[Sécuriser un réseau sans fil - Partie 4] Coté clients Windows

Par Rédaction, secuobs.com
Le 08/03/2008

---

Résumé : Les détails des étapes nécessaires à la configuration d'un poste client sous Microsoft Windows XP/2000 afin que celui-ci puisse s'authentifier, via EAP TLS, sur le serveur Freeradius auprès du point d'accès fonctionnant sous Hostapd. - Lire l'article



NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.


L’authentification EAP-TLS est supportée nativement par Windows XP. Elle nécessite cependant l’installation du service pack 2 pour Windows 2000, ou peut être déléguée à un supplicant non Microsoft : de nombreux drivers de cartes en proposent gratuitement.

Certificat racine

L’importation s’effectue, au choix, avec la console MMC, ou simplement en double-cliquant sur le fichier root.der. Un assistant s’affiche alors permettant d’importer le certificat du CA racine.

Les détails du fichier à importer peuvent être affichés dans l’onglet « détails » de l’interface. Le magasin contenant le certificat est choisi manuellement dans les « autorités de certifications racines de confiance ».

Un avertissement permet alors de valider l’importation.

Client

L’importation pour le client s’effectue avec le fichier PKCS12 crée plus haut (ou également via la console MMC). La passphrase entrée lors de la génération de la clef est alors demandée.

Elle peut alors être stockée localement (et chiffrée par le système d’exploitation via le mot de passe de l’utilisateur ayant ouvert la session), ou demandée à chaque utilisation.

Attention cependant : en cas de réinitialisation du mot de passe utilisateur de Windows, la clef sera perdue irrémédiablement dans ce cas (un message Windows prévenant de la perte des clefs privées stockées s’affiche lors de la réinitialisation).

Le type de magasin peut être ici choisi automatiquement.


Configuration du réseau sans fil

La configuration de la connexion est alors quasiment terminée. Dans l’assistant des réseaux sans fil Windows, le point d’accès protégé s’affiche. Dans les propriétés, nous activons le WPA, avec l’utilisation de TKIP pour WPA1 ; nous aurions choisi CCMP ici pour une utilisation de WPA2.

Le type d’authentification par certificat peut alors être sélectionné dans l’onglet « authentification ». Windows se charge en principe de déterminer automatiquement le certificat à utiliser mais il est également possible de le spécifier directement dans les propriétés.

Une fois la configuration terminée, nous pouvons activer la connexion via l’icône de connexion du réseau sans fil précédemment configuré.

La suite de la configuration est une configuration réseau classique (DHCP ou IP statique, DNS, passerelle par défaut, etc.)


Autres ressources disponibles dans ce dossier :

[Sécuriser un réseau sans fil - Partie 1] Introduction à la sécurité du WI-FI – lien

[Sécuriser un réseau sans fil - Partie 2] Installation et configuration de Freeradius – lien

[Sécuriser un réseau sans fil - Partie 3] Récapitulatif et configuration du point d'accès – lien

[Sécuriser un réseau sans fil - Partie 5] Coté clients Linux/*nix, conclusion et webographie – lien