Mise en Place Dun Serveur Radius Sous Linux Pour La Securiasation Dun Reseau 802.11

Rpublique algrienne dmocratique et populaire
Ministre de Lenseignement suprieur et de la recherche scientifique

Facult des sciences
Dpartement dinformatique
Mmoire pour lObtention du Diplme
dingnieur dtat en informatique
Option : systme dinformation
Thme :
Mise en place dun serveur radius sous linux
pour la scurisation dun rseau 802.11
Prsent par Encadr par
Rabehi Sidi Mohamed El Amine M
me
DIDI Fedoua
Soutenu le 18 octobre 2011 Devant le Jury compos de
M
me
Iles Nawel Prsidente
M
r
Benmammar Badreddine Examinateur
Anne universitaire : 2010 - 2011
Remerciements
En prambule ce mmoire, je souhaitais adresser mes remerciements les
plus sincres aux personnes qui m'ont apport leur aide et qui ont
contribu l'laboration de ce mmoire ainsi qu la russite de cette
formidable anne universitaire.
Je tiens remercier sincrement M
me
DIDI Fedoua, qui, en tant
que encadreur de mmoire, s'est toujours montr l'coute et trs
disponible tout au long de la ralisation de ce mmoire, ainsi pour
l'inspiration, l'aide et le temps qu'elle a bien voulu me consacrer et sans
qui ce mmoire n'aurait jamais vu le jour.
Jexprime galement ma gratitude aux membres du jury M
me
Iles Nawel et
Mr Benmammar Badreddine, qui nous ont honors en acceptant de juger
ce modeste travail.
Je tiens la fin de ce travail remercier ALLAH le tout puissant de
m'avoir donn la foi et de m'avoir permis d'en arriver l.
Remerciements
me
me
Iles Nawel et
ce modeste travail.
Remerciements
me
me
Iles Nawel et
ce modeste travail.
Ddicaces
A l'aide de DIEU tout puissant, qui trace le chemin de ma vie, j'ai pu arriver
raliser ce modeste travail que je ddie:
A ma plus belle toile qui puisse exister dans l'univers, ma trs chre mre celle a qui je
souhaite une longue vie et bonne sant;
A mon pre qui n'a pas cess de m'encourager et de se sacrifier pour que je puisse
franchir tout obstacle durant toutes mes annes d'tude que le dieu me le garde en
trs bonne sant ;
A mon frre Farid, ma sur Hanane et son mari Djawed que je vous souhaite tout le
bonheur dans votre vie;
A ma chre Wissame pour son soutien durant toutes ces annes ;
A mes grand mres Fatima et Zohra ;
A la mmoire de mes grands parents Mohamed et Abdelkader;
A mes tantes et mes oncles ;
A chaque cousins et cousines surtout Boubakare, Noureddine, Fethi et Noria;
Aux petits adorables Kawthar et Iman;
A tous mes chers amis spcialement: Sadi Amine, Meniri Zakaria, Ayed Nabil,
Meniri Ismal, Mahdjoob Sidi Ahmed, Laredj Mohamed, Farah, Salima, Zahia;
A toute la promotion 5eme anne ingniorat en informatique spcialement : Lakhale
Amine, boudjerad Zohir, Ouladji Abdelkader, Laradji Ammar, Bouchachia
Abdelmadjid, Noureddine, Anouar, Hichem, Fouzia, Khadija, Salima, Lila, Souhila;
Et tous ceux qui maiment et qui me cannaient de proche ou de loin.
Ddicaces
trs bonne sant ;
Ddicaces
trs bonne sant ;
Mise en place dun serveur radius sous linux pour la scurisation dun rseau 802.11
Liste des figures
Chapitre : Prsentation des rseaux sans fil Wi-Fi
Figure .1: Catgories des rseaux sans fil............................................................................. 4
Figure .2: Exemple de point d'accs.................................................................................. 12
Figure .3: Carte PCMCIA ................................................................................................. 13
Figure .4: Carte PCI........................................................................................................... 13
Figure .5: Carte USB......................................................................................................... 13
Figure .6: Schma gnrale de rseau Wi-Fi..................................................................... 14
Figure .7: Couches du modle OSI ................................................................................... 14
Figure .8: Mode infrastructure........................................................................................... 18
Figure .9: Mode Ad-Hoc ................................................................................................... 19
Chapitre II : Mcanismes de scurit des rseaux sans fil Wi-Fi
Figure II.1: Code warchalking.................................................................................................... 22
Figure II.2: Attaque MITM......................................................................................................... 24
Figure II.3: Chiffrement symtrique .......................................................................................... 26
Figure II.4: Chiffrement asymtrique ........................................................................................ 27
Figure II.5: Certificat ................................................................................................................... 30
Figure II.6: Principe du WEP...................................................................................................... 35
Figure II.7: Principe de VPN...................................................................................................... 39
Figure II.8: Les trois entits qui interagissent dans le 802.1X ............................................... 40
Figure II.9: PAE............................................................................................................................ 40
Figure II.10: Paquet EAP............................................................................................................. 41
Figure II.11: Squence dauthentification 802.1X................................................................... 43
Figure II.12: Principe de fonctionnement de Radius .............................................................. 46
Figure II.13: Paquets Radius ...................................................................................................... 46
Figure II.14: Format des attributs Radius.................................................................................. 47
Chapitre III : Mise en place dune scurit base sur le 802.1x et dun
serveur dauthentification
Figure III.1: Compilation dOpenssl................................................................................... 49
Figure III.2: Informations remplir sur SSL...................................................................... 49
Figure III.3: Gnration du certificat root .......................................................................... 51
Figure III.4: Gnration du certificat serveur ..................................................................... 52
Figure III.5: Gnration du certificat client ........................................................................ 53
Figure III.6: Configuration sans erreurs au niveau dEAP-TLS......................................... 54
Figure III.7: Fin dinstallation de freeradius....................................................................... 54
Figure III.8: Lancement du serveur radius.......................................................................... 61
Figure III.9: Russite du test en local ................................................................................ 62
Figure III.10: Attribution de ladresse IP statique de lAP................................................. 62
Figure III.11: Attribution du SSID au point daccs .......................................................... 63
Figure III.12: Attribution de ladresse IP du radius lAP ................................................ 63
Figure III.13: Dbut de linstallation du certificat root ...................................................... 64
Figure III.14: Confirmation de linstallation ...................................................................... 65
Figure III.15: Choix de magasin du certificat..................................................................... 65
Figure III.16: Slection dautorits de certification racines de confiance .......................... 66
Figure III.17: Fin de limportation du certificat ................................................................. 66
Figure III.18: Confirmation de la validit du certificat root ............................................... 67
Figure III.20: Certificat dautorits root ............................................................................. 67
Figure III.21: Confirmation de linstallation ...................................................................... 68
Figure III.22: Installation du certificat wissame.p12.......................................................... 68
Figure III.23: Mot de passe................................................................................................. 69
Figure III.24: Choix de lemplacement du certificat wissame.p12 .................................... 69
Figure III.26: Confirmation de la russite .......................................................................... 70
Figure III.27: Choix de la proprit de la connexion sans fil ............................................. 71
Figure III.28: Choix du Protocole Internet (TCP/IP) ......................................................... 71
Figure III.29: Dbut de la configuration............................................................................. 72
Figure III.30: Choix de type dauthentification rseau ...................................................... 72
Figure III.32: Choix du certificat dautorit root nomm ing ...................................... 73
Figure III.31: Choix du type EAP....................................................................................... 73
Figure III.33: Choix du certificat serveur ........................................................................... 74
Figure III.34: Certificat client wissame .............................................................................. 74
Figure III.35: Choix de la connexion.................................................................................. 75
Figure III.36: Choix du rseau avec point daccs seulement ........................................... 75
Figure III.37: Rseau dtect par la carte .......................................................................... 76
Figure III.38: Tentative de connexion ................................................................................ 76
Figure III.39: Validation de lidentit................................................................................. 77
Figure III.40: Echanges des messages EAP entre le serveur radius et le client ............... 77
Figure III.41: Attente de lauthentification......................................................................... 78
Figure III.42: Russite de lauthentification et passage ltat connect ......................... 78
Figure III.43: Etat de connexion rseau sans fil ................................................................. 79
Figure III.44: Autorisation accept de serveur pour le client wissame .............................. 79
Figure III.45: Fichiers partager sur le poste client .......................................................... 80
Figure III.46: Autorisation de partage des fichiers ............................................................. 80
Figure III.47: Usagers du rseau......................................................................................... 81
Figure III.48: Fichiers partag sur le poste client ............................................................... 81
Figure III.49: Russite de ping du client vers le serveur .................................................... 82
Figure III.50: Russite du ping du serveur vers le client .................................................... 82
Figure III.51: Tentative dun pirate .................................................................................... 83
Figure III.52: Autorisation rejet du serveur pour le pirate................................................ 83
Figure III.53: Echec du ping.............................................................................................. 84
Liste des tableaux
Tableau II.1: Comparaison entre les diffrents types de chiffrement ................................ 28
Tableau II.2: Description du champ code........................................................................... 46
Abrviations
A
AAA: Authentication, Authorization, Accounting
ACL: Access Control List
AES: Advanced Encryption Standard
AP: Access Point
B
BLR: Boucle Locale Radio.
BSS: Basic Service Set
BSSID: BSS Identifier
C
CA: Certification Authority
CCM: Counter with CBC-MAC
CCMP: Counter with CBC MAC Protocol
CHAP: Challenge Handshake Authentication Protocol
CRC: Control Redundancy Check
D
DECT: Digital Enhanced Cordless Telecommunication
DES: Data Encryptions Standard
DN: Distinguished Name
DoS: Denial of Service
DS: Distribution System
DSSS: Direct Sequence Spred Spectrum
E
EAP: Extensible Authentification Protocol
EAP-AKA: EAP - Authentification and Key Agreement
EAP-MD5: EAP-Message Digest 5
EAP- SIM: EAP - Subsciber Identity Module
EAP- SKE: EAP-Shared Key Exchange
EAP-TLS: EAP-Transport Layer Security
EAP-TTLS: EAP-Tunneled Transport Layer Security
EAPOL: Extensible Authentification Protocol Over Lan
EEPROM: Electrically Erasable Programmable Read-Only Memory
ESS: Extended Service Set
ETSI: European Telecommunications Standards Institute
F
FHSS: Frequency Hopping Spread Spectrum
G
GPS: Global Positioning System
GPRS: General Packet Radio Service
GSM: Global System for Mobile Communications
H
HARQ: Hybrid Automatic Repeat reQuest
HiperLAN: Hiper Local Area Network
hiperLAN2: High Performance Radio LAN 2.0
Home RF: Home Radio Frequency
HR-DSSS: High Rate Direct Sequence Spread Spectrum
I
IBSS: Independent Basic Service Set
ICV: Integrity Check Value
IDEA: International Data Encryptions Algorithm
IEC: International Electrotechnical Commission
IEEE: Institute of Electrical and Electronics Engineer
IETF: Internet Engineering Task Force
IMT 2000: Norme du GSM
IP: Internet Protocol
IPv4: Internet Protocol version 4
IR: Infrarouges
ISO: International Organization for Standardization
IV: Vecteur dinitialisation
L
LAN: Local Area Network
LDAP: Lightweight Directory Access Protocol
LEAP: Lightweight Extensible Authentification Protocol
LLC: Logical Link Control
M
MAC: Medium Access Control
MAN: Metropolitan Area Network
MD5: Message Digest 5
MIC: Message Integrity Code
MIMO: Multiple Input Multiple Output
MS-CHAP 2: Microsoft Challenge Handshake Authentication Protocol version 2
N
NAS: Network Access Server
NTLM: NT Lan Manager
O
OCB: Offset Code Book
OFDM: Orthogonal Frequency Division Multiplexing
OID: Object Identifier
OSI: Open Source Inder
P
PAE: Port Access Entity
PAP: Password Authentication Protocol
PC: Personal Compute / Point of Coordination
PCI: Peripheral Component Interconnect
PCMCIA: Personal Computer Memory Card International Association
PDA: Personal Digital Assistant
PEAP: Protected EAP
PGP: Pretty Good Privacy
PIN: Personal Identification Number
PKA: Public Key Authentication
PPM: Pulse Position Modulation
PPP: Point to Point Protocol
PSK: Pr-Shared Key
R
RADIUS: Remote Authentification Dial In User Service
RC4: Rons Code #4
RLC: Radio Link Control
RPV: Rseau Priv Virtuel
RSA: Rivest, Shamir, Adelman
S
SCTP: Stream Control Transmission Protocol
SIM: Subscriber Identity Module
SNMP: Simple Network Management Protocol
SRP: Secure Remote Password
SSID: Service Set Identifier
SSL: Secure Socket Layer
T
TACACS+: Terminal Access Controller Access Control System Plus
TCP: Transmission Control Protocol
TKIP: Temporal Key Integrity Protocol
TLS: Transport Layer Security
TSF: Transmission sans fil
TTLS: Tunneled TLS
U
UDP: User Datagram Protocol
UIT: Union internationale des tlcommunications
UMTS: Universal Mobile Telecommunications System
USA: United States of America
USB: Universal Serial Bus
V
VPN: Virtual Private Network
W
WECA: Wireless Ethernet Compatibility Alliance
WEP: Wired Equivalent Privacy
Wi-Fi: Wireless Fidelity
Wi-Max: Worldwide Interoperability for Microwave Access
WMAN: Wireless Metropolitan Area Network
WPA2: Wi-Fi Protected Access version 2
WPAN: Wireless Personal Area Network.
WRAP: Wireless Robust Authenticated Protocol
WRAN: Wireless Regional Area Networks
WWAN: Wireless Wide Area Network.
Table des matires
Remerciements
Ddicaces
Liste des figures
Abrviations
Rsum
Introduction gnrale .............................................................................................................. 1
Chapitre I : Prsentation des rseaux sans fil Wi-Fi
Rseaux sans fil......................................................................................................................... 2
1. Introduction....................................................................................................................... 2
2. Historique.......................................................................................................................... 2
3. Dfinition.......................................................................................................................... 2
4. Technologies sans fil ........................................................................................................ 3
4.1. Rseaux WPAN....................................................................................................... 4
4.2. Rseaux WMAN..................................................................................................... 4
4.3. Rseaux WWAN..................................................................................................... 5
4.4. Rseaux WLAN ...................................................................................................... 5
4.5. Rseaux WRAN...................................................................................................... 5
Wi-Fi : dfinition...................................................................................................................... 6
1. Avantages ....................................................................................................................... 6
2. Inconvnients.................................................................................................................. 7
3. Diffrentes normes ......................................................................................................... 7
4. Equipements Wi-Fi....................................................................................................... 11
5. Architecture Wi-Fi........................................................................................................ 14
5.1. Couche physique ................................................................................................... 15
5.2. Couche liaison de donnes .................................................................................... 16
5.3. Mode de fonctionnement....................................................................................... 17
5.3.1. Mode infrastructure...................................................................................... 17
5.3.2. Mode Ad hoc................................................................................................ 19
Conclusion............................................................................................................................... 20
Chapitre II : Mcanismes de scurit des rseaux sans fil Wi-Fi
Introduction............................................................................................................................ 21
1. Risques et attaques ....................................................................................................... 21
1.1. Les risques............................................................................................................ 21
1.2. Les attaques ........................................................................................................... 22
1.2.1. Attaques passives ....................................................................................... 22
1.2.2. Attaques actives ......................................................................................... 23
1.2.3. Autres attaques ............................................................................................ 24
2. Services de scurit .................................................. ........... 25
2.1. Confidentialit....................................................................................................... 25
2.1.1. Chiffrement ................................................................................................ 25
2.1.1.1. Cl symtrique................................................................................ 25
2.1.1.2. Cl asymtrique............................................................................ . 27
2.1.1.3. Cl mixte ........................................................................................ 28
2.1.2. Certificats..................................................................................................... 29
2.2. Service dauthentification...................................................................................... 30
2.3. Lintgrit des donnes ....................................................................................... 32
2.4. Non rpudiation..................................................................................................... 32
2.5. Contrle daccs ................................................................................................... 32
Scurisation du Wi-Fi ............................................................................................................ 33
1. Scurit des points daccs ......................................................................................... 33
1.1. Eviter les valeurs par default ............................................................................... 33
1.2. Filtrage des adresses MAC.................................................................................... 34
2. Scurit des protocoles lis au Wi-Fi ........................................................................... 34
2.1. WEP....................................................................................................................... 34
2.1.1. Cl WEP....................................................................................................... 35
2.1.2. Principe du WEP.......................................................................................... 35
2.1.3. Failles du WEP ............................................................................................ 35
2.2. WPA...................................................................................................................... 36
2.2.1. Fonctionnement........................................................................................... 36
2.2.2. Protocole TKIP ........................................................................................... 37
2.3. WPA2 / 802.11i ..................................................................................................... 37
2.4. VPN....................................................................................................................... 38
2.4.1. Concept de VPN .......................................................................................... 38
2.4.2. Fonctionnement........................................................................................... 38
2.5. 802.1x.................................................................................................................... 39
2.5.1. Mcanisme gnrale..................................................................................... 40
2.5.2. EAP............................................................................................................ . 41
2.5.2.1. Composition du paquet EAP ........................................................ 41
2.5.2.2. Mthodes dauthentifications associes EAP ............................. 42
a. Mthodes bases sur les mots de passes .................................. 43
b. Mthodes bases sur les certificats ........................................... 44
c. Mthodes bases sur les cartes puces.................................... 44
2.5.3. Faiblesses de 802.1x .................................................................................... 44
2.6. Protocole Radius.................................................................................................... 45
2.6.1. Prsentation ................................................................................................. 45
2.6.2. Principe de fonctionnement ........................................................................ 45
Conclusion............................................................................................................................... 47
Chapitre III : Mise en place dune scurit base sur le 802.1x et dun
serveur dauthentification
Introduction............................................................................................................................ 48
1. Installation et configuration dOpenssl ........................................................................ 48
1.1. Installation............................................................................................................. 48
1.2. Configuration......................................................................................................... 49
2. Gnrations des certificats ........................................................................................... 50
2.1. Gnration du certificat root ................................................................................. 50
2.2. Gnration du certificat serveur ............................................................................ 51
2.3. Gnration du certificat client ............................................................................... 52
3. Installation et configuration de freeradius.................................................................... 53
3.1. Installation ............................................................................................................ 53
3.2. Configuration......................................................................................................... 53
3.3. Fichiers de configuration de freeradius ................................................................. 56
4. Configuration du point daccs .................................................................................... 62
5. Configuration du poste client sous Windows XP......................................................... 64
5.1. Installation du certificat dautorit ........................................................................ 64
5.2. Installation du certificat client ............................................................................... 68
5.3. Installation du certificat serveur ............................................................................ 70
6. Configuration de la connexion sans fil ......................................................................... 70
Conclusion............................................................................................................................... 84
Conclusion gnrale ............................................................................................................... 85
Bibliographie........................................................................................................................... 86
Rsum
Le rseau Wi-Fi constitue de plus en plus la technologie qui sest impose par excellence ces
dernires dix annes, permettant aux utilisateurs un accs linternet ou au rseau local
dentreprise ou personnel sans les contraintes des cbles. Les dbits atteints actuellement avec
le rseau wifi rendent possible le transfert de flux multimdia soumis cependant une forte
contrainte scuritaire due au lien sans fil lui mme. Les solutions utilises dans les rseaux
filaires ne sont pas adquates et efficaces pour les WLAN. Do lintrt certain apport
trouver et mettre en place des solutions spcifiques au WLAN mme si parfois elles sont
inspires de solutions existantes dj.
Le but de notre projet de fin dtudes consiste justement tudier et analyser ces dites
solutions pour en choisir et dployer la plus efficace sur un rseau test.
Dans cette optique, on a donc tudi le rseau Wi-Fi standardis en dtail, avec son
fonctionnement ainsi que ses protocoles et ses mcanismes de scurit. Nous avons ensuite
opt pour lutilisation dun serveur RADIUS utilisant le protocole 801.1x pour
lauthentification des utilisateurs avec des certificats, le protocole AES pour le chiffrement, et
enfin le protocole TKIP pour la gestion et loctroi de cls temporaires de chiffrement, qui
devraient tre le bon choix comme expliqu dans le chapitre deux.
Mise en place dun serveur radius sous linux pour la scurisation dun rseau 802.11 1
Introduction gnrale
Les rseaux sans fil rencontrent aujourdhui un succs important car ils permettent de
dployer des moyens de transmission sans contrainte dimmobilit lie aux cblages et aux
prises, la promotion actuelle de ce type de solution est uniquement axe sur les avantages
quelle procure : facilit et rapidit dinstallation, cot infrieur un systme filaire, mobilit,
accs partag des services de haut dbit.
Bien que cette technologie semble aux premiers abords parfaite et sans soucis, la ralit est
plus dure, due surtout au problme de la protection de ces rseaux sans fil, mme vis--vis
dattaque simple. La nature de signal transmis (ondes lectro magntiques) rend difficile, voir
impossible la maitrise complte de la propagation. En consquent, il est assez facile dcouter
les messages et mme de sintroduire sur de tels rseau ; il est donc ncessaire de dfinir pour
les rseaux sans fil une politique de scurit stricte reposant sur des mcanismes, si possible
sans failles, tel que lauthentification, le contrle dintgrit et le chiffrement.
Toutefois, les rseaux sans fil nont pas pour vocation de remplacer les rseaux filaires, ils
sont plus souvent considrs comme une extension un rseau filaire existant et non comme
un potentiel remplaant.
Le travail que nous prsentons dans le cadre du projet de fin dtude consiste exposer en
dtail le dploiement dune solution de scurit des rseaux sans fil Wi-Fi . Notre travail
va consister scuriser un rseau Wi-Fi en mode infrastructure, par un serveur
dauthentification radius. Pour cela le projet a t partag en trois chapitres :
- Le premier chapitre prsente des gnralits sur les rseaux sans fil Wi-Fi , et son
fonctionnement.
- Le deuxime chapitre est consacr aux mcanismes de scurit, les protocoles de scurit
qui existent et les attaques possibles.
- Le troisime chapitre dtaille limplmentation des mcanismes et protocoles quon a
choisis, et qui est le 802.1x avec un serveur dauthentification radius, dans ce chapitre, on
dcrit les tapes quon a suivi pour la scurisation dun rseau exprimental se composant
dun utilisateur, un point daccs AP et dun serveur.
Chapitre I Prsentation des rseaux sans fil Wi-Fi
Rseaux sans fil
1. Introduction
La grande particularit des rseaux sans fil est dtre un systme rapide dployer, pour un
cout raisonnable. En effet, il suffit pour construire un tel rseau dquiper les postes
informatiques dun adaptateur 802.11 et si ncessaire dinstaller un point daccs. Ce type de
rseau utilise donc des ondes radio pour vhiculer des donnes entre les postes.
Lobjectif de ce chapitre est de donner un aperu technique du standard 802.11 de faon
comprendre les concepts de base. Exposer quelques normes du Wi-Fi puis nous allons passer
en revue une prsentation globale du fonctionnement.
2. Historique
Les rseaux sans fil sont fonds sur une technologie spectre tal, initialement
dveloppe pour les communications militaires de larme amricaine pendant la seconde
guerre mondiale. Les techniciens militaires pensaient que les spectres tals taient plus
intressants car plus rsistants au brouillage. Les autres avances ont permis daugmenter les
dbits. Aprs 1945, les entreprises commerciales ont commenc exploiter cette technologie,
ayant compris lintrt quelle reprsentait pour leurs clients.
La technologie des rseaux sans fil a volu en 1971 avec un projet de luniversit de Hawaii
appel AlohNet. Ce projet a permis sept ordinateurs de communiquer depuis les diffrentes
iles en utilisant un concentrateur central sur Oahu.
La recherche universitaire sur AlohNet a pos les bases de la premire gnration de rseaux
sans fil, qui oprait sur la plage de frquence 901-928 MHz, utilis principalement par les
militaires, cette phase du dveloppement des rseaux sans fil na connu que peu dutilisateurs
cause des problmes de frquence et de son faible dbit.
A partir de ce moment, la frquence 2.4 GHz a t dfinie pour une utilisation sans licence.
La technologie a donc commenc merger et la spcification 802.11 est ne. Celle-ci a
volu pour devenir le standard 802.11b et continue son chemin vers des implmentations
plus rapides et plus sures. [1]
3. Dfinition
Un rseau sans fil (en anglais Wireless network) est, comme son nom l'indique, un rseau
dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grce aux
rseaux sans fil, un utilisateur la possibilit de rester connect tout en se dplaant dans un
primtre gographique plus ou moins tendu, c'est la raison pour laquelle on entend parfois
parler de "mobilit".
Les rseaux sans fil sont bass sur une liaison utilisant des ondes radiolectriques (radio et
infrarouges) en lieu et place des cbles habituels. Il existe plusieurs technologies se distinguant
d'une part par la frquence d'mission utilise ainsi que le dbit et la porte des transmissions.
Les rseaux sans fil permettent de relier trs facilement des quipements distants d'une dizaine
de mtres quelques kilomtres. De plus, l'installation de tels rseaux ne demande pas de lourds
amnagements des infrastructures existantes comme c'est le cas avec les rseaux filaires. En
contrepartie se pose le problme de la rglementation relative aux transmissions
radiolectriques. De plus, les ondes hertziennes sont difficiles confiner dans une surface
gographique restreinte, il est facile pour un pirate d'couter le rseau si les informations
circulent en clair. Donc il est ncessaire de mettre en place les dispositions ncessaires de telle
manire assurer une confidentialit des donnes circulant sur les rseaux sans fil. [2]
Londe radio
Les ondes radiolectriques (dites ondes radio) sont des ondes lectromagntiques dont la
frquence d'onde est par convention comprise entre 9 KHz et 3000 GHz, ce qui correspond
des longueurs d'onde de 33 km 0,1 mm. Les ondes hertziennes, utilises non seulement pour
la radio proprement dite (la TSF, comme on l'appelait en 1930) mais aussi pour la tlvision,
le tlphone portable voire le four micro-ondes, appartiennent comme la lumire ou les
rayons X la grande famille des ondes lectromagntiques.
Elles sont produites en injectant dans une antenne un courant lectrique variable haute-
frquence. On peut comparer l'antenne une ampoule lectrique nue qui rayonnerait l'nergie
que lui communique le courant lectrique qui la traverse. [3]
4. Technologies sans fil
On distingue habituellement plusieurs catgories de rseaux sans fil, selon le primtre
gographique offrant une connectivit (appel zone de couverture) :
Figure .1 : Catgories des rseaux sans fil
4.1. Rseaux WPAN
Le rseau personnel sans fil (appel galement rseau individuel sans fil ou rseau
domestique sans fil et not WPAN pour Wireless Personal Area Network) concerne les
rseaux sans fil d'une faible porte : de l'ordre de quelques dizaines mtres. Ce type de rseau
sert gnralement relier des priphriques (imprimante, tlphone portable, appareils
domestiques, ...) ou un assistant personnel (PDA) un ordinateur sans liaison filaire ou bien
permettre la liaison sans fil entre deux machines trs peu distantes. Il existe plusieurs
technologies utilises pour les WPAN : Bluetooth, Home RF, La technologie ZigBee.
4.2. Rseaux WMAN
La BLR (Boucle Locale Radio) fait partie des rseaux sans fil de type WMAN. La BLR
est une technologie sans fil capable de relier les oprateurs leurs clients grce aux ondes
radio sur des distances de plusieurs kilomtres.
Les rseaux sans fil de type WMAN (Wireless Mtropolitain Area Network) sont en train de
se dvelopper. Ce phnomne risque de samplifier dans les annes venir. La norme IEEE
802.16, est plus connue sous son nom commercial Wi-Max. La dernire version de la norme
est IEEE 802.16-2004, ratifie en juin 2004. Comme dans le cas de la dnomination Wi-Fi ;
Wi-Max dsigne en fait un ensemble de normes regroupes sous une appellation commune.
La norme de rseau mtropolitain sans fil la plus connue est le Wi-Max.
Techniquement, le Wi-Max permet des dbits de lordre de 70 Mbit/s avec une porte de
lordre de 50 km. Actuellement, le Wi-Max peut exploiter les bandes de frquence 2,4 GHz,
4.1. Rseaux WPAN
4.2. Rseaux WMAN
4.1. Rseaux WPAN
4.2. Rseaux WMAN
3,5 GHz et 5,8 GHz. Aujourdhui, en France, la bande de frquence 2,4 GHz est libre, la
bande de frquence 5,8 GHz est interdite en utilisation extrieure et la bande des 3,5 GHz est
licencie un unique oprateur. La norme 802.16e ajoutera de la mobilit la norme actuelle
IEEE 802.16. [4]
4.3. Rseaux WWAN
Le rseau tendu sans fil (WWAN pour Wireless Wide Area Network) est galement
connu sous le nom de rseau cellulaire mobile. Il sagit des rseaux sans fil les plus rpandus
puisque tous les tlphones mobiles sont connects un rseau tendu sans fil. Les
principales technologies sont les suivantes : GSM, GPRS, UMTS.
4.4. Les rseaux WLAN
Le rseau local sans fil (WLAN pour Wireless Local Area Network) est un rseau
permettant de couvrir l'quivalent d'un rseau local d'entreprise, soit une porte d'environ une
centaine de mtres. [5]
les WLAN ont t conus pour offrir un accs large bande radio avec des dbits de plusieurs
Mbit/s pour relier des quipements de type PC et autres quipements lectroniques ou
informatiques dans des environnements professionnels, immeubles de bureaux, btiments
industriels ou grand public et se connecter un rseau cur, tel quun rseau Ethernet. Ils
sont dploys dans des lieux privs mais aussi dans des lieux publics gares, aroports, campus
(hot spots). Ils sont complmentaires des rseaux cellulaires 2G et 3G qui offrent une plus
grande mobilit mais des dbits plus faibles.
Deux grandes familles se partagent le domaine des WLAN rsultant des travaux mens aux
Etats-Unis et en Europe. La premire famille est celle du Wi-Fi nom donn la norme IEEE
802.11b qui est actuellement la plus populaire pour offrir des dbits jusqu 11 Mbit/s pour
des distances de 10 100 m. La seconde famille est celle de lHIPERLAN2 et de IEEE
802.11a base sur lOFDM (Orthogonal Frequency Division Multiplexing) plus robuste aux
distorsions slectives en frquence du canal, offrant des dbits jusqu 54 Mbit/s mais au prix
dune complexit plus grande. [6] Il existe plusieurs technologies concurrentes : hiperLAN2,
DECT, Wi-Fi.
4.5. Rseaux WRAN
Lorganisation de certification, lInstitute of Electrical and Electronics Engineers ou IEEE,
vient dapprouver une nouvelle norme la 802.22 WRAN (Wireless Regional Area Networks
ou systme de rseau rgional sans fil). Celle-ci va permettre de fournir le haut dbit sans fils
dans les zones mal desservies, en se servant des frquences VHF et UHF des canaux de
tlvision vacants. Cette norme offrira galement un dbit de lordre de 22Mbps par canal,
jusqu une distance de 100 kilomtres du transmetteur. La 802.22 vise donc fournir un
accs large bande dans les zones rurales, mais galement dans les pays en voie de
dveloppement. [7]
Wi-Fi : Dfinition
Le nom Wi-Fi (contraction de Wireless Fidelity, parfois note tort Wi-Fi) correspond
initialement au nom donne la certification dlivre par la Wi-Fi Alliance, anciennement
WECA, l'organisme charg de maintenir l'interoprabilit entre les matriels rpondant la
norme 802.11. Par abus de langage (et pour des raisons de marketing), le nom de la norme se
confond aujourd'hui avec le nom de la certification. Ainsi un rseau Wi-Fi est en ralit un
rseau rpondant la norme 802.11. La norme IEEE 802.11 (ISO/IEC 802-11) est un
standard international dcrivant les caractristiques d'un rseau local sans fil (WLAN).
Grce au Wi-Fi, il est possible de crer des rseaux locaux sans fil haut dbit pour peu que
l'ordinateur connecter ne soit pas trop distante par rapport au point d'accs. Dans la pratique,
le Wi-Fi permet de relier des ordinateurs portables, des ordinateurs de bureau, des assistants
personnels (PDA) ou tout type de priphrique une liaison haut dbit (11 Mbps ou
suprieur) sur un rayon de plusieurs dizaines de mtres en intrieur (gnralement entre une
vingtaine et une cinquantaine de mtres) plusieurs centaines de mtres en environnement
ouvert. [6]
1. Avantages de Wi-Fi
Mobilit
Les utilisateurs sont gnralement satisfaits des liberts offertes par un rseau sans fil et de
fait sont plus enclins utiliser le matriel informatique.
Facilit et souplesse
Un rseau sans fil peut tre utilis dans des endroits temporaires, couvrir des zones difficiles
daccs aux cbles, et relier des btiments distants.
