Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

26 Avril 2014 Institut Supérieur d’Informatique MISE EN PLACE D’UN SERVEUR D’AU

26 Avril 2014 Institut Supérieur d’Informatique MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION FREERADIUS AVEC UNE BASE DE DONNEES MYSQL Réalisé et présenté par : Professeur encadreur : Gloria Gihanne Agnès M Massamba LO YAKETE-OUALIKETTE Master 2 Réseaux et Systèmes Informatiques 1 TABLE DE MATIERES INTRODUCTION ............................................................................................................................ 3 RADIUS ........................................................................................................................................ 3 Le protocole RADIUS ....................................................................................................................4 Les différents types de paquets...................................................................................................4 Le format standard des paquets RADIUS ....................................................................................4 Les attributs et leurs valeurs .......................................................................................................5 Les différents serveurs RADIUS ......................................................................................... 6 FreeRADIUS.................................................................................................................................. 6 Les avantages de FreeRADIUS .....................................................................................................7 Comment ça marche ? .................................................................................................................8 La base d’authentification ...........................................................................................................8 PLACE A LA PRATIQUE ! ................................................................................................................ 9 Prérequis ......................................................................................................................................9 Installation des paquets nécessaires ...........................................................................................9 Configuration de la base de données ............................................................................................ 9 Création de la base de données radius .......................................................................................9 Création de l’utilisateur radius et attribution des droits .......................................................... 10 Importation des tables de la base de données depuis le serveur FreeRADIUS ....................... 10 Ajout d’un utilisateur ................................................................................................................ 12 Ajout du NAS ............................................................................................................................. 13 Mise en place des certificats et clés.............................................................................................. 13 Création du certificat de l’autorité de certification ou CA ....................................................... 13 Création du certificat du serveur .............................................................................................. 15 Création du certificat du client ................................................................................................. 16 Exportation des certificats et clés ............................................................................................ 18 Création du fichier des échanges Diffie-Hellman ..................................................................... 23 Création du fichier random ...................................................................................................... 23 Configuration de FreeRADIUS ...................................................................................................... 23 Configuration du fichier radiusd.conf ....................................................................................... 23 Configuration du fichier default ............................................................................................... 24 Configuration du fichier sql.conf .............................................................................................. 25 Configuration du fichier eap.conf .............................................................................................. 25 2 Test de fonctionnement .............................................................................................................. 26 Test en fonctionnement en local .............................................................................................. 26 Test de fonctionnement depuis un autre terminal .................................................................. 26 Configuration du point d’accès et connexion au réseau sans fil ..................................................... 28 Configuration du point d’accès ................................................................................................. 28 Connexion au réseau sans fil depuis un terminal Windows 8 .................................................. 30 Connexion au réseau sans fil depuis un terminal Windows 7 ............................................................ 52 Connexion au réseau sans fil depuis un terminal Linux Ubuntu 12.04 ............................................... 57 Conclusion ............................................................................................................................................. 