Articles précédents : Internet
- [3] Tuxfamily, Solutions linux, beta-test et bouffe
- [20] Wiki et Forum Linux Suisse Romande
- [3] PostgreSQLFr.org : plus de 1000 lectures du livre "Témoignages d'utilisation de PostgreSQL" en ligne
- [25] Linuxgraphic.org à nouveau en vitesse de croisière !
- [30] LeMonde.fr adopte le XUL
- [12] Radio 404 enfin totalement sous GNU/Linux !
- [43] Technique anti-spam basée sur le « Sender ID » rejetée par Apache et Debian
- [39] Léa-Linux et LinuxFrench font peau neuve
- [30] Failles de sécurité dans la libpng
- [7] xulfr.org cherche des traducteurs
Pour remédier à ce problème sont apparus les portails captifs. Avec ce type de système un utilisateur qui se connecte au réseau pour la première fois est dirigé (capté) vers une page d'authentification. Une fois authentifié le système autorise l'accès au réseau. Parmi ces logiciels on peut citer NoCat, chiliSpot et monoWall.
L'inconvénient de ces solutions est qu'elles autorisent l'accès en fonction de critères (adresse IP, adresse MAC) qui sont facilement imitables. Alors on peut imaginer qu'une personne mal intentionnée puisse usurper l'identité d'un utilisateur du réseau. Fort de ce constat, une nouvelle solution de portail captif a été développé à l'université de Metz : talweg.
Cette solution est basée sur des mécanismes de sécurité éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les transmissions entre le client et la passerelle sont chiffrées. L'identité d'un utilisateur ne peut être usurpée.
Ce logiciel en licence GPL est disponible dans sa première version et tout retour sera apprécié.
bon test !
![[en]](../../../images/en.png)
Le site (5567 hits)
> Lire la dépêche (27 commentaires, moyenne: 3).
Bravo
Super documentation ça donne envie d'essayer.
Je sais pas si vous vous 'amusez' avec le wifi, lorsque je peux, j'essaye de tromper (sans spoofing et ni crackage de clefs) les bornes d'accès wifi 'payante'. Je déplore beaucoup trop de réussite (en plus que les communications ne soient pas crypté par WPA)
(Modification des serveurs dns, utisation d'un proxy, ..., changement de masque réseau...)
Cependant à mon université, une borne de paiment permettait après paiement bancaire, d'avoir une clef WPA, et ainsi de surfer en sécurité.
(Je me souviens plus si le paiement était lié au traffic ou au temps mais ca restait trop cher :( (au café (Union) de l'univ)
Ca mérite d'être regarder de plus prêt :)
NB: La classe c'est d'arriver (client) dans une entreprise, et de pouvoir surfer sur un intranet clientèle..
-
[^]Re: Bravo
Posté par Antoine Nivard (page perso, ) le 25/03/2005 à 10:18. (lien). Évalué à 1.Je te rappele que cette technique est assimilée à du piratage...
Donc j'ai un client demande comment faire avant de 'se connecter'
c'est plus prudent
Mais il y a certaines personnes en clientèle qui ne comprenne pas pourquoi l'on a besoin d'un accès internet!
Sûrement à cause des moules sur la plage de la tribune?
:))
-
[^]Re: Bravo
Posté par lilliput (page perso, ) le 25/03/2005 à 23:20. (lien). Évalué à 2.Donc dans le cas de l'aéroport.. SANS AUCUNE MODIFICATION... juste iwconfig pour se mettre sur l'ap .. la requete DHCP, j'avais accès a linuxfr en httpS. Est-ce illégal ? je pouvais aussi pinguer google.
Dans le genre je configure en fermant les yeux.. Un acces (non wifi) dans un autre endroit sous windows était mal configuer, en parcourant leur aidant, un simple CTRL+N permettait d'ouvrir un ie sans aucune restriction.. Bon je dis ca mais dans leur bonté extreme le processus etait killer toutes les minutes enfin quoi qu'il en soit j'ai pas essayer de lancer d'application ou autre chose (je suis rester tres gentil)
La chose qui m'à choqué dans le premier cas c'est le lieu. En effet je m'attendait au moins a avoir un accès SECURISE. Des hommes d'affaires et autre doivent utilisé ce genre de service, et peut etre meme gratuit via l'opérateur de ton vol pour une classe affaire (enfin je dis ca mais j'ai pas vérifié). Après on s'est tous ce qu'il en ai .. y'a pas besoin d'etre a 3 mètre du gars pour l'espionner.
