Bonjour,
 
Je fais quelques tests d'implémentation du réseau sans fil sécurisé en entreprise.
Si l'on s'équipe de plusieurs point d'accès avec une clé 256bits en WPA (une clé assez longue en fait), le mieux est d'équiper les point d'accès qui font relais.
Filtrage par adresse MAC ok
Mais en ce qui concerne le WPA, si demain un user nouveau arrive, il faut lui indiquer la clé où la lui donner. Si on ne veut plus qu'il utilise le Wi-Fi (raison polique ou autre), il faut changer la clé du point d'accès (et donc celle de tous les users.
 
- Pour ceux que ca intéresse WPA vs WEP -  
http://blog.netpartoo.com/index.ph [...] seSurLeWpa
 
C'est là qu'intervient le mode WPA Entreprise qui utilise un serveur Radius.
 
En gros, le point d'accès gère toujours le filtrage par adresses MAC, mais n'autentifie plus les users.
Sur le serveur Radius : on indique un groupe d'utilisateurs d'Active Directory autorisé à se connecter (+ règles horaires etc...)
Une autorité de certification de l'entreprise délivre des certificats qui permettront aux utilisateurs de s'autentifier.
 
Guide Microsoft :
 

 
Création d'une Autorité de certificat racine d'entreprise dans les petites et moyennes entreprises
 
Wireless LANs - A Windows Server 2003 Certificate Services Solution: Build Guide
 
Autre guide et Plus de détails :

 
Et le guide afin d'y parvenir :
 
http://www.koumoula.com/wifi/eap-tls/eap-tls.htm
 
Mon prob now :
 
Tous mes clients sont déconnectés au bout de 30min ou de 60min de leur point d'accès. Il leur faut à nouveau s'autentifier en désignant leur certificat comme ca
 

 
J'ai cherché dans toutes les politiques de connections du serveur Radius et je n'ai rien trouvé.
 
Qui a déjà mis en place ce système d'autentification et qui pourrait m'aiguiller. Je n'ai jamais mis en place de serveur Radius.
 
Le point d'accès est le 3Com® OfficeConnect® Wireless 11g Access Point

 
Configuré en radius
 

up, (merci pr les liens)

Sur mon DLink je peux déterminer la durée des sessions...

Mais sur le 3Com les sessions n'ont pas de limite. Si on n'est pas en mode entreprise, il n'y a aucune limite.
Donc je ne pense pas que ca vienne de là...
 
J'ai meme laisser un portable en ping permanant (-t) et ca a coupé au bout de 60min.
 
D'autant plus que je n'ai aucune envie de limiter les sessions.

Ca doit être au niveau du serveur Radius alors...

J'ai vérifié le serveur Radius et ai défini des timout de 180min pour vérifier. Malgré celà, j'ai eu une déconnection à 27-30min.

je poste pour me tenir au jus, car je vais bientot commencer des tests de serveur radius

 
Fort de ce, j'ai repassé un des point d'accès en WPA PSK afin de vérifier si ca vient de l'architecture d'autentification Radius ou si ca vient du point d'accès.

up

Je ne vais pas abandonner....

up

Je dispose moi aussi de l'officeconnect de chez 3com mais je ne dispose vraisemblablement pas du meme firmware. Dans la partie encryption il n'est question que de wpa et de wep. Et ds wpa il n'apparait nul part le truc d'entreprise. Pourtant je dois absolument installer un serveur radius. Si c'est juste un pb de firmware ou puisje le trouver? j'ai déja chercher sur le site de 3com... ). Ou est un autre problème?

 
Il est ici  
http://www.3com.com/products/en_US [...] CRWE454G72

salut  
je viens tardivement  
au fait je me trouve dans le même cadre que toi et j'essai de mettre en place un réseua wifi entreprise  
est ce que tu peux m'éclairer sur le choix entre deux AP 3com  
3Com Wireless LAN Access Point 8700
ou
3Com® OfficeConnect® Wireless 11g Access Point

hola jef
t'es là ou pas?

Yes back.
Oulà, ca n'a rien à voir. Le OfficeConnect est un produit PME, home user, mais le 8700 est un produit d'entreprise (1000? env) SNMP etc...

Au fait tu as essayé en passant par du filaire ?

Notre réseau de test a été reconstruit. Nouvelle installation de tous les DC et machines, je vais recommancer les tests.

Flag...très intéressant

je suis super interessé par ce sujet  
jef34 as tu résolu tes blems d'EAP et de durées de session?
quel est ton serveur RADIUS "est ce windows ou un serveur physique - lequel dans cecas?"
à part l'EAP, qu'est ce que tu utilise pour sécuriser ton réseau:
1.au niveau lien wifi Wep/WPA autres?
2.au niveau applicatif t'as déjà mes des VPN pour des accès distant?
3.si tu as mis des VPN, a ce moment là n'est il pas inutile d'avoir un encodage du niveau en dessous  
je uis désolé pour ces longues questions, je te remercie

espérant que quelqu'un vindra un jour

UP ou es tu jef    

Je suis là, mais je suis en train de dépanner un serveur DHCP je reviens... lol

ce topic
 
Enfin une problématique CORRECTEMENT posée.
 
Avec ce qui a été deja fait et les problèmes.
 
 

Bon, c'est reparti. La base de données DHCP d'un serveur était corrompue.
 
Ben je recommance, je reinstalle l'autorité de certification de notre domaine de test et je recommance.

 
Merci  

je profite de ce topic pour demander s'il y'a du monde ici qui utilise freeradius sous linux ?

 
 
en attente de réponse?!

 
J'ai eu utilisé (authentification par certificat)...

 
Alors, mes prob doivent venir soit du serveur Radius, soit du point d'accès.
Pour identifier la source du problème, j'ai mit un point d'accès en WPA PSK et un portable le ping en permanent depuis 15h45 un serveur en ligne. Ca me permettra de verifier s'il y a un timeout sur le PA.
 
Après quoi, je vais remonter le PA en Radius et recommancer les tests.
En attendant la fin de ce test, je me concentre sur la théorie afin de tout vérifier.
 
1. Pour sécuriser j'utilise les adresses MAC + WPA (en radius ou PSK pour les tests).
2. J'ai des clients en VPN mais ils ne sont pas en Wi-Fi d'où l'implémentation du Radius + certificat pour WPA.
 
J'oubliais, j'utilise un serveur logiciel IAS sous Windows 2003.
Je pense que si je veux convaincre, je vais utiliser le minimum de $$, cependant, je ne néglige pas une solution hard si le projet tient la route.

merci jeff  
moi c'est pas le coût qui importe mais la pointe technolique en sécurité!
crois tu que WPA suffit pour pas être hacké si on vise ton réseau?
surtout en hijacking ou pour le radius en MitM?

Help here.
http://forum.hardware.fr/hardwaref [...] 4202-1.htm

 
Ben je compte bien cumuler les sécurités, mais je ne pense pas abandonner le WPA. Il n'est pas parfait, mais présente une bonne avancée par rapport au WEP.
 
Mais en effet, le VPN est une sécurité supplémentaire que je compte bien implanter.

Je pense finallement opter pour un tunnel IPSec. La stratégie de sécurité sera facile à implanter et à déployer.

   
Isolation du réseau Wifi dans un DMZ + IPSec avec authentification à base de Certificat
Trankille mimile...

 
Ouais, bien vu.

Merci mais j'ai rien inventé ... c'est un classique en entreprise, mais vu que vous n'aviez pas évoqué le protocole IPSec...j'avais pas osé le faire.  

Ca y est, l'autorité est en ligne, le serveur Radius aussi.
 
J'ai deux clients qui ont obtenu leur certificat et sont connectés.
 
Je lance le chrono à 11h.