® Cisco est une marques enregistrée, propriété de Cisco Corporation.
® DLink est une marques enregistrée, propriété de DLink Corporation.
® Linksys
est une marques enregistrée, propriété de Linksys Corporation.
® Linux est une marque enregistrée, propriété de Linus Torvalds.
® Microsoft, NT, XP et Windows sont des marques enregistrées, propriété de
Microsoft Corporation.
® UNIX est une marque enregistrée, propriété de The Open Group.
Révision du document :
Un grand merci à Julien de paris-sansfil.info pour le prêt de son point d’accès Linksys WAP 11 patché en DLink 900-AP+.
|
Date |
Version / Révision |
Commentaire |
|
19/05/03 |
0.1 |
Start
|
|
21/05/03 |
0.1.1 |
Ajout des références au client EAP-TLS Windows 2000 |
|
26/05/03 |
0.2 |
Ajout des dessins protocoles EAP-TLS |
Installation du serveur Windows 2003
Installation d’Active Directory
Installation de l’autorité de certification
Installation du serveur radius
Configuration du serveur Windows 2003
Créer un compte utilisateur dans l’active directory
Créer un groupe de sécurité global dans l’active directory
Installation des certificats sous Windows XP
Ajouter de l’autorité principale de confiance
Configuration du point d’accès Wifi DLink DWL-900 AP+
Activer l’encryption WEP sur le DWL-900 AP+
Configuration du poste utilisateur
Editer les propriétés réseaux de la conection sans fil
Première connexion de l’utilisateur
Annexe 2 : Installation de l’active directory sous Windows 2003 Server
Annexe 4 – Client EAP-TLS Windows 2000
Introduction
Ce document décrit la mise en œuvre de EAP-TLS (RFC 2716) Extensible Authentication Protocol Transport Layer Security sous Windows 2003 Serveur, Windows XP et un point d’accès Wifi DLink 900-AP+.
Pour mettre en œuvre EAP-TLS, nous avons besoin des éléments suivants :
· un adaptateur de réseau client sans fil compatible 802.1x
· un logiciel d'accès client capable d'exécuter EAP
o Windows XP ou 2000 : Windows XP offre un support natif d'EAP-TLS dans le système d'exploitation. Microsoft a ajouté une prise en charge pour le système d'exploitation Windows 2000, pour les autres systèmes (98, NT et Pocket PC) le support est annoncé depuis la fin de l’année 2002…
o Linux
· un point d'accès sans fil (station de base) compatible 802.1x, exemple :
o Linksys WAP 11 (patché en DLink 900-AP+ )ou DLink 900-AP+
o Un Cisco Aironet
· un serveur RADIUS compatible EAP
· une infrastructure PKI.
Comment ça marche ?
EAP/TLS, est l’unique implémentation aujourd’hui qui supporte la gestion des clés WEP dynamique et l’authentification mutuelle entre les postes clients Wifi et un serveur radius.
figure 01 http://www.koumoula.com/wifi/eap-tls/Dessin01.eap-tls.gif
Lire le document http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm
Installation du serveur Windows 2003
Pour mettre en œuvre 802.1x, nous avons besoin des services suivants.
1. Serveur Radius ( IAS), qui authentifie les utilisateurs
2. Autorité de certification (certificat serveur), qui génère les certificats X509.
En théorie, l’installation de l’Active Directory n’est pas nécessaire…
Or sans Active Directory le serveur radius de Microsoft se contente de l’authentification MD5-challenge, j’ai l’impression que le serveur radius ne peut pas s’enregistrer au près du serveur de certificat, et comme dit le proverbe « pas de certificat X509 pour le radius, pas de EAP-TLS ». Une fois l’Active Directory installé, le radius s’inscrit dans l’annuaire et la méthode d’authentification EAP avec certificat apparaît dans la console d’administration du radius.
Installons l’Active Directory…
Installation d’Active Directory
L’installation s’effectue, en sélectionnant les options par défauts :
· Démarrer | Exécuter et renseigner dcpromo.exe dans le champ Ouvrir :
Consulter l’annexe 2, pour dérouler l’installation de l’Active Directory sous Windows 2003 server.
Installation de l’autorité de certification
· Pour installer le service de certificat, aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de certificats.
· Confirmer que ni le nom de l’ordinateur, ni son appartenance au domaine ne seront modifiés.
· Choisir Autorité racine d’entreprise, puis cliquer sur Suivant
· Choisir un nom pour l’autorité de certification ( cawifi, dans notre exemple )
· Laisser les paramètres par défaut, et cliquer sur Suivant
· Confirmer l’arrêt du service IIS, en cliquant sur Oui.
· L’installation du serveur de certificat est terminée.
