Salut à tous,
je voulais présenter un petit projet du nom de SNACK (Secure Network Access for Kids).
C'est un projet qui a été initié par la société BH Consulting via un projet industriel dans l'école Telecom Nancy .
Ce projet a été ensuite continué et a atteinte une certaine maturité .
C'est tout d'abord un Freeradius sur une base MySQL avec une couche web en php via le framework php CakePHP et le framework CSS Bootstrap Twitter.
Son point fort (qui manquait dans les solutions actuelles) est sa simplicité pour créer des utilisateurs sans forcément connaître le fonctionnement de Freeradius.
Il y a 2 parties distinctes : l'une la partie "Radius" qui va faire les authentification et l'accounting et de l'autre une partie qui va faire une sauvegarde automatiques des équipements actifs (actuellement du Cisco) .
Actuellement il est déjà en production chez plusieurs clients, ca fonctionne plutot pas mal .
Le code est sous licence GPLv3 . Je sens que je vais me faire troller et insulter sur pas mal de trucs (par exemple les mots de passe dans la base mySQL sont en clair) mais peu de protocoles gèrent le type de chiffrement qui va bien et du coup on perd en compatibilité si on hash les mots de passe .
Bref tout ca pour dire que le projet est disponible… pour plus d'infos vous pouvez aller sur le site : http://bh-consulting.github.io/snack
Journal Présentation du projet SNACK
21
nov.
2014
# C'est cool mais…
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 8.
C'est cool, ça a l'air d'être un bon projet (je sais pas j'ai pas ce genre de besoin) donc félicitations mais quand même «les mots de passe dans la base mySQL sont en clair» C'est Non.
Y a pas d'excuse, même si la faim justifie les moyens, y a des limites à ne pas franchir
[^] # Re: C'est cool mais…
Posté par Guillaume Roche (site web personnel) . Évalué à 4.
je sais… je sais… mais bon on fait comme on peut et je le prouve via ce lien :
http://deployingradius.com/documents/protocols/compatibility.html
Des fois il faut faire des choix désagréables … :(
Merci du retour en tout cas
[^] # Re: C'est cool mais…
Posté par Maxime (site web personnel) . Évalué à 10.
Ok mais dans ce cas, pourquoi ne pas chiffrer les mots de passes avec une clef histoire d'éviter que si la base de donnée est piratée les mots de passes soient directement disponibles en clair. Je veux dire par là : si la clef pour déchiffrer n'est pas volée mais que la base l'est, ce sera déjà plus dur à casser. De la même manière, je peux faire confiance à l'éthique d'un sysadmin pour ne pas déchiffrer mon mot de passe même s'il le peut. Mais si au moment de lister sa table il voit tous les mots de passe en clair…
C'est peut être naïf mais ça me semble mieux que directement tout laisser en clair.
[^] # Re: C'est cool mais…
Posté par Guillaume Roche (site web personnel) . Évalué à 1.
Je suis tout a fait d'accord avec toi mais de ce côté je suis dépendant de freeradius j'ai un peu les mains liées
[^] # Re: C'est cool mais…
Posté par alendroi . Évalué à 4.
Disons que pour une solution dont le nom commence par Secure, avoir les mots de passe en clair ça fait vraiment tâche. Donc juste pour ça, il n'y a aucune chance que je retienne ta solution, même si le reste est bien conçu.
Dire que vous vous n'en avez rien à faire de la vie privée parce que vous n'avez rien à cacher, c'est comme dire que vous n'en avez rien à faire de la liberté d'expression parce que vous n'avez rien à dire. Edward Snowden
[^] # Re: C'est cool mais…
Posté par Guillaume Roche (site web personnel) . Évalué à 1.
C'est toi qui vois après rien ne t'empêche de n'utiliser que des certificats pour l'authentification … du coup pas de mot de passe .
[^] # Re: C'est cool mais…
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 7.
Ouais, faut avoir très fin :D
# Site Franco-francais ?
Posté par Benjamin Zores (site web personnel) . Évalué à 2.
Avec un site franco-francais, ca va etre difficile a diffuser plus large.
Surtout avec un nom de projet qui est un acronyme anglais.
Tu me decois Guigeek ;-)
[^] # Re: Site Franco-francais ?
