On me demande de sécuriser notre réseau Wifi autrement que par un mot de
passe WPA global. Notre réseau est constitué exclusivement de PAs
DLINK DWL3200.
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve
dans les hotels, par exemple : tant que l'utilisateur ne s'est pas
authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son
identifiant personnel. J'ai installé FreeRadius sur une passerelle
FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne
l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par
contre, en ce qui concerne le portail d'authentification, je n'ai aucune
idée de ce qu'il faut faire.
Merci,
--
Xav
Disponible au 01/04/2010
<http://www.xavierhumbert.net/perso/CV2.html>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
xavier
Xavier wrote:
On me demande de sécuriser notre réseau Wifi autrement que par un mot de passe WPA global.
Bon, j'ai trouvé une doc là : <http://cric.grenoble.cnrs.fr/SiteWebAuthentification/index.php>
C'est copieux ! J'ai le matériel, et en principe, les compétences pour déployer tout ce qui est indiqué là, mais pas le temps, ni les ressources humaines...
Reconfigurer mes VLANs pour installer le 802.1x sur les switches, installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça ne va pas trop le faire...
Comment ils font, les gérants d'hôtels ou de cybercafés ?
-- Xav Disponible au 01/04/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Xavier <xavier@groumpf.org> wrote:
On me demande de sécuriser notre réseau Wifi autrement que par un mot de
passe WPA global.
Bon, j'ai trouvé une doc là :
<http://cric.grenoble.cnrs.fr/SiteWebAuthentification/index.php>
C'est copieux ! J'ai le matériel, et en principe, les compétences pour
déployer tout ce qui est indiqué là, mais pas le temps, ni les
ressources humaines...
Reconfigurer mes VLANs pour installer le 802.1x sur les switches,
installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça
ne va pas trop le faire...
Comment ils font, les gérants d'hôtels ou de cybercafés ?
--
Xav
Disponible au 01/04/2010
<http://www.xavierhumbert.net/perso/CV2.html>
On me demande de sécuriser notre réseau Wifi autrement que par un mot de passe WPA global.
Bon, j'ai trouvé une doc là : <http://cric.grenoble.cnrs.fr/SiteWebAuthentification/index.php>
C'est copieux ! J'ai le matériel, et en principe, les compétences pour déployer tout ce qui est indiqué là, mais pas le temps, ni les ressources humaines...
Reconfigurer mes VLANs pour installer le 802.1x sur les switches, installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça ne va pas trop le faire...
Comment ils font, les gérants d'hôtels ou de cybercafés ?
-- Xav Disponible au 01/04/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Fabien LE LEZ
On Wed, 2 Dec 2009 16:41:06 +0100, (Xavier):
Comment ils font, les gérants d'hôtels ou de cybercafés ?
Ils ne font pas : ils font faire, ou ils achètent un système entier déjà configuré.
On Wed, 2 Dec 2009 16:41:06 +0100, xavier@groumpf.org (Xavier):
Comment ils font, les gérants d'hôtels ou de cybercafés ?
Ils ne font pas : ils font faire, ou ils achètent un système entier
déjà configuré.
Comment ils font, les gérants d'hôtels ou de cybercafés ?
Ils ne font pas : ils font faire, ou ils achètent un système entier déjà configuré.
Etienne
Ce bavard de Xavier vient de nous dire:
Reconfigurer mes VLANs pour installer le 802.1x sur les switches, installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça ne va pas trop le faire...
Comment ils font, les gérants d'hôtels ou de cybercafés ?
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui en retour facturent l'heure de surf à des tarifs de débiles (ma dernière expérience, c'était 17 euros pour une autorisation de surfer pendant 24h).
Comble: Pour payer l'accès avec une carte bancaire, le système proposait une page HTTPS. Question à cent balles: comment tu vérifie l'authenticité du certificat SSL quand tu n'as pas encore accès au Net ? Question subsidiaire: Combien un cracker qui habite au voisinage d'un hôtel peut récupérer de numéros de carte bleue par jour en montant une attaque de type man-in-the-middle ?
-- Étienne
Ce bavard de Xavier vient de nous dire:
Reconfigurer mes VLANs pour installer le 802.1x sur les switches,
installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça
ne va pas trop le faire...
Comment ils font, les gérants d'hôtels ou de cybercafés ?
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui
en retour facturent l'heure de surf à des tarifs de débiles (ma
dernière expérience, c'était 17 euros pour une autorisation de surfer
pendant 24h).
Comble: Pour payer l'accès avec une carte bancaire, le système
proposait une page HTTPS. Question à cent balles: comment tu vérifie
l'authenticité du certificat SSL quand tu n'as pas encore accès au Net
? Question subsidiaire: Combien un cracker qui habite au voisinage d'un
hôtel peut récupérer de numéros de carte bleue par jour en montant une
attaque de type man-in-the-middle ?
