Академический Документы
Профессиональный Документы
Культура Документы
INTRODUCTION GENERALE
1. PRESENTATION DU SUJET
Actuellement dans le monde, la scurit informatique est
devenue un problme de plus en plus srieux, ainsi nous voyons des
gouvernements, des entreprises et des hommes qui cherchent crer des
infrastructures pour protger leurs ressources en toute scurit, du fait le
21iemesicle a connu un avancement technologique trs considrable dans
presque tous les domaines et cela grce un outil indispensable qui est
linformatique.
Du point de vue informatique, les rseaux sans fil (Wi-Fi)
connaissent un engouement important, cependant scuriser un rseau nest
plus une option mais une obligation du fait que les rseaux sans fil sont de
nos jours victimes de plusieurs attaques provenant de lintrieur tout comme
de lextrieur.
De ce fait toutes entreprises, universits digne de nom ou de
grand renom doit ncessairement se doter dun rseau bien scuris afin de
pouvoir partager ses diffrentes ressources en toute scurit de telle manire
ne pas empcher les utilisateurs de bien dvelopper les usages qui leurs
sont ncessaires.
De ce fait dans le cadre de notre travail nous mettrons un rseau
sans fil (Wi-Fi) dans lequel lauthentification des utilisateurs se fera travers
un serveur Free Radius.
Ce dernier se basera sur la mthode EAP-TLS (Extensible
Authentification Protocol-Transport Layer Security) pour lmission des
certificats chaque tentative des connexions ou test daccs. Nous
utiliserons aussi une infrastructure cls publiques autrement appele
PKI Public Key Infrastructure qui est un systme bas sur les certificats
numriques la place des cls de cryptages WEP, WPA et WPA2 car ces
derniers sont victimes de plusieurs attaques en ce sens que toute personne
dtenteur dune cl peut facilement accder au sein du rseau et pourrait
ainsi jouir des ressources.
Cependant, il est prfrable dutiliser un serveur Free Radius
pour lauthentification des utilisateurs et une infrastructure cls
publiques car avec ce systme il nest plus question de laisser la porte de
tous les informations sensibles, il nous dlivre aussi une paire des cls
~2~
cryptographiques et un certificat associ cette paire de cls , rendant ainsi
possible lchange des diffrentes informations sensibles et la signature
numrique qui offrent les garanties lors des transactions lectroniques.
~3~
~4~
Cependant dans notre travail nous allons mettre en place un rseau sans fil
dans lequel lauthentification des utilisateurs se fera travers un serveur
Free Radius.
~5~
Ce dernier se basera sur la mthode EAP-TLS (Extensible Authentification
Protocol-Transport Layer Security) pour lmission des certificats chaque
tentative des connexions ou test daccs.
4. PROBLEMATIQUE ET HYPOTHESE
4.1.1 PROBLEMATIQUE
Selon le petit Larousse, la problmatique est lensemble
des questions quune science, une philosophie se pose relativement un
domaine particulier.
La problmatique est la prsentation dun problme sous diffrents aspects,
elle est la question laquelle ltudiant va tenter de rpondre. Elle consiste
poser le problme de recherche (nonc), en faire ressortir les informations
pertinentes (termes) et tre dans le bon cadre spatio-temporel. Cest une
question complexe qui demande dtre capable de conjuguer plusieurs
informations, parfois divergentes, en les justifiant, tout en restant neutre.
De ce qui suit, la problmatique est la question principale ou lensemble des
questions auxquelles un chercheur est appel rpondre
Les rseaux sans fil (Wi-Fi) qui sont scuriss par des cls
de cryptages WEP,WPA et WPA2 que nous trouvons aujourdhui dans des
universits, entreprises, institutions de ltat, souffrent de plusieurs maux
en ce sens que toute personne dtenteur dune cl peut se connecter
facilement au sein de notre rseau et peut ainsi jouir de tout soit pour nuire
au bon fonctionnement de nos ressources par les diffrents attaques comme
par exemple : lattaque par injection des paquets, par force-brute,
La division provinciale du budget as un rseau wifi
scuris par une cl WAP-PSK est victime des attaques par dictionnaire
venant des utilisateurs non autoriss. Dtenant la cl, les utilisateurs ne
faisant partie de lInstitution se connectent pour bnficier de la connexion
Internet et ventuellement accder au dossier partag du rseau... Elle
manque aussi un systme dauthentification qui permet didentifier les
utilisateurs qui ont droit daccder au rseau ainsi quaux donnes
partages.
