Sys

Create wifi hotspot (Deb 11 - Bullseye)

# Step 1: Add a new Wi-Fi connection with a specified SSID and configure it as a hotspot
nmcli con add type wifi ifname wlan0 con-name Hostspot autoconnect yes ssid BIGSSID
# - type wifi: Specifies that this is a Wi-Fi connection.
# - ifname wlan0: Indicates the wireless interface to use (e.g., wlan0).
# - con-name Hostspot: Assigns a name to the connection for easier management.
# - autoconnect yes: Ensures the connection starts automatically when possible.
# - ssid SI-T2b: Sets the name of the Wi-Fi network (SSID) to "SI-T2b".

# Step 2: Configure the Wi-Fi mode to Access Point (AP) and enable internet sharing
nmcli con modify Hostspot 802-11-wireless.mode ap 802-11-wireless.band bg ipv4.method shared
# - 802-11-wireless.mode ap: Configures the device to operate as an access point (hotspot).
# - 802-11-wireless.band bg: Sets the wireless band to 2.4 GHz (b/g standard).
# - ipv4.method shared: Shares the internet connection with devices connected to the hotspot.

# Step 3: Set the Wi-Fi security to WPA-PSK (Wi-Fi Protected Access with Pre-Shared Key)
nmcli con modify Hostspot wifi-sec.key-mgmt wpa-psk
# - wifi-sec.key-mgmt wpa-psk: Configures the network to use WPA-PSK for authentication.

# Step 4: Set the Wi-Fi password
nmcli con modify Hostspot wifi-sec.psk "mypassword"
# - wifi-sec.psk "veryveryhardpassword1234": Defines the password for connecting to the hotspot.

# Step 5: Activate (bring up) the hotspot
nmcli con up Hostspot
# - This command starts the hotspot using the defined configuration.

Change password

nmcli con modify Hostspot wifi-sec.psk "newpassword1234"
nmcli con down Hostspot
nmcli con up Hostspot

Méthodes d'authentification RADIUS du service NPS (Windows)

1. PAP (Password Authentication Protocol)

  • Description : Envoie les mots de passe en clair sur le réseau.

  • Sécurité : Très faible, à éviter sauf si une couche de cryptage (comme TLS) protège la communication.

  • Cas d’usage : Rarement utilisé en raison de sa vulnérabilité.

2. CHAP (Challenge Handshake Authentication Protocol)

  • Description : Utilise un processus de défi/réponse où le mot de passe n’est jamais envoyé en clair.

  • Sécurité : Plus sûr que PAP, mais considéré comme obsolète face à des méthodes modernes.

  • Cas d’usage : Surtout dans des systèmes anciens.

3. MS-CHAP (Microsoft CHAP)

  • Description : Variante améliorée de CHAP spécifique à Microsoft, avec des mécanismes supplémentaires pour les systèmes Windows.

  • Sécurité :

    • MS-CHAP v1 : Obsolète.

    • MS-CHAP v2 : Encore utilisé, mais vulnérable à certaines attaques.

  • Cas d’usage : Compatibilité avec des systèmes hérités.

4. EAP (Extensible Authentication Protocol)

  • Description : Cadre extensible qui supporte plusieurs méthodes d’authentification robustes.

  • Sécurité : Très élevée selon la méthode utilisée.

    • PEAP (Protected EAP) : Utilise un tunnel TLS pour protéger l'échange d'identifiants.

    • EAP-TLS : Basé sur des certificats pour une authentification forte.

    • EAP-MSCHAPv2 : Combine MS-CHAPv2 avec un tunnel sécurisé (PEAP).

  • Cas d’usage : Recommandé pour les environnements nécessitant une sécurité élevée, notamment dans les réseaux Wi-Fi entreprise (802.1X).

5. Authentification basée sur les certificats

  • Description : Utilise des certificats numériques pour authentifier les utilisateurs ou les appareils.

  • Sécurité : Très élevée, élimine les risques liés au vol de mots de passe.

