RAPPORT Sécurisation d'Un Réseau Wifi

Rapport de stage

KOSSONOU KOUAME ACHILLE

Sécurisation du réseau Wi-Fi Wi-Fi d’I-télécom d’I-télécom technologie plus

1

Télécommunications

Rapport de stage


DEDICACE ……………………………………………………………………………….4 ………………………………………………………………………………. 4 REMERCIEMENTS ……………………………………………………………………….5 ………………………………………………………………………. 5 AVANT-PROPOS ……………………………………………………………………….6 ………………………………………………………………………. 6 INTRODUCTION ……………………………………………………………………….7 ……………………………………………………………………….7 1ère PARTIE : CADRE CADRE ET CONTEXTE DU STAGE ……………………………………. …………………………………….8 8 CHAPITRE I : PRESENTATION D’ID’I -TELECOM ……………………………………... 9 ……………………………………...9 I/ Situation sociale ……………………………………………………………………… ……………………………………………………………………….9 .9 1/ Dénomination ............................................. ................................................................... ............................................ ........................................9 ..................9 2/ Siege social ……………………………………………………………………….9 ………………………………………………………………………. 9 3/ Objet social ……………………………………………………………………….9 ………………………………………………………………………. 9 II/ II/ Missions et Compétences ……………….. ………………..………………………………….………. ………………………………….……….10 10 1/ Missions………………………………………………………………………………. Missions……………………………………………………………………………….10 10 2/ Compétences ……………………………………………………………………….. ………………………………………………………………………..10 10 III/ Organisation structurelle …………………………………………………………… …………………………………………………………….11 .11 1/ Organigramme …………………………………………………………………….. ……………………………………………………………………..11 11 2/ Le rôle des différentes directions et services d’Id’I-TELECOM …………………….12 …………………….12 CHAPITRE II : PRESENTATION DU THEME …………………………………………. ………………………………………….14 14 CONTEXTE …………………………………………………………………………… ……………………………………………………………………………14 14 2ème PARTIE : ETUDE TECHNIQUE

……………………………………………………15 …………………………………………………… 15

CHAPITRE I : PRESENTATION DU WI- FI …………………………………………….16 …………………………………………….16 I/ LES NORMES ………………………………………………………………………16 1/ la norme 802.11 ………………………………………………………………….16 ………………………………………………………………….16 2/ la norme 802.11a ………………………………………………………………… ………………………………………………………………….16 .16 3/ la norme 802.11b …………………………………………………………………16 4/ la norme 802.11g …………………………………………………………………16 5/ la norme 802.11n ………………………………………………………………… …………………………………………………………………16 16 6/ la norme 802.11i ………………………………………………………………… …………………………………………………………………17 17 II/ MODE ET FONCTIONNEMENT DU WI-FI WI- FI ………………………………………17 ………………………………………17 1/ Mode Ad-Hoc Ad- Hoc ……………………………………………………………………17 ……………………………………………………………………17 2 / Mode Infrastructure …………………………………………………………….. ……………………………………………………………..19 19


2


Rapport de stage


DEDICACE ……………………………………………………………………………….4 ………………………………………………………………………………. 4 REMERCIEMENTS ……………………………………………………………………….5 ………………………………………………………………………. 5 AVANT-PROPOS ……………………………………………………………………….6 ………………………………………………………………………. 6 INTRODUCTION ……………………………………………………………………….7 ……………………………………………………………………….7 1ère PARTIE : CADRE CADRE ET CONTEXTE DU STAGE ……………………………………. …………………………………….8 8 CHAPITRE I : PRESENTATION D’ID’I -TELECOM ……………………………………... 9 ……………………………………...9 I/ Situation sociale ……………………………………………………………………… ……………………………………………………………………….9 .9 1/ Dénomination ............................................. ................................................................... ............................................ ........................................9 ..................9 2/ Siege social ……………………………………………………………………….9 ………………………………………………………………………. 9 3/ Objet social ……………………………………………………………………….9 ………………………………………………………………………. 9 II/ II/ Missions et Compétences ……………….. ………………..………………………………….………. ………………………………….……….10 10 1/ Missions………………………………………………………………………………. Missions……………………………………………………………………………….10 10 2/ Compétences ……………………………………………………………………….. ………………………………………………………………………..10 10 III/ Organisation structurelle …………………………………………………………… …………………………………………………………….11 .11 1/ Organigramme …………………………………………………………………….. ……………………………………………………………………..11 11 2/ Le rôle des différentes directions et services d’Id’I-TELECOM …………………….12 …………………….12 CHAPITRE II : PRESENTATION DU THEME …………………………………………. ………………………………………….14 14 CONTEXTE …………………………………………………………………………… ……………………………………………………………………………14 14 2ème PARTIE : ETUDE TECHNIQUE

……………………………………………………15 …………………………………………………… 15

CHAPITRE I : PRESENTATION DU WI- FI …………………………………………….16 …………………………………………….16 I/ LES NORMES ………………………………………………………………………16 1/ la norme 802.11 ………………………………………………………………….16 ………………………………………………………………….16 2/ la norme 802.11a ………………………………………………………………… ………………………………………………………………….16 .16 3/ la norme 802.11b …………………………………………………………………16 4/ la norme 802.11g …………………………………………………………………16 5/ la norme 802.11n ………………………………………………………………… …………………………………………………………………16 16 6/ la norme 802.11i ………………………………………………………………… …………………………………………………………………17 17 II/ MODE ET FONCTIONNEMENT DU WI-FI WI- FI ………………………………………17 ………………………………………17 1/ Mode Ad-Hoc Ad- Hoc ……………………………………………………………………17 ……………………………………………………………………17 2 / Mode Infrastructure …………………………………………………………….. ……………………………………………………………..19 19


