You are on page 1of 19

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Projets de :
WIFI et Radius
Services
d’authentification

1

KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Introduction : Le projet « WIFI » consiste à équiper l’entreprise d’un réseau sans-fil afin de permettre aux commerciaux de se connecter sur le réseau de l’entreprise de manière sécurisée.11g permettra d’évoluer vers ce type de technologie. sans être obligé de brancher le câble réseau .Le renouvellement des ordinateurs portables des commerciaux avec la technologie centrino en 802. 2 .

situé au niveau d’un point de concentration radio.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Présentation du Wifi : Le WIFI (Wireless Fidelity) est une certification décernée par la Wifi Alliance aux produits conformes aux standards 802. Mise en place facile d'un réseau temporaire. Des possibilités de routage dynamique existent. Il s'agit là de quelques exemples. La technologie Wi-Fi permet de faire un réseau informatique haut .11 de l' IEEE. pour faire un réseau Wi-Fi. des antennes. on utilise des Points d'Accès (AP. basé sur l’utilisation d’un point d’accès W-Fi central. permettant à plusieurs stations équipées de cartes Wi-Fi de communiquer directement entre elles. Mise en place d'un réseau local (LAN) moins coûteuse et plus facile que pour un réseau filaire. Accès à un réseau haut -débit pour des populations rurales non rentables pour les opérateurs commerciaux. Cela présente plusieurs intérêts : Mobilité dans le rayon du réseau tout en restant connecté au réseau local ou à l'Internet. et des câbles éventuellement pour les relier ensemble. Dans ce cas. Les Modes de connections : Il existe deux modes de communication possibles entre les différents éléments d’un réseau Wi-Fi : Le mode infrastructure : Le mode infrastructure.11b) sans fils. Le mode ad-hoc : Le mode ad-hoc. 3 . le temps d'une démonstration. les informations envoyées entre les différentes stations transitent par le point d’accès. ou d'une réunion. échange de gros fichiers entre deux ordinateurs.débit (11Mbps pour le 802. les utilisations possibles restent en grande partie à inventer ! Matériellement. La technologie étant très récente. pour Access Point) connectés aux ordinateurs (stations) ou à un réseau filaire.

en signal analogique (à valeurs réelles) envoyé vers une antenne. et d'autres permettent la connexion d'une antenne extérieure. qui a la même fonction qu'un bon vieux modem téléphonique. Matériel Wi-Fi fourni : Un point d’accès Cisco Aironet 350 (sans antenne) Carte réseau PCMCIA Cisco Aironet 350 Un point d’accès Netgear 4 . Certains ont une antenne intégrée (c'est le cas de la plupart des cartes PCMCIA). Un périphérique Wi-Fi peut se présenter sous différentes formes : Une carte PCMCIA pour un ordinateur portable. à l'émission. indépendant. Une carte PCI pour un ordinateur de bureau (il existe aussi des adaptateurs PCI accueillant une carte PCMCIA). Un appareil intégré (dans une caméra par exemple). Ces appareils transforment un signal numérique (des 1 et des 0). Un appareil externe. provenant d'un ordinateur ou d'un réseau filaire.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Les différents Périphériques Wi-Fi : Le Wi-Fi utilisant la radio comme support de communication. souvent appelé AP. et inversement à la réception.Il s'agit donc d'un modem (MODulateur/DEModulateur). il faut des périphériques particuliers pour transformer les données informatiques en signaux radio et vice-versa.

2) Intrusion réseau : Encore plus grave. Une autre forme est le déni de service d’alimentation. Un appareil courant tel qu’un four à micro-ondes peut faire l’affaire. Il est également possible de s’infiltrer sur le réseau pour ensuite attaquer un autre réseau via Internet en cachant ainsi sa véritable identité. 4) Déni de service (ou d’alimentation) Le dernier risque est ce que l’on appelle le déni de service (Denial Of Service ou DoS). il est relativement facile d’écouter les communications et ainsi de récupérer les données échangées. Il suffit pour cela de se trouver dans le périmètre correspondant à la portée du réseau. Ce nom de réseau est configuré dans les points d'accès et permet la segmentation du réseau sans fil.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Un routeur DSL Netopia Matériel choisi et commandé : Antenne directionnelle AIR-ANT2012 Cisco 6. elle fournit davantage d’énergie dans une direction donnée et moins dans toutes les autres.5 DBI. 3) Brouillage : Brouiller les communications des réseaux sans fil est simple dans la mesure où les ondes radioélectriques sont très sensibles aux interférences. Point d’accès Cisco Aironet 1200 Series. 5 . certains constructeurs de points d'accès autorisent la création de réseau virtuel de niveau 2 (VLan) associé à un SSID spécifique. En général. La connexion à des réseaux sans fil est fortement consommatrice d’électricité. Outils pour sécuriser les connections : SSID La phase d'authentification consiste en une mise en relation d'un mobile avec un point d'accès par la comparaison d'une clé partagée et connue sous le nom de SSID. c’est-à-dire bien souvent dans la rue. Il s’agit d’envoyer des paquets de données en vue de saturer de fausses requêtes un service de sorte à empêcher les vraies requêtes d’être servies. il est alors possible de se connecter au réseau et de pirater ou même de modifier ou de détruire les données installées sur les serveurs ou sur les postes de travail. Ce faisant. Le Wi-Fi et la sécurité : Les risques liés au réseau sans fil On peut classer les risques liés au réseau sans fil en 4 catégories : Accès aux données Intrusion réseau Brouillage Déni de service (ou d’alimentation) 1) Accès aux données : Puisque par défaut un réseau sans fil est ouvert. Par exemple. Il suffit donc d’envoyer un grand volume de données pour surcharger une machine sur batterie et ainsi la rendre ainsi inutilisable. Antenne directionnelle AIR-ANT3549 8. Lorsqu'un client souhaite joindre un réseau Wi-Fi. Une antenne ne renforce pas la puissance d’un signal mais se contente de rediriger l’énergie qu’elle reçoit de l’émetteur. plus le gain d’une antenne directionnelle augmente. s’il existe un point d’accès au réseau local. plus l’angle de rayonnement diminue ce qui offre une plus grande distance de couverture mais sur un faisceau plus étroit. il effectue une demande d'enregistrement en proposant un nom de réseau (SSID) spécifique où demande la liste des réseaux disponibles.5 DBI Les antennes directionnelles : Les antennes directionnelles sont de types et de formes très différentes.

1x au niveau d'un serveur RADIUS par exemple.1x. un client ne peut être associé à un instant donné qu'à un seul réseau. WPA met en place un nouveau système de validation de l'intégrité des données transportées en complément de l'IV transporté en clair avec chaque trame dans la version initiale de 802.1x afin d'authentifier les utilisateurs et les ressources connectées. Le second. Cette solution n'est pas en soit une solution de sécurisation du réseau mais peut contribuer à une segmentation. peu consommateur de ressources pour une qualité de chiffrement élevée. mais également moins efficace. En effet. Cette technique permet un filtrage plus efficace des stations mobiles pouvant pénétrer dans le réseau mais n'est en aucun cas un gage d'invulnérabilité de ce dernier. on trouve des implémentations de WPA permettant l'utilisation d'une clé partagée de type "pre-shared key". la carte Wi-Fi pour chaque utilisateur : doit prendre en compte la rotation des clés ainsi que la vérification du nouveau système d'intégrité pour chaque trame. on peut spécifier deux modes d'authentification. Néanmoins. les pilotes pour les cartes Wi-Fi.11. WPA WPA est une version intermédiaire de l'étape de normalisation de l'IEEE en matière de sécurité des réseaux sans-fil Wi-Fi du groupe I (802.1x pour la réception des demandes des clients et le relayage vers le serveur d'authentification (type RADIUS). WPA intègre la prise en compte de protocoles de chiffrement différents comme par exemple l'utilisation d'AES (Advanced Encryption Standard). De plus. la station ne serait pas autoriser à entrer dans le réseau sans-fil c'est à dire à échanger des trames. WEP En complément de la comparaison du SSID. dit "shared key" utilise la clé WEP afin de chiffrer un message permettant au point d'accès de valider l’utilisateur. moins contraignante à mettre en place que 802. Le premier et le plus communément utilisé est dit "open system". La mise en place de WPA nécessite de valider la disponibilité du support sur plusieurs points du réseau: le point d'accès : doit intégrer WPA pour la modification des clés de chiffrement ainsi que 802. 6 . Enfin. Dans l'hypothèse où la clé WEP utilisée ne serait pas la bonne.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 L'action de connecter un client avec un point d'accès ne repose que sur la comparaison du nom de réseau (SSID) proposé par le client et celui renseigné dans le point d'accès. WPA impose aux infrastructures Wi-Fi l'utilisation de 802. il n'effectue aucun test spécifique complémentaire.11i). Sa sortie permet aux constructeurs de proposer une version de travail de la sécurité et de valider les mécanismes qui seront ratifiés dans la norme. WPA met en place des mécanismes de changement régulier des clés de chiffrement des trames de données par le biais du protocole TKIP (Temporal Yey Integrity Protocol). le service de centralisation des informations 802.

Une fois l’Active Directory installé. Une autre fonctionnalité importante d'un serveur RADIUS est la comptabilisation des informations concernant les utilisateurs distants. dont CISCO.exe dans le champ Ouvrir : 7 .1x. C'est un protocole ouvert. Installation d’Active Directory : L’installation s’effectue. et leur autoriser l'accès à telle ou telle ressource. nous avons besoin des services suivants. 1. C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs d'équipements réseaux. en sélectionnant les options par défauts : · Démarrer | Exécuter et renseigner dcpromo. pas de EAP-TLS ». l’installation de l’Active Directory n’est pas nécessaire… Or sans Active Directory le serveur radius de Microsoft se contente de l’authentification MD5-challenge. de mettre en place un serveur d’authentification sous Windows 2003 Serveur. D'autres versions existent toutefois: Citons Radius Merit. RADIUS a été inventé par Livingston. et comme dit le proverbe « pas de certificat X509 pour le radius. le radius s’inscrit dans l’annuaire et la méthode d’authentification EAP avec certificat apparaît dans la console d’administration du radius. pourtant promoteur et inventeur de TACACS. j’ai l’impression que le serveur radius ne peut pas s’enregistrer au près du serveur de certificat. et est un standard de fait de l'industrie informatique. amendée par RFC. RADIUS Serveur est distribué librement par Livingston sur de nombreuses plateformes. qui authentifie les utilisateurs 2. et déposé à l'IETF.Autorité de certification (certificat serveur). Le rapport de Mr Alexandre Devely sur l’implémentation EAP-TLS sous WINDOWS 2003 nous a permis à mon collègue Laurent K et moi. qui génère les certificats X509 . Installation du serveur Windows 2003 : Pour mettre en œuvre 802. assez diffusée sur Linux.Serveur Radius ( IAS). En théorie. Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 RADIUS Solution de sécurité retenue et testée pour le réseau WIFI : RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur destiné à permettre à des serveurs d'accès de communiquer avec une base de données centralisée regroupant en un point l'ensemble des utilisateurs distants. depuis devenu propriété de Lucent.

KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Voir les documentations d’AD (active directory) Installation de l’autorité de certification : · Pour installer le service de certificat. aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de certificats. ni son appartenance au domaine ne seront modifiés. · Confirmer que ni le nom de l’ordinateur. · Choisir Autorité racine d’entreprise. puis cliquer sur Suivant 8 .

et cliquer sur Suivant · Confirmer l’arrêt du service IIS. en cliquant sur Oui. dans notre exemple ) · Laisser les paramètres par défaut. 9 2012/2013 .KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES · Choisir un nom pour l’autorité de certification ( cawifi.

l’installation s’effectue en sélectionnant les paramètres par défaut. Installation du serveur radius : · Pour installer le service Radius appelé aussi Service d’authentification Internet. aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en réseau | Service d’authentification Internet. chez Microsoft. · Cliquer sur OK. 10 .KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 · L’installation du serveur de certificat est terminée.

Ajouter un client Radius : 11 .microsoft. pour autoriser l’accès distant : · · Séléctionner Autoriser l’accès dans la section Autorisation d’accès distant (appel entrant ou VPN ) Cliquer sur OK Créer un groupe de sécurité global dans Active Directory · Pour créer un groupe de sécurité global dans l’Active Directory. cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory · Dans le dossier Users.com/windows2000/technologies/communications/ias/default. cliquer sur Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory · Dans le dossier Users. cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur Cliquer sur Suivant · · · Cliquer sur Suivant Cliquer sur Terminer Editer les propriétés de l’utilisateur.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Configuration du serveur Windows 2003 Créer un compte utilisateur dans Active directory · Pour créer un compte utilisateur dans l’Active Directory. cliquer avec le bouton droit de la souris sur Nouveau | Groupe.asp Dans l’interface d’administration du Service d’authentification Internet. ajoutez l’utilisateur au groupe Paramétrer le service IAS http://www.

et son adresse IP Définir le secret partagé entre l’AP et le serveur Radius · Le nouveau client radius apparaît dans la configuration du Service d’authentification Internet · Ajoutons une nouvelle stratégie d’accès distant.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 · · Renseigner le nom de l’AP. en utilisant l’assistant de configuration : · Cliquer sur suivant pour dérouler l’assistant 12 .

KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES · Nommer la stratégie wifi-eaptls dans notre exemple. · Choisir la méthode d’accès Sans fil pour la stratégie · Ajouter le groupe wifigrp précédement créé dans l’Active Directory. 13 2012/2013 .

· Cliquer sur Terminer pour enregistrer la nouvelle stratégie. puis vérifier les propriétés de la nouvelle stratégie wifi-eaptls · Cliquer sur Modifier le profil… 14 .KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 · Sélectionner le type EAP Carte à puce ou autre certificat pour cette stratégie.

avec le nom d’utilisateur crée précédemment 15 . car c’est la seule à supporte les clés WEP dynamiques. après avoir sélectionné Carte à puce ou autre certificat Vérifier que le certificat correspond à votre autorité de certification Fin installation Radius Free radius sous Linux fonctionne aussi. · · Cliquer sur le bouton Modifier. · S’authentifier au près du serveur IIS. je ne me rappelle pas d’un bon support qui ma permis de le faire. Écrivez-moi si besoin Installation des certificats sous Windows XP Ajouter de l’autorité principale de confiance Pour ajouter l’autorité de certification. vérifier qu’aucune méthode d’Authentification n’est sélectionné. Nous retenons uniquement EAP. puis cliquer sur Méthodes EAP. sur le poste client : · Se connecter sur http://server/certsrv.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 · Dans l’onglet Authentification.

une chaîne de certificats ou une liste de révocation de certificats. · Cliquer sur installez cette chaîne de certificats d'Autorité de certification Valider la boite de dialogue informant l’installation d’une nouvelle autorité de certification 16 .KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 · Cliquer sur le lien Télécharger un certificat d'autorité de certification.

KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Le nouveau certificat de l’autorité de certification apparaît dans Menu | Outils | Options Internet | Contenu | Certificats | Certificats… | Autorité principales de confiance Ajouter un certificat X-509 · · Pour ajouter un certificat X-509 utilisateur : se connecter sur http://server/certsrv. la page suivante s’affiche : · Cliquer sur le lien Certificat utilisateur · Cliquer sur le bouton Envoyer > 17 . Cliquer sur le lien Demander un certificat.

5.7.1.3.2) dans Menu | Outils | Options Internet | Contenu | Certificats | Personnel | wifi-util01 | Détails | Utilisation avancée de la clé. Il a donc fallu vérifier que le point d’accès CISCO AIRONET 350 gère bien ce service. 18 . le point d’accès deviens client du serveur et c’est lui qui redirige l’authentification vers le serveur. Point d’accès CISCO aironet 350 série Dans le cas d’une authentification avec un serveur RADIUS.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES · Confirmer la génération de la clé publique pour le certificat utilisateur · Confirmer l’installation du certificat utilisateur. la page suivante s’affiche : 2012/2013 Vérifier que le certificat X509 contient bien l’attribut étendu Authentification du client (1.3.6.5.

19. En effet. même pour un particulier je conseille vivement un cryptage avec clef WEP. La sécurité.KHALID KATKOUT TECHNIQUES DES RESEAUX INFORMATIQUES 2012/2013 Page de compte Radius 172. quant à elle. n’est pas à négliger.0. Un serveur d’authentification Radius accroît la sécurité. Une étude du réseau et des besoins des utilisateurs doit être réalisée au préalable.2 adresse IP de Radius Shared secret : clé échangée Le point d’accès permet bien de faire une requête d’authentification au serveur RADIUS. Les différentes étapes de l’authentification : Conclusion : La mise en place d’un réseau Wi-Fi n’est pas quelque chose que l’on décide du jour au lendemain. 19 . il ne suffi pas de brancher un point d’accès sur le réseau pour disposer d’une passerelle Wi-Fi .