Projet 802.1x filaire (Wired)

par **Koj** sur Lun 04 Fév 2008, 19:37

Timil,

Problème 1: Combien de temps dur la coupure? Le poste est en vista?
=> en cas de passage en veille la coupure est définitive.
Contournement trouvé : fermer la session et la miracle, la machine ouvre sa session 802.1x (ou reboot complet). Je n'ai pas de Vista pour le moment : 2000 SP4 et XP SP2

Problème 2: Wifi ou filaire?
=> CF titre du poste

Je précise que je n'ai pas d'équipement Cisco et aucune licence 2008, process de validation de 2008.

Pour la comparaison, je suis d'accord : "le blocage et la quarantaine sont deux choses différentes". Mais en même temps, elles font toutes deux parties des outils de sécurité des réseaux.

Koj

par **Koj** sur Ven 08 Fév 2008, 18:45

Koj a écrit:Quelqu'un sait me dire si Windows 2000 se comporte de la même manière ?
Koj

: Oui même problème (machine HP Win 2000 SP4 de retour en veille)

par **Koj** sur Ven 29 Fév 2008, 21:28

Bon après presque 1 mois de mise en prod, ca marche très bien.
Me reste plus qu'à mettre une Alarm "black hat detected".

J'ai fait :
- radius stratégie d'acces sur compte d'ordinateur = remote controle a l'ouverture de session possible (PEAP PC+user = 0 remote)
- configuration de la stratégie VPN dans chaque compte d'ordinateur autorisé car j'ai un domain level de m***** mais ca permet aussi d'éjecter un ordinateur sans révoquer son certificat.
- j'ai utiliser le template "ordinateur" par defaut
- ajout d'une GPO pour Windows 2000 : activation du service 802.1x
- ajout d'une GPO regedit /s 802.reg pour forcer les key

Koj

par **ouebman** sur Ven 29 Fév 2008, 22:12

lol c'est bientôt un tuto

en tout cas intéressant.

par **Aurélien KEMPIAK** sur Dim 02 Mar 2008, 13:38

J'ai peut-être mal suivi mais il me semble que personne n'a répondu clairement à "Quelqu'un sait ou je peux modifier l'option d'authentification de la carte réseau via GPO ?"
Parce que je ne trouve pas !!

J'ai un ami qui a un besoin similaire, ci-joint son mail :

Je t'avais parlé de 802.1x et de GPO. En fait, je voudrais que tu te renseignes sur:
• la possibilité d'activer par GPO l'authentification 802.1x sur des cartes réseaux Ethernet (filaire et non wifi)
• la possibilité de choisir l'authentification PEAP/MSCHAPv2 et globalement de définir les paramètres d'authentification tels que:
o valider le certificat serveur et le cas échéant, le choisir
o cocher la case "reconnexion rapide"
o utiliser les identifiants de session Windows.
• sur toutes les clefs de registre à modifier

Voilà. J'ai déjà pas mal d'infos et je sais globalement faire sauf pour la partie GPO car je crois que c'est tout simplement impossible pour le filaire. Le choix de la carte réseau rend cela hyper pénible... (UUID dans la base de registre imbitable).

Pourriez-vous l'aider ? (et moi aussi vu que ça m'intéresse de savoir :roll:

)
Merci !!

par **Koj** sur Mar 04 Mar 2008, 13:01

Avec windows NT4/2000/2003, il n'y a pas de GPO pour configurer cet onglet. (j'ai vu une fiche de KB microsoft qui le précise)

Peut-être avec les nouveaux ADM de Windows 2008 ...
Kazer ou Waryx ? Vous pouvez regarder ? (j'ai pas de VM 2008)

Le problème c'est que l'onglet est dépendant de la carte réseau.
Et que un GPO coté serveur, tu peux pas savoir quelle interface configurer.

Koj

par **Aurélien KEMPIAK** sur Mar 04 Mar 2008, 13:05

Avec les quelques recherches que j'ai faites, c'est ce que j'ai pu constater effectivement

J'ai une VM 2008 RC1 toute fraîche, je vais voir si je trouve le temps aujourd'hui de vérifier ça.

par **Koj** sur Mar 04 Mar 2008, 18:44

ouebman a écrit:lol c'est bientôt un tuto

en tout cas intéressant.

Faudrait que je mette en forme ma procédure interne pour le publique et la publier quelque part. :wink:

Koj

par **Aurélien KEMPIAK** sur Mar 04 Mar 2008, 18:45

Apparemment c'est possible.

Par contre c'est normal qu'il nomme ça automatiquement "Nouvelle stratégie de réseau câblé de Vista" ??
Ca marchera que pour des postes clients sous Vista ?

par **Koj** sur Mar 04 Mar 2008, 21:03

AAAANNNNNNNN !!!!!!
Il l'ont fait pour 2008 !!!!!!
Mais oui c'est sur c'est que pour Vista ca :lol:

Mais dans le futur (très loin pour moi car Vista je suis pas prêt de le déployer), on pourra configurer le 802.1x par GPO.

Bon à savoir. Merci Aurélien

Koj

par **eric_at_2037** sur Ven 21 Mar 2008, 11:02

Koj a écrit:Avec windows NT4/2000/2003, il n'y a pas de GPO pour configurer cet onglet. (j'ai vu une fiche de KB microsoft qui le précise)

Bonjour,

Quelqu’un a une solution pour automatiser la configuration des postes clients avec « Protected EAP » ?

Peut être que la solution est « Smart card or other certificate » sous réserve de déployer automatique les certificats clients.

++

Eric

par **Koj** sur Ven 04 Avr 2008, 15:53

non justement il n'y a pas de GPO !!!

Pour PEAP (EAP Protected), tu es obligé de passer sur chaque poste, ou sinon ou tu prends la main sur le poste et tu modifies la configuration à distance avant d'activer le 802.1x sur le port réseau = galère.

C'est pour cela que j'ai laissé tomber PEAP, qui est de plus moins sécurisé que EAP/TLS.

Koj

par **eric_at_2037** sur Mer 23 Avr 2008, 9:27

eric_at_2037 a écrit:Quelqu’un a une solution pour automatiser la configuration des postes clients avec « Protected EAP » ?

J'ai trouvé un exe du nom de "PEAPActivate-Install.EXE" dans SMS qui assure la configure automatiquement. En revanche il faut que le contexte d'exécution ait des droits d'administrateurs.

eric_at_2037 a écrit:Peut être que la solution est « Smart card or other certificate » sous réserve de déployer automatique les certificats clients.

C'est oké, en revanche la génération massive de certificat peut poser quelques problèmes...

Je vais publier d'ici quelques jours plusieurs scripts d'audit et de configuration des équipements réseaux. Cf lien dans signature.

++

par **Koj** sur Mer 23 Avr 2008, 11:51

Merci Eric pour la super info !

eric_at_2037 a écrit:J'ai trouvé un exe du nom de "PEAPActivate-Install.EXE" dans SMS qui assure la configure automatiquement. En revanche il faut que le contexte d'exécution ait des droits d'administrateurs.

"PEAPActivate-Install.EXE" nécessite t il obligatoirement la présence de l'agent SMS ? ou peut on l'utiliser en ligne de commande ? (pour deploiement scripté)

eric_at_2037 a écrit:C'est oké, en revanche la génération massive de certificat peut poser quelques problèmes...

J'ai déployé 200 à 300 certificats d'ordinateurs sans soucis (chanceux ?) via gpo et microsoft certificat server. Quand tu parles de "massif", tu penses à quelle en quantité ?

Koj

Koj

par **eric_at_2037** sur Mer 23 Avr 2008, 12:56

Koj a écrit:"PEAPActivate-Install.EXE" nécessite t il obligatoirement la présence de l'agent SMS ? ou peut on l'utiliser en ligne de commande ? (pour deploiement scripté)

Je ne pense pas que l'agent SMS soit requit.

Ci-dessous que le script que j'ai écris...

Code: Tout sélectionner: ; Script Start - Add your code below here ; no MsgBox error Opt("RunErrorsFatal", 0) ; logerr $message = "" if RunAsSet('administrator-deploy', 'domaine', 'mdpadmdeploy') Then if Run("\\srv\deploy\PEAPActivate-Install.EXE", "", @SW_HIDE) Then ;MsgBox(0, 'Message', 'Now running with admin rights.') ; base des registres if NOT RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global", "AuthMode", "REG_DWORD", "2") Then ; err $message = $message & "err RegWrite AuthMode - " EndIf if NOT RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global", "SupplicantMode", "REG_DWORD", "3") Then ; err $message = $message & "err RegWrite SupplicantMode - " EndIf ; ok $message = $message & "oke" Else ; erreur RunAsSet $message = $message & " err RunAsSet" EndIf Else ; the operating system does not support this function ; initialise a set of user credentials to use during Run and RunWait operations $message = $message & " err RunAsSet not support" EndIf ; on rend les droits utilisateurs RunAsSet() ; on envoit le rapport d'execution à Monsieur Eric ;MsgBox(1, "test", @IPAddress1 & " - " & _GetMACFromIP(@IPAddress1) & " - " & @ComputerName & " - " & @UserName & " - " & @OSVersion & " - " & @OSServicePack & " - " & $message) InetGet( "http://srv/eric/set_eapol.php?ip=" & _GetMACFromIP(@IPAddress1) & "&mac=" & $MAC & "&name=" & @ComputerName & "&os=" & @OSVersion & "&ossp=" & @OSServicePack & "\getmac-ebouche.txt", "1", @tempDir, "0") ; get info Func _GetMACFromIP($sIP) Local $MAC, $MACSize Local $i, $s, $r, $iIP $MAC = DllStructCreate("byte[6]") $MACSize = DllStructCreate("int") DllStructSetData($MACSize, 1, 6) $r = DllCall("Ws2_32.dll", "int", "inet_addr", "str", $sIP) $iIP = $r[0] $r = DllCall("iphlpapi.dll", "int", "SendARP", "int", $iIP, "int", 0, "ptr", DllStructGetPtr($MAC), "ptr", DllStructGetPtr($MACSize)) $s = "" For $i = 0 To 5 ;If $i Then $s = $s & ";" $s = $s & Hex(DllStructGetData($MAC, 1, $i + 1), 2) Next Return $s EndFunc ;==>_GetMACFromIP

Koj a écrit:J'ai déployé 200 à 300 certificats d'ordinateurs sans soucis (chanceux ?) via gpo et microsoft certificat server. Quand tu parles de "massif", tu penses à quelle en quantité ?

Sur 4 chiffres, problème au niveau de la génération et régénération des certificats qui arrivent par vagues. Il y a également un problème potentiel au niveau des ordinateurs cloné, à la naissance pas de certificat utilisable.

Projet 802.1x filaire (Wired)

Qui est en ligne ?