comme tu dis mais ce n'est
pas un mode de fonctionnement fiable pour le WIFI.


Si j'ai bien compris ton propos, on ne peut pas dire d'un protocole qui
n'est pas fiable dans le domaine d'application pour lequel il a été
créé que c'est de la merde ?
Ce que je veux dire par là, c'est que quand LEAP a été designé, on
savait déjà que MSCHAP était vulnérable à des attaques supposant
l'écoute du trafic, ce qui ne peut pas être évité en WiFi.

Si vous avez un serveur Windows pas la peine le serveur RADIUS est
compris dans le pris et on peut très bien l'utiliser cela s'appelle
IAS, il sert même a cela il y a des notes chez MS poour implanter un
IAS autour d'une solution Wifi sécurisé, et cela ne coute pas plus
cher, le serveur de certificats est aussi disponible est fonctionne
très bien aussi, et aussi compris dans le prix d'un serveur W2K ou W2K3.


Tout à fait. Mais ça ne fait que du PEAP-MSCHAPv2 et de l'EAP-TLS si je
me souviens bien. Ceci dit, c'est amplement suffisant pour les besoins
présentés dans ce thread.


--
Si t'est en manque de copine, c'est pas comme ça que tu vas le résoudre :)
Na, ça va aller. Je suis marié avec plusieurs ordinateurs déjà. Pas le temps

pour des trucs organiques avec lesquels faut argumenter la moindre décision :-)
-+- AL in GFA : "Mauvaise transplantation d'organes" -+-

Avatar
GG
Bien sur, tu peux mettre un serveur Radius sous Windows, il suffit
d'en trouver un.


Il est compris dans un serveur Windows 2000 ou 2003.
effectivement cela ne s'appelle pas RADIUS mais IAS chez
Microsoft qui signfie Internet Authentification Server ou Service.
Sous Windows 2003 il y a dans l'aide la description complete
du déploiement d'un IAS et de station Wifi avec shéma à
l'appui.

--
Cordialement
GG.

Avatar
GG
Si j'ai bien compris ton propos, on ne peut pas dire d'un protocole
qui
n'est pas fiable dans le domaine d'application pour lequel il a été
créé que c'est de la merde ?


Parfaitement, je prefère dire que ce n'est pas adapté. C'est tout.
Encore une fois, je ne dis pas qu'une 2CV c'est de la merde car
elle ne monte pas a 200km/h comme une Ferrari.

En sécurité c'est pareil, il faut savoir ce que l'on fait et on n'installe
pas un protocole qui n'est pas adapté au besoin. Maintenant on peut
peut-être reprocher a MS de ne pas avoir interdit ce mode d'identification
pour le 802.1x, mais je vois déjà d'ici l'autre bandes de trolls dire :
"ah!! ces enfoirés de MS ils ont interdits ceci et cela vous vous rendrait
compte."

Ce que je veux dire par là, c'est que quand LEAP a été designé, on
savait déjà que MSCHAP était vulnérable à des attaques supposant
l'écoute du trafic, ce qui ne peut pas être évité en WiFi.


Là aussi ce n'est pas tout a fait vrai, si vous connaissez parfaitement
le survet radio de vos points Wifi et que les zones Wifi sont protégé
avec accès restreint et controle pourquoi pas c'est encore un problème
de sécurité.

Tout à fait. Mais ça ne fait que du PEAP-MSCHAPv2 et de l'EAP-TLS si
je
me souviens bien. Ceci dit, c'est amplement suffisant pour les besoins
présentés dans ce thread.


Non IP/Sec aussi.
attention plus haut ou plus bas il a été soulevé le problème du certificat.
Avec l'unité de certification comprise aussi dans Windows (sacré serveur
Windaube ;-) il en contient des trucs cachés ) il ne faut pas travailler sur
du certificat racine mais sur des certificats secondaires issues de cette
unité de certification mais a durée de vie limitée. Encore une fois l'aide
en ligne est bien faite. Et ce qui est interessante pour une petite
entreprise
qui ne peut peut-être pas se payer un vrai certificat Verisign c'est qu'elle
peut utiliser cette techno sans pour autant que cela soit très couteux,
puisque compris dans le prix d'un serveur W2K ou W2K3.

--
Cordialement
GG.

Avatar
Cedric Blancher
Le Thu, 29 Jul 2004 12:21:22 +0000, GG a écrit :
Si j'ai bien compris ton propos, on ne peut pas dire d'un protocole
qui n'est pas fiable dans le domaine d'application pour lequel il a
été créé que c'est de la merde ?
Parfaitement, je prefère dire que ce n'est pas adapté. C'est tout.

Encore une fois, je ne dis pas qu'une 2CV c'est de la merde car elle ne
monte pas a 200km/h comme une Ferrari.


Je ne tournerais pas le problème de cette façon. Tu parles là de
fonctionnalité additionnelles. Une Ferrari et une 2CV sont toutes deux
des voitures dont les performances et les équipements diffèrent, mais
qui n'en remplissent pas moins toutes deux leur rôle primaire de
véhicule, répondant toutes deux au cahier des charges qui a conditionné
leur production.

Je te parle de l'essence même du protocole. LEAP est un protocole
d'authentification créé pour le WiFi dans le but de :

1. fournir un système d'authentification mutuelle résistant à l'écoute
2. fournir un système permettant la dérivation de clés de session

Et concernant le premier point, il présente des vulnérabilités qui
étaient connues au moment de sa réalisation, et qui font qu'il ne
remplit pas les besoins de base. Ceci dit, Cisco se rattrape avec EAP-FAST
qui semble nettement plus solide (faut que je creuse un peu quand même).

C'est un peu comme si dans une voiture moderne, je mettais un système de
freinage dont je sais qu'il n'est pas efficace. Si ce système de freinage
n'est adapté au freinage, je pense qu'on peut se permettre de dire que
c'est de la merde. Mais bon, c'est un avis subjectif et personnel.

En sécurité c'est pareil, il faut savoir ce que l'on fait et on
n'installe pas un protocole qui n'est pas adapté au besoin.


Tout à fait. Mais dans le cas de LEAP, il est fait pour répondre à un
besoin (authentification WiFi) auquel il n'est pas adapté. C'est dommage
quand même...

Maintenant on peut peut-être reprocher a MS de ne pas avoir interdit
ce mode d'identification pour le 802.1x, mais je vois déjà d'ici
l'autre bandes de trolls dire : "ah!! ces enfoirés de MS ils ont
interdits ceci et cela vous vous rendrait compte."


MS ne supporte pas LEAP, et c'est justement l'objet de ce thread. Je ne
vois donc pas ce que MS vient faire là-dedans. Ensuite, je ne dis pas que
LEAP n'est pas adapté au 802.1x (pourquoi pas faire du LEAP en filaire
?), mais au 802.1x en WiFi (ce pourquoi il a été créé).

Pour avoir du LEAP sous Windows, il faut installer du logiciel Cisco pour
qu'il soit disponible.

Par contre, MS a interdit l'authentification EAP-MD5 en WiFi, ce qui
est une bonne chose, parce que d'une part elle est extrêmement sensible
à l'interception (autrement plus que LEAP) et d'autre part elle ne permet
pas la dérivation de clés de session pour le chiffrement. Et ça ne
semble gêner personne, même si c'est tout même une méthode
d'authentification par login/password on ne peut plus simple et qui
pourrait répondre à certains besoins. Par contre, ils l'ont laissé pour
le filaire, contexte dans lequel c'est amplement suffisant.

J'ai donné l'impression de taper sur MS ou quoi ?

Là aussi ce n'est pas tout a fait vrai, si vous connaissez parfaitement
le survet radio de vos points Wifi et que les zones Wifi sont protégé
avec accès restreint et controle pourquoi pas c'est encore un problème
de sécurité.


