Authentification Dans Les Réseaux Wifi Par Le Protocole Radius PDF

Thme :
Authentification dans les Rseaux Wifi par

le protocole radius
Ralis par :
Ften RIDENE Epse RAISSI & Adel RAISSI
Universit Virtuelle de Tunis
PROJET DE FIN DETUDES

En vue de lobtention du titre de
Licence Applique en Sciences et Techniques de

lInformation et des Communications
Encadr par :
Mr Mohamed HAMDI
Devant le Jury compos de :
Anne Universitaire:
2010/2011
Ddicaces
Remerciements
Table des matires
Table des Figures
Avant-propos
Introduction Gnrale
Prsentation de ltablissement daccueil
Etude gnrale sur la scurit des rseaux Wifi
Protocoles dauthentification pour les rseaux Wifi
Etude de cas
Conclusion
Glossaire
Webographie
Ddicace de Ften RIDENE

Epse RAISSI :
* Mon cher papa MESKA : Que Dieu
bnisse son me et lamne au Paradis
* Ma chre maman SOUSOU
* Mon mari et binme : ADEL
* Toute ma belle famille RAISSI
* SAMSOUMI, RANNOUNTI, NOUNOU
* Tous ceux qui maiment et que jaime
Je ddie ce modeste travail
ii
Ddicace de Adel RAISSI :

* Mon cher pre Med SALAH
* Ma chre mre ZOUHAIRA
* Mes frres et surs
* Ma chre femme et binme : Ften
* Toute ma belle famille RIDENE
* Sada, Fayal, Azzedine et Hammond
* Toua(te)s mes collgues L-SAT NOKIA
Spcialement SAMER
* Tous ceux qui maiment et que jaime
Je ddie ce modeste travail
iii
Nous soussigns, le binme ralisant ce Projet de Fin dEtudes :

Ften RIDENE Epse RAISSI et Adel RAISSI, tudiants en LASTIC3,
que nous tenons fortement remercier tous ceux qui nous ont aid
avoir cette chre et honorable occasion pour approfondir notre
niveau de connaissance au domaine de la scurit des rseaux, nous
facilitant ainsi la prise en charge dun cas rel, ayant le but
dauthentifier et de scuriser un rseau.
Nous remercions donc, tous ceux qui nous ont aids, en particulier :
* UVT qui nous a attribu cette honorable chance
* Notre encadreur : Monsieur Mohamed HAMDI
* Tous nos collgues qui nont pargn aucun effort pour nous
aider, savoir nos collgues SupCom et L-SAT NOKIA, vu que
leurs remarques et leurs consignes ont t pour nous dun grand
apport.
*LEcole Suprieure des Communications de Tunis : SupCom, et
lInstitut Suprieur des Etudes Technologiques en Communications
de Tunis : ISETCOM, dont les suprieurs nous ont fourni le lieu de
travail ncessaire et le matriel dont nous avons besoin, pour bien
russir la ralisation de notre Projet de Fin dEtudes dans les plus
confortables conditions.
* Enfin nos meilleurs et vifs remerciements sadressent aux
membres du jury pour avoir accept dvaluer ce projet.
Ften RIDENE et Adel RAISSI
iv
Cre en 1998, et place sous la double tutelle du Ministre de

l'Enseignement Suprieur et de la Recherche Scientifique (Universit de
Carthage) et du Ministre de lIndustrie et de la Technologie (Secrtariat
d'Etat des Technologies de la Communication), membre du
Rseau
Mditerranen des Ecoles d'Ingnieurs, admise la Confrence des

Grandes Ecoles (CGE), au mois de dcembre 2008 en tant que membre
associ, premire cole associe de lInstitut Tlcom linternational,
Sup'Com est une cole d'ingnieurs qui a pour vocations :
La formation d'ingnieurs de haut niveau scientifique et
technique, aptes concevoir, mettre en ouvre et grer les services, les

systmes et les rseaux de tlcommunications.
La contribution l'effort national relatif la recherche
scientifique et technologique dans le domaine des technologies de

l'information et la communication (TIC).
La formation continue ou qualifiante des cadres suprieurs
dans le domaine des TIC.
Etablissement daccueil : SupCom
Licence Applique en Sciences et Techniques dInformation et de Communication
Table des matires

Liste des Figures .......................................................................................................................... 3
Avant Propos.................................................................................................................................. 5
Introduction Gnrale ............................................................................................................ 6
CHAPITRE 0 : Prsentation de l'tablissement d'accueil ................................... 9
0.1- Infrastructure sans fils de l'Universit SupCom : ........................................................................ 9
CHAPITRE 1 : Etude Gnrale sur la scurit des Rseaux WiFi .................. 11
1.1-Faiblesses des rseaux WiFi : .................................................................................. 11
1.2- Attaques possibles contre les rseaux WIFI :................................................ 11
1.2.1-Lintrusion rseaux : ............................................................................................................. 11
1.2.2-Le Wardriving : ..................................................................................................................... 12
1.2.3- Les risque sur un rseau WiFi.............................................................................................. 13
1.3-Exemple dune attaque sur les rseaux WiFi : ARP Spoofing .................. 14
1.3.1-Quest ce quune attaque par man in the middle ?........................................................ 15
1.3.2- Usurpation de ladresse MAC .............................................................................................. 17
1.4-Les mcanismes de la scurit disponibles pour les rseaux WiFi ...... 26
1.4.1-Aspects de base de la scurit des rseaux : ....................................................................... 26
1.4.2-Dfinition de lAuthentification ........................................................................................... 27
Conclusion ................................................................................................................................ 30
Chapitre 2 : Protocoles dauthentification pour les rseaux WiFi............ 31
2.1-Solutions potentielles :............................................................................................. 31
2.1.1- PAP ...................................................................................................................................... 31
2.1.2- CHAP .................................................................................................................................... 32
2.1.3- MS-CHAP ............................................................................................................................. 33
2.1.4- EAP ...................................................................................................................................... 36
2.2- Services dauthentification applicatifs ......................................................... 37
2.2.1 RADIUS................................................................................................................................... 37
2.2.2- TACACS+ .............................................................................................................................. 41
2.2.3- Kerberos .............................................................................................................................. 43
Chapitre 3 : Etude de cas ....................................................................................................... 48
3.1- Architecture de la solution propose : .......................................................... 48
Ften RIDENE & Adel RAISSI
Authentification dans les Rseaux Wifi
2010-2011
Page 1

3.1.1- Rseau WiFi de SupCom :................................................................................................... 48
3.1.2-Pr-requis ............................................................................................................................. 49
3.1.3- Actions ................................................................................................................................. 49
3.1.4- Utilisations possibles ? ........................................................................................................ 49
3.2- Description du rseau de test : ............................................................................. 50
3.2.1- Configuration du point daccs WiFi : ................................................................................. 50
3.2.2- Configuration du serveur Radius : ....................................................................................... 53
Conclusion .................................................................................................................................... 71
Glossaire ........................................................................................................................................ 73
Webographie ................................................................................................................................. 75
2010-2011
Page 2
Liste des Figures

FIGURE 0.1 : PLAN DU RESEAU WIFI FAISANT PARTIE DU RESEAU SUPCOM ............................................................................ 9
FIGURE 1.1 : WAR-CHALKING ...................................................................................................................................... 12
FIGURE 1.2 : RESEAU WIFI AVANT USURPATION.............................................................................................................. 16
FIGURE 1.3 : RESEAU WIFI APRES USURPATION ATTAQUE MAN IN THE MIDDLE : MITM ............................................ 16
FIGURE 1.4 : ARP AVANT LATTAQUE.............................................................................................................................. 18
FIGURE 1.5 : MAC REELLE DE LATTAQUANT .................................................................................................................... 18
FIGURE 1.6 : UNIFIED SNIFFING .................................................................................................................................... 19
FIGURE 1.7: CARTE WIFI ATTAQUANTE .......................................................................................................................... 19
FIGURE1.8 : MAC DE LATTAQUANT QUI SERA MODIFIEE.................................................................................................... 20
FIGURE 1.9 : DETECTION DES HOTES CONNECTEES POUR EN CHOISIR LA VICTIME .................................................................... 20
FIGURE 1. 10 : TARGET 1 ............................................................................................................................................ 21
FIGURE 1. 11 : TARGET 2 ............................................................................................................................................ 21
FIGURE 1.12.1 : CURRENT TARGETS.............................................................................................................................. 22
FIGURE 1 .12.2: CURRENT TARGETS .............................................................................................................................. 22
FIGURE 1.13 : ARP POISONNING................................................................................................................................... 23
FIGURE 1.14: CHOIX DE LATTAQUE............................................................................................................................... 23
FIGURE 1.15 : START SNIFFING .................................................................................................................................... 24
FIGURE 1.16 : CHK_POISON SUCCESSFULL ................................................................................................................ 24
FIGURE 1.17 :LADRESSE MAC DU POINT DACCES ATTRIBUEE A LATTAQUANT...................................................................... 25
FIGURE 1.18 : CHIFFREMENT ....................................................................................................................................... 28
FIGURE2.1 : LES 2 ETAPES D'AUTHENTIFICATION DU PROTOCOLE PAP.................................................................................. 32
FIGURE 2.2 : LES 3 ETAPES D'AUTHENTIFICATION DU PROTOCOLE CHAP ............................................................................... 33
FIGURE 2.3 : RADIUS : EAP-TLS ................................................................................................................................ 38
FIGURE 2.4.1 : UNE DES ARCHITECTURES SUPPORTEES PAR TACACS ................................................................................... 41
FIGURE 2.4.2: TERMINAL ACCESS CONTROLLER ACCESS CONTROL SYSTEM PLUS ................................................................... 42
FIGURE 2.5 : ETAPES DAUTHENTIFICATION KERBEROS ................................................................................................... 43
FIGURE 3.1 : PARAMETRAGE DU POINT DACCES .............................................................................................................. 51
FIGURE 3.2 : PARAMETRAGE DE LADRESSAGE IP ............................................................................................................. 51
FIGURE 3.3 : PARAMETRAGE 802.1X ............................................................................................................................ 52
FIGURE 3.4 : CONFIGURATION RADIUS A TRAVERS SON WIZARD ......................................................................................... 53
FIGURE 3.5 : AJOUT DU POINT DACCES WIFI SUR CLEARBOX ............................................................................................. 54
FIGURE 3.6 : CHOIX DES PROTOCOLES DAUTHENTIFICATION AUTORISES ............................................................................... 55
FIGURE 3.7 CHOIX DU TYPE DE BASE DE DONNEES ............................................................................................................ 56
FIGURE 3.8 LISTE DES ADRESSES MAC DEJA CONFIGUREES ................................................................................................... 57
FIGURE 3.9 AJOUT DUN NOUVEL UTILISATEUR ................................................................................................................. 57
FIGURE 3.10 : AJOUT DE LADRESSE MAC (ID UNIQUE DU CLIENT)....................................................................................... 58
FIGURE 3.11 : CREATION DU CERTIFICAT SERVEUR ............................................................................................................ 58
FIGURE 3.12 : INSERTION DES INFORMATIONS DU SERVEUR ............................................................................................... 59
FIGURE 3.13 : INSERTION DES INFORMATIONS DE LOCALISATION DU SERVEUR........................................................................ 59
FIGURE 3.14 : SAUVEGARDE DU CERTIFICAT .................................................................................................................... 60
FIGURE 3.15 : SUCCES DE CREATION DU CERTIFICAT DU SERVEUR ........................................................................................ 60
FIGURE 3.16 SUCCES DE CREATION DU CERTIFICAT DU SERVEUR .......................................................................................... 61
FIGURE 3.17 : CREATION DE DEMANDE DE CERTIFICAT SERVEUR.......................................................................................... 62
FIGURE 3.18 : ENREGISTREMENT DE DEMANDE DE SIGNATURE DU CERTIFICAT ........................................................................ 62
FIGURE 3.19 : SUCCES DE LENREGISTREMENT DE LA DEMANDE DE SIGNATURE DU CERTIFICAT .................................................. 63
FIGURE 3.20 : 3EME ETAPE DE CERTIFICATION ................................................................................................................. 63
FIGURE 3.21 : SELECTION DU CHEMIN DU CERTIFICAT ET DE LA CLE ...................................................................................... 64
2010-2011
Page 3