Posté par Guillaume Roche (site web personnel) . Évalué à 3.
C'est prévu t'inquiète, d'ailleurs le produit SNACK est multilingue (français/anglais) d'ailleurs plus anglais sur français … mais sur le site je l'ai fait tout d'abord en français parce que je savais que ce serait principalement des français qui le liraient …
Ca m'aurait étonné aussi que tu commentes pas vieux trolleur !
[^] # Re: Site Franco-francais ?
Posté par Maxime (site web personnel) . Évalué à 2.
Parlant de site, je viens de lire :
Une raison pour laquelle seul le dernier apt-get a droit à sudo et pas les autres ?
J'imagine qu'un truc du type :
serait plus simple. Et sinon, je vois de plus en plus souvent l'utilisation de gdebi qui, il me semble, gère les dépendances.
[^] # Re: Site Franco-francais ?
Posté par Guillaume Roche (site web personnel) . Évalué à 1.
oui oui ca c'est de ma faute .. en le mettant sur le site je m'étais dit que je pouvais enlever les sudo sauf que je ne les ai pas enlevés tous …;)
Merci de cette info
# c'est quoi ?
Posté par dinomasque . Évalué à 6.
Je n'ai pas trouvé dans le journal d'informations sur ce que produit le projet SNACK (on apprend tout juste le nom de quelques briques technologiques).
BeOS le faisait il y a 20 ans !
[^] # Re: c'est quoi ?
Posté par deuzene (site web personnel) . Évalué à 3.
J'hésites toujours à moinsser ce genre de journal/dépêche d'initiés, mais je trouve ça
piremoins bien qu'un journal bookmark. Ici, on nous met l'eau à la bouche sans nous dire ce qui nous allèche. Je suis frustré, et je n'aime pas ça !« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
[^] # Re: c'est quoi ?
Posté par Guillaume Roche (site web personnel) . Évalué à -10.
Perso j'hésite à lire les commentaires bourrés de fautes et qui veulent rien dire …
[^] # Re: c'est quoi ?
Posté par Anthony Jaguenaud . Évalué à 4.
Sur ton journal, il faut qu’on sache ce que c’est dans les premières lignes.
Là je me dis chouette. Et après…
Ben moi, j’aurai voulu savoir si c’est une plateforme de filtrage d’accès internet, ou un firewall pour les enfants…
Ensuite tu parles des langages utilisés, que c’est chez des clients. Mais en fait, on a pas d’information sur ce que c’est. On te demande pas le détail, mais un résumé du but poursuivi par le projet.
La dernière partie concerne la licence, puis un lien si on veut plus d’info. Le problème c’est que quand j’arrive là, si j’y arrive, je ne suis pas sûr de vouloir aller sur le site qui risque d’être aussi brouillon.
J’espère ne pas t’avoir vexé, et que tu pourras nous faire une présentation plus accessible de ton projet.
[^] # Re: c'est quoi ?
Posté par Guillaume Roche (site web personnel) . Évalué à 0.
Pas de soucis … c'est dommage que tu ne sois pas allé sur le site car si je reprends la description je pense qu'elle est plus claire :
"SNACK est une solution complète permettant à un administrateur réseau de gérer le contrôle d'accès au réseau de son entreprise. À l'aide du protocole 802.1X et du serveur Radius, tous les accès au réseau sont contrôlés et toute l'activité est enregistrée.
SNACK gère également la sauvegarde automatique et la restauration des configurations des équipements réseau, ainsi que la supervision d'un réseau.
Ces fonctionnalités sont proposées dans une interface web simple, sécurisée et intuitive. "
En fait c'est surtout la notion de radius si tu ne connais pas c'est sur que le projet n'est pas clair …
Un serveur RADIUS va te permettre d'authentifier tous les accès réseaux (filaires ou wifi) si les switchs et access point sont compatibles bien sûr .
Voilà si tu as d'autres questions, n'hésite pas !
[^] # Re: c'est quoi ?
Posté par ju (site web personnel) . Évalué à -1.
Et plutôt que d'être insultant, tu ne veux pas plutôt faire preuve d'intelligence, en soutenant quelqu'un qui a fait l'effort d'essayer de contribuer à la communauté du libre (ce qui est une épreuve, manifestement, quand on lit la sympathie de certains commentaires) ? Aide-le à améliorer ce que tu déplores, plutôt que de meugler idiotement.
