You are on page 1of 20

Projet

PacketTracer en 23 novembre

Labo, et
Authentification
Wi-Fi Serveur
2012
RADUIS (NPS)
Dans ce document nous allons utiliser le Labo Cisco™ qui est à notre
disposition, ce texte peut servir de support d’aide ou bien de tutoriel. Il SISR4 TP n
constituera une base d’étude des réseaux informatiques, tout en restant
dans le cadre des conditions imposées au cours du TP.
7

Projet PacketTracer en Labo, et Authentification 2012
Wi-Fi Serveur RADUIS (NPS)

Sommaire
I. Introduction..................................................................................................................................... 3
II. PacketTracer .................................................................................................................................... 5
III. Situation Labo .............................................................................................................................. 5
1. Présentation, Préparation ........................................................................................................... 5
2. Configuration Infrastructure Réseau ........................................................................................... 5
a. Commutateur(s)/Switch(s) ...................................................................................................... 5
b. Routeur .................................................................................................................................. 10
3. Point d’accès Wi-Fi .................................................................................................................... 11
c. Mot de passe d’accès configuration...................................................................................... 11
d. Adresse IP réseau local .......................................................................................................... 11
e. DHCP ...................................................................................................................................... 11
f. Section Wireless .................................................................................................................... 11
4. Le Serveur RADIUS..................................................................................................................... 12
g. Introduction........................................................................................................................... 12
h. Configuration du serveur NPS (Network Policy Server) ........................................................ 13

2

des entreprises ne s’intéressent pas à l’aspect administration et mise en place d’une infrastructure réseau structuré. Projet PacketTracer en Labo. c’est pourquoi il est nécessaire de bien maîtriser ces notions. et d’authentification RADIUS (abordé plus loin) font partie intégrante de la sécurité réseau. De nombreux outils s’offrent à nous en effet . avant de procéder à cette installation nous allons étudier le fonctionnement sur PacketTracer. Elle comporte une faille de sécurité extrêmement critique et comme je l’ai dit totalement négligée. c’est la base de tous infrastructure réseau. Introduction Ci-dessus le contexte technique de cette présentation. C’est notre cas. dans notre exemple je pourrais également aborder le thème très rapidement de PacketTracer. les notions de VLANs. il offre une vision de préparation de maquettage très confortable. une fois finie. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) I. Il est vrai qu’auparavant et même aujourd’hui. il existe quelques différences en 3 . sachez qu’il s’agit d’un outil très puissant. vous allez pouvoir constater que même si l’exemple est fait sous PacketTracer. l’utilisation du « Labo » pourra commencer. la suite du document présente les différents aspects technique d’un contexte que l’on rencontre inévitablement en entreprise. mais toujours d’actualité. néanmoins cela reste très rare.

et ne nécessite pas un réel intérêt pour un technicien réseau avertie. Projet PacketTracer en Labo. je vous expliquerais plus tard ces aspects là. PC portable. ou tous autres matériel. Smartphone. Le schéma ci-dessus peut également évoluer suivant les situations je veux parler des postes informatiques. serveurs. dites vous bien que chaque constructeur ne réinventent pas le monde du réseau informatique à chaque nouvelles séries de Switch. Vous comprendrez plus tard pourquoi. seulement que dans certains cas. 4 . routeur. PC fixe. en d’autres termes la simulation de clients. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) situation réel qui peuvent vite vous mettre dans une position délicate. OS. ce n’est pas un point capital dans notre cas.… les adresses IP également. avec quelques particularités évidement . et je dirais même plus que l’utilisation d’une doc n’est pas indispensable. l’assimilation des points techniques sont plus important. Certes notre exemple comporte principalement du matériels Cisco™ les commandes vous présenterons la « philosophie » Cisco™ mais sachez qu’en réalité la plupart des constructeurs s’accordent plus ou moins. ils sont à titre indicatif représente le contexte présent lors des tests.

Notez les adresses IP les ports. et identifiez les VLANs à l’aide de couleurs . ainsi que pour utiliser les TPs. ainsi que des différentes configurations à appliquer à chacun des éléments actifs et postes utilisateurs. Situation Labo 1. vous arriverez réellement à retenir chacun des paramètres que vous avez appliqué sur tous vos éléments ? Et j’insiste sur le faites d’utiliser un support papier plutôt qu’un support numérique pour une question pratique. ainsi que de « stabilos fluo ». Elle peut paraître fastidieuses mais c’est une base capitale est fortement conseillé voire obligatoire.pka. imaginer la même situation avec une infrastructure 3 à 4 fois plus grande. PacketTracer Pour récupérer PacketTracer. Projet PacketTracer en Labo. Configuration Infrastructure Réseau a. si c’est le cas. d’un crayon à papier. III. lancez votre console « Putty » ou « Hyperterminal » par exemple. Cette étape consiste à faire un schéma basique et de façon concis incorporant chacun des éléments de la structure que vous allez faire. il faut être étudiant Netacad. Cisco™ utilise un câble propriétaire. Commutateur(s)/Switch(s) Une fois cette première étape terminée. faites par exemple un tableau en plus de votre schéma (un tableau Excel® ici l’utilité d’utiliser une feuille de papier n’est pas nécessairement fondamentale . Une fois branché. et avant même de brancher quoi que ce soit. récupérer le fichier exo_linksys. Dans notre cas vous vous rendrez compte très vite que l’on a vite fait d’oublier ce que l’on déjà fait ce que l’on a pas fait. Présentation. à vous de juger). Préparation La première chose à faire avant toutes choses. passons à la partie technique. c’est de vous munir d’une feuille de papier. 2. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) II. Passez le test. nous allons configurer notre Switch. 5 . Sur le panneau arrière on branche le câble console jusqu’au port com. du PC.

. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) Nous Allons donc créer nos VLANs : . [OK] 6 . one per line. chez Cisco™ la notion de Trunk signifie « Tagged » (norme 802. [OK] Affectation de Ports au VLANs : SW1#conf t Enter configuration commands. VLAN 2 . VLAN 183 (Administration) Ainsi que notre port « Trunk ». SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport access vlan 183 SW1(config-if)#no shut SW1(config-if)#exit SW1(config)#exit SW1#write Building configuration. SW1(config)#vlan 183 SW1(config-if)#no shut SW1(config-vlan)#exit SW1(config)#exit SW1#write Building configuration. End with CNTL/Z. Utilisez le « ? » après chaque commande afin de voir les options disponible à chaque étapes de la construction de votre commande. Projet PacketTracer en Labo. VLAN 3 ... VLAN 4 (Wi-Fi) . Création de VLANs : SW1>en SW1#conf t Enter configuration commands. chez les autres constructeurs il s’agit d’un lien d’agrégation.1Q).. End with CNTL/Z. one per line.

0.. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) Port « Trunk » : SW1#conf t SW1(config)#interface fastEthernet 0/10 SW1(config-if)#switchport trunk allowed vlan all SW1(config-if)#no shut SW1(config-if)#exit SW1(config)#exit SW1#write Affectation Adresse IP VLAN 183 (Utile pour la prise en main Telnet) : SW1#conf t Enter configuration commands. End with CNTL/Z.111 255.220. one per line. changed state to up SW1(config-if)#ip address 183.. SW1(config)#interface vlan 183 %LINK-5-CHANGED: Interface Vlan183.0 SW1(config-if)# no shut SW1(config-if)#exit SW1(config)#exit %SYS-5-CONFIG_I: Configured from console by console SW1# write Building configuration.255.174. [OK] 7 . Projet PacketTracer en Labo.

Fa0/14. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) Pensez à faire une commande show afin de vérifier vos différentes configurations ci-dessous les VLANs. Fa0/23 Gi0/1. Fa0/15 Fa0/16. SW1#show vlan VLAN Name Status Ports ---. Fa0/19 Fa0/20. Fa0/6. Fa0/13. Fa0/11 Fa0/12.-------------------------------. Fa0/22. Fa0/7 Fa0/8. Fa0/9. Projet PacketTracer en Labo. Fa0/5.--------. Fa0/10. Gi0/2 2 VLAN0002 active Fa0/2 3 VLAN0003 active Fa0/3 4 VLAN0004 active Fa0/4 183 VLAN0183 active Fa0/24 SW1#show conf interface FastEthernet0/2 switchport access vlan 2 ! interface FastEthernet0/3 switchport access vlan 3 ! interface FastEthernet0/24 switchport access vlan 183 interface Vlan1 no ip address shutdown ! interface Vlan183 8 .------------------------------- 1 default active Fa0/1. Fa0/17. Fa0/18. Fa0/21.

Mot de passe : Enter configuration commands. one per line.220.111 255. End with CNTL/Z. Projet PacketTracer en Labo. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) ip address 183.255.0 ! line con 0 password password login line vty 0 4 password password login line vty 5 15 password password login ! end En vert il s’agit de la configuration des droits d’accès.174.0. c’est une stratégie de sécurité définie avec des mots de passe. elle est utile pour configurer le Telnet. SW1(config)#line con 0 SW1(config-line)# SW1(config-line)#password password SW1(config-line)#login SW1(config-line)#end SW1# %SYS-5-CONFIG_I: Configured from console by console 9 .

Projet PacketTracer en Labo.1 donc du VLAN « 2 »... Affection des adresses IP aux sous-interfaces : R1>en Router#conf t Enter configuration commands.1Q) spécifier pour cette sous-interface à quel ID VLAN elle correspondant.1 R1(config-subif)#ip address 192. 10 . End with CNTL/Z.255.2. R1(config)#interface gigabitEthernet 0/0. notez donc « 2 » au VLAN ID.168. Routeur Pour le routeur nous allons configurer également la partie « Telnet ». et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) b. one per line. Définition de l’encapsulation : R1(config-subif)#encapsulation dot1Q 2 R1(config-subif)#no shutdown Lorsque vous configurer l’encapsulation dot1Q (802. [OK] Pour définir accéder à une sous interface il s’suffit de spécifier l’interface de base 0/0 ou bien 0/1 par exemple. dans l’exemple présenté ci-dessus.168. il s’agit de l’adresse IP 192.255. ainsi que l’interface Gigabits (g0/0) et ses sous interfaces. suivie d’un point et du numéro de l’interface logique.2.0 R1(config-subif)#exit R1(config)#exit R1# %SYS-5-CONFIG_I: Configured from console by console R1#write Building configuration.1 255.

ou soit le DHCP intégré à votre Routeur-Switch Wi-Fi. f. nous passerons par l’interface WEB. c. DHCP Utiliser soit un DHCP server. Section Wireless 11 . Mot de passe d’accès configuration d. Adresse IP réseau local e. Point d’accès Wi-Fi Pour que les poste sans fils puissent fonctionner il faut configurer notre point d’accès. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) 3. nous avons à notre disposition un Routeur-Switch Wi-Fi Cisco™. Projet PacketTracer en Labo.

Le Serveur RADIUS g. • Un service d’enregistrement de gestion central pour toutes les demandes de gestion envoyées par des clients RADIUS. il fournit les services suivants : • Un service d’authentification et d’autorisation central pour toutes les demandes de connexion envoyées par des clients RADIUS. un domaine des services de domaine Active Directory® (AD DS) ou la base de données de comptes d’utilisateurs SAM (Security Accounts Manager) locale afin d’authentifier les informations d’identification des utilisateurs pour les tentatives de connexion. tel qu’un serveur d’accès à distance ou un point d’accès sans fil. NPE utilise les propriétés de numérotation du compte d’utilisateur et des stratégies réseau pour autoriser une connexion. Lorsque NPS est utilisé en tant que serveur RADIUS. l’autorisation et la gestion des clients RADIUS. Projet PacketTracer en Labo. Un client RADIUS peut être un serveur d’accès. Les demandes de gestion sont stockées dans un fichier journal local ou dans une base de données Microsoft® SQL Server™ à des fins d’analyse. 12 . NPS utilise un domaine Microsoft® Windows NT® Server 4.0. ou un proxy RADIUS. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) 4. Introduction Network Policy Server (NPS) peut être utilisé comme serveur RADIUS (Remote Authentication Dial-In User Service) afin d’effectuer l’authentification.

Dans « l’Assistant d’Ajout de rôles » Sélectionnez les rôles correspondant. Pour le NPS sélectionnez « Serveur NPS ». 13 . et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) L’illustration suivante montre NPS en tant que serveur RADIUS pour différents clients d’accès. Pour les services de Rôle IIS laissez tous par défaut. Projet PacketTracer en Labo. nous allons donc installer le rôle « Services de Stratégie d’Accès Réseau ». NPS utilise un domaine AD DS pour l’authentification des informations d’identification utilisateur des messages de demande d’accès RADIUS entrants. Configuration du serveur NPS (Network Policy Server) i. le certificat dans le rôle IIS est intégré de base. ainsi qu’un proxy RADIUS. c’est une fonctionnalité obligatoire. si vous avez besoin d’autres services sélectionnez les. h. et IIS. du moins pour la présentation actuel. Installation des rôles Il est nécessaire d’installer le rôle IIS afin d’obtenir un certificat pour que le serveur puisse répondre au requête RADIUS.