Les problmes relev ci-haut nous amne nous poser les questions
suivantes :1
1 Paul Robert, Le Petit Robert, Paris, 1984, p.11172
http://fr.wikipedia.org/wiki/Problematique
~6~
Quel moyen nous permettrait dauthentifier les utilisateurs dans un rseau
sans fil (Wi-Fi) ?
~7~
4.1.2 HYPOTHESE
Lhypothse se dfinit comme tant une proposition des
rponses provisoires aux questions que lon propos de lobjet de recherche
formule en des termes telles que lobservation et lanalyse puissent fournir
une rponse.
En effet, la questions pose dans la problmatique
ncessite une rponse provisoire comme canevas infirmer ou confirme la
question la fin du travail, aprs une analyse profonde et minutieuse.
Plu2sieurs solutions sont envisageables, mais dans le cadre de ce travail de
fin de cycle, nous envisageons de mettre en place un rseau sans fil dans
lequel lauthentification des utilisateurs se fera travers un serveur Free
Radius ; car il basera sur la mthode EAP-TLS (Extensible Authentification
Protocol-Transport Layer Security) pour lmission des certificats chaque
tentative des connexions ou test daccs.
5. METHODES ET TECHNIQUES
5.1.1 METHODES
La mthode est dfinie comme tant une marche rationnelle de
lesprit afin darriver la connaissance ou la dmonstration dune vrit.
La valeur scientifique de tout travail est fonction de la mthode et outils aux
quels le chercheur a fait recours pour analyser et expliquer les phnomnes
observs.
Pour mener bon port de notre travail, nous avons recouru son
laboration la mthode suivante :
La mthode analytique
Selon RWIGAMBA, B. cette mthode est dfinit comme
une analyse systmatique des toutes les informations ainsi que les donnes
rcoltes
Cette mthode nous a permis danalyser des nombreuses
donnes qui ont t recueillies grce au questionnaire et aux entretiens avec
certains responsables et dirigeants de la division provinciale du
budget/Katanga.
2http://lesdefinitions.fr/methode
~8~
5.1.2 TECHNIQUES
Pour rendre notre travail plus explicite, la mthode ellemme ne suffit pas, il faut en plus des outils de travail trs efficaces pour la
rcolte de donnes.
Ces outils sont des techniques, voici quelques techniques
auxquelles nous avons fait appelles :
La technique documentaire
Elle consiste en la consultation des diffrents ouvrages et
des documents ncessaires la comprhension des certains concepts de
base ainsi que de thories sinscrivant dans le cadre de notre travail.
Cette technique nous a permis consulter diffrents
ouvrages cadrant avec notre travail.
Linterview
Linterview institue un procs de communication verbal
entre intervieweur et interview. Cest une technique au cours duquel le
premier tente dobtenir du second les informations dont il a besoin pour
llaboration dun travail scientifique prcis.
Cette technique nous a permis de rcolter les donnes au
sein de linstitution pour lamlioration de notre travail.
6. DELIMITATION DU TRAVAIL
Vue le vaste champ dinvestigation auquel notre tude est
soumis, ce travail nas pas la prtention de lexhaustivit. Ce pourquoi, nous
lavons dlimit dans le temps et dans lespace.
Notre travail se limitera au sein de la Division Provinciale
du Budget /Katanga qui est notre champ dinvestigation se trouvant sur
lavenue Des Chutes et nous nous focalisons sur la plate-forme Windows
server 2008 car celui-ci inclut la gestion des certificats, il dispose dun
serveur RADIUS et la technologie Wifi pour la mise en place dun rseau
Wi-Fi avec authentification base sur des certificats au sein de cette
institution. Notre recherche se fera tout au long de lanne acadmique 20142015.
~9~
~ 10 ~
7. SUBDIVISION DU TRAVAIL
Hormis lintroduction gnrale et la conclusion, notre
travail se subdivisera en deux approches telles que tayes ci-dessous :
Premire Partie : Partie thorique
Cette approche est constitue de deux chapitres :
Le Chapitre premier : Gnralits
Dans ce chapitre on parlera sur les gnralits sur sans fil
(Wi-Fi) en gnrale, les gnralits sur les attaques dans un rseau Wi-Fi, les
gnralits sur les certificats, les gnralits sur le protocole Radius, en
attaquant diffrents points savoir son historique, ses utilisations, son
fonctionnement, ses diffrentes architectures, nous voquerons aussi ses
performances, ses avantages et ses inconvnients.
