Projet

PacketTracer en
Labo, et
Authentification
Wi-Fi Serveur
RADUIS (NPS)

23 novembre

2012

Dans ce document nous allons utiliser le Labo Cisco qui est notre
disposition, ce texte peut servir de support daide ou bien de tutoriel. Il
constituera une base dtude des rseaux informatiques, tout en restant
dans le cadre des conditions imposes au cours du TP.

SISR4 TP n
7

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)

Sommaire
I.

Introduction..................................................................................................................................... 3

II.

PacketTracer .................................................................................................................................... 5

III.

Situation Labo .............................................................................................................................. 5

1.

Prsentation, Prparation ........................................................................................................... 5

2.

Configuration Infrastructure Rseau ........................................................................................... 5

a.

Commutateur(s)/Switch(s) ...................................................................................................... 5

b.

Routeur .................................................................................................................................. 10

3.

Point daccs Wi-Fi .................................................................................................................... 11

c.

Mot de passe daccs configuration...................................................................................... 11

d.

Adresse IP rseau local .......................................................................................................... 11

e.

DHCP ...................................................................................................................................... 11

f.

Section Wireless .................................................................................................................... 11

4.

Le Serveur RADIUS..................................................................................................................... 12
g.

Introduction........................................................................................................................... 12

h.

Configuration du serveur NPS (Network Policy Server) ........................................................ 13

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
I.

Introduction

Ci-dessus le contexte technique de cette prsentation, la suite du document prsente les

diffrents aspects technique dun contexte que lon rencontre invitablement en entreprise. Il est
vrai quauparavant et mme aujourdhui, des entreprises ne sintressent pas laspect
administration et mise en place dune infrastructure rseau structur, nanmoins cela reste trs rare,
mais toujours dactualit.
Elle comporte une faille de scurit extrmement critique et comme je lai dit totalement
nglige, cest pourquoi il est ncessaire de bien matriser ces notions, cest la base de tous
infrastructure rseau, les notions de VLANs, et dauthentification RADIUS (abord plus loin) font
partie intgrante de la scurit rseau. De nombreux outils soffrent nous en effet ; dans notre
exemple je pourrais galement aborder le thme trs rapidement de PacketTracer, sachez quil sagit
dun outil trs puissant, il offre une vision de prparation de maquettage trs confortable.
Cest notre cas, avant de procder cette installation nous allons tudier le fonctionnement
sur PacketTracer, une fois finie, lutilisation du Labo pourra commencer, vous allez pouvoir
constater que mme si lexemple est fait sous PacketTracer, il existe quelques diffrences en

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
situation rel qui peuvent vite vous mettre dans une position dlicate, je vous expliquerais plus tard
ces aspects l.
Certes notre exemple comporte principalement du matriels Cisco les commandes vous
prsenterons la philosophie Cisco mais sachez quen ralit la plupart des constructeurs
saccordent plus ou moins, avec quelques particularits videment ; dites vous bien que chaque
constructeur ne rinventent pas le monde du rseau informatique chaque nouvelles sries de
Switch, routeur, ou tous autres matriel, et je dirais mme plus que lutilisation dune doc nest pas
indispensable, seulement que dans certains cas, et ne ncessite pas un rel intrt pour un
technicien rseau avertie.
Vous comprendrez plus tard pourquoi. Le schma ci-dessus peut galement voluer suivant
les situations je veux parler des postes informatiques, en dautres termes la simulation de clients, PC
portable, OS, Smartphone, PC fixe, serveurs, les adresses IP galement, ils sont titre indicatif
reprsente le contexte prsent lors des tests, ce nest pas un point capital dans notre cas,
lassimilation des points techniques sont plus important.

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
II.

PacketTracer

Pour rcuprer PacketTracer, il faut tre tudiant Netacad, ainsi que pour utiliser les TPs, si cest
le cas, rcuprer le fichier exo_linksys.pka. Passez le test.

III.

