Mémoire FB

Fabien Barthlmy Licence ARE 2010-2011
| 2

Sommaire
POUR DES RAISONS DE CONFIDENTIALITE, IL MA ETE DEMANDE DE
SUPPRIMER TOUTE REFERENCE A MON ENTREPRISE DALTERNANCE. JE
POURRAIS FOURNIR LE DOSSIER COMPLET (AVEC ANNEXES) SUR
DEMANDE. LINDEXATION DES PAGES EST DE CE FAIT INCORECTE ET LA
MISE EN PAGE EST AUSSI IMPACTEE.
I. Introduction : ........................................................................................................ 4
3. Mes activits en entreprise : ......................................................................... 5
IV. Cahier des Charges : ........................................................................................... 6
1. Le projet : ..................................................................................................... 6
2. Les rseaux sans-fil : ................................................................................... 6
Prsentation gnrale : .......................................................................................................... 6 a.
Le Wi-Fi : ................................................................................................................................ 6 b.
IEEE 802.11 : ........................................................................................................................... 7 c.
Scurit Wi-Fi : ....................................................................................................................... 7 d.
Le matriel : ........................................................................................................................... 7 e.
3. Exigences techniques : ................................................................................ 8
4. Exigences financires : ................................................................................ 9
V. Organisation du projet : ........................................................................................ 9
1. Les diffrentes phases du projet : ................................................................ 9
2. Organisation des tches : ........................................................................... 10
3. Diagramme de GANTT prvisionnel : ......................................................... 12
VI. Droulement du projet : .......................................................................................13
1. Etude de lexistant : .................................................................................... 13
2. Problmatique : .......................................................................................... 16
3. Choix de larchitecture : .............................................................................. 16
4. Mise en place des VLAN : .......................................................................... 17

Gnralits sur les VLAN : .................................................................................................... 17 a.
Mise en place de la nouvelle architecture (Cf Annexe 2) : .................................................. 18 b.
5. Le rseau Visiteurs : ................................................................................... 19
Les portails captifs :.............................................................................................................. 19 a.
| 3

Etudes des solutions : .......................................................................................................... 20 b.
Test des solutions :............................................................................................................... 25 c.
Choix de la solution : ............................................................................................................ 25 d.
Installation et configuration de pfSense (Cf Annexe 3) : ..................................................... 26 e.
6. Le rseau Employs : ................................................................................. 27
Scurit : .............................................................................................................................. 27 a.
Mise en place (Cf Annexe 4) : .............................................................................................. 30 b.
7. Les Points daccs : ................................................................................... 32
Dfinition du besoin : ........................................................................................................... 32 a.
Etude du matriel : .............................................................................................................. 32 b.
Choix de la solution : ............................................................................................................ 35 c.
Choix de lemplacement des bornes : .................................................................................. 35 d.
Installation et configuration des bornes (Cf Annexe 5) : ..................................................... 35 e.
8. Phase de recette du projet ......................................................................... 36
Difficults rencontres : ....................................................................................................... 36 a.
Respect des exigences : ....................................................................................................... 36 b.
Satisfaction des utilisateurs : ............................................................................................... 39 c.
Respect des dlais : .............................................................................................................. 40 d.
VII. Conclusion : ........................................................................................................41
1. Professionnelle : ......................................................................................... 41
2. Personnelle : .............................................................................................. 41
VIII. Bibliographie : .....................................................................................................42
IX. Glossaire : ...........................................................................................................43

| Introduction : 4

I. Introduction :

De nos jours linformatique prend une place primordiale dans la vie dune
entreprise, le besoin de mobilit des employs au sein des btiments ainsi que
limportance doffrir un accs internet aux visiteurs, nous amne implanter des
rseaux wifi.
Mais le rseau informatique dune entreprise regroupe toutes les donnes
sensibles. Le rseau sans fil tant par dfinition un rseau de propagation dondes,
les murs de lentreprise nen dlimitent pas la fin qui le rend vulnrable au monde
extrieur.

| Prsentation de lentreprise : 5

II. Prsentation de lentreprise :

III. Organisation informatique :
Mes activits en entreprise :

Jai t embauch le 1er septembre 2010 au poste dassistant administrateur
rseau au sein de la socit X. Durant cette anne de formation on ma confi toutes
les tches de ladministration rseau, mes principales activits ont t les suivantes :

Assurer le support et la formation des utilisateurs
Rpondre aux demandes individuelles en tablissant un ordre de priorit.
Apporter une solution dfinitive ou temporaire afin que le collaborateur puisse
travailler.
Etablir, diffuser, maintenir des guides de lutilisateur disponibles et accessibles
tous.
Administrer les serveurs
Assurer le fonctionnement de chaque serveur dans le rle qui lui a t
attribu.
Mettre sous audit (alerte + indicateur de performance) chaque serveur
(Nagios).
Seconder le responsable informatique pour assurer la disponibilit du
systme.
Maintenir la scurit informatique
Faire respecter les rgles mise en place par la hirarchie.
Grer les paramtres de scurit des postes clients, logiciels et donnes
utilisateurs.
Administrer les sauvegardes et les mises jour.
Grer les utilisateurs et leurs accs aux diffrentes applications, y compris
utilisateurs nomades (vpn, smartphone).
Grer le parc
Planifier et approvisionner les besoins court terme (consommables).
Rparer / remplacer le matriel en cas de panne, fournir un matriel de
remplacement pendant lintervention en cas de besoin.
Grer les stratgies de mises jour du parc Windows.

Durant la seconde partie de ma formation on ma confi un projet de mise en
place de deux rseaux Wi-fi afin doffrir un accs internet pour les visiteurs et une
extension sans fil du rseau local pour les employs, cest ce projet qui sera
dvelopp au cours du mmoire.
| Cahier des Charges : 6

Durant la totalit de ma prsence en entreprise jai un contact rgulier avec
tous les employs ainsi que les diffrents fournisseurs et supports techniques notre
disposition.

IV. Cahier des Charges :

1. Le projet :

Ce projet a pour but de repenser toute larchitecture du rseau sans-fil de la
socit afin de rendre plus accessible aux employs ainsi quaux visiteurs une
connexion sans-fil dans les locaux de lentreprise. Il comprend la phase dtude, de
recherche, de mise en place et de recette.

2. Les rseaux sans-fil :

Prsentation gnrale : a.

Un rseau sans fil est un rseau o plusieurs terminaux peuvent
communiquer sans avoir besoin dune connexion filaire. Ce type de rseau apporte
une flexibilit dans le sens o lutilisateur reste connect mme sil se dplace.

Cette technologie permet de limiter les cots de mise en place dun rseau,
elle vite tout le cblage, se dploie assez rapidement, et permet de connecter tout
type de terminal ne disposant pas forcment de prise rseau (Smartphones par
exemple). Les rseaux sans fils permettent aussi une grande souplesse dvolution
de par le peu de modifications physiques quengendre le dmnagement du rseau
ou bien le changement de technologie.