Le Chapitre deuxime : Prsentation de la structure daccueil
Dans ce chapitre on donnera lhistorique de la Division
Provinciale du Budget /Katanga, on parlera sur son organisation, son
fonctionnement, ses activits, son infrastructure rseau et nous
dboucherons par des critiques ainsi que des suggestions.
Deuximes Partie : Partie thorique
Le Chapitre troisime : conception et implmentation de la solution
retenue
Concernant ce dernier chapitre de notre travail il sagira de
prsenter un cahier de charge, dinstaller une autorit de certificat racine,
dinstaller et configurer le serveur Radius, dinstaller et scuriser le point
daccs Wi-Fi, de configurer les clients daccs Wi-Fi sous Windows7 et pour
terminer on verra leurs implmentations.
~ 11 ~
~ 12 ~
DEFINITION
I.1.2.
Les
Les
Les
Les
I.1.3.
HISTORIQUE
~ 13 ~
I.1.4.
I.1.5.
AVANTAGES DU WI-FI
Internet haut dbit avec mobilit garantie au bureau domicile ou dans les
espaces publics ;
Possibilit de dplacer les postes de travail nimporte o dans le btiment
sans perdre la connectivit au (sans contrainte de recalages),
Redploiement facile du rseau en cas de dmnagement ;
~ 14 ~
Intgration facile au rseau existant pour offrir de la mobilit aux
utilisateurs ;
Flexibilit damnagement des locaux.
I.1.6.
INCONVENIENTS DU WI-FI
Le cryptage WEP dont la philosophie de base est doffrir sur le rseau Wi-Fi
une scurit quivalente celle du rseau filaire. Mais trop des failles ont t
trouves sur ce mcanisme.
Le filtrage par adresse MAC permettant de dfinir une liste dquipements
autoriss se connecter au rseau ou une liste interdite sur le rseau.
Des mcanismes dauthentifications (RADIUS,) sont aussi mis en uvre
sur certains quipements ou dans une partie du rseau.
Pour pallier aux failles du WEP, et renforcera la scurit dune manire
gnrale dautres normes sont adopts ou en cours dadoption : WAP,
802.11i,
I.1.8.
Porte
Jusqu 300m de rayon de couverture sans obstacle ( la
propagation des ondes).
Dbit
Variable de 1 108 Mbits/s (jusqu 11Mbits/s pour le 802.11b,
22Mbits/s pour le 802.11b+, 54Mbits/s pour le 802.11g et 108Mbits/s pour
le 802.11g+).
Mais dans la pratique ces donnes sont fonction :
~ 15 ~
I.1.9.
Matriels
Carte PCMCIA Wi-Fi gnralement utilis pour les PC portable ;
Carte PCI Wi-Fi pour les PC ou autres ;
Une cl USB Wi-Fi pour tout priphrique quip dun port USB ;
Un adaptateur Wi-Fi quelconque : Ethernet/Wi-Fi ou port parallle/Wi-Fi
ou4 port srie/wifi.
2. Logiciels
4 AIT LAASARI MHAND, Guide pratique du rseau sans fil, Edition Ayrolle, France 2006
http://www.wikipedia.com/reseau sans fil en ligne le 16 Mars 2015
~ 16 ~
Les interfaces clients sont gnralement vendues avec des pilotes/utilitaires
(sur
CD)
pour
leur
configuration
sous
diffrents
OS
(WINDOWS98/2000/Me/XP ou MAC OS). Par ailleurs, dautres terminaux
peuvent tre pr-quip Wi-Fi ce qui dispense lusager dacquisition de
matriel supplmentaire :
Exemple : camera Wi-Fi, pc portable Centrino, imprimante Wi-Fi, agenda
lectronique Wi-Fi.
I.1.12.
I.1.14.
QUELQUES CONSTRUCTEURS
ASPECT REGLEMENTAIRES
~ 17 ~
sadresser lOCPT (Office Congolais des Postes de Tlcommunication).
Daprs nos renseignements, la rglementation congolaise autorise le
dploiement du wifi en intrieur ou en extrieur. Seulement, pour un
dploiement en extrieur une lettre dinformation devra tre adresse
lOCPT pour information .
~ 18 ~
I.2.
I.2.1.
Attaques passives
Dans un rseau sans fil, lcoute passive est dautant plus facile
que le media air est difficilement maitrisable. Bien souvent, la zone de
couverture radio dun point daccs dborde du domaine priv dune
entreprise ou dun particulier. Lattaque passive la plus rpandue est la
recherche de point daccs. Cette attaque (appele wardriving) est devenu le
jeu favori de nombreux pirates informatique, les points daccs sont
facilement dtectables grce un scanner (portable quip dune carte Wi-Fi
et dun logiciel spcifique de recherche de PA) ces directives permettant
dcouter le trafic radio distance hors de la zone de couverture du point
daccs. Il existe deux types de Pas de traces (signature), quasiment
indtectables en cas dcoute, ils envoient des probe request. Seul
Netstumber fonctionne sous Windows, les autres fonctionnent sous Linux.
Les sites dtects sont ensuite indiqus par un marquage extrieur ( la
craie) suivant un code (warchalking) :
Figure 1 : le wardring
~ 19 ~
~ 20 ~
I.2.2.
Attaques actives
Les diffrentes attaques connues dans les rseaux sans fil Wi-Fi sont :
DoS (Denial of Service)
Le dni de service rseau est souvent lalternative dautres
formes dattaques car dans beaucoup de cas il est plus simple mettre en
uvre, ncessite moins de connaissances et est moins facilement traable
quune attaque directe. Cette attaque a pour but dempcher des utilisateurs
lgitimes daccder des services en assurant de fausses requtes ces
services. Elle se base gnralement sur des bugs logiciel. Dans le domaine
du WIFI, cela consiste notamment bloquer des points daccs soit en
linondant de requtes de des authentifications (programme Air jack) ou de
dsassociassions, ou plus simplement en brouillant les signaux hertziens.
Spoofing (usurpation didentit)
LIP spoofing est une technique permettant un pirate denvoyer
une machine des paquets semblant provenir dune adresse IP autre que
celle de la machine du pirate. LIP spoofing nest pas pour autant un
changement dadresse IP. Plus exactement il sagit dune mascarade (il sagit
du terme technique) de ladresse IP au niveau des paquets mis, cest--dire
que les paquets envoys sont modifis afin quils semblent parvenir dune
autre machine.
Man in the middle (home au milieu)
Cette attaque consiste pou 6r un rseau WIFI, disposer un point daccs
tranger proximit des autres PA lgitimes. Les stations dsirant se
connecter au rseau livreront au PA flon leurs informations ncessaires
la connexion. Ces informations pourront tre utilises par une station pirate,
il suffit tout simplement une station pirate coutant de rcuprer ladresse
MAC dune station lgitime et de son PA, et sintercaler au milieu.
~ 21 ~
~ 22 ~
I.3.
~ 23 ~
Lun des principaux avantages des certificat est que les htes
nont plus besoin de grer un jeu des mots de passe pour des sujets
individuels quils doivent tre authentifier avant dobtenir un accs. Il suffit
dsormais lhte dtablir une relation dapprobation avec un metteur de
certificats.
Lorsquun hte, tel quun serveur web scuris, dsigne un
metteur en tant quautorit racine approuve, lhte approuve implicitement
les stratgies que lmetteur a utilises pour tablir les liaisons de certificats
quil met. En fait lhte fait confiance lmetteur en ce qui concerner la
vrification de lidentit du sujet du certificat. Un hte dsigne un metteur
en tant quautorit racine de confiance en plaant le certificat auto-sign de
lmetteur contenant sa cl publique dans le magasin de certificats de
lautorit de la certification racine de confiance de lordinateur hte. Les
autorits de certification intermdiaires ou secondaires ne sont approuves
que si elles ont un chemin daccs de la certification valide partir dune
autorit de certification racine de confiance.
Lorsque deux entits (machines, personnes, applications ou
services) essaient dtablir leur identit et leur relation dapprobation, le fait
que les deux entits approuvent la mme autorit de certification permet
dtablir entre elles le lien didentit et dapprobation. Une fois quun sujet de
certificat a prsent un certificat mis par une autorit de certification
approuve, lentit qui essaie dtablir la relation dapprobation peut
entreprendre un change dinformations en stockant le certificat du sujet
dans son propre magasin de certificats et, le cas chant, en utilisant la cl
de session afin de scuriser toutes les communications suivantes avec le
certificat.
~ 24 ~
~ 25 ~
I.4.
I.4.1.
PRESENTATION
~ 26 ~
Le serveur RADIUS consulte la base de donnes didentification afin de
connaitre le type de scnario actuel convient, soit une autre mthode
didentification est demande lutilisateur.
Le serveur RADIUS retourne ainsi une des quatre rponses suivantes :
ACCEPT : lidentification a russi ;
REJECT : lidentification a chou ;
CHALLENGE :
le
serveur
RADIUS
souhaite
des
informations
supplmentaires de la part de lutilisateur et propose un dfi (en
anglais challenge ) ;
CHANGE PASSWORD : le serveur RADIUS demande lutilisateur un
nouveau mot de passe.
Suite cette phase dit dauthentification, dbute une phase dautorisation
o le serveur retourne les autorisations de lutilisateur.
Figure 2 : RADIUS
Il est noter que le serveur RADIUS peut faire office de proxy, cest--dire
transmettre les requtes du client dautres serveurs RADIUS.
Len-tte du paquet RADIUS comporte 5 champs :
~ 27 ~
8Auteur : Serge Bordires, Authentification rseau avec Radius 802.1X EAP-Free Radius,
Edition : EYROLLES, collection : Blanche. Edit http://www.guill.net en ligne le 20 avril 2015.
~ 28 ~
CHAPITRE DEUXIEME : PRESENTATION DU CHAMP DETUDE
ET ANALYSE DE LEXISTANT
SECTION 1 : PRESENTATION DE LA DIVISION PROVINCIALE DU
BUDGET/Katanga
La division provinciale du budget est un dpartement du ministre de
budget national qui est rgit par lordonnance loi n : 86/263 de 31/10/1986
portant cration du dpartement du budget tel que complt et modifi par
lordonnance loi n86 du 25 mars 1988 portant organisation du dpartement
du budget, ainsi que le dcret-loi N02/07 du 15 septembre 2003 fixant des
attributions du ministre du budget.
II.3.
APPERCU HISTORIQUE
Situation gographique
La division provinciale du budget/Katanga est situe sur
lavenue des chutes au N105 de la commune-ville de Lubumbashi, dans la
province du Katanga en rpublique dmocratique du Congo.
II.2.
OBJECTIFS
~ 29 ~
Une mission de prparation et suivi du budget et contrle de marchs
publics,
Une mission de contrle de lexcution du budget.
~ 30 ~
II.3.
ORGANIGRAMME
CHEF DE DIVISION
14
CHEF DE DIVISION
SECRETARIAT
BUREAU
BUREAU
BUREAU
BUREAU
BUREAU
BUREAU
BUREAU
BUREAU
SGX
PRESS.S.
BUG
PAIE
SUIVI BUG
CONT BUG
INTEND.
INFORMATIQ
UE
ETU&PLAN
VERIFICAT
VERIFICAT
VERIFICAT
VERIFICAT
VERIFICAT
VERIFICAT
VERIFICAT
VERIFICAT
ASS PROV
GOUVR DU KATANGA
V.L/SHI
COMMUNE
V.L/SI
COMMUNE
V.K/ZI
COMMUNE
DISTRICT
DU
DISTRICT
DE
DISTRICT
DU
DISTRICT
DU
H/KATANGA
LUALABA
TERRITOIR
E
H/LOMAMI
TANGANIKA
TERRITOIR
E
TERRITOIR
E
TERRITOIR
E
~ 31 ~
II.4.
ORGANISATION GENERALE ET
DIVISION PROVINCIALE DU BUDGET
FONCTIONNEMENT
DE
LA
Le finance publique
~ 32 ~
La transmission aux services provinciaux et aux entits administratives
dcentralises(ETD) des directives concernant les modalits dexcution des
procdures des dpenses et de recettes budgtaire manant du ministre.
Le contrle de la rgularit des engagements des dpenses.
La surveillance des recettes budgtaire.
La participation la prparation du budget des services provinciaux et des
EAD.
Louverture des fiches budgtaires : modle 31.1 et 31.1.
La vrification des pices justificatives de la dpense.
Le contrle de lauthenticit de la signature du gestionnaire des crdits.
Sassurer de lexistence des crdits de lexactitude de limputation
budgtaire, de la validit de la pice dengagement et du respect de la
rglementation sur le march publics avis du (CPA).
Sassurer du cout rel de la dpense par rapport au prix sur le march.
Sassurer de la qualit de la marchandise et du caractre moins distant.
Procde mensuellement la conciliation des chiffres des dpenses rellement
effectues.
Daccorder son visa pralable toute dpense engage et juge rgulire.
De contrler les dpenses engages et surveille les recettes.
Rceptionner les fournitures de bureau et constates les travaux effectus.
Bureau de lintendance gnrale : Il soccupe de la gestion des matires
administratives, de lapprovisionnement en carburant et viser des dpenses
communes en charge du trsor public. Ce bureau tien galement les
inventaires des biens immeubles et meubles, de matriels roulants, de
matriels de bureau de services publics, des autonomies (arme, la police,
etc.).Ce bureau vise des dpenses communes en charge du trsor publics
avec comme objectif dassainir les dpenses de lEtat relatif aux
consommations des services publics, conformment larrt ministriel
N003/CAB.MIN.BUDGET/2006 du 06 avril 2006 dterminant le critre
dligibilit la charge commune de lEtat.
Bureau des marches publics
Un march public est un procd par lequel lEtat gre les
finances publiques. Cest la procdure de passation des marchs de
lexcution, de contrle, ainsi que les contentieux des marchs des travaux,
de fournitures, des services des gestions et de prestations intellectuelles
passes par lEtat.
Ce service a pour rle de contrle de passation des travaux, la coordination
de commande de tous les travaux.
~ 33 ~
Bureau de la paie : Il soccupe la paie des agents de la fonction publique ;
~ 34 ~
Analyse et tude
Planification stratgique
Analyse et valuer des projets
Les missions de ce bureau sont un peu double : linterne et lexterne.
A linterne, nous voyons les analyses de budget
A lextrieur, nous voyons les entits loignes.
Pour procder une tude ou planification, cela doit toujours se faire en
commission, la mthodologie doit tre toujours participative pour viter le
sabotage des projets dune partir ; cest--dire dune manire dmocratique
pour tisser de bonne relation avec les autres. Ce bureau est sous la
coordination du ministre de plan.
~ 35 ~
II.5.
PRESENTATION
DE
LINFRASTRUCTURE
DU
RESEAU
Ressources matrielles
Nombre
Type de matriel
Caractristiques
01
Ordinateur
bureau
de
04
Ordinateur
bureau
de
02
Ordinateur
bureau
de
03
Laptop
P4 de 2GHZ,RAM:512Mo, DD : 300Go
03
Imprimantes
01
Photocopieuse
01
Local technique
2 DLink 8 ports
03
Point daccs
DLink 8 ports
Ressources logiciels
~ 36 ~
~ 37 ~
~ 38 ~
II.6.
II.6.1.
CRITIQUE ET SUGGESTION
CRITIQUES
~ 39 ~
II.1.
SUGGESTIONS
~ 40 ~
CONCLUSION PARTIELLE
Dans ce chapitre, il a t question de faire une prsentation
fonctionnelle de notre milieu de recherche, en ressortissant tout aspect
pouvant permettre de bien comprendre sur quoi sest bas nos
investigations.
~ 41 ~
~ 42 ~
~ 43 ~
CHAPITRE TROIXIEME : CONCEPTION ET IMPLEMENTATION
DE LA SOLUTION RETENUE
III.1.
~ 44 ~
Le dploiement dun rseau sans fil doit passer par une tude dtaille des
solutions architecturales, matrielles et scuritaire existantes pour tre en
accord avec les principes voques dans le cahier de charge.
~ 45 ~
III.3.
un
BSS (Basic
Service
Set).
Chaque BSS est identifi par un BSSID (BSS Identifier) de 6 octets qui
correspond souvent l'adresse MAC du PA. Tout ceci permet de contrler les
connexions au rseau afin d'y appliquer des politiques scuritaires. Ainsi
notre choix s'est port sur le mode infrastructure.
La norme de Wifi
Les normes de Wifi sont diverses. De toutes ces normes, les plus
connues sont 802.11a, 802.11b et 802.11g qui sont les principales du
standard 802.11 ceci grce leur large intgration dans les matriels et
logiciels. En somme, nous avons prfr le 802.11g ou 802.11b. Cependant,
notre objectif est le 802.11g+. Cest pourquoi, nous ferons tout le possible
pour obtenir du matriel rpondant cette norme.
