Tout d'abord salut !  
 
Ce qui m'amène ici est que je suis en formation professionnelle diplomante pour devenir tech sup réseau et télécom.  
 
Je suis en stage de fin d'année et j'ai un sujet sur l'authentification 802.1x  
 
Pour faire bref, je dois mettre en place une solution 802.1x afin de dissocier par l’exploitation de différents VLAN les utilisateurs de l'entreprise au niveau mondial des visiteurs extérieurs à la société. Les premiers bénéficiant d’un réseau plus sécurisé dans un VLAN privé. Les seconds recevant dans un VLAN publique une connexion Internet complètement libre de tout filtrage de contenu ou de port (nécessaire pour le VPN).  
 
Je me suis déjà pas mal documenté ces dernières semaines et j'aimerai utiliser le radius IAS sur un serveur 2003 couplé à la base active directory mondiale de la boîte placée sur un autre serveur  
 
Mes seules obligations sont que l'authentification doit se faire au niveau machine (certificat ???)et que le processessus d'authentification se fasse dès que le réseau se monte, et pas après le logon.  
 
Avez vous des conseils à me donner ?  Je suis un peu paumé et surtout novice ne la matière ...  
 
Merci

Bonjour
 
toi ta pas peur.....(c'est bien)
le radius n'est pas un serveur d'authentification mais un protocole d'authentification, attention donc a cela,
concernant l'authentification avant le load complet de l'os ca risque d'etre dure...,  
la base de tt filtrage debute essentiellement au niveau de ta topo reseaux, l'isolation de flux par vlan en fais partit car ceux ci sont etanchent.  
 
complètement libre de tout filtrage de contenu ou de port (nécessaire pour le VPN).  ==> faux
rien ne t'empeche de faire sortir ton flux sur une machine (openbsd and PF)et ainsi d'appliquer tes regles
 
J'espere ne pas trop m'etre eloigné..
 
Cdt,
 

heu ça serait quand même bien que l'accès des users extérieurs à la société soit filtré non. Moi ça me rassurerais bien de savoir qu'ils ne peuvent pas faire n'importe quoi même s'ils sont isolé du LAN entreprise.
Enfin j'dis ça j'dis rien hein...

Un conseil : monte une maquette.
Mais ça devrait bien marcher.
Faut voir avec tes switchs si ils gèrent le guest vlan.

edouardj... biensur puisque cela arrive par un vpn. ou du routeur
n conseil : monte une maquette. ==> oui et non, meme si tu virtualise sur de l'esx par exemple , tu peu pas tester physiquement, et une machine physique, il te faut un arret de prod donc... le week end.. ^^

Quand je parle de maquette je parle pas de mettre ça en virtuel.
 
Il monte un AD (avec IAS), un switch, un XP et il teste en réel, dans un réseau séparé...

dans ce sens la oki,  
> base active directory mondiale ==> nbr d'objets ?(pour ce rendre compte de l'infra)
car faut penser aussi a ton traffic, donc a la stabilité et a la continuité de services,

En fait je vous détail en peu l'architecture du réseau de ma boîte
 
En fait c'est une multi-nationale dont le siège technique informatique est à londres. Nous on est à puteaux
 
Leur architecture est comme un mono domaine, c'est a dire que les pays comme nosu la France sont des unité d'organisation.
 
Sur Puteaux, ils sont accès en lecture à l'annuaire active directory mondiale des utilisateurs et des machines.
 
Pour ceux qui est du VLAN pour les visiteurs quand je dis "libre de tout filtrage" c'est qu'en fait ils auront un accès Internet qui leur est fourni tout comme nous par le siège technique informatique
 
Nous à puteaux on est relié àLondres par un LS de 4Mbit/s qui nous fournit le Net. Tout ce qui est filtrage, Firewall, Proxy ... On ne gère pas c'est Londres qui s'en charge.
 
Donc moi mon but c'est de faire une étude et pas de mettre en place donc je passerai forcement par une maquette pour montrer le fonctionnement. ( Ils vont pas me laisser foutre leur réseau en carafe !!!)
En gros grâce à cette étude détaillé le jour où ils veulent franchir le pas, ils n'auront qu'à la suivre et hop tout marchera comme sur des roulettes !!!  
 
