Professional Documents
Culture Documents
2012/2013
Projets de :
WIFI et Radius
Services
dauthentification
KHALID KATKOUT
2012/2013
Introduction :
Le projet WIFI consiste quiper lentreprise dun rseau sans-fil afin de permettre aux commerciaux
de se connecter sur le rseau de lentreprise de manire scurise, sans tre oblig de brancher le cble
rseau .Le renouvellement des ordinateurs portables des commerciaux avec la technologie centrino en
802.11g permettra dvoluer vers ce type de technologie.
KHALID KATKOUT
2012/2013
Prsentation du Wifi :
Le WIFI (Wireless Fidelity) est une certification dcerne par la Wifi Alliance aux produits conformes aux
standards 802.11 de l' IEEE.
La technologie Wi-Fi permet de faire un rseau informatique haut - dbit (11Mbps pour le 802.11b) sans
fils. Cela prsente plusieurs intrts :
Mobilit dans le rayon du rseau tout en restant connect au rseau local ou l'Internet, change de
gros fichiers entre deux ordinateurs.
Mise en place d'un rseau local (LAN) moins coteuse et plus facile que pour un rseau filaire.
Mise en place facile d'un rseau temporaire, le temps d'une dmonstration, ou d'une runion.
Accs un rseau haut -dbit pour des populations rurales non rentables pour les oprateurs
commerciaux.
Il s'agit l de quelques exemples. La technologie tant trs rcente, les utilisations possibles restent en
grande partie inventer !
Matriellement, pour faire un rseau Wi-Fi, on utilise des Points d'Accs (AP, pour Access Point)
connects aux ordinateurs (stations) ou un rseau filaire, des antennes, et des cbles ventuellement
pour les relier ensemble.
Le mode infrastructure :
Le mode infrastructure, bas sur lutilisation dun point daccs W-Fi central, situ au niveau dun point
de concentration radio. Dans ce cas, les informations envoyes entre les diffrentes stations transitent
par le point daccs.
Le mode ad-hoc :
Le mode ad-hoc, permettant plusieurs stations quipes de cartes Wi-Fi de communiquer directement
entre elles. Des possibilits de routage dynamique existent.
KHALID KATKOUT
2012/2013
Certains ont une antenne intgre (c'est le cas de la plupart des cartes PCMCIA), et d'autres permettent
la connexion d'une antenne extrieure.
KHALID KATKOUT
2012/2013
Le Wi-Fi et la scurit :
Les risques lis au rseau sans fil
On peut classer les risques lis au rseau sans fil en 4 catgories :
Accs aux donnes
Intrusion rseau
Brouillage
Dni de service (ou dalimentation)
1) Accs aux donnes :
Puisque par dfaut un rseau sans fil est ouvert, il est relativement facile dcouter les communications
et ainsi de rcuprer les donnes changes.
Il suffit pour cela de se trouver dans le primtre correspondant la porte du rseau, cest--dire bien
souvent dans la rue.
2) Intrusion rseau :
Encore plus grave, sil existe un point daccs au rseau local, il est alors possible de se connecter au
rseau et de pirater ou mme de modifier ou de dtruire les donnes installes sur les serveurs ou sur
les postes de travail.
Il est galement possible de sinfiltrer sur le rseau pour ensuite attaquer un autre rseau via Internet en
cachant ainsi sa vritable identit.
3) Brouillage :
Brouiller les communications des rseaux sans fil est simple dans la mesure o les ondes
radiolectriques sont trs sensibles aux interfrences. Un appareil courant tel quun four micro-ondes
peut faire laffaire.
4) Dni de service (ou dalimentation)
Le dernier risque est ce que lon appelle le dni de service (Denial Of Service ou DoS). Il sagit denvoyer
des paquets de donnes en vue de saturer de fausses requtes un service de sorte empcher les vraies
requtes dtre servies.
Une autre forme est le dni de service dalimentation.
La connexion des rseaux sans fil est fortement consommatrice dlectricit. Il suffit donc denvoyer un
grand volume de donnes pour surcharger une machine sur batterie et ainsi la rendre ainsi inutilisable.
KHALID KATKOUT
2012/2013
L'action de connecter un client avec un point d'accs ne repose que sur la comparaison du nom de
rseau (SSID) propos par le client et celui renseign dans le point d'accs. Cette solution n'est pas en
soit une solution de scurisation du rseau mais peut contribuer une segmentation. En effet, un client
ne peut tre associ un instant donn qu' un seul rseau.
WEP
En complment de la comparaison du SSID, on peut spcifier deux modes d'authentification. Le premier
et le plus communment utilis est dit "open system", il n'effectue aucun test spcifique
complmentaire. Le second, dit "shared key" utilise la cl WEP afin de chiffrer un message permettant
au point d'accs de valider lutilisateur.
Dans l'hypothse o la cl WEP utilise ne serait pas la bonne, la station ne serait pas autoriser entrer
dans le rseau sans-fil c'est dire changer des trames. Cette technique permet un filtrage plus
efficace des stations mobiles pouvant pntrer dans le rseau mais n'est en aucun cas un gage
d'invulnrabilit de ce dernier.
WPA
WPA est une version intermdiaire de l'tape de normalisation de l'IEEE en matire de scurit des
rseaux sans-fil Wi-Fi du groupe I (802.11i). Sa sortie permet aux constructeurs de proposer une version
de travail de la scurit et de valider les mcanismes qui seront ratifis dans la norme.
WPA impose aux infrastructures Wi-Fi l'utilisation de 802.1x afin d'authentifier les utilisateurs et les
ressources connectes. Nanmoins, on trouve des implmentations de WPA permettant l'utilisation
d'une cl partage de type "pre-shared key", moins contraignante mettre en place que 802.1x, mais
galement moins efficace. De plus, WPA met en place des mcanismes de changement rgulier des cls
de chiffrement des trames de donnes par le biais du protocole TKIP (Temporal Yey Integrity Protocol).
WPA intgre la prise en compte de protocoles de chiffrement diffrents comme par exemple l'utilisation
d'AES (Advanced Encryption Standard), peu consommateur de ressources pour une qualit de
chiffrement leve. Enfin, WPA met en place un nouveau systme de validation de l'intgrit des
donnes transportes en complment de l'IV transport en clair avec chaque trame dans la version
initiale de 802.11.
La mise en place de WPA ncessite de valider la disponibilit du support sur plusieurs points du rseau:
le point d'accs : doit intgrer WPA pour la modification des cls de chiffrement ainsi que 802.1x pour la
rception des demandes des clients et le relayage vers le serveur d'authentification (type RADIUS), la
carte Wi-Fi pour chaque utilisateur : doit prendre en compte la rotation des cls ainsi que la vrification
du nouveau systme d'intgrit pour chaque trame,
les pilotes pour les cartes Wi-Fi,
le service de centralisation des informations 802.1x au niveau d'un serveur RADIUS par exemple.
KHALID KATKOUT
2012/2013
RADIUS
Solution de scurit retenue et teste pour le rseau WIFI :
RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur destin
permettre des serveurs d'accs de communiquer avec une base de donnes centralise regroupant en
un point l'ensemble des utilisateurs distants. Ce serveur central (appel serveur RADIUS) va authentifier
ces utilisateurs, et leur autoriser l'accs telle ou telle ressource. Une autre fonctionnalit importante
d'un serveur RADIUS est la comptabilisation des informations concernant les utilisateurs distants.
RADIUS a t invent par Livingston, depuis devenu proprit de Lucent, et est un standard de fait de
l'industrie informatique. C'est un protocole ouvert, amende par RFC, et dpos l'IETF.
C'est de loin le protocole le plus largement support par l'ensemble des constructeurs d'quipements
rseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS Serveur est distribu
librement par Livingston sur de nombreuses plateformes. D'autres versions existent toutefois: Citons
Radius Merit, assez diffuse sur Linux.
Le rapport de Mr Alexandre Devely sur limplmentation EAP-TLS sous WINDOWS 2003 nous a permis
mon collgue Laurent K et moi, de mettre en place un serveur dauthentification sous Windows 2003
Serveur.
KHALID KATKOUT
2012/2013
KHALID KATKOUT
2012/2013
KHALID KATKOUT
2012/2013
Cliquer sur OK, linstallation seffectue en slectionnant les paramtres par dfaut.
10
KHALID KATKOUT
2012/2013
Slctionner Autoriser laccs dans la section Autorisation daccs distant (appel entrant ou VPN )
Cliquer sur OK
KHALID KATKOUT
2012/2013
KHALID KATKOUT
13
2012/2013
KHALID KATKOUT
2012/2013
Slectionner le type EAP Carte puce ou autre certificat pour cette stratgie.
Cliquer sur Terminer pour enregistrer la nouvelle stratgie, puis vrifier les proprits de la nouvelle
stratgie wifi-eaptls
14
KHALID KATKOUT
2012/2013
Dans longlet Authentification, vrifier quaucune mthode dAuthentification nest slectionn, puis
cliquer sur Mthodes EAP. Nous retenons uniquement EAP, car cest la seule supporte les cls WEP
dynamiques.
Cliquer sur le bouton Modifier, aprs avoir slectionn Carte puce ou autre certificat
Vrifier que le certificat correspond votre autorit de certification
15
KHALID KATKOUT
2012/2013
Cliquer sur le lien Tlcharger un certificat d'autorit de certification, une chane de certificats ou une
liste de rvocation de certificats.
KHALID KATKOUT
2012/2013
Le nouveau certificat de lautorit de certification apparat dans Menu | Outils | Options Internet |
Contenu | Certificats | Certificats | Autorit principales de confiance
Ajouter un certificat X-509
17
KHALID KATKOUT
2012/2013
Vrifier que le certificat X509 contient bien lattribut tendu Authentification du client (1.3.6.1.5.5.7.3.2) dans Menu
| Outils | Options Internet | Contenu | Certificats | Personnel | wifi-util01 | Dtails | Utilisation avance
de la cl.
Point daccs CISCO aironet 350 srie
Dans le cas dune authentification avec un serveur RADIUS, le point daccs deviens client du serveur et
cest lui qui redirige lauthentification vers le serveur. Il a donc fallu vrifier que le point daccs CISCO
AIRONET 350 gre bien ce service.
18
KHALID KATKOUT
2012/2013
Conclusion :
La mise en place dun rseau Wi-Fi nest pas quelque chose que lon dcide du jour au lendemain. Une
tude du rseau et des besoins des utilisateurs doit tre ralise au pralable.
La scurit, quant elle, nest pas ngliger. En effet, il ne suffi pas de brancher un point daccs sur le
rseau pour disposer dune passerelle Wi-Fi ; mme pour un particulier je conseille vivement un cryptage
avec clef WEP.
Un serveur dauthentification Radius accrot la scurit.
19