sécurité wifi

Sécurité réseaux WiFi Avec Serveur RADIUS

Définition
Le Wi-Fi est un ensemble de fréquences radio qui élimine les câbles. Permet l'échange de données entre plusieurs postes c·est une liaison filaire.

Différentes structures de réseaux Mode ad-hoc Dialogue direct entre deux interfaces (point à point) Mode infrastructure Dialogue entre une interface et une borne (multi-point) .

AVANTAGES D·UN RÉSEAU SANS FIL Installations Complémentarité temporaires .

Menaces courantes sur la sécurité des réseaux sans fil Écoutes clandestines Usurpation d'identité Interception et modification des données transmises Utilisation gratuite Refus de service Réseaux WLAN non autorisés .

11i 802.11g 802.11b Amélioration du débit 54 Mbits/s Amélioration du débit 11 Mbits/s Pontage Internationalisation Amélioration qualité de service Itinérance (roaming) Amélioration du débit 54 Mbits/s. un Portée inférieur à 802.11b Rapprochement standard européen Amélioration sécurité Amélioration du débit Les différentes normes Wifi 802.11f 802.11n .11h 802.802.11d 802.11c 802.11a 802.11e 802.

Plusieurs attaques possibles. Fausse authentification. Ses Faiblesses Faiblesse de l·algorithme RC4. Utilise l·algorithme de chiffrement symétrique RC4 permettant le cryptage et le décryptage. Clé de session partagée par tous les membres du réseau. . Repose sur l·utilisation d·une clé secrète de 40 ou 128bits.La solutions standard WEP Protocole de chiffrement.

1x Protocole d·authentification avec EAP.Les Solutions temporaires 802. Authentification en trois parties qui intervient en réponse à l·Access Control Layer :  Supplicant  Authenticator  Authentication server . Confidentialité entre client et AP. Autorisations avec RADIUS. Chiffrement du trafic . Pas de contrainte sur les cartes réseau sans fil.

Les Solutions temporaires EAP Transporte les informations d'identification des utilisateurs N·est pas un protocole d·authentification C'est la normalisation de l'échange de mot de passe entre le client et l'équipement d'accès au réseau .

.EAP EAP permet la négociation d·un protocole d·authentification entre le client et un serveur radius EAP-TLS Authentification mutuelle par certificat EAP-TTLS Utilise un tunnel TLS EAP-PEAP Authentification du serveur par certificat et du client par login/mot de passe.

LES SOLUTIONS WPA TEMPORAIRES Développé par le groupe de travail IEEE802.11i face aux faiblesses de WEP.11i. Est un sous ensemble de la future de la norme 802. Le chiffrement est toujours basé sur le WEP mais avec un algorithme de cryptage robuste TKIP . Réseau sans fil sécurisé : basé sur 802. Corriger les faiblesses de WEP par une mise à jour logicielle. . Solution sécurisée pour les réseaux domestiques.1x et clé secret partagé.

Utilise RC4 comme algorithme de cryptage avec une clé de 128 bits. . La clé de cryptage change à chaque paquet. Les clés sont distribuées selon un mécanisme plus souple et plus sur que celui du WEP. Est un mécanisme d·échange de clés dynamiques.TKIP Permet le cryptage et le contrôle d·intégrité des données.

La solution la plus sécurisée 802. Chiffrement via un ensemble de protocoles nommé CCMP basé sur AES Les points d·accès et les cartes réseaux devront etre changer pour suporter Le chiffrement AES.11i/WPA2 Répond notamment au problème de protection de trafic de contrôle SSID sécurisé: Utilise AES pour le chiffrement des trames Authentification mutuelle station et point d'accès. .

Radius est un protocole d'authentification standard. Basé sur le principe client/serveur: le client radius interroge un serveur RADIUS qui.LA SOLUTION LA PLUS SÉCURISÉE RADIUS Radius = Remote Authentification in Dial-In User Service . L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré et authentifié grâce à un secret partagé. relié à une base d'identification. .

LE PROTOCOLE RADIUS Radius est un serveur de type AAA Authentification Qui e parle ? Authorization Quelles autorisations je lui accorde ? Accounting Que fait-il ? .

Peut également suivre une phase d¶accounting (comptabilité) où est Enregistré une trace de l¶activité de l¶utilisateur (login/logout) . Suite à cette phase dit d'authentification.RADIUS: FONCTIONNALITÉS ATTENDUES Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci: Un utilisateur envoie une requête au NAS afin d'autoriser une connexion Le NAS achemine la demande au serveur RADIUS Le serveur RADIUS consulte sa ou ses base(s) de données afin de négocier le méthode d¶authentification et comparer les sésames de l¶utilisateur. débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur.

Protocoles d·authentification: Radius L¶identifiant et soit un login/password soit un certificat Exécution d¶un supplicant qui demande l¶authentification Le switch relaie la demande du poste Le serveur radius Interroge sa base de données pour trouver l¶identifiant .

0.1 CFLAGS="-I/usr/include/et" .Radius : Mise en Installation uvre tar xvzf freeradius-1.conf: Fichier définissant les EAP utilisés par le système d'authentification./configure -sysconfdir=/etc make make install Conguration radiusd.conf: fichier principal de configuration du serveur clients. eap. users: fichier de configuration si pas de contrôle par SGBD.0.1. cd freeradius-1.tar.gz. .conf: fichier de configuration des clients sql.conf: fichier de config pour accès au serveur MyS L.

conf Dans ce fichier doivent être référencés tous les clients Radius autorisés à interroger le serveur. client adresse-ip { secret = mot-de-passe shortname = nom nastype = type-materiel } sql { driver = "rlm_sql_mysql" server = "localhost" login = "radius" password = "epikoi" radius_db = "radius" readclients = yes } Doit être présent aussi dans le NAS sql.clients.conf e chier n'est utilisé que si nous désirons utiliser un serveur MySQ pour la gestion des utilisateurs. .

Tunnel-private-Group-ID = 15 DEFAULT Auth-Type := reject . Tunnel-type = VLAN. User-Password =="wissal" Service-Type = Login.users   Le fichier user est la base de données locale. Fall-Trough = 0 Service-Type = Framed-User DEFAULT Auth-Type := reject . Fall-Trough = 0 Service-Type = Framed-User Entrée par défaut Reject de la requête username . Chacune correspondant à un utilisateur ou machine. Reply items Tunnel-Medium-Type = 6. Type d'authentification Wissal Auth-Type := local. Il est constitué d'une succession "d'entrée".

radiusd. authorize.conf Il est divisé en sections (Security. prefix = /usr/local sysconfdir = ${prefix}/etc logdir = ${localstatedir}/log/radius raddbdir = ${sysconfdir}/raddb radacctdir = ${logdir}/radacct port = 1812 proxy_requests = no authorize { files eap } authenticate { eap } . proxy.authenticate et accounting).

pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random CA_file = ${raddbdir}/certs/root.conf Les certificats du serveur et de l'autorité sont stockés dans /etc/raddb/certs Configurer les modules tls (certificats) eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = yes cisco_accounting_username_bug = no tls { private_key_password = 123456 private_key file = ${raddbdir}/certs/attt-srv.eap.pem certificate_file = ${raddbdir}/certs/attt-srv.pem fragment_size = 1024 include_length = yes check_crl = yes } } .

Tester Radius Freeradius est fourni avec quelques utilitaires de test.255.255.255 NAS-Port = 0 Rad_recv : Access-Accept packet from host 127. id=196.0.1 : 1812.0.0.0. on démarre le démon radiusd avec l'option -X . radtest wissal 1234 localhost 0 testing123 Sending Access-request of id 196 to 127.1 :1812 User-Name = « wissal » User-Password = « 1234 » NAS-IP-Address = 255. length=20 Au début.

par sa signature. Délivré par une autorité appelée tiers de confiance. . Ce tiers de confiance est appelé autorité de certification. composée de la clé publique du porteur et d·informations relatives à ce dernier. qui. en garantit l·authenticité.Création des Certificats Besoins Chiffrement asymétrique = basé sur la distribution de clés publiques. Rien ne garantit que la clé est bien celle de l'utilisateur a qui elle est associée« Certificats Certificats Carte d·identité électronique.

Certificats Autosignés Clients/Serveurs.Création des Certificats OpenSSL Création de certification Autorité de Confiance. gestion de liste de révocations CRL ROOT CA Clé publique/Clé privée Certificats signés par ROOT CA Client Certificat Clé publique/Clé privée Serveur Certificat Clé publique / Clé privée .

Sign up to vote on this title
UsefulNot useful