Pour ce faire j'ai possibilité d'avoir une machine pour faire un serveur, une licence Win 2003 serveur et donc d'installer IAS serveur et AD (mais je me demande si je peux pas utiliser leur base mondiale pour mes tests ?)
 
De plus j'ai un switch Cisco 3500XL compatible 802.1x de dispo sur lequel je pourrai créer mes deux vlans de test.
 
Voilà pour l'entreprise et la maquette !
 
Par contre mon souci est que le Responsable Informatique ne veut pas que l'authentification se fasse au login/mot de passe masi des que la machine est plugguée sur le réseau.
 
Est ce possible ? car là je ne sais pas trop comment m'y prendre.
 
Je pense que je peux y arriver peut être avec la base machine de l'annuaire active directory mais ça reste vague dans ma tête.

En gros grâce à cette étude détaillé le jour où ils veulent franchir le pas, ils n'auront qu'à la suivre et hop tout marchera comme sur des roulettes !!!  
 si seulement c'etait toujours comme ca en prod ^^
 
Une methode est possible qui est le filtrage mac sur VLAN, mais je deconseille, un mac est vite spoof..., sinon il faut surtt savoir ce qu'il souhaite comme authentification, ?

En MAC c'est même pas la peine d'y penser trop risqué !
 
Ils veulent une authentification machine en 802.1x

je vous poste mon cahier des charges  
 
Problématique :
 
Si un réseau sans fil sécurisé interdit toute connexion d’ordinateurs extérieurs à la société, ce n’est pas le cas du réseau filaire. En effet, notamment dans les salles de réunion, n’importe quel visiteur peut actuellement connecter son ordinateur portable au réseau Ethernet d’IMS. Ceci constitue une faille de sécurité. En effet, même si bon nombre de ressources sont limitées à une liste d’utilisateurs authentifiés par notre Active Directory, on ne garantie pas que des virus ou plus généralement des « malwares » puissent ainsi entrer sur le réseau de l’entreprise.
De plus, quand un visiteur connecte son PC à notre réseau, c’est pour tenter d’accéder à Internet ou au réseau de sa propre entreprise en utilisant une connexion VPN. Hors, nos accès Internet sont sécurisés par un proxy et un firewall. Ces derniers empêchant tous visiteurs d’accéder à ce type de services.
 
Nous désirons mettre en place une solution 802.1x afin de dissocier par l’exploitation de différents VLAN les utilisateurs internes au niveau mondial des visiteurs extérieurs à la société. Les premiers bénéficiant d’un réseau plus sécurisé dans un VLAN privé. Les seconds recevant dans un VLAN publique une connexion Internet complètement libre de tout filtrage de contenu ou de port (nécessaire pour le VPN)  
 
Mission :
 
Ma mission à consisté à :
Etudier le réseau de l'entreprise afin de déterminer les solutions compatibles avec l’infrastructure existante (Niveau OSI 1 à applicatif).
M’informer auprès du Data Center régional (Angleterre) et du Data Center mondial (Etats-Unis) des solutions en usage ou recommandées pour l’usage.
Répertorier les différentes solutions pérennes 802.1x du marché (constructeurs, éditeurs, prix des solutions…).
Sélectionner plus spécifiquement une ou deux afin d’établir une procédure complète d’implémentation.
Réaliser si possible une maquette fonctionnelle du produit dans la limite du matériel mis à ma disposition et des restrictions du réseau.
Réaliser une documentation technique de mise en œuvre contenant un planning et un budget complet (charges directes et indirectes, coût matériels, logiciels et humains) pour la solution retenue.
 