Situation Labo

1. Prsentation, Prparation
La premire chose faire avant toutes choses, et avant mme de brancher quoi que ce soit, cest
de vous munir dune feuille de papier, dun crayon papier, ainsi que de stabilos fluo . Cette tape
consiste faire un schma basique et de faon concis incorporant chacun des lments de la
structure que vous allez faire, ainsi que des diffrentes configurations appliquer chacun des
lments actifs et postes utilisateurs. Elle peut paratre fastidieuses mais cest une base capitale est
fortement conseill voire obligatoire.
Dans notre cas vous vous rendrez compte trs vite que lon a vite fait doublier ce que lon dj
fait ce que lon a pas fait, imaginer la mme situation avec une infrastructure 3 4 fois plus grande,
vous arriverez rellement retenir chacun des paramtres que vous avez appliqu sur tous vos
lments ? Et jinsiste sur le faites dutiliser un support papier plutt quun support numrique pour
une question pratique. Notez les adresses IP les ports, et identifiez les VLANs laide de couleurs ;
faites par exemple un tableau en plus de votre schma (un tableau Excel ici lutilit dutiliser une
feuille de papier nest pas ncessairement fondamentale ; vous de juger).

2. Configuration Infrastructure Rseau

a. Commutateur(s)/Switch(s)
Une fois cette premire tape termine, passons la partie technique, nous allons configurer
notre Switch.

Sur le panneau arrire on branche le cble console jusquau port com. du PC, Cisco utilise
un cble propritaire.
Une fois branch, lancez votre console Putty ou Hyperterminal par
exemple.

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
Nous Allons donc crer nos VLANs :
-

VLAN 4 (Wi-Fi)
VLAN 2
VLAN 3
VLAN 183 (Administration)

Ainsi que notre port Trunk , chez Cisco la notion de Trunk signifie Tagged (norme
802.1Q), chez les autres constructeurs il sagit dun lien dagrgation. Utilisez le ? aprs chaque
commande afin de voir les options disponible chaque tapes de la construction de votre
commande.
Cration de VLANs :
SW1>en
SW1#conf t
Enter configuration commands, one per line.

End with CNTL/Z.

SW1(config)#vlan 183

SW1(config-if)#no shut
SW1(config-vlan)#exit
SW1(config)#exit
SW1#write
Building configuration...
[OK]

Affectation de Ports au VLANs :

SW1#conf t
Enter configuration commands, one per line.
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#switchport access vlan 183
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#exit
SW1#write
Building configuration...
[OK]

End with CNTL/Z.

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
Port Trunk :
SW1#conf t
SW1(config)#interface fastEthernet 0/10
SW1(config-if)#switchport trunk allowed vlan all
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#exit
SW1#write

Affectation Adresse IP VLAN 183 (Utile pour la prise en main Telnet) :

SW1#conf t
Enter configuration commands, one per line.

End with CNTL/Z.

SW1(config)#interface vlan 183

%LINK-5-CHANGED: Interface Vlan183, changed state to up
SW1(config-if)#ip address 183.174.220.111 255.255.0.0
SW1(config-if)# no shut
SW1(config-if)#exit
SW1(config)#exit
%SYS-5-CONFIG_I: Configured from console by console
SW1# write
Building configuration...
[OK]

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
Pensez faire une commande show afin de vrifier vos diffrentes configurations ci-dessous
les VLANs.
SW1#show vlan

VLAN Name

Status Ports

---- -------------------------------- --------- ------------------------------1 default

active Fa0/1, Fa0/5, Fa0/6, Fa0/7

Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Gi0/1, Gi0/2

2 VLAN0002

active Fa0/2

3 VLAN0003

active Fa0/3

4 VLAN0004

active Fa0/4

183 VLAN0183

SW1#show conf
interface FastEthernet0/2
switchport access vlan 2
!
interface FastEthernet0/3
switchport access vlan 3
!
interface FastEthernet0/24
switchport access vlan 183
interface Vlan1
no ip address
shutdown
!
interface Vlan183

active Fa0/24

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
ip address 183.174.220.111 255.255.0.0
!
line con 0
password password
login
line vty 0 4
password password
login
line vty 5 15
password password
login
!
end
En vert il sagit de la configuration des droits daccs, cest une stratgie de scurit dfinie
avec des mots de passe, elle est utile pour configurer le Telnet.
Mot de passe :
Enter configuration commands, one per line.
SW1(config)#line con 0
SW1(config-line)#

End with CNTL/Z.