FIGURE 3.22 : CREATION DE CERTIFICAT CLIENT ............................................................................................................... 65
FIGURE 3.23 : INSERTION DES INFORMATIONS DU CLIENT................................................................................................... 66
FIGURE 3.24 : ENREGISTREMENT DU CERTIFICAT CLIENT .................................................................................................... 66
FIGURE 3.25.1 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 67
FIGURE 3.26 : DETECTION DE NOTRE POINT DACCES......................................................................................................... 69
FIGURE 3.27 : NOTIFICATION POUR AUTHENTIFICATION A NOTRE POINT DACCES .................................................................... 70
FIGURE 3.28 : AUTHENTIFICATION DUN UTILISATEUR ....................................................................................................... 70
2010-2011
Page 4
Avant Propos
Dans le cadre de lobtention du certificat de la
Sciences de lInformation et de Communication,

Virtuelle de Tunis, nous tions appels raliser
Licence Applique en
au sein de
lUniversit
un projet de fin dtudes,
dans un milieu industriel, dans notre cas, nous tions accueillis par un
tablissement acadmique : lEcole Suprieure des Communications de
Tunis :
SupCom,
situe au Technople EL GHAZELA. Notre projet a dur
quatre mois : de Mars Juin 2011.

Dans ce contexte, se situe le prsent travail, qui consiste authentifier
et scuriser laccs un rseau WiFi, et ce travers le protocole
dauthentification RADIUS.
Le travail consiste
mettre en place un rseau sans fils, qui doit
respecter les normes de scurit, dans le but de minimiser le risque

dattaques, en garantissant lauthentification et lidentification des utilisateurs
grce au protocole RADIUS.
Ce projet nous a t dune grande utilit, vu quil nous a permis de :
Nous familiariser sur le plan pratique avec les diffrentes tches et

oprations effectues, afin de scuriser un rseau sans fils dans le cadre
acadmique.
Avoir une ide sur la mthode adquate de maintenir un rseau sans fil
en scurit, vitant ainsi -grce des systmes et des protocoles bien
dtermins- toute tentative illgale daccs ou de modification des bases
de donnes prives et secrtes des clients authentifis (tudiants,
enseignants, services technique et administratif, visiteurs).
2010-2011
Page 5
Introduction Gnrale
Dans lobjectif de garantir une meilleure accessibilit aux services
rseau, plusieurs architectures de communication modernes ont privilgi
labandon des cbles de transmission au profit des liaisons radio. Ces
liaisons peuvent tre soit du type infrarouge, Bluetooth ou Hertziennes.
Nous parlons donc des liaisons sans fils, qui ont pris une grande
ampleur avec lapparition de concentrateurs qui permettent de connecter
simultanment plusieurs nuds entre eux. Il peut s'agir dordinateurs,
d'imprimantes, de terminaux GSM ou de priphriques divers. Les liens
radio sont mme utiliss pour interconnecter des rseaux. A lchelle dun
rseau local, lutilisation de lair libre comme support de transmission,
consiste au dploiement des rseaux WiFi, rgis par les normes IEEE
802.11.
Les technologies dites sans fils , la norme 802.11g en particulier,
facilitent et rduisent le cot de connexion pour les rseaux de grandes
tailles. Avec peu de matriel et un peu d'organisation, de grandes
quantits
d'informations
peuvent
maintenant
circuler
sur
plusieurs
centaines de mtres, sans avoir recours une compagnie de tlphone ou

decblage.
La mise en uvre des rseaux sans fils est facile, mais la scurit
des donnes qui y sont transmises nest pas toujours assure. Ceci est d,
en grande partie, aux vulnrabilits intrinsques du lieu radio.
Une attaque -qui a pour but d'intercepter les communications sans
fils entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que
le canal de communication entre elles a t compromis- peut avoir lieu si
le canal nest pas scuris. L'attaquant est alors capable d'observer,
d'intercepter et de modifier les messages d'une victime l'autre. Son
intrusion est facilement possible, quand le rseau en question nest pas
assez scuris dautant plus facile que laccs au rseau ouvert. Cet
utilisateur malveillant peut accder au rseau sans fils quil attaque, tout
en utilisant une fausse identit. Il peut par exemple, modifier un message
2010-2011
Page 6

M partant dun expditeur X au destinataire Y selon lattaque dite MAN IN
THE MIDDLE, qui lui permet de remplacer le message M par un autre
message M aprs lavoir modifi, sans que X et Y ne sen rendent compte.
Ce type dattaque, et plusieurs autres, dont notamment le vol des
informations du type proprits intellectuelles, le dni de service et
lUsurpation dIdentit, nous ont appels tudier ces vulnrabilits
dauthentification des rseaux WiFi, et trouver des solutions potentielles,
bases sur les protocoles dauthentification, en prenant Radius comme
solution adquate.
RADIUS (Remote Authentification Dial-In User Service), est un
protocole
client-serveur,
permettant
de
centraliser
des
donnes
d'authentification. L'opration d'authentification est initie par un client du

service RADIUS, qui est dans notre cas un point d'accs rseau sans fils.
Le poste utilisateur
transmet une requte d'accs un client RADIUS
pour entrer sur le rseau. Ce client (ou point daccs) se charge de

demander les informations identifiant l'utilisateur, qui seront dans notre
cas : le nom d'utilisateur (login), le mot de passe et ladresse Mac de la
carte rseau WiFi, travers laquelle, un tudiant, un personnel, ou mme
un visiteur passager de SupCom, pourra se connecter.
Pour raliser ce projet, nous avons commenc par effectuer des
recherches, pour tudier :
Les faiblesses des rseaux WiFi, et notamment les possibilits
techniques de se connecter sous une fausse identit.
Les
types
dattaques
qui
peuvent
avoir
lieu
dans
un
environnement acadmique.
Les mcanismes de protection existants- des rseaux WiFi, et
leur efficacit par rapport aux attaques visant lauthentification.

Aprs avoir effectu ces recherches, et pour pouvoir choisir le
protocole dauthentification qui conviendra nos besoins, nous avons
effectu :
2010-2011
Page 7
Une tude comparative des protocoles dauthentification pour
les rseaux WiFi.
Une
revue
des
services
dauthentification
applicatifs
disponibles pour les rseaux WiFi.

Sur la base de cette tude, nous avions propos une architecture qui
permet de subvenir aux besoins de SupCom, en termes de protection
contre lusurpation didentit.
Le cot de la solution, en termes deffort de dploiement, a t aussi
pris en compte, lors de la conception de cette architecture.
Enfin, pour que cette tude thorique soit value, nous avons
effectu les tapes suivantes :
La mise en place dun rseau de test, qui permet de simuler
lenvironnement rel.
Lvaluation des performances de la solution propose.
2010-2011
Page 8
CHAPITRE 0 : Prsentation de l'tablissement d'accueil

0.1- Infrastructure sans fils de l'Universit SupCom :
Lusage du rseau WiFi lEcole Suprieure des Communications de
Tunis (SupCom), requiert une validation d'identit base sur l'identifiant
et le mot de passe de l'utilisateur : tudiant, membre du personnel de
l'Universit ou visiteur : dans ce dernier cas, il est ncessaire de connecter
ce rseau une personne extrieure (ne disposant donc pas d'un
identifiant) et pour laquelle, nous allons crer un compte temporaire.
SupCom se dote dj d'une infrastructure sans fils couvrant trs
largement les sites de l'Institution. Cette infrastructure doit permettre aux
personnes disposant dordinateurs portables, de se dplacer dans les
locaux de SupCom, tout en conservant une connexion rseau avec les
facilits qui y sont associes (mail, accs internet, ...).
Figure 0.1 : Plan du rseau WiFi faisant partie du rseau SupCom
Lutilisation de cette infrastructure est autorise pendant toute

lanne universitaire, mais les examens de Travaux Pratiques et de
Travaux Dirigs, sont obligatoirement passs sur des PCs de bureau,
2010-2011
Page 9

utilisant une connexion cble, qui assure plus de performance et plus de
fiabilit.
Actuellement, tous les postes quips de carte WiFi supportant les
normes 802.11b ou 802.11g doivent pouvoir se connecter. Les avantages
de cette connexion sont notoires: toute activit sur le rseau WiFi de
SupCom est chiffre (crypte). Pour mieux la scuriser, nous pouvons
rendre
cette
d'identit).
connexion
Ceci
authentifie
limitera
donc,
et
chiffre
(pas
considrablement,
d'usurpation
les
risques
despionnage : lutilisateur ouvre son navigateur web, et tente d'accder

une page de son choix. Il reoit
alors immdiatement une demande
d'authentification et doit fournir son identifiant et son mot de passe, et

obtiendra ainsi l'accs au rseau.
Cest donc pour proposer dapprofondir le niveau de scurit du
rseau WiFi, que nous avons effectu ce projet de fin dtudes, visant sur
le fait de trouver des solutions potentielles dauthentification, et ce en
tudiant les diffrents types dattaques possibles et en cherchant la
solution adquate.
2010-2011
Page 10
CHAPITRE 1 : Etude Gnrale sur la scurit des

Rseaux WiFi
1.1-Faiblesses des rseaux WiFi :
Les ondes radiolectriques ont intrinsquement une grande capacit
de se propager dans toutes les directions avec une porte relativement
grande. Il est ainsi trs difficile darriver confiner les missions dondes
radio dans un primtre restreint. Ainsi les ondes se propagent galement
dun tage un autre (avec de plus grandes attnuations). La principale
consquence de cette propagation incontrle des ondes radio, se rsume
dans la facilit que peut avoir une personne non-autorise dcouter le
rseau, ventuellement en dehors de lenceinte du btiment o le rseau
sans fils est dploy.
Cest l o le bt blesse, quun rseau sans fils peut tre trs bien
install : dans une entreprise par exemple, sans que cela ne soit
explicitement autoris par les administrateurs ! En effet, il suffit un
employ de brancher un point daccs sur une prise rseau pour que
toutes les communications du dit rseau soient rendues publiques
dans le rayon de couverture du point daccs.
1.2- Attaques possibles contre les rseaux WIFI :

