Pour remédier à ce problème sont apparus les portails captifs. Avec ce type de système un utilisateur qui se connecte au réseau pour la première fois est dirigé (capté) vers une page d'authentification. Une fois authentifié le système autorise l'accès au réseau. Parmi ces logiciels on peut citer NoCat, chiliSpot et monoWall.
L'inconvénient de ces solutions est qu'elles autorisent l'accès en fonction de critères (adresse IP, adresse MAC) qui sont facilement imitables. Alors on peut imaginer qu'une personne mal intentionnée puisse usurper l'identité d'un utilisateur du réseau. Fort de ce constat, une nouvelle solution de portail captif a été développé à l'université de Metz : talweg.
Cette solution est basée sur des mécanismes de sécurité éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les transmissions entre le client et la passerelle sont chiffrées. L'identité d'un utilisateur ne peut être usurpée.
Ce logiciel en licence GPL est disponible dans sa première version et tout retour sera apprécié.
bon test !
Aller plus loin
- Le site (1064 clics)
# Bravo
Posté par ~ lilliput (site web personnel) . Évalué à 6.
Je sais pas si vous vous 'amusez' avec le wifi, lorsque je peux, j'essaye de tromper (sans spoofing et ni crackage de clefs) les bornes d'accès wifi 'payante'. Je déplore beaucoup trop de réussite (en plus que les communications ne soient pas crypté par WPA)
(Modification des serveurs dns, utisation d'un proxy, ..., changement de masque réseau...)
Cependant à mon université, une borne de paiment permettait après paiement bancaire, d'avoir une clef WPA, et ainsi de surfer en sécurité.
(Je me souviens plus si le paiement était lié au traffic ou au temps mais ca restait trop cher :( (au café (Union) de l'univ)
Ca mérite d'être regarder de plus prêt :)
NB: La classe c'est d'arriver (client) dans une entreprise, et de pouvoir surfer sur un intranet clientèle..
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Bravo
Posté par Tonio (site web personnel) . Évalué à 1.
Donc j'ai un client demande comment faire avant de 'se connecter'
c'est plus prudent
Mais il y a certaines personnes en clientèle qui ne comprenne pas pourquoi l'on a besoin d'un accès internet!
Sûrement à cause des moules sur la plage de la tribune?
:))
[^] # Re: Bravo
Posté par ~ lilliput (site web personnel) . Évalué à 2.
Dans le genre je configure en fermant les yeux.. Un acces (non wifi) dans un autre endroit sous windows était mal configuer, en parcourant leur aidant, un simple CTRL+N permettait d'ouvrir un ie sans aucune restriction.. Bon je dis ca mais dans leur bonté extreme le processus etait killer toutes les minutes enfin quoi qu'il en soit j'ai pas essayer de lancer d'application ou autre chose (je suis rester tres gentil)
La chose qui m'à choqué dans le premier cas c'est le lieu. En effet je m'attendait au moins a avoir un accès SECURISE. Des hommes d'affaires et autre doivent utilisé ce genre de service, et peut etre meme gratuit via l'opérateur de ton vol pour une classe affaire (enfin je dis ca mais j'ai pas vérifié). Après on s'est tous ce qu'il en ai .. y'a pas besoin d'etre a 3 mètre du gars pour l'espionner.
De la part de la société qui a concu l'accès wifi j'appel plutôt ca de la faute professionnel. Enfin c'est ce que j'en pense.
Dans ce cas là peut on dire que je suis vraiment coupable ?
Enfin j'ai pas triché j'ai juste ouvert les yeux ^^.
Bon le plus inquiétant c pas ma petite astuce .. c'est qu'il n'y ai pas eu d'audit sérieuse sur le systême ...
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Bravo
Posté par Philippe F (site web personnel) . Évalué à 2.
C'est monte comment leur systeme ?
[^] # Re: Bravo
Posté par ~ lilliput (site web personnel) . Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# CAS ?
Posté par Victor . Évalué à 5.
Mais il y a un truc sur lequel j'ai du mal a trouvé des infos, c'est bien entendu CAS auquel on peut se connecter avec talweg::cas_auth.
