| Sommaires |
|
|
|
|
| SecuShop : | |
Carbonite Backup Simple - Abonnement 1 an
Utilities :: Backup
Prix :
40.97 EUR
Acheter
|
|
| Breves |
|
|
|
- 20% de remise sur les certificats SSL VeriSign jusqu'au 31 mai 2008 (Lire)- Vol de données à Harvard (Lire)- Un exploit pour Quicktime découvert « in the wild » (Lire)- Les derniers jours de MD5 ? (Lire)- Le spam sur le déclin (Lire)- Des spams au format MP3 (Lire)- Areva T&D choisit iPass pour équiper 7000 utilisateurs (Lire)- Ironport lance des fonctions de prévention des fuites d’informations (Lire)- Sortie du numéro 8 de Uninformed (Lire)- Liens malveillants sur le service Google Adwords (Lire)- RSA SecurID en version mobile (Lire)- Deux exploits preuves de concept pour Adobe Photoshop (Lire)- Des titres suspendus à la bourse américaine pour cause de spam (Lire)- Le programme de SSTIC 2007 (Lire)- Le mois des failles PHP vient de commencer (Lire)- Internet de plus en plus résistant ? (Lire)- Augmentation des cryptovirus rançonneurs en vue pour Kaspersky (Lire)- Les forces de l’ordre interdites de piratage en Allemagne (Lire)- Appel à communication pour la JSSI 2007 (Lire)- 11 techniques pour se protéger contre le phishing (Lire)
|
|
| Articles |
|
|
|
- [Samhain FIDS multi-postes centralisé – Partie 1] Introduction et installation (Lire)- [Samhain FIDS multi-postes centralisé – Partie 2] Configuration (Lire)- [Samhain FIDS multi-postes centralisé – Partie 3] Utilisation (Lire)- [Samhain FIDS multi-postes centralisé – Partie 4] Résultats (Lire)- Près de 45% des femmes seraient prêtes à révèler leur mot de passe contre du chocolat (Lire)- ProxyStrike un nouveau proxy transparent pour l'audit d'applications web (Lire)- Uhooker une plateforme pour l'interception et la manipulation des applications (Lire)- [Etude de cas IDX-PKI GPL – Partie 1] Présentation (Lire)- [Etude de cas IDX-PKI GPL – Partie 2] Installation (Lire)- [Etude de cas IDX-PKI GPL – Partie 3] Configuration (Lire)- [Etude de cas IDX-PKI GPL – Partie 4] Conclusion (Lire)- [Analyse des logs système avec Tenshi – Partie 1] Introduction et installation (Lire)- [Analyse des logs système avec Tenshi – Partie 2] Configuration (1) (Lire)- [Analyse des logs système avec Tenshi – Partie 3] Configuration (2) (Lire)- [Analyse des logs système avec Tenshi – Partie 4] Utilisation et conclusion (Lire)- [Windows Privacy Tools – Partie 1] Introduction et installation (Lire)- [Windows Privacy Tools – Partie 2] Configuration, utilisation et conclusion (Lire)- [Gestion de patch – Partie 1] Introduction (Lire)- [Gestion de patch – Partie 2] Les tests de vulnérabilités locales avec Nessus (Lire)- [Gestion de patch – Partie 3] Développement de scripts NASL pour Nessus (Lire) |
| Commentaires | | | | - en l'état ça ne semble pas possible de récupérer la base SAM loc ... (Lire)
- mais avec quelle logiciel va tu capturer la sam d'un windows.Sac ... (Lire)
- Si la question est "est-ce que je peux prendre la base SAM sur u ... (Lire)
- Salut je voulais savoir si on peut faire sa en réseau local, ave ... (Lire)
- je viens de rectifier les deux liens, merci pour la correction N ... (Lire)
- L'adresse officielle du magazine MISC est :www (dot) miscmag (do ... (Lire)
- Merci beaucoup je viens de corriger ça ... ... (Lire)
- Deux petites coquilles dans la commande iptables de l'article: i ... (Lire)
- L'ancienne version mise en page est disponible sur cette page : ... (Lire)
- je n'arive pas a le lire en entier, le tuto est peut etre bien m ... (Lire)
- j'utilise un certificat Rapid SSL depuis 2 ans et j'en suis cont ... (Lire)
- Merci pour ce lien, je ne connaissais pas ce prestataire! Ils on ... (Lire)
- pourquoi on devrait utiliser live helper plutot que la méthode d ... (Lire)
- les utilisateurs ne sont pas toujours les seuls à pouvoir être m ... (Lire)
- Comme c'est indiqué dans l'article les pilotes madwifi ne permet ... (Lire)
- Tout ça peut se résumer à: C'st l'utilisateur qui est le point f ... (Lire)
- après tout cela, comment mettre la carte sur une puissance de 30 ... (Lire)
- pourquoi ne pas utiliser live-helper ?voir le projet Debian Live ... (Lire)
- C'est le problème des solutions de sécurité en général qu'elles ... (Lire)
- L'article est tres interessant, il est certain que le protocole ... (Lire)
- Le principe est transposable à n'importe quelle menace pouvant ê ... (Lire)
- Article intéressant mais ca mériterait de faire référence à des ... (Lire)
- C'est marrant parcequ'apparement c'était pas courru d'avance pou ... (Lire)
- C'était couru d'avance, j'en parlais déjà en février de cette an ... (Lire)
- "En effet, en ayant connaissance d'un identifiant, il est possib ... (Lire)
|
|
|
Tests |
Aujourd'hui |
Ce
mois |
Ajoutés |
0 |
64 |
|
|
|
|
[Sécuriser un réseau sans fil - Partie 2] Installation et configuration de Freeradius
Par Rédaction,
secuobs.com
Le 08/03/2008
Résumé : Les différents types d'authentification proposés par EAP et l'installation d'un serveur Freeradius assurant une authentification forte, à l'aide de EAP TLS, qui sera répartie entre le serveur Radius et le point d’accès WIFI après avoir généré préalablement les clés et les certificats nécessaires.
Promo interne : Certificats annuels SSL ( Voir les détails ) 128/256 bits à racine unique. Installables en 30 secondes, 99% des navigateurs compatibles ! Disponibles en ligne en 10 minutes : RapidSSL ( 62 EUR - Voir ), RapidSSL Pro réémission gratuite ( 98 EUR - Voir ) & QuickSSL Premium, réémission gratuite, compatible PDA, sceau de validité ( 129 EUR - Voir ) - Promo spéciale 20 % sur les certificats SSL VeriSign jusqu'au 31 mai 2008 ( Voir )
1 Year VPN Unlimited Who needs VPN4U Services ? Hotspot Wireless Users at risk of having personal datas stolen like passwords ! Home Internet Users, Cable and DSL providers don't filtering exploits ! International Internet Users living where Governments prevent users from enjoying Internet, USA IP = no controls ! 36 USD - Buy
|
NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.
Le but de ce tutoriel n’étant pas d’installer un serveur Radius sous Linux (les ressources disponibles sur Internet à ce sujet sont nombreuses - lien http externe url:[click] ).
Nous ne détaillerons pas ici les différentes étapes d’installation, mais uniquement les points importants pour assurer un compromis utilisation/sécurité maximum pour des clients multi-plateformes tout en considérant un déploiement réalisable sur de larges parcs.
Résumons les principaux types d’authentifications EAP :
- MD5
Authentification serveur : Aucune
Authentification client : Hash
Attaques possibles : Dictionnaire, rejeu, Man in The Middle
- LEAP
Authentification serveur : Hash
Authentification client : Hash
Attaques possibles : Dictionnaire
- PEAP
Authentification serveur : Certificat
Authentification client : Au choix (EAP)
Attaques possibles : Dictionnaire
- TLS
Authentification serveur : Certificat
Authentification client : Certificat
Attaques possibles : Vol de certificat/clef
Comme nous pouvons le constater ici, le type d’authentification EAP n’est pas à négliger. Un exemple simple est MD5 qui ne garantit aucun mécanisme fiable puisque des attaques par rejeu, ou par bruteforce/dictionnaire pour déterminer le mot de passe, sont réalisables ( lien http externe url:[click] ).
La version de freeradius utilisée pour ce tutoriel est la 1.0.5 disponible sur le site officiel ( lien http externe url:[click] ). L’installation peut être réalisée à partir des sources ou simplement à partir de paquets suivant la distribution retenue (deb, rpm…).
Les principales modifications à apporter à la configuration de freeradius - par défaut dans /etc/raddb/ - sont les suivantes.
Fichier eap.conf :
(...)
eap {
(...)
eap_default_type = tls
ignore_unknown_eap_types = yes
(...)
tls {
private_key_password = [MDP Clef serveur]
private_key_file = ${raddbdir}/certs/lapt41p.pem
certificate_file = ${raddbdir}/certs/lapt41p.pem
CA_file = ${raddbdir}/certs/root.pem
CA_path= ${raddbdir}/certs/
dh_file = ${raddbdir}/certs/dh1024.pem
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
check_crl = yes
}
}
Nous utiliserons une authentification TLS pour ses avantages quant à la sécurité des échanges, mais également pour assurer la compatibilité avec le plus grand nombre de supplicants.
L’option check_crl peut poser certains problèmes en fonction de la configuration de freeradius : elle permet de vérifier, pour chaque certificat, si une révocation n’a pas été émise précédemment.
Fichier clients.conf :
client [IP client (AP)] {
secret = [PSK Radius]
shortname = [nom client]
}
C’est ici le secret partagé par le serveur Radius et le point d’accès qui viendra l’interroger pour authentifier les utilisateurs sur le réseau.
Fichier radiusd.conf :
(...)
modules {
(...)
$INCLUDE ${confdir}/eap.conf
(...)
}
(...)
Les certificats et clefs cités dans les fichiers de configuration ci-dessus ont été générés à l’aide d’Openssl ( lien http externe url:[click] ) pour l’autorité de certification (ici root), le serveur (ici lapt41p) ainsi que les clients.
Certificat racine (root)
Création du certificat et de la clef :
openssl req -nodes -new -x509 -keyout root.key -out root.crt -days 365
Exportation du certificat au format der :
openssl x509 -inform PEM -outform DER -in root.crt -out root.der
Serveur (lapt41p)
Création de la clef privée du serveur ainsi que la requête de signature du certificat (fichier csr) :
openssl req -nodes -new -keyout lapt41p.key -out lapt41p.csr
Signature du certificat serveur par l’autorité de certification
echo "02" > root.srl
openssl x509 -req -in lapt41p.csr -out lapt41p.pem -CAkey root.key -CA root.crt
Clients (ainsi que tous les autres clients futurs)
Afin de faciliter la création des comptes utilisateurs, l’utilisation d’un script contenant les étapes ci-dessous est recommandée…
Création de la clef et de la requête de certification associée
openssl req -nodes -new -keyout client.key -out client.csr
Signature du certificat client par l’autorité de certification
echo « 2 » > client.srl
openssl x509 -req -in client.csr -out client.pem -CAkey root.key -CA root.crt -extfile xpextensions
Avec le fichier xpextensions suivant, qui permet d’assurer la compatibilité avec Windows XP :
extensions
[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2
[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
Autres ressources disponibles dans ce dossier :
[Sécuriser un réseau sans fil - Partie 1] Introduction à la sécurité du WI-FI – lien http interne url:[click]
[Sécuriser un réseau sans fil - Partie 3] Récapitulatif et configuration du point d'accès – lien http interne url:[click]
[Sécuriser un réseau sans fil - Partie 4] Coté clients Windows – lien http interne url:[click]
[Sécuriser un réseau sans fil - Partie 5] Coté clients Linux/*nix et conclusion – lien http interne url:[click]
Les 20 derniers articles de la categorie Tutoriels :- [Samhain FIDS multi-postes centralisé – Partie 1] Introduction et installation (Lire)
- [Samhain FIDS multi-postes centralisé – Partie 2] Configuration (Lire)
- [Samhain FIDS multi-postes centralisé – Partie 3] Utilisation (Lire)
- [Samhain FIDS multi-postes centralisé – Partie 4] Résultats (Lire)
- [Etude de cas IDX-PKI GPL – Partie 1] Présentation (Lire)
- [Etude de cas IDX-PKI GPL – Partie 2] Installation (Lire)
- [Etude de cas IDX-PKI GPL – Partie 3] Configuration (Lire)
- [Etude de cas IDX-PKI GPL – Partie 4] Conclusion (Lire)
- [Analyse des logs système avec Tenshi – Partie 1] Introduction et installation (Lire)
- [Analyse des logs système avec Tenshi – Partie 2] Configuration (1) (Lire)
- [Analyse des logs système avec Tenshi – Partie 3] Configuration (2) (Lire)
- [Analyse des logs système avec Tenshi – Partie 4] Utilisation et conclusion (Lire)
- [Windows Privacy Tools – Partie 1] Introduction et installation (Lire)
- [Windows Privacy Tools – Partie 2] Configuration, utilisation et conclusion (Lire)
- [Gestion de patch – Partie 1] Introduction (Lire)
- [Gestion de patch – Partie 2] Les tests de vulnérabilités locales avec Nessus (Lire)
- [Gestion de patch – Partie 3] Développement de scripts NASL pour Nessus (Lire)
- [Gestion de patch – Partie 4] Microsoft Baseline Security Analyser et Shavlik (Lire)
- [Gestion de patch – Partie 5] Conclusion et webographie (Lire)
- [Scanner de vulnérabilités eEye Retina – Partie 1] Introduction, documentation, version. (Lire)
| Mini-tagwall de la revue de presse : security, microsoft, phone, network, windows, google, attack, hacker, vulnerability, vulnérabilité, remote, yahoo, apple, iphone, server, exploit, injection, black, release, internet, vista, video, drive, intel, format, malware, protect, laptop, access, management, patch, source, linux, research, biometric, crypt, business, office, virus, wireless, layer, chine, vmware, podcast, storage, website, china, cisco, facebook, europe, flash, fraud, database, troll, adobe, wi-fi, conference, theft, nokia, botnet, phishing, digital, privacy, critical, opera, green, pirate, firefox, share, government, photo, cyberspeak, fingerprint, monitor, identity, oracle, engine, email, police, visio, symantec, myspace, trojan, break, social, youtube, crack, local, expert, password, arrêt, safari, cross, japan, upgrade, electronic, motorola, infect, trust, detect, india, skype, phorm, america, frame, allen, mozilla, appliance, blackberry, camera, cable, trend, inclusion, joomla, browser, memory, authentication, package, blu-ray, desktop, macbook, compliance, driver, robot, forensic, toshiba, german, rootkit, amazon, verizon, spammer, development, audit, military, switch, wimax, ubuntu, samsung, novell, france, actor, quicktime, attaque, mysql, major, defend, squid, traffic, policy, certificat, buffer, backup, torrent, android, london, processor, router, activex, hardware, audio, captcha, tibet, scanner, passport, mcafee, copyright, telecom, notebook, airport, ofcom, excel, spectrum, tunes, interview, filter, document, russia, compromis, denial, radio |
| Ce site vous a plu ? Par avance, merci de bien vouloir nous adresser un don (transaction sécurisée par compte Paypal ou par carte de crédit) si vous le désirez afin de préserver le caractère indépendant de nos recherches en cliquant sur le bouton suivant : |
|
|
|
|
|
|
|
|
