Cours 3 : sécurité des réseaux

sans fil

Cas du Wifi

1
 Présentation réseau sans fil

• Avantage :
- Pas besoin d’infrastructure filaire pour fonctionner, offrant
une très grande portabilité et mobilité aux utilisateurs.

• Inconvénient :
- Sécurité + maintien d’une connectivité permanente à toutes
les machines du réseau (plusieurs ondes : bruits, puissance de
signal…).

2
 Présentation du WIFI

• Utilise les radiofréquences reposant sur les ondes hertziennes

pour établir une liaison entre les équipements mobiles.
• Extensions les plus utilisées :
- 802.11a : 54 Mbps en utilisant la bande de fréquence 5 Ghz.
- 802.11b : 11 Mbps en utilisant la bande de fréquence 2,4 Ghz.
- 802.11g : 54 Mbps en utilisant la bande de fréquence 2,4 Ghz.

3
 Présentation du WIFI

• La norme 802.11g par ses différents avantages est de loin la

plus utilisée :
- performance comparable à 802.11a en restant compatible
aux équipements en 802.11b.
- divisée en 11 ou 13 canaux permettant d’éviter les
interférences lors du déploiement de plusieurs points d’accès
sur une même zone et sur la même bande.

4
 Présentation du WIFI

• L’architecture générique d’un réseau sans fil en mode

infrastructure est d’avoir un point d’accès balayant une zone
avec des machines clientes disposant d’une carte d’interface
sans fil avec un standard compatible avec celui du point
d’accès.
d’accès
• Suivant le site géographique et le type de réseau sans fils que
l’on désire mettre en place, la configuration des points d’accès
peut être facile ou difficile.

5
 Problème de connectivité

• Les appareils utilisant les ondes pour le transport des

informations sont sujets à différentes perturbations.
• Ces perturbations peuvent se limiter à causer une connexion
intermittente, ou dans le pire des cas une absence totale de
connexion.
connexion
• D’où il est très important de savoir comment déployer son
réseau sans fil, car les choix de déploiement conditionne la
performance et la connectivité du réseau.

6
 Problème de connectivité / Couverture Radio

• Une condition nécessaire pour l’association et la connexion à

un point d’accès est de se situer dans la zone arrosée par ce
point d’accès.
• La distance entre le point d’accès et la machine cliente doivent
être pris en compte dans le déploiement d’un réseau sans fils.
• Il faut aussi diminuer le nombre ou la densité des obstacles
entre ces deux équipements et veiller au bon placement des
antennes des points d’accès.

7
Problème de connectivité / Couverture Radio

8
 Solution de déploiement orienté
couverture
• Objectif : couverture maximale avec un nombre minimal de
point d’accès. 14 AP de 25 utilisateurs.

9
 Solution de déploiement orienté capacité

• Objectif : maximiser le débit à fournir pour chaque utilisateur.

C’est le type de déploiement par excellence.
30 AP de 12 utilisateurs.

10
 Problème de connectivité / Interférence
• La majorité des WLAN opèrent dans la bande de fréquence à
2,4 Ghz avec un maximum de 14 canaux.
• Chacun des canaux occupe 22 Mhz et le signal est plus fort
quand l’on se situe au centre du canal.
• Dans le schéma qui suit : si l’on choisit 2 canaux proches (1 et
2) pour 2 points d’accès dont les zones se chevauchent , il y a
des interférences.
• Ce cas est l’un des pure car ici le chevauchement est très
proche du centre du canal, ce qui provoque des interférences
plus importantes.
• D’où le choix des canaux pour les points d’accès est très
important. Il est conseillé de toujours faire une étude du site
avant tout déploiement de réseau sans fil.
11
Problème de connectivité / Interférence

12
 Solution Interférence / Choix des canaux

• Pour le problème de configuration des canaux, il est conseillé

d’attribuer aux AP dont les zones chevauchent, des canaux avec un
espace de 5 canaux quand c’est possible. Ainsi les bandes des 2
canaux seront sans chevauchement.

13
 Problème de connectivité / Atténuation du
signal
• Dans un environnement Indoor (environnement clos avec la
présence des murs, des tables et d’autres objets pouvant être
des obstacles à la trajectoire des ondes), la propagation des
ondes est plus complexe que pour des environnements
ouverts.
• En effet, la présence d’obstacles rend d’une part le trajet des
ondes radio plus complexe car les réflexions et les réfractions
sont plus nombreuses.
• De ce fait, il n’est plus possible de modéliser la propagation des
ondes par une simple fonction de la distance entre l’émetteur
et le récepteur, mais aussi les chemins multiples que peuvent
prendre les ondes avant d’arriver à la destination.
14
Problème de connectivité / Atténuation du
signal

15
 Problème de connectivité / Atténuation du
signal
• Lorsqu’une onde radio rencontre un obstacle, une partie de sa
puissance est absorbée et transformée en énergie, une partie
continue à se propager de façon atténuée et une partie peut
éventuellement être réfléchie.
• De plus, lors de la collision avec un obstacle, la valeur de
l’atténuation dépend fortement du matériau composant
l’obstacle, ce qui peut conduire à une diminution considérable
de la zone de couverture et résulter à une absence de
connexion pour des machines situées pas très loin du point
d’accès.

16
 Solution atténuation du signale
• C’est la partie la plus difficile à prévoir, car l’atténuation du signal est
spécifique à l’environnement et dépend de plusieurs facteurs
différents.
• Il existe plusieurs modèles pour la prédiction du signal qu’une
machine cliente peut recevoir à un instant donné et à une position
donnée.
donnée
• Le modèle le plus simple est le modèle empirique qui ne se base
que sur la distance entre l’émetteur et le récepteur.
• D’autres modèles les plus complexes peuvent prendre en compte
des facteurs comme le bruit ambiant, les obstacles et les différentes
trajectoires des ondes, et également la distance entre l’émetteur et
le récepteur.

17
 Problème de connectivité / Authentification et
identification
• Une bonne partie des problèmes de connexion sont
provoquées par une mauvaise configuration des machines
clientes au point de vue sécurité.
• Pour pouvoir se connecter à un point d’accès il faut s’assurer
que l’on dispose du même type de sécurité que l’AP, et que les
clés et les certificats que l’on possède sont reconnus valide
pour l’authentification.

18
 Failles de sécurité

• Vulnérabilités :
+ C’est le degré de faiblesse inhérent à tout réseau ou
périphérique. Cela concerne les routeurs, les commutateurs,
les ordinateurs de bureau, les serveurs et même les
périphériques de sécurité.
sécurité
+ Les menaces viennent d’individus compétents intéressés par
l’exploitation des faiblesses de sécurité.

19
 Failles de sécurité

• Menaces :
+ Les menaces sont mises en œuvre à l’aide d’une variété
d’outils, de scripts et de programmes permettant de lancer des
attaques contre des réseaux et leurs périphériques. En général,
les périphériques réseau attaqués sont des points d’extrémité
comme les serveurs et les ordinateurs de bureau.
+ Il existe plusieurs menaces ou attaques pouvant atteindre
l’infrastructure d’un réseau, les 4 catégories principales
d’attaques sont :

20
 Failles de sécurité

• Menaces :
* Reconnaissance : c’est la découverte non autorisée des
systèmes, de leurs adresses et de leurs services. Il s’agit d’une
collecte d’informations.
Exemples : Ethereal, Kismet, Wireshark…

* Accès ou attaque d’authentification : possibilité qu’un intrus

accède à un périphérique auquel il ne dispose pas de compte
ou de mot de passe.
Exemples : attaques de mot de passe, homme de milieu…

21
 Failles de sécurité

• Menaces :
* Attaques DoS : format d’attaque la plus répandue et la plus
difficile à éliminer. Elle empêche l’utilisation d’un service par
les personnes autorisées en épuisant les ressources du
système Il sera donc impossible de s’associer ou de
système.
s’authentifier au point d’accès.

* Rogues AP : ce sont les points d’accès non autorisés dans le

réseau. Ils sont installés par les intrus avec un niveau de
sécurité minimal comme WEP et est utilisé comme méthode
d’accès au réseau.

22
 Protocoles et méthodes de sécurité du
WIFI
• WEP :
+ Protocole chargé du chiffrement des trames 802.11.
+ Il permet d’une part, de crypter les données, et d’autre part,
d’assurer l’intégrité des données transmises.
+ Son principe consiste à définir une clé secrète déclarée au
niveau des points d’accès et des clients qui assurera le cryptage
et décryptage des informations.
+ Tout utilisateur possédant cette clé pourra communiquer sur
le réseau.
+ Inconvénients : authentification, faiblesse du contrôle
d’erreur, mauvaise gestion des clés, vulnérabilité aux DoS.

23
 Protocoles et méthodes de sécurité du
WIFI
• 802.1x ou WEP2 :
+ Il repose sur le protocole d’authentification EAP dont le rôle
est de transporter les informations d’identification des
utilisateurs.
+ Il offre une légère amélioration de certains problèmes de
sécurité rencontrés avec le WEP notamment au niveau des clés
et utilise le protocole RADIUS.
+ Inconvénients : ne garantit pas la protection contre l’écoute
du trafic d’authentification, les dénis de services, et les
attaques de type Man in The Middle.

24
 Protocoles et méthodes de sécurité du
WIFI
• WPA :
+ Proposé par la WIFI-Alliance, et regroupe toutes les normes
précédentes et entre autres un protocole standardisé de
gestion des clés appelé TKIP.
+ TKIP permet la génération automatique des clés et offre la
possibilité de modifier la clé de chiffrement plusieurs fois par
seconde pour plus de sécurité.
Il peut être implémenté suivant 2 méthodes :
* Le mode PSK : la même clé de chiffrement est déployée
dans tous les équipements.
* Le mode entreprise en association avec un serveur RADIUS
ce qui assure une plus grande sécurité du réseau.
25
 Protocoles et méthodes de sécurité du
WIFI
• WPA2 ou 802.11i :
+ Le standard 802.11i fournit une solution de sécurisation
poussée pour les réseaux sans fils. Il s’appuie sur l’algorithme
de chiffrement TKIP comme le WAP, mais supporte également
l’AES, beaucoup plus sur.
sur

26
Comparaison Protocoles et méthodes de
sécurité du WIFI

27
 Stratégies de sécurisation

• Une stratégie est un ensemble de principes qui guident les

prises de décision et permettent aux dirigeants d’une
organisation de déléguer l’autorité en toute confiance.
• Le document RFC2196 stipule « qu’une stratégie de sécurité est
une déclaration formelle des règles qui doivent être respectées
par les personnes qui ont accès aux ressources technologiques
et aux données vitales de l’organisation ».
• Une stratégie de sécurité peut se présenter comme de simples
règles du bon usage des ressources du réseau.

28
 Stratégies de sécurisation

• Il existe plusieurs stratégies de sécurité, les plus importantes :

- Stratégie d’identification et d’authentification : définit les
technologies utilisées dans l’entreprise pour ne donner l’accès
aux données qu’au personnel autorisé.
- Stratégie d’accès interne : définit l’usage acceptable des
ressources technologiques internes par les employés et les
invités.
- Stratégie d’accès à distance : définit comment les utilisateurs
externes peuvent utiliser l’infrastructure d’accès à distance de
l’entreprise.

29
 Proposition de Stratégies de sécurisation

• Stratégie d’identification et d’authentification :

- La meilleure solution pour les réseaux sans fil est le protocole
802.11i ou WPA2.
- WPA2 utilise le protocole EAP qui est basé sur un serveur
d’authentification RADIUS.
RADIUS
- Les avantages du serveur RADIUS :
* De multiples possibilités d’authentification.
* Traitement individuel d’une utilisateur ou d’une machine
(on peut mixer les méthodes d’authentification : authentifier la
personne et la machine).
* Gestion centralisée, trace de toutes les connexions ou
tentatives dans un log.
30
 Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Authentification d’un client sur un serveur RADIUS au travers
d’un authenticator (Switch, AP), l’authenticator reçoit du
serveur l’autorisation de laisser le passage à un client. EAP
permet la négociation d’un protocole d’authentification entre
le client et un serveur RADIUS.

31
 Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Etapes de mécanisme d’authentification sur le serveur RADIUS :
* Un utilisateur envoie une requête au NAS afin d’autoriser une
connexion à distance.
* Le NAS achemine la demande au serveur RADIUS.
* Le serveur RADIUS consulte la base de données d’identification
afin de connaître le type de scénario d’identification demandé
pour l’utilisateur.
Soit le scénario actuel convient, soit une autre méthode
d’identification est demandée à l’utilisateur. Le serveur RADIUS
retourne ainsi une des 4 réponses suivantes :

32
 Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
+ ACCEPT : l’identification a réussi.
+ REJECT : l’identification a échoué.
+ CHALLENGE : le serveur RADIUS souhaite des informations
supplémentaires de la part de l’utilisateur et propose un défi.

- Les protocoles de cryptage introduis par EAP sont :

+ TKIP : protocole d’intégrité de clé temporaire.
+ AES : norme avancée de chiffrage. Standard de cryptage
symétrique destiné à remplacer DES.

33
 Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Inconvénients WPA2 et solutions :
+ Les systèmes d’exploitation actuel en raison de leur
hétérogénéité ne supportent pas tous au même niveau les
méthodes de sécurisation les plus performantes.
+ Pour permettre aux utilisateurs, ayant des problèmes avec le
paramétrage du mode sécurisé, de bénéficier tout de même d’une
accès au réseau Wifi, il faut mettre en place une solution dans
laquelle les équipements réseaux (point d’accès Wifi), ne
participent ni à l’authentification ni à la sécurisation des données.
Ces tâches étant réalisées par un portail d’authentification ainsi
que par les couches protocolaires supérieures (HTTPS).

34
 Proposition de Stratégies de sécurisation
• Stratégie d’identification et d’authentification :
- Inconvénients WPA2 et solutions :
+ Le portail captif est une application web couplée à un firewall
qui gèrent les accès sans fil de l’accès rapide du réseau.
Il permet d’orienter les visiteurs dès leur première connexion et de
trouver toutes les informations nécessaires pour configurer la
connexion sans fil.
Pour pouvoir accéder, les utilisateurs doivent s’authentifier par le
serveur RADIUS, pour cela ils entrent leur login et leur mot de
passe.

35
Proposition de Stratégies de sécurisation

36
 Proposition d’architecture
d’authentification générale
• Le système doit pouvoir permettre 3 types de connexion au
réseau :
- Tout PC se connectant sur le réseau sans-fil doit être identifié au
même titre que les PC filaires.
- L’introduction du réseau sans-fil ne doit pas remettre en cause
les principes de sécurité déjà existants.
- Un même PC doit être vu sur le réseau de façon identique qu’il
utilise une connexion filaire ou sans-fils.
- Un visiteur doit se trouver dans le réseau visiteurs.
• Une dernière question se pose au niveau des deux types de
connexion sans-fil (internes et visiteurs), c’est celle de savoir
comment configurer les AP.
37
 Proposition d’architecture
d’authentification générale
- Une première approche serait de dire que chaque AP est
configuré avec un SSID unique correspondant à un seul type
d’utilisateur, mais dans ce cas, certains AP surtout ceux des invités
seront sous utilisés puisqu’il n y a pas tout le temps des visiteurs.
- Une autre approche plus efficace serait de configurer chaque
point d’accès avec deux Vlans correspondant aux deux types
d’utilisateurs, chaque Vlan sera donc associé à un SSID.
Ainsi les AP pourront toujours être utilisés par tous les utilisateurs.
Pour qu’une telle architecture soit mise en œuvre, nous avons
besoins des bornes WIFI capables de gérer les Vlans.

38
 Dispositif général de l’architecture

• De manière générale, le système à mettre en place doit avoir les

composants suivants :
- Un serveur d’authentification : ex serveur OpenSource
Freeradius.
- Des bornes compatibles au Vlan.
Vlan
- Un portail captif tournant sur le serveur web : ex OpenSource
Chillispot.
- Un Switch compatible aux Vlan.
- Un routeur (routage) + Firewall (filtrage).

39
Dispositif général de l’architecture

40
 Dispositif général de l’architecture

• Cette architecture générale permet de prendre en compte les

besoins des utilisateurs en matière de connexion au réseau et à
Internet et les règles de sécurité définis par la politique de
sécurité.
• Les 3 types d’utilisateur s’authentifient de façon différente au
réseau, nous aurons donc :
- Les permanents Wifi : appartiennent au Vlan1. Pour
s’authentifier ils passent par l’AP, ensuite le switch, et au niveau
routeur ils sont dirigés directement vers le serveur RADIUS.
- Les visiteurs Wifi : appartiennent au Vlan2. Pour accéder au
réseau, ils passent par le portail captif qui effectue une
authentification sécurisé en HTTPS.
41
 Dispositif général de l’architecture

Ils entrent un login et un mot de passe transmis au serveur Radius

par le daemon Chillispot du portail.
Lors de l’ouverture de toute page web, le trafic passe par l’AP,
ensuite Switch, ensuite le routeur dirige le trafic vers le portail
captif où ils vont d’authentifier et pourront ensuite avoir l’accès au
réseau.
Les requêtes d’authentification sont renvoyées vers le serveur
Radius en passant par le routeur.
- Les utilisateurs filaire : ils appartiennent au Vlan3. Pour accéder
au réseau ils passent aussi par les AP, switch, routeur, serveur
Radius.

42
Implémentation et configuration

43
 Implémentation et configuration

• Installation de Freeradius avec EAP-TLS + MySQL

- Cette partie est très importante car c’est sur elle que repose
toute l’architecture d’authentification.
- Tous les utilisateurs filaire ou sans fils devrons s’authentifier
auprès du serveur Freeradius.
Freeradius
- D’abord, nous allons installer et configurer Open SSL utilisé pour
la génération des certificats.
- Ensuite, nous installerons et configurons Freeradius en mode
EAP-TLS.
- Enfin nous ajouterons un support MySQL à Freeradius.
- Pour l’installation nous utilisons Debian Lenny.

44
 Implémentation et configuration

• Installation et configuration Open SSL :

- Permet la génération des certificats de l’autorité root, client et
serveur.
- Installation :
+ source : www.openssl.org
www openssl org version 0.9.7g
0 9 7g
+ on décompresse l’archive et on lance ensuite la compilation
puis l’installation :

45
 Implémentation et configuration

• Installation et configuration Open SSL

- Configuration :
+ Il s’agit d’entrer les différentes informations concernant le
propriétaire du certificat. Le fichier à éditer est openssl.cnf :
#nano /usr/local/openssl-certgen/ssl/openssl.cnf
/usr/local/openssl certgen/ssl/openssl cnf

+ On peut ainsi personnaliser la configuration en éditant le

fichier.
Ex de configuration : valeurs : VN, Hanoi, IFI, TPE-IFI et
eerichard@ifi.edu.vn

46
Implémentation et configuration

47
 Implémentation et configuration
• Installation et configuration Open SSL
- Génération des certificats :
+ pour pouvoir générer les certificats, on a besoin des fichiers
xpextensions, CA.root, CA.svr, CA.clt que l’ont peut les télécharger sur
Internet.
+ Il faut ensuite personnaliser ces fichiers en modifiant le mot de
passe de chacun de ces certificats, pour cela il suffit d’éditer le fichier
et modifier le mot de passe par défaut whatever, on utilisera comme
mot de passe : eerichard.
+ Nous allons maintenant générer les différents certificats, on
commence par le certificat de l’autorité de certification (root),
ensuite le certificat du serveur (server) et le certificat du client
(client).
48
 Implémentation et configuration
• Installation et configuration Open SSL
- Génération des certificats :
+ Avant tout, il faut modifier les droits du fichier CA.root :
#chmod 777 CA.root

49
 Implémentation et configuration
• Installation et configuration Open SSL
- Génération du certificat root (37)

50