Documente Academic
Documente Profesional
Documente Cultură
Prpar par
ZOUMHANE Fatimazahra
Intitul
Encadr par :
Pr ABARKAN El Hossein
Mr KOITA Moussa (DATAPROTECT)
Jadresse aussi mes remerciements mon parrain industriel Mr. ABARKAN qui
ma prodigu de prcieuses recommandations dune grande utilit.
Ma gratitude va aussi lendroit des membres du jury davoir examin et not mon
travail.
Plusieurs entreprises sintressent de plus en plus la mise en place dun rseau sans
fil, en vue des avantages que le Wifi permet ses utilisateurs (facilit de dploiement,
mobilit, connexion des priphriques portables aux ressources de lentreprise) tout en
maintenant leur besoin de scurit et de disponibilit de leurs donnes qui circulant sur ces
rseaux.
Fournir les bonnes pratiques ncessaires la mise en place dinfrastructure sans fils
rpondant aux normes de scurit et de disponibilit travers llaboration dun document
est le contexte dans lequel sinscrit cette tude qui a t mene au sein de la socit
DATAPROTECT.
Dans ce document, nous avons prsent ltude du projet qui consiste rassembler des
consignes et des quipements ncessaires pour mettre en place larchitecture finale
scurise, et qui rpond aux besoins de ses utilisateurs en termes de scurit, fiabilit et
force.
Pour atteindre le but final du projet, on a fait tout dabord ltude des normes : ANSSI,
PCI-DSS, 27002, NIST, qui donnent les recommandations sur le dploiement du rseau
sans fil, ensuite on a pris cinq technologies : RUCKUS, CISCO, ARUBA, FORTINET,
AEROHIVE et on a fait la comparaison de leurs avantages et inconvnients afin de choisir la
technologie qui rpond aux besoins exprims, aprs on a fait ltude des failles des
architectures existantes, et on a pris dans ce document le cas dune moyenne entreprise et
dun htel ; et finalement, et aprs ltude du besoin on a mis en place larchitecture Wifi
scurise adopte.
Mots cls : Scurit Wifi Rseau sans fil Architecture LAN Dploiement
Standard Norme- WEP- Radius- WPA-Authentification.
1
TABLE DES MATIERES
2
3. Les solutions et technologies de connexion scurises via rseau sans fil ......33
4. Etude Comparative des solutions de point daccs existant sur le march........37
Chapitre 3 : tude de la solution mettre en ouvre .........................................................38
I. tude et Ingnierie ......................................................................................................39
1. Analyse de lexistant ...............................................................................................39
2. Expression du besoin : ...........................................................................................42
3. Dfinition des spcifications techniques ...............................................................44
II. Mise en uvre de la solution .....................................................................................46
1. Description de la solution .......................................................................................46
2. Dmonstration de fonctionnement : .......................................................................49
2.1 Outils de dmonstration de fonctionnement : ................................................49
2.2 Configuration du serveur Radius ....................................................................50
2.3 Configuration du routeur sans fil ....................................................................51
2.4 Configuration des Vlan.....................................................................................52
2.5 Configuration des quipements ......................................................................53
2.6 Test de scurit : ..............................................................................................54
CONCLUSION .....................................................................................................................56
BIBLIOGRAPHIE ET WEBOGRAPHIE ...............................................................................57
ANNEXE : Glossaire des principaux sigles et acronymes utiliss .................................58
3
Liste des tableaux
4
Liste des figures
5
INTRODUCTION GNRALE
Malgr les problmes de scurit intrinsques, les rseaux sans fil continuent se
dvelopper vu les avantages quils permettent (cot faible, installation aise, dbit lev).
Il est donc important de bien connatre les problmes lis la mise en place de ce type de
rseaux afin d'en limiter les effets nfastes sur la scurit des donnes. Il est galement
important de dterminer le niveau de scurit souhait, afin de mettre en place une solution
adquate, et de configurer les diffrents alternatifs de scurit que le rseau sans fil dispose
pour amliorer la confidentialit des communications.
Ce rapport comprend les dtails de cette tude qui est constitue de quatre chapitres
prsents comme suit:
6
Chapitre 1 : Contexte gnral
du projet
Ce chapitre prsente une vue gnrale sur lorganisme daccueil, puis une vision
globale des sujets qui seront axes dtude et de ralisation de notre cahier des
charges
7
I. Prsentation de lentreprise daccueil
1. Prsentation de lentreprise
Appuyant son offre sur une vision unifie de la scurit, DATAPROTECT est dote dun
rservoir de comptences pointues certifies en scurit lui permettant dassurer une
expertise unique sur le march marocain.
8
2. La mission de lentreprise
Le conseil :
Ayant men une centaine de missions daudit de scurit et de certification des
systmes dinformations pour le compte dorganisations exerants dans divers domaines
dactivits, DATAPROTECT dispose dun retour dexprience trs riche et vari en la matire.
Unique prestataire Marocain autoris par le consortium PCI SSC mener des
missions de certification PCI DSS, et dot de comptences certifies en audit de scurit
(CISA, CEH, OSCP, CISSP, Lead Implementer & Lead Auditor ISO 27001, Risk Manager
ISO 27005, PA QSA, PCI QSA, etc), lactivit conseil de DATAPROTECT couvre les
prestations ci-aprs
Audit Politique de
Forensic Audit PCI DSS
organisationnel scurit
Mise en
Certification Certification
conformit aux
ISO 27001 PCI DSS
lois n09-08
9
Lintgration :
Scurisation
des postes de
travail
Le chiffrement Le Primtre
des donnes interne
La rplication
Les Accs web
des donnes
Linfogrance
Infogrance des solutions de scurit (Firewall, UTM, IPS/IDS, Gestion des logs, etc.)
Offre Mars : Maintenance, Administration, Reporting, Supervision.
Security Operations Center (SOC).
Management des vulnrabilits.
