Chargement en cours…

0 % 100 %

Sécuriser un réseau Wi-Fi Présenté par Houssem kâabi Ahlem hammami TS5 sécurité des réseaux

2009-2010

1

Introduction

2

Problématique & objectifs

3

Application & Réalisation

prob

app

Partie: .

I) Définition II) Catégories et normes Wi-Fi III) Avantages et inconvénients .

11 qui caractérise les réseaux locaux sans fil (WLAN) réalité.  En 7/44 . c’est une liaison utilisant des ondes radioélectriques pour la communication informatique entre deux terminaux.I) Définition  Wi-Fi ou «Wireless-Fidelity» est le nom commercial attribué à la norme 802.

4Ghz.  En 8/44 . Apparu au milieu des années 90 aux USA.11. est une technologie sans fil permettant de se connecter en réseau dans la bande de fréquences ISM à 2. pratique le Wi-Fi permet de connecter des ordinateurs entre eux et à l’internet et au réseau local. qui correspond à l’ensemble des normes IEEE 802.  le Wi-Fi (Wireless-Fidelity).

mais PLUSIEURS qui décrivent chacune un aspect particulier du Wi-Fi: Débits. Roaming) Sécurité 9/43 .II) Les normes Wi-Fi  Il n’existe pas UNE norme 802. Fréquences utilisées Usages ( QOS.11.

a.11 b : débit 11Mbit/s à une fréquence de 2. 802.4Ghz.11 g : débit 54Mbit/s à une fréquence de 2. 802.     les normes de débit: 802.11 n : technique MIMO plusieurs antennes. 802.11 a : débit 54Mbit/s à une fréquence de 5Ghz. 10/44 .4Ghz.

11e : Amélioration de la qualité de service (QOS)  802.11d : Internationalisation  802.11f : Itinérance (Roaming)  802.  Normes diverses : 802.11j : Normalisation Japonaise 11/44 .11c.11r : Utilisation de l’infra-rouge  802. 802.11h : Normalisation Européenne (Hyperlan) notamment en matière d’économie d’énergie  802.b.

c.  Normes de Sécurité : 802.  Normes Associées : 802.1X : Authentification de type Single One sur le réseau 12/44 .11i : Chiffrement des transmissions (WPA2) d.

chaque station se connecte à un point d'accès via une liaison sans fil. 13/44 .les Catégories Wi-Fi En mode infrastructure.

14/44 . les stations se connectent les unes aux autres afin de constituer un réseau point à point.En mode ad-hoc.

- - - III) Les avantages et les inconvénients: Avantages: Favorise la mobilité Simplicité d’utilisation et une structure souple. Coût faible si on le compare au réseau filaire Évolutive selon les besoins des utilisateurs. fin 15/44 . Inconvénients: Le signal peut être perturbé par des interférences dû au matériel ou l’environnement Risque lié à l’insécurité de ce réseau.

.

Partie: .

les domiciles et dans notre cas les sociétés et les entreprises …= il faut être prudent comme tout réseau le Wi-Fi alors doit aussi être sécuriser. les restaurent .Pourquoi tous semblent trop attirés à ce type de réseau ?? Wi-Fi = réseau sans fil = réseau mobile = réseau non filaire = réseau haut débit = onde radio= non couteux = pas d’infrastructure … D’où on peut facilement remarquer la migration vers l’utilisation du Wi-Fi ( dans les clubs. 18/44 .

19/44 .Notre projet porte sur la partie de sécurité pour le réseau Wi-Fi qui va être installer à l’Office National des Postes . Observons ces jours le haut niveau des piratages et d’attaques ce ci nécessite un haut niveau de sécurité en implémentant les mécanismes de sécurité nécessaires.

Défis: Notre objectif est d’implémenter les mécanismes nécessaires pour sécuriser notre réseau Wi-Fi : Propositions: Du côté authentification : implémenter un serveur d’authentification Freeradius Et de l’autre côté : prendre d’autres mesures de sécurité comme paramétrer le point d’accès. 20/44 .

Chiffrement: WEP B Authentification: serveur A Notre Solution D C Paramétrage du Point d’accès Confidentialité :WPA E Protection du réseau: d’autre contre mesures fin 21/44 .

Partie: .

Test et scénario III) Autres mesures de sécurité 3.I) Attaques sur le Wifi 1.Configuration 3.1 les attaques passives 1.2 paramétrage du point d’accès 3. Installation 2.3 autres règles de sécurité .2 les attaques actives II) La solution Radius 1.

Attaques actives. 24/44 .Attaques passives. On peut classer ces attaques en: . .Les ordinateurs utilisant le réseau wifi sont souvent cibles d’attaques visant soit à gagner un accès illégitime aux données des utilisateurs soit à contrôler le réseau.

L’attaquant espionne (sniffe) les données échangées sans les modifier. 25/44 . Son but Obtenir les informations pour mener une action dangereuse (une attaque active par exemple).

 Attaques utilisant la modification. 26/44 .  Déni de service (DoS).  Attaques de fabrication. Attaques internes:  Attaques externes:  Attaques utilisant l’imitation.

. 27/44 . .Le serveur Radius autorise ou non l’accès au réseau.RADIUS: (Remote Access Dial In User Service) = sécuriser un accès via un périphérique par lequel un utilisateur souhaite accéder au réseau. .Le serveur Radius donne à la machine cliente les informations de configuration TCP/IP nécessaires.L’utilisateur communique son nom et son mot de passe.

11 association Point d’accès authenticator Access blocked RADIUS authentication server EAPOL-start EAP-request/identity EAP-response/identity EAP-request EAP-response RADIUS-access-request (EAP) RADIUS-access-challenge (EAP) RADIUS-access-request (EAP) RADIUS-access-accept (EAP) EAP-success EAPOW Access allowed 28/44 .Client supplicant 802.

Installation des certificats des clients dans les postes à autoriser./configure Openssl: création des certificats (client.Installation : Décompression du paquetage: freeradius. FreeRadius : une implémentation libre du protocole RADIUS (Remote Authentication Dial In User Service). MySQL: on peut configurer une base pour les utilisateur cet outil est optionnel comme on peut utiliser la base locale de freeradius (fichiers users).1. et serveur).0.7. OpenSSL : une implémentation libre du protocole SSL(Secure Socket Layer) Windows XP: (poste client)intègre 802.gz Compilation du paquetage: avec la commande tar et . Mysql : implémentation libre supporté par le serveur freeradius 29/44 .tar.1x nativement.1.

2.Configuration: ce sont les fichiers qui se trouvent sous le freeradius: 30/44 .

radiusd. User-Password == " azerty" Reply-Message = « welcome to our network" 31/44 .conf client 172.conf modules { eap { md5 { } } } authorize { eap } authenticate { eap } test clients.112.37 { secret = testing123 shortname = } users Auth-Type := EAP.16.

0.0.3. length=46 Service-Type = Login-User 32/44 .0.1:1812.1 1812 testing123 On doit avoir la réponse suivante : Sending Access-Request of id 130 to 127.Test Après avoir fait des modifications concernant les fichiers de configuration on doit tester le fonctionnement du serveur utilisant la commande radtest utilisant le client de test ‘usertest’.0. #radtest usertest test 127. id=130.1:1812 User-Name = "usertest" User-Password = "test" NAS-IP-Address = y013lx10 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.

Scénario: Acces denied Si oui BD MySQL 33/44 Si non Est-ce qu’il appartient À la base ???? .

16. id=130.16.112.0.1:1812 User-Name = « user3" User-Password = "test" NAS-IP-Address = 172.20:1812.34 NAS-Port = 1812 rad_recv: Access-Accept packet from host 172.37:1812.0.0.0.1:1812 User-Name = « user1" User-Password = "test" NAS-IP-Address = 172.34 NAS-Port = 1812 rad_recv: Access-Reject packet from host 172.112. id=130 length=46 Service-Type = eap-tls Reply-Message = " welcome to our network" 34/44 . Utilisateur autorisé:  Utilisateur rejeté: le serveur est en écoute Ready to process requests … Sending Access-Request of id 130 to 127.16.16.112.112. length=46 Service-Type = eap-tls Reply-Message = " welcome to our network" Sending Access-Request of id 130 to 127.

1x avec laquelle coopère Radius avec: .11g et intègre des solutions de sécurité comme une authentification 802. .Filtrage des adresses MAC.Chiffrement WPA. 35/44 .Chiffrement WEP 64/128 bits. . . notamment WAP2.Masquage des SSID. Paramétrage du point d’accès: On va utiliser un routeur de type WAP-4000 qui utilisant la norme IEEE 802.

36/44 .On doit activer le filtrage par adresses MAC : en précisant une liste d’adresses autorisées ou une liste d’adresses rejetées.

37/44 .Les paramètres de notre point d’accès nous offre la possibilité De masquer le SSID.

On peut activer un chiffrement pour les connexions en précisant un Cryptage par une clé WEP. 38/44 .

39/44 .On peut encore configurer l’implémentation d’un serveur d’authentification de type radius : qui va servir d’authentifier les utilisateurs .

 40/44 .  Régler la puissance d’émission du point d’accès. Vérifier qu’il n’existe pas d’autres réseaux au même endroit (scan).Ces conditions de sécurité sont minimales :   Changer le mot de passe administrateur Changer le nom du réseau (SSID) installé par défaut.

 Utiliser 802.11 d’origine (WEP)  Risque associé à la faiblesse de WEP. complexe.11i (WPA/WPA2)  41/44 . État de l’art actuel pour la confidentialité et l’intégrité des données.   Utiliser un VPN Utiliser IPsec  Pas d’authentification utilisateur. EAP-TLS ou PEAP  État de l’art actuel pour l’authentification.1x. Sécurité 802.  Utiliser 802.

Les apports de ce projets : Connaissances théoriques sur la technologie 802. Connaissances pratiques concernant le distribution ubuntu. Connaissances pratiques concernant le paramétrage des points d’accès. Connaissances pratiques concernant l’implémentation de freeradius. 42/44 .11.

Notre projet se repose sur l’usage des outils libres Supporté par linux. Toute société peut bénéficier d’une telle solution pour sécuriser leur réseau sans fil. 43/44 . La combinaison des plusieurs outils permet d’offrir un niveau de sécurité acceptable et qui peut être renforcer par une bonne administration et gestion.

44/44 .

 .

/:8../:8/4330.0:7#.: 0807..:7F80.:35F75F76:05.:7F80.G8.943 %!.F/07.039008 31472.706:0:3 :98....:  :98.9438/0.431:7.#&$ #02490.90.:947804: 343 .30..880 0807. 2.0:7#.0  8F.088.3&807$07...:7807:3.90:784:..422:36:0843 34209843249/05.90:7.G8..

!3F.088.708 .

 .

.884..088-4.039 8:55...:9039.G8 .39   ..943 !439/ ..:9039.79  ! ! 706:089..947 .943 807.07 !  89.0/ #&$ .

/0399 ! ! 70854380.

.088 706:089 ! #&$ .....088 #&$ ...40/ .088 .../0399 ! ! 706:089 ! ! 70854380 ! ! 8:.....088 #&$ ....088 .088 706:089 ! #&$ .088 #&$ .030 ! #&$ .059 ! !  .088...088 #&$ ..088 #&$ ...

 .

3/09.709 .6:09..943 F.0.943/:5..0.7  425. 389.422.425708843/:5.../:8   9.6:09.017007.

.094:9089 4594330.943-70/:57494.078 :8078  389.039 09807.07 3/48! 54890 ..3808548908.9.70807.42204350:9:9807..0:717007.09 ...98 .943/08.804.0791.90:7.0:7 $"4350:9.02039 8625F2039.02039   3.70807.-.943-708:55479F5.943./:8 .:947807 700#.40#&$ #02490 :9039./:8:3025F2039.943-70/:57494./:8 8625F2039.431:707:30-.039 39G70   3..0/017007.40#&$ 700#.0 503$$ :3025F2039.943-70/:57494.8054:708:98.0:717007.9./:8:3025F2039.431:70 50388.943/08./:8 1.3&807$07.943-708:55479F5.40$$ $0.98/08.0791..:70$4.7F.0398/.

 .

03984:8017007.0786:80974:.943 . 431:7./:8  .08439081.

 .

5 < .7.8847/.079 #05 088..:9039.20 < :8078 9089 :9 %50! &807 !.039    80.431 24/:08 0.:9470 0.420944:730947 .5 2/< < < .70990893 84793.431 .0 0.5 < ./:8/ .0398 .90 0.

 .

.8847/9089 $ ! //7088   $ !479 7.94343/499089070143.00.39081..7F543808:.943302039/: 807.091742 489  / .088 #06:08941/ 94  &807 .20:8079089 &807 !.0:7:98./*70.073./9089 /09089 :8079089  7./9089 :98...39..43.420 944:7 30947 .088 039 $07. %089 57G8.088 #06:089 .3/07....059 5.431:7./9089:80790899089 90893 3/49.0 %5043 &807 #05 088.47..088 .390.390 $03/3.078 /0....471.9/0824/1.039 7..9438.422..

 .

F3.74 ..$.08/030/ $4:  $" .

06: .80 .79039 . $343 89 .-.55.

.9 5.90:7.....091742 489 ./*70.420 944:7 30947 .088 #06:08941/ 94   &807 .0:708903F.5 98 #05 088.P &98./*70...088 #06:089 .8847/9089 $ ! //7088     $ !479 7.091742 489 .5 98 #05 088..4:90 #0...088 .20 :807 &807 !.00.088 706:0898 $03/3.088     / 039 $07.20 :807 &807 !.059 5...0 %500.420 944:7 30947 $03/3.00..../ 94574...088 #00.088 #06:08941/ 94   &807 .088      / 039 $07.0 %500.8847/9089 $ ! //7088     $ !479 7.:9478F P &98.088 #06:089 .90:77009F 0807.

 .

/:8.P !....:9807:374:90:7/0950!  6: :98.0.39..:79F.4220:30.G8 3.7..6:00.34720  0939G70/08 84:9438/08F..943   .0/:5439/ .:90391. 11702039!.445G70#.0..2F97.

/708808 .0/08.22039! 97.-98 11702039! 349.86:.0/08$$ .

 .

8.070197./7088087009F08 ..39:30890 / ./7088080357F.:9478F084::30890/ .3/49.7.9./708808.05.

 .

G834:841170..2G9708/0349705439/ .86:070$$ .7.085..5488-9F 02.

 .

F! .8.1170203954:708..39:3 759.07:3.350:9.7:30.9.43304380357F.05.

 .

:9039107 08:98../:86:.807.0:7 / .470.431:707 25F2039.943/ :3807.7/ .90:78 ..:90391.943/09507.350:903.

 .

:97087F80.880.G8 'F71076: 3 08905.5:88.0/ F28843/:5439 / .8/ .3070342/:7F80.: $$ 389..F5./23897..90:7 .3.:..:9 #F07.7 /F1.43/9438/08F.3  .08.: 2H2003/749 8.3070249/05.:79F8439232.08 .

 .

943:98.9:054:7 .42500 A9.943 A9..90:7 .:90391.8/ .79.:79F  / 4730 ! S #86:0...9:054:7..9/0 . S !.79.F.884.1.431/039..9F09  39F79F/08/433F08 &9807   ! %$4:!! S &9807   !.9/0 .-0880/0! &9807:3'! &9807!80.$F.:90391.

! S .

 .

.0857.3.0857.073.90.089F476:088:7.43.554798/0.2F97.3.43.3.3905.943 /017007.43.390/897-:943 :-:39: 433.7.073./:8 433.073.88.0 /0854398/ .G8  ..08.0857.3440   433.88.96:08.88.39 25F2039.96:08.0574098 433.96:08.88.3.

 .

.07/ :30 90084:94354:78F.:8.075.497057409807054808:7 :8.F9F50:9-F3F1.843/085:80:784:98507209/ 41177:33.7:30-4330 ./23897...-0096:50:9H970703147.:78070:77F80.42-3.73: .0.:/0 8F.:79F.059.9430908943 %4:9084.0/084:98-708 $:55479F5.381 .

 .

.

 .

Sign up to vote on this title
UsefulNot useful