Wifi

De OpenWikiBSD.

Sommaire 1 Pour quoi faire ? 2 Comment faire ? 3 Principe 4 FreeRadius 4.1 clients.conf 4.2 Réseau 5 Monter son FreeWifi-like à soi 6 Les clients, AP Wifi, Switches.... 6.1 AP WIFI 6.1.1 Config 6.1.2 Setup 6.1.3 Wireless 6.1.4 Administration 7 Localisation & Itinérance 8 Portables 8.1 Linux 8.1.1 Gnome 8.1.2 Kde 8.2 Windows 8.2.1 Debug 8.3 MacOSX Non testé 9 Smartphone 9.1 Iphone 9.2 Android Non testé 9.3 Samsung Non testé 9.4 Nokia Non testé

Pour quoi faire ?

Du wifi, du wifi, du wifi.... Certains dans les établissements scolaires sautent comme des cabris pour faire mumuse avec leur Smartphone ou pour éviter de débrancher l'imprimante de la salle des profs et lui piquer son câble réseau... (Bon, d'accord, je me retrouve un peu dans la première catégorie..)

Donc, du wifi. OK

Mais du vrai, pas du hotspot public en accès ouvert ou avec une clé WEP en 4 octet dont la passphrase commence par to et finit par to et qui sera affichée sur la machine à café de la salle des profs...

Et un MINIMUM de gestion des clients et de leur utilisateur...

Bref, afin d'installer un service Wifi pas trop troué, on installe un serveur Radius (en VM)....

Comment faire ?

Plusieurs possibilités existent, mais au final, le choix est pour le moins réduit :

• Le mot de passe est stocké chiffré dans l'annuaire LDAP de manière non-reversible. Donc MS-CHAP côté authentification et PEAP côté protocole.

• On ne veut pas avoir de certificat client à gérer, donc EAP-TLS.

• On veut un algorithme de chiffrement robuste donc EAP-MD5 et assez ouvert dont la solidité ne repose pas exclusivement sur la solidité des mots de passe, donc LEAP.

Reste....tada ..

EAP-TTLS

Principe

La connexion est chiffrée en WPA-Enterprise. En gros, un certificat serveur seul est utilisé pour chiffrer la connexion (EAP-TTLS) entre le poste client et le point d'accès Wifi (802.11b & g) qui va servir d'intermédiaire avec le serveur Radius. Ce dernier va alors interroger l'annuaire LDAP pour valider les identifiants de connexion. Très simple pour l'utilisateur (un tout petit peu moins pour l'administrateur ;-) ) et très sécurisé. Les clés de chiffrement sont à usage unique et à changement réguliers.

Le concept :[1]

FreeRadius

clients.conf

Il gère les clients au sens radius (les authenticator, les switches, les AP Wifi).

• Copie de sauvegarde

cp /etc/raddb/clients.conf /etc/raddb/clients.conf.ORI

• Ajout des AP Wifi, du serveur Nagios etc..

echo "
   
#Nagios
client Nagios {
secret = SECRETNAGIOS
shortname =  Nagios
ipaddr = @IP NAgios
}
  
#Wifi AP3
client AP3 {
secret = \"SECRET_AP3\"
shortname = AP3
ipaddr = @IP AP3
nastype     = other
}
  
# En local
client localhost {
       ipaddr = 127.0.0.1
       secret          = \"SECRETLOCAL\"
       require_message_authenticator = no
       shortname       = localhost
       nastype     = other
}
" > /etc/raddb/clients.conf

Où les SECRET_XX est le secret partagé entre l'authenticator et le serveur radius.