10
Recherche et Dveloppement
La formation :
Evaluation froid
Audit
11
4. Organigramme
DIRECTION GENERALE
Direction
Direction Avant- Direction Administrative &
ventes, Ventes & Dveloppement & Direction Technique Financire
Marketing Partenariats
Activit Audit
Activit Normes ISO Activit Normes PCI & Activit Intgration Activit Normes ISO
Scurit, Investigation Activit Continuit et Activit Recherche et
et Prvention de la et Activit Formation
et Conformit Lgale Dveloppement
Confiance Numrique fraude montique Confiance Numrique
Cyberscurit
Consultant
MOUSSA KOITA
Stagiaire
ZOUMHANE FATIMA
ZAHRA
Le prsent projet sest droul au sein de lquipe intgration dont fait partie
lencadrant de stage, Mr KOITA MOUSSA. Leur travail consiste auditer larchitecture SI
existante du client, analyser ses besoins fonctionnels et techniques afin de mettre en place
des solutions de scurisation des systmes dinformation suivant les meilleures pratiques.
12
II. Analyse du contexte
Nous assistons une rvolution des mthodes de travail. Celles-ci sont de plus en
plus introduites dans nos vies. Aujourdhui, en tant que particulier ou professionnel, nous
sommes tous sujets lutilisation des nouvelles technologies. Elles se sont forgs une place
indispensable dans nos vies et dans le fonctionnement des lentreprises notamment.
Les nouvelles technologies ont permis bon nombre dentreprises de saffirmer par
des gains de comptitivit, au sein du march de plus en plus exigeant. Linvestissement
dans les nouvelles technologies apparat clairement comme lun des principaux moteurs de
comptitivit au sein des entreprises, quelle que soit leur taille. Les entreprises qui ont su
surfer sur la vague sont celles qui ont su garder la tte hors de leau pendant les annes de
rcession conomique. [7]
2. Analyse de la situation
13
3. Les risques envisags :
III. Problmatique
Nous remarquons ces dernires annes la monte en puissance des rseaux locaux
sans fil ou encore Wifi, qui sont devenus l'une des principales solutions de connexion pour
de nombreuses entreprises cause du fort dveloppement de l'effectif nomade. En effet,
les employs sont quips d'ordinateurs portables et passent plus de temps travailler au
sein d'quipes gographiquement disperses et plurifonctionnelles. Le march du sans fil se
dveloppe alors rapidement cause de la bonne productivit que les entreprises constatent.
1. Analyse de lexistant
Le Wifi est un outil trs pratique qui permet un utilisateur de se connecter Internet
depuis n'importe quelle pice de son local sil est quip du matriel adquat. Cette
technologie facilite grandement la cration de rseaux locaux entre plusieurs ordinateurs
relis sans fil un seul et mme modem-routeur. De plus il est facile installer et souple
utiliser et il ne ncessite pas un gros investissement, il est donc la solution idale pour
partager une connexion ADSL avec tous les ordinateurs du domicile ou du bureau des
utilisateurs.
Concrtement, le Wifi trouve son utilit dans la libert qu'il offre aux internautes. Les
cbles gnants et disgracieux ne sont plus ncessaires pour profiter des joies du haut dbit.
En pratique, le Wifi rpond aux besoins des mobilits des internautes : il permet de relier des
ordinateurs portables, des PC de bureau, des Smartphones et des tablettes ainsi que des
priphriques mobiles une liaison haut dbit ou des appareils lectroniques
communiquant dans un rayon de plusieurs dizaines de mtres en intrieur plusieurs
centaines de mtres l'extrieur.
14
2. Dysfonctionnement
Ce quil faut savoir cest quune connexion Wifi non scurise peut s'avrer trs
dangereuse non seulement pour votre ordinateur, mais aussi pour vos donnes
personnelles.
Les hackers sont aussi capables de rcuprer les donnes qui transitent via le
rseau Wifi pirat. Toutes les donnes peuvent tre interceptes. Nimporte quel pirate,
mme dbutant, avec un logiciel de sniff rseau, peut capturer et lire les donnes changes
comme les emails reus ou envoys, les pages visites, les conversations Skype, les
identifiants et mots de passe utiliss sur les pages qui ne sont pas scurises en
HTTPS/SSL.
Par exemple un internaute en train deffectuer des achats en ligne par lintermdiaire
de sa tablette, court ainsi le risque de voir ses coordonnes bancaires interceptes par les
pirates. Une simple connexion sa bote email de type Gmail permet au pirate de rcuprer
lidentifiant et le mot de passe. partir de l, lhacker a accs des dizaines dautres accs,
pour rcuprer les mots, les accs, etc.
Tout comme il y a plusieurs faons dinfiltrer un rseau sans fil, il existe galement
plusieurs moyens de scuriser un rseau et de faire face aux menaces. De ce fait, beaucoup
de travaux et d'efforts ont t consentis ces dernires annes afin d'aboutir des solutions
pour scuriser ces rseaux.
15
IV. Cahier des charges
Le principal problme des rseaux Wifi est leur fragilit vis--vis des attaques externes,
et malgr les travaux qui ont t faits pour scuriser les rseaux, des vulnrabilits persistent
encore et il est toujours possible de monter des attaques plus ou moins facilement.
Il faut tudier les diffrentes failles du rseau sans fil, les diffrentes solutions
existantes, rassembler les bonnes configurations faire afin de scuriser le rseau. Il faut
aussi faire une tude comparative des quipements qui existent et qui vont nous permettre
de respecter les normes de scurit et le dbit souhait pour finalement proposer un
exemple darchitecture Wifi scurise qui indique les consignes suivre par les utilisateurs
du rseau sans fil.
Le temps pour avoir le rsultat dsir tait trs court donc il fallait une bonne gestion du
temps et lutilisation des bonnes mthodes, cest pour cela que le recours au diagramme de
gant comme illustr ci-dessous.
16
objectifs pour la journe ; et afin dviter lcartement entre ce que le client attend et le but
final, il y avait toujours limplication du client dans ces runions.
Durant le stage, je suis intervenu sur plusieurs taches ayant pour but de maider
dvelopper mes connaissances gnrales sur les rseaux informatiques, mais aussi faire
mon premier pas dans les activits professionnelles en menant bout les responsabilits
confies.
17
Tache Description
Ayant pour but principal de comprendre le concept de la scurit sans fils, cette
Hacking de tche consistant la dcouverte de la distribution (KALI LINUX) utilise par les
rseau sans fil professionnels de la scurit, tout comme les Hackers malveillants pour casser
la scurit des rseaux sans fil.
Dcouvrir lenvironnement le plus utilis sur le march en termes dannuaire
LDAP, tait une des taches importantes que jai menes galement. Le but
Mise en place
tant de dcouvrir comment sont organiss les systmes dinformations au sein
Windows server
des entreprises, la gestion des actifs, utilisateurs et authentifications.
2012 R2
Le but de ce travail est de comprendre lattribution des droits daccs aux
utilisateurs du rseau selon un annuaire dj tabli.
Solution de design utilise par les ingnieurs afin de schmatiser des
Design
architectures complexes, la dcouverte de cette application que jai par la suite
darchitecture
utilise tout au long de mon stage ma permis de comprendre plus en dtail
avec Microsoft
lorganisation des architectures rseau.
Visio 2013
Faire des recherches sur le sujet choisi pour constituer une sorte de revue de presse.
Apprendre les diffrents concepts de scurit dun rseau.
18
Se documenter pour savoir quelles sont les solutions qui ont t menes, par quelles
structures, pour quels publics, et tirer les failles.
connaitre les outils ncessaires pour scuriser une infrastructure Wifi.
Rflchir aux ressources matrielles et humaines qui pourront aider durant tout le
processus dlaboration et de ralisation du travail.
Savoir travailler en quipe.
Savoir grer le temps.
19
Chapitre 2 : tude des
mthodes et technologies
Ce chapitre prsente les principales bases matriser pour choisir la solution
convenable. Il prsente aussi les normes supportant le Wifi et les technologies
existantes
20
I. Gnralit
Le mode ad hoc : tous les clients (terminaux ou postes) des rseaux Wifi
communiquent entre eux sans passer par un quipement central [Figure 3.1].
La norme 802.11 fait rfrence une famille de spcifications dveloppes par lIEEE
pour la technologie des rseaux locaux sans fil (RLR). La norme 802.11 stipule une interface
radiolectrique entre un client sans fil et une station de base ou entre deux clients sans fil,
utilisant un systme saut de frquence et talement du spectre (FHSS, pour Frequency
Hopping Spread Spectrum) ou talement du spectre en squence directe (DSSS, pour
Direct Sequence Spread Spectrum).
802.11a : La norme 802.11a (baptis Wifi 5) permet dobtenir un haut dbit (54 Mbps
thoriques, 30 Mbps rels) et une frquence de fonctionnement de 5 GHz. La
norme 802.11a spcifie 52 canaux de sous-porteuses radio dans la bande de frquence des
21
5 GHz. Il utilise une mthode de transmission de multiplexage par rpartition orthogonale de
la frquence (OFDM, pour Orthogonal Frequency Division Multiplexing).
802.11 g : La norme 802.11g offre un haut dbit (54 Mbps thoriques, 30 Mbps rels)
sur la bande de frquence des 2.4 GHz. La norme 802.11g a une compatibilit ascendante
avec la norme 802.11b, ce qui signifie que des matriels conformes la norme 802.11g
peuvent fonctionner en 802.11b.
802.11i : La norme IEEE 802.11i a t ratifie en juin 2004 et met laccent sur la
scurit en proposant des mcanismes de contrle dintgrit, dauthentification et de
chiffrement.
802.11ac : est la dernire volution du standard de transmission sans fil 802.11, qui
permet une connexion sans fil haut dbit dans la bande de frquences 5 GHz. Le 802.11ac
offre jusqu 1 300 Mbit/s de dbit thorique, en utilisant des canaux de 80 MHz, soit jusqu
7 Gbit/s de dbit global dans la bande des 5 GHz [8].
Nous avons prfr de travailler pendant ce projet avec 802.11ac vu le dbit qui nous
permet. Donc le matriel que nous allons choisir par la suite doit rpondre cette norme.
22
Lauthentification IEEE 802.1x est base sur des protocoles EAP comme EAP-
TLS/TTLS ou PEAP.
Le WEP est considr comme cryptographiquement cass : lutiliser pour connexion Wifi est
donc dconseill car il noffre pas une protection suffisante.
WPA : Il a t propos par la Wifi Alliance en 2003. Il amliore la scurit offerte par
lancien protocole WEP vu quil tait dsormais cass et il fallait donc un nouveau protocole
de scurit. Cest pourquoi des faiblesses ont t remarques ds son introduction. Mais la
premire attaque efficace publie contre WPA1 date de 2008.
WPA2 : Cest le successeur de WPA, il remplace le chiffrement TKIP par AES pour plus de
scurit. Lutilisation de WPA2 ne garantit pas elle seule un bon niveau de scurit,
lutilisateur doit choisir soigneusement son mot de passe.
Pour rappel, TKIP et AES peuvent tre utiliss par WPA, mais WPA2 nutilise quAES.
Entreprise :
23
Dans cette authentification, les clients doivent sauthentifier auprs dun serveur appel
radius pour recevoir leurs codes daccs au rseau. Lauthentification ne se fait pas par le
point daccs, ce dernier relaie les messages dauthentification entre le client et le RADIUS.
Personnel (Personal) :
Cest une solution plus lgre, plus facile mettre en place, prvue pour les particuliers et
les petites entreprises. Le point daccs et le client partagent une cl similaire appele cl
partage (shared key) ou mot de passe (passphrase). Cest un mode dans lequel les clients
utilisent tous une passphrase commune.
WPS : Le Wifi Protected Setup (WPS) est un standard de la Wifi Alliance cr en 2007, qui a
pour but dtablir une connexion Wifi de manire simplifie. Ce nest pas un systme de
chiffrement et dauthentification, mais il est destin tre un complmentaire.
Mais la scurit nest pas garantie ; ce mode est activit par dfaut dans la plupart des
quipements rcents, et le PIN quil donne peut tre facilement contournable, vu quavec
cette mthode, on vite ce que lutilisateur dtermine une mthode de scurisation et
choisit un mot de passe complexe, donc il doit tre dsactiv sur les points daccs. [1]
Filtrage MAC : Consiste donner au point daccs les adresses MAC ayant le droit de
sassocier. Cette liste peut tre rpte sur tous les points daccs pour assurer la mobilit.
24
Protocole PEAP (Protected EAP) : dvelopp par Microsoft, Cisco et RSA Security, le
client est authentifi par un login/mot de passe tandis que le serveur est authentifi
par son certificat. [2]
5. Le protocole RADIUS
25
un serveur (le serveur RADIUS), reli une base didentification (base de donnes, Active
Directory, annuaire LDAP, etc.) et un client RADIUS, appel NAS (Network Access Server),
faisant office dintermdiaire entre lutilisateur final et le serveur. Lensemble des transactions
entre le client RADIUS et le serveur RADIUS sont chiffres et authentifies grce un secret
partag.
o Un utilisateur envoie une requte au NAS afin dautoriser une connexion distance ;
o Le NAS achemine la demande au serveur RADIUS ;
o Le serveur RADIUS consulte la base de donnes didentification afin de connatre le type
de scnario didentification demand pour lutilisateur. Soit le scnario actuel convient,
soit une autre mthode didentification est demande lutilisateur. Le serveur RADIUS
retourne ainsi une des quatre rponses suivantes :
Suite cette phase dite dauthentification, dbute une phase dautorisation o le serveur
retourne les autorisations de lutilisateur. [9]
Il tait ncessaire dlaborer des normes qui vont garantir la protection des donnes
personnelles et la mise en place dun environnement numrique digne de confiance. La
scurit du rseau sans fil fait lobjet de plusieurs normes, par exemple : ANSSI,
ISO/CEI 27002, NORME PCI-DSS, Norme NIST.
26
a) Norme ANSSI :
Recommandation 3 : Maintenir le systme dexploitation et les pilotes Wifi du terminal en permanence jour des
correctifs de scurit.
viter tant que possible de se connecter des rseaux sans fil inconnus ou qui ne sont pas de
Recommandation 4 :
confiance.
Recommandation 5 : Bloquer, par configuration du pare-feu local, les connexions entrantes via linterface Wifi
En situation de mobilit, lors de toute connexion des points daccs Wifi qui ne sont pas de
Recommandation 8 : confiance (par exemple lhtel, la gare ou laroport), pralablement tout change de donnes,
utiliser systmatiquement des moyens de scurit complmentaires (VPN IPsec par exemple).
Plus largement, lorsque des donnes sensibles doivent tre vhicules via un rseau Wifi,
Recommandation 9 :
lutilisation dun protocole de scurit spcifique, tel que TLS ou IPsec, doit tre mis en uvre.
27
Configurer le point daccs pour utiliser un chiffrement robuste. Le mode WPA2 avec lalgorithme
de chiffrement AES-CCMP est fortement recommand. Pour les points daccs personnels, utiliser
Recommandation 10 : le mode dauthentification WPA-PSK (WPA-Personnel) avec un mot de passe long (une vingtaine
de caractres par exemple) et complexe, dautant plus que ce dernier est enregistr et na pas
besoin dtre mmoris par lutilisateur.
Lorsque laccs au rseau Wifi nest protg que par un mot de passe (WPA-PSK), il est
primordial de changer rgulirement ce dernier, mais galement de contrler sa diffusion. En
particulier, il convient de :
Recommandation 11 : ne pas communiquer le mot de passe des tiers non autoriss (prestataires de services par
exemple) ;
ne pas crire le mot de passe sur un support qui pourrait tre vu par un tiers non autoris ;
changer le mot de passe rgulirement et lorsquil a t compromis.
Pour les rseaux Wifi en environnement professionnel, mettre en uvre WPA2 avec une
Recommandation 12 : infrastructure dauthentification centralise en sappuyant sur WPA-Entreprise (standard 802.1x et
protocole EAP), ainsi que des mthodes dauthentification robustes.
Configurer le Private VLAN invit en mode isolated lorsque le point daccs Wifi prend en charge
Recommandation 13 : cette fonctionnalit.
Ne pas conserver un nom de rseau (SSID) gnrique et propos par dfaut. Le SSID retenu ne
Recommandation 14 : doit pas tre trop explicite par rapport une activit professionnelle ou une information
personnelle.
Recommandation 15 : Dsactiver systmatiquement la fonction WPS (Wifi Protected Setup) des points daccs.
Configurer le point daccs pour que les vnements de scurit puissent tre superviss.
En environnement professionnel, il est prfrable de rediriger lensemble des vnements gnrs
Recommandation 17 :
par les points daccs vers une infrastructure centrale de supervision.
Ne jamais sous-estimer la zone de couverture dun rseau Wifi. Ne jamais penser tre labri de
Recommandation 19 :
tout risque du fait de lisolement gographique du point daccs Wifi.
En environnement professionnel, isoler le rseau Wifi du rseau filaire et mettre en place des
Recommandation 20 : quipements de filtrage rseau permettant lapplication de rgles strictes et en adquation avec
les objectifs de scurit de lorganisme. Comme pour le point daccs, lquipement de filtrage doit
28
tre paramtr pour que puissent tre superviss les vnements de scurit.
Si un rseau Wifi visiteurs doit tre mis en place, il est recommand de dployer une
infrastructure ddie cet usage, isole des autres et ne donnant accs aucune ressource du
Recommandation 21 :
rseau interne. Ce rseau doit par ailleurs avoir sa propre politique de scurit beaucoup plus
restrictive.
Mettre en uvre les GPO ncessaires lapplication de stratgies de scurit verrouillant les
Recommandation 22 : configurations Wifi des postes clients Windows, de manire appliquer techniquement diffrentes
recommandations indiques dans ce document.
Afin de ne pas les communiquer aux utilisateurs, dployer sur les postes Windows les informations
Recommandation 23 : de connexion au Wifi par GPO (nom de rseau, cl daccs, certificats ventuels si la mthode
EAP le ncessite, etc.).
Tableau 2.2 : Recommandations de la norme ANSSI [3]
Chapitre 13 : scurit des communications Dans le cas des environnements sensibles, il convient de
veiller traiter lensemble des accs sans fil comme des
13.1.1 Contrle des rseaux connexions externes et de sparer ces accs des rseaux
internes jusqu franchissement de la passerelle conformment
la politique de contrle des rseaux avant daccorder laccs
aux systmes internes.
Les technologies dauthentification, de chiffrement et de
contrle daccs rseau au niveau utilisateur propres aux
29
rseaux sans fil modernes normaliss peuvent tre suffisantes
pour permettre une connexion directe au rseau interne de
lorganisation, lorsquelles sont correctement mises en uvre.
Il convient de dfinir des mesures spciales pour prserver la
confidentialit et lintgrit des donnes transmises sur les
rseaux publics ou les rseaux sans fil et de protger les
systmes et applications connects.
Tableau 2.3 : Recommandations de la norme 27002 [4]
c) NORME PCI-DSS
La norme PCI DSS est lacronyme anglais de Payment Card Industry Data Security
Standard a t labore par les socits de carte de paiement, cest--dire American
Express, Discover Financial Services, JCB International, MasterCard Worldwide and Visa
Inc, pour aider faciliter une large adoption de mesures de scurit des bases de donnes.
Cest une norme globale qui a cr un standard commun pour la scurit de tous les circuits
de paiement touchant les cartes bancaires. Toute organisation qui met, conserve, ou traite
des donnes de carte de paiement est tenue de se conformer la Norme PCI DSS ; le non-
respect de ce cadre rglementaire peut entraner des amendes et frais levs. Limpact
ngatif des cyber-attaques sur la confiance des clients et sur lactivit financire rend la
protection des donnes de carte de paiement non seulement importante, mais essentielle, et
ce, quelque soit le type de commerce. Les grands dtaillants en ligne ne sont pas les seules
organisations cibles. Lattention du public est souvent focalise sur des pertes de socits
importantes, mais il savre que de plus en plus dactions criminelles visent des sites e-
commerce de petite taille. La norme PCI DSS a 12 exigences prcises. Il est nonc dans ce
document celles qui ont un rapport avec le rseau sans fil [12].
1re exigence : installer et grer une configuration 1.1.2 Mettre en place des normes de configuration de pare-feu incluant
de pare-feu afin de protger les donnes des un diagramme du rseau jour, avec toutes les connexions des
titulaires de carte donnes de titulaires de carte, y compris tous rseaux sans fil.
1.3.8 Linstallation de pare-feux de primtre entre tous rseaux sans fil
et lenvironnement de donnes de titulaires de carte, et la configuration
de ces pare-feux de manire bloquer tout trafic provenant de
l'environnement sans fil, ou pour contrler tout trafic (lorsquil est
ncessaire des fins commerciales) ;
2me exigence : ne pas utiliser les paramtres par 2.1.1 Dans le cas des environnements sans fil, modifier les rglages
dfaut du fournisseur pour les mots de passe et par dfaut du fournisseur sans fil, y compris notamment les cls Wired
les autres paramtres de scurit du systme Equivalent Privacy (WEP), le Service Set IDentifier (SSID) par dfaut,
les mots de passe et les chanes communautaires SNMP. Dsactiver
les missions en clair du SSID sur le rseau. Mettre en place une
technologie daccs Wifi protg (WPA et WPA2) pour le cryptage et
30
lauthentification lorsquil existe une capacit WPA.
3me exigence : protger les donnes des titulaires 3.4 Rendre le PAN, au minimum, illisible o quil soit stock (y compris
de carte en stock des donnes sur support numrique portable, support de sauvegarde,
journaux et donnes reues de, ou stockes par des rseaux sans fil)
4me exigence : crypter la transmission des 4.1.1 Dans le cas des rseaux sans fil transmettant des donnes de
donnes des titulaires de carte sur les rseaux titulaire de carte, crypter les transmissions en utilisant la technologie
publics ouverts daccs protg au Wifi (WPA ou WPA2), IPSEC VPN ou SSL/TLS. Ne
jamais se fier uniquement au protocole WEP (Wired Equivalent
Privacy) pour protger la confidentialit et laccs un rseau LAN
sans fil
10me exigence : suivre et surveiller tous les accs 10.5.4 Copier les journaux relatifs aux rseaux sans fil sur un serveur
aux ressources du rseau et aux donnes des registre du LAN interne.
titulaires de carte
d) Norme NIST
Le National Institute of Standards and Technology connu sous le sigle NIST, est
une agence du Dpartement du Commerce des tats-Unis. Son but est de promouvoir
l'conomie en dveloppant des technologies, la mtrologie et des standards de concert avec
l'industrie [13]. Les sections qui ont trait la scurit dans les rseaux sans fil sont les
suivantes :
Section 2 : Configuration de la scurit WLAN Les organisations devraient procder des valuations de risque pour
identifier les menaces contre leurs rseaux locaux sans fil et de
dterminer l'efficacit des contrles de scurit existants lutter contre
ces menaces
Section 2 : Configuration de la scurit WLAN dsactiver toutes les interfaces rseau qui ne sont pas autorises pour
Pour tous leurs priphriques clients WLAN: toute utilisation (y compris pendant les plans d'urgence pour la
continuit des activits, la reprise aprs sinistre, etc.), et configurer
l'appareil de sorte que l'utilisateur ne peut pas les activer ou contourner
les restrictions autrement
Section 2 : Configuration de la scurit WLAN Mettre en uvre les contrles appropris techniques de scurit de
Pour tous leurs priphriques clients WLAN non telle sorte que toutes les configurations connectes doubles sont
autoriss pour deux connexions: interdites.
31
Section 2 : Configuration de la scurit WLAN Mettre en uvre les contrles de scurits techniques appropris pour
Pour tous les appareils client Wifi autoriss pour deux que les configurations doubles connectes autorises ne soient actives
connexions que lorsque cela est ncessaire et que toutes les autres configurations
connectes doubles sont interdites.
Section 3 : Surveillance de la scurit WLAN L'emplacement de l'installation en cours de numrisation, parce que la
les organisations devraient envisager lors de la proximit physique d'un btiment un espace public (par exemple, les
planification de la frquence et de l'ampleur des rues et les espaces communs publics) ou son emplacement dans une
valuations priodiques rgion mtropolitaine occupe peut augmenter le risque de menaces
WLAN
32
2. Analyse de leurs avantages et inconvnients par rapport au projet
mettre en uvre
Cette partie concerne ltude des points daccs existant sur le march et qui supportent
le standard 802.11ac, ce standard permet une connexion sans fil haut dbit un rseau
local.il existent plusieurs entreprises qui produisent ce type de matriel, mais qui diffrent
dans les proprits : Il existe comme exemple: FORTINET [14], CISCO-MERAKI [15],
ARUBA [16], RUCKUS [17] et AEROHIVE [18].
33
FORTINET AP- FORTINET FORTINE FORTINE AEROHIVE AEROHIVE AEROHIVE ARUBA ARUBA ARUBA
221C AP-223C T AP- T AP- AP-130 AP-230 AP-370 AP-220 AP-228 AP-210
320C 321C
Puissance de 20 dBm 17 dBm 21 dBm 20 dBm 20 dBm 18 dBm Sur 2.4- 18 dBm
transmission GHz: +23
dBm (18
dBm par
chaine)
Sur 5-
GHz: 23
dBm (18
dBm par
chaine)
DBITS 300Mbit/s 450Mbit 450Mbit 300Mbit 450Mbit 450Mbit 600 600 450
pour 2,4GHZ 300Mbit/s /s pour /s pour /s pour /s pour /s pour Mbit/s Mbit/s Mbps(2.
867Mbit/s pour 2,4GHZ 2,4GHZ 2,4GHZ 2,4GHZ 2,4GHZ (2,4 (2,4 GHz) 4-GHz)
pour 5GHZ 2,4GHZ 1300M 1300M 867 1300Mb 1300Mb GHz) 1 300 1 300
bit/s bit/s Mbit/s it/s pour it/s pour 1 300 Mbit/s (5 Mbps (5
867Mbit/s pour pour pour 5GHZ 5GHZ Mbit/s GHz) GHz)
pour 5GHZ 5GHZ 5GHZ 5GHZ (5 GHz)
NORMES 802.11 802.11 802.11 802.11 IEEE 802.1 IEEE 802.1 IEEE 802.1 802.11 IEEE 802.1 IEEE 802
a/b/g/n/ac a/b/g/n/ac a/b/g/n/ a/b/g/n/ 1a/b/g/n/ 1a/b/g/n/ 1a/b/g/n/ a/b/g/ 1a/b/g/n/ .11a/b/g
ac ac ac ac ac n/ac ac /n/ac
CHANES RADIO / 2 x 2:2 2 x 2:2 3 x 3:3 3 x 3:3 2x2 3x3 3x3 3x3: 3 x3:3 3 x3:3
FLUX 3
802.11e Pris en Pris en Pris en Pris en Pris en Pris en Pris en Pris en Pris en Pris en
charge charge charge charge charge charge charge charge charge charge
34
FORTINET AP- FORTINET FORTINE FORTINE AEROHIVE AEROHIVE AEROHIVE ARUBA ARUBA ARUBA
221C AP-223C T AP- T AP- AP-130 AP-230 AP-370 AP-220 AP-228 AP-210
320C 321C
SCURIT SANS FIL AES-CCMP, AES-CCMP, AES- AES- WPA and WPA(TM) WPA(TM) abonn abonne abonn
WPA2-PSK, WPA2-PSK, CCMP, CCMP, WPA2, and WPA2 and WPA2 ement ment au ement
RC4, TKIP, RC4, TKIP, WPA2- WPA2- 802.11i, (TM), (TM), au service au
TLS, TTLS, TLS, TTLS, PSK, RC4, PSK, RC4, WEP, 802.11i, 802.11i, service OpenDNS service
WEP, WPA, WEP, WPA, TKIP, TLS, TKIP, TLS, 802.1x, WEP, WEP, OpenD Trusted OpenDN
WPA-PSK, WPA-PSK, TTLS, TTLS, PSK, 802.1x, 802.1x, NS Platform S
WPA2 WPA2 WEP, WEP, Aerohive PSK, PSK, Module
WPA, WPA, PPSK, CCMP, CCMP, Trusted (TPM) Trusted
WPA- WPA- CCMP, TKIP, and TKIP, and Platfor Platfor
PSK, PSK, WA2 TKIP, et RC4 (WEP RC4 (WEP m m
WPA2 RC4 (WEP seulement seulement Modul Module
seulement ) ) e (TPM)
) (TPM)
BSSID 16 16 16 16 16
ARUBA MERAKI AP- MERAKI AP- RUCKUS R700 RUCKUS R600 RUCKUS R500 RUCKUS RUCKUS
AP-200 MR32 MR34 H500 T300
Puissance de 18 dBm 15 dBm sur 2,4 29 dBm sur 28 dBm pour 26 dBm pour 19 dBm sur 26 dBm
transmission GHz; 2,4 GHz; 27 2.4GHz/ 27 2,4 GHz/25 2,4 GHz ; 22 pour 2,4
20 dBM sur 5 dBM sur 5 dBm pour dBm pour dBm sur 5,0 GHz ; 25
GHz GHz 5GHz 5GHz GHz dBm pour
5,0 GHz
NORMES IEEE 802 IEEE 802.11a/b IEEE 802.11 IEEE 802.11a/ IEEE 8 02.11a / IEEE 802.11a/ IEEE 802.11 5 GHz
.11a/b/g /g/n/ac a/b/g/n/ac b/g/n/ac b/g / n /a c b/g/n/ac a/b/g/n/ac IEEE 802.11
/n/ac une radio ac
ddie 2 GHz
l'analyse du IEEE 802.11
spectre et g/n
au WIPS bi-
bande
CHANES RADIO / 2 x2:2 2 x 2:2 3 x 3:3 3 x 3:3 3x3 2x2 2x2:2 2 x2:2
FLUX
35
ARUBA MERAKI AP- MERAKI AP- RUCKUS R700 RUCKUS R600 RUCKUS R500 RUCKUS RUCKUS
AP-200 MR32 MR34 H500 T300
STATIONS Jusqu 500 500 clients par 500 clients Jusqu 100 jusqu' 500
SIMULTANES AP par point clients par
d'accs AP
36
4. Etude Comparative des solutions de point daccs existant sur le
march
EXIGENCES
/TECHNOLOGIES CISCO-
RUCKUS ARUBA AEROHIVE FORTINET
MERAKI
Chiffrement WPA2/WPA
802.11 e
NORME 802.11ac
Tunnelisation
__ __
WIPS
__ __
CLOUD
Dure de fonctionnement
__ __ __ __
long
Focalisation de
__ __ __ __
rayonnement
Tableau 2.9 : Comparaison entre les points daccs supportant 802.11ac
37
Chapitre 3 : tude de la
solution mettre en ouvre
Ce chapitre tudie les protocoles de scurit et les configurations mettre en place
dans le projet, puis la dernire partie est consacre la mise en uvre de la
solution de larchitecture scurise.
38
Ltude du projet est divise en deux phases comme illustres ci-dessous :
Mise en
Analyse de lexistant oeuvre
Expression du besoin
Dfinition des choisir le matriel convenable
spcifications pour la solution
Dfinir les methodes
d'authentifications adopt
Dmonstration de
tude et fonctionnement
ingnierie
I. tude et Ingnierie
1. Analyse de lexistant
Lanalyse de lexistant consiste analyser les solutions dj dployer pour aboutir une
critique de l'existant qui analyse les points positifs et ngatifs, et dgage les amliorations
apporter pour larchitecture quon va mettre en place. Il est prsent ci-dessous des
exemples de cas de dploiement dans un htel et une moyenne entreprise.
a) Exemple 1
Dans cet exemple cest le cas de dploiement dun rseau sans fil dans une
moyenne entreprise.
Fonctionnement :
Le rseau interne de lentreprise est protg par des firewalls. Les deux rseaux ;
dadministration et des commerciaux sont spars avec des VLAN et dans chaque Vlan est
connect des points daccs. Et afin de scuriser laccs aux diffrents serveurs et
applications mtiers, laccs est limit quelque employ.
39
Serveur Serveur Serveur Serveur
antispam Web DNS Proxy
LAN commerciaux
Lan administrateur
Serveur
Gestion des Serveur Base de
transactions NAS Serveur AD donne
Avantages:
La bande passante ddie chacun dentre eux est limite pour ne pas saturer la
connexion internet.
Inconvnients :
40
Nutilise pas le filtrage MAC pour limiter les quipements connects.
Ne limite pas la puissance des bornes pour limiter la diffusion en dehors du btiment.
b) Exemple 2 :
Cest lexemple dun dploiement dun rseau sans fil dans un htel.
Lan serveur
Serveur Serveur
Serveur
SAP Gestion de
AD
compte reservation
LAN client
Internet
VLan administration
de l'hotel
Fonctionnement
Ce schma est le rseau dun htel qui utilise le rseau sans fil Wifi. Les employs de
lhtel se connectent aux points daccs aprs une authentification par le protocole WEP; sur
41
le mme rseau filaire, ils sont connects dautres quipements comme des PC fixes, des
imprimantes, des camras de surveillancespour les visiteurs et sur un autre rseau LAN,
ils ont un accs au Wifi sans authentification.les serveurs sont mis dans un Lan spar et
protg par des droits daccs.
Avantages :
Inconvnients :
Les points daccs met la disposition des clients ne sont pas scuriss par les
protocoles dauthentifications.
Utilise le mode dauthentification WEP pour les points daccs qui se trouvent dans le
LAN employ.
Possibilit daccs aux rseaux LAN des employs par un malveillant et donc aux
donnes stockes sur les quipements connects.
2. Expression du besoin :
Aprs ltape de ltude dexistant, cest ltape dexpression du besoin, pour arriver
raliser le but du projet convenablement ce que le client attend. Elle permet de dfinir le
rsultat recherch non plus en termes techniques dcrivant la solution, mais en termes
dexigences satisfaire.
On doit aussi savoir que le besoin diffre dune entreprise une autre selon la taille
de lendroit o on va dployer le rseau sans fil.
Petite entreprise :
Dans larchitecture dune petite entreprise, afin de dployer le Wifi pour faire
communiquer les utilisateurs on va se contenter dutiliser des points daccs, tout en le
configurant convenablement afin dassurer la scurit des donnes.
Moyenne entreprise :
43
Grande entreprise
Ensuite ctait ltape de Dfinition des spcifications, qui consiste choisir les
spcifications du matriel quon va utiliser selon le besoin dj exprim.
On veut arriver raliser une architecture qui est scurise avec pas mal
dinteractions avec lextrieur. Selon les besoins exprims par le client on va avoir besoin
dun serveur LDAP, serveur RADIUS; et comme quipements, on va utiliser des points
daccs et contrleurs WLAN.
Les points daccs que nous allons utiliser doivent avoir les caractristiques suivantes
pour rpondre aux besoins:
Pour le contrleur WLAN on va avoir besoin dun quipement qui a les caractristiques
suivantes :
Le contrleur doit tre capable de mesurer dans un rseau pendant que le rseau se
dveloppe.
44
Il doit fournir la transmission en temps rel entre la radio APs et d'autres
priphriques pour fournir des stratgies de scurit centralises et l'accs invit.
Il doit avoir le systme de prvention des intrusions sans fil (WIPS), la Gestion
contexte-avertie (emplacement).
Il doit assurer la qualit de service (QoS) pour des Services de mobilit tels que la
Voix et la vido, et le soutien OEAP de la solution de tltravailleur.
Il doit offrir la couverture robuste avec le 802.11 a/b/g ou fournit la fiabilit sans
prcdent utilisant les solutions 802.11n/ac.
Techniquement ce projet qui a pour but de mettre en place une infrastructure Wifi
scurise doit assurer :
45
II. Mise en uvre de la solution
1. Description de la solution
Le but de larchitecture quon va mettre en uvre est :
Une scurit assez leve sans pour autant compromettre lutilisation du rseau par les
utilisateurs (le problme de tout admin ).
Un cot trs faible.
Une maintenance aise du rseau (ajout/suppression de postes/utilisateurs)
Serveur
Radius/ VLan direction Gnrale
Serveur LDAP/
NAC
WPA2
Internet
Controleur Wlan
un point daccs rseau sans fil Aruba 228, matriel conforme la norme 802.11i et
permettant la mise en uvre de tous les mcanismes de scurit dfinis par la
norme 802.11i. Ce choix a t fait puisque les points daccs dAruba sont robustes.
Un switch PoE (Power over Ethernet).
Routeur
46
Lintrt de choisir la technologie PoE dans le matriel quon va utiliser est de pouvoir
installer les points daccs dans les endroits qui sont dpourvus dalimentation lectrique
(sous plafond par exemple).
Aprs lassociation au point daccs du rseau sans fil, lutilisateur est authentifi
travers une connexion scurise pour pouvoir disposer du service Wifi.
Au niveau du serveur RADIUS, la liste des utilisateurs du domaine est restreinte ayant le
droit de se connecter au rseau sans fil. Lannuaire des utilisateurs est sous environnement
windows server 2012.
Le serveur Radius a t dploy de faon assurer une connexion par 802.1X, avec un
chiffrement WPA2-AES et une gestion de l'authentification par EAP-TLS.
47
Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont t proposs
par le client
Le client vrifie le certificat du serveur et rpond avec son propre certificat et sa cl
publique.
Grce aux cls de cryptage, le client et le point d'accs sans fil tablissent une
connexion sans fil scurise, ce qui permet au client et au rseau interne de
communiquer.
48
2. Dmonstration de fonctionnement :
Dans cette partie, on sintresse seulement aux utilisateurs du rseau sans fil. La
simulation de la solution adopte est sur packet tracer, afin de sassurer de sa fiabilit. Le
schma est le suivant :
49
2.2 Configuration du serveur Radius
On configure le DHCP pour quil donne les adresses IP aux quipements connects sur
le rseau, pour ainsi faciliter laffectation des adresses IP pendant la configuration. (Figure
3.8)
Ensuite on configure le serveur Radius, en ajoutant les utilisateurs qui ont le droit
daccder au rseau sans fil. On ajoute le login et mot de passe qui doit tre unique.(Figure
3.9)
50
2.3 Configuration du routeur sans fil
On nomme le rseau sans fil, dans cette dmonstration on a pris dp , ensuite on active la
diffusion du nom du rseau sans fil SSID pour faciliter lauthentification. (Figure 3.10)
51
Le droit daccs au paramtre du routeur est limit ladministrateur du rseau par un
identifiant. (Figure 3.12)
52
2.5 Configuration des quipements
Les adresses IP des quipements sont configures par le serveur DHCP. Les utilisateurs
sauthentifient par le login et le mot de passe entrs dans le serveur radius. (Figure 3.13)
Le serveur Radius vrifie les identifiants des utilisateurs puis il leurs donne ou non laccs au
rseau sans fil de lentreprise. Dans linterface ci-dessous lutilisateur est connect. (Figure 3.14)
53
Interprtation : lutilisateur autoris sur le serveur Radius est connect.
54
Interprtation : lutilisateur ne peut pas accder au rseau sans fil parce quil nexiste pas
dans la base de donnes du serveur Radius.
Conclusion : On remarque donc que malgr les faiblesses existantes des protocoles de scurits
(WPA, WPA2) le serveur Radius et lisolation des quipements, ajoutent une protection
supplmentaire aux donnes circulantes sur le rseau.
55
CONCLUSION
Durant le projet, on a fait une tude sur les normes supportant le Wifi, les paramtrages et les
rgles de scurit utiliser pour scuriser le rseau sans fil. Le but de cette tude est de proposer
une architecture scurise destine aux clients de Dataprotect qui veulent dployer le Wifi tout en
assurant la scurit de leurs donnes.
Notre solution a satisfait les objectifs fonctionnels ainsi que techniques attendus vu la scurit
et la qualit de service quelle permet aux propritaires de lentreprise, par lisolation des rseaux
et les mthodes et protocoles dauthentification utiliss ainsi que le dbit quelle procure ses
clients.
tant donn la priode limite du stage ainsi que ltendu de ce sujet, notre travail nous a
permis d'tablir le fonctionnement de larchitecture scurise et la mise en place des paramtrages
associs, en attendant la disponibilit des quipements pour accomplir ce projet et avoir un
document plus crdible.
56
BIBLIOGRAPHIE ET WEBOGRAPHIE
Ouvrage numrique :
[1] : La Scurit des Rseaux Wi-Fi,Aspects Cryptographiques],[ Julien Cathalo],[2012]
[2] : [Solution d'authentification scurise pour le futur rseau sans fil de l'Universit
LouisPasteur], [Christophe Saillard]
[5] : [Normes en matire de scurit des donnes], [Payment Card Industry (PCI)], [ 2006]
[6] : [Guidelines for Securing Wireless Local Area Networks], [NIST Computer Security
Division], [2012]
Site web :
[7] : http://portail-des-pme.fr/internet-referencement/1717-le-role-des-technologies-dans-
lentreprise
[8] : https://fr.wikipedia.org/wiki/Wi-Fi
[9] : http://www.commentcamarche.net/contents/91-radius
[10] : http://www.panoptinet.com/cybersecurite-pratique/securite-wi-fi-les-
recommandations-de-lanssi/
[11] : http://www.iso.org/iso/fr/catalogue_detail?csnumber=54533
[12] : http://www.bee-ware.net/fr/solutions/conformit%C3%A9-pci-dss
[13] : https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology
[14] : http://www.fortinet.com/products/fortiap/indoor-ap.html
[15] : https://meraki.cisco.com/
[16] : http://www.arubanetworks.com/products/networking/access-points/
[17] : http://fr.ruckuswireless.com/products
[18] : http://www.aerohive.com/80211ac
[19] : http://www.memoefix.com/?p=260
57
ANNEXE : Glossaire des principaux sigles et acronymes utiliss
Terme Dfinition
58
IEEE Une organisation qui a pour but de promouvoir la
(Institute of Electrical and
connaissance dans le domaine de lingnierie lectrique.
Electronics Engineers)
LAN Il s'agit d'un ensemble d'ordinateurs appartenant une
(Local Area Network)
mme organisation, et relis entre eux dans une petite aire
gographique par un rseau, souvent l'aide d'une mme
technologie
LDAP Le Protocole d'accs aux annuaires lger est un
(Lightweight Directory
protocole standard permettant de grer des annuaires, c'est-
Access Protocol)
-dire d'accder des bases d'informations sur les
utilisateurs d'un rseau par l'intermdiaire de
protocoles TCP/IP.
MIMO Une Technologie permettant dacclrer le dbit et dlargir
(Multiple Inputs Multiple
la porte d'un rseau Wifi, en employant plusieurs antennes
Outputs)
radio pour l'mission et la rception (Entre multiple sortie
multiple).
NAC il permet de soumettre laccs au rseau dentreprise un
(Network Access Control)
protocole didentification de lutilisateur et au respect des
restrictions dusages dfinies pour ce rseau.
POE Technologie permettant un cble rseau Ethernet de
(Power over Ethernet)
fournir des donnes et l'alimentation lectrique.
59
WEP Mthode de chiffrement utilise pour les liaisons d'un
(Wired Equivalent Privacy)
rseau local sans fil 802.11. Ce protocole de scurisation
nest pas fiable.
WIFI Une technologie permettant de crer des rseaux
(Wireless Fidelity)
informatiques sans fil. Il s'agit d'une norme de l'IEEE
baptise 802.11.
WIPS Systme de prvention des intrusions sans fil
(wireless intrusion
prevention system)
WLAN Rseau local sans fil
(wireless Local Area
Network)
WPA Une norme de protection des donnes, amene remplacer
( Wi-Fi Protected Access)
la clef WEP.
60