Cette page présente une étude sur les possibilités d'authentification WiFi (externes aux point d'accès).
Étude avec le routeur Linksys WRT54G(S)
Ce routeur propose, dans la section Wireless Security, plusieurs types de sécurité :
- Pas de sécurité (ni chiffrement, ni authentification)
- Chiffrement via WEP (64 ou 128 bits) sans authentification
- Chiffrement via WEP (64 ou 128 bits et authentification Radius
- Chiffrement via WPA (TKIP ou AES) sans authentification
- Chiffrement via WPA (TKIP ou AES) et authentification Radius
La différence entre WEP et WPA se situe au niveau de la difficulté de « casser » le chiffrement : c'est relativement facile avec WEP, alors que c'est plus difficile avec WPA.
Mais ce qui nous intéresse ici c'est l'authentification Radius car elle va nous permettre d'effectuer les contrôles d'accès via une base de données située coté serveur.
Installation d'un serveur Radius
Le choix, pour le moment, s'est situé du coté de freeradius car il est basé sur radiusd-cistron, qu'on connaissait déjà, et il propose en plus des modules mysql et ldap, sans parler d'une interface web.
La première chose à faire est d'y indiquer le routeur WiFi comme client Radius. Cela se fait dans le fichier /etc/freeradius/clients.conf :
client 192.168.1.2 {
secret = le-secret-partagé
shortname = wifi01
nastype = other # ou peut-être cisco pour les linksys ? à tester...
}Ensuite il est utile de créer un utilisateur de test. Cela se fait dans le fichier /etc/freeradius/users :
test Auth-Type := EAP, User-Password == "test"
À poursuivre...
Paramétrage du client WiFi
Les tests, pour le moment sans succès, ont été fait sur NetworkManager. Ce dernier propose trois types d'authentification en mode WPA « Entreprise » : PEAP, EAP-TLS et EAP-TTLS. Aucun de ces trois « modules » n'est disponible dans le FreeRADIUS de Debian "Sarge" par défaut (pas compilés, fichu problème de copyright avec OpenSSL). Il a donc fallu recompiler avec les options qui allaient bien. Et tant qu'à faire, autant faire un backport du FreeRADIUS dans Debian "Etch" ! Il est disponible sur deb http://tech.vn.refer.org/debian sarge backports. Reste à le tester !
Commentaire
Nous travaillons également à Paris sur la configuration d’un routeur WRT54G pour en faire un portail captif Radius embarqué : OpenWrt, FreeRadius et ChiliSpot. Les tests sont pour le moment assez concluant, le routeur attribut des adresses et bloque le trafic, mais la partie redirection de flux TCP vers la page d’authentification ne fonctionne pas. Et quelques autres brouilles ne passent pas non plus…..mais, bon, on est sur la bonne voie. -- AlexandreDomont
Ce serait pas mal d'en faire, plus qu'un commentaire, une doc sur le wiki ! -- JeanChristopheAndré
En attendant de trouver une meilleur place : ZEO/Paris/PortailCaptif -- AlexandreDomont