# « for Kids »
Posté par Professeur Méphisto . Évalué à 2.
oui mais quel est plus précisément le public ciblé ?
J'ai vu (pas administré ni installé, juste vu) des radius pour l'accès wifi dans des internats ou CDI d'établissements scolaires et si c'est là la cible de ton projet, je pense qu'avec « les mots de passe dans la base mySQL sont en clair » tu peux le ranger sous ton chapeau. Aucun chef d'établissement sérieux ni aucun RSSI n'accepterai ça, même si j'ai aussi vu bien pire (borne wifi en open bar)
[^] # Re: « for Kids »
Posté par Guillaume Roche (site web personnel) . Évalué à 2.
Ca commence à devenir pénible d'entendre tout le temps la même chose … si les mots de passe sont en clair dans la base c'est pour freeradius, ca ne dépend pas de moi !! C'est pas un choix que j'ai fait .
N'importe quelle personne qui va vouloir sécuriser son accès wiki via freeradius en MySQL sera confronté au même problème …
J'ai bien conscience que c'est moche … A l'origine du projet c'était surtout de faire une interface fluide et friendly-user pour déployer des certificats, ensuite par principe de compatibilité vis à vis des équipements qui ne gèrent pas les certificats on a rajouté les mots de passe mais c'est juste en "secours" .
Après entre une personne qui sécurise son wifi avec un freeradius et le mots de passe en clair et une personne qui ne sécurise pas du tout son wifi … quel est le pire ?
[^] # Re: « for Kids »
Posté par NeoX . Évalué à 5.
perso j'avais monté un freeradius qui allait chercher les utilisateurs/mots de passe dans un LDAP/samba
les mots de passe sont cryptés dans le ldap, et freeradius fait ensuite son travail.
tu es sur qu'il faut que les mots de passe soit en clair dans le stockage pour que freeradius puisse les utiliser ?
[^] # Re: « for Kids »
Posté par Guillaume Roche (site web personnel) . Évalué à 2.
oui avec ldap ca a l'air d'aller si on utilise juste le bind et qu'on stocke pas tous les attributs du freeradius ds le ldap … mais cependant de ce que j'ai lu on perd la compatibilité de faire de l'EAP-TTLS qui monte tout d'abord un tunnel chiffré avec le client avant de faire l'authentification …
donc on chiffre d'un coté, mais de l'autre plus … C'est chiant tout ca :(
[^] # Re: « for Kids »
Posté par Guillaume Roche (site web personnel) . Évalué à 3.
En tout cas, je tenais à te remercier parce que parmi tous les commentaires qui ont été émis en disant "bouh les mots de passe en clair c'est moche"; chose que je savais déjà puis que je l'avais signalé directement … tu es le premier à me proposer une solution concrète et apporter quelque chose de constructif au problème et pour ca MERCI !!
[^] # Re: « for Kids »
Posté par claudex . Évalué à 3.
Alors, je suis désolé, je croyais que c'est solution était connue pour toi depuis le début puisque qu'elle est citée dans le lien que tu as donné précédemment. Et tu n'es pas obligé d'utiliser LDAP, tu peux stocker chiffré dans MySQL, tant que tu te limite au PAP.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: « for Kids »
Posté par Guillaume Roche (site web personnel) . Évalué à 1.
Certes mais PAP c'est quand même pas top …
Pour le LDAP, j'ai vu cette solution un peu trop tard par rapport à l'avancé du projet …
[^] # Re: « for Kids »
Posté par Guillaume Roche (site web personnel) . Évalué à 3.
C'est bien ce qui me semblait avec le protocole PAP le mot de passe est envoyé en clair … alors chiffrer la base de données alors que le mot de passe est envoyé en clair disons que je préfère encore quand la base de données est en clair :p
[^] # Re: « for Kids »
Posté par Katyucha (site web personnel) . Évalué à 4.
Alors, soit il y a un probleme de configuration (je ne connais pas FreeRadius), soit ce n'est pas la bonne solution. On te donne notre avis, et oui, ca choque cette différence entre sécurité et mdp en clair …
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.