Sunteți pe pagina 1din 62

Universit Sidi Mohamed Ben Abdellah

Facult des Sciences et Techniques Fs


Dpartement Gnie Electrique

Mmoire de Projet de fin dtude

Prpar par

ZOUMHANE Fatimazahra

Pour lobtention du diplme


Ingnieur dEtat en
SYSTEMES ELECTRONIQUES & TELECOMMUNICATIONS

Intitul

Mise en place dune solution Wifi scurise

Encadr par :
Pr ABARKAN El Hossein
Mr KOITA Moussa (DATAPROTECT)

Soutenu le 30 Juin 2015, devant le jury compos de :

Pr ABARKAN El Hossein ..: Encadrant


Pr KOITA Moussa : Encadrant
Pr ZENKOUAR Khalid..: Examinateur
Pr MRABTI Fatiha.: Examinateur

ANNEE UNIVERSITAIRE 2014- 2015


Remerciements

Je ne peux entamer ce prsent rapport sans exprimer mes sincres


remerciements tous ceux qui ont contribu, de prs ou de loin, laboutissement
de ce stage.

Je pense particulirement Mr. KOITA, mon encadrant, pour la finesse de ses


attitudes sur le plan aussi bien humain que professionnel. Ses remarques successives
ont permis damliorer les diffrentes versions de ce travail.

Je remercie galement Mr. AMEZERIN pour mavoir donn lopportunit de


passer ce stage chez Dataprotect.

Jadresse aussi mes remerciements mon parrain industriel Mr. ABARKAN qui
ma prodigu de prcieuses recommandations dune grande utilit.

Mes sincres remerciements sadressent Mr. ZENKOUAR pour ses


judicieuses directives et laide quil ma octroye.

Ma gratitude va aussi lendroit des membres du jury davoir examin et not mon

travail.

Je tiens galement adresser mes sincres remerciements l'ensemble du


corps enseignant de la FST FES.

Enfin, quil me soit permis de remercier tout le personnel de DATAPROTECT,


pour son soutien et pour sa gnrosit considrable quant l'ore de l'information.
Rsum

Plusieurs entreprises sintressent de plus en plus la mise en place dun rseau sans
fil, en vue des avantages que le Wifi permet ses utilisateurs (facilit de dploiement,
mobilit, connexion des priphriques portables aux ressources de lentreprise) tout en
maintenant leur besoin de scurit et de disponibilit de leurs donnes qui circulant sur ces
rseaux.

Fournir les bonnes pratiques ncessaires la mise en place dinfrastructure sans fils
rpondant aux normes de scurit et de disponibilit travers llaboration dun document
est le contexte dans lequel sinscrit cette tude qui a t mene au sein de la socit
DATAPROTECT.

Dans ce document, nous avons prsent ltude du projet qui consiste rassembler des
consignes et des quipements ncessaires pour mettre en place larchitecture finale
scurise, et qui rpond aux besoins de ses utilisateurs en termes de scurit, fiabilit et
force.

Pour atteindre le but final du projet, on a fait tout dabord ltude des normes : ANSSI,
PCI-DSS, 27002, NIST, qui donnent les recommandations sur le dploiement du rseau
sans fil, ensuite on a pris cinq technologies : RUCKUS, CISCO, ARUBA, FORTINET,
AEROHIVE et on a fait la comparaison de leurs avantages et inconvnients afin de choisir la
technologie qui rpond aux besoins exprims, aprs on a fait ltude des failles des
architectures existantes, et on a pris dans ce document le cas dune moyenne entreprise et
dun htel ; et finalement, et aprs ltude du besoin on a mis en place larchitecture Wifi
scurise adopte.

Mots cls : Scurit Wifi Rseau sans fil Architecture LAN Dploiement
Standard Norme- WEP- Radius- WPA-Authentification.
1
TABLE DES MATIERES

Liste des tableaux ............................................................................................................... 4


Liste des figures .................................................................................................................. 5
INTRODUCTION GNRALE .............................................................................................. 6
Chapitre 1 : Contexte gnral du projet ............................................................................. 7
I. Prsentation de lentreprise daccueil ........................................................................ 8
1. Prsentation de lentreprise ..................................................................................... 8
2. La mission de lentreprise ........................................................................................ 9
3. Les activits et projets de DATAPROTECT............................................................. 9
4. Organigramme .........................................................................................................12
5. Prsentation de lenvironnement de travail ...........................................................12
II. Analyse du contexte ...................................................................................................13
1. Le rle de la technologie dans le dveloppement .................................................13
2. Analyse de la situation ............................................................................................13
3. Les risques envisags : ..........................................................................................14
III. Problmatique ..........................................................................................................14
1. Analyse de lexistant ...............................................................................................14
2. Dysfonctionnement .................................................................................................15
IV. Cahier des charges ..................................................................................................16
V. Macro planning du projet ........................................................................................16
VI. Tches et responsabilits confies au cours du stage .........................................17
VII. Connaissances acqurir pour traiter le sujet du mmoire :...............................18
Chapitre 2 : tude des mthodes et technologies ...........................................................20
I. Gnralit.....................................................................................................................21
1. Type darchitecture du rseau WIFI ........................................................................21
2. Les normes WIFI ......................................................................................................21
3. Les protocoles de scurit......................................................................................23
4. Mthode dauthentification base sur des certificats ...........................................24
5. Le protocole RADIUS ...............................................................................................25
II. Mthodes habituellement utilises pour Une Situation prsentant des similitudes
26
1. Les mthodes existantes : ......................................................................................26
2. Analyse de leurs avantages et inconvnients par rapport au projet mettre en
uvre...............................................................................................................................33

2
3. Les solutions et technologies de connexion scurises via rseau sans fil ......33
4. Etude Comparative des solutions de point daccs existant sur le march........37
Chapitre 3 : tude de la solution mettre en ouvre .........................................................38
I. tude et Ingnierie ......................................................................................................39
1. Analyse de lexistant ...............................................................................................39
2. Expression du besoin : ...........................................................................................42
3. Dfinition des spcifications techniques ...............................................................44
II. Mise en uvre de la solution .....................................................................................46
1. Description de la solution .......................................................................................46
2. Dmonstration de fonctionnement : .......................................................................49
2.1 Outils de dmonstration de fonctionnement : ................................................49
2.2 Configuration du serveur Radius ....................................................................50
2.3 Configuration du routeur sans fil ....................................................................51
2.4 Configuration des Vlan.....................................................................................52
2.5 Configuration des quipements ......................................................................53
2.6 Test de scurit : ..............................................................................................54
CONCLUSION .....................................................................................................................56
BIBLIOGRAPHIE ET WEBOGRAPHIE ...............................................................................57
ANNEXE : Glossaire des principaux sigles et acronymes utiliss .................................58

3
Liste des tableaux

Tableau 1. 1 : Atouts et faiblesses de la situation .................................................................13


Tableau 1. 2 : Tches confies au cours du stage................................................................18
Tableau 2. 1 : Mthode dauthentification base sur des certificats ......................................25
Tableau 2. 2 : Recommandations de la norme ANSSI ..........................................................29
Tableau 2. 3 : Recommandations de la norme 27002 ..........................................................30
Tableau 2. 4 : Recommandations de la norme PCI-DSS ......................................................31
Tableau 2. 5 : Recommandations de la norme NIST ............................................................32
Tableau 2. 6 : Comparaison entre les normes supportant la scurit du WIFI ......................33
Tableau 2. 7 : Caractristiques des points daccs supportant 802.11ac ..............................35
Tableau 2. 8 : Caractristiques des points daccs supportant 802.11ac ..............................36
Tableau 2. 9 : Comparaison entre les points daccs supportant 802.11ac ..........................37
Tableau 3.1 : Configuration des Vlans du rseau ............................................................52

4
Liste des figures

Figure 1.1 : Principaux ples dactivits de lentreprise.......................................................... 8


Figure 1.2 : Les prestations couvertes par le pole conseil ..................................................... 9
Figure 1.3 : Les prestations couvertes par le pole intgration ...............................................10
Figure 1.4 : Lapproche de DATAPROTECT ........................................................................11
Figure 1.5 : Organigramme de DATAPROTECT ..................................................................12
Figure 1.6 : Planning du projet..............................................................................................17
Figure 2. 1 : Type darchitecture Wifi ....................................................................................21
Figure 3. 1 : Les phases dtude du projet ............................................................................39
Figure 3.2 :Architecture dune entreprise ..............................................................................40
Figure 3.3 : Architecture dun htel .......................................................................................41
Figure 3.4 : Architecture Wifi scurise ................................................................................46
Figure 3.5 : Authentification EAP-TLS 802.1X ......................................................................48
Figure 3.6 : Simulation de larchitecture sur packet tracer ....................................................49
Figure 3.7 : Interface de configuration de DHCP sur Radius.................................................50
Figure 3.8 : Interface dajout des utilisateurs sur Radius .......................................................50
Figure 3.9 : Interface de configuration du rseau sans fil sur le routeur ...............................51
Figure 3.10 : Interface de configuration du DHCP sur le routeur sans fil ...............................51
Figure 3.11 : Interface de configuration des droits daccs du routeur ..................................52
Figure 3.12 : Interface de configuration des adresses IP des quipements ..........................53
Figure 3.13 : Interface dtablissement de la connexion Wifi ................................................53
Figure 3.14 : Utilisateurs non identifis sur le rseau ...........................................................54
Figure 3.15 : Interface de rejet des utilisateurs non autoriss ...............................................54

5
INTRODUCTION GNRALE

Malgr les problmes de scurit intrinsques, les rseaux sans fil continuent se
dvelopper vu les avantages quils permettent (cot faible, installation aise, dbit lev).
Il est donc important de bien connatre les problmes lis la mise en place de ce type de
rseaux afin d'en limiter les effets nfastes sur la scurit des donnes. Il est galement
important de dterminer le niveau de scurit souhait, afin de mettre en place une solution
adquate, et de configurer les diffrents alternatifs de scurit que le rseau sans fil dispose
pour amliorer la confidentialit des communications.

Dans ce cadre DATAPROTECT souhaite laborer un document qui comprend les


consignes et les recommandations suivre par ses clients, qui veulent dployer un rseau
Wifi scuris dans leurs entreprises. Durant ce projet, on va faire une tude des normes qui
supportent le Wifi, ainsi que les paramtrages et les rgles de scurit utiliser pour protger le
rseau. Le but de cette tude est de proposer une architecture scurise et fiable destine aux
clients de Dataprotect pour assurer la scurit de leurs donnes.

Ce rapport comprend les dtails de cette tude qui est constitue de quatre chapitres
prsents comme suit:

Le premier chapitre prsente l'organisme d'accueil, puis prsente le contexte du projet


et le cahier des charges expliquant plus en dtail le projet ainsi que la planification poursuivie
et les tches confies au cours du stage; ensuite, le deuxime chapitre comprend les
gnralits sur la scurit du rseau sans fil, et ltude du projet qui expose les normes
utilises pour mettre en place larchitecture finale scurise et les technologies existantes
sur le march ; enfin, le dernier chapitre prsente l'tape dtude du besoin du client et la
solution finale adopte, ainsi quune dmonstration de fonctionnement du projet qui garantit
la pertinence de larchitecture propose.

6
Chapitre 1 : Contexte gnral
du projet
Ce chapitre prsente une vue gnrale sur lorganisme daccueil, puis une vision
globale des sujets qui seront axes dtude et de ralisation de notre cahier des
charges

7
I. Prsentation de lentreprise daccueil

1. Prsentation de lentreprise

DATAPROTECT est une entreprise spcialise en scurit des systmes dinformations,


fonde en 2009 par des experts en scurit ayant men plusieurs projets de conseils et
dintgration de solutions de scurisation au Maroc et ltranger.

