talweg, solution de portail captif

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
24
mar.
2005
Internet
Si vous souhaitez partager un accès internet, la principale difficulté réside dans l'authentification. C'est d'autant plus vrai dans le cadre des réseaux sans-fils support ouvert à toutes les indiscrétions. Il existe des solutions liées à la technologie WiFi. Ces solutions, bien que fiables pour les plus récentes, peuvent être délicates à mettre en place. En effet, l'hétérogénéité du matériel dont disposent les clients ne permet pas toujours le déploiement des dernières technologies. De plus le nombre potentiel d'utilisateurs peut être très élevé, ce qui interdit les manipulations sur les clients faute de quoi le besoin en support pourrait devenir considérable.

Pour remédier à ce problème sont apparus les portails captifs. Avec ce type de système un utilisateur qui se connecte au réseau pour la première fois est dirigé (capté) vers une page d'authentification. Une fois authentifié le système autorise l'accès au réseau. Parmi ces logiciels on peut citer NoCat, chiliSpot et monoWall.

L'inconvénient de ces solutions est qu'elles autorisent l'accès en fonction de critères (adresse IP, adresse MAC) qui sont facilement imitables. Alors on peut imaginer qu'une personne mal intentionnée puisse usurper l'identité d'un utilisateur du réseau. Fort de ce constat, une nouvelle solution de portail captif a été développé à l'université de Metz : talweg.

Cette solution est basée sur des mécanismes de sécurité éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les transmissions entre le client et la passerelle sont chiffrées. L'identité d'un utilisateur ne peut être usurpée.

Ce logiciel en licence GPL est disponible dans sa première version et tout retour sera apprécié.

bon test !

Aller plus loin

  • # Bravo

    Posté par  (site web personnel) . Évalué à 6.

    Super documentation ça donne envie d'essayer.

    Je sais pas si vous vous 'amusez' avec le wifi, lorsque je peux, j'essaye de tromper (sans spoofing et ni crackage de clefs) les bornes d'accès wifi 'payante'. Je déplore beaucoup trop de réussite (en plus que les communications ne soient pas crypté par WPA)
    (Modification des serveurs dns, utisation d'un proxy, ..., changement de masque réseau...)

    Cependant à mon université, une borne de paiment permettait après paiement bancaire, d'avoir une clef WPA, et ainsi de surfer en sécurité.
    (Je me souviens plus si le paiement était lié au traffic ou au temps mais ca restait trop cher :( (au café (Union) de l'univ)

    Ca mérite d'être regarder de plus prêt :)

    NB: La classe c'est d'arriver (client) dans une entreprise, et de pouvoir surfer sur un intranet clientèle..

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

    • [^] # Re: Bravo

      Posté par  (site web personnel) . Évalué à 1.

      Je te rappele que cette technique est assimilée à du piratage...

      Donc j'ai un client demande comment faire avant de 'se connecter'
      c'est plus prudent

      Mais il y a certaines personnes en clientèle qui ne comprenne pas pourquoi l'on a besoin d'un accès internet!
      Sûrement à cause des moules sur la plage de la tribune?
      :))

      • [^] # Re: Bravo

        Posté par  (site web personnel) . Évalué à 2.

        Donc dans le cas de l'aéroport.. SANS AUCUNE MODIFICATION... juste iwconfig pour se mettre sur l'ap .. la requete DHCP, j'avais accès a linuxfr en httpS. Est-ce illégal ? je pouvais aussi pinguer google.

        Dans le genre je configure en fermant les yeux.. Un acces (non wifi) dans un autre endroit sous windows était mal configuer, en parcourant leur aidant, un simple CTRL+N permettait d'ouvrir un ie sans aucune restriction.. Bon je dis ca mais dans leur bonté extreme le processus etait killer toutes les minutes enfin quoi qu'il en soit j'ai pas essayer de lancer d'application ou autre chose (je suis rester tres gentil)


        La chose qui m'à choqué dans le premier cas c'est le lieu. En effet je m'attendait au moins a avoir un accès SECURISE. Des hommes d'affaires et autre doivent utilisé ce genre de service, et peut etre meme gratuit via l'opérateur de ton vol pour une classe affaire (enfin je dis ca mais j'ai pas vérifié). Après on s'est tous ce qu'il en ai .. y'a pas besoin d'etre a 3 mètre du gars pour l'espionner.

        De la part de la société qui a concu l'accès wifi j'appel plutôt ca de la faute professionnel. Enfin c'est ce que j'en pense.
        Dans ce cas là peut on dire que je suis vraiment coupable ?
        Enfin j'ai pas triché j'ai juste ouvert les yeux ^^.

        Bon le plus inquiétant c pas ma petite astuce .. c'est qu'il n'y ai pas eu d'audit sérieuse sur le systême ...

        http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

    • [^] # Re: Bravo

      Posté par  (site web personnel) . Évalué à 2.

      A titre purement documentaire et informatif, c'est quoi les methodes pour tromper ces bornes d'acces wifi ?

      C'est monte comment leur systeme ?

      • [^] # Re: Bravo

        Posté par  (site web personnel) . Évalué à 1.

        tout dépend de l'environnement et du sérieux du réseau. voir plus haut ^^

        http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # CAS ?

    Posté par  . Évalué à 5.

    Ce truc me semble genial et tellement plus simple a mettre en place que chillispot ou autre.

    Mais il y a un truc sur lequel j'ai du mal a trouvé des infos, c'est bien entendu CAS auquel on peut se connecter avec talweg::cas_auth.

    J'ai cherché (tres) rapidement sur google des infos sur comment mettre un server cas mais yavait pas grand chose a ce propos .. . .

    Qu'est-ce que c'est exactement ? est-ce que ca peut s'interfacer avec un radius ?

    A psf nous (ils? :) avons mis en place un radius avec toutes les personnes inscrites sur la carte ( http://paris-sansfil.fr/CartePSF2004(...) ) pour pouvoir utiliser ces infos avec un portail captif justement. Il serait assez sympa de pouvoir utiliser celui la.

    Je suppose que coder un talweg::radius_auth ne doit pas etre tres compliqué non plus, mais ce CAS m'intrigue :)

    • [^] # Re: CAS ?

      Posté par  (site web personnel) . Évalué à 4.

      une merde que toutes les universités doivent utiliser pour authentifier les utilisateurs sur le web.
      c'est developpé par une univertité americaine, en opensource, sur un modele de kerberos, mais c'est uniquement limité aux appli web.

      • [^] # Re: CAS ?

        Posté par  (site web personnel) . Évalué à 2.

        "toutes", non, ici on fait du VPN cisco sur le wifi, licence payée par l'université et on doit s'identifier avec notre login/mdp personnel du centre de ressources informatiques de l'univ à chaque connexion VPN... sinon on n'est pas routé vers l'internet. Je pense que ca pose 2 pbs : le VPN utilise TCP sur wifi, je ne sais pas si c'est super efficace quand un nombre non négligeable de paquets sont pommés, les déconnexions du VPN sont fréquentes pour un signal faible... et puis les plantages de l'hote-routeur VPN Cisco... (ou du client !!)

        dans une autre université pour le réseau filaire (libre-plug) on avait un blocage au niveau proxy, mais rien ne passait (et pas seulement port 80), il fallait son compte de l'univ ou le compte d'un responsable pour enregistrer une fois pour toutes son ordi (adresse MAC). Il me semble que c'était une solution home-made, qui pose les pbs de spoofing (tellement simple de récupérer une adresse MAC puis de la spoofer... à la demande je peux faire une astuce si qqun est intéressé)

        • [^] # Re: CAS ?

          Posté par  . Évalué à 2.

          L'utilisation de VPN et de captive portal n'est pas du tout la meme.

          Avec un VPN, l'utilisateur est considéré _dans_ le réseau hote (en tout cas, c'est fait pour ca). Pour info la solution mise en place par cisco est assez lourde: C'est de l'IP sur du PPP sur du L2TP sur de l'IPSec sur de l'IP... C'est transaprant à l'utilisation, mais c'est ca qui se passe dessous :).

          Avec un captive portal tu authorises qqn a se connecter a ton réseau (en général en le mettant ds un vlan spécial invité), après authentification. Un produit très utilisé est Nocatauth. Chez nous le portail captif (propriétaire et fourni avec la passerelle wifi) va faire des requètes sur un serveur ldap.

          Par contre je cherche, mais je ne trouve pas où la personne qui a fait la première réponse a trouvé la référence à l'auth sur un serveur CAS... :-/

          Pour finir, il est évident que le but d'un portail captif est de faire en sorte qu'un utilisateur s'authentifie (je veux dire vraiment, pas avec l'adresse MAC de son portable). Mais je ne trouve aucune ref à cette partie sur le site.

    • [^] # Re: CAS ?

      Posté par  . Évalué à 3.

      CAS est un système d'authentification qui permet de faire du SSO. En gros tu t'authentifies une fois en envoyant ton login/passwd et toutes les applis capables de gérer une authentification de type CAS ne te demanderont pas ton mot de passe.
      Le principe est très sympa. La limitation est que ca fonctionne essentiellement pour les applis web, et donc c'est surtout utilisé pour les bureaux virtuels.

      Par exemple tu accèdes a un portail ou tu t'authentifies, et tu as ensuite acces a ton webmail, un phpBB, webcalendar, webdav(?), etc sans avoir a te réauthentifier.

  • # Fonctionnement hors HTTP, HTTPS ?

    Posté par  (site web personnel) . Évalué à 2.

    Sur le site de talweg, la page :
    http://sourcesup.cru.fr/talweg/about.php
    explique brièvement le fonctionnement, mais s'arrête à l'interception des paquets HTTP,HTTPS.

    Je me demande donc quel est la suite du mécanisme, par exemple : comment se passe l'ouverture d'une session ssh (suis perdu sans ça ;-) une fois authentifié ...

  • # Petite question

    Posté par  . Évalué à 3.

    > L'inconvénient de ces solutions est qu'elles autorisent l'accès en fonction de critères (adresse IP, adresse MAC) qui sont facilement imitables.

    > Cette solution est basée sur des mécanismes de sécurité éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les transmissions entre le client et la passerelle sont cryptées. L'identité d'un utilisateur ne peut être usurpée.

    J'avoue, je n'ai pas lu la doc sur le site de talweg, mais je ne vois pas l'apport en sécurité ici : un utilisateur peut toujours prendre le couple @IP @MAC d'une personne identifiée. Le login/mdp n'est pas révelé mais les connexions sauvages ne sont pas interdites...

    • [^] # Re: Petite question

      Posté par  (site web personnel) . Évalué à 9.

      C'est-à-dire que certaines personnes (peut-être même trop) pensent que, comme l'adresse MAC est matériellement fixée sur la carte et unique au monde, elle est infalsifiable...

      Elles oublient que ce n'est pas la carte qui gère les paquets mais l'OS qui recopie cette adresse dans les paquets, et que cette adresse est dans une cache mémoire modifiable, qui va récupérer sa valeur au démarrage du système auprès de la carte.

      Un petit coup d'ifconfig suffit à changer cette valeur dans la cache...

      ifconfig eth0 down
      ifconfig eth0 hw ether 01:23:45:67:89:ab
      ifconfig eth0 up
      /etc/init.d/networking restart

      avec 01:23:45:67:89:ab l'adresse MAC que vous voulez spoofer (comme toujours vous êtes responsables de votre utilisation de cette commande, à défaut de l'utiliser à des fins légales, utilisez-la à des fins morales !)

      • [^] # Re: Petite question

        Posté par  . Évalué à 3.

        pour l'envoie des paquets oui, mais certaines font du filtrage des paquets entrant en hardware, mais soit on peut modifier les adresses filtrees grace au driver, soit il suffit de passer en mode promiscuous...

      • [^] # Re: Petite question

        Posté par  (site web personnel) . Évalué à 2.

        > Un petit coup d'ifconfig suffit à changer cette valeur dans la cache...

        Une autre solution est d'installer macchanger qui permet en outre de récupérer la liste des octets réservés au vendeur. Il est impressionnant de constater qu'en quelques années cette liste est passée de plusieurs dizaines à plusieurs milliers.

  • # Usurpation d'identité

    Posté par  . Évalué à 6.

    Attention : on dit plutôt "pallier ce problème" (deux 'l' et construction directe préférée).

    La news est très intéressante.
    En revanche j'ai du mal à voir pourquoi le fait de passer par du SSL permettrait d'empêcher une usurpation d'identité. A la première connexion d'un poste, il faut bien lui faire confiance, j'imagine ? Bon le problème vient très certainement de mon manque de connaissance de SSL !

    • [^] # Re: Usurpation d'identité

      Posté par  . Évalué à 3.

      Tu peux entrer à l'avance les certificats des clients sur le serveur et dire à apache SSL de les inspecter quand un client se connecte. C'est un peu plus lourd mais ça évite de façon sûre l'usurpation d'identité.

      • [^] # Re: Usurpation d'identité

        Posté par  (site web personnel) . Évalué à 3.

        talweg est-il une sorte de proxy authentifiant http https permettant de s'assurer de l'indentité des personnes surfant depuis un réseau Wifi ?
        --
        Regit qui a du mal à voir quel champ couvre cette application

  • # Relecture, lassitude, tout ça

    Posté par  . Évalué à 0.

    1. on pallie un problème ;
    2. un palliatif n'est pas une solution.

    Vous ne trouvez pas préférable de connaître le sens d'un mot avant de l'utiliser ? Ça évite de dire des bêtises...

  • # SSL lors de l'authentification seulement ou durant toute la connection ?

    Posté par  . Évalué à 1.

    Si je comprend bien le chiffrement SSL ne couvre pas seulement la phase d'authentification mais aussi toute la connection "Internet" qui en résulte ?
    Quid des performances de cette approche dans le cas de réseau WIFI ?
    Ce programme peut-il tourner sur des vielles bécanes au niveau de la passerelle (genre pentium 75) ?
    Merci
    Libretto

  • # comment ca marche ?

    Posté par  . Évalué à 6.

    vous trouverez un peu plus d'infos sur le fonctionnement ici : http://www.crium.univ-metz.fr/reseau/talweg/(...) .

  • # Et pour de l'embarqué ?

    Posté par  . Évalué à 2.

    Talweg à l'air très prometteur, malheureusement il n'est pas embarquable dans des routeurs comme les WRT54G/GS et compatibles openwrt par exemple, là où chillispot et nocatsplash le sont.

    • [^] # Re: Et pour de l'embarqué ?

      Posté par  . Évalué à 2.

      Un oublie dans la liste des portails captifs pour systèmes embarqués est Wifidog. Il est utilisé pour une trentaine de hotspots (WRT54G avec OpenWRT) sur le réseau d'Île Sans Fil à Montréal.

      Wifidog a été designé pour fontionner sur des platformes embarquées (ou tout autres GNU/Linux) en prenant le moins de ressources possibles (espace disque et processeur). Il fonctionne avec model client / serveur, le client est écrit en C et modifie les règles du firewall lorsque l'usager est authentifié. Toute la logique et l'authentification se font du coté serveur qui lui est écrit en PHP connecté avec une base de données.

      Jettez-y un coup d'oeil !!! (je suis dans les développeurs)

      Site de Wifidog : http://www.ilesansfil.org/wiki/WiFiDog(...) (Doc en réécriture (Fr/En) et portail à venir)
      Site de Île Sans Fil : http://www.ilesansfil.org(...)
      Serveur d'authentification présentement en service :http://auth.ilesansfil.org(...)

      Vos commentaires et questions sont les bienvenues

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.