Embed Size (px)
Citation preview
CHAMOU Abdel-KemalPINON Olivier
Mission 5
Installation, configuration d'une borne Wi-Fi
Lycée Franklin Roosevelt 1/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Table des matières1.Objectif :............................................................................................................................................32.Démarche :.........................................................................................................................................33.Choix :...............................................................................................................................................34.Réalisation :.......................................................................................................................................45.Test de conformité :.........................................................................................................................15
Lycée Franklin Roosevelt 2/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
1. Objectif :
Mettre en place un accès Wi-Fi sécurisé avec authentification par utilisateur dans la Maison de Ligue leurs permettant d'accéder aux ressources du réseau et à internet.
2. Démarche :
• Configuration de la borne WiFi Cisco (Adressage)
• Étude sur la sécurisation du Wi-Fi
• Choix du SSID
• Mise en marche sur le réseau
• Création du serveur RADIUS : Remote Authentication Dial-In User Service
3. Choix :
• Borne Wifi Cisco
• Type de sécurité : WPA2-Entreprise
• Service d'authentification par un serveur RADIUS
• SSID : MDL-Rugby
• Connecté au Vlan 110
Lycée Franklin Roosevelt 3/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
4. Réalisation :
Une borne Wifi à été mis à notre disposition. Notre première étape porte sur la configuration de l'appareil afin qu'il puisse fonctionner dans notre réseau MDL. La borne Wifi possède une adresse IP par défaut qui est 192.168.1.245/24. Elle sera branchée dans un Vlan dont le masque de sous réseau est de 27 bits. Ce qui fait que la connexion est impossible d'où la nécessité de la reconfigurer.
• Configuration d'une machine Windows 7 avec l'adressage suivant : 192.168.1.200/24
La borne est mise sur le même réseau que la machine, un test avec la commande ping permettra de vérifier l'interconnexion des deux hôtes.
La configuration de la borne wifi s'effectue par un interface Web. Il suffira donc accéder à l'adresse suivante : http://192.168.1.245
Après authentification avec l'utilisateur par défaut login = admin et mot de passe = adminon arrive à l'interface d'administration de la borne Wifi.
Lycée Franklin Roosevelt 4/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
• Configuration IP borne wifiAinsi la borne wifi portera comme adresse IP : 192.168.0.162 comme vous pouvez le voir dans la capture à droite.
Lycée Franklin Roosevelt 5/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
En effet la borne utilise une adresse statique et non dynamique.Ce choix nous paraît plus logique car il s'agit d'un appareil fixe il est plus facilement repérable. Utiliser une IP dynamique pour cela n'a pas d'utilité. Si la borne venait à être retirée juste quelque instant, son IP pourraît être attribuée à une autre machine ce qui n'est pas pratique.
Comme nous l’avons spécifié dans la mission DHCP, cette adresse IP sera exclue de la plage DHCP pour éviter que le serveur attribue cette même adresse à un autre hôte.
La borne Wifi est connectée au Vlan 110 du commutateur. La configuration par défaut de la méthode de sécurité est le WPA2. On a au préalable définie un clé de sécurité pour la connexion au Wifi. La connexion s'effectue avec succès.
Néanmoins pour un organisme comme La Maison Des Ligues ce type d'identification n'est pas sûre. Une clé unique de connexion ne permet aucune traçabilité, aucune journalisation, sans oublier les risques qu'un employé pourrait la céder à une personne non autorisée pour accéder au réseau de la MDL.
Pour remédier à ce problème nous avons choisi une autre méthode d'authentification,Il s'agit d'une authentification par Radius.
Qu'est ce que le RADIUS ?RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. Le protocole RADIUS a été inventé et développé en 1991 par la société Livingston.
Wikipédia
Un serveur RADIUS permet d'authentifier les connexions en obligeant la saisie de nom d'utilisateur et du mot de passe d'Active Directory.
Lycée Franklin Roosevelt 6/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Sur notre serveur MDL équipé de Windows Server 2008 nous avons procédé à l'installation du rôle RADIUS (NPS Network Policy Server) qui fait partie des services de stratégie
On clique sur « suivant » puis « installer » Enfin nous arrivons dans l'interface configuration de ce service RADIUS.
Le Service d'authentification par RADIUS utilise la norme 802.1X.On va donc dans un premier temps mettre en place une stratégie avec cette norme qui permettra d'authentifier les utilisateurs. Elle sera nommée Wifi MDL-Rugby.
Lycée Franklin Roosevelt 7/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Puis vient le moment où il faut rajouter le client qui va envoyer les demandes d'authentification qui ici est la borne Wifi Cisco.
Pour la configuration du client, comme vous pouvez le voir, il faudra donner un nom, saisir son adresse IP donc 192.168.0.162 ainsi qu'un secret partagé «admin» (clé à fournir lors de la configuration RADIUS de la borne Wi-Fi).
Lycée Franklin Roosevelt 8/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
On valide le client et on poursuit la configuration.
On choisit donc la méthode EAP-MSCHAP version 2 car c'est la plus sécurisée.
Il ne reste plus qu'à valider en cliquant sur «Terminer».
• Création d'un certificat de sécurité
Dans un premier temps il faut installer le rôle de certification inclus dans le serveur
Lycée Franklin Roosevelt 9/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
On passe à l'écran suivant, on choisit le mode Entreprise car en effet notre autorité de certification fait partie du domaine MDL.LOCAL
On choisira dans l'écran suivant une autorité racine
Il s'agit effectivement d'une première clé privée qu'on va créer.
L'algorithme SHA1 est sélectionné par défaut. La longueur de la clé et ce type dechiffrement nous conviennent.
A partir de là on clique sur suivant jusqu'à installer.
Lycée Franklin Roosevelt 10/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Cependant la configuration du RADIUS ne s’arrête pas là, il faut en plus configurer la stratégie précédemment créée pour la prise en compte des certificats, les conditions de connexions, etc...Il faudra donc se rendre dans les propriétés de la stratégie.
Comme c'est indiqué sur la capture ci-dessus, on coche tous simplement. la case « authentification chiffré par le MS-CHAP V2» ainsi que la «MS-CHAP»
A savoir : Un groupe d'utilisateurs nommé «wifi» sera créé dans Active Directory, seul les utilisateurs
appartenant à ce groupe auront le droit de se connecter par la borne Wifi.Le serveur NPS sera autorisé à lire les données d'Active Directoryil faut pour cela l'inscrire à l'AD comme c'est surligné sur la capture ci-contre.
Pour ajouter les utilisateurs autorisés à s'authentifier, il faudra se rendre dans l'onglet «Conditions» des propriétés de la stratégie.
Comme c'est indiqué sur la capture ci-contre, on rajoute le groupe «wifi».
Lycée Franklin Roosevelt 11/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Dans « stratégies de demandes de connexions », on se rend dans l'onglet « Paramètres».
Cliquez sur « Modifier » nous pouvons voir un certificat qui a était délivré au serveur, son émetteur, ainsi que la date d'expiration.
Lycée Franklin Roosevelt 12/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
On fini par valider les modifications.
• Création d'une journalisation
Pour plus de sécurité et dans un but de traçabilité des connexions au réseau, nous avons décidé de mettre en place une journalisation. Le serveur va enregistrer toutes le connexions effectuées.
,
Pour des raisons de simplicité, nous avons décidé d'enregistrer les données dans un fichiertexte sur le serveur. Il est possible, et même plus sécurisé, de les enregistrer dans une base de données.
Lycée Franklin Roosevelt 13/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Le fichier sera enregistré dans C:\Windows\system32\LogFiles
Il suffit de continuer en cliquant sur suivant jusqu'à la fin. Voila la journalisation est mise en place.
• Configuration de la borne Wi-Fi
Maintenant on va s’intéresser à la configuration du client à fin qu'il puisse fonctionner avec le serveur RADIUS.
Dans un premier temps on change le SSID de notre réseau Wi-Fi.Il sera nommé «MDL-Rugby».
Lycée Franklin Roosevelt 14/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Dans l’écran qui suit, on définit le type de sécurité utilisé. WPA2-Entreprise.On saisie l'IP de notre serveur NPS configuré précédemment(192.168.0.66). Le port 1812 est par défaut. On oublie pas de saisir la clé partagée créée lors de la configuration de la stratégie de connexion, configuration du client (admin)
On finira par un clic sur «save» pour sauvegarder les configurations.
5. Test de conformité :
On rajoute quelques utilisateurs dans le groupe wi-fi.
Lycée Franklin Roosevelt 15/16 Année 2013-2014
CHAMOU Abdel-KemalPINON Olivier
Sur un téléphone portable on se connecte au réseau MDL-Rugby
voilà comment se présente la phase d'authentification.
On nous demande un nom d'utilisateur et un mot de passe, avant de valider on choisira comme Authentification Phase 2 : MSCHAPV2.
Utilisateur : olivier
Mot de passe : olivier
Voila une capture d'écran prise lors de l'identification à notre Wi-Fi «MDL-Rugby»
Lycée Franklin Roosevelt 16/16 Année 2013-2014
