SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03...

28
SECURISATION DES CONNEXIONS WIFI PAR RADIUS Portail captif radius – Authentification AD et NPS Attribution des paramètres ip en fonction du SSID VLAN

Transcript of SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03...

Page 1: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

SECURISATION DES CONNEXIONS WIFIPAR RADIUS

Portail captif radius – Authentification AD et NPS

Attribution des paramètres ip en fonction du SSID VLAN

Page 2: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

OBJECTIF :.........................................................................................................................................2

SOLUTIONS TECHNIQUES RETENUES........................................................................................3

ETAPE 1 : Portail captif radius – Authentification AD et NPS...........................................................4Création des SSID sur cisco WAP371/WAP571.............................................................................5Installation du rôle stratégie d’accès distant....................................................................................6Declaration du client Radius...........................................................................................................8Configuration de la stratégie réseau................................................................................................9

les conditions octroyant l’accès à la connexion........................................................................10Méthode d’authenfication : Microsoft-PEAP...........................................................................10Les contraintes, définissant la conformité de la connexion......................................................11

Autorisation du compte.................................................................................................................12Paramétrage radius du point d’accès wifi......................................................................................13Test de connexion au point d’acces wifi.......................................................................................14Installation d’une Autorité de certification....................................................................................15Sélection du certificat autosigné sur la console NPS....................................................................17Test de validation de la connexion wifi.........................................................................................18

ETAPE 2: Attribution des paramètres ip en fonction du SSID (VLAN)...........................................19OBJECTIF.....................................................................................................................................19SCHEMA D’ARCHITECTURE...................................................................................................19SOLUTION RETENUE................................................................................................................19

1 Configuration du switch cisco 3750 24 ports........................................................................20 Creation des vlan 10,20,30 (administratif,formation,serveurs)..........................................20 configuration des ports........................................................................................................20

2 Configuration du Routeur cisco 1900 series :.......................................................................21 activation de l'interface GigabitEthernet0/0 reliée au switch SW1....................................21 création des interfaces virtuelles.........................................................................................21 Configuration du dhcp........................................................................................................21 Test de Validation dhcp/vlans..............................................................................................22

3 configuration du serveur windows 2012 NPS radius............................................................22 Rappel du paramétrage et adressage réseau du serveur......................................................22 Configuration du client radius............................................................................................22 Configuration de la stratégie d’accès distante....................................................................23 Autorisation des comptes de connexion..............................................................................25

4 Configuration du point d’accès sans fil – cisco wap 371/571...............................................26Creation des VLAN ID et affection au SSID.......................................................................26

Creation des vlans..........................................................................................................26 Affectation des VLAN ID au SSID................................................................................26

Paramétrage radius du point d’accès....................................................................................28TESTS DE VALIDATION............................................................................................................29

ANNEXES.........................................................................................................................................30

2/28

Page 3: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

OBJECTIF :

Le centre de formation learn&co souhaite sécuriser ses connections wifi en mettant en place un portail captif.Le cahier des charges est le suivant:

1. la connexion aux points d’accès sans fils (SSID) doit permettre une authentification basée sur les comptes utilisateurs d’active directory.

2. La connexion au SSID doit attribuer des paramètres ip lié au réseaux des vlans :dans notre cas, SSID Vlan 10 administratif et SSID Vlan 20 formation.

SOLUTIONS TECHNIQUES RETENUES

Dans un 1er temps, un portail captif radius sera mis en place, le point d’accès wifi s’authentifiera auprès du serveur 2012 Active Directory via une stratégie d’accès distant NPS /radius.Cette stratégie va contrôler les comptes utilisateurs autorisés à se connecter au réseau sans fil selon des critères prédéfinies. (type de protocole wifi, utilisateurs..)