Voilà !
 
j'en suis a la partie choisir la solution et mettre en place via la maquette

Me semble que dans l'authentification si c'est par machine tu es connecté au réseau à l'ouverture de windows donc avant le logon

L'idéal c'est la RF3580 (de mémoire) qui pousse le vlan sur le switch depuis le radius en fonction des credentials fournit lors de l'authentification.
Je vois pas pk ton responsable te fait une histoire sur le login/mdp. Par défaut un port 802.1x reste bloqué tant que l'authentication server ne lui a pas dit d'etre up. Ensuite la sécu se fait sur la méthode d'authentification mais vraiment demander à ce que ca soit activé dès que la becane est branché au reseau oO
Osef quoi. Le port sera bloqué la sécu elle est là.
Un truc sympa serait un portail captif (sur les ports des salles de réunion). Le bazar créerait un compte temporaire dans l'AD qui serait validé (ou pas) par un admin quelconque. Le demandeur est contacté par téléphone (ou autre) pour lui signaler que le compte est validé. Le mec utilise le compte/mdp fournit pour l'occasion et se retrouve automatiquement dans le bon vlan avec toute la sécu que tu as définis derriere.
La vraie question c'est comment on valide le fait que le gars dans la salle de réunion a le droit d'avoir un accès (comptes prédéfinis dédiés à cet usage, compte fournit au cas par cas, qui valide...)
A voir la sécu qui va bien histoire que l'ouverture du port pour une machine ne permette pas à d'autres de se connecter en cascade (via un hub par exemple).

Si un réseau sans fil sécurisé interdit toute connexion d’ordinateurs extérieurs à la société <== depuis quand on fais ca ...????
 
Concernant la securité des prises reseaux, c'est un peu le soucils commun a ttes les boites.
802.1x est basé sur l'EAP pour l'identification si c'est juste, il faudrais donc utilisé les certif
HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\Authmode
c'est le mode d'authentification (moi j'aurais dis identification mais bon...)
valeurs :
0 : computer, pas user au logon mais user lors des reconnexion
1 : auth computer puis user au logon
2 : toujours computer
 
HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\SupplicantMode
c'est le mode de fonctionnement du client
valeurs:
0 : desactivé
1 : toujours initier les transmission EAP-OL start et logoff
2 : utiliser un apprentissage pour initier ces transmissions
3 : utiliser les info 802.1x défini par le client  
 
 
sinon j'ai vu des soft comme odyssée (jcrois c ca l'ortho) qui permette d'interagir avec gina de win et ainsi avoir une authentification user propre sans avoir a ce logguer 2 fois.
 

Déjà ce sera sur le réseau filaire.
 
Lui son but c'est que n'importe quel personne de la boite dans le monde se pointe avec son protable et puisse se plugger a une prise et hop il est connecté de façon transparente. Il ne veut pas utiliser de client à configurer !
 
Donc avec le 802.1x, je sais qu'il est possible d'utiliser un mecanisme d'authentification avec EAP qui marche par certificat (EAP-TLS)
 
Donc je me demande si je ne peux pas dans la base AD niveau France, créer une gpo qui diffusera ce certificat automatiquement aux machines dès leur connexion ?
 
Je sais que sinon je peux créer un serveur WEB avec IIS sur un serveur pour que les clients viennent y chercher le certif mais bon ...

dans le cas d'eap tls, celui ci communique avec un radius, les postes doivent contenir un certificats, quand a l'authentification elle se couple avec gina donc support AD. transparent non ?
pour le certif ca va etre dur de le mettre sur un iis car il faudrais se plug au reseaux ^^, tu le met sur une clé usb et tant met au responsable de service. ils sont content ils ont u n cadeau en plus ^^
mais sinon faut pas se prendre la tete wpa2 ccmp et t'es tranquil et c'est pas chiant.
+
 
 

Au final je sais ce que je veux faire masi ej ùme demande si c'est possible
 
J'aimerai que lorsque les machine s'authentifie au IAS a l'aide de certificat via la methode EAP TLS
Ce qui permet de faire une authentification machine ou lieu du'ne authentification utilisateur mot de passe. Et de ne pas installer et configurer de client d'authentification
 
Jusque là je ne me trompe pas ?
 
Après j'aimerai que ces certificats soient déployés via une stratégie de groupe appliquer sur toutes les machines de l'entreprise au lieu de créer un serveur de distribution de certificats sur un serveru Web IIS
 
Est ce possible ?
 
