You are on page 1of 65

RAPPORT DE PROJET DE FIN DETUDE

DEDICACE

CE TRAVAIL EST DEDIE

Monsieur et Madame WAFO

Pour tout le soutien quils mont apport durant ma formation

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin i


RAPPORT DE PROJET DE FIN DETUDE

DEDICACE

A mon oncle SOUOP Jean Claude et ma trs chre maman SIMO


CHARLOTTE pour leur soutien morale, physique et surtout pour tout lamour
quils nont cesss de mapporter durant ma formation.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin ii


RAPPORT DE PROJET DE FIN DETUDE

SOMMAIRE

DEDICACE ................................................................................................................................. i
DEDICACE ................................................................................................................................ ii
REMERCIEMENTS .................................................................................................................. v
CAHIER DE CHARGES .......................................................................................................... vi
LISTE DES FIGURES ............................................................................................................. vii
LISTE DES TABLEAUX ......................................................................................................... ix
LISTE DES ABREVIATIONS .................................................................................................. x
AVANT-PROPOS .................................................................................................................. xiii
RESUME .................................................................................................................................. xv
INTRODUCTION GENERALE ................................................................................................ 1
CHAPITRE I : GENERALITES SUR LES RESEAUX SANS FILS ....................................... 2
I.DEFINITION .................................................................................................................... 2
II.DIFFERENTS RESEAUX SANS FIL ........................................................................... 2
III.CONCLUSION .............................................................................................................. 8
CHAPITRE II : LES ATTAQUES POSSIBLES ET LES MECANISMES DE SECURITE
AUX RESEAUX SANS FILS9
INTRODUCTION .............................................................................................................. 9
I. RISQUES ET ATTAQUES............................................................................................. 9
I.1. LES RISQUES ...................................................................................................... 9
I.2. Les ATTAQUES ................................................................................................. 10
II. SERVICES DE SECURITE ......................................................................................... 11
II.1. CONFIDENTIALITE..11
II.1.2. CERTIFICATS.14
II.3. LINTEGRITE DES DONNEES ....................................................................... 15
II.4. CONTROLE DACCES ..................................................................................... 15
III. SECURISATION DU Wi-Fi ..................................................................................... 16
III.1. SECURITE DES PROTOCOLES LIES AU Wi-Fi ......................................... 16
CONCLUSION ................................................................................................................. 21
CHAPITRE III : MISE EN PLACE DUNE SECURITE BASEE SUR LE 802.1X AVEC
UN SERVEUR DAUTHENTIFICATION............. 23

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin iii
RAPPORT DE PROJET DE FIN DETUDE

INTRODUCTION ............................................................................................................ 22
I.INSTALLATION ET CONFIGURATION DOPENSSL ............................................. 22
I.1. INSTALLATION ................................................................................................ 22
I.2: CONFIGURATION ............................................................................................ 23
II.GENERATIONS DES CERTIFICATS ........................................................................ 24
II.1.GENERATION DU CERTIFICAT ROOT ........................................................ 24
II.2 : GENERATION DU CERTIFICAT SERVEUR............................................... 25
II.3 : GENERATION DU CERTIFICAT CLIENT ................................................... 26
III.INSTALLATION ET CONFIGURATION DE FREERADIUS AVEC EAP- TLS . 27
III.1 : INSTALLATION DE FREERADIUS ............................................................ 27
III.2 : INSTALLATION DES CERTIFICATS SUR LE SERVEUR ....................... 27
III.3 : CONFIGURATION DE FREERADIUS ........................................................ 27
III.4 : LANCEMENT ET PREMIER TEST DE FREERADIUS .............................. 30
IV.INSTALLATION DE MYSQL ET BASE DE DONNEES RADIUS ........................ 31
IV.1 : AJOUT DU SUPPORT MYSQL A FREERADIUS .................................... 31
IV.2 : LE FICHIER SQL.CONF ............................................................................. 31
IV.3 : LE FICHIER RADIUS.CONF ...................................................................... 32
IV.4 : LE FICHIER DEFAULT ................................................................................ 32
IV.5 : CREATION DE LA BASE DE DONNEES ................................................... 32
V. TEST DE FREERADIUS AVEC MYSQL ET EAP-TLS SUR UN UTILISATEUR 37
V.1: INSTALLATION DU CERTIFICAT DAUTORITE ...................................... 37
V.2 : INSTALLATION DU CERTIFICAT CLIENT ET TEST ............................... 39
V.3 : CONFIGURATION DE LA CARTE RESEAU SANS FILS .......................... 41
VI. INSTALLATION ET CONFIGURATION DE CHILLISPOT (PORTAIL CAPTIF 43
VI.1 : INSTALLATION ............................................................................................ 43
VI.2 : CONFIGURATION ........................................................................................ 44
VI.3 : CONFIGURATION DAPACHE 2 POUR CHILLISPOT ............................ 45
CONCLUSION ................................................................................................................. 47
PERSPECTIVE ET APPLICATION DU PROJET..48

CONCLUSION GENERALE .................................................................................................. 48


REFERENCES BIBLIOGRAPHIES ....................................................................................... 48

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin iv


RAPPORT DE PROJET DE FIN DETUDE

REMERCIEMENTS

Nous saisons cette occasion qui nous est offerte travers la rdaction de ce rapport du
projet de fin dtude pour manifester notre reconnaissance lgard de tout ceux qui de prs
ou de loin ont contribu sa ralisation. Nous pensons ainsi :
- Leternel Dieu tout puissant, lui qui nous a toujours soutenus depuis notre naissance
jusqu' ce jour.
- A tous les enseignants de lIUT-FV de Bandjoun pour tout le savoir quils nous ont
transmis en particulier au Pr. FOGUE Mdard, directeur de lIUT-FV de Bandjoun, Dr
KAPCHE TAGNE Franois chef de dpartement gnie des tlcommunications et rseaux.
- M. MBOUPDA PONE pour son encadrement acadmique.
- M.CHIME Alex pour tout le soutien apport durant cette anne.
- Ma mre MESSA Vronique pour son soutien.
- Ma mre SIMO Charlotte pour tout son amour et sa bont.
- Mon pre NZEUGANG Joseph pour ses encouragements et conseils.
- Mes oncles dont les noms suivent: SOUOP Jean Claude, KAMGA Jules, TAYOU
Clotaire.
- Mon grand frre M.TABU Guy Ghislain
- Toute la famille MOPOUNG.
- Nos frres et surs.
- Nos cousins et cousines.
- Nos oncles et tantes.
- Nos amis : MBIANOU Christian Thierry, NLONG Brigitte, WACHE Alice Larissa.
- Tous nos camarades de lIUT-FV.
A tous ceux qui ne trouveront pas leurs noms ici, nous leurs sommes trs reconnaissant
pour le soutien apport par chacun deux durant tout notre parcours.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin v


RAPPORT DE PROJET DE FIN DETUDE

CAHIER DE CHARGES

Une entreprise accueil des partenaires extrieurs pour une formation ou autres et les
administrateurs de cette mme entreprise ont des ordinateurs portables et peuvent avoir besoin
d'une connexion internet pour chercher des documents etc. ... car ils n'ont pas tout le temps de
prise rseau porter ou de cble.
Ide de solutions :
Cration d'un portail captif (2SSID) aironet le fait authentification sur la page du
portail captif. Celle-ci se fera par le protocole RADIUS et le serveur RADIUS sera configurer
sous une distribution Linux. L'authentification sera faite avec soit TKIP ou AES avec TLS.
Diffrent VLAN, 1 pour les personnes extrieurs, un autre pour le personnel de l'entreprise.
Les intervenants extrieurs ne doivent pas avoir accs aux ressources local alors que le
personnel oui. La mise en place d'un portail captif avec diffrent VLAN. Prendre une borne
Cisco Aironet (par exemple) un cisco 3750. Un logiciel de portail captif (chilispot ou pfsense,
)

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin vi


RAPPORT DE PROJET DE FIN DETUDE

LISTE DES FIGURES

Figure .1 : Catgories des rseaux sans fil.3


Figure .2 : Exemple de point d'accs.5
Figure .3 : Carte PCMCIA.6
Figure I.4 : Carte PCI..6
Figure I.5 : Carte USB7
Figure I.6 : Mode infrastructure.8
Figure I.7 : Mode Ad-Hoc..8
Figure II.1 : Chiffrement symtrique12
Figure II.2 : Chiffrement asymtrique..13
Figure II.3 : Principe de fonctionnement de Radius.21
Figure III.1 : dispositif de dmonstration du projet..22
Figure III.2 : Les informations remplir sur openssl...23
Figure III.3 : Gnration du certificat root24
Figure III.4 : Gnration du certificat serveur..25
Figure III.5 : Gnration du certificat client.26
Figure III.6 : Dmarrage du serveur radius...30
Figure III.7 : Acquittement du client par le serveur..30
Figure III.8 : tables cres...33
Figure III.9 : visualisation des tables35
Figure III.10 : test de freeradius et mysql.35
Figure III.11 : Plage dadresses ...36
Figure III.12: scurit du sans fil..36
Figure III.13 : SSID du rseau.37
Figure III.14 : Dbut de linstallation du certificat root..37
Figure III.15 : Confirmation de linstallation..38
Figure III.16 : Choix du magasin de certificats...38
Figure III.17 : Fin de limportation du certificat.38
Figure III.18: Confirmation de la validit du certificat root39
Figure III.19: Fin de limportation du certificat..39

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin vii
RAPPORT DE PROJET DE FIN DETUDE

Figure III.20 : Installation du certificat client..39


Figure III.21 : Mot de passe..40
Figure III.22 : Choix de lemplacement du certificat...40
Figure III.23 : Fin de linstallation de client. P12.40
Figure III.24 : Confirmation de la russite40
Figure III.25 : Centre de rseau et partage41
Figure III.26 : Connexion un rseau sans fil..41
Figure III.27 : SSID et scurit du rseau.41
Figure III.28 : Modification des paramtres de connexion..42
Figure III.29 : Type dauthentification.42
Figure III.30 : Slection du certificat42
Figure III.31 : Connexion au rseau sans fils LINKSYS..43
Figure III.32 installation du certificat ssl..46
Figure III.33 : page dauthentification de chillispot.46
Figure III.34 : validation du login et mot de passe...47

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin viii
RAPPORT DE PROJET DE FIN DETUDE