Appuyant son offre sur une vision unifie de la scurit, DATAPROTECT est dote dun
rservoir de comptences pointues certifies en scurit lui permettant dassurer une
expertise unique sur le march marocain.

DATAPROTECT est organise autour de 5 ples dactivits :

Le conseil : Activit de conseil et dassistance matrise douvrage dans la mise en


uvre de solutions de scurit.
L'intgration: Activit de matrise duvre complte et dingnierie de solutions de
scurit.
Linfogrance : Activit de supervision et dadministration des quipements de
scurit.
La recherche et le dveloppement : Activit de veille, de recherche et de
dveloppement de nouvelles solutions de scurit.
La formation : Activit de transfert de comptences sur des thmes pointus de la
scurit.

Figure 1.1 : Principaux ples dactivits de lentreprise

8
2. La mission de lentreprise

DATAPROTECT a pour mission de faire bnficier ses clients du retour dexprience


forte valeur ajoute de ses quipes.

Pour y parvenir, DATAPROTECT sest lance, depuis sa cration, dans la constitution


des quipes composes des ressources certifies ayant conduit de nombreux projets lis
la scurit de linformation aussi bien au Maroc qu ltranger.

En combinant son expertise pointue au niveau technologique et sa comprhension


complte et singulire de la chane des menaces informationnelles, DATAPROTECT se donne
comme mission de ne fournir que des prestations spcialises et concentres uniquement
autour de la scurit de l'information.

3. Les activits et projets de DATAPROTECT

Le conseil :
Ayant men une centaine de missions daudit de scurit et de certification des
systmes dinformations pour le compte dorganisations exerants dans divers domaines
dactivits, DATAPROTECT dispose dun retour dexprience trs riche et vari en la matire.

Unique prestataire Marocain autoris par le consortium PCI SSC mener des
missions de certification PCI DSS, et dot de comptences certifies en audit de scurit
(CISA, CEH, OSCP, CISSP, Lead Implementer & Lead Auditor ISO 27001, Risk Manager
ISO 27005, PA QSA, PCI QSA, etc), lactivit conseil de DATAPROTECT couvre les
prestations ci-aprs

Audit de Tests Audit Audit de


scurit SI dintrusions darchitecture Configuration

Audit Politique de
Forensic Audit PCI DSS
organisationnel scurit

Mise en
Certification Certification
conformit aux
ISO 27001 PCI DSS
lois n09-08

Figure 1.2 : Les prestations couvertes par le pole conseil

9
Lintgration :

De la scurit primtrique jusqu la corrlation des logs de scurit en passant par


la scurit des postes de travail et des accs distant, divers outils existent sur le march
pour assurer diverses fonctions de scurit. Fort de son retour dexprience dans la mise en
place de solutions de scurit, DATAPROTECT dispose des ressources qualifies en
intgration de solutions de scurit des systmes dinformations, certifies sur les diffrentes
technologies et solutions: (KASPERSKY, SAFENET, CYBEROAM, BEEWARE, TRIPXIRE,
RUCKUS, WEBSENSE, QUALYS, PGP, McAfee, SPLUNK, GALLEON, SYMANTECT, ).

Lactivit dintgration de DATAPROTECT couvre les prestations suivantes :

Scurisation
des postes de
travail
Le chiffrement Le Primtre
des donnes interne

La rplication
Les Accs web
des donnes

La supervision La gestion des


de la scurit vulnrabilits

Figure 1.3 : Les prestations couvertes par le pole intgration

Linfogrance

Infogrance des solutions de scurit (Firewall, UTM, IPS/IDS, Gestion des logs, etc.)
Offre Mars : Maintenance, Administration, Reporting, Supervision.
Security Operations Center (SOC).
Management des vulnrabilits.

10
Recherche et Dveloppement

Dveloppement de solutions scurises.


Recherches et veille de vulnrabilits.
Dveloppement scuris des applications souveraines.
Recette de scurit des applications critiques.

La formation :

Destines aux dirigeants dentreprises et aux collaborateurs souhaitant apprhender


les nouvelles approches en matire de scurit, les formations proposes par
DATAPROTECT sont particulirement adaptes aux besoins du march.

Leader dans son domaine dactivit, DATAPROTECT dispose de salles parfaitement


quipes et dune quipe de formateurs hautement qualifis dont la plupart ont acquis une
exprience linternational et sont dots de certificats reconnus lchelle internationale
dans le domaine de la scurit. Lapproche de DATAPROTECT est la suivante :
Formation

Evaluation froid
Audit

- Entretiens avec les - Animation de la - Evaluation des


participants, analyse de formation par un ralisation;
l'existant et des consultant formateur - Evaluation des
besoins; expert et certifi; transferts des acquis;
- Evaluation en amont - Support de cours - Evaluation des effets
de la Formation et adapt aux objectifs sur l'activit ;
valuation des pr- fixs;
requis ; - Ateliers pratiques
- Dfinition des adapts aux contraintes
objectifs; relles.
- Proposition d'un plan
de sminaire sur
mesure;
- Validation du plan.

Figure 1.4 : Lapproche de DATAPROTECT

11
4. Organigramme

DIRECTION GENERALE

Direction
Direction Avant- Direction Administrative &
ventes, Ventes & Dveloppement & Direction Technique Financire
Marketing Partenariats

Activit Audit
Activit Normes ISO Activit Normes PCI & Activit Intgration Activit Normes ISO
Scurit, Investigation Activit Continuit et Activit Recherche et
et Prvention de la et Activit Formation
et Conformit Lgale Dveloppement
Confiance Numrique fraude montique Confiance Numrique
Cyberscurit

Consultant
MOUSSA KOITA

Stagiaire
ZOUMHANE FATIMA
ZAHRA

Figure 1.5 : Organigramme de DATAPROTECT

5. Prsentation de lenvironnement de travail

Le prsent projet sest droul au sein de lquipe intgration dont fait partie
lencadrant de stage, Mr KOITA MOUSSA. Leur travail consiste auditer larchitecture SI
existante du client, analyser ses besoins fonctionnels et techniques afin de mettre en place
des solutions de scurisation des systmes dinformation suivant les meilleures pratiques.

Leur offre dintgration de solutions se matrialise par :

La mise en place de lantivirus.


La mise en place de solution de gestion de vulnrabilits.
La mise en place de solution de gestion des correctifs.
La mise en place de solution de prvention de fuite dinformations sensibles.
La mise en place doutils de cryptage de donnes.
La mise en place de solution dauthentification forte.

12
II. Analyse du contexte

1. Le rle de la technologie dans le dveloppement

Nous assistons une rvolution des mthodes de travail. Celles-ci sont de plus en
plus introduites dans nos vies. Aujourdhui, en tant que particulier ou professionnel, nous
sommes tous sujets lutilisation des nouvelles technologies. Elles se sont forgs une place
indispensable dans nos vies et dans le fonctionnement des lentreprises notamment.

La mise en place de ces technologies et leur utilisation personnalise ont encore


acclr la mondialisation des changes, ds lors que les frontires terrestres sont
devenues virtuelles et les distances ont t totalement rduites, voire supprimer par la
simple action dun clic de souris. Le monde professionnel a donc d sadapter afin de se
prparer voluer avec ces nouveaux outils et se les approprier le plus rapidement possible.

Les nouvelles technologies ont permis bon nombre dentreprises de saffirmer par
des gains de comptitivit, au sein du march de plus en plus exigeant. Linvestissement
dans les nouvelles technologies apparat clairement comme lun des principaux moteurs de
comptitivit au sein des entreprises, quelle que soit leur taille. Les entreprises qui ont su
surfer sur la vague sont celles qui ont su garder la tte hors de leau pendant les annes de
rcession conomique. [7]

2. Analyse de la situation

Grande quantit dinformations de tout genre ouvertes tout le


monde.
La technologie dans lducation permet de dpasser les limites, daller
Atouts et opportunits
de la situation vers des situations dapprentissages relles et signifiantes pour les
lves.
Facilite plusieurs tches et permet de gagner le temps.

Risque li la scurit de nos informations que la technologie gre.


Faiblesses et points de
vigilance de la Mal utilisation de ces technologies peut emmener des situations non
situation voulues (guerre par exemple).

Tableau 1. 1 : Atouts et faiblesses de la situation

13
3. Les risques envisags :

Le risque sur le systme dinformation sest accru avec le dveloppement du travail


distance et des nouvelles technologies : vols, destruction de donnes ou de matriel,
indisponibilit du systme, etc. avec une origine qui peut tre externe, mais souvent
interne (malveillance ou ngligence).

Lentreprise est soumise donc la ncessit de veiller l'intgrit, la confidentialit, la


disponibilit, et la traabilit de ses informations et de mettre en place les moyens adapts
tant dun point de vue technique quorganisationnel.

III. Problmatique
Nous remarquons ces dernires annes la monte en puissance des rseaux locaux
sans fil ou encore Wifi, qui sont devenus l'une des principales solutions de connexion pour
de nombreuses entreprises cause du fort dveloppement de l'effectif nomade. En effet,
les employs sont quips d'ordinateurs portables et passent plus de temps travailler au
sein d'quipes gographiquement disperses et plurifonctionnelles. Le march du sans fil se
dveloppe alors rapidement cause de la bonne productivit que les entreprises constatent.

1. Analyse de lexistant

Le Wifi est un outil trs pratique qui permet un utilisateur de se connecter Internet
depuis n'importe quelle pice de son local sil est quip du matriel adquat. Cette
technologie facilite grandement la cration de rseaux locaux entre plusieurs ordinateurs
relis sans fil un seul et mme modem-routeur. De plus il est facile installer et souple
utiliser et il ne ncessite pas un gros investissement, il est donc la solution idale pour
partager une connexion ADSL avec tous les ordinateurs du domicile ou du bureau des
utilisateurs.

Concrtement, le Wifi trouve son utilit dans la libert qu'il offre aux internautes. Les
cbles gnants et disgracieux ne sont plus ncessaires pour profiter des joies du haut dbit.
En pratique, le Wifi rpond aux besoins des mobilits des internautes : il permet de relier des
ordinateurs portables, des PC de bureau, des Smartphones et des tablettes ainsi que des
priphriques mobiles une liaison haut dbit ou des appareils lectroniques
communiquant dans un rayon de plusieurs dizaines de mtres en intrieur plusieurs
centaines de mtres l'extrieur.

Avec cette volution rapide de ce type dmatrialis de rseaux, les exigences en


termes de scurit deviennent de plus en plus svres.

14
2. Dysfonctionnement

Ce quil faut savoir cest quune connexion Wifi non scurise peut s'avrer trs
dangereuse non seulement pour votre ordinateur, mais aussi pour vos donnes
personnelles.

Si quelqu'un se connecte via votre connexion Wifi non scurise et si la personne de


l'autre ct est mal intentionne, elle peut introduire un virus dans les fichiers publics en y
notant un nom de dossier attrayant et votre ordinateur se retrouve infect, vous serez dans
ce cas accus sa place sil effectue des actions illgales : pirater des sites web,
tlcharger des uvres protgesetc., ce qui pourrait vous engendrer de nombreux
problmes, car cela viendra de votre connexion et donc de votre ordinateur, bien que ce ne
serait pas vous.

