sécurité wifi - wpa radius

[benjih00]

Bonjour à tous,

Je voudrais mettre en place un réseau Wifi avec comme sécurité du WPA entreprise (802.1x EPA PEAP).
J'utilise pour ça des bornes légères Aironet configurées par un controller Airespace.
Comme radius, un serveur ACS de Cisco est installé sur un serveur 2003 qui fait également office de contrôleur de domaine AD.

J'ai procédé en plusieurs étapes pour arriver à mettre cette sécurité :

- mise en place de clé WEP statique --> aucun problème
- mise en place de clé WPA PSK --> aucun problème

Lorsque j'arrive à la sécurité voulue, le client s'associe bien avec ma borne, mais un problème survient lors de son authentification auprès du serveur radius.

Le radius semble bien configuré. J'utilise pour l'instant une base de données utilisateurs interne au serveur ACS, et non la base d'utilisateurs du domaine windows.

J'ai analysé le traffic sur la carte réseau du serveur et j'ai remarqué que le client et le radius discutait bien.

Le client envoie par son port 32769 une trame sur le port 1812 du serveur et de type access-request
Le serveur lui répond par le port 1812 une trame sur le port 32769 du client et de type access-challenge

Au bout de 3 trames access-request du client, le serveur lui répond par une trame de type access-reject, toujours en utilisant les mêmes ports.

Le client NAS est le controller.

J'ai ensuite regardé dans les différentes logs des équipements.

Sur le controller, aucun message d'erreur.
Sur le serveur ACS, dans les reportings 'Failed Attempts', dans la partie Author-Failure-Code, voici le message d'erreur : EAP-TLS or PEAP authentification failed during SSL handshake.

Voyez-vous ce qui ne va pas ?
Cela fait une semaine que je suis dessus et je commence à desesperer.

Merci

[nowhere_59]

Utilise-tu les certificats? Ça peut peut etre venir de là...
Sur ton client désactive la case "valider le certif du serveur" et test comme ça tu seras fixé

[benjih00]

oui j'utilise les certificats.

J'ai générer un certificat sur mon serveur ACS mais je n'ai rien installé sur mon client.

Si je décoche la case 'Valider le certificat du serveur', je n'ai plus du tout de message de log sur le serveur ACS.

Si je fais une analyse avec ethereal, le serveur ne renvoi pas d'access-reject.

Apparement cela vient des certificats.

Mais je ne sais pas trop comment faire.

[nowhere_59]

J'ai pas compris : si tu décoche la case "valider le certif du serveur" ça marche tjs pas? dans ce cas le prob ne vient pas de là sinon tu pourrais te connecter...

[S0l0]

si tu n'as pas de certificat sur ton client pas de connexion echange de crtificat filaire ou disk7 ou cle usb a installer sur les clients se connectant ; il est possible de faire du push certificat sur AD mais ne connaissant pas ACS je peut pas t'aider ...
courage!!!

[benjih00]

non, si je décoche la case 'valider le certificat du serveur', cela ne fonctionne toujours pas.

faut-il que j'installe un certificat sur le client avec PEAP ?

[benjih00]

peux-tu m'expliquer ce qu'est le push certificat avec AD ??

[nowhere_59]

Si quand tu décoche la case "valider le certif" ça ne marche tjs pas cela veut dire que ton problème vient d'ailleurs...
Il faut vérifier ta stratégie d'acces distant ou ton compte client radius (regarde si tu as bien le même secret partagé)

[benjih00]

ok, je vais vérifier les stratégies d'accès et les config du client radius.

je te remercie.

[nowhere_59]

A ton service...

[benjih00]

pouvez-vous me confirmer qu'en utilisant la sécurité eap peap, il est inutile d'utiliser les certificats ?

[nowhere_59]

Non ce n'est pas inutile, ce n'est pas obligatoire mais pas inutile.
Le certificat sert a vérifier que ton client communique bien avec le bon serveur, et pas avec un imposteur. Ce n'est pas obligatoire mais c'est une sécurité en plus.

[benjih00]

Ok merci

Je vais donc essayer sans certificat pour voir comment cela évolue, et rajouter iun certificat plus tard.