Cot
Si leur installation est parfois un peu plus coteuse quun rseau filaire, les rseaux sans fil
ont des cots de maintenance trs rduits ; sur le moyen terme, linvestissement est facilement
rentabilis.
volutivit
Les rseaux sans fil peuvent tre dimensionns au plus juste et suivre simplement lvolution
des besoins [8].
2. Inconvnients de Wi-Fi
Complexit
Le premier problme auquel ladministrateur rseau est confront est la diversit des
comptences ncessaires la mise en uvre dun rseau Wi-Fi. Il faut prendre en
considration les problmes de transmission radio, un ventuel audit du site, lintgration de
lexistant (rseau cbls, mais peut tre aussi les quelques ilots Wi-Fi dj en place), le
respect de rgulation, le support effectif des standards actuels et venir, ladministration de ce
futur rseau, le monitoring du trafic, etc.
Qualit et continuit du signal
Ces notions ne sont pas garanties du fait des problmes pouvant venir des interfrences, du
matriel et de lenvironnement.
Scurit
La scurit des rseaux sans fil nest pas encore tout fait fiable du fait que cette technologie
est novatrice. [9] Elle est une proccupation critique dun administrateur rseau confront au
Wi-Fi, dune part parce que les faiblesses des technologies ont t largement traites sur
Internet, dautre part parce quil sagit dune approche effectivement nouvelle du sujet, et qui
prsente une grande diversit.
3. Diffrentes normes Wi-Fi
Les standards rgissant les rseaux sans fil pour les PC sont tablis par lIEEE (Institue of
Elecrical and Electronics Engineers). La technologie LAN/MAN a reu le numro 802, lui
mme subdivis en groupes de travail. Les groupes les plus actifs incluent le 802.15, pour les
rseaux personnels (Bluetooth), 802.16 pour les rseaux sans fil large bande Wi-Max et
enfin 802.11 pour les LAN sans fil. Dans le groupe 802.11, des dfinitions plus prcises
existent, identifies par les diffrentes lettres. [1]
La norme IEEE 802.11 est en ralit la norme initial offrant des dbits de 1 ou 2 Mbit/s. des
rvisions ont t apports la norme originale afin doptimiser le dbit (cest le cas des
normes 802.11a, 802.11g, appels normes 802.11 physiques) ou bien prciser des lments
afin dassurer une meilleure scurit ou une meilleure interoprabilit. On trouvera ci-aprs
une brve description des diffrentes rvisions de la norme 802.11 ainsi que leur signification :
802.11a
La norme 802.11a (baptis Wi-Fi 5) permet d'obtenir un haut dbit (54 Mbps thoriques, 30
Mbps rels). Elle spcifie 8 canaux radio dans la bande de frquence des 5 GHz.
Un des avantages de cette norme consiste remdier aux problmes rencontrs avec 802.11b,
en utilisant une bande de frquence moins utilise pour dautres applications. Rappelons que
les bandes de frquences 5Ghz et 2Ghz sont libres, c'est--dire que leur utilisation ne
ncessite aucune licence en Europe. De plus, la vitesse thorique de 54Mbps s'avre tre plus
confortable pour l'change de gros fichiers compar celle du 802.11b qui vaut 11Mbps.
Le 802.11a possde galement des inconvnients comme sa porte rduite (15m) et son
incompatibilit avec le 802.11b (le passage cette norme exige donc l'acquisition d'un tout
nouveau matriel). [8]
802.11b
Elle est la premire norme gnraliser lutilisation des transmissions sans fil, tout en ayant
connu un vif succs commercial. Elle permet dobtenir des dbits thoriques de 11 Mbit/s (6
Mbit/s rels) sur la bande de frquence de 2.4 GHz. La porte maximale du signal est de 100
mtres en intrieur, et de 300 mtres en extrieur ; sa porte est bien moindre dans les faits
(30 et 100 mtres rels). Elle utilise la modulation radio DSSS (Direct Sequence Spred
Spectrum) et HR-DSSS.
Impatients, car la norme 802.11g a tard arriver, des constructeurs ont cr une volution de
cette norme, la 802.11b+ qui permet daugmenter les dbits 22 et 44 Mbit/s (11 20 Mbit/s
rels). Ces matriels taient compatibles avec la 802.11b, mais en bridant leur vitesse 11
Mbit/s. [10]
Le principal inconvnient de 802.11b consiste prsenter des interfrences possibles avec les
appareils fonctionnant sur les mmes frquences tels que les fours micro ondes, les camras
analogiques sans fil et toutes les formes de surveillance ou d'observation professionnelles ou
domestiques distance comme les transmetteurs de salon, la tl-mesure, la tl-mdecine, les
radio-amateurs ATV, les claviers et souris sans fil. [8]
802.11c
La norme 802.11c est une extension de 802.11b concernant la gestion de la couche MAC. Elle
amliore les procdures de connexion en pont entre les points d'accs. Les travaux ont t
suspendus et la norme restitue au Groupe de Travail 802.11d. [8]
802.11d
La norme 802.11d est un supplment la norme 802.11 dont le but est de permettre une
utilisation internationale des rseaux locaux 802.11. Elle consiste permettre aux diffrents
quipements dchanger des informations sur les plages de frquence et les puissances
autorises dans le pays dorigine du matriel.
802.11e
La norme 802.11e offre des possibilits de qualit de service (QoS) au niveau de la couche
liaison de donnes. Elle dfinit ainsi les besoins des diffrents paquets en termes de bande
passante et de dlai de transmission de telle manire permettre des flux prioritaires. Nous
pouvons alors esprer, par exemple, une transmission de la voix et de la vido de meilleure
qualit (fluidit et dbit important). Actuellement, ces applications font lobjet dun march
en pleine expansion. Par exemple, les tlphones Wi-Fi (F1000 de UTStarcom), tlvision
Wi-Fi
802.11f
La norme 802.11f est une recommandation l'intention des vendeurs dquipement 802.11
visant une meilleure interoprabilit des produits. 802.11f permet un utilisateur itinrant de
changer de point d'accs de faon transparente lors d'un dplacement, indpendamment des
marques des points d'accs. En effet, les fabricants dquipement 802.11 utilisaient des
normes propritaires parfois incompatibles.
802.11g
La norme 802.11g est la plus rpandue, elle offre un haut dbit (54 Mbps) sur la bande de
frquence des 2.4 GHz. De plus, les matriels conformes la norme 802.11g fonctionnent en
802.11b ( 11 Mbps), ce qui garantit une compatibilit avec les points daccs 802.11b. La
modulation de 802.11g est lOFDM comme pour la norme 802.11a.
Malheureusement, ce standard est aussi sensible aux interfrences avec dautres appareils
utilisant les mmes frquences dans la bande des 2.4 GHz. Paralllement lmergence de ce
standard sur le march, nous notons la naissance dun besoin de la part des utilisateurs de
qualit de service. La scurit nest pas toujours garantie et le cryptage propos, lorsquil est
utilis, sest avr faillible (WEP). Il manque un aspect de scurit de transmission au
standard 802.11g. Ce problme est loign avec lutilisation de WPA la place de WEP. Mais
le standard 802.11i consacr la scurit des transmissions, propose des solutions compltes,
avec lutilisation de lalgorithme WPA2 (Wi-Fi Protected Access version 2), une version
nettement amliore du WPA. [11]
802.11h
La norme 802.11h adapte la couche MAC visant rendre compatible les quipements 802.11
avec les infrastructures utilisant HiperLAN2. En effet, bien quaucune des deux ne soit
standardise, ces normes ne sont jusquici pas compatibles.
802.11h permet la dtection automatique de frquence de lAP (Access Point) et le contrle
automatique de la puissance dmission dans le but dliminer les interfrences entre AP. La
conformit est ainsi garantie avec la rglementation europenne en matire de frquence et
d'conomie d'nergie (Dynamic Frequency Solution & Transmit Power Control). Cette
norme, pas encore standardise, est dveloppe par lIEEE et lETSI.
802.1x
Il sagit dune sous-section du groupe de travail 802.11i, visant lintgration du protocole
EAP. 802.1x se charge de la scurisation de transmission de linformation dans les rseaux
filaires et sans fil au moyen dauthentification sre.
802.1x supporte diverses mthodes dauthentification comme les cartes jeton, Kerberos, les
mots de passe utilisation unique, les certificats et les clefs publiques. Un exemple
dapplication est l'emploi dun serveur dauthentification Radius combin une distribution
dynamique de clefs, qui garantit un niveau de scurit lev.
802.11i
Le but de la norme 802.11i est d'amliorer la scurit des transmissions (gestion et
distribution dynamique des cls, chiffrement des informations et authentification des
utilisateurs). [11]
802.11b et 802.11g utilisent WEP pour scuriser la transmission au moyen de clefs de
cryptage. Le chiffrement utilis est RC4, qui sest avr faible. 802.11i utilise WPA2. Elle
utilise lauthentification EAP dfinie dans 802.1x et s'appuie sur le chiffrement AES
(Advanced Encryption Standard). De plus, elle assure la confidentialit au moyen dun
chiffrement cls temporaires TKIP, plus performant que lalgorithme utilis avec 802.11g et
802.11b.
802.11j
Le but de la norme 802.11j est de rendre compatible 802.11a avec la rglementation
japonaise.
802.11k
La norme 802.11k permet aux appareils compatibles de faire des mesures de signaux
compltes pour amliorer lefficacit des communications. Les avantages sont multiples tels
que ladministration distance de la couverture rseau, ou une amlioration du roaming
automatique via des site report .
802.11 IR
La norme 802.11IR a t labore afin dutiliser des signaux infrarouges. Les applications
sont rares et nous pouvons affirmer que cette norme nest plus dactualit tant donn les
faibles dbits proposs (2Mbits/s).
802.11n
Cette norme est trs prometteuse car elle doit permettre datteindre les dbits du filaire, avec
un dbit de 540 Mbits (100 Mb/s rels) et une porte de 100 mtres rels. Elle intgrera la
technologie MIMO et devrait tre compatible avec les anciennes normes avec un
fonctionnement en mode mixte qui permettra davoir des transmissions dbit htrogne
fonctionnant en 802.11a, b ou g avec lancien matriel et en 802.11n avec le nouveau. Utilise
la modulation radio MIMO-OFDM.
Le 802.11n utilise des frquences de 2.4 et 5 GHz et ne fonctionne quen mode infrastructure
avec un point daccs centrale sur le quel tous les clients se connectent.
4. Equipements Wi-Fi
Elments actifs Wi-Fi
Les points daccs ou des cartes clientes possdent le mme type dlments actifs Wi-Fi :
leur fonction principale est de convertir les donnes numriques provenant dun rseau
Ethernet en signaux analogiques destins lantenne. Cest son niveau que les protocoles de
modulation/dmodulation des signaux interviennent. En rception, il effectue le processus
inverse consistant dcoder les signaux transmis par lantenne en donnes IP pour le rseau.
Les caractristiques principales dun lment actif sont sa puissance dmission et sa
sensibilit en rception (puissance minimale admissible pour interprter les donnes et assurer
la liaison), toutes deux exprimes en mW ou dBm. Sont rglables sur ce matriel Wi-Fi le
dbit de liaison souhait, parfois le niveau de puissance de sortie, ainsi que plusieurs
protocoles lis la scurit et lidentification des autres AP connectes.
Points daccs (AP)
Le rle des points daccs est similaire celui que tiennent les hubs dans les rseaux
traditionnels. Il permet aux stations quipes de cartes Wi-Fi dobtenir une connexion au
rseau. On parle alors dassociation entre lAP et chaque station connecte. Les trames
dinformation envoyes par un client sont r mises par lAP, ce qui permet la station de
joindre un autre client quelle ne peut pas forcment voir directement (loignement, obstacle).
Le support physique tant les ondes radio, on ne peut pas empcher les stations non
destinataires de recevoir les trames mises, do lanalogie avec le hub. Les APs sont
ncessaires lorsque le rseau sans fil fonctionne en mode infrastructure. Ce sont en fait des
botes qui contiennent une carte Wi-Fi comme on en trouve sur les stations, une ou plusieurs
antennes et du logiciel embarqu dans une puce pour grer tout cela. Le logiciel prsent
permet de fournir des services supplmentaires lis la scurit et lidentification des autres
AP connects. Il est possible de transformer un ordinateur quip dune carte Wi-Fi en point
daccs, par simple adjonction de programmes.
Figure .2 : Exemple de point d'accs
Routeurs
Centre nvralgique de votre installation, connects votre modem haut dbit, le routeur
transforme votre connexion Internet filaire en connexion sans fil.
La plupart des routeurs font office de borne sans fil offrant laccs Internet tous vos
ordinateurs. Ils disposent galement de ports Ethernet (en gnrale quatre) pour raccorder
physiquement les postes les plus proches et certains offrent une scurit pour le rseau en
tant dots de firewall et de limitations daccs.
Les modems/routeurs
Les modems/routeurs offrent une solution deux-en-un en regroupant dans un mme appareil
un modem (pour accdera la ligne Internet) et un routeur pour repartir cette connexion sur vos
diffrents ordinateurs.
Cartes Wi-Fi
Ce terme dsigne les priphriques actifs Wi-Fi/Antenne directement branchs un ordinateur
client. Ils jouent exactement le mme rle que les cartes rseaux traditionnelles la diffrence
prs quon ne branche pas de cble dessus, puisque la liaison est assure par radio. Elles
existent en trois formats.
PCMCIA
Il sagit du format le plus rpandu puisque ce format est spcifique
aux portables dont les propritaires taient les premiers intresss
par la technologie sans fil.
Figure .3 : Carte PCMCIA
PCI
Cest le format standard pour les ordinateurs de bureau mais les
cartes restent au format PCMCIA. Il y a donc un adaptateur
PCMCIA-PCI sur lequel est loge une carte PCMCIA ; le prix
dachat est donc lgrement suprieur aux modles prcdents.
Figure I.4 : Carte PCI
USB
Ce format sest rapidement popularis pour sa simplicit
dutilisation et les constructeurs nont pas tard proposer
galement des cartes Wi-Fi ce format.
Figure .5 : Carte USB
Antennes
L'antenne intgre lAP ou la carte Wi-Fi peut tre remplace par une antenne externe plus
puissante relie par un cble d'antenne, la plupart du temps avec un parafoudre pour protger
l'appareil. Le choix dune antenne est important et doit tre dtermin par le rle quelle devra
assurer, cest dire les interactions souhaites avec les autres lments Wi-Fi distants. En
fonction des caractristiques du terrain et des zones couvrir, il pourra par exemple tre
dcid de raliser des liaisons point point via deux antennes directionnelles ou utiliser un
lment omnidirectionnel en cas de clients plus disperss et rapprochs. Il y a 3 grandes
familles dantennes :
- Les omnidirectionnelles
- Les directionnelles
- Les patchs ou antennes sectorielles
Figure .6 : Schma gnral du rseau Wi-Fi
5. Architecture Wi-Fi (802.11)
La norme IEEE 802.11 dfinit les deux premires couches (basses) du modle OSI,
savoir la couche physique et la couche liaison de donnes. Cette dernire est elle-mme
subdivise en deux sous-couches, la sous-couche LLC et la couche MAC.
Figure .7 : Couches du modle OSI
5.1. Couche physique
(Note parfois couche PHY) elle dfinit la modulation des ondes radio-lectriques et les
caractristiques de la signalisation pour la transmission de donnes, tandis que la couche
liaison de donnes dfinit l'interface entre le bus de la machine et la couche physique,
notamment une mthode d'accs proche de celle utilise dans le standard Ethernet et les rgles
de communication entre les diffrentes stations. La norme 802.11 propose en ralit trois
couches physiques, dfinissant des modes de transmission alternatifs: DSSS, FHSS,
Infrarouges.
a. FHSS (Frequency Hopping Spread Spectrum)
La technique de FHSS consiste dcouper la large bande de frquence en un minimum de 75
canaux (hops ou sauts d'une largeur de 1MHz), puis de transmettre en utilisant une
combinaison de canaux connue de toutes les stations de la cellule. Dans la norme 802.11, la
bande de frquence 2.4 - 2.4835 GHz permet de crer 79 canaux de 1 MHz. La transmission
est ainsi ralise en mettant successivement sur un canal puis sur un autre pendant une courte
priode de temps (d'environ 400 ms), ce qui permet un instant donn de transmettre un
signal plus facilement reconnaissable sur une frquence donne. Lmetteur et le rcepteur
saccordent sur un schma de saut, et les donnes sont envoyes sur une squence de sous-
canaux. Chaque conversation sur le rseau 802.11 seffectue suivant un schma de saut
diffrent, et ces schmas sont dfinis de manire minimiser le risque que deux expditeurs
utilisent simultanment le mme sous-canal. La squence de frquences utilise est publique.