Oui oui, et la marmotte... À part enfermer son réseau WiFi dans une cage
de Faraday, il apparaît que le confinement de la zone de couverture est
un problème extrêmement épineux, qui en plus est en totale opposition
avec le besoin de couverture efficace. Personnellement, je n'ai _jamais_
vu une couverture efficace* qui ne "bavait" pas dehors de la zone à
couvrir, et donc qu'on puisse écouter en dehors de cette zone. Si en
plus je prends une antenne, j'accrois encore ma capacité d'écoute.

Tout à fait. Mais ça ne fait que du PEAP-MSCHAPv2 et de l'EAP-TLS si
je me souviens bien. Ceci dit, c'est amplement suffisant pour les besoins
présentés dans ce thread.
Non IP/Sec aussi.



Je vois pas le rapport avec la choucroute. On parle d'authentification
802.1x, pas l'IPSEC. Un Win2k/Win2k3 Server, ça fait aussi contrôleur de
domaine, serveur d'impression, serveur NTP, serveur DNS, serveur DHCP, etc.

Mais l'idée de faire un réseau WiFi ouvert dont on ne sortirait qu'à
travers une passerelle IPSEC, fournissant authentification et chiffrement
répond au besoin. Et on peut le faire en standard sous Win2k/Win2k3
Server, si on l'a.

attention plus haut ou plus bas il a été soulevé le problème du
certificat.


Quel certificat ? L'initiateur de ce thread n'a jamais mentionné le
besoin de faire appel à des certificats. C'est un autre contributeur qui
relate son expérience avec EAP-TLS. Mais je ne crois pas lui répondre,
si ?

Et ce qui est interessante pour une petite entreprise qui ne peut
peut-être pas se payer un vrai certificat Verisign c'est qu'elle peut
utiliser cette techno sans pour autant que cela soit très couteux,
puisque compris dans le prix d'un serveur W2K ou W2K3.


À condition qu'elle possède un Win2K/Win3K Server, évidemment... C'est
joli, trois pubs pour les serveurs MS en trois posts... Tu es VRP ? Tu
veux que je t'achète une licence ?

Ceci dit, personne n'a besoin de se payer un certificat Verisign pour
mettre en place de l'EAP-TLS, Win2k/Win2k3 Server ou pas. Une autorité de
certification privée fera amplement l'affaire, et OpenSSL par exemple,
répondra parfaitement au problème pour créer les certificats. Les
certificats Verisign et compagnie ne se justifient pour pour les services
ouverts à de larges populations inconnues auxquelles on veut prouver son
identité. Dans le cas d'une authentification EAP-TLS, on n'a pas ce
besoin puisqu'on a la possibilité de distribuer le certificat de la CA à
tous ses utilisateurs, en même temps que leur certificat personnel.


* couverture efficace = couverture de l'intégralité de la zone à
couvrir, sans trou.

--
BOFH excuse #424:

operation failed because: there is no message for this error (#1014)


Avatar
Thierry
Cedric Blancher écrivait
news::

Quel certificat ? L'initiateur de ce thread n'a jamais mentionn‚ le
besoin de faire appel à des certificats.


Et bien puisque le sujet est evoqué :-) : quelle alternative a IAS pour
faire office d'autorité de certification intermédiaire (sur un 2Kpro-donc-
pas-serveur) ? (je savais que j'aurais du acheter le MISC 13...).
J'ai testé MD5, LEAP, PEAP et TTLS avec le client et le serveur de chez
Funk (versions d'eval). Ca se configure plutot bien. (merci a OpenSSL pour
les certifs).
Freeradius annonce un support de Windows pour la 1.0, mais j'ai recuperé
les sources (1.0.0pre3) mais nmake compile pas... Quelqu'un a reussi a le
compiler pour le faire tourner sous Windows ?