Reconfigurer mes VLANs pour installer le 802.1x sur les switches, installer un annuaire LDAP, un serveur Radius, un portail chillispot, ça ne va pas trop le faire...
Comment ils font, les gérants d'hôtels ou de cybercafés ?
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui en retour facturent l'heure de surf à des tarifs de débiles (ma dernière expérience, c'était 17 euros pour une autorisation de surfer pendant 24h).
Comble: Pour payer l'accès avec une carte bancaire, le système proposait une page HTTPS. Question à cent balles: comment tu vérifie l'authenticité du certificat SSL quand tu n'as pas encore accès au Net ? Question subsidiaire: Combien un cracker qui habite au voisinage d'un hôtel peut récupérer de numéros de carte bleue par jour en montant une attaque de type man-in-the-middle ?
-- Étienne
xavier
Etienne wrote:
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui en retour facturent l'heure de surf à des tarifs de débiles (ma dernière expérience, c'était 17 euros pour une autorisation de surfer pendant 24h).
Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP pour 150 étudiants qui vont et viennent....
Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne peux rien faire dans les délais impartis. On va rester sur pf + proxy transparent + logging arp, et accès WPA2. Faut juste que je voie dans la doc DLink si un des AP peut servir de maître pour l'authentification WPA2, ou s'il faut se palucher les 20 qu'on a installés.
Anyway, je vais peut-être le faire quand même (802.1x + Radius + LDAP + chillispot) sur un des ports d'un des switches, juste pour le fun :-) Ca prendra juste des mois au lieu des trois jours qu'on me demande !
Merci,
(je remets fcs dans la liste des groupes pour remercier aussi Fabien)
-- XAv Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Etienne <tinou.is@free.fr> wrote:
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui
en retour facturent l'heure de surf à des tarifs de débiles (ma
dernière expérience, c'était 17 euros pour une autorisation de surfer
pendant 24h).
Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef
voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP
pour 150 étudiants qui vont et viennent....
Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne
peux rien faire dans les délais impartis. On va rester sur pf + proxy
transparent + logging arp, et accès WPA2. Faut juste que je voie dans la
doc DLink si un des AP peut servir de maître pour l'authentification
WPA2, ou s'il faut se palucher les 20 qu'on a installés.
Anyway, je vais peut-être le faire quand même (802.1x + Radius + LDAP +
chillispot) sur un des ports d'un des switches, juste pour le fun :-) Ca
prendra juste des mois au lieu des trois jours qu'on me demande !
Merci,
(je remets fcs dans la liste des groupes pour remercier aussi Fabien)
--
XAv
Disponible au 01/06/2010
<http://www.xavierhumbert.net/perso/CV2.html>
Ils confient ça à des boîtes spécialisées (Swisscom, Vodafone, ...) qui en retour facturent l'heure de surf à des tarifs de débiles (ma dernière expérience, c'était 17 euros pour une autorisation de surfer pendant 24h).
Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP pour 150 étudiants qui vont et viennent....
Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne peux rien faire dans les délais impartis. On va rester sur pf + proxy transparent + logging arp, et accès WPA2. Faut juste que je voie dans la doc DLink si un des AP peut servir de maître pour l'authentification WPA2, ou s'il faut se palucher les 20 qu'on a installés.
Anyway, je vais peut-être le faire quand même (802.1x + Radius + LDAP + chillispot) sur un des ports d'un des switches, juste pour le fun :-) Ca prendra juste des mois au lieu des trois jours qu'on me demande !
Merci,
(je remets fcs dans la liste des groupes pour remercier aussi Fabien)
-- XAv Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Dominique ROUSSEAU
Le mer, 02 déc 2009 at 10:14 GMT, Xavier a écrit :
Bonjour,
On me demande de sécuriser notre réseau Wifi autrement que par un mot de passe WPA global. Notre réseau est constitué exclusivement de PAs DLINK DWL3200.
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve dans les hotels, par exemple : tant que l'utilisateur ne s'est pas authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son identifiant personnel. J'ai installé FreeRadius sur une passerelle FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par contre, en ce qui concerne le portail d'authentification, je n'ai aucune idée de ce qu'il faut faire.
http://www.chillispot.info/features.html
Le mer, 02 déc 2009 at 10:14 GMT, Xavier <xavier@groumpf.org> a écrit :
Bonjour,
On me demande de sécuriser notre réseau Wifi autrement que par un mot de
passe WPA global. Notre réseau est constitué exclusivement de PAs
DLINK DWL3200.