De la part de la société qui a concu l'accès wifi j'appel plutôt ca de la faute professionnel. Enfin c'est ce que j'en pense.
Dans ce cas là peut on dire que je suis vraiment coupable ?
Enfin j'ai pas triché j'ai juste ouvert les yeux ^^.
Bon le plus inquiétant c pas ma petite astuce .. c'est qu'il n'y ai pas eu d'audit sérieuse sur le systême ...
-
-
[^]Re: Bravo
Posté par Philippe Fremy (page perso, ) le 25/03/2005 à 11:29. (lien). Évalué à 2.A titre purement documentaire et informatif, c'est quoi les methodes pour tromper ces bornes d'acces wifi ?
C'est monte comment leur systeme ?-
[^]Re: Bravo
-
CAS ?
Ce truc me semble genial et tellement plus simple a mettre en place que chillispot ou autre.
Mais il y a un truc sur lequel j'ai du mal a trouvé des infos, c'est bien entendu CAS auquel on peut se connecter avec talweg::cas_auth.
J'ai cherché (tres) rapidement sur google des infos sur comment mettre un server cas mais yavait pas grand chose a ce propos .. . .
Qu'est-ce que c'est exactement ? est-ce que ca peut s'interfacer avec un radius ?
A psf nous (ils? :) avons mis en place un radius avec toutes les personnes inscrites sur la carte ( http://paris-sansfil.fr/CartePSF2004(...) ) pour pouvoir utiliser ces infos avec un portail captif justement. Il serait assez sympa de pouvoir utiliser celui la.
Je suppose que coder un talweg::radius_auth ne doit pas etre tres compliqué non plus, mais ce CAS m'intrigue :)
-
[^]Re: CAS ?
Posté par Emmanuel Blindauer (page perso, ) le 24/03/2005 à 19:11. (lien). Évalué à 4.une merde que toutes les universités doivent utiliser pour authentifier les utilisateurs sur le web.
c'est developpé par une univertité americaine, en opensource, sur un modele de kerberos, mais c'est uniquement limité aux appli web.-
[^]Re: CAS ?
Posté par François Becker (page perso, ) le 24/03/2005 à 19:31. (lien). Évalué à 2."toutes", non, ici on fait du VPN cisco sur le wifi, licence payée par l'université et on doit s'identifier avec notre login/mdp personnel du centre de ressources informatiques de l'univ à chaque connexion VPN... sinon on n'est pas routé vers l'internet. Je pense que ca pose 2 pbs : le VPN utilise TCP sur wifi, je ne sais pas si c'est super efficace quand un nombre non négligeable de paquets sont pommés, les déconnexions du VPN sont fréquentes pour un signal faible... et puis les plantages de l'hote-routeur VPN Cisco... (ou du client !!)
dans une autre université pour le réseau filaire (libre-plug) on avait un blocage au niveau proxy, mais rien ne passait (et pas seulement port 80), il fallait son compte de l'univ ou le compte d'un responsable pour enregistrer une fois pour toutes son ordi (adresse MAC). Il me semble que c'était une solution home-made, qui pose les pbs de spoofing (tellement simple de récupérer une adresse MAC puis de la spoofer... à la demande je peux faire une astuce si qqun est intéressé)--
elle est libre ma musique : http://moala.online.fr/audiosite/-
[^]Re: CAS ?
Posté par Patrice Fortier () le 25/03/2005 à 09:34. (lien). Évalué à 2.L'utilisation de VPN et de captive portal n'est pas du tout la meme.
Avec un VPN, l'utilisateur est considéré _dans_ le réseau hote (en tout cas, c'est fait pour ca). Pour info la solution mise en place par cisco est assez lourde: C'est de l'IP sur du PPP sur du L2TP sur de l'IPSec sur de l'IP... C'est transaprant à l'utilisation, mais c'est ca qui se passe dessous :).
Avec un captive portal tu authorises qqn a se connecter a ton réseau (en général en le mettant ds un vlan spécial invité), après authentification. Un produit très utilisé est Nocatauth. Chez nous le portail captif (propriétaire et fourni avec la passerelle wifi) va faire des requètes sur un serveur ldap.
Par contre je cherche, mais je ne trouve pas où la personne qui a fait la première réponse a trouvé la référence à l'auth sur un serveur CAS... :-/
Pour finir, il est évident que le but d'un portail captif est de faire en sorte qu'un utilisateur s'authentifie (je veux dire vraiment, pas avec l'adresse MAC de son portable). Mais je ne trouve aucune ref à cette partie sur le site.-
[^]Re: CAS ?
Posté par kaouete (page perso, ) le 28/03/2005 à 23:55. (lien). Évalué à 2.Dans les sources des scripts :] (ou de la conf)
-
[^]Re: CAS ?
Posté par François Becker (page perso, ) le 29/03/2005 à 12:55. (lien). Évalué à 2.j'ai peut-être pas assez bien précisé, c'est du VPN avec authentification...
--
elle est libre ma musique : http://moala.online.fr/audiosite/
-
-
-
-
[^]Re: CAS ?
Posté par Patrice Fortier () le 25/03/2005 à 09:07. (lien). Évalué à 3.CAS est un système d'authentification qui permet de faire du SSO. En gros tu t'authentifies une fois en envoyant ton login/passwd et toutes les applis capables de gérer une authentification de type CAS ne te demanderont pas ton mot de passe.
Le principe est très sympa. La limitation est que ca fonctionne essentiellement pour les applis web, et donc c'est surtout utilisé pour les bureaux virtuels.
Par exemple tu accèdes a un portail ou tu t'authentifies, et tu as ensuite acces a ton webmail, un phpBB, webcalendar, webdav(?), etc sans avoir a te réauthentifier.
Fonctionnement hors HTTP, HTTPS ?
Sur le site de talweg, la page :
http://sourcesup.cru.fr/talweg/about.php
explique brièvement le fonctionnement, mais s'arrête à l'interception des paquets HTTP,HTTPS.
Je me demande donc quel est la suite du mécanisme, par exemple : comment se passe l'ouverture d'une session ssh (suis perdu sans ça ;-) une fois authentifié ...
-
[^]Re: Fonctionnement hors HTTP, HTTPS ?
Posté par lom (page perso, ) le 25/03/2005 à 08:02. (lien). Évalué à 3.Talweg est juste un portail web, donc logiquement, il n'y a rien de prévu hors http et https.
Petite question
> L'inconvénient de ces solutions est qu'elles autorisent l'accès en fonction de critères (adresse IP, adresse MAC) qui sont facilement imitables.
> Cette solution est basée sur des mécanismes de sécurité éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les transmissions entre le client et la passerelle sont cryptées. L'identité d'un utilisateur ne peut être usurpée.
J'avoue, je n'ai pas lu la doc sur le site de talweg, mais je ne vois pas l'apport en sécurité ici : un utilisateur peut toujours prendre le couple @IP @MAC d'une personne identifiée. Le login/mdp n'est pas révelé mais les connexions sauvages ne sont pas interdites...
-
[^]Re: Petite question
Posté par François Becker (page perso, ) le 24/03/2005 à 19:45. (lien). Évalué à 9.C'est-à-dire que certaines personnes (peut-être même trop) pensent que, comme l'adresse MAC est matériellement fixée sur la carte et unique au monde, elle est infalsifiable...
Elles oublient que ce n'est pas la carte qui gère les paquets mais l'OS qui recopie cette adresse dans les paquets, et que cette adresse est dans une cache mémoire modifiable, qui va récupérer sa valeur au démarrage du système auprès de la carte.
Un petit coup d'ifconfig suffit à changer cette valeur dans la cache...
ifconfig eth0 down
ifconfig eth0 hw ether 01:23:45:67:89:ab
ifconfig eth0 up
/etc/init.d/networking restart
avec 01:23:45:67:89:ab l'adresse MAC que vous voulez spoofer (comme toujours vous êtes responsables de votre utilisation de cette commande, à défaut de l'utiliser à des fins légales, utilisez-la à des fins morales !)--
elle est libre ma musique : http://moala.online.fr/audiosite/-
[^]Re: Petite question
Posté par Matthieu C () le 24/03/2005 à 19:50. (lien). Évalué à 3.pour l'envoie des paquets oui, mais certaines font du filtrage des paquets entrant en hardware, mais soit on peut modifier les adresses filtrees grace au driver, soit il suffit de passer en mode promiscuous...
-
[^]Re: Petite question
Posté par Christophe Garault (page perso, ) le 25/03/2005 à 11:31. (lien). Évalué à 2.> Un petit coup d'ifconfig suffit à changer cette valeur dans la cache...
Une autre solution est d'installer macchanger qui permet en outre de récupérer la liste des octets réservés au vendeur. Il est impressionnant de constater qu'en quelques années cette liste est passée de plusieurs dizaines à plusieurs milliers.
-
Usurpation d'identité
Attention : on dit plutôt "pallier ce problème" (deux 'l' et construction directe préférée).
La news est très intéressante.
En revanche j'ai du mal à voir pourquoi le fait de passer par du SSL permettrait d'empêcher une usurpation d'identité. A la première connexion d'un poste, il faut bien lui faire confiance, j'imagine ? Bon le problème vient très certainement de mon manque de connaissance de SSL !
-
[^]Re: Usurpation d'identité
Posté par Bernard Massot () le 24/03/2005 à 23:55. (lien). Évalué à 3.Tu peux entrer à l'avance les certificats des clients sur le serveur et dire à apache SSL de les inspecter quand un client se connecte. C'est un peu plus lourd mais ça évite de façon sûre l'usurpation d'identité.
-
[^]Re: Usurpation d'identité
Posté par Eric Leblond (page perso, ) le 25/03/2005 à 01:11. (lien). Évalué à 3.talweg est-il une sorte de proxy authentifiant http https permettant de s'assurer de l'indentité des personnes surfant depuis un réseau Wifi ?
--
Regit qui a du mal à voir quel champ couvre cette application
-
Relecture, lassitude, tout ça
1. on pallie un problème ;
2. un palliatif n'est pas une solution.
Vous ne trouvez pas préférable de connaître le sens d'un mot avant de l'utiliser ? Ça évite de dire des bêtises...
Groar !
-
[^]Re: Relecture, lassitude, tout ça
Posté par Christophe Garault (page perso, ) le 25/03/2005 à 11:35. (lien). Évalué à 3.> 2. un palliatif n'est pas une solution.
Merci d'avoir pris soin de le mentionner...
Oups --> []
SSL lors de l'authentification seulement ou durant toute la connection ?
Si je comprend bien le chiffrement SSL ne couvre pas seulement la phase d'authentification mais aussi toute la connection "Internet" qui en résulte ?
Quid des performances de cette approche dans le cas de réseau WIFI ?
Ce programme peut-il tourner sur des vielles bécanes au niveau de la passerelle (genre pentium 75) ?
Merci
Libretto
comment ca marche ?
vous trouverez un peu plus d'infos sur le fonctionnement ici : http://www.crium.univ-metz.fr/reseau/talweg/(...) .
Et pour de l'embarqué ?
Talweg à l'air très prometteur, malheureusement il n'est pas embarquable dans des routeurs comme les WRT54G/GS et compatibles openwrt par exemple, là où chillispot et nocatsplash le sont.
Au début, j'avais pensé à bande de chacals, vous allez tous crever comme des chacals, mais ça faisait deux fois chacals.
-
[^]Re: Et pour de l'embarqué ?
Posté par Plec (page perso, ) le 26/03/2005 à 23:46. (lien). Évalué à 2.Un oublie dans la liste des portails captifs pour systèmes embarqués est Wifidog. Il est utilisé pour une trentaine de hotspots (WRT54G avec OpenWRT) sur le réseau d'Île Sans Fil à Montréal.
Wifidog a été designé pour fontionner sur des platformes embarquées (ou tout autres GNU/Linux) en prenant le moins de ressources possibles (espace disque et processeur). Il fonctionne avec model client / serveur, le client est écrit en C et modifie les règles du firewall lorsque l'usager est authentifié. Toute la logique et l'authentification se font du coté serveur qui lui est écrit en PHP connecté avec une base de données.
Jettez-y un coup d'oeil !!! (je suis dans les développeurs)
Site de Wifidog : http://www.ilesansfil.org/wiki/WiFiDog(...) (Doc en réécriture (Fr/En) et portail à venir)
Site de Île Sans Fil : http://www.ilesansfil.org(...)
Serveur d'authentification présentement en service :http://auth.ilesansfil.org(...)
Vos commentaires et questions sont les bienvenues
Cette page a été générée par Templeet en 0.1164s (dont 0.0115 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.