sécurité wifi - wpa radius

Forum dédié aux discussions concernant les réseaux sans fil tels que IEEE 802.11a, 802.11b, bluetooth et tous les autres standards que l'on peut trouver sur le marché.

Modérateur: modos Ixus

sécurité wifi - wpa radius

Messagepar benjih00 » 10 Mars 2006 14:36

Bonjour à tous,

Je voudrais mettre en place un réseau Wifi avec comme sécurité du WPA entreprise (802.1x EPA PEAP).
J'utilise pour ça des bornes légères Aironet configurées par un controller Airespace.
Comme radius, un serveur ACS de Cisco est installé sur un serveur 2003 qui fait également office de contrôleur de domaine AD.

J'ai procédé en plusieurs étapes pour arriver à mettre cette sécurité :

- mise en place de clé WEP statique --> aucun problème
- mise en place de clé WPA PSK --> aucun problème

Lorsque j'arrive à la sécurité voulue, le client s'associe bien avec ma borne, mais un problème survient lors de son authentification auprès du serveur radius.

Le radius semble bien configuré. J'utilise pour l'instant une base de données utilisateurs interne au serveur ACS, et non la base d'utilisateurs du domaine windows.

J'ai analysé le traffic sur la carte réseau du serveur et j'ai remarqué que le client et le radius discutait bien.

Le client envoie par son port 32769 une trame sur le port 1812 du serveur et de type access-request
Le serveur lui répond par le port 1812 une trame sur le port 32769 du client et de type access-challenge

Au bout de 3 trames access-request du client, le serveur lui répond par une trame de type access-reject, toujours en utilisant les mêmes ports.

Le client NAS est le controller.

J'ai ensuite regardé dans les différentes logs des équipements.

Sur le controller, aucun message d'erreur.
Sur le serveur ACS, dans les reportings 'Failed Attempts', dans la partie Author-Failure-Code, voici le message d'erreur : EAP-TLS or PEAP authentification failed during SSL handshake.

Voyez-vous ce qui ne va pas ?
Cela fait une semaine que je suis dessus et je commence à desesperer.

Merci
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35

Messagepar nowhere_59 » 10 Mars 2006 17:01

Utilise-tu les certificats? Ça peut peut etre venir de là...
Sur ton client désactive la case "valider le certif du serveur" et test comme ça tu seras fixé
Avatar de l’utilisateur
nowhere_59
Major
Major
 
Messages: 90
Inscrit le: 30 Jan 2006 13:59
Localisation: Devant mon ordi

Messagepar benjih00 » 10 Mars 2006 17:14

oui j'utilise les certificats.

J'ai générer un certificat sur mon serveur ACS mais je n'ai rien installé sur mon client.

Si je décoche la case 'Valider le certificat du serveur', je n'ai plus du tout de message de log sur le serveur ACS.

Si je fais une analyse avec ethereal, le serveur ne renvoi pas d'access-reject.

Apparement cela vient des certificats.

Mais je ne sais pas trop comment faire.
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35

Messagepar nowhere_59 » 10 Mars 2006 17:29

J'ai pas compris : si tu décoche la case "valider le certif du serveur" ça marche tjs pas? dans ce cas le prob ne vient pas de là sinon tu pourrais te connecter...
Avatar de l’utilisateur
nowhere_59
Major
Major
 
Messages: 90
Inscrit le: 30 Jan 2006 13:59
Localisation: Devant mon ordi

Messagepar S0l0 » 10 Mars 2006 19:14

si tu n'as pas de certificat sur ton client pas de connexion echange de crtificat filaire ou disk7 ou cle usb a installer sur les clients se connectant ; il est possible de faire du push certificat sur AD mais ne connaissant pas ACS je peut pas t'aider ...
courage!!!
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar benjih00 » 11 Mars 2006 00:17

non, si je décoche la case 'valider le certificat du serveur', cela ne fonctionne toujours pas.

faut-il que j'installe un certificat sur le client avec PEAP ?
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35

Messagepar benjih00 » 11 Mars 2006 00:18

peux-tu m'expliquer ce qu'est le push certificat avec AD ??
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35

Messagepar nowhere_59 » 13 Mars 2006 09:46

Si quand tu décoche la case "valider le certif" ça ne marche tjs pas cela veut dire que ton problème vient d'ailleurs...
Il faut vérifier ta stratégie d'acces distant ou ton compte client radius (regarde si tu as bien le même secret partagé)
Avatar de l’utilisateur
nowhere_59
Major
Major
 
Messages: 90
Inscrit le: 30 Jan 2006 13:59
Localisation: Devant mon ordi

Messagepar benjih00 » 14 Mars 2006 09:44

ok, je vais vérifier les stratégies d'accès et les config du client radius.

je te remercie.
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35

Messagepar nowhere_59 » 14 Mars 2006 09:49

A ton service...
Avatar de l’utilisateur
nowhere_59
Major
Major
 
Messages: 90
Inscrit le: 30 Jan 2006 13:59
Localisation: Devant mon ordi

Messagepar benjih00 » 15 Mars 2006 12:35

pouvez-vous me confirmer qu'en utilisant la sécurité eap peap, il est inutile d'utiliser les certificats ?
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35

Messagepar nowhere_59 » 15 Mars 2006 15:27

Non ce n'est pas inutile, ce n'est pas obligatoire mais pas inutile.
Le certificat sert a vérifier que ton client communique bien avec le bon serveur, et pas avec un imposteur. Ce n'est pas obligatoire mais c'est une sécurité en plus.
Avatar de l’utilisateur
nowhere_59
Major
Major
 
Messages: 90
Inscrit le: 30 Jan 2006 13:59
Localisation: Devant mon ordi

Messagepar benjih00 » 16 Mars 2006 11:36

Ok merci

Je vais donc essayer sans certificat pour voir comment cela évolue, et rajouter iun certificat plus tard.
benjih00
Matelot
Matelot
 
Messages: 7
Inscrit le: 10 Mars 2006 14:35


Retour vers Réseaux sans fil

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron