User Tools

Site Tools


formationsecurite:wifi

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

formationsecurite:wifi [2013/01/30 17:52] (current)
Line 1: Line 1:
 +  * Introduction:​ bêtises, resituer
 +  * théorie concernant le wireless (modèle OSI)
 +  * architecture:​ topologies ​
 +  * sécurité
  
 +=== Introduction ===
 +Sans fil: il y a plein de technologies,​ Wifi, edge, etc.). Wifi est celui qui s'est développé le plus aujourd'​hui.
 +Wifi = wireless fidelity, mais souvent installation de piètre qualité, sans sécurité
 +
 +Pourquoi la technologie wifi?
 +  * UMTS pas développé,​ UMTS: large bande pour GSM
 +    * vitesse théorique: 2 ~Mb/s
 +    * commencé à en parler vers 1998-99 (rappel: GSM: 1995-96, permettant rien en data et 9600 bps en fax)
 +    * voix ne rapporte pas, data ça paie (lourd, c'est riche)
 +      * WAP = [[HTML]] pour GSM (flop)
 +      * problème: bande passante insuffisante -> UMTS
 +      * adoption de la technologie
 +        * créée en labo
 +        * utilisé si client emballé
 +        * vitesse d'​adoption diffère selon la technologie et la facilité de mise en oeuvre
 +        * UMTS: adoption: provider doit l'​installer -> comment faire pour que les providers l'​adoptent?​ -> leur faire gagner de l'​argent -> one-to-one marketing -> tu passes par galerie Toison d'Or: tu as une annonce: si tu viens dans mon magasin dans la 1/2 heure, tu as -20%
 +        * licence à prendre chez les gouvernements:​ concours de beauté: on met autour de la tables les intéressés potentiels -> chacun fait une offre, on montre les 3 premiers, on annonce, et on refait un tour de table le lendemain, rinse and repeat 2-3 fois
 +          * en Belgique: Rik Daems pas tiré ce qu'il fallait: Accenture sort un rapport: 7 ans pour atteindre le break-even, mais 7 ans: technologie dépassée, donc pas trop rapporté
 +          * Proximus devait être opérationnel pour 2002 mais Proximus = Belgacom -> entrée en bourse -> repoussé à 2003, puis 2004: couvre 3 villes, en 2005, ça commence (N.B: Mobistar a déployé du EDGE, pas UMTS)
 +          * UMTS = 3G, EDGE = 2.5G, GPRS = 56 k (comme modem analogique)
 +  * demande end user: mobilité (laptops) -> il faut de la bande passante
 +  * facilité d'​utilisation:​ ça marche du premier coup
 +  * connexion entre 2 bâtiments:
 +    * il fallait passer par un provider telecom -> fibre ou câble: très cher (oligopole, 1000-2000 EUR pour un ligne de 512 ~kb/s par mois
 +    * Wifi: 700 EUR pour une connexion à 1 ~Mb/s (en 7 mois rentable sur investissement de 3 ans)
 +
 +Donc, le wifi est tombé au bon moment.
 +
 +home != professionnel
 +
 +Home: broadband est arrivé:
 +  * mid-90s: 1 PC par ménage
 +  * fin 90s: broadband
 +  * début 2000s: plusieurs PCs à la maison (les enfants jouent: dans leur chambre)
 +  * partage de la connexion (accès internet): filaire: chiant -> wifi nickel
 +
 +Professionnel:​
 +  * câblage en fonction des bureaux, OK 
 +    * salle de réunion: il faut que tout le monde soit connecté? problème -> solution: Wifi
 +      * causer quand on veut pas travailler
 +      * inviter les clients
 +      * regarder le foot
 +  * interconnexion buildings
 +  * pas câbler pour autre raison que distance
 +    * chez Delvaux: ateliers modulables: changement régulièrement de topologie, il faut rester câblé -> wifi
 +
 +Mobilité:
 +  * hommes d'​affaire:​ en voyage: avec modem: coûte cher et crâme (N.B: hôtel: break-even: 7 à 10 ans, il faut souvent relooker -> pas câbles) -> wiki
 +  * aéroport: check-in, temps -> VIP lounge -> connexions internet avec carte à gratter en Wifi
 +
 +2 types de réseaux wifi professionnels (définition du formateur):
 +  * open: un maximum de personnes doivent pouvoir s'y connecter (hôtel, Mc Do, etc.) -> sécurité pas prioritaire
 +  * closed: connexion entre 2 bâtiments d'une boîte -> sécurité prioritaire
 +  * Reseaucitoyen:​ initiative: wifi coûte pas cher, mais quand même trop cher -> antennes artisanales,​ OS libre -> en Afrique, câblage pas rentable -> solution !dérive -> services sur le réseau (Carl pas d'​accord)
 +
 +==== Security gap ====
 +différence entre l'​endroit où on est et celui où on devrait être.
 +Par définition,​ le sans fil n'est pas sécurisé: le médium est l'air, on ne contrôle pas où la transmission s'​arrête.
 +Wifi venu avec WEP, qui n'est pas sécurisé.
 +-> //​Hotspots//​ ouverts pour tout le monde, aux frais de celui qui déploie.
 +
 +Il faut sécuriser, d'une part en configurant différemment,​ ensuite parce qu'il y a des nouveaux standards.
 +Ce qui fait qu'​aujourd'​hui on a toujours un problème: j'​installe d'​abord (et ça marche), je comprends après.
 +Contre-exemple:​ firewall: au départ, très complexe: on l'​adopte pas. Une fois qu'on a eu un firewall simplifé, ça s'est répandu.
 +
 +Le Wifi est donc utilisé sans être convenablement sécurisé.
 +
 +==== Autres technologies ====
 +  * UWG
 +  * [[VoIP]] and Voice over WLANs: 802.11e
 +  * Wimax: 802.16: local loop en wireless - encore émergent en 2005
 +
 +=== Wifi technology fundamentals ===
 +==== Standards 802.11 ====
 +couche datalink: couche LLC et MAC
 +  * LLC: services connexion avec et sans accusé de réception, services avec accusé de réception sans connexion
 +  * MAC
 +    * CSMA/CA cf. CSMA/CD: il y a un bus qui écoute qui envoie sur le câble, si collision -> signal de bourrage -> PC arrêt d'​émettre pendant un temps -> pas possible en wifi (trop grandes distances)
 +    * CSMA/CA: CA = collision avoidance: on a un AP et des clients. La machine un veut émettre
 +      * elle envoie un RTS (request to send) à l'AP et voilà combien de temps il me faut pour émettre
 +      * AP envoie CTS (clear to send): tout le monde se tait sauf celle qui a émis le RTS
 +      = distributed coordination function (DCF) (N.B: il existe aussi une autre méthode: pool)
 +      * shared media: quand travaille en 11 Mb, on partage avec les autres clients -> limiter le nombre de clients par AP
 +      * la bande passante par client diminue plus vite que le quotient: ce n'est pas linéaire (collisions + trames de management)
 +
 +Access Point censé permettre à des client l'​accès à un réseau filaire: bridge de type transceiver
 +
 +==== Basic service set (BSS) ====
 +Il couvre une seule fréquence (une cellule): plus on s'​éloigne du centre de la cellule, moins le signal est bon.
 +Le BSS est en mode infrastructure,​ elle a besoin d'un AP.
 +Toutes les stations communiquent pas l'AP.
 +SSID: service ID
 +
 +==== Independant Basic Service Set ====
 += mode ad-hoc = peer tot peer
 +
 +==== Distribution System ====
 +Plusieurs AP reliés par filaire, le client peut passer d'une cellule à l'​autre = roaming
 +
 +==== Couche physique ====
 +802.11b défini avec DSSS de l'ISM: transfert de données: 1, 2, 5.5, 11 Mbps
 +Il y a 14 canaux (fréquences):​ Europe: ETSI (13) et USA: FCC (11)
 +Il y a 2 sets de canaux:
 +  * non overlapping:​ 3 canaux qui n'​interfèrent pas: Europe: 1, 7, 13; USA: 1, 6, 11 -> data rate + élevé
 +  * half-overlapping:​ canaux qui interfèrent:​ couvre mieux, fréquency hopping (saut d'une fréquence à une autre), mais data rate moins bon (1-2 Mbps)
 +  ​
 +802.11a: BP divisée en sous-canaux pour faire du multiplexage -> 54 Mbps théorique
 +Commence à perdre de la vitesse en Europe.
 +
 +802.11g: mutilplexage OFDM avec RTS et CTS -> compabilité b et g (pas avec a)
 +
 +==== Processus d'​association ====
 +Client dans une micro-cellule et veut faire partie du réseau.
 +Il existe 2 méthodologies standards:
 +  * scanning passif: écoute et repère les beacon frames: émet trame sur laquelle elle travaille son SSID
 +    * quand le client a repéré le beacon frame, il peut essayer de se connecter -> je vais dehors tout nu et je sors en criant "Je suis tout nu"
 +  * scanning actif: AP ne broadcast pas les beacon frames: le client émet: s'il y a une AP là au bout, réponds-moi (avec beacon frame)
 +-> on ne peut pas cache l'​existence un réseau wifi.
 +
 +Analogie avec une carte réseau filaire:
 +  * intégrité came
 +  * décapsuler
 +  * vérifier dans header que c'est bien pour soi ou broadcast
 +Mais on peut aussi mettre la carte en mode de proscuité (promiscuous) -> sniffer
 +
 +~L'AP répond avec un trame qui donne une ID.
 +
 +A la fin de l'​association,​ on fait partie du réseau.
 +
 +[[Windows]] XP fait du passive scanning. Pour faire de l'​active scanning, il faut un logiciel. Exemple: netstumbler.
 +
 +802.11c et d: supplément à la MAC layer -> AP peuvent communiquer à différentes puissances
 +
 +802.11e: QoS en plus pour voice et data. Pas encore de standards implémenté,​ mais propriétaire (Cisco)
 +
 +802.11f: interopérabilité pour le roaming
 +
 +802.11h: réguler la puissance d'​émission en fonction de la distance émetteur-récepteur pour réduire les interférences.
 +
 +802.11i: pour pallier aux insuffisances du WEP, nouveaux standards de sécurité de wifi: TKIP, AES, etc.
 +
 +==== Introduction to wireless radio technology ====
 +
 +===== Frequence =====
 +Signal peut être représenté par une onde: sinusoïde.
 +fréquence = nombre de cycles par seconde.
 +T (période) = durée d'un cycle
 +f = 1 / T
 +
 +Longueur d'onde (lambda) en mètres = C / f
 +
 +Plus la fréquence augmente, plus la longueur d'onde diminue.
 +
 +Haute fréquence = petites antennes
 +
 +Bande passante analogique: différence entre la plus haute et la plus basse fréquence
 +Bande pasante digitale: quantité d'​informations par unité de temps
 +
 +===== Spectre =====
 +Spectre de la lumière = décomposition de la lumière (arc-en-ciel) en différentes couleurs possibles -> fréquences possibles
 +
 +===== Puissance du signal =====
 +
 +On dit wifi portée de 100 m. Pourquoi?
 +  * puissance émise < puissance minimum pour atteindre le récepteur
 +  * bruit -> bruit + signal fait que le récepteur ne peut distinguer le signal du bruit
 +
 +P1 = puissance émise
 +P0 = puissance reçue
 +log(10) ~P0/P1 = BEL
 +10 bels = 1 décibel = 1 dB
 +log = fonction inverse des exposants.
 +
 +dB < 0 -> perte de puissance
 +dB > 0 -> gain de puissance
 +
 +perte de 10 dB -> diminution de puissance du signal d'un facteur 10 (reçu 1/10e de la puissance émise)
 +perte de 20 dB -> diminution de puissance du signal d'un facteur 100 (reçu 1/100e de la puissance émise)
 +
 +Uniformiser:​ decibel-milliwatt (dBm), on ramène la fraction comme si on avait émis 1 mW.
 +
 +On parle de dBm EIRP (effective isotropic radiated power).
 +
 +===== Signal bruit =====
 +2 types de bruit:
 +  * white noise = thermal noise = gaussian noise: le bruit émis au départ de l'​émission,​ soit il s'​amplifie,​ soit il se réduit = bruit inhérant à l'​émission
 +    * signal diminue avec la transmission;​ pareil pour le bruit; on ne sait pas qui diminue plus vite
 +  * impulse noise: le bruit lors de la transmission
 +
 +Mesurer le signal, c'est bien, mais il faut aussi mesurer le bruit.
 +-> la mesure intéressante,​ c'est le rapport entre le signal et le bruit
 +
 +Avec la valeur de la puissance émise et le rapport signal bruit, on peut estimer la qualité d'une connexion.
 +
 +A la réception, on mesure le signal (ex: -45 dBm) et on mesure le bruit (-95 dBm) -> le rapport 10^-4.5 / 10^-9.5 = 10^5 -> 50 dB
 +C'est très bien. Plus il est élevé, mieux c'est.
 +
 +==== Antenna Fundamentals ====
 +Transformer électricité en radio-fréquences.
 +
 +2 fonctions:
 +  * recevoir
 +  * envoyer
 +
 +2 grands types:
 +  * omni-directionnelles
 +  * (uni)-directionnelles
 +
 +Radiation pattern (3D): azimuth (angle horizontal) + elevation (dimension verticale)
 +
 +Polarisation de la radiation: manière dont est émis le signal (vertical ou horizontal)
 +
 +Mettre un filtre de polarisation sur l'​écran
 +
 +Pour une antenne, angle maximum = 90°
 +
 +  * patch antenna: omni mais rien derrière
 +  * yagi: on focalise le champ, donc angle réduit
 +  * diversity antenna: 2 antennes sur un AP distantes de 1/2 de la longueur d'onde qui reçoivent et émettent toutes les 2
 +    * si on a des connecteurs externes et qu'on veut travailler en diversity, il faut faire attention entre la distance entre
 +
 +L'​environnement métallique va jouer sur les radiations (réflexions). Le signal va arriver à destination plusieurs fois (= multipath), non seulement avec une amplitude (puissance) différente,​ mais aussi à un moment différent -> dégradation du signal
 +
 +===== Notion de gain =====
 +mesuré en dBi: decibel isotropique:​ antenne théorique ​
 +Une antenne de 3 dBi double son efficacité par rapport à une antenne 0 dBi, une de 20 dBi est 100 fois plus efficace qu'une 0 dBi
 +Plus dBi élevé, plus gain important.
 +
 +dBd = decibel dipole
 +x dBd = x + 2.14 dBi
 +
 +dBm EIRP...
 +
 +===== Distance de transmission horizontale =====
 +Carré de la distance = 1 / puissance signal
 +
 +2 m nécessite une puissance x
 +4 m -> puissance doit être multipliée par 4 (pour couvrir le double de la distance)
 +
 +Si on veut un data rate (débit), plus la distance est courte
 +courte -> 11 Mbs
 +longue -> 1 Mbs
 +(sauf si on augmente la puissance, mais varie avec le carré de la distance + limitation légale)
 +
 +Plus les fréquences sont élevées, plus le signal s'​atténue vite.
 +Le 802.11a en 54 Mbs: on ne peut pas couvrir de grandes distances.
 +
 +Offre à un client: il faut d'​abord faire un site survey (problème: ça coûte: matériel, antennes, gens) = conseil, rapport de faisabilité
 +Faire un map de signalisation:​ regarde les zones à couvrir, puis placer l'AP quelque part et voir si on couvre tout.
 +
 +Outdoor, règles à respecter: ligne de mire entre les 2 points à relier: pas d'​obstacles entre les 2 (fenêtre = pas un obstacle).
 +Si antenne externe, perte de signal dans le câble.
 +
 +Si la distance à relier est plus grande que 10 km, il faut tenir compte de la courbure de la Terre.
 +Soit aller plus haut (toit, mât), soit mettre une antenne relais entre les 2.
 +
 +Zone de Fresnel: signal forme un globe, voir qu'on est bien dedans.
 +
 +Exemples: antennes indoor
 +Dipôle: 1 Mb 106 m, 11 Mbps: 40 m
 +Patch: 1 Mbps: 213 m, 11 Mbps: 61m
 +
 +=== Wifi Topologies Architecture ===
 +
 +Quand on change une antenne, il faut éteindre l'AP au préalable.
 +
 +Chacun des 3 binômes va faire un site survey avec un portable: 8 points au 1er étage, 4 points au rez-de-chaussée,​ 3 points dehors.
 +Pour chaque point, noter:
 +  * signal
 +  * bruit
 +  * rapport signal / bruit
 +  * qualité de la connexion
 +
 +On change l'​antenne:​ diversity, patch, yagi.
 +Quand on analyse le bâtiment, on voit qu'il y a une structure métallique (cage de l'​ascenseur).
 +Avec la yagi et la patch, on capte partout.
 +Avec la diversity, on ne reçoit pas derrière la structure métallique parce que la puissance est plus faible (avec la yagi et la patch, on traverse la structure métallique).
 +On se trouve dans une structure hyper-métallique,​ donc ça rebondit, c'est pourquoi on capte partout avec une yagi (antenne directionnelle).
 +
 +On couvre énormément. Il y a 3 zones (gauche, centrale et droite):
 +  * gauche: très bonne couverture
 +  * droite: qualité faible
 +  * milieu: ça dépend où par rapport à la cage d'​ascenseur.
 +
 +Pour tout couvrir, il faudrait 3 AP avec antennes diversity, un par zone.
 +Serveur Carl:
 +  * installer [[Windows]] 2003 (nom machine: DC1)
 +  * installer le service DNS (pas configurer)
 +  * IP fixe: 10.0.05/27 (masque: 255.255.255.224),​ DNS: 10.0.0.5
 +  * installer l'​active directory (+ configuration DNS)
 +   <​code>​dcpromo</​code>​
 +    * domaine: domain1.be
 +    * dans le DNS, créer la reverse lookup zone
 +  <​code>​ipconfig /​registerdns</​code>​
 +
 +Workstation Dimitri:
 +  * [[Windows]] XP professional
 +  * Service pack 2
 +  * IP fixe: 10.0.0.6/27
 +  * rentrer dans le domaine domain1.be: My Computer -> clic droit -> properties -> onglet Network Identification -> properties
 +  * DNS: 10.0.0.5
 +   <​code>​ipconfig /​registerdns</​code>​
 +  * mettre la carte PCI
 +  * installer les pilotes et tous les utilitaires
 +
 +==== AP et bridge ===
 +AP: amener clients sur réseau câblé, voir AP entre eux
 +Bridge: pour point à point
 +
 +multi AP = extended infrastructure topology
 +  * roaming: on doit toujours rester dans une micro-cel; or, forme = cercle -> 10-15% d'​overlap (2 ou 3 cel), tous les APs dans le même broadcast domain = même VLAN; pour éviter micro-cel qui s'​overlappent,​ on met des canaux différents (utiliser la technique de ruche avec les hexagones ou un programme propriétaire fourni par le constructeur d'AP: l'AP peut détecter les autres APs, le programme joue sur la vitesse de transfert de données et la puissance pour moduler la taille des micro-cels)
 +  * load balancing: nombre de clients par AP limité: micro-cel très proches; pas le même canal
 +  * redondance: même canal (un seul AP parle, l'​autre se tait)
 +  * répéter le signal pour couvrir plus loin que l'AP seul -> repeater: 2 AP, un configuré comme répéteur (pas de port ethernet, même canal -> BP divisée par 2), l'​autre pas; il faut un overlap de 50% de la couverture.
 +
 +==== Bridge topologies ====
 +Root on bridge = accepte les associations avec clients = master bridge
 +Root off bridge n'​accepte pas les clients, mais bien un autre bridge (les 2 types) ou un repeater
 +
 +===== Point to point =====
 +On peut aggréger les liaisons pour augmenter la vitesse de transmission
 +
 +===== Point-to-multipoint =====
 +C'est le maillon le plus faible de la chaîne (le plus lent) qui détermine la vitesse de transmission de tout le réseau.
 +
 +=== Securite ===
 +==== Risques ====
 +  * authentification (basée sur SSID)
 +  * encryption
 +  * intégrité (man in the middle)
 +
 +Attaque: footprinting:​ reconnaissance,​ trouver l'​existence (SSID) du réseau avec un active scanning. Ensuite, voir s'il y a une authentification.
 +
 +On peut aussi voir si le réseau est sain (ex: rogue AP: quelqu'​un de la boîte a mis le sien sans autorisation).
 +
 +Avec MAC adress + SSID (si par défaut), on peut trouver la marque de l'AP et le mot de passe par défaut.
 +
 +WEP: encryption RC4 (mauvais algorithme) + authentification:​ airsnort craque en peu de temps (de l'​ordre de l'​heure) la clef.
 +Authentification:​ Clef de 40 bits à mettre sur les clients.
 +-> passer à 128 ou 256 bits: pas suffisant (une journée pour craquer)
 +Encryption: vu que authentification pas bonne, encryption pas bonne
 +Intégrité:​ pas de signature, pas bon
 +
 +Authentification MAC: bidon (spoofing);
 +
 +==== Contre-mesures ====
 +Nouvelles solutions: bonnes pratiques
 +  * site survey: voir jusqu'​où on émet (restreindre)
 +  * pas broadcaster son SSID
 +  * jamais utiliser le default SSID
 +  * positive wardriving: vérifier qu'il n'y a pas d'AP non autorisé (rogue)
 +  * filter sur les MAC adresses
 +  * si doit faire avec WEP: utiliser les clefs les plus longues (min. 128 bits), utiliser les 4 clefs, utiliser la rotation des clefs avec le délai le plus court, user + passwd sur le radius de l'AP
 +  * utiliser WPA = WEP + TKIP + 802.1x
 +    * TKIP = temporal key integrity protocol: ​
 +    * 802.1x = EAP ajouter plus de paramètres pour l'​authentification
 +      * Lightweight EAP: fourni par la borne en interne
 +      * EAP TLS: il faut un certificat pour l'​utilisateur,​ mais la 1ere phase n'est pas encryptée
 +      * P EAP TLS (P = protected) pour la 1ere phase d'​authentification
 +  * utiliser WPA2 = AES + TKIP + 802.1x
 +
 +===== Authentification =====
 +Client démarre: coucou, je veux m'​associer.
 +AP: passer par le serveur radius
 +
 +RADIUS: remote access internet (= IAS chez MS), serveur d'​authentification.
 +Client du radius = AP
 +Quand on veut s'​associer,​ AP interroge radius.
 +l'AP dit au client: c'est telle méthode que le serveur radius veut, fournis-la
 +Le client donne de quoi s'​authentifier -> AP qui le passe au radius qui va interroger la DB.
 +
 +4 composantes:​
 +  * client
 +  * AP (pass through)
 +  * RADIUS (sous n'​importe quel OS)
 +  * base de données ([[LDAP]], peu importe l'OS)
 +
 +===== Encryption =====
 +But du wifi: accès au serveur de mail interne.
 +On va utiliser IPSEC (uniquement sur la carte wifi), avec domaine (Kerberos) ou AES.
 +
 +=== Outils ===
 +  * outils fournis par le constructeur
 +  * netstumbler:​ rapport signal / bruit, mais avec certaines cartes, pas possible -> utilise une autre valeur RSSI.