Installation du serveur radius
· Pour installer le service Radius appelé aussi Service d’authentification Internet, chez Microsoft, aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en réseau | Service d’authentification Internet.
·
Cliquer sur OK, l’installation s’effectue en sélectionnant les
paramètres par défaut.
Configuration du serveur Windows 2003
Créer un compte utilisateur dans l’active directory
· Pour créer un compte utilisateur dans l’Active Directory, cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory
· Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur
· Créer l’utilisateur nommé wifi-util01 ainsi :
· Cliquer sur Suivant
· Cliquer sur Suivant
· Cliquer sur Terminer
· Editer les propriétés de wifi-util01, pour autoriser l’accès distant :
· Séléctionner Autoriser l’accès dans la section Autorisation d’accès distant (appel entrant ou VPN )
· Cliquer sur OK
Créer un groupe de sécurité global dans l’active directory
· Pour créer un groupe de sécurité global dans l’Active Directory, cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory
· Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe
· Créons le groupe wifigrp, cliquer sur OK
Il nous reste à ajouter l’utilisateur wifi-util01 au groupe wifi grp :
· Cliquer avec le bouton droit de la souris sur les propriétes du groupe
· Dans l’onglet membre, ajouter le nom de l’utilisateur wifi-util01 ;
Paramétrer le service IAS
http://www.microsoft.com/windows2000/technologies/communications/ias/default.asp
Dans l’interface d’administration du Service d’authentification Internet, Ajouter un client Radius :
· Renseigner le nom de l’AP, et son adresse IP
· Définir le secret partagé entre l’AP et le serveur Radius, dans notre exemple nous choisirons radsecret
· Le nouveau client radius apparaît dans la configuration du Service d’authentification Internet
· Ajoutons une nouvelle stratégie d’accès distant, en utilisant l’assistant de configuration :
· Cliquer sur suivant pour dérouler l’assistant
· Nommer la stratégie wifi-eaptls dans notre exemple.
· Choisir la méthode d’accès Sans fil pour la stratégie
· Ajouter le groupe wifigrp précédement créé dans l’Active Directory.
· Sélectionner le type EAP Carte à puce ou autre certificat pour cette stratégie.
· Cliquer sur Terminer pour enregistrer la nouvelle stratégie, puis vérifier les propriétés de la nouvelle stratégie wifi-eaptls
· Cliquer sur Modifier le profil…
· Dans l’onglet Authentification, vérifier qu’aucune méthode d’Authentification n’est sélectionné, puis cliquer sur Méthodes EAP. Nous retenons uniquement EAP, car c’est la seule à supporte les clés WEP dynamiques.
· Cliquer sur le bouton Modifier, après avoir sélectionné Carte à puce ou autre certificat
· Vérifier que le certificat correspond à votre autorité de certification
La configuration du serveur Radius est terminée.
Installation des certificats sous Windows XP
Ajouter de l’autorité principale de confiance
Pour ajouter l’autorité de certification, sur le poste client :
· Se connecter sur http://server/certsrv.
·
S’authentifier au près du serveur IIS, en renseignant la boite de
dialogue suivante :
· Cliquer sur le lien Télécharger un certificat d'autorité de certification, une chaîne de certificats ou une liste de révocation de certificats.
· Cliquer sur installez cette chaîne de certificats d'Autorité de certification
Valider la boite de dialogue informant l’installation d’une nouvelle autorité de certification
Le nouveau certificat de l’autorité de certification apparaît dans Menu | Outils | Options Internet | Contenu | Certificats | Certificats… | Autorité principales de confiance
Ajouter un certificat X-509
· Pour ajouter un certificat X-509 utilisateur : se connecter sur http://server/certsrv.
· Cliquer sur le lien Demander un certificat, la page suivante s’affiche :
· Cliquer sur le lien Certificat utilisateur
· Cliquer sur le bouton Envoyer >
· Confirmer la génération de la clé publique pour le certificat utilisateur
· Confirmer l’installation du certificat utilisateur, la page suivante s’affiche :
Vérifier que le certificat X509 contient bien l’attribut étendu Authentification du client (1.3.6.1.5.5.7.3.2) dans Menu | Outils | Options Internet | Contenu | Certificats | Personnel | wifi-util01 | Détails | Utilisation avancée de la clé.
Configuration du point d’accès Wifi DLink DWL-900 AP+
Activer l’encryption WEP sur le DWL-900 AP+
· Pour activer l’encryption WEP, cliquer sur Enable et laisser la valeur 0000000000 par défaut pour la clé.
Activer 802.1x le DWL-900 AP+
· Pour activer 802.1x, cliquer sur Enable
· Renseigner l’adresse IP du serveur radius (IAS)
· Renseigner le secret partagé entre le radius et le point d’accès ( la valeur du secret partagé est radsecret dans notre exemple )
· Modifier éventuellement la période de CypherChangeSpec pour modifier la clé WEP.