et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) Les rôles s’installent maintenant. ceci dépend encore une fois du contexte d’installation. Ici vous allez pouvoir visualiser aussi votre certificat dans cette console « mmc ». Vous obtiendrez normalement ceci : Dans la recherche de programme de programme tapez « mmc ». sélectionnez le serveur => dans le partie IIS => certificat de serveur => et faites clique droit au milieu de la fenêtre pour créer un certificat auto-signé. Projet PacketTracer en Labo. On peut constater à la fin de l’installation dans la partie sécurité la notion de certificat est ici présenté. ii. puisque c’est le seul moyen d’en obtenir un. Microsoft et les éditeurs de logiciels indépendants étendent les 14 . Le Certificat Donc dans un premier créons un certificat. effectivement il existe d’autre façon d’en obtenir un. ce certificat que nous allons nous auto-signé. Qu'est-ce que MMC ? MMC est une application MDI (interface multi-document) Windows qui utilise de façon intensive les technologies Internet. Cliquez sur dans les outils d’administration.

Les composants logiciels enfichables y résident . Votre configuration Maintenant terminé. Ces interfaces portent uniquement sur les extensions d'IU (interface utilisateur) . et attribuez y un nom. vous pouvez y accéder à tout. Projet PacketTracer en Labo. La relation composant logiciel enfichable / console consiste à partager un environnement d'hébergement commun. client RADIUS. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) capacités de cette console en écrivant des composants logiciels enfichables MMC qui se chargent des tâches de gestion. sélectionnez. Configuration 802. à gauche vous permet de visualiser vos stratégies. ainsi qu'une intégration multi applications. ou encore écrire des applications qui seront gérées par des outils d'administration MMC. moment le « Tree View ». Les interfaces de programmation MMC permettent l'intégration de ces composants dans la console. rendez-vous sur le site Web.1X Le gestionnaire NPS offre une première mise en route. type de méthode d’authentification. Faites donc Fichier => => et fait la procédure Certificat. Créez maintenait un client RADIUS. ils ne s'exécutent pas de manière autonome. et tous autres options. cliquez sur et . 15 . La console même n'offre pas de fonctions de gestion. Pour plus d'informations sur ce kit. chaque composant logiciel enfichable est entièrement responsable de la méthode utilisée pour exécuter les tâches. Microsoft et les éditeurs de logiciels indépendants peuvent développer des outils de gestion exécutables dans MMC. dans la fenêtre suivante. iii. MMC est disponible pour un usage général. Composante à part entière du Kit de développement logiciel (SDK) de la plate-forme Microsoft.

spécifiez. attention lors de l’authentification. 16 . et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) Vous pouvez aussi configurer de nouvelle stratégie. regardez le plus adapté à votre situation. et attribuez –y un « Certificat ». Projet PacketTracer en Labo. ici PEAP. le bon protocole d’authentification.

et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) iv. envoie informations d'identification utilisateur et des informations sur les paramètres de connexion sous la forme d'un message RADIUS à un serveur RADIUS. En outre. Le serveur RADIUS authentifie et autorise la demande du client RADIUS et renverra un message de réponse RADIUS. Test de Connectivité Avant de vous présenter la procédure de connexion et les échanges de trames entre client e serveur. Qui demande quoi à Qui ? Rappelons que dans notre cas présent nous somme en Wi-Fi. RADIUS est utilisé pour fournir des services de comptabilité. Un proxy RADIUS est un ordinateur qui transfère les messages RADIUS entre les ordinateurs compatibles RADIUS. l'autorisation et d'authentification. Lors de la connexion réseau tentative par un ordinateur client ou tout autre périphérique. non pas le Smartphone. Clients RADIUS envoient également des messages de comptabilisation RADIUS aux serveurs RADIUS. reçoit et envoie le trafic RADIUS sur les ports UDP suivants : 1812 et 1645 pour 17 . les normes RADIUS prennent en charge l'utilisation de proxy RADIUS. Certains anciens serveurs d'accès réseau (NAS) peuvent utiliser le port UDP 1645 pour les messages d'authentification RADIUS et le port UDP 1646 pour les messages de gestion de comptes RADIUS. Important Les ordinateurs clients. tels que les ordinateurs portables sans fil et d'autres ordinateurs exécutant des systèmes d'exploitation client. Projet PacketTracer en Labo. premier point important à retenir est que le client Wi-Fi est à différence du client RADIUS. un client RADIUS. • Protocole RADIUS Ce sujet n'a pas encore été évalué RADIUS est un protocole standard décrit dans la demande de l'Internet Engineering Task Force (IETF) for Comments (RFC) 2865. Messages RADIUS sont envoyés sous forme de messages de protocole UDP (User Datagram). Par défaut. je vais vous présenter le fonctionnement de RADIUS. Clients RADIUS sont des serveurs d'accès réseau — telles que les points d'accès sans fil. ou tous autres équipement réseaux. « Remote Authentication Dial-in User Service (RADIUS) » et RFC 2866. Le port UDP 1812 est utilisé pour les messages d'authentification RADIUS et le port UDP 1813 est utilisé pour les messages de gestion de comptes RADIUS. les commutateurs 802. car ils utilisent le protocole RADIUS pour communiquer avec les serveurs RADIUS tels que les serveurs de serveur NPS (Network Policy). les serveurs de réseau privé virtuel (VPN) et les serveurs d'accès distant. NPS peut recevoir des messages RADIUS sur n'importe quel ensemble de ports configurable. 1 X. le client RADIUS est la borne Wi-Fi c’est donc lui qui vas faire la demande d’authentification au serveur. NPS surveille. ne sont pas des clients RADIUS. tel qu'un serveur de réseau privé virtuel (VPN) ou d'un accès sans fil point. « RADIUS Accounting ». ni le PC portable.