Lorsqu’un client va se connecter au réseau (SSID) présentsur la borne Wifi (1). Celle-ci va transmettre la requête auserveur windows NPS RADIUS (2). Le serveur va ensuitevérifier si les identifiants de sessions de la personne sontbien présents sur l’Active Directory, si c’est le cas l’accèsest autorisé (3) sinon l’accès est refusé

Au préalable configurons le point d’accès wifi en créant les SSID (point d’accès wifi cisco WAP371/WAP571) ensuite les etapes de mise en œuvre du portail captif wifi radius sont les suivantes :

1. Installer le rôle stratégie d’accès distant sur le serveur 2012 AD2. Déclaration du client radius 3. Configurer la stratégie d’accès distant4. Autorisations sur le compte utilisateur

3/28

Page 4: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Dans un 2ieme temps, il s’agit de paramétrer les SSID en intégrant les vlans afin de permettre au serveur dhcp de délivrer la bonne adresse réseau en fonction du SSID de connexion.

4/28

Page 5: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

ETAPE 1 : Portail captif radius – Authentification AD et NPS

Création des SSID sur cisco WAP371/WAP571

Addresse IP de l’AP : 192.168.90.39utilisateur et mot de passe par défaut : cisco / ciscoSuivons l’assistant de configuration pour régler le serveur de temps

ensuite , créons successivement les SSID 5Gz et SSID 2.4Gz avec la clé de sécurité en WPA2 personal AES dans un 1er temps, voir les étapes détaillés dans le manuel cisco:https://www.cisco.com/c/en/us/support/docs/smb/wireless/cisco-small-business-wireless-access-points/smb5048-initial-configuration-of-the-wap150-wap351-wap361-and-wap371.htmlces paramètres de sécurité sont à modifier par la suite afin d’intégrer l’authentification par radius.

5/28

Page 6: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Passons à la mise en œuvre du portail captif wifi radius dont je rappelle les étapes:1. Installer le rôle stratégie d’accès distant sur le serveur 2016 AD2. Déclaration du client radius 3. Configurer la stratégie d’accès distant4. Autorisations sur le compte utilisateur

Installation du rôle stratégie d’accès distant

Sur le serveur windows 2012, allez dans le gestionnaire de serveur, cliquez sur « Gérer » puis « Ajouter des rôles et fonctionnalités ».

1 – selectionner le rôle services de stratégie et d’accès réseau 2- ajouter des fonctionnalités

6/28

Page 7: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

3 – ajout du service de rôle : Serveur NPS

configuration du serveur NPS

inscrire le serveur dans l’Active directory sinon il sera impossible de définir les conditions liées aux groupes/utilisateurs dans la stratégie d’accès distant  !

7/28

Page 8: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Declaration du client Radius

Rappel de la configuration du point d’accèsip du point d’accès : 192.168.90.39hostname : wap41e9c0

Création d’un nouveau client radius sur la console NPSNom convivial : wap41e9c0adresse : 192.168.90.39secret : passphrase la même passphrase devra être utilisé pour la configuration de l’authentification radius sur la borne wifi (cf SSID - WPA entreprise )

8/28

Page 9: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Configuration de la stratégie réseau

nouvelle stratégie réseau – nom de la stratégie : Wifi

les conditions octroyant l’accès à la connexion

nous ciblerons les utilisateurs du domaine

9/28

Page 10: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Méthode d’authenfication   : Microsoft-PEAP

selectionner MS-CHAP v2 et MS-CHAP pour authentification par mot de passe.

10/28

Le protocole Extended Authentication Protocol sert pour le transport des données nécessaire à l’authentification. A ce protocole, s’étendent des méthodes d’authentifications.(Le protocole est indépendant de la méthode d’authenfication utilisé)

EAP-MD5 : Authentification avec un mot de passe EAP-TLS : Authentification avec un certificat éléctronique EAP-TTLS : Authentification avec n’importe quelle méthode d’authentification, au sein d’un

tunnel TLS EAP-PEAP : Authentification avec n’importe quelle méthode d’authentification EAP, au sein d’un tunnel TLS

MS-CHAP : (Microsoft Challenge Handshake Authentication Protocol ) authentification microsoft avec Hash du mot de passe. MS-CHAP v2 ajoute une authentification mutuelle client/serveur permettant de vérifier leur identité respective.