J'ai cherché (tres) rapidement sur google des infos sur comment mettre un server cas mais yavait pas grand chose a ce propos .. . .
Qu'est-ce que c'est exactement ? est-ce que ca peut s'interfacer avec un radius ?
A psf nous (ils? :) avons mis en place un radius avec toutes les personnes inscrites sur la carte ( http://paris-sansfil.fr/CartePSF2004(...) ) pour pouvoir utiliser ces infos avec un portail captif justement. Il serait assez sympa de pouvoir utiliser celui la.
Je suppose que coder un talweg::radius_auth ne doit pas etre tres compliqué non plus, mais ce CAS m'intrigue :)
[^] # Re: CAS ?
Posté par Emmanuel Blindauer (site web personnel) . Évalué à 4.
c'est developpé par une univertité americaine, en opensource, sur un modele de kerberos, mais c'est uniquement limité aux appli web.
[^] # Re: CAS ?
Posté par François Becker (site web personnel) . Évalué à 2.
dans une autre université pour le réseau filaire (libre-plug) on avait un blocage au niveau proxy, mais rien ne passait (et pas seulement port 80), il fallait son compte de l'univ ou le compte d'un responsable pour enregistrer une fois pour toutes son ordi (adresse MAC). Il me semble que c'était une solution home-made, qui pose les pbs de spoofing (tellement simple de récupérer une adresse MAC puis de la spoofer... à la demande je peux faire une astuce si qqun est intéressé)
[^] # Re: CAS ?
Posté par Patrice Fortier . Évalué à 2.
Avec un VPN, l'utilisateur est considéré _dans_ le réseau hote (en tout cas, c'est fait pour ca). Pour info la solution mise en place par cisco est assez lourde: C'est de l'IP sur du PPP sur du L2TP sur de l'IPSec sur de l'IP... C'est transaprant à l'utilisation, mais c'est ca qui se passe dessous :).
Avec un captive portal tu authorises qqn a se connecter a ton réseau (en général en le mettant ds un vlan spécial invité), après authentification. Un produit très utilisé est Nocatauth. Chez nous le portail captif (propriétaire et fourni avec la passerelle wifi) va faire des requètes sur un serveur ldap.
Par contre je cherche, mais je ne trouve pas où la personne qui a fait la première réponse a trouvé la référence à l'auth sur un serveur CAS... :-/
Pour finir, il est évident que le but d'un portail captif est de faire en sorte qu'un utilisateur s'authentifie (je veux dire vraiment, pas avec l'adresse MAC de son portable). Mais je ne trouve aucune ref à cette partie sur le site.
[^] # Re: CAS ?
Posté par Victor . Évalué à 2.
[^] # Re: CAS ?
Posté par François Becker (site web personnel) . Évalué à 2.
[^] # Re: CAS ?
Posté par Patrice Fortier . Évalué à 3.
Le principe est très sympa. La limitation est que ca fonctionne essentiellement pour les applis web, et donc c'est surtout utilisé pour les bureaux virtuels.
Par exemple tu accèdes a un portail ou tu t'authentifies, et tu as ensuite acces a ton webmail, un phpBB, webcalendar, webdav(?), etc sans avoir a te réauthentifier.
# Fonctionnement hors HTTP, HTTPS ?
Posté par Eric Leblond (site web personnel) . Évalué à 2.
http://sourcesup.cru.fr/talweg/about.php
explique brièvement le fonctionnement, mais s'arrête à l'interception des paquets HTTP,HTTPS.
Je me demande donc quel est la suite du mécanisme, par exemple : comment se passe l'ouverture d'une session ssh (suis perdu sans ça ;-) une fois authentifié ...
[^] # Re: Fonctionnement hors HTTP, HTTPS ?
Posté par lom (site web personnel) . Évalué à 3.
# Petite question
Posté par r3dLiN3 . Évalué à 3.
> Cette solution est basée sur des mécanismes de sécurité éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les transmissions entre le client et la passerelle sont cryptées. L'identité d'un utilisateur ne peut être usurpée.
