IX) Création des pages web d’accès à l’accounting :

Nous allons mettre en place un serveur web. Ce serveur web devra prendre en charge l’accès aux bases de données MySQL. Nous allons utiliser Apache+PHP5+MySQL. Le serveur MySQL est déjà installée.

# apt-get install apache2-mpm-prefork php5-mysql php5-ldap libapache2-mod-php5

Redémarrez apache : # /etc/init.d/apache2 restart

Les pages apache sont mises dans /var/www. Nous allons donc créer un répertoire « radius » pour y placer les pages « accounting ». Ce répertoire doit être en lecture pour le processus d’apache tournant sous « www-data ».

# mkdir /var/www/radius
# chmod 755 /var/www/radius

Nous allons créer trois pages PHP :

- page de connexion à MySQL pour la base de données « radius ».

- page d’entré récapitulant toutes les sessions radius et de sélection des utilisateurs.

- page de résultats de la sélection.

La page de connexion BDD config.inc.db.php :

http://www.system-linux.net/radius/export/conf.inc.db.html

La page par défaut index.php :

http://www.system-linux.net/radius/export/indexe.html

La page de résultats resultat.php :

 http://www.system-linux.net/radius/export/resultat.html

Ce qui devrait donner :

La page par défaut :

La page résultats :

X) Bibliographie :

• Authentification réseau avec Radius (Livre) : http://www.editions-eyrolles.com/Livre/9782212120073/authentification-reseau-avec-radius

• WPA-Enterprise and wpa_supplicant/hostapd
• Building Secure Wireless Networks
• Wi-Fi Protected Access – Wikipédia
• Nantes-Wireless :: Installation de FreeRadius en mode EAP/TLS
• FreeRadius-agalan
• Installing and Operating a RADIUS Server
• HOW TO : Wifi Access Point with hostap + hostapd + freeradius + mysql backend Part 1 – Ubuntu Forums
• HOW TO : Wifi Access Point with hostap + hostapd + freeradius + mysql backend Part 2 – Ubuntu Forums
• FreeRADIUS PEAP Authentication + Cisco AP + Windows XP + Windows AD Authentication
• FreeRadius et OpenLDAP – Le blog de Jean David TECHER, un Réunionnais à Antibes/Juan-Les-Pins
• FreeRADIUS + 802.1x/WPA + OpenLDAP
• Configuration Du Reseau Wifi – Wiki Linux SMH
• FreeRADIUS : Problème avec MS-CHAPv2 – réseaux et sécurité - OS Alternatifs – FORUM HardWare.fr
• Deploying RADIUS: Authentication systems and Password Compatibility
• Eap.conf – FreeRADIUS Wiki

XI) Conclusion :

J’ai tenté rapidement de faire un tuto simple, style copier/coller, pour n’aller qu’a l’essentiel !

Mais je vous recommande de vous documenter ! Vous trouverez ici et là des tutos qui vous indiquent de mettre dans le fichier « users » la valeur :

DEFAULT Auth-Type == LDAP
        Fall-Through = 0

Ceci est faux comme le dit le développeur principale de Freeradius !

http://readlist.com/lists/lists.freeradius.org/freeradius-users/2/10880.html

http://deployingradius.com/documents/protocols/oracles.html

http://deployingradius.com/blog/

XII) Remarque :

Après l’annonce du crack de WPA(1/2) TKIP,

http://www.zdnet.fr/actualites/internet/0,39020774,39384735,00.htm

http://www.01net.com/editorial/395267/la-protection-wpa-des-reseaux-wi-fi-ebranlee-en-15-minutes/

Les chercheurs sont : Martin Beck, TU-Dresden, Erik Tews

Travaillant pour : http://www.aircrack-ng.org/

Mais certains sites blog relayent l’infos avec bémole, spécifiant que rien d’alarmiste n’est à craindre.

http://www.communautech.com/actualite/10-11-2008/3205/attaque_tkip__suite_sans_surprise.htm

Il y est dit que (et cela m’a choqué) :

La menace est toutefois à replacer dans un contexte plus général et… nettement moins alarmiste. A moins de travailler sur un réseau sans fil d’entreprise donnant accès à des informations de valeur –autrement dit à autre chose qu’un réseau strictement familial ou en deçà de toute DMZ- cette « menace TKIP » ne représente qu’un très faible niveau de dangerosité vis-à-vis des éventuels pirates du monde sans fil. Non seulement les attaques y sont plus rares que ne veulent bien tenter de le prouver les marchands de matériel WiFi, mais en outre il sera toujours plus simple pour un attaquant de chercher à glaner des informations sur des réseaux « faciles à pirater », soit non protégés, soit mal protégés. Wep demeure encore, dans près de 40 à 80 % des cas selon la situation géographique, le protocole de protection le plus utilisé en France, le plus simple à violer, le plus rapide à spoofer.