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve
dans les hotels, par exemple : tant que l'utilisateur ne s'est pas
authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son
identifiant personnel. J'ai installé FreeRadius sur une passerelle
FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne
l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par
contre, en ce qui concerne le portail d'authentification, je n'ai aucune
idée de ce qu'il faut faire.
Le mer, 02 déc 2009 at 10:14 GMT, Xavier a écrit :
Bonjour,
On me demande de sécuriser notre réseau Wifi autrement que par un mot de passe WPA global. Notre réseau est constitué exclusivement de PAs DLINK DWL3200.
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve dans les hotels, par exemple : tant que l'utilisateur ne s'est pas authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son identifiant personnel. J'ai installé FreeRadius sur une passerelle FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par contre, en ce qui concerne le portail d'authentification, je n'ai aucune idée de ce qu'il faut faire.
http://www.chillispot.info/features.html
Christophe Bachmann
Dominique ROUSSEAU a écrit :
Le mer, 02 déc 2009 at 10:14 GMT, Xavier a écrit :
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve dans les hotels, par exemple : tant que l'utilisateur ne s'est pas authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son identifiant personnel. J'ai installé FreeRadius sur une passerelle FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par contre, en ce qui concerne le portail d'authentification, je n'ai aucune idée de ce qu'il faut faire.
http://www.chillispot.info/features.html
Vous n'auriez-pas une solution similaire pour un serveur Windows ? Par ce que là vous m'avez donné des idées... -- Greetings, Salutations, Guiraud Belissen, Château du Ciel, Drachenwald, Chris CII, Rennes, France
Dominique ROUSSEAU a écrit :
Le mer, 02 déc 2009 at 10:14 GMT, Xavier <xavier@groumpf.org> a écrit :
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve
dans les hotels, par exemple : tant que l'utilisateur ne s'est pas
authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son
identifiant personnel. J'ai installé FreeRadius sur une passerelle
FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne
l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par
contre, en ce qui concerne le portail d'authentification, je n'ai aucune
idée de ce qu'il faut faire.
http://www.chillispot.info/features.html
Vous n'auriez-pas une solution similaire pour un serveur Windows ? Par
ce que là vous m'avez donné des idées...
--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France
Le mer, 02 déc 2009 at 10:14 GMT, Xavier a écrit :
Ce qui est souhaité, c'est le même principe que les accés qu'on trouve dans les hotels, par exemple : tant que l'utilisateur ne s'est pas authentifié, il n'a accès qu'à une page Web lui demandant de rentrer son identifiant personnel. J'ai installé FreeRadius sur une passerelle FreeBSD, je suppose qu'il sait faire ça, au moins en ce qui concerne l'authentification, puisqu'il y a une option RADIUS dans les DLink. Par contre, en ce qui concerne le portail d'authentification, je n'ai aucune idée de ce qu'il faut faire.
http://www.chillispot.info/features.html
Vous n'auriez-pas une solution similaire pour un serveur Windows ? Par ce que là vous m'avez donné des idées... -- Greetings, Salutations, Guiraud Belissen, Château du Ciel, Drachenwald, Chris CII, Rennes, France
GuiGui
Xavier a écrit :
Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP pour 150 étudiants qui vont et viennent....
Chez nous, on fonctionne avec un boitier Cisco ASA. Le WiFi est open, mais ne permet que la connexion à l'ASA. Une fois authentifié sur l'ASA (via Radius), le boitier pousse une applet java qui monte un tunnel VPN. C'est super efficace, et les utilisateurs du WiFi sont isolés les uns des autres (pas de sniff possible).
Par contre, Cisco c'est pas donné :-(
Il y a aussi la solution ucopia, qui est une solution de portail captif packagée, avec gestion complète (jusqu'à l'édition des tickets de connexion ou l'envoi d'identifiants via SMS).
Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne peux rien faire dans les délais impartis. On va rester sur pf + proxy transparent + logging arp, et accès WPA2. Faut juste que je voie dans la doc DLink si un des AP peut servir de maître pour l'authentification WPA2, ou s'il faut se palucher les 20 qu'on a installés.
Il existe l'AP manager de D-Link, qui permet de pousser des paramètres sur tous les AP en même temps, mais ne fonctionne que sous windows. Sinon on peut très facilement écrire un script qui se connecte sur les AP en telnet ou SSH et fait le boulot.
Une autre solution serait de partir sur un nouvel équipement WiFi, avec bornes passives et switch WiFi qui gère les bornes. Certains modèles de switchs intègrent déjà le portail captif. En plus, ce genre d'équipement permet le roaming natif même en WPA2 (très pratique pour les téléphones WiFi, par exemple, ou encore pour l'équilibrage de charge, la connexion pouvant être rejetée de façon transparente sur une borne moins chargée). Dans le genre, les équipement motorola (ex-symbol) sont les moins chers et très efficaces.
