1 REPUBLIQUE TOGOLAISE Travail - Liberté - Patrie MINISTERE DU PLAN ET DE LA CO

1 REPUBLIQUE TOGOLAISE Travail - Liberté - Patrie MINISTERE DU PLAN ET DE LA COOPERATION EXPOSE D’ADMINISTRATION ET SECURITE RESEAU ASR3 / 2020 - 2021 Institut Africain d’Informatique - Représentation du TOGO (IAI-TOGO) Tel : 22 20 47 00 E-mail : iaitogo@iai-togo.tg Site Web: www.iai-togo.tg 07 BP 12456 Lomé 07, TOGO AUTHENTIFICATION WIFI AVEC RADIUS Rédigé et présenté par Chargé du cours AGBESSENOU Philippe YOVO Maxime TAGBA Ida Mr ALI MIZOU 2 Table des matières INTRODUCTION 2 I. Authentification RADIUS 4 II. Etapes d’authentification 4 III. Installation et configuration de RADIUS 6 CONCLUSION 16 3 INTRODUCTION Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC. Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS. 4 I. Authentification RADIUS L'identification effectuée par un serveur RADIUS est une vérification de nom d'utilisateur (attribut 1 User-Name) et de mot de passe (attribut 2 User-Password ou 3 Chap-Password). Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et une base d’utilisateurs en assurant le transport des données d’authentification de façon normalisée. Enfin, le client final qui se connecte au réseau envoie tout simplement sa demande au point d'accès. Il n'échange aucune donnée avec le serveur radius. Il envoie juste son identifiant et son mot de passe sur le réseau qui est relayé jusqu'au serveur. Le client RADIUS, appelé NAS (Network Access Server), fait office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. Le client recueille des informations sur l'utilisateur (nom, mot de passe) en utilisant un protocole d'authentification (PAP/CHAP par exemple). Il passe ces informations au serveur RADIUS, et agit en fonction de la réponse qu'il lui retourne. Tout point d'accès ou switch doit pouvoir supporter le protocole d'encryptage. C'est cet appareil qui va effectuer le dialogue avec le radius. Le NAS fonctionne de manière bloquante. Tant que le serveur n'a pas renvoyé de requête d'acquittement d'accès, l'utilisateur est verrouillé. C'est lui qui va lui attribuer l'adresse IP et donc effectuer la connexion. Les clients radius (NAS) peuvent être intégrés à différents types de périphériques :  Bornes wifi (EAP)  Routeurs  Daemon hotspot  Autre ... La communication entre le client et le serveur RADIUS est authentifiée au moyen d'un secret qui n'est "jamais" envoyé sur le réseau. Il est en fait chiffré avec l'algorithme MD5, puis un OU exclusif (XOR) avec le mot de passe de l'utilisateur est appliqué (transaction dans le sens client-->serveur). Dans l'autre sens, le serveur chiffre le secret en le concaténant avec un ensemble de paramètres, le tout étant "haché" avec MD5. II. Etapes d’authentification Le service RADIUS jouera donc un rôle prépondérant dans la gestion de l’authentification des utilisateurs du hotspot wifi. Afin de détailler ce principe de fonctionnement, un schéma simplifié détaille les principales opérations effectuées : 5 Ce schéma montre les différentes étapes (1 à 5) du mécanisme d'authentification sur le serveur RADIUS. Voici le détail du déroulement du scénario :  Un utilisateur envoie une requête au NAS afin d’autoriser une connexion à distance.  Le NAS achemine la demande au serveur RADIUS.  Le serveur RADIUS consulte la base de données d’identification  Afin de connaître le type de scénario d’identification demandé pour l’utilisateur. Soit le scénario actuel convient, soit une autre méthode d’identification est demandée à l’utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :  ACCEPT : l’identification a réussi.  REJECT : l’identification a échoué.  CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l’utilisateur et propose un « défi ». Freeradius, logiciel Opensource, permet d'interagir avec un nombre important de sources externes. En voici un exemple :  PAP  CHAP/MS-CHAP/MS-CHAPv2  Authentification sur un contrôleur de domaine  Proxy vers un autre serveur RADIUS (Exemple portail neuf tel) 6  PAM (Pluggable Authentication Modules)  LDAP (Seulement PAP)  Programme perl/Programme python/Programme java  SIP Digest (Cisco VoIP boxes)  Authentification Kerberos (Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs)  Wifi EAP  EAP-MD5/Cisco LEAP/EAP-MSCHAPV2/EAP-GTC/EAP-SIM  EAP-TLS/EAP-TTLS/EAP-PEAP (with tunnelled EAP) III. Installation et configuration du serveur RADIUS Sous Windows Server, la mise en place d'un serveur RADIUS s'effectue en installant le rôle NPS (Network Policy Server). Ce serveur pourra être utilisé pour authentifier des utilisateurs Active Directory sur un Proxy par exemple. Prérequis Vous devez disposer d’un domaine Active Directory fonctionnel. Installation du rôle NPS (Network Policy Server) 1)Ouvrir une session avec un compte du domaine ayant les privilèges Administrateur. 2)Ouvrir le Gestionnaire de serveur – Gérer – Ajouter des rôles et fonctionnalités 3) Cliquez sur Suivant 7 4) Cocher Installation basée sur un rôle ou une fonctionnalité puis cliquer sur Suivant 5) Cocher : Sélectionner un serveur du pool de serveurs Sélectionner le serveur sur lequel vous voulez installer le rôle NPS Cliquer sur Suivant 8 6) Cocher : Service de stratégie et d'accès réseau Cliquer sur Ajouter des fonctionnalités Cliquer sur Suivant 7) On n'installe pas de fonctionnalités supplémentaires. Cliquer sur Suivant 9 8) Cocher : Serveur NPS (Network Policy Server) Cliquer sur Suivant 9) Cliquer sur Fermer 10 Ajout d’un nouveau client RADIUS 1) Panneau de configuration - Outils d'administration - Serveur NPS (Network Policy Server) 2) Clients et serveurs RADIUS - Clients RADIUS – Nouveau 3) Nous allons renseigner les informations de la borne wifi sur le serveur. Laissez cocher « Activer ce client RADIUS ». Nom convivial : Entrez le nom d’hôte de la borne WiFi. Adresse IP : Renseignez l’adresse IP de la borne Wi-Fi. Pour le secret laissez cocher « Manuel » et renseignez la clé que vous saisirez aussi sur la borne Wi-Fi. 11 Création d'une nouvelle stratégie réseau 1)Vous arriverez sur la fenêtre d’administration de RADIUS. Nous allons commencer par configurer la stratégie de connexion à notre réseau Wifi. Dépliez le menu « Stratégie », faites un clic droit sur « Stratégies réseau » et sélectionnez « Nouveau » 12 2) Vous allez arriver sur la fenêtre ci-dessous. Entrez le nom de votre stratégie et cliquez sur « Suivant ». 3) Pour la condition cliquez sur « Ajouter » et sélectionnez « Groupes d’utilisateurs » et cliquez à nouveau sur « Ajouter » : 13 4) Cliquez sur « Ajouter des groupes ». Vous allez ensuite devoir sélectionnez le groupe. Sachez que je vais prendre un groupe qui contient tous les utilisateurs du domaine. Vous pouvez restreindre l’accès en créant un groupe sur l’Active Directory et en intégrant à ce groupe les utilisateurs pouvant se connecter au réseau Wi-Fi en question. Écrivez utilisateurs et cliquez sur « Vérifier les noms » 14 5) Laissez cocher « Accès accordé » et cliquez sur « Suivant ». 6) Pour les méthodes authentification, cliquez sur « Ajouter… ». 7) Fin de l’installation 15 Test de d’authentification RADIUS port : Adresse IP de la machine Cliente Radius RADIUS Secret Key : La cle secrete partage au niveau de la creation du Client Radius 16 CONCLUSION uploads/Ingenierie_Lourd/ expose-radius.pdf

Documents similaires

y Page 30 Vie quotidienne Un réseau de bus plus accessible y Page 4 Trois mois 0 0

REPUBLIQUE DE COTE D’IVOIRE Union-Discipline-Travail Ministère de l’Enseignemen 0 0

ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du T 0 0

Corrigé du td d’évolution des réseaux, corrigé par Wilfried Nono CORRIGE DE TD 0 0

Mini projet : N° 3 Sujet : les travaux topographiques dans le domaine de VRD Op 0 0

Netcom Réseaux, communication et territoires 32-1/2 | 2018 Expéditions géograph 0 0

Ministère de l’Enseignement Supérieur Université de Jendouba Institut Supérieur 0 0

See discussions, stats, and author profiles for this publication at: https://ww 0 0

5/18/2021 réalisé par : Amiri Adel Mohammed Nadjib . Bengrira Mohammed . Le rés 0 0

Master 1 IF, ENS de Lyon Évaluation de performance 14 décembre 2011 TD 11 : Rés 0 0

• Détails
• Publié le Oct 31, 2022
• Catégorie Heavy Engineering/...
• Langue French
• Taille du fichier 0.6730MB