Les hackers sont aussi capables de rcuprer les donnes qui transitent via le
rseau Wifi pirat. Toutes les donnes peuvent tre interceptes. Nimporte quel pirate,
mme dbutant, avec un logiciel de sniff rseau, peut capturer et lire les donnes changes
comme les emails reus ou envoys, les pages visites, les conversations Skype, les
identifiants et mots de passe utiliss sur les pages qui ne sont pas scurises en
HTTPS/SSL.

Par exemple un internaute en train deffectuer des achats en ligne par lintermdiaire
de sa tablette, court ainsi le risque de voir ses coordonnes bancaires interceptes par les
pirates. Une simple connexion sa bote email de type Gmail permet au pirate de rcuprer
lidentifiant et le mot de passe. partir de l, lhacker a accs des dizaines dautres accs,
pour rcuprer les mots, les accs, etc.

Tout comme il y a plusieurs faons dinfiltrer un rseau sans fil, il existe galement
plusieurs moyens de scuriser un rseau et de faire face aux menaces. De ce fait, beaucoup
de travaux et d'efforts ont t consentis ces dernires annes afin d'aboutir des solutions
pour scuriser ces rseaux.

15
IV. Cahier des charges

Le principal problme des rseaux Wifi est leur fragilit vis--vis des attaques externes,
et malgr les travaux qui ont t faits pour scuriser les rseaux, des vulnrabilits persistent
encore et il est toujours possible de monter des attaques plus ou moins facilement.

Le but de ce projet est la mise en place dune architecture Wifi scurise.

Lobjectif de ce document est de proposer aux clients de DATAPROTECT qui veulent


dployer un rseau sans fil dans leur entreprise (htel, entreprise, hpital) des normes et
des recommandations suivre afin de scuriser leurs donnes.

Il faut tudier les diffrentes failles du rseau sans fil, les diffrentes solutions
existantes, rassembler les bonnes configurations faire afin de scuriser le rseau. Il faut
aussi faire une tude comparative des quipements qui existent et qui vont nous permettre
de respecter les normes de scurit et le dbit souhait pour finalement proposer un
exemple darchitecture Wifi scurise qui indique les consignes suivre par les utilisateurs
du rseau sans fil.

V. Macro planning du projet

Pour comprendre le concept de la scurit des systmes dinformation, il fallait collecter


les informations sur le thme de rseau informatique, ce qui va servir par la suite pour
russir laction qui a t demande.

Ensuite il tait ncessaire de commencer ltude du projet en essayant de saisir la


problmatique, diviser le travail en plusieurs tches lmentaires avec lestimation de la
dure que va prendre chaque tche.

Le temps pour avoir le rsultat dsir tait trs court donc il fallait une bonne gestion du
temps et lutilisation des bonnes mthodes, cest pour cela que le recours au diagramme de
gant comme illustr ci-dessous.

Au cours du projet, il y avait des runions journalires ou le standup Meeting avec


lencadrant chaque matin qui consiste prciser ltat davancement du projet, son principal
objectif est de connaitre les tches effectues et de dtecter les problmes mergents et les

16
objectifs pour la journe ; et afin dviter lcartement entre ce que le client attend et le but
final, il y avait toujours limplication du client dans ces runions.

Figure 1.6 : Planning du projet

VI. Tches et responsabilits confies au cours du stage

Durant le stage, je suis intervenu sur plusieurs taches ayant pour but de maider
dvelopper mes connaissances gnrales sur les rseaux informatiques, mais aussi faire
mon premier pas dans les activits professionnelles en menant bout les responsabilits
confies.

17
Tache Description

Mise en place de Il sagissait de prendre contact avec le concept de la virtualisation, de


solutions de comprendre le principe de fonctionnement dun hyperviseur, de mettre en place
virtualisation des machines virtuelles tant sur lESXI, que sur la version Cliente (VMWare
VMWARE Workstation)

Ayant pour but principal de comprendre le concept de la scurit sans fils, cette
Hacking de tche consistant la dcouverte de la distribution (KALI LINUX) utilise par les
rseau sans fil professionnels de la scurit, tout comme les Hackers malveillants pour casser
la scurit des rseaux sans fil.
Dcouvrir lenvironnement le plus utilis sur le march en termes dannuaire
LDAP, tait une des taches importantes que jai menes galement. Le but
Mise en place
tant de dcouvrir comment sont organiss les systmes dinformations au sein
Windows server
des entreprises, la gestion des actifs, utilisateurs et authentifications.
2012 R2
Le but de ce travail est de comprendre lattribution des droits daccs aux
utilisateurs du rseau selon un annuaire dj tabli.
Solution de design utilise par les ingnieurs afin de schmatiser des
Design
architectures complexes, la dcouverte de cette application que jai par la suite
darchitecture
utilise tout au long de mon stage ma permis de comprendre plus en dtail
avec Microsoft
lorganisation des architectures rseau.
Visio 2013

Tableau 1. 2 : Tches confies au cours du stage

VII. Connaissances acqurir pour traiter le sujet du mmoire :

Le projet demande une bonne connaissance technique, organisationnelle et managriale


pour traiter les phases du projet quon va traiter dans le chapitre trois, et atteindre
lobjectif final.

a) Sur le plan technique

Faire des recherches sur le sujet choisi pour constituer une sorte de revue de presse.
Apprendre les diffrents concepts de scurit dun rseau.

18
Se documenter pour savoir quelles sont les solutions qui ont t menes, par quelles
structures, pour quels publics, et tirer les failles.
connaitre les outils ncessaires pour scuriser une infrastructure Wifi.

b) Sur le plan organisationnel

Formuler des objectifs en dcrivant la dmarche suivre ce qui va permettre de


concrtiser une ide pour atteindre le rsultat vis.
Dcouper le droulement du projet en plusieurs phases successives.
Organiser et prvoir le temps de travail.
Dcouper en plusieurs tches.
Utiliser les mthodes de gestion du projet : mthode agile qui consiste impliquer au
maximum le demandeur (client), ces mthodes permettent une grande ractivit aux
demandes, visent la satisfaction relle du besoin du client.
Se mfier de leffet tunnel en utilisant des jalons qui vont permettre de scinder le
projet en phases clairement identifies.

Le jalon matrialise la clture officielle dune phase, et le dmarrage de la phase


suivante. Il peut tre la production dun document, la tenue dune runion ou bien encore un
livrable du projet.

c) Sur le plan managrial

Rflchir aux ressources matrielles et humaines qui pourront aider durant tout le
processus dlaboration et de ralisation du travail.
Savoir travailler en quipe.
Savoir grer le temps.

19
Chapitre 2 : tude des
mthodes et technologies
Ce chapitre prsente les principales bases matriser pour choisir la solution
convenable. Il prsente aussi les normes supportant le Wifi et les technologies
existantes

20
I. Gnralit

1. Type darchitecture du rseau WIFI

Le mode ad hoc : tous les clients (terminaux ou postes) des rseaux Wifi
communiquent entre eux sans passer par un quipement central [Figure 3.1].

Le mode Infrastructure : dans ce mode un quipement central appel access point


est indispensable pour grer la communication entre les diffrents clients Wifi.

Les protocoles de scurit fonctionnent seulement dans le mode infrastructure.

Figure 2. 1 : Types darchitecture Wifi

2. Les normes WIFI

La norme 802.11 fait rfrence une famille de spcifications dveloppes par lIEEE
pour la technologie des rseaux locaux sans fil (RLR). La norme 802.11 stipule une interface
radiolectrique entre un client sans fil et une station de base ou entre deux clients sans fil,
utilisant un systme saut de frquence et talement du spectre (FHSS, pour Frequency
Hopping Spread Spectrum) ou talement du spectre en squence directe (DSSS, pour
Direct Sequence Spread Spectrum).

802.11a : La norme 802.11a (baptis Wifi 5) permet dobtenir un haut dbit (54 Mbps
thoriques, 30 Mbps rels) et une frquence de fonctionnement de 5 GHz. La
norme 802.11a spcifie 52 canaux de sous-porteuses radio dans la bande de frquence des

21
5 GHz. Il utilise une mthode de transmission de multiplexage par rpartition orthogonale de
la frquence (OFDM, pour Orthogonal Frequency Division Multiplexing).

802.11 b : La norme 802.11 b propose un dbit thorique de 11 Mbps (6 Mbps rls)


avec une porte pouvant aller jusqu 300 mtres dans un environnement dgag. La plage
de frquence utilise est la bande des 2.4 GHz, il utilise DSSS (Direct Sequence Spread
Spectrum).

802.11 g : La norme 802.11g offre un haut dbit (54 Mbps thoriques, 30 Mbps rels)
sur la bande de frquence des 2.4 GHz. La norme 802.11g a une compatibilit ascendante
avec la norme 802.11b, ce qui signifie que des matriels conformes la norme 802.11g
peuvent fonctionner en 802.11b.

802.11n : Un groupe de travail du Comit IEEE 802.11 a dfini un nouveau projet de


spcification en prvision de laugmentation du dbit jusqu des vitesses de 540 Mbps. Pour
amliorer les performances, la spcification utilise la technologie Multiple-Input-Multiple-
Output (MIMO), ou lutilisation de plusieurs rcepteurs et de plusieurs metteurs sur le client
et le point daccs.

802.11i : La norme IEEE 802.11i a t ratifie en juin 2004 et met laccent sur la
scurit en proposant des mcanismes de contrle dintgrit, dauthentification et de
chiffrement.

802.11e : La norme 802.11e vise donner des possibilits en matire de qualit de


service au niveau de la couche liaison de donnes . Ainsi, cette norme a pour but de
dfinir les besoins des diffrents paquets en termes de bande passante et de dlai de
transmission de manire permettre, notamment, une meilleure transmission de la voix et
de la vido.

802.11ac : est la dernire volution du standard de transmission sans fil 802.11, qui
permet une connexion sans fil haut dbit dans la bande de frquences 5 GHz. Le 802.11ac
offre jusqu 1 300 Mbit/s de dbit thorique, en utilisant des canaux de 80 MHz, soit jusqu
7 Gbit/s de dbit global dans la bande des 5 GHz [8].

Nous avons prfr de travailler pendant ce projet avec 802.11ac vu le dbit qui nous
permet. Donc le matriel que nous allons choisir par la suite doit rpondre cette norme.

802.1x : Un standard li la scurit des rseaux informatiques, permettant


dauthentifier un utilisateur souhaitant accder un rseau (filaire ou non) grce un
serveur dauthentification.

22
Lauthentification IEEE 802.1x est base sur des protocoles EAP comme EAP-
TLS/TTLS ou PEAP.

EAP (Extensible Authentication Protocol) est juste le protocole de transport des


informations didentification des utilisateurs.

3. Les protocoles de scurit

WEP : Il utilise le protocole de chiffrement RC4 et une cl de chiffrement symtrique et


statique. Chaque intervenant dispose dune mme cl WEP. Le point daccs envoie un
message en clair au client qui rpond avec un message crypt avec la cl WEP, donc
lidentification se fondra seulement sur les priphriques et non sur les utilisateurs.

Le WEP est considr comme cryptographiquement cass : lutiliser pour connexion Wifi est
donc dconseill car il noffre pas une protection suffisante.

WPA : Il a t propos par la Wifi Alliance en 2003. Il amliore la scurit offerte par
lancien protocole WEP vu quil tait dsormais cass et il fallait donc un nouveau protocole
de scurit. Cest pourquoi des faiblesses ont t remarques ds son introduction. Mais la
premire attaque efficace publie contre WPA1 date de 2008.

