Comment sécuriser WiFi au niveau des @physiques?

[sofien]

Bon voiçi mon problème : Je ne veux que les étudiants et le staff de l'université qui peuvent se connecter à l'internet via le WiFi de l'université...Je peux le sécuriser avec un code d'accès mais n'importe qu'elle personne peut donner ce mot de passe et booom rien n'est sécurisé...donc j'ai pensé à ne permettre l'accès au wifi qu'au PC dont j'ai leurs adresse physiques et comme ca j'oblige une seule connexion pour une personne autorisée...Je me demandé s'il y'a des proxy au niveau des adresses physiques..
Merci de me guider les amis

Serveur : Windows Server 2003 R2
Client : Windows 2000, Windows XP

[entreprise38]

Bonjour,

en effet un seul mot de passe serait vite inutile, mais vous pouvez pencher pour un compte/mdp par étudiant. Cela :
- permettra de suivre les activités des étudiants, et en cas de problème ( vol de compte/mdp, activités illégales ... ) de savoir quel compte / étudiant est visé;
- offir un premier niveau de sécurité : si quelqu'un ( extérieur à l'établissement ) veut se connecter, il devra utiliser un compte existant. Et en général, un étudiant ne donne pas son code d'accès personnel à n'importe qui, sachant qu'il ( l'étudiant ) sera responsable des dérapages.
=> C'est ce qui se fait déjà dans bon nombre d'établissements ( ex : à l'Université de Dijon, le CNAM de Paris, etc ) : un compte par étudiant. En cas de dérapage, c'est avertissement, puis désactivation pûre et simple du compte
Vous pouvez donc vous tourner vers un proxy authentifiant ( un login / mdp est demandé à la première connexion ou après un certain délai d'inactivité, et le tour est joué ^^ ).

Après, si vous voulez filtrer par adresse physique, donc l'adresse MAC, sachez que :
- une adresse MAC, ça se change ( ce n'est pas à la portée des moins avertis, mais nos bons petits infomaniaques ont largement les compétences pour utiliser les logiciels qui vont bien ). Biensûr, c'est un cas un peu extrême ...;
- si vous vous limitez aux postes fixes, alors vous avez une liste définie d'adresses MAC. Il est donc humainement possible d'enregistrer cette liste ( pour que le routeur / proxy filtre par cette liste d'adresses MAC ). Le soucis : en parlant de WIFI, je suppose que vous voulez aussi filtrer les portables des étudiants ? Dans ce cas l'établissement et le maintien de cette liste risque de vite se révéler difficile

[_solo]

Si tu a les competences d'un developpeur , joue avec la generation des mots de passe a partir de l'adresse physique l'adresse physique , plus une sonde argus pour monitorer les couacs

[sofien]

Merci pour vos réponses les amis...dsl pour le retard mais je n'avais pas recu des notifications des réponses je ne sais pas pourquoi...

[asagtoth]

sur certain point d'accès tu peux entrer les adresses mac des pcs autorisés.
donc les étudiants doivent venir avec leur pc tu prends leur adresse macs et tu es sur que seulement eux pourront y aller.

[sofien]

Citation:

Envoyé par asagtoth

sur certain point d'accès tu peux entrer les adresses mac des pcs autorisés.
donc les étudiants doivent venir avec leur pc tu prends leur adresse macs et tu es sur que seulement eux pourront y aller.

Je ne peux pas opter pour cette solution car j'ai déja plus de 1000 étudiants...

[Civodul4]

Une authentification par un serveur Radius ?

[sofien]

Citation:

Envoyé par Civodul4

Une authentification par un serveur Radius ?

Est ce que ce serveur peut contrôler les adresses MAC ?

[ram-0000]

Citation:

Envoyé par sofien

Est ce que ce serveur peut contrôler les adresses MAC ?

Je ne pense pas, sauf erreur de ma part, un serveur radius est un serveur d'authentification du type login/password. C'est l'équivalent (fonctionnel) d'un active directory et beaucoup d'équipement réseau (access point WiFi entres autres) savent se binder sur un serveur radius.

[Civodul4]

Citation:

Envoyé par ram-0000

Je ne pense pas, sauf erreur de ma part, un serveur radius est un serveur d'authentification du type login/password. C'est l'équivalent (fonctionnel) d'un active directory et beaucoup d'équipement réseau (access point WiFi entres autres) savent se binder sur un serveur radius.