~ 46 ~
des boites de barres mtalliques avec cadenas que nous fixerons au mur. Ils
devront tre fixs de sorte que personne ne puisse avoir facilement accs
sans laide dune chelle.
III.4.
~ 47 ~
Une adresse MAC (Media Access Control) permet d'identifier
matriellement un ordinateur grce son adaptateur rseau. Cette adresse
est unique et dfinie par le fabriquant de l'adaptateur. Chaque point d'accs
offre la possibilit d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son
adresse MAC dans la liste autorise ne sera pas autoris se connecter sur
le rseau. Notons tout de mme que le filtrage d'adresses MAC est
contournable. En effet, une adresse Mac peut tre mule sous un
environnement Linux ou mme Windows.
~ 48 ~
~ 49 ~
en authentifiant le serveur RADIUS l'aide d'un certificat. Ensuite, il est
possible de choisir entre la mthode MS-CHAPv2 (Microsoft Challenge
Handshake Authentification Protocol version 2) ou TLS pour authentifier
l'utilisateur. Quand la mthode PEAP est utilise c'est souvent pour viter
d'utiliser les certificats client, il est donc logique que sur les deux mthodes
proposes par PEAP, l'utilisation de Login/Password, via MS-CHAP, soit
largement privilgie.
EAP-TLS (EAP-Transport Layer Security): EAP-TLS est une mthode
d'authentification mutuelle, ce qui signifie que le client et le serveur se
prouvent respectivement leur identit. Lors de l'change EAP-TLS, le client
d'accs distance envoie son certificat d'utilisateur et le serveur d'accs
distance envoie son certificat d'ordinateur. Si l'un quelconque des certificats
n'est pas envoy ou n'est pas valide, la connexion est interrompue.
Rappelons que TLS, la version normalise de SSL (Secure Socket Layer), est
un protocole de transport scuris (chiffrement, authentification mutuelle,
contrle d'intgrit).
Nous utiliserons donc la mthode EAP-TLS qui propose le plus de scurit.
Avec la mthode EAP-TLS l'authentification du client d'accs peut se faire de
diffrentes faons :
a.
l'aide
d'un
certificat
personnel
associ
la
machine,
l'aide
d'un
certificat
personnel
associ
l'utilisateur,
~ 50 ~
~ 51 ~
Le service NAAS (Network Authentification and Authorization Service) :
Ce service stocke et vrifier lidentit des utilisateurs habilits, et gre les
accs conformment la stratgie de contrle daccs dfinie. Il peut
galement collecter des informations de compatibilit et daudit sur laccs
du client au rseau.
~ 52 ~
III.4.1.
~ 53 ~
Configuration minimale
Intel Dual core 1,6 Gigahertz (GHz)
1 Go (giga-octets)
Deux cartes rseau
1 disque dur de 250 Go
~ 54 ~
~ 55 ~
~ 56 ~
Description :
~ 57 ~
Dsignation
Marque/modle
PU
Cot
Points daccs
D-Link DIR-615
41.63
124.89
01
Boitier mtallique
28.21
28.21
10
DLink DWA-121
11.27
112.7
Machine
HP Pavilion 17-f228nf
455.99
455.99
1037.41
1037.41
Wireshark
/
Cout total
0
1759.2 $
~ 58 ~
III.5.
tout
dabord
~ 59 ~
~ 60 ~
~ 61 ~
Nous faut alors choisir le nom de notre autorit. Dans le cas prsent
nous choisissons : certificat-divprovbudget.
.
Figure 16 : Dcision de la priode de validit.
~ 62 ~
Cette capture nous permet de dfinir la priode de validit de notre
certificat
~ 63 ~
2. INSTALLATION ET CONFIGURATION DU SERVEUR RADIUS
2.1. INSTALLATION DU SERVEUR RADIUS
il
nous
sera
ncessaire
~ 64 ~
Apres linstallation, nous allons crer des comptes utilisateurs et un
groupe dans Active Directory pour les utilisateurs du rseau Wi-Fi, avant
de passer la configuration du serveur Radius.
~ 65 ~
~ 66 ~
groupe-wifi, nous rpterons la procdure autant de fois pour crer
dautres utilisateurs. Maintenant nous pouvons donc passer la
configuration du serveur Radius.
~ 67 ~
~ 68 ~
Cette fentre nous montre le groupe dutilisateurs qui auront droit la
connexion sans fil.
~ 69 ~
Cette fentre nous permet que nous autorisions notre serveur NPS
interroger notre AD. La configuration du serveur Radius est maintenant
termine.
~ 70 ~
~ 71 ~
~ 72 ~
~ 73 ~
~ 74 ~
~ 75 ~
OBSERVATIONS ET TESTS
Comme vous lavez surement remarqu, la connexion
au rseau Wi-Fi de la division provinciale du budget seffectue lors dune
ouverture de session sur le domaine divprovbudget.com.
Ainsi lorsquun utilisateur souhaite accder au
rseau, il devra ouvrir une session sur le rseau avec son compte du
domaine qui lui aura t fourni probablement par ladministrateur du
rseau. Si tout a t convenablement configur sur la machine utilise, la
connexion au rseau se fera de manire transparente. Si la connexion ne
fonctionne pas, il faudra sadresser au service technique. Ainsi, toutes les
machines ncessitant se connecter au rseau devront automatiquement
passer par le service technique pour tre configures et les utilisateurs aussi
afin dobtenir les informations sur leurs comptes daccs.
Par dfaut, ladaptateur sans fil Wi-Fi du poste client gre les dconnexions
aprs un certain temps dinactivit. Bien plus la fermeture de session ou
lextinction du poste client ralise la dconnexion du rseau. Nous pensons
que ceci permettra de renforcer la scurit de notre rseau sans fil Wi-Fi.
Pour les machines disposant en plus de ladaptateur Wi-Fi une carte
Ethernet, la configuration IP de cette dernire devra tre similaire avec celle
de ladaptateur Wi-Fi afin que le passage du sans fil au filaire se fasse de
manire transparente. Et nous ici que la connexion au rseau se fera tout
naturellement
au
dmarrage
de
la
machine
sans
passer
par
une
authentification pralable.
Nous allons maintenant tester si les machines arrivent
communiquer entre elles.
~ 76 ~
CONCLUSION GENERALE
Comme lexige les normes scientifiques disent
que toute tude doit avoir une dlimitation en temps et en espace , ainsi
nous sommes arriv la borne suprieure de notre travail par rapport au
temps dont le sujet a port sur MISE EN PLACE DUN RESEAU Wi-Fi
AVEC AUTHENTIFICATION BASEE SUR DES CERTIFICATS (cas de la
Division Provinciale de Budget/Katanga).
Partant des difficults que rencontrent le rseau wifi
de la dite division qui est scuris par une cl WAP-PSK est victime des
attaques par dictionnaire venant des utilisateurs non autoriss. Dtenant la
cl, les utilisateurs ne faisant partie de lInstitution se connectent pour
bnficier de la connexion Internet et ventuellement accder au dossier
partag du rseau...
Elle manque aussi un systme dauthentification qui
permet didentifier les utilisateurs qui ont droit daccder au rseau ainsi
quaux donnes partages, cest ainsi que nous avons pens que la mise en
place dun un systme de scurit performant dans lequel lauthentification
des utilisateurs se fera travers un serveur Free Radius, qui se basera sur
la mthode EAP-TLS pour lmission des certificats chaque tentative des
connexions ou teste daccs permettra de remdier aux problmes
quauraient le rseau sans fil de la division provinciale de budget et de
rsoudre les difficults cite ci-haut.
De ce qui suit, nous avons utilis la mthode
analytique qui nous a permis danalyser des nombreuses donnes qui ont
t recueillies grce au questionnaire et aux entretiens avec certains
responsables et dirigeants de la division provinciale du budget/Katanga et la
technique documentaire qui nous as permis consulter diffrents ouvrages
cadrant avec notre travail et celle de linterview qui nous a permis par le jeu
de question rponse de rcolter les donnes pour lamlioration de notre
travail. Nous avons subdivis notre travail en deux approches dont la
premire est thorique qui contient deux chapitres savoir un chapitres sur
les gnralits des concepts fondamentaux et un autre sur la prsentation
du champ dtude et analyse de lexistant, et la seconde qui est une approche
pratique qui contient un chapitre intitul conception et implmentation de la
solution retenue.
Ainsi nous atterrirons en disant que la question que nous
nous sommes pose dans la problmatique tait la suivante :
-
~ 77 ~
-