4 Fév

PfSense- Redondance CARP sur Hyper-V

On trouve beaucoup de tutos sur le net, mais la redondance sur hyper-v avec carp demande quelques ajustements :

Pour mettre en place le load balcing avec CARP, on commence par créer deux pfsenses (avec des noms différents, c’est mieux). On leur met des IP sur le même réseau via leur interface LAN.

Poursuivre la lecture
7 Déc

PFSense portail captif authentification Radius-NPS

Un doc pour la mise en place d’un portail captif sous pfSense avec une authentification des utilisateurs via un serveur Radius sur Windows 2012R2 et le service NPS.

PFSense1

 

Après il ne faudra pas oublier d’affiner les régles de filtrage sous pfsense afin de restreindre le trafic autorisé pour les utilisateurs du portail

4 Déc

Radius NPS et 802.1x

Cet article est extrait du Lab cours du réseau Certa https://www.reseaucerta.org/sites/default/files/Authentification-802.1x-V1.0.pdf

Comprendre l’authentification Radius

Objectifs

Consiste à la sécurisation des accès par une authentification « forte » de la personne qui cherche à se connecter sur un port réseau. Ainsi qu’à la banalisation des prises réseaux ;  une prise réseau quelconque ne sera plus affectée à tel ou tel VLAN. C’est à partir de l’authentification de la personne qui cherche à se connecter au réseau que l’on va déduire le périmètre de sécurité dans lequel la placer :

·       Un refus pur et simple de connexion : aucun placement ;

·       Le placement dans un VLAN invité (« guest ») avec des prérogatives minimales, comme la simple obtention d’une adresse IP et d’un accès à Internet ;

·       Le placement dans un VLAN dédié, choisi en fonction notamment du service ou du groupe auquel appartient la personne ;

·       Le placement dans un VLAN à prérogatives importantes, comme un VLAN d’administration.

Les acteurs

Synonymes des termes désignant les acteurs de la connexion 802.1x :

Supplicant : on trouve aussi les expressions « client demandeur » ou « client final ».

Serveur d’authentification : on parle quelquefois de serveur d’identification.

Client RADIUS : on trouve également les synonymes suivants : « Authenticator » ou NAS (Network Access Server) ou encore « contrôleur d’accès ».

Protocoles

RADIUS

Acronyme de Remote Authentication Dial-In User Service, c’ est un protocole client-serveur permettant de centraliser des demandes d’authentification relayées par des équipements de réseau, comme des commutateurs ou bornes Wifi, considérés alors comme ses clients.

Par extension, un serveur qui centralise des demandes d’authentification et les soumet à un service d’annuaire LDAP ou à un service de base de données SQL est appelé serveur RADIUS.

RADIUS doit Authentifier les requêtes qui sont issues des clients finals, via les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de passe, soit sur un certificat.

RADIUS a pour mission de décider quoi faire du client authentifié, et donc de lui délivrer une Autorisation, RADIUS envoie des informations (on parle « d’attributs ») aux clients RADIUS. Un exemple typique d’attribut est un numéro du VLAN dans lequel placer le client authentifié et autorisé.

RADIUS va noter plusieurs données liées à la connexion, comme la date et l’heure, l’adresse MAC de l’adaptateur réseau du client final, le numéro de VLAN…). C’est son rôle comptable ou « d’Accounting« .

802.1x

Le protocole 802.1x est une solution de sécurisation de réseaux mise au point par l’IEEE en 2001. 802.1x permet d’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou Wifi) grâce à un serveur central d’authentification.

L’autre nom de 802.1x est « Port-based Network Access Control » ou « User Based Access Control ».

802.1x

·       Permet de sécuriser l’accès à la couche 2 (liaison de donnée) du réseau.

·       A recours au protocole EAP (Extensible Authentification Protocol)

·       Nécessite donc la présence d’un serveur d’authentification

Un port d’un commutateur réglé en mode 802.1x peut se trouver dans deux états distincts :

  •   État « contrôlé » si l’authentification auprès du serveur RADIUS a réussi.
  •  État « non contrôlé » si l’authentification a échoué.