FHSS est utilis dans le standard 802.11 de telle manire rduire les interfrences entre les
transmissions des diverses stations d'une cellule.
Les techniques FHSS simplifient relativement la conception des liaisons radio, mais elles sont
limites un dbit de 2 Mbps, cette limitation rsultant essentiellement des rglementations
de lETSI qui restreignent la bande passante des sous-canaux 1 MHz. Ces contraintes
forcent les systmes FHSS staler sur lensemble de la bande des 2,4 GHz, ce qui signifie
que les sauts doivent tre frquents et reprsentent en fin de compte une charge importante.
b. DSSS (Direct-Sequence Spread Spectrum)
En revanche, la technique divise la bande de 2,4 GHz en 14 canaux de 22 MHz. Les canaux
adjacents se recouvrent partiellement, seuls trois canaux sur les 14 tant presque entirement
isols. DSSS augmente la frquence du signal numrique en le combinant avec un autre signal
d'une frquence plus leve. Les donnes sont transmises intgralement sur lun de ces canaux
de 22 MHz, sans saut. La technique du chipping aide compenser le bruit gnr par un
canal donn, cest--dire moduler chaque bit avec la squence Barker. [12]
Dans ce but, le standard 802.11 DSSS original spcifie un chipping sur 11 bits (baptis
squence Barker) pour le codage des donnes. La longueur du chipping code dtermine
combien de donnes seront transmises au-dessus d'une unit de temps (cest--dire la bande
passante). Ainsi chaque bit valant 1 est remplac par une squence de bits et chaque bit valant
0 par son complment.
c. Infrarouges (IR)
Le standard IEEE 802.11 prvoit galement une alternative lutilisation des ondes radio : la
lumire infrarouge. Cette technologie a pour caractristique principale dutiliser une onde
lumineuse pour la transmission de donnes. Ainsi les transmissions se font de faon
unidirectionnelle, soit en vue direct soit par rflexion. Le caractre non dissipatif des ondes
lumineuses offre un niveau de scurit plus lev. Il est possible grce a la technologie
infrarouge dobtenir des dbits allant de 1 2 Mbit/s en utilisant une modulation appels PPM
(Pulse Position Modulation).
La modulation PPM consiste transmettre des impulsions amplitude constante, et coder
linformation suivant la position de limpulsion. Le dbit de 1 Mbps est obtenu avec une
modulation de 16-PPM, tandis que le dbit de 2Mbps est obtenu avec une modulation 4-PPM
permettant de coder deux bits de donnes avec 4 positions possibles.
5.2. Couche liaison de donnes
Constitu de deux sous-couches : le contrle de la liaison logique (Logic Link Control, ou
LLC) et le contrle d'accs au support (Media Access Control, ou MAC).
- Couche LLC : utilise les mmes proprits que la couche LLC 802.2.
- Couche MAC : son rle est similaire celui de la couche MAC 802.3 du rseau Ethernet
terrestre, puisque les terminaux coutent la porteuse avant dmettre. Si la porteuse est libre,
le terminal met, sinon il se met en attente. Cependant la couche MAC 802.11 intgre un
grand nombre de fonctionnalits que lon ne trouve pas dans la version terrestre.
Les fonctionnalits ncessaires pour raliser un accs sur une interface radio sont les
suivantes :
- Procdure dallocation du support
- Adressage des paquets
- Formatage des trames
- Contrle derreur CRC
- Fragmentation et rassemblage
a. Couche MAC
Le but principale de la couche MAC est de fournir un couplage efficace entre les services de
la couche RLC 2 et la couche physique. De cette perspective, la couche MAC supporte quatre
fonctions principales :
- Le mappage entre les canaux logiques et de transport. En effet, quand le standard offre
diffrents options pour le transport de donnes pour un canal logique donn, la couche MAC
soccupe de choisir le canal de transport selon la configuration choisi par loprateur.
- La slection du format de transport qui fait rfrence par exemple, au choix la taille du
Transport Block et le schma de modulation.
- Gestion de proprit entre les connais logique dune terminale ou entre plusieurs terminaux.
- Correction derreur travers le mcanisme HARQ.
b. Couche LLC
Couche dpourvue du codage analogique: on rcupre les bits. Ralis la limite du hardware
et du software (firmware EEPROM). Les services rendus par la couche LLC aux couches
suprieures sont spcifi par 3 classes :
- LLC1 : service sans connexion et sans acquittement. Le travail est fait dans les couches
suprieures ou on accepte de perdre des donnes (ex : Visio confi et temps rel) les couches
suprieures assurent la reprise en cas derreur).
- LLC2 : service avec connexion ex : porteuse (pour les transmissions longues de fichiers,).
- LLC3 : service sans connexion et avec acquittement. Cela vite de maintenir une table
active : datagramme. En fait, on coute en permanence car il y a des diffusions dcoute (on
arrose tout le monde).
5.3. Modes de fonctionnement
De manire gnrale, la machine cliente demande des informations via le rseau et la
machine serveur offre des services. Deux types darchitectures sont gnralement distingues
pour les rseaux sans fil savoir le mode Ad hoc et le mode Infrastructure.
5.3.1. Mode infrastructure
Cest un mode de fonctionnement qui permet de connecter les ordinateurs quips dune
carte rseau Wifi entre eux via un ou plusieurs points daccs qui agissent comme des
concentrateurs.
L'ensemble form par le point d'accs et les stations situs dans sa zone de couverture est
appel Cellule de base BSS (Basic Service Set). Chaque BSS est identifi par un BSSID (un
identifiant de 6 octets). Dans le mode infrastructure, le BSSID correspond l'adresse MAC du
point d'accs.
Lorsque le rseau est reli plusieurs BSS, chacun deux est reli un systme de distribution
DS (Distribution System) par lintermdiaire de leur point daccs. Le systme de distribution
(DS) peut tre aussi bien un rseau filaire (Ethernet), qu'un cble entre deux points d'accs ou
bien mme un rseau sans fil.
Un groupe de BSS interconnects par un systme de distribution forme un ensemble de
services tendu ESS (Extended Service Set). [13]
Figure .8 : Mode infrastructure
Lorsquune station entre dans un BSS ou ESS, elle doit sassocier un point daccs.
Lassociation comporte les diffrentes tapes suivantes :
La station coute le canal afin de dcouvrir le point daccs disponible
Cette coute peut se faire de deux manires diffrentes :
- Ecoute passive : la station coute sur tous les canaux de transmissions et attend de recevoir
une trame balise du point daccs.
- Ecoute active : sur chaque canal de transmission, la station envoi une trame de requte
(Probe Request Frame) et attend la rponse. Une fois lcoute est termine, la station choisi le
point daccs le plus appropri.
Authentification
Une fois que le point daccs est choisi, la station doit sauthentifier auprs lui. Il y a deux
mthodes dauthentification:
- Open System Authentification : Authentification par dfaut, le terminal peut sassocier
nimporte quel point daccs et coute toutes les donnes qui transitent au sein du BSS.
- Shared Key Authentification : Meilleur que la prcdente utilis dans le cas dune scurit
WEP.
Association
Ds quune station est authentifie, elle peut sassocier avec le point daccs, elle envoie pour
cela une trame de requte dassociation et attend que le point daccs lui rponde. [13]
5.3.2. Mode Ad-Hoc
Un groupe de terminaux forme un ensemble de services de base indpendants IBSS
(Independent Basic Service Set). Chaque station peut tablir une communication avec
nimporte quelle station dans lIBSS, sans tre oblige de passer par un point daccs. [13]
Ce mode permet de dployer, rapidement et n'importe o, un rseau sans fil. Le fait de ne pas
avoir besoin d'infrastructure, autre que les stations et leurs interfaces, permet d'avoir des
nuds mobiles. D'un point de vue militaire, c'est trs intressant. Sur le champ de batailles,
mme si une partie des quipements est dtruite, il est toujours possible de communiquer. On
imagine aussi, l'intrt lors de catastrophes naturelles, tel que les tremblements de terre. Les
rseaux ad-hoc permettent d'tablir trs rapidement un systme de communication efficace.
[14]
Figure .9 : Mode Ad-Hoc
Conclusion
Dans ce chapitre on a bien vu que lors du dploiement d'un rseau sans fil, le Wi-Fi
(802.11) semble tre la solution rpondant au mieux aux besoins des rseaux locaux sans fil
grce l'avantage qu'elle procure, qui est son interoprabilit avec les rseaux de type
Ethernet. Cette technologie, est frquemment utilise dans les entreprises dsirant accueillir
des utilisateurs mobiles ou souhaitant une alternative au rseau filaire tout en conservant des
performances quasi identiques. Contrairement le Wi-Fi a beaucoup de problmes de scurit,
dans le chapitre qui suit, on va dtailler les mcanismes utilis pour mettre au point une
stratgie de scurit.
Chapitre II Les mcanismes de scurit des rseaux sans fil Wi-Fi
Introduction
Le point crucial lors d'une installation rseau, quelle soit filaire ou sans fil, est la mise en
place d'lments de protection. La scurit a toujours t le point faible des rseaux Wi-Fi,
cause principalement de sa nature physique : les ondes radio tant un support de transmission
partag quiconque se trouvant dans la zone de couverture peut couter le support et
s'introduire dans le rseau. On peut mme, grce des antennes amplifies, se trouver hors de
porte de la couverture radio pour pntrer ce rseau. Ces problmes de scurit se posent
aussi pour des rseaux cbls mais l'coute passive ncessite une intrusion physique. Car toute
personne possdant quelques notions d'informatique et un peu de matriel peut facilement
trouver les informations et les programmes pour couter et percer des rseaux Wi-Fi. En plus
de ces faiblesses intrinsques aux ondes radio, un rseau Wi-Fi doit se protger des attaques
classiques. Ces failles de scurit ont port un prjudice certain son dveloppement en
entreprise, car elles deviennent les points d'accs au rseau interne sur lequel il est connect.
Il existe des moyens de scurit implants de base sur le matriel Wi-Fi (carte et point
d'accs) permettant un premier niveau de protection, mais ces moyens de scurisation sont
facilement contournable. Dans ce chapitre, on va prsenter dune part une analyse des
diffrentes attaques susceptibles d'atteindre un rseau Wi-Fi, dautre part une srie de notions
utilis qui rpondent aux trois principes lmentaires de scurit qui sont: Codage,
Authentification et Intgrit, permettant leurs administrateurs et usagers de mieux contrler
et si possible rduire les risques.
1. Risques et attaques
1.1. Les risques
Les risques dpendent des paramtres que lon peut maitriser. Contrairement au rseau
cbl, le contrle des accs physiques au rseau sans fil est difficile, voir impossible.
Il existe deux types de risques :
Risque structurel : dpend de lorganisation de lentreprise.
Risque accidentel : indpendant de tous les facteurs de lentreprise.
On peut classifier les risques en quatre niveaux :
a. Acceptables : pas des consquences graves pour les utilisateurs du rseau.
Exemple : panne clectique, perte de liaison, engorgement
b. Courants : pas de prjudices graves au rseau, on peut rparer facilement.
Exemple : gestion du rseau, mauvaise configuration, erreur utilisateur
c. Majeurs : dus des facteurs graves et qui causent de gros dgts mais rcuprables.
Exemple : foudre qui tombe sur un routeur
d. Inacceptables : fatals pour lentreprise, ils peuvent entrainer son dpt de bilan.
Exemple : perte ou corruption des informations importantes
1.2. Les attaques
On peut classifier les attaques en deux groupes principaux : les attaques passives et les
attaques actives, qui sont bien videmment plus dangereuses.
1.2.1. Attaques passives
Dans un rseau sans fil l'coute passive est d'autant plus facile que le mdia air est
difficilement matrisable. Bien souvent, la zone de couverture radio d'un point d'accs dborde
du domaine priv d'une entreprise ou d'un particulier. L'attaque passive la plus rpandue est la
recherche de point d'accs. Cette attaque (appele Wardriving) est devenu le " jeu " favori de
nombreux pirates informatique, les points d'accs sont facilement dtectables grce un
scanner (portable quip d'une carte Wi-Fi et d'un logiciel spcifique de recherche de PA).
Ces cartes Wi-Fi sont quipes d'antennes directives (type Yagi) permettant d'couter le trafic
radio distance hors de la zone de couverture du point d'accs. Il existe deux types de
scanners, les passifs (Kismet, Wifiscanner, Prismstumbler) ne laissant pas de traces
(signatures), quasiment indtectables et les actifs (Netstumbler, dstumbler) dtectables en cas
d'coute, ils envoient des " probe request ". Seul Netstumbler fonctionne sous Windows, les
autres fonctionnent sous Linux. [15]
Les sites dtects sont ensuite indiqus par un marquage extrieur ( la craie) suivant un code
(warchalking) :
Figure II.1 : Code warchalking
Une premire analyse du trafic permet de trouver le SSID (nom du rseau), l'adresse MAC du
point d'accs, le dbit, l'utilisation du cryptage WEP et la qualit du signal. Associ un GPS,
ces logiciels permettent de localiser (latitude longitude) ces points d'accs.
A un niveau suprieur des logiciels (type Aisnort ou Wepcrack) permettent, en quelques
heures (suivant le trafic), de dchiffrer les cls WEP et ainsi avec des outils d'analyse de
rseaux conventionnels la recherche d'informations peut aller plus loin. Le pirate peut passer
une attaque dite active.
1.2.2. Attaques actives
Nous allons revoir, assez succinctement, les diffrentes attaques connues dans les rseaux
filaires et qui touchent bien videmment, le monde du Wi-Fi.
DoS (Denial of Service)
Le dni de service rseau est souvent l'alternative d'autres formes d'attaques car dans
beaucoup de cas il est plus simple mettre en uvre, ncessite moins de connaissances et est
moins facilement traable qu'une attaque directe visant entrer dans un systme pour en
prendre le contrle. Cette attaque a pour but d'empcher des utilisateurs lgitimes d'accder
des services en saturant de fausses requtes ces services. Elle se base gnralement sur des "
bugs " logiciel. Dans le milieu Wi-Fi, cela consiste notamment bloquer des points d'accs
soit en l'inondant de requte de dsassociassions ou de ds authentification (programme de
type Airjack), ou plus simplement en brouillant les signaux hertzien. [15]
Spoofing (usurpation d'identit)
Le spoofing IP est une technique permettant un pirate d'envoyer une machine des paquets
semblant provenir d'une adresse IP autre que celle de la machine du pirate. Le spoofing IP
n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade (il
s'agit du terme technique) de l'adresse IP au niveau des paquets mis, c'est--dire que les
paquets envoys sont modifis afin qu'ils semblent parvenir d'une machine. [15]
Man in the middle (home au milieu) en milieu Wi-Fi
Cette attaque consiste, pour un rseau Wi-Fi, disposer un point d'accs tranger dans
proximit des autres PA lgitimes. Les stations dsirant se connecter au rseau livreront au
PA " flon " leurs informations ncessaires la connexion. Ces informations pourront tre
utilises par une station pirate. Il suffit tout simplement une station pirate coutant le trafic,
de rcuprer l'adresse MAC d'une station lgitime et de son PA, et de s'intercaler au milieu.
[15]
Figure II.2 : Attaque MITM
1.2.3. Autres attaques
Craquage de mots de passe
Cette mthode est souvent le dernier de recours. Il consiste faire beaucoup d'essais pour
dterminer un mot de passe. On distinguera deux grandes mthodes :
- L'utilisation de dictionnaires : la plupart des mots de passes ne sont pas des chaines
alatoires mais des mots ou des phrases faciles retenir. Cela permet d'carter une trs grande
quantit de possibilits.
- La force brute consiste essayer toutes les combinaisons possibles. Elle est rapidement
efficace sur les petites chanes (moins de 8 caractres) mais devient rapidement trop longue
excuter quand la longueur du mot de passe augmente (plus de 16 caractres). [14]
Backdoors
Quand un pirate arrive accder un systme et qu'il veut pouvoir y accder plus facilement
par la suite, il cre une ``Backdoors'' ou porte de derrire. Cela pourra se traduire par : [14]
- Le rajout d'un nouveau compte au serveur avec le mot de passe choisi par le pirate.
- La modification du firewall pour qu'il accepte une IP dfinie (une que le pirate pourra
spoofer facilement) ou qu'il ouvre certains ports.
- La cration d'un compte FTP.
- L'ouverture de Telnet.
- L'utilisation d'un troyen.
Virus, vers et chevaux de Troie
Un virus est un programme capable de se cacher dans un autre et qui peut se reproduire en
infectant d'autres programmes ou d'autres ordinateurs. Les dgts pourront aller d'un simple
affichage l'cran une mise hors service d'un systme. On recense plusieurs catgories :
[14]
- Les vers capables de se propager dans le rseau.
- Les chevaux de Troie ou troyens crant des failles dans un systme.
- Les bombes logiques se lanant suite un vnement du systme (appel d'une primitive ou
date spciale).
- Les hoax qui sont des canulars envoys par mail.
Le sniffing
Ce type d'attaque est bas sur l'interception de donnes mises sans prcaution toutes les
parties comme lors des diffusions. Il suffit d'tre prsent sur le rseau pour intercepter tout le
trafic et rcuprer n'importe quelles donnes transitant sur le rseau si celles-ci ne sont pas
cryptes. [14]
2. Services de scurit
Les services de scurit reprsentent les logiciels et matriels mettant on uvre les
mcanismes dans le but de mettre la disposition des utilisateurs des fonctions de scurit
dont ils ont besoin.
Il existe cinq notions fondamentales de la scurit :
2.1. Confidentialit
Le service de confidentialit garantie aux deux entits communicantes tre les seules
pouvoir comprendre les donnes changes. Ceci implique la mise en uvre des algorithmes
de chiffrement en mode flux, cest--dire octet par octet, ou en mode bloc.
Un message crit en clair est transform en un message chiffr, appel cryptogramme
grce aux algorithmes de chiffrement. Cette transformation est fonde sur une ou plusieurs
cls. [16]
2.1.1.Chiffrement (la cryptographie)
Le chiffrement consiste rendre un texte incomprhensible en le codant. On code (crypte
ou chiffre) le texte en effectuant une opration sur le texte en clair partir d'une rgle appele
cl de chiffrement. Le texte cod (cryptogramme) peut alors tre envoy son destinataire. La
cryptanalyse consiste dchiffrer un texte cod en effectuant sur ce texte avec une cl. Il
existe trois mthodes de chiffrement : cl symtrique, cl asymtrique (ou cl publique),
cl mixte (utilisation des deux prcdentes).
2.1.1.1. Cl symtrique
La cl de chiffrement est identique la cl de dchiffrement. Ainsi c'est la mme cl qui
va nous permettre la fois de chiffrer le message et de permettre aux destinataires de le
dchiffrer. Cela ne va pas sans poser un problme majeur: l'change pralable de la cl entre
les protagonistes. Or, ceci est particulirement difficile raliser, puisque, tant que la cl n'est
pas transmise, il n'existe pas de moyen sr d'change d'information, en dehors d'une rencontre
physique qui n'est pas forcment possible.
Le deuxime problme est le nombre de cls ncessaire pour scuriser un ensemble de
relations. En effet, si l'on dsire que chaque utilisateur d'un rseau puisse communiquer avec
un autre utilisateur de manire scurise, une cl diffrente est alors utilise pour chaque paire
d'utilisateurs du rseau. Le nombre total de cls crot alors suivant un polynme quadratique.
Ainsi, un groupe de 10 utilisateurs met en jeu 45 cls diffrentes et 100 utilisateurs, 4950 cls.
[17]
Figure II.3 : Chiffrement symtrique
Les principes algorithmes de chiffrement symtriques sont :
DES (Data Encryptions Standard) : a t le plus utilis, mais n'est plus utilis depuis
1998 considr peu sr. Cl de 40 56 bits.
IDEA (International Data Encryptions Algorithm) : est utilis par PGP (Pretty Good
Privacy), le logiciel de cryptographie le plus utilis au monde. Cl de 128 bits.
Srie RC (Ron's Code) RC2 RC6 : algorithme dvelopp par Ron Rivest, la version
RC4 est utilis dans le protocole WEP d'IEEE 802.11.
AES (Advanced Encryption Standard) : remplaant du DES dans l'administration
amricaine et du RC4 dans la norme 802.11 avec 802.11i. Fond sur l'algorithme de Rijndael,
est considr comme tant incassable.
2.1.1.2. Cl Asymtrique
Dans ce cas, les cls de chiffrement et de dchiffrement sont distinctes, et gnralement
symtriques entres elles: la cl de chiffrement permet de dchiffrer ce qui a t chiffr avec la
cl de dchiffrement, et vice versa. Le possesseur d'une telle paire de cls, en rend une (au
choix) publique, c'est--dire qu'il la donne tout le monde, dans une sorte d'annuaire. Tout
correspondant qui veut envoyer un message, chiffre son message l'aide de la cl publique du
destinataire. Seul le possesseur de la cl secrte correspondant cette cl publique pourra
dchiffrer le message. [17]
Les algorithmes de chiffrement cl publique permettent aussi l'envoyeur de signer son
message. En effet, il lui suffit de chiffrer le message (ou une partie de ce message) avec sa
propre cl secrte. Le destinataire dchiffrera cette fonction avec la cl publique de l'envoyeur
et sera ainsi certain de l'identit de l'expditeur, puisqu'il est le seul possder la cl secrte
qui permet de faire un tel chiffrement. Ainsi cette mthode permet de raliser une
communication confidentielle sans changer auparavant de code secret.
Le principal inconvnient de ce type d'algorithme est la lenteur laquelle seffectuent les
oprations de chiffrement et de dchiffrement. [17]
Figure II.4 : Chiffrement asymtrique
RSA (Rivest, Shamir, Adelman) : comme le plus connu de ces algorithmes. La scurit
du RSA rside dans l'impossibilit pratique de factoriser un grand nombre de quelques
centaines de chiffres en un temps raisonnable. Qui plus est pour assurer sa prennit il est
toujours possible d'augmenter la longueur de la cl qui varie entre 1024 et 2048 bits.
En rsum, une synthse de ces deux mthodes de cryptographie est dcrite dans le tableau ci-
aprs.
Tableau II.1 : Comparaison entre les types de chiffrement
Finalement comme nous avons pu le voir prcdemment, les deux systmes de base de la
cryptographie (symtrique et asymtrique) souffrent de problmes complmentaires. Ainsi
l'intrt pour augmenter la scurit des systmes de cryptage passe certainement par
l'utilisation combine de ces deux techniques, ce que l'on nomme la cryptographie mixte. [17]
2.1.1.3. Cl mixte
Ce principe fait appel aux deux techniques prcdentes, cl symtrique et cl publique,
combinant les avantages des deux touts en vitant leurs inconvnients. Le principe gnral
consiste effectuer le chiffrement des donnes avec des cls symtriques, mais en ayant
effectu au dpart l'envoi de la cl symtrique par un algorithme cl publique.
Lun de ces algorithmes est PGP.
PGP (Pretty Good Privacy)
PGP est un systme de cryptographie hybride, utilisant une combinaison des fonctionnalits
de la cryptographie cl publique et de la cryptographie symtrique.
Lorsqu'un utilisateur chiffre un texte avec PGP, les donnes sont dabord compresses. Cette
compression des donnes permet de rduire le temps de transmission par tout moyen de
communication, d'conomiser l'espace disque et, surtout, de renforcer la scurit
cryptographique.
La plupart des cryptanalyses exploitent les modles trouvs dans le texte en clair pour casser
le chiffrement. La compression rduit ces modles dans le texte en clair, amliorant par
consquent considrablement la rsistance la cryptanalyse.
Ensuite, l'opration de chiffrement se fait principalement en deux tapes :
- PGP cre une cl secrte IDEA de manire alatoire, et chiffre les donnes avec cette cl
Type de crypto systme Avantages Inconvnients
Cl
Symtrique
- Rapide
- Peut tre facilement ralis sur une
puce
- Difficults de distribuer les cls
- Ne permet pas de signature
lectronique
Cl
Asymtrique
- Utilise deux cls diffrents
- Fournit des garanties dintgrit et
non rpudiation par signature
lectronique
- Lent et demandant beaucoup de
calculs
- PGP crypte la cl secrte IDEA et la transmet au moyen de la cl RSA publique du
destinataire.
L'opration de dcryptage se fait galement en deux tapes :
- PGP dchiffre la cl secrte IDEA au moyen de la cl RSA prive.
- PGP dchiffre les donnes avec la cl secrte IDEA prcdemment obtenue.
Cette mthode de chiffrement associe la facilit d'utilisation du cryptage de clef publique la
vitesse du cryptage conventionnel. Le chiffrement conventionnel est environ 1000 fois plus
rapide que les algorithmes de chiffrement cl publique. Le chiffrement cl publique rsout
le problme de la distribution des cls. Utilises conjointement, ces deux mthodes amliorent
la performance et la gestion des clefs, sans pour autant compromettre la scurit.
2.1.2.Certificats
Un certificat permet d'associer une cl publique une entit (une personne, une machine,
...) afin d'en assurer la validit. Le certificat est en quelque sorte la carte d'identit de la cl
publique, dlivr par un organisme appel autorit de certification (souvent note CA pour
Certification Authority). L'autorit de certification est charge de dlivrer les certificats, de
leur assigner une date de validit (quivalent la date limite de premption des produits
alimentaires), ainsi que de rvoquer ventuellement des certificats avant cette date en cas de
compromission de la cl (ou du propritaire).
Structure d'un certificat
Les certificats sont des petits fichiers diviss en deux parties :
- La partie contenant les informations
- La partie contenant la signature de l'autorit de certification
La structure des certificats est normalise par le standard X.509 de l'UIT (plus exactement
X.509v3), qui dfinit les informations contenues dans le certificat :
- La version de X.509 laquelle le certificat correspond ;
- Le numro de srie du certificat ;
- L'algorithme de chiffrement utilis pour signer le certificat ;
- Le nom (DN, pour Distinguished Name) de l'autorit de certification mettrice ;
- La date de dbut de validit du certificat ;
- La date de fin de validit du certificat ;
- L'objet de l'utilisation de la cl publique ;
- La cl publique du propritaire du certificat ;
- La signature de l'metteur du certificat.
Figure II.5 : Certificat
L'ensemble de ces informations (informations + cl publique du demandeur) est sign par
l'autorit de certification, cela signifie qu'une fonction de hachage cre une empreinte de ces
informations, puis ce condens est chiffr l'aide de la cl prive de l'autorit de certification;
la cl publique ayant t pralablement largement diffuse afin de permettre aux utilisateurs
de vrifier la signature avec la cl publique de l'autorit de certification.
Lorsqu'un utilisateur dsire communiquer avec une autre personne, il lui suffit de se procurer
le certificat du destinataire. Ce certificat contient le nom du destinataire, ainsi que sa cl
publique est sign par l'autorit de certification. Il est donc possible de vrifier la validit du
message en appliquant d'une part la fonction de hachage aux informations contenues dans le
certificat, en dchiffrant d'autre part la signature de l'autorit de certification avec la cl
publique de cette dernire, et en comparant ces deux rsultats. [18]
2.2. Service dauthentification
Lauthentification a pour but de garantir lidentit des correspondantes. Parmi les solutions
simples qui existent, lutilisation dun identificateur et dun mot de passe, une mthode de
dfi bas sur une fonction cryptographique et un secret, lauthentification peut seffectuer par
un numro didentification personnel, comme le numro inscrit dans une carte puce, ou code
PIN.
Lauthentification peut tre simple ou mutuelle. Elle consiste surtout comparer les donnes
provenant de lutilisateur qui se connecte des informations, stockes dans un site protg et
susceptibles de piratage. Les sites mmorisant les mots de passe. [16]
Les protocoles
Un protocole dauthentification est un moyen de contrle daccs caractris par les 3 A
(AAA) qui signifient Authentication, Authorization, Accounting, soit authentication,
autorisation et compte en franais. La signication de ces termes est la suivante :
- Authentication : consiste vrier quune personne/quipement est bien celle quelle
prtend tre.
- Autorisation : consiste permettre laccs certains services ou ressources.
- Accounting : le serveur AAA a la possibilit de collecter des informations sur lutilisation
des ressources.
DIAMETER
Diameter est un protocole dAuthentication conu pour servir de support larchitecture
AAA, successeur du protocole Radius. Ce protocole est dni par la RFC 3588. Il a repris les
principales fonctions de Radius (Diameter est compatible avec Radius) et en a rajout de
nouvelles pour sadapter aux nouvelles technologies (IPv4 Mobile, NASREQ ...) et plus
particulirement offrir des services aux applications mobiles. Ce protocole se situe au niveau
de la couche transport. Il utilise le port 3868 via le protocole TCP ou bien SCTP. [19]
TACACS+
TACACS+ (Terminal Access Controller Access Control System Plus) est un protocole de
scurit invent la n des annes 90 par CISCO Systems. Mme sil a ni par remplacer les
protocoles TACACS et XTACACS, TACACS+ nest pas bas sur ces derniers. Ce protocole
se situe au niveau de la couche transport. Il utilise le port 46 via le protocole TCP.
TACACS+ permet de vrier lidentit des utilisateurs distants mais aussi, grce au modle
AAA, dautoriser et de contrler leurs actions. [19]
PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en texte brut
et constitue le protocole d'authentification le moins scuris. Il est gnralement ngoci
lorsque le client d'accs distant et le serveur d'accs distant ne disposent d'aucun moyen de
validation plus sr.
CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole
d'authentification par stimulation-rponse, qui utilise le modle de hachage MD5 (Message
Digest 5) standard pour crypter la rponse. CHAP est utilis par de nombreux fournisseurs de
clients et de serveurs d'accs rseau. Un serveur excutant routage et accs distant prend en
charge CHAP pour que les clients d'accs distant exigeant CHAP soient authentifis. Dans la
mesure o CHAP exige l'utilisation d'un mot de passe crypt l'envers, vous devez envisager
un autre protocole d'authentification comme MSCHAP version 2.
Kerberos
Kerberos est un protocole de scurit originaire de monde Unix, il a pris un nouveau dpart
lorsquil a t choisi par Microsoft pour remplacer NTLM (NT Lan Manager) dans Windows
2000. Kerberos a pour objectif :
- Dauthentier les utilisateurs ;
- De leur allouer des droits daccs des applications (sur un serveur) sur le rseau sous
forme de ticket ou jetons daccs prissables dans le temps ;
- Dassurer la transmission scurise de ces tickets ou jetons daccs vers les applications et
ressources demandes ;
- De protger les changes entre les utilisateurs et les applications. [19]
2.3. Lintgrit des donnes
Dans certaines cas, il peut tre ncessaire dassurer simplement que les donnes sont
intgrs, cest--dire quelles nont pas t au passage falsifies par un intrus. Ces donnes
restent claires, au sens ou elles ne sont pas secrtes.
2.4. Non rpudiation
Elle fournit au rcepteur/metteur une preuve qui empche lmetteur/rcepteur de lenvoi
de message.
2.5. Contrle daccs
De nos jours, toutes les entreprises possdant un rseau local et aussi un accs internet,
afin daccder la manne dinformation disponible sur le rseau, et pouvoir communiquer
avec lextrieur. Cette ouverture vers lextrieur est indispensableet dangereuse en mme
temps.
Ouvrir lentreprise vers le monde signifie aussi laisser place ouverte aux trangers pour
essayer de pntrer le rseau local de lentreprise, et y accomplir des actions douteuse, pour
cela une architecture scurise est ncessaire.
Le cur dune telle architecture est bas sur un firewall (un pare-feu).
Cet outil a pour but de scuriser au maximum le rseau local de lentreprise, de dtecter les
tentatives dintrusion. Cela reprsente une scurit supplmentaires rendant le rseau ouvert
sur internet beaucoup plus sur. De plus, il peut permettre de restreindre laccs interne de
lextrieur et laccs vers lextrieur de lintrieur.
En effet, des employs peuvent sadonner des activits (exemple : les jeux en ligne) que
lentreprise ne cautionne pas. En plaant un firewall, on peut limiter ou interdire laccs ces
services, lentreprise peut donc avoir un contrle sur les activits se droulant dans son
enceinte.
Le firewall propose donc un vritable contrle sur le trafic rseau de lentreprise. Il permet
danalyser, de scuris et de grer le trafic rseau, et ainsi dutiliser le rseau de la faon pour
laquelle il a t prvu et sans lencombrer avec des activits inutiles, et dempcher une
personne sans autorisation daccder ce rseau de donnes. Mais il ne fournit pas les
services de scurit tels que (authentification, intgrit, confidentialit, etc.).[20]
Scurisation du Wi-Fi
Installer un rseau sans fil sans le scuriser peut permettre des personnes non autorises
dcouter, de modifier et daccder ce rseau. Il est donc indispensable de scuriser les
rseaux sans fil ds leur installation. Il est possible de scuriser son rseau de faon plus ou
moins forte selon les objectifs de scurit et les ressources que lon y accorde. La scurit
dun rseau sans fil peut tre ralise diffrents niveaux : configuration des quipements et
choix des protocoles. [4]
1. Scurit des points daccs
La premire chose faire lors de la mise en place d'un rseau sans fil consiste positionner
intelligemment les points d'accs selon la zone que l'on souhaite couvrir. Eviter les murs
extrieurs mais choisir plutt un emplacement central. En se promenant autour de l'immeuble,
on peut tablir le primtre l'intrieur duquel la borne est accessible. Il n'est toutefois pas rare
que la zone effectivement couverte soit largement plus grande que souhaite, auquel cas il est
possible de rduire la puissance de la borne d'accs afin d'adapter sa porte la zone couvrir.
