Etude / AuthentificationWiFi

Cette page présente une étude sur les possibilités d'authentification WiFi (externes aux point d'accès).

Étude avec le routeur Linksys WRT54G(S)

Ce routeur propose, dans la section Wireless Security, plusieurs types de sécurité :

La différence entre WEP et WPA se situe au niveau de la difficulté de « casser » le chiffrement : c'est relativement facile avec WEP, alors que c'est plus difficile avec WPA.

Mais ce qui nous intéresse ici c'est l'authentification Radius car elle va nous permettre d'effectuer les contrôles d'accès via une base de données située coté serveur.

Installation d'un serveur Radius

Le choix, pour le moment, s'est situé du coté de freeradius car il est basé sur radiusd-cistron, qu'on connaissait déjà, et il propose en plus des modules mysql et ldap, sans parler d'une interface web.

La première chose à faire est d'y indiquer le routeur WiFi comme client Radius. Cela se fait dans le fichier /etc/freeradius/clients.conf :

client 192.168.1.2 {
        secret          = le-secret-partagé
        shortname       = wifi01
        nastype         = other # ou peut-être cisco pour les linksys ? à tester...
}

Ensuite il est utile de créer un utilisateur de test. Cela se fait dans le fichier /etc/freeradius/users :

test    Auth-Type := EAP, User-Password == "test"

<!> À poursuivre...

Paramétrage du client WiFi

Les tests, pour le moment sans succès, ont été fait sur NetworkManager. Ce dernier propose trois types d'authentification en mode WPA « Entreprise » : PEAP, EAP-TLS et EAP-TTLS. Aucun de ces trois « modules » n'est disponible dans le FreeRADIUS de Debian "Sarge" par défaut (pas compilés, fichu problème de copyright avec OpenSSL). Il a donc fallu recompiler avec les options qui allaient bien. Et tant qu'à faire, autant faire un backport du FreeRADIUS dans Debian "Etch" ! Il est disponible sur deb http://tech.vn.refer.org/debian sarge backports. <!> Reste à le tester !

Commentaire

Nous travaillons également à Paris sur la configuration d’un routeur WRT54G pour en faire un portail captif Radius embarqué : OpenWrt, FreeRadius et ChiliSpot. Les tests sont pour le moment assez concluant, le routeur attribut des adresses et bloque le trafic, mais la partie redirection de flux TCP vers la page d’authentification ne fonctionne pas. Et quelques autres brouilles ne passent pas non plus…..mais, bon, on est sur la bonne voie. -- AlexandreDomont

Etude/AuthentificationWiFi (dernière édition le 2019-02-11 19:33:25 par JeanChristopheAndré)