FU2 fcs qui me semble le plus approprié
Xavier a écrit :
Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef
voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP
pour 150 étudiants qui vont et viennent....
Chez nous, on fonctionne avec un boitier Cisco ASA. Le WiFi est open,
mais ne permet que la connexion à l'ASA. Une fois authentifié sur l'ASA
(via Radius), le boitier pousse une applet java qui monte un tunnel VPN.
C'est super efficace, et les utilisateurs du WiFi sont isolés les uns
des autres (pas de sniff possible).
Par contre, Cisco c'est pas donné :-(
Il y a aussi la solution ucopia, qui est une solution de portail captif
packagée, avec gestion complète (jusqu'à l'édition des tickets de
connexion ou l'envoi d'identifiants via SMS).
Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne
peux rien faire dans les délais impartis. On va rester sur pf + proxy
transparent + logging arp, et accès WPA2. Faut juste que je voie dans la
doc DLink si un des AP peut servir de maître pour l'authentification
WPA2, ou s'il faut se palucher les 20 qu'on a installés.
Il existe l'AP manager de D-Link, qui permet de pousser des paramètres
sur tous les AP en même temps, mais ne fonctionne que sous windows.
Sinon on peut très facilement écrire un script qui se connecte sur les
AP en telnet ou SSH et fait le boulot.
Une autre solution serait de partir sur un nouvel équipement WiFi, avec
bornes passives et switch WiFi qui gère les bornes. Certains modèles de
switchs intègrent déjà le portail captif. En plus, ce genre d'équipement
permet le roaming natif même en WPA2 (très pratique pour les téléphones
WiFi, par exemple, ou encore pour l'équilibrage de charge, la connexion
pouvant être rejetée de façon transparente sur une borne moins chargée).
Dans le genre, les équipement motorola (ex-symbol) sont les moins chers
et très efficaces.
Bon, ben c'est pas très réjouissant, tout ça. Et en plus mon chef voudrait qu'on s'évite la contrainte de mettre à jour l'annuaire LDAP pour 150 étudiants qui vont et viennent....
Chez nous, on fonctionne avec un boitier Cisco ASA. Le WiFi est open, mais ne permet que la connexion à l'ASA. Une fois authentifié sur l'ASA (via Radius), le boitier pousse une applet java qui monte un tunnel VPN. C'est super efficace, et les utilisateurs du WiFi sont isolés les uns des autres (pas de sniff possible).
Par contre, Cisco c'est pas donné :-(
Il y a aussi la solution ucopia, qui est une solution de portail captif packagée, avec gestion complète (jusqu'à l'édition des tickets de connexion ou l'envoi d'identifiants via SMS).
Je vais lui dire qu'avec le cahier des charges qu'il m'a donné je ne peux rien faire dans les délais impartis. On va rester sur pf + proxy transparent + logging arp, et accès WPA2. Faut juste que je voie dans la doc DLink si un des AP peut servir de maître pour l'authentification WPA2, ou s'il faut se palucher les 20 qu'on a installés.
Il existe l'AP manager de D-Link, qui permet de pousser des paramètres sur tous les AP en même temps, mais ne fonctionne que sous windows. Sinon on peut très facilement écrire un script qui se connecte sur les AP en telnet ou SSH et fait le boulot.
Une autre solution serait de partir sur un nouvel équipement WiFi, avec bornes passives et switch WiFi qui gère les bornes. Certains modèles de switchs intègrent déjà le portail captif. En plus, ce genre d'équipement permet le roaming natif même en WPA2 (très pratique pour les téléphones WiFi, par exemple, ou encore pour l'équilibrage de charge, la connexion pouvant être rejetée de façon transparente sur une borne moins chargée). Dans le genre, les équipement motorola (ex-symbol) sont les moins chers et très efficaces.
FU2 fcs qui me semble le plus approprié
xavier
GuiGui wrote:
[... plein de choses passionnantes ...]
Merci beaucoup ! Ca ne va pas servir cette fois-ci, mais dans le prochain (j'espère) boulot :-)
-- XAv - senior à 51 ans, misère :-( Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
GuiGui <GuiGui@nospam.fr> wrote:
[... plein de choses passionnantes ...]
Merci beaucoup ! Ca ne va pas servir cette fois-ci, mais dans le
prochain (j'espère) boulot :-)
--
XAv - senior à 51 ans, misère :-(
Disponible au 01/06/2010
<http://www.xavierhumbert.net/perso/CV2.html>