Mais les rseaux sans fils prsentent aussi quelques inconvnients comme la
scurit car avec un rseau sans fil, ce nest plus les murs de lentreprise qui
dlimitent les accs mais bien la propagation des ondes qui peuvent parfois tre
captes par des personnes qui ne sont en aucun cas concern par lentreprise ; ou
bien la continuit du signal qui peut tre entrave par les interfrences avec dautres
appareils mettant des ondes.

Le Wi-Fi : b.


Le Wi-Fi est un type de rseau sans-fil qui signifie Wireless-Fidelity, il
regroupe plusieurs normes de rseaux sans-fil : les normes IEEE 802.11. Il permet
de relier des appareils (ordinateur, routeurs) dans un rseau informatique sans
liaison filaire.
Grce au Wi-Fi, nous pouvons mettre en place des rseaux sans-fil trs
haut dbit et scuriss, ce qui permet denvisager leur dploiement au sein des
entreprises.
IEEE 802.11 : c.

IEEE 802.11 est un ensemble de normes sur les rseaux sans-fil, elle se dcompose
de la manire suivante :
- 802 est un standard pour le dploiement des rseaux numriques locaux ou
mtropolitains liaison filaire ou sans-fil.
- 802.1 est la gestion des rseaux.
- 802.10 est la scurisation des changes pour les systmes liaison filaire ou
sans-fil.
- 802.11 sont les spcifications pour l'implmentation de rseaux numriques
locaux liaison sans fil.

Scurit Wi-Fi : d.

Par dfinition les ondes Wi-Fi se propagent hors des murs de lentreprise,
cest pourquoi la scurit dun tel rseau est primordiale pour prvenir des risques
dintrusion de personnes non autorises, de confidentialit des informations qui
circulent et de dtrioration due des attaques sur le rseau. La scurit est donc
un point principal sur lequel il faut tre attentif lors de la mise en place dun rseau
Wi-Fi. Cette scurit est aborde de diffrentes manires au sein des rseaux Wi-Fi :
connexion, authentification, changes.

Le matriel : e.

Pour mettre en place de tels rseaux il faut dfinir le matriel qui va permettre
de transformer les donnes informatiques en signaux radio et inversement. Nous
avons besoin de point daccs (PA) qui nous permettent de passer du rseau filaire
au rseau sans-fil, cest ce type de matriel qui va emmtre les ondes.

Ces points daccs peuvent fonctionner en deux modes diffrents dfinis par lIEEE
802.11, soit en Ad Hoc, soit en Infrastructure :


- Ad Hoc est un mode o les machines sans fils clientes se connectent les unes
aux autres afin de constituer un rseau point point, c'est--dire un rseau dans
lequel chaque machine joue en mme temps le rle de client et le rle de point
d'accs.
- Le mode infrastructure est un mode de fonctionnement qui permet de connecter
les ordinateurs quips d'une carte Wi-Fi entre eux via un ou plusieurs points
d'accs qui agissent comme des concentrateurs. Autrefois, ce mode tait
essentiellement utilis en entreprise. Dans ce cas la mise en place d'un tel rseau
oblige de poser intervalle rgulier des bornes dans la zone qui doit tre
couverte par le rseau. Les bornes, ainsi que les machines, doivent tre
configures avec le mme nom de rseau (SSID : Service Set IDentifier) afin de
pouvoir communiquer. L'avantage de ce mode, en entreprise, est de garantir un
passage oblig par le PA, il est donc possible de vrifier qui accde au rseau.
En revanche, le rseau ne peut pas s'agrandir, hormis en posant de nouvelles
bornes. Actuellement les Fournisseurs dAccs Internet (FAI), les boutiques
spcialises et les grandes surfaces fournissent aux particuliers des routeurs
sans fil qui fonctionnent en mode Infrastructure, tout en tant trs facile
configurer.

Pour larchitecture souhaite nous allons fonctionner sur un mode Infrastructure tant
donn que lensemble de notre rseau nest pas exclusivement sans fil.

3. Exigences techniques :

Rseau disponible pour les visiteurs :

- Tenir compte de la politique de restriction sur laccs aux sites web
(pornographie, tlchargement illgal).
- Offrir la possibilit aux visiteurs de se connecter au rseau de leur entreprise via
un VPN.
- Garantir une scurit optimale du rseau de lentreprise en y tant totalement
spar.

Rseau disponible pour les employs :

- Connexion via le compte Active Directory.
- Connexion invisible pour lutilisateur.
- Offrir les mmes services que le rseau filaire sans manipulation supplmentaire.
- Garantir une scurit optimale en autorisant seulement les comptes employs
sy connecter.
- Scuriser les donnes qui transitent sur le rseau.
- Maintien des rgles de filtrage web en place.
| Organisation du projet : 9

4. Exigences financires :

Aucune exigence financire na t donne en dbut de projet, les budgets
sont accords tout au long du projet selon les besoins. Des runions sont organises
o je prsenterais, avec laide de mon tuteur, ltat davancement du projet et les
ressources financires ncessaires au bon droulement de celui-ci.
V. Organisation du projet :

1. Les diffrentes phases du projet :

Ce projet est organis en six phases :

Etude de lexistant :
Cette phase consiste analyser la solution actuellement en place au sein de
lentreprise afin dtablir les besoins.

Choix de larchitecture mettre en place :
Ici nous allons tudier la meilleure architecture rseau mettre en place pour
optimiser notre rseau et rpondre aux attentes fixes.

Prsentation de la solution la direction :
Cette phase consistera en une runion avec le directeur controlling et IT au
cours de laquelle nous prsenterons la solution trouve, ses avantages et
inconvnient ainsi que les devis associs sa mise en place.
Mise en place du rseau Wi-Fi invits :
Dans cette phase nous allons rechercher diffrentes solutions pour la mise en
place de ce rseau, les comparer, en faire le test pour ensuite dfinir et mettre la
solution mettre en production.

Mise en place du rseau Wi-Fi employs :
Ceci constituera la seconde partie de ce projet, nous allons dfinir et mettre en
place une solution scurise pour lextension du rseau de lentreprise.
Recette :

Cette phase sera une tude des attentes fixes en dbut de projet et des
travaux raliss, ceci nous permettra de dfinir la russite du projet.

2. Organisation des tches :

Etude de lexistant :

- Etude du rseau
- Dfinition des besoins

Choix de larchitecture mettre en place :

- Etude de solution darchitecture rseau
- Analyse des avantages et inconvnients
- Dfinition de larchitecture

Recherche de solutions :

- Comparaison de solutions
- Mise en place de tests

Prsentation de la solution la direction :

- Prsentation des besoins
- Argumentations sur la solution propose
- Prsentation des devis

Mise en place du rseau Wi-Fi invits :

- Etudes des diffrentes solutions de portail captif
- Mise en place de test sur deux solutions retenues
- Choix de la solution
- Installation et configuration de la solution
- Rdaction des procdures utilisateurs et administrateurs
- Mise en production.

Mise en place du rseau Wi-Fi employs :

- Etude des diffrents moyens de scurisation du rseau
- Choix des solutions de scurisation du rseau
- Recherche et comparaison de matriels compatibles avec les solutions choisies

- Choix du matriel mettre en place
- Installation et configuration du matriel
- Rdaction des procdures utilisateurs et administrateurs
- Mise en production

Recette :

- Comparaison des attentes fixes avec les objectifs atteint
- Etude de satisfaction auprs des utilisateurs


3. Diagramme de GANTT prvisionnel :


| Droulement du projet : 13

VI. Droulement du projet :

1. Etude de lexistant :

Actuellement nous avons trois rseaux wifi disponibles sur le site :
- RW_Public au troisime tage du btiment scuris par une cl partage WPA.
Ce rseau nest pas reli au rseau interne de lentreprise et est disposition des
employs. Pour son utilisation comme point daccs mobile au rseau de
lentreprise, les employs doivent connecter le client VPN ce qui engendre une
perte de temps qui nest pas forcment la bienvenue lors de runions avec les
clients ou fournisseurs.
- RW_Public2 au deuxime tage est identique au rseau RW_Public.

Architecture Actuelle

Ces deux rseaux ne sont pas disponibles dans tout le btiment, voici une
tude de rception des diffrents rseaux :

Sur le plan suivant nous retrouvons le btiment de la socit, deux zones y sont
reprsentes :

Les zones reprsentent la couverture Wi-Fi actuelle.

Les zones reprsentent les parties du btiment qui ont le plus
besoin dtre couvertes par le rseau sans-fil (salles de runions, bureaux de
la direction).

Les reprsentent les bornes Wi-Fi.





On observe bien que seule une salle de runion prsente une bonne rception du
rseau Wi-Fi

De plus le fait davoir plusieurs rseaux sur le mme canal pose de problmes
de disponibilit, nous constatons des coupures rseaux ce qui engendre encore des
pertes de temps pour les utilisateurs.

Dun point de vue de la scurit, les rseaux wifi RW_Public et RW_Public2
sont relis au rseau de lentreprise par les bornes wifi qui font office de routeurs, les
cls partages WPA sont connues pas lensemble du personnel et donc facilement
utilisables par des personnes trangres la socit.

2. Problmatique :

Toutes ces failles nous poussent donc repenser totalement larchitecture du
rseau Wifi de lentreprise afin daugmenter la disponibilit des rseaux autant pour
les employs que pour les visiteurs qui aujourdhui ont besoin dtre connects en
permanence. Cette refonte devra aussi permettre daugmenter la scurit du rseau
de lentreprise.

3. Choix de larchitecture :

Afin de rendre accessible aux employs toutes les ressources informatiques
du rseau de lentreprise mais aussi doffrir un accs internet aux diffrents visiteurs
transitant dans les salles de runions tout en assurant une scurit optimale des
ressources mises disposition, nous allons mettre en place deux rseaux Wi-Fi
diffrents. Ces deux rseaux Wi-Fi seront spars logiquement par la mise en place
de VLAN : un VLAN dadministration, un VLAN rseau interne et un VLAN rseau
visiteurs.
Dans un premier temps nous allons tudier la mise en place du rseau
Visiteurs scuris via un portail captif, ce rseau devra comprendre un filtrage web
selon la politique de filtrage de lentreprise, pour des raisons de scurit nous
nautoriserons que les protocoles http, https et ftp.
La seconde partie sera consacre au rseau Employs qui lui sera une
extension du rseau local sans fil (WLAN) de lentreprise scuris via un systme
dauthentification reli lannuaire LDAP de la socit.

Architecture Future

4. Mise en place des VLAN :

Gnralits sur les VLAN : a.

Les VLAN (Virtual Local Area Network, Rseau Local Virtuel en franais)
sparent les rseaux physiques de manire logique. Ils permettent une segmentation
du rseau (rduction de la taille d'un domaine de broadcast), une augmentation de la
scurit en crant un ensemble logique isol et une souplesse dadministration car
larchitecture du rseau peut tre modifie par une simple configuration sur les
commutateurs. Le seul moyen pour communiquer entre des machines appartenant
des VLAN diffrents est alors de passer par un routeur.


Il existe trois types de VLAN :
- Un VLAN de niveau 1 (aussi appels VLAN par port, en anglais Port-Based
VLAN) dfinit un rseau virtuel en fonction des ports de raccordement sur le
commutateur ;
- Un VLAN de niveau 2 (galement appel VLAN MAC, VLAN par adresse IEEE ou
en anglais MAC Address-Based VLAN) consiste dfinir un rseau virtuel en
fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus
souple que le VLAN par port car le rseau est indpendant de la localisation de la
station ;
- Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :

Le VLAN par sous-rseau (en anglais Network Address-Based VLAN)
associe des sous-rseaux selon l'adresse IP source des datagrammes.
Ce type de solution apporte une grande souplesse dans la mesure o la
configuration des commutateurs se modifie automatiquement en cas de
dplacement d'une station. En contrepartie une lgre dgradation de
performances peut se faire sentir dans la mesure o les informations
contenues dans les paquets doivent tre analyses plus finement.

Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de
crer un rseau virtuel par type de protocole (par exemple TCP/IP, IPX,
AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le mme
protocole au sein d'un mme rseau.

Mise en place de la nouvelle architecture (Cf Annexe 2) : b.

Dans notre cas nous allons utiliser les VLAN de niveau 1 car nous avons
besoin de sparer les ports des commutateurs afin que seul les personnes habilits
puissent modifier larchitecture, les VLAN de niveau 2 permettent une usurpation
didentit en modifiant ladresse IP dun terminal et les VLAN de niveau 3 prsentent
le mme problme que les VLAN de niveau 2 en plus des ralentissements quils
peuvent occasionner.
La mise en place de VLAN est une tape assez simple, elle consiste crer
trois VLANs sur les commutateurs, affecter les ports des commutateurs aux
diffrents VLANs : pour le rseau visiteurs nous avons besoin de deux ports pour le
serveur pfsense; tous les autres seront affects au VLAN Employs, nous rservons
un VLAN dadministration partir duquel nous administrerons les bornes wifi. Afin
que les bornes puissent recevoir les trois VLANs sur un seul port, il faut mettre en
place un lien trunk taggu sur chacun des trois VLANs, qui va permettre de
transmettre les donnes des trois VLANs. Un routage inter-VLAN sera mis en place

afin de rendre disponible ladministration du serveur pfSense et des bornes Wifi
depuis un VLAN diffrent et laccs internet depuis le VLAN visiteurs.

Architecture des VLANs

5. Le rseau Visiteurs :

Les portails captifs : a.

Le portail captif est un logiciel qui permet de grer lauthentification des
utilisateurs qui souhaitent accder internet. Lors de la mise en place du rseau,
aucune scurit nest active pour sy connecter, ce nest quaprs que la connexion
se fait. Le portail captif va, ds la premire requte http, rediriger le navigateur web
afin dauthentifier lutilisateur, sans quoi aucune demande ne passera au-del du
serveur captif.
Ce systme offre donc une scurit du rseau mis disposition, il permet de
respecter la politique de filtrage web de lentreprise grce un module proxy et
permet aussi grce un firewall intgr dinterdire laccs aux protocoles souhaits.

Mais ce systme prsente tout de mme un inconvnient : une fois que
lutilisateur est authentifi, le portail captif met en place une autorisation pour
ladresse MAC et ladresse IP du PC, leur usurpation par un tiers est assez simple et
prsente une faille dans la scurit du rseau. Cest pourquoi la mise en place dune
dure maximale de connexion est requise, le systme demande donc une nouvelle
fois lauthentification aprs dpassement de ce dlai.

Etudes des solutions : b.

Dans ltude des diffrentes solutions jai mis en vidence plusieurs critres
importants que doivent prendre en compte les diffrentes solutions :

- Scurit des changes lors de lauthentification : pour viter la rcupration de
mot de passe sur le rseau.
- Prsence dune documentation complte : pour assurer la rapidit de mise en
place de la solution.
- Simplicit dadministration : pour permettre diffrentes personnes dadministrer
le logiciel.
- Simplicit dutilisation : pour permettre tous les visiteurs (expriments ou non)
se connecter au rseau Wi-Fi.
- Compatibilit multiplateforme : pour permettre la connexion depuis les
Smartphones et diffrents navigateurs web.
- Prsence de sauvegarde et restauration de configuration : pour permettre un
redmarrage du systme trs rapidement en cas de problmes.
- Prennit de la solution : pour palier au failles de scurit et augmenter les
fonctionnalits de la solution via des mises jour.
- Possibilit de personnaliser la page de connexion : pour adapter le logiciel la
charte graphique de lentreprise et ainsi le rendre plus convivial.

Toutes les solutions tudies sont des solutions libre et gratuites ce qui nous
permet de diminuer le budget de leur mise en place.

PfSense :

pfSense est une distribution FreeBSD dveloppe lors dun projet en 2004,
lobjectif de dpart est dassurer les fonctions de pare-feu et de routeur mais
lengouement gnr par cet applicatif lui a permis dtendre ses fonctionnalits et
prsente maintenant les fonctions de portail captif, serveur proxy
Son installation se fait facilement via une distribution ddie et toutes les
configurations peuvent se faire soit en ligne de commande (SSH) ou bien via
linterface web (HTTPS). La sauvegarde et restauration de configuration est
disponible travers linterface web et permet de gnrer un simple fichier dune taille

raisonnable. Le portail assure une volution constante grce des mises jour
rgulires dont linstallation est gre automatiquement dans une partie du panneau
dadministration.

Cette solution permet une authentification scurise via le protocole HTTPS et
un couple utilisateur / mot de passe.

Une documentation trs complte est disponible sur internet, un support
commercial est dsormais prsent en cas de gros incident. pfSense dispose aussi
dune communaut trs active.

pfSense assure une compatibilit multiplateforme, une personnalisation
complte des pages accessibles par les utilisateurs ainsi quune simplicit
dutilisation grce une page de connexion succincte o on ne retrouve que deux
champs (utilisateur / mot de passe).

Alcasar :

Alcasar est un projet Franais essentiellement ddi aux fonctions de portail
captif, cet applicatif sinstalle via un script support par la distribution Linux Mandriva,
les configurations se font via une interface de gestion scurise (HTTPS) ou bien en
ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la
configuration est prise en charge via la cration dun ghost systme dans le panneau
dadministration, ce qui engendre tout de mme un fichier dune certaine taille. Les
mises jour rgulires assurent la prennit de la solution.

Lauthentification au portail est scurise par HTTPS et un couple utilisateur /
mot de passe.

Une documentation assez complte est disponible pour linstallation et la
configuration et la communaut semble active.

Tout comme pfSense, Alcasar est compatible avec de nombreuses
plateformes, la personnalisation des pages utilisateurs et la simplicit dutilisation son
prsente.

ZeroShell :

ZeroShell est une distribution Linux conue pour mettre en place une scurit
globale au sein dun rseau (Pare-Feu, VPN, portail captif). Son installation est
simple via une distribution ddie.

Elle prsente une interface de gestion web simple dutilisation qui permet
entre autres de sauvegarder la configuration du portail captif ou encore de
personnaliser les pages de connexion et dconnexion dans un diteur HTML intgr.
Cette solution nest encore disponible quen version beta car le projet est en cours de
lancement.

Comme les deux autres solutions la page dauthentification est scuris et la
connexion se fait via un couple utilisateur / mot de passe.

On retrouve assez peu de documentation pour la gestion de systme mais la
communaut lair tout de mme bien prsente.

Son utilisation reste identique aux autres solutions prsentes.

ChilliSpot :

ChilliSpot est un applicatif ddi la gestion de lauthentification sur les
rseaux, son installation est assez simple via un package applicatif disponible sur les
distributions Red Hat et Fedora. La sauvegarde de la configuration est disponible
mais elle implique de copier les fichiers de configuration et donc de les connaitre.

La page de connexion est disponible en HTTPS condition davoir configur
le serveur web (Apache) au pralable en coute sur le port 443.

On retrouve une documentation complte et une communaut assez active,
mais le projet est en rgression, la dernire version stable date doctobre 2006 et le
projet est mis en suspens depuis le dpart du dveloppeur principal.

Lutilisation est la mme que les autres solutions proposes, page de
connexion avec champs utilisateur et mot de passe.

Voici un tableau comparatif de ces quatre solutions :



pfSense 72
Scurit Authentification HTTPS 4 3
Documentation
Trs complte (anglais / franais)
Communaut active / Support commecial
Nombreux Tutoriaux
3 3
Plateformes Clientes Supportes Toutes 3 3
Personalisation
Cration de la page web d'authentification
et d'accs refus suivant un modle
1 3
Facilit d'administration
Installation via distribution ddie
Configuration travers page web
o chaque entre est expliqu.
3 3
Facilit d'Utilisation
Page de connexion avec login
et mot de passe et bouton logout
Redirection automatique si non authentifi
5 3
Sauvegarde / Restauration Configuration
Sauvegarde et restauration du fichier de configuration
dans le panel d'administration
2 3
Prnit de la solution
4 Versions stables (1.2.1 / 1.2.2 / 1.2.3/2.0)
dernire version mars 2011.
mise jour du portail intgr au panel d'administration
3 3
Alcasar 70
Documentation
Complte (franais) / Communaut active
/ Nombreux Tutoriaux
3 3
Plateformes Clientes Supportes Toutes 3 3
Personalisation
Modification de la page web d'authentification
et d'accs refus
1 3
Installation via script automatis
Administration travers page web intuitive
3 3
5 3
Sauvegarde du systme (GHOST)
dans le panel d'administration
2 2
Amlioration constante,
v2.0.1 de janvier 2011.
Script de mise jour du portail
intgr au panel d'administration
3 3
Solutions Critres Description
Pondration
(1-5)
Note
(1-3)
Total

ZeroShell 57
Documentation Faible (anglais) / Communaut active 3 2
Plateformes Clientes Supportes Aucune information 3 1
Personalisation Editeur intgr dans panel d'administration 1 3
Installation via distribution ddie,
configuration travers page web intuitive
3 3
5 3
Gestion des sauvegarde et restauration
dans panel d'administration
2 3
Projet en phase de lancement
seules versions dispo sont des beta 1.0Beta14
3 1
ChilliSpot 52
Documentation Complet (anglais) / Communaut active 3 1
Plateformes Clientes Supportes Aucune d'information 3 1
Personalisation
Modification de la page web d'authentification
et d'accs refus
1 3
Installation via .rpm sur red hat et fedora,
page d'administration intuitive
3 3
5 3
Sauvegarde et restauration
des fichiers de configuration " la main"
2 2
Dernire version de octobre 2006,
le dveloppeur principal est parti du projet.
3 1


Test des solutions : c.