· Cliquer sur Apply pour sauvegarder les modifications
Note à propos de la taille des clés et EAP-TLS
|
Taille des clés en bits / carte réseau |
Linksys WUSB 11 2.6 |
Netgear MA 401 |
Linksys WPC55AG |
|
64 bits (40 bits) |
Echec |
Fonctionne |
Fonctionne |
|
128 bits (104 bits) |
Echec |
Echec |
Fonctionne |
|
256 bits (232 bits) |
Pas supporté |
Pas supporté |
Pas supporté |
Techniques d’authentification : Open System et Shared Key
Il existe deux modes d’authentification des stations sur le point d’accès :
· Open System, comme son nom l’indique, le point d’accès est ouvert. N’importe quel station peut s’associer avec le point d’accès.
· Shared Key, authentifie les stations avec un challenge/réponse :
1. La station envoie une demande d’authentification au point d’accès.
2. Le point d’accès répond une valeur aléatoire d’une taille de 128 bits, (le challenge)
3. La station chiffre la valeur aléatoire avec la clé WEP, et envoie le cryptogramme au point d’accès (la réponse au challenge).
4. Le point d’accès déchiffre la réponse au challenge avec la clé WEP, si les deux valeurs (celle qu’il a envoyé et celle calculé) sont identiques alors le point d’accès répond une trame de confirmation sinon une trame d’échec.
Illustration de l’authentification d’une station avec un point d’accès configuré en Shared Key.
Lorsque l’on implémente EAP-TLS, il faut configurer l’authentification sur le point d’accès en Open System.
<à tester>
En fait là j’ai un petit doute, parce que l’on pourrait bien définir les clés WEP sur les deux équipement stations et points d’accès qui seront modifiés lors de l’échange des clés dynamiques.
</ à tester>.
Note : Dans la documentation du point d’accès Cisco Aironet 350, il est bien précisé que la configuration de l’authentification doit être en mode Open ( cf http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm Cisco Aironet Access Point Configuration chapitre 6.3 )
Configuration du poste utilisateur
Editer les propriétés réseaux de la conection sans fil
·
Sélectionner le nom du SSID ici coucou@koumoula.com
· Cliquer sur le bouton Configurer
· Cliquer sur l’onglet Authentification
· Sélectionner la case à cocher Activer l’authentification IEEE 802.1x.
· Séléctionner le nom de l’organisme de certification cawifi ( dans notre exemple), et fermer toutes les boites de dialogues en les validant.
· L’option Utiliser un nom d’utilisateur différent pour la connexion est facultative dans notre exemple
Première connexion de l’utilisateur
Lors de l’établissement de la connexion avec le point d’accès Wifi, Windows XP affiche le popup suivant :
Il reste à choisir le bon certificat X-509, pour valider l’établissement de la connexion.
· Cliquer sur OK, la communication doit s’établir sinon c’est le moment de consulter les annexes.
Vous venez d’activer EAP-TLS sous Windows XP avec un serveur Windows 2003 Server et un AP Dlink 900-AP+.
Annexes
Annexe 1 : netsh tracing
Pour obtenir des informations détaillées sur le processus d’authetification EAP sous Windows XP, il faut activer les logs EAPOL et RASTLS, via les commandes suivantes :
netsh ras set tracing eapol enabled
netsh ras set tracing rastls enabled
Les fichiers de log se trouvent dans le répertoire SystemRoot\Tracing.
Annexe 2 : Installation de l’active directory sous Windows 2003 Server
L’installation de l’Active Directory s’effectue par défaut, en suivant l’assistant suivant :
Annexe 3 - links
Implementing 802.1x on Wireless Networks with Cisco and Microsoft)
http://www.cs.umd.edu/~mvanopst/8021x/howto/
CISCO
http://www.cisco.com/en/US/netsol/ns110/ns175/ns176/ns178/netqa09186a008010018c.htmlhttp://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm
La RFC 2716
http://www.ietf.org/rfc/rfc2716.txt
Slides Powerpoint sur EAP
http://netlab18.cis.nctu.edu.tw/html/802.11/slides/chap-06.pdf
Annexe 4 – Client EAP-TLS Windows 2000
Pour Windows 2000 :
Il faut mettre à jour le système qui résout le problème « Utilisation de l'authentification 802.1x sur les ordinateurs exécutant Windows 2000 » et fait l'objet de l'article Q313664 de la Base de connaissances Microsoft. Téléchargez le fichier pour installer l'authentification 802.1X sur votre ordinateur Windows 2000.
http://support.microsoft.com/default.aspx?scid=kb;en-us;313664