1.2.1-Lintrusion rseaux :
Lorsquun point daccs est install sur le rseau local, il permet aux
stations daccder au rseau
filaire et ventuellement Internet si le
rseau local y est reli. Un rseau sans fils, non-scuris, reprsente de

cette faon un point dentre royal pour le pirate au rseau interne dune
entreprise
ou
dune
organisation.
Outre
le
vol
ou
la
destruction
dinformations prsentes sur le rseau et laccs internet gratuit pour le

pirate, le rseau sans fils peut galement reprsenter une aubaine pour ce
dernier dans le but de mener des attaques sur Internet.
2010-2011
Page 11

En effet, tant donn quil ny a aucun moyen didentifier le pirate sur
le rseau, lentreprise -ayant install le rseau sans fils- risque dtre
tenue responsable de lattaque.
1.2.2-Le Wardriving :
Etant donn quil est trs facile de raliser des coutes sur les
rseaux sans fils, une pratique simple consiste circuler dans la ville avec
un ordinateur portable (voire un assistant personnel) quip dune carte
rseau sans fils, il sagit du war-driving. Des logiciels spcialiss dans ce
type dactivit, permettant mme dtablir une cartographie trs prcise
en exploitant un matriel de go-localisation (GPS= Global Positionning
System).
Les cartes tablies permettent ainsi de mettre en vidence les
rseaux sans fils dploys non scuriss, offrant mme parfois un accs
internet ! De nombreux sites capitalisant ces informations ont vu le jour
sur internet, si bien que des tudiants londoniens ont eu lide dinventer
un langage des signes , dont le but est de rendre visibles les rseaux
sans fils en dessinant mme le trottoir des symboles la craie indiquant
la prsence dun rseau WiFi, il sagit du war-chalking (francis en
craieFiti ou craie-fiti). Deux demi-cercles opposs dsignent ainsi un
rseau ouvert offrant un accs Internet, un rond signale la prsence
dun rseau sans fils ouvert sans accs un rseau filaire et enfin un W
encercl met en vidence la prsence dun rseau sans fils correctement
scuris.
Figure 1.1 : War-Chalking

2010-2011
Page 12

1.2.3- Les risque sur un rseau WiFi
Les risques lis la mauvaise protection dun rseau sans fils sont
multiples :
Linterception
de
donnes,
consistant
couter
les
transmissions des diffrents utilisateurs du rseau sans fils.
Le dtournement de la connexion, dont le but est dobtenir
laccs un rseau local ou internet.
Le brouillage des transmissions, consistant mettre des
signaux radio de telle manire produire des interfrences.
Les dnis de service rendant le rseau inutilisable en envoyant
des commandes factices.

Toutes ces menaces sont expliques ci-dessous.
1.2.3.1-Linterception des donnes :
Par dfaut un rseau sans fils est non scuris, cest--dire quil est
ouvert tous et que toute personne se trouvant dans le rayon de porte
dun point daccs peut potentiellement couter toutes les communications
circulant sur le rseau. Pour un particulier la menace est faible car les
donnes sont rarement confidentielles, si ce ne sont pas les donnes
caractres personnel. Pour une entreprise en revanche, lenjeu stratgique
peut tre trs important.
1.2.3.2-Le brouillage radio :
Les ondes radio sont trs sensibles aux interfrences, cest la raison
pour laquelle un signal peut facilement tre brouill par une mission
radio, ayant une frquence proche de celle utilise dans le rseau sans
fils. Un simple four micro-ondes peut ainsi rendre totalement inoprable
un rseau sans fils lorsquil fonctionne dans le rayon daction dun point
daccs.
2010-2011
Page 13

1.2.3.3-Le dni de service :
La mthode daccs au rseau de la norme 802.11 est base sur le
protocole CSMA/CA, consistant attendre que le rseau soit libre avant
dmettre. Une fois la connexion tablie, une station doit sassocier un
point daccs afin de pouvoir lui envoyer des paquets. Ainsi, les mthodes
daccs au rseau et dassociation tant connues, il est simple pour un
pirate denvoyer des paquets demandant la dissociation de la station. Il
sagit dun dni de service, cest--dire envoyer des informations de telle
manire perturber volontairement le fonctionnement du rseau sans fils.
Dautre part, la connexion des rseaux sans fils est consommatrice
dnergie. Mme si les priphriques sans fils sont dots de fonctionnalits
leur permettant dconomiser le maximum dnergie, un pirate peut
ventuellement envoyer un grand nombre de donnes (chiffres) une
machine de telle manire la surcharger. En effet, un grand nombre de
priphriques
portables
(assistant
digital
personnel,
ordinateur
portable,) possdent une autonomie limite, cest pourquoi un pirate

peut vouloir provoquer une surconsommation dnergie de telle manire
rendre lappareil temporairement inutilisable, cest ce que lon appelle un
dni de service sur batterie. Dautres techniques peuvent bien mener au
mme rsultat.
1.3-Exemple dune attaque sur les rseaux WiFi : ARP Spoofing

Ettercap est une suite doutils dont le but principal est deffectuer des
attaques par Man In The Middle sur un rseau local. Il peut tre utilis
comme une invite de commandes ou tout en tant une interface
graphique. Une fois plac, il permet de :
Infecter, remplacer et supprimer des donnes dans une
connexion.
Dcouvrir des mots de passe pour des protocoles comme
FTP, http, POP3, SSH1,
2010-2011
Page 14

Fournir aux victimes de faux certificats SSL dans des
sessions HTTPS.
Etc.
Des plugins sont aussi disponibles pour des attaques comme le DNS
Spoofing (usurpation DNS).
1.3.1-Quest ce quune attaque par man in the middle ?
Cest un type dattaque, lors de laquelle, un pirate place sa machine
sur le chemin logique entre deux autres machines quil veut attaquer. Une
fois dans cette position, il peut alors lancer un grand nombre dattaques,
particulirement dangereuses.
Il y a plusieurs types dattaques pour devenir man in the middle .
Nous allons voir dans cette partie du chapitre, des attaques bases sur le
protocole ARP.
Le protocole ARP est utilis pour traduire des adresses IP (ex :
172.16.112.74) en adresses physiques de carte rseau, autrement dites :
adresse MAC (ex : 00-30-4f-54-40-a7). Quand un quipement essaye
daccder une ressource rseau, il va dabord envoyer des requtes vers
les autres quipements, pour connatre ladresse MAC qui est associe
avec ladresse IP quil veut atteindre. Cet quipement va garder
lassociation IP MAC, comme adresse dans son cache (le cache ARP), et
ce pour acclrer de nouvelles connexions vers cette mme adresse IP.
Lattaque survient, quand une machine demande aux autres, de
trouver ladresse MAC associe une adresse IP. Le pirate va alors
rpondre au demandeur avec des paquets, indiquant que ladresse IP est
associe sa propre adresse MAC. Par ce biais, il va court-circuiter la
vraie rponse dassociation IPMAC venant dune autre hte. Cette
attaque est rfrence en tant quUsurpation ARP (ARP poisoning ou ARP
Spoofing). Elle nest possible que si le pirate et les victimes sont
lintrieur du mme domaine de broadcast qui est dfini au niveau dune
hte par une adresse IP et un masque de sous rseau, dans notre cas :
2010-2011
Page 15

172.16.112.70
(ladresse
du
point
daccs)
remplacera
ladresse
172.16.112.75 (ladresse de la machine attaquante ou pirate), sachant

que le masque de sous rseau est : 255.255.0.0.
Dans notre projet, nous avons appliqu cette attaque -schmatise ci
dessous- o une machine avec ladresse IP 172.16.112.75, atteint des
ressources Internet partir dun rseau local. Aprs lusurpation ARP, la
machine, effectuant lattaque par Ettercap, sera place en tant que man
in the middle , mettant la machine 172.16.112.72 comme victime
dUsurpation.
Figure 1.2 : Rseau WiFi avant Usurpation

Il est bon de rappeler les informations propos du comportement de la
machine Ettercap aprs ce schma :
Figure 1.3 : Rseau WiFi aprs Usurpation Attaque Man In The Middle : MITM
2010-2011
Page 16

Chaque fois quEttercap dmarre, il dsactive la redirection IP
(IP
forwarding) dans le noyau, et commence lui-mme rediriger des

paquets. Il peut ralentir les performances rseaux entre les deux htes en
raison du temps de traitement sur sa machine.
Ettercap a besoin des privilges root, pour ouvrir les sockets de la
couche liaison de donnes LLS (Link Layer Sockets). Aprs la phase
dinitialisation, les privilges root ne sont plus ncessaires, Ettercap les
modifie en no body. Si Ettercap doit crire ou crer des fichiers journaux
(log files), il doit tre excut dans un dossier avec les permissions
appropries.
Ainsi, le but de notre dmonstration dEttercap dans ce chapitre, tait
de montrer le danger des attaques man in the middle par Usurpation
ARP. Nous allons maintenant montrer des exemples dattaques ralises
avec Ettercap. Et enfin, nous profiterons de quelques contre-mesures,
inventes pour lutter contre ces attaques par usurpation ARP.
1.3.2- Usurpation de ladresse MAC
Avant deffectuer lattaque, nous avons lanc la commande arp-a, et

nous
avons
trouv
que
ladresse
IP
du
poste
attaquant est:
172.16.112.75. Cest cette adresse qui sera remplace par celle du point
daccs 172.16.112.70. Sachant que le serveur DHCP est configur pour
attribuer automatiquement des adresses IP entre 172.16.112.71 et
172.16.112.90.
La figure suivante, nous donne le rsultat de la commande arp a,

avant que lattaque ait lieu.
2010-2011
Page 17
Figure 1.4 : arp avant lattaque

Une fois lusurpation a eu lieu, nous allons la comparer en lanant la
commande arp-a, pour voir la diffrence.
Nous pouvons le vrifier aussi par la commande IP config qui
montre ladresse IP du PC attaquant et son adresse physique, avant
deffectuer lattaque, pour en dduire plutard la diffrence :
Figure 1.5 : Mac relle de lattaquant
2010-2011
Page 18

On trouve alors Ettercap en mode graphique, et depuis le menu
Sniff, on clique sur Unified sniffing
Figure 1.6 : Unified Sniffing

a mnera lapparition dune liste de choix pour slectionner la
carte rseau travers laquelle on se connecte (dans notre cas WiFi nous
allons slectionner la cl WiFi SAGEM, installe sur le poste du bureau
pour tester laccs sans fils.
Figure 1.7: Carte WiFi attaquante
2010-2011
Page 19

Ettercap nous affiche ainsi le rsultat suivant :
Figure1.8 : Mac de lattaquant qui sera modifie

On y trouve ladresse IP de la machine en question (lattaquant) et le
masque de sous-rseau, sur lequel elle est configure.
Et nous allons maintenant scanner le sous rseau pour dcouvrir des
htes en cliquant sur le menu Hosts puis sur Scan for hosts.
Figure 1.9 : Dtection des htes connectes pour en choisir la victime