En totu cas merci de votre précieuse aide
 
Comm
 
Est ce possible ?

Salut,
 
A mon avis tu peux utiliser 802.1x avec IAS 2003 en PEAP.
Tu n'as besoin que d'un seul certificat situé sur le serveur Radius, pas la peine de t'embêter à foutre un certificat sur les machines.
Avec ça tu peux configurer ton client Windows XP SP2 pour qu'il fasse une authentification machine et/ou utilisateur.
Ce qui veut dire que dès le démarrage de la machine, une authentification machine est faite.

Je vais utilsier EAP TLS car j'ai pas mal de doc dessus et je vais essayer de mettre en place une allocation automatique de certificats à partir d'une Autorité de certification d'entreprise.
 
Le seul point noir c'est le fait que je doivent faire en sorte que les utilisateurs doivent être reversé dynamiquement dans le bon VLAN
Coté  config switch ça ne me pose pas de souci mais coté IAS j'ai rien trouvé

Faut renvoyer les bon value pairs, ça dépend des constructeurs de switch, regarde dans la docs des switchs. Pour Cisco il y en a 3 à renvoyer.
Les values pairs à renvoyer tu les configure dans l'onglet advanced puis add.

Merci tabasc0 masi je ne comprends pas pas trop ce que tu me dit ?
Que sotn les values pairs ?
QUand tu dis de les configurer c'est via l'interface graphique du switch ?
car je n'utilise que les ligne de commandes IOS

yoyo : Attention windows 2003 Serveur ne sait gerer que 50 clients simultanéments (je parle au niveau de IAS) . => si tu as plus de 50 utilisateurs sur ton réseau tu devras passer sur la version Enterprise.
 

Ne t'inquiète pas j'avais prévu je suis en version entreprise
 
Par contre ce que je ne sais pas faire  c'est ce que j'explique plus haut c'est configurer des Vlan dynamique sur le switch et le radius et allouer automatiquement les certificats via une stratégie de groupe dans l'ad pour eviter au clients du reseau de se connecter sur le site du serveur de certification pour recupérer un certificat

Ce que tu fais :  
Tu ajoutes le vlan 100 (par exemple) au switch.
Ensuite tu configures l'IAS et dans Edit profile et l'onglet advance des policies tu dois pouvoir trouver les trucs à configurer pour renvoyer un vlan. Regarde la doc de ton switch tu vas trouver les paramètres à configurer. Que dis ta doc ? Quel switch tu as ?

j'ai trouver une doc de chez foundry merci tabasc0

Bonjour a tous,
je viens d'installer un serveur radius afin de bloquer les utilisateurs cablés.
je rencontre un probleme a delivrer automatiquement le certificats par les GPO.
y a til quelqu'un qui pourrais me dire comment delivrer ce certificat automatique .
mon serveur est un 2003 Standard?
est qu'il faut passer sur 2003 Entreprise?
merci de votre aide

yoyo532
pourrais tu partage ton info SVP

Ouais il faut faire de l'autoenrollment et ça ne fonctionne qu'avec la version Entreprise si je me souviens bien.

bonjour à vous
je suis en stage là, et je dois réaliser un serveur radius, c'est chose faite a pars que je n'arrive pas envoyer automatiquement les certificats utilisateurs via Active Directory...
 
@tabascO : vu que tu y a arrivé, voudrais tu nous indiquer les manipulations à faire ou un tuto ou c'est écris stp.
 
merci bcp

http://www.isaserver.org/img/upl/v [...] enroll.htm

merci beaucoup
ca marche impec

stop.
j'ai deja monter ce genre de truc pour un parc plus de 2500 postes.
stop.
Attention c pétable mais faut des bons pour compromettre.
stop.
 
 

deja ce sont des certificats machines.
tu les balances par GPo (il te faut la pki MS)

pas obligé d'utiliser une pki MS, d'autres sont compatibles

intégrées à l'AD pour déploiement via GPO ?
 
je suis preneur !

opentrust par exemple

connais pas, bon à savoir.  
 
Oui IPV6 vaincra ! et ...*
Et NAT n'existera pas,
ICMP tu activera !!!