Rem : NPS (Network Policy Server) est le nom du service RADIUS des systèmes Microsoft.

Authentification

EAP est la couche protocolaire de base de l’authentification. Elle va servir à faire passer un dialogue d’authentification entre le client final et le serveur RADIUS alors que le port de connexion est fermé à toute autre forme de communication.

PEAP

PEAP est un protocole de transfert sécurisé (P comme « Protected ») d’informations d’authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s’appuie sur PEAP.

Les serveurs RADIUS utilisaient CHAP (Challenge Handshake Authentication Protocol :  deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète, s’authentifient sans échange du mot de passe par une technique de « challenge » (ou « défi ») basée sur une fonction de hachage à sens unique du secret partagé).

Microsoft a développé une variante de CHAP appelée MS-CHAP qui ajoute une authentification mutuelle, MSCHAP-V1, puis MSCHAP-V2.

Dialogue client-serveur avec MSCHAP-V2.
A.     Le serveur envoie au client une chaîne composée d'un identifiant de session et une chaîne aléatoire xxxxx.
B.     Le client renvoie son nom d'utilisateur et le résultat d'un hachage de la chaîne aléatoire xxxxx 
+ l'identifiant de session 
+ le mot-de-passe, 
+ une seconde chaîne aléatoire yyyyy.
C.     Le serveur vérifie le résultat (succès/échec) et retourne celui-ci,
avec un hachage de la chaîne yyyyy et du mot de passe utilisateur.
D.     Le client vérifie enfin la correspondance entre les chaînes.
La connexion est établie.

Articulation EAP / PEAP / MSCHAP-V2

  •  EAP est le mécanisme permettant à un client final de pouvoir communiquer sur un port 802.1x fermé à toute autre forme de communication.
  • PEAP ajoute la notion de protection des échanges par tunnel à ce mécanisme
  •  MSCHAP est la méthode de reconnaissance mutuelle du client serveur et du serveur RADIUS qui passe par ce tunnel.

Déroulement

·       Phase Œ1  Le client final envoie ses identifiants au serveur RADIUS, le port contrôlé du commutateur n’est pas totalement fermé. Il laisse passer le protocole EAP. Cette communication ne peut donc se faire que par des trames Ethernet de base et non par des paquets IP.

Le client final peut donc envoyer son identité dans un paquet EAP au commutateur.

·       Phase  2 Celui-ci le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de sa liste.

·       Phase Ž3  Le serveur RADIUS reçoit le paquet et interroge sa base de données ou un AD.

·       Phase 4  Il renvoie le résultat de cette interrogation au commutateur (sous forme d’un commandement d’ouverture du port, éventuellement assorti d’un numéro de VLAN dans lequel placer le client final.

A partir de ce moment seulement, il peut y avoir d’autres trames échangées entre le client final et le reste du réseau, comme une trame de requête DHCP par exemple ;

La mise en œuvre est détaillée dans plusieurs articles :

Autorité de certification Services de certificats

NPS et stratégies réseau

802.1x sur Cisco

Radius sur bornes wifi

5 Oct

DHCP

DHCP est un protocole qui permet d’attribuer dynamiquement des adresses IP sur un réseau. Il facilite le travail de l’administrateur. DHCP étant un protocole il peut être mis en place aussi bien avec Linux qu’avec Windows.

Dans une architecture il vaut mieux des serveurs redondants, aussi on installe généralement des serveurs avec plusieurs plages pour desservir les hôtes différents VLAN/réseaux.  Windows 2012 intègre une fonctionnalité qui gère l’équilibrage de charges des DHCP entre plusieurs serveurs.

Les serveurs DHCP se trouve généralement dans un VLAN spécifique aux serveurs, hors le protocole DHCP fonctionne avec des trames en broadcast. Aussi pour délivrer des adresses aux clients, il faut installer un agent sur le routeur, qui laisse passer les trames DHCP. Cette fonctionnalité de relai DHCP, permet de transmettre les trames DHC d’un segment à l’autre et assurer ainsi la distribution des adresses.

Tuto pour le relai DHCP avec Windows Serveur et un Cisco SF300

DHCP Windows et Cisco L3

Le protocole a ceci de particulier que c’est le serveur le plus rapide qui attribue des adresses. Si c’est un mauvais serveur qui donne des adresses erronées c’est tout le réseau qui est paralysé. Aussi les switchs intègrent une fonctionnalité de DHCP snooping afin de se prémunir contre ses risques.

Avec la configuration automatique des cartes, Ip v6 modifie l’utilisation de DHCP avec un mode sans état et un mode avec état. La demande d’adresses/ d’options se fait en multicast puisque le broadcast n’existe plus. Il faudra donc bien comprendre l’adressage avant de le mettre en place.

Fonctionnement

Le principe de DHCP est simple, les clients demandent s’il existe un DHCP sur le réseau, le serveur fait une proposition de bail que généralement le client accepte.

dhcp

Échanges DHCP

dhcp-1

Contenu d’unn DHC Offer

La notion de bail implique qu’une adresse est fournie pour un temps donné. Ce temps va dépendre du type de client, fixe ou mobile. Le serveur dispose d‘une plage d’adresses à attribuer ainsi que des options comme la passerelle, les serveurs DNS, le domaine, à délivrer aux clients. Avec les stratégies DHCP Windows on peut gérer finement l’attribution d’adresses en fonction de type ou de modèles.

Le site Linux France explique parfaitement tous les mécanismes de DHCP et propose une mise en œuvre sous Linux.

http://www.linux-france.org/prj/edu/archinet/systeme/ch27s02.html

Stratégie DHCP

L’attribution fondée sur la stratégie permet à un administrateur de regrouper les clients DHCP par attributs spécifiques fondés sur des champs contenus dans le paquet de demande du client DHCP.

Les stratégies permettent de fournir des adresses en fonction de :

  1. Types de périphériques multiples : un réseau inclut de nombreux périphériques clients DHCP, tels que des imprimantes, des téléphones IP et des ordinateurs de bureau. Les administrateurs doivent avoir la possibilité de classer ces périphériques par plages d’adresses IP. Ainsi, les stratégies de routeurs et la qualité de service (QoS, Quality of Service) fondés sur une plage d’adresses IP permettent de contrôler l’accès au réseau ou le trafic réseau.
  2. Rôles multiples : un réseau inclut différents types d’ordinateurs, tels que des ordinateurs portables, des ordinateurs de bureau et des serveurs dans le même sous-réseau. En fonction du type de client, l’administrateur peut souhaiter fournir différents paramètres de durée de bail, par exemple l’attribution d’une durée de 4 heures pour tous les clients sans fil qui se connectent via un agent de relais spécifique. Les mises à jour dynamiques peuvent être désactivées pour les clients qui dépendent de cette stratégie. De même, une stratégie serveur peut être créée à l’aide d’une liste d’adresses serveur MAC. Il est possible d’attribuer aux serveurs une durée de bail de 12 heures.
  3. Virtualisation : un réseau de centre de données emploie la virtualisation pour différentes charges de travail et applications. Les ordinateurs virtuels sont ajoutés ou supprimés de manière dynamique selon les exigences en termes de charge à un instant T. S’il souhaite router du trafic sur le réseau différemment pour les ordinateurs virtuels, un administrateur peut créer une stratégie fondée sur le préfixe d’adresse MAC afin d’attribuer une durée de bail courte, une plage d’adresses IP spécifique et une passerelle par défaut différente.

http://technet.microsoft.com/fr-fr/library/hh831538.aspx

DHCP snooping

Mettre en place du DHCP snooping permet de protéger le réseau, car Il ne faut pas oublier que c’est le serveur le plus rapide qui donne le bail. UN DHCP ‘pirate’ peut causer de grands dommages sur un réseau (adresses erronées, passerelles fausses = absence de communication) ; aussi il existe une fonctionnalité sur les switchs afin d’autoriser que les DHCP de l’entreprise. http://ressources-info.fr/tutoriels-reseaux/afficher/22/

 DHCP d’adresses Mac

Avec la virtualisation en masse des postes clients, mettre en place un DHCP d’adresses mac permet de ne pas avoir de problèmes de duplication d’adresses.