  • Cas d’usage : Scénarios nécessitant un haut niveau de confiance, comme les connexions VPN ou Wi-Fi.

Résumé

  • Recommandé : Méthodes basées sur EAP, particulièrement EAP-TLS ou PEAP, pour leur robustesse et leur compatibilité avec des normes de sécurité avancées.

  • À éviter : PAP et CHAP, en raison de leur faible niveau de sécurité.

Tableau récapitulatif des méthodes d'authentification RADIUS

Méthode

Description

Fonctionnement

Sécurité

Cas d’usage

PAP

Envoie les mots de passe en clair.

Les identifiants sont transmis directement sans chiffrement.

Très faible, à éviter sauf si protégé par TLS.

Rarement utilisé en raison de sa vulnérabilité.

CHAP

Défi/réponse, mot de passe non envoyé en clair.

Hachage du mot de passe côté client, puis vérification par le serveur via un défi.

Plus sûr que PAP, mais obsolète face aux méthodes modernes.

Utilisé dans des systèmes anciens.

MS-CHAP v1

Variante Microsoft de CHAP.

Ajoute des améliorations à CHAP, mais utilise des algorithmes de chiffrement obsolètes.

Obsolète, faible contre les attaques modernes.

Compatibilité avec systèmes anciens.

MS-CHAP v2

Version améliorée de MS-CHAP.

Utilise un défi/réponse bidirectionnel avec un chiffrement basé sur DES, mais présente des failles connues.

Plus sécurisé que v1, mais vulnérable à certaines attaques.

Utilisé dans des scénarios avec besoins modérés.

EAP-PEAP

Tunnel TLS pour protéger les identifiants.

Établit un tunnel chiffré avec TLS avant d'envoyer les identifiants via EAP-MSCHAPv2.

Sécurisé, largement utilisé pour les réseaux Wi-Fi et entreprise.

Recommandé pour les environnements modernes.

EAP-TLS

Authentification via certificats numériques.

Établit un tunnel TLS sécurisé, puis authentifie via des certificats numériques échangés entre client et serveur.

Très élevé, basé sur la cryptographie forte.

Scénarios exigeant une sécurité maximale, comme Wi-Fi ou VPN.

EAP-MSCHAPv2

MS-CHAPv2 intégré dans un tunnel sécurisé (PEAP).

Le mot de passe est protégé par le tunnel TLS et validé via un défi/réponse avec EAP-MSCHAPv2.

Sécurisé, mais dépend du mot de passe et du tunnel TLS.

Bon compromis pour des réseaux nécessitant simplicité et sécurité.

Authentification Cert.

Utilisation de certificats pour authentifier utilisateurs ou appareils.

Utilise TLS pour l’échange et la vérification de certificats sans nécessiter de mot de passe.

Très élevé, élimine les risques liés aux mots de passe.

Scénarios nécessitant un haut niveau de confiance.

Feature

Kerberos

RADIUS

Purpose

Authentication (SSO)

Authentication, Authorization, Accounting (AAA)

Protocol Type

Ticket-based

Request/Response-based

Encryption

Strong (time-limited tickets)

Shared secrets + optional TLS

Use Cases

SSO, distributed environments

Network access control

Integration

Works with LDAP, AD

Works with Wi-Fi, VPN, etc.

Ports

TCP/UDP 88

UDP 1812 (auth), 1813 (acct)

Security

Time-limited tickets, mutual authentication

Extensible, depends on transport

Scope

Domain-centric

Network-centric

Certificates

self signed

# With existing key file.key
sudo openssl req -x509 -days 1825 -key file.key -out mydomain.crt

# Without key (file.key) -> gen RSA key + crt of 5 years validity (1825 days)
sudo openssl req -x509 -newkey rsa:2048 -keyout file.key -out mydomain.crt -days 1825

# Check new cert from CLI (Bash)
echo | openssl s_client -showcerts -servername srv.domain.com -connect srv.domain.com:443 2>/dev/null | openssl x509 -inform pem -noout -text
PreviousNetNextWIN

Last updated