J'avoue, je n'ai pas lu la doc sur le site de talweg, mais je ne vois pas l'apport en sécurité ici : un utilisateur peut toujours prendre le couple @IP @MAC d'une personne identifiée. Le login/mdp n'est pas révelé mais les connexions sauvages ne sont pas interdites...
[^] # Re: Petite question
Posté par François Becker (site web personnel) . Évalué à 9.
Elles oublient que ce n'est pas la carte qui gère les paquets mais l'OS qui recopie cette adresse dans les paquets, et que cette adresse est dans une cache mémoire modifiable, qui va récupérer sa valeur au démarrage du système auprès de la carte.
Un petit coup d'ifconfig suffit à changer cette valeur dans la cache...
ifconfig eth0 down
ifconfig eth0 hw ether 01:23:45:67:89:ab
ifconfig eth0 up
/etc/init.d/networking restart
avec 01:23:45:67:89:ab l'adresse MAC que vous voulez spoofer (comme toujours vous êtes responsables de votre utilisation de cette commande, à défaut de l'utiliser à des fins légales, utilisez-la à des fins morales !)
[^] # Re: Petite question
Posté par M . Évalué à 3.
[^] # Re: Petite question
Posté par Raoul Volfoni (site web personnel) . Évalué à 2.
Une autre solution est d'installer macchanger qui permet en outre de récupérer la liste des octets réservés au vendeur. Il est impressionnant de constater qu'en quelques années cette liste est passée de plusieurs dizaines à plusieurs milliers.
# Usurpation d'identité
Posté par JoeBar . Évalué à 6.
La news est très intéressante.
En revanche j'ai du mal à voir pourquoi le fait de passer par du SSL permettrait d'empêcher une usurpation d'identité. A la première connexion d'un poste, il faut bien lui faire confiance, j'imagine ? Bon le problème vient très certainement de mon manque de connaissance de SSL !
[^] # Re: Usurpation d'identité
Posté par Bernez . Évalué à 3.
[^] # Re: Usurpation d'identité
Posté par Eric Leblond (site web personnel) . Évalué à 3.
--
Regit qui a du mal à voir quel champ couvre cette application
# Relecture, lassitude, tout ça
Posté par Ramso . Évalué à 0.
2. un palliatif n'est pas une solution.
Vous ne trouvez pas préférable de connaître le sens d'un mot avant de l'utiliser ? Ça évite de dire des bêtises...
[^] # Re: Relecture, lassitude, tout ça
Posté par Raoul Volfoni (site web personnel) . Évalué à 3.
Merci d'avoir pris soin de le mentionner...
Oups --> []
# SSL lors de l'authentification seulement ou durant toute la connection ?
Posté par libretto . Évalué à 1.
Quid des performances de cette approche dans le cas de réseau WIFI ?
Ce programme peut-il tourner sur des vielles bécanes au niveau de la passerelle (genre pentium 75) ?
Merci
Libretto
# comment ca marche ?
Posté par eskan . Évalué à 6.
# Et pour de l'embarqué ?
Posté par Florian Fainelli . Évalué à 2.
[^] # Re: Et pour de l'embarqué ?
Posté par Plec . Évalué à 2.
Wifidog a été designé pour fontionner sur des platformes embarquées (ou tout autres GNU/Linux) en prenant le moins de ressources possibles (espace disque et processeur). Il fonctionne avec model client / serveur, le client est écrit en C et modifie les règles du firewall lorsque l'usager est authentifié. Toute la logique et l'authentification se font du coté serveur qui lui est écrit en PHP connecté avec une base de données.
Jettez-y un coup d'oeil !!! (je suis dans les développeurs)
Site de Wifidog : http://www.ilesansfil.org/wiki/WiFiDog(...) (Doc en réécriture (Fr/En) et portail à venir)
Site de Île Sans Fil : http://www.ilesansfil.org(...)
Serveur d'authentification présentement en service :http://auth.ilesansfil.org(...)
Vos commentaires et questions sont les bienvenues
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.