LISTE DES TABLEAUX

Tableau I.1 : Diffrents rseaux sans fils3

Tableau I.2 : Diffrentes normes WIFI...4

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin ix


RAPPORT DE PROJET DE FIN DETUDE

LISTE DES ABREVIATIONS

AAA: Authentication, Authorization, Accounting


AES: Advanced Encryption Standard
AP: Access Point
BSS: Basic Service Set
BSSID: BSS Identifier
CA: Certification Authority
CCM: Counter with CBC-MAC
CCMP: Counter with CBC MAC Protocol
CHAP: Challenge Handshake Authentication Protocol
DECT: Digital Enhanced Cordless Telecommunication
DES: Data Encryptions Standard
DN: Distinguished Name
DoS: Denial of Service
DSSS: Direct Sequence Spred Spectrum
EAP: Extensible Authentification Protocol
EAP-AKA: EAP - Authentification and Key Agreement
EAP-MD5: EAP-Message Digest 5
EAP- SIM: EAP - Subsciber Identity Module
EAP- SKE: EAP-Shared Key Exchange
EAP-TLS: EAP-Transport Layer Security
EAP-TTLS: EAP-Tunneled Transport Layer Security
ECC: Elliptic Curve Cryptosystem
ESS: Extended Service Set
ETSI: European Telecommunications Standards Institute
FHSS: Frequency Hopping Spread Spectrum
FTP: File Transfer Protocol
GPS: Global Positioning System
GPRS: General Packet Radio Service
GSM: Global System for Mobile Communications

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin x


RAPPORT DE PROJET DE FIN DETUDE

HiperLAN: Hiper Local Area Network


hiperLAN2: High Performance Radio LAN 2.0
Home RF: Home Radio Frequency
HR-DSSS: High Rate Direct Sequence Spread Spectrum
IBSS: Independent Basic Service Set
IDEA: International Data Encryptions Algorithm
IEEE: Institute of Electrical and Electronics Engineer
IETF: Internet Engineering Task Force
IP: Internet Protocol
IPv4: Internet Protocol version 4
IR: Infrarouges
ISO: International Organization for Standardization
LAN: Local Area Network
LDAP: Lightweight Directory Access Protocol
LEAP: Lightweight Extensible Authentification Protocol
MAC: Medium Access Control
MAN: Metropolitan Area Network
MD5: Message Digest 5
MIMO: Multiple Input Multiple Output
MS-CHAP 2: Microsoft Challenge Handshake Authentication Protocol version 2
NAS: Network Access Server
OCB: Offset Code Book
OFDM: Orthogonal Frequency Division Multiplexing
OID: Object Identifier
OSI: Open Source Inder
PAP: Password Authentication Protocol
PC: Personal Compute / Point of Coordination
PCI: Peripheral Component Interconnect
PCMCIA: Personal Computer Memory Card International Association
PDA: Personal Digital Assistant
PEAP: Protected EAP
PGP: Pretty Good Privacy
PIN: Personal Identification Number
PKA: Public Key Authentication

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xi


RAPPORT DE PROJET DE FIN DETUDE

PPP: Point to Point Protocol


PSK: Pr-Shared Key
RADIUS: Remote Authentification Dial In User Service
RC4: Rons Code #4
RSA: Rivest, Shamir, Adelman
SIM: Subscriber Identity Module
SNMP: Simple Network Management Protocol
SSID: Service Set Identifier
SSL: Secure Socket Layer
TCP: Transmission Control Protocol
TKIP: Temporal Key Integrity Protocol
TLS: Transport Layer Security
TSF: Transmission sans fil
TTLS: Tunneled TLS
`UDP: User Datagram Protocol
UIT: Union internationale des tlcommunications
UMTS: Universal Mobile Telecommunications System
USB: Universal Serial Bus
VPN: Virtual Private Network
WEP: Wired Equivalent Privacy
Wi-Fi: Wireless Fidelity
Wi-Max: Worldwide Interoperability for Microwave Access
WMAN: Wireless Metropolitan Area Network
WPA2: Wi-Fi Protected Access version 2
WPAN: Wireless Personal Area Network.
WRAP: Wireless Robust Authenticated Protocol
WRAN: Wireless Regional Area Networks
WWAN: Wireless Wide Area Network.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xii
RAPPORT DE PROJET DE FIN DETUDE

AVANT-PROPOS

Dans le cadre dune formation compatible et adapte au monde professionnel actuel, il est
impratif pour chaque cole de formation de mettre la disposition de ses tudiants une
formation leurs permettant davoir une matrise parfaite des connaissances thoriques et
pratiques pour rendre propice leurs intgrations dans le monde de lemploi. A cet effet le
gouvernement camerounais dcide dlargir lenseignement suprieur en crant des instituts
universitaires de technologie (IUT) parmi lesquels instituts universitaires de technologie
FOTSO VICTOR (IUT-FV) de Bandjoun du nom de son fondateur.

Les tudes quon y mne conduisent lobtention dune licence technologie et


professionnelle en 3 ans. Ainsi, nous avons les licences technologies suivantes:

Licence informatique et Rseau

Spcialit : Concepteur - Dveloppeur Rseau et Internet

Licence Ingnierie des Rseaux et Tlcommunications


Licence Gnie lectrique

Outre une licence professionnelle dans chacune des filires ci-aprs :

Gestion Comptable et Financire


Gestion administrative des Organisations
Commerce et Marketing

De plus dun D.U.T (Diplme universitaire de technologie) obtenu en 2 ans pour les filires
ci-aprs :

Gnie des tlcommunications et rseaux (GTR)


Informatique de gestion (IG)
lectronique (EN)
lectrotechnique (EL)
Gnie maintenance industrielle et productique (GMP)
Gnie civil (GC)

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xiii
RAPPORT DE PROJET DE FIN DETUDE

Ou dun B.T.S (Brevet des Techniciens Suprieur) en 2 ans pour les filires ci-aprs :

Gnie civil (GC)


Action commerciale (AC)
Secrtariat de direction (SD)
Comptabilit et gestion dentreprise (CGE)
lectronique (EN)
lectrotechnique (EL)

Tout comme les cycles DUT et BTS, le cycle de licence ouvre ses portes aussi bien aux
tudiants titulaires dun DUT ou dun BTS en lectronique, lectrotechnique, Informatique
de gestion, Gnie des tlcommunications et rseaux ou tout autre diplme quivalent.
De plus, une formation appele CISCO est offerte toute personne dsirant se former sur
les technologies de linformation et de la communication en rapport direct avec le monde
professionnel. Cette formation permet aussi le recyclage des employs dentreprises divers.
Elle a une dure dun an au moins selon le niveau scolaire.
Pour le cas particulier de la licence technologique en Ingnierie des Rseaux et
Tlcommunications, il est prvu un projet de fin dtudes pour permettre ltudiant de
mettre en pratique les connaissances thoriques reues tout au long de son cursus. Cest dans
cette optique quil nous a t donn pour finaliser notre cursus de licence, le
thme :<<solution daccs internet aux confrenciers dune entreprise>>

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xiv
RAPPORT DE PROJET DE FIN DETUDE

RESUME

Le rseau Wi-Fi constitue de plus en plus la technologie qui sest impose par
excellence ces dernires dix annes, permettant aux utilisateurs un accs linternet ou au
rseau local dentreprise sans les contraintes des cbles. Les dbits atteints actuellement avec
le rseau wifi rendent possible le transfert de flux multimdia soumis cependant une forte
contrainte scuritaire due au lien sans fil lui mme. Les solutions utilises dans les rseaux
filaires ne sont pas adquates et efficaces pour les WLAN. Do lintrt certain apport
trouver et mettre en place des solutions spcifiques au WLAN mme si parfois elles sont
inspires de solutions existantes dj. Le but de notre projet de fin dtudes consiste justement
tudier et analyser ces dites solutions pour en choisir et dployer la plus efficace sur un
rseau test. Dans cette optique, on a donc tudi le rseau Wi-Fi standardis en dtail, avec
son fonctionnement ainsi que ses protocoles et ses mcanismes de scurit. Nous avons
ensuite opt pour lutilisation dun serveur RADIUS utilisant le protocole 801.1x pour
lauthentification des utilisateurs avec des certificats, le protocole AES pour le chiffrement.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin xv


RAPPORT DE PROJET DE FIN DETUDE

INTRODUCTION GENERALE

Les rseaux sans fil rencontrent aujourdhui un succs important car ils permettent
de dployer des moyens de transmission sans contraintes dimmobilit lies aux cblages et
aux prises, la promotion actuelle de ce type de solution est uniquement axe sur les avantages
quelle procure : facilit et rapidit dinstallation, cot infrieur un systme filaire, mobilit,
accs partag des services de haut dbit. Bien que cette technologie semble aux premiers
abords parfaite et sans soucis, la ralit est plus dure, due surtout au problme de la protection
de ces rseaux sans fil, mme vis--vis dattaque simple. La nature de signal transmis (ondes
lectro magntiques) rend difficile, voir impossible la maitrise complte de la propagation. En
consquent, il est assez facile dcouter les messages et mme de sintroduire sur de tels
rseau ; il est donc ncessaire de dfinir pour les rseaux sans fil une politique de scurit
stricte reposant sur des mcanismes, si possible sans failles, tel que lauthentification, le
contrle dintgrit et le chiffrement. Toutefois, les rseaux sans fil nont pas pour vocation
de remplacer les rseaux filaires, ils sont plus souvent considrs comme une extension un
rseau filaire existant et non comme un potentiel remplaant. Le travail que nous prsentons
dans le cadre du projet de fin dtude consiste exposer en dtail le dploiement dune
solution de scurit des rseaux sans fil Wi-Fi. Notre travail va consister scuriser un
rseau Wifi en mode infrastructure, par un serveur dauthentification radius. Pour cela le
projet a t partag en trois chapitres :
- Le premier chapitre prsente des gnralits sur les rseaux sans fil Wi-Fi, et son
fonctionnement.
- Le deuxime chapitre est consacr aux mcanismes de scurit, les protocoles de scurit
qui existent et les attaques possibles.
- Le troisime chapitre dtaille limplmentation des mcanismes et protocoles quon a
choisis, qui est le 802.1x avec un serveur dauthentification radius, dans ce chapitre, on
dcrit les tapes quon a suivies pour la scurisation dun rseau exprimental se composant
de deux utilisateurs, un point daccs (AP) et dun serveur.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 1


RAPPORT DE PROJET DE FIN DETUDE

CHAPITRE I: GENERALITES SUR LES RESEAUX SANS


FILS

I.DEFINITION

Un rseau sans fil est, comme son nom l'indique, un rseau dans lequel au moins deux
terminaux peuvent communiquer sans liaison filaire. Grce aux rseaux sans fil, un utilisateur
la possibilit de rester connect tout en se dplaant dans un primtre gographique plus
ou moins tendu, c'est la raison pour laquelle on entend parfois parler de "mobilit". Ils
sont bass sur une liaison utilisant des ondes radiolectriques en lieu et place des cbles
habituels. Il existe plusieurs technologies se distinguant d'une part par la frquence d'mission
utilise ainsi que le dbit et la porte des transmissions. De plus, l'installation de tels rseaux
ne demande pas de lourds amnagements des infrastructures existantes comme c'est le cas
avec les rseaux filaires. En contrepartie se pose le problme de la rglementation relative
aux transmissions radiolectriques. De plus, les ondes hertziennes sont difficiles confiner
dans une surface gographique restreinte, il est facile pour un pirate d'couter le rseau
si les informations circulent en clair. Donc il est ncessaire de mettre en place les dispositions
ncessaires de telle manire assurer une confidentialit des donnes circulant sur les rseaux
sans fil. La grande particularit des rseaux sans fil est dtre un systme rapide dployer,
pour un cout raisonnable. En effet, il suffit pour construire un tel rseau dquiper les
postes informatiques dun adaptateur 802.11 et si ncessaire dinstaller un point daccs. Ce
type de rseau utilise donc des ondes radio pour vhiculer des donnes entre les postes.