2


Rapport de stage


CHAPITRE II/ PRESENTATION DU SERVEUR RADIUS ………………………….. …………………………..23 23 I/ METHODES D’AUTHENTIFICATION: 802.1X ET EAP ……………………….. ………………………..23 23 II/ RISQUES LIES AUX RESEAU WI- FI SANS L’AUTHENTIFICATION PAR LE SERVEUR RADIUS ……………………………………………………………………… ………………………………………………………………………24 24 1/ Interception des données ……………………………………………………….. ………………………………………………………..24 24 2/ Intrusion réseaux ……………………………………………………………….24 ………………………………………………………………. 24 3/ Brouillage réseaux ……………………………………………………………… ………………………………………………………………24 24 4/ Denis de service ……………………………………………………………….25 ………………………………………………………………. 25 3ème PARTIE : MISE EN ŒUVRE

…………………………………………………….26 …………………………………………………… .26

CHAPITRE I : CONFIGURATION DU RESEAU WI- FI ……………………………….27 ……………………………….27 I/ BRANCHEMENT DU POINT D’ACCES ………………………………………… …………………………………………27 27 II/ CONFIGURATION CONFIGURATION DE L’ADRESSE L’ADRESSE IP IP DE L’ORDINATEUR ………………… 27 III/ LANCEMENT D’UN NAVIGATEUR WEB ……………………………………. …………………………………….30 30 IV/ CONFIGURATION DU POINT D’ACCES ……………………………………. …………………………………….30 30 CHAPITRE III/ INSTALLATION INSTALLATION DE WINDOWS WINDOWS SERVEUR SERVEUR 2003 2003 …………………. 34 I/ BOOT ET PARTITIONS DU DISQUE DISQ UE DUR …………………………………….. ……………………………………..34 34 1/ Boot et démarrage de l’installation …………………………………………….34 ……………………………………………. 34 2/ Partition du disque dur ………………………………………………………….35 3/ Validation des paramètres ………………………………………………………35 CHAPITRE II : SECURISATION SE CURISATION ………………………………………………………37 ………………………………………………………37 I/ SECURISATION SUR LE POINT D’ACCES …………………………………… ……………………………………37 37 1/ Eviter les valeurs par défaut …………………………………………………… ……………………………………………………37 37 2/ Activation d’un cryptage (WEP ou WAP) ……………………………………... ……………………………………...37 37 3/ Filtrage par adresse MAC ……………………………………………………… ………………………………………………………38 38 4/ Désactivation du DHCP ……………………………………………………….. ………………………………………………………..40 40 II/ SECURISATION SUR LE SERVEUR RADIUS ……………………………….. ………………………………..40 40 1/ Configuration du serveur radius ………………………………………………. ……………………………………………….40 40 2/ Configuration du client Wi-Fi Wi- Fi ……………………………………………….49 ……………………………………………….49 CONCLUSION

…………………………………………………………………………58 …………………………………………………………………………58


3


Rapport de stage


Le premier être à qui je dédie ce rapport de fin de cycle est le DIEU TOUT PUISSANT, ainsi qu’à toute ma famille et amis qui m’ont toujours soutenu pour ma réussite à tous les niveaux de ma vie. Trouver ici l’expression de ma profonde gratitude à votre égard.


4


Rapport de stage


T

out d’abord, je tiens à remercier Mlle M lle Ouattara sabine, directr ice ice D’ I-TELECOM TECHNOLOGY PLUS, pour m’avoir accueilli au sein de son établiss ement, M. ABE RUPHIN, directeur du service technique pour m’avoir permis l’usage de tout le matériel nécessaire ainsi que la formation sur les équipements. Je remercie tout particulièrement mon maître de stage M. Coulibaly Souleymane du service informatique, pour la formation, pour son accueil, ses conseils, sa disponibilité, ainsi que sa bonne humeur et son enthousiasme. Je remercie aussi M. Syndou Fofana, du service informatique, également M. Tayi Jea Jean n Claude pour leur formation, leur disponibilité, le travail qu’ils m’ont demandé de réaliser, ce qui m’a permis de me perfectionner, d’apprendre beaucoup et m’a pas laissé le temps de m’ennuyer, et pour les aides apportées. Aussi apportées. Aussi je remercie toute les mem bres d’I-télécom d’I-télécom technologie plus. Je tiens également à remercier rem ercier ma mère Mme Abenan Doubia, mon Grand-père M. Bini Koffi et ma Grand-Mère Mme Bini, pour le stage sta ge à I-TELECOM, I-TELECOM, qui ont su prendre le temps de m’écouter en ce qui concerne le stage, mais aussi au ssi en ce qui concerne les difficultés que j’ai pu rencontrer. Pendant ce stage, j’ai pu me rendre compte de l’i mportance des équipements de Télécommunications, et du rôle d’un administrateur dans une entreprise, je remercie donc toutes les personnes m’aya nt expliqué leur rôle dans l’entreprise.


5


Rapport de stage

Sécurisation du réseau Wi-Fi d’I-télécom technologie plus

I

TES est un établissement d’enseignement Supérieur technique autorisé par l’arrêté 1076/METEP/DEP du 27 juin 1989 et agrée par le fond de développement et de la formation professionnelle (FDFP). Dans le souci de préparer les étudiants à l’examen de BTS et au diplôme d’ingénieur, ITES répond à l’appel du Gouvernement Ivoirien invitant les opérateurs privés à s’intéresser aux secteurs de la formation professionnelle. Ingénieur diplômé de l’école de Télécommunications de PARIS 13 ème, M. DIETY FELIX, fondateur du groupe ITES s’est engagé pour les formations du secteur des technologies industrielles. Mais ce choix n’est pas fortuit. En effet, M.DIETY a été chef du central télex et télégraphique international (CTI-CAM) devenu CCIT. Il a également évolué à COTE D’IVOIRE TELECOMS au DICS en qualité de chef de groupe de sécurité. A parti r de 1999, compte tenu de l’évolution d’ITES, il demande sa mise en disponibilité pour mieux conduire son ambition de créer une école donnant des formations adaptées aux besoins des entreprises et digne des structures Européennes et Américaines. ITES comprend en son sein : ème  Le cycle secondaire : ce cycle forme en 3ans après le BEPC ou la classe de 3  BAC F2  Les techniciens supérieurs : ce cycle forme en 2ans pour les bacheliers et 3ans pour les non bacheliers  BTS en Informatique et Développement D’application (IDA)  BTS en Réseau Informatique et Télécommunications (RIT)  BTS en Electronique (ELN)  BTS en Maintenance des systèmes de productions  BTS en Electrotechnique (ELT)  BTS en Finance Comptabilité et Gestion D’entreprise (FCGE)  BTS en Gestion et Communication (GESCOM) Le cycle ingénieur : BAC +5 en Informatique, Télécommunications et Electronique. Depuis sa création, ITES a grandi en passant des étapes grâce à ses résultats. Ainsi, de 1998 à 1999, elle ouvre le BTS Télécommunications et est la première école à formé dans cette filière.


6


Rapport de stage


ans le cadre de ma formation en deuxième année de BTS (Brevet de Technicien Supérieur) Télécommunications à ITES (Institut de Technologies et de Spécialités), j’ai eu la chance d’effectuer mon stage qui se déroulait du 13 août au 16 novembre 2012, dans un établissement qui me tenait à cœur : I-Telecom technology plus. L’objectif de ce stage était de savoir implémenter des réseaux informatiques, de télécommunications et d’assurer la sécurité du réseau. Etant intéressé par le domaine des réseaux de télécommunications et plus particulièrement le domaine du réseau informatique, il me semblait judicieux de m’orienter vers ce type d’entreprise, j’espérais pouvoir découvrir une facette du monde des réseaux informatiques, ainsi que recevoir de nouvelles connaissances et une expérience en matière de réseaux informatiques et de télécommunications. I-TELECOM TECHNOLOGY PLUS est une SARL spécialisée dans l’intégration de solutions informatiques, télécom et management et sit ué à Cocody II-Plateaux. Pour présenter mon rapport, j’ai choisi tout d’abord de présenter l’établissement dans sa globalité, pour ensuite me diriger vers l’atelier où j’ai été affecté et décrire la nature du travail que j’ai pu exécuter.

D


7


Rapport de stage



8


Rapport de stage


CHAPITRE I: PRESENTATION I-TELECOM TECHNOLOGY PLUS I/ SITUATION SOCIALE

1-Dénomination I-TELECOM TECHNOLOGY PLUS est une SARL spécialisée dans l ’intégration de solutions informatiques, télécom et management.

2-Siège social I-TELECOM est situé à Cocody II plateau derrière le restaurant TAALAT aux 246 logements à la villa 60. A sa création, I-TELECOM TECHNOLOGY PLUS ses donné pour mission d’apporté aux entreprises les meilleurs outils technologie a coût abordable afin de leur permettre d’atteindre leur objectifs de productivité et de rentabilité. La société veut offrir un portefeuille de solution à l’organisation de toute taille (PME, administration publique) et aux opérateurs de télécommunications en côte d’ivoire et en Afrique de l’ouest. Partenaires à valeurs ajouté des constructeurs CISCO, SUN, MICROSOFT, TREND MICRO SYMANTEC, WEBSENSE………., I-TELECOM TECHNOLOGY, acteur majeur de l’informatique en côte d’Ivoire, élabore des solutions, distribue des équipements, fournit des services managés ou externalisés , dans les domaines des système d’informations communiquant, des réseaux IP sécurisé, des communications voix et données et des tél écommunications avec un effectif d’une dizaine de personnes majoritairement des ingénieurs expérimentés certifier MCAS,MCSE , CCNA , CCNP, cette entreprise confirme son expertise sur le segment des réseaux et télécoms .

3-Objet social I-TELECOM TECHNOLOGY PLUS est une SARL dont l’activité principale tourne autour des trois (3) grands axes suivants :

Pôle solutions Câblage, interconnexion, sécurité informatique et électronique, réseaux, s auvegarde de données, installations de serveurs, audit informatique, conseils, infographie et multimédia…

Pôle formation Certifications internationales CISCO, MICROSOFT, LINUX, ORACLE,…. Renforcement des capacités des entreprises. Formation du personnel. Séminaires de formations. Stage professionnelle. Ce stage concerne le niveau BTS, ingénieur, les travailleurs et toutes autres personnes voulant être opérationnel en entreprise.


9


Rapport de stage


Pôle vente Spécialiste en vente d’équipements Cisco, HP, IBM…., De software : antivirus, bureautique, serveurs, monitoring…

II- MISSION ET COMPETENCES 1/ mission La mission d’I-TELECOM TECHNOLOGY PLUS est de permettre aux opérateurs fixes et mobiles de réduire les coûts d’exploitation et de réussir la conve rgence entre réseaux et services d’anciennes et nouvelles génération. Aussi, elle accompagne des directions des systèmes d’information ou départements informatiques des entreprises vers l’excellence opérationnelle et les gains de productivité grâce à l’utilisation efficace et adaptée des nouvelles technologies de l’informatique et de la communication. Pour mener à bien sa mission, I-TELECOM TECHNOLOGY PLUS développe et combine des capacités en réseaux informatique et télécoms, dans un environnement d’exploitation de système d’information (IT) et sécurité des réseaux IP, pour construire les fondations sur lesquelles reposera les solutions convergentes et e-business. Pour la conception, la planification, la mise en place, l’exploitation et la maintenance des r éseaux modernes sécurisés de tout type,( cuivre, optique CPL ;opérateurs ; LAN ,MAN.WAN ou internet), la société apporte son expertise notamment sur : Les solutions d’accès innovantes (<>) , de convergence TDM / IP ; Les solutions de transmission par micro-ondes pour réseaux SDH ; Les produits cœurs du réseau IP (routage et communication), sécurité (VNP, Firewall, IPS/IDS), IP Communications (IP Telephony, Unifed Messaging, vidéo) et Wireless (Wireless LAN) de CISCO Les boucles locales radio, ponts Ethernet radio, solutions Wimax ; Les équipements matériels et logiciels de V0IP pour opérateurs ; Les clients légers, les solutions d’infrastructure d’accès optimisée (SSO, VNP, SSL) ; Les plates-formes systèmes, les solutions d’entreprise ainsi que l’offre applicative (productivité, messagerie et Groupware, gestion de projet, sécurisation système) de MICROSOFT Logiciels applicatifs Gestion de Parc Helpdesk ERP CRM

2/ Compétences La compétence d’I-Telecom TECHNOLOGY PLUS n’est plus à démontrer . I-TELECOM TECHNOLOGY PLUS est l’un des cabinets en Côte d’Ivoire offrant une expertise reconnue dans l’ ensemble des domaines concernés par des solutions réseaux, Internet/Intranet, et sécurité. Son engagement à fournir de qualité, manifestée par l a formation certifiant de ses ingénieurs, lui a valu d’obtenir les agréments des marques que nous représentons.