58 3 INTRODUCTION Si les réseaux filaires, en évoluant, conservent leurs performances et leur efficacité côté sécurité, cet aspect reste encore sensible pour les réseaux sans fil dont la gestion peut paraitre parfois fastidieuse. En effet, un point d’accès émet dans toutes les directions et aussi loin que porte son signal : un réseau sans fil n’a aucune limite, contrairement aux réseaux filaires dont on connait le début et la fin. Les premiers réseaux sans fil faisaient donc l’objet de nombreux soucis liés à l’authentification des utilisateurs et au chiffrement des communications. La première solution à ce problème fut l’apparition des clés WEP qui étaient utilisées à la fois pour authentifier et chiffrer les échanges. Elles deviennent très vite obsolètes car l’algorithme a été rapidement cassé et la méthode d’authentification n’était pas fiable (basée sur une clé partagée). Mais l’avènement du WPA et du WPA2 en 2004 a été d’un grand secours pour les réseaux sans fil. Aujourd’hui on peut parler d’un niveau de sécurité élevé car de nombreuses technologies sont nées depuis lors, visant à améliorer cet aspect : VPN, SSL,… Pratiquement tous les postes utilisateurs sont équipés d’une couche logicielle appelée supplicant qui prend en compte le WPA qui offre ainsi les fonctions d’authentification et de chiffrement. Pour pouvoir s’authentifier, le supplicant doit envoyer des requêtes à un serveur dédié qui se charge de vérifier les informations et d’accepter ou refuser les demandes : le serveur RADIUS. I- RADIUS Un serveur RADIUS est un serveur qui implémente le protocole RADIUS et qui a principalement trois missions : • L’authentification • L’autorisation • La comptabilité La fonction d’authentification est assurée de deux manières : soit par mot de passe, soit par certificat électronique. Le serveur échange des informations avec le client afin d’avoir la preuve qu’il est bien celui qu’il prétend être. Dans un réseau segmenté, l’autorisation consiste à envoyer des attributs à l’équipement réseau auquel le poste utilisateur est connecté. Par exemple, après authentification du poste, le serveur radius envoie au commutateur auquel il est connecté le numéro de VLAN où il doit être placé. Cette fonction permet donc de placer chaque poste utilisateur au bon endroit et ce, de façon automatique. La dernière fonction qui est la comptabilité permet au serveur RADIUS d’enregistrer un certain nombre d’informations pour des fins ultérieures: heure de connexion, numéro de VLAN, adresse MAC… Ces informations pourraient servir par exemple à la facturation dans certains cas. Mais RADIUS assure une dernière mission qui est le chiffrement des transactions après l’authentification. L’authentification avec RADIUS est basée sur deux grandes familles de protocoles : • RADIUS-MAC qui permet l’authentification à partir de l’adresse MAC 4 • 802.1X avec EAP qui permet l’authentification par mot de passe ou par certificat électronique et permet aussi l’utilisation du WPA. 1. Le protocole RADIUS RADIUS ou Remote Access Dial In User Service est un protocole défini par la RFC 2865 de l’EITF. Destiné à l’origine pour résoudre les problèmes d’authentification pour accès distants, il s’étend aujourd’hui à l’authentification des postes utilisateurs sur des réseaux locaux filaires et sans fil. Il répond au modèle AAA, fonctionne en mode UDP sur les ports : • 1812 pour recevoir les requêtes d’authentification et d’autorisation • 1813 pour recevoir les requêtes de comptabilité (accounting) Il n’y a jamais de communication directe entre le protocole RADIUS et les postes utilisateurs. Mais celui-ci communique avec ses clients qui sont appelés NAS (par exemple les points d’accès,…). 2. Les différents types de paquets Le protocole RADIUS utilise 4 types de paquets différents pour assurer l’authentification : • Le paquet Acces-Request qui est émis par le NAS vers le serveur RADIUS pour initialiser la conversation. Il contient l’attribut User-Name et d’autres attributs comme Nas-Identifier… • Le paquet Access-Accept qui est envoyé par le serveur RADIUS au NAS lorsque sa demande d’authentification a été validée. • Le paquet Access-Reject est envoyé par le serveur RADIUS au NAS lorsque l’authentification échoue • Le paquet Access-Challenge qui est envoyé par le serveur après réception du Access- Request venant du NAS. Il a pour but de demander d’autres informations au NAS et de provoquer l’envoi d’un nouveau Access-Request. Il est toujours utilisé avec le protocole 802.1X EAP pour demander le mot de passe ou le certificat. 3. Format standard des paquets RADIUS Tous les paquets RADIUS ont un format général composé de 5 champs : Code ID Longueur Authentificateur Attributs et valeurs 5 • Le champ Code d’une longueur d’un octet contient une valeur qui permet d’identifier le type du paquet :  Code=1 correspond à un Access-Request  Code=2 correspond à un Access-Accept  Code=3 correspond à un Access-Reject  Code=4 correspond à un Access-Challenge • Le champ ID d’une longueur d’un octet contient une valeur qui permet au NAS d’associer les requêtes aux réponses. • Le champ Longueur d’une longueur de 16 octets contient la longueur totale de tout le paquet • Le champ Authentificateur d’une longueur de 16 octets permet de vérifier l’intégrité du paquet. On distingue deux types d’authentificateur à savoir l’authentificateur de requête qui est inclus dans les paquets Access-Request et l’authentificateur de réponse qui se trouve dans les autres types de paquet. • Le champ Attributs et Valeurs d’une longueur variable contient les attributs et les valeurs qui seront envoyés soit par le serveur RADIUS soit par le NAS 4. Les attributs et leurs valeurs La compréhension du rôle et de la signification des attributs est extrêmement importante car ils sont la base, le fondement même du protocole RADIUS. Ainsi, il existe une multitude d’attributs mais les plus connues sont : • User-Name envoyé par le NAS, il contient l’identifiant qui va servir de point d’entrée dans la base du serveur d’authentification • User-Password, mot de passe associé au User-Name et envoyé par le NAS • Nas-IP-Address qui contient l’adresse IP du NAS qui communique avec le serveur • Nas-Port qui est le numéro de port du NAS sur lequel le poste utilisateur est connecté • Called-Station-Id qui est l’adresse MAC du NAS. Celui-ci l’envoie au serveur afin d’authentifier chaque station utilisateur en fonction du matériel auquel il est connecté. • Calling-Station-Id qui est l’adresse MAC de la station utilisateur qui se connecte au réseau • Les attributs « vendors » sont des fonctionnalités supplémentaires qui permettent de gérer les fonctions supplémentaires qui ne font pas partie des standards de RADIUS Les valeurs des attributs sont généralement l’une des valeurs suivantes : 6 • Adresse IP • Date • Chaine de caractères • Entier • Valeur binaire • Valeur contenue dans la liste des valeurs RADIUS prend également en compte un grand nombre de fonctionnalités qui constituent les extensions de RADIUS. Parmi ces extensions, il y a le VLAN et un support IEEE 802.1X- EAP sans oublier le protocole EAP/TLS, le protocole EAP/TTLS, … 5. Les différents serveurs RADIUS Les serveurs RADIUS les plus répandus sont : • Free RADIUS • Cistron RADIUS • ICRadius • XTRadius • Open RADIUS • GNU-Radius • YARD-Radius II- FreeRADIUS FreeRADIUS est un serveur RADIUS libre, hautement riche en modules et en fonctionnalités. Il est considéré comme le uploads/Ingenierie_Lourd/ expose-freeradiu1.pdf