On Fri, 22 Aug 2003 19:37:09 +0200
Stephane <reboot@???> wrote:
> Je reviens à la charge: Pourquoi ne pas utiliser du PPTP (standard
> dispo sous Win & Lin) avec le cryptage MPPE (proprietaire MS mais
> aussi dispo sous Linux).
> Cela assure une authentification et un cryptage de la communication en
>
> 128 bits.
Je l'avais envisagé mais en fait j'ai pas trouvé enormement de docs là
dessus
>
> Pas de scripting, d'iptables, pas de site web, pas de problème de WEP
> ou de MAC/ARP, que du RFC (ou presque), et c'est fait exprès pour du
> VPN... Ca me parait être l'idéal pour du VPN client/server hétérogène.
m'enfin remplacer du WEP 128 fait en dur par la carte reseau par un
hachage RC4
lui aussi sur 128 bits en soft, je suis pas sur que l'on y gagne (en
securité comme en performances).
> www.poptop.org, rubrique Documentation
Je garde à l'oeil
Toujours est il que c'est peut être compliqué a expliquer ma methode,
mais une fois posé en python, c'est tout simple (21ko, images comprises)
Si cel interesse du monde, en exclusivité (interplanétaire) :
ftp://islay.dyndns.org/pub/sesame-0.1.tar.gz
--
Jérôme @taz : Morgan 1200 + 1Go DDR in a 10L SS40G
"Windows 95 is a 32-bit shell for a 16-bit extension to an 8-bit
operating system designed for a 4-bit microprocessor by a 2-bit company
that can't stand one bit of competition."
Sesame Authentification v0.012
==============================
(c) 2003 Jerome KIEFFER (kieffer@???).
Principe :
----------
autoriser l'acces a un reseau par l'attribution dynamique
de regles de firewalling avec iptables
en fait ca sert a authoriser (ou pas) des gens a se connecter sur
internet
depuis votre reseau WIFI.
Je ne cache pas m'etre inspire du projet "NoCat" qui est lui meme sous
GPL.
Les pages web sont pompees de chez eux ainsi que la trame de certains
programmes.
Pourtant sesame est un projet bien different : il est ecrit en python,
pas en perl
et il est concu pour tourner sur une seule machine. la passerelle est
donc aussi le serveur web
Un grand merci donc a rob@???
Necessite :
-----------
Linux avec kernel 2.4 ou + supportant netfilter/iptables
apache-ssl (avec le CGI autorise)
Python (2.2 ou mieux)
Un firewall deja configue. ici on ne fait que modifier quelques petites
regles pour ouvrir ou fermer des portes.
sudo (pour modifier le firewall)
============
Installation
============
dezipper l'archive, je vous conseille de la placer dans
/usr/local/sesame
A default il faudra redefinir la variable home au debut de chaque
executable.
Installer et configurer apache-SSL pour faire pointer la racine dans
/usr/local/sesame/htdocs. de meme autoriser les scripts CGI et faire
pointer
le repertoire cgi-bin vers /usr/local/sesame/cgi-bin
Configurer les regles de firewalling dans
/usr/local/sesame/bin/access.fw
Installer sudo et ajouter la regle contenue dans
/usr/local/sesame/etc/sudo
dans votre /etc/sudoers (authorisation pour executer access.fw
Configurer CRON pour qu'il ferme les connection devenues inutiles. Pour
cela
copier /usr/local/sesame/etc/cron.d dans /etc/cron.d/sesame
======================
Ajout d'un utilisateur
======================
cela se fait simplement par la commande "add-sesam" contenue de le
repertoire
/usr/sesame/bin. il faut fournir le nom, le mot de passe, la MAC et l'IP
de la
carte reseau et quelques autres infos (email, adresse) facultatives.
============
Utilisation
============
Si votre routeur se nomme "gw", un client obtient une IP statique par
DHCP,
Pour acceder a internet depuis le reseau (WIFI) local, il se connecte
sur
le serveur web :
https://gw/cgi-bin/login
ceci est crypte pour eviter le sniffage du mot de passe.
Une fois authentifie, le progamme ouvre une porte du firewall pour
laisser sortir
les paquets venant de la MAC/IP de l'ordinateur authentifie.
Les portes se referment au bout de 2 minutes d'inactivite.
POur les buggs report, et autres commentaires :
kieffer@???