10


Rapport de stage


III/ ORGANISATION STRUCTURELLE 1. organigramme

DIRECTION GENERAL

DIRECTION ADMINISTRATIVE FINANCIERE SECRETAIRIAT

DEPARTEMENT TECHNIQUE

POLES SOLUTIONS & VENTES

DIRECTION COMMERCIALE &MARKETING

SERVICE COMPTABLE

POLE MAINTENANCE

POLE FORMATION

LES COMMERCIAUX

ORGANIGRAMME D’I-TELECOM TECHNOLOGY PLUS


11


Rapport de stage


2/ le rôle des différentes directions et services de i – télécom Le fonctionnement de chaque secteur de cet organigramme consiste à donner les différents secteurs et leurs rôles:

 La Direction générale

Elle a pour charge de contrôler et de coordonner les Activités d’ITEL, de viser les projets de dépense et aussi elle prend des décisions et définie les grands objectifs de la société.  La Direction administrative et financière

Directement rattachée à la Direction Générale, elle coordonne les activités des différents départements. C’est l’organe chargée de gérer la communication entre l’ensemble du personnel de l’entreprise. C’est la courroie de transmission entre la direction et le personnel. Elle est également chargée de : L’élaboration de la mise en place de procédures de contrôle des activités des différents services. La coordination de l’administration générale de l’entreprise.  Service comptabilité

II gèr e la comptabilité et les finances d’I-télécom. II a pour tâche, l’enregistrement des opérations comptables de l’entreprise, le suivi des clients et le recouvrement de leurs créances. En un mot, ce services assure l’administration des ventes par les opérati ons comme : La coordination de toutes les opérations de ventes effectuées. Le contrôle de l’établissement des factures, leur paiement et la livraison des équipements commandés par les clients. La saisie des bons de commande et l’impression des factures proforma.  Direction commercial et marketing :

Ce service est chargé : - D’accueillir les clients. - De faire connaitre l’entreprise par la publicité. - De véhiculer les informations dans tous les services. - Faire la promotion dans toute l’étendue du territoire.  Département Technique

Ce département est chargé de couvrir la formation du personnel et des auditeurs et aussi de déployer des solutions en entreprises ainsi que la maintenance et la vente d’équipements De part sa mission, ce département ouvre le voie à trois grands pôle à savoir le pôle solution entreprise et vente, le pôle maintenance, assistance et vente et le pôle formation.


12


Rapport de stage


Pôle Solution Entreprise et Vente Ce pôle a pour mission de déployer des solutions entreprises et la vente d’équipements.

Pôle Maintenance Ce pôle comme son nom l’indique a pour mission essentielle de couvrir la maintenance du pack informatique d’I-télécom mais surtout d’obtenir des contrats de maintenance auprès des entreprises.

Pôle formation Ce pôle est chargé des formations aux certifications internationales CISCO, MICROSOFT, LINUX, ORACLE,…. Renforcement des capacités des entreprises, Formation du personnel, Séminaires de formations et de Stage professionnelle.  Secrétariat

Rattaché à la direction administrative et financière .ce service assume l’intermédiaire entre celle –ci et les autres services de l’entreprise. Il est chargé de : -la réception des clients -La diffusion des informations au sein de l’entreprise.


13


Rapport de stage


CHAPITRE II : PRESENTATION DU THEME CONTEXTE

L'EAP (Extensible Authentification Protocol) n'est pas un protocole d'authentification à proprement parler, mais un protocole de transport de protocoles d'authentification tels que TLS, MD5, PEAP, LEAP, etc. En effet, avec cette méthode, les paquets du protocole d'authentificati on sont encapsulés dans les paquets EAP. Son but est l'authentification d'un utilisateur sur un réseau non ouvert, car dans un premier temps, dans ce type de réseau, seul les trafics EAP sont permis (pour permettre l'authentification). Ce n'est qu'après authentification que le réseau est ouvert. Une méthode d'authentification EAP utilise différents éléments pour identifier un client tels que : le couple « login/mot de passe », les « certificats électroniques », les « cartes à puces (SIM) », etc. En plus de l'authentification, EAP gère la distribution dynamique des clés de chiffrement (WEP ou WPA). Les deux méthodes d'authentification EAP utilisant des certificats sont : PEAP (Protected EAP): Le processus d'authentification de PEAP consiste à établir un tunnel sécurisé TLS entre le client et le serveur d'authentification, en authentifiant le serveur RADIUS à l'aide d'un certificat. Ensuite, il est possible de choisir entre la méthode MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) ou TLS pour authentifier l'utilisateur. Quand la méthode PEAP est utilisée c'est souvent pour éviter d'utiliser les certificats client, il est donc logique que sur les deux méthodes proposées par PEAP, l'utilisation de Login/Password, via MS-CHAP, soit largement privilégiée. EAP-TLS (EAP-Transport Layer Security): EAP-TLS est une méthode D’authentification mutuelle, ce qui signifie que le client et le serveur se prouvent respectivement leur identité. Lors de l'échange EAP-TLS, le client d'accès à distance envoie son certificat d'utilisateur et le serveur d'accès à distance envoie son certificat d'ordinateur. Si l'un quelconque des certificats n'est pas envoyé ou n'est pas valide, la connexion est interrompue. Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un protocole de transport sé curisé (chiffrement, authentification mutuelle, contrôle d'intégrité). Nous utilise rons donc la méthode EAP-TLS qui propose le plus de sécurité. Avec la méthode EAP-TLS l'authentification du client d'accès peut se faire de différentes façons : a- A l'aide d'un certificat personnel associé à la machine, l'authentification a lieu au démarrage de la machine. b- A l'aide d'un certificat personnel associé à l'utilisateur, l'authentification a lieu après l'entrée en session de l'utilisateur. Nous avons opté pour la seconde méthode car elle augmente le niveau de sécurité.


14


Rapport de stage



15


Rapport de stage


CHAPITRE I/ PRESENTATION DU WI-FI I/ LES NORMES 1/ La norme 802.11 Institute of Electrical and Electronics Engineers ou IEEE, en français l’<>est une association professionnelle. L’IEEE est composé d’ingénieurs électriciens, informaticiens, de professionnels du domaine des télécommunications. Ainsi l’IEEE comporte plusieurs comités d’où le comité IEEE 802.11 chargé du Wi-Fi. La norme IEEE 802.11 adopté en 1997 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbit/s, des fréquences de 2,4Ghz et 5Ghz (Wi- Fi est un nom commercial, et c’est par abus de langage que l’on parle de « normes » Wi-Fi). Des révisions ont été apportées à la norme originale afin d’améliorer le débit (c’est le cas des normes 802.11a, 802.11b, 802.11g et 802.11n, appelées normes 802.11 physiques).

2/ La norme 802.11a La norme 802.11a (baptisée Wi-Fi 5) permet d’obtenir un haut débit (dans un rayon de 10 mètres :54 Mbit/s théoriques, 27 Mbit/s réels). La norme 802.11a spécifie 52 canaux de sous-porteuses radio dans la bande de fréquences des 5 GHz. La modulation utilisable est, au choix : 16QAM, 64QAM, QPSK ou BPSK.

3/ La norme 802.11b La norme 802.11b est la norme la plus répandue en base installée actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s réels) avec une portée pouvant aller jusqu’à 300 mètres (en théorie) dans un environnement dégagé. La plage de fréquences utili sée est la bande des 2,4 GHz. La modulation utilisable est, au choix : CCK, DBPSK ou DQPSK.

4/ La norme 802.11g La norme 802.11g est la plus répandue dans le commerce actuellement. Elle offre un haut débit (54 Mbps théoriques, 25Mbps réel) sur la bande de fréquence des 2,4 GHZ. La norme 802.11g a une compatibilité ascendante avec la norme 802.11b, ce qui signifie que des matériels conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cette aptitude permet aux nouveaux équipements de proposer le 802.11g tout en restant compatibles avec les Réseaux existants qui sont souvent encore en 802.11b. Le principe est le même que celui de la norme 802.11a puisqu’on utilise ici 52 canaux de sous-porteuses radio mai cette fois dans la bande de fréquences des 2,4 GHZ. Ces sous-porteuses permettent une modulation OFDM autorisant de plus haut débits que les modulations classiques BPSK, QPSK ou QAM utilisés par la norme 802.11a.

5/ La norme 802.11n La norme 802.11n est disponible depuis le 11 septembre 2009. Le débit théorique atteint les 300 Mbps (débit réel de 100 Mbps dans un rayon de 100 mètre) grâce aux technologies MIMO (Multiple-Input Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing).


16


Rapport de stage


Le 802.11n a été conçu pour pouvoir utiliser les fréquences 2,4 GHZ ou 5 GHZ. Les premiers adaptateurs 802.11n actuellement disponibles sont généralement simple-bande à 2,4GHZ, mais des adaptateurs double-bande (2,4 GHZ ou 5GHZ, au choix) ou même double – radio (2,4 GHZ et 5GHZ simultanément) sont également disponibles

6/ La norme 802.11i La norme 802.11i a pour but d’améliorer la sécurité des transmissions (gestion et distribution des clés, chiffrement et authentification). Cette norme s’appuie sur l’AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les standards 802.11a, 802.11b et 802.11g.

II / MODE DE FONCTIONNEMENT DU WI-FI 1/ Mode Ad-Hoc Le mode « Ad-Hoc » est un mode de fonctionnement qui permet de connecter direct ement les ordinateurs équipés d’une carte Wi-Fi sans utiliser un matériel tiers tel qu’un point d’accès (en anglais : Access Point [AP]). Les cartes Wi-Fi sont disponibles dans de nombreux formats (carte PCI, carte PCMCIA, adaptateur USB,…). On appelle station tout équipement possédant une telle carte. Ce mode est idéal pour interconnecter rapidement des machines entre elles sans matériel supplémentaire (exemple : échange de fichiers entre portables dans un train, dans la rue, au café…). La mise en place d’un tel réseau se borne à configurer les machines en mode ad hoc (au lieu du mode Infrastructure), la sélection d’un canal (fréquence), d’un nom de réseau (SSID) communs à tous et si nécessaire d'une clé de chiffrement. L’avantage de ce mode est de s’affranchir de matériels tiers, c'est-à-dire de pouvoir fonctionner en l'absence de point d'accès. Des protocoles de routage dynamique (exemples : OLSR, AODV…) rendent envisageable l'utilisation de réseaux maillés autonomes dans lesquels la portée ne se limite pas à ses voisins (tous les participants jouent le rôle du routeur).

Image de carte Wi-Fi


17


Rapport de stage


Carte Wi-Fi D-link DWA-643 REPRESENTATION DE LA TOPOLOGIE AD-HOC


18


Rapport de stage


2/ Mode infrastructure Il existe deux types d'équipement pour la mise en place du mode infrastructure: Les adaptateurs sans fils et les points d'accès (notés AP pour Access point , parfois appelés bornes sans fils) permettant de donner un accès au réseau filaire (auquel il est raccordé) aux différentes stations avoisinantes équipées de cartes wifi.

IMAGE D’UN POINT D’ACCES CISCO

Point d’accès Cisco WRT54G

L’arrière du point d’accès Cisco WRT54G


19


Rapport de stage


En mode infrastructure chaque ordinateur station (notée STA) se connecte à un point d'accès via une liaison sans fil. L'ensemble formé par le point d'accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set , noté BSS) et constitue une cellule. Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès.

REPRENTATION D’UN BSS

Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS ) par une liaison appelée Système de Distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution ( DS ) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil.


20


Rapport de stage


REPRESENTATION D’UN ESS

Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format ASCII) servant de nom pour le réseau. L'ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu'une station se connecte au réseau étendu. Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l' ESS , l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d' accès communiquent entre eux grâce au système de distribution afin d'échanger des informat ions sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais roaming).


21


Rapport de stage


REPRESENTATION DE LA TOPOLOGIE INFRASTRUCTURE


22


Rapport de stage


CHAPITRE II : PRESENTATION DU SEVEUR RADIUS I/ METHODES D’AUTHENTIFICATION: 802.1X ET EAP La norme 802.1X (Port-Based Network Access Control) propose un moyen d’authentifier les équipements connectés sur port avant de leur donner l’accès au réseau. Elle utilise EAP (Extensible Authentification Protocol). EAP est un protocole qui permet de transporter divers protocoles d’authentification, l’encapsulation de chaque protocole d’authentification dans EAP étant définie à part. Parmi les protocoles qu’on peut transporter dans EAP : TLS (EAP-TLS), PEAP (EAP-PEAP), TTLS (EAPTTLS). L’utilisation de l’authentification 802.1X avec la clé WAP permet de pallier au problème de piratage de clé WEP et WAP. Ainsi l’authentification du client n’est plus effectuer par le point d’accès avec la clé pré-partagé, mais par un serveur RADIUS (Remote Authentificat ion Dial In User Service) à l’aide d’un protocole d’authentification tel que : TLS, PEAP, TTLS. Le principe de l’authentification 802.1X consiste en ce que le point d’accès relais les trames EAP entre le poste client et le serveur d’authentification RADIUS. Comme logiciels, on aura besoin : - Un système d'exploitation serveur : Windows 2003 Server Entreprise Edition. Nous l'avons choisi car il inclut la gestion des certificats, il dispose d'un serveur RADIUS intégré sous le nom d'IAS (Internet Authentication Service) pouvant gérer un nombre infini de clients RADIUS; les couples login/mot de passe pourront être gérés avec l 'annuaire Active Directory. L'autre solution aurait été d'utiliser une distribution Linux, avec ce choix, on aurait utilisé Free Radius pour l'authentification. Mais puisque sa mise en œuvre est beaucoup moins aisée, nous optons pour le choix de Windows 2003 serveur. Comme on peut le remarquer, la mise en place du réseau sans fil et du serveur RADIUS ne va pas modifier l’architecture du réseau existant. Tous les ordinateurs de bureau et portable du réseau seront désormais connectés grâce au Wi-Fi.

CONCEPT DE SOLUTION BASEE SUR L’AUTHENTIFICATION EAP-TLS 802.1X


23


Rapport de stage


Le client sans fil. Il s'agit d'un ordinateur ou d'un périphérique exécutant une application qui doit accéder à des ressources du réseau. Ce client est capable non seulement de crypter son trafic réseau, mais aussi de stocker et d'échanger des informations d'identité (clés ou mots de passe). Le point d'accès sans fil. Dans la terminologie réseau, on parle également de service d'accès au réseau. Ce point d'accès sans fil gère l'accès au réseau et crypte le trafic sans fil. Il permet d'échanger en toute sécurité des clés de cryptage avec le client, afin de sécuriser le trafic du réseau. Enfin, il peut interroger un service d'authentification et d'autorisation pour autoriser ou refuser l'accès au réseau. Le service NAAS (Network Authentication and Authorization Service). Ce service stocke et vérifie l'identité des utilisateurs habilités, et gère les accès conformément à la stratégie de contrôle d'accès définie. Il peut également collecter des informations de comptabilité et d'audit sur l'accès du client au réseau. Le réseau interne. Il s'agit d'une zone sécurisée de services réseau, à laquelle l'application cliente sans fil doit avoir accès.

II/ RISQUES LIES AUX RESEAU WI- FI SANS L’AUTHENTIFICATION PAR LE SERVEUR RADIUS 1/ interception des données Par défaut le réseau sans fil itelecom_wifi est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le rayon de portée du point d'accès peut potentiellement écouter toutes les communications circulant sur le réseau. Pour un particulier la menace est faible car les données sont rarement confidentielles, si ce n'est les données à caractère personnel. Pourtant est une entreprise, en revanche l'enjeu stratégique peut être très important.

2 / intrusion réseau Lorsqu'un point d'accès est installé sur le réseau local, il permet aux stations d'accéder au réseau filaire et éventuellement à internet si le réseau local y est relié. Un réseau sans fil non sécurisé représente de cette façon un point d'entrée royal pour le pirate au réseau interne d'une entreprise ou une organisation. Outre le vol ou la destruction d'informations présentes sur le réseau et l'accès à internet gratuit pour le pirate, le réseau sans fil peut également représenter une aubaine pour ce dernier dans le but de mener des attaques sur Internet. En effet étant donné qu'il n'y a aucun moyen d'identifier le pirate sur le réseau, l'entreprise ayant installé le réseau sans fil risque d'être tenue responsable de l'attaque.

3 / brouillage réseau Les ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission radio ayant une fréquence proche de celle utilisée dans le réseau sans fil. Un simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fil lorsqu'il fonctionne dans le rayon d'action d'un point d'accès.


24


Rapport de stage


4/ Denis de service La méthode d'accès au réseau de la norme 802.11 est basée sur le protocole CSMA/CA, consistant à attendre que le réseau soit libre avant d'émettre. Une fois la connexion établie, une station doit s'associer à un point d'accès afin de pouvoir lui envoyer des paquets. Ainsi, les méthodes d'accès au réseau et d'association étant connus, il est simple pour un pirate d'envoyer des paquets demandant la désassociassion de la station. Il s'agit d'un déni de service, c'est-à-dire d'envoyer des informations de telle manière à perturber volontairement le fonctionnement du réseau sans fil. D'autre part, la connexion à des réseaux sans fils est consommatrice d'énergie. Même si les périphériques sans fils sont dotés de fonctionnalités leur permettant d'économiser le maximum d'énergie, un pirate peut éventuellement envoyer un grand nombre de données (chiffrées) à une machine de telle manière à la surcharger. En effet, un grand nombre de périphériques portables (assistant digital personnel, ordinateur portable, ...) possèdent une autonomie limitée, c'est pourquoi un pirate peut vouloir provoquer une surconsommation d'énergie de telle manière à rendre l'appareil temporairement inutilisable, c'est ce que l'on appelle un déni de service sur batterie.


25


Rapport de stage



26


Rapport de stage


CHAPITRE I : CONFIGURATION D’UN RESEAU WI-FI I/ BRANCHEMENT DU POINT D’ACCES Pour paramétrer votre point d’accès, vous devez tout d’abord relier à la ide d’un câble droit la prise Ethernet de votre ordinateur à la prise Ethernet de votre point d’accès.

REPRESENTATION DU BRANCHEMENT DU POINT D’ACCES

II/CONFIGURATION DE L’ADRESSE IP DE L’ORDINATEUR SOUS WINDOWS XP Nous cliquons sur Démarrer puis Panneau de configuration et Connexions réseau et internet


27


Rapport de stage


Nous cliquons sur Connexion réseau


28


Rapport de stage


Puis Connexion au réseau local Dans l’onglet Général : Propriétés

Dans l’onglet Général : Propriétés Sélectionnez : Protocole Internet > Propriétés:


29


Rapport de stage


III / LANCEMENT D’UN NAVIGATEUR WEB Lancez votre navigateur web : MOZILLA FIREFOX, GOOGLE CHROME, INTERNET EXPLORER… et entrez l’adresse IP de votre point d’accès (fournie par le manuel d’utilisation de votre point d’accès WI-Fi) dans la barre d’adresse du navigateur. Par exemple : http://192.168.1.1

Entrez l’identifiant et le mot de passe fournis par le manuel d’utilisation dans la fenêtre qui s’affiche.

Vous accédez à l’interface d’administration de votre point d’accès. Celle-ci vous permet de le configurer pour notre réseau d’I-TELECOM TECHNOLOGY PLUS. Nous utiliserons un LINKSYS WRT54G.

IV/ CONFIGURATION DU POINT D’ACCES Voici la première page de configuration lorsqu’on entre dans l’interface du point d’accès WRT54G


30


Rapport de stage



31


Rapport de stage


Configuration du nom de notre point d’accès, son SSID

Le nom du point d’accès est itelecom_wifi Configuration de l’adresse IP de votre point d’accès. Nous choisirons l’adresse IP de notre point d’accès 192.168.1.1, ainsi chaque ordinateur client qui s’y connecteront auront une adresse du type 192.168.1.2, 192.168.1.3, 192.168.1.4, …Tous les ordinateurs auront le même masque de sous réseau 255.255.255.0.


32


Rapport de stage


Modification du Nom d’utilisateur et du Mot de passe par défaut. Nouveau Nom d’utilisateur : Kossonou@ Nouveau Mot de passe : @chil


33


Rapport de stage


CHAPITRE II/ INSTALLATION DE WINDOWS 2003 SERVEUR ENTREPRISE EDITION I/Boot et Partitions du Disque Dur 1/Boot et démarrage de l’installation Bootez depuis le CD-ROM d’installation de Windows 2003 Server, vous devez obtenir ceci :

Après le boot nous obtenons ceci :


34


Rapport de stage


Nous appuyons sur Entrée pour installer Windows maintenant :

2 /Partitions du Disque dur Nous allons créer maintenant les partitions pour notre serveur. Pour créer une partition appuyez sur la touche C puis définissez la taille. Nous faisons de même avec l’espace restant :

3 /Validation des paramètres Cette fois-ci nous démarrons normalement et non sur le CD-ROM d’installation. Windows reprendra la procédure d’installation en installant les périphériques :


35


Rapport de stage


Nous obtenons ceci après validation des paramètres demandés, l’installation s’achève ainsi:


36


Rapport de stage


CHAPITRE III : SECURISATION I/ SECURISATION SUR LE POINT D’ACCES Pour commencer il faut configurer le point d’accès d’I-Télécom technology. Le nom du point d’accès est itelecom_wifi. Les modes de sécurité pouvant être utilisé pour la configuration du serveur radius sont le WPA entreprise ou le WPA2 entreprise, nous la choisirons la deuxième option car l’algorithme est beaucoup plus puissant que l’autre. Nous choisissons la clé TKIP+AES pour le cryptage de nos données. Ensuite nous entrons l’adresse IP de notre serveur RADIUS 192.168.1.2. Puis enfin nous entrons la clé partagé de notre choix comment.

1/ Eviter les valeurs par défaut Lors de la première installation du point d’accès, celui-ci est configuré avec des valeurs par défaut, y compris en ce qui concerne le mot passe de l’administrateur. Un grand nombre d’administrateur en herbe considèrent qu’a partir du moment où le réseau fonctionne, il est inutile de modifier les paramètres du point d’accès. Toutefois les paramètres par défaut sont tels que la sécurité est minimale. Il est donc impératif de se connecter sur l’interface d’administration notamment pour modifier le mot de passe d’administration et le nom d’utilisateur. Nouveau nom d’utilisateur : Kossonou@ Nouveau mot de passe : @chil Voir page 33 D’autre part avant de se connecter à un point d’accès, il est impératif de connaitre l’identifiant du réseau (SSID). Ainsi il est vivement recommandé de modifier cet identifiant, nous choisissons itelecom_wifi comme nouveau nom du réseau. Voir procédure à la page 33

2/ activation d’un cryptage (WEP OU WPA) Pour remédier aux problèmes de confidentialité sur le Wi-Fi, le standard 802.11 intègre un mécanisme très simple de chiffrement des données, il s’agit du WEP (Wi red equivalent privacy) et du WPA (Wireless Protected Access). Pour notre réseau itelecom_wifi nous n’utiliserons la clé WPA avec authentification par serveur RADIUS (WPA2entreprise). Les modes de sécurité pouvant être utilisé pour la configuration du serveur radius sont le WPA entreprise ou le WPA2 entreprise, nous la choisirons la deuxième option car l’algorithme est beaucoup plus puissant que l’autre. Nous choisissons la clé TKIP+AES pour le cryptage de nos données. Ensuite nous entrons l’adresse IP de notre serveur RADIUS 192.168.1.2. Puis enfin nous entrons la clé partagé de notre choix comment.


37


Rapport de stage


3/ filtrage par adresse MAC Chaque adaptateur réseau possède une adresse physique qui lui est propre. Les points d’accès permettent généralement dans leur interface de configuration de gérer une liste de droit d’accès (appelé ACL) basée sur l’adresse MAC des équipements autorisés à ce connecter ou à ne pas se connecter au réseau Wi-Fi. Cette préoccupation un peu contraignante permet de limiter l’accès au réseau à un certain nombre de machines. Nous allons lister les adresses MAC ordinateurs du réseau d’I-Telecom pouvant ce connecter au point d’accès itelecom_wifi. Cliquer sur Sans fil> Accès sans fil> Limiter l’accès> Autoriser l’accès au réseau sans fil uniquement aux ordinateurs répertoriés> Modifier la liste de filtrage des adresses MAC.


38


Rapport de stage


Nous obtiendrons la page suivante:

Puis après avoir listé les adresses nous cliquons sur enregistrer les paramètres.


39


Rapport de stage


4/ désactivation du DHCP Le serveur DHCP (Dynamic Host Configuration Protocol) est un serveur permettant l’adressage dynamique des postes du réseau. Etant désactiver il empêche les utilisateurs ne connaissant pas l’adresse du réseau à ce connecter au réseau itelecom_wifi.

III/ SECURISATION DU SERVEUR RADIUS Depuis le Panneau de configuration, nous lançons Ajout /Suppression de programmes


40


Rapport de stage


Puis nous cliquons sur Ajouter ou supprimer des composants Windows :

Nous sélectionnons Service de mise en réseau puis nous cliquons sur Détails :


41


Rapport de stage


Nous cochons Service d’authentification internet puis Ok :

Depuis les Outils d’administration nous sélectionnons Service d’authentification internet :


42


Rapport de stage


Nous faisons un clic droit sur Client RADIUS puis Ajouter un client RADIUS :

Nous indiquons l’adresse IP du point d’accès, puis donnons un nom à ce client RADIUS puis Suivant :

Nous entrons le secret partagé inscrit au début sur la point d’accès (comment) puis terminer :


43


Rapport de stage


Le client radius KOSSONOU est alors ajouté :

Sélectionnons maintenant Stratégies d’accès distant, puis clic droit et ensuite Nouvelle Stratégie D’accès distant :

Nous cliquons sur Suivant :


44


Rapport de stage


Nous donnons un nom à cette Stratégie puis sur Suivant :

Nous cochons Sans fil puis Suivant :


45


Rapport de stage


Nous cliquons sur Suivant :

Puis Suivant à nouveau :


46


Rapport de stage


Nous cliquons sur Terminer :

La stratégie a été ajoutée :


47


Rapport de stage


Nous ouvrons la console Utilisateurs et ordinateurs Active Directory puis les Propriétés d’un compte qui se connectera en Wi-Fi :

Pour l’onglet Appel entrant nous cochons Autoriser l’accès puis nous cliquons sur OK :


48


Rapport de stage


2/ Configuration sur le client Wi-Fi Sur le poste client nous nous connecterons en Ethernet et via un navigateur afin de télécharger les certificats d’autorité de certification les nous ferrons https://192.168.1.2/certsrv puis Poursuivre avec ce site web (non recommandé) :

Nous entrons le compte qui se connectera en Wi-Fi puis OK, ensuite nous cliquons sur Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation de certificats :


49


Rapport de stage


Nous cliquons sur Télécharger un certificat de l’autorité de certification :

Nous cliquons sur Ouvrir :


50


Rapport de stage


Nous cliquons sur Installer le certificat… puis sur OK :

Nous cliquons sur Demander un certificat :


51


Rapport de stage


Puis sur Certificat utilisateur :

Nous cliquons sur Envoyer:

Nous cliquons sur Oui :

Puis sur Installer ce certificat:


52


Rapport de stage


Nous cliquons sur Oui :

Puis Oui une fois de plus :

Nous déconnectons le câble réseau et nous entrons dans les propriétés réseau, puis un clic droit sur la connexion réseau sans fils pour ouvrir les propriétés.


53


Rapport de stage


Pour l’onglet Configuration réseau sans fil nous cliquons sur Ajouter :

Ensuite nous indiquons le Nom SSID du point d’accès et nous sélectionnons WPA-TKIP :


54


Rapport de stage


Dans l’onglet Authentification nous cliquons sur Propriétés :

Nous cochons le certificat installé précédemment puis sur OK :


55


Rapport de stage


Nous ouvrons le Gestionnaire de Connexion réseau sans fil puis nous nous connectons à notre réseau Wi-Fi :

Celui-ci valide alors votre identité :

Nous sommes maintenant connectés au Wi-Fi itelecom_wifi:


56


Rapport de stage


CONCLUSION Au terme de mon stage nous avons pu voir plusieurs équipements dont les routeurs Cisco (série 1850,1851,...), des Switch Cisco, des point d’accès Cisco, des serveurs… . Ainsi pendant ce stage nous avons appris à faire le câblage d’un réseau local, à mettre en œuvre la technologie Wi -Fi et CPL (Courant Porteur en Ligne) et à mettre en place une stratégie de sécurité. Aussi nous avons pu apprendre à implémenter un VLAN (Virtual Local Area Network). Nous avons encore appris à interconnecter des sites distants. En effet, ce stage nous a permis de bien cerner le monde des réseaux informatiques, et d’avoir une expérience du monde du travail. Aussi j’ai pu découvrir certaines aptitudes en moi notamment le sens de l’initiative, du travail bien fait, de l’organisation et de la ponctualité. Par ailleurs, j’aimerais signifier qu’il y a une différence entre les cours théoriques et la pratique que j’ai vus sur le terrain, car au cours théorique nous n’arrivons pas à cerner au maximum tout ce que nous devons apprendre. La pratique m’a donc permis de mieux comprendre ce que nous avons vus en théorie.


57


RAPPORT Sécurisation d'Un Réseau Wifi

Recommend Documents