II.DIFFERENTS RESEAUX SANS FIL

On distingue habituellement plusieurs catgories de rseaux sans fil, selon le


primtre gographique offrant une connectivit (appel zone de couverture) :

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 2


RAPPORT DE PROJET DE FIN DETUDE

Figure .1 : Catgories des rseaux sans fil

Rseaux sans fils Normes Dbit Porte Technologies et frequencies


utilises
WPAN (Wireless 10km
Personal Area 802.15 11Mbits/s Bluetooth, Home RF, Zigbee
Network)
WMAN (Wireless WI-Max avec les frquences :
Metropolitain 802.16 et 70Mbits/s 50km 2,4 GHz, 3,5 GHz, 5,8GHz et
Network) 802.16e la boucle locale radio
WWAN(Wireless
Wide Area GSM, GPRS,UMTS
Network)
WLAN(Wireless 802.11b 11Mbits/s 10 100m WI-FI
Local Area 802.11a 54Mbits/s OFDM( hiperLAN2, DECT,
Network) WI-FI)
WRAN(Wireless 22Mbps Utlilise les frequencies UHF
Regional Area 802.22 par canal 100km et VHF
Network)

Tableau I.1 : Diffrents rseaux sans fils

WI-FI

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 3


RAPPORT DE PROJET DE FIN DETUDE

Un rseau WI-FI (Wireless Fidelity) est un rseau rpondant la norme 802 .11 ci-
dessus qui est un standard pour les rseaux locaux sans fils (WLAN).

Avantages du Wi-Fi
- Mobilit
- Facilit et souplesse
- Cot
- volutivit
Inconvnients du Wi-Fi
- Complexit
- Qualit et continuit du signal
- Scurit
Diffrentes normes Wi-Fi

Les standards rgissant les rseaux sans fil pour les PC sont tablis par lIEEE (Institue of
Elecrical and Electronics Engineers). La technologie LAN/MAN a reu le numro 802, lui
mme subdivis en groupes de travail. La norme IEEE 802.11 est en ralit la norme initial
offrant des dbits de 1 ou 2 Mbit/s, des rvisions ont t apports la norme originale
afin doptimiser le dbit. On trouvera ci-aprs une brve description des diffrentes rvisions
de la norme 802.11 ainsi que ses diffrents paramtres :
Normes Dbits Porte Fonctionnement et frquences utilises
802.11a 54Mbits(thorie) 15m Utilise les frquences 2 et 5Mbits/s et spcifie 8
30Mbits(rel) canaux rduits dans la bande de 5Mbits/s.
802.11b 2244Mbits(thorie) 30 Utlise la modulation DSSS et HR-DSSS
11 20Mbits(rel) 100m
802.11c Concerne la gestion de la couche MAC
802.11d Permet une utilisation internationale du 802.11
802.11e Offre la QOS au niveau de la couche 2
802.11f Vise une meilleure interoprabilit des produits
802.11g 54Mbits/s Utilise la frquence 2,4GHz, la modulation
OFDM, le WEP et le WPA
802.11h Rend compatible les quipements 802.11 avec
les infrastructures utilisant HiperLAN2.
802.1x Vise lintgration du protocole EAP.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 4


RAPPORT DE PROJET DE FIN DETUDE

802.11i Utilise le WPA2 et le TKIP pour la scurit.


802.11j Rend compatible la norme japonaise et le
802.11a
802.11k Permet lamlioration distance ou du roaming
802.11IR 2Mbits/s Utilise les signaux infrarouges
802.11n 100 Mbits/s 100m Utilise la modulation MIMO-OFDM et les
frquences 2 ,4 et 5GHz

Tableau I.2 : Diffrentes normes WI-FI

Equipements Wi-Fi

Leur fonction principale est de convertir les donnes numriques provenant


dun rseau Ethernet en signaux analogiques destins lantenne. Cest son niveau que les
protocoles de modulation/dmodulation des signaux interviennent. En rception, il effectue
le processus inverse consistant dcoder les signaux transmis par lantenne en donnes IP
pour le rseau.

Points daccs (AP)

Il permet aux stations quipes de cartes Wi-Fi dobtenir une connexion au rseau.
Les AP sont ncessaires lorsque le rseau sans fil fonctionne en mode infrastructure.

Figure .2 : Exemple de point d'accs

Routeurs

Le routeur transforme votre connexion Internet filaire en connexion sans fil. La plupart
des routeurs font office de borne sans fil offrant laccs Internet tous vos ordinateurs.
Ils disposent galement de ports Ethernet (en gnrale quatre) pour raccorder physiquement

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 5


RAPPORT DE PROJET DE FIN DETUDE

les postes les plus proches et certains offrent une scurit pour le rseau en tant dots de
firewall et de limitations daccs.

Les modems/routeurs

Les modems/routeurs offrent une solution deux-en-un en regroupant dans un mme


appareil un modem (pour accdera la ligne Internet) et un routeur pour repartir cette
connexion sur vos diffrents ordinateurs.

Cartes Wi-Fi

Ce terme dsigne les priphriques actifs Wi-Fi/Antenne directement branchs un


ordinateur client. Ils jouent exactement le mme rle que les cartes rseaux traditionnelles la
diffrence prs quon ne branche pas de cble dessus, puisque la liaison est assure
par radio. Elles existent en trois formats.

o PCMCIA

Il sagit du format le plus rpandu puisque ce format est spcifique aux portables dont les
propritaires taient les premiers intresss par la technologie sans fil.

Figure .3 : Carte PCMCIA

o PCI

Cest le format standard pour les ordinateurs de bureau mais les cartes restent au format
PCMCIA. Il y a donc un adaptateur PCMCIA-PCI sur lequel est loge une carte PCMCIA ;
le prix dachat est donc lgrement suprieur aux modles prcdents.

Figure I.4 : Carte PCI

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 6


RAPPORT DE PROJET DE FIN DETUDE

o USB

Ce format sest rapidement popularis pour sa simplicit dutilisation et les constructeurs


nont pas tard proposer galement des cartes Wi-Fi ce format.

Figure I.5 : Carte USB

o Les antennes

L'antenne intgre lAP ou la carte Wi-Fi peut tre remplace par une antenne externe
plus puissante relie par un cble d'antenne. Il y a 3 grandes familles dantennes :

- Les omnidirectionnelles
- Les directionnelles
- Les patchs ou antennes sectorielles

Modes de fonctionnement du WIFI

De manire gnrale, la machine cliente demande des informations via le rseau et


la machine serveur offre des services. Deux types darchitectures sont gnralement
distingues pour les rseaux sans fil savoir le mode Ad hoc et le mode Infrastructure.

Mode infrastructure

Cest un mode de fonctionnement qui permet de connecter les ordinateurs quips dune
carte rseau Wifi entre eux via un ou plusieurs points daccs qui agissent comme des
concentrateurs. L'ensemble form par le point d'accs et les stations situs dans sa
zone de couverture est appel Cellule de base BSS (Basic Service Set). Un groupe de BSS
interconnects par un systme de distribution forme un ensemble de services tendu ESS
(Extended Service Set).

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 7


RAPPORT DE PROJET DE FIN DETUDE

Figure I.6 : Mode infrastructure

Mode Ad-Hoc

Un groupe de terminaux forme un ensemble de services de base indpendants


IBSS(Independent Basic Service Set). Chaque station peut tablir une communication
nimporte quelle station dans lIBSS, sans tre oblige de passer par un point daccs.

Figure I.7 : Mode Ad-Hoc

III.CONCLUSION

Dans ce chapitre, nous avons vu que lors du dploiement d'un rseau sans fil, le
Wi-Fi (802.11) semble tre la solution rpondant au mieux aux besoins des rseaux
locaux sans fil grce l'avantage qu'elle procure, qui est son interoprabilit avec
les rseaux de type Ethernet. Cette technologie, est frquemment utilise dans les
entreprises dsirant accueillir des utilisateurs mobiles ou souhaitant une alternative au
rseau filaire tout en conservant des performances quasi identiques. Contrairement le Wi-
Fi a beaucoup de problmes de scurit, dans le chapitre qui suit, on va dtailler les
mcanismes utilis pour mettre au point une stratgie de scurit.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 8


RAPPORT DE PROJET DE FIN DETUDE

CHAPITRE II : LES ATTAQUES POSSIBLES ET


LES MECANISMES DE SECURITE AUX
RESEAUX SANS FILS

INTRODUCTION

Le point crucial lors d'une installation rseau, quelle soit filaire ou sans fil, est la mise
en place d'lments de protection. La scurit a toujours t le point faible des rseaux Wi-Fi,
cause principalement de sa nature physique : les ondes radio tant un support de
transmission partag (qui circule librement dans lair), quiconque se trouvant dans la zone de
couverture peut couter le support et s'introduire dans le rseau. Ces problmes de scurit se
posent aussi pour des rseaux cbls mais l'coute passive ncessite une intrusion physique.
Il existe des moyens de scurit implants de base sur le matriel Wi-Fi (carte et point
d'accs) permettant un premier niveau de protection, mais ces moyens de scurisation sont
facilement contournable. Dans ce chapitre, on va prsenter dune part une analyse des
diffrentes attaques susceptibles d'atteindre un rseau Wi-Fi, dautre part une srie de notions
utilis qui rpondent aux trois principes lmentaires de scurit qui sont: Codage,
Authentification et Intgrit, permettant leurs administrateurs et usagers de mieux contrler
et si possible rduire les risques.

I. RISQUES ET ATTAQUES

I.1. LES RISQUES

Les risques dpendent des paramtres que lon peut maitriser. Contrairement au rseau
cbl, le contrle des accs physiques au rseau sans fil est difficile, voir impossible.
On peut classifier les risques en quatre niveaux :
a. Acceptables : pas des consquences graves pour les utilisateurs du rseau.
Exemple : panne clectique, perte de liaison, engorgement
b. Courants : pas de prjudices graves au rseau, on peut rparer facilement.
Exemple : gestion du rseau, mauvaise configuration, erreur utilisateur
c. Majeurs : dus des facteurs graves et qui causent de gros dgts mais rcuprables.
Exemple : foudre qui tombe sur un routeur
d. Inacceptables : fatals pour lentreprise, ils peuvent entrainer son dpt de bilan.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 9


RAPPORT DE PROJET DE FIN DETUDE

Exemple : perte ou corruption des informations importantes

I.2. LES ATTAQUES

On peut classifier les attaques en deux groupes principaux : les attaques passives et les
attaques actives, qui sont bien videmment plus dangereuses.

I.2.1. LES ATTAQUES PASSIVES

Dans un rseau sans fil l'coute passive est d'autant plus facile que le mdia air est
difficilement matrisable. Bien souvent, la zone de couverture radio d'un point d'accs dborde
du domaine priv d'une entreprise ou d'un particulier. L'attaque passive la plus rpandue est la
recherche de point d'accs. Cette attaque (appele Wardriving) est devenu le jeu favori de
nombreux pirates informatique, les points d'accs sont facilement dtectables grce un
scanner (portable quip d'une carte Wi-Fi et d'un logiciel spcifique de recherche de PA).
Ces cartes Wifi sont quipes d'antennes directives (type Yagi) permettant d'couter le trafic
radio distance hors de la zone de couverture du point d'accs.

I.2.2. LES ATTAQUES ACTIVES

Nous allons revoir, assez succinctement, les diffrentes attaques connues dans les
rseaux filaires et qui touchent bien videmment, le monde du Wifi.

DoS (Denial of Service)

Cette attaque a pour but d'empcher des utilisateurs lgitimes d'accder des services en
saturant de fausses requtes ces services. Elle se base gnralement sur des " bugs " logiciel.
Dans le milieu Wifi, cela consiste notamment bloquer des points d'accs soit en l'inondant
de requte de dsassociassions ou plus simplement en brouillant les signaux hertzien.

Spoofing (usurpation d'identit)

Le spoofing IP est une technique permettant un pirate d'envoyer une machine des
paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate.
Le spoofing IP n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit
d'une mascarade de l'adresse IP au niveau des paquets mis, c'est--dire que les paquets
envoys sont modifis afin qu'ils semblent parvenir d'une machine propre du rseau.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 10


RAPPORT DE PROJET DE FIN DETUDE

Le sniffing

Ce type d'attaque est bas sur l'interception de donnes mises sans prcaution toutes
les parties comme lors des diffusions. Il suffit d'tre prsent sur le rseau pour intercepter tout
le trafic et rcuprer n'importe quelles donnes transitant sur le rseau si celles-ci ne sont pas
cryptes.

I.2.3. AUTRES ATTAQUES

Virus, vers et chevaux de Troie

Un virus est un programme capable de se cacher dans un autre et qui peut se


reproduire en infectant d'autres programmes ou d'autres ordinateurs. Les dgts pourront aller
d'un simple affichage l'cran une mise hors service d'un systme. On recense plusieurs
catgories :
- Les vers capables de se propager dans le rseau.
- Les chevaux de Troie ou troyens crant des failles dans un systme.
- Les bombes logiques se lanant suite un vnement du systme (appel d'une primitive ou
date spciale).
- Les hoax qui sont des canulars envoys par mail.

II. SERVICES DE SECURITE

Les services de scurit reprsentent les logiciels et matriels mettant on uvre les
mcanismes dans le but de mettre la disposition des utilisateurs des fonctions de scurit
dont ils ont besoin.
Il existe cinq notions fondamentales de la scurit.

II.1. CONFIDENTIALITE

Le service de confidentialit garantie aux deux entits communicantes tre les seules
pouvoir comprendre les donnes changes. Ceci implique la mise en uvre des
algorithmes de chiffrement en mode flux, cest--dire octet par octet, ou en mode bloc.
Un message crit en clair est transform en un message chiffr, appel cryptogramme
grce aux algorithmes de chiffrement. Cette transformation est fonde sur une ou plusieurs
cls.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 11


RAPPORT DE PROJET DE FIN DETUDE

II.1.1. LES ALGORITHMES DE CHIFFREMENT (LA CRYPTOGRAPHIE)

Le chiffrement consiste rendre un texte incomprhensible en le codant. On code


(crypte ou chiffre) le texte en effectuant une opration sur le texte en clair partir d'une rgle
appele cl ou algorithme de chiffrement. Le texte cod (cryptogramme) peut alors tre
envoy son destinataire. Il existe trois algorithmes de chiffrement : algorithme symtrique,
algorithme asymtrique (ou cl publique), algorithme non rversible (combinaison des deux
prcdentes).

II.1.1.1. Algorithme symtrique

Ici, la cl de chiffrement est identique la cl de dchiffrement. Ainsi c'est la mme


cl qui va nous permettre la fois de chiffrer le message et de permettre aux destinataires de
le dchiffrer.

Figure II.1 : Chiffrement symtrique

Les algorithmes de ce type les plus rpandus sont :

DES (Data Encryptions Standard) : a t le plus utilis, mais n'est plus utilis depuis 1998
considr peu sr. Cl de 40 56 bits.
IDEA (International Data Encryptions Algorithm) : est utilis par PGP (Pretty Good
Privacy), le logiciel de cryptographie le plus utilis au monde. Cl de 128 bits.
AES (Advanced Encryption Standard) : remplaant du DES dans l'administration
amricaine et du RC4 dans la norme 802.11 avec 802.11i. Fond sur l'algorithme de
Rijndael, est considr comme tant incassable.

II.1.1.2. Algorithme Asymtrique

Dans ce cas, les cls de chiffrement et de dchiffrement sont distinctes, et gnralement


symtriques entres elles: la cl de chiffrement permet de dchiffrer ce qui a t chiffr avec la

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 12


RAPPORT DE PROJET DE FIN DETUDE

cl de dchiffrement, et vice versa. Le possesseur d'une telle paire de cls, en rend une (au
choix) publique, c'est--dire qu'il la donne tout le monde, dans une sorte d'annuaire. Tout
correspondant qui veut envoyer un message, chiffre son message l'aide de la cl publique du
destinataire. Seul le possesseur de la cl secrte correspondant cette cl publique pourra
dchiffrer le message.
Ainsi cette mthode permet de raliser une communication confidentielle sans changer
auparavant de code secret.
Le principal inconvnient de ce type d'algorithme est la lenteur laquelle seffectuent les
oprations de chiffrement et de dchiffrement.

Figure II.2 : Chiffrement asymtrique

Les algorithmes

RSA (Rivest, Shamir, Adelman).


ECC (Elliptic Curve Cryptosystem).

II.1.1.3. Algorithme non rversible

Cet algorithme fait appel aux deux algorithmes prcdents ( cl symtrique et cl


publique), combinant les avantages des deux touts en vitant leurs inconvnients. Le principe
gnral consiste effectuer le chiffrement des donnes avec des cls symtriques, mais en
ayant effectu au dpart l'envoi de la cl symtrique par un algorithme cl publique.

II.1.2. CERTIFICATS

Un certificat permet d'associer une cl publique une entit (une personne, une
machine, ...) afin d'en assurer la validit. Le certificat est en quelque sorte la carte d'identit de
la cl publique, dlivr par un organisme appel autorit de certification (souvent note CA
pour Certification Authority). L'autorit de certification est charge de dlivrer les certificats,

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 13


RAPPORT DE PROJET DE FIN DETUDE

de leur assigner une date de validit (quivalent la date limite de premption des produits
alimentaires), ainsi que de rvoquer ventuellement des certificats avant cette date en cas de
compromission de la cl (ou du propritaire).

Les certificats sont des petits fichiers diviss en deux parties :


- La partie contenant les informations
- La partie contenant la signature de l'autorit de certification
La structure des certificats est normalise par le standard X.509 de l'UIT (plus exactement
X.509v3), qui dfinit les informations contenues dans le certificat :
- La version de X.509 laquelle le certificat correspond ;
- Le numro de srie du certificat ;
- L'algorithme de chiffrement utilis pour signer le certificat ;
- Le nom (DN, pour Distinguished Name) de l'autorit de certification mettrice ;
- La date de dbut de validit du certificat ;
- La date de fin de validit du certificat ;
- L'objet de l'utilisation de la cl publique ;
- La cl publique du propritaire du certificat ;

II.2. SERVICE DAUTHENTIFICATION

Lauthentification a pour but de garantir lidentit des correspondantes. Parmi les


solutions simples qui existent, lutilisation dun identificateur et dun mot de passe, une
mthode de dfi bas sur une fonction cryptographique et un secret, lauthentification peut
seffectuer par un numro didentification personnel, comme le numro inscrit dans une carte
puce, ou code PIN.
Lauthentification peut tre simple ou mutuelle. Elle consiste surtout comparer les donnes
provenant de lutilisateur qui se connecte des informations, stockes dans un site protg et
susceptibles de piratage.

Un protocole dauthentification est un moyen de contrle daccs caractris par les 3


A (AAA) qui signifient Authentication, Authorization, Accounting, soit authentification,
autorisation et compte en franais. La signification de ces termes est la suivante :

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 14


RAPPORT DE PROJET DE FIN DETUDE

- Authentication : consiste vrifier quune personne/quipement est bien celle quelle


prtend tre.
- Authorization : consiste permettre laccs certains services ou ressources.
- Accounting : le serveur AAA a la possibilit de collecter des informations sur lutilisation
des ressources.

PAP

Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en texte
brut et constitue le protocole d'authentification le moins scuris. Il est gnralement ngoci
lorsque le client d'accs distant et le serveur d'accs distant ne disposent d'aucun moyen de
validation plus sr.

CHAP

Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole


d'authentification par stimulation-rponse, qui utilise le modle de hachage MD5 (Message
Digest 5) standard pour crypter la rponse.
CHAP est utilis par de nombreux fournisseurs de clients et de serveurs d'accs rseau. Un
serveur excutant routage et accs distant prend en charge CHAP pour que les clients d'accs
distant exigeant CHAP soient authentifis. Dans la mesure o CHAP exige l'utilisation d'un
mot de passe crypt l'envers, vous devez envisager un autre protocole d'authentification
comme MSCHAP version 2.

II.3. LINTEGRITE DES DONNEES

Dans certaines cas, il peut tre ncessaire dassurer simplement que les donnes sont
intgrs, cest--dire quelles nont pas t au passage falsifies par un intrus. Ces donnes
restent claires, au sens ou elles ne sont pas secrtes.

II.4. CONTROLE DACCES

De nos jours, toutes les entreprises possdant un rseau local et aussi un accs
internet, afin daccder la manne dinformation disponible sur le rseau, et pouvoir
communiquer avec lextrieur. Cette ouverture vers lextrieur est indispensableet
dangereuse en mme temps.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 15


RAPPORT DE PROJET DE FIN DETUDE

Ouvrir lentreprise vers le monde signifie aussi laisser place ouverte aux trangers pour
essayer de pntrer le rseau local de lentreprise, et y accomplir des actions douteuse, pour
cela une architecture scurise est ncessaire. Le cur dune telle architecture est bas sur un
firewall (un pare-feu). Cet outil a pour but de scuriser au maximum le rseau local de
lentreprise, de dtecter les tentatives dintrusion. Cela reprsente une scurit
supplmentaires rendant le rseau ouvert sur internet beaucoup plus sur.

III. SECURISATION DU Wi-Fi

Installer un rseau sans fil sans le scuriser peut permettre des personnes non autorises
dcouter, de modifier et daccder ce rseau. Il est donc indispensable de scuriser les
rseaux sans fil ds leur installation. Il est possible de scuriser son rseau de faon plus ou
moins forte selon les objectifs de scurit et les ressources que lon y accorde. La scurit
dun rseau sans fil peut tre ralise diffrents niveaux : configuration des quipements et
choix des protocoles.

III.1. SECURITE DES PROTOCOLES LIES AU Wi-Fi

De nombreuses volutions protocolaires ont rythm la scurit des rseaux Wi-Fi. Les
objectifs sont les suivants :
- Garantir la confidentialit des donnes ;
- Permettre lauthentification des clients ;
- Garantir lintgrit des donnes ;
Les diffrents protocoles sont.

III.1.1. WEP (Wired Equivalent Privacy)

Le WEP est un protocole charg du chiffrement des trames 802.11. Il va permettre


dune part, de crypter les donnes, et dautre part, dassurer lintgrit des donnes transmises.
Le principe du WEP consiste dfinir une cl secrte dclare au niveau des points d'accs et
des clients qui assurera le cryptage et le dcryptage des informations. Tout utilisateur
possdant cette cl pourra communiquer sur le rseau.
Inconvnients : faiblesse du contrle derreur, mauvaise gestion des cls, vulnrabilits aux
dnies de services (DoS).

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 16


RAPPORT DE PROJET DE FIN DETUDE

III.1.2. WPA (Wi-Fi Protected Access)

WPA permet un meilleur cryptage de donnes que le WEP car il utilise des cls TKIP
(Temporal Key Integrity Protocol) dites dynamiques et permet l'authentification des
utilisateurs. Ainsi, le WPA permet d'utiliser une cl par station connecte un rseau sans fil,
alors que le WEP utilise la mme cl pour toutes les stations du rseau sans fil. Les cls WPA
sont en effet gnres et distribues de faon automatique par le point d'accs sans fil qui doit
tre compatible avec le WPA.
De plus, un vrificateur de donnes permet de vrifier l'intgrit des informations reues pour
tre sr que personne ne les a modifies.

III.1.3. WPA 2/ 802.11i

La dernire volution en juin 2004, est la ratification de la norme IEEE 802.11i, aussi
appel WPA2 dans la documentation grand public. Ce standard reprend la grande majorit des
principes et protocoles apports par WPA, avec une diffrence notoire dans le cas du
chiffrement : l'intgration de l'algorithme AES. Les protocoles de chiffrement WEP et TKIP
sont toujours prsents. Deux autres mthodes de chiffrement sont aussi inclus dans IEEE
802.11i en plus des chiffrements WEP et TKIP :
- WRAP (Wireless Robust Authenticated Protocol) s'appuyant sur le mode opratoire OCB
(Offset Code Book) dAES ;
- CCMP (Counter with CBC MAC Protocol) : s'appuyant sur le mode opratoire CCM
(Counter with CBC-MAC) dAES ;
Le chiffrement CCMP est le chiffrement recommand dans le cadre de la norme IEEE
802.11i. Ce chiffrement, s'appuyant sur AES, utilise des clefs de 128 bits avec un vecteur
d'initialisation de 48 bits. Ces mcanismes cryptographiques sont assez rcents et peu de
produits disponibles sont certifis WPA2. Le recul est donc faible quant aux vulnrabilits
potentielles de cette norme. Mme si ce recul existe pour l'algorithme AES, le niveau de
scurit dpend fortement de l'utilisation et de la mise en oeuvre dAES.
La norme IEEE 802.11i dfinit deux modes de fonctionnement :
WPA2 Personal : le mode WPA2 personnel permet de mettre en uvre une
infrastructure scurise base sur le WPA sans mettre en uvre le serveur d'authentification.

Le WPA2 personnel repose sur l'utilisation d'une cl partage, appeles PSK pour Pr-Shared
Key, renseigne dans le point d'accs ainsi que dans les postes clients. Contrairement au

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 17


RAPPORT DE PROJET DE FIN DETUDE

WEP, il n'est pas ncessaire de saisir une cl de longueur prdfinie. En effet, le WPA2
permet de saisir une phrase secrte, traduite en PSK par un algorithme de hachage.

WPA2 Enterprise : le mode entreprise impose l'utilisation d'une infrastructure


d'authentification 802.1x base sur l'utilisation d'un serveur d'authentification, gnralement
un serveur RADIUS, et d'un contrleur rseau (le point d'accs). Cette solution est
actuellement ce quil y a de plus sr en termes de scurit dauthentification forte. Mais
attention, toutefois, rien nest acquis et il y a fort parier que cette solution ne restera pas
labri des hackers trs longtemps.

III.1.4. 802.1x ou EAP

Le protocole 802.1x est une solution de scurisation dun rseau mis au point par
lorganisme de standardisation IEEE en 2001. Il a pour but de contrler laccs un rseau
filaire ou sans fil grce un serveur dauthentification.
La principale innovation amene par le standard 802.1x consiste scinder le port logique, qui
est connects en parallle sur le port physique. Le premier port logique est dit "contrle", et
peut prendre deux tats "ouvert" ou "ferm". Le deuxime port logique est lui toujours
accessible mais il ne gre que les trames spcifique 802.1x. Cela permet de grer le dialogue
ncessaire lauthentification au pralable une connexion rseau. La connexion initiale est
donc limite un usage de scurit qui ouvre ultrieurement le canal des donnes en cas
dauthentification russie.
Le protocole (802.1x) fonctionne partir de trois lments :
- Le client (supplicant) : cest le systme authentifier cest--dire llment qui dsire se
connecter sur le rseau ;
- Le contrleur (point d'accs) : ou systme authentificateur cest--dire llment qui va
demander lauthentification;
- Le serveur d'authentification : Ce serveur dauthentification est en gnral un serveur
Radius. Selon la requte du supplicant, ce serveur dtermine les services auxquels le
demandeur a accs (serveur plac sur le LAN).

Mthodes dauthentification associe EAP

Le standard 802.1x ne propose pas une seule mthode d'authentification mais un


canevas sur lequel sont bass plusieurs types d'authentification. Ainsi, une mthode
d'authentification EAP utilise diffrents lments pour identifier un client :

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 18


RAPPORT DE PROJET DE FIN DETUDE

- Login / mot de passe ;


- Certificats ;
- Carte puce ou calculette ;

a. Mthodes bases sur les mots de passes

LEAP: (Lightweight Extensible Authentification Protocol) cest la mthode la plus


utilise pour les points daccs. Il gre la distribution dynamique de cls WEP. Cest
aussi la base une solution propritaire de Cisco (CISCO-EAP) mais qui a aussi t
implmente par la suite par dautres constructeurs.
EAP-MD5: (EAP-Message Digest 5) il est souvent utilis pour les informations
dauthentification des clients, par un systme bas sur le nom dutilisateur et le mot de
passe. Il nexiste pas dauthentification du serveur. Une machine qui se fait passer pour
un serveur peut ainsi facilement rcuprer les authentifiant (login, mot de passe) de la
machine qui cherche sauthentifier.
EAP-SKE: (EAP-Shared Key Exchange) il permet une authentification mutuelle ainsi

b. Mthodes bases sur les certificats

EAP-TLS: utilise le mcanisme d'authentification cl publique de TLS. Client et


serveur doivent possder un certificat. Permet l'authentification mutuelle, l'change des
cls (WEP dynamique ou TKIP), la fragmentation et le rassemblage, la reconnexion
rapide.
EAP-TTLS: mthode du tunnel TLS. Fournit une squence d'attributs inclus dans le
message. En incluant un attribut de type RADIUS, EAP peut fournit les mmes
fonctionnalits que PEAP. Cependant, si un mot de passe RADIUS ou CHAP est
encapsul, il est chiffr par TLS. Cette mthode est moins utilise que PEAP qui rend les
mmes services.
PEAP: (Protected EAP) authentification sans certificat. Ajoute une couche TLS sur EAP
(comme EAP-TTLS), permet d'authentifier le serveur au client mais pas l'inverse, c'est la
mthode protge par PEAP qui doit authentifier le client. Offre les services
d'authentification (impossible de falsifier ou insrer des messages EAP), de chiffrement,
d'change de cl (WEP dynamique ou TKIP), fragmentation et rassemblage,
reconnexion rapide.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 19


RAPPORT DE PROJET DE FIN DETUDE

PEAP Microsoft: supporte l'authentification du client via MS-CHAP v2 uniquement


rduisant ainsi le champ d'utilisation au domaine NT et ADS.

c. Mthodes bases sur les cartes puces

EAP-SIM: (EAP - Subsciber Identity Module) utilis pour les points d'accs public
(hotspot), utilise la carte puce SIM du GSM, permet la mise en place de facturation.
EAP-AKA: (EAP - Authentification and Key Agreement) utilise le systme
d'authentification de la carte SIM de l'UMTS, il est compatible avec le GSM.

III.1.5. PROTOCOLE RADIUS

RADIUS (Remote Authentification Dial In User Service) est un protocole


d'authentification client/serveur habituellement utilis pour l'accs distance, dfini par la
RFC 2865. Ce protocole permet de scuriser les rseaux contre des accs distance non
autoriss. Ce protocole est indpendant du type de support utilis.
Le protocole Radius repose principalement sur un serveur (serveur Radius), reli a une base
didentification (fichier local, base de donnes, annuaire LDAP, etc.) et un client Radius,
appel NAS (Network Access Server), faisant office dintermdiaire entre lutilisateur final et
le serveur. Le mot de passe servant authentifier les transactions entre le client Radius et le
serveur Radius est chiffr et authentifier grce a un secret partag. Il est noter que le serveur
Radius peut faire office de proxy, cest--dire transmettre les requtes du client a dautres
serveurs Radius.

Principe de fonctionnement

Le fonctionnement de Radius est bas sur un scnario proche de celui-ci :


1. Un utilisateur envoie une requte au NAS afin d'autoriser une connexion distance ;
2. Le NAS achemine la demande au serveur Radius ;
3. Le serveur Radius consulte la base de donnes d'identification afin de connatre le type de
scnario d'identification demand pour l'utilisateur. Soit le scnario actuel convient, soit une
autre mthode d'identification est demande l'utilisateur. Le serveur Radius retourne ainsi
une des quatre rponses suivantes :
- ACCEPT : l'identification a russi ;
- REJECT : l'identification a chou ;

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 20


RAPPORT DE PROJET DE FIN DETUDE

- CHALLENGE : le serveur RADIUS souhaite des informations supplmentaires de la part de


l'utilisateur et propose un dfi (en anglais challenge ) ;
- CHANGE PASSWORD : le serveur Radius demande lutilisateur un nouveau mot de
passe.
Suite cette phase dauthentification dbute une phase dautorisation ou le serveur retourne
les autorisations aux utilisateurs.

Figure II.3 : Principe de fonctionnement de Radius

CONCLUSION

En prenant connaissance des faiblesses de scurit des rseaux de type Wi-Fi et au vu de


l'essor important de ce type de matriel, il est probable que le march des serveurs
d'authentification va prendre de l'importance. Ainsi, depuis les tests, certains produits ont dj
beaucoup volu pour prendre en charge davantage de mthodes d'authentification et de
plateformes. Cependant, sur le segment de la scurit des rseaux Wi-Fi, d'autres solutions
restent envisageables notamment celles bases sur les VPN. Le niveau de scurit propos par
802.1x est correct mais il ne permet pas de rsoudre les problmes lis aux faiblesses de
WEP. Ainsi, pour proposer une architecture vraiment sre il faudra utiliser d'autres techniques
de chiffrement comme WPA et attendre les avances proposes par 802.11i. La relative
jeunesse de tous ces protocoles, et des rseaux Wi-Fi en gnral, ne permettent pas encore de
garantir une prennit de la solution retenue. Malgr tout, il est ncessaire de prendre le risque
d'opter pour une solution plutt que d'attendre et de laisser son rseau sans fil sans protection.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 21


RAPPORT DE PROJET DE FIN DETUDE

CHAPITRE III : MISE EN PLACE DUNE SECURITE BASEE SUR


LE 802.1X AVEC UN SERVEUR DAUTHENTIFICATION

INTRODUCTION

Pour la ralisation de ce projet, il a fallu mettre en place un rseau test, ceci a ncessit
la mise en place dun serveur dauthentification radius, et dun mcanisme de gnration
de certificats avec openssl. Nous avons opt pour linstallation de ces outils dans un
environnement LINUX (Centos 5), dune part parce quils sont en Open Source, et
dautre part, ils sont moins vulnrables aux attaques. La figure ci-dessous reprsente le
schma de principe de notre projet.

Client invite
(VLAN2)

AP

internet
Personnel entreprise
(VLAN1)
Switch manageable

modem

Serveur radius +chillispot+basse de donnee mysql


Figure III.1 : dispositif de dmonstration du projet

I.INSTALLATION ET CONFIGURATION DOPENSSL

I.1. INSTALLATION

On a utilis la version openssl-0.9.7g tlcharg sur le site www.openssl.org.


On commence par la dcompression, puis la compilation et enfin linstallation du
fichier en utilisant les commandes suivantes :

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 22


RAPPORT DE PROJET DE FIN DETUDE

# tar zxvf openssl-0.9.7g.tar.gz


# cd openssl-0.9.7g
# ./config --prefix=/usr/local/openssl-certgen shared
# make
# make install

Openssl se compile, cela dure plus ou moins longtemps suivant la machine utilise.

I.2: CONFIGURATION

Il faut maintenant diter le fichier de configuration dopenssl. Ce fichier contient


diffrentes informations comme : le nom de lentreprise, le pays, ladresse e-mail, le nom
du propritaire du certificat
Cela se fait grce la commande :

nano /usr/local/openssl-certgen/ssl/openssl.cnf

Vers le milieu du fichier se trouve les paramtres modifier : toutes les lignes qui sont
de la forme XXX_default (Comme ci-dessous) et sil en existe pas par de default nous
mme pouvons y entrer comme nous lavons fait avec le commonName :

Figure III.2 : Les informations remplir sur openssl

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 23


RAPPORT DE PROJET DE FIN DETUDE

II.GENERATIONS DES CERTIFICATS

Sur le site http://www.nantes-wireless.org/actu/article.php3?id_article=8, nous pouvons


trouver les scripts suivants : xpextensions, CA.root, CA.svr, CA.clt
Ceux-ci sont ncessaires la gnration des certificats. Possdant dj les scripts, il nous
reste seulement les copier dans le chemin appropri : /usr/local/openssl-certgen/ssl.

II.1.GENERATION DU CERTIFICAT ROOT

Le certificat root mme est autorit de certification et sera grer par le fichier
CA.root, permettant ainsi la signature des autres certificats (client, serveur,). Le
lancement du certificat root se fait par les commandes suivantes :

[/usr/local/openssl-certgen/ssl] # chmod 700 CA.root


[/usr/local/openssl-certgen/ssl] # ./CA.root

A chaque question appuye sur la touche entrer. Une fois cette srie termine
(questions), la cration des fichiers root.pem, root.der, root.p12 et dossier demoCA
se fera delle-mme (dans le chemin: /usr/local/openssl-certgen/ssl).

Figure III.3 : Gnration du certificat root

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 24


RAPPORT DE PROJET DE FIN DETUDE

II.2 : GENERATION DU CERTIFICAT SERVEUR

A la diffrence du certificat root, nous devrons ajouter dans un premier temps un


paramtre supplmentaire qui sera le nom du fichier que nous dsirons obtenir (nom du
serveur). Celui-ci devra tre inscrit la suite de lexcution du script CA.svr comme
suivant :

[/usr/local/openssl-certgen/ssl] # chmod 700 CA.svr


[/usr/local/openssl-certgen/ssl] # ./CA.svr server

Dans un second temps, il faudra rpondre aux questions comme prcdemment


(touche entrer), ceci tant dit la question Common Name (eg, YOUR name) [] :
nous devrons rpondre en utilisant le paramtre ajout (comme ci-dessus : server).

Figure III.4 : Gnration du certificat serveur


On se retrouve donc avec les fichiers server.pem, server.der, server.p12.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 25


RAPPORT DE PROJET DE FIN DETUDE

II.3 : GENERATION DU CERTIFICAT CLIENT

Nous devrons ritrer la mme manipulation (certificat serveur) afin dobtenir le


certificat client. Sauf qu la question Common Name (eg, YOUR name) [] : il
faudra simplement inscrire le nom de lutilisateur (ici se sera linda) comme ci-dessous :

[/usr/local/openssl-certgen/ssl] # chmod 700 CA.clt


[/usr/local/openssl-certgen/ssl] # ./CA.svr client

On aura donc les 3 fichiers suivants : client.pem, client.der, client.p12

Figure III.5 : Gnration du certificat client


Une fois la gnration des certificats est termine, nous sommes passs linstallation
de freeradius.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 26


RAPPORT DE PROJET DE FIN DETUDE

III.INSTALLATION ET CONFIGURATION DE FREERADIUS AVEC


EAP- TLS

III.1 : INSTALLATION DE FREERADIUS

Version utilis : freeradius-server-2.1.11 tlcharg sur le site www.freeradius.org.


Ensuite on dcompresse l'archive et on lance la compilation puis l'installation de freeradius.
Pour la configuration de compilation de FreeRadius, on utilise le paramtre --sysconfdir=/etc/
qui placera tous les fichiers de configuration dans /etc/raddb.

# tar zxvf freeradius-server-2.1.12 .tar.gz

# cd freeradius-server-2.1.12

# ./configure sysconfdir=/etc

# make

# make install

III.2 : INSTALLATION DES CERTIFICATS SUR LE SERVEUR

Maintenant que freeradius est bien install, il nous faut copier dans un premire
temps les certificats server.pem, root.pem dans le rpertoire /etc/raddb/certs puis dans un
second temps, nous allons gnrer deux fichiers alatoires : dh et random, qui vont nous
permettre de mieux scuriser notre serveur radius:

# cd /etc/raddb/certs
# rm rf *
# cp /usr/local/openssl-certgen/ssl/root.pem /etc/raddb/certs
# cp /usr/local/openssl-certgen/ssl/server.pem /etc/raddb/certs
# date > random
# date > dh

III.3 : CONFIGURATION DE FREERADIUS

Pour la configuration de Freeradius proprement dite, on va juste modifier les fichiers


suivants:

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 27


RAPPORT DE PROJET DE FIN DETUDE

- eap.conf pour la configuration dEAP et des certificats


- clients.conf pour la configuration des NAS (bornes Wifi) autorits contacter le
serveur radius
- users pour la configuration des utilisateurs autorits.
- radius.conf le fichier principal de configuration de free radius.

Important : Il est ncessaire ici de rappeler que la version de freeeradius que nous utilisons
est lune des dernires versions, ainsi en plus de tous ces fichiers nous modifierons en plus le
fichier :
Default qui se trouve dans le rpertoire /etc/raddb/sites-enables.

III.3.1 : LE FICHIER EAP.CONF

On spcifie que lon veut utiliser EAP-TLS et non MD5 la ligne 22 :

default_eap_type = tls

Aprs on configure EAP-TLS, il faut que lon enlve les commentaires (les # devant)
partir de la ligne 122 et on modifie les chemins des certificats :

tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/server.pem
certificate_file = ${raddbdir}/certs/server.pem
CA_file = ${raddbdir}/certs/root.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
#check_crl = yes
check_cert_cn = %{User-Name}
}
}

- private_key_password est le mot de passe du certificat serveur (par dfaut la valeur


est whatever on peut le modifier en ditant le fichier CA.svr)
- private_key_file et certificate_file est le chemin vers le certificat serveur.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 28


RAPPORT DE PROJET DE FIN DETUDE

- CA_file est le chemin pour le certificat racine.


- dh_file et random_file sont les chemins vers les fichiers alatoires qu'on a
gnrs prcdemment.
- check_cert_cn permet de vrifier que le nom d'utilisateur fournit par le client est le
mme que celui dans le certificat (utile car certain driver propose de choisir le nom
d'utilisateur et le certificat ex : Intel Proset ou Netgear Utility).
- check_crl est le seul paramtre qu'on laisse commenter, il permet de vrifier si le
certificat n'a pas t rvoqu.

III.3.2 : LE FICHIER CLIENT.CONF

Ce fichier permet de dfinir la liste des AP que lon autorise accder au serveur radius.
Le serveur et l'AP (ACCESS POINT) partagent un secret (une cl) pour crypter les donnes.
Par dfaut on autorise le localhost (127.0.0.1) avec comme secret : god (pour raliser des tests
en local). Enfin on rajoute notre borne Wifi avec comme adresse IP 192.168.1.1, une cl
partage entre l'AP et le serveur qui sera calvin et on lui donne le nom LINKSYS via
shortname (utile pour le debug), avec comme nastype other .

client 192.168.1.1{
secret = calvin
shortname = LINKSYS
nastype = other
}

III.3.3 : LE FICHIER USERS

Dans ce fichier, on dfinit la liste des utilisateurs qu'on autorise. On a prcdemment gr


le certificat pour l'utilisateur client, on ajoute donc la fin du fichier et on doit faire de mme
pour chaque utilisateur. On ajoutera galement un utilisateur pour effectuer les tests en local.

client Auth-Type := EAP, EAP-Type := EAP-TLS


III.3.4 : LE FICHIER RADIUS.CONF
tape cleartext-password == motio
C'est le fichier principal de configuration de FreeRadius, on na rien de spcial
configurer pour le moment.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 29


RAPPORT DE PROJET DE FIN DETUDE

III.4 : LANCEMENT ET PREMIER TEST DE FREERADIUS

Pour tre sur que a marche bien on lance le daemon avec le debug : radiusd XX et si nos
configurations ont t bien fait, le serveur dmarra et on obtiendra la fin ce message :

Figure III.6 : Dmarrage du serveur radius

La commande utiliser pour tester la configuration de freeradius est radtest. Nous allons
faire ce test en local (sur serveur) avec l'utilisateur linda prcdemment ajout et comme
authentificateur on a utilis l'entre localhost du fichier client.conf.

Figure III.7 : Acquittement du client par le serveur

La dernire ligne indique que le client bel et bien reu un acquittement sa demande de
connexion. Le serveur a accept. Pour arrter le radius, il suffit de taper la commande:

# killall radiusd

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 30


RAPPORT DE PROJET DE FIN DETUDE

IV.INSTALLATION DE MYSQL ET BASE DE DONNEES RADIUS

Pour permettre une meilleure gestion de Freeradius et de ses diffrents utilisateurs,


nous allons installer une base de donnes MySQL pour remplacer certains fichiers de
configurations.

IV.1 : AJOUT DU SUPPORT MYSQL A FREERADIUS

Il est ncessaire de vrifier que le serveur MySQL et le serveur Web (apache + php) pour
la gestion via phpmyadmin soient bien installs. Il faudra ensuite recompiler FreeRadius
donc on lance un make clean et on recommence comme la page d'installation (. /configure
... make && make install).
Ensuite on va demander au serveur radius d'aller chercher les informations d'autorisation
et d'authentification des clients dans la base de donnes et non dans les fichiers de
configuration. Pour cela on dite les fichiers radius.conf et sql.conf du repertoire /etc/raddb.

IV.2 : LE FICHIER SQL.CONF

Dans ce fichier on renseigne les champs correspondant une connexion la base de


donnes radius de MySQL. Les paramtres sont ceux que nous avons utiliss pour notre
configuration.
# Database type
# Current supported are: rlm_sql_mysql, rlm_sql_postgresql,
# rlm_sql_iodbc, rlm_sql_oracle,
# rlm_sql_unixodbc, rlm_sql_freetds
driver = "rlm_sql_mysql"
# Connect info
server = "localhost"
login = "radius"
password = "linda"
# Database table configuration
radius_db = "radius"
readclients= yes

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 31


RAPPORT DE PROJET DE FIN DETUDE

IV.3 : LE FICHIER RADIUS.CONF

Ici on commente clients.conf, et on dcommente sql.conf et sql.

# $ Include clients.conf
[]
$ Include sql.conf
[]
Instantiation
[]
# redundant redundant SQL{
sql

IV.4 : LE FICHIER DEFAULT

Comme nous lavons dit plus haut, le fichier default est une partie du fichier radius.conf
mais qui se trouve dans sites-enabled cause de la version de freeradius que nous avons
utilis. Ici il faut juste d comment sql de part et dautres comme suit :

Authorize
Sql
Accounting
See simultaneous use checking queries in sql.conf
Sql
See Authentification logging queries in sql.conf
sql

IV.5 : CREATION DE LA BASE DE DONNEES

Voici comment cette configuration va se faire: on cre la base de donns vide, et


ensuite on la remplit avec le fichier SQL fournit dans les sources de freeradius.

# mysql -u root -p
Enter password :
[]
>CREATE DATABASE radius;
>grant all on radius. * to radius@localhost identified by linda;
>exit

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 32


RAPPORT DE PROJET DE FIN DETUDE

creation des tables

# cat /etc/raddb/sql/mysql/schema.sql | mysql u radius p radius

# cat /etc/raddb/sql/mysql/nas.sql | mysql u radius p radius

Aprs avoir cr les tables suivantes on peut les vrifier comme suit :

Figure III.8 : tables cres

Voici une petite explication sur les diffrentes tables de cette base de donnes.

- Table nas qui permet de remplacer le fichier client.conf en stockant la liste des NAS
autoris.
- Table radacct qui stocke les informations que retourne le NAS quand on fait de
l'accounting.
- Table radcheck qui permet de vrifier une option d'un utilisateur (par exemple le mot
de passe quand on utilise PEAP ou TTLS)
- Table radgroupcheck mme chose que radcheck mais pour une option de groupe.
- Table radgroupreply qui permet de retourner une option de groupe
- Table radpostauth qui stocke chaque authentification russie.
- Table radreply qui permet de retourner une option pour l'utilisateur.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 33


RAPPORT DE PROJET DE FIN DETUDE

- Table radusergroup qui permet de faire la liaison entre le nom d'utilisateur et son
groupe.

Quand on utilise FreeRadius avec une base de donnes, la gestion des utilisateurs est un peu
diffrente, chaque utilisateur est rattach un groupe. Ce qui fait qu'il y a les options de groupe
et les options pour l'utilisateur.
Maintenant nous allons crer des authentifications de test dans la table nas et la table
radcheck.

Authentification de test

Il faut maintenant rajouter notre NAS dans la base de donnes. Ceci correspond la mme
configuration faite prcdemment dans le fichier client.conf.

>INSERT INTO nas (nasname,shortname,secret) VALUES (192.168.1.1,LINKSYS,calvin);


> INSERT INTO radcheck (Username,Attribute,op,Value) VALUES (linda,User-password,==,azerty);

On peut aussi entrer des valeurs pour un test en local pour visualiser nos tables on fait
comme suit :

- Tout dabord on se connecte la base de donnes: mysql u radius p radius


- Ensuite on entre le mot de passe que nous avons entr plus haut linda
- Enfin il faut slectionner les tables visualiser grace la commande select * fom
tables.
La capture suivante nous fait visualiser tous ces tapes :

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 34


RAPPORT DE PROJET DE FIN DETUDE

Figure III.9 : visualisation des tables

Test de freeradius avec mysql

Maintenant pour vrifier que notre base de donnes fonctionne bien avec notre serveur
radius, on fait toujours un radtest :

Figure III.10 : test de freeradius et mysql

On constate que l'authentification s'effectue avec succs et le serveur envoi un acquittement.


Pour tester EAP, on doit d'abord configurer les NAS (Point d'accs) et les postes client.

Test de mysql freeradius avec le point daccs

La configuration des NAS (accs point) n'est pas trs complique, il suffit juste de
renseigner le protocole d'authentification, l'algorithme de cryptage et l'adresse IP du serveur
radius. On peut galement choisir d'activer la diffusion ou non du SSID.
Le Matriel utilis ici pour notre test c'est le point d'accs lynksys WRT54GX2. Nous
configurons comme suit:

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 35


RAPPORT DE PROJET DE FIN DETUDE

Figure III.11 : Plage dadresses

Figure III.12: scurit du sans fil

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 36


RAPPORT DE PROJET DE FIN DETUDE

Figure III.13 : SSID du rseau

V. TEST DE FREERADIUS AVEC MYSQL ET EAP-TLS SUR UN


UTILISATEUR

La configuration de Windows XP ou Windows 7 ne doit pas trop poser de problmes vu


quil y a plein dassistant de configuration. On doit installer les certificats suivants : client.
P12 et root.der.
N.B : chaque utilisateur doit avoir son certificat client.

V.1: INSTALLATION DU CERTIFICAT DAUTORITE

Etape 1: Il faut double cliquer sur root.der et on obtient la figure suivante :

Figure III.14 : Dbut de linstallation du certificat root

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 37


RAPPORT DE PROJET DE FIN DETUDE

Etape 2 : Cliquer sur Installer le certificat puis sur suivant.

Figure III.15 : Confirmation de linstallation

Etape 3 : Cliquer sur Placer tous les certificats dans le magasin suivant ensuite sur
parcourir et enfin sur Autorits de certification racines de confiance.

Figure III.16 : Choix du magasin de certificats

Etape 4 : Cliquer ensuite sur suivant

Figure III.17 : Fin de limportation du certificat

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 38


RAPPORT DE PROJET DE FIN DETUDE

Etape 5 : Cliquer ensuite sur oui et enfin sur ok

Figure III.18: Confirmation de la validit du certificat root

Figure III.19: Fin de limportation du certificat


Limportation du certificat root est termine la page qui saffichera ensuite cliquons ok.

V.2 : INSTALLATION DU CERTIFICAT CLIENT ET TEST

Etape 1 : Double cliquer sur le certificat et ensuite sur suivant

Figure III.20 : Installation du certificat client

Etape 2 : Entrons le mot de passe whatever qui est le mot de passe par dfaut du client

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 39


RAPPORT DE PROJET DE FIN DETUDE

Figure III.21 : Mot de passe

Etape 3 : Aprs le mot de passe cliquer sur suivant et slectionner comme plus haut le
magasin de certificats utiliser puis cliquer une fois de plus sur ok et enfin terminer.

Figure III.22 : Choix de lemplacement du certificat

Figure III.23 : Fin de linstallation de client. P12


Etape 4 : Enfin cliquer sur ok pour terminer linstallation

Figure III.24 : Confirmation de la russite

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 40


RAPPORT DE PROJET DE FIN DETUDE

V.3 : CONFIGURATION DE LA CARTE RESEAU SANS FILS

Etape 1 : Pour commencer ouvrir le centre de rseau et partage

Figure III.25 : Centre de rseau et partage

Etape 2 : Cliquer sur Se connecter manuellement un rseau sans fil ensuite Suivant.

Figure III.26 : Connexion un rseau sans fil


Etape 3 : Ensuite entr les paramtres de votre rseau sans fil puis cliqu sur Suivant.

Figure III.27 : SSID et scurit du rseau

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 41


RAPPORT DE PROJET DE FIN DETUDE

Etape 4 : Cliquer sur Modifier les paramtres de connexion.

Figure III.28 : Modification des paramtres de connexion

Etape 5 : Aller Scurit et choisissez une mthode dauthentification rseau.

Figure III.29 : Type dauthentification

Etape 6 : Slection du certificat utiliser parmi ceux de lordinateur puis cliquer sur OK.

Figure III.30 : Slection du certificat

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 42


RAPPORT DE PROJET DE FIN DETUDE

Etape 7 : Pour le test, aller sur connexion rseau sans fil on aura cette figure :

Figure III.31 : Connexion au rseau sans fils LINKSYS

VI. INSTALLATION ET CONFIGURATION DE CHILLISPOT


(PORTAIL CAPTIF)

Le logiciel ChilliSpot se compose de 2 modules : hotspotlogin.cgi (formulaire web


dauthentification) et chillispot (daemon). Par dfaut, hotspotlogin.cgi utilise CHAP-
Challenge et CHAP-Password pour communiquer avec le serveur Radius. videment le
serveur radius et le portail captif peuvent ne pas tre installs sur la mme machine mais dans
notre cas on va les installer sur la mme machine.
N.B : Notre serveur disposera de deux(2) cartes rseaux ; lune qui nous servira de WAN et
par laquelle nous aurons une connexion internet et lautre de LAN o sera connect notre AP.

VI.1 : INSTALLATION

Le logiciel Chillispot ncessite que les logiciels suivants soient installs : iptables, apache2
ssl-cert, mysql-client, mysql-server.
Pour effectuer la redirection avec Chillispot, nous avons besoin du module tun.o. Ce
module permet de crer une interface virtuelle qui va recevoir toutes les requtes http et les
rediriger vers la page d'authentification.
Nous allons dans un premier temps tlcharger les paquets de Chillispot disponibles sur le
site http://chillispot.org/download.html le paquet Chillispot utilis est Chillispot-1.1.0.tar,
que nous mettons dans le rpertoire : /usr/local ensuite nous linstallerons exactement de la
mme manire que freeradius.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 43


RAPPORT DE PROJET DE FIN DETUDE

VI.2 : CONFIGURATION

Aprs linstallation, nous devons activer la redirection des paquets IP :

- Editons le fichier sysctl.conf : nano /etc/sysctl.conf


- Ensuite la ligne 7 mettons 1 et non 0 comme ceci: net. Ipv4.ip_forward = 1

Plaons-nous dans le rpertoire suivant : /usr/local/chillispot-1.1.0/doc car dans ce rpertoire


se trouve tous les fichiers de configuration de chillispot.

- Copier le fichier hotspotlogin.cgi vers le rpertoire /var/www/cgi-bin


- Copier le fichier chillispot-pf.conf vers le rpertoire /etc/pf.conf
- Copier les fichiers chilli.conf et chilli.ipup vers le rpertoire /etc
- Copier le fichier chilli.init vers le rpertoire /etc/rc.d/init.d/chilli
- Copier le fichier firewall.iptables vers le rpertoire /etc/rc.d/init.d/chilli.iptables

Editons le fichier pf.conf et spcifions les diffrentes interfaces

Int_if = eth1 (Interface lie lAP)


ext_if = eth0 (Interface lie Internet)
chilli_if = tun0

Maintenant, ditons le principal fichier chilli.conf et modifions les paramtres en gras :


dns1 192 .168.137.1 qui est le dns qui nous a t fourni pour la rsolution des noms
radiuslisten 127.0 .0.1 qui est liinterface relie au server radius
radiusserver1 127 .0.0.1 qui est ladresse IP de linterface du server radius
radiusserver2 127 .0.0.1 qui est ladresse IP de linterface du server radius
radiussecret chilliradius qui est le secret entre le serveur radius et chillispot
radiusnasid hotspot qui est lidentifiant de notre chillispot
dhcpif eth1interface relie au point daccs (AP)
uamserver https://192.168.182.1/cgi-bin/hotspotlogin.cgi cest la page du formulaire
dauthentification
uamsecret chillisecret qui est le secret entre le daemon chillispot et hotspotlogin.cgi

Aprs le fichier chilli.conf, ditons le fichier hotspotlogin.cgi et modifions comme suit :

$ userpassword = 1
Uamsecret = chillisecret

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 44


RAPPORT DE PROJET DE FIN DETUDE

Le uamsecret doit tre le mme que dans chilli.conf, enfin attribuons les droits au
fichier comme suit : chmod 755 /var/www/cgi-bin/hotspotlogin.cgi
Maintenant, ditons le fichier chilli (/etc/rc.d.init.d/chilli) et donnons le chemin du
daemon chilli :

[ -f /usr/local/sbin/chilli ] | | exit 0
daemon /usr/local/sbin/chilli

Enfin, ditons le fichier chilli.iptables et verifions que les interfaces INT IF et EXT IF
sont comme dans le fichier pf.conf. Ici sachve la configuration de chillispot.

VI.3 : CONFIGURATION DAPACHE 2 POUR CHILLISPOT

Entrer dabord les commandes suivantes :

Yum install mod_ssl


mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
openssl req -new -x509 -days 365 -nodes -out
/etc/httpd/ssl/httpd.pem -keyout/etc/httpd/ssl/httpd.key

Aprs avoir suivie tous ces tapes de configuration ditons le fichier http.conf et activons
le module SSL en tapant : nano /etc/httpd/conf/httpd.conf et remplaons 80 par 443 et
ajoutons ensuite les trois lignes qui suivent :

NameVirtualHost* :443

SSLEngine On
SSLCertificateFile /etc/httpd/ssl/httpd.pem
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key

Une fois les configurations termines dmarrons les diffrents services :


sh /etc/rc.d/init.d/chilli.iptables
/etc/rc.d/init.d/httpd restart
/etc/rc.d/init.d/radiusd restart
/etc/rc.d/init.d/chilli restart

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 45


RAPPORT DE PROJET DE FIN DETUDE

Test du portail captif

Pour tester la configuration de portail captif, ouvrons un navigateur et lanons par exemple
www.google.fr on a dabord une petite fentre qui nous demande dinstaller le certificat ssl

Figure III.32 installation du certificat ssl

Une fois le certificat install, nous avons la page dauthentification suivante qui saffiche
en demandant le login et le mot de passe.

Figure III.33 : page dauthentification de chillispot

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 46


RAPPORT DE PROJET DE FIN DETUDE

Lorsque le login et le mot de passe sont corrects, nous pouvons maintenant avoir accs
internet.

Figure III.34 : validation du login et mot de passe

CONCLUSION

On remarque que le rseau est maintenant scuris et que les usagers qui ne sont pas
enregistrs dans le serveur comme tant des usagers autoriss, ne pourront pas accder au
rseau. Dans le cas ou la personne est en possession du SSID du rseau, elle ne pourra quand
mme pas y accder sans les certificats qui sont installs aussi bien, dans les postes clients que
dans le serveur. Lchange des informations dauthentification, se fait de manire crypt par
un protocole amlior (802.1x), qui pour le moment na pas t encore cass.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 47


RAPPORT DE PROJET DE FIN DETUDE

PERSPECTIVE ET APPLICATION DU PROJET

Ce projet devrait tre plus intressant sil a t ralis 100 %. Nous avons eu des
difficults dans le manque de matriels tels que le Switch manageable ou un Access point
pouvant grer les VLAN. Il serait intressant si notre dpartement squiper ou moins de lun
de ces matriels.
La scurisation du rseau en utilisant le protocole 802.1x avec un serveur dauthentification
est lun des moyens le plus sr de nos jour de scuriser son rseau quil soit filaire ou sans fils.
Cette mthode de scurisation est beaucoup plus bnfique pour les fournisseurs daccs
internet (dans le car des hotspot par exemple) et les grandes entreprises.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 48


RAPPORT DE PROJET DE FIN DETUDE

CONCLUSION GENERALE

Les rseaux sans fils sont des rseaux assez vulnrables de par leur nature. Mais
nanmoins il existe des technologies qui essayent tant bien que mal assurer un niveau de
scurit acceptable dans ce type de rseau. Au fil du temps des mthodes ont t cres mais
le protocole 802.1X est celui qui fournit la meilleure scurit de nos jours. Deux applications
courantes sont EAP-TLS et EAP-TTLS, tous les deux utilisent un serveur radius et un
protocole de cryptage AES ou TKIP. EAP-TLS est le protocole le plus sr mais il requiert des
certificats pour chaque client tandis que EAP-TTLS requiert juste un mot de passe et un login.
Il est claire que la scurit dans ses systmes nest pas absolue et quil reste des choses faire
car des failles ont t trouvs dans 802.1X : lattaque de lhomme du milieu et de lattaque du
dictionnaire. Do il faut appliquer dautres mesures de scurits complmentaires. Le portail
captif est galement une bonne solution pour offrir des connexions instantane aux
utilisateurs.

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 49


RAPPORT DE PROJET DE FIN DETUDE

REFERENCES BIBLIOGRAPHIES

SITES INTERNET :

[1] http://irp.nain-t.net/doku.php/310lansecure:30_radius:10_freeradius1 consult le 12 janvier


2012. Ce site nous a permis de comprendre les modules de radius
[2] http://doc.ubuntu-fr.org/coovachilli#installation_de_la_base_de_donnee_mysql consult
le 15 Mars 2012. Ce site nous a permis de configurer la basse de donne MYSQL
[3] http://www.securite-informatique.gouv.fr/gp_article250.html consult le 25 fvrier 2012.
Ce site nous a permis davoir les informations sur le wifi et les types de scurit
[4] http://www.pouf.org/documentation/securite/html/node1.html
[5] www.openssl.org consult le 02 fvrier 2012. Ce site nous a permis de tlcharger openssl
[6] www.freeradius.org consult le 5 janvier 2012. Ce site nous a permis de tlcharger
freeradius-server
[7] http://chillispot.org/download.html consult le 15 avril 2012. Ce site nous a permis de
tlcharger chillispot et sa configuration
[8] www.pervasive-network.org/.../Installation-de-freeradius-2- consult le 08 janvier
[9] http://wiki.freeradius.org/SQL-HOWTO

DOCUMENTS

[10] Administration rseau sous linux ,3eme dition, tony bautts, terry dawson &gregor n.
purdy ;
novembre 2006.
[11] Jon Edney and William A. Arbaugh, Real 802.11 Security, Wi-Fi Protected Access and
802.11i; Septembre 2004
[12] Rseaux dentreprise par la pratique, par Jean-Luc MONTAGNIER
[13] Rapport de stage de GUEUWA < La scurisation dun rseau traverse le protocole
RADIUS > dpartement GTR anne acadmique 2009-2010

Rdig et prsent par : MOTIO NZEUGANG Linda et TAPE Jean Calvin 50