et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) les messages d'authentification RADIUS et 1813 et 1646 pour les messages de gestion de comptes RADIUS. • Présentation des formats de message différents pour analyser le journal comptable. • Format de message RADIUS La section suivante fournit des informations qui peuvent être utiles pour les éléments suivants : • Comprendre une capture Moniteur réseau. Login Session 1 Access-Request Client RADIUS Serveur Windows 2 Server® 2008 Access-Accept R2 (NPS) 3 RADIUS Accounting-Request (Start) Serveur 4 Accounting-Reponse Logout Session 5 Accounting-Request (Stop) 6 Accounting-Reponse 18 . Exactement un message RADIUS est encapsulé dans la charge utile UDP. • Saisie des numéros de l'attribut spécifique au fournisseur (VSA). Projet PacketTracer en Labo.

3 (Non Visible) 4 (Non Visible) 5 (Visualisable si déconnexion) 6 (Visualisable si déconnexion) Structure de paquet générale La figure « Structure de rayon paquet générale. et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) 1 2 Ici il s’agit d’un Access-Challenge : Si l’une des informations transmises par l'utilisateur est fausse ou erronée. Les valeurs définies pour le champ Code RADIUS sont répertoriés dans le tableau suivant. A l'inverse. 19 . Structure générale d'un paquet RADIUS 1 Bytes = 1 Octet Champ code Le champ Code a une longueur de 1 octet et indique le type de message RADIUS. et en retour. le serveur renvoie un paquet (« Access-Reject ») en lui précisant que la connexion est refusée. Projet PacketTracer en Labo. Un message avec un champ de Code qui n'est pas valide est silencieusement rejeté. si toutes les informations sont correctes. le serveur renvoie un paquet (« Access-Challenge »). l'utilisateur émet de nouveau un paquet (« Access-Request ») qui contiendra la réponse au challenge. » fournit un résumé de la structure de données d'un paquet RADIUS. Le client RADIUS ou le serveur envoie les champs de haut en bas ou à partir du champ Code de manière verticale pour le champ attributs.

l'autorisation. Champ de longueur Le champ longueur est de deux octets de long et indique la longueur totale du message RADIUS. 20 . et Authentification 2012 Wi-Fi Serveur RADUIS (NPS) Codes (décimal) Paquets 1 Demande d'accès 2 Acceptation d'accès 3 Rejet d'accès 4 Demande de compte 5 Réponse de compte 11 Challenge d'accès 12 État-serveur (expérimental) 13 État-Client (expérimental) 255 Réservé Champ d'identificateur Le champ d'identificateur a une longueur de 1 octet et est utilisé pour faire correspondre une demande avec sa réponse correspondante. Projet PacketTracer en Labo. Le champ longueur peut varier de 20 à 4 096 octets. longueur et l'authentificateur et les attributs RADIUS. y compris les champs Code. Section attributs La section attributs de message RADIUS contient un ou plusieurs attributs RADIUS qui transportent les détails de l'authentification. identificateur. informations et configuration spécifiques pour les messages RADIUS. Champ de l'authentificateur Le champ de l'authentificateur est de 16 octets de long et contient les informations que le client RADIUS et le serveur utilisent pour vérifier que le message provient d'un ordinateur est configuré avec un secret partagé commun.