Je ne pense pas non plus que Radius gère les adresses mac, de toute façon comme écrit plus haut avec un bon utilitaire d'écoute réseaux, on capture les trames d'une machine autorisée, on prends l'adresse mac, on utilise un soft qui change l'adresse mac des trames en sortie de carte réseaux et hop, plus de verrous ...

[_solo]

Citation:

Envoyé par Civodul4

Une authentification par un serveur Radius ?

Citation:

Envoyé par Civodul4

Je ne pense pas non plus que Radius gère les adresses mac

Si l'adresse mac devant servir en fait de login, mais ayant aussi du faire un portail captif pareil dans une universite le seul conseil que je peut te donner c'est n'ecoute pas les conseil des autres , il est a mon avis deja trop tard pour toi pour bidouiller une quelconque solution de securite va donc falloir prendre des bouts ici et la pour essayer de faire un tout.

Citation:

j'ai pensé à ne permettre l'accès au wifi qu'au PC dont j'ai leurs adresse physiques et comme ca j'oblige une seule connexion pour une personne autorisée

Va falloir mettre en place donc une Base de Donnee des adresses mac potentiel qui viennent sur le reseaux :/ et avec tes 1000 etudiants tu l'as dans l'os , je pense que tu n'as pas mesurer l'ampleur du travail qui t'attends va falloir revoir tes ambitions a la baisse.

juste a titre d'information moi c'etait un reseaux de 1800 etudiants , mais j'avais anticiper le probleme apres l'inscription j'ai recuperer un fichier csv des utilsateurs, creation d'un serveur LDAP rajout des utilisateurs a la base LDAP (en plus de ceux qu'il y avaient deja qui etait auxpersonnel ), les mots de passe etaient generer a partir des noms de familles et d'un chiffre pseudo aleatoire .
Pour le reseaux et des besoin de test le serveur LDAP etait killable a n'importe quel moment sans que ca gene le fonctionnement reseaux mais sans pass pour les etudiants (droit basique) et pour ceux du personnel un serveur de depannage dans une VM pres a tout moment

[sofien]

Citation:

Envoyé par _solo

Si l'adresse mac devant servir en fait de login, mais ayant aussi du faire un portail captif pareil dans une universite le seul conseil que je peut te donner c'est n'ecoute pas les conseil des autres , il est a mon avis deja trop tard pour toi pour bidouiller une quelconque solution de securite va donc falloir prendre des bouts ici et la pour essayer de faire un tout.
Va falloir mettre en place donc une Base de Donnee des adresses mac potentiel qui viennent sur le reseaux :/ et avec tes 1000 etudiants tu l'as dans l'os , je pense que tu n'as pas mesurer l'ampleur du travail qui t'attends va falloir revoir tes ambitions a la baisse.
J'ai déja anticipé cette ampleur mais le problème c'est que le réseau que j'administre était concu avant que je sois recruté. Mon poste consiste à apporter des nouvelles et améliorer l'architecture du réseau. J'ai déja crée les étudiants dans Active Directory utilisant VBScript et un fichier Excel.

juste a titre d'information moi c'etait un reseaux de 1800 etudiants , mais j'avais anticiper le probleme apres l'inscription j'ai recuperer un fichier csv des utilsateurs, creation d'un serveur LDAP rajout des utilisateurs a la base LDAP (en plus de ceux qu'il y avaient deja qui etait auxpersonnel ), les mots de passe etaient generer a partir des noms de familles et d'un chiffre pseudo aleatoire .
Pour le reseaux et des besoin de test le serveur LDAP etait killable a n'importe quel moment sans que ca gene le fonctionnement reseaux mais sans pass pour les etudiants (droit basique) et pour ceux du personnel un serveur de depannage dans une VM pres a tout moment

J'ai déja anticipé cette ampleur mais le problème c'est que le réseau que j'administre était concu avant que je sois recruté. Mon poste consiste à apporter des nouvelles et améliorer l'architecture du réseau. J'ai déja crée les étudiants dans Active Directory utilisant VBScript et un fichier Excel.
Nous avons acquéri un nouveau ERP et il impose une architecture bien déterminée ou tous les utilisateurs doivent être dans le même domaine.
Dans le réseau, les étudiants peuvent se connecter via wifi et donc je dois gérer tous les risques de sécurité.
Est ce que vous avez des étudiants qui se connectent via wifi?Comment vous gérez ca?Si vous voulez, nous nous en parlerons en détail...

[_solo]

Citation:

Mon poste consiste à apporter des nouvelles et améliorer l'architecture du réseau..................Dans le réseau, les étudiants peuvent se connecter via wifi et donc je dois gérer tous les risques de sécurité.

Avant meme de t'attaquer a la securiter de ton reseaux, tu doit penser la securiter des systemes sur lequel va reposer ton reseaux ::cad:: fait toi une check liste des mises a jour des systemes que tu doit administrer , prends ses elements les plus important et demande toi si ca peut tourner dans une Machine virtuel genre vmware,vbox,vserve etc... et ca uniquement en cas de probleme ou pour tout simplement faire des tests.

Pour ton wifi avec autant d'etudiant tu doit imperativement prendre le probleme a revers , ne pas te poser des question sur comment securiser , mais comment ne pas etre vulnerable , ca peut parraitre la meme chose a premiere vue mais non il y a une nuance.

la vrai securite que tu doit gerer c'est d'abord celle de tes equipements, ensuite du personnel enfin le reseaux, les etudiants ils peuvent mourrir

Les equipements, si c'est possible banni tous ce qui est telnet au profit de ssh met en place une time limit sur la connexion, s'ils le permettent toujours ne travail jamais avec le niveau d'administration le plus elever, creer plusieurs profil par ex un par VLAN, un dropper qui sera le seul que tu utilisera pour te connecter et qui servira pour se connecter ensuite autres utilisateur(pour un audit c'est plus simple a lire), les logs doubles les et dedie un serveur au logs.
-Les logs c'est la partie la plus nulle de l'administration

Le personnel ils ne doivent en aucun cas etre sur le meme reseaux des etudiants (ca deviends trop facile le vol de mot de passe ), creer un vlan dedier a eux.

Les etudiants faut trouver un proxy/filtre speciale anti-peertopeer car c'est ca le plus gros probleme

voila, normalement si ton matos est OK tout le reste est deja moins vulnerable par la suite tu peut bien sur rajouter des regles de filtrage sur les protocoles utiliser sur le reseaux mais la ca depend de l'utilisation qu'en fera tout le monde...mais de maniere generale si la securite de tes equipement est pris en compte des le debut le reste c'est comme dans du flan

AH!oui n'oublie pas de mettre du SSL pour les connexions

Ton seul gros probleme c'est ca

Citation:

Serveur : Windows Server 2003 R2

[entreprise38]

En quoi un Windiws Server 2k3 serait-il un problème ??

Nota : en plus de limiter les ports, un truc tout bête pour lutter contre le p2p et le téléchargement abusif ( il n'y a pas que sur les réseaux p2p que l'on télécharge le dernier Céline Dion, pensons par exemple aux sites de FanSub, certes légaux, mais bon ce n'est pas le lieu pour télécharger les 100 derniers Naruto à la fac ) : fixer des quotas d'émmission et de réception.
=> Un élève, dans son activité d'étudiant, n'aura pas à recevoir ~200Mo en une journée, sauf cas particuliers ( mises à jour, etc, mais dans ce cas l'analyse des Logs dira si le téléchargement était justifié ).

[_solo]

Citation:

En quoi un Windiws Server 2k3 serait-il un problème ??

A cause de la charge CPU pour gerer l'ensemble , il va devoir rajouter d'autre logiciel (il existe tous en opensource) et ca va croitre encore plus la charge ce qui impacte ineluctablement, la fluidite du reseaux
apres si son serveur c'est du bi-proc 2x2ghz et 4Go de ram c'est clair que sa passe sans trop de soucis

Citation:

fixer des quotas d'émmission et de réception.

c'est certes interessant dans une entreprise mais dans une universite souvent les filieres info(mais pas qu'eux) DL des distrib de linux (ce qui represente 1,2 cd/dvd) donc c'est pas la bonne solution, mais tu peut tagger les connexion pour faire de la QoS ( c'est assez cauchemardesque ).