WPA utilise en gnral le protocole de chiffrement TKIP. Le protocole TKIP permet la


gnration alatoire de cls et offre la possibilit de modifier la cl de chiffrement plusieurs
fois par seconde, pour plus de scurit.

WPA2 : Cest le successeur de WPA, il remplace le chiffrement TKIP par AES pour plus de
scurit. Lutilisation de WPA2 ne garantit pas elle seule un bon niveau de scurit,
lutilisateur doit choisir soigneusement son mot de passe.

Pour rappel, TKIP et AES peuvent tre utiliss par WPA, mais WPA2 nutilise quAES.

WPA et WPA2 permettent deux types dauthentification :

Entreprise :

La mthode dauthentification entreprise est utilise dans des environnements


professionnels parce quil demande des configurations relativement complexes et du
matriel coteux.

23
Dans cette authentification, les clients doivent sauthentifier auprs dun serveur appel
radius pour recevoir leurs codes daccs au rseau. Lauthentification ne se fait pas par le
point daccs, ce dernier relaie les messages dauthentification entre le client et le RADIUS.

Personnel (Personal) :

Cest une solution plus lgre, plus facile mettre en place, prvue pour les particuliers et
les petites entreprises. Le point daccs et le client partagent une cl similaire appele cl
partage (shared key) ou mot de passe (passphrase). Cest un mode dans lequel les clients
utilisent tous une passphrase commune.

WPS : Le Wifi Protected Setup (WPS) est un standard de la Wifi Alliance cr en 2007, qui a
pour but dtablir une connexion Wifi de manire simplifie. Ce nest pas un systme de
chiffrement et dauthentification, mais il est destin tre un complmentaire.

Mais la scurit nest pas garantie ; ce mode est activit par dfaut dans la plupart des
quipements rcents, et le PIN quil donne peut tre facilement contournable, vu quavec
cette mthode, on vite ce que lutilisateur dtermine une mthode de scurisation et
choisit un mot de passe complexe, donc il doit tre dsactiv sur les points daccs. [1]

Filtrage MAC : Consiste donner au point daccs les adresses MAC ayant le droit de
sassocier. Cette liste peut tre rpte sur tous les points daccs pour assurer la mobilit.

4. Mthode dauthentification base sur des certificats

Dans le cadre de lauthentification en environnement sans fil base sur le


protocole 802.1X, diffrentes variantes dEAP sont disponibles aujourdhui dont les plus
connues sont:

Protocole EAP-MD5 (EAP - Message Digest 5) : authentification du client par


login/mot de passe.
Protocole EAP-TLS (EAP - Transport Layer Security) : cre par Microsoft. Mthodes
dauthentification mutuelles entre le serveur et le client par certificat.
Protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) : dvelopp par
Funk Software et Certicom, utilise des certificats uniquement sur le serveur
d'identification.

24
Protocole PEAP (Protected EAP) : dvelopp par Microsoft, Cisco et RSA Security, le
client est authentifi par un login/mot de passe tandis que le serveur est authentifi
par son certificat. [2]

EAP-MD5 EAP-TLS EAP-TTLS PEAP

Authentification du Aucune Cl publique Cl publique Cl publique (certificat)


serveur (certificat) (certificat)

Authentification du Password Cl publique CHAP,PAP, EAP (EAP MS-CHAP v2 ou


client hash (certificat MS-CHAP(v2), cl publique)
carte puce) EAP

Distribution Non Oui Oui Oui


dynamique des cls

Risque scurit Vol de Obtention de Attaque MiM Attaque MiM


session, lidentit client
attaque par
dictionnaire,
Obtention du
login client
et Attaque
MiM

Tableau 2.1 : Mthode dauthentification base sur des certificats

5. Le protocole RADIUS

Lauthentification est lopration par laquelle le destinataire et/ou lmetteur dun


message sassure de lidentit de son interlocuteur. Lauthentification est une phase cruciale
pour la scurisation de la communication. Les utilisateurs doivent pouvoir prouver leur
identit leurs partenaires de communication et doivent galement pouvoir vrifier lidentit
des autres utilisateurs.

Le fonctionnement de RADIUS est bas sur un systme client/serveur charg de dfinir


les accs dutilisateurs distants un rseau. Le protocole RADIUS repose principalement sur

25
un serveur (le serveur RADIUS), reli une base didentification (base de donnes, Active
Directory, annuaire LDAP, etc.) et un client RADIUS, appel NAS (Network Access Server),
faisant office dintermdiaire entre lutilisateur final et le serveur. Lensemble des transactions
entre le client RADIUS et le serveur RADIUS sont chiffres et authentifies grce un secret
partag.

Le scnario du principe de fonctionnement est le suivant :

o Un utilisateur envoie une requte au NAS afin dautoriser une connexion distance ;
o Le NAS achemine la demande au serveur RADIUS ;
o Le serveur RADIUS consulte la base de donnes didentification afin de connatre le type
de scnario didentification demand pour lutilisateur. Soit le scnario actuel convient,
soit une autre mthode didentification est demande lutilisateur. Le serveur RADIUS
retourne ainsi une des quatre rponses suivantes :

ACCEPT : lidentification a russi ;


REJECT : lidentification a chou ;
CHALLENGE : le serveur RADIUS souhaite des informations supplmentaires de la
part de lutilisateur et propose un dfi (en anglais challenge ) ;
CHANGE PASSWORD : le serveur RADIUS demande lutilisateur un nouveau mot
de passe.

Suite cette phase dite dauthentification, dbute une phase dautorisation o le serveur
retourne les autorisations de lutilisateur. [9]

II. Mthodes habituellement utilises pour Une Situation prsentant des


similitudes

1. Les mthodes existantes :

Il tait ncessaire dlaborer des normes qui vont garantir la protection des donnes
personnelles et la mise en place dun environnement numrique digne de confiance. La
scurit du rseau sans fil fait lobjet de plusieurs normes, par exemple : ANSSI,
ISO/CEI 27002, NORME PCI-DSS, Norme NIST.

26
a) Norme ANSSI :

En France, lANSSI (Agence nationale de la scurit des systmes dinformation) est


un service du Secrtariat gnral de la dfense et de la scurit nationale (SGDSN). Elle
assiste le premier ministre sur tous les sujets relatifs la cyberdfense, et dveloppe de
nombreuses actions (prvention, rglementation, assistance, conseil, formation, etc.) pour
prvenir ou rsoudre les risques de scurit informatique et rseau. Avec 250 effectifs en
2012, la structure de lANSSI peut sembler limite par rapport ses voisins allemands et
britanniques (500 et 700 agents), mais elle ne cesse de prendre de lampleur [10].

Dans le guide quANSSI a publi le 3 avril 2013 un guide 23 recommandations qui


vont guider lutilisateur du Wifi pour un choix des meilleurs paramtres pour la bonne
scurisation dun rseau Wifi

Nactiver linterface Wifi que lorsquelle celle-ci doit tre utilise


Recommandation 1 :

Afin de garder le contrle sur la connectivit du terminal, dsactiver systmatiquement


Recommandation 2 :
lassociation automatique aux points daccs Wifi configurs dans le terminal.

Recommandation 3 : Maintenir le systme dexploitation et les pilotes Wifi du terminal en permanence jour des
correctifs de scurit.

viter tant que possible de se connecter des rseaux sans fil inconnus ou qui ne sont pas de
Recommandation 4 :
confiance.

Recommandation 5 : Bloquer, par configuration du pare-feu local, les connexions entrantes via linterface Wifi

Respecter la politique de scurit de lentit, en particulier sagissant des moyens


Recommandation 6 cryptographiques dauthentification ainsi que de protection en confidentialit et en intgrit qui
doivent tre mis en uvre.

Recommandation 7 : Ne pas brancher de bornes Wifi personnelles sur le rseau de lentit.

En situation de mobilit, lors de toute connexion des points daccs Wifi qui ne sont pas de
Recommandation 8 : confiance (par exemple lhtel, la gare ou laroport), pralablement tout change de donnes,
utiliser systmatiquement des moyens de scurit complmentaires (VPN IPsec par exemple).

Plus largement, lorsque des donnes sensibles doivent tre vhicules via un rseau Wifi,
Recommandation 9 :
lutilisation dun protocole de scurit spcifique, tel que TLS ou IPsec, doit tre mis en uvre.

27
Configurer le point daccs pour utiliser un chiffrement robuste. Le mode WPA2 avec lalgorithme
de chiffrement AES-CCMP est fortement recommand. Pour les points daccs personnels, utiliser
Recommandation 10 : le mode dauthentification WPA-PSK (WPA-Personnel) avec un mot de passe long (une vingtaine
de caractres par exemple) et complexe, dautant plus que ce dernier est enregistr et na pas
besoin dtre mmoris par lutilisateur.

Lorsque laccs au rseau Wifi nest protg que par un mot de passe (WPA-PSK), il est
primordial de changer rgulirement ce dernier, mais galement de contrler sa diffusion. En
particulier, il convient de :
Recommandation 11 : ne pas communiquer le mot de passe des tiers non autoriss (prestataires de services par
exemple) ;
ne pas crire le mot de passe sur un support qui pourrait tre vu par un tiers non autoris ;
changer le mot de passe rgulirement et lorsquil a t compromis.

Pour les rseaux Wifi en environnement professionnel, mettre en uvre WPA2 avec une
Recommandation 12 : infrastructure dauthentification centralise en sappuyant sur WPA-Entreprise (standard 802.1x et
protocole EAP), ainsi que des mthodes dauthentification robustes.

Configurer le Private VLAN invit en mode isolated lorsque le point daccs Wifi prend en charge
Recommandation 13 : cette fonctionnalit.

Ne pas conserver un nom de rseau (SSID) gnrique et propos par dfaut. Le SSID retenu ne
Recommandation 14 : doit pas tre trop explicite par rapport une activit professionnelle ou une information
personnelle.

Recommandation 15 : Dsactiver systmatiquement la fonction WPS (Wifi Protected Setup) des points daccs.

Scuriser ladministration du point daccs Wifi, en :


utilisant des protocoles dadministration scuriss (HTTPS par exemple) ;
Recommandation 16 : connectant linterface dadministration un rseau filaire dadministration scuris, a minima en
y empchant laccs aux utilisateurs Wifi ;
utilisant des mots de passe dadministration robustes.

Configurer le point daccs pour que les vnements de scurit puissent tre superviss.
En environnement professionnel, il est prfrable de rediriger lensemble des vnements gnrs
Recommandation 17 :
par les points daccs vers une infrastructure centrale de supervision.

Recommandation 18 : Maintenir le microgiciel des points daccs jour.

Ne jamais sous-estimer la zone de couverture dun rseau Wifi. Ne jamais penser tre labri de
Recommandation 19 :
tout risque du fait de lisolement gographique du point daccs Wifi.

En environnement professionnel, isoler le rseau Wifi du rseau filaire et mettre en place des
Recommandation 20 : quipements de filtrage rseau permettant lapplication de rgles strictes et en adquation avec
les objectifs de scurit de lorganisme. Comme pour le point daccs, lquipement de filtrage doit

28
tre paramtr pour que puissent tre superviss les vnements de scurit.

Si un rseau Wifi visiteurs doit tre mis en place, il est recommand de dployer une
infrastructure ddie cet usage, isole des autres et ne donnant accs aucune ressource du
Recommandation 21 :
rseau interne. Ce rseau doit par ailleurs avoir sa propre politique de scurit beaucoup plus
restrictive.
Mettre en uvre les GPO ncessaires lapplication de stratgies de scurit verrouillant les
Recommandation 22 : configurations Wifi des postes clients Windows, de manire appliquer techniquement diffrentes
recommandations indiques dans ce document.
Afin de ne pas les communiquer aux utilisateurs, dployer sur les postes Windows les informations
Recommandation 23 : de connexion au Wifi par GPO (nom de rseau, cl daccs, certificats ventuels si la mthode
EAP le ncessite, etc.).
Tableau 2.2 : Recommandations de la norme ANSSI [3]

b) Norme ISO/CEI 27002

La norme ISO/CEI 27002 est une norme internationale concernant la scurit de


l'information destine tre utilises par des organisations qui dsire de slectionner les
mesures ncessaires dans le cadre du processus de mise en uvre d'un systme de
management de la scurit de l'information (SMSI) selon l'ISO/CEI 27001; de mettre en
uvre des mesures de scurit de l'information largement reconnues; et d'laborer leurs
propres lignes directrices de management de la scurit de l'information.

L'ISO 27002:2013 donne des lignes directrices en matire de normes


organisationnelles relatives la scurit de l'information et des bonnes pratiques de
management de la scurit de l'information, incluant la slection, la mise en uvre et la
gestion de mesures de scurit prenant en compte le ou les environnements de risques de
scurit de l'information de l'organisation. Le chapitre 13 de la norme nous donne des
consignes quon doit suivre pour garder le rseau dun tablissement scuris au cas du
dploiement dun rseau sans fil [11].

Chapitre 13 : scurit des communications Dans le cas des environnements sensibles, il convient de
veiller traiter lensemble des accs sans fil comme des
13.1.1 Contrle des rseaux connexions externes et de sparer ces accs des rseaux
internes jusqu franchissement de la passerelle conformment
la politique de contrle des rseaux avant daccorder laccs
aux systmes internes.
Les technologies dauthentification, de chiffrement et de
contrle daccs rseau au niveau utilisateur propres aux

29
rseaux sans fil modernes normaliss peuvent tre suffisantes
pour permettre une connexion directe au rseau interne de
lorganisation, lorsquelles sont correctement mises en uvre.
Il convient de dfinir des mesures spciales pour prserver la
confidentialit et lintgrit des donnes transmises sur les
rseaux publics ou les rseaux sans fil et de protger les
systmes et applications connects.
Tableau 2.3 : Recommandations de la norme 27002 [4]

c) NORME PCI-DSS

La norme PCI DSS est lacronyme anglais de Payment Card Industry Data Security
Standard a t labore par les socits de carte de paiement, cest--dire American
Express, Discover Financial Services, JCB International, MasterCard Worldwide and Visa
Inc, pour aider faciliter une large adoption de mesures de scurit des bases de donnes.
Cest une norme globale qui a cr un standard commun pour la scurit de tous les circuits
de paiement touchant les cartes bancaires. Toute organisation qui met, conserve, ou traite
des donnes de carte de paiement est tenue de se conformer la Norme PCI DSS ; le non-
respect de ce cadre rglementaire peut entraner des amendes et frais levs. Limpact
ngatif des cyber-attaques sur la confiance des clients et sur lactivit financire rend la
protection des donnes de carte de paiement non seulement importante, mais essentielle, et
ce, quelque soit le type de commerce. Les grands dtaillants en ligne ne sont pas les seules
organisations cibles. Lattention du public est souvent focalise sur des pertes de socits
importantes, mais il savre que de plus en plus dactions criminelles visent des sites e-
commerce de petite taille. La norme PCI DSS a 12 exigences prcises. Il est nonc dans ce
document celles qui ont un rapport avec le rseau sans fil [12].

1re exigence : installer et grer une configuration 1.1.2 Mettre en place des normes de configuration de pare-feu incluant
de pare-feu afin de protger les donnes des un diagramme du rseau jour, avec toutes les connexions des
titulaires de carte donnes de titulaires de carte, y compris tous rseaux sans fil.
1.3.8 Linstallation de pare-feux de primtre entre tous rseaux sans fil
et lenvironnement de donnes de titulaires de carte, et la configuration
de ces pare-feux de manire bloquer tout trafic provenant de
l'environnement sans fil, ou pour contrler tout trafic (lorsquil est
ncessaire des fins commerciales) ;
2me exigence : ne pas utiliser les paramtres par 2.1.1 Dans le cas des environnements sans fil, modifier les rglages
dfaut du fournisseur pour les mots de passe et par dfaut du fournisseur sans fil, y compris notamment les cls Wired
les autres paramtres de scurit du systme Equivalent Privacy (WEP), le Service Set IDentifier (SSID) par dfaut,
les mots de passe et les chanes communautaires SNMP. Dsactiver
les missions en clair du SSID sur le rseau. Mettre en place une
technologie daccs Wifi protg (WPA et WPA2) pour le cryptage et

30
lauthentification lorsquil existe une capacit WPA.
3me exigence : protger les donnes des titulaires 3.4 Rendre le PAN, au minimum, illisible o quil soit stock (y compris
de carte en stock des donnes sur support numrique portable, support de sauvegarde,
journaux et donnes reues de, ou stockes par des rseaux sans fil)
4me exigence : crypter la transmission des 4.1.1 Dans le cas des rseaux sans fil transmettant des donnes de
donnes des titulaires de carte sur les rseaux titulaire de carte, crypter les transmissions en utilisant la technologie
publics ouverts daccs protg au Wifi (WPA ou WPA2), IPSEC VPN ou SSL/TLS. Ne
jamais se fier uniquement au protocole WEP (Wired Equivalent
Privacy) pour protger la confidentialit et laccs un rseau LAN
sans fil
10me exigence : suivre et surveiller tous les accs 10.5.4 Copier les journaux relatifs aux rseaux sans fil sur un serveur
aux ressources du rseau et aux donnes des registre du LAN interne.
titulaires de carte

Tableau 2.4 : Recommandations de la norme PCI-DSS [5]

d) Norme NIST

Le National Institute of Standards and Technology connu sous le sigle NIST, est
une agence du Dpartement du Commerce des tats-Unis. Son but est de promouvoir
l'conomie en dveloppant des technologies, la mtrologie et des standards de concert avec
l'industrie [13]. Les sections qui ont trait la scurit dans les rseaux sans fil sont les
suivantes :

Section 2 : Configuration de la scurit WLAN Les organisations devraient procder des valuations de risque pour
identifier les menaces contre leurs rseaux locaux sans fil et de
dterminer l'efficacit des contrles de scurit existants lutter contre
ces menaces

Section 2 : Configuration de la scurit WLAN dsactiver toutes les interfaces rseau qui ne sont pas autorises pour
Pour tous leurs priphriques clients WLAN: toute utilisation (y compris pendant les plans d'urgence pour la
continuit des activits, la reprise aprs sinistre, etc.), et configurer
l'appareil de sorte que l'utilisateur ne peut pas les activer ou contourner
les restrictions autrement
Section 2 : Configuration de la scurit WLAN Mettre en uvre les contrles appropris techniques de scurit de
Pour tous leurs priphriques clients WLAN non telle sorte que toutes les configurations connectes doubles sont
autoriss pour deux connexions: interdites.

Si possible, configurer les priphriques pour dsactiver pontage


(passage du trafic entre les rseaux). Cest une prcaution au cas o
une double connexion non autorise se produit

31
Section 2 : Configuration de la scurit WLAN Mettre en uvre les contrles de scurits techniques appropris pour
Pour tous les appareils client Wifi autoriss pour deux que les configurations doubles connectes autorises ne soient actives
connexions que lorsque cela est ncessaire et que toutes les autres configurations
connectes doubles sont interdites.

Configurer les priphriques pour dsactiver pontage (passage du trafic


entre les rseaux), sauf si absolument ncessaire.
Section 3 : Surveillance de la scurit WLAN Dispositifs WLAN non autoriss, y compris les points d'accs
Les Organisations avec WLAN devraient mettre en indsirables et priphriques clients non autoriss
uvre des solutions de surveillance continue pour leurs
rseaux locaux sans fil qui offrent toutes les capacits Priphriques WLAN qui sont mal configur ou en utilisant des

de dtection suivantes: protocoles WLAN faibles et les implmentations du protocole

Les habitudes d'utilisation de WLAN inhabituelles, comme un nombre


extrmement lev de dispositifs clients l'aide d'un AP particulier,
volumes anormalement levs de trafic WLAN impliquant un dispositif
client particulier, ou de nombreuses tentatives infructueuses pour
rejoindre le WLAN dans un court laps de temps

L'utilisation de scanners WLAN actifs (par exemple, la guerre conduite


outils) qui gnrent du trafic WLAN. L'utilisation de capteurs passifs ne
peut pas tre dtecte par les contrles de surveillance.

Attaques DoS et conditions (par exemple, les interfrences de rseau).


Beaucoup des attaques par dni de service sont dtectes par
comptage des vnements pendant les priodes de temps et d'alerte
lorsque les valeurs seuils sont dpasses.

Usurpation d'identit et les attaques man-in-the-middle.

Section 3 : Surveillance de la scurit WLAN L'emplacement de l'installation en cours de numrisation, parce que la
les organisations devraient envisager lors de la proximit physique d'un btiment un espace public (par exemple, les
planification de la frquence et de l'ampleur des rues et les espaces communs publics) ou son emplacement dans une
valuations priodiques rgion mtropolitaine occupe peut augmenter le risque de menaces
WLAN

Le niveau de scurit de donnes transmettre sur le rseau local


sans fil

Les changements physiques aux installations, tels que les projets de


construction qui pourraient influer sur la force et la propagation des
signaux WLAN

Tableau 2.5 : Recommandations de la norme NIST [6]

32
2. Analyse de leurs avantages et inconvnients par rapport au projet
mettre en uvre

Avantage par rapport au projet Inconvnient par rapport au projet


Normes
mettre en uvre mettre en uvre

Donne les prcautions et les solutions


ANSSI mettre en place pour protger les usagers ------------------
dinternet.

Donne uniquement des


Insiste sur la ncessit de mettre en
ISO recommandations. Nindique pas
place les protocoles de scurit et des
27002 nommment les solutions techniques
processus de gestion des accs.
mettre en place.

Prcise seulement quelques protocoles


Sintresse protger le rseau sans fil
PCI- de scurit mettre en place, sans
afin de garantir la scurit des donnes
DSS faire allusion des actions viter
des utilisateurs de carte bancaire.
lorsquon utilise un rseau Wifi.

Permet une prise de conscience des


Ne donne pas la solution technique
NIST failles de scurit dans les rseaux sans
pour y remdier.
fil.

Tableau 2.6 : Comparaison entre les normes supportant la scurit du WIFI

3. Les solutions et technologies de connexion scurises via rseau


sans fil

Cette partie concerne ltude des points daccs existant sur le march et qui supportent
le standard 802.11ac, ce standard permet une connexion sans fil haut dbit un rseau
local.il existent plusieurs entreprises qui produisent ce type de matriel, mais qui diffrent
dans les proprits : Il existe comme exemple: FORTINET [14], CISCO-MERAKI [15],
ARUBA [16], RUCKUS [17] et AEROHIVE [18].

33
FORTINET AP- FORTINET FORTINE FORTINE AEROHIVE AEROHIVE AEROHIVE ARUBA ARUBA ARUBA
221C AP-223C T AP- T AP- AP-130 AP-230 AP-370 AP-220 AP-228 AP-210
320C 321C

Puissance de 20 dBm 17 dBm 21 dBm 20 dBm 20 dBm 18 dBm Sur 2.4- 18 dBm
transmission GHz: +23
dBm (18
dBm par
chaine)
Sur 5-
GHz: 23
dBm (18
dBm par
chaine)

DBITS 300Mbit/s 450Mbit 450Mbit 300Mbit 450Mbit 450Mbit 600 600 450
pour 2,4GHZ 300Mbit/s /s pour /s pour /s pour /s pour /s pour Mbit/s Mbit/s Mbps(2.
867Mbit/s pour 2,4GHZ 2,4GHZ 2,4GHZ 2,4GHZ 2,4GHZ (2,4 (2,4 GHz) 4-GHz)
pour 5GHZ 2,4GHZ 1300M 1300M 867 1300Mb 1300Mb GHz) 1 300 1 300
bit/s bit/s Mbit/s it/s pour it/s pour 1 300 Mbit/s (5 Mbps (5
867Mbit/s pour pour pour 5GHZ 5GHZ Mbit/s GHz) GHz)
pour 5GHZ 5GHZ 5GHZ 5GHZ (5 GHz)

NORMES 802.11 802.11 802.11 802.11 IEEE 802.1 IEEE 802.1 IEEE 802.1 802.11 IEEE 802.1 IEEE 802
a/b/g/n/ac a/b/g/n/ac a/b/g/n/ a/b/g/n/ 1a/b/g/n/ 1a/b/g/n/ 1a/b/g/n/ a/b/g/ 1a/b/g/n/ .11a/b/g
ac ac ac ac ac n/ac ac /n/ac

CHANES RADIO / 2 x 2:2 2 x 2:2 3 x 3:3 3 x 3:3 2x2 3x3 3x3 3x3: 3 x3:3 3 x3:3
FLUX 3

802.1X POUR pris en pris en pris en


PORTS ETHERNET Authentificat Authentific Authentif Authentif Authentifi Authentifi Authentifi charge charge charge
eur & ateur & icateur & icateur & cateur & cateur & cateur &
Demandeur Demandeur Demande Demande Demande Demande Demande
ur ur ur ur ur

TUNNELLISAN VPN VPN avec VPN


avec IPsec avec
ipsec IPsec

802.11e Pris en Pris en Pris en Pris en Pris en Pris en Pris en Pris en Pris en Pris en
charge charge charge charge charge charge charge charge charge charge

34
FORTINET AP- FORTINET FORTINE FORTINE AEROHIVE AEROHIVE AEROHIVE ARUBA ARUBA ARUBA
221C AP-223C T AP- T AP- AP-130 AP-230 AP-370 AP-220 AP-228 AP-210
320C 321C

SCURIT SANS FIL AES-CCMP, AES-CCMP, AES- AES- WPA and WPA(TM) WPA(TM) abonn abonne abonn
WPA2-PSK, WPA2-PSK, CCMP, CCMP, WPA2, and WPA2 and WPA2 ement ment au ement
RC4, TKIP, RC4, TKIP, WPA2- WPA2- 802.11i, (TM), (TM), au service au
TLS, TTLS, TLS, TTLS, PSK, RC4, PSK, RC4, WEP, 802.11i, 802.11i, service OpenDNS service
WEP, WPA, WEP, WPA, TKIP, TLS, TKIP, TLS, 802.1x, WEP, WEP, OpenD Trusted OpenDN
WPA-PSK, WPA-PSK, TTLS, TTLS, PSK, 802.1x, 802.1x, NS Platform S
WPA2 WPA2 WEP, WEP, Aerohive PSK, PSK, Module
WPA, WPA, PPSK, CCMP, CCMP, Trusted (TPM) Trusted
WPA- WPA- CCMP, TKIP, and TKIP, and Platfor Platfor
PSK, PSK, WA2 TKIP, et RC4 (WEP RC4 (WEP m m
WPA2 RC4 (WEP seulement seulement Modul Module
seulement ) ) e (TPM)
) (TPM)

BSSID 16 16 16 16 16

Tableau 2.7 : Caractristiques des points daccs supportant 802.11ac

ARUBA MERAKI AP- MERAKI AP- RUCKUS R700 RUCKUS R600 RUCKUS R500 RUCKUS RUCKUS
AP-200 MR32 MR34 H500 T300

Puissance de 18 dBm 15 dBm sur 2,4 29 dBm sur 28 dBm pour 26 dBm pour 19 dBm sur 26 dBm
transmission GHz; 2,4 GHz; 27 2.4GHz/ 27 2,4 GHz/25 2,4 GHz ; 22 pour 2,4
20 dBM sur 5 dBM sur 5 dBm pour dBm pour dBm sur 5,0 GHz ; 25
GHz GHz 5GHz 5GHz GHz dBm pour
5,0 GHz

DBITS 300 1200 Mbps 1750 Mbit/s 450 Mbit/s 2,4


Mbps max rate (2,4 GHz) GHz :300
1 300 Mbit/s
Mbit/s (5 5 GHz :
GHz) 867 Mbit/s

NORMES IEEE 802 IEEE 802.11a/b IEEE 802.11 IEEE 802.11a/ IEEE 8 02.11a / IEEE 802.11a/ IEEE 802.11 5 GHz
.11a/b/g /g/n/ac a/b/g/n/ac b/g/n/ac b/g / n /a c b/g/n/ac a/b/g/n/ac IEEE 802.11
/n/ac une radio ac
ddie 2 GHz
l'analyse du IEEE 802.11
spectre et g/n
au WIPS bi-
bande

CHANES RADIO / 2 x2:2 2 x 2:2 3 x 3:3 3 x 3:3 3x3 2x2 2x2:2 2 x2:2
FLUX

35
ARUBA MERAKI AP- MERAKI AP- RUCKUS R700 RUCKUS R600 RUCKUS R500 RUCKUS RUCKUS
AP-200 MR32 MR34 H500 T300

802.1X POUR PORTS pris en Authentificateu Authentifica


ETHERNET charge r & Demandeur teur & Authentificat Authentifica
Demandeur eur & teur &
Demandeur Demandeur

TUNNELLISATION pris en VPN VPN L2TP, PPPoE L2TP, PPPoE


charge tltravailleur tltravaille
avec Ipsec ur avec
Ipsec

STATIONS Jusqu 500 500 clients par 500 clients Jusqu 100 jusqu' 500
SIMULTANES AP par point clients par
d'accs AP

802.11e Pris en Pris en charge Pris en Pris en charge Pris en


charge charge charge

SCURIT SANS FIL Stratgie de Stratgie de WPA- WPA-PSK,WPA- WPA- WPA-PSK,


abonne pare-feu pare-feu PSK,WPA- TKIP,WPA2 PSK,WPA- WPA-TKIP,
ment au intgre intgre TKIP,WPA2 AES, 802.11i TKIP,WPA2 WPA2 AES,
service Systme de Systme AES, 802.11i Authentificati AES, 802.11i 802.11i
OpenDN dtection de Authentifica on via 802.1X Authentifica Authentific
S d'intrusion sans dtection tion via avec le tion via ation via
fil (WIPS) d'intrusion 802.1X avec ZoneDirector, 802.1X avec 802.1X,
Trusted WEP, WPA, sans fil le base de le base de
Platform WPA2-PSK, (WIPS) ZoneDirector, donnes ZoneDirector, donnes
Module WPA2- WEP, base de dauthentificati base de dauthentifi
(TPM) Enterprise avec WPA, donnes on locale, prise donnes cation
802.1X WPA2-PSK, dauthentifica en charge pour dauthentifica locale, prise
Chiffrement WPA2- tion locale, RADIUS, LDAP tion locale, en charge
TKIP et AES Enterprise prise en et Active prise en de RADIUS,
Isolation des avec 802.1X charge pour Directory charge pour de LDAP et
invits RADIUS et RADIUS et dActive
Confinement Chiffrement Active Active Directory
des points TKIP et AES Directory Directory
d'accs non Isolation
autoriss des invits

Confinemen
t des points
d'accs non
autoriss

BSSID 8 BSSID par Jusqu' 32


radio en 2,4 GHz
Jusqu' 16
en 5 GHz

Tableau 2.8 : Caractristiques des points daccs supportant 802.11ac

36
4. Etude Comparative des solutions de point daccs existant sur le
march

Le tableau ci-dessous est une comparaison entre les diffrentes technologies, il va


nous permettre par la suite de choisir le bon point daccs selon le besoin exprim par le
client.

EXIGENCES
/TECHNOLOGIES CISCO-
RUCKUS ARUBA AEROHIVE FORTINET
MERAKI

Chiffrement WPA2/WPA

Authentification via radius


802.11 e

NORME 802.11ac

Dbit trs lev


__ __ __ __

Tunnelisation
__ __

WIPS
__ __

CLOUD

Dure de fonctionnement
__ __ __ __
long
Focalisation de
__ __ __ __
rayonnement
Tableau 2.9 : Comparaison entre les points daccs supportant 802.11ac

37
Chapitre 3 : tude de la
solution mettre en ouvre
Ce chapitre tudie les protocoles de scurit et les configurations mettre en place
dans le projet, puis la dernire partie est consacre la mise en uvre de la
solution de larchitecture scurise.

38
Ltude du projet est divise en deux phases comme illustres ci-dessous :

Mise en
Analyse de lexistant oeuvre
Expression du besoin
Dfinition des choisir le matriel convenable
spcifications pour la solution
Dfinir les methodes
d'authentifications adopt
Dmonstration de
tude et fonctionnement

ingnierie

Figure 3. 1 : Les phases dtude du projet

I. tude et Ingnierie

1. Analyse de lexistant

Lanalyse de lexistant consiste analyser les solutions dj dployer pour aboutir une
critique de l'existant qui analyse les points positifs et ngatifs, et dgage les amliorations
apporter pour larchitecture quon va mettre en place. Il est prsent ci-dessous des
exemples de cas de dploiement dans un htel et une moyenne entreprise.

a) Exemple 1

Dans cet exemple cest le cas de dploiement dun rseau sans fil dans une
moyenne entreprise.

Fonctionnement :

Le rseau interne de lentreprise est protg par des firewalls. Les deux rseaux ;
dadministration et des commerciaux sont spars avec des VLAN et dans chaque Vlan est
connect des points daccs. Et afin de scuriser laccs aux diffrents serveurs et
applications mtiers, laccs est limit quelque employ.

39
Serveur Serveur Serveur Serveur
antispam Web DNS Proxy

Point d accs WEP

LAN commerciaux

Internet Point d accs WEP


Point d accs WEP

Lan administrateur

Point d accs WEP

Serveur
Gestion des Serveur Base de
transactions NAS Serveur AD donne

Figure 3.2 : Architecture dune entreprise

Avantages:

Permet de se connecter au rseau sans fil aprs lauthentification.

La bande passante ddie chacun dentre eux est limite pour ne pas saturer la
connexion internet.

Les rseaux sont spars par des VLAN.

Bornes cbles au rseau via un commutateur gigabit POE permettant dassurer


lalimentation lectrique des bornes et la connexion au rseau du btiment.

Bornes installes au plafond pour une meilleure diffusion.

Inconvnients :

Utilise le mode dauthentification WEP.

Nutilise pas une authentification via serveur Radius.

40
Nutilise pas le filtrage MAC pour limiter les quipements connects.

Il ny a pas de VLAN visiteurs pour empcher ce dernier daccder aux donnes


circulant dans le rseau de lentreprise.

Interfrence du rayonnement des points daccs dans les zones de recouvrement.

Ne limite pas la puissance des bornes pour limiter la diffusion en dehors du btiment.

b) Exemple 2 :

Cest lexemple dun dploiement dun rseau sans fil dans un htel.

Lan serveur

Serveur Serveur
Serveur
SAP Gestion de
AD
compte reservation

LAN client

Internet

VLan administration
de l'hotel

Point d accs WEP

Figure 3.3 : Architecture dun htel

Fonctionnement
Ce schma est le rseau dun htel qui utilise le rseau sans fil Wifi. Les employs de
lhtel se connectent aux points daccs aprs une authentification par le protocole WEP; sur

41
le mme rseau filaire, ils sont connects dautres quipements comme des PC fixes, des
imprimantes, des camras de surveillancespour les visiteurs et sur un autre rseau LAN,
ils ont un accs au Wifi sans authentification.les serveurs sont mis dans un Lan spar et
protg par des droits daccs.

Avantages :

Isolation des serveurs des autres rseaux LAN.


Cration des Vlans diffrents : Vlan client, Vlan employ, Vlan Serveur.

Inconvnients :

Les points daccs met la disposition des clients ne sont pas scuriss par les
protocoles dauthentifications.

Utilise le mode dauthentification WEP pour les points daccs qui se trouvent dans le
LAN employ.

Possibilit daccs aux rseaux LAN des employs par un malveillant et donc aux
donnes stockes sur les quipements connects.

Nutilise pas une authentification via serveur Radius.

Nutilise pas le filtrage MAC.

Accs linterface de configuration des points daccs.

2. Expression du besoin :

Aprs ltape de ltude dexistant, cest ltape dexpression du besoin, pour arriver
raliser le but du projet convenablement ce que le client attend. Elle permet de dfinir le
rsultat recherch non plus en termes techniques dcrivant la solution, mais en termes
dexigences satisfaire.

Larchitecture quon va mettre devra sassurer de rpondre aux besoins suivants :

Les interfaces des commutateurs existants permettent un dbit de 1000Mbps.


Segmenter le rseau en crant des VLANs et mettre en place une scurit qui
permettra tous les VLANs de ne pas communiquer.
Proposer des points daccs compatibles avec les normes Wifi a/b/g/n/ac.
42
Dfinition des rgles applicatives mettre en uvre sur le rseau de
communication radio.
Dfinition des rgles de scurit mettre en place : authentification via serveur
IAS, authentification forte, Multi SSID, cryptage des connexions.
Centraliser ladministration pour une meilleure gestion.
Accessibilit ladministration depuis des postes dfinis.
Scuriser laccs physique des points daccs (... pirate qui remet paramtres par
dfaut).
Journalisation des accs.
Pouvoir dtecter les anomalies de configuration automatiquement (par des outils
d'analyse automatique des vulnrabilits du systme).
La confidentialit, consistante assurer que les seuls utilisateurs autoriss aient
accs aux ressources qu'ils changent.
La disponibilit, permettant de maintenir le bon fonctionnement du systme
d'information pour assurer un accs permanent.
Journalisation des actions afin de sassurer de la non-rpudiation des donnes.
Un mcanisme de scurit pour isoler logiquement le trafic lorsquune personne
malveillante parvient accder physiquement au rseau interne d'une entreprise.
Vrifier si les employs ninstallent pas des AP sans autorisation.
Assurer la mobilit des utilisateurs.

On doit aussi savoir que le besoin diffre dune entreprise une autre selon la taille
de lendroit o on va dployer le rseau sans fil.

Petite entreprise :

Dans larchitecture dune petite entreprise, afin de dployer le Wifi pour faire
communiquer les utilisateurs on va se contenter dutiliser des points daccs, tout en le
configurant convenablement afin dassurer la scurit des donnes.

Moyenne entreprise :

Par rapport aux petites entreprises, il ya un nombre important dutilisateurs donc on


va avoir besoin de plusieurs points daccs, et afin de grer la mobilit de chaque utilisateur
il faut avoir un contrleur WLAN.

43
Grande entreprise

Si lentreprise plusieurs sites on va avoir besoin de connecter ces diffrents sites et on


peut recourir au Cloud.

3. Dfinition des spcifications techniques

Ensuite ctait ltape de Dfinition des spcifications, qui consiste choisir les
spcifications du matriel quon va utiliser selon le besoin dj exprim.

On veut arriver raliser une architecture qui est scurise avec pas mal
dinteractions avec lextrieur. Selon les besoins exprims par le client on va avoir besoin
dun serveur LDAP, serveur RADIUS; et comme quipements, on va utiliser des points
daccs et contrleurs WLAN.

Le protocole RADIUS propose une fonctionnalit daccounting assurant la


journalisation des accs. Le serveur LDAP permet de grer des annuaires, c.--d. daccder
des bases dinformations sur les utilisateurs dun rseau par lintermdiaire du protocole
TCP/IP.

Les points daccs que nous allons utiliser doivent avoir les caractristiques suivantes
pour rpondre aux besoins:

Standard 802.11ac (2,4 GHz/5 GHz).


Taux de transfert des donnes: connexion sans fil 450 MBits/s (norme
IEEE 802.11n), 1300 Mbits/s (norme IEEE 802.11ac).
Compatible avec les quipements 802.11b/g sans fil existants.
Compatible rseau filaire.
Power Over Ethernet (PoE) intgr.
Scurit WPA2 avec authentification RADIUS 802.1x de l'utilisateur.
Configuration et gestion partir du web.
Chiffrement : TKIP, AES.

Pour le contrleur WLAN on va avoir besoin dun quipement qui a les caractristiques
suivantes :

Le contrleur doit tre capable de mesurer dans un rseau pendant que le rseau se
dveloppe.

44
Il doit fournir la transmission en temps rel entre la radio APs et d'autres
priphriques pour fournir des stratgies de scurit centralises et l'accs invit.

Il doit avoir le systme de prvention des intrusions sans fil (WIPS), la Gestion
contexte-avertie (emplacement).

Il doit assurer la qualit de service (QoS) pour des Services de mobilit tels que la
Voix et la vido, et le soutien OEAP de la solution de tltravailleur.

Il doit supporter 5 points daccs au minimum.

Il doit offrir la couverture robuste avec le 802.11 a/b/g ou fournit la fiabilit sans
prcdent utilisant les solutions 802.11n/ac.

Techniquement ce projet qui a pour but de mettre en place une infrastructure Wifi
scurise doit assurer :

Le positionnement correct des APs.


La frquence utilise.
Les AP ne doivent pas tre lis aux rseaux de cbles.
Dsactiver la diffusion du SSID dans les AP, et activer le masquage du SSID.
Dsactiver la communication client-client dans lAP.
changer les paramtres par dfaut des AP (le SSID, les mots de passe, ladresse IP,
etc.).
Mettre jour en temps rel du firmware des AP et des cartes sans fil.
Activer le contrle daccs au niveau MAC & IP (activer les deux).
Activer le chiffrement (minimum de 128 ou de 256-bits).
viter lutilisation des cls secrtes WEP faciles deviner.
Dsactiver le protocole DHCP sur les rseaux WLAN, surtout pour tendues des @
IP.
Observer la cration de nouveaux AP, car le pirate peut installer un AP jumeau.
Installer un faux point daccs, afin de tromper ladversaire.

Dployer un firewall pour protger le rseau interne.


Utiliser un mot de passe fort.

45
II. Mise en uvre de la solution

1. Description de la solution
Le but de larchitecture quon va mettre en uvre est :
Une scurit assez leve sans pour autant compromettre lutilisation du rseau par les
utilisateurs (le problme de tout admin ).
Un cot trs faible.
Une maintenance aise du rseau (ajout/suppression de postes/utilisateurs)

Serveur
Radius/ VLan direction Gnrale
Serveur LDAP/
NAC
WPA2

Internet

Controleur Wlan

Point d accs WPA2

VLan administrateur VLAN Visiteur

Point d accs WPA2

Figure 3.4 : Architecture Wifi scurise

Larchitecture est constitue de:

un point daccs rseau sans fil Aruba 228, matriel conforme la norme 802.11i et
permettant la mise en uvre de tous les mcanismes de scurit dfinis par la
norme 802.11i. Ce choix a t fait puisque les points daccs dAruba sont robustes.
Un switch PoE (Power over Ethernet).
Routeur

46
Lintrt de choisir la technologie PoE dans le matriel quon va utiliser est de pouvoir
installer les points daccs dans les endroits qui sont dpourvus dalimentation lectrique
(sous plafond par exemple).

Larchitecture est alors compose dun contrleur ou plusieurs et de points daccs


lgers. chaque dmarrage, le contrleur sassocie avec le point daccs, et ce dernier
rcupre sa configuration (paramtre rseau, frquence utilise, SSID, etc.) en se
connectant au contrleur. Une connexion scurise est tablie entre le point daccs et le
contrleur avec un protocole de contrle et de gestion daccs sans fil.

Aprs lassociation au point daccs du rseau sans fil, lutilisateur est authentifi
travers une connexion scurise pour pouvoir disposer du service Wifi.

Au niveau du serveur RADIUS, la liste des utilisateurs du domaine est restreinte ayant le
droit de se connecter au rseau sans fil. Lannuaire des utilisateurs est sous environnement
windows server 2012.

Le serveur Radius a t dploy de faon assurer une connexion par 802.1X, avec un
chiffrement WPA2-AES et une gestion de l'authentification par EAP-TLS.

Pour lauthentification choisie, on a pris EAP-TLS vu quelle est trs scurise. Le


serveur dauthentification (de type RADIUS) et le client, chacun possde un certificat pour
prouver son identit. [19]

Le processus daccs au rseau est le suivant :

Une demande par lutilisateur ladministrateur rseau est effectue de manire


officielle en faisant parvenir dans la demande ladresse MAC, ainsi que les
informations sur le device, afin que ladministrateur lajoute dans la table dadresses
autorises
Le point d'accs envoie une requte d'authentification au client. Le client rpond avec
son identifiant (nom de machine ou login), ce message est relay par le point d'accs
vers le serveur Radius.
Le serveur RADIUS vrifie les informations d'identit, consulte sa stratgie d'accs et
autorise ou refuse l'accs au client.
S'il est reconnu, le client est autoris accder au rseau et change les cls de
cryptage avec le point d'accs sans fil. En fait, les cls sont gnres par le serveur
RADIUS et transmises au point d'accs sans fil par un canal scuris. Si le client
n'est pas reconnu par le serveur, il n'est pas autoris accder au rseau et la
communication s'interrompt.

47
Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont t proposs
par le client
Le client vrifie le certificat du serveur et rpond avec son propre certificat et sa cl
publique.
Grce aux cls de cryptage, le client et le point d'accs sans fil tablissent une
connexion sans fil scurise, ce qui permet au client et au rseau interne de
communiquer.

Concept de solution bas sur l'authentification EAP-TLS 802.1X

Figure 3.5 : Authentification EAP-TLS 802.1X

48
2. Dmonstration de fonctionnement :
Dans cette partie, on sintresse seulement aux utilisateurs du rseau sans fil. La
simulation de la solution adopte est sur packet tracer, afin de sassurer de sa fiabilit. Le
schma est le suivant :

Figure 3.6 : Simulation de larchitecture sur packet tracer

Dans ce qui va suivre, on va configurer les quipements et on va faire un test pour


montrer la crdibilit de la solution en termes de scurit.

2.1 Outils de dmonstration de fonctionnement :

Packet Tracer est un simulateur de matriel rseau Cisco (routeurs, commutateurs).


Cet outil est cr par Cisco Systems qui le fournit gratuitement aux centres de formation,
tudiants et diplms participant, ou ayant particip au programme de formation Cisco
(Cisco Networking Academy). Le but de Packet Tracer est d'offrir aux lves et aux
professeurs un outil permettant d'apprendre les principes du rseau, tout en acqurant des
comptences aux technologies spcifiques de Cisco. Il peut tre utilis pour sentraner, se
former, prparer les examens de certification Cisco, mais galement pour de la simulation
rseau.

49
2.2 Configuration du serveur Radius

On configure le DHCP pour quil donne les adresses IP aux quipements connects sur
le rseau, pour ainsi faciliter laffectation des adresses IP pendant la configuration. (Figure
3.8)

Figure 3.7 : Interface de configuration de DHCP sur Radius

Ensuite on configure le serveur Radius, en ajoutant les utilisateurs qui ont le droit
daccder au rseau sans fil. On ajoute le login et mot de passe qui doit tre unique.(Figure
3.9)

Figure 3.8 : Interface dajout des utilisateurs sur Radius

50
2.3 Configuration du routeur sans fil

On nomme le rseau sans fil, dans cette dmonstration on a pris dp , ensuite on active la
diffusion du nom du rseau sans fil SSID pour faciliter lauthentification. (Figure 3.10)

Figure 3.9 : Interface de configuration du rseau sans fil sur le routeur


Sur le routeur, on lui assigne son adresse IP et on active le protocole DHCP. (Figure 3.11)

Figure 3.10 : Interface de configuration du DHCP sur le routeur sans fil

51
Le droit daccs au paramtre du routeur est limit ladministrateur du rseau par un
identifiant. (Figure 3.12)

Figure 3.11 : Interface de configuration des droits daccs du routeur

2.4 Configuration des Vlan


Le rseau est spar en cinq Vlans comme illustr dans le tableau ci-dessous:

Vlan Adresse IP Passerelle


Vlan employ 192.168.3.0/24 10.0.0.1
Vlan employ-wifi 192.168.6.0/24 10.0.0.1
Vlan direction 192.168.4.0/24 10.0.0.1
Vlan direction-wifi 192.168.7.0/24 10.0.0.1
Vlan visiteur 192.168.7.0/24 10.0.0.1
Tableau 3. 1 : Configuration des Vlans du rseau

52
2.5 Configuration des quipements

Les adresses IP des quipements sont configures par le serveur DHCP. Les utilisateurs
sauthentifient par le login et le mot de passe entrs dans le serveur radius. (Figure 3.13)

Figure 3.12 : Interface de configuration des adresses IP des quipements

Le serveur Radius vrifie les identifiants des utilisateurs puis il leurs donne ou non laccs au
rseau sans fil de lentreprise. Dans linterface ci-dessous lutilisateur est connect. (Figure 3.14)

Figure 3.13 : interface dtablissement de la connexion Wifi

53
Interprtation : lutilisateur autoris sur le serveur Radius est connect.

2.6 Test de scurit :


Dans cette partie on va voir le cas dun utilisateur non autoris, qui veut se connecter au rseau
sans fil.

Figure 3.14 : utilisateurs non identifis sur le rseau

Figure 3.15 : Interface de rejet des utilisateurs non autoriss

54
Interprtation : lutilisateur ne peut pas accder au rseau sans fil parce quil nexiste pas
dans la base de donnes du serveur Radius.

Conclusion : On remarque donc que malgr les faiblesses existantes des protocoles de scurits
(WPA, WPA2) le serveur Radius et lisolation des quipements, ajoutent une protection
supplmentaire aux donnes circulantes sur le rseau.

55
CONCLUSION

On a prsent dans ce rapport le projet de fin d'tudes effectu au sein de


DATAPROTECT. Ce travail consiste llaboration dun document pour la mise en place dune
infrastructure Wifi scurise. Les objectifs fonctionnels de ce projet devraient permettre de :
avoir une connexion haut dbit, protger les donnes de lentreprise, journalisation des accs,
limitation daccs au rseau sans fil par des identifiants.

Durant le projet, on a fait une tude sur les normes supportant le Wifi, les paramtrages et les
rgles de scurit utiliser pour scuriser le rseau sans fil. Le but de cette tude est de proposer
une architecture scurise destine aux clients de Dataprotect qui veulent dployer le Wifi tout en
assurant la scurit de leurs donnes.

Larchitecture adopte des protocoles de scurit qui permettent de garantir un niveau de


fiabilit. Ce document intgre les quipements introduire et les configurations choisir afin
dassurer la souplesse et la scurit aux utilisateurs pendant la connexion au rseau sans fil.

Notre solution a satisfait les objectifs fonctionnels ainsi que techniques attendus vu la scurit
et la qualit de service quelle permet aux propritaires de lentreprise, par lisolation des rseaux
et les mthodes et protocoles dauthentification utiliss ainsi que le dbit quelle procure ses
clients.

tant donn la priode limite du stage ainsi que ltendu de ce sujet, notre travail nous a
permis d'tablir le fonctionnement de larchitecture scurise et la mise en place des paramtrages
associs, en attendant la disponibilit des quipements pour accomplir ce projet et avoir un
document plus crdible.

56
BIBLIOGRAPHIE ET WEBOGRAPHIE

Ouvrage numrique :
[1] : La Scurit des Rseaux Wi-Fi,Aspects Cryptographiques],[ Julien Cathalo],[2012]
[2] : [Solution d'authentification scurise pour le futur rseau sans fil de l'Universit
LouisPasteur], [Christophe Saillard]

[3] : [Recommandations de scurit relatives aux rseaux WiFi ],[ANSSI],[2013]

[4] : [Technologies de linformation Techniques de scurit Code de bonne pratique


pour le management de la scurit de linformation], [NM ISO/IEC 27002] ,[2013]

[5] : [Normes en matire de scurit des donnes], [Payment Card Industry (PCI)], [ 2006]

[6] : [Guidelines for Securing Wireless Local Area Networks], [NIST Computer Security
Division], [2012]

Site web :

[7] : http://portail-des-pme.fr/internet-referencement/1717-le-role-des-technologies-dans-
lentreprise
[8] : https://fr.wikipedia.org/wiki/Wi-Fi
[9] : http://www.commentcamarche.net/contents/91-radius
[10] : http://www.panoptinet.com/cybersecurite-pratique/securite-wi-fi-les-
recommandations-de-lanssi/
[11] : http://www.iso.org/iso/fr/catalogue_detail?csnumber=54533

[12] : http://www.bee-ware.net/fr/solutions/conformit%C3%A9-pci-dss

[13] : https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

[14] : http://www.fortinet.com/products/fortiap/indoor-ap.html

[15] : https://meraki.cisco.com/

[16] : http://www.arubanetworks.com/products/networking/access-points/

[17] : http://fr.ruckuswireless.com/products

[18] : http://www.aerohive.com/80211ac

[19] : http://www.memoefix.com/?p=260

57
ANNEXE : Glossaire des principaux sigles et acronymes utiliss
Terme Dfinition

L'adresse MAC est un identifiant physique unique pour


Adresse MAC
toutes les cartes rseau dans le monde. Elle est inscrite en
(@ Media Access Control)
usine de manire dfinitive dans la ROM.
AES un mcanisme de chiffrement qui est plus fort que TKIP et
(Advanced Encryption
qui est utilis par WPA2
Standard)

Un point d'accs permet de relier sans fil des stations


AP (Access point)
clientes Wifi et de se connecter en 2,4 GHz ou en 5 GHz
un rseau haut dbit.
une attaque qui a pour but d'intercepter les
Attaque MiM
communications entre deux parties, sans que ni l'une ni
(Attaque man in the middle)
l'autre ne puisse se douter que le canal de
communication entre elles a t compromis
Identificateur unique chaque client sans fil d'un rseau
BSSID
sans fil. Le BSSID est l'adresse MAC Ethernet de chaque
(Basic Service Set
Identifier) carte du rseau.
Il permet d'associer une cl publique une entit pour
CERTIFICAT
empcher quun pirate la cl publique originale.

Un modle qui permet un accs omniprsent, pratique et


la demande un rseau partag et un ensemble de
CLOUD
ressources informatiques configurables (par exemple : des
rseaux, des serveurs, du stockage, des applications et des
services) qui peuvent tre provisionnes et libres avec un
minimum dadministration.
Un protocole rseau charg de la configuration
DHCP
automatique des adresses IP d'un rseau informatique.
(Dynamic Host
Configuration Protocol)
Le DNS est un protocole qui permet d'associer un nom de
DNS
domaine une adresse IP
FIREWALL (pare-feu) Il a pour but de vrifier tous les ports ouverts et de bloquer
toute mission ou rception de donnes par ceux-ci sans
l'autorisation de l'utilisateur.

58
IEEE Une organisation qui a pour but de promouvoir la
(Institute of Electrical and
connaissance dans le domaine de lingnierie lectrique.
Electronics Engineers)
LAN Il s'agit d'un ensemble d'ordinateurs appartenant une
(Local Area Network)
mme organisation, et relis entre eux dans une petite aire
gographique par un rseau, souvent l'aide d'une mme
technologie
LDAP Le Protocole d'accs aux annuaires lger est un
(Lightweight Directory
protocole standard permettant de grer des annuaires, c'est-
Access Protocol)
-dire d'accder des bases d'informations sur les
utilisateurs d'un rseau par l'intermdiaire de
protocoles TCP/IP.
MIMO Une Technologie permettant dacclrer le dbit et dlargir
(Multiple Inputs Multiple
la porte d'un rseau Wifi, en employant plusieurs antennes
Outputs)
radio pour l'mission et la rception (Entre multiple sortie
multiple).
NAC il permet de soumettre laccs au rseau dentreprise un
(Network Access Control)
protocole didentification de lutilisateur et au respect des
restrictions dusages dfinies pour ce rseau.
POE Technologie permettant un cble rseau Ethernet de
(Power over Ethernet)
fournir des donnes et l'alimentation lectrique.

RADIUS Un protocole d'authentification standard


(Remote Authentication
Dial-In User Service)
"Rogue" AP: Un point daccs non autoris sur un rseau. Son but est
de contourner les vrifications de scurit pour accder un
rseau interne.
SSID Nom de rseau sans fil
(Service Set Identifier)
TKIP Une cl de 128 bits est utilise pour chaque paquet. On
(Temporal Key Integrity
gnre une nouvelle cl pour chaque paquet. TKIP est
Protocol)
utilis par WPA.
VLAN Rseau virtuel au sein d'un rseau global permettant
(Virtual Locan Area
d'isoler certaines machines entre elles du rseau global.
Network)
VPN La mise en place d'un rseau priv virtuel permet de
(Virtual Private Network)
connecter de faon scurise des ordinateurs distants au
travers d'une liaison non fiable (Internet), comme s'ils
taient sur le mme rseau local.

59
WEP Mthode de chiffrement utilise pour les liaisons d'un
(Wired Equivalent Privacy)
rseau local sans fil 802.11. Ce protocole de scurisation
nest pas fiable.
WIFI Une technologie permettant de crer des rseaux
(Wireless Fidelity)
informatiques sans fil. Il s'agit d'une norme de l'IEEE
baptise 802.11.
WIPS Systme de prvention des intrusions sans fil
(wireless intrusion
prevention system)
WLAN Rseau local sans fil
(wireless Local Area
Network)
WPA Une norme de protection des donnes, amene remplacer
( Wi-Fi Protected Access)
la clef WEP.

60

S-ar putea să vă placă și