Si votre supplicant n'est pas correctement enregistré dans clients.conf :

Ignoring request to authentication address * port 1812 from unknown client @IP  port 54762

Réseau

Comme on a eu un souci avec les limitations du matériel , il a fallu aliaser (un petit néologisme pour la route) la carte réseau:

ifconfig em0 alias 192.168.1.9 netmask 255.255.255.0

La carte est donc aliasée (rebelote) :

ifconfig -a
  
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 172.16.0.223 netmask 0xffff0000 broadcast 172.16.255.255
inet 192.168.1.9 netmask 0xffffff00 broadcast 192.168.1.255

Monter son FreeWifi-like à soi

Et si aviez envie de faire comme Free ? Tout plein d'AP partout en France (ou ailleurs) et une base d'authentification unique ? Un AP estampillécompatible openBSD-edu.net et vous pouvez vous loguer avec vos identifiants de l'annuaire LDAP distant de plusieurs centaines (milliers ??) de km ?

Trop de la balle!

• Vous demandez à votre AP d'utiliser comme serveur Radius la patte LAN de votre routeur NAT.
• Vous redirigez toute requête entrante sur la patte LAN en UDP/1812 vers l@IP publique de votre établissement

rdr pass log on $Interface_LAN proto udp from $PLageIP_WIFI to $@IP_LAN_PEDA  port radius   -> $@WAN_EPLE port radius

• Sur le routeur de l'établissement, vous faites la manip inverse

rdr pass on $INterface_WAN proto udp from $La_Liste_des_@IP_atutorisees to $@IP_WAN port radius -> $@IP_SRV_RADIUS  port radius

Cerise sur le gateau, si vous utilisez le même SSID qu'au bahut,...c'est totalement transparent! Je vous promet un beau succès d'estime avec vos collègues dont le smartphone configuré pour l'établissement marche à l'identique chez vous et......leur permet de regarder la coupe du monde de foot (Spéciale dédicace Luton ;-) )

Pour info, seule l'auth radius va faire sa centaine de km aller-retour, les paquets suivants ne suivent que VOTRE ligne ADSL, avec le débit qui va bien.

Les clients, AP Wifi, Switches....

AP WIFI

On utilise des linksys WRT54G& WAP54G (Quasiment le même prix, mais pas de https pour l'interface web, bof bof). Il faut les configurer ainsi :

Config

Par défo les WRT54G sont en 192.168.1.1

Par défo les WAP54G sont en 192.168.1.245

Setup

Name : APX

Hostname : APX

Domain: Lyceenobel.org

DHCP

@IP :192.168.1.10X/24

DHCP Server : disable

Wireless

Mode :Mixed

SSID : Nobel

Broadcast SSID : Enable

Security mode : WPA Enterprise

TKIP

@IP RAdius : 192.168.1.99

POrt 1812

Shared_key  :-)

Administration

Mdp

https only

wireless access Enable

remote mgmt no

upnp no

• On utilise les ports LAN et pas le port WAN (appelé Internet)

• Basic Setup :
  • DHCP server Disabled
  • Local IP : C'est le GROS souci. On ne peut pas changer le masque comme on veut. Résultat, il faut coller un alias en 192.168.1.0/24 sur la patte du serveur radius. Ce n'est pas très grave, les clients utilisant le plan d'adressage que vous souhaitez.

• Wireless :
  • WPA Entreprise & TKIP (AES à tester..)
  • @IP du radius et le port (UDP/1812 par défaut)
  • Shared key : C'est le fameux SECRET_XX rentré dans le clients.conf
  • Filtrage Mac, pour un AP permettant aux profs d'utiliser leur portable ou leur smartphone, ça me semble irréaliste..

• Administration :
  • Forcer le httpS (pas dispo sur les WAP54G ...)
  • Changer le mdp
  • Désactiver Upnp et le remote management..