Page 11: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Les contraintes, définissant la conformité de la connexion

Type de port NAS - dans rubrique 801.1X , selectionner Sans fil – IEEE 802.11

si ce n’est pas un accès sans fil, la demande de connexion est rejetée.

Le paramétrage de la stratégie distante est terminé, il faut penser à redémarrer le service NPS en cas de modification des paramètres .

Autorisation du compte

Création d’un compte wifi1 dans l’unité d’organisation Users.

Dans les propriétes de l’utilisateur wifi1, selectionner Controler l’accès via la stratégie d’accès distant. Ce choix impose un contrôle d’accès via la stratégie d’accès distant à l’utilisateur wifi1 lors de sa connexion au réseau sans fil.

11/28

Page 12: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Paramétrage radius du point d’accès wifi

Menu wireless- networks

1- cocher pour sélectionner le SSID à modifier

2 edit2- Passer sur Security : WPA Enterprise , qui permettra de renseigner les paramètres du serveur radius

3- cliquer sur show details

4- Dans un 1er temps, decocher use global RADIUS Server setting

5- server ip address-1 : saisir ip du serveur windows radius, dans notre cas 192.168.90.120

6 – saisir la passphrase correspondante à celle utilisée, côté serveur radius

12/28

Page 13: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Test de connexion au point d’acces wifi

la connexion au point d’accès SSID AP_Lien_ian5 propose la saisie des identifants utilisateur et mot de passe lors de la sélection du réseau sans fil. Après la saisie des identifiants et mot de passe de l’utilisateur wifi1, la connexion wifi n’aboutit pas.

Vérification des logs

LOG du point d’accès wifi : Menu Status and Statistic , rien de significatif n’est relevé

LOG Applications and Services Logs Microsoft - Windows - EapHost: Event 3026 impossible de trouver un certificat eap

Vérification de l’erreur sur la stratégie d’accès distante

Utilisons un certificat autosigné et installons une autorité de certification sur le serveur 2012 AD/NPS.

13/28

La méthode d’authenfication exigée est EAP-PEAP, la communication du point d’accès vers le serveur radius NPS nécessite donc un certificat permettant l’authentification du serveur NPS.2 types de certificat sont possibles : un certificat payant d’un organisme tiers ou l’utilisation de certificat autosigné

Page 14: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Installation d’une Autorité de certification

installation du rôle adcs

installation du roles adcs et outil de gestion

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

création de l’autorité de certification

démarrer le gestionnaire de serveur, et cliquez sur l'icône drapeau en haut à droite pour démarrer la configuration.

sur la page Services de rôle, sélectionnez Autorité de certification et cliquez sur Suivant.

• Sur la page Type d'installation, sélectionnez Autorité de certification d'entreprise et cliquez sur Suivant.

• Sur la page Type d'autorité de certification, sélectionnez Autorité de certification racine

Sur la page Clé privée, sélectionnez Créer une nouvelle clé privée et cliquez sur Suivant.

• Sur la page Chiffrement, entrez les informations comme suit. (recommendation NIST et globalsign : longeur de clé minimal 2048 et algorithme SHA256)

14/28

Page 15: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

• Sur la page Nom de l'autorité de certification, acceptez les valeurs par défaut et cliquez sur Suivant.

• Sur la page Période de validité, par défaut la valeur est de 5 année cliquez sur Suivant.

• Sur la page Base de données de certificats, cliquez sur Suivant.

• Sur la page Confirmation, passez en revue les informations fournies et cliquez sur Configurer.

15/28

Page 16: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Sélection du certificat autosigné sur la console NPS

Console NPS – stratégie d’accès réseau – propriétés de la stratégie wifi - onglet contraintes : 1 selectionner Microsoft PEAP 2 modifier3 sélectionner le certificat serveur autosigné .

4 OK pour valider

Test de validation de la connexion wifi

Connectons nous au SSID AP_Lien_ian5, après la saisie des identifiants du compte wifi1, la connexion wifi s’authentifie et la connexion internet est fonctionnelle , vérifions les logs de AP :

16/28

Page 17: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

ETAPE 2: Attribution des paramètres ip en fonction du SSID (VLAN)

OBJECTIF

L’objectif est de permettre au poste client se connectant au réseau wifi SSID administratif (vlan10) ou SSID formation (vlan20) de récupérer un adressage ip correspondant à leur réseau d’appartenance.L’authentification des comptes utilisateurs se faisant par le biais du serveur windows 2012 NPS, il est important de valider la communication entre le serveur NPS et le point d’accès sans fils.

SCHEMA D’ARCHITECTURE

SOLUTION RETENUE

L’architecture est composée d’un routeur cisco 1900 series faisant office de serveur dhcp,d’un point d’accès cisco WAP371 (172.20.30.250) . Ces équipements sont interconnectés par un switch cisco 3750 gérant les vlans 10,20,30 correspondant respectivement au réseau administratif,formation et serveurs.La borne wifi sera mis dans le même réseau que le serveur windows NPS/radius ( 172.20.30.253) afin de faciliter leur communication.

17/28

Page 18: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Il s’agira de valider le fonctionnement de l’authentification du compte autorisé à se connecter au wifi, et aussi valider la délivrance d’une adresse ip en fonction du SSID de connexion (SSID administratif sur le reseau vlan 10 en 172.20.0.0/24 et SSID formation sur le reseau vlan 20 en 192.168.10.0/24)

Les étapes de mise en oeuvre sont les suivantes :

1 Configuration du switch cisco 3750 24 portsCreation des vlans administratif et formationconfiguration des ports (vlans et trunk)

2 Configuration du Routeur cisco 1900 series :Configuration des sous-interfacesConfiguration du dhcpTest de Validation dhcp/vlans

3 configuration du serveur windows 2012 NPS radiusRappel du paramétrage et adressage réseau du serveurConfiguration du client radiusConfiguration de la stratégie d’accès distanteautorisation des comptes de connexion

4 Configuration du point d’accès sans fil – cisco wap 371/571Creation des VLAN ID et SSID paramétrage radius du point d’accèsAddressage en ip statique de la borne wifi

5 Tests de validationTest de AP connecté au VLAN30 – serveur NPS en vlan30Test de AP connecté en port trunk - serveur NPS en vlan30Test de AP connecté en port trunk - serveur NPS sur port trunk

1 Configuration du switch cisco 3750 24 ports

Creation des vlan 10,20,30 (administratif,formation,serveurs)

##entrée en mode privilège

Switch>en

##entrée en mode configuration

Switch#conf t

Switch(config)#hostname SW1

SW1(config)#vlan 10

SW1(config-vlan)#name administratif

SW1(config-vlan)#vlan 20

SW1(config-vlan)#name formation

SW1(config-vlan)#vlan 30

SW1(config-vlan)#name serveurs

SW1(config-vlan)#exit

(do show vlan - verifier)

18/28

Page 19: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

configuration des ports

Affectation des ports au vlan ( ex pour le vlan10)