Puis on clique sur le menu Hosts et le sous menu Hosts List : a
nous affichera la liste des adresses IP des machines dtectes sur la
mme plage dadresse. On en slectionnera la passerelle par dfaut (le
2010-2011
Page 20

point daccs ayant ladresse : 172.16.112.70) et on lajoute target1 en
cliquant sur Add to Target1, son adresse IP sera attribue au PC
attaquant pour remplacer la sienne.
Figure 1. 10 : Target 1
Puis
on
slectionne
la
machine
usurper
empoisonner) :
172.16.112.72 et on lajoute Target 2 en cliquant sur Add to Target 2
Figure 1. 11 : Target 2
N.B : Si on ne choisit aucune machine en cible (Target2), toutes les
machines lintrieur du sous-rseau seront usurpes.
Nous allons maintenant vrifier les cibles (Targets) en cliquant sur
le menu Target puis le sous menu : Current Targets.
2010-2011
Page 21
Figure 1.12.1 : Current Targets

Ca mnera au rsultat suivant :
Figure 1 .12.2: Current Targets

Et maintenant nous allons dmarrer lusurpation en cliquant sur le
menu Mitm puis sur le sous-menu Arp poisonning :
2010-2011
Page 22
Figure 1.13 : Arp poisonning

La fentre suivante apparatra alors, pour nous permettre de choisir
le type dattaque :
Figure 1.14: Choix de lattaque

On y slectionne sniff remote connections, et on excute le sniffer
pour collecter des statistiques en cliquant sur le menu Start et le sous
menu start sniffing.
2010-2011
Page 23
Figure 1.15 : Start Sniffing

Ca nous affiche ladresse physique du point daccs qui sera
attribue la machine attaquante pour remplacer la sienne et celle de la
victime avec son MAC aussi.
Enfin, en cliquant sur le menu Plugins puis sur chk_poison, a
nous confirmera que lusurpation a bien russi.
Figure 1.16 : Chk_poison successfull

On relance alors la commande arp a de nouveau, pour la comparer
avec celle quon a lance avant lattaque, et a nous donne le rsultat
suivant :
2010-2011
Page 24
Figure 1.17 :Ladresse MAC du point daccs attribue lattaquant

On en dduit donc, que ladresse MAC du point daccs, a t la
mme adresse MAC attribue au PC attaquant, dont ladresse IP est
172.16.112.73.
2010-2011
Page 25

1.4-Les mcanismes de la scurit disponibles pour les rseaux WiFi
1.4.1-Aspects de base de la scurit des rseaux :
La scurit dun systme dinformation consiste mettre en uvre
des protections permettant dassurer les trois proprits suivantes :
1.4.1.1-La confidentialit des donnes : (Protection contre lcriture non-autorise) :
Elle correspond la prvention de la divulgation non-autorise de
linformation.
Assurer la confidentialit, cest faire de sorte que les informations
soient inaccessibles ou incomprhensibles, pour des tiers qui ne possdent
pas les privilges requis.
1.4.1.2-Lintgrit des donnes (protection contre la modification) :
Assurer
lintgrit
des
donnes
consiste
la
prvention
de
modification non-autorise de linformation, par un utilisateur non autoris

le faire, que lopration soit ralise de manire intentionnelle ou non.
1.4.1.3-Disponibilit des services (Dtection dutilisation illgale) :
Laccs et lutilisation des services doivent toujours tre possibles
pour les personnes habilites le faire, dans le temps le plus bref, en
tenant
compte
des
ressources
du
systme.
Toute
utilisation
des
ressources, destine ralentir ou bloquer le systme, doit pouvoir tre

dtecte et contrecarr.1.4.2-Dfinition de lauthentification :
2010-2011
Page 26

1.4.2-Dfinition de lAuthentification
1.4.2.1-Au sens linguistique :
Nom
du
verbe
authentifier,
qui
veut
dire
certifier
la
vrit,
lexactitude de quelque chose.

1.4.2.2- Au sens rseaux de communication :
Lauthentification est une procdure qui consiste, pour un rseau de

communication, vrifier lidentit dune entit (personne, groupe,
ordinateur), afin dautoriser laccs de cette dernire des ressources
(systmes, rseaux, applications).
Lauthentification, dans son sens technologique, permet donc de
valider lauthenticit de lentit en question. Alors que lidentification
revient simplement soumettre une identit que lauthentification est
mme de prouver.
1.4.2.3- Fondement de lauthentification :
Au niveau dun rseau scuris, un utilisateur non-identifi ne doit

pas
pouvoir
se
connecter ;
on
doit
alors
utiliser
un
protocole
dauthentification pour lui vrifier lidentit des entits autorises utiliser

les ressources protges.
Scuriser le systme dinformation est de plus en plus difficile,
surtout lheure o le nombre dapplications et le degr douverture vers
lextrieur croissent.
Dfinir les entits autorises accder au systme dinformation
constitue lune des bases de la scurit. Une telle procdure, dite contrle
daccs, est troitement lie lauthentification dans la mesure o
lidentit des entits autorises doit tre vrifie afin de faire face aux
usurpateurs.
Lauthentification englobe souvent des concepts et des approches
diffrentes.
Il
plusieurs
moyens
dauthentification,
qui
sont
gnralement regroups en trois grandes catgories :
Ce que lon connat : un mot de passe, un code PIN
2010-2011
Page 27
Ce que lon a : une carte puce, un certificat
Ce que lon est : la biomtrie.
Lauthentification par mot de passe est utilise en grande majorit

dans les systmes scuriss, car elle est la plus simple mettre en place.
Nous verrons nanmoins les autres possibilits dauthentification et les
avantages.
Sachant que les services dfinissent lensemble
des oprations
accessibles par des protocoles, les services dauthentifications regroupent

donc lensemble des oprations pour sauthentifier, quel que soit le
protocole et quelle que soit la couche OSI.
1.4.2.3.1-Chiffrement :
Il implique un mcanisme de distribution de cls et participe

directement divers services : la confidentialit, lintgrit (en permettant
la dtection de la modification des donnes) et lauthentification (en
protgeant le systme contre les tentatives non autorises de connexion).
Il convient de distinguer le chiffrement de voie obtenu par la mise en
place de botes sur les lignes et en laissant les donnes en clair au
niveau des htes et des nuds du rseau.
Figure 1.18 : Chiffrement
Et le chiffrement de bout en bout ait lieu, en laissant en clair

uniquement les informations de routage. Le chiffrement peut tre
symtrique (DED : data encryption standard) ou asymtrique (RSA :
Rivest Shamir Adleman=algorithme de cryptographie)
2010-2011
Page 28

1.4.2.3.2-Echange dauthentification :
Lorsque les entits homologues et les moyens de communication sont

considrs
comme
srs,
lidentification
de
lentit
homologue
est
suffisante, elle peut tre obtenue par un mot de passe. Ce dernier est
efficace contre les erreurs mais pas contre les malveillances.
1.4.2.3.3-Signature avec ou sans notarisation :
Lorsque les identits se font mutuellement confiance, mais pas au

moyen de communication, il convient demployer une combinaison
demployer une combinaison de mot de passe +
chiffrement pour
sauthentifier mutuellement.
Lorsque
les
entits
nont
pas
confiance
aux
moyens
de
communication, les mcanismes de signature numrique deviennent trs

ncessaires. La notarisation amliore la scurit du systme, dans la
mesure o elles lassurent aux entits, grce un tiers : le notaire, auquel
elles se fient, lintgrit, lorigine, la date, la destination, des donnes.
Le
tiers,
doit
acqurir
les
informations
ncessaires,
par
des
communications protges, et doit aussi les conserver.

1.4.2.3.4-Le contrle daccs :
Il utilise lidentit authentifie des entits ou des informations fiables

pour dterminer leur droit daccs une ressource. Il peut enregistrer
sous forme de trace daudit et signaler toute tentative non autorise
daccs. Il peut mettre en jeu les listes maintenues par des centres ou par
lentit accde : des mots de passe, des jetons utiliss pour distribuer les
droits daccs, des certificats -dis libells -indiquant la sensibilit des
donnes.
1.4.2.3.5- Lintgrit :
Elle sobtient par lutilisation des codes de dtection derreur, des

codes de contrle cryptographique et de la numrotation des units de
donnes.
2010-2011
Page 29

1.4.2.3.6- Bourrage :
Dans certains cas, laccroissement du flux dinformation entre deux

entits, peut tre significatif pour un tiers. Pour sen protger, on effectue
un bourrage de voie. La ligne sera constamment utilise, entre 2
missions de messages dpourvus de sens.
Ces messages inutiles seront limins larrive. Ils devront tre
variables et non identifiables comme message de bourrage par un ennemi.
On utilisera pour cela 1 gnrateur de messages adquat.
1.4.2.3.7- Contrle de routage :
Ce sont les systmes extrmistes ou les rseaux peuvent tre
amens slectionner une route plus sre, aprs dtection dune attaque
persistante, ou pour tenir comte de la sensibilit des donnes.
Conclusion
Dans ce chapitre, nous avons prsent la problmatique essentielle
de notre projet, savoir la scurisation des rseaux WiFi, et ce en
prsentant un aperu gnral sur ce type de rseaux.
Nous avons aussi discut les attaques auxquelles ils sont sujets, en
prenant lUsurpation comme exemple.
Enfin, nous avons discut dune manire sommaire les solutions de
scurit qui sont aptes tre utilises, et ce en focalisant notre intrt sur
les solutions dauthentification au vu des caractristiques des systmes
WiFi.
Dans le chapitre suivant, nous proposerons donc une description
plus dtaille des solutions potentielles.
2010-2011
Page 30
Chapitre 2 : Protocoles dauthentification pour les

rseaux WiFi
2.1-Solutions potentielles :
Les protocoles ou les mcanismes dauthentification dcrits dans ce
chapitre, ont tout dabord t des protocoles de la deuxime couche du
model OSI (appele liaison), puisquils ont t initialiss par le Protocole
PPP qui permet louverture de session sur le rseau RTC. Actuellement, ils
sont galement utiliss dans la couche rseau grce au passage de PPP
PPPoA (over ATM) et PPPoE (over Ethernet) qui sont principalement
utiliss pour ouvrir des connexions ADSL.
Cependant, ces mcanismes sont les briques de nombreux serveurs
et applications dauthentifications comme RADIUS, TACACS+, Kerberos,
2.1.1- PAP
Le protocole PAP (Password Athentication Protocol), utilis avec le
Protocole PPP, permet didentifier un utilisateur auprs dun serveur PPP
en vue dune ouverture de connexion sur le rseau.
Aprs une phase de synchronisation entre le client et le serveur pour
le
dfinir
lutilisation
du
Protocole
PPP
et
PAP,
le
processus
dauthentification se fait en deux tapes :
Le client envoie son nom PAP ainsi que son mot de passe en
clair.
Le serveur qui dtient une table de noms dutilisateurs et de
mots de passe vrifie que le mot de
passe correspond bien
lutilisateur et valide ou rejette la connexion.
2010-2011
Page 31
Figure2.1 : Les 2 tapes d'authentification du protocole PAP

PAP est le plus simple des Protocoles dauthentification, il est donc
trs facile implmenter. Mais tant donn que le mot de passe circule en
clair sur le rseau, cest aussi le moins scuris, il est donc fortement
dconseill. Dautre part, mme si le mot de passe est crypt, il est
toujours possible
dutiliser un sniffer afin de capturer la requte
dauthentification et la rutiliser pour sauthentifier, cest ce quon

appelle : attaque par rejeu.
2.1.2- CHAP
Contrairement au Protocole PAP, le Protocole CHAP (Challenge
Handshake
Authentification
Protocole)
permet
une
authentification
scurise par hachage MD5 (Message Digest 5). MD5 et une fonction de
hachage cryptographique permettant dobtenir lempreinte numrique dun
message partir de laquelle il est impossible de retrouver le message
original. Ainsi, en envoyant lempreinte du mot de passe au serveur, le
client peut montrer quil connat bien le mot de passe sans avoir
rellement lenvoyer sur le rseau.
Aprs le mme type de synchronisation que pour le Protocole PAP, le
mcanisme dauthentification est bas sur un CHALLENGE en 3 tapes :
Le serveur envoie au client un nombre alatoire de 16bits ainsi
quun compteur incrment chaque envoi.
Le client gnre une empreinte MD5 de lensemble constitu
reu puis il envoie cette empreinte.

2010-2011
Page 32
Le serveur calcule galement de son cot lempreinte MD5
grce au mot de passe du client stock localement puis il compare son

rsultat lempreinte envoye par le client. Si les deux empreintes sont
identiques, le client est bien identifi et la connexion peut seffectuer
sinon, elle est rejete.
Figure 2.2 : les 3 tapes d'authentification du protocole CHAP

Ce mcanisme dauthentification procure CHAP deux avantages :
Tout dabord, si la requte dauthentification envoye par le client est
intercepte, elle ne pourra pas tre rejoue, en effet chaque empreinte
calcule par le client est unique envoi par le serveur.
Dautre part, lors dune session tablie par le Protocole CHAP, le
serveur envoie rgulirement des challenges au client de faon identifier
son identit, cette mesure de TACACS supplmentaire permet donc de se
prmunir des dtournements de session.
2.1.3- MS-CHAP
MS-CHAP (Microsoft Challenge Handshake Authentification Protocol)
est la version spcifique de CHAP mise au point par Microsoft. Plus quune
simple
version
prioritaire,
MS-CHAP
apporte
galement
quelques
amliorations CHAP. Un des principaux inconvnients de CHAP est que le

serveur doit dtenir les mots de passe des utilisateurs en clair pour
pouvoir vrifier lempreinte MD5 envoye par les clients, ce qui constitue
2010-2011
Page 33

une vulnrabilit potentielle en cas de compromission du serveur. Pour
remdier cette faiblesse, le Protocole MS-CHAP intgre une fonction de
hachage propritaire permettant de stocker sur le serveur un hash
intermdiaire du mot de passe.
Ainsi, en travaillant uniquement avec ce hash intermdiaire au lieu du
mot de passe, le client et le serveur peuvent raliser le mme type de
procdure que celle du CHAP, ainsi, le mot de passe e clair na plus besoin
dtre stock sur le serveur.
Puis malgr lavance du Protocole MS-CHAP par rapport CHAP,
Microsoft cra une seconde version su Protocole (MS-CHAP-v2) pour
rsoudre deux principales faiblesses de MS-CHAP-v1, dune part le fait que
le client ne puisse pas vrifier lauthenticit du serveur sur lequel il veut se
connecter et dautre part que lalgorithme de hachage propritaire utilis
soit trs vulnrable des attaques par brute-force.
Voici le fonctionnement du processus dauthentification mutuelle
fournit par MS-CHAP-v2 :
Le serveur daccs disant envoie une demande de vrification
au client contenant une identification de session I et une chaine C1

gnre alatoirement.
Le client envoie alors une rponse contenant : son nom
dutilisateur, une chane alatoire C2 et un hash de lensemble form

par la chane C1, lidentificateur de session I et son mot de passe.
Le serveur vrifie la rponse du client et il renvoie une rponse
contenant :
une
chane
indiquant
le
succs
ou
lchec
de
lauthentification, et un hash de lensemble form par 3 lments : la

chane C2, lidentificateur de session I et son mot de passe.
Le client vrifie son tour la rponse dauthentification et tablit la
connexion en cas de russite.
2010-2011
Page 34
Figure 2.3 : Les tapes d'authentification du protocole MS-CHAP-v2

Cette mthode dauthentification est bien mutuelle car elle permet
effectivement au client dtre sr de lidentit du serveur car seul le
serveur peut lui renvoyer son mot de passe dans le hash ltape 3.
2010-2011
Page 35

2.1.4- EAP
EAP (Extensible Authentification Protocol) nest pas directement un
mcanisme dauthentification comme le sont PAP ou CHAP, il sagit en
ralit dune extension du Protocole PPP qui a permis duniversaliser et de
simplifier lutilisation des diffrents Protocoles dans le cadre des rseaux
sans fils et les liaisons Point-A-Point. EAP contient une douzaine de
mthodes dauthentification, les plus utilises tant EAP-MD5, EAP-TLS,
EAP-TTLS, LEAP ou encore EAP-AKA pour lUMTS.
Il faut distinguer des types de trafics EAP : celui entre le client et le
point daccs : EAP over LAN (utilisant un mdia 802.11a, b ou g) et celui
entre le point daccs et le serveur dauthentification : EAP over RADIUS.
Figure 2.4 : Diffrents types de trafic EAP
2010-2011
Page 36

2.2- Services dauthentification applicatifs
2.2.1 RADIUS
RADIUS ou Remote Authentication Dial-In User est une norme de
lIETF
(Internet
Engineering
TASK
Force).
Cest
un
Protocole
dauthentification standard Client / serveur qui permet de centraliser les

donnes dauthentification : Les politiques dautorisations et de droits
daccs,
traabilit.
Ce
processus
doit
tre
reli
une
source
dinformations, qui est souvent un annuaire LDAP.

Auparavant, les noms et les mots de passe des utilisateurs devaient
tre dupliqus sur chaque serveur pouvant tre accd distance (par un
modem RTC par exemple).
Larriv
de
RADIUS
permit
aux
fournisseurs
daccs
Internet
dauthentifier les utilisateurs distants connects, partir dune seule base

utilisateurs. Ce Protocole avait particulirement un sens avant lADSL
illimit, car il permettait de mesurer le temps prcis de connexion des
abonns et facturer en consquence.
Lidentification sur les sites Web peut aussi tre gre par RADIUS.
Apache est sans doute le client RADIUS le plus rpandu (le module
mod_auth_RADIUS permet Apache de valider une authentification en
interrogeant un serveur RADIUS).
Aujourdhui, ce protocole est aussi souvent utilis pour les connexions
Internet sans fils (WLAN -
avec le Protocole
802.1X qui assure
lidentification par port pour laccs un rseau). On le retrouve aussi au

sein de la tlphonie sur IP comme outil de gestion des connexions,
autour du Protocole SIP notamment. Dans ce cas, lannuaire SIP charg
de lauthentification communique avec le serveur RADIUS en utilisant ce
Protocole.
Son fonctionnement est dcrit par la figure suivante :
2010-2011
Page 37
Figure 2.3 : RADIUS : EAP-TLS

Nous expliquons les tapes symbolises sur le schma comme suit :
2010-2011
Page 38

1)
EAP START : le client, associ physiquement au point daccs,
envoie un message EAP START : cest sa dmarche daccs directe en

tapant une adresse sur un navigateur web.
2)
EAP REQUEST identity : comme rponse, le point daccs
demande au client de sidentifier, il envoi au client une requte

dauthentification.
3)
Le client rpond alors cette demande didentit qui lui est
attribue par le point daccs, par son identifiant, en tapant son nom
dutilisateur et son mot de passe (login).
4)
Puis, le point daccs transmet la requte EAP (repose) dans
une demande saccs RADIUS : le mme message du client vers le point

daccs est transfr du point daccs vers le serveur RADIUS.
5)
Ainsi, le serveur initie le processus dauthentification et envoie
son certificat qui confirme lappartenance du client au groupe identifi.

6)
La station vrifie le certificat du serveur RADIUS et lui envoie
on certificat.
Le client gnre une valeur alatoire, puis lmet au serveur RADIUS
en la chiffrant avec la cl.
7)
Le point daccs envoie la cl de broadcast avec la cl Wep du
RADIUS.
8)
Maintenant, il y aura des changes de donnes publiques du
serveur RADIUS.
9)
Le serveur RADIUS construit partir de la valeur alatoire une
cl Wep qui est envoye.

10)
Le serveur RADIUS envoie un message RADIUS ACCEPT ou
refuse ou CHALLENGE au point daccs.

11)
Le point daccs envoie un message EAP SUCCESS.
12)
Echange de donnes.
Le Protocole RADIUS prsente nanmoins certaines limites :

2010-2011
Page 39
Il a t conu au dpart pour des identifications sur des
liaisons lentes et peu sres. Le choix du Protocole UDP (port 1812)

conduit des changes laborieux bass sur des temporisations de
rmission et des changes daccus de rception.
Scurit relative reposant sur le secret partag. Certaines
implmentations lentes limitent en plus sa taille.
Chiffrement de lattribut User-Password par une fonction de
hachage MD5, plutt rserv pour des oprations de signature.
Le rejeu des rponses du serveur possible.
PAS de mcanisme didentification du serveur. Il est ainsi
possible de se faire passer pour un serveur RADIUS et de rcolter les

noms et mots de passe des utilisateurs.
Les normes qui comptent le Protocole RADIUS sont les
Protocoles dauthentification PAP, CHAP ou EAP.
Microsoft : le service dauthentification IAS pour Windows
Serveur 2000/2003, et NPS (Network Policy Server) pour Windows Server

Vista.
Communaut du libre : Open RADIUS et Free RADIUS.
IAS
(Internet
Authentification
Service)
est
le
service
dauthentification Internet sur Windows 2000 (Serveur IAS) et Windows

Server 2003 (serveur IAS). Cest une implmentation Microsoft du serveur
RADIUS : Le service IAS joue le rle du serveur RADIUS. Il effectue une
authentification, une autorisation et une gestion des comptes centraliss
des connexions pour de nombreux types daccs rseau (accs sans fils,
accs par commutateur dauthentification, accs par connexion distance
et VPN). En tant que proxy RADIUS, le service IAS peut envoyer les
messages dauthentification et de gestion de comptes dautres serveurs
RADIUS.
NPS (Network Policy Server) est limplmentation dun serveur et
proxy RADIUS sur Windows Serveur Vista. Il remplace le service
2010-2011
Page 40

dauthentification Internet (IAS) de Windows Server 2003. Cette nouvelle
implmentation effectue toutes les fonctions dj prsentes sans fils et
pour les connexions bases sur 802.1X.
De plus, NPS effectue une valuation du bon fonctionnement du
rseau et rserve un accs limit ou illimit pour les clients NAP.
NAP (Network Access TACACS) est une nouvelle TACACS de laccs
rseau dans Windows Server Vista. Il offre de nouvelles possibilits au
niveau stratgie de scurit : Par exemple il peut demander que les
entits du rseau possdent les dernires mises jour du systme
dexploitation et les derniers fichiers de signature antivirus. En fonction de
cela, les entits auront plus ou moins de droits sur le rseau. Ces entits
sont appeles client NAP. NPS prend en charge aussi lenvoi du trafic
RADIUS via IPv6 (RFC 3162).
2.2.2- TACACS+
Figure 2.4.1 : Une des architectures supportes par TACACS

Tout comme RADIUS, TACACS+ (Terminal Access Controller Access
Control System Plus) est un serveur dauthentification permettant de
centraliser les autorisations daccs dans un rseau. Ce Protocole invent
par CISCO Systme a remplac TCACS et X TACACS mais nest pas bas
sur ceux-ci.
2010-2011
Page 41

TACACS+ supporte diffrents types darchitectures, par exemple, si
un utilisateur utilise une connexion point point, cest le serveur daccs
qui va jouer le rle de client TACACS+pour interagir avec le serveur.
Figure 2.4.2: Terminal Access Controller Access Control System Plus

En revanche, si lutilisateur utilise une connexion WiFi, cest le point
daccs qui va jouer le rle de client TACACS. Dautres parts, TACACS peut
tre utilis pour sauthentifier sur un matriel CISCO, Cest ce dernier qui
va interroger le serveur RADIEUS
La
particularit
de
TACACS+
par
rapport
aux
serveurs
dauthentification traditionnelle est a sparation Protocolaire des trois

fonctions AAA (Authentication, Authorization, Accounting). En effet,
TACACS+permet dutiliser des technologies diffrentes, que ce soit pour
dterminer lidentit dune personne, de dterminer ses droits, ou encore
de grer lenregistrement des logs.
La phase dauthentification peut supporter plusieurs Protocoles
comme des technique de type PAP (login mot de passe) ou encore
TACACS+, une session suit toujours le mme Protocole : le client envoie
une requte START au serveur dcrivant le type de session initi, plus
initie, puis, de paires de messages de types REQUEST>REPONSE
contenant
des
paires
attributs-valeur.
La
RFC
2010-2011
ne
dfinit
Page 42

dimplmentation spcifique pour le stockage des informations relatives
aux comptes utilisateur le serveur TACACS+peut aussi bien utiliser des
fichiers systmes (/ etc. / passwd), des bases de donnes, des cartes
puce ou encore dautres serveurs dauthentification comme Kerberos.
TACACS+ est donc un serveur dauthentification relativement simple
mais il couvre quand mme lensemble des fonctions AAA et de plus il
peut
sintgr
tout
type
dinfrastructure
de
part
sa
libert
dimplmentation.
2.2.3- Kerberos
Figure 2.5 : Etapes dAuthentification KERBEROS

Lgende de la figure 2.5 :
Le client a sa propre cl prive Kc.
Le serveur a sa propre cl prive Ks.
Le TGS a sa propre cl prive KTGS et connat la cl prive du
serveur Ks.
LAS connat les cls prives du client et de TGS.
TGS et AS sont deux entits de confiance.
Kerberos est un Protocole dauthentification rseau standardis par

lIETF. Lobjectif de Kerberos est double : scuriser un change sur un
2010-2011
Page 43

rseau non scuris et avoir une authentification fiable de lutilisateur. Il
est bas sur deux entits :
Le serveur dauthentification (AS : Authentication Server) qui
prend en charge toute la partie authentification pur du client. Cest lui

seul qui peut permettre au client de communiquer au TGS (grce un
ticket daccs).
Le serveur de distribution de tickets TGS : Ticket Granting
Server) prend en charge les demandes daccs aux services des clients
dj authentifi. Lensemble des infrastructures serveur de Kerberos AS
et TGS est appel le centre de distribution de cls (KDC : Key
Distribution Center). Ils sont gnralement regroups sur le mme
serveur.
Dans Kerberos, tous les tiers doivent prouver leur identit : on utilise
des mcanismes dauthentification mutuelle. Le Protocole est bas sur des
tickets horodats et chiffrs. Les changes reposent sur un systme de
cryptographie (algorithme DES) base de cls symtriques.
Kerberos partage avec chaque client du rseau une cl secrte faisant
office de preuve didentit.
Le client dsire accder au serveur pour obtenir un service. Ce
serveur est reprsent dans la figure 2.7 par lApplication Server.
AS_ REQ : le client sidentifie auprs de lAS laide dun
mot de passe ou dune carte puce.

LAS vrifie dans sa base (par exemple AD) que me
client existe. Il gnre une cl de session Kc, TGS.

Puis il envoie au client AS_REP :
Une
mot
cl de session Kc, TGS chiffre avec Kc, qui fera office de
de
passe
temporaire
pour
chiffrer
les
communications
suivantes.
Un
ticket daccs T1 au service de dlivrement de ticket,
chiffr avec KTGS (que le client ne peut donc pas chiffrer). Il

2010-2011
Page 44

contient notamment lheure de lopration, sa dure de validit,
ladresse de la machine cliente ainsi que la cl de session Kc, TGS.
TGS_REQ : le client fait une demande de ticket auprs
du TGS. Le client lui transmet :

Le
Un
ticket daccs T1 que lAS lui avait donn.

identifiant contenant des informations sur le client avec la
date dmission, chiffres avec la cl de session Kc,TGS.
Le TGS :
Dchiffre
avec se cl, le ticket daccs T1. Il obtient la cl de
session Kc,TGS. Le TGS est maintenant certain que le client a bien

obtenu le T1 de lAS.
Dchiffre
alors
les
informations
que
le
client
avait
prcdemment chiffres avec la cl de session. Il vrifie que la

dure de la validit est correcte. Puis le TGS_REP qui comprend :
Un
ticket T2 pour accder au serveur dapplication. Il est
chiffr avec la cl priv de ce serveur Ks.

Une
seconde cl de session Kc, les communications entre le
serveur et le client. Cette cl a t chiffre avec la cl initiale

Kc,TGS.
Kc,TGS.
Le client dchiffre la seconde cl de session Kc,s avec

Il
envoie
AP_REQ
au
serveur
dapplication
deux
informations :
Un
nouvel identifiant chiffr avec Kc,s.
Le
ticket daccs T2.
Le serveur dapplication vrifie que le ticket est valide en
dchiffrant T2 avec Ks. Il obtient Kc,s. Le serveur peut alors vrifie la
2010-2011
Page 45

cohrence entre les deux informations. Par exemple il vrifie que la
demande est conforme ce qui est autoris par le ticket. Une rponse
positive ou ngative AP_REP est envoye au client.
Les points forts de Kerberos :
Le
transit des mots de passe sur le rseau est chiffr. Il permet aux
utilisateurs de sauthentifier une fois pour toutes lors du login. Ils pourront
aprs utiliser tous les services daccs distance sans avoir fournir
chaque fois leur login et mot de passe. Ils sont en fait toujours
authentifis de manire transparente par Kerberos pour eux.
Sparation
des rles : lAS et TGT. Cest la base de Kerberos. Mais
dans la ralit, ces deux rles sont regroups en une mme entit (KDC).
Impossible
de rejouer un change deux fois de la mme manire
(grce au timestamps).
Les
Le
points faibles de Kerberos :
chiffrement symtrique ncessite un partage des cls entre lAS
et le client.
Les
horloges doivent tre parfaitement synchronises : en effet,
lanti-rejeu sappuie sur le timestamps .

Lauthentification
mutuelle nest pas disponible lors du premier
change entre lAS et le client. Le client ne peut pas certifier que lAS et
bien celui quil prtend tre.
En revanche, le client
peut exiger que le serveur dapplication
sauthentifie son tour (lors de la dernire tape). Ce dernier sexcute en

renvoyant la date courante (plus rcente que celle du prcdent message
du client) chiffre avec Kc,s. Etant donn que seuls le client et le serveur
connaissent Kc,s, le client peut raisonnablement penser que cest bien le
serveur qui lui rpond.
Kerberos est le mcanisme dauthentification par
dfaut dans
Windows pour vrifier lidentit dun utilisateur ou dun ordinateur. Les
2010-2011
Page 46

rles de lAS et TGS sont pris en compte par le contrleur de domaine, en
sappuyant sur lannuaire Active Directory.
Suite cette tude comparative, nous avons prfr dessayer
RADIUS comme protocole, travers lequel, nous essayerons de mieux
scuriser le rseau sans fil de SupCom. Cest ce que nous expliquerons
avec plus de dtail dans le chapitre suivant, qui montre notre tude de
cas.
2010-2011
Page 47
Chapitre 3 : Etude de cas

3.1- Architecture de la solution propose :
Aprs avoir tudi, et compar les trois protocoles mentionns dans
le chapitre prcdent, savoir TACACS, KERBEROS et RADIUS, nous
avons choisi ce dernier, pour raliser et atteindre le but principal de notre
projet : amliorer le rseau WiFi en garantissant le maximum possible de
scurit.
Pour ce fait, ltablissement daccueil SupCom nous a fourni les
quipements ncessaires pour mettre en place un rseau test, il sagit de :
4 ordinateurs de bureaux dans le laboratoire cisco2 avec Windows
XP SP3 comme systme dexploitation valable pour le serveur et les clients
3 cls USB-WIFI, pour les tester comme des clients WiFi (laptops)
1 point daccs Planet Wap-4000
Les cbles -paires torsades- dont nous avons fait des cbles directs
(grce aux pinces et connecteurs RJ45)

3.1.1- Rseau WiFi de SupCom :
SupCom dispose dune couverture WiFi, laquelle les tudiants, les
personnels et les visiteurs peuvent avoir accs libre mais scuris,
plusieurs points daccs sont disponibles :
Au niveau des amphis
Au niveau de ladministration
Au niveau des labos Cisco
Au niveau des salles de Confrences
Un accs au rseau WiFi peut tre accord galement des

personnes extrieures, provisoirement, lors de l'organisation d'un colloque
ou dun challenge par exemple. De mme, une couverture WiFi provisoire
peut tre mise en place, lors de l'organisation d'un vnement.
2010-2011
Page 48

3.1.2-Pr-requis
Pour se connecter au rseau WiFi, lutilisateur doit tre quip d'un
ordinateur contenant une carte WiFi, intgre pour les gnrations
actuelles des ordinateurs, en ajoutant une carte PCMCIA si le WiFi nest
pas intgr, ou simplement en branchant une cl WiFi son poste.
3.1.3- Actions
Se connecter au rseau sans fils portant le nom du point
daccs le plus proche
Lancer un navigateur
S'authentifier sur la fentre de connexion qui apparat
3.1.4- Utilisations possibles ?
Navigation web et consultation de la messagerie lectronique
Mise jour du systme dexploitation dont le client dispose
Transfert de fichiers (selon les droits autoriss)
2010-2011
Page 49

