PrÃ©sentation de RADIUS, EAP et FreeRADIUS - 3Ã¨me partie

More documents

Recommendations

Info

Méthodes sûres Si un pirate a accès aux échanges entre le NAS et le serveur RADIUS, alors non seulement il a accès aux informations non chiffrées des paquets RADIUS, mais il peut aller plus loin, selon la méthode utilisée : • La méthode PAP est la moins sûre de toutes, car elle est vulnérable à une attaque de dictionnaire hors-ligne et elle est également vulnérable à une attaque de redite ➡ Attaque de dictionnaire hors ligne : un pirate saisit un mot de passe quelconque, et capte l’échange RADIUS qui en résulte, puis hors connexion, il essaie des millions de secrets RADIUS jusqu’à trouver celui qui produit le même mot de passe chiffré. Il connait alors le secret RADIUS et peu déchiffrer tous les mots de passe suivants. ➡ Attaque de redite (replay) : le pirate capte un échange RADIUS réussi et le répète ultérieurement. Il parvient à se connecter avec l’identité d’un autre utilisateur (sans connaître son mot de passe). mercredi 19 janvier 2011
Méthodes sûres • La méthode CHAP est également vulnérable aux attaques de redite et aux attaques de dictionnaire hors ligne. Toutefois, lorsque le pirate est parvenu à trouver le secret RADIUS, il ne peut que déchiffrer les mots de passe des utilisateurs qui s’authentifient avec la méthode PAP (ainsi que les autres attributs chiffrés avec le secret RADIUS). • La méthode EAP/MD5 a les mêmes vulnérabilités que la méthode CHAP. • Les méthodes qui reposent sur un tunnel TLS sont invulnérables à la fois aux attaques de dictionnaire hors ligne et aux attaques de redite : elles sont donc beaucoup plus sûres. • Leur seul inconvénient est qu’elles exigent que l’utilisateur vérifie le certificat du serveur... et tous les utilisateurs ne le font pas. Utilisez de préférence une méthode PEAP ou TTLS mercredi 19 janvier 2011
Page 1 and 2:
freeRADIUS Serveur RADIUS libre, pe
Page 3 and 4: Organisation • La configuration s
Page 5 and 6: Dictionnaire RADIUS • Rappel : le
Page 7 and 8: Dictionnaire RADIUS • Voici pour
Page 9 and 10: Dictionnaire RADIUS • Enfin, dans
Page 11 and 12: Syntaxe de la config • Le fichier
Page 13 and 14: Les variables • Les valeurs des v
Page 15 and 16: adiusd.conf • Voici le début du
Page 17 and 18: Sections listen • Options possibl
Page 19 and 20: adiusd.conf (suite) # ... hostname_
Page 21 and 22: clients.conf • Config de tous les
Page 23 and 24: Traitement des requêtes Liste d’
Page 25 and 26: Listes internes d’attributs Reche
Page 27 and 28: Module preprocess Recherche NAS par
Page 29 and 30: Un instant ! Les modules files et p
Page 31 and 32: Parcours du fichier users • Le fi
Page 33 and 34: Format des opérations • Pour raj
Page 35 and 36: Le login DEFAULT • Si l’on écr
Page 37 and 38: Substitutions dynamiques • Certai
Page 39 and 40: Les hints • Le module preprocess
Page 41 and 42: Module files Recherche NAS par IP r
Page 43 and 44: Module pap Recherche NAS par IP req
Page 45 and 46: Authentification Recherche NAS + an
Page 47 and 48: Réponse ! Recherche NAS + analyse
Page 49 and 50: Vérification du mot de passe • S
Page 51 and 52: Stockage du mot de passe • Dans l
Page 53: Tableau de compatibilité • Le ta
Page 57 and 58: Tableau de compatibilité • Révi
Page 59 and 60: mercredi 19 janvier 2011 Priorité
Page 61 and 62: Modifier les priorités • Dans ce
Page 63 and 64: Priorités du groupe • On peut é
Page 65 and 66: Répartion de charge • Pour répa
Page 67 and 68: Le «langage» unlang • Le langag
Page 69 and 70: Le «langage» unlang • Par défa
Page 71 and 72: Le «langage» unlang • On peut e
Page 73 and 74: policy.conf • Si l’on pense uti
Page 75 and 76: Politique par défaut • La politi
Page 77 and 78: Autres sections de modules • Si u
Page 79 and 80: Autres sections de modules Et enfin
Page 81 and 82: Serveurs virtuels • On peut ainsi
Page 85 and 86: Configuration des modules • Exemp
Page 87 and 88: Configuration des modules • La co
Page 89 and 90: Instanciation des modules • Lorsq
Page 91 and 92: Modules virtuels • Si on définit
Page 93 and 94: CoA depuis freeRADIUS • Bien que
Page 97 and 98: Identifier le realm • La premièr
Page 99 and 100: proxy.conf • Le coeur de la confi
Page 101 and 102: proxy.conf proxy server { auth ou a
Page 103 and 104: templates.conf • Les paramètres
Page 105 and 106:
proxy.conf • Voici la suite (et f
Page 107 and 108:
Autres types de pools Dans notre ex
Page 109 and 110:
Home-Server virtuel • Si on omet
Page 111 and 112:
Filtrer les attributs • Dans un c
Page 113 and 114:
mercredi 19 janvier 2011 Le fichier
Page 115 and 116:
Ouf ! Vous savez tout sur la config
show all

PrÃ©sentation de RADIUS, EAP et FreeRADIUS - 3Ã¨me partie

Create successful ePaper yourself

Delete template?

Save as template?