SW1(config)#interface range FastEthernet 0/1-8

SW1(config-if-range)#switchport mode access

SW1(config-if-range)#switchport access vlan 10

SW1(config-if-range)#exit

ports trunksSW1(config)# interface range fa0/20-24

SW1(config-if)#switchport trunk encapsulation dot1q

SW1(config-if)#switch mode trunk

SW1(config-if)#switchport trunk allowed vlan 10,20,30

VerificationSW1#sh run

SW1#sh int trunk

Copie de la configuration au démarrageSW1#copy run start

2 Configuration du Routeur cisco 1900 series   :

activation de l'interface GigabitEthernet0/0 reliée au switch SW1

entrée en mode privilège

Router>en

controle des interfaces

Router#sh ip int br

Router#conf t

Router(config)#int gig0/0

Router(config-if)#no shutdown

Router(config-if)#exit

19/28

Page 20: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

création des interfaces virtuelles

int g0/0.10 172.20.0.254 Vlan10 administratif

int g0/0.20 192.168.10.254 Vlan20 formation

int g0/0.30 172.20.30.254 vlan30 serveurs

exemple pour la sous-interface int g0/0.10 Router(config)#interface g0/0.10

on active le protocole 802.1q sur cette interface, précisant qu’elle écoute le vlan 10

Router(config-subif)#encapsulation dot1Q 10

on assigne une IP et Masque compatible avec le vlan 10.

Router(config-subif)#ip addr 172.20.0.254 255.255.255.0

Configuration du dhcp

Le routeur fera office de serveur dhcpRouter(config)#ip dhcp pool vlan10

Router(dhcp-config)#network 172.20.0.0 255.255.255.0

Router(dhcp-config)#dns-

Router(dhcp-config)#dns-server 172.20.30.253 1.1.1.1

Router(dhcp-config)#default

Router(dhcp-config)#default-router 172.20.0.254

Verification de la configuration

Router#sh run

ip dhcp pool vlan10

network 172.20.0.0 255.255.255.0

dns-server 172.20.30.253 1.1.1.1

default-router 172.20.0.254

!

ip dhcp pool vlan20

network 192.168.10.0 255.255.255.0

dns-server 172.20.30.253 1.1.1.1

default-router 192.168.10.254

!

Sauvegarde de la configuration

Router#copy run start

Test de Validation dhcp/vlans

pour valider le fonctionnement du serveur dhcp, le branchement d’un ordinateur portable sur un port 1-8 délivre bien une adresse dans le range 172.20.0.X, tandis que sur le port 9-16, l’adresse ip attribuée est dans le réseau 192.168.10.0/24.à noter   : il est nécessaire de forcer le renouvellement de ip par la commande ipconfig /release && ipconfig /renew et de vérifier avec ipconfig

20/28

Page 21: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

3 Configuration du point d’accès sans fil – cisco wap 371/571

Creation des VLAN ID et affection au SSID

Connecter le point d’accès sur un port 1-8, scanner le réseau afin de trouver son adresse ip à partir d’un poste sur le vlan 10

Se connecter sur http://172.20.0.2 dans notre cas

Creation des vlans

Menu LAN – VLAN Configuration – add

ajouter les VLAN 10 et 20

Affectation des VLAN ID au SSID

Menu Wireless – Networks

2 SSID administratif et formation sont déjà créés sinon les ajouter (add)

Affectons les SSID au vlan :

1- selectionner le SSID administratif

2- Edit

3 – choisir le VLAN ID 10 puis security choisir WPA entreprise afin de paramétrer la partie radius.

21/28

Page 22: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Paramétrage radius sur le point d’accès

Décocher use global radius server setting

Server Ip address-1 : 172.20.30.253 (ip du serveur windows)

Key-1 : <saisir la clé prépartagée>

Attention à saisir la même clé du côté serveur radius.

Save pour sauvegarder

Faire la même manipulation et affecter le vlan id 20 au SSID formation en indiquant l’ip du serveur radius + la clé prépartagée sans oublier de sauvegarder.

Paramétrage ip statique de AP

Attribuons une addresse ip statique au point d’accès sans fil : 172.20.30.250 (même réseau que le serveur radius.)

