Chargement en cours

0 % 100 %

Scuriser un rseau Wi-Fi Prsent par Houssem kabi Ahlem hammami TS5 scurit des rseaux

2009-2010

Introduction

Problmatique & objectifs

Application & Ralisation

prob

app

Partie:

I) Dfinition

II) Catgories et normes Wi-Fi III) Avantages et inconvnients

I) Dfinition
Wi-Fi

ou Wireless-Fidelity est le nom commercial attribu la norme 802.11 qui caractrise les rseaux locaux sans fil (WLAN) ralit, cest une liaison utilisant des ondes radiolectriques pour la communication informatique entre deux terminaux.

En

7/44

 Apparu

au milieu des annes 90 aux USA.

le

Wi-Fi (Wireless-Fidelity), qui correspond lensemble des normes IEEE 802.11, est une technologie sans fil permettant de se connecter en rseau dans la bande de frquences ISM 2.4Ghz. pratique le Wi-Fi permet de connecter des ordinateurs entre eux et linternet et au rseau local.

En

8/44

II) Les normes Wi-Fi Il nexiste pas UNE norme 802.11, mais PLUSIEURS qui dcrivent chacune un aspect particulier du Wi-Fi:
Dbits,

Frquences utilises Usages ( QOS, Roaming) Scurit

9/43

a.

les normes de dbit:

802.11 a : dbit 54Mbit/s une frquence de 5Ghz. 802.11 b : dbit 11Mbit/s une frquence de 2.4Ghz. 802.11 g : dbit 54Mbit/s une frquence de 2.4Ghz. 802.11 n : technique MIMO plusieurs antennes.

10/44

b.

Normes diverses :
802.11c, 802.11d : Internationalisation 802.11e : Amlioration de la qualit de service (QOS) 802.11f : Itinrance (Roaming) 802.11h : Normalisation Europenne (Hyperlan) notamment en matire dconomie dnergie 802.11r : Utilisation de linfra-rouge 802.11j : Normalisation Japonaise

11/44

c.

Normes de Scurit :
802.11i : Chiffrement des transmissions (WPA2)

d.

Normes Associes :
802.1X : Authentification de type Single One sur le rseau

12/44

les Catgories Wi-Fi En mode infrastructure, chaque station se connecte un point d'accs via une liaison sans fil.

13/44

En mode ad-hoc, les stations se connectent les unes aux autres afin de constituer un rseau point point.

14/44

III) Les avantages et les inconvnients: Avantages: Favorise la mobilit Simplicit dutilisation et une structure souple. Cot faible si on le compare au rseau filaire volutive selon les besoins des utilisateurs. Inconvnients: Le signal peut tre perturb par des interfrences d au matriel ou lenvironnement Risque li linscurit de ce rseau.
fin

15/44

Partie:

Pourquoi tous semblent trop attirs ce type de rseau ?? Wi-Fi = rseau sans fil = rseau mobile = rseau non filaire = rseau haut dbit = onde radio= non couteux = pas dinfrastructure Do on peut facilement remarquer la migration vers lutilisation du Wi-Fi ( dans les clubs; les restaurent ;les domiciles et dans notre cas les socits et les entreprises = il faut tre prudent comme tout rseau le Wi-Fi alors doit aussi tre scuriser.

18/44

Notre projet porte sur la partie de scurit pour le rseau Wi-Fi qui va tre installer lOffice National des Postes . Observons ces jours le haut niveau des piratages et dattaques ce ci ncessite un haut niveau de scurit en implmentant les mcanismes de scurit ncessaires.

19/44

Dfis: Notre objectif est dimplmenter les mcanismes ncessaires pour scuriser notre rseau Wi-Fi : Propositions: Du ct authentification : implmenter un serveur dauthentification Freeradius Et de lautre ct : prendre dautres mesures de scurit comme paramtrer le point daccs.

20/44

Chiffrement: WEP

Authentification: serveur

A Notre Solution D

Paramtrage du Point daccs

Confidentialit :WPA

Protection du rseau: dautre contre mesures fin

21/44

Partie:

I) Attaques sur le Wifi

1.1 les attaques passives 1.2 les attaques actives

II) La solution Radius

1. Installation 2.Configuration 3.Test et scnario

III) Autres mesures de scurit

3.2 paramtrage du point daccs 3.3 autres rgles de scurit

Les ordinateurs utilisant le rseau wifi sont souvent cibles dattaques visant soit gagner un accs illgitime aux donnes des utilisateurs soit contrler le rseau. On peut classer ces attaques en: - Attaques passives. - Attaques actives.

24/44

Lattaquant espionne (sniffe) les donnes changes sans les modifier.

Son but

Obtenir les informations pour mener une action dangereuse (une attaque active par exemple).
25/44

 Attaques

internes: Attaques externes: Attaques utilisant limitation. Attaques utilisant la modification. Attaques de fabrication. Dni de service (DoS).

26/44

RADIUS: (Remote Access Dial In User Service) =

scuriser un accs via un priphrique par lequel un utilisateur souhaite accder au rseau.
- Lutilisateur communique son nom et son mot de passe. - Le serveur Radius autorise ou non laccs au rseau. - Le serveur Radius donne la machine cliente les informations de configuration TCP/IP ncessaires.
27/44

Client supplicant
802.11 association

Point daccs authenticator

Access blocked

RADIUS authentication server

EAPOL-start

EAP-request/identity
EAP-response/identity EAP-request EAP-response RADIUS-access-request (EAP) RADIUS-access-challenge (EAP) RADIUS-access-request (EAP) RADIUS-access-accept (EAP)

EAP-success

EAPOW Access allowed

28/44

1.Installation :
Dcompression du paquetage: freeradius.1.0.7.tar.gz Compilation du paquetage: avec la commande tar et ./configure Openssl: cration des certificats (client, et serveur). MySQL: on peut configurer une base pour les utilisateur cet outil est optionnel comme on peut utiliser la base locale de freeradius (fichiers users). Installation des certificats des clients dans les postes autoriser.

FreeRadius : une implmentation libre du protocole RADIUS (Remote Authentication Dial In User Service). OpenSSL : une implmentation libre du protocole SSL(Secure Socket Layer) Windows XP: (poste client)intgre 802.1x nativement. Mysql : implmentation libre support par le serveur freeradius
29/44

2.Configuration: ce sont les fichiers qui se trouvent sous le freeradius:

30/44

radiusd.conf

modules { eap { md5 { } } } authorize { eap } authenticate { eap } test

clients.conf

client 172.16.112.37 { secret = testing123

shortname =
}

users

Auth-Type := EAP, User-Password == " azerty" Reply-Message = welcome to our network"

31/44

3.Test
Aprs avoir fait des modifications concernant les fichiers de configuration on doit tester le fonctionnement du serveur utilisant la commande radtest utilisant le client

de test usertest.
#radtest usertest test 127.0.0.1 1812 testing123

On doit avoir la rponse suivante :

Sending Access-Request of id 130 to 127.0.0.1:1812 User-Name = "usertest" User-Password = "test" NAS-IP-Address = y013lx10 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=130, length=46 Service-Type = Login-User

32/44

Scnario:

Acces denied

Si oui
BD MySQL
33/44

Si non

Est-ce quil appartient la base ????

Utilisateur autoris:

Utilisateur rejet:

le serveur est en coute Ready to process requests

Sending Access-Request of id 130 to 127.0.0.1:1812 User-Name = user1" User-Password = "test" NAS-IP-Address = 172.16.112.34 NAS-Port = 1812 rad_recv: Access-Accept packet from host 172.16.112.37:1812, id=130, length=46 Service-Type = eap-tls Reply-Message = " welcome to our network" Sending Access-Request of id 130 to 127.0.0.1:1812 User-Name = user3" User-Password = "test" NAS-IP-Address = 172.16.112.34 NAS-Port = 1812 rad_recv: Access-Reject packet from host 172.16.112.20:1812, id=130 length=46 Service-Type = eap-tls Reply-Message = " welcome to our network"

34/44

 Paramtrage

du point daccs: On va utiliser un routeur de type WAP-4000 qui utilisant la norme IEEE 802.11g et intgre des solutions de scurit comme une authentification 802.1x avec laquelle coopre Radius avec: - Chiffrement WEP 64/128 bits. - Chiffrement WPA, notamment WAP2. - Filtrage des adresses MAC. - Masquage des SSID.

35/44

On doit activer le filtrage par adresses MAC : en prcisant une liste dadresses autorises ou une liste dadresses rejetes.

36/44

Les paramtres de notre point daccs nous offre la possibilit De masquer le SSID.

37/44

On peut activer un chiffrement pour les connexions en prcisant un Cryptage par une cl WEP.

38/44

On peut encore configurer limplmentation dun serveur dauthentification de type radius : qui va servir dauthentifier les utilisateurs .

39/44

Ces conditions de scurit sont minimales :

Changer le mot de passe administrateur Changer le nom du rseau (SSID) install par dfaut.

Rgler la puissance dmission du point daccs.

Vrifier quil nexiste pas dautres rseaux au mme endroit (scan).

40/44

Scurit 802.11 dorigine (WEP)

Risque associ la faiblesse de WEP.

Utiliser un VPN Utiliser IPsec

Pas dauthentification utilisateur, complexe.

Utiliser 802.1x, EAP-TLS ou PEAP

tat de lart actuel pour lauthentification.

tat de lart actuel pour la confidentialit et lintgrit des donnes.

Utiliser 802.11i (WPA/WPA2)

41/44

Les apports de ce projets :

Connaissances thoriques sur la technologie 802.11.

Connaissances pratiques concernant le distribution ubuntu. Connaissances pratiques concernant limplmentation de freeradius.

Connaissances pratiques concernant le paramtrage des points daccs.

42/44

Notre projet se repose sur lusage des outils libres Support par linux.

La combinaison des plusieurs outils permet doffrir un niveau de scurit acceptable et qui peut tre renforcer par une bonne administration et gestion. Toute socit peut bnficier dune telle solution pour scuriser leur rseau sans fil.

43/44

44/44