Localisation & Itinérance

Les AP {Points d'accès Wifi} sont actuellement disponibles aux endroits suivants et permettent une connexion dans un rayon de quelques dizaines de m :

• Bâtiment 1. 1er étage, Labo de Chimie
• Bâtiment 2. 1er étage, Local informatique
• Bâtiment 4. 1er étage, Salle des profs
• Bâtiment 4. 1er étage, CDI (A déplacer, les murs porteurs bloquent le signal)

La zone approximative de couverture est actuellement la suivante :

Itinérance (Roaming) :

Les AP sont configurés pour gérer les déplacements. Si vous commencez à rédiger un article pour le portail du lycée au B1 et que vous traversez la cours pour aller prendre un café en salle des profs, les AP successifs vont se relayer l'authentification et vous allez poursuivre votre travail.

Portables

Cette doc est tirée de celle produite pour mon ancien lycée; il faut donc que je l'adapte...C'est en cours.

Linux

Gnome

Vous utilisez NetworkManager, et vous avez déjà incorporé le certificat de l'AC, une fois pour toutes.

• Une fois le Wifi allumé, vous détectez le SSID Nobel :

• Vous fournissez vos identifiants habituels du SI:

• L'attribution des paramètres réseau...

• Vous êtes connecté (de manière permanente).

Fichier:NeuworkManager-OK.jpg

Kde

Non-testé, mais devrait fonctionner sans trop de souci.

Windows

Comme à son habitude, lorsqu'elle arrive sur un marché concurrentiel, la firme de Redmond réinvente la roue plutôt que d'utiliser des standards existants. Microsoft a ainsi inventé PEAP, sous-copie de EAP-TTLS, standard préalable, imposant par là-même à ses utilisateurs des acrobaties inutiles. ....Mais ils ont l'habitude de payer cher pour un service dégradé,ces utilisateurs.Pourquoi changer ?

XP, Vista et Seven ne possèdent pas de client TTLS de base, il faut en télécharger un. Un logiciel gratuit pour usage non commercial (SecureW2) existait, mais une nouvelle politique de licence rend les nouvelles payantes.....

Utilisons donc l'ancienne.. L'ancienne version ne fonctionne pas; il faut utiliser la nouvelle (3.4.0).

Il y a deux possibilités :

- Vous téléchargez sur le site, la dernière version, fonctionnelle 1 mois. Et oui, après ça risque de ne plus fonctionner.

- Le lycée achète une licence globale.

1. Téléchargez le soft.

1.bis. Téléchargez le certificat racine (Clic droit/Enregistrer la cible du lien sous...)

• Récupérez les certificats de l'AC et du serveur Radius (au format der) en les plaçant dans

- Placer tous les certificats dans le magasin suivant

- Parcourir

- Afficher les magasins physiques

- Autorités de certification racines de confiance

- Ordinateur local

2. Installez le biniou. (Attention, il faut avoir une connexion réseau filaire pour activer le tout.)

Choisissez EAP-TTLS

3. Redémarrez l'ordi.

4.Suivez cette doc

Login & Mdp : Ceux du lycée

Domaine: Rien du tout

Debug

Received an invalid server certificate, please verify your certificate configuration

Vous n'avez pas intégré, au magasin, les bons certificats:

• Récupérez les certificats de l'AC et du serveur Radius (au format der) en les plaçant dans

- Placer tous les certificats dans le magasin suivant

- Parcourir

- Afficher les magasins physiques

- Autorités de certification racines de confiance

- Ordinateur local

MacOSX Non testé

Smartphone

Il vous faudra, évidemment, une connexion Wifi sur le téléphone..

Iphone

• Une fois le Wifi allumé, vous détectez le SSID Nobel :

• Vous fournissez vos identifiants habituels du SI:

• On vous demande d'accepter le certificat de serveur Radius faraday.lyceenobel.org

...Que vous vérifiez (Plus de détails) par acquis de conscience :

La signature DOIT correspondre.

• Vous êtes connecté (de manière permanente).

Android Non testé

Samsung Non testé

Réseau / Propriétés 802.1X / EAP-TTLS

Nokia Non testé

Non-fonctionel pour le moment

• Une fois le Wifi allumé, vous détectez le SSID Nobel :