Menu LAN – VLAN and IPV4

choisir Static IP

Static ip Address : 172.20.30.250

Subnet mask : 255.255.255.0

Default Gateway : 172.20.30.254

DNS : 172.20.30.253Secondary DNS (optional) : 1.1.1.1

22/28

Page 23: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

4 configuration du serveur windows 2012 NPS radius

Rappel du paramétrage et adressage réseau du serveur

Le serveur windows 2012 (adressage ip 172.20.30.253 /24) fait office de serveur AD/DNS, il est nécessaire d’installer le rôle stratégie d’accès distant pour le paramétrage de la partie client/serveur radius.

L’installation du rôle stratégie d’accès réseau est détaillée dans l’etape 1 captif wifi radius

Configuration du client radius

Adresse (IP ou DNS) : 172.20.30.250Secret partagé : <clé saisie du côté du client radius>

23/28

Page 24: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Configuration de la stratégie d’accès distante

Nom de stratégie : wifi_cisco

Les conditions d’accès autorisent les utilisateurs du domaine

24/28

Page 25: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Les contraintes type de protocole : Microsoft PEAP (Protected EAP)

Methode d’authenfication : MS-CHAP v2 et MS-CHAP (authentification MS par mot de passe)

La connexion sans fil 802.11 fait partie des exigeances de connexion.

25/28

Page 26: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

Autorisation des comptes de connexion

26/28

Page 27: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

TESTS DE VALIDATION

CAS 1 : le serveur et le point d’accès sont sur le réseau vlan 30, testons la connexion au point d’accès wifi sur les différents SSID : administratif (en vlan 10) et formation (en vlan 20)

CAS 2 Déplaçons le point d’accès et le serveur dans des paramétrages réseau différents (port trunk / port en vlan 30  .

CAS 3 : Les 2 équipements connectés sur un port trunk.

Voici les différents résultats obtenus aux tests effectués :

CAS windows serveur AP wap371 test ping serveur-->AP

dhcp authentification radius

1 vlan 30 port 18 vlan 30 port 20 OK non fonctionnelle adresse apipa

OK

2 vlan 30 trunk port 22 NOT OK

3 Trunk port 24 trunk OK OK OK

La communication entre le serveur radius et AP est indispensable pour l’authentification au wifi.

Seule les 2 équipements serveur et point d’accès reliés chacun à un port trunk du switch permet l’ attribution d’une adresse ip en fonction du vlan aux postes clients. C’est donc la solution retenue.

A noter   : si aucune contrainte ne soustrait au déplacement du rôle dhcp, le serveur windows pourrait être serveur dhcp, le cas 1 pourrait être fonctionnelle, en plaçant un agent relais au niveau des sous-interfaces du routeur.

27/28

Page 28: SECURISATION DES CONNEXIONS WIFI PAR RADIUSlien.lescigales.org/projets/PR03 SECURISATION DES...PR03 Securisation des connexions wifi par radius TRAN LIEN ETAPE 1 : Portail captif radius

PR03 Securisation des connexions wifi par radius TRAN LIEN

ANNEXES

SOURCES :

CISCO WAP 371https://www.cisco.com/c/dam/en/us/td/docs/wireless/access_point/csbap/wap371/quick_guide/translated_pdf/fr-FR/QSG_FR.pdf

https://www.cisco.com/c/en/us/support/docs/smb/wireless/cisco-small-business-wireless-access-points/smb5048-initial-configuration-of-the-wap150-wap351-wap361-and-wap371.html

PROTOCOLE EAPhttps://www.it-channels.com/microsoft/ad-cs-pki/119-installer-et-configurer-l-authentification-eap-tls

MS-CHAPhttps://web.maths.unsw.edu.au/~lafaye/CCM/authentification/ms-chap.htm

AUTORITE CERTIFICATION SHA ET LONGEUR DE CLE RSA

https://support.globalsign.com/customer/en/portal/articles/1499561-sha-256-compatibility

https://www.globalsign.fr/fr/centre-information-ssl/choisir-la-bonne-taille-de-cle/

https://support.resotic.fr/hc/fr/articles/115000018370-Autorit%C3%A9-de-certification-SHA-1-SHA256

28/28