blue + DHCP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

blue + DHCP

Messagepar zorgh » 28 Juin 2007 14:51

Bonjour,

Je rencontre une situation étrange.

Contexte :

IPCOP (-- BLUE) -- Routeur WRT54G -- répéteur WRE54G -- client (poste nomade)

IPCOP est paramétré en DHCP avec un DNS renseigné.
L'interface réseau BLUE est connectée au switch du routeur WRT54G (WAN non utilisé)
Le routeur WRT54G en mode routeur et le DHCP est désactivé.

IPCOP : 192.168.1.2
192.168.1.255
255.255.255.0
DNS : dns externe (a.b.c.d)

Routeur WRT54G : 192.168.1.1

Répéteur WRE54G : 192.168.1.3
Gateway : 192.168.1.2

Le client est configuré en DHCP et reçoit bien une adresse IP, sa gateway et le DNS a.b.c.d
Le signal wifi est bon.

Problème rencontré :

Le poste client est en dual boot (linux Debian et XP)

Sous la Debian, je parviens à pinger l'IPCOP, le routeur, le répéteur et le serveur DNS extérieur au site. Je parviens donc à aller sur le net.
Sous XP, je parviens à pinger l'IPCOP, le routeur, le répéteur mais pas le serveur DNS. Je ne parviens donc pas à aller sur le net.

Les configurations réseau sont donc identiques d'un système à l'autre.

Pourquoi je ne parviens pas à naviguer sur le web ? faut-il obligatoirement mettre le routeur en mode routeur et non en mode NAT ?

Merci pour vos contributions.
zorgh
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 26 Mai 2007 13:58

Messagepar zorgh » 28 Juin 2007 20:22

J'ai trouvé l'origine du dysfonctionnement.

Dans l'onglet Pare-Feu --> Accès BLEU, j'avais associé une adresse IP à l'adresse MAC du portable.
Lorsque je démarrais sous XP, je ne recevais pas la même IP. Je ne pouvais donc pas communiquer avec l'IPCOP.


Aussi, comment faire pour que n'importe quelle adresse en 192.168.1.* puisse être autorisée à accéder à Blue ?


Merci
zorgh
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 26 Mai 2007 13:58

Messagepar zorgh » 29 Juin 2007 19:25

Je vais continuer mon monologue et mon questionnement.

J'ai essayé de paramétrer Copspot.

Le serveur radius tourne sur la patte verte.

J'accède correctement à la fenêtre d'authentification Copspot.

Par contre, j'ai un échec au moment de l'authentification.

J'ai capturé les trames de connexion depuis le serveur radius. La communication entre les 2 machines s'opère.

Souhaitant quelque chose de sécurisé, je constate que Copspot créé une interface TUN qui échappe donc complètement à IPCOP et Guardian.
De fait, si je parviens à avoir un shell sur l'ipcop depuis un accès nomade, je peux aller sur n'importe quelle patte (vert ou orange). Ce qui est ennuyeux.

J'aimerais avoir votre avis sur la question.

Merci bien
zorgh
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 26 Mai 2007 13:58

Messagepar Franck78 » 29 Juin 2007 23:43

zorgh a écrit:Aussi, comment faire pour que n'importe quelle adresse en 192.168.1.* puisse être autorisée à accéder à Blue ?
Merci


Ca c'est un de nombreux features request qui attendent pour améliorer IPCop. Pour l'instant, c'est une par une qu'il faut spécifier les IP.

Ton problème copspot, radius, tun, trame est totalement obscur... manque de précision.


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar zorgh » 30 Juin 2007 07:01

Merci Franck78 pour ce complément d'infos.

Je suis d'accord sur le fait que cela manque de précisions.


1) un problème d'authentification Radius entre le client et le serveur.

10.168.100.4 (IPCOP) --> 10.168.200.5 (serveur Radius sur la patte verte) RADIUS ACCESS-Request (1)
10.168.200.5 --> 10.168.100.4 RADIUS ACCESS-REJECT (3)

Je n'ai rien dans les logs qui me permettrait de diagnostiquer les raisons de l'échec.
Le serveur Radius tourne sur un Windows 2003 Server en utilisant le Service d'Authentification Internet.

J'ai des traces Ethereal de la communication mais je ne parviens pas à la lecture de ces traces identifier le code erreur. Je ne sais pas si le RFC 2865 me permettrait d'y voir plus claire.

If any value of the received Attributes is not acceptable, then
the RADIUS server MUST transmit a packet with the Code field set
to 3 (Access-Reject). It MAY include one or more Reply-Message
Attributes with a text message which the NAS MAY display to the
user.


Il est alors difficile de déterminer quelle information transmise est inacceptable.

Je pense peut-être à un mauvais paramétrage de la méthode EAP choisie pour l'authentification.


2) Concernant l'interface TUN, Copspot créé une interface virtuelle avec un adressage spécifique, par exemple 192.168.182.0/24

http://www.ban-solms.de/t/IPCop-copspot.html

IPCOP permet de sécuriser (SNORT+GUARDIAN) n'importe quelle interface (bleu, rouge, vert, orange). S'agissant d'une interface TUN, cela échappe aux règles IPTABLES du pare-feu.
De fait, si un poste nomade parvient à obtenir un shell sur l'IPCOP, il peut aller sur n'importe quelle patte.
J'en ai fait l'exemple, j'ai ouvert SSH sur l'IPCOP et avec mon poste nomade en wifi, je m'y suis connecté. Une fois loggé sur celui-ci, je pouvais pinguer n'importe quelle machine sur la patte verte depuis une liaison sans fil.
Malgrè le fait que le ping est été désactivé et que par défaut, toute connexion depuis la patte bleue vers la patte verte soit interdite.
zorgh
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 26 Mai 2007 13:58

Messagepar zorgh » 03 Juil 2007 09:44

Le problème d'authentification est résolu.
C'était un problème lié à l'enregistrement des mots de passe. Copspot utilise CHAP et requiert donc un cryptage réversible des mots de passe via le service d'authentification Internet (IAS de Microsoft).
zorgh
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 26 Mai 2007 13:58


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité