Dploiement dun rseau Wifi scuris centralis: Solution d'authentification par serveur RADIUS.

Sommaire :

I. II. III. IV. V.

Schma gnral de la solution propose. Configuration du serveur RADIUS. Configuration du Switch DWS-4026. Configuration des stations. Conclusion.

I.

Schma gnral de la solution propose.

Dans ce scnario, il sera question dune solution dauthentification par serveur RADIUS sur un rseau Wi-Fi Wi centralis.

Pour raliser cette topologie il faudra utiliser : Un PC o il faudra configurer le serveur Radius, Un Switch DWS-4026, 4026, Au moins un point daccs DWL DWL-8600AP (le DWS-4026 supporte 64 4026 points daccs), Un Routeur DIR-100 configur en serveur DHCP 100 DHCP, Un PC portable / SmartPhone.

Dans la suite de ce document, sera explique la marche suivre pour configurer les diffrents organes de cette solution dauthentification. cette Sachez que FreeRADIUS est une solution dauthentification opensource. Il existe des solutions bien plus conviviales avec une gestion des utilisateurs via une base de donnes de type MySQL.

II.

Configuration du serveur Radius.

Tout dabord tlchargez et installez le logiciel libre FreeRADIUS. La version linux est disponible sur le site http://freeradius.org/, la version Windows, quant elle, est disponible ladresse http://www.freeradius.net/. La version utilise ici est FreeRADIUS.net1.1.7-r0.0.2 sous Windows. Aprs avoir install FreeRADIUS, il y aura quelques fichiers ouvrir et modifier. Allez dans C:\FreeRADIUS.net\etc\raddb et ouvrez le fichier client.conf avec un diteur de texte. Dans ce fichier, rajoutez soit ladresse IP du switch DWS-4026, soit une adresse de rseau (si vous avez plusieurs quipements susceptibles dinterroger le serveur RADIUS). Ladresse du DWS-4026 tant 10.90.90.90/8, il est possible de laisser la ligne par default (encadr rouge). Il y a galement un mot de passe partag qui est, par dfaut, testing123 . Ce mot de passe sera ncessaire pour la communication entre le serveur RADIUS et le client (DWS-4026). Il est fortement conseill de modifier ce mot de passe par souci de scurit.

Figure 1 : Fichier client.conf.

Sauvegardez le fichier et fermez-le.

Ouvrez maintenant le fichier users.conf. Ajoutez dans ce fichier les logins et mot de passe des utilisateurs qui se connecteront au rseau.

Figure 2 : Fichier users.conf.

La premire ligne (encadr rouge) a t rajoute pour authentifier lutilisateur testuser . Son mot de passe sera testpw . Le protocole dauthentification de cet utilisateur sera EAP . EAP tant le protocole dauthentification natif de Windows XP/2000. Pour plus dinformations sur les arguments quil est possible dajouter chaque utilisateur, passez en revu ce fichier, beaucoup dinformations importantes y sont prsentes.

Lancez FreeRADIUS. Il est possible de lancer la fentre de DEBUG pour avoir plus dinformations sur les changes entre le serveur RADIUS et les diffrents quipements.

Figure 3: Options FreeRADIUS.

III.

Configuration du Switch DWS-4026.

Allez sur linterface de configuration Web de votre switch DWS-4026, puis aller dans Security , RADIUS et RADIUS Authentication .

Figure 4: Interface d'ajout d'un serveur RADIUS.

Comme sur la figure 3, ajoutez ladresse IP du serveur RADIUS, le secret partag et surtout un nom dans RADIUS Server Name . Il faudra utiliser ce nom pour ajouter le serveur RADIUS un SSID. Cliquez sur Submit . Maintenant cliquez sur longlet WLAN , Administration et Basic Setup .

Figure 5: Ajout du Serveur RADIUS la configuration Wi-Fi.

Entrez dans RADIUS Authentication Serveur Name le nom choisi pour le serveur RADIUS, ce sera ici TestRadius . Cliquez sur Submit . Le statut du serveur RADIUS doit passer de Not Configured Configured . Aller dans longlet SSID

Figure 6: Choix du SSID.

Cliquez sur Edit pour ouvrir la page de configuration du SSID .

Figure 7: Configuration du SSID.

Dans cette page, choisissez un nom pour votre SSID , ajoutez le nom de votre serveur RADIUS. Pour ce qui est de la scurit, choisissez WPA/WPA2 , WPA Enterprise , et cochez WPA , WPA2 , TKIP , CCMP(AES) et Pre-Authentication . Pour finir cliquez sur Submit . Pour sauvegarder la configuration du Switch cliquez sur Tools , puis Save (figure 8).

Figure 8: Sauvegarde de la configuration.

Profitez-en pour rebooter le Switch. Pour ce faire allez dans Tool , Reboot System .

Figure 9: redmarrage du Switch DWS-4026.

IV.

Configuration du poste utilisateur.

Pour se connecter au SSID . Slectionnez-le dans la liste des rseaux sans fils disponible. Et cliquez sur Modifier les paramtres avancs .

Figure 10: Liste Windows des rseaux sans fils disponible.

Comme sur la figure 11, slectionnez WPA2 dans Authentification rseau et AES dans Cryptage de donnes . Pour continuer cliquez Authentification . sur longlet

Figure 11: Proprits du rseau sans fil.

Slectionnez EAP protg (PEAP) dans Type EAP . Cliquez ensuite sur Proprits .

Figure 12: Proprits du rseau sans fil 2. :

Dans cette nouvelle fentre fentre, dcochez Valider le certif certificat du serveur et slectionnez lectionnez Mot de pass scurit (EAP (EAPMSCHAP v2) dans le menu droulant de la mthode dauthentification . Cliquez maintenant sur Configurer et dcochez la case Utiliser automatiquemement mon nom douverture de session Cliquez sur OK jusqu jusquau retour la Figure 10.

Figure 13: Proprits du rseau sans fil 3. :

Aprs avoir ferm la fen fentre, lutilitaire de connexion de Windows va afficher un message (figure 14). Cliquez sur cette ). bulle, une fentre dauthentification va tre souvrir.
Figure 14: Bulle d'information rseau sans fil. :

Dans cette fentre, entrez le login et le mot de passe crs dans le fichier de configuration du serveur RADIUS (nom dutilisateur: testuser et le mot de passe: testpw). Et cliquez sur OK .

Figure 15: Fentre d'authentification Windows.

Lutilisateur est maintenant connect au rseau sans fil dlinktest .

Figure 16: Utilisateur authentifi.

V.

Conclusion.

En ayant connaissance des faiblesses de scurit des rseaux Wi-Fi, et au vu de l'essor important de ce type de matriel, il est aujourdhui primordial de protger son rseau. Il existe beaucoup de solutions de scurit sur le march. Lauthentification par serveur RADIUS et une solution o le niveau de scurit est trs correcte, cette solution sera souvent exige dans un dploiement Wi-Fi important tel que les entreprises, les universits ou encore les hpitaux.