3.2- Description du rseau de test :
3.2.1- Configuration du point daccs WiFi :
Nous avons alors mis en place ce rseau WiFi -minimis-, en
branchant le point daccs par un cble direct, qui connecte le point
daccs une prise RJ45 du laboratoire, ou mme tout en tant branch
directement au Switch de ce labo.
Pour configurer ce point daccs WiFi, nous devons lui ajouter les
paramtres suivants :
SSID ou ESSID : cest le Service Set IDentifier. En WiFi, cest
un identifiant de 32 caractres, propre chaque rseau et qui est prsent

en tte des messages. Le SSID dsigne le rseau auquel est attach le
poste.
Son type dutilisation, dans notre cas il sagit dun point daccs
Son nom, nous lavons nomm WAP-4000 comme a marque
lindique
Et bien videmment son identifiant unique : son adresse mac,
qui lui est attribue par dfaut depuis le fournisseur.
La figure suivante nous montre la configuration et le paramtrage de

notre point daccs :
2010-2011
Page 50
Figure 3.1 : Paramtrage du point daccs

Puis, nous avons effectu le paramtrage IP, configurant notre point
daccs comme un serveur DHCP, qui attribue les adresses IP aux clients
automatiquement, tout en tant limit une plage dadresse bien
dtermine : 172.16.112.71 jusqu 172.16.112.99, et ce pour viter le
conflit dadresses, puisque la plage 112 est utilise dans les labos cisco.
Figure 3.2 : Paramtrage de ladressage IP
2010-2011
Page 51

Nous rappelons que les adresses 172.16.112.70 et 172.16.112.71 ne
sont pas incluses dans la plage dadressage DHCP, car elles sont dj
attribues au point daccs et au serveur Radius.
Maintenant, nous allons paramtrer le 802.1X : cest un standard li
la scurit des rseaux informatiques, mis au point en 2001 par l'IEEE
(famille de la norme IEEE 802), qui
permet de contrler l'accs aux
quipements d'infrastructures rseau.
Figure 3.3 : Paramtrage 802.1x

N.B : ce paramtrage ne peut tre effectu que si le point daccs
est branch directement au rseau grce un cble direct, nous pouvons
leffectuer en utilisant son driver, ou mme en utilisant ladresse IP qui lui
est attribue par dfaut de la part du fabriquant, qui est gnralement
192.168.1.1, en saisissant cette adresse dans la barre dadresses du
navigateur web. Et dans notre cas, nous avons remplac 192.168.1.1 par
172.16.112.70 en configurant le point daccs.
2010-2011
Page 52

3.2.2- Configuration du serveur Radius :
Parmi les buts principaux de notre projet, nous avons voulu prouver
que nous navons pas besoin dun systme dexploitation serveurcomme Windows 2003 ou 2008 server ou Windows NT, ces versions des
systmes dexploitation de serveurs, contiennent Radius par dfaut dans
le dossier systme I386, il nest pas install automatiquement avec le
systme dexploitation, mais peut tre ajout par la suite en activant des
fonctionnalits Windows.
Pour utiliser comme serveur un poste contenant Windows XP Sp3
comme OS, nous devons alors ajouter un programme qui nous permettra
de le rendre un serveur dauthentification, nous avons alors choisit
ClearBox Enterprise Server 5.6.
Aprs lavoir install, nous devons configurer notre serveur Radius, au
dbut, nous avons suivi le WIZARD, tape par tape, lajout de notre point
daccs comme client se fait ainsi :
Figure 3.4 : Configuration Radius travers son Wizard
2010-2011
Page 53

Mais suite aux nombreuses applications que nous avons effectues,
aux fautes que nous avons appris ne plus commettre, nous nous
sommes habitus effectuer la configuration et le paramtrage nous
mme, sans avoir besoin du Wizard ; ainsi, nous sommes passs par les
tapes suivantes :
Aprs avoir fouill le Help de ClearBox Enterprise Server 5.6, nous
avons commenc par la configuration du serveur (le poste contenant
Windows XP SP3 comme OS), et ce en ajoutant un nouveau client Radius :
la bote de dialogue ci-dessous permet de mettre en place un nouveau
client Radius, travers lequel, les demandes dauthentification seront
envoyes au serveur : il sagit de notre point daccs WiFi baptis sous le
nom WAP-4000 et ayant comme adresse IP : 172.16.112.70
Figure 3.5 : Ajout du point daccs WiFi sur ClearBox

Puis nous devons slectionner un certificat, afin de fournir des
services de scurit rseau de confiance aux clients sans fils ; le serveur
ClearBox enverra ainsi son certificat numrique obligatoire, sachant que
le canal TLS est tabli dans tous les protocoles WAP (PEAP, EAP-TLS,
etc.) : cest ce qui est requis pour que lauthentification russie.
2010-2011
Page 54
Figure 3.6 : Choix des protocoles dauthentification autoriss

Nous allons maintenant choisir le type de base de donnes dans
laquelle nous allons intgrer pour chaque utilisateur que nous allons
authentifier : un user name, un password et ladresse mac du laptop
depuis lequel il va se connecter, et puisque notre cas de test sera limit
un petit nombre dutilisateurs cr : les 3 cls WiFi que SupCom nous a
fourni et notre pc portable contenant le WiFi intgr, nous allons reporter
donc le choix du type de la base de donnes que nous allons utiliser,
quand nous passerons en cas rel, car nous aurons besoin dun type de
base de donnes qui supporte un grand nombre dutilisateurs : les
tudiants dune cole suprieure, le personnel, les visiteurs et les
utilisateurs temporaires durant des confrences ou des sminaires, en
attendant que notre projet voit le jour et entre en vigueur, nous allons
choisir Microsoft Access comme type de base de donnes, dans laquelle
nous allons saisir les identifiants uniques des cls WiFi dont nous
disposons pour notre projet.
2010-2011
Page 55
Figure 3.7 Choix du type de base de donnes

Une fois la base de donnes cre et enregistre sur le serveur
radius, nous commenons lajout des utilisateurs.
Il faut noter que nous pouvons crer plusieurs types dutilisateurs,
selon le degr de libert dont il bnficieront, en autorisant des
applications et des sites et en bloquant dautres.
Sur cette liste dj cre pour deux cls WiFi, nous ajoutons ma
carte WiFi intgre en suivant ces tapes :
2010-2011
Page 56
Figure 3.8 liste des adresses mac dj configures
Figure 3.9 ajout dun nouvel utilisateur
2010-2011
Page 57

Nous ajoutons dabord les informations de lutilisateur, le nom
dutilisateur et le mot de passe que nous lui attribuons, le mot de passe
peut tre attribu manuellement ou automatiquement (bouton generate).
Nous allons maintenant ajouter ladresse mac de la carte WiFi
authentifier :
Figure 3.10 : ajout de ladresse MAC (id unique du client)

Aprs avoir insr la liste des utilisateurs, nous allons crer le
certificat du serveur :
Figure 3.11 : Cration du certificat serveur
2010-2011
Page 58

Nous attribuons alors un nom de domaine notre serveur :
certif.SupCom.rnu.tn, un mot de passe qui crypte la cl prive, nous
serons appels entrer ce mot de passe plutard, le certificat sera donc
valide pendant 365 jours ou, une fois expir, il doit tre renouvel :
Figure 3.12 : Insertion des informations du serveur
Figure 3.13 : Insertion des informations de localisation du serveur
2010-2011
Page 59

Nous allons maintenant sauvegarder le certificat :
Figure 3.14 : Sauvegarde du certificat

Cela signifie que la racine et les certificats de serveur CA ont t
crs avec succs
Figure 3.15 : Succs de cration du certificat du serveur
2010-2011
Page 60

La dernire tape consiste slectionner le certificat du serveur
dans le configurateur, nous le lanons alors en slectionnant TLS Server
Settings, puis en cliquant sur Select certificate :
Figure 3.16 Succs de cration du certificat du serveur

Nous cliquons alors sur apply changes , enregistrons les
modifications travers la barre doutils, et nous redmarrons le service
ClearBox.
N.B :nous ne devons jamais supprimer les fichiers de certifications
crs, et surtout, nous devons garder ca.pem priv (il vaut mieux limiter
les autorisations daccs, et laisser seulement ladministrateur y accder).
Afin de fournir des services de scurit rseau de confiance aux
clients sans fils, ClearBox Server doit tre en mesure de sidentifier aux
clients
cryptographiquement ,
il
leur
envoie
alors
son
certificat
numrique au cours de leurs tentatives de connexion. Nous allons alors

crer une demande de certificat de serveur.
2010-2011
Page 61
Figure 3.17 : Cration de demande de certificat serveur

Aprs avoir introduit les informations relatives au serveur, nous
allons enregistrer la demande de signature de certificat ainsi que la cl
prive :
Figure 3.18 : enregistrement de demande de signature du certificat

Le succs de lenregistrement du certificat sera confirm, et nous
devrons, une fois que ce certificat est reu, linstaller aussi bien que la cl
prive dans la machine client.
2010-2011
Page 62
Figure 3.19 : Succs de lenregistrement de la demande de signature du certificat

Aprs avoir cr le certificat, nous allons procder linstaller, nous
relanons alors
le gestionnaire des certificats, et slectionnons la
troisime tape :
Figure 3.20 : 3me tape de certification

Nous allons alors
spcifier la localisation des deux fichiers : le
certificat et la cl prive qui ont t enregistrs prcdemment, en y

ajoutant le mot de passe de la cl prive que nous avons dj attribu
2010-2011
Page 63
Figure 3.21 : Slection du chemin du certificat et de la cl

En cliquant alors sur le bouton suivant, nous allons trouver que le
certificat du serveur Radius est bien install et prt lemploi.
Maintenant, nous allons crer le certificat client : certains protocoles
d'authentification,
comme
EAP-TLS,
exigent
que
l'utilisateur
doive
prsenter son certificat numrique un serveur d'authentification pour

s'identifier. Cela conduit la ncessit d'une infrastructure cl publique
qui exige un certificat numrique pour le seul serveur. Quoi qu'il en soit, si
nous prvoyons d'utiliser EAP-TLS, un certificat client peut tre obtenu
auprs des autorits de certifications existantes. Pourtant nous avons cr
notre propre autorit de certification et avons mis le certificat du serveur
nous-mmes.
Nous relanons alors lassistant de certificats et slectionnons la 4 me

option :
2010-2011
Page 64
Figure 3.22 : cration de certificat client

Et en spcifiant
le mot de passe du certificat dauthentification
racine, nous allons commencer introduire les informations personnelles

du client, son mot de passe, son adresse mail, un mot de passe et un
dlai de validit du certificat attribu : a peut tre 3ans (dure dtudes
SupCom), un an seulement, si nous voulons renouveler les certificats par
anne universitaire, ou une dure de droit daccs temporaire pour le
visiteur (variant entre 1 et 30 jours).
2010-2011
Page 65
Figure 3.23 : insertion des informations du client

Puis nous indiquons le chemin o ce certificat sera enregistr
Figure 3.24 : enregistrement du certificat client
2010-2011
Page 66

Nous portons par la suite cette cl sur un priphrique de stockage,
et linstallons sur le poste du client, ce serait effectu pour chaque client,
aprs lavoir cr dans la base de donnes clients, et ce en suivant ces
tapes :
Figure 3.25.1 : Etapes dimportation du certificat sur chaque poste client
2010-2011
Page 67
2010-2011
Page 68

Une fois limportation de la cl est termine, nous allons tester que
la connexion seffectue bien en authentifiant un client.Nous lanons alors
la dtection des connexions WiFi disponibles, notre point daccs est bien
dtect, nous lavons configur au dbut en lui attribuant comme nom :
PFE-AUTHENTIFIC, pointant par cette abrviation sur le sujet de notre
projet de fin dtudes.
Figure 3.26 : dtection de notre point daccs
2010-2011
Page 69

Aprs avoir choisi le point daccs, on voit apparatre une notification
qui confirme quil sagit dun rseau WiFi parfaitement scuris.
Figure 3.27 : notification pour authentification notre point daccs

Et en cliquant dessus, une fentre dans laquelle nous allons saisir le
nom dutilisateur et le mot de passe du client sans fils apparaitra
Figure 3.28 : authentification dun utilisateur

Une fois authentifi aprs la vrification du serveur, nous sommes
bien connects en scurit et nous pouvons naviguer sur internet.
2010-2011
Page 70
Conclusion
Pour proposer un bon mcanisme de scurit dun WiFi, comme
solution contre les points faibles dont souffre un rseau acadmique,
il
nous a fallu penser une issue qui sadapte avec larchitecture du rseau
existant, tout en tenant compte de la durabilit, lvolution et la fiabilit
de cette solution, assez bien en termes techniques que conomiques. Pour
cela, nous avons pens mettre en place un serveur Radius, pour
scuriser notre
petit rseau de test, avant de passer le mettre en
uvre sur le grand rseau de notre socit daccueil SupCom.

Pour entamer ce travail, il nous a fallu faire des recherches,
demander laide et bien sr faire des tentatives pour bien comprendre ce
mcanisme de scurit.
Les solutions qui prsentent le rsultat de nos recherches, exigeaient
toujours dutiliser le protocole Radius sur un systme dexploitation
serveur comme le 2003 ou le 2008 server.
Pour prouver notre aptitude, nous avons perptuellement considr,
le fait daccomplir des sujets dj raliss, comme une application et non
pas un projet. Il nous a donc fallu penser une certaine innovation : il
sagit dinstaller
un Serveur Radius sur un systme dexploitation client
comme Windows XP, en ayant uniquement besoin dajouter lempreinte

serveur travers ClearBox : cest une application 32-bit crite en C + +,
qui offre la fiabilit et d'excellentes performances sur les plateformes
Windows.
Nous avons rencontr plusieurs difficults pour matriser cette
application, mais y avoir recherch et travaill pendant quatre mois, nous
a donn loccasion de bien voluer nos connaissances et capacits dans le
domaine des scurits rseau, et principalement une forte scurit sur les
rseaux sans fils acadmiques.
2010-2011
Page 71

Cest une solution trs fiable nos jours mais ce nest pas le cas pour
toujours, vu la progression trs rapide de linvention des mthodes
dattaque et dautres mthodes de dfonce en informatique : rechercher
une solution transitoire , nous a donc appris que nous devons tre
jour avec les progrs du domaine TIC, et cest ce que nous ferons pour
nos prochaines tudes et recherches.
2010-2011
Page 72
Glossaire
A.
AAA
Authentication, Authorization, Accounting
ADSL
Assymetric Digital Subscriber Line
ARAP
APPLE Talk Remote Access Protocol
ARP
Address resolution protocol
AS
Authentication Server
b.
C.
CA
Certificate authority
CHAP
Challenge Handshake Authentication Protocol
CSMA/CA
Carrier Sense Multiple Access with Collision Avoidance
D.
DES
Data Encryption Standard
DHCP
Dynamic Host Configuration Protocol
E.
EAP
Extensible Authentication Protocol
EAP-AKA
Extensible Authentication ProtocolAuthentication and Key Agreement
EAP-TLS
Extensible Authentication Protocol-
EAP-TTLS
Extensible Authentication Protocol-
Transport Layer Security

Tunnelled Transport Layer Security
F.
FTP
File Transfer Protocol
G.
GPRS
General Packet Radio Service
GPS
Global Positionning System
GSM
Global System Mobile
H.
HTTP
Hypertext Transfer Protocol
I.
IAS
Internet Authentication Service
IEEE
International Engineering of Electronics

And Electrics
IETF
Internet Engineering Task Force
IP
Internet Protocol
ISO
International Organization of
Standardisation
J.
K.
KDC
Key Distribution Center
L.
LDAP
Lightweight Directory Access Protocol
LEAP
Lightweight Extensible Authentication Protocol
LLS
Link Layer Sockets
2010-2011
Page 73

M.
MAC (adresse)
Media Access Control address
MD5
Message Digest 5
MITM
Man In The Middle
MSCHAP
Microsoft Challenge Handshake

Authentication Protocol
N.
NAS
Network Access Server
NPS
Network Policy Server
O.
OSI
Open System Interconnection
P.
PAP
Password Authentication Protocol
PCMCIA
Personal Computer Memory Card

International Association
PIN
Personal Identification Number
POP3
Post Office Protocol
PPP
Point to Point Protocol
PPPoE
Point to Point Protocol over Ethernet
Q.
R.
RADIUS
Remote Authentification Dial-In User Service
RJ45
Registred Jack (une prise Jack enregistre)
RTC
Rseau Tlphonique Commit
S.
SSH
Secure Shell
SSID
Service Set Identifier
T.
TACACS
Terminal Access Controller AccessControl System
TGS
Ticket Granting Service
U.
UDP
User Datagram Protocol
UMTS
Universal Mobile Telecommunications System
USB
Universal Serial Bus
V.
VPN
Virtual Private Network
W.
WAP
Wireless Access Point
WiFi
Wireless Fidelity
WLAN
Wireless Local Area Network
WPA
WiFi Protected Access
X.
Y.
Z.
2010-2011
Page 74
Webographie
http://www.google.tn
http://www.supcom.mincom.tn/
http://fr.wikipedia.org
http://fr.wikipedia.org/w/index.php?title=Sp%C3%A9cial:Recherche&search=
Clear+Enterprise+Server%E2%84%A2+5.6&ns0=1&redirs=0
http://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
http://fr.wikipedia.org/wiki/Arp
http://fr.wikipedia.org/wiki/Man-in-the-middle
http://fr.wikipedia.org/wiki/RADIUS_(informatique)
http://www.commentcamarche.net
http://www.faqword.com
http://www.google.com/language_tools?hl=fr
http://www.gaudry.be/kerberos.html
http://forum.pcastuces.com
http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf
http://wareseeker.com/Security-Privacy/clearbox-enterprise-radius-server5.6.zip/7f2b5c856
http://www.01net.com
http://www.clubic.com/forum/reseaux-WiFi-lan/serveur-radius-sur-windows-7-id777036page1.html
http://www.cnam.nat.tn/e-cnam/pages/
http://www.commentcamarche.net/contents/authentification/radius.php3
http://www.infos-du-net.com/forum/285970-8-attaque-WiFi
http://www.supcom.mincom.tn/
http://www.xperiencetech.com/radius_manual/realmlogger.html
http://ettercap.sourceforge.net/
http://forums.cnetfrance.fr/topic/166226-probleme-radius-WiFi/
http://freeradius.org/
2010-2011
Page 75
epuis ses origines, lhomme a eu besoin de communiquer, et surtout de

scuriser sa communication ; pour cela, il mit au point des codes, des
alphabets, des langages Paroles, gestes de la main, ombres, signaux
de fume, TAM-TAM, documents manuscrits, imprims et maintenant sous format

numrique en garantissant toujours la scurit de cette information par diffrents
moyens, en utilisant des symboles, en protgeant le message durant son passage par le
canal de transmission : (retour du pigeant avec une rponse, un recommand avec
accus de rception en poste, et maintenant, nous parlons de cryptage des messages..)
La manire de vhiculer un message et dassurer sa scurit en confirmant que
cette information na pas t attaque par un tiers, outre lexpditeur et le
destinataire, progresse de jour en jour. Le souci de lhomme nest donc plus comment
vhiculer un message, mais comment le maintenir en scurit lors de son transfert, le
protgeant ainsi contre tout accs illgal et tout risque dattaque et de modification
Ce souci est dautant plus important dans les rseaux sans fils o laccs est universel.
Dans les zones pitonnes, les aroports et les gares, mais aussi la maison, dans une
universit Les points daccs Wifi sont de plus en plus nombreux et les rseaux sans
fil font dsormais partie de notre quotidien. Ils permettent un accs ais, mais non
scuris.
Dans ce projet, nous nous sommes intresss tudier lauthentification dans
les rseaux sans fil, et plus particulirement le rseau WiFi de SupCom. Nous avons
donc identifi les solutions potentielles, permettant de subvenir ce besoin, ayant
retenu linstallation dune plateforme RADIUS comme solution.
Nous avons aussi mis en vidence, la vulnrabilit des rseaux sans fils, en
ralisant une attaque dusurpation didentit.
Finalement, nous avons mis en place une solution qui protge le rseau WiFi de
SupCom, contre cette attaque.
Alors attachez vos ceintures, et bonne lecture

Authentification Dans Les Réseaux Wifi Par Le Protocole Radius PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Authentification Dans Les Réseaux Wifi Par Le Protocole Radius PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Thme :

Authentification dans les Rseaux Wifi par

Universit Virtuelle de Tunis

PROJET DE FIN DETUDES

Licence Applique en Sciences et Techniques de

Devant le Jury compos de :

Ddicace de Ften RIDENE

Je ddie ce modeste travail

Ddicace de Adel RAISSI :

Nous soussigns, le binme ralisant ce Projet de Fin dEtudes :

Cre en 1998, et place sous la double tutelle du Ministre de

Mditerranen des Ecoles d'Ingnieurs, admise la Confrence des

La formation d'ingnieurs de haut niveau scientifique et

technique, aptes concevoir, mettre en ouvre et grer les services, les

La contribution l'effort national relatif la recherche

scientifique et technologique dans le domaine des technologies de

La formation continue ou qualifiante des cadres suprieurs

dans le domaine des TIC.

Etablissement daccueil : SupCom

Licence Applique en Sciences et Techniques dInformation et de Communication

Table des matires

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

Liste des Figures

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

Sciences de lInformation et de Communication,

un projet de fin dtudes,

situe au Technople EL GHAZELA. Notre projet a dur

quatre mois : de Mars Juin 2011.

mettre en place un rseau sans fils, qui doit

respecter les normes de scurit, dans le but de minimiser le risque

Nous familiariser sur le plan pratique avec les diffrentes tches et

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

centaines de mtres, sans avoir recours une compagnie de tlphone ou

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

d'authentification. L'opration d'authentification est initie par un client du

transmet une requte d'accs un client RADIUS

pour entrer sur le rseau. Ce client (ou point daccs) se charge de

Les faiblesses des rseaux WiFi, et notamment les possibilits

techniques de se connecter sous une fausse identit.

Les mcanismes de protection existants- des rseaux WiFi, et

leur efficacit par rapport aux attaques visant lauthentification.

Authentification dans les Rseaux Wifi

Licence Applique en Sciences et Techniques dInformation et de Communication

Une tude comparative des protocoles dauthentification pour

les rseaux WiFi.

disponibles pour les rseaux WiFi.

La mise en place dun rseau de test, qui permet de simuler

Lvaluation des performances de la solution propose.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi