Documente Academic
Documente Profesional
Documente Cultură
Le rseau Wifi constitue de plus en plus la technologie qui sest impose par
excellence ces dernires annes, permettant aux utilisateurs un accs internet ou au
rseau local dentreprise ou personnel sans contraintes des cbles. Les dbits atteints
actuellement avec le rseau Wifi rendent possible le transfert de flux multimdia soumis
cependant une forte contrainte scuritaire.
Le but de mon projet est de renforcer la scurit du rseau Wifi au local de la
FRMTKD. Ce dernier doit obligatoirement respecter les normes de scurit reconnue au
niveau international. Dans le but de minimiser les menaces qui touchent les donnes
considres confidentiels qui circulent dans le rseau LAN de la FRMTKD. Alors il est
ncessaire danalyser les failles et comment sen prmunir, tude thorique des rseau
sans fil les solutions qui existent afin dintroduire la solution quon va mis en pratique et
je conclus par la mise en place de la solution choisis nomm EAP-FAST.
Dans cette optique, jai tudi lhistorique de rseau Wifi, ses avantages &
inconvnients, les protocoles de chiffrement en comparant ces derniers afin dentamer la
scurit de Wifi avanc et les prs-requis qui vont avec. En dernier lieu le dploiement
de la solution choisi qui dpend du serveur RADIUS et LDAP plus de dtails je vous
invite lire cette mmoire de stage.
Remerciements
Tout dabord je tiens remercier sans exception tout le staff de la FRMTKD pour
laccueil chaleureux en vers les stagiaires. Mes remerciements vont sadresser
spcialement au prsident M. Driss HILALI, ainsi M. Tarik JAMALI chef du
dpartement Systme dinformation. Mes remerciements sadressent galement Mlle.
Fatima ATABOU sans oublier M. DAOUDI; pour leurs gentillesses, explications et leurs
soutiens durant mon stage.
Je tiens remercier infiniment M. Philipe BOEDU le responsable de la scurit et de la
qualit de service pour le grand travail quil a fait avec moi et pour son accueil qui a
vraiment dpass toutes mes attentes ; afin de moffrir la possibilit de passer deux mois
de stage dans des meilleures conditions. Mais aussi pour son encadrement pendant cette
priode. Je noublierai jamais son accompagnement, son aide prcieux et ses conseils
professionnels.
Je tiens aussi exprimer mes profondes reconnaissance M. Samir ACHAHOD pour ses
conseils prcieux et son accompagnement durant ce stage et toutes ma formation
dailleurs, son aide et ses permanentes disponibilits, nous a permis de raliser sans
difficults majeures ce travail.
Mes remerciements visent galement tout le corps administratif de la FRMTKD dont le
suivi efficace, la compagnie cordiale et laccueil chaleureux, ont constitu pour moi et
pour tout les stagiaires une aide inestimable. Celle-ci sest traduite tout le long de
lexcution de ce travail par une ambiance cordiale.
Pour conclure je remercie mes collgues de stage et tout les gens qui ont contribu dune
manire ou autres la ralisation de ce prsent travail.
RESUME
REMERCIEMENTS
INTRODUCTION GENERALE
2
PRESENTATION
DE
LA
FRMTKD
2.1
INTRODUCTION
2.2
ORGANIGRAMME
DE
LA
FRMTKD
3
TUDE
THEORIQUE
DES
RESEAUX
SANS
FIL
3.1
INTRODUCTION
3.2
HISTORIQUE
3.3
LES
AVANTAGES
DU
WIFI
3.3.1
Mobilit
3.3.2
Facilit
&
souplesse
3.3.3
Cot
3.3.4
volutivit
3.4
LES
INCONVENIENTS
DU
WIFI
3.4.1
La
complicit
3.4.2
Qualit
et
continuit
du
signal
3.5
LES
DIFFERENTES
NORMES
DU
WIFI
3.6
LES
MODES
DE
FONCTIONNEMENT
3.7
LES
PROBLEMES
DE
SECURITE
3.7.1
Introduction
3.7.2
Propagation
des
ondes
radio
lectriques
3.7.3
Brouillage
du
rseau
3.7.4
Installation
dun
point
daccs
non
autoris
3.7.5
Les
attaques
informatiques
3.8
SERVICES
DE
SECURITES
3.8.1
Intgrit
3.8.2
Confidentialit
3.8.3
Les
diffrents
protocoles
dauthentification
3.8.4
Le
protocole
WEP
3.8.5
Les
protocoles
WPA/WPA2
3.9
CONCLUSION
4
LA
SECURITE
DU
WIFI
AVANCE
4.1
INTRODUCTION
4.2
TUDE
DE
LEXISTANT
4.3
PARAMETRAGE
DU
WIFI
EXISTANT
4.3.1
Filtrage
par
adresse
MAC
4.3.2
PSK
4.3.3
Problmatique
4.4
PRINCIPES
DES
PROTOCOLES
RADIUS
&
802.1X
4.4.1
Principe
de
lauthentification
RADIUS-MAC
4.4.2
Principe
de
lauthentification
802.1X
(EAP)
4.5
DESCRIPTION
DU
PROTOCOLE
RADIUS
4.5.1
Historique
4.5.2
Format
gnral
des
paquets
6
6
6
7
7
7
8
8
8
8
8
8
8
8
9
9
10
10
10
10
10
10
11
11
11
12
14
15
19
20
20
20
20
20
20
21
21
21
22
25
25
25
ANNEXE
57
CONCLUSION GENERALE
27
27
27
31
33
33
33
34
34
34
35
35
36
36
37
37
37
37
38
38
39
40
41
41
41
42
42
42
43
46
48
51
51
52
53
56
Introduction gnrale
De nos jours les PME concentrent leurs efforts sur la disponibilit, la stabilit voir
aussi la mobilit de leurs rseaux. Les rseaux sans fil Wifi assure ces services, en plus de
a ils sont facile configurer, rapide install avec un cot infrieur sans oubli quils
permettent de dployer des moyens de transmission sans contraintes dimmobilier lies au
cblages et au prises. En revanche lenjeu de ces entreprises est la possession dun rseau
scuris contre toutes attaques, espionnages ou violations des donnes sensibles de
lentreprise en question. Dans ce prsent rapport aurons loccasion de voir en dtails les
failles et les attaques qui menacent la scurit des rseaux sans fil Wifi et comment se
prmunir de ces dites.
En effet le rseau Wifi est une solution qui prsente des avantages et elle semble
parfaite. En contrepartie les rseaux Wifi sont des rseaux vulnrables par dfaut, alors ils
sont sujets de plusieurs attaques. Du coup il est indispensable dassurer une protection
adquate afin de protger ses donnes de toutes actions malveillantes. Par consquent il est
ncessaire de dfinir une politique de scurit stricte reposant sur des mcanismes bien
dtermin, tel que lauthentification, le contrle dintgrit et le chiffrement. . .
Le travail que je prsente dans cette mmoire consiste tudier dune manire
gnral les rseaux sans fil, et en particulier la mise en place dune authentification au
rseau Wifi base des certificats gnrer par le PKI Public Key Infrastructure et
lauthentification via le serveur RADIUS dou ltude approfondie de la mthodes EAP-TLS
qui requiert lutilisation du serveur RADIUS notamment FreeRADIUS et le dploiement de
la mthode EAP-FAST qui utilise galement un serveur RADIUS mais en interne.
La premire partie est une partie introductive qui va amener le projet. Elle est ddie
la prsentation de la FRMTKD. Un aperu sur le contexte du projet sera accompagn.
La deuxime partie expose une tude thorique des rseaux sans fil tout en parlant
sur les avantages & inconvnients ainsi les protocoles propres au rseau Wifi en faisant une
comparaison avec le rseau filaire.
La troisime partie montre la quasi totalit des mcanismes de scurit permettant de
protger le rseau Wifi, tout en comparant ces diffrents protocoles de chiffrement et en
passant par la description du politique de scurit adapt par le rseau sans fil existant.
La quatrime partie et la dernire dailleurs dtaille les tapes de la mise en place de
la solution qui est lintitul de stage La mise en place dun rseau Wifi avec
lauthentification via serveur RADIUS base de certificats lectronique tout en montrant
linterface de configuration du contrleur Wifi CISCO 4400.
2
2.1
Prsentation de la FRMTKD
Introduction
3.1 Introduction
Les rseaux sans fil (ondes radios) sont devenu une solution incontournable due aux
services qui offrent en contrepartie ils prsentent des grands problmes de scurits. En
effet le rseau Wifi (Wireless Fidelity) est un ensemble de protocoles de communication
permettant de relier plusieurs quipements informatiques afin dassurer
linterconnexion sans aucun fil entre ces derniers pour permettre aux personnels de
lentreprise de communiquer entre eux. En outre il permet de connecter les gens
ltoile araigne.
La Wi-Fi Alliance est une association dentreprises, qui possde les droits sur le sigle WiFi et qui certifie le matriel portant ce sigle afin dassur linteroprabilit. Dans cette
partie on va tudier thoriquement les normes & les standards utiliss pour
implmenter un rseau sans fil, leurs dfaillances et leurs avantages. On va tudier
galement les protocoles qui sont recommands pour renforcer la scurit de son rseau
sans fil.
3.2
Historique
Le terme Wifi suggre la contraction de Wireless Fidelity, par analogie au terme Hi-Fi
utilis depuis 1950 dans le domaine audio pour (High Fidelity) apparu dans les annes
1930. Cependant, bien que la Wi-Fi Alliance ait elle mme employ frquemment ce
terme dans divers articles de presse notamment dans le slogan The Standard for
Wireless Fidelity , selonPhil Belanger, membre fondateur de la Wi-Fi Alliance, le terme
Wi-Fi na jamais eu de relle signification. Il sagit bien nanmoins dun jeu de mots avec
Hi-Fi.
Le sigle Wifi a t utilis pour la premire fois de faon commerciale en 1999, et a t
invent par la socit Interbrand , spcialise dans la communication de marque, afin
de proposer un terme plus attractif que la dnomination technique IEEE 802.11b Direct
Sequence. Interbrand est galement lorigine du logo 12 rappelant le symbole du Yin
et du Yang.
Dans la pratique, le Wifi permet de relier des ordinateurs portables, des ordinateurs de
bureau, des assistants personnels (PDA) ou tout type de priphrique possdent une
carte Wifi ou un adaptateur Wifi dans environnement en se basant sur les ondes
lectromagntiques.
Mobilit
Les utilisateurs sont gnralement satisfaits, des liberts offertes par un rseau
sans fil en plus de a lutilisateur peut changer de place (bureau) peut utilis un smart
phone en grosso modo la connexion peu partout au sein de lentreprise.
3.3.2
Un rseau sans fil peut tre utilis dans des endroits temporaires, couvrir des
zones difficiles daccs aux cbles, et relier des btiments distants.
3.3.3
Cot
Si leur installation est parfois un peu plus coteux quun rseau filaire, les
rseaux sans fil ont des cots de maintenance trs rduits sur le moyen terme,
linvestissement est facilement rentabilis.
3.3.4
volutivit
Les rseaux sans fil peuvent tre dimensionns au plus juste et suivre simplement
lvolution des besoins.
La complicit
Oui la mise en place du rseau Wifi au sens o ladministrateur doit avoir des
bonnes comptences qui sont ncessaires la mise en uvre pour donner une
planification Adquate qui va avec lenvironnement de production l o on utilise le
Wifi; Il faut prendre en considration les problmes de transmissions radios, un
ventuel audit du site, lintgration de lexistant (rseau cbls, mais peut tre aussi les
quelques ilots Wifi dj en place), le respect du rgulation, le support effectif des
standards actuels et venir, ladministration de ce futur rseau, le monitoring du trafic,
etc.
3.4.2
Ces notions ne sont pas garanties, car les murs peuvent prsent des obstacles, un
Introduction
La scurit des rseaux sans fil nest pas encore tout fait fiable parce que le trafic
rseau est visible pour tous les utilisateurs du coups les donnes sont la port de tous
les gens qui sont connect au mme rseau. Alors il est indispensable de mettre en place
une politique de scurit stricte. Ce problme proccupe les administrateurs rseau qui
utilisent le Wifi dans leur rseau local, dune part parce que les faiblesses des
technologies ont t largement traites sur Internet, dautre part parce quil sagit dune
approche effectivement nouvelle du sujet, et qui prsente une grande diversit.
3.7.2
Les ondes radio lectriques ont une grande capacit se propager dans laire
savoir aussi il est difficile darriver confiner son mission dans un primtre restreint.
La principale consquence de cette propagation est lcoute du trafic rseau par une
personne non autoris. Que a soi en interne par un agent voir aussi un stagiaire ou bien
en dehors de lentreprise (aprs avoir cracker le mot de passe et pouvoir sauthentifier)
o le rseau est dploy.
3.7.3
Brouillage du rseau
Ces ondes sont trs sensibles aux interfrences. Cest la raison pour la- quelle un
signal peut facilement tre brouill par une mission sans fil. Une simple frquence
proche de celle utilise dans le rseau sans fil. Un simple four micro-onde peut aussi
rendre totalement inoprable un rseau sans fil lorsquil fonctionne dans le rayon
daction dun point daccs.
3.7.4
Lentreprise peut aussi avoir un souci genre installation dun rseau son fil en
branchant dans un prise rseau un point daccs par une personne toujours illgitime,
sans que le service informatique soit en courant la chose qui parat quasiment
impossible est difficile de mettre en uvre, mais a peut avoir lieu quand mme. Cette
action permet de rendre la communication publique ; tout va passer en claire.
3.7.5
Par dfaut un rseau sans fil est non scuris, i.e quil est ouvert tous et que
toutes personnes se trouvant dans le rayon de porte dun point daccs peuvent
potentiellement couter toutes les communications circulant sur le rseau (Sniffing).
10
Pour un particulier la menace est faible car les donnes sont rarement confidentielles, si
ce nest que des donnes caractre personnel. Pour une entreprise en revanche lenjeu
stratgique peut tre trs important.
La mthode daccs au rseau de la norme 802.11 est base sur le protocole CSMA/CA,
consistant attendre que le rseau soit libre avant dmettre. Une fois la connexion
tablie, une station doit sassocier un point daccs afin de pouvoir lui envoyer des
paquets. Ainsi, les mthodes daccs au rseau et dassociation tant connues, il est
simple pour un pi- rate denvoyer des paquets demandant la ds-association de la
station. Il sagit dun dni de service (DOS), cest--dire denvoyer des informations de
telle manire perturber volontairement le fonctionnement du rseau sans fil. Dautre
part, la connexion des rseaux sans fils est consommatrice dnergie. Mme si les
priphriques sans fils sont dots de fonctionnalits leur permettant dconomiser le
maximum dnergie, un pirate peut ventuellement envoyer un grand nombre de
donnes (chiffres) une machine de telle manire la surcharger. En effet, un grand
nombre de priphriques portables (assistant digital personnel, ordinateur portable, ...)
possdent une autonomie limite, cest pourquoi un pirate peut vouloir provoquer une
sur- consommation dnergie de telle manire rendre lappareil temporairement
inutilisable, cest ce que lon appelle un dni de service sur batterie.
Pour conclure la partie menace du rseau Wifi il faut mettre dans la tte que le rseau
sans fil est trs faible si lentreprise qui veut ladapter son rseau napplique une
politique de scurit disant stricte. Dans la partie qui suivante je vais dfinir les
protocoles qui sert scuriser le rseau sans fil.
Intgrit
Confidentialit
11
octet, ou en mode bloc. Un message crit en clair est transform en un message chiffr,
appel cryptogramme grce aux algorithmes de chiffrement. Cette transformation est
fonde sur une ou plusieurs cls. Une des principales mthodes pour assurer la
confidentialit des donnes est le chiffrement :
1. Chiffrement (la cryptographie)
Le chiffrement consiste rendre un texte incomprhensible en le codant en code (crypte
ou chiffre) le texte en effectuant une opration sur le texte en clair partir dune rgle
appele clef de chiffrement. Le texte cod (cryptogramme) peut alors tre envoy son
destinataire. La cryptanalyse consiste dchiffrer un texte cod en effectuant sur ce texte
avec une cl. Il existe deux mthodes de chiffrement : chiffrement cl symtrique et
cl asymtrique (ou cl publique).
2. Clef symtrique
Lmetteur utilise une cl pour chiffrer le message et le destinataire utilise la mme cl
(le mme algorithme mais en sens inverse) pour dchiffrer le message (clef secrte). Les
principaux algorithmes de chiffrement symtriques sont :
DES (Data Encryptions Standard) : a t le plus utiliser, mais nest plus utilis
depuis 1998 considr peu sr. Clef de 40 56 bits.
AES (Advanced Encryption Standard) : remplaant du DES dans ladministration
amricaine et du RC4 dans la norme 802.11 avec 802.11i
3. Clef asymtrique
Un message chiffr avec une cl publique donne ne peut tre dchiffr quavec la
cl prive correspondante. Par exemple si A souhaite envoyer un message chiffr B,
il le chiffrera en utilisant la clef publique de B
(qui peut tre publi dans lannuaire). La seule personne qui dchiffre le message est
le dtenteur de la cl prive de B. Exemples dalgorithme de chiffrement asymtrique
:
RSA (Rivest, Shamir, Adelman) : comme le plus connu de ces algorithmes. La
scurit du RSA rside dans limpossibilit pratique de factoriser un grand nombre de
quelques centaines de chiffres en un temps raisonnable. savoir aussi quil est toujours
possible daugmenter la longueur de la cl qui varie entre 1024 et 2048 bits afin
daugmenter la scurit.
3.8.3
12
prtend tre.
Autorisation: consiste permettre laccs certains services ou ressources.
Accounting : le serveur AAA a la possibilit de collecter des informations sur
lutilisation des ressources.
PAP : (Password Authentication Protocol) utilise des mots de passe en texte brut et
constitue le protocole dauthentification le moins scuris. Il est gnralement ngoci
lorsque le client daccs distant et le serveur daccs distant ne disposent daucun moyen
de validation plus sr.
CHAP : (Challenge Handshake Authentication Protocol) est un protocole
dauthentification par stimulation-rponse, qui utilise le modle de hachage MD5
(Message Digest 5) standard pour crypter la rponse. CHAP est utilis par de nombreux
fournisseurs de clients et de serveurs daccs rseau. Un serveur excutant routage et
accs distant prend en charge CHAP pour que les clients daccs distant exigeant CHAP
soient authentifis. Dans la mesure o CHAP exige lutilisation dun mot de passe
crypt lenvers, vous devez envisager un autre protocole dauthentification comme
MSCHAP version 2.
On est tous daccord que le Wifi demande du travail ct scurit. Dune 27 autre
ct il est possible de scuriser son rseau de faon plus ou moins forte selon les objectifs
de scurit et les ressources que lon y accorde. La scurit dun rseau sans fil peut tre
ralise diffrents niveaux : configuration des quipements et choix des protocoles.
Sinon je cite quelques conseils quil faut tenir en compte :
Tout dabord il faut viter les valeurs par dfaut (cest gnrale) ;
Ne pas donner au SSID un nom qui donne des informations soit sur la
marque du point daccs ou la raison social de lentreprise ;
Il est trs recommand de cach le SSID ;
Appliquer un filtrage dadresse MAC du coup laccs est accord seule- ment
aux machines inscrites dans lannuaire de lAP (Access Point) ; cest la solution
adapt par la FRMTKD.
La figure 1 montre le processus dassociation un AP aprs avoir sauthentifier :
13
3.8.4
Le protocole WEP
1/ Introduction
Pour remdier aux problmes de confidentialit des changes sur le rseau en raison de
la propagation des ondes, il est ncessaire de protger son rseau par un chiffrement
appropri. En effet pour ne pas laisser lensemble des donnes qui transitent sur ce
rseau la merci dune personne munie dune carte Wifi et situe dans le primtre de
rception des ondes mises par les autres quipements. Le protocole initialement
propos pour le chiffrement des communications entre lments dun rseau sans fil est
le WEP (Wired Equivalent Privacy). Le WEP fait partie du standard IEEE 802.11 et, en
plus de chiffrement, traite de lauthentification et lintgrit.
2/ La clef WEP
La clef de session partag par toutes les stations est statiques, i.e que pour dployer un
grand nombre de station Wifi il est ncessaire de les configurs en utilisant la mme clef
de session. Ainsi la connaissance de la clef est suffisante pour dchiffrer les
communications. En outre, 24 bits de la clef servent uniquement pour linitialisation, ce
qui signifie que seuls 40 bits de clef de 64 bits servent rellement chiffrer et 104 bits
pour la clef 128 bits. Le tableau montre la diffrence entre le protocole WEP et le WEP2
Dtail de clef
Valeur
dinstallation
La clef partage
WEP
24 bits
40 bits
64 bits
WEP2
24 bits
104 bits
128 bits
Type de clef
3/ Mcanisme
Le mcanisme adapt par le protocole de chiffrement WEP consiste dfinir en premier
temps la clef secrte. Cette clef doit tre dclar au niveau du point daccs et au chez les
clients. Elle sert crer un nombre pseudo- alatoire dune longueur gale la longueur
du trame comme montre la figure 2 :
14
4/ La faiblesse du WEP
La faiblesse de WEP on peut la situer premirement dans son vecteur dinitialisation IV.
Le IV est un nombre 24 bits qui est combin avec la clef que ladministrateur rseau
entre dans la configuration de son point daccs. Un nouveau IV est utilis pour chaque
paquet transmit, jusqu l on note aucun problme. Par contre le nombre IV nest
rellement quun numro alatoire. Deuximement est ce qui plus grave dailleurs, le
nombre IV se recycle lui mme au bout dun certain temps mais avec le mme IV et la
mme clef avec un payload (contenu du message) diffrent. Si un intrus collecte
suffisamment de paquets (100 Mo 1Go) ; il sera capable de compromettre facilement
notre rseau. Enfin, il faut galement garder lesprit que tous les utilisateurs dun
rseau Wifi protg avec le chiffrement WEP partagent la mme clef WEP. Ainsi, tout
utilisateur peut couter les autres utilisateurs comme si aucun chiffrement ntait en
place.
5/ Conseil
Il est vivement conseiller dutiliser au pire des cas la protection WEP2 dune longueur
128 bits afin dassurer une scurit minimal. Il est ncessaire galement de changer les
clefs sur une base de temps dfinir (dpend de la taille du rseau, du nombre
dutilisateurs, du trafic engendr...). Il faut galement changer les clefs lors du dpart
dun employ, du vol dun portable.
3.8.5
1/ Historique
Donc dcid de garantir plus de scurit tant pour le transfert des donnes que pour
lauthentification des utilisateurs en crant une nouvelle solution de scurisation de
rseau Wifi. La norme IEEE 802.11i a tard tre valide. Du coup, en fin 2002, la Wi-Fi
Alliance a dfini un sous-ensemble de ce quallait tre 802.11i, sous la dsignation WPA.
Lvolution du chiffrement dans les rseaux sans fil est apparue avec le standard
WPA (Wifi Protected Access). Cette norme tait initialement une norme intermdiaire
en attendant la finition et la ratification de la norme IEEE 802.11i, devant apporter un
certain niveau de scurit pour lensemble des exigences en matire de chiffrement,
authentification et intgrit. Le WPA introduit le protocole TKIP (Temporal Key
Integrity Protocol), qui sera repris par la norme IEEE 802.11i. Ce protocole permet de
remdier aux faiblesses du chiffrement WEP en introduisant un chiffrement par paquet
ainsi quun changement automatique des clefs de chiffrement. Lalgorithme de
chiffrement sous-jacent est toujours le RC4 utilis avec des clefs de 128 bits, mais
contrairement au WEP, il est utilis correctement au sens cryptographique.
2/ La clef WPA
15
Il existe deux types de WPA, la version Personal la plus utilise, mais aussi la version
Entreprise utilisant un serveur dauthentification gnralement le serveur RADIUS.
WPA personal : clef partage (PSK)
Le mode Personal permet de mettre en uvre une infrastructure scurise base sur le
WPA sans utiliser de serveur dauthentification. Le WPA Personal repose sur
lutilisation dune clef partage nomme PSK pour (Pre-shared Key), renseigne dans
lAP ainsi que dans les postes clients. En effet, le WPA permet de saisir une (passphrase)
(phrase secrte), traduite en PSK par un algorithme de hachage. Alors voila comment a
marche le client envoie une requte dauthentification lAP, celui-ci lui rpond et en
cas dauthentification russi, le client lui renvoie une autre requte pour quils
sassocient. Si lAP accepte, le client est connect au point daccs voir la figure 1. part
a le WPA Entreprise cest le sujet de notre projet on va le voir en dtails prochainement.
Explication des diffrentes clefs utilises
Tout dabord le client et le point daccs se mettent daccord sur la cl PTK (Pairwise
Transient Key) driv de la PMK (Pairwise Master Key). Aprs les changes seront
crypts avec la cl PTK dans un tunnel scuris. Ce qui permet au point daccs
denvoyer la cl GTK (Group Transient Key) utilise pour crypter le trafic broadcast et
multicast avec une requte EAPOL-KEY et ensuite accder au rseau en ayant des
communications cryptes. La figure 3 montre ce quon a expliqu :
16
La KEK est utilise pour chiffrer la GTK, Group Transient Key , lors de son
envoi la station. Cette GTK est gnre par le point daccs pour chiffrer les
communications globales plusieurs stations; La TK est utilise comme cl de
chiffrement des communications entre le point daccs et la station ; La KCK est utilise
pour calculer un MIC, Message Integrity Code , qui est utilis pour vrifier que le
contenu du paquet EAP na pas t modifi. Les 4 paquets changs contiennent
diffrentes informations :
1. de A S : les paramtres indiquent la version de WPA (1 ou 2), le nonceA
transmis permet la station de calculer la PTK,
2. de S A : les paramtres indiquent les capacits de la station (support
chiffrement et authentification), le nonceS permet au point daccs de calculer la PTK. Le
paquet EAP est protg des modifications par un MIC, calcul partir de la KCK
dduite de la PTK :
3. de A S : les paramtres contiennent la GTK chiffre avec la KEK, un MIC
protge le paquet EAP,
4. de S A : Un paquet EAP presque vide confirme la bonne rception de la part
de la station, ce paquet est protg par un MIC.
3/ 802.11i (WPA2)
La dernire volution en juin 2004, est la ratification de la norme IEEE 802.11i,
aussi appel WPA2 dans la documentation grand public. Ce standard reprend la grande
majorit des principes et protocoles apports par WPA, avec une diffrence notoire dans
le cas du chiffrement ; lintgration de lalgorithme AES. Les protocoles de chiffrement
WEP et TKIP sont toujours prsents. Deux autres mthodes de chiffrement sont aussi
inclus; WRAP pour (Wireless Robust Authenticated Protocol) sappuyant sur le mode
opratoire OCB (Offset Code Book) de AES; CCMP (Counter with CBC MAC Protocol);
sappuyant sur le mode opratoire CCM (Counter with CBC-MAC) de AES, Le
chiffrement CCMP est le chiffrement recommand dans le cadre de la norme IEEE
17
802.11i. Ce chiffrement, sappuyant sur AES, utilise des clefs de 128 bits avec un vecteur
dinitialisation de 48 bits. Ces mcanismes cryptographiques sont assez rcents et peu de
produits disponibles sont certifis WPA2. Le recul est donc faible quant aux
vulnrabilits potentielles de cette norme. Mme si ce recul existe pour lalgorithme
AES, le niveau de scurit dpend fortement de lutilisation et de la mise en uvre
dAES. La norme IEEE 802.11i dfinit deux modes de fonctionnement comme le WPA
mode Personal & Entreprise le concept reste pratiquement le mme juste nous
dveloppons davantage le mode Entreprise parce que cest le plus utilis avec WPA2. Ce
dernier impose lutilisation dune infrastructure dauthentification 802.1x base sur
lutilisation dun serveur dauthentification, gnralement un serveur RADIUS, et dun
contrleur rseau WLC et des points daccs. Cette solution est actuellement ce quil y a
de plus sr en terme de scurit dauthentification forte. Mais attention, toutefois, rien
nest acquis et il y a fort parier que cette solution ne restera pas labri des hackers trs
longtemps, sauf si un ajoute la notion de certificats a renforc davantage la protection.
4/ 802.1x
Le protocole 802.1x est une solution de scurisation dun rseau mis au point par
lorganisme de standardisation IEEE en 2001. Il a pour but de contrler laccs un
rseau filaire ou sans fil grce un serveur dauthentification. Le standard permet de
mettre en relation le serveur dauthentification et le systme authentifier par des
squences et des changes EAP. Le protocole 802.1x va donc unifier les diffrentes
mthodes dauthentification sous la mme bannire ; le protocole EAP. La principale
innovation amene par le standard 802.1x consiste scinder le port logique, qui est
connect en parallle sur le port physique. Le premier port logique est dit "contrle", et
peut prendre deux tats "ouvert" ou "ferm". Le deuxime port logique est lui toujours
accessible mais il ne gre que les trames spcifique 802.1x. Cela permet de grer le
dialogue ncessaire lauthentification au pralable une connexion rseau. La
connexion initiale est donc limite un usage de scurit qui ouvre ultrieurement le
canal des donnes en cas dauthentification russie. 802.1x est aussi appel Port-based
Network Access Control, i.e quil introduit une notion de port contrl par
lauthentification. Une station ne pourra accder aux ressources dun LAN que si elle a
t auparavant authentifie. Je vais expliquer davantage cette notion dans la prochaine
partie.
Le protocole fonctionne partir de trois lments comme montre la figure 5
18
Le client (supplicant) :
Cest le systme authentifier i.e llment qui dsire se connecter sur le rseau ;
Le contrleur (point daccs) :
Ou systme authentificateur i.e llment qui va demander lauthentification ;
Le serveur dauthentification :
Ce serveur dauthentification est en gnral un serveur RADIUS. Selon la requte du
suppliant (Supplicant), ce serveur dtermine les services auxquels le demandeur a accs
(serveur plac sur le LAN). Lutilisation du 802.1x en Wifi permettra lauthentification
du demandeur, le contrle daccs aux bornes et la distribution des clefs WEP. Mais il
faut que le 802.1x soit bien implment sur les diffrentes machines. Si les
implmentations sur les bornes et serveurs sont disponibles, il nen est pas de mme
chez les postes clients. Le 802.1x est maintenant de plus en plus intgr avec le systme
dexploitation.
3.9 Conclusion
Pour conclure aprs avoir tudi et compar les diffrents protocoles lis la
scurit, savoir WEP, WPA, WPA2 et 802.1x, nous avons choisi ces deux dernier avec
RADIUS, pour raliser et atteindre le but principal de notre projet qui vise amliorer la
scurit du rseau Wifi en garantissant le maximum possible de scurit.
19
Introduction
Comme jai dj dit dans les parties prcdentes la mise en place dun rseau Wifi
est trs rentable mais condition quelle respecte des rgles de scurit stricte (la seule
raison qui ds-encourage les administrateurs de ladapt leurs rseaux) sinon
bienvenue les problmes. Cest pour cela au cours de cette partie nous allons faire une
tude critique de lexistant afin dentamer la solution la plus scuris actuellement qui
utilise des certificats lectroniques avec une authentification via le serveur
dauthentification RADIUS; afin de rendre laccs au rseau Wifi trs restreint (pour les
gens qui prtendent tre uniquement). Dans cette partie je vais me contenter de faire
une tude thorique sur les protocoles requis par cette solution tels que LDAP, EAP,
TLS, RADIUS et la fameuse norme X509.
4.2
tude de lexistant
La FRMTKD est un btiment qui comprend deux tages avec sous- sol. Ils
possdent 25% des ordinateurs portables connects via le rseau sans fil (Pour les
ingnieurs), et une bonne partie des postes bureau cbles en filaire partir des baies de
brassage, interconnects via une liaison cble au rpartiteur gnral et le reste via Wifi;
Pour se connecter ce dernier lutilisateur doit tre quip dun ordinateur contenant
une carte Wi-Fi soit par des adaptateurs USB (LinkSys de Cisco), soit par des cartes PCI
Wifi, insrer au niveau des connecteurs PCI libre sur la carte mre, et qui sont surveill
par un contrleur Wifi. Bien sur ses ordinateur appartiennent au domaine crer par
LDAP. Larchitecture rseau sans fil de la FRMTKD possde un contrleur Wifi de type
Cisco 4400 qui contrle pratiquement 10 points daccs Cisco qui sont rpartis sur les
diffrentes tages (diviser selon les dpartements).
4.3.2
PSK
20
utilise dans le mcanisme de protection daccs aux rseaux sans fil WPA2. La mme
PSK est entre manuellement sur les points daccs (AP) ou les passerelles "Wireless"
ainsi que chaque PC du mme rseau sans fil. Les utilisateurs dont lquipement sans
fils ne peut fournir le mot de passe (ou cl) correct se verront refuser laccs au rseau.
Cette cl tant aussi lorigine du chiffrement des communications (bas sur TKIP pour
WPA et AES pour WPA2), linterception du mot de passe en clair nest pas possible
normalement.
4.3.3
Problmatique
Certainement la FRMTKD a opt pour une solution de scurit pour son rseau
Wifi qui nest pas mal du tout, mais a nempche pas quil soit contourn par un hacker
professionnel ; parce quil suffit que ce dernier trouve le mot de passe (actuellement ce
nai pas un grand problme soi en utilisant lattaque du bruteforce ou lattaque du
dictionnaire; question du temps seulement) en revanche le seul et unique problme dont
il va tomb cest de trouver ladresse MAC quil prtends tre (ce nai pas impossible) et
il sera le bienvenue dans le rseau Wifi. Pour cette raison le DSI a pens de scuris au
maximum leur rseau tout en essayant dutiliser les certificats lectroniques tout en
renforant lauthentification par lutilisation du serveur RADIUS qui donnent
actuellement les meilleurs rsultats au niveau de la scurit et quelque soi le hacker
dbutant ou professionnel il trouve des difficults norme pour dpass cette
technologie afin darriver ses objectifs.
4.4
Lauthentification par adresse MAC, appele RADIUS-MAC (ou MAC- based), est la
plus simple mettre en uvre parmi les solutions que nous allons tudier dans cette
prsente partie. En revanche, cest la moins sr. La figure 18 reprsente un rseau sur
lequel est connect un serveur RADIUS et un poste de travail par lintermdiaire dun
commutateur. Les tapes du protocole sont :
.
21
Le serveur reoit ce paquet et utilise ladresse MAC comme point dentre dans
sa base de donnes do il rcupre, si ladresse MAC est connue, le VLAN
auquel sera connect ce poste de travail.
4.4.2
22
besoin dun identifiant quil utilise comme point dentre. Bien sr, dans ce cas, il ne
sagira pas de ladresse MAC. Lidentifiant sera configur et envoy par le supplicant.
23
fil. Entre le commutateur et le serveur RADIUS, il est appel EAP over RADIUS.
802.1X est la norme qui dfinit le fonctionnement port contrl/port non contrl .
EAP est quant lui le protocole ddi au port non contrl. EAP nest pas un protocole
dauthentification mais un protocole de transport de protocoles dauthentification. Il
dfinit des mcanismes dchanges entre quipements, mais pas les principes mmes de
lauthentification. Ceux- ci constituera la charge utile des paquets EAP. Lintrt de ce
mcanisme est de rendre indpendants le transport et la mthode dauthentification.
Lapparition dun nouveau protocole dauthentification ne remettra en cause ni la
couche transport ni mme lquipement rseau puisque ce dernier ne connat mme pas
la signification de ce quil transporte. Il na besoin de connatre que le protocole
RADIUS.
24
Historique
25
Code ce champ dun seul octet contient une valeur qui identifie le type du paquet. La
RFC 3575 (IANA considrations for RADIUS) dfinit 255 types de paquets. Par chance,
quatre dentre eux seront suffisants pour les problmes qui nous proccupent ici. Il
sagit de :
o Access-Accept (code=2) ;
o Access-Reject (code=3) ;
o Access-Request (code=1) ;
o Access-Challenge (code=11).
ID ce champ, dun seul octet, contient une valeur permettant au client RADIUS
dassocier les requtes et les rponses.
Longueur Champ de seize octets contenant la longueur totale du paquet.
Authentificateur Ce champ de seize octets a pour but de vrifier lintgrit des
paquets. On distingue lauthentificateur de requte et lauthentificateur de rponse. Le
premier est inclus dans les paquets de type Access- Request ou Accounting-Request
envoys par les NAS. Sa valeur est calcule de faon alatoire. Lauthentificateur de
rponse est prsent dans les paquets de rponse de type Access- Accept, AccessChallenge ou Access-Reject. Sa valeur est calcule par le serveur partir dune formule
de hachage MD5 sur une chane de caractres compose de la concatnation des champs
code, ID, longueur, authentificateur de requte et attributs ainsi que dun secret partag.
Il sagit dun mot de passe connu la fois par le serveur et le NAS. Ce dernier peut alors
excuter le mme calcul que le serveur sur cette chane pour sassurer quil obtient bien
la valeur de lauthentificateur de rponse. Si cest bien le cas, il peut considrer que la
rponse lui vient bien du serveur auquel il a soumis la requte et quelle na pas t
modifie pendant la transmission.
Attributs et valeurs Ce champ du paquet est de longueur variable et contient la
charge utile du protocole, cest--dire les attributs et leur valeur qui seront envoys soit
par le NAS en requte, soit par le serveur en rponse.
v Pour plus de dtails sur les types dattributs et sur les types de paquets vous
navez que consult le livre "Authentification rseau Avec Radius 802.1x EAP
26
4.6
4.6.1
Dans RADIUS, la compatibilit avec la technologie des VLAN est en fait ralise au
travers du support des tunnels (RFC 2868). Cette RFC spcifie comment il est possible
dtablir des tunnels de diffrents types entre un client et un serveur Radius. Elle dfinit
douze types de tunnels et introduit un certain nombre de nouveaux attributs.
Cependant, cette RFC ne mentionne pas directement les VLAN.
Cette notion apparat dans la RFC 3580 qui dcrit les spcifications dusage de 802.1X
avec RADIUS. Cest ici quest introduit un treizime type de tunnel : le VLAN. La
dfinition de ce type particulier de tunnel sopre grce trois attributs, dj dfinis par
la RFC 2868, et auquel un treizime type (VLAN) a t ajout. Ces attributs sont :
o Tunnel-Type : la valeur est VLAN ou 13 ;
o Tunnel-Medium-Type : la valeur est 802 pour indiquer quil sapplique
un rseau de type IEEE 802 (Ethernet, Token Ring, Wi-Fi) ;
o Tunnel-Private-Group-Id : la valeur est le numro de VLAN qui doit tre
affect au port sur lequel est connect le poste de travail.
Ils ne sont pas spcifiquement lis lutilisation de 802.1X et sont pleine- ment
utilisables pour lauthentification Radius-MAC. Jusquici, nous avons vu des attributs
lis au processus dauthentification (User-Name, Calling- Station-Id) et mis par les
NAS dans les paquets Access-Request, alors que les attributs de type Tunnel sont lis
aux autorisations qui seront dlivres par le serveur. Ils seront mis dans les paquets
Access-Challenge ou Access- Accept.
v Les extensions du protocole Radius sont dcrites dans les RFC 2869, 3679 et
2868.
4.6.2
Nous allons maintenant tudier la structure dEAP et les diffrentes phases des
changes. Tout dabord EAP est un protocole qui place trois couches au-dessus de la
couche liaison, IEEE 802. Cest l quintervient le code logiciel du supplicant. Lorsque
27
lauthentification sera termine, ces couches EAP resteront en place car elles seront utiles
pour grer, par exemple, les rauthentifications ou encore la rotation des cls GTK que
nous avons vu par ailleurs.
Quatre types de paquets sont utiliss pour le protocole EAP :
o Response;
o Success;
o Request;
o Failure.
Ces paquets traversent trois couches comme lindique la figure 10 :
La couche EAP reoit et envoie les paquets vers la couche basse (802) et transmet les
paquets de type Request, Success et Failure la couche EAP Peer. Les paquets Response
sont transmis la couche EAP Authenticator.
Les couches EAP Peer et EAP Authenticator : La couche EAP Peer est implmente sur
le poste de travail, tandis que la couche EAP
Authenticator est implmente sur le NAS et sur le serveur Radius. Ces couches ont
pour rle dinterprter le type de paquet Request ou Response et de les diriger vers la
couche EAP Method correspondant au protocole dauthentification utilis (par exemple,
TLS).
La couche EAP Method : Cest dans cette couche que se tient le code logiciel du
protocole dauthentification utilis. Le NAS na pas besoin de cette couche puisquil agit
de faon transparente (sauf si le serveur Radius est embarqu dans le NAS).
Le rle du NAS est dextraire le paquet EAP qui lui arrive du supplicant et de le faire
passer dans la couche Radius (et vice versa). Pour cela, il doit encapsuler, cest--dire
crire, le paquet EAP dans un attribut particulier de Radius qui a t ajout au modle
dorigine pour cette fonction. Il sagit de lattribut EAP-Message (numro 79).
Un autre attribut, Message-Authenticator (numro 80), a t ajout. Cependant, nous ne
nous appesantirons pas plus sur cet attribut qui possde, peu prs, la mme fonction
que le champ authenticator vu au chapitre 5, savoir assurer lintgrit des paquets
EAP. Cet attribut sera prsent dans tous les paquets changs entre le NAS et le serveur
mais ninflue pas sur la comprhension globale du protocole.
28
29
Figure
12: Ngociation
de
protocole
dEAP
30
31
contrainte est que cette identit doit tre prsente dans la base que le serveur interroge.
tape Ngociation de protocole figures 12 et 13 le serveur et le supplicant
ngocient le protocole TLS. Cela correspond au point 1 de la figure 13.
tape Protocole transport figure 13 Cest ici que le protocole TLS intervient. Il est
lui mme structur en deux phases :
La phase ngociation ou Handshake Protocol, qui tablit les paramtres de la
session, ngocie un algorithme de chiffrement, les cls de chiffre- ment et
authentifie le serveur et le client. Chaque partie dispose alors dune cl de
chiffrement symtrique permettant de dfinir un tunnel, i.e de chiffrer les
donnes qui transitent du client vers le serveur et vice versa.
La phase tunnel chiffr ou Record Protocol, dans laquelle est utilis le tunnel mis
en place prcdemment pour changer des donnes. Dans le cas de EAP-TLS ce
tunnel nest pas utilis. En revanche, il le sera avec PEAP et TTLS pour protger
le protocole dchange des mots de passe.
Les tapes dauthentification pour EAP-TLS sont les suivantes voir la figure 14 :
1. Le serveur envoie au supplicant une requte de dmarrage de TLS moyennant
un paquet EAP-Request contenant EAP-Type=TLS (TLS- start). Cest ltape
de ngociation de protocole qui peut comprendre plusieurs changes si la
proposition initiale du serveur nest pas TLS et que le client souhaite utiliser
TLS.
2. Ici commence le protocole TLS proprement dit lorsque le supplicant rpond
(Client_HELLO) avec la liste des algorithmes de chiffrement quil est capable
dutiliser. Il envoie galement un nombre alatoire (challenge).
3. Le serveur rpond (Serveur-Hello) en transmettant lalgorithme quil a choisi
parmi la liste quil a reue, et un autre challenge. Il envoie son certificat et sa
cl publique au supplicant (Certificate) et lui demande denvoyer les siens
(Certificate_Request).
4. Le supplicant authentifie le certificat du serveur. Puis il envoie son certificat
avec sa cl publique (Client_Certificat). Il envoie aussi une cl primaire
(Client_Key_Exchange) gnre partir des donnes changes. Cette cl,
appele Pr-Master Key, est chiffre avec la cl publique que vient de lui
envoyer le serveur. Il linforme quil passe en mode chiffr avec cette cl
(Change_Cipher_Spec). partir de cette cl et des challenges envoys
prcdemment, il calcule la cl principale de session, appele Master Key
(MK).
5. Le serveur authentifie le certificat envoy par le supplicant. Il dchiffre la PrMaster Key grce la cl prive de son propre certificat. Il est donc en mesure
de calculer de son ct la mme Master Key. Le serveur envoie au supplicant
la notification de son changement de paramtre de chiffrement
(Change_Cipher_Spec).
6. Le supplicant envoie une requte EAP-Response vide pour signifier que les
oprations sont termines de son ct.
7. Le serveur envoie au supplicant un paquet EAP-Success pour lui signifier que
32
Dfinition
Historique
LDAP a t initialement conu pour accder de manire lgre aux annuaires X.500.
Ces annuaires taient traditionnellement interrogs travers le protocole X.500
33
Directory Access Protocol (DAP) qui ncessitait lutilisation du modle OSI. Lutilisation
dune passerelle LDAP/DAP permettait daccder un serveur DAP en tant sur un
rseau TCP/IP. Ce modle dannuaire est driv de DIXIE et de Directory Assistance
Service. Le protocole fut cr par Tim Howes de lUniversit du Michigan, Steve Kille
du ISODE et Wengyik Yeong de Performance Systems International en 1993. Les
dveloppements qui suivirent, furent mens par lInternet Engineering Task Force
(IETF).
v La dernire version en date du protocole est LDAPv3. Cette version est dfinie
par lIETF dans plusieurs RFC en commenant par la RFC 4510.
4.8.3
Fonctionnement
Un client dbute une session LDAP en se connectant sur le port TCP 389 du serveur.
Le client envoie ensuite des requtes dopration au serveur. Le serveur envoie des
rponses en retour. part quelques exceptions, le client na pas besoin dattendre de
rponse du serveur pour envoyer de nouvelles requtes, et le serveur peut envoyer ses
rponses dans nimporte quel ordre. Une fois la connexion au serveur tablie, les
oprations classiques sont :
Start TLS : utilisation de la couche Transport Layer Security (TLS) pour scuriser
la connexion ;
Bind : indique la version du protocole utilise, et authentifie lutilisateur. Il est
possible de faire un bind anonyme en ne fournissant ni nom dutilisateur ni mot
de passe ;
Search : recherche dans lannuaire et rapatriement des donnes ;
Compare : test qui dtermine si une entre contient un attribut avec une valeur
donne ;
Add : ajout dune nouvelle entre ;
Delete : suppression dune entre ;
Modify : modification dune entre ;
Modify DN : dplacement ou renommage dune entre ;
Abandon : annulation dune requte prcdente ;
Extended Operation : opration qui permet de dfinir dautres oprations ;
Unbind : clture la connexion.
Ceci dit sinon pour notre cas nous utilisons LDAP pour authentifier les clients parce que
celui qui possde les informations sur les postes et leurs clients ; qui ont le droit de se
connecter savoir aussi il est compatible avec les mthodes dEAP et avec le protocole
RADIUS finalement sa prsence est ncessaire lors de la gnration et la vrification des
certificats que nous allons voir dans la section suivante.
Introduction
34
Dfinition
Fabrication de bi-cls ;
Certification de cl publique et publication de certificats ;
Rvocation de certificats ;
Gestion la fonction de certification.
4.9.3
Signature
35
signature.
3. le destinataire vrifie la validit du certificat et sa non rvocation dans lannuaire.
4. le destinataire transforme lempreinte avec la cl publique de signa- ture ainsi
valide. Cette opration permet de sassurer de lidentit de lexpditeur.
5. ensuite le destinataire gnre une empreinte partir de message reu en utilisant
le mme algorithme de hachage. Si les deux empreintes sont identiques, cela
signifie que le message na pas t modifi.
v Donc la signature vrifie bien lintgrit du message ainsi que lidentit de
lexpditeur. Exemples dalgorithme de signature : RSA, DSA
4.9.4
36
structures de donnes signes et dont le format est dfini par le protocole X509 V2, ce
format peut permettre une distribution des CRL via les annuaires LDAP comme
Netscape Directory Server diplanet ou bien openldap.
v X.509 est une norme de cryptographie de lUnion internationale des
tlcommunications pour les infrastructures cls publiques (PKI). X.509 tablit
entre autres un format standard de certificat lectronique et un algorithme pour
la validation de chemin de certification. La Structure dun Certificat numrique
selon la norme X509 :
4.9.6
Lutilisation du PKI
Conclusion
Une partie tellement longe cest logique parce quon a essay de faire le tour sur
les diffrents protocoles. Dans la partie suivante qui est considr comme dernire
dailleurs. Nous allons voir ensemble la solution quon a essay de mettre en place, il
ressemble lEAP-TLS mais ne requis pas lutilisation du serveur RADIUS ; cest bien
lEAP-FAST.
Introduction
Nous sommes dans la dernire partie l o nous allons voir la mise en place de la
solution qui va ajouter plus de scurit au rseau Wifi de la FRMTKD ; grce aux
certificats lectroniques quils requirent et le protocole TLS quils utilisent. La solution
qui a comme nom EAP-FAST propre CISCO comme jai dit la fin de la quatrime
partie : EAP-FAST est un cas particulier de lEAP-TLS la mesure ou il fait la mme
chose que le dernier la diffrence quil faut noter dailleurs ; il nutilise pas le serveur
37
RADIUS mais le contrleur Wifi joue ce rle en interne (EAP-LOCAL). Dans cette partie
nous allons voir comment installer et configurer un point daccs test, comment le
paramtrer et comment est ce quon peut gnrer les certificats, comment install les, soi
au ct du WLC ou chez les clients afin de voir comment rendre le client capable
dutiliser le protocole; qui nest pas tenu en compte par Microsoft (mme pas sur
Windows 8 et lOS de Macintosh).
Tout dabord les points daccs AP utiliss par la RADEEMA sont de type CISCO
Aironet 1252 . Pour configurer ce point daccs on doit se connecter WLC en utilisant
une adresse IP avec le protocole de scurit des page web SSL (https ://@IP avec un
nom utilisateur : user et un mot de passe comme montre la figure 14 :
Aprs avoir accder au WLC il est ncessaire de configurer lAP la figure 15
montre la page du configuration :
La figure 16 prsentes les APs qui couvrent la FRMTKD afin de servir ses diffrents
dpartements notre point daccs AP-TEST est ajout la liste des dix points daccs
existants.
38
5.2.2
protocole de chiffrement nous pouvant affich quel stade on est arriv. Je vous laisse
avec la figure 19 qui montre la configuration actuelle :
39
5.2.3
40
5.2.4
Dans longlet serveur AAA, partir des serveurs dauthentification, nous avons
choisi EAP local qui joue le rle dun serveur RADIUS interne. Ce serveur est utilis
pour authentifier les clients. Voir la figure 22:
5.2.5
v Dsormais le WLC peut tenir en compte le serveur RADIUS (EAP local) pour
lexploiter.
5.2.6
Cette tape consiste configurer le WLC avec des dtails sur le serveur LDAP.
Dans la figure 24, nous avons spcifi les dtails du serveur LDAP, tels que ladresse IP
du serveur LDAP, numro de port, lactivation de ltat du serveur...
41
Server Index : spcifie lordre de priorit de ce serveur par rapport tous les
autres serveurs.
User Base DN : arborescence dans le serveur LDAP qui contient une liste de tous
les utilisateurs.
Maintenant que des dtails sur le serveur LDAP sont configurs sur le WLC,
ltape suivante consiste configurer LDAP comme base de donnes de priorit afin que
le WLC soi peu prs identique la base de donnes LDAP didentification des
utilisateurs. Nous avons choisi LDAP partir de la bote de dialogue des informations
didentification de lutilisateur sur le ct gauche et on la dplac vers la bote droite
comme montre la figure 25 :
42
domaine (frmtkd.local), puis en slectionne Nouveau dans le menu afin de crer une
nouvelle unit dorganisation comme montrer dans la figure 26 :
5.3.2
43
Dans longle proprit du service Annuaire CN, on clique sur dsHeuristics sous le
champ dattribut et en choisi Modifier. Dans lditeur Attribut on entre la valeur
0000002. La fonction de liaison anonyme est active sur le serveur Windows 2008 voyant
voir la figure 30 :
44
Ensuite on clique sur Ajouter. Dans la bote de dialogue qui souvre, et on saisi
ANONYMOUS LOGON 31 :
Aprs on entre la Base DN de lutilisateur. Dans cet exemple, lutilisateur est situ sous
lunit dorganisation (User_Wireless) 32 :
45
5.3.3
46
Puis en configure le modle utilisateur comme vous allez voir sur la figure
suivant ; la taille du clef est 2048, les clef sont marqu comme tant exportable, le format
du clef PKCS10 et lalgorithme du hachage est bien sha1. Le modle serveur et
pratiquement la mme sauf il faut changer le modle et les autre informations cest
ladministrateur de les gres.
47
5.3.4
Demande de certificat
48
En cliquant sur certificats nous aurons la fentre de la figure 40 qui montre les
certificats install : On clique sur le certificat puis sur exporter et il nous apparatre un
assistant que nous allons voir les tapes quil exige afin dexporter le certificat en
question sur la figure 41 :
Lassistant demande est ce que vous voulez exporter la clef priv, bien sur on
clique sur oui comme montrer dans la figure 42 :
49
50
5.4
5.4.1
Tout dabord il existe deux mthodes pour charger les certificats pour le WLC. Une
graphique et lautre via la ligne de commande que je vais faire pour viter trop de
figures. Pour les deux mthodes il est indispensable pour lordinateur quil soit
connecter au WLC et avoir la possession dun client TFTP qui va contenir entre autre les
certificats portant lextension (.pem). Les tape de chargement des certificats sont les
suivants:
51
5.4.2
Dans cette tape on insre le mot de passe du certificat client quon a attribu lors
de sa gnration afin de protger la clef priv voir la figure 45 :
52
5.5
Comme nous avons not au dbut de cette partie notamment dans lintroduction,
les systmes dexploitation ne prennent pas en charge les mthode de lEAP et tant
donne que la FRMTKD adapte une infrastructure bas sur les systme Windows il est
fortement indispensable dutiliser le Cisco Aironet bureau Utility (ADU) afin de
pouvoir utiliser lEAP-FAST. On lance ce dernier dans sa fentre principale, ensuite on
clique sur Profile Management > Nouveau pour crer un nouveau profil de client sans
fil LDAP_Wireless comme montrer dans la figure 47.
53
54
55
5.6 Conclusion
Voila pour conclure comme prvu cette partie est ddi la mise en place de
lEAP-FAST tout en suivant sa documentation officiel qui montre la mise en place de ce
dernier sous Windows 2003 serveur, avec moins de dtails techniques. En ce qui
concerne cette mmoire vous trouvez plus de dtails concernant ce processus avec des
explications et des interprtations supplmentaire afin de donner la possibilit aux
lecteurs de bien comprendre de quoi il sagit et comment implmenter le projet dans le
Windows 2008 serveur.
56
Conclusion gnrale
lpoque o les rseaux sans fils sont de plus en plus prsents tout autour de
nous, Lauthentification via le serveur RADIUS et lutilisation des certificats
lectroniques permet de palier lun des plus gros dfauts de ce type daccs qui est la
scurit. Longtemps considr comme une faille pour les individus savoir mme les
entreprises. EAP-FAST procure un rseau de haute scurit sur plusieurs niveaux.
Cependant lintgration ou bien le test final de la solution EAP-FAST au rseau
LAN de la rgie na pas t fait parce que la FRMTKD ne possde pas ladaptateur Cisco
Aironet bureau Utility qui permet au poste du client de tenir en compte lEAP-FAST,
part a tout les prs-requis sont mis en place afin que le projet soit dployer. Autrement
dit ce rapport peut aider toutes personnes souhaitent scuriser le rseau Wifi laide des
deux mthode nous parlons de lEAP-FAST & lEAP-TLS.
Le bilan de ce projet est positif car jai russi atteindre 95% du but de mon
objectif principal le 5% qui reste a due ce que je nai pas pu mettre en place la
solution, qui est en principe prte au mis en pratique, en contrepartie le problme nest
pas technique mais plutt financier parce que la FRMTKD na pas investit afin dacheter
le matriel requis.
En effet mon stage la FRMTKD a t en tous points bnfique pour moi. Ct
relation humaine ; jai ctoy pas mal de personnels donc jai eu des contacts
professionnels, ct technique je me suis trouv devant un systme dinformation aussi
important ; donc jai eu loccasion de voir en pratique des technologies que jai jamais
entendu parl, un sujet aussi intressant et vari la mesure ou javais la possibilit
dtudier plusieurs technologies et enfin je clture par la possibilit que jai au sujet de
lobservation du droulement de la vie au sein dune grande entreprise entre
personnels.
57