Anis

Rpublique Tunisienne Ministre de lEnseignement Suprieur et de la Recherche Scientifique Universit de Tunis ElManar
Institut Suprieur de lInformatique
RAPPORT DE STAGE DE FIN DETUDTE Prsent en vue de lobtention de la licence applique en rseaux informatiques
Parcours : Administration des rseaux et de services
Elabor par: BEN LTAIEF Ahmed MFARREJ Selim
Sujet : Mobilit et scurit des points daccs sans fil

Organisme daccueil :
Groupe Tunisie Telecom
Encadr par : Encadrant lentreprise : Monsieur REKIK Anis Encadrant linstitut : Monsieur JARRAYA Mohamed
Anne Universitaire : 2010/2011
Rpublique Tunisienne Ministre de lEnseignement Suprieur et de la Recherche Scientifique Universit de Tunis ElManar
Institut Suprieur de lInformatique
RAPPORT DE STAGE DE FIN DETUDTE Prsent en vue de lobtention de la licence applique en rseaux informatiques
Parcours : Administration des rseaux et de services
Elabor par : BEN LTAIEF Ahmed MFARREJ Selim
Sujet : Mobilit et scurit des points daccs sans fil

Organisme daccueil :
Groupe Tunisie Telecom
Encadr par : Encadrant lentreprise : Monsieur REKIK Anis Encadrant linstitut : Monsieur JARRAYA Mohamed
Anne Universitaire : 2010/2011
Ddicace
Nous ddions ce travail : Nos mres, sources de tendresse et damours pour leurs soutiens tout le long de notre vie scolaire. Nos pres, qui nous ont toujours soutenus et qui ont fait tout possible pour nous aider. Nos frres et nos surs, que nous aimons beaucoup. Notre grande famille. Nos cher ami (e) s, et enseignants. Tout quon collabor de prs ou de loin llaboration de ce travail. Que dieu leur accorde sant et prosprit
Remerciements
Nous tenons, prsenter nos vifs remerciements toutes les personnes qui ont contribu, de prs ou loin, au bon droulement de notre projet de fin dtude. Nous tenons galement prsenter notre respect et notre gratitude Mr. Rekik Anis pour nous avoir offert lopportunit deffectuer ce stage, ainsi pour son suivi et encouragement tout au long de ce travail. Notre gratitude sadresse galement Mr. Jarraya Mohamed pour son encadrement et pour laide quil ma prodigu durant ce rapport, ainsi qua tous mes formateurs. On remercie galement les membres des jurys qui ont accept dvaluer mon travail.
ii
Table des matires

Avant-propos ............................................................................................................................ 1 Chapitre 1 : Etude de lexistant .............................................................................................. 2 Introduction ....................................................................................................................................... 3 I. Prsentation de lentreprise ................................................................................................. 3 1. Naissance ......................................................................................................................... 3 2. Les fonctions ................................................................................................................... 3 3. Organigramme................................................................................................................. 4 II. Problmatique........................................................................................................................ 4 1. Environnement du travail .............................................................................................. 5 a. Environnement matriel ............................................................................................ 5 b. Environnement logiciel ............................................................................................. 6 III. Conception ............................................................................................................................. 6 1. Spcification et analyse de besoin ................................................................................ 6 a. Les besoin fonctionnels ............................................................................................ 6 b. Les besoin non fonctionnels ..................................................................................... 6 2. Architecture de la solution ............................................................................................. 7 3. Diagramme de cas dutilisation .................................................................................... 7 4. Diagramme de squence ................................................................................................ 8 5. Diagramme de dploiement........................................................................................... 8 Conclusion ......................................................................................................................................... 9 Chapitre 2 : La scurit des rseaux Wifi ............................................................................ 10 Introduction ..................................................................................................................................... 11 I. La technologie Wifi ............................................................................................................ 11 1. Introduction ................................................................................................................... 11 2. Prsentation du WLAN ................................................................................................ 11 a. Dfinition .................................................................................................................. 11
iii
b. Avantages ................................................................................................................. 12 3. Fonctionnement du Wifi ...................................................................................... 13 4. Scurit du Wifi ............................................................................................................ 14 a. Scurit des points daccs ..................................................................................... 15 b. Scurit des protocoles lis aux rseaux sans fils ............................................... 16 c. Scurit de la technologie ....................................................................................... 21 d. Scurit aprs la mise en place du rseau sans fil ............................................... 21 II. Le standard IEEE ................................................................................................................ 22 1. Quelques normes ........................................................................................................... 22 2. Prsentation de la norme 802.1X ................................................................................ 22 3. Le modle et les concepts du standard IEEE ............................................................ 23 4. Le point daccs au rseau (PAE)............................................................................... 24 5. Les faiblesses du 802.1X ............................................................................................. 25 III. Protocole EAP/PEAP ......................................................................................................... 26 1. EAP ................................................................................................................................. 26 a. Prsentation du EAP................................................................................................ 26 b. Fonctionnement du EAP ......................................................................................... 26 c. La circulation des paquets dauthentification ...................................................... 26 d. Les paquets EAP et EAPOL................................................................................... 27 e. Exemple de session 802.1X/EAP .......................................................................... 28 2. PEAP .............................................................................................................................. 30 a. Prsentation du PEAP ............................................................................................. 30 b. Processus dauthentification................................................................................... 31 c. Reconnexion PEAP rapide ..................................................................................... 32 IV. Serveur RADIUS ................................................................................................................ 33 1. Prsentation du serveur RADIUS ............................................................................... 33 2. Fonctionnement du serveur RADIUS ........................................................................ 34
iv
3. Scnario du fonctionnement du serveur RADIUS ................................................... 36 4. Serveur freeRADIUS ................................................................................................... 37 a. Prsentation du freeRADIUS ................................................................................. 37 b. Historique du freeRADIUS .................................................................................... 37 c. Schma du fonctionnement du freeRADIUS ....................................................... 37 d. Tableau comparatif .................................................................................................. 38 V. Serveur Samba .................................................................................................................... 38 1. Prsentation du serveur Samba ................................................................................... 38 2. Fonctionnement du serveur Samba ............................................................................ 39 VI. Protocole LDAP .................................................................................................................. 40 1. Prsentation du protocole LDAP ................................................................................ 40 2. Prsentation dActive Directory ................................................................................. 41 a. Introduction .............................................................................................................. 41 b. Les avantages dActive Directory ......................................................................... 42 VII. Serveur DHCP ..................................................................................................................... 43 1. Prsentation du serveur DHCP ................................................................................... 43 2. Fonctionnement du serveur DHCP ............................................................................. 43 Conclusion ....................................................................................................................................... 44 Chapitre 3 : Mise en place du serveur RADIUS et lannuaire Active Directory ............. 45 Introduction ..................................................................................................................................... 46 I. Configuration du lannuaire Active Directory ................................................................ 46
II. Mise en place du serveur RADIUS .................................................................................. 49 1. Installation du freeRADIUS ........................................................................................ 49 2. Configuration du freeRADIUS ................................................................................... 52 a. Configuration du fichier clients.conf .................................................................... 52 b. Configuration du fichier eap.conf .......................................................................... 53 c. Configuration du fichier radiusd.conf ................................................................... 55
v
d. Configuration du fichier users ............................................................................... 56 III. Configuration du point daccs ......................................................................................... 57 IV. Configuration du supplicant .............................................................................................. 60 Conclusion ....................................................................................................................................... 61 Chapitre 4 : Mobilit et Intgration ..................................................................................... 62 Introduction ..................................................................................................................................... 63 I. La mobilit ........................................................................................................................... 63 1. Prsentation de la mobilit .......................................................................................... 63 2. Les avantages de la mobilit ....................................................................................... 63 II. Intgration dUbuntu sous Active Directory ................................................................... 64 1. Prsentation de lintgration ........................................................................................ 64 2. Lintgration ct Active Directory ........................................................................... 64 3. Lintgration ct Ubuntu............................................................................................ 65 4. Installation des packages ............................................................................................. 66 a. Likewise-open .......................................................................................................... 66 b. Krb5-user .................................................................................................................. 67 c. Winbind..................................................................................................................... 68 d. Samba ........................................................................................................................ 68 5. Configuration du fichier krb5.conf ............................................................................. 69 6. Configuration du fichier smb.conf.............................................................................. 70 7. Configuration des fichiers rseaux ............................................................................. 71 III. Rsultat et vrification ....................................................................................................... 75 Conclusion ....................................................................................................................................... 78 CONCLUSION GENERAL .................................................................................................. 79 BIBLIOGRAPHIE ................................................................................................................. 80 NETOGRAPHIE .................................................................................................................... 80 Annexe ..................................................................................................................................... 81
vi
Liste des figures

Figure 1.1 : Lorganigramme du Tunisie Telecom ...................................................................... 4 Figure 1.2 : Architecture de base de notre solution ...................................................................... 7 Figure 1.3 : Diagramme de cas dutilisation ................................................................................. 7 Figure 1.4 : Diagramme de squence ............................................................................................. 8 Figure 1.5 : Diagramme de dploiement ....................................................................................... 8 Figure 2.1 : Schma mode infrastructure ..................................................................................... 13 Figure 2.2 : Schma mode ad-hoc ................................................................................................ 14 Figure 2.3 : Les trois entits qui interagissent dans 802.1X ..................................................... 24 Figure 2.4 : Le PAE ........................................................................................................................ 25 Figure 2.5 : 802.1X et serveur dauthentification ....................................................................... 27 Figure 2.6 : Les requtes EAP....................................................................................................... 28 Figure 2.7 : Squence dauthentification ..................................................................................... 29 Figure 2.8 : Exemple de situation aprs une authentification russie ...................................... 30 Figure 2.9 : Exemple dutilisation du serveur RADIUS............................................................ 34 Figure 2.10 : Authentification avec serveur RADIUS ............................................................... 36 Figure 2.11 : Fonctionnement du freeRADIUS .......................................................................... 37 Figure 2.12 : Echanges des requtes Samba ............................................................................... 39 Figure 2.13 : Fonctionnement du serveur Samba ....................................................................... 40 Figure 2.14 : Schma de lhirarchie dActive Directory ......................................................... 43 Figure 3.1 : Excution de la commande dcpromo ............................................................... 46 Figure 3.2 : Cration dun nouveau domaine .............................................................................. 47 Figure 3.3 : Prcision du nom du domaine .................................................................................. 47 Figure 3.4 : Validation de dossier de la base de donnes .......................................................... 48 Figure 3.5 : Installation du serveur DNS ..................................................................................... 48 Figure 3.6 : Le terminal du systme Ubuntu ............................................................................... 49 Figure 3.7 : La commande dextraction du dossier freeradius-server-2.1.10 ................... 49
vii
Figure 3.8 : Lexcution de lextraction ...................................................................................... 50 Figure 3.9 : Lexcution de ./configure ...................................................................... 50 Figure 3.10 : Lexcution de make ...................................................................................... 51 Figure 3.11 : Lexcution de make install ................................................................. 51 Figure 3.12 : Le fichier clients.conf ............................................................................................. 53 Figure 3.13 : Le fichier eap.conf(section eap) ............................................................................ 54 Figure 3.14 : Le fichier eap.conf(section tls) .............................................................................. 54 Figure 3.15 : Le fichier eap.conf(section peap) .......................................................................... 55 Figure 3.16 : Le fichier radiusd.conf ............................................................................................ 56 Figure 3.17 : Le fichier users ........................................................................................................ 57 Figure 3.18 : Page daccueil de linterface web du point daccs ............................................ 58 Figure 3.19 : Configuration initial du point daccs .................................................................. 58 Figure 3.20 : Configuration du scurit du point daccs ......................................................... 59 Figure 3.21 : Table des SSID ........................................................................................................ 59 Figure 3.22 : Proprits du rseau local ....................................................................................... 60 Figure 3.23 : Longlet Authentification ................................................................................ 60 Figure 3.24 : Proprits EAP protgs ......................................................................................... 61 Figure 3.25 : Proprits EAP MSCHAP v2 ................................................................................ 61 Figure 4.1 : Rsultat du ping avec ladresse IP ........................................................................... 65 Figure 4.2 : Rsultat du ping avec le nom complet du serveur Active Directory .................. 65 Figure 4.3 : Installation du likewise-open ............................................................................. 66 Figure 4.4 : Prcision du nom du domaine .................................................................................. 66 Figure 4.5 : Installation du krb5.conf .................................................................................... 67 Figure 4.6 : Installation du winbind ....................................................................................... 68 Figure 4.7 : Installation du samba .......................................................................................... 69 Figure 4.8 : Le fichier krb5.con .................................................................................................... 69 Figure 4.9 : Le fichier smb.conf.................................................................................................... 70
viii
Figure 4.10 : Dmarrage des services .......................................................................................... 71 Figure 4.11 : Le fichier resolv.conf .............................................................................................. 71 Figure 4.12 : Le fichier hosts ........................................................................................................ 72 Figure 4.13 : Rsultat de la commande nslookup ............................................................ 72 Figure 4.14 : Intgration russie ................................................................................................... 72 Figure 4.15 : Capture de trame de lintgration .......................................................................... 73 Figure 4.16 : Liste des utilisateurs sous Ubuntu et Active Directory ...................................... 73 Figure 4.17 : Capture de trame dimportation des utilisateurs.................................................. 74 Figure 4.18 : Liste des groupes sous Ubuntu et Active Directory............................................ 74 Figure 4.19 : Connexion au point daccs le plus proche .......................................................... 75 Figure 4.20 : Serveur RADIUS en mode coute ........................................................................ 76 Figure 4.21 : Traitement de la requte dauthentification et autorisation daccs ................. 76 Figure 4.22 : Capture de trame dacceptation dauthentification ............................................. 77 Figure 4.23 : Capture de trame de rejet dauthentification ........................................................ 78 Figure A.1 : Cration dun compte utilisateur ............................................................................ 81 Figure A.2 : Indication sur le mot de passe ................................................................................. 82 Figure A.3 : Modification du compte utilisateur cr ................................................................ 82 Figure A.4 : Cration dun groupe................................................................................................ 83 Figure A.5 : Affectation des utilisateurs au groupe.................................................................... 83 Figure A.6 : Configuration du serveur DHCP ............................................................................ 84 Figure A.7 : Configuration du serveur DNS ............................................................................... 84
Liste des tableaux

Tableau 1 : Tableau comparatif des diffrents mthodes dauthentification supports par le service RADIUS..................................................................................................................................................38
ix
Stage de fin dtudes
Avant-propos
AVANT-PROPOS
U
do la
n rseau sans fil (en anglais Wireless network), est comme son nom l'indique, un rseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire.
Outre la mobilit qui est introduite, lautre avantage de ce type de rseau est principalement la mise en uvre par rapport des installations filaires qui demandent des amnagements. Ce dernier prsente aussi des inconvnients, les transmissions radiolectriques servent beaucoup dapplications dans divers domaines, et sont sensibles des interfrences, ncessit dune rglementation pour pouvoir utiliser ces ondes.
Mais, de nos jours, on se trouve devant une ncessit dun service de mobilit qui assure la communication des abonns au sein de leurs rseaux. De ce fait, les oprateurs de tlcommunications cherchent rpondre ce besoin en mobilit en installant des rseaux qui offrent le service haut dbit toute en assurant la mobilit des abonns. Nous citons dans ce cadre les rseaux WI-FI, qui font lobjet dtude de ce projet. Evidement la scurit dans ce domaine est incontournable commencer par lauthentification et pour cela le standard 802.1x est une solution de scurisation, mise au point par l'IEEE, permettant d'authentifier un utilisateur souhaitant accder un rseau grce un serveur d'authentification. Le 802.1x repose sur le protocole EAP, dfini par l'IETF, dont le rle est de transporter les informations d'identification des utilisateurs.
Cest dans ce cadre que sinscrit notre projet qui sintressera particulirement la mise en place dun service de mobilit, qui tout en tant scuris se basant sur la norme 802.1x et les protocoles adquat tel que EAP ou PEAP.
Stage de fin dtudes
Etude de lexistant
Chapitre 1 :
Etude de lexistant
Stage de fin dtudes
Etude de lexistant
Introduction
Dans ce premier chapitre, nous allons prsenter brivement la socit daccueil qui est Tunisie Telecom , ses fonctions et ses service, nous allons exposer le problme que nous allons traiter avec notre application. Dans une seconde partie, nous allons traiter les besoins de lentreprise et rvler la conception.
I.
Prsentation de lentreprise :
1. Naissance :
La loi portant cration de l'Office national des tlcommunications, dont le nom
commercial est Tunisie Telecom, est promulgue le 17 avril 1995, et entre en vigueur le 1er janvier 1996. Devenu socit anonyme de droit public fin 2002, il change de statut juridique, par dcret du 5 avril 2004, pour devenir une socit anonyme dnomme Tunisie Tlcom . Elle connat une privatisation partielle en juillet 2006 avec l'entre dans son capital, hauteur de 35 %, de l'mirati TeCom-DIG.
2. Les fonctions :
Les principales fonctions de Tunisie Telecom sont : linstallation et la maintenance des rseaux locaux des abonnes : En effet la russite de la mise niveau de cette entreprise passe par la mise en place dune infrastructure moderne et fiable de tlcommunication permettant de satisfaire le besoin croissant en trafic tout en assurant la fiabilit et la scurit des transmissions. la promotion de nouveaux services de tlcommunication : Moderniser son infrastructure de tlcommunication, diversifier et amliorer les services offerts aux abonnes. Ceci entre dans le cadre de renforcement de la position de lentreprise et de sa comptitivit en vue de faire face des oprateurs tranges surtout pour le tlphone mobile et lintgration de la Tunisie dans la nouvelle conomie mondiale. la contribution au dveloppement technologique et aux recherches scientifiques lies au domaine des tlcommunications : Par le biais de stage en partenariat avec les divers Universits du domaine.
3
Stage de fin dtudes Les services de Tunisie telecom :
Etude de lexistant
Tunisie Telecom propose des services dans le domaine des tlcommunications fixes et mobiles. En juin 2006, elle compte 1.259,000 abonns au rseau fixe (RTCP), et 3. 265,000 abonns au rseau GSM. Depuis 2008, Tunisie Telecom offre la possibilit aux dtenteurs de cartes bancaires nationales d'alimenter le solde de leurs lignes prpayes, via certains distributeurs automatiques de billets de banque, (service Mobilink).
3. Organigramme
Figure 1.1 : Lorganigramme du Tunisie Telecom.
II.
Problmatique
Le rseau WI-FI de lentreprise Tunisie Telecom , souffre de dfaillances majeures
au niveau de la connexion internet entre diffrents btiments, o dans un mme btiment (dun tage lautre) de la mme entreprise, telle quune possible rupture de la connexion ou une connectivit limite. A lheure actuelle, Tunisie Tlcom utilise le systme WISM (Web Information Systems Modeling), mis en place par Cisco pour venir bout de ces dfauts en matire de rseaux WI-FI, mais ce systme prsente plusieurs dficiences car dun point de vue
4
Stage de fin dtudes
Etude de lexistant
technique le systme WISM, est trs compliqu mettre en place et ncessite la prsence de techniciens de la socit Cisco, de plus dun point de vue conomique, le systme est trs coteux acqurir. Donc, le but de lapplication que nous essayons de raliser sera damliorer la mobilit et la facilit daccs au rseau WI-FI intra-btiments au sein de Tunisie Telecom , avec les moyens mis notre disposition par lentreprise. Pour cela nous avons cherch assurer ce qui suit : la continuit de la connectivit et son bon fonctionnement la gestion des utilisateurs via un annuaire en tenant compte de lauthentification lautorisation daccs quaux utilisateurs prsents dans lannuaire faciliter laccs au rseau via un systme de login et mot de passe
1. Environnement du travail :
a. Environnement matriel :
Pour arriver au terme de notre projet, Tunisie Telecom a mis notre disposition durant toute la priode une part de sa logistique matriel comme suit :
PC1 (annuaire active directory): Marque : HP Compaq. Processeur : Dual-Core. Frquence : 1,5 GHZ. Mmoire RAM : 512Mo. Disque Dur : 160GO. PC2 (serveur radius) : Marque : HP Compaq. Processeur : pentium 4. Frquence : 2 GHZ. Mmoire RAM : 512Mo. Disque Dur : 160GO. Ceci en plus de 2 points daccs de marque Cisco et de type aironet 1500.
Stage de fin dtudes
Etude de lexistant
b. Environnement logiciel :
Systme dexploitation : Windows server 2003, Linux Ubuntu Environnement dintgration: Freeradius, samba 3, winbind, Kerberos, Active Directory. Environnement de conception : ArgoUML
III.
Conception
1. Spcification et analyse des besoins :
Lanalyse du sujet nous a permis de cerner des fonctionnalits et les mettre la
disposition de lutilisateur.
Les besoins relevs ont t rpartis en deux sections :
fonctionnels et non fonctionnels.
a. Les besoins fonctionnels :

Cette section recense les principales exigences fonctionnelles de lapplication. Celle-ci doit : Assurer la mobilit de la connectivit WI-FI en premier lieu. Faciliter laccs au rseau via lutilisation de login et mot de passe Amliorer la performance du rseau en maintenant un dbit stable et de bonne qualit.
b. Les besoin non fonctionnels

Cette section recense les principales contraintes non fonctionnelles affectant le projet prsent ainsi : lapplication doit assurer la confidentialit des informations lintgrit des donnes utilisateurs ne doit pas tre modifie au cour dun change rseau. le systme doit tre tolrant aux pannes pour ne pas tomber dans linactivit.
Stage de fin dtudes
Etude de lexistant
2. Architecture de la solution
Figure 1.2 : Architecture de base de notre solution.
3. Diagramme de cas dutilisation
Figure 1.3 : Diagramme de cas dutilisation.
Stage de fin dtudes
Etude de lexistant
4. Diagramme de squence
Figure 1.4 : Diagramme de squence.
5. Diagramme de dploiement
Figure 1.5 : Diagramme de dploiement.

8
Stage de fin dtudes
Etude de lexistant
Conclusion
Durant ce chapitre, nous avons prsent le cadre gnral du projet afin de bien comprendre le travail demand par Tunisie Telecom. Dans le chapitre suivant, nous allons tudier la technologie WI-FI et la scurit WI-FI dans un premier lieu puis prsenter la norme 802.1X et ce qui sen suit de protocoles et prsenter brivement lorganisation IEEE.
Stage de fin dtudes
La scurit des rseaux Wifi
Chapitre 2 : La scurit des rseaux WI-FI
10
Stage de fin dtudes
Introduction
La Tunisie Telecom dispose dun parc informatique important avec un rseau de btiments assez vaste qui ncessite dtre constamment li par un rseau WI-FI. Dans ce chapitre, nous prsentons les rseaux WI-FI ainsi que les normes adapts et les protocoles et autres technologies ncessaires pour raliser la solution prsente dans le chapitre prcdent.
I.
La technologie WI-FI
1. Introduction
Les rseaux locaux sans-fil, connaissent actuellement un succs trs important dont
leur nombre crot trs rapidement au sein des entreprises et du grand public. Ils offrent en effet une flexibilit largement suprieure aux rseaux filaires, en saffranchissant notamment des problmes de cblage et de mobilit des quipements. Il existe plusieurs familles de rseaux locaux sans fil, chacune tant dveloppe par des organismes diffrents et donc incompatibles entre elles. La norme IEEE 802.1X, apparat comme la seule norme de rseaux sans fil permettant de se substituer aux rseaux filaires. Nous prsentons donc, dans un premier lieu, les rseaux locaux sans fil (WLAN), dune faon gnrale, ensuite on va tudier les diffrentes normes dun rseau 802.1X, objet de notre projet. Dans un deuxime lieu, nous allons tudier la technologie WI-FI. Tout dabord, nous montrons ses diffrentes fonctionnalits, ensuite ses techniques daccs au support et enfin nous allons aborder le problme de scurit.
2. Prsentation du WLAN
a. Dfinition
Le LAN sans fil, est un systme de transmission des donnes conu pour assurer une liaison indpendante de l'emplacement des priphriques informatiques qui composent le rseau et utilisant les ondes radios plutt qu'une infrastructure cble. Les WLAN, sont en passe de devenir l'une des principales solutions de connexion pour de nombreuses entreprises et peuvent prsenter de nombreux avantages, de par leur cot, l'installation et leur utilisation par rapport aux technologies filaires haut dbit.
11
Stage de fin dtudes
Une faon courante de prsenter les technologies de communication sans fil, consiste les comparer de point de vue porte et dbit avec les autres systmes de transmission radio.
b. Avantages
Un WLAN, est un rseau dans lequel les stations qui le composent ne sont plus relies entre elles physiquement grce un cble mais par lintermdiaire dun support sans fil. Mme sil nexiste plus de lien physique entre les diffrentes stations dun rseau local sans fil, celui-ci garde les mmes fonctionnalits quun rseau local, savoir linterconnexion de stations capables de se partager des informations, telles que donnes, services ou applications. Jusqu une date rcente, les WLAN, ne constituaient pas une solution concurrente aux LAN filaire mais taient plutt utiliss en tant quextensions des rseaux filaires existants. Le prix de revient des WLAN, reste encore plus coteux que celle dun LAN filaire, et pour des performances infrieures, la baisse des prix et les nombreux avantages quapporte une solution sans fil amliorent sans cesse la comptitivit des WLAN. Si les caractristiques actuelles dun rseau local sans fil permettent de rivaliser avec celles dun rseau filaire, les rseaux locaux sans fil ne visent toutefois pas remplacer les rseaux locaux mais plutt leur apporter de nombreux avantages dcou lant dun nouveau service : la mobilit de lutilisateur. Les principaux avantages offerts par les rseaux locaux sans fil sont les suivants : Mobilit : cest videmment le principal avantage quoffre un WLAN. Contrairement au rseau fixe, un utilisateur peut accder des informations partages ou se connecter Internet sans avoir tre reli physiquement au rseau. Simplicit dinstallation : linstallation dun WLAN, est relativement simple et rapide, compare celle dun rseau local, puisquon limine le besoin dinstaller des cbles dans les murs et les plafonds. De ce fait, les WLAN, peuvent tre installs l o les cbles ne peuvent tre dploys facilement, par exemple pour couvrir un vnement limit dans le temps, comme un salon, une confrence ou une comptition sportive. Inter connectivit avec les rseaux locaux : les WLAN, sont compatibles avec les LAN existants, comme cest le cas des rseaux WI-FI et Ethernet, par exemple, qui peuvent coexister dans un mme environnement.
12
Stage de fin dtudes
Fiabilit : les transmissions sans fil ont prouv leur efficacit dans les domaines aussi bien civils que militaires. Bien que les interfrences lies aux ondes radio puissent dgrader les performances dun WLAN, elles restent assez rares. Une bonne conception du WLAN, ainsi quune distance limite entre les diffrents quipements radio (station set ou points daccs), permettent au signal radio dtre transmis correctement et autorisent des performances similaires celles dun rseau local. Etant donn que la norme 802.1X, est lobjet de notre tude, dans la suite du document nous allons tudier et prsenter les diffrentes normes.
3. Fonctionnement du WI-FI
Un rseau sans fil est fond sur une architecture cellulaire o chaque cellule appele BSS (Basic Service Set), est contrle par un AP (Access Point), ou point d'accs, le tout formant un rseau appel ESS (Extended Service Set). Ce mode de communication est appel le mode (Infrastructure). Les points d'accs peuvent tre relis entre eux par des liaisons radio ou filaires et un terminal peut alors passer d'un point d'accs un autre en restant sur le mme rseau (concept du roaming). Pour s'identifier auprs d'un rseau, les utilisateurs d'un rseau sans fil utilisent un identifiant de rseau (SSID). Un point d'accs sur un rseau sans fil quivaut un concentrateur (hub), sur un rseau filaire. Chaque terminal sans fil reoit donc tout le trafic circulant sur le rseau. Si ce terminal scrute simultanment plusieurs canaux, il recevra alors le trafic de tous les rseaux qui l'entourent.
Figure 2.1: Schma mode Infrastructure.
13
Stage de fin dtudes
Le mode de communication (ad-hoc), est galement disponible : il s'agit d'un mode point point entre des quipements sans fil. Avec ce mode de fonctionnement, il est possible d'utiliser des protocoles de routage proactifs ; change priodique des tables de routage pour la dtermination des routes, ou des protocoles de routage ractifs ; les routes sont tablies la demande, afin de reconstituer un rseau maill (mesh networks).
Figure 2.2: Schma mode ad-hoc. L'accs radio au rseau sans fil se fait par le protocole CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) : quand un quipement du rseau veut mettre, il sonde le support de transmission et si celui-ci est libre, alors il met. Ce protocole s'appuie sur des accuss de rceptions entre les rcepteurs et les metteurs.
4. Scurit du WI-FI
Installer un rseau sans fil sans le scuriser peut permettre des personnes non autorises d'couter, de modifier et d'accder ce rseau. Il est donc indispensable de scuriser les rseaux sans fil ds leur installation. Il est possible de scuriser son rseau de faon plus ou moins forte selon les objectifs de scurit et les ressources que l'on y accorde. La scurit d'un rseau sans fil peut tre ralise diffrents niveaux : configuration des quipements et choix des protocoles.
14
Stage de fin dtudes
a. Scurit des points daccs

Changer la configuration par dfaut des points d'accs est une premire tape essentielle dans la scurisation de son rseau sans fil. Pour cela il est ncessaire de :
changer les mots de passe par dfaut (notamment administrateur) par des mots de passe plus forts ;
modifier la configuration par dfaut (adressage priv utilis avec DHCP ou adresse de l'interface par exemple) ;
dsactiver les services disponibles non utiliss (SNMP, Telnet...) ; rgler la puissance d'mission du point d'accs au minimum ncessaire. Il est galement important de mettre jour le frimware de son point d'accs ds que le
constructeur propose une mise jour ; rsolution d'un problme de scurit sur un des services disponibles. Cette mise jour suppose des tests pralables pousss afin de vrifier la compatibilit avec l'existant une fois la mise jour effectue. Changer le SSID par dfaut est une bonne pratique, largement recommand dans la plupart des cas. Il est judicieux de ne pas choisir un SSID attractif. La plupart des points d'accs donne la possibilit de dsactiver la diffusion du SSID. Il ne s'agit nullement d'une mesure de scurit car une personne informe pourra obtenir le SSID trs facilement : le SSID est une donne qui est visible lors de l'association d'un client. Ensuite, il s'agit de configurer le point d'accs en activant les options de scurit rpondant aux objectifs choisis en matire de scurit. Les diffrents protocoles relatifs la scurit des rseaux sans fil sont exposs dans la suite de ce document. L'activation de la journalisation de l'activit du point d'accs est ncessaire. Exporter ces journaux vers une machine de confiance, scurise dans cette optique, est largement recommand. Enfin, au-del de la scurit logique, il est ncessaire de prendre en compte la scurit physique des points d'accs. Une protection des points d'accs doit tre mise en place afin de contrer un utilisateur mal intentionn ayant un accs physique aux bornes ; connexion de l'attaquant par cble crois ou cble srie, modification matrielle de la totalit ou d'une partie du point d'accs ... .
15
Stage de fin dtudes
b. Scurit des protocoles lis aux rseaux sans fil

De nombreuses volutions protocolaires ont rythm la scurit des rseaux sans fil. Les objectifs sont les suivants :

garantir la confidentialit des donnes. permettre l'authentification des clients. garantir l'intgrit des donnes.
Chiffrement
L'absence de chiffrement dans un rseau sans fil laisse l'ensemble des donnes qui transitent sur ce rseau la merci d'une personne munie d'une carte Wifi et situe dans le primtre de rception des ondes mises par les autres quipements.
En raison de la propagation des ondes, il est ncessaire de protger son rseau par un chiffrement appropri. WEP Le protocole initialement propos pour le chiffrement des communications entre lments d'un rseau sans fil est le WEP (Wired Equivalent Privacy). Le WEP est une option propose dans le standard IEEE 802.11 et, en plus de chiffrement, traite de l'authentification et de l'intgrit. Le principe du chiffrement WEP est un chiffrement par flot utilisant l'algorithme RC4 et ncessitant un secret partag encore appel clef. Cette clef peut tre de longueur 64 ou 128 bits ; compte tenu de l'utilisation d'un vecteur d'initialisation de 24 bits, la longueur relle du secret partag est de 40 ou 104 bits. Le chiffrement propos par le protocole WEP s'est rvl rapidement inapte offrir un niveau de scurit suffisant pour la plupart des utilisateurs. En effet, il est possible en coutant une quantit suffisante de trafic ; cela peut prendre plusieurs heures selon l'activit du rseau, de casser une clef WEP en quelques secondes. Une documentation abondante est disponible sur l'Internet sur le sujet. Plusieurs outils d'attaque publics permettent de faire cela facilement, sans matriel spcialis, dans un temps raisonnable. En plus de la faiblesse de la mise en uvre du chiffrement, le chiffrement WEP introduit des problmes de gestion de clefs qui rapidement dgradent la scurit du rseau, en plus d'tre extrmement difficile mettre en place selon une politique rigoureuse. Afin d'augmenter la scurit fournie par le chiffrement WEP, il est ncessaire de changer les clefs
16
Stage de fin dtudes
sur une base de temps dfinir ; dpend de la taille du rseau, du nombre d'utilisateurs, du trafic engendr... . Il faut galement changer les clefs lors du dpart d'un employ, du vol d'un portable... Enfin, il faut galement garder l'esprit que tous les utilisateurs d'un rseau Wifi protg avec le chiffrement WEP partagent la mme clef WEP. Ainsi, tout utilisateur peut couter les autres utilisateurs comme si aucun chiffrement n'tait en place. WPA L'volution du chiffrement dans les rseaux sans fil est apparu avec le standard WPA (Wifi Protected Access). Cette norme tait initialement une norme intermdiaire en attendant la finition et la ratification de la norme IEEE 802.11i, devant apporter un niveau de scurit satisfaisant pour l'ensemble des exigences en matire de chiffrement, authentification et intgrit. Le WPA introduit le protocole TKIP (Temporal Key Integrity Protocol), qui sera repris par la norme IEEE 802.11i. Ce protocole permet de remdier aux faiblesses du chiffrement WEP en introduisant un chiffrement par paquet ainsi qu'un changement automatique des clefs de chiffrement. L'algorithme de chiffrement sous-jacent est toujours le RC4 utilis avec des clefs de 128 bits, mais contrairement au WEP, il est utilis plus correctement. Des mthodes d'attaques ont cependant t publies en novembre 2008 ; elles permettent sous certaines conditions de dchiffrer quelques trames arbitraires mises par le point d'accs vers une station et d'injecter de nouvelles trames ; empoisonnement de table ARP . Les bulletins d'actualit CERTA-2008-ACT-045 et CERTA-2008-ACT-047 abordent ces problmes. Le standard WPA dfinit deux modes distincts :

WPA-PSK Mode : repose sur l'utilisation d'un secret partag pour l'authentification ; WPA Enterprise Mode : repose sur l'utilisation d'un serveur RADIUS pour l'authentification. Le mode WPA-PSK est vulnrable des attaques par dictionnaire. Il est donc trs
important
de choisir
un
secret
(passphrase)
fort afin
de
limiter
ces
risques.
Cependant, en ce qui concerne le chiffrement dans les rseaux sans fil, le WPA apporte un
17
Stage de fin dtudes
niveau de scurit suprieur celui fourni par le WEP. Il permet aujourd'hui de se prmunir contre la plupart des attaques cryptographiques connues contre le protocole de chiffrement WEP. La dernire volution en date de juin 2004, est la ratification de la norme IEEE 802.11i, aussi appel WPA2 dans la documentation grand public. Ce standard reprend la grande majorit des principes et protocoles apports par WPA, avec une diffrence notoire dans le cas du chiffrement : l'intgration de l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement WEP et TKIP sont toujours prsents. Deux autres mthodes de chiffrement sont aussi incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP :
WRAP (Wireless Robust Authenticated Protocol) : s'appuyant sur le mode opratoire OCB (Offset Code Book) de AES.
CCMP (Counter Mode with CBC MAC Protocol) : s'appuyant sur le mode opratoire CCM (Counter with CBC-MAC) de AES. Le chiffrement CCMP est le chiffrement recommand dans le cadre de la norme IEEE
802.11i. Ce chiffrement, s'appuyant sur AES, utilise des clefs de 128 bits avec un vecteur d'initialisation de 48 bits. Ces mcanismes cryptographiques sont assez rcents et peu de produits disponibles sont certifis WPA2. Le recul est donc faible quant aux vulnrabilits potentielles de cette norme. Mme si ce recul existe pour l'algorithme AES, le niveau de scurit dpend fortement de l'utilisation et de la mise en uvre de AES. De plus, WPA2 pose aujourd'hui des problmes de compatibilit pour les clients d'un rseau sans-fil. En plus du matriel non encore rpandu, tous les systmes d'exploitation n'intgrent pas la norme WPA2 ou IEEE 802.11i. A ce jour, compte tenu de la disponibilit du matriel, des problmes de compatibilit et en l'absence de recul suffisant, la solution la plus sre d'un point de vue cryptographique reste l'utilisation simultane d'IPSEC. Contrairement au standard IEEE 802.11i, IPSEC bnficie d'un recul certain quant la qualit de la scurit offerte. Le cot de mise en uvre est sans doute plus lev. Nanmoins l'absence de recul concernant la norme IEEE 802.11i oblige tre prudent lorsque l'on dsire un chiffrement d'un niveau prouv.
18
Stage de fin dtudes
La norme WPA offre un niveau de scurit correct, le WPA-PSK ncessitant la dfinition d'un secret robuste afin de se prmunir contre les attaques par dictionnaire ; numration de tous les mots de passe en essayant les plus simples et vidents en premier. La norme WPA2 spcifie l'utilisation de l'algorithme AES, aujourd'hui standard international rput d'un point de vue cryptographique. Il faut le prfrer TKIP quand cela est possible. La mise en place d'IPSEC, chiffrement au niveau IP, reste nanmoins le complment de la solution la plus sre en l'absence d'une grande disponibilit de matriel certifi WPA2, de problmes de compatibilit et d'un recul suffisant concernant la norme IEEE 802.11i. Le chiffrement est un des maillons d'un rseau sans fil sr. Un chiffrement robuste ne garantit en aucun cas lui seul un bon niveau de scurit de son rseau sans fil.
Authentification
La norme 802.11 initiale spcifie deux modes d'authentification : ouvert ou partag (open ou shared). L'authentification ouverte signifie l'absence d'authentification et l'authentification partage signifie l'utilisation d'un secret partag, en l'occurrence une clef WEP dans un mcanisme challenge/rponse. Il est vite apparu que ce mode d'authentification tait trs largement insuffisant, induisant mme une dgradation du chiffrement par l'intermdiaire du challenge/rponse donnant de la matire des attaques cryptographiques. A ces problmes d'authentification, une solution plus robuste est apporte par la norme IEEE 802.1X. Le standard IEEE 802.1X est utilisable en environnement sans fil comme en environnement filaire. IEEE 802.1X dfinit une encapsulation de EAP (Extensible Authentication Protocol) au dessus du protocole IEEE 802.11. L'quipement d'accs au rseau sans fil (point d'accs) relaie les trames entre le client et le serveur d'authentification (serveur RADIUS), sans connatre le protocole EAP utilis. Dans le cas o le protocole d'authentification prend en charge la gestion des clefs, celles-ci sont transmises l'quipement d'accs puis au client dans le cadre du chiffrement. Dans le cadre de l'authentification en environnement sans fil base sur le protocole 802.1X, diffrentes variantes de EAP sont disponibles aujourd'hui :

Protocole EAP-MD5 (EAP - Message Digest 5) ; protocole LEAP (Lightweight EAP) developp par Cisco ; protocole EAP-TLS (EAP - Transport Layer Security) cre par Microsoft et accept sous la norme RFC 2716 ;
19
Stage de fin dtudes
protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developp par Funk Software et Certicom ;
protocole PEAP (Protected EAP) developp par Microsoft, Cisco et RSA Security ... Certaines de ces variantes se sont rvles trop faible pour prendre en charge une
authentification de qualit satisfaisante. Ainsi EAP-MD5 et LEAP sont peu peu abandonns car ils sont sujet des attaques par dictionnaire et des attaques de type homme du milieu (man-in-the-middle). La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE 802.11i). Il est vident que les recommandations de scurit portent galement sur le serveur d'authentification (serveur RADIUS) qui devra tre jour en ce qui concerne les vulnrabilits. En plus de la scurit logicielle, une attention particulire devra tre prise quant l'insertion du serveur RADIUS dans son architecture rseau.
L'utilisation du protocole IEEE 802.1X est recommande si l'on dsire un mcanisme d'authentification robuste et il est dconseiller d'utiliser une authentification qui s'appuie sur une clef partage ou sur un filtrage des adresses MAC. En ce qui concerne l'authentification EAP-TLS semble aujourd'hui s'imposer comme un protocole robuste s'il est mis en place selon une politique de scurit bien dfinie et mise en place avec rigueur. La scurit du serveur d'authentification doit tre galement prise en compte.
Intgrit
Le standard IEEE 802.11 dfinit un mcanisme sommaire d'intgrit des trames bas sur le CRC (Control Redondancy Check). Cette valeur est appele ICV (Integrity Check Value) et est de longueur 4 octets. Les proprits du CRC sont telles que le niveau de scurit atteint est trs faible. Il est ainsi possible pour un utilisateur mal intentionn de modifier une trame tout en mettant jour le CRC afin de crer une trame modifie valide. Le standard WPA introduit un mcanisme d'intgrit beaucoup plus robuste appel MIC (Message Integrity Check - aussi appel Michael dans le cadre du WPA et WPA2). Ce champ a pour longueur 8 octets et permet de se prmunir contre le rejeu ; qui consiste rmettre une trame intercepte de telle sorte qu'elle soit valide au sens cryptographique. Le standard WPA2 ou IEEE 802.11i utilise galement ce mcanisme d'intgrit.
20
Stage de fin dtudes
L'utilisation de MIC est recommande afin d'obtenir un niveau de scurit plus lev que l'utilisation d'une simple valeur de type CRC, prsentant des proprits cryptographiques trop faibles pour assurer l'intgrit des trames dans un rseau sans fil.
c. Scurit de la technologie
De par sa technologie le Wifi est un protocole qui diffuse les donnes vers toutes les stations qui sont aux alentours. Un utilisateur mal intentionn peut se placer dans le primtre des quipements du rseau afin de rcuprer les informations qui lui permettront d'avoir accs au rseau. La sensibilit au brouillage est une autre vulnrabilit induite par la technologie des rseaux sans fil. Elle peut entraner un dni de service des quipements du rseau, voire la destruction de ces quipements dans le cas de bruit cr artificiellement.
d. Scurit aprs la mise en place du rseau sans fil

Afin de conserver un niveau de scurit satisfaisant de son rseau sans fil, il est ncessaire d'appliquer les mmes procdures que pour les rseaux filaires, savoir :
informer les utilisateurs : la scurit d'un rseau passe avant tout par la prvention, la sensibilisation et la formation des utilisateurs ;
grer et surveiller son rseau : la gestion et la surveillance d'un rseau sans fil peut, elles aussi, s'effectuer deux niveaux. La surveillance au niveau IP avec un systme de dtection d'intrusions classique (prelude, snort, ...) et la surveillance au niveau physique (sans fil) avec des outils ddis (Kismet, ...).
auditer son rseau : l'audit d'un rseau sans fil s'effectue en deux parties. Un audit physique pour s'assurer que le rseau sans fil ne diffuse pas d'informations dans des zones non dsires et qu'il n'existe pas de rseau sans fil non dsir dans le primtre scuriser. Un audit informatique, comme pour les autres rseaux, pour mesurer l'cart entre le niveau de scurit obtenu et celui dsir. La scurit d'un rseau sans fil comprend aussi sa gestion. Grer un rseau sans fil
ncessite de s'appuyer sur une quipe ayant une bonne connaissance des rseaux et de la scurit des systmes d'information.
21
Stage de fin dtudes
II.
Le standard IEEE 1. Quelques normes
La norme IEEE 802.11 est un standard international dcrivant les caractristiques dun rseau local sans fils (WLAN) offre un dbit de 1 ou 2 Mbps. Des rvisions ont t apportes la norme originale afin doptimiser le dbit et dassurer une meilleure scurit ou une meilleure interoprabilit. Dans notre projet nous nous intressons aux normes suivantes : 802.11a : cette norme permet dobtenir un haut dbit (54 Mbps thorique, 30 802.11b : cest la norme la plus rpondue actuellement elle propose un dbit
Mbps rel) elle utilise comme frquence 5GHZ pour des transferts jusqu 54 Mbps. thorique de 11Mbps avec une porte pouvant aller jusqu 300 mtres utilisant une frquence 2,4 GHZ. 802.11g : cette norme offre un haut dbit (54Mbps sur la bande de frquence de 802.11i : cette norme a pour but damliorer la scurit des transmissions (gestion
2,4GHz) et prsente une compatibilit avec les deux normes prcdentes. de distribution des cls, chiffrement authentification). Cette norme sappuie sur lAES (advenced encryption standart) et propose un chiffrement des communications pour les transmissions utilisant les technologies 802.11b, 802.11g.
2. Prsentation de la norme 802.1X

Ce standard, mis au point par lIEEE (Institute of Electrical and Electronics Engineers) en juin 2001, a comme objectif de raliser une modification de laccs au rseau au moment de la connexion physique ce dernier. Cette authentification intervient avant tout mcanisme dauto configuration (ex : DHCP,). Dans la plupart des cas, le service autoris en cas de succs est le service Ethernet. Lobjectif de ce standard est donc uniquement de valider un droit daccs physique au rseau bas sur le port, indpendamment du support de transmission utilis, et en sappuyant sur des mcanismes dauthentification existants.
22
Stage de fin dtudes
3. Le modle et les concepts du standard IEEE

Dans le fonctionnement du protocole, les trois entits qui interagissent sont : le systme authentifier (supplicant) : Qui reprsente lhte dsirant accder au rseau. le systme authentificateur (authenticator system) : Cest un lment actif qui met en uvre le processus douverture ou de fermeture de laccs au rseau en fonction de la rponse du serveur dauthentification. Lauthentificateur peut aussi bien tre un commutateur, un point daccs sans fils ou un commutateur/routeur. un serveur dauthentification (authentication server) : Il rpond aux requtes de lauthentificateur en lui indiquant si le demandeur peut se connecter ou pas. Le serveur dauthentification peut trs bien tre intgr au commutateur mais, dans ce cas, il ne permet pas une gestion centralise des accs. Cest pourquoi l plupart du temps, il dagit dun serveur indpendant, comme Radius. Le systme authentificateur contrle une ressource disponible via le point daccs physique au rseau, nomm PAE(Port Access Entity). Le systme authentifier souhaite accder cette ressource, il doit donc pour cela sauthentifier. Dans cette phase dauthentification 802.1X, le systme authentificateur se comporte comme un mandataire (proxy) entre le systme authentifier et le serveur dauthentification ; si lauthentification russit, le systme authentificateur donne laccs la ressource quil contrle. Le serveur dauthentification va grer lauthentification proprement dite, en dialoguant avec le systme authentifier en fonction du protocole dauthentification utilis.
23
Stage de fin dtudes
Figure 2.3 : Les trois entits qui interagissent dans 802.1X. Cest au niveau du PAE que porte lessentiel des modifications introduites par le protocole 802.1X. Dans la plupart des implmentations actuelles, le systme authentificateur est un quipement rseau (par exemple un commutateur Ethernet, une borne daccs sans fil, ou un commutateur/routeur IP), le service dont il contrle laccs est le service Ethernet (ou le routage des datagrammes IP). Le systme authentifier est un poste de travail ou un serveur. Le serveur dauthentification est typiquement un serveur RADIUS, ou tout autre quipement capable de faire de lauthentification.
4. Le point daccs au rseau (PAE)

La principale innovation amene par le standard 802.1X consiste scinder le port daccs physique au rseau en deux ports logique, qui sont connects en parallle sur le port physique. Le premier port logique est dit contrl et peut prendre deux tats ouvert ou ferm . Le deuxime port logique est, lui, toujours accessible mais il ne gre que les trames spcifiques 802.1X.
24
Stage de fin dtudes
Figure 2.4 : Le PAE. On notera que ce modle ne fait pas intervenir la nature physique de la connexion. Elle peut tre matrialise par une prise RJ45 (cas dun support de transmission cuivre), des connecteurs SC, MT-RJ (cas dun support de transmission en fibre optique) ou par laccrochage logique au rseau (cas dun support de transmission hertzien en 802.11 {a,b,g}). Si une authentification est refuse par le serveur, un systme de temporisation au niveau de lauthentificateur est effectu (60 secondes par dfaut) permettant de limiter les attaques de type force brute .
5. Les faiblesses de 802.1X

La principale faiblesse de 802.1X vient de ce quil a t conu au dpart dans un contexte de connexion physique (type accs PPP sur RTC). Rien nempche en effet un utilisateur dinsrer un hub (transparent 802.1X) et de faire bnficier dautres utilisateurs de louverture du port Ethernet dun commutateur. La plupart des implmentations dquipementiers permettant de surmonter cette difficult en permettant de configurer un blocage du port Ethernet si ladresse MAC du systme authentifi change. Les attaques par coute sont aussi possibles, ainsi que le vol de session. Les attaques sur 802.1X sont, de plus, facilites dans le cas de lEthernet sans fil.
25
Stage de fin dtudes
802.1X propose donc un niveau de scurit correct mais pour une protection optimale il doit tre coupl dautres technologies (par exemple : chiffrement), particulirement en Wifi avec WPA. Tant qu'il n'est pas authentifi, le client ne peut pas avoir accs au rseau, seuls les changes lis au processus d'authentification sont relays vers le serveur d'authentification par le point d'accs. Une fois authentifi, le point d'accs laisse passer le trafic li au client.
III.
Protocole EAP/PEAP :
1. EAP :
a. Prsentation du EAP
Aujourd'hui, les dploiements d'IEEE 802.1X pour rseaux local sans fil sont bass sur EAP (Extensible Authentication Protocol) et utilisez plusieurs mthodes EAP, y compris EAP-TLS, PEAP. Ces mthodes supportent des processus didentification qui incluent des certificats numriques, l'utilisateur, les noms et des mots de passe des scurisez des jetons rseaux.
b. Fonctionnement du EAP
Le fonctionnement du protocole EAP est bas sur l'utilisation d'un contrleur d'accs, charg d'tablir ou non l'accs au rseau pour un utilisateur. Le contrleur d'accs est un simple garde-barrire servant d'intermdiaire entre l'utilisateur et un serveur
d'authentification, il ne ncessite que trs peu de ressources pour fonctionner. Dans le cas d'un rseau sans fil, c'est le point d'accs qui joue le rle de contrleur d'accs. Le serveur d'auth entification (appel parfois NAS, pour Network Authentification Service) permet de valider l'identit de l'utilisateur, transmis par le contrleur rseau, et de lui renvoyer les droits associs en fonction des informations d'identification fournies. La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote Authentication Dial In User Service), un serveur d'authentification standard dfini par lIEEE, mais tout autre service d'authentification peut tre utilis.
c. La circulation des paquets dauthentification
26
Stage de fin dtudes
La standard 802.1X ne cre pas un nouveau protocole dauthentification, mais sappuie sur les standards existants. Le dialogue entre le systme authentificateur et l e systme authentifier se fait en utilisant le protocole EAP (Extensible Authentication Protocol). Les paquets EAP sont transports dans des trames Ethernet spcifiques EAPOL (EAP Over LAN)qui sont marques avec le numro de type (Ethertype) gal 88FE, ce qui permet une encapsulation directe de EAP dans Ethernet. Le dialogue ente le systme authentificateur et le serveur dauthentification se fait par une simple re-encapsulation des paquets EAP dans un format qui convient au serveur dauthentification, sans modification de contenu du paquet par le systme authentificateur. Ce dernier effectue cependant une lecture des informations contenues dans les paquets EAPOL afin deffectuer les actions ncessaires sur le port contrl (blocage ou dblocage). Ainsi, le systme authentificateur dbloquera le port contrl en cas dauthentification russie, ou il le bloquera sil y a une demande explicite en ce sens du systme authentifier comme on le verra un peu plus loin.
Figure 2.5 : 802.1X et serveur dauthentification.
d. Les paquets EAP et EAPOL

Les quatre types de paquets EAP sont :
Request : le systme authentificateur met une requte dinformation.
27
Stage de fin dtudes
Response : rponse du systme authentifier un paquet Request . Success : le systme authentificateur indique une authentification russie. Failure : le systme authentificateur indique un chec de lauthentification.
Le paquet EAP contient aussi un champ identifier (sur un octet) pour identifier une
session dauthentification. Dans le cas de paquet de type request ou response, un champ
(type) dfinit la nature des informations qui sont contenues dans le paquet. Par exemple :
Identity : chane de caractres identifiant lutilisateur (par exemple une adresse mail,
un nom de login, etc.).
Notification : chane de caractres envoye lutilisateur final. Nak : refus dun type dauthentification et proposition dun autre. MD5-Challenge : dfi (challenge ) ou rponse (idem auuthentification Chap). One-Time-Password : dfi ou rponse. Generic Token Ring Card : dfi ou rponse.
Figure 2.6 : Les requtes EAP.
e. Exemple de session 802.1X/EAP
28
Stage de fin dtudes
Avant la connexion du systme authentifier au port physique du PAE du systme authentificateur, le port contrl de ce dernier est bloqu, et seul le port non contrl est accessible. Lorsque le systme authentifier se connecte au port physique du systme authentificateur, il reoit un paquet EAP linvitant authentifier. Sa rponse est reue sur le port non contrl du systme authentificateur, puis est retransmise au serveur dauthentification par ce dernier. Par la suite, un dialogue stablit entre le serveur dauthentification et le systme authentifier par le biais du relais offert par le port non contrl du PAE du systme authentificateur.
Figure 2.7 : Squence dauthentification. Quand lautomate 802.1X du systme authentificateur voit passer un acquittement positif dauthentification (en provenance du serveur), il dbloque son port contrl (interrupteur ferm), donnant ainsi au client authentifi laccs au service. A partir de cet instant, le schma logique du PAE du systme authentificateur devient tel que dcrit ci-dessous, et le trafic Ethernet est assur normalement.
29
Stage de fin dtudes
Cependant, les automates implmentant le protocole 802.1X restent actifs et peuvent niveau ractiver un processus dauthentification en cas, par exemple, de demande explicite du client ou de dconnexion physique au rseau.
Figure 2.8 : Exemple de situation aprs une authentification russie.
2. PEAP :
a. Prsentation du PEAP
Le protocole PEAP (Protected Extensible Authentication Protocol) est un nouveau membre de la famille de protocoles EAP. Le protocole PEAP utilise la scurit TLS
(Transport Level Security) pour crer un canal crypt entre un client PEAP d'authentification, tel qu'un ordinateur sans fil, et un authentificateur PEAP, tel qu'un serveur IAS ( Internet Authentication Service) ou RADIUS. Le protocole PEAP ne spcifie aucune mthode
d'authentification, mais il fournit une scurit supplmentaire pour d'autres protocoles d'authentification EAP, notamment le protocole EAP-MSCHAPv2, qui peuvent oprer par l'intermdiaire du canal crypt TLS fourni par le protocole PEAP. Le protocole PEAP est utilis comme mthode d'authentification pour les ordinateurs clients sans fil 802.11, mais il n'est pas pris en charge pour les clients de rseau priv virtuel VPN(Virtual Private Network) ni pour les autres clients d'accs distant.
30
Stage de fin dtudes
En vue d'amliorer la fois le protocole EAP et la scurit du rseau, le protocole PEAP fournit :
une protection pour la ngociation de mthode EAP qui se produit entre le client et le serveur par le biais d'un canal TLS. Cela permet d'empcher les agresseurs d'injecter des paquets entre le client et le serveur d'accs rseau en vue de provoquer la ngociation d'une mthode EAP moins scurise. Le canal TLS crypt aide galement prvenir les attaques de type refus de service perptres contre le serveur IAS.
une prise en charge de la fragmentation et du rassemblage des messages, ce qui permet d'utiliser des types EAP ne proposant pas ces fonctionnalits.
aux clients sans fil la capacit d'authentifier le serveur IAS ou RADIUS. Une authentification mutuelle se produit, puisque le serveur authentifie aussi le client.
une protection contre le dploiement d'un point d'accs sans fil non autoris lorsque le client EAP authentifie le certificat fourni par le serveur IAS. De plus, le secret matre TLS cr par l'authentificateur EAP et le client n'est pas divulgu au point d'accs. Celui-ci ne peut donc pas dcrypter les messages protgs par le protocole PEAP.
b. Processus dauthentification
Le processus d'authentification PEAP se dcompose en deux phases principales : Authentification du serveur et cration d'un canal de cryptage TLS. Le serveur s'identifie auprs d'un client en lui prsentant des informations de certificat. Ds que le client a vrifi l'identit du serveur, une cl secrte principale est gnre. Les cls de session drives de cette cl principale sont ensuite utilises pour crer un canal de cryptage TLS charg de crypter toute communication ultrieure entre le serveur et le client sans fil. Conversation EAP, et authentification de l'utilisateur et de l'ordinateur client. Une conversation EAP complte tablie entre le client et le serveur est encapsule dans le canal de cryptage TLS. PEAP vous permet d'utiliser n'importe quelle mthode d'authentification EAP (telle que les mots de passe, les cartes puce et les certificats) pour authentifier l'ordinateur client et l'utilisateur.
31
Stage de fin dtudes
Les cls de session gnres durant le processus d'authentification PEAP fournissent un support de gestion pour les cls de cryptage WEP qui cryptent les donnes changes entre les clients sans fil et les points d'accs sans fil. Vous pouvez utiliser PEAP avec n'importe quelle mthode d'authentification indique ci-dessous dans le cadre d'une authentification sans fil :
EAP-TLS : cette mthode utilise des certificats pour l'authentification du serveur et des cartes puce ou des certificats pour l'authentification de l'utilisateur et de l'ordinateur client.
EAP-MS-CHAP v2 : cette mthode utilise des certificats pour l'authentification du serveur et des informations d'identification pour l'authentification de l'utilisateur.
Mthodes d'authentification EAP non Microsoft.
Remarques

La mthode PEAP ne peut pas tre utilise avec EAP-MD5. En tant que mthode d'authentification, PEAP est disponible pour les clients sans fil 802.11. Cependant, cette mthode n'est pas prise en charge pour les clients VPN ou d'autres clients d'accs distant. La configuration de PEAP en tant que mthode d'authentification d'une stratgie d'accs distant n'est donc possible que si vous utilisez le service d'authentification Internet (IAS).
c. Reconnexion PEAP rapide

Lorsque des clients se connectent un rseau sans fil 802.11, la dure de la session authentifie est limite par un dlai d'expiration dfini par l'administrateur rseau. Vous pouvez activer l'option de reconnexion rapide afin d'viter l'affichage de messages obligeant les clients authentifis fournir leurs informations d'identification pour se re-authentifier et reprendre la session. Le protocole PEAP prend en charge la reconnexion rapide qui permet aux utilisateurs itinrants de conserver une connectivit rseau sans fil continue pendant qu'ils se dplacent entre diffrents points d'accs sans fil sur le mme rseau, pour autant que chaque point d'accs sans fil soit configur en tant que client du mme serveur IAS (RADIUS). En outre, l'option de reconnexion rapide doit tre active, la fois, sur le client sans fil et sur le serveur RADIUS.
32
Stage de fin dtudes
Si le serveur RADIUS initial n'est pas utilis, une authentification complte doit avoir lieu, et l'utilisateur est invit saisir une nouvelle fois ses informations d'identification ou son code confidentiel. Cela peut se produire dans les cas suivants :
L'utilisateur se connecte un nouveau point d'accs sans fil qui n'est pas configur en tant que client d'un nouveau serveur RADIUS.
L'utilisateur se connecte au mme point d'accs sans fil, mais ce dernier transmet la demande d'authentification un nouveau serveur RADIUS. Dans les deux cas, une fois l'authentification initiale tablie avec le nouveau serveur
RADIUS, le client place les nouvelles cls de session TLS en mmoire cache. Les clients peuvent effectuer cette opration pour plusieurs serveurs RADIUS.
IV.
Serveur Radius
1. Prsentation du serveur RADIUS
Le serveur RADIUS (Remote Authentication Dial-In User Service) a t initialement conu pour authentifier des connexions par modem (PPP). Protocole standard dauthentification, initialement mis au point par Livingston. Il est Dfini au sein des RFC 2865 et 2866. Son Fonctionnement est bas sur un systme client/serveur charg de dfinir les accs dutilisateurs distants un rseau. Le protocole RADIUS permet de faire la liaison entre des besoins didentification et une base dutilisateurs en assurant le transport des donnes dauthentification de faon normalise. Dsormais RADIUS peut tre utilis pour centraliser l'authentification, l'autorisation et la gestion des comptes pour les connexions d'accs distance, VPN, Wifi... Il est possible par exemple sous Windows 2003 Server de crer des stratgies d'accs pour autoriser des utilisateurs, