Mise en place d'un serveur Radius

Endast

• Le portail captif est fonctionnel

• L'authentification est fonctionnel, que ce soit avec FreeRadius sur PfSense ou avec un serveur déporté

• La sécurité reste un point important, mais le réseau est à destination du personnel de l'entreprise, il n'est donc pas non plus néccessaire de batir une forteresse

• Les besoins sont : authentification avec password et login-time, mais aussi surtout ce que je n'arrive pas encore à faire, suivi des connexions. J'arrive à savoir quand est-ce qu'un user s'est loggué mais qu'à-t-il fait, combien de Bandwidth a t-il consommé, combien de temps il est resté… est-ce que c'est possible d'avoir ces informations sur PfSense directement avec FreeRadius en local ?

Mon interrogation se porte aussi sur les performances que cela peut engendrer d'avoir le serveur chez soi (sur PfSense) ou déporté.

Personnellement ce que j'ai remarqué, c'est que c'est beaucoup plus rapide quand FreeRadius est installé avec le Package sur PfSense.

J'ai lu aussi sur ce forum, que beaucoup d'entre vous conseille FreeRadius déporté car PfSense doit garder son rôle de firewall/routeur et le fait de lui ajouter des fonctionnalités crée des failles. Je le redis, le réseau doit être sécurisé certes, mais selon le public, est-ce vraiment nécessaire selon vous ?

Merci d'avance pour vos réfléxions.

chris4916

@Endast:

La sécurité reste un point important, mais le réseau est à destination du personnel de l'entreprise, il n'est donc pas non plus nécessaire de bâtir une forteresse

Il est assez communément admis qu'une grande partie des problèmes de sécurité des entreprise vient "de l’intérieur". (regarde par exemple à ce qui est arrivé à TV5 Monde il y a peu). Ce n'est pas nécessairement une malveillance volontaire de la part d'un personnel de l'entreprise (mais ça arrive) mais le plus souvent, et de plus en plus souvent du fait des devices mobiles, une faille introduite à l'insu de l'utilisateur, qui donne à accès "depuis l'intérieur".
Méfiance donc avec cette vision "c'est dedans donc raisonnablement sûr"

Personnellement ce que j'ai remarqué, c'est que c'est beaucoup plus rapide quand FreeRadius est installé avec le Package sur PfSense.

C'est assez normal  :)
C'est comme si tu fais le test avec un proxy et sans proxy. Prétendre accélérer l'accès internet (même si l'aspect de moins en moins statique des pages rend cette approche moins intéressante) avec un proxy n'est vrai qu'avec un nombre significatif de connexion. Si un seul utilisateur accède un seul site avec et sans proxy, l'accès "sans proxy" est plus rapide car il y a une étape de moins et zéro effet de cache.
Une autre analogie: les application servers. Si tu installe Apache + Tomcat sur la même machine, ça va plus vite que si tu les installes sur des machines séparées. L'accès à 127.0.0.1 est plus rapide que via une interface externe. Mais ça ne scale pas pareil et n'offre pas les mêmes fonctionnalités.

J'ai lu aussi sur ce forum, que beaucoup d'entre vous conseille FreeRadius déporté car PfSense doit garder son rôle de firewall/routeur et le fait de lui ajouter des fonctionnalités crée des failles. Je le redis, le réseau doit être sécurisé certes, mais selon le public, est-ce vraiment nécessaire selon vous ?

Le vrai risque, en l’occurrence, est plus lié au design de pfSense qui gère un nombre important de fonctionnalités sous forme de packages qui sont maintenus par des équipes tierces, et donc pas tout le temps bien maintenus ni alignés avec les versions de pfSense.

Dans tous les cas de figure, tu auras plus de flexibilité avec un serveur Radius dédié.

Endast

Dans tous les cas de figure, tu auras plus de flexibilité avec un serveur Radius dédié.

Pas de doute là dessus.

Cependant, j'ai longuement cherché à faire des copies de configuration "toute prête" sur DaloRadius et je n'ai pas trouvé… Alors en cas de soucis, on doit réinstaller la base de données, et la reconfigurer, la seule chose qu'on peut importer ensuite est le contenu de la base de données.

PfSense pour le coup est beaucoup plus pratique, un backup de fait, si ça foire, on réinstalle le système dans le pire des cas, on reconfigurer les interfaces, on restaure le backup et c'est réglé. Aussi ça m'a l'air plus intuitif comme interface Pfsense, même si la gestion des utilisateurs n'introduit pas la notion de groupe et ça par contre c'est un réel point noir.

Le vrai risque, en l’occurrence, est plus lié au design de pfSense qui gère un nombre important de fonctionnalités sous forme de packages qui sont maintenus par des équipes tierces, et donc pas tout le temps bien maintenus ni alignés avec les versions de pfSense.

D'accord, j'avais pas bien compris cette notion de package surtout au niveau de la maintenance. Mais franchement d'après ce que je vois, l'herbe n'est pas toujours plus verte ailleurs, il suffit de regarder l'état de chillispot/coovachilli, des docs de partout qui ne suivent la même procédure, des bugs selon que le système soit installé à 18h00 ou à 20h00 (j'exagère un peu…. mais pas tant que ça).

J'en parlerais avec l'entreprise mais vraiment un serveur déporté ne me tente pas, bien que ça ait des avantages, j'ai l'impression qu'avec les softs que j'utilise ça apporte aussi pas mal d'inconvénients. Ne parlons même pas de la configuration de DaloRadius... plus compliqué qu'avec OpenLDAP  :P

Je pense que le seul point, personnel, qui me ferait basculer vers un déporté, c'est la possibilité ou pas de suivre les connexions un peu plus "en profondeur" sur PfSense. Et quand bien même, on peut dès le départ appliquer des restrictions sur la consommation, là encore je me pose la question si ce suivi des conso (et non pas des logs users et système, ça on est d'accord on peut pas s'en passer) est encore nécessaire.

chris4916

Il est évident que si tu fais la comparaison avec d'autres solutions qui embarquent également un serveur Radius intégré, la solution pfSense n'est peut-être pas la pire.
La comparaison raisonnable serait plutôt de regarder l'implémentation pfSense de FreeRadius par rapport à un déploiement de FreeRadius "à la main" que tu pourras personnaliser dans les limites de ce que supporte le logiciel, en terme de dictionnaire et profiling (par exemple des groupes)

L'argument "facilité d'administration et d'opérations" est effectivement un point fort mais à balancer avec les points évoqués avant de faire ton choix. Et si celui-ci est déjà fait, comme semble l(indiquer ta réponse, je ne comprends pas bien pourquoi tu poses la question  ;) :P

Ne te trompe pas non plus d'objectif. Tu sembles te focaliser sur la facilité d'installation à l'interface graphique mais le point le plus important reste malgré tout les fonctionnalités et la stabilité de la solution, à mon avis.

Endast

Il est évident que si tu fais la comparaison avec d'autres solutions qui embarquent également un serveur Radius intégré, la solution pfSense n'est peut-être pas la pire.

Justement, cette solution n'intègre pas FreeRadius avec un package…. mais on peut l'installer sur un serveur déporté ou sur le localhost.

La comparaison est à peu près faite, et tu la résumes très bien : Simplicité d'utilisation  :P , peut-être aussi moins stable (PfSense + Radius local), mais en tout cas beaucoup plus facilement déployable et maintenance aisée du fait des backups.

Franchement, Radius et Daloradius (interface web de radius) est une galère à installer et à configurer sur un déporté, en cas de plantage, je doute réellement des motivations d'un admin à le réinstaller si ce n'est pas absolument nécessaire, surtout au vu de la fréquence auquel le service captif sera réutilisé.

Je ne te cache pas que mon choix est en partie fait, mais je voulais mesurer au mieux les risques que je prenais en faisant ce choix, et vraiment m'assurer que c'était peut-être pas le meilleur, mais un bon choix dans mon architecture, qui reste quand même assez simple.

Merci pour ton avis, je pense maintenant que je vais regarder la fréquence des mises à jour des apps que je mets en place, afin de me faire une idée.

Cela dit, le débat peut continuer  ;)

chris4916

@Endast:

Justement, cette solution n'intègre pas FreeRadius avec un package…. mais on peut l'installer sur un serveur déporté ou sur le localhost.

Dalo est un peu différent, ce n'est que je GUI. mais un tel GUI est-il indispensable ?

Je ne te cache pas que mon choix est en partie fait, mais je voulais mesurer au mieux les risques que je prenais en faisant ce choix, et vraiment m'assurer que c'était peut-être pas le meilleur, mais un bon choix dans mon architecture, qui reste quand même assez simple.

C'est exactement mon point: que tu fasses ton choix en connaissance des risques, pros & cons des différents design. C'est de ça dont il faut en premier lieu discuter  ;)

A mon sens, compte tenu du faible nombre de changements sur un serveur Radius, une installation "à la main" en standalone n'est pas très compliquée et en revanche très flexible mais c'est à mesurer en fonction de l'expérience de chacun.

Endast

Quand tu dis à la main, tu insinues donc que les clients devront être gérés par le fichier users sur le système directement ?

ça par contre j'y avais pas pensé, et là effectivement ça reste simple et on a des garanties en plus sur la fiabilité du système.

chris4916

@Endast:

Quand tu dis à la main, tu insinues donc que les clients devront être gérés par le fichier users sur le système directement ?
ça par contre j'y avais pas pensé, et là effectivement ça reste simple et on a des garanties en plus sur la fiabilité du système.

En fait, non… j'ai fait un raccourci qui consiste à ne voir Radius que ce pour quoi il est initialement fait, à savoir gérer l'authentification des utilisateurs distants.
Initialement, Radius (Remote Authentication Dial-In User Service) sert à fournir AAA (Authentication, Authorization, and Accounting). Il est donc coçu pour pouvoir gérer sa propre base de compte mais également, et c'est comme ça qu'il devrait, la plupart du temps être déployé, en s'appuyant sur une base de compte fournie par un service dont c'est la fonction, par exemple LDAP.

La gestion d'utilisateurs dans Radius en l'absence d'un back-end de gestion de compte est assez lourde (en l’absence d'interface graphique).
Du coup, je comprends mieux ton propos.

Endast

Cela dit tu m'as donné une bonne idée…

C'est lourd certes, mais c'est faisable, le système est fiable, on sauvegarde le fichier, on le redéploie à la demande, une fois que le fichier est en place, on n'y touche plus pour une bonne période normalement...

Bon les deux choix restent possible  ::)

chris4916

Disons que chacun réfléchi en fonction de ses priorités et expériences.
Comme je suis plutôt spécialisé dans l'Identity Management, j'ai tendance à me soucier, dans ce type de réflexion, d'abord de la manière dont seront gérés les comptes, dans l'absolu, et ensuite de venir greffer dessus les services qui peuvent en bénéficier.

Il ne me viendrait donc pas à l'idée de créer une base de compte spécifique à un service tel que Radius.
Si demain tu décides de mettre en place Kerberos ou du profiling avec ton proxy ou encore une authentification dans une application, ta base de compte dédiée Radius ne te sera pas très utile, AMHA  8)

Endast

Je me rends compte que j'ai oublié de dire quelque chose :

Je pense qu'à l'avenir si l'entreprise vient à implémenter des nouveaux services, ils ne vont pas se baser sur le service Radius, ils ont déjà une AD, un logiciel gestion des users etc etc…

Le portail captif que je mets en place ne se servira du réseau local que pour l'accès Internet. On peut totalement enlever ce portail que ça ne changerait rien au fonctionnement global du réseau (à part le Wifi qui ne fonctionnerait plus).

Je te respecte d'autant plus pour ça d'ailleurs parce que c'est une problématique que je trouve extrêmement intéressante, mais dans mon cas là, on peut s'en passer  :P

Tatave

Salut salut

Il y a des passerelles entre AD et radius, il y avait fut un temps de nombreux howto sur le sujet sur les version antérieur a la 2.2x

Cordialement

chris4916

@Endast:

Je pense qu'à l'avenir si l'entreprise vient à implémenter des nouveaux services, ils ne vont pas se baser sur le service Radius, ils ont déjà une AD, un logiciel gestion des users etc etc…

Dans ce cas, mon point reste parfaitement valide et même simplifié ;D  il te suffit d'appuyer ton serveur Radius sur ton AD existant.
Tu peux lire ça par exemple.

Endast

Bonjour, Désolé c'était le week end  :P

Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.

J'ai donc deux solutions :

• Mettre directement les utilisateurs sur PfSense

• Les configurer sur un serveur dédié Radius (avec interface web ou pas) mais il ne servira qu'à ça

chris4916

@Endast:

Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.

J'avoue ne pas comprendre le sens de cette phrase  :-[
Si tu veux bien reformuler  ;)

[quote]
J'ai donc deux solutions :

• Mettre directement les utilisateurs sur PfSense

• Les configurer sur un serveur dédié Radius (avec interface web ou pas) mais il ne servira qu'à ça

Dans TOUS les cas de figure (du moins ceux que j'imagine), mettre en place une gestion de comptes parallèles pour les utilisateurs n'est pas une bonne idée. Ceux-ci disposent déjà d'un login/password, de process de changement de mot de passe etc. Leur  imposer de gérer un autre login/password pour un besoins spécifique est surprenant et source d'une surcharge administrative loin d'être négligeable, avec donc un coût pour l'entreprise.

De plus, appuyer un service sur AD pour faire de l’authentification n'est pas intrusif pour le domaine  ::)

Bref, il y a quelque chose qui m'échappe dans ta réflexion.

Endast

Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.

J'avoue ne pas comprendre le sens de cette phrase  :-[
Si tu veux bien reformuler  ;)[/quote]

Je reformule  :P
Le serveur AD de l'entreprise est tellement important qu'ils ne me laisseront le toucher, étant donné que je suis uniquement stagiaire. Je pense qu'ils ont peur que je fasse des erreurs sur celui-ci et ils auraient raison  ::)

Je vais voir avec eux, ce qu'ils en pensent, mais visiblement ça n'a pas l'air de poser de problème le fait de devoir gérer une deuxième authentification…

Par contre, oui je comprends ce que tu veux dire, et je sens que l'administrateur va recevoir pas mal de coup de fil pour retrouver les logins/password de chacun...

chris4916

@Endast:

Je reformule  :P
Le serveur AD de l'entreprise est tellement important qu'ils ne me laisseront le toucher, étant donné que je suis uniquement stagiaire. Je pense qu'ils ont peur que je fasse des erreurs sur celui-ci et ils auraient raison  ::)

C'est plus clair  :D
Mais avec un serveur Radius qui s'appuie sur AD, tu ne touches pas à AD dans le sens ou tu ne modifies pas celui-ci

Je vais voir avec eux, ce qu'ils en pensent, mais visiblement ça n'a pas l'air de poser de problème le fait de devoir gérer une deuxième authentification…

Avec un vrai administrateur qui comprends ce que ça signifie, je serais très surpris.

Par contre, oui je comprends ce que tu veux dire, et je sens que l'administrateur va recevoir pas mal de coup de fil pour retrouver les logins/password de chacun…

D'autant que ce n'est pas possible. Possible au niveau login bien sûr, mais est-ce vraiment souhaitable car dès lors que tu gères ta propre base de compte, se mettre une contrainte supplémentaire qui serait d'avoir le même login n'a pas vraiment de sens, techniquement, et demande du travail de coordination à la main.
De plus, tu vois bien qu'avant même d'avoir commencé, tu veux retrouver le mot de passe, ce qui signifie des velléités de synchronisation, la aussi à la main, du-dit mot de passe. Hormis le fait que c'est illusoire, c'est une difficulté supplémentaire.

Endast

Imaginons que je connecte Radius à AD, là encore tu me conseillerais d'utiliser un serveur Radius dédié, ou alors on pourrait utiliser le package FreeRadius de PfSense ?

chris4916

1 - Je commencerais par regarder s'il n'y a pas déjà un serveur Radius dans l'entreprise  ;)
2 - Un serveur Radius dédié me semble plus souple et moins risqué que le package pfSense, mais celui-ci va fonctionner  ;)  (oui c'est une réponse de normand  :-[  ;D)

Endast

Bon changement de plan… ^^"

On utilise l'active Directory et on voit si ça fonctionne et si c'est pas trop galère à mettre en place. Bon pour l'instant je teste toujours avec le package FreeRadius, plus simple, et si c'est concluant on va passer au freeradius dédié.

Par contre, ça devient flou là...

On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?

Parce que ça ressemble pas trop à ce que je vois ici... : https://forum.pfsense.org/index.php?topic=44689.0

Aussi, je précise, les seules informations dont je dispose sur l'AD sont son adresse, son FQDN (CN, OU etc...) et un compte valide sur celui-ci à savoir le mien pour tester les authentifications, ça me paraît peu suffisant.