SW1(config-line)#password password
SW1(config-line)#login
SW1(config-line)#end
SW1#
%SYS-5-CONFIG_I: Configured from console by console

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
b. Routeur
Pour le routeur nous allons configurer galement la partie Telnet , ainsi que linterface
Gigabits (g0/0) et ses sous interfaces.
Affection des adresses IP aux sous-interfaces :
R1>en
Router#conf t
Enter configuration commands, one per line.

End with CNTL/Z.

R1(config)#interface gigabitEthernet 0/0.1

R1(config-subif)#ip address 192.168.2.1 255.255.255.0
R1(config-subif)#exit
R1(config)#exit
R1#
%SYS-5-CONFIG_I: Configured from console by console
R1#write
Building configuration...
[OK]

Pour dfinir accder une sous interface il ssuffit de spcifier linterface de base 0/0 ou bien
0/1 par exemple, suivie dun point et du numro de linterface logique.
Dfinition de lencapsulation :
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#no shutdown

Lorsque vous configurer lencapsulation dot1Q (802.1Q) spcifier pour cette sous-interface
quel ID VLAN elle correspondant, dans lexemple prsent ci-dessus, il sagit de ladresse IP
192.168.2.1 donc du VLAN 2 , notez donc 2 au VLAN ID.

10

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
3. Point daccs Wi-Fi
Pour que les poste sans fils puissent fonctionner il faut configurer notre point daccs, nous
avons notre disposition un Routeur-Switch Wi-Fi Cisco, nous passerons par linterface WEB.
c. Mot de passe daccs configuration

d. Adresse IP rseau local

e. DHCP
Utiliser soit un DHCP server, ou soit le DHCP intgr votre Routeur-Switch Wi-Fi.
f.

11

Section Wireless

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)

4. Le Serveur RADIUS
g. Introduction
Network Policy Server (NPS) peut tre utilis comme serveur RADIUS (Remote Authentication
Dial-In User Service) afin deffectuer lauthentification, lautorisation et la gestion des clients RADIUS.
Un client RADIUS peut tre un serveur daccs, tel quun serveur daccs distance ou un point
daccs sans fil, ou un proxy RADIUS. Lorsque NPS est utilis en tant que serveur RADIUS, il fournit les
services suivants :

Un service dauthentification et dautorisation central pour toutes les demandes de

connexion
envoyes
par
des
clients
RADIUS.
NPS utilise un domaine Microsoft Windows NT Server 4.0, un domaine des services de
domaine Active Directory (AD DS) ou la base de donnes de comptes dutilisateurs SAM
(Security Accounts Manager) locale afin dauthentifier les informations didentification des
utilisateurs pour les tentatives de connexion. NPE utilise les proprits de numrotation du
compte dutilisateur et des stratgies rseau pour autoriser une connexion.

Un service denregistrement de gestion central pour toutes les demandes de gestion

envoyes
par
des
clients
RADIUS.
Les demandes de gestion sont stockes dans un fichier journal local ou dans une base de
donnes Microsoft SQL Server des fins danalyse.

12

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
Lillustration suivante montre NPS en tant que serveur RADIUS pour diffrents clients daccs, ainsi
quun proxy RADIUS. NPS utilise un domaine AD DS pour lauthentification des informations
didentification utilisateur des messages de demande daccs RADIUS entrants.

h. Configuration du serveur NPS (Network Policy Server)

i.

Installation des rles

Il est ncessaire dinstaller le rle IIS afin dobtenir un certificat pour que le serveur puisse
rpondre au requte RADIUS, nous allons donc installer le rle Services de Stratgie dAccs
Rseau , et IIS. Dans lAssistant dAjout de rles Slectionnez les rles correspondant.

Pour les services de Rle IIS laissez tous par dfaut, du moins pour la prsentation actuel, si
vous avez besoin dautres services slectionnez les, le certificat dans le rle IIS est intgr de base,
cest une fonctionnalit obligatoire. Pour le NPS slectionnez Serveur NPS ,

13

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)

Les rles sinstallent maintenant.

On peut constater la fin de linstallation dans la partie scurit la notion de certificat est ici
prsent.

ii.

Le Certificat

Donc dans un premier crons un certificat, ce certificat que nous allons nous auto-sign,
puisque cest le seul moyen den obtenir un, effectivement il existe dautre faon den obtenir un,
ceci
dpend
encore
une
fois
du
contexte
dinstallation.
Cliquez
sur
dans les outils dadministration, slectionnez le serveur =>
dans le partie IIS => certificat de serveur => et faites clique droit au milieu de la fentre pour crer un
certificat auto-sign. Vous obtiendrez normalement ceci :

Dans la recherche de programme de programme tapez mmc .

