KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Projets de :
WIFI et Radius
Services
dauthentification

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Introduction :
Le projet WIFI consiste quiper lentreprise dun rseau sans-fil afin de permettre aux commerciaux
de se connecter sur le rseau de lentreprise de manire scurise, sans tre oblig de brancher le cble
rseau .Le renouvellement des ordinateurs portables des commerciaux avec la technologie centrino en
802.11g permettra dvoluer vers ce type de technologie.

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Prsentation du Wifi :
Le WIFI (Wireless Fidelity) est une certification dcerne par la Wifi Alliance aux produits conformes aux
standards 802.11 de l' IEEE.
La technologie Wi-Fi permet de faire un rseau informatique haut - dbit (11Mbps pour le 802.11b) sans
fils. Cela prsente plusieurs intrts :
Mobilit dans le rayon du rseau tout en restant connect au rseau local ou l'Internet, change de
gros fichiers entre deux ordinateurs.
Mise en place d'un rseau local (LAN) moins coteuse et plus facile que pour un rseau filaire.
Mise en place facile d'un rseau temporaire, le temps d'une dmonstration, ou d'une runion.
Accs un rseau haut -dbit pour des populations rurales non rentables pour les oprateurs
commerciaux.
Il s'agit l de quelques exemples. La technologie tant trs rcente, les utilisations possibles restent en
grande partie inventer !
Matriellement, pour faire un rseau Wi-Fi, on utilise des Points d'Accs (AP, pour Access Point)
connects aux ordinateurs (stations) ou un rseau filaire, des antennes, et des cbles ventuellement
pour les relier ensemble.

Les Modes de connections :

Il existe deux modes de communication possibles entre les diffrents lments dun rseau Wi-Fi :

Le mode infrastructure :
Le mode infrastructure, bas sur lutilisation dun point daccs W-Fi central, situ au niveau dun point
de concentration radio. Dans ce cas, les informations envoyes entre les diffrentes stations transitent
par le point daccs.

Le mode ad-hoc :
Le mode ad-hoc, permettant plusieurs stations quipes de cartes Wi-Fi de communiquer directement
entre elles. Des possibilits de routage dynamique existent.

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Les diffrents Priphriques Wi-Fi :

Le Wi-Fi utilisant la radio comme support de communication, il faut des priphriques particuliers pour
transformer les donnes informatiques en signaux radio et vice-versa.
Ces appareils transforment un signal numrique (des 1 et des 0), provenant d'un ordinateur ou d'un
rseau filaire, en signal analogique ( valeurs relles) envoy vers une antenne, l'mission, et
inversement la rception.Il s'agit donc d'un modem (MODulateur/DEModulateur), qui a la mme
fonction qu'un bon vieux modem tlphonique. Un priphrique Wi-Fi peut se prsenter sous
diffrentes formes :
Une carte PCMCIA pour un ordinateur portable.
Une carte PCI pour un ordinateur de bureau (il existe aussi des adaptateurs PCI accueillant une carte
PCMCIA).
Un appareil externe, indpendant, souvent appel AP.
Un appareil intgr (dans une camra par exemple).

Certains ont une antenne intgre (c'est le cas de la plupart des cartes PCMCIA), et d'autres permettent
la connexion d'une antenne extrieure.

Matriel Wi-Fi fourni :

Un point daccs Cisco Aironet 350 (sans antenne)

Carte rseau PCMCIA Cisco Aironet 350

Un point daccs Netgear
4

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Un routeur DSL Netopia

Matriel choisi et command :

Antenne directionnelle AIR-ANT2012 Cisco 6.5 DBI.
Point daccs Cisco Aironet 1200 Series.
Antenne directionnelle AIR-ANT3549 8.5 DBI

Les antennes directionnelles :

Les antennes directionnelles sont de types et de formes trs diffrentes. Une antenne ne renforce pas la
puissance dun signal mais se contente de rediriger lnergie quelle reoit de lmetteur. Ce faisant, elle
fournit davantage dnergie dans une direction donne et moins dans toutes les autres. En gnral, plus
le gain dune antenne directionnelle augmente, plus langle de rayonnement diminue ce qui offre une
plus grande distance de couverture mais sur un faisceau plus troit.

Le Wi-Fi et la scurit :
Les risques lis au rseau sans fil
On peut classer les risques lis au rseau sans fil en 4 catgories :
Accs aux donnes
Intrusion rseau
Brouillage
Dni de service (ou dalimentation)
1) Accs aux donnes :
Puisque par dfaut un rseau sans fil est ouvert, il est relativement facile dcouter les communications
et ainsi de rcuprer les donnes changes.
Il suffit pour cela de se trouver dans le primtre correspondant la porte du rseau, cest--dire bien
souvent dans la rue.
2) Intrusion rseau :
Encore plus grave, sil existe un point daccs au rseau local, il est alors possible de se connecter au
rseau et de pirater ou mme de modifier ou de dtruire les donnes installes sur les serveurs ou sur
les postes de travail.
Il est galement possible de sinfiltrer sur le rseau pour ensuite attaquer un autre rseau via Internet en
cachant ainsi sa vritable identit.
3) Brouillage :
Brouiller les communications des rseaux sans fil est simple dans la mesure o les ondes
radiolectriques sont trs sensibles aux interfrences. Un appareil courant tel quun four micro-ondes
peut faire laffaire.
4) Dni de service (ou dalimentation)
Le dernier risque est ce que lon appelle le dni de service (Denial Of Service ou DoS). Il sagit denvoyer
des paquets de donnes en vue de saturer de fausses requtes un service de sorte empcher les vraies
requtes dtre servies.
Une autre forme est le dni de service dalimentation.
La connexion des rseaux sans fil est fortement consommatrice dlectricit. Il suffit donc denvoyer un
grand volume de donnes pour surcharger une machine sur batterie et ainsi la rendre ainsi inutilisable.

Outils pour scuriser les connections :

SSID
La phase d'authentification consiste en une mise en relation d'un mobile avec un point d'accs par la
comparaison d'une cl partage et connue sous le nom de SSID. Ce nom de rseau est configur dans les
points d'accs et permet la segmentation du rseau sans fil. Par exemple, certains constructeurs de
points d'accs autorisent la cration de rseau virtuel de niveau 2 (VLan) associ un SSID spcifique.
Lorsqu'un client souhaite joindre un rseau Wi-Fi, il effectue une demande d'enregistrement en
proposant un nom de rseau (SSID) spcifique o demande la liste des rseaux disponibles.
5

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

L'action de connecter un client avec un point d'accs ne repose que sur la comparaison du nom de
rseau (SSID) propos par le client et celui renseign dans le point d'accs. Cette solution n'est pas en
soit une solution de scurisation du rseau mais peut contribuer une segmentation. En effet, un client
ne peut tre associ un instant donn qu' un seul rseau.

WEP
En complment de la comparaison du SSID, on peut spcifier deux modes d'authentification. Le premier
et le plus communment utilis est dit "open system", il n'effectue aucun test spcifique
complmentaire. Le second, dit "shared key" utilise la cl WEP afin de chiffrer un message permettant
au point d'accs de valider lutilisateur.
Dans l'hypothse o la cl WEP utilise ne serait pas la bonne, la station ne serait pas autoriser entrer
dans le rseau sans-fil c'est dire changer des trames. Cette technique permet un filtrage plus
efficace des stations mobiles pouvant pntrer dans le rseau mais n'est en aucun cas un gage
d'invulnrabilit de ce dernier.

WPA
WPA est une version intermdiaire de l'tape de normalisation de l'IEEE en matire de scurit des
rseaux sans-fil Wi-Fi du groupe I (802.11i). Sa sortie permet aux constructeurs de proposer une version
de travail de la scurit et de valider les mcanismes qui seront ratifis dans la norme.
WPA impose aux infrastructures Wi-Fi l'utilisation de 802.1x afin d'authentifier les utilisateurs et les
ressources connectes. Nanmoins, on trouve des implmentations de WPA permettant l'utilisation
d'une cl partage de type "pre-shared key", moins contraignante mettre en place que 802.1x, mais
galement moins efficace. De plus, WPA met en place des mcanismes de changement rgulier des cls
de chiffrement des trames de donnes par le biais du protocole TKIP (Temporal Yey Integrity Protocol).
WPA intgre la prise en compte de protocoles de chiffrement diffrents comme par exemple l'utilisation
d'AES (Advanced Encryption Standard), peu consommateur de ressources pour une qualit de
chiffrement leve. Enfin, WPA met en place un nouveau systme de validation de l'intgrit des
donnes transportes en complment de l'IV transport en clair avec chaque trame dans la version
initiale de 802.11.
La mise en place de WPA ncessite de valider la disponibilit du support sur plusieurs points du rseau:
le point d'accs : doit intgrer WPA pour la modification des cls de chiffrement ainsi que 802.1x pour la
rception des demandes des clients et le relayage vers le serveur d'authentification (type RADIUS), la
carte Wi-Fi pour chaque utilisateur : doit prendre en compte la rotation des cls ainsi que la vrification
du nouveau systme d'intgrit pour chaque trame,
les pilotes pour les cartes Wi-Fi,
le service de centralisation des informations 802.1x au niveau d'un serveur RADIUS par exemple.

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

RADIUS
Solution de scurit retenue et teste pour le rseau WIFI :
RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur destin
permettre des serveurs d'accs de communiquer avec une base de donnes centralise regroupant en
un point l'ensemble des utilisateurs distants. Ce serveur central (appel serveur RADIUS) va authentifier
ces utilisateurs, et leur autoriser l'accs telle ou telle ressource. Une autre fonctionnalit importante
d'un serveur RADIUS est la comptabilisation des informations concernant les utilisateurs distants.
RADIUS a t invent par Livingston, depuis devenu proprit de Lucent, et est un standard de fait de
l'industrie informatique. C'est un protocole ouvert, amende par RFC, et dpos l'IETF.
C'est de loin le protocole le plus largement support par l'ensemble des constructeurs d'quipements
rseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS Serveur est distribu
librement par Livingston sur de nombreuses plateformes. D'autres versions existent toutefois: Citons
Radius Merit, assez diffuse sur Linux.

Le rapport de Mr Alexandre Devely sur limplmentation EAP-TLS sous WINDOWS 2003 nous a permis
mon collgue Laurent K et moi, de mettre en place un serveur dauthentification sous Windows 2003
Serveur.

Installation du serveur Windows 2003 :

Pour mettre en uvre 802.1x, nous avons besoin des services suivants.
1.Serveur Radius ( IAS), qui authentifie les utilisateurs
2.Autorit de certification (certificat serveur), qui gnre les certificats X509 .
En thorie, linstallation de lActive Directory nest pas ncessaire
Or sans Active Directory le serveur radius de Microsoft se contente de lauthentification MD5-challenge,
jai limpression que le serveur radius ne peut pas senregistrer au prs du serveur de certificat, et
comme dit le proverbe pas de certificat X509 pour le radius, pas de EAP-TLS . Une fois lActive
Directory install, le radius sinscrit dans lannuaire et la mthode dauthentification EAP avec
certificat apparat dans la console dadministration du radius.

Installation dActive Directory :

Linstallation seffectue, en slectionnant les options par dfauts :
Dmarrer | Excuter et renseigner dcpromo.exe dans le champ Ouvrir :

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Voir les documentations dAD (active directory)

Installation de lautorit de certification :

Pour installer le service de certificat, aller dans Dmarrer | Panneau de configuration |
Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de
certificats.

Confirmer que ni le nom de lordinateur, ni son appartenance au domaine ne seront modifis.

Choisir Autorit racine dentreprise, puis cliquer sur Suivant

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

Choisir un nom pour lautorit de certification ( cawifi, dans notre exemple )

Laisser les paramtres par dfaut, et cliquer sur Suivant

Confirmer larrt du service IIS, en cliquant sur Oui.

2012/2013

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Linstallation du serveur de certificat est termine.

Installation du serveur radius :

Pour installer le service Radius appel aussi Service dauthentification Internet, chez Microsoft, aller
dans Dmarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer
des composants Windows | Services de mises en rseau | Service dauthentification Internet.

Cliquer sur OK, linstallation seffectue en slectionnant les paramtres par dfaut.

10

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Configuration du serveur Windows 2003

Crer un compte utilisateur dans Active directory
Pour crer un compte utilisateur dans lActive Directory, cliquer sur Dmarrer | Outils
dadministration | Utilisateurs et ordinateurs Active Directory
Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur
Cliquer sur Suivant

Cliquer sur Suivant

Cliquer sur Terminer
Editer les proprits de lutilisateur, pour autoriser laccs distant :

Slctionner Autoriser laccs dans la section Autorisation daccs distant (appel entrant ou VPN )
Cliquer sur OK

Crer un groupe de scurit global dans Active Directory

Pour crer un groupe de scurit global dans lActive Directory, cliquer sur Dmarrer | Outils
dadministration | Utilisateurs et ordinateurs Active Directory
Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe, ajoutez
lutilisateur au groupe

Paramtrer le service IAS

http://www.microsoft.com/windows2000/technologies/communications/ias/default.asp
Dans linterface dadministration du Service dauthentification Internet, Ajouter un client Radius :
11

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Renseigner le nom de lAP, et son adresse IP

Dfinir le secret partag entre lAP et le serveur Radius

Le nouveau client radius apparat dans la configuration du Service dauthentification Internet

Ajoutons une nouvelle stratgie daccs distant, en utilisant lassistant de configuration :

Cliquer sur suivant pour drouler lassistant

12

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

Nommer la stratgie wifi-eaptls dans notre exemple.

Choisir la mthode daccs Sans fil pour la stratgie

Ajouter le groupe wifigrp prcdement cr dans lActive Directory.

13

2012/2013

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Slectionner le type EAP Carte puce ou autre certificat pour cette stratgie.
Cliquer sur Terminer pour enregistrer la nouvelle stratgie, puis vrifier les proprits de la nouvelle
stratgie wifi-eaptls

Cliquer sur Modifier le profil

14

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Dans longlet Authentification, vrifier quaucune mthode dAuthentification nest slectionn, puis
cliquer sur Mthodes EAP. Nous retenons uniquement EAP, car cest la seule supporte les cls WEP
dynamiques.

Cliquer sur le bouton Modifier, aprs avoir slectionn Carte puce ou autre certificat
Vrifier que le certificat correspond votre autorit de certification

Fin installation Radius

Free radius sous Linux fonctionne aussi, je ne me rappelle pas dun bon support qui ma permis de le
faire. crivez-moi si besoin
Installation des certificats sous Windows XP
Ajouter de lautorit principale de confiance
Pour ajouter lautorit de certification, sur le poste client :
Se connecter sur http://server/certsrv.
Sauthentifier au prs du serveur IIS, avec le nom dutilisateur cre prcdemment

15

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Cliquer sur le lien Tlcharger un certificat d'autorit de certification, une chane de certificats ou une
liste de rvocation de certificats.

Cliquer sur installez cette chane de certificats d'Autorit de certification

Valider la boite de dialogue informant linstallation dune nouvelle autorit de certification

16

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Le nouveau certificat de lautorit de certification apparat dans Menu | Outils | Options Internet |
Contenu | Certificats | Certificats | Autorit principales de confiance
Ajouter un certificat X-509

Pour ajouter un certificat X-509 utilisateur : se connecter sur http://server/certsrv.

Cliquer sur le lien Demander un certificat, la page suivante saffiche :

Cliquer sur le lien Certificat utilisateur

Cliquer sur le bouton Envoyer >

17

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

Confirmer la gnration de la cl publique pour le certificat utilisateur

Confirmer linstallation du certificat utilisateur, la page suivante saffiche :

2012/2013

Vrifier que le certificat X509 contient bien lattribut tendu Authentification du client (1.3.6.1.5.5.7.3.2) dans Menu
| Outils | Options Internet | Contenu | Certificats | Personnel | wifi-util01 | Dtails | Utilisation avance
de la cl.
Point daccs CISCO aironet 350 srie
Dans le cas dune authentification avec un serveur RADIUS, le point daccs deviens client du serveur et
cest lui qui redirige lauthentification vers le serveur. Il a donc fallu vrifier que le point daccs CISCO
AIRONET 350 gre bien ce service.

18

KHALID KATKOUT

TECHNIQUES DES RESEAUX INFORMATIQUES

2012/2013

Page de compte Radius

172.19.0.2 adresse IP de Radius

Shared secret : cl change
Le point daccs permet bien de faire une requte dauthentification au serveur RADIUS.

Les diffrentes tapes de lauthentification :

Conclusion :
La mise en place dun rseau Wi-Fi nest pas quelque chose que lon dcide du jour au lendemain. Une
tude du rseau et des besoins des utilisateurs doit tre ralise au pralable.
La scurit, quant elle, nest pas ngliger. En effet, il ne suffi pas de brancher un point daccs sur le
rseau pour disposer dune passerelle Wi-Fi ; mme pour un particulier je conseille vivement un cryptage
avec clef WEP.
Un serveur dauthentification Radius accrot la scurit.
19