Securisation d'Un Reseau en Mode Infrastructure

SECURITE DES RESEAUX SANS FILS: SECURISATION D'UN RESEAU EN MODE INFRASTRUCTURE

THEME : SECURITE DES RESEAUX SANS FILS: SECURISATION D'UN RESEAU EN MODE INFRASTRUCTURE

SOMMAIRE PARTIE I : Prsentation des rseaux sans fils cas du wifi1- Introduction

2- Les rseaux sans fil, cest quoi ?2-1 Les diffrentes tailles de rseaux sans fil 2-2 Les diffrents types de rseaux sans fil existants 2-3 Les technologies de rseaux sans fil radio 3- Le wifi 3-1 Prsentation 3-2 Normes 3-3 Equipements

PARTIEII : Scurisation dun rseau wifi en mode infrastructure 12345PARTIE III : Dploiement dun rseau wifi en mode infrastructure 1- Choix et prsentation du matriel 2- Configuration du point daccs cas dun routeur D-Link 3- Configuration dune machine sous Windows XP SP2 Conclusion Annexe Bibliographie Web biographie

Partie : PrsentationAu beau milieu des annes 90, imaginer un ordinateur portable connect au rseau local sans fil tait un rve. Depuis quelques annes, les socits bnficient dj de ce luxe. Aujourd'hui, un rseau sans fil de type 802.11b est la porte de presque toutes les bourses. Un rseau WiFi est certes toujours plus onreux et plus lent que son homologue cbl mais les avantages ne manquent pas. Certains n'osent pas encore franchir le pas par manque d'informations sur le sujet : Inscurit, incompatibilit, porte limite, etc. Nous avons donc dcid de faire le point sur les technologies actuelles


Matriels La liste suivante reprsente le minimum ncessaire pour l'tablissement d'une structure wifi : Un routeur wifi ou un point d'accs (ncessaires uniquement pour le mode infrastructure). Une ou plusieurs cartes wifi (se branchent gnralement sur un port USB, PCI ou PCMCIA). Il existe aussi des adaptateurs Ethernet / Wifi qui sont utiliss notamment pour les consoles de jeux ne disposant que d'un port Ethernet. Pour mettre en place un rseau Wi-Fi, vous avez besoin dun routeur sans fil (en haut sur la photo) et dun adaptateur pour chacun des systmes connects - carte PCI ( gauche) pour un ordinateur de bureau, carte PC ( droite) pour un portable. Du ct des ordinateurs, tous les portables rcents sont quips en interne de carte Wi-Fi (G ou N). En revanche, rare sont les PC de bureau quips. Il faut le plus souvent leur adjoindre une carte (soit USB soit PCI) dote d'une petite antenne. Un routeur Utilisation de PC sous Windows, De cartes wifi usb Dun point daccs wifi. La scurit Le WEP Pour remdier aux problmes de confidentialit des changes sur un rseau sans fil, le standard 802.11 intgre un mcanisme simple de chiffrement de donnes, le WEP. Ce cryptage travaille avec l'algorithme RC4 pour chiffrer les donnes et utilise des cls statiques de 64 ou 128 voire 152 bits suivant les constructeurs. Le principe du WEP consiste dfinir une cl scrte qui doit tre dclare au niveau de chaque adaptateur sans fil du rseau ainsi que sur le point d'accs. La cl sert crer un nombre pseudo-alatoire d'une longueur gale la longueur de la trame. Chaque lment du rseau voulant communiquer entre eux doit connatre la cl secrte qui va servir au cryptage WEP. Une fois mis en place, toutes les donnes transmises sont obligatoirement cryptes. Il assure ainsi l'encryptage des donnes durant leur transfert ainsi que leurs intgrits. Cependant, le WEP possde un grand nombre de failles, le rendant vulnrable. En effet, le cryptage RC4 prsente des faiblesses. La cl de session partage par toutes les stations est - nous le savons - statique. Cela signifie que pour dployer un grand nombre de stations WiFi, il est ncessaire de les configurer en utilisant


la mme cl de session - ceci ayant pour consquence que la connaissance de la cl est suffisante pour dchiffrer les communications. De plus, 24 bits de la cl servent uniquement pour l'initialisation, ce qui signifie que seuls 40 bits de la cl de 64 bits servent rellement chiffrer et 104 bits pour la cl de 128 bits. Dans le cas d'une cl de 40 bits, une attaque par force brute - c'est dire essayer toutes les possibilits de cls - peut trs vite amener le pirate trouver la cl de session. galement, il existe diffrents logiciels, comme WEPCrack sous Linux ou Aircrack sous Windows, qui permettent de dchiffrer la cl en quelques minutes. Concernant l'intgrit des donnes, le CRC32 - implant dans le WEP - comporte une faille permettant la modification de la chane de vrification du paquet comparer la chane finale issue des donnes reues, ce qui permet un pirate de faire passer ses informations pour des informations valides. A noter galement que l'utilisation du WEP rduit le dbit de la connexion du fait du cryptage/dcryptage des paquets. Nanmoins, il s'agit d'une solution de scurit existant dans tous les quipements WiFi, ce qui explique qu'il soit trs utilis par le grand public ainsi que par certaines entreprises. Pour rsumer, les diffrentes vulnrabilits du WEP sont : Contre la confidentialit du fait de la rutilisation de la suite chiffre, de la faiblesse du RC4 et d'une possible fausse authentification. Contre l'intgrit du fait de la capacit modifier les paquets et d'en injecter des faux. Le WEP n'est donc pas suffisant pour garantir une relle confidentialit des donnes. Pour autant, il sera indispensable de mettre en oeuvre une protection WEP 128 bits afin d'assurer un niveau de confidentialit minimum quant aux donnes de l'entreprise.

Le WPA Le WPA, dvelopp par l'IEEE, est un autre protocole de scurisation des rseaux sans fil offrant une meilleure scurit que le WEP car il est destin en combler les faiblesses. En effet, le WPA permet un meilleur cryptage de donnes qu'avec le WEP car il utilise des cls TKIP (Temporal Key Integrity Protocol) - dites dynamiques - et permet l'authentification des utilisateurs grce au 802.1x - protocole mis au point par l'IEEE - et l'EAP (Extensible Authentification Protocol). Ainsi, le WPA permet d'utiliser une cl par station connecte un rseau sans fil, alors que le WEP, lui, utilisait la mme cl pour tout le rseau sans fil. Les cls


WPA sont en effet gnres et distribues de faon automatique par le point d'accs sans fil - qui doit tre compatible avec le WPA. De plus, un vrificateur de donnes permet de vrifier l'intgrit des informations reues pour tre sr que personne ne les a modifies. Le TKIP rajoute par rapport aux cls WEP : Vecteur d'initialisation de 48 bits au lieu de 24 bits pour le WEP. Le crackage de la cl WEP provient en effet du fait que le pirate peut dterminer la cl WEP partir du vecteur d'initialisation de 24 bits. Donc, il sera bien plus difficile dterminer la cl avec un vecteur d'initialisation de 48 bits. Gnration et distribution des cls : le WPA gnre et distribue les cls de cryptage de faon priodique chaque client. En fait, chaque trame utilise une nouvelle cl, vitant ainsi d'utiliser une mme cl WEP pendant des semaines voire des mois. Code d'intgrit du message : ce code, appel MIC (Message Integrity Code), permet de vrifier l'intgrit de la trame. Le WEP utilise une valeur de vrification d'intgrit ICV (Integrity Check Value) de 4 octets, tandis que le WPA rajoute un MIC de 8 octets.

Mode d'authentification :

Le mode entreprise : il ncessite un serveur central qui rpertorie les utilisateurs - par exemple un serveur RADIUS. Il faut pour cela un ordinateur exprs, ce qui cote cher. Le mode personnel : il permet une mthode simplifie d'authentification des utilisateurs sans utiliser un serveur central. Ce mode s'appelle galement PSK (Pre-Shared Key). Il s'agit alors de saisir un mot de passe alphanumrique ( passphrase ). tant donn que l'entreprise ne possde pas de serveur type RADIUS, il sera ncessaire de choisir le second mode d'authentification, savoir personnel. Problmes du WPA :

Quelques problmes subsistent tout de mme ce protocole et notamment l'attaque de type dni de service .


En effet, si quelqu'un envoie au moins deux paquets chaque seconde utilisant une cl de cryptage incorrecte, alors le point d'accs sans fil tuera toutes les connexions utilisateurs pendant une minute. C'est un mcanisme de dfense pour viter les accs non-autoriss un rseau protg, mais cela peut bloquer tout un rseau sans fil. Outre ce problme, il manquerait au WPA pour fournir une meilleure scurit : Un SSID (Service Set IDentifier) scuris, c'est dire une chane de caractres alphanumriques scurise permettant d'identifier un rseau sans fil Une dconnexion rapide et scurise Une d-authentification et une d-association scurises Un meilleur protocole de cryptage tel que AES (Advanced Encryption Standard) Le WPA2 Le 802.11i, nouvelle norme ratifie en 2004, propose une solution de scurisation pousse pour les rseaux sans fil WiFi. Il s'appuie sur l'algorithme du chiffrement TKIP, comme le WPA, mais supporte au contraire l'AES - au lieu du RC4 beaucoup plus sr au niveau du cryptage des donnes. La WiFi Alliance a ainsi cre une nouvelle certification, baptise WPA-2, pour les matriels supportant le standard 802.11i. Le WPA-2, tout comme son prdcesseur - le WPA - assure le cryptage ainsi que l'intgrit des donnes mais offre de nouvelles fonctionnalits de scurit telles que le Key Caching et la Pr-Authentification . Le Key Caching : Il permet un utilisateur de conserver la cl PMK (Pairwise Master Key) - variante de PSK (Pre-Shared Key) du protocole WPA - lorsqu'une identification s'est termine avec succs afin de pouvoir la rutiliser lors de ses prochaines transactions avec le mme point d'accs. Cela signifie qu'un utilisateur mobile n'a besoin de s'identifier qu'une seule fois avec un point d'accs spcifique. En effet, celui-ci n'a plus qu' conserver la cl PMK - ce qui est gr par le PMKID (Pairwise Master Key IDentifier) qui n'est autre qu'un hachage de la cl PMK, l'adresse MAC du point d'accs et du client mobile, et une chane de caractre. Ainsi, le PMKID identifie de faon unique la cl PMK. La Pr-Authentification : Cette fonction permet un utilisateur mobile de s'identifier avec un autre point d'accs sur lequel il risque de se connecter dans le futur. Ce processus est ralis en redirigeant les trames d'authentification gnres par le client envoy au point d'accs actuel vers son futur point d'accs par l'intermdiaire du rseau filaire. Cependant, le fait qu'une station puisse se connecter plusieurs points d'accs en mme temps accrot de manire significative le temps de charge.


Pour rsumer, le WPA-2 offre par rapport au WPA : Une scurit et une mobilit plus efficaces grce l'authentification du client indpendamment du lieu o il se trouve. Une intgrit et une confidentialit fortes garanties par un mcanisme de distribution dynamique de cls. Une flexibilit grce une rauthentification rapide et scurise. Toutefois, pour profiter du WPA-2, les entreprises devront avoir un quipement spcifique tel qu'une puce cryptographique ddie pour les calculs exigs par l'AES. Filtrage par adresse MAC Le filtrage par adresse MAC est une fonctionnalit de scurit que l'on trouve dans certains points d'accs. Il permet d'exclure ou de ne tolrer que certaines adresses MAC accder au rseau sans fil. Une adresse MAC est en fait un identifiant unique pour chaque carte rseau. Ce systme, qui permet donc de contrler quelles cartes rseaux peuvent entrer sur le rseau, aurait permis une grande scurit, malheureusement, le protocole 802.11b/g n'encrypte pas les trames o apparaissent ces adresses MAC.

En effet, un simple logiciel, comme kismet par exemple, permet de voir les adresses MAC des clients. De ce fait, comme il existe des outils ou des commandes pour modifier son adresse MAC et ainsi usurper celle d'un client, le rseau devient ainsi une vraie passoire . Le filtrage par adresse MAC, associ au WEP ou WPA, ferai donc une bonne scurit. Malheureusement, aucune scurit n'est inviolable ...

Scuriser son rseau Wifi

La scurisation de votre rseau Wifi est une tape indispensable pour empcher un utilisateur malintentionn d'utiliser votre rseau sans-fil. Voici les tapes suivre. Changer le mot de passe utilisateur de votre routeur Wifi Laccs lutilitaire de configuration de votre routeur est scuris par un nom dutilisateur et un mot de passe. Cette page est accessible en tapant l'adresse IP de votre routeur dans votre navigateur internet (par exemple : 192.168.1.1). La


premire tape de scurisation de votre nouveau rseau Wifi consiste donc changer le mot de passe en vous rendant dans l'option qui permet de le changer. Dfinir le nom de votre rseau (SSID) Tout rseau Wifi a un nom : le SSID (Service Set IDentifier). La seconde tape consiste donc changer ce nom et le cacher la vue des utilisateurs malintentionns. Dans l'utilitaire de configuration de votre routeur, changez le SSID par dfaut en un nom en vitant qu'il soit trop simple.Dsactivez ensuite la diffusion du nom SSID de votre rseau sans fil en cochant la case correspondante, pour qu'il napparaisse pas dans la liste des connexions possibles de vos voisins. Activer le cryptage de votre rseau (cl de scurit) Avant d'utiliser votre rseau sans-fil, il sera utile de crypter celui-ci avec une cl numrique afin de ne laisser l'accs qu'aux utilisateurs disposant de celle-ci. Deux types de cryptage de donnes existent actuellement : WEP (Wired Equivalent Privacy) et WPA (Wi-Fi Protected Access). Si votre routeur et tous vos adaptateurs sans-fil le supportent, nous vous conseillons d'opter pour une cl WPA avec cl de chiffrement "pr-partage". Cependant, si votre matriel ne supporte pas le WPA, activez alors le cryptage WEP. La manipulation est simple car le cryptage numrique est cr partir d'une phrase : il vous faut entrer un mot de 5 lettres minimum ou une expression dans le champ correspondant et le routeur va gnrer diffrents codes. Noubliez pas de les noter (un seul suffit) car ils seront utiliss pour connecter chaque ordinateur du rseau.

Filtrer les adresses MAC Les appareils (PC ou PDA) connects un rseau sans-fil disposent d'une carte rseau munie d'une adresse spcifique : l'adresse MAC (indpendamment de celle-ci, un ordinateur est dfini par son adresse IP). Dans l'utilitaire de configuration de votre routeur, il vous faut activer l'option de filtrage puis saisir les adresses MAC de chacun de vos appareils. Ainsi, seuls ces appareils (reconnus sur le rseau par leur adresse MAC) pourront accder au rseau.

Configurer les machines Wifi Pour que chaque machine puisse se connecter au rseau, il vous faudra indiquer les informations indiques ci-dessus. Aprs avoir recherch votre rseau sans-fil, il vous faut modifier le nom SSID afin quil corresponde celui que vous avez indiqu pour le routeur. Indiquez ensuite la cl numrique de cryptage qui vous a t indique dans l'utilitaire de configuration du routeur. Ceci fait, vos appareils devraient se connecter au routeur et l'Internet.


Activer le partage de fichiers Pour partager des fichiers et des priphriques entre ordinateurs connects en Wifi, il vous faut activer le partage de fichiers. La procdure de partage sous Windows XP est simple. Choisissez Panneau de configuration, puis Connexions rseau et cliquez sur Crer un rseau domestique ou un rseau dentreprise. Slectionnez ensuite Cet ordinateur se connecte Internet via un autre ordinateur de mon rseau domestique ou via une passerelle rsidentielle. Lassistant de connexion dtectera alors votre connexion l'Internet. Pour partager un dossier avec Windows XP, faites un clic droit sur le dossier en question, puis choisissez loption Partage et scurit et cochez loption Partager ce dossier. Pour accder ensuite tous les dossiers partags depuis nimporte quelle machine du rseau, cliquez sur Dmarrer puis Favoris rseau. La technique est la mme pour mettre une imprimante en rseau : sur lordinateur auquel limprimante est directement relie : allez dans le menu Dmarrer puis Imprimantes et tlcopieurs, puis cliquez avec le bouton droit sur limprimante installe et slectionnez Partager.

Partie : la mise en uvre

ConclusionMalgr quelques faiblesses (scurit par exemple), la technologie de liaison sans fil la norme Wi-Fi devient la porte de tous, un cot devenu raisonnable et avec des possibilits dvolutions plus quintressantes. La libert de pouvoir se connecter ou on veut, quand on veut, chez soi ou proche dune borne publique donne un atout supplmentaire linformatique Nomade


. Mme si on ne dplace pas son PC tous les jours la maison, le fait de pouvoir le faire sans contraintes filaire est trs pratique, et surtout trs esthtique car il ny a pas de cble qui court le long des murs ni de trou dans le mur. Le wi-fi, lessayer cest ladopter !

http://www.commentcamarche.net/faq/3020-wifi-cours-d-introduction http://www.memoireonline.com/07/09/2324/m_Les-technologies-sans-fil-Le-Wi-Fiet-la-Securite3.html http://www.cnetfrance.fr/produits/installer-un-reseau-sans-fil-39158347.htm

Documents

Securisation d'Un Reseau en Mode Infrastructure