Академический Документы
Профессиональный Документы
Культура Документы
sans fil
Cas du Wifi
1
Présentation réseau sans fil
• Avantage :
- Pas besoin d’infrastructure filaire pour fonctionner, offrant
une très grande portabilité et mobilité aux utilisateurs.
• Inconvénient :
- Sécurité + maintien d’une connectivité permanente à toutes
les machines du réseau (plusieurs ondes : bruits, puissance de
signal…).
2
Présentation du WIFI
3
Présentation du WIFI
4
Présentation du WIFI
5
Problème de connectivité
6
Problème de connectivité / Couverture Radio
7
Problème de connectivité / Couverture Radio
8
Solution de déploiement orienté
couverture
• Objectif : couverture maximale avec un nombre minimal de
point d’accès. 14 AP de 25 utilisateurs.
9
Solution de déploiement orienté capacité
10
Problème de connectivité / Interférence
• La majorité des WLAN opèrent dans la bande de fréquence à
2,4 Ghz avec un maximum de 14 canaux.
• Chacun des canaux occupe 22 Mhz et le signal est plus fort
quand l’on se situe au centre du canal.
• Dans le schéma qui suit : si l’on choisit 2 canaux proches (1 et
2) pour 2 points d’accès dont les zones se chevauchent , il y a
des interférences.
• Ce cas est l’un des pure car ici le chevauchement est très
proche du centre du canal, ce qui provoque des interférences
plus importantes.
• D’où le choix des canaux pour les points d’accès est très
important. Il est conseillé de toujours faire une étude du site
avant tout déploiement de réseau sans fil.
11
Problème de connectivité / Interférence
12
Solution Interférence / Choix des canaux
13
Problème de connectivité / Atténuation du
signal
• Dans un environnement Indoor (environnement clos avec la
présence des murs, des tables et d’autres objets pouvant être
des obstacles à la trajectoire des ondes), la propagation des
ondes est plus complexe que pour des environnements
ouverts.
• En effet, la présence d’obstacles rend d’une part le trajet des
ondes radio plus complexe car les réflexions et les réfractions
sont plus nombreuses.
• De ce fait, il n’est plus possible de modéliser la propagation des
ondes par une simple fonction de la distance entre l’émetteur
et le récepteur, mais aussi les chemins multiples que peuvent
prendre les ondes avant d’arriver à la destination.
14
Problème de connectivité / Atténuation du
signal
15
Problème de connectivité / Atténuation du
signal
• Lorsqu’une onde radio rencontre un obstacle, une partie de sa
puissance est absorbée et transformée en énergie, une partie
continue à se propager de façon atténuée et une partie peut
éventuellement être réfléchie.
• De plus, lors de la collision avec un obstacle, la valeur de
l’atténuation dépend fortement du matériau composant
l’obstacle, ce qui peut conduire à une diminution considérable
de la zone de couverture et résulter à une absence de
connexion pour des machines situées pas très loin du point
d’accès.
16
Solution atténuation du signale
• C’est la partie la plus difficile à prévoir, car l’atténuation du signal est
spécifique à l’environnement et dépend de plusieurs facteurs
différents.
• Il existe plusieurs modèles pour la prédiction du signal qu’une
machine cliente peut recevoir à un instant donné et à une position
donnée.
donnée
• Le modèle le plus simple est le modèle empirique qui ne se base
que sur la distance entre l’émetteur et le récepteur.
• D’autres modèles les plus complexes peuvent prendre en compte
des facteurs comme le bruit ambiant, les obstacles et les différentes
trajectoires des ondes, et également la distance entre l’émetteur et
le récepteur.
17
Problème de connectivité / Authentification et
identification
• Une bonne partie des problèmes de connexion sont
provoquées par une mauvaise configuration des machines
clientes au point de vue sécurité.
• Pour pouvoir se connecter à un point d’accès il faut s’assurer
que l’on dispose du même type de sécurité que l’AP, et que les
clés et les certificats que l’on possède sont reconnus valide
pour l’authentification.
18
Failles de sécurité
• Vulnérabilités :
+ C’est le degré de faiblesse inhérent à tout réseau ou
périphérique. Cela concerne les routeurs, les commutateurs,
les ordinateurs de bureau, les serveurs et même les
périphériques de sécurité.
sécurité
+ Les menaces viennent d’individus compétents intéressés par
l’exploitation des faiblesses de sécurité.
19
Failles de sécurité
• Menaces :
+ Les menaces sont mises en œuvre à l’aide d’une variété
d’outils, de scripts et de programmes permettant de lancer des
attaques contre des réseaux et leurs périphériques. En général,
les périphériques réseau attaqués sont des points d’extrémité
comme les serveurs et les ordinateurs de bureau.
+ Il existe plusieurs menaces ou attaques pouvant atteindre
l’infrastructure d’un réseau, les 4 catégories principales
d’attaques sont :
20
Failles de sécurité
• Menaces :
* Reconnaissance : c’est la découverte non autorisée des
systèmes, de leurs adresses et de leurs services. Il s’agit d’une
collecte d’informations.
Exemples : Ethereal, Kismet, Wireshark…
21
Failles de sécurité
• Menaces :
* Attaques DoS : format d’attaque la plus répandue et la plus
difficile à éliminer. Elle empêche l’utilisation d’un service par
les personnes autorisées en épuisant les ressources du
système Il sera donc impossible de s’associer ou de
système.
s’authentifier au point d’accès.
22
Protocoles et méthodes de sécurité du
WIFI
• WEP :
+ Protocole chargé du chiffrement des trames 802.11.
+ Il permet d’une part, de crypter les données, et d’autre part,
d’assurer l’intégrité des données transmises.
+ Son principe consiste à définir une clé secrète déclarée au
niveau des points d’accès et des clients qui assurera le cryptage
et décryptage des informations.
+ Tout utilisateur possédant cette clé pourra communiquer sur
le réseau.
+ Inconvénients : authentification, faiblesse du contrôle
d’erreur, mauvaise gestion des clés, vulnérabilité aux DoS.
23
Protocoles et méthodes de sécurité du
WIFI
• 802.1x ou WEP2 :
+ Il repose sur le protocole d’authentification EAP dont le rôle
est de transporter les informations d’identification des
utilisateurs.
+ Il offre une légère amélioration de certains problèmes de
sécurité rencontrés avec le WEP notamment au niveau des clés
et utilise le protocole RADIUS.
+ Inconvénients : ne garantit pas la protection contre l’écoute
du trafic d’authentification, les dénis de services, et les
attaques de type Man in The Middle.
24
Protocoles et méthodes de sécurité du
WIFI
• WPA :
+ Proposé par la WIFI-Alliance, et regroupe toutes les normes
précédentes et entre autres un protocole standardisé de
gestion des clés appelé TKIP.
+ TKIP permet la génération automatique des clés et offre la
possibilité de modifier la clé de chiffrement plusieurs fois par
seconde pour plus de sécurité.
Il peut être implémenté suivant 2 méthodes :
* Le mode PSK : la même clé de chiffrement est déployée
dans tous les équipements.
* Le mode entreprise en association avec un serveur RADIUS
ce qui assure une plus grande sécurité du réseau.
25
Protocoles et méthodes de sécurité du
WIFI
• WPA2 ou 802.11i :
+ Le standard 802.11i fournit une solution de sécurisation
poussée pour les réseaux sans fils. Il s’appuie sur l’algorithme
de chiffrement TKIP comme le WAP, mais supporte également
l’AES, beaucoup plus sur.
sur
26
Comparaison Protocoles et méthodes de
sécurité du WIFI
27
Stratégies de sécurisation
28
Stratégies de sécurisation
29
Proposition de Stratégies de sécurisation
31
Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Etapes de mécanisme d’authentification sur le serveur RADIUS :
* Un utilisateur envoie une requête au NAS afin d’autoriser une
connexion à distance.
* Le NAS achemine la demande au serveur RADIUS.
* Le serveur RADIUS consulte la base de données d’identification
afin de connaître le type de scénario d’identification demandé
pour l’utilisateur.
Soit le scénario actuel convient, soit une autre méthode
d’identification est demandée à l’utilisateur. Le serveur RADIUS
retourne ainsi une des 4 réponses suivantes :
32
Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
+ ACCEPT : l’identification a réussi.
+ REJECT : l’identification a échoué.
+ CHALLENGE : le serveur RADIUS souhaite des informations
supplémentaires de la part de l’utilisateur et propose un défi.
33
Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Inconvénients WPA2 et solutions :
+ Les systèmes d’exploitation actuel en raison de leur
hétérogénéité ne supportent pas tous au même niveau les
méthodes de sécurisation les plus performantes.
+ Pour permettre aux utilisateurs, ayant des problèmes avec le
paramétrage du mode sécurisé, de bénéficier tout de même d’une
accès au réseau Wifi, il faut mettre en place une solution dans
laquelle les équipements réseaux (point d’accès Wifi), ne
participent ni à l’authentification ni à la sécurisation des données.
Ces tâches étant réalisées par un portail d’authentification ainsi
que par les couches protocolaires supérieures (HTTPS).
34
Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Inconvénients WPA2 et solutions :
+ Le portail captif est une application web couplée à un firewall
qui gèrent les accès sans fil de l’accès rapide du réseau.
Il permet d’orienter les visiteurs dès leur première connexion et de
trouver toutes les informations nécessaires pour configurer la
connexion sans fil.
Pour pouvoir accéder, les utilisateurs doivent s’authentifier par le
serveur RADIUS, pour cela ils entrent leur login et leur mot de
passe.
35
Proposition de Stratégies de sécurisation
36
Proposition d’architecture
d’authentification générale
• Le système doit pouvoir permettre 3 types de connexion au
réseau :
- Tout PC se connectant sur le réseau sans-fil doit être identifié au
même titre que les PC filaires.
- L’introduction du réseau sans-fil ne doit pas remettre en cause
les principes de sécurité déjà existants.
- Un même PC doit être vu sur le réseau de façon identique qu’il
utilise une connexion filaire ou sans-fils.
- Un visiteur doit se trouver dans le réseau visiteurs.
• Une dernière question se pose au niveau des deux types de
connexion sans-fil (internes et visiteurs), c’est celle de savoir
comment configurer les AP.
37
Proposition d’architecture
d’authentification générale
- Une première approche serait de dire que chaque AP est
configuré avec un SSID unique correspondant à un seul type
d’utilisateur, mais dans ce cas, certains AP surtout ceux des invités
seront sous utilisés puisqu’il n y a pas tout le temps des visiteurs.
- Une autre approche plus efficace serait de configurer chaque
point d’accès avec deux Vlans correspondant aux deux types
d’utilisateurs, chaque Vlan sera donc associé à un SSID.
Ainsi les AP pourront toujours être utilisés par tous les utilisateurs.
Pour qu’une telle architecture soit mise en œuvre, nous avons
besoins des bornes WIFI capables de gérer les Vlans.
38
Dispositif général de l’architecture
39
Dispositif général de l’architecture
40
Dispositif général de l’architecture
42
Implémentation et configuration
43
Implémentation et configuration
44
Implémentation et configuration
45
Implémentation et configuration
46
Implémentation et configuration
47
Implémentation et configuration
• Installation et configuration Open SSL
- Génération des certificats :
+ pour pouvoir générer les certificats, on a besoin des fichiers
xpextensions, CA.root, CA.svr, CA.clt que l’ont peut les télécharger sur
Internet.
+ Il faut ensuite personnaliser ces fichiers en modifiant le mot de
passe de chacun de ces certificats, pour cela il suffit d’éditer le fichier
et modifier le mot de passe par défaut whatever, on utilisera comme
mot de passe : eerichard.
+ Nous allons maintenant générer les différents certificats, on
commence par le certificat de l’autorité de certification (root),
ensuite le certificat du serveur (server) et le certificat du client
(client).
48
Implémentation et configuration
• Installation et configuration Open SSL
- Génération des certificats :
+ Avant tout, il faut modifier les droits du fichier CA.root :
#chmod 777 CA.root
49
Implémentation et configuration
• Installation et configuration Open SSL
- Génération du certificat root (37)
50