Documente Academic
Documente Profesional
Documente Cultură
Anne Universitaire:
2010/2011
Ddicaces
Remerciements
Table des matires
Table des Figures
Avant-propos
Introduction Gnrale
Prsentation de ltablissement daccueil
Etude gnrale sur la scurit des rseaux Wifi
Protocoles dauthentification pour les rseaux Wifi
Etude de cas
Conclusion
Glossaire
Webographie
ii
iii
iv
Rseau
2010-2011
Page 1
2010-2011
Page 2
2010-2011
Page 3
2010-2011
Page 4
Avant Propos
Dans le cadre de lobtention du certificat de la
Licence Applique en
au sein de
lUniversit
dans un milieu industriel, dans notre cas, nous tions accueillis par un
tablissement acadmique : lEcole Suprieure des Communications de
Tunis :
SupCom,
Avoir une ide sur la mthode adquate de maintenir un rseau sans fil
en scurit, vitant ainsi -grce des systmes et des protocoles bien
dtermins- toute tentative illgale daccs ou de modification des bases
de donnes prives et secrtes des clients authentifis (tudiants,
enseignants, services technique et administratif, visiteurs).
2010-2011
Page 5
Introduction Gnrale
Dans lobjectif de garantir une meilleure accessibilit aux services
rseau, plusieurs architectures de communication modernes ont privilgi
labandon des cbles de transmission au profit des liaisons radio. Ces
liaisons peuvent tre soit du type infrarouge, Bluetooth ou Hertziennes.
Nous parlons donc des liaisons sans fils, qui ont pris une grande
ampleur avec lapparition de concentrateurs qui permettent de connecter
simultanment plusieurs nuds entre eux. Il peut s'agir dordinateurs,
d'imprimantes, de terminaux GSM ou de priphriques divers. Les liens
radio sont mme utiliss pour interconnecter des rseaux. A lchelle dun
rseau local, lutilisation de lair libre comme support de transmission,
consiste au dploiement des rseaux WiFi, rgis par les normes IEEE
802.11.
Les technologies dites sans fils , la norme 802.11g en particulier,
facilitent et rduisent le cot de connexion pour les rseaux de grandes
tailles. Avec peu de matriel et un peu d'organisation, de grandes
quantits
d'informations
peuvent
maintenant
circuler
sur
plusieurs
2010-2011
Page 6
client-serveur,
permettant
de
centraliser
des
donnes
Les
types
dattaques
qui
peuvent
avoir
lieu
dans
un
environnement acadmique.
2010-2011
Page 7
Une
revue
des
services
dauthentification
applicatifs
lenvironnement rel.
2010-2011
Page 8
2010-2011
Page 9
cette
d'identit).
connexion
Ceci
authentifie
limitera
donc,
et
chiffre
(pas
considrablement,
d'usurpation
les
risques
2010-2011
Page 10
ou
dune
organisation.
Outre
le
vol
ou
la
destruction
2010-2011
Page 11
2010-2011
Page 12
Linterception
de
donnes,
consistant
couter
les
2010-2011
Page 13
portables
(assistant
digital
personnel,
ordinateur
2010-2011
Page 14
2010-2011
Page 15
(ladresse
du
point
daccs)
remplacera
ladresse
Figure 1.3 : Rseau WiFi aprs Usurpation Attaque Man In The Middle : MITM
2010-2011
Page 16
(IP
avons
trouv
que
ladresse
IP
du
poste
attaquant est:
172.16.112.75. Cest cette adresse qui sera remplace par celle du point
daccs 172.16.112.70. Sachant que le serveur DHCP est configur pour
attribuer automatiquement des adresses IP entre 172.16.112.71 et
172.16.112.90.
2010-2011
Page 17
2010-2011
Page 18
2010-2011
Page 19
2010-2011
Page 20
Figure 1. 10 : Target 1
Puis
on
slectionne
la
machine
usurper
empoisonner) :
Figure 1. 11 : Target 2
N.B : Si on ne choisit aucune machine en cible (Target2), toutes les
machines lintrieur du sous-rseau seront usurpes.
Nous allons maintenant vrifier les cibles (Targets) en cliquant sur
le menu Target puis le sous menu : Current Targets.
Ften RIDENE & Adel RAISSI
2010-2011
Page 21
2010-2011
Page 22
2010-2011
Page 23
2010-2011
Page 24
2010-2011
Page 25
lintgrit
des
donnes
consiste
la
prvention
de
compte
des
ressources
du
systme.
Toute
utilisation
des
2010-2011
Page 26
Nom
du
verbe
authentifier,
qui
veut
dire
certifier
la
vrit,
pouvoir
se
connecter ;
on
doit
alors
utiliser
un
protocole
Il
plusieurs
moyens
dauthentification,
qui
sont
2010-2011
Page 27
des oprations
2010-2011
Page 28
comme
srs,
lidentification
de
lentit
homologue
est
suffisante, elle peut tre obtenue par un mot de passe. Ce dernier est
efficace contre les erreurs mais pas contre les malveillances.
1.4.2.3.3-Signature avec ou sans notarisation :
chiffrement pour
sauthentifier mutuellement.
Lorsque
les
entits
nont
pas
confiance
aux
moyens
de
tiers,
doit
acqurir
les
informations
ncessaires,
par
des
2010-2011
Page 29
2010-2011
Page 30
dfinir
lutilisation
du
Protocole
PPP
et
PAP,
le
processus
Le client envoie son nom PAP ainsi que son mot de passe en
clair.
2010-2011
Page 31
Authentification
Protocole)
permet
une
authentification
scurise par hachage MD5 (Message Digest 5). MD5 et une fonction de
hachage cryptographique permettant dobtenir lempreinte numrique dun
message partir de laquelle il est impossible de retrouver le message
original. Ainsi, en envoyant lempreinte du mot de passe au serveur, le
client peut montrer quil connat bien le mot de passe sans avoir
rellement lenvoyer sur le rseau.
Aprs le mme type de synchronisation que pour le Protocole PAP, le
mcanisme dauthentification est bas sur un CHALLENGE en 3 tapes :
2010-2011
Page 32
version
prioritaire,
MS-CHAP
apporte
galement
quelques
2010-2011
Page 33
contenant :
une
chane
indiquant
le
succs
ou
lchec
de
2010-2011
Page 34
2010-2011
Page 35
2010-2011
Page 36
(Internet
Engineering
TASK
Force).
Cest
un
Protocole
traabilit.
Ce
processus
doit
tre
reli
une
source
de
RADIUS
permit
aux
fournisseurs
daccs
Internet
avec le Protocole
2010-2011
Page 37
2010-2011
Page 38
attribue par le point daccs, par son identifiant, en tapant son nom
dutilisateur et son mot de passe (login).
4)
on certificat.
Le client gnre une valeur alatoire, puis lmet au serveur RADIUS
en la chiffrant avec la cl.
7)
RADIUS.
8)
serveur RADIUS.
9)
12)
Echange de donnes.
2010-2011
Page 39
IAS
(Internet
Authentification
Service)
est
le
service
2010-2011
Page 40
2010-2011
Page 41
particularit
de
TACACS+
par
rapport
aux
serveurs
des
paires
attributs-valeur.
La
RFC
2010-2011
ne
dfinit
Page 42
sintgr
tout
type
dinfrastructure
de
part
sa
libert
dimplmentation.
2.2.3- Kerberos
serveur Ks.
2010-2011
Page 43
Server) prend en charge les demandes daccs aux services des clients
dj authentifi. Lensemble des infrastructures serveur de Kerberos AS
et TGS est appel le centre de distribution de cls (KDC : Key
Distribution Center). Ils sont gnralement regroups sur le mme
serveur.
Dans Kerberos, tous les tiers doivent prouver leur identit : on utilise
des mcanismes dauthentification mutuelle. Le Protocole est bas sur des
tickets horodats et chiffrs. Les changes reposent sur un systme de
cryptographie (algorithme DES) base de cls symtriques.
Kerberos partage avec chaque client du rseau une cl secrte faisant
office de preuve didentit.
Le client dsire accder au serveur pour obtenir un service. Ce
serveur est reprsent dans la figure 2.7 par lApplication Server.
AS_ REQ : le client sidentifie auprs de lAS laide dun
Une
mot
de
passe
temporaire
pour
chiffrer
les
communications
suivantes.
Un
2010-2011
Page 44
Le TGS :
Dchiffre
alors
les
informations
que
le
client
avait
Kc,TGS.
envoie
AP_REQ
au
serveur
dapplication
deux
informations :
Un
Le
2010-2011
Page 45
transit des mots de passe sur le rseau est chiffr. Il permet aux
utilisateurs de sauthentifier une fois pour toutes lors du login. Ils pourront
aprs utiliser tous les services daccs distance sans avoir fournir
chaque fois leur login et mot de passe. Ils sont en fait toujours
authentifis de manire transparente par Kerberos pour eux.