Suite cette tude nous avons dcid de mettre en test les deux solutions qui
nous semblaient les meilleures : pfSense et Alcasar.

Dans les deux cas je nai eu aucun problme lors de linstallation, les
panneaux dadministration sont assez intuitifs ce qui rends les manipulations plutt
simples. Les deux solutions prsentent quasiment les mmes fonctions concernant le
portail captif et rpondent aussi bien lune que lautre aux exigences fixes.

Pour ces tests jai mis en place la configuration suivante :

- Portail captif avec redirection automatique sur rseau LAN au WAN.
- Serveur pfSense / Alcasar passerelle du LAN au WAN.
- Serveur pfSense / Alcasar serveur DHCP sur le LAN.
- Serveur pfSense / Alcasar filtre web.
- Un client connect via un point daccs Wi-Fi sur le LAN.

Lors de la premire requte internet, le navigateur web du client est redirig
vers la page dauthentification scurise o il lui est demand un utilisateur et un mot
de passe. Une fois le compte (pralablement cr dans la base des comptes sur le
serveur) saisi, le portail redirige automatiquement vers la page demand. Si un
mauvais compte est saisi le portail redirige de nouveau vers la page
dauthentification en affichant un message derreur.

Les tests sur diffrents navigateurs : Opra, Safari, Mozilla Firefox, Internet
Explorer ainsi que les diffrentes plateformes : Windows, MAC, IPhone, Androde,
Linux sont tous concluant, lauthentification se fait sans aucun souci et les
redirections fonctionnent trs bien.

La mise en place du filtrage de protocole fonctionne aussi, nous nautorisons
que les protocoles HTTP, HTTPS et FTP.

Grce aux BlackList disponibles sur les applicatifs, les rgles de filtrage web
se mettent en place trs facilement.

Choix de la solution : d.

Suite aux phases de test nous avons d choisir une solution, les deux
applicatifs rpondent tout fait nos demandes mais nous avons dcid de garder
pfSense pour son cot plus convivial, il prsente une page principale en tableau de
bord o lon retrouve toutes les informations essentielles et que lon peut modifier en

fonction des besoins. Ce produit prsente aussi pour nous une plus grande
assurance car la communaut est trs active et le support peut nous venir en aide en
cas de problme.

Installation et configuration de pfSense (Cf Annexe 3) : e.

pfSense sera install sur une Appliance ddie : un boitier Alix 2D13, Appliance
disposant de trs peu de ressources matrielles.
- Installation :
Linstallation de pfSense est assez simple, elle se fait via une distribution
ddie distribue sur le site de pfSense et un utilitaire distribu par m0n0wall pour
linstallation sur une carte Compact Flash (www.pfsense.org / www.m0n0wall.com).
- Configuration gnrale :
Dans cette partie nous renseignons les paramtres rseau de base du
serveur, ces derniers vont lui permettre de contacter le rseau local et internet
(adresse IP, serveurs DNS, passerelle).
- Cration des certificats :
Afin de permettre une connexion scurise sur le portail captif, la mise en
place de certificats nous permet dassurer au client quil se trouve sur le bon serveur,
les mots de passes sont donc envoys la bonne personne. De plus les certificats
nous permettent de crypter les donnes transmises, ce qui rend difficile le vol de
mots de passe.
- Configuration du serveur DHCP :
Pour que les visiteurs, qui veulent utiliser leurs ordinateurs, ne perdent pas de
temps en configuration, nous mettons en place un serveur DHCP qui va
automatiquement fournir au poste les informations de connexions sur le rseau.
- Configuration du portail captif :
Lorsque les visiteurs seront connects sur le rseau Wi-Fi, ds la premire
demande daccs via un navigateur web, la page sera automatiquement redirige
vers la page de connexion au portail scuris, ce qui permettra lauthentification sur
le rseau et autorisera la personne naviguer sur internet. Les informations de
connexions seront fournies par notre service.


- Configuration sur serveur proxy :
Selon la politique du rseau de lentreprise, un filtrage des sites web sera mis
en place, selon des listes noires gnrales et rgulirement mises jour, les sites
internet de type pornographiques, pdophilie ne seront pas consultables sur le
rseau Wi-Fi.
- Personnalisation des pages web :
Afin dintgrer totalement le portail captif dans le rseau de lentreprise les
pages de connexion seront mises aux couleurs de lentreprise grce un
dveloppement HTLM, PHP, JAVASCRIPT.
Voici un exemple :
- Rdaction dune charte dutilisation :
Pour se prvenir dune utilisation abusive de ce rseau nous avons rdig une
charte dutilisation qui devra tre accepte avant la connexion, sans qui cette
dernire ne sera pas possible.

6. Le rseau Employs :

Scurit : a.

Pour assurer la scurit du rseau nous allons utiliser le Wi-Fi Protected
Access 2 (WPA2 IEEE 802.11i), en implmentant diffrents protocoles qui
permettront de rpondre aux exigences de scurit et de transparence auprs des
utilisateurs.

Authentification des utilisateurs :
Sur le rseau Employs, les utilisateurs doivent obligatoirement tre
authentifis de faon transparente, aucun identifiant ne doit tre demand, cest
pourquoi nous allons utiliser un serveur Radius.
Radius (Remote Authentifiacation Dial-in User Service) est un protocole client-
serveur permettant de centraliser les donnes dauthentification.
Pour sauthentifier, le poste utilisateur transmet une requte daccs un
client RADIUS pour entrer sur le rseau, ce dernier se charge de demander les
informations identifiant lutilisateur (utilisateur & mot de passe). Le client RADIUS
Page de connexion Portail Captif

gnre une requte daccs quil transmet au serveur RADIUS, ce dernier
pralablement coupl avec le service dannuaire va pouvoir aller vrifier les
informations envoyes par le client et ainsi valider ou bien refus laccs.
Scurit de lauthentification :
Afin dassurer lidentit du client auprs du serveur nous utiliserons un
protocole de challenge Microsoft : Microsoft Challenge Handshake Authentication
Protocol Version 2 (MsCHAPv2). Ce protocole permet une authentification mutuelle
entre le client et le serveur. A la demande de connexion le serveur RADIUS envoie
un dfi au client contenant un identificateur de session et une chaine de dfi
arbitraire, le client envoi une rponse contenant : le nom dutilisateur, une chaine de
dfi homologue arbitraire et un chiffrement unidirectionnel de la chaine de dfi reue,
de la chaine de dfi homologue, de lidentificateur de session et du mot de passe
utilisateur. Une fois les informations valides la connexion au rseau peut se faire.
Ce protocole tant sensible aux attaques de dictionnaires, nous implmentons
le protocole Protected Extensible Authentication (PEAP) qui va permettre de crer
un tunnel scuris (TLS) pour lenvoi des donnes dauthentification via EAP et
MSCHAPv2. L'utilisation d'une session TLS dans le cadre d'un PEAP offre les
avantages suivants :
o Elle permet au client d'authentifier le serveur RADIUS ; le client peut
ainsi tablir la session uniquement avec un serveur dtenant un
certificat approuv.
o Elle protge le protocole d'authentification MSCHAP v2 contre la
surveillance des paquets.
o La ngociation de la session TLS gnre une cl pouvant tre utilise
par le client et le serveur RADIUS pour dfinir des cls principales
communes. Les cls permettant de crypter le trafic du rseau local
sans fil sont drives des cls principales.


Scurit des communications :
Pour scuriser les communications sur le rseau WPA2 offre deux types de
chiffrements :
- Temporal Key Integrity Protocol (TKIP) : il permet lauthentification et la protetion
des donnes transitant sur le rseau. Cest une mthode de cryptage. Qui gnre
une cl de paquets, mlange les paquets du message, puis remet les paquets
dans l'ordre pour retrouver l'intgrit du message grce un mcanisme de
triage.

- Advanced Encryption Standard (AES) : cest une mthode de chiffrement
symtrique (chiffrement avec une cl secrte).

TKIP est donc initialement mis en place pour pallier aux diffrents problmes
du chiffrage WEP, il repose sur la mme base de chiffrement qui a rvl ses limites.
AES quant lui est une mthode de chiffrement compltement part qui na pour
linstant pas t cass. De plus TKIP gnrant dynamiquement (quelques minutes
dintervalle entre chaque gnration de cls) des cls de chiffrement peuvent
diminuer les performances alors que lAES na besoin que de trs peu de ressources.
RADIUS EAP
EAP
TLS
EAP
35
AUTHENTIFICATION
RADIUS PEAP MSCHAPv2

Le rseau Wi-Fi Employs utilisera donc la scurit suivante : WPA2
Enterprise AES PEAP/MsCHAPv2.

Mise en place (Cf Annexe 4) : b.

Linstallation du serveur radius se fait via lajout de rles sur nos deux
contrleurs de domaines, tant donn le faible nombre de connexions nous navons
pas besoin de mettre en place un serveur ddi. Une autorit de certification doit tre
installe car nous nutiliserons pas de certificat externe pour la mise en place de
PEAP qui utilise un certificat ct serveur pour garantir son authenticit auprs du
client.
Les bornes Wi-Fi doivent tre rfrences sur le serveur dauthentification afin
dassurer la provenance des connexions. On renseigne un secret qui ne sera connu
que par le point daccs et le serveur.

1. Lorsque l'ordinateur client est proximit du point d'accs sans fil, il tente de se
connecter au rseau sur le point d'accs qui est identifi par son SSID (Service
Set Identifier). Le SSID est le nom du rseau local sans fil. Il est utilis par le client
Fonctionnement WAP2 PEAP MSCHAPv2 et RADIUS

pour identifier les paramtres corrects et le type d'informations d'authentification
utiliser pour ce rseau.
2. Le point d'accs sans fil est configur pour autoriser uniquement les connexions
scurises (authentifies 802.1X). Lorsque le client essaie de s'y connecter, le
point d'accs lance un dfi au client. Le point d'accs configure ensuite un canal
restreint, qui permet au client de communiquer uniquement avec le serveur
RADIUS (bloquant l'accs au reste du rseau). Le serveur RADIUS accepte
uniquement la connexion d'un point d'accs sans fil fiable ; c'est--dire, un point
d'accs configur comme un client RADIUS sur le serveur NPS et qui fournit le
secret partag de ce client RADIUS.
Le client tente d'authentifier le serveur RADIUS via le canal restreint, dans le
cadre de la ngociation PEAP, le client tablit une session TLS (Transport Layer
Security) avec le serveur RADIUS.
Scuris au sein du canal PEAP, le client s'authentifie sur le serveur RADIUS
l'aide du protocole MS-CHAP v2 EAP. Lors de cet change, le trafic du tunnel TLS
est visible uniquement du client et du serveur RADIUS et n'est jamais expos au
point d'accs sans fil.
3. Le serveur RADIUS vrifie les informations d'authentification du client en
consultant l'annuaire. Une fois le client authentifi, le serveur RADIUS regroupe
les informations qui lui permettent de dcider s'il autorise le client utiliser le
rseau local sans fil. Il utilise les informations de l'annuaire (telles que
l'appartenance de groupe) ainsi que les contraintes dfinies dans sa stratgie
d'accs (par exemple, les moments de la journe auxquels l'accs au rseau local
sans fil est autoris) pour accorder ou refuser l'accs au client. Le serveur
RADIUS transmet cette dcision d'accs au point d'accs.
Si l'accs est accord au client, le serveur RADIUS transmet la cl principale du
client au point d'accs sans fil. Le client et le point d'accs partagent alors un
matriel de cl commun qu'ils peuvent utiliser pour crypter et dcrypter le trafic du
rseau local sans fil qui circule entre eux.
Avec WPA, le matriel de cl principale permet de driver les cls de cryptage des
donnes qui sont modifies pour chaque paquet transmis. La fonctionnalit WPA
n'a pas besoin de forcer des rauthentifications frquentes pour assurer la
scurit des cls.
4. Le point d'accs cre alors un pont entre la connexion au rseau local sans fil du
client et le rseau local interne, permettant au client de communiquer librement
avec les systmes du rseau interne. Le trafic circulant entre le client et le point
d'accs est alors crypt.

5. Si le client requiert une adresse IP, il peut alors demander un bail DHCP (Dynamic
Host Configuration Protocol) partir d'un serveur du rseau local. Une fois
l'adresse IP attribue, le client peut commencer communiquer normalement
avec les systmes du reste du rseau.

7. Les Points daccs :

Dfinition du besoin : a.

Afin de mettre en place la configuration expose ci-dessus nous avons besoin de
nouveaux points daccs Wi-Fi intgrant les fonctionnalits et compatibilits
suivantes :
Linterface de gestion scurise via SSL est indispensable pour la
confidentialit des informations dauthentification de ladministrateur.
Interface de gestion en ligne de commande en cas de problme sur le serveur
web de la borne.
WPA2.
AES.
PEAP.
MsCHAPv2.
RADIUS client.
Filtrage par adresse MAC et possibilit de masquer le SSID peuvent assurer
une scurit de premier ordre.
Intgration du PoE (Power Over Ethernet) qui permet de navoir quun seul
cble pour relier la borne.
802.11n pour une meilleure diffusion et un meilleur dbit.
Le support Multi-SSID pour grer les deux rseaux Wi-Fi.
Support du 802.1q pour les VLAN.
Possibilit de supervision via le protocole SNMP (Simple Network
Management Protocol).
Possibilit de mettre en place des logs de connexions pour une meilleure
analyse en cas de problmes.

Etude du matriel : b.

Pour la mise en place du rseau Wi-Fi jai tudi quatre bornes, jai dfini une
pondration pour chacun des critres ce qui me permet de dfinir prcisment la
solution la mieux adapte nos besoins.

Voici un tableau comparatif des diffrentes solutions tudies :

Prix : CHF 388.-
La D-Link DAP-2590 rpond beaucoup de critres pour la configuration
souhaite mais nintgre pas les protocoles PEAP et MsCHAPv2.

Prix : CHF 766.-
La HP E-MSM430 rpond tous les critres de notre configuration future, son
prix assez lev peut tout de mme tre un frein son acquisition.

D-LINK
DAP-2590
Fonctionalits (pondration) Note
Interface de gestion scurise (5)
Ligne de commande (telnet et SSH) (3)
WPA2 (5)
AES (5)
Filtre MAC (3)
RADIUS (5)
SSID Cach (3)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v1/2c/3 (3)
Logs (3)
53
HP
E-MSM430
WPA2 (5)
AES (5)
PEAP (5)
MsCHAPv2 (5)
Filtre MAC (3)
RADIUS (5)
SSID Cach (3)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v2c/3 (3)
Logs (3)
63

Prix : CHF 510.-
La Cisco AiroNet 1042 N rpond elle aussi tous les critres demands, son
interface de gestion plus complique pourrait poser problme lors de son intgration.

Prix : CHF 430.-
La Ruckus ZoneFlex 7343, bien quayant de nombreuses fonctionnalits
intressantes (dtection automatique de lenvironnement) que les autres nont pas,
ne rponds pas aux attentes fixes.
CISCO
Aironet 1042 N
WPA2 (5)
AES (5)
PEAP (5)
MsCHAPv2 (5)
Filtre MAC (6)
RADIUS (5)
SSID Cach (6)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v1/2/2c/3 (3)
Logs (3)
63
Ruckus
ZoneFlex 7343
WPA2 (5)
AES (5)
Filtre MAC (3)
RADIUS (5)
SSID Cach (3)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v3 (2)
Logs (3)
52

Choix de la solution : c.

Suite la comparaison de toutes ces solutions ainsi qu une runion avec
notre fournisseur il est ressorti que les points daccs E-MSM 430 de HP sont les
plus adapts notre besoin car elles sont compatibles avec toutes les contraintes
de scurisation des rseaux sans-fil, leur avantage par rapport au point daccs
Cisco, dont le classement est identique dans notre tableau de pondration, est
une garantie matrielle vie. De plus notre rseau tant essentiellement form
de matriel du constructeur HP, ces bornes respectent lhomognit matrielle.
Choix de lemplacement des bornes : d.

Afin de couvrir la plus grande partie du btiment et principalement les salles
de runions trois bornes seront installes : la premire lentre du troisime tage
qui couvrira les salles Freelancer et Shine ainsi que les bureaux de la direction, une
seconde dans les bureaux Recherche et Dveloppement ce qui couvrira la salle
Nabucco ainsi que le bureau des commerciaux, enfin la troisime borne sera place
au rez-de-chausse, elle couvrira la salle Don Giovanni ainsi que la rception et les
expditions.
Installation et configuration des bornes (Cf Annexe 5) : e.

La premire tape est la mise en place des informations gnrales,
adresse IP, nom DNS Celle-ci permet la borne wifi daccder au
rseau de lentreprise.
Ensuite jai configur la borne afin quelle ne soit administrable que
depuis le VLAN dadministration. Cette tape renforce la scurit du
rseau car toute personne nayant pas accs au VLAN administration
naura pas accs au paramtres des bornes.
Afin de pouvoir taggu les informations des deux rseaux wifi, jai
configur les deux VLANs dans le point daccs, ceci va permettre
dassigner aux VLANs les diffrents flux dinformations.
Lauthentification tant gre par un serveur externe, jai configur un
profil de connexion afin que la borne sache vers qui se diriger lors dune
demande de connexion. Ladresse ip, le type dauthentification ainsi
que le secret partag ont t ncessaires cette configuration.
Enfin jai cr les deux rseaux wifi en renseignant le type
dauthentification (aucun pour le rseau visiteur et WPA2 RADIUS pour
le rseau employs), le VLAN auquel appartiennent les rseaux, le taux
de transfert minimum


8. Phase de recette du projet

Difficults rencontres : a.

Plusieurs phases du projet ont t difficiles, il a fallu tout dabord comprendre
le fonctionnement des solutions que nous allions mettre en place : portail captif,
serveur proxy, protocoles de scurit Wi-Fi, serveur RADIUS
Une fois ces notions assimiles, lintgration de certains lments ont poss
quelques problmes :
La mise en place du portail captif a t une partie assez complique de par la mise
en place du serveur Proxy et plus prcisment du Filtre Proxy. La distribution ddie,
installe sur une plateforme matrielle utilisant une carte Compact Flash, tait dj
partitionne et sa table ne pouvait pas tre refaite. Il a fallu trouver dans la
configuration du package squidGuard (intgr pfSense) les paramtres pour
modifier lemplacement des bases de donnes pour les listes noires de filtrage qui
prennent de la place et ne pouvait pas tre place sur la partition par dfaut.
Le filtrage dURLs mis en place pose aussi quelques soucis, le proxy en mode
transparent filtre uniquement les requtes en http, toutes les requtes fait en mode
scuris (https) ne sont pas filtres. Par exemple, lapplication Facebook pour
Smartphone ne peut pas tre bloque car elle utilise automatiquement le protocole
scuris https.
Le btiment de la socit tant assez ancien, nous avons eu des problmes
avec la porte des bornes Wi-Fi. Lobjectif principal qui tait de couvrir lintgralit
des salles de runions, le bureau des commerciaux ainsi que celui de la direction est
tout de mme atteint mais le premier tage est trs peu couvert (importance faible :
stock montres et caftria) et le deuxime tage nest qu moiti couvert
principalement cause dune descente de cbles et des murs pais.

Respect des exigences : b.

Techniques :
Suite la mise en place des nouveaux rseaux Wi-Fi jai ralis une nouvelle tude,
voici les rsultats :

Les zones reprsentent la couverture Wi-Fi actuelle.

Les zones reprsentent les parties du btiment qui ont le plus
besoin dtre couvertes par le rseau sans-fil (salles de runions, bureaux de
la direction).
Les reprsentent les bornes Wi-Fi.




Financires :
Les devis proposs la direction ont t accepts, la mise en place de solutions
libres a permis de diminuer les cots du projet.