 +  * Retina Network Security Scanner
 +
 +=== Pratique ===
 +  * installer sur la machine XP netstumbler 0.4
 +  * faire un screen de ce qu'on peut trouver dans le coin
 +
 +
 +[[Windows]] 2003:
 +Control Panel -> Add / Remove Programs -> Add / Remove [[Windows]] Component
 +  * installer IIS: Application Servers -> IIS: Details -> ajouter Frontpage extensions -> WWW Service: Details ​
 +    * Internet Data connection, remote admin, SSI, WebDav, WWW service
 +  * Certificate server -> CA -> enterprise root (domain1.be_CA)
 +  * Networking services -> IAS Internet Authentication Server (Radius)
 +
 +Sur XP:
 +Se logger en tant qu'​administrateur du domaine
 +Mettre à jour les GPOs:
 +<​code>​gpupdate /​target:​computer /​force</​code>​
 +Faire une requête de certificat pour l'​utilisateur (administrator) et pour la machine (xp1):
 +  <​code>​mmc</​code>​
 +  * ajouter certificates pour users
 +  * certificates -> request certificate -> administrator ​
 +  * ajouter certificates pour computers
 +  * certificates -> request certificate
 +
 +Désinstaller les pilotes et les utilitaires Cisco (avec reboot en prime).
 +[[R]]éinstaller le pilote et rien d'​autre (reboot).
 +
 +Configurer le radius sur [[Windows]] :
 +dire qui sont les clients (slide 128) 
 +Internet Authentication Services -> clic droit -> new client -> client_radius_ap_cisco -> shared key = 12345678
 +
 +Switch en mode 2003:
 +Domaine:
 +AD [[Users]] & Computers -> domain1.be -> clic droit -> raise domain functional level -> windows 2003 server
 +Foret:
 +AD Domains & Trusts -> sommet -> clic droit -> raise foret functional level -> windows 2003
 +
 +Vérifier que administrator -> dial in ->
 +
 +IAS -> Remote access policies -> clic droit -> New remote access policy -> set up a custom policy -> add policy condition -> NAS-Port-Type -> Add -> Wireless IEEE 802.11 -> Add -> Grant remote access permission -> Edit profile -> Authentication tab -> tout décocher -> clic EAP Methods -> add EAP types -> PEAP -> edit -> add -> smart card or certif -> edit -> verifier que c'est le certificat qu'on a fait en installant le service certificats -> virer password (chap) ​
 +
 +AP Cisco:
 +[[Connexion]] via le switch (IP: 10.0.0.1)
 +Security -> SSID Manager -> Authentication [[Settings]] -> Open authentication -> with EAP (apply)
 +Security -> Encryption Manager -> WEP 40 bits -> Encryption keys 2 (WEP) -> 40 bits -> entrer un clef (1234567890)
 +Security -> Server manager -> Corporate server:
 +  * Server: 10.0.0.5
 +  * shared secret: 12345678
 +  * authentication port: 1812
 +  * accounting port: 1812
 +Default server priorities: EAP authentication -> Priority 1: 10.0.0.5 -> apply
 +Security -> 
 +
 +Workstation XP:
 +My network connexions -> clic droit -> properties -> Wireless network connection 2 -> clic droit -> proprietes
 +  * tab general -> ~TCP/IP -> properties -> IP: 10.0.0.11 netmask 255.255.255.224 dns 10.0.0.5
 +tab Wireless network -> preferred networks: tsunami1 -> properties:
 +tab association:​
 +SSID: tsunami1
 +Network auth open
 +Data encryption: wep
 +key: 12345678
 +
 +Tab authentication
 +  * PEAP -> propriétés
 +    * cocher "fast reconnect"​
 +    * validate server certificate -> choisir le certificat qu'on a crée: domain1.beCA
 +    * Select authentication method -> smart card or other certificates -> configure -> validate server certificate -> choisir le certificat qu'on a crée: domain1.beCA
 +  ​
 +OK partout et puis dans la fenetre Network connections,​ faire refresh (F5) jusqu'​à ce qu'on ait la connexion (négociation avec le serveur radius prend un peu de temps).
 +
 +Mettre l'AP dans une DMZ (entre FW vers internet et autre FW vers l'​intérieur),​ et connexion vers réseau privé en [[VPN]].
formationsecurite/wifi.txt · Last modified: 2013/01/30 17:52 (external edit)