Pourquoi parler d’information de valeur ?

En effet, avant d’entrer dans le système, l’attaquant n’a aucune idée des informations et/ou données qu’il va trouver ! Et presque aucun moyen d’en connaitre l’envergure.

De plus en continuant leur argumentation, ils se contredisent. En effet les arguments sont :

1. Vous avez des données de valeur (entreprises) donc WPA-TKIP : rares attaques
2. Vous n’avez pas de données de valeurs (particuliers) vous avez donc WEP : fréquentes attaques
3. WEP attaques fréquentes parce que plus simple et le plus répendu .

Certes mais partiellement faux. D’une, parce que les attaques WPA-TKIP échouaient, donc l’attaquant se rabattait sur WPA-PSK ou WEP. Deux, parce qu’un attaquant cherche la gloire ou les données. Pour la gloire il attaquera donc WPA-TKIP, et pour les données il cherchera là où c’est relativement protègé, c’est à dire tous protocole hors WEP !

Or ces même sites, donne un lien qui explique l’attaque :

http://sid.rstack.org/blog/index.php/305-des-fameuses-faiblesse-de-tkip

Qui donne un SEUL conseil en fin d’article :

Je n’aurais qu’une recommandation à destination des utilisateurs : désactivez TKIP.

Or certaine distribution Linux spécialisées dans le crack wifi vont probablement implanter le crack WPA-TKIP

http://www.aircrack-ng.org/doku.php

il est un premier conseil à suivre et qui ressemble au précédent :

http://lists.shmoo.com/pipermail/hostap/2008-November/018727.html

Une ré génération de clef le plus souvent possible !

Or ici dans cet article en trois parties, nous utilisons hostapd, or hostapd implémente une regénération de clef toutes les X secondes (par défaut 600 = 10 mins) avec l’attribu : mettez la valeur de cet attribu vers les 5 mins

wpa_group_rekey=300

Et vous serez tranquilles. D’autant plus que le protocole utilisé est AES !!!

XIII) Configuration des postes clients :

XIII-a) Sous Windows :

Pour configurer Windows XP de façon à ce qu’il se connecter au réseau wifi ainsi mis en place, il faut utiliser ce tutoriel :

http://www.lorraine.iufm.fr/formation/tice/conf_wifi_xp.pdf

——–

XIII-b) Sous GNU/Linux (Debian Lenny) :

Il faut utiliser le paquet wpasupplicant afin qu’il gère les connexions à la borne wifi. Une question se fait sentir si votre linux est clairement multi-utilisateurs, comment se comportera ce supplicant que cela soit « pierre » « paul » ou « jacques » qui se logue ?

Nous voulons :

- Que Pierre et Paul puisse se connecter mais non Jacques.

Dans la basse LDAP on renseigne Pierre et Paul mais pas Jacques.

Par ailleurs on crée un « wpa_supplicant.conf » tel que Jacque ne soit pas renseigné dans celui-ci.

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1

network1={
ssid= »Debian-AP »
proto=WPA2
key_mgmt=WPA-EAP
eap=TTLS
#psk= »motdepassedepierre »
identity=pierre
password=motdepassedepierre
psk=fda055d77217a899ed06231f954zzz719cd4c59df0250a9a4bb30acb708aa9d4
phase2= »auth=PAP »
priority=4
}
network2={
ssid= »Debian-AP »
proto=WPA2
key_mgmt=WPA-EAP
eap=TTLS
#psk= »lemotedepassedepaul »
identity=paul
password=lemotedepassedepaul
psk=25c851b79eaea66a8882e332a292b1ff7b88darrrea9cfacb79f12db5f0cd53a
phase2= »auth=PAP »
priority=4
}

Il faut que le supplicant soit lancé !

Celui-ci est souvent lancé au démarrage du système avec par exemple la commande : /sbin/wpa_supplicant -d -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf

Un souci se pose, si cette commande est lancée au démarrage et que Paul ouvre sa session et se connecte avec network manager, quand Pierre lancera sa session il sera déjà connecté à travers la connexion de Paul…

Il semble qu’il n’y est pas de solution éfficace actuellement, Network Manager étant mono-utilisateur…

knetwork manager

-——-

- Fin -

Share on Facebook