Le bon de commande est disponible en annexe N4.

Satisfaction des utilisateurs : c.

Une enqute de satisfaction va tre lance auprs des utilisateurs, ceci nous
permettra de valider dfinitivement la prennit du projet.

Elle comprendra les quatre parties importantes pour lutilisateur :

- Simplicit dutilisation.
- Fiabilit.
- Disponibilit.
- Rapidit de traitements des informations demandes.


Respect des dlais : d.

Diagramme de GANTT ralis :


| Conclusion : 41

VII. Conclusion :

1. Professionnelle :

Aujourdhui, les nouveaux rseaux Wi-Fi ont permis de combler de
nombreuses failles grce une augmentation de la scurit et une sparation des
accs. Ils nous permettent de proposer un accs fiable au rseau autant pour les
visiteurs que pour les employs.

La rapidit et la simplicit de connexion permettent un gain de temps pour les
utilisateurs qui ne doivent plus utiliser le VPN pour accder au rseau interne de
lentreprise.

Les visiteurs disposent eux aussi dun accs simple et rapide internet.

2. Personnelle :

La mise en place de ces rseau sans-fil ma permis de gr un projet
denvergure o diffrents aspects du mtier dinformaticien sont reprsents
(prospection, installation, configuration, rdactions de procdures, analyses des
besoins auprs des utilisateurs). Jai pu apprendre le fonctionnement des rseaux
Wi-Fi et des systmes de portail captifs.
Les priodes au centre de formation Ttras mont beaucoup aid, plus
prcisment le module Dploiement-scurit rseaux sans fils qui ma permis de
trouver une solution aux problmes poss par lancien dispositif en place dans
lentreprise.
Enfin, la pratique du mtier qui a t rendue possible par mon entreprise et
plus prcisment mon tuteur ma permis dacqurir des comptences globales dans
le travail dadministrateur rseau, dapprhender plus facilement le contact avec les
utilisateurs et dapprendre ragir face des situations difficiles.

| Bibliographie : 42

VIII. Bibliographie :

http://www.wikipedia.org/ : Dfinition de termes techniques, et documentations sur les
protocoles, outils, et logiciels.

http://www.labo-microsoft.org/ : Informations et aides sur les produits Microsoft.

http://technet.microsoft.com/ : Documentations techniques sur les produits Microsoft.

http://www.pfsense.org/ : Site de la distribution Open Source du mme nom.

http://www.alcasar.info/ : Site du projet de portail captif authentifiant et scuris.

http://www.zeroshell.net/ : Site de la distribution Open Source du mme nom.

http://www.chillispot.info/ : Site du projet de portail captif Open Source.

http://pcengines.ch/ : Fabricant dune plateforme matrielle lgre permettant
dembarquer le portail captif.

| Glossaire : 43

IX. Glossaire :

VLAN

Un VLAN (Virtual Local Area Network ou Virtual LAN, en franais
Rseau Local Virtuel) est un rseau local regroupant un ensemble de
machines de faon logique et non physique.

WPA

Wi-Fi Protected Access (WPA et WPA2) est un mcanisme pour
scuriser les rseaux sans-fil de type Wi-Fi. Il a t cr en rponse
aux nombreuses et svres faiblesses que des chercheurs ont
trouves dans le mcanisme prcdent, le WEP. WPA respecte la
majorit de la norme IEEE 802.11i et a t prvu comme une solution
intermdiaire pour remplacer le WEP en attendant que la norme
802.11i soit termine. WPA a t conu pour fonctionner, aprs mise
jour de leur micro-logiciel, avec toutes les cartes Wi-Fi, mais pas
ncessairement avec la premire gnration des points d'accs Wi-Fi.
WPA2 quant lui respecte la norme entire, mais ne peut pas tre
implment sur les matriels anciens.

Wi-Fi

Wi-Fi est un ensemble de protocoles de communication sans fil rgis
par les normes du groupe IEEE 802.11 (ISO/CEI 8802-11). Un rseau
Wi-Fi permet de relier sans fil plusieurs appareils informatiques
(ordinateur, routeur, dcodeur Internet, etc.) au sein d'un rseau
informatique afin de permettre la transmission de donnes entre eux.

Point dAccs

Installation qui permet un utilisateur de se connecter par une liaison
radio (RLAN) en 2,4 GHz ou en 5 GHz un rseau haut dbit par
exemple un rseau Ethernet ou un accs ADSL.

Switch

Un commutateur rseau (ou switch, de l'anglais) est un quipement qui
relie plusieurs segments (cbles ou fibres) dans un rseau
informatique et de tlcommunication et qui permettent de crer des
circuits virtuels

Trunk

Les ports d'une liaison qui agrgent le trafic de plusieurs VLANs
s'appellent un Trunk . Sur ce type de liaison, le commutateur ajoute
des champs supplmentaires dans ou autour de la trame Ethernet. Ils
servent notamment distinguer le trafic de VLANs diffrents car ils
contiennent entre autres le numro d'identification du VLAN.

| Glossaire : 44

Portail Captif

La technique des portails captifs (captive portal) consiste forcer les
clients HTTP d'un rseau de consultation afficher une page web
spciale (le plus souvent dans un but d'authentification) avant
d'accder Internet normalement.

RADIUS

RADIUS (Remote Authentication Dial-In User Service) est un protocole
client-serveur permettant de centraliser des donnes d'authentification.

Active
Directory

Active Directory (AD) est la mise en uvre par Microsoft des services
d'annuaire LDAP pour les systmes d'exploitation Windows. L'objectif
principal d'Active Directory est de fournir des services centraliss
d'identification et d'authentification un rseau d'ordinateurs utilisant le
systme Windows.

TLS (Transport
Layer Security)

Anciennement nomm Secure Sockets Layer (SSL), cest un protocole
de scurisation des changes sur Internet. TLS fonctionne suivant un
mode client-serveur. Il fournit les objectifs de scurit suivants :

- l'authentification du serveur ;
- la confidentialit des donnes changes (ou session chiffre) ;
- l'intgrit des donnes changes ;
- de manire optionnelle, l'authentification ou l'authentification forte
du client avec l'utilisation d'un certificat numrique ;
- la spontanit, c'est--dire qu'un client peut se connecter de faon
transparente un serveur auquel il se connecte pour la premire
fois ;
- la transparence, qui a contribu certainement sa popularit : les
protocoles de la couche d'application n'ont pas tre modifis pour
utiliser une connexion scurise par TLS. Par exemple, le protocole
HTTP est identique, que l'on se connecte un schme http ou
https.
-

802.1X

802.1X est un standard li la scurit des rseaux informatiques, mis
au point en 2001 par l'IEEE (famille de la norme IEEE 802).
Il permet de contrler l'accs aux quipements d'infrastructures rseau
(et par ce biais, de relayer les informations lies aux dispositifs
d'identification).

Mémoire FB

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Mémoire FB

Загружено:

Авторское право:

Доступные форматы

Fabien Barthlmy Licence ARE 2010-2011

Вам также может понравиться