Catégorie : Authentification

Email ou mot de passe volé ?

Leave a comment

Une liste de sites webs qui permet d’identifier si son compte email ou son mot de passe se retrouvent parmi les nombreuses fuites de données.

 

Il existe plusieurs ressources utiles pour détecter si vos données se sont retrouvées dans la nature.

 

Le plus connu, peut-être le plus complet « Have I Been Pwned » avec plus de 5 milliards de comptes. Il suffit de mettre son adresse email, puis le site indiquera sur quels sites votre compte aura été dérobé.

https://haveibeenpwned.com/

 

Un nouveau proposé par Mozilla: Monitor qui s’appuie entre autre sur le lien précédent. Un avantage, le site permet d’être alerté si votre email apparait dans une fuite de données à venir.

https://monitor.firefox.com/

 

Pour finir, le site Ghostproject permet de connaitre si son email, son compte (login) ou son mot de passe a fait l’objet d’une fuite de données.  A noter que si l’un des éléments est trouvé, alors il affiche l’information complémentaire en clair !!

https://ghostproject.fr/

Dans l’exemple ci-dessous , une adresse email soumise, et le site renvoi que l’email fait bien partie d’une fuite de données, puis renvoi le mot de passe associé (vérifié, le couple login/mot de passe a bien existé… il y a 8 ou 9 ans).

 

Connexion WIFI WPA2 Entreprise sur un AD 2012R2 + NPS Windows 2012R2

4 Comments

Le but est présenter comment faire en sortie que les bornes Wifi de votre entreprise permettent à vos salariés de se connecter aux ressources réseaux, avec le login+mot de passe Windows de l’utilisateur, en authentification automatique et transparente pour lui.

Le contexte du tuto :

  • 1 serveur Windows 2012 R2 avec le rôle AD DS.
  • 1 serveur Windows 2012R2 avec NPS
  • 1 serveur Windows 20xx de certificats Active Directory intégré au domaine (si possible configuré en Autorité de certification d’entreprise, racine ou secondaire).
  • 1 portable sous Windows 7 Pro.
  • 1 borne Wifi qui supporte l’authentification RADIUS (peu importe du 802.11 a, b, n ou ac…)

Quelques préalables :

Principalement si vous êtes sur des fréquences en 2.4 Ghz, faites en sorte que les canaux utilisés ne se chevauchent pas entre eux si vous avez plusieurs bornes, idem si d’autres bornes Wifi  sont présentes dans votre voisinage proche. Cette question ne s’applique pas réellement en 5 Ghz.

canaux

Source : http://reseau-wifi.blogspot.fr/

Configuration du serveur Network Policy Server

Via l’Assistant Ajout de rôles et fonctionnalités, ajoutez le rôle Service de stratégie et d’accès réseau

Capture1

Puis le service de rôles Serveur NPS

Capture2

La configuration du NPS se fera via l’outil Serveur NPS

La première chose est d’inscrire votre serveur dans l’AD

Capture5

Puis de déclarer vos clients RADIUS (vos bornes Wifi en l’occurrence).

Un click droit sur le conteneur Clients RADIUS puis d’ajouter un nouveau client. Donnez un nom à ce client, son IP et spécifiez un secret partagé  (qu’il faudra renseigner sur ce client).

Capture6

L’étape suivante consiste à déclarer les stratégies de connexion et d’accès pour vos utilisateurs.

Dans le conteneur Stratégies Réseau, créez une nouvelle stratégie.

Donnez lui un nom significatif, laissez le type de serveur à Non spécifié

Capture8

Précisez les conditions qui détermineront à qui et sur quels critères cette stratégie s’appliquera. En version simple, ajoutez la condition Groupes Windows et donnez votre groupe d’utilisateurs autorisés à se connecter aux bornes WIFI.

Capture9

Dans l’étape suivante, accordez l’accès. Il est possible de laisser les propriétés individuelles des utilisateurs (onglet Accès Distant) surcharger les celles de cette stratégie réseau, en cochant la case.

Etape suivante, précisez les protocoles d’authentification autorisés :

Capture10

Puis spécifiez d’éventuelles contraintes supplémentaires (horaires, durée de session, jours de connexion, média de connexion) : ici spécifiez le Sans-Fil.

Capture11

Une fois validée, vérifiez que la stratégie soit bien en priorité.

Capture12

C’est fini pour la partie NPS.

Côté borne WIFI, un exemple de configuration :

Le mode d’authentification (WPA2 Entreprise) avec AES, puis l’adresse IP de votre serveur NPS , ainsi que le secret partagé plus haut.

Capture13

Connexion Wifi WPA2 via un Active Directory 2008

Les étapes et explications pour relier un point d’accès Wifi (en WPA2) à un réseau LAN + Active Directory 2008.

Les mécanismes mis en œuvre font appel à un serveur NPS (Network Policy Server) , un serveur AD, une autorité de certificats.

Les protocoles utilisés sont Radius std, PEAP et MS CHAP v2.

Le scénario connecte un portable Windows XP SP3 (hors domaine) sur un AD 2008.

wifi-activedirectory2008-v2