[2]
1.1. Eviter les valeurs par dfaut
Lors de la premire installation d'un point d'accs, celui-ci est configur avec des valeurs
par dfaut, y compris en ce qui concerne le mot de passe de l'administrateur. Un grand
nombre d'administrateurs en herbe considrent qu' partir du moment o le rseau fonctionne
il est inutile de modifier la configuration du point d'accs. Toutefois les paramtres par dfaut
sont tels que la scurit est minimale. Il est donc impratif de se connecter l'interface
d'administration notamment pour dfinir un mot de passe d'administration.
D'autre part, afin de se connecter un point d'accs il est indispensable de connatre
l'identifiant du rseau (SSID). Ainsi il est vivement conseill de modifier le nom du rseau par
dfaut et de dsactiver la diffusion (broadcast) de ce dernier sur le rseau. Le changement de
l'identifiant rseau par dfaut est d'autant plus important qu'il peut donner aux pirates des
lments d'information sur la marque ou le modle du point d'accs utilis. L'idal est mme
de modifiez rgulirement le nom SSID, Il faudrait mme viter de choisir des mots reprenant
l'identit de l'entreprise ou sa localisation, qui sont susceptibles d'tre plus facilement devins.
[2]
1.2. Filtrage des adresses MAC
Chaque adaptateur rseau possde une adresse physique qui lui est propre. Les points
d'accs permettent gnralement dans leur interface de configuration de grer une liste de
droits d'accs (appele ACL) base sur les adresses MAC des quipements autoriss se
connecter au rseau sans fil. Cette prcaution un peu contraignante permet de limiter l'accs
au rseau un certain nombre de machines. En contrepartie cela ne rsout pas le problme de
la confidentialit des changes. [2]
Remarque : certains adaptateurs permettent de modifier leurs adresses et donc de se faire
passer pour dautres adaptateurs se trouvant sur dautres postes.
2. Scurit des protocoles lis aux Wi-Fi
De nombreuses volutions protocolaires ont rythm la scurit des rseaux Wi-Fi. Les
objectifs sont les suivants :
- Garantir la confidentialit des donnes ;
- Permettre lauthentification des clients ;
- Garantir lintgrit des donnes ;
Les diffrents protocoles sont :
2.1. WEP (Wired Equivalent Privacy)
Le WEP est un protocole pour scuriser les rseaux sans fil de type Wi-Fi. Les rseaux
sans fil diffusant les messages changs par ondes radiolectriques, sont particulirement
sensibles aux coutes clandestines. Le WEP tient son nom du fait qu'il devait fournir aux
rseaux sans fil une confidentialit comparable celle d'un rseau local filaire classique.
2.1.1.Cl WEP
La cl de session partage par toutes les stations est statique, c'est--dire que pour dployer
un grand nombre de stations Wi-Fi, il est ncessaire de les configurer en utilisant la mme cl
de session. Ainsi la connaissance de la cl est suffisante pour dchiffrer les communications.
De plus, 24 bits de la cl servent uniquement pour l'initialisation, ce qui signifie que seuls 40
bits de la cl de 64 bits servent rellement chiffrer et 104 bits pour la cl de 128 bits.
2.1.2.Principe du WEP
Le principe du WEP consiste dfinir dans un premier temps la cl secrte. Cette cl doit
tre dclare au niveau du point d'accs et des clients. Elle sert crer un nombre pseudo-
alatoire d'une longueur gale la longueur de la trame. Chaque transmission de donne est
ainsi chiffre en utilisant le nombre pseudo-alatoire comme masque grce un OU Exclusif
entre ce nombre et la trame.
Figure II.6 : Principe du WEP
2.1.3.Failles du WEP
La faiblesse de WEP se situe dans son vecteur d'initialisation IV. Le IV est un nombre 24
bits qui est combin avec la clef que l'administrateur rseau entre dans la configuration de son
point d'accs. Un nouveau IV est utilis pour chaque paquet transmis, il n'y a pas de problme
ici. Par contre, le nombre IV n'est pas rellement un numro alatoire et peut tre prdit par
un panel. Ce qui est plus grave, le nombre IV se recycle lui mme au bout d'un certain temps
mais avec le mme IV et la mme clef avec un payload (contenu du message) diffrent. Si un
intrus collecte suffisamment de paquets (100 Mo 1 Go), il sera capable de compromettre
votre rseau.
Le WEP n'est donc pas suffisant pour garantir une relle confidentialit des donnes. Pour
autant, il est vivement conseill de mettre au moins en uvre une protection WEP 128 bits
afin d'assurer un niveau de confidentialit minimum et d'viter de cette faon 90% des risques
d'intrusion.
2.2. WPA (Wi-Fi Protected Access)
Le WPA, dvelopp par l'IEEE, est un autre protocole de scurisation des rseaux sans fil
offrant une meilleure scurit que le WEP car il est destin en combler les faiblesses.
En effet, le WPA permet un meilleur cryptage de donnes qu'avec le WEP car il utilise des
cls TKIP (Temporal Key Integrity Protocol) - dites dynamiques - et permet l'authentification
des utilisateurs. Ainsi, le WPA permet d'utiliser une cl par station connecte un rseau sans
fil, alors que le WEP lui utilisait la mme cl pour tout le rseau sans fil. Les cls WPA sont
en effet gnres et distribues de faon automatique par le point d'accs sans fil qui doit tre
compatible avec le WPA.
De plus, un vrificateur de donnes permet de vrifier l'intgrit des informations reues pour
tre sr que personne ne les a modifies. [9]
2.2.1. Fonctionnement du WPA
WPA, lui est plus volu avec un nombre IV de 48 bits: ce qui veut dire qu'il prendra
beaucoup plus de temps avant que le nombre IV ne soit recycl. Il faut galement noter que
dans la manire, WPA est suprieur dans sa mthode de connexion lorsque des utilisateurs
sont connects, ils sont authentifis par des clefs pr-partages, ou bien par des configurations
plus sophistiques, par une authentification (LDAP, RADIUS).
Une fois qu'un utilisateur est membre d'un rseau, une clef WPA est cre. Priodiquement,
WPA va gnrer une nouvelle clef par utilisateur. Combin la longueur du nombre IV, ceci
rend trs difficile le piratage. Sur la transmission de chaque paquet, WPA ajoute un code de
vrification d'intgrit de 4 bit (ICV) afin de les vrifier (injection de paquets, forge etc.). On
peut donc conclure que l'utilisation de WPA est renforce par rapport la vrification WEP.
Nanmoins un problme ici reste vident : Un attaquant peut intercepter la transmission,
modifier le payload, recalculer le code d'intgrit, et le retransmettre sans que personne ne
s'en aperoive. WPA rsout ce problme avec un message d'intgrit 8 bit : un payload crypt
et des facteurs dans le calcul de l'ICV rduise fortement les possibilits de forge de paquets
(lusurpation dadresses IP sources).
2.2.2.TKIP (Temporal Key Integrity Protocol)
Protocole permettant le cryptage et le contrle dintgrit des donnes. Ce protocole utilise
toujours le RC4 (do sa comptabilit avec le WEP) comme algorithme de cryptage avec une
cl de 128 bits, par contre l'IV passe 48 bits. De plus il y a une cl par station (et non une
pour tout le rseau avec WEP), cette cl est gnre et changer automatiquement de faon
priodique. Le contrle d'intgrit des donnes s'effectue par un code de hachage de 8 octets
appel MIC (Message Integrity Code) ou Michael. Ce code porte aussi les adresses MAC, ce
qui vite de modifier ou forger des trames. De plus, il utilise un numro de squence sur les
paquets, permettant un contrle de bon squencment.
2.3. WPA 2/ 802.11i
La dernire volution en juin 2004, est la ratification de la norme IEEE 802.11i, aussi
appel WPA2 dans la documentation grand public. Ce standard reprend la grande majorit des
principes et protocoles apports par WPA, avec une diffrence notoire dans le cas du
chiffrement : l'intgration de l'algorithme AES. Les protocoles de chiffrement WEP et TKIP
sont toujours prsents. Deux autres mthodes de chiffrement sont aussi inclus dans IEEE
802.11i en plus des chiffrements WEP et TKIP :
WRAP (Wireless Robust Authenticated Protocol) s'appuyant sur le mode opratoire OCB
(Offset Code Book) de AES ; CCMP (Counter with CBC MAC Protocol) : s'appuyant sur le
mode opratoire CCM (Counter with CBC-MAC) de AES ; Le chiffrement CCMP est le
chiffrement recommand dans le cadre de la norme IEEE 802.11i. Ce chiffrement, s'appuyant
sur AES, utilise des clefs de 128 bits avec un vecteur d'initialisation de 48 bits. Ces
mcanismes cryptographiques sont assez rcents et peu de produits disponibles sont certifis
WPA2. Le recul est donc faible quant aux vulnrabilits potentielles de cette norme. Mme si
ce recul existe pour l'algorithme AES, le niveau de scurit dpend fortement de l'utilisation
et de la mise en uvre dAES.
La norme IEEE 802.11i dfinit deux modes de fonctionnement :
- WPA Personal : le mode WPA personnel permet de mettre en uvre une
infrastructure scurise base sur le WPA sans mettre en uvre de serveur d'authentification.
Le WPA personnel repose sur l'utilisation d'une cl partage, appeles PSK pour Pr-Shared
Key, renseigne dans le point d'accs ainsi que dans les postes clients. Contrairement au
WEP, il n'est pas ncessaire de saisir une cl de longueur prdfinie. En effet, le WPA permet
de saisir une phrase secrte, traduite en PSK par un algorithme de hachage. [9]
- WPA Enterprise : le mode entreprise impose l'utilisation d'une infrastructure
d'authentification 802.1x base sur l'utilisation d'un serveur d'authentification, gnralement
un serveur RADIUS, et d'un contrleur rseau (le point d'accs). Cette solution est
actuellement ce quil y a de plus sr en termes de scurit dauthentification forte. Mais
attention, toutefois, rien nest acquis et il y a fort parier que cette solution ne restera pas
labri des hackers trs longtemps. [9]
2.4. VPN (rseau priv virtuel)
Pour toutes les communications ncessitant un haut niveau de scurisation, il est prfrable
de recourir un chiffrement fort des donnes en mettant en place un rseau priv virtuel.
2.4.1.Concept de VPN
Une solution consiste utiliser le rseau Wi-Fi comme support de transmission en utilisant
un protocole d'encapsulation (en anglais tunneling, d'o l'utilisation impropre parfois du terme
"tunnelisation"), c'est--dire encapsulant les donnes transmettre de faon chiffre. On parle
alors de rseau priv virtuel (not RPV ou VPN, acronyme de Virtual Private Network) pour
dsigner le rseau ainsi artificiellement cr. Le systme de VPN permet donc d'obtenir une
liaison scurise moindre cot, si ce n'est la mise en uvre des quipements terminaux.
2.4.2.Fonctionnement
Un rseau priv virtuel repose sur un protocole, appel protocole de tunnelisation
(tunneling), c'est--dire un protocole permettant aux donnes passant d'une extrmit du VPN
l'autre d'tre scurises par des algorithmes de cryptographie. Le terme de "tunnel" est
utilis pour symboliser le fait qu'entre l'entre et la sortie du VPN les donnes sont chiffres
(cryptes) et donc incomprhensible pour toute personne situe entre les deux extrmits du
VPN, comme si les donnes passaient dans un tunnel. Dans le cas d'un VPN tabli entre deux
machines, on appelle client VPN l'lment permettant de chiffrer et de dchiffrer les donnes
du ct utilisateur (client) et serveur VPN, l'lment chiffrant et dchiffrant les donnes du
ct de l'organisation.
Figure II.7 : Principe de VPN
2.5. 802.1x
Le protocole 802.1x est une solution de scurisation dun rseau mis au point par
lorganisme de standardisation IEEE en 2001. Il a pour but de contrler laccs un rseau
laire ou sans l grce un serveur dauthentication. Le standard permet de mettre en
relation le serveur dauthentication et le systme authentier par des squences
par des
changes EAP. Le protocole 802.1x va donc unier les dirents mthodes dauthentication
sous la mme bannire : le protocole EAP.
La principale innovation amene par le standard 802.1x consiste scinder le port logique, qui
est connects en parallle sur le port physique. Le premier port logique est dit "contrle", et
peut prendre deux tats "ouvert" ou "ferm". Le deuxime port logique est lui toujours
accessible mais il ne gre que les trames spcique 802.1x. Cela permet de grer le dialogue
ncessaire lauthentication au pralable une connexion rseau. La connexion initiale est
donc limite un usage de scurit qui ouvre ultrieurement le canal des donnes en cas
dauthentication russie. [19]
802.1x est aussi appel Port-based Network Access Control, c'est--dire qu'il introduit une
notion de port contrl par l'authentification. Une station ne pourra accder aux ressources
d'un LAN que si elle a t auparavant authentifie.
Le protocole fonctionne partir de trois lments :
- Le client (supplicant) : cest le systme authentifier cest--dire llment qui dsire se
connecter sur le rseau ;
- Le contrleur (point d'accs) : ou systme authentificateur cest--dire llment qui va
demander lauthentification;
- Le serveur d'authentification : Ce serveur dauthentification est en gnral un serveur
Radius. Selon la requte du supplicant, ce serveur dtermine les services auxquels le
demandeur a accs (serveur plac sur le LAN).
Figure II.8 : Les trois entits qui interagissent dans le 802.1x
La communication entre ces lments fait intervenir diffrents protocoles suivant un principe
de fonctionnement spcifique.
2.5.1.Mcanisme gnrale
Le supplicant souhaite accder aux ressources du rseau, mais pour cela il va devoir
sauthentifier. Le systme authentificateur gre cet accs via le PAE (Port Access Entity) ; ce
PAE est divis en deux ports, un port contrl (connexion ouverte ou ferme) donnant accs
la ressource en cas de succs de l'authentification, et un port non contrl (connexion toujours
ouverte) servant l'authentification o tout autre trafic est rejet.
Le port contrl peut tre ouvert ou ferm suivant le contrle qui a t dfini au moyen d'une
variable (Auth Controlled Port Control). Cette variable peut prendre trois tats :
- ForceUnauthorized : l'accs au port contrl est interdit (connexion toujours ouverte).
- ForceAuthorized : l'accs au port contrl est autoris (connexion toujours ferme).
- Auto (par dfaut) : l'accs dpend du rsultat de l'authentification.
Figure II.9 : PAE
Lutilisation du 802.1x en Wi-Fi permettra lauthentification du demandeur, le contrle
daccs aux bornes et la distribution des cls WEP. Mais attention, il faut que le 802.1x soit
bien implment sur les diffrentes machines. Si les implmentations sur les bornes et
serveurs sont disponibles, il nen est pas de mme chez les postes clients. Le 802.1x est
maintenant de plus en plus intgr avec le systme dexploitation. [21]
2.5.2.EAP (Extensible Authentification Protocol)
EAP est une extension de PPP dfinie par la RFC 2284. Il permet l'authentification des
utilisateurs du lien selon de nombreuses mthodes possibles. En somme, on peut dire que
lEAP est une sorte de protocole "parapluie" pour l'authentification : il dtermine un schma
d'authentification (Kerberos, mot de passe jetable, PKA, etc.). [14]
Une extension dEAP s'appelle EAPOL pour "EAP Over Lan". Celle-ci permet de faire
transiter des requtes EAP travers un rseau LAN en direction d'un serveur comptent qui se
chargera de passer la requte EAPOL en EAP.
2.5.2.1. Composition du paquet EAP
Figure II.10 : Paquet EAP
Champ code
Dans l en-tte du paquet EAP, le champ code correspond au premier octet.
Il en existe 4 types : [22]
- Request : le systme authentificateur met une requte dinformation auprs du supplicant.
- Response : le supplicant rpond la requte du systme authentificateur.
- Success : le systme authentificateur informe le supplicant du succs de la demande
dauthentification.
- Failure : le systme authentificateur informe le supplicant de lchec de la demande
dauthentification.
Champ identifiant
Cod sur un octet galement, il sert identifier une session dauthentification. Ce champ
change pour chaque nouvelle requte ou rponse. Si une duplication dune requte doit tre
faite, lidentifiant ne change pas. [22]
Champ longueur
Cod sur 2 octets, il indique la longueur de lensemble du paquet EAP, il prend donc en
compte la longueur des donnes mais aussi des longueurs des autres champs de lentte
comme le type, le code...
Ainsi on connatra la taille des donnes utiles mme en cas de bourrage par la couche liaison.
[22]
Champ type
Ce champ est cod sur un octet et dfinit le type de donnes que contient le paquet EAP.
Logiquement, requte et rponse possdent des trames de mme type.
Nous allons particulirement nous intresser au champ type lors des communications requte /
rponse. [22]
2.5.2.2. Mthodes dauthentification associs a EAP
Le standard 802.1x ne propose pas une seule mthode d'authentification mais un canevas
sur lequel sont bass plusieurs types d'authentification. Ainsi, une mthode d'authentification
EAP utilise diffrents lments pour identifier un client :
- Login / mot de passe ;
- Certificats ;
- Carte puce ou calculette ;
Figure II.11 : Squence dauthentification 802.1x
a. Mthodes bases sur les mots de passes [22]
LEAP: (Lightweight Extensible Authentification Protocol) cest la mthode la plus
utilise pour les points daccs. Il gre la distribution dynamique de cls WEP. Cest aussi la
base une solution propritaire de Cisco (CISCO-EAP) mais qui a aussi t implmente par la
suite par dautres constructeurs.
EAP-MD5: (EAP-Message Digest 5) il est souvent utilis pour les informations
dauthentification des clients, par un systme bas sur le nom dutilisateur et le mot de passe.
Il nexiste pas dauthentification du serveur. Une machine qui se fait passer pour un serveur
peut ainsi facilement rcuprer les authentifiants (login, mot de passe) de la machine qui
cherche sauthentifier.
EAP-SKE: (EAP-Shared Key Exchange) il permet une authentification mutuelle ainsi
quune itinrance entre les rseaux de plusieurs fournisseurs daccs Internet.
EAP-SRP: Il sagit de ladaptation du protocole SRP (RFC2945) lEAP.
b. Mthodes bases sur les certificats
EAP-TLS: utilise le mcanisme d'authentification cl publique de TLS. Client et serveur
doivent possder un certificat. Permet l'authentification mutuelle, l'change des cls (WEP
dynamique ou TKIP), la fragmentation et le rassemblage, la reconnexion rapide.
EAP-TTLS: mthode du tunnel TLS. Fournit une squence d'attributs inclus dans le
message. En incluant un attribut de type RADIUS, EAP peut fournit les mmes
fonctionnalits que PEAP. Cependant, si un mot de passe RADIUS ou CHAP est encapsul, il
est chiffr par TLS. Cette mthode est moins utilise que PEAP qui rend les mmes services.
PEAP: (Protected EAP) authentification sans certificat. Ajoute une couche TLS sur EAP
(comme EAP-TTLS), permet d'authentifier le serveur au client mais pas l'inverse, c'est la
mthode protge par PEAP qui doit authentifier le client. Offre les services d'authentification
(impossible de falsifier ou insrer des messages EAP), de chiffrement, d'change de cl (WEP
dynamique ou TKIP), fragmentation et rassemblage, reconnexion rapide.
PEAP Microsoft: supporte l'authentification du client via MS-CHAP v2 uniquement
rduisant ainsi le champ d'utilisation au domaine NT et ADS.
c. Mthodes bases sur les cartes puces
EAP-SIM: (EAP - Subsciber Identity Module) utilis pour les points d'accs public (hot
spot), utilise la carte puce SIM du GSM, permet la mise en place de facturation.
EAP-AKA: (EAP - Authentification and Key Agreement) utilise le systme d'authentification
de la carte SIM de l'UMTS, il est compatible avec le GSM.
2.5.3.Faiblesses 802.1x
La principale faiblesse de 802.1x vient de ce quil a t conu au dpart dans un contexte
de connexion physique (type accs PPP sur RTC). Rien nempche en effet un utilisateur
dinsrer un hub (transparent 802.1x) et de faire bnficier dautres utilisateurs de
louverture du port Ethernet dun commutateur. La plupart des implmentations
dquipementiers permettent de surmonter cette difficult en permettant de configurer un
blocage du port Ethernet si ladresse MAC du systme authentifi change. Les attaques par
coute et rejeu sont aussi possibles, ainsi que le vol de session des faiblesses de 802.1x. Les
attaques sur 802.1x sont, de plus, facilites dans le cas de lEthernet sans fil.
2.6. Protocole Radius
2.6.1.Prsentation
RADIUS (Remote Authentification Dial In User Service) est un protocole
d'authentification client/serveur habituellement utilis pour l'accs distance, dfini par la
RFC 2865. Ce protocole permet de scuriser les rseaux contre des accs distance non
autoriss. Ce protocole est indpendant du type de support utilis. [14]
Le protocole Radius repose principalement sur un serveur (serveur Radius), reli a une base
didentification (fichier local, base de donnes, annuaire LDAP, etc.) et un client Radius,
appel NAS (Network Access Server), faisant office dintermdiaire entre lutilisateur final et
le serveur. Le mot de passe servant authentifier les transactions entre le client Radius et le
serveur Radius est chiffr et authentifier grce a un secret partag.
Il est noter que le serveur Radius peut faire office de proxy, cest--dire transmettre les
requtes du client a dautres serveurs Radius.
2.6.2.Principe de fonctionnement
Le fonctionnement de Radius est bas sur un scnario proche de celui-ci :
1. Un utilisateur envoie une requte au NAS afin d'autoriser une connexion distance ;
2. Le NAS achemine la demande au serveur Radius ;
3. Le serveur Radius consulte la base de donnes d'identification afin de connatre le type de
scnario d'identification demand pour l'utilisateur. Soit le scnario actuel convient, soit une
autre mthode d'identification est demande l'utilisateur. Le serveur Radius retourne ainsi
une des quatre rponses suivantes :
- ACCEPT : l'identification a russi ;
- REJECT : l'identification a chou ;
- CHALLENGE : le serveur RADIUS souhaite des informations supplmentaires de la part
de l'utilisateur et propose un dfi (en anglais challenge ) ;
- CHANGE PASSWORD : le serveur Radius demande lutilisateur un nouveau mot de
passe.
Suite cette phase dauthentification dbute une phase dautorisation ou le serveur retourne
les autorisations aux utilisateurs.
Figure II.12 : Principe de fonctionnement de Radius
Paquets Radius
Un paquet Radius est inclus dans un et un seul paquet UDP. Le schma suivant reprsente un
paquet Radius standard, les units tant exprimes en octets :
Figure II.13 : Paquets Radius
- Code : identifie le type de message
Tableau II.2: description de champ code
Tableau II.2 : Description du champ code
Code
Access - Request
Access -Accept
Access - Reject
Accounting - Request
Accounting - Response
Access - challenge
Description
Rponse favorable la demande du client
Demande les informations dauthentification
Rponse ngative au client
Demande accs un service
Sollicite des informations supplmentaires pour
lautorisation du client
Informations dauthentification
- Identifiant : permet de reconnaitre les messages (requtes et rponses) dune mme
session dauthentification.
- Longueur (taille) : dfinie la longueur de la trame.
- Authentificateur : permet au client dauthentifier la rponse de serveur Radius et de
protg les mots de passe (vite le phnomne man in the middle par exemple). Il
contient galement la mthode dauthentification utiliser avec le client.
- Attributs : ce champ est utilis pour vhiculer toutes les informations ncessaires, il a
pour format :
Figure II.14 : Format des attributs Radius
Conclusion
En prenant connaissance des faiblesses de scurit des rseaux de type Wi-Fi et au vu de
l'essor important de ce type de matriel, il est probable que le march des serveurs
d'authentification va prendre de l'importance. Ainsi, depuis les tests, certains produits ont dj
beaucoup volu pour prendre en charge davantage de mthodes d'authentification et de
plateformes. Cependant, sur le segment de la scurit des rseaux Wi-Fi, d'autres solutions
restent envisageables notamment celles bases sur les VPN.
Le niveau de scurit propos par 802.1x est correct mais il ne permet pas de rsoudre les
problmes lis aux faiblesses de WEP. Ainsi, pour proposer une architecture vraiment sre il
faudra utiliser d'autres techniques de chiffrement comme WPA et attendre les avances
proposes par 802.11i. La relative jeunesse de tous ces protocoles, et des rseaux Wi-Fi en
gnral, ne permettent pas encore de garantir une prennit de la solution retenue. Malgr
tout, il est ncessaire de prendre le risque d'opter pour une solution plutt que d'attendre et de
laisser son rseau sans fil sans protection.
Type Longueur Valeur
Chapitre III Mise en place dune scurit base sur le 802.1x et un serveur dauthentification
tar zxvf openssl-0.9.7g.tar.gz
cd openssl-0.9.7g
./config --prefix=/usr/local/openssl-certgen shared
make
make install
Chapitre III Mise en place dune scurit base sur le
802.1x et un serveur dauthentification
Introduction
Pour la ralisation de ce projet, il a fallu mettre en place un rseau test, ceci a ncessit la
mise en place dun serveur dauthentification radius, et dun mcanisme de gnration de
certificats. Nous avons opt pour linstallation de ces outils dans un environnement LINUX,
dune part parce quils sont en Open Source, et dautre part, ils sont moins vulnrables aux
attaques.
Systmes dexploitation utiliss
- Linux mandriva 2010.2 pour le serveur
- Windows XP pour les postes clients
Dans ce chapitre, on va dtailler les tapes de linstallation des programmes ncessaires
notre exprimentation.
1. Installation et configuration dOpenSSL
1.1. Installation
On a utilis la version openssl-0.9.7g tlcharg sur le site www.openssl.org
On commence par la dcompression du fichier pour linstaller en utilisant la commande
suivante :
Openssl se compile, cela dure plus ou moins longtemps suivant la machine utilise. Une fois
la compilation termine, un message comme ci-dessous saffichera.
Figure III.1 : Compilation dOpenssl
1.2. Configuration
Il faut maintenant diter le fichier de configuration dopenssl. Ce fichier contient diffrentes
informations comme : le nom de lentreprise, le pays, ladresse e-mail, le nom du propritaire
du certificat
LEdition via lditeur de texte (nous utiliserons gedit) du fichier de configuration openssl.cnf
Vers le milieu du fichier se trouve les paramtres modifier : toutes les lignes qui sont de la
forme XXX_default (Comme encadr ci-dessous) :
Figure III.2 : Les informations remplir sur SSL
gedit /usr/local/openssl-certgen/ssl/openssl.cnf
1.2. Configuration
du certificat
1.2. Configuration
du certificat
Linstallation dopenssl est termine.
2. Gnrations des certificats
Sur le site http://www.nantes-wireless.org/actu/article.php3?id_article=8, nous pouvons
trouver les scripts suivants : xpextensions, CA.root, CA.svr, CA.clt
Ceux-ci ncessaires la gnration des certificats.
Possdant dj les scripts, il nous reste seulement les copier dans le chemin appropri :
/usr/local/openssl-certgen/ssl
Attention ne pas oublier de copier le fichier xpextensions contenant les OID pour la
gnration des certificats.
2.1. Gnration du certificat root
Le certificat root lui mme autorit de certification sera gnrer par le fichier CA.root,
permettant aussi la signature des autres certificats (client, serveur,).
Le lancement du certificat root se fera par la commande suivante :
A chaque question appuye sur la touche entrer. Une fois cette srie termine (questions), la
cration des fichiers root.pem, root.der, root.p12 et dossier demoCA se fera delle-mme
(dans le chemin: /usr/local/openssl-certgen/ssl). Le fichier root.pem est utilis par freeradius,
et il faudra installer le root.der sur chaque station client.
[/usr/local/openssl-certgen/ssl] # chmod 700 CA.root
[/usr/local/openssl-certgen/ssl] # ./CA.root
Figure III.3 : Gnration du certificat root
2.2. Gnration du certificat serveur
Avant dexcuter ce script, il faut sassurer que le fichier serial est prsent dans le rpertoire
demoCA (cre ltape prcdente). Dans le cas o celui-ci (serial) nexiste pas, il faudra
donc le cre, puis placer une valeur hexadcimale dans ce mme fichier.
A la diffrence du certificat root, nous devrons ajouter dans un premier temps un paramtre
supplmentaire qui sera le nom du fichier que nous dsirons obtenir (nom du serveur). Celui-
ci devra tre inscrit la suite de lexcution du script CA.svr comme suivant :
Dans un second temps, il faudra rpondre aux questions comme prcdemment (touche
entrer), ceci tant dit la question Common Name (eg, YOUR name) [] : nous devrons
rpondre en utilisant le paramtre ajout (comme ci-dessus : serveur).
[/usr/local/openssl-certgen/ssl] # chmod 700 CA.svr
[/usr/local/openssl-certgen/ssl] # ./CA.svr serveur
Figure III.4 : Gnration du certificat serveur
On se retrouve donc avec les fichiers serveur.pem, serveur.der, serveur.p12, dont le dernier
devra tre install sur chaque ordinateur client.
2.3. Gnration du certificat client
Nous devrons ritrer la mme manipulation (certificat serveur) afin dobtenir le certificat
client. Sauf qu la question Common Name (eg, YOUR name) [] : il faudra simplement
inscrire le nom de lutilisateur (ici se sera wissame) comme ci-dessous :
On aura donc les 3 fichiers suivants : wissame.pem, wissame.der, wissame.p12 dont le
dernier devra tre install sur chaque ordinateur client.
[/usr/local/openssl-certgen/ssl] # chmod 700 CA.clt
[/usr/local/openssl-certgen/ssl] # ./CA.clt wissame
Figure III.5 : Gnration du certificat client
Cependant il est impossible davoir 2 certificats avec le mme nom dutilisateur.
Une fois la gnration des certificats est termine, nous sommes passs linstallation de
freeradius.
3. Installation et configuration de freeradius
3.1. Installation
Version utilis : freeradius-1.0.4 tlcharg sur le site www.freeradius.org
3.2. Configuration
Pour la configuration et la compilation de freeradius, on utilise le paramtre --sysconfdir=/etc
qui placera tous les fichiers de configuration dans /etc/raddb.
tar zxvf freeradius-1.0.4.tar.gz
cd freeradius-1.0.4
Important : Il faut vrifier pendant la configuration qu'il n'y a pas d'erreur au niveau dEAP-
TLS.
Figure III.6 : Configuration sans erreurs au niveau dEAP-TLS
On peut passer la compilation et linstallation de freeradius :
Une fois linstallation termine, un message comme ci-dessous saffichera.
Figure III.7 : Fin dinstallation de freeradius
make
make install
./configure sysconfdir=/etc
TLS.
make
make install
TLS.
make
make install
[/etc/raddb/certs]# gcc random.c o random -lcrypto
Maintenant que freeradius est bien install, il nous faut copier fans un premire temps les
certificats serveur.pem, root.pem dans le rpertoire /etc/raddb/certs en utilisant la commande
cp.
Dans un second temps, nous allons gnrer deux fichiers alatoires : dh et random, qui vont
nous permettre de mieux scuriser notre serveur radius.
Enfin crez et compiler ce court programme en C pour gnrer un fichier comportant des
caractres alatoires.
Copiez ces quelques lignes de C dans le fichier random.c :
#include <stdio.h>
#include <openssl/rand.h>
// you will need to compile it with openssl lib
// $ gcc lcrypto
main void {
unsigned char buf[100] ;
if ( !RAND_bytes[buf, 100]) {
// the usual md5(time+pid)
}
Printf("Random : %s\n", buf) ;
}
Puis excutez la commande suivante :
cd /etc/raddb/certs
rmrf *
cp /usr/local/openssl-certgen/ssl/root.pem /etc/raddb/certs
cp /usr/local/openssl-certgen/ssl/serveur.pem /etc/raddb/certs
[/etc/raddb/cers]# openssl dhparam check text -5 512 out dh
[/etc/raddb/certs]# touch random.c
[/etc/raddb/certs]# gedit random.c
[/etc/raddb/certs]# ./random
A noter que cette commande diffre selon la version de linux.
Tester avec la commande :
Le test donne quelque chose qui ressemble a :
3.3. Fichiers de configuration de freeradius
Les fichiers de configuration se trouvent dans /etc/raddb (comme nous lavons prcis plus
tt via le --sysconfdir), ces fichiers sont trs bien comments et constituent la documentation
de freeradius. La section suivante prsente les fichiers de configuration principaux a modifi:
eap.conf : pour la configuration des mthodes EAP d'authentification. Le contenu de ce
fichier tait au dpart inclus dans la partie module du fichier radiusd.conf mais les
dveloppeurs ont prfr le sparer pour des raisons de lisibilit car il devenait de plus en plus
volumineux du fait du nombre de mthodes dauthentification EAP diffrentes. En fonction
des mthodes EAP que le serveur devra supporter dans son environnement de production il y
aura ventuellement certains paramtres configurer. Par exemple dans le cas dune
authentification via EAP-TLS, il faudra indiquer le rpertoire contenant le certificat du
serveur (quil enverra au supplicant) et la cl prive avec le mot de passe associ, celui
contenant le certificat de lautorit (qui permettra de vrifier le certificat fourni par le
supplicant), indiquer si le serveur doit vrifier un fichier contenant les certificats rvoqus ou
encore sil faut vrifier que le nom de lutilisateur correspond au nom du propritaire du
certificat fourni.
clients.conf : pour dfinir et paramtrer le dialogue avec les authentificateurs. Ici sont
recenss les authentificateurs via un nom, une adresse IP et un secret partag. Dautres
informations optionnelles peuvent tre ajoutes pour viter les connexions simultanes dun
mme utilisateur.
users : est le fichier des utilisateurs. Un utilisateur est dfini par son nom et sa mthode
dauthentification (en fonction des mthodes, ce fichier peut contenir des mots de passe).
default_eap_type = tls
radiusd.conf : pour la configuration globale du serveur. Ce fichier est dcoup en deux
grandes parties, dabord les paramtres propres au dmon (interfaces dcoute, port, etc.), puis
une partie dfinition des modules (dfinition et configuration des modules dauthentification
disponibles hormis ceux du type EAP qui sont traits sparment, des modules de
journalisation, de relayage des requtes, etc.).
Fichier eap.conf
On spcifie que lon veut utiliser EAP-TLS et non MD5
Ligne 22
Aprs on configure EAP-TLS, il faut que lon enlve les commentaires (les # devant) a partir
de la ligne 122 et on modifie les chemins des certificats :
private_key_password : est le mot de passe du certificat serveur (par default est whatever on
peut le modifier en ditant le fichier CA.svr).
private_key_file et certificate_file : est le chemin vers le certificat serveur.
CA_file : est le chemin pour le certificat racine.
dh_file et random_file : sont les chemins vers les fichiers alatoires quon a gnrer
prcdemment
check_cert_cn : permet de vrifier que le nom dutilisateur fournit par le client est le mme
que celui dans le certificat (utile car certain driver propose de choisir le nom dutilisateur et le
certificat).
gedit /etc/raddb/eap.conf
gedit /etc/raddb/eap.conf
client 127.0.0.1 {
secret = testing123
shortname = localhost
nastype = other
}
check_crl : est le seul paramtre quon laisse commenter, il permet de vrifier si le certificat
na pas t rvoqu.
Fichier clients.conf
Ce fichier permet de dfinir la liste des AP que lon autorise accder au serveur radius. Le
serveur et lAP partagent un secret (une cl) pour crypter les donnes.
Par default on autorise le localhost (127.0.0.1) avec comme secret : testing123 (pour raliser
des tests en local).
Pour rajoutez notre borne wifi avec comme adresse IP 192.168.1.1
Fichier users
ditez-le et ajoutez la ligne suivante en haut du texte, avant toute autre chose :
Cela nous permet de vrifier les tests en local.
Dans ce fichier, on dfini la liste des utilisateurs quon autorise. On a prcdemment gr le
certificat pour lutilisateur wissame, on ajoute donc a la fin du fichier :
client 192.168.1.1 {
secret = demoh
shortname = D-Link
nastype = other
}
gedit /etc/raddb/users
farid Auth-Type := local, User-Password == "virus"
"wissame" Auth-Type := EAP
"wissame" Auth-Type := EAP, EAP-Type := EAP-TLS
On spcifie que lutilisateur wissame peut sauthentifier avec la mthode EAP (EAP-TLS,
EAP-TTLS, EAP-PEAP,). Pour forcer un type, il faut utiliser lattribut EAP-Type, par
exemple si on veut que lutilisateur ne fasse que de lEAP-TLS, il faut mettre alors :
Fichier radiusd.conf
Ceci tant dit la configuration de radiusd.conf ne doit pas tre compltement modifie.
Il faudra seulement sassurer que les paramtres voqus auparavant soient bien inscrit sur le
fichier tout en respectant le modle suivant :
gedit /etc/raddb/radiusd.conf
Ainsi la configuration est termine.
prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = /etc
localstatedir = ${prefix}/var
sbindir = ${exec_prefix}/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
log_file = ${logdir}/radius.log
libdir = ${exec_prefix}/lib
pidfile = ${run_dir}/radiusd.pid
...
user = nobody
group = nogroup
...
max_request_time = 30
...
max_requests = 1024
...
bind_address = *
...
port = 0
...
hostname_lookups = yes
log_stripped_names = yes
log_auth = yes
log_auth_badpass = yes
log_auth_goodpass = yes
...
modules {
$include ${confdir}/eap.conf
}
authorize { # on dfinit lautorisation eap

preprocess
eap
files # on lit le fichier users
}
authenticate {
eap # authentification eap
}
Lancement de test du serveur
Si tout ce passe bien, vous navez qu utiliser le daemon avec la commande :
radiusd X A &
On obtient la fin :
Figure III.8 : Lancement du serveur radius
Cette tape dmontre que le serveur a t install et configur correctement.
Pour arrter le radius, il suffit de taper :
Maintenant il faut tester en local avec la commande suivante :
On a vrifi le bon fonctionnement du serveur, par la rponse Access-Accept comme
suit :
killall radiusd
radtest farid virus localhost 0 testing123
Figure III.9 : Russite du test en local
4. Configuration du point daccs
Le point daccs est un D-Link DSL-2640U Wireless G ADSL2 + Router .
Voici sa configuration :
Figure III.10 : Attribution de ladresse IP statique de lAP
Figure III.11 : Attribution du SSID au point daccs
Figure III.12 : Attribution de ladresse IP du radius lAP
Ainsi la configuration est termine.
5. Configuration du poste client sous Windows XP
La configuration de Windows XP ne doit pas trop poser de problmes vu quil y a tout plein
dassistantes partout.
On dispose dj des certificats suivants :
5.1. Installation du certificat dautorit
I l faut simplement double cliquer sur root.der
Etape 1 : cliquer ensuite sur installer le certificat
Figure III.13 : Dbut de linstallation du certificat root
Etape 2 : cliquez sur suivant
Figure III.14 : Confirmation de linstallation
Etape 3 : cliquez sur parcourir
Figure III.15 : Choix de magasin du certificat
Etape 4 : La slection du magasin de certificat que lon souhaite utiliser puis OK
Figure III.16 : Slection dautorits de certification racines de confiance
Etape 5 : terminer
Figure III.17 : Fin de limportation du certificat
Etape 6 : oui
Figure III.18 : Confirmation de la validit du certificat root
L'importation du certificat racine est termine.
Figure III.20 : Certificat dautorits root
5.2. Installation du certificat client
Etape 1 : suivant
Figure III.21 : Confirmation de linstallation
Etape 2 : suivant
Figure III.22 : Installation du certificat wissame.p12
Etape 3 : On a entr le mot de passe utilis dans le certificat client (notre mot passe est :
whatever)
Figure III.23 : Mot de passe
Etape 4 : slection du magasin de certificat que lon veut utilisez puis OK
Figure III.24 : Choix de lemplacement du certificat wissame.p12
Etape 5 : terminer
Etape 6 : OK pour terminer limportation
Figure III.26 : Confirmation de la russite
5.3. Installation du certificat serveur
Identique celui de certificat client, la seule diffrence cest le choix de magasin du certificat
qui sera autorit de certification racine de confiance et non personnel .
6. Configuration de la connexion sans fil
La configuration de la connexion sans fil est trs simple.
Figure III.27 : Choix de la proprit de la connexion sans fil
Etape 1 : cliquez sur le protocole internet (TCP/IP) puis sur proprits
Figure III.28 : Choix du Protocole Internet (TCP/IP)
Etape 2 : cliquez sur la configuration rseaux sans fil
Figure III.29 : Dbut de la configuration
Etape 3 : slectionner votre rseau puis cliquez sur proprits ; sil nexiste pas dans la liste
ajouter-le, ensuite continuer la configuration en cliquant sur proprits.
Figure III.30 : Choix de type dauthentification rseau et de type de cryptage des donnes
Etape 4 : slectionner le type dauthentification
Figure III.31 : Choix du type EAP
Etape 5 : cliquez sur proprit pour choisir les certificats quon a installs sur lordinateur du
client wissame.
Figure III.32 : Choix du certificat dautorit root nomm ing
Figure III.33 : Choix du certificat serveur
Figure III.34 : Certificat client wissame
Etape 6 : cliquez sur connexion et cochez Me connecter ce rseau lorsquil est a port
puis cliquez sur OK
Figure III.35 : Choix de la connexion
Etape 7: cocher rseaux avec point daccs seulement (infrastructure) , puis sur fermer
Figure III.36 : Choix du rseau avec point daccs seulement
Ainsi on a fini la configuration de notre connexion sans fil reseauwifi .
Nous allons maintenant essayer de nous connecter au rseau reseauwifi , mais dabord on
lance le serveur radius.
La carte a dtect un seul rseau sans fil : notre rseau reseauwifi .
Figure III.37 : Rseau dtect par la carte
Figure III.38 : Tentative de connexion
Figure III.39 : Validation de lidentit
Lorsquon arrive sassocier avec le point daccs et que le radius nous rpond :
Radius affiche les changes des messages EAP entre lui et le client wissame.
Figure III.40 : Echanges des messages EAP entre le serveur radius et le client wissame
Et en mme temps chez le client apparait la fentre suivante :
Figure III.41 : Attente de lauthentification
Figure III.42 : Russite de lauthentification et passage ltat connect
Figure III.43 : Etat de connexion rseau sans fil
Figure III.44 : Autorisation accept de serveur pour le client wissame
Pour sassurer que tout fonctionne bien, on va essayer de faire un partage des fichiers entre le
poste serveur et le poste client; (on a trouv le manuel de configuration de samba pour les
partages sous mandriva sur [23]).
Figure III.45 : Fichiers partager sur le poste client
Sur le poste client, assurez-vous que le pare-feu autorise les partages des fichiers, cochez
partage de fichiers et dimprimantes
Figure III.46 : Autorisation de partage des fichiers
Figure III.47 : Usagers du rseau
Figure III.48 : Fichiers partag sur le poste client
Ds quil ya dautres clients connects sur le rseau, ils peuvent partager des fichiers entre
eux.
Dautres solution pour sassurer de la russite de connexion cest dutilis le ping entre le
serveur et client connect.
Figure III.49 : Russite de ping du client vers le serveur
Figure III.50 : Russite du ping du serveur vers le client
Figure III.51 : Tentative dun pirate
Figure III.52 : Autorisation rejet du serveur pour le pirate
Figure III.53 : Echec du ping
Conclusion
On remarque que le rseau est maintenant scuris et que les usagers qui ne sont pas
enregistrs dans le serveur comme tant des usagers autoriss, ne pourront pas accder au
rseau, ni mme percevoir son existence.
Dans le cas ou la personne est en possession du SSID du rseau, elle ne pourra quand mme
pas y accder sans les certificats qui sont installs aussi bien, dans les postes clients que dans
le serveur.
Lchange des informations dauthentification, se fait de manire crypt et par un protocole
amlior, qui pour le moment na pas t cass. En plus du fait que le protocole
dauthentification 802.1x a donn de trs bons rsultats pour les rseaux filaires, travers
lutilisation de serveur dauthentification sous linux, qui comme on le sait ne craint pas les
virus.
Conclusion gnrale
Depuis leur apparition, les rseaux ont connu un franc succs, beaucoup de travaux ont trait
ce sujet. Par contre, la scurit dans les rseaux sans fil reste un domaine vaste et encore
fertile pour les chercheurs et les dveloppeurs.
Dans ce travail de PFE, on a pass en revue le fonctionnement gnral du rseau sans fil en
particulier le Wi-Fi, puis son mcanisme de scurit, avec tous les protocoles mis au point
dans le but de le scuriser.
Ce travail a t men bien et aprs plusieurs problmes de gestion et dinstallation, on a fini
par scuriser un rseau test, constitu dun PC, un AP, et dun serveur dauthentification
radius.
En conclusion, ce travail qui est trs intressant et enrichissant du point de vue exprience
acquise, peut tre amlior, en ne se contenant pas dune authentification par certificats, mais
par login et mot de passe.
Bibliographie
[1]: Administration rseau sous linux ,3eme dition, tony bautts, terry dawson &gregor n. purdy ;
novembre 2006.
[2]: http://www.scribd.com/doc/469106/Informatique-Cours-Reseau-Sans-Fil-La-Technologie-Wifi
[3]: Architecture et scurit de Wi-Fi. Mmoire de fin dtudes prsent par PHILIPPART Raphal ; anne
acadmique 2002-2003
[4]: http://www.securite-informatique.gouv.fr/gp_article250.html
[5]: http://www.memoireonline.com/06/10/3578/m_Le-reseau-informatique-dans-la-chaine-de-production-
dune-societe-de-presse10.html;
[6]: http://www.commentcamarche.net/contents/wifi/wifiintro.php3; 21 novembre 2010
[7]: http://s208270930.onlinehome.fr/wordpress/?p=7779; octobre 2009
[8]: Analyse et simulation du dploiement dun rseau sans fil lULB. Mmoire de fin dtudes prsent par
Michel Duchateau en vue de lobtention du grade dIngnieur Civil Electricien, spcialis en
Tlcommunications. Anne acadmique 2004-2005
[9]: http://www.commentcamarche.net/faq/3020-wifi-cours-d-introduction; 23 juin 2011
[10]: BALLESTEROS.M. (Les technologies sans fil) .EIVD, juin 2002.
[11]: Jon Edney and William A. Arbaugh, Real 802.11 Security, Wi-Fi Protected Access and 802.11i;
septembre 2004
[12]: Joel Conover, Anatomy of IEEE 802.11b Wireless, aout 2000
http://www.networkcomputing.com/1115/1115ws2.html;
[13]: http://www.doc-etudiant.fr/Informatique/Reseaux-informatiques/Expose-Reseaux-sans-fil-WiFi-
7439.html
[14]: http://www.pouf.org/documentation/securite/html/node1.html; 25 Aout 2004
[15]: http://guide-wifi.blogspot.com/2004/01/la-securite-wifi.html; 5 Janvier 2004
[16]: Guy Pujolle : scurit wifi octobre 2004. Edition Eyrolles.
[17]: http://ditwww.epfl.ch/SIC/SA/publications/FI00/fi-sp-00/sp-00-page5.html; 5 septembre 2000
[18]: http://www.aidenet.com/encyclopedie/crypto/certificat.htm
[19]: Services dAuthentication et Annuaires ; Abdelghani MAZOUZI ; UFR Informatique ; UCB Lyon1 ;
14 dcembre 2009
[20]: Les firewalls par Alban Jacquemin et Adrien Mercier; 15 fvrier 2004
http://www.frameip.com/firewall/
[21]: Serge Bordres. Authentication rseau avec Radius. EYROLLES, 2007.
[22]: http://wapiti.telecom-lille1.eu/commun/ens/peda/options/ST/RIO/pub/exposes/exposesrio2005/sert-
deprey/pres.htm
[23]: http://www.gilbertetchristine.fr/article-partage-samba-sur-plusieurs-pc-mandriva-57684930.html;
25 septembre 2010
Abstract
Wi-Fi networks, based on the IEEE 802.11 b/g standards, have become very
popular in recent years. Many users have installed Wi-Fi networks at home, and
numerous corporations have added Wi-Fi access points to their wired networks,
giving employees easier access to corporate data and services. Hackers can
decrypt and read data on a wireless link protected by built-in WEP encryption,
and may even be able to access the data on a wired network through a Wi-Fi
access point. We assess Wi-Fi network security in one city, analyze alternative
security techniques, and suggest ways to secure such networks.
, ,
.
. ,

. .
,
.

Mise en Place Dun Serveur Radius Sous Linux Pour La Securiasation Dun Reseau 802.11

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Mise en Place Dun Serveur Radius Sous Linux Pour La Securiasation Dun Reseau 802.11

Загружено:

Авторское право:

Доступные форматы

Rpublique algrienne dmocratique et populaire

Ministre de Lenseignement suprieur et de la recherche scientifique

authorize { # on dfinit lautorisation eap

Вам также может понравиться