Ts-410, Radius, Eap-Tls

[ReneR]

Bonjour à tous.

 

Désireux d'améliorer la sécurité de mon LAN (WLAN), j'ai activé le serveur RADIUS du QNAP.

Les premiers essais effectués selon le tuto de QNAP sont concluants; seulement la méthode d'authentification est EAP-TTLS...

Or ce type d'authentification n'offre pas le niveau de sécurité souhaité.

Je souhaite donc réaliser des authentifications en EAP-TLS (comme indiqué dans les docs de QNAP).

Seulement, pour cette authentification, il est nécessaire d'installer un certificat sur le supplicant.

 

Question : où puis-je trouver le certificat pour l'importer dans l'ordinateur ?

 

Merci d'avance

[exxos]

Hello,

 

Le certificat vous pouvez le générer vous même mais il ne sera pas reconnu par une authorité de confiance. Dans votre cas j'imagine que c'est pour une utilisation privée donc ça ne posera pas de problème.

 

Utiliser OpenSSL pour générer votre certificat.

[ReneR]

Merci pour votre réponse.
 
@exxos
Vous avez entièrement raison.
Merci.
 
@GlaceNot
C'est le genre d'onglet où l'on ne va jamais regarder, alors on pose des question et la réponse est d'une évidence désarmante.
Je m'imaginais que la gestion des certificats serait dans les onglets du serveur RADIUS.
Cela doit être l'âge 
Nota : je ne sais pour quelle raison votre réponse ne s'affiche pas dans le post. Heureusement que j'ai activé l'envoi des réponses par mail...
 
Merci à vous deux.

[GlaceNot]

Bonsoir ReneR

 

J'ai supprimé ma propre réponse parce que lorsque je l'ai envoyé et que la page s'est rafraîchi exxos vous avait déjà répondu. Elle n'était donc plus nécessaire à mon point de vue.

 

Mais tant mieux si cela vous a aidé.

[ReneR]

Bonjour à tous.

 

Entre 2 huitres, je réfléchis, si, si.... mais le pinard cogne %-)

 

Comme décrit/suggéré précédemment, j'ai créé ma propre autorité de certification auto-signée (http://xca.sourceforge.net/).

J'ai crée l'autorité CA, le certificat et clé serveur, le certificat et clé client. L'exportation de tout ce monde ne pose aucun problème.

La configuration du QNAP en RADIUS EAP-TTLS ne pose, elle aussi, aucun problème (comme décrit dans le site QNAP mais avec mon propre certificat et clé).

Seulement en EAP-TLS, c'est une autre histoire. Pour ce mode d'authentification il est nécessaire de télécharger le certificat CA dans la configuration du RADIUS.

Problème : l'IHM de QNAP ne permet pas une telle opération (charger le certificat de l'autorité). J'en déduis qu'il faut le faire en ligne de commande (ça me rebute, je n'ai pas encore fait...) 

Questions :

• Ai-je raté un épisode ?
• QNAP a t-il choisi une configuration simplifiée de RADIUS adaptée aux petites structures (gestion des certificats simplifiée), les grosses ayant, à priori, un RADIUS sur un serveur séparé ?
• Dans ce cas pourquoi annoncer que le serveur RADIUS est compatible EAP-TLS ?
• En termes de sécurité, EAP-TTLS vs EAP-TLS est-il suffisant pour authentifier des supplicants en WiFi ?

Voili, voilou...

 

Bon, en attendant vos bienvenues réponses, j'vais m'faire encore qq huitres bien entendu arrosées (ça donne soif c'te boulot) %-))

 

D'ici-là et si nous ne nous sommes pas écris, je vous souhaite à tous une joyeuse et heureuse nouvelle année.

 

Bien à vous

 

ReneR

[father_mande]

Bonjour,

 

HIPSSS! on va attendre d'avoir digéré ...

 

Je n'ai jamais utilisé le serveur Radius sur QNAP ... mais il doit bien se comporter comme les autres serveurs radius sous Linux, il faudrait que je reprenne la doc. ... si mes souvenirs sont bon, on doit donner le chemin du certificat ... sur QNAP il devrait "pointer" sur celui ou on peut télécharger ses propres certificats ... c'est la structure habituelle chez QNAP ...

 

Peut-être qu'un appel support (remplir le formulaire sur leur site et demandez une réponse en courriel ... ) serait la voie la plus rapide ??? et la moins alcoolisée

 

Sinon, je regarderai cela ... mais pas avant quelques jours et sans garantis ... de réussite ... juste pour voir ...

 

De mémoire (neurones encore disponibles ... enfin peu ...)

EAP-TTLS est une extension plus sure que PEAP ou EAP-TLS, plus jeune aussi, mais du coup il ne diffuse pas en clair le nom d'utilisateur ...  son seul défaut (connu de moi) est qu'il n'est pas (ou n'était pas ... cela fait un moment que je ne joue plus avec ... ) nativement supporté par Microsoft et Cisco, donc installation client à prévoir... à voir et revoir ... mes informations sont moins fraiches que les huitres ... et heureusement pour les consommateurs ...

 

Philippe.

[ReneR]

Bonsoir.

 

Je tiens toujours debout (pour combien de temps encore ?) 

• Oui je suppose qu'il s'agit de freeradius.
• Pour lui injecter le certificat du serveur et la clé, il suffit d'exporter ces dernières à partir d'un logiciel CA quelconque au formats CER et PEM; ensuite les ouvrir avec un traitement de texte, copier de ---Begin *** --- à ---end *** --- et de coller le texte dans les zones de l'onglet idoine (j'ai encore du vocabulle-air) du menu sécurité; puis cliquer sur télécharger. ATTENTION : auparavant il faut prendre la précaution de retirer la connexion web HTTPS exclusive, sinon, en cas de plantage des certificats on ne peut plus accéder à l'interface de gestion  , quitte à la remettre après vérification.
• EAP-TTLS, PEAP et EAP-TLS semblent être présentés au même niveau de sécurité. Ce sont les méthodes d'identification mutuelles qui diffèrent. EAP-TTLS est plus facile à déployer car ne nécessitant pas d'infrastructure de diffusion de certificats; seul login et mdp suffisent côté client.
• Affirmatif, EAP-TLS n'est pas nativement supporté par Windows et Cisco. Je m'en fiche je suis sous mac OS : no problem  . 

Le support ? Yes, but my Engish is bad and my vocabulary poor. Of course, my tailor is very rich... je vais essayer quand-même. Ne rigolez pas, c'est pas drôle pour moi   !

 

René