Documente Academic
Documente Profesional
Documente Cultură
DEDICACE
DEDICACE
SOMMAIRE
DEDICACE ................................................................................................................................. i
DEDICACE ................................................................................................................................ ii
REMERCIEMENTS .................................................................................................................. v
CAHIER DE CHARGES .......................................................................................................... vi
LISTE DES FIGURES ............................................................................................................. vii
LISTE DES TABLEAUX ......................................................................................................... ix
LISTE DES ABREVIATIONS .................................................................................................. x
AVANT-PROPOS .................................................................................................................. xiii
RESUME .................................................................................................................................. xv
INTRODUCTION GENERALE ................................................................................................ 1
CHAPITRE I : GENERALITES SUR LES RESEAUX SANS FILS ....................................... 2
I.DEFINITION .................................................................................................................... 2
II.DIFFERENTS RESEAUX SANS FIL ........................................................................... 2
III.CONCLUSION .............................................................................................................. 8
CHAPITRE II : LES ATTAQUES POSSIBLES ET LES MECANISMES DE SECURITE
AUX RESEAUX SANS FILS9
INTRODUCTION .............................................................................................................. 9
I. RISQUES ET ATTAQUES............................................................................................. 9
I.1. LES RISQUES ...................................................................................................... 9
I.2. Les ATTAQUES ................................................................................................. 10
II. SERVICES DE SECURITE ......................................................................................... 11
II.1. CONFIDENTIALITE..11
II.1.2. CERTIFICATS.14
II.3. LINTEGRITE DES DONNEES ....................................................................... 15
II.4. CONTROLE DACCES ..................................................................................... 15
III. SECURISATION DU Wi-Fi ..................................................................................... 16
III.1. SECURITE DES PROTOCOLES LIES AU Wi-Fi ......................................... 16
CONCLUSION ................................................................................................................. 21
CHAPITRE III : MISE EN PLACE DUNE SECURITE BASEE SUR LE 802.1X AVEC
UN SERVEUR DAUTHENTIFICATION............. 23
Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin iii
RAPPORT DE PROJET DE FIN DETUDE
INTRODUCTION ............................................................................................................ 22
I.INSTALLATION ET CONFIGURATION DOPENSSL ............................................. 22
I.1. INSTALLATION ................................................................................................ 22
I.2: CONFIGURATION ............................................................................................ 23
II.GENERATIONS DES CERTIFICATS ........................................................................ 24
II.1.GENERATION DU CERTIFICAT ROOT ........................................................ 24
II.2 : GENERATION DU CERTIFICAT SERVEUR............................................... 25
II.3 : GENERATION DU CERTIFICAT CLIENT ................................................... 26
III.INSTALLATION ET CONFIGURATION DE FREERADIUS AVEC EAP- TLS . 27
III.1 : INSTALLATION DE FREERADIUS ............................................................ 27
III.2 : INSTALLATION DES CERTIFICATS SUR LE SERVEUR ....................... 27
III.3 : CONFIGURATION DE FREERADIUS ........................................................ 27
III.4 : LANCEMENT ET PREMIER TEST DE FREERADIUS .............................. 30
IV.INSTALLATION DE MYSQL ET BASE DE DONNEES RADIUS ........................ 31
IV.1 : AJOUT DU SUPPORT MYSQL A FREERADIUS .................................... 31
IV.2 : LE FICHIER SQL.CONF ............................................................................. 31
IV.3 : LE FICHIER RADIUS.CONF ...................................................................... 32
IV.4 : LE FICHIER DEFAULT ................................................................................ 32
IV.5 : CREATION DE LA BASE DE DONNEES ................................................... 32
V. TEST DE FREERADIUS AVEC MYSQL ET EAP-TLS SUR UN UTILISATEUR 37
V.1: INSTALLATION DU CERTIFICAT DAUTORITE ...................................... 37
V.2 : INSTALLATION DU CERTIFICAT CLIENT ET TEST ............................... 39
V.3 : CONFIGURATION DE LA CARTE RESEAU SANS FILS .......................... 41
VI. INSTALLATION ET CONFIGURATION DE CHILLISPOT (PORTAIL CAPTIF 43
VI.1 : INSTALLATION ............................................................................................ 43
VI.2 : CONFIGURATION ........................................................................................ 44
VI.3 : CONFIGURATION DAPACHE 2 POUR CHILLISPOT ............................ 45
CONCLUSION ................................................................................................................. 47
PERSPECTIVE ET APPLICATION DU PROJET..48
REMERCIEMENTS
Nous saisons cette occasion qui nous est offerte travers la rdaction de ce rapport du
projet de fin dtude pour manifester notre reconnaissance lgard de tout ceux qui de prs
ou de loin ont contribu sa ralisation. Nous pensons ainsi :
- Leternel Dieu tout puissant, lui qui nous a toujours soutenus depuis notre naissance
jusqu' ce jour.
- A tous les enseignants de lIUT-FV de Bandjoun pour tout le savoir quils nous ont
transmis en particulier au Pr. FOGUE Mdard, directeur de lIUT-FV de Bandjoun, Dr
KAPCHE TAGNE Franois chef de dpartement gnie des tlcommunications et rseaux.
- M. MBOUPDA PONE pour son encadrement acadmique.
- M.CHIME Alex pour tout le soutien apport durant cette anne.
- Ma mre MESSA Vronique pour son soutien.
- Ma mre SIMO Charlotte pour tout son amour et sa bont.
- Mon pre NZEUGANG Joseph pour ses encouragements et conseils.
- Mes oncles dont les noms suivent: SOUOP Jean Claude, KAMGA Jules, TAYOU
Clotaire.
- Mon grand frre M.TABU Guy Ghislain
- Toute la famille MOPOUNG.
- Nos frres et surs.
- Nos cousins et cousines.
- Nos oncles et tantes.
- Nos amis : MBIANOU Christian Thierry, NLONG Brigitte, WACHE Alice Larissa.
- Tous nos camarades de lIUT-FV.
A tous ceux qui ne trouveront pas leurs noms ici, nous leurs sommes trs reconnaissant
pour le soutien apport par chacun deux durant tout notre parcours.
CAHIER DE CHARGES
Une entreprise accueil des partenaires extrieurs pour une formation ou autres et les
administrateurs de cette mme entreprise ont des ordinateurs portables et peuvent avoir besoin
d'une connexion internet pour chercher des documents etc. ... car ils n'ont pas tout le temps de
prise rseau porter ou de cble.
Ide de solutions :
Cration d'un portail captif (2SSID) aironet le fait authentification sur la page du
portail captif. Celle-ci se fera par le protocole RADIUS et le serveur RADIUS sera configurer
sous une distribution Linux. L'authentification sera faite avec soit TKIP ou AES avec TLS.
Diffrent VLAN, 1 pour les personnes extrieurs, un autre pour le personnel de l'entreprise.
Les intervenants extrieurs ne doivent pas avoir accs aux ressources local alors que le
personnel oui. La mise en place d'un portail captif avec diffrent VLAN. Prendre une borne
Cisco Aironet (par exemple) un cisco 3750. Un logiciel de portail captif (chilispot ou pfsense,
)
Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin vii
RAPPORT DE PROJET DE FIN DETUDE
Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin viii
RAPPORT DE PROJET DE FIN DETUDE
Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xii
RAPPORT DE PROJET DE FIN DETUDE
AVANT-PROPOS
Dans le cadre dune formation compatible et adapte au monde professionnel actuel, il est
impratif pour chaque cole de formation de mettre la disposition de ses tudiants une
formation leurs permettant davoir une matrise parfaite des connaissances thoriques et
pratiques pour rendre propice leurs intgrations dans le monde de lemploi. A cet effet le
gouvernement camerounais dcide dlargir lenseignement suprieur en crant des instituts
universitaires de technologie (IUT) parmi lesquels instituts universitaires de technologie
FOTSO VICTOR (IUT-FV) de Bandjoun du nom de son fondateur.
De plus dun D.U.T (Diplme universitaire de technologie) obtenu en 2 ans pour les filires
ci-aprs :
Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xiii
RAPPORT DE PROJET DE FIN DETUDE
Ou dun B.T.S (Brevet des Techniciens Suprieur) en 2 ans pour les filires ci-aprs :
Tout comme les cycles DUT et BTS, le cycle de licence ouvre ses portes aussi bien aux
tudiants titulaires dun DUT ou dun BTS en lectronique, lectrotechnique, Informatique
de gestion, Gnie des tlcommunications et rseaux ou tout autre diplme quivalent.
De plus, une formation appele CISCO est offerte toute personne dsirant se former sur
les technologies de linformation et de la communication en rapport direct avec le monde
professionnel. Cette formation permet aussi le recyclage des employs dentreprises divers.
Elle a une dure dun an au moins selon le niveau scolaire.
Pour le cas particulier de la licence technologique en Ingnierie des Rseaux et
Tlcommunications, il est prvu un projet de fin dtudes pour permettre ltudiant de
mettre en pratique les connaissances thoriques reues tout au long de son cursus. Cest dans
cette optique quil nous a t donn pour finaliser notre cursus de licence, le
thme :<<solution daccs internet aux confrenciers dune entreprise>>
Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xiv
RAPPORT DE PROJET DE FIN DETUDE
RESUME
Le rseau Wi-Fi constitue de plus en plus la technologie qui sest impose par
excellence ces dernires dix annes, permettant aux utilisateurs un accs linternet ou au
rseau local dentreprise sans les contraintes des cbles. Les dbits atteints actuellement avec
le rseau wifi rendent possible le transfert de flux multimdia soumis cependant une forte
contrainte scuritaire due au lien sans fil lui mme. Les solutions utilises dans les rseaux
filaires ne sont pas adquates et efficaces pour les WLAN. Do lintrt certain apport
trouver et mettre en place des solutions spcifiques au WLAN mme si parfois elles sont
inspires de solutions existantes dj. Le but de notre projet de fin dtudes consiste justement
tudier et analyser ces dites solutions pour en choisir et dployer la plus efficace sur un
rseau test. Dans cette optique, on a donc tudi le rseau Wi-Fi standardis en dtail, avec
son fonctionnement ainsi que ses protocoles et ses mcanismes de scurit. Nous avons
ensuite opt pour lutilisation dun serveur RADIUS utilisant le protocole 801.1x pour
lauthentification des utilisateurs avec des certificats, le protocole AES pour le chiffrement.
INTRODUCTION GENERALE
Les rseaux sans fil rencontrent aujourdhui un succs important car ils permettent
de dployer des moyens de transmission sans contraintes dimmobilit lies aux cblages et
aux prises, la promotion actuelle de ce type de solution est uniquement axe sur les avantages
quelle procure : facilit et rapidit dinstallation, cot infrieur un systme filaire, mobilit,
accs partag des services de haut dbit. Bien que cette technologie semble aux premiers
abords parfaite et sans soucis, la ralit est plus dure, due surtout au problme de la protection
de ces rseaux sans fil, mme vis--vis dattaque simple. La nature de signal transmis (ondes
lectro magntiques) rend difficile, voir impossible la maitrise complte de la propagation. En
consquent, il est assez facile dcouter les messages et mme de sintroduire sur de tels
rseau ; il est donc ncessaire de dfinir pour les rseaux sans fil une politique de scurit
stricte reposant sur des mcanismes, si possible sans failles, tel que lauthentification, le
contrle dintgrit et le chiffrement. Toutefois, les rseaux sans fil nont pas pour vocation
de remplacer les rseaux filaires, ils sont plus souvent considrs comme une extension un
rseau filaire existant et non comme un potentiel remplaant. Le travail que nous prsentons
dans le cadre du projet de fin dtude consiste exposer en dtail le dploiement dune
solution de scurit des rseaux sans fil Wi-Fi. Notre travail va consister scuriser un
rseau Wifi en mode infrastructure, par un serveur dauthentification radius. Pour cela le
projet a t partag en trois chapitres :
- Le premier chapitre prsente des gnralits sur les rseaux sans fil Wi-Fi, et son
fonctionnement.
- Le deuxime chapitre est consacr aux mcanismes de scurit, les protocoles de scurit
qui existent et les attaques possibles.
- Le troisime chapitre dtaille limplmentation des mcanismes et protocoles quon a
choisis, qui est le 802.1x avec un serveur dauthentification radius, dans ce chapitre, on
dcrit les tapes quon a suivies pour la scurisation dun rseau exprimental se composant
de deux utilisateurs, un point daccs (AP) et dun serveur.
I.DEFINITION
Un rseau sans fil est, comme son nom l'indique, un rseau dans lequel au moins deux
terminaux peuvent communiquer sans liaison filaire. Grce aux rseaux sans fil, un utilisateur
la possibilit de rester connect tout en se dplaant dans un primtre gographique plus
ou moins tendu, c'est la raison pour laquelle on entend parfois parler de "mobilit". Ils
sont bass sur une liaison utilisant des ondes radiolectriques en lieu et place des cbles
habituels. Il existe plusieurs technologies se distinguant d'une part par la frquence d'mission
utilise ainsi que le dbit et la porte des transmissions. De plus, l'installation de tels rseaux
ne demande pas de lourds amnagements des infrastructures existantes comme c'est le cas
avec les rseaux filaires. En contrepartie se pose le problme de la rglementation relative
aux transmissions radiolectriques. De plus, les ondes hertziennes sont difficiles confiner
dans une surface gographique restreinte, il est facile pour un pirate d'couter le rseau
si les informations circulent en clair. Donc il est ncessaire de mettre en place les dispositions
ncessaires de telle manire assurer une confidentialit des donnes circulant sur les rseaux
sans fil. La grande particularit des rseaux sans fil est dtre un systme rapide dployer,
pour un cout raisonnable. En effet, il suffit pour construire un tel rseau dquiper les
postes informatiques dun adaptateur 802.11 et si ncessaire dinstaller un point daccs. Ce
type de rseau utilise donc des ondes radio pour vhiculer des donnes entre les postes.
WI-FI
Un rseau WI-FI (Wireless Fidelity) est un rseau rpondant la norme 802 .11 ci-
dessus qui est un standard pour les rseaux locaux sans fils (WLAN).
Avantages du Wi-Fi
- Mobilit
- Facilit et souplesse
- Cot
- volutivit
Inconvnients du Wi-Fi
- Complexit
- Qualit et continuit du signal
- Scurit
Diffrentes normes Wi-Fi
Les standards rgissant les rseaux sans fil pour les PC sont tablis par lIEEE (Institue of
Elecrical and Electronics Engineers). La technologie LAN/MAN a reu le numro 802, lui
mme subdivis en groupes de travail. La norme IEEE 802.11 est en ralit la norme initial
offrant des dbits de 1 ou 2 Mbit/s, des rvisions ont t apports la norme originale
afin doptimiser le dbit. On trouvera ci-aprs une brve description des diffrentes rvisions
de la norme 802.11 ainsi que ses diffrents paramtres :
Normes Dbits Porte Fonctionnement et frquences utilises
802.11a 54Mbits(thorie) 15m Utilise les frquences 2 et 5Mbits/s et spcifie 8
30Mbits(rel) canaux rduits dans la bande de 5Mbits/s.
802.11b 2244Mbits(thorie) 30 Utlise la modulation DSSS et HR-DSSS
11 20Mbits(rel) 100m
802.11c Concerne la gestion de la couche MAC
802.11d Permet une utilisation internationale du 802.11
802.11e Offre la QOS au niveau de la couche 2
802.11f Vise une meilleure interoprabilit des produits
802.11g 54Mbits/s Utilise la frquence 2,4GHz, la modulation
OFDM, le WEP et le WPA
802.11h Rend compatible les quipements 802.11 avec
les infrastructures utilisant HiperLAN2.
802.1x Vise lintgration du protocole EAP.
Equipements Wi-Fi
Il permet aux stations quipes de cartes Wi-Fi dobtenir une connexion au rseau.
Les AP sont ncessaires lorsque le rseau sans fil fonctionne en mode infrastructure.
Routeurs
Le routeur transforme votre connexion Internet filaire en connexion sans fil. La plupart
des routeurs font office de borne sans fil offrant laccs Internet tous vos ordinateurs.
Ils disposent galement de ports Ethernet (en gnrale quatre) pour raccorder physiquement
les postes les plus proches et certains offrent une scurit pour le rseau en tant dots de
firewall et de limitations daccs.
Les modems/routeurs
Cartes Wi-Fi
o PCMCIA
Il sagit du format le plus rpandu puisque ce format est spcifique aux portables dont les
propritaires taient les premiers intresss par la technologie sans fil.
o PCI
Cest le format standard pour les ordinateurs de bureau mais les cartes restent au format
PCMCIA. Il y a donc un adaptateur PCMCIA-PCI sur lequel est loge une carte PCMCIA ;
le prix dachat est donc lgrement suprieur aux modles prcdents.
o USB
o Les antennes
L'antenne intgre lAP ou la carte Wi-Fi peut tre remplace par une antenne externe
plus puissante relie par un cble d'antenne. Il y a 3 grandes familles dantennes :
- Les omnidirectionnelles
- Les directionnelles
- Les patchs ou antennes sectorielles
Mode infrastructure
Cest un mode de fonctionnement qui permet de connecter les ordinateurs quips dune
carte rseau Wifi entre eux via un ou plusieurs points daccs qui agissent comme des
concentrateurs. L'ensemble form par le point d'accs et les stations situs dans sa
zone de couverture est appel Cellule de base BSS (Basic Service Set). Un groupe de BSS
interconnects par un systme de distribution forme un ensemble de services tendu ESS
(Extended Service Set).
Mode Ad-Hoc
III.CONCLUSION
Dans ce chapitre, nous avons vu que lors du dploiement d'un rseau sans fil, le
Wi-Fi (802.11) semble tre la solution rpondant au mieux aux besoins des rseaux
locaux sans fil grce l'avantage qu'elle procure, qui est son interoprabilit avec
les rseaux de type Ethernet. Cette technologie, est frquemment utilise dans les
entreprises dsirant accueillir des utilisateurs mobiles ou souhaitant une alternative au
rseau filaire tout en conservant des performances quasi identiques. Contrairement le Wi-
Fi a beaucoup de problmes de scurit, dans le chapitre qui suit, on va dtailler les
mcanismes utilis pour mettre au point une stratgie de scurit.
INTRODUCTION
Le point crucial lors d'une installation rseau, quelle soit filaire ou sans fil, est la mise
en place d'lments de protection. La scurit a toujours t le point faible des rseaux Wi-Fi,
cause principalement de sa nature physique : les ondes radio tant un support de
transmission partag (qui circule librement dans lair), quiconque se trouvant dans la zone de
couverture peut couter le support et s'introduire dans le rseau. Ces problmes de scurit se
posent aussi pour des rseaux cbls mais l'coute passive ncessite une intrusion physique.
Il existe des moyens de scurit implants de base sur le matriel Wi-Fi (carte et point
d'accs) permettant un premier niveau de protection, mais ces moyens de scurisation sont
facilement contournable. Dans ce chapitre, on va prsenter dune part une analyse des
diffrentes attaques susceptibles d'atteindre un rseau Wi-Fi, dautre part une srie de notions
utilis qui rpondent aux trois principes lmentaires de scurit qui sont: Codage,
Authentification et Intgrit, permettant leurs administrateurs et usagers de mieux contrler
et si possible rduire les risques.
I. RISQUES ET ATTAQUES
Les risques dpendent des paramtres que lon peut maitriser. Contrairement au rseau
cbl, le contrle des accs physiques au rseau sans fil est difficile, voir impossible.
On peut classifier les risques en quatre niveaux :
a. Acceptables : pas des consquences graves pour les utilisateurs du rseau.
Exemple : panne clectique, perte de liaison, engorgement
b. Courants : pas de prjudices graves au rseau, on peut rparer facilement.
Exemple : gestion du rseau, mauvaise configuration, erreur utilisateur
c. Majeurs : dus des facteurs graves et qui causent de gros dgts mais rcuprables.
Exemple : foudre qui tombe sur un routeur
d. Inacceptables : fatals pour lentreprise, ils peuvent entrainer son dpt de bilan.
On peut classifier les attaques en deux groupes principaux : les attaques passives et les
attaques actives, qui sont bien videmment plus dangereuses.
Dans un rseau sans fil l'coute passive est d'autant plus facile que le mdia air est
difficilement matrisable. Bien souvent, la zone de couverture radio d'un point d'accs dborde
du domaine priv d'une entreprise ou d'un particulier. L'attaque passive la plus rpandue est la
recherche de point d'accs. Cette attaque (appele Wardriving) est devenu le jeu favori de
nombreux pirates informatique, les points d'accs sont facilement dtectables grce un
scanner (portable quip d'une carte Wi-Fi et d'un logiciel spcifique de recherche de PA).
Ces cartes Wifi sont quipes d'antennes directives (type Yagi) permettant d'couter le trafic
radio distance hors de la zone de couverture du point d'accs.
Nous allons revoir, assez succinctement, les diffrentes attaques connues dans les
rseaux filaires et qui touchent bien videmment, le monde du Wifi.
Cette attaque a pour but d'empcher des utilisateurs lgitimes d'accder des services en
saturant de fausses requtes ces services. Elle se base gnralement sur des " bugs " logiciel.
Dans le milieu Wifi, cela consiste notamment bloquer des points d'accs soit en l'inondant
de requte de dsassociassions ou plus simplement en brouillant les signaux hertzien.
Le spoofing IP est une technique permettant un pirate d'envoyer une machine des
paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate.
Le spoofing IP n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit
d'une mascarade de l'adresse IP au niveau des paquets mis, c'est--dire que les paquets
envoys sont modifis afin qu'ils semblent parvenir d'une machine propre du rseau.
Le sniffing
Ce type d'attaque est bas sur l'interception de donnes mises sans prcaution toutes
les parties comme lors des diffusions. Il suffit d'tre prsent sur le rseau pour intercepter tout
le trafic et rcuprer n'importe quelles donnes transitant sur le rseau si celles-ci ne sont pas
cryptes.
Les services de scurit reprsentent les logiciels et matriels mettant on uvre les
mcanismes dans le but de mettre la disposition des utilisateurs des fonctions de scurit
dont ils ont besoin.
Il existe cinq notions fondamentales de la scurit.
II.1. CONFIDENTIALITE
Le service de confidentialit garantie aux deux entits communicantes tre les seules
pouvoir comprendre les donnes changes. Ceci implique la mise en uvre des
algorithmes de chiffrement en mode flux, cest--dire octet par octet, ou en mode bloc.
Un message crit en clair est transform en un message chiffr, appel cryptogramme
grce aux algorithmes de chiffrement. Cette transformation est fonde sur une ou plusieurs
cls.
DES (Data Encryptions Standard) : a t le plus utilis, mais n'est plus utilis depuis 1998
considr peu sr. Cl de 40 56 bits.
IDEA (International Data Encryptions Algorithm) : est utilis par PGP (Pretty Good
Privacy), le logiciel de cryptographie le plus utilis au monde. Cl de 128 bits.
AES (Advanced Encryption Standard) : remplaant du DES dans l'administration
amricaine et du RC4 dans la norme 802.11 avec 802.11i. Fond sur l'algorithme de
Rijndael, est considr comme tant incassable.
cl de dchiffrement, et vice versa. Le possesseur d'une telle paire de cls, en rend une (au
choix) publique, c'est--dire qu'il la donne tout le monde, dans une sorte d'annuaire. Tout
correspondant qui veut envoyer un message, chiffre son message l'aide de la cl publique du
destinataire. Seul le possesseur de la cl secrte correspondant cette cl publique pourra
dchiffrer le message.
Ainsi cette mthode permet de raliser une communication confidentielle sans changer
auparavant de code secret.
Le principal inconvnient de ce type d'algorithme est la lenteur laquelle seffectuent les
oprations de chiffrement et de dchiffrement.
Les algorithmes
II.1.2. CERTIFICATS
Un certificat permet d'associer une cl publique une entit (une personne, une
machine, ...) afin d'en assurer la validit. Le certificat est en quelque sorte la carte d'identit de
la cl publique, dlivr par un organisme appel autorit de certification (souvent note CA
pour Certification Authority). L'autorit de certification est charge de dlivrer les certificats,
de leur assigner une date de validit (quivalent la date limite de premption des produits
alimentaires), ainsi que de rvoquer ventuellement des certificats avant cette date en cas de
compromission de la cl (ou du propritaire).
PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en texte
brut et constitue le protocole d'authentification le moins scuris. Il est gnralement ngoci
lorsque le client d'accs distant et le serveur d'accs distant ne disposent d'aucun moyen de
validation plus sr.
CHAP
Dans certaines cas, il peut tre ncessaire dassurer simplement que les donnes sont
intgrs, cest--dire quelles nont pas t au passage falsifies par un intrus. Ces donnes
restent claires, au sens ou elles ne sont pas secrtes.
De nos jours, toutes les entreprises possdant un rseau local et aussi un accs
internet, afin daccder la manne dinformation disponible sur le rseau, et pouvoir
communiquer avec lextrieur. Cette ouverture vers lextrieur est indispensableet
dangereuse en mme temps.
Ouvrir lentreprise vers le monde signifie aussi laisser place ouverte aux trangers pour
essayer de pntrer le rseau local de lentreprise, et y accomplir des actions douteuse, pour
cela une architecture scurise est ncessaire. Le cur dune telle architecture est bas sur un
firewall (un pare-feu). Cet outil a pour but de scuriser au maximum le rseau local de
lentreprise, de dtecter les tentatives dintrusion. Cela reprsente une scurit
supplmentaires rendant le rseau ouvert sur internet beaucoup plus sur.
Installer un rseau sans fil sans le scuriser peut permettre des personnes non autorises
dcouter, de modifier et daccder ce rseau. Il est donc indispensable de scuriser les
rseaux sans fil ds leur installation. Il est possible de scuriser son rseau de faon plus ou
moins forte selon les objectifs de scurit et les ressources que lon y accorde. La scurit
dun rseau sans fil peut tre ralise diffrents niveaux : configuration des quipements et
choix des protocoles.
De nombreuses volutions protocolaires ont rythm la scurit des rseaux Wi-Fi. Les
objectifs sont les suivants :
- Garantir la confidentialit des donnes ;
- Permettre lauthentification des clients ;
- Garantir lintgrit des donnes ;
Les diffrents protocoles sont.
WPA permet un meilleur cryptage de donnes que le WEP car il utilise des cls TKIP
(Temporal Key Integrity Protocol) dites dynamiques et permet l'authentification des
utilisateurs. Ainsi, le WPA permet d'utiliser une cl par station connecte un rseau sans fil,
alors que le WEP utilise la mme cl pour toutes les stations du rseau sans fil. Les cls WPA
sont en effet gnres et distribues de faon automatique par le point d'accs sans fil qui doit
tre compatible avec le WPA.
De plus, un vrificateur de donnes permet de vrifier l'intgrit des informations reues pour
tre sr que personne ne les a modifies.
La dernire volution en juin 2004, est la ratification de la norme IEEE 802.11i, aussi
appel WPA2 dans la documentation grand public. Ce standard reprend la grande majorit des
principes et protocoles apports par WPA, avec une diffrence notoire dans le cas du
chiffrement : l'intgration de l'algorithme AES. Les protocoles de chiffrement WEP et TKIP
sont toujours prsents. Deux autres mthodes de chiffrement sont aussi inclus dans IEEE
802.11i en plus des chiffrements WEP et TKIP :
- WRAP (Wireless Robust Authenticated Protocol) s'appuyant sur le mode opratoire OCB
(Offset Code Book) dAES ;
- CCMP (Counter with CBC MAC Protocol) : s'appuyant sur le mode opratoire CCM
(Counter with CBC-MAC) dAES ;
Le chiffrement CCMP est le chiffrement recommand dans le cadre de la norme IEEE
802.11i. Ce chiffrement, s'appuyant sur AES, utilise des clefs de 128 bits avec un vecteur
d'initialisation de 48 bits. Ces mcanismes cryptographiques sont assez rcents et peu de
produits disponibles sont certifis WPA2. Le recul est donc faible quant aux vulnrabilits
potentielles de cette norme. Mme si ce recul existe pour l'algorithme AES, le niveau de
scurit dpend fortement de l'utilisation et de la mise en oeuvre dAES.
La norme IEEE 802.11i dfinit deux modes de fonctionnement :
WPA2 Personal : le mode WPA2 personnel permet de mettre en uvre une
infrastructure scurise base sur le WPA sans mettre en uvre le serveur d'authentification.
Le WPA2 personnel repose sur l'utilisation d'une cl partage, appeles PSK pour Pr-Shared
Key, renseigne dans le point d'accs ainsi que dans les postes clients. Contrairement au
WEP, il n'est pas ncessaire de saisir une cl de longueur prdfinie. En effet, le WPA2
permet de saisir une phrase secrte, traduite en PSK par un algorithme de hachage.
Le protocole 802.1x est une solution de scurisation dun rseau mis au point par
lorganisme de standardisation IEEE en 2001. Il a pour but de contrler laccs un rseau
filaire ou sans fil grce un serveur dauthentification.
La principale innovation amene par le standard 802.1x consiste scinder le port logique, qui
est connects en parallle sur le port physique. Le premier port logique est dit "contrle", et
peut prendre deux tats "ouvert" ou "ferm". Le deuxime port logique est lui toujours
accessible mais il ne gre que les trames spcifique 802.1x. Cela permet de grer le dialogue
ncessaire lauthentification au pralable une connexion rseau. La connexion initiale est
donc limite un usage de scurit qui ouvre ultrieurement le canal des donnes en cas
dauthentification russie.
Le protocole (802.1x) fonctionne partir de trois lments :
- Le client (supplicant) : cest le systme authentifier cest--dire llment qui dsire se
connecter sur le rseau ;
- Le contrleur (point d'accs) : ou systme authentificateur cest--dire llment qui va
demander lauthentification;
- Le serveur d'authentification : Ce serveur dauthentification est en gnral un serveur
Radius. Selon la requte du supplicant, ce serveur dtermine les services auxquels le
demandeur a accs (serveur plac sur le LAN).
EAP-SIM: (EAP - Subsciber Identity Module) utilis pour les points d'accs public
(hotspot), utilise la carte puce SIM du GSM, permet la mise en place de facturation.
EAP-AKA: (EAP - Authentification and Key Agreement) utilise le systme
d'authentification de la carte SIM de l'UMTS, il est compatible avec le GSM.
Principe de fonctionnement
CONCLUSION
INTRODUCTION
Pour la ralisation de ce projet, il a fallu mettre en place un rseau test, ceci a ncessit
la mise en place dun serveur dauthentification radius, et dun mcanisme de gnration
de certificats avec openssl. Nous avons opt pour linstallation de ces outils dans un
environnement LINUX (Centos 5), dune part parce quils sont en Open Source, et
dautre part, ils sont moins vulnrables aux attaques. La figure ci-dessous reprsente le
schma de principe de notre projet.
Client invite
(VLAN2)
AP
internet
Personnel entreprise
(VLAN1)
Switch manageable
modem
I.1. INSTALLATION
Openssl se compile, cela dure plus ou moins longtemps suivant la machine utilise.
I.2: CONFIGURATION
nano /usr/local/openssl-certgen/ssl/openssl.cnf
Vers le milieu du fichier se trouve les paramtres modifier : toutes les lignes qui sont
de la forme XXX_default (Comme ci-dessous) et sil en existe pas par de default nous
mme pouvons y entrer comme nous lavons fait avec le commonName :
Le certificat root mme est autorit de certification et sera grer par le fichier
CA.root, permettant ainsi la signature des autres certificats (client, serveur,). Le
lancement du certificat root se fait par les commandes suivantes :
A chaque question appuye sur la touche entrer. Une fois cette srie termine
(questions), la cration des fichiers root.pem, root.der, root.p12 et dossier demoCA
se fera delle-mme (dans le chemin: /usr/local/openssl-certgen/ssl).
# cd freeradius-server-2.1.12
# ./configure sysconfdir=/etc
# make
# make install
Maintenant que freeradius est bien install, il nous faut copier dans un premire
temps les certificats server.pem, root.pem dans le rpertoire /etc/raddb/certs puis dans un
second temps, nous allons gnrer deux fichiers alatoires : dh et random, qui vont nous
permettre de mieux scuriser notre serveur radius:
# cd /etc/raddb/certs
# rm rf *
# cp /usr/local/openssl-certgen/ssl/root.pem /etc/raddb/certs
# cp /usr/local/openssl-certgen/ssl/server.pem /etc/raddb/certs
# date > random
# date > dh
Important : Il est ncessaire ici de rappeler que la version de freeeradius que nous utilisons
est lune des dernires versions, ainsi en plus de tous ces fichiers nous modifierons en plus le
fichier :
Default qui se trouve dans le rpertoire /etc/raddb/sites-enables.
default_eap_type = tls
Aprs on configure EAP-TLS, il faut que lon enlve les commentaires (les # devant)
partir de la ligne 122 et on modifie les chemins des certificats :
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/server.pem
certificate_file = ${raddbdir}/certs/server.pem
CA_file = ${raddbdir}/certs/root.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
#check_crl = yes
check_cert_cn = %{User-Name}
}
}
Ce fichier permet de dfinir la liste des AP que lon autorise accder au serveur radius.
Le serveur et l'AP (ACCESS POINT) partagent un secret (une cl) pour crypter les donnes.
Par dfaut on autorise le localhost (127.0.0.1) avec comme secret : god (pour raliser des tests
en local). Enfin on rajoute notre borne Wifi avec comme adresse IP 192.168.1.1, une cl
partage entre l'AP et le serveur qui sera calvin et on lui donne le nom LINKSYS via
shortname (utile pour le debug), avec comme nastype other .
client 192.168.1.1{
secret = calvin
shortname = LINKSYS
nastype = other
}
Pour tre sur que a marche bien on lance le daemon avec le debug : radiusd XX et si nos
configurations ont t bien fait, le serveur dmarra et on obtiendra la fin ce message :
La commande utiliser pour tester la configuration de freeradius est radtest. Nous allons
faire ce test en local (sur serveur) avec l'utilisateur linda prcdemment ajout et comme
authentificateur on a utilis l'entre localhost du fichier client.conf.
La dernire ligne indique que le client bel et bien reu un acquittement sa demande de
connexion. Le serveur a accept. Pour arrter le radius, il suffit de taper la commande:
# killall radiusd
Il est ncessaire de vrifier que le serveur MySQL et le serveur Web (apache + php) pour
la gestion via phpmyadmin soient bien installs. Il faudra ensuite recompiler FreeRadius
donc on lance un make clean et on recommence comme la page d'installation (. /configure
... make && make install).
Ensuite on va demander au serveur radius d'aller chercher les informations d'autorisation
et d'authentification des clients dans la base de donnes et non dans les fichiers de
configuration. Pour cela on dite les fichiers radius.conf et sql.conf du repertoire /etc/raddb.
# $ Include clients.conf
[]
$ Include sql.conf
[]
Instantiation
[]
# redundant redundant SQL{
sql
Comme nous lavons dit plus haut, le fichier default est une partie du fichier radius.conf
mais qui se trouve dans sites-enabled cause de la version de freeradius que nous avons
utilis. Ici il faut juste d comment sql de part et dautres comme suit :
Authorize
Sql
Accounting
See simultaneous use checking queries in sql.conf
Sql
See Authentification logging queries in sql.conf
sql
# mysql -u root -p
Enter password :
[]
>CREATE DATABASE radius;
>grant all on radius. * to radius@localhost identified by linda;
>exit
Aprs avoir cr les tables suivantes on peut les vrifier comme suit :
Voici une petite explication sur les diffrentes tables de cette base de donnes.
- Table nas qui permet de remplacer le fichier client.conf en stockant la liste des NAS
autoris.
- Table radacct qui stocke les informations que retourne le NAS quand on fait de
l'accounting.
- Table radcheck qui permet de vrifier une option d'un utilisateur (par exemple le mot
de passe quand on utilise PEAP ou TTLS)
- Table radgroupcheck mme chose que radcheck mais pour une option de groupe.
- Table radgroupreply qui permet de retourner une option de groupe
- Table radpostauth qui stocke chaque authentification russie.
- Table radreply qui permet de retourner une option pour l'utilisateur.
- Table radusergroup qui permet de faire la liaison entre le nom d'utilisateur et son
groupe.
Quand on utilise FreeRadius avec une base de donnes, la gestion des utilisateurs est un peu
diffrente, chaque utilisateur est rattach un groupe. Ce qui fait qu'il y a les options de groupe
et les options pour l'utilisateur.
Maintenant nous allons crer des authentifications de test dans la table nas et la table
radcheck.
Authentification de test
Il faut maintenant rajouter notre NAS dans la base de donnes. Ceci correspond la mme
configuration faite prcdemment dans le fichier client.conf.
On peut aussi entrer des valeurs pour un test en local pour visualiser nos tables on fait
comme suit :
Maintenant pour vrifier que notre base de donnes fonctionne bien avec notre serveur
radius, on fait toujours un radtest :
La configuration des NAS (accs point) n'est pas trs complique, il suffit juste de
renseigner le protocole d'authentification, l'algorithme de cryptage et l'adresse IP du serveur
radius. On peut galement choisir d'activer la diffusion ou non du SSID.
Le Matriel utilis ici pour notre test c'est le point d'accs lynksys WRT54GX2. Nous
configurons comme suit:
Etape 3 : Cliquer sur Placer tous les certificats dans le magasin suivant ensuite sur
parcourir et enfin sur Autorits de certification racines de confiance.
Etape 2 : Entrons le mot de passe whatever qui est le mot de passe par dfaut du client
Etape 3 : Aprs le mot de passe cliquer sur suivant et slectionner comme plus haut le
magasin de certificats utiliser puis cliquer une fois de plus sur ok et enfin terminer.
Etape 2 : Cliquer sur Se connecter manuellement un rseau sans fil ensuite Suivant.
Etape 6 : Slection du certificat utiliser parmi ceux de lordinateur puis cliquer sur OK.
Etape 7 : Pour le test, aller sur connexion rseau sans fil on aura cette figure :
VI.1 : INSTALLATION
Le logiciel Chillispot ncessite que les logiciels suivants soient installs : iptables, apache2
ssl-cert, mysql-client, mysql-server.
Pour effectuer la redirection avec Chillispot, nous avons besoin du module tun.o. Ce
module permet de crer une interface virtuelle qui va recevoir toutes les requtes http et les
rediriger vers la page d'authentification.
Nous allons dans un premier temps tlcharger les paquets de Chillispot disponibles sur le
site http://chillispot.org/download.html le paquet Chillispot utilis est Chillispot-1.1.0.tar,
que nous mettons dans le rpertoire : /usr/local ensuite nous linstallerons exactement de la
mme manire que freeradius.
VI.2 : CONFIGURATION
$ userpassword = 1
Uamsecret = chillisecret
Le uamsecret doit tre le mme que dans chilli.conf, enfin attribuons les droits au
fichier comme suit : chmod 755 /var/www/cgi-bin/hotspotlogin.cgi
Maintenant, ditons le fichier chilli (/etc/rc.d.init.d/chilli) et donnons le chemin du
daemon chilli :
[ -f /usr/local/sbin/chilli ] | | exit 0
daemon /usr/local/sbin/chilli
Enfin, ditons le fichier chilli.iptables et verifions que les interfaces INT IF et EXT IF
sont comme dans le fichier pf.conf. Ici sachve la configuration de chillispot.
Aprs avoir suivie tous ces tapes de configuration ditons le fichier http.conf et activons
le module SSL en tapant : nano /etc/httpd/conf/httpd.conf et remplaons 80 par 443 et
ajoutons ensuite les trois lignes qui suivent :
NameVirtualHost* :443
SSLEngine On
SSLCertificateFile /etc/httpd/ssl/httpd.pem
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
Pour tester la configuration de portail captif, ouvrons un navigateur et lanons par exemple
www.google.fr on a dabord une petite fentre qui nous demande dinstaller le certificat ssl
Une fois le certificat install, nous avons la page dauthentification suivante qui saffiche
en demandant le login et le mot de passe.
Lorsque le login et le mot de passe sont corrects, nous pouvons maintenant avoir accs
internet.
CONCLUSION
On remarque que le rseau est maintenant scuris et que les usagers qui ne sont pas
enregistrs dans le serveur comme tant des usagers autoriss, ne pourront pas accder au
rseau. Dans le cas ou la personne est en possession du SSID du rseau, elle ne pourra quand
mme pas y accder sans les certificats qui sont installs aussi bien, dans les postes clients que
dans le serveur. Lchange des informations dauthentification, se fait de manire crypt par
un protocole amlior (802.1x), qui pour le moment na pas t encore cass.
Ce projet devrait tre plus intressant sil a t ralis 100 %. Nous avons eu des
difficults dans le manque de matriels tels que le Switch manageable ou un Access point
pouvant grer les VLAN. Il serait intressant si notre dpartement squiper ou moins de lun
de ces matriels.
La scurisation du rseau en utilisant le protocole 802.1x avec un serveur dauthentification
est lun des moyens le plus sr de nos jour de scuriser son rseau quil soit filaire ou sans fils.
Cette mthode de scurisation est beaucoup plus bnfique pour les fournisseurs daccs
internet (dans le car des hotspot par exemple) et les grandes entreprises.
CONCLUSION GENERALE
Les rseaux sans fils sont des rseaux assez vulnrables de par leur nature. Mais
nanmoins il existe des technologies qui essayent tant bien que mal assurer un niveau de
scurit acceptable dans ce type de rseau. Au fil du temps des mthodes ont t cres mais
le protocole 802.1X est celui qui fournit la meilleure scurit de nos jours. Deux applications
courantes sont EAP-TLS et EAP-TTLS, tous les deux utilisent un serveur radius et un
protocole de cryptage AES ou TKIP. EAP-TLS est le protocole le plus sr mais il requiert des
certificats pour chaque client tandis que EAP-TTLS requiert juste un mot de passe et un login.
Il est claire que la scurit dans ses systmes nest pas absolue et quil reste des choses faire
car des failles ont t trouvs dans 802.1X : lattaque de lhomme du milieu et de lattaque du
dictionnaire. Do il faut appliquer dautres mesures de scurits complmentaires. Le portail
captif est galement une bonne solution pour offrir des connexions instantane aux
utilisateurs.
REFERENCES BIBLIOGRAPHIES
SITES INTERNET :
DOCUMENTS
[10] Administration rseau sous linux ,3eme dition, tony bautts, terry dawson &gregor n.
purdy ;
novembre 2006.
[11] Jon Edney and William A. Arbaugh, Real 802.11 Security, Wi-Fi Protected Access and
802.11i; Septembre 2004
[12] Rseaux dentreprise par la pratique, par Jean-Luc MONTAGNIER
[13] Rapport de stage de GUEUWA < La scurisation dun rseau traverse le protocole
RADIUS > dpartement GTR anne acadmique 2009-2010