Sparation
dans la ralit, ces deux rles sont regroups en une mme entit (KDC).
Impossible
(grce au timestamps).
Les
Le
et le client.
Les
change entre lAS et le client. Le client ne peut pas certifier que lAS et
bien celui quil prtend tre.
En revanche, le client
dfaut dans
2010-2011
Page 46
2010-2011
Page 47
3 cls USB-WIFI, pour les tester comme des clients WiFi (laptops)
Les cbles -paires torsades- dont nous avons fait des cbles directs
Au niveau de ladministration
2010-2011
Page 48
Lancer un navigateur
2010-2011
Page 49
2010-2011
Page 50
2010-2011
Page 51
2010-2011
Page 52
2010-2011
Page 53
2010-2011
Page 54
2010-2011
Page 55
2010-2011
Page 56
2010-2011
Page 57
2010-2011
Page 58
2010-2011
Page 59
2010-2011
Page 60
cryptographiquement ,
il
leur
envoie
alors
son
certificat
2010-2011
Page 61
2010-2011
Page 62
troisime tape :
2010-2011
Page 63
comme
EAP-TLS,
exigent
que
l'utilisateur
doive
2010-2011
Page 64
2010-2011
Page 65
2010-2011
Page 66
2010-2011
Page 67
2010-2011
Page 68
2010-2011
Page 69
2010-2011
Page 70
Conclusion
Pour proposer un bon mcanisme de scurit dun WiFi, comme
solution contre les points faibles dont souffre un rseau acadmique,
il
nous a fallu penser une issue qui sadapte avec larchitecture du rseau
existant, tout en tenant compte de la durabilit, lvolution et la fiabilit
de cette solution, assez bien en termes techniques que conomiques. Pour
cela, nous avons pens mettre en place un serveur Radius, pour
scuriser notre
2010-2011
Page 71
2010-2011
Page 72
Glossaire
A.
AAA
ADSL
ARAP
ARP
AS
Authentication Server
b.
C.
CA
Certificate authority
CHAP
CSMA/CA
D.
DES
DHCP
E.
EAP
EAP-AKA
EAP-TLS
EAP-TTLS
F.
FTP
G.
GPRS
GPS
GSM
H.
HTTP
I.
IAS
IEEE
IETF
IP
Internet Protocol
ISO
International Organization of
Standardisation
J.
K.
KDC
L.
LDAP
LEAP
LLS
2010-2011
Page 73
MD5
Message Digest 5
MITM
MSCHAP
N.
NAS
NPS
O.
OSI
P.
PAP
PCMCIA
PIN
POP3
PPP
PPPoE
Q.
R.
RADIUS
RJ45
RTC
S.
SSH
Secure Shell
SSID
T.
TACACS
TGS
U.
UDP
UMTS
USB
V.
VPN
W.
WAP
WiFi
Wireless Fidelity
WLAN
WPA
X.
Y.
Z.
2010-2011
Page 74
Webographie
http://www.google.tn
http://www.supcom.mincom.tn/
http://fr.wikipedia.org
http://fr.wikipedia.org/w/index.php?title=Sp%C3%A9cial:Recherche&search=
Clear+Enterprise+Server%E2%84%A2+5.6&ns0=1&redirs=0
http://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
http://fr.wikipedia.org/wiki/Arp
http://fr.wikipedia.org/wiki/Man-in-the-middle
http://fr.wikipedia.org/wiki/RADIUS_(informatique)
http://www.commentcamarche.net
http://www.faqword.com
http://www.google.com/language_tools?hl=fr
http://www.gaudry.be/kerberos.html
http://forum.pcastuces.com
http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf
http://wareseeker.com/Security-Privacy/clearbox-enterprise-radius-server5.6.zip/7f2b5c856
http://www.01net.com
http://www.clubic.com/forum/reseaux-WiFi-lan/serveur-radius-sur-windows-7-id777036page1.html
http://www.cnam.nat.tn/e-cnam/pages/
http://www.commentcamarche.net/contents/authentification/radius.php3
http://www.infos-du-net.com/forum/285970-8-attaque-WiFi
http://www.supcom.mincom.tn/
http://www.xperiencetech.com/radius_manual/realmlogger.html
http://ettercap.sourceforge.net/
http://forums.cnetfrance.fr/topic/166226-probleme-radius-WiFi/
http://freeradius.org/
2010-2011
Page 75