Ici vous allez pouvoir visualiser aussi votre certificat dans cette console mmc .
Qu'est-ce que MMC ?
MMC est une application MDI (interface multi-document) Windows qui utilise de faon
intensive les technologies Internet. Microsoft et les diteurs de logiciels indpendants tendent les

14

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
capacits de cette console en crivant des composants logiciels enfichables MMC qui se chargent des
tches de gestion.
Les interfaces de programmation MMC permettent l'intgration de ces composants dans la
console. Ces interfaces portent uniquement sur les extensions d'IU (interface utilisateur) ; chaque
composant logiciel enfichable est entirement responsable de la mthode utilise pour excuter les
tches. La relation composant logiciel enfichable / console consiste partager un environnement
d'hbergement commun, ainsi qu'une intgration multi applications. La console mme n'offre pas de
fonctions de gestion. Les composants logiciels enfichables y rsident ; ils ne s'excutent pas de
manire autonome.
Microsoft et les diteurs de logiciels indpendants peuvent dvelopper des outils de gestion
excutables dans MMC, ou encore crire des applications qui seront gres par des outils
d'administration MMC. Composante part entire du Kit de dveloppement logiciel (SDK) de la
plate-forme Microsoft, MMC est disponible pour un usage gnral. Pour plus d'informations sur ce
kit, rendez-vous sur le site Web.
Faites donc Fichier =>
procdure Certificat.
iii.

=> et fait la

Configuration 802.1X

Le gestionnaire NPS offre une premire mise en route, cliquez sur

et

dans

la

fentre

suivante,

slectionnez,

et attribuez y un nom. Crez maintenait un client RADIUS, type de mthode dauthentification,

Votre configuration Maintenant termin, vous pouvez y accder tout, moment le Tree
View , gauche vous permet de visualiser vos stratgies, client RADIUS, et tous autres options.

15

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)

Vous pouvez aussi configurer de nouvelle stratgie, attention lors de lauthentification,

spcifiez, le bon protocole dauthentification, ici PEAP, regardez le plus adapt votre situation, et
attribuez y un Certificat .

16

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
iv.

Test de Connectivit

Avant de vous prsenter la procdure de connexion et les changes de trames entre client e
serveur, je vais vous prsenter le fonctionnement de RADIUS. Qui demande quoi Qui ?
Rappelons que dans notre cas prsent nous somme en Wi-Fi, premier point important
retenir est que le client Wi-Fi est diffrence du client RADIUS, le client RADIUS est la borne Wi-Fi
cest donc lui qui vas faire la demande dauthentification au serveur, non pas le Smartphone, ni le PC
portable, ou tous autres quipement rseaux.

Protocole RADIUS

Ce sujet n'a pas encore t valu

RADIUS est un protocole standard dcrit dans la demande de l'Internet Engineering Task
Force (IETF) for Comments (RFC) 2865, Remote Authentication Dial-in User Service (RADIUS) et
RFC 2866, RADIUS Accounting . RADIUS est utilis pour fournir des services de comptabilit,
l'autorisation et d'authentification.
Lors de la connexion rseau tentative par un ordinateur client ou tout autre priphrique, un
client RADIUS, tel qu'un serveur de rseau priv virtuel (VPN) ou d'un accs sans fil point, envoie
informations d'identification utilisateur et des informations sur les paramtres de connexion sous la
forme d'un message RADIUS un serveur RADIUS. Le serveur RADIUS authentifie et autorise la
demande du client RADIUS et renverra un message de rponse RADIUS. Clients RADIUS envoient
galement des messages de comptabilisation RADIUS aux serveurs RADIUS. En outre, les normes
RADIUS prennent en charge l'utilisation de proxy RADIUS. Un proxy RADIUS est un ordinateur qui
transfre les messages RADIUS entre les ordinateurs compatibles RADIUS.
Important
Les ordinateurs clients, tels que les ordinateurs portables sans fil et d'autres ordinateurs excutant
des systmes d'exploitation client, ne sont pas des clients RADIUS. Clients RADIUS sont des serveurs
d'accs rseau telles que les points d'accs sans fil, les commutateurs 802. 1 X, les serveurs de
rseau priv virtuel (VPN) et les serveurs d'accs distant, car ils utilisent le protocole RADIUS pour
communiquer avec les serveurs RADIUS tels que les serveurs de serveur NPS (Network Policy).
Messages RADIUS sont envoys sous forme de messages de protocole UDP (User Datagram). Le port
UDP 1812 est utilis pour les messages d'authentification RADIUS et le port UDP 1813 est utilis pour
les messages de gestion de comptes RADIUS. Certains anciens serveurs d'accs rseau (NAS) peuvent
utiliser le port UDP 1645 pour les messages d'authentification RADIUS et le port UDP 1646 pour les
messages de gestion de comptes RADIUS.
NPS peut recevoir des messages RADIUS sur n'importe quel ensemble de ports configurable. Par
dfaut, NPS surveille, reoit et envoie le trafic RADIUS sur les ports UDP suivants : 1812 et 1645 pour

17

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
les messages d'authentification RADIUS et 1813 et 1646 pour les messages de gestion de comptes
RADIUS. Exactement un message RADIUS est encapsul dans la charge utile UDP.

Format de message RADIUS

La section suivante fournit des informations qui peuvent tre utiles pour les lments suivants :

Comprendre une capture Moniteur rseau.

Prsentation des formats de message diffrents pour analyser le journal comptable.

Saisie des numros de l'attribut spcifique au fournisseur (VSA).

Login Session

Serveur
Windows
Server 2008
R2 (NPS)
RADIUS
Serveur

Client RADIUS

Access-Request

Access-Accept

Accounting-Request (Start)

Accounting-Reponse

Logout Session

5
Accounting-Request (Stop)

6
Accounting-Reponse

18

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
1
2
Ici il sagit dun Access-Challenge :
Si lune des informations transmises par l'utilisateur est fausse ou errone, le serveur renvoie un
paquet ( Access-Reject ) en lui prcisant que la connexion est refuse. A l'inverse, si toutes les
informations sont correctes, le serveur renvoie un paquet ( Access-Challenge ), et en retour,
l'utilisateur met de nouveau un paquet ( Access-Request ) qui contiendra la rponse au challenge.

3
(Non Visible)

(Non Visible)

(Visualisable si dconnexion)

(Visualisable si dconnexion)

Structure de paquet gnrale

La figure Structure de rayon paquet gnrale, fournit un rsum de la structure de
donnes d'un paquet RADIUS. Le client RADIUS ou le serveur envoie les champs de haut en bas ou
partir du champ Code de manire verticale pour le champ attributs.
Structure gnrale d'un paquet RADIUS

1 Bytes = 1 Octet

Champ code
Le champ Code a une longueur de 1 octet et indique le type de message RADIUS. Un message avec
un champ de Code qui n'est pas valide est silencieusement rejet. Les valeurs dfinies pour le champ
Code RADIUS sont rpertoris dans le tableau suivant.

19

Projet PacketTracer en Labo, et Authentification 2012

Wi-Fi Serveur RADUIS (NPS)
Codes (dcimal)

Paquets

1
2
3
4

Demande d'accs
Acceptation d'accs
Rejet d'accs
Demande de compte

5
11

Rponse de compte
Challenge d'accs

12

tat-serveur (exprimental)

13
255

tat-Client (exprimental)
Rserv

Champ d'identificateur
Le champ d'identificateur a une longueur de 1 octet et est utilis pour faire correspondre une
demande avec sa rponse correspondante.
Champ de longueur
Le champ longueur est de deux octets de long et indique la longueur totale du message RADIUS, y
compris les champs Code, identificateur, longueur et l'authentificateur et les attributs RADIUS. Le
champ longueur peut varier de 20 4 096 octets.
Champ de l'authentificateur
Le champ de l'authentificateur est de 16 octets de long et contient les informations que le client
RADIUS et le serveur utilisent pour vrifier que le message provient d'un ordinateur est configur
avec un secret partag commun.
Section attributs
La section attributs de message RADIUS contient un ou plusieurs attributs RADIUS qui transportent
les dtails de l'authentification, l'autorisation, informations et configuration spcifiques pour les
messages RADIUS.

20