ZeroShell    Forum
   Feed RSS Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      Qu'est ce que c'est?
      Screenshots
      Licence
      Annonces
      Liste de diffusion
      Forum
      Documentation  
      FAQ
      Hardware
      Download
      On-line Updates
      Kerberos Tutorial  
      Conditions d'utilisation
      Contactez-moi


  Dans plus de détails:
      Performances
      Net Balancer
      UMTS Routeur
      Proxy avec Antivirus
      Point d'accès WiFi
      OpenVPN Client
      OpenVPN Server
      QoS
      OpenDNS
      Kerberos 5
      NIS et LDAP
      Certificats X.509
      RADIUS
      Captive Portal
      VPN
      Firewall


Authentification RADIUS sur les réseaux sans fil avec la norme 802.1x, WPA et WPA2

Réseaux WiFi souffrent du problème de l'accès non autorisé beaucoup plus que les réseaux câblés. Cela est évident si l'on considère que dans le passé pour y avoir accès si vous avez besoin d'un point d'accès physique (RJ45), et ceux qui viennent d'être inclus dans la couverture sans fil en vue d'engager. Une solution au problème a été la clé WEP (Wired Equivalent Privacy). Cependant, cette méthode, due à la présence de clés de chiffrement symétrique sur le point d'accès à tous les clients autorisés à accéder, télécharger les administrateurs du réseau à la tâche de modifier périodiquement ces clés et communiquer le changement à tous les utilisateurs. Le résultat de cela était que les clés WEP est restée inchangée pendant de longues périodes, ce qui rend la situation d'insécurité réseau.

en utilisant l'authentification 802.1x, et a été introduit pour soutenir la gestion des clés WEP dynamiques. De cette façon, une fois que le client est authentifié avec les touches que crypter le trafic sans fil sera fournie automatiquement et changé plusieurs fois au cours de la session. La durée de validité des clés est assez court ce qui rend difficile à déterminer par un intrus tente une attaque.

Du point de vue pratique, le protocole 802.1x n'est rien de plus qu'un cadre pour le protocole EAP (Extensible Authentication Protocol), utilisé pour l'authentification des liens point à point des trames Ethernet adaptés à Voyage en paquets plutôt que de PPP. En vertu de ce protocole est également connu comme EAPoL 802.1x (EAP over LAN).

Dans les entités EAP terminologie qui entrent en jeu au cours du processus d'authentification sont: le suppliant , c'est le client qui demande à être capable d'associer avec le réseau s'authentifiant dans le cas des réseaux sans fil coïncider avec le point d'accès; l 'serveur d'authentification qui contrôle si l'utilisateur est bien celui qu'il prétend être. Le serveur d'authentification coïncide souvent avec un serveur RADIUS, l'authentificateur est ce qu'on appelle NAS (Network Access Server).

Comme mentionné plus haut EAP est juste un cadre qui laisse le suppliant et all'authentication serveur d'authentification de la tâche de convenir de la méthode d'authentification à utiliser efficacement. Notez que le point d'accès est transparent de ce point de vue, parce que sa seule tâche est de transmettre les paquets de la suppliant de la EAPoL serveur RADIUS en les encapsulant dans IP et vice versa.

Zeroshell supporte l'authentification du serveur RADIUS méthodes décrites ci-dessous parce qu'ils sont parmi ceux qui donnent une plus grande assurance de la sécurité et sont pris en charge par la plupart des supplicant:

  • EAP-TLS en utilisant TLS pour l'authentification mutuelle entre le point supplicant et l'accès. Le serveur RADIUS que le suppliant doit avoir une clé privée et le certificat X.509. En dehors de la tâche d'avoir à fournir à chaque utilisateur de son certificat, ce n'est certainement la méthode d'authentification la plus sûre et confortable car il n'est pas nécessaire d'entrer un mot de passe de l'utilisateur;
  • PEAP (Protected EAP), qui, au lieu d'utiliser TLS pour authentifier le point d'accès et d'établir un tunnel crypté qui utilisent MS-CHAP v2 pour authentifier le suppliant avec identifiant et mot de passe. L'avantage de cette méthode est que seul le serveur RADIUS doit avoir un certificat de serveur et la clé privée lorsque vous utilisez le même mot de passe utilisé pour authentifier avec Kerberos 5 sur les autres services réseau.



    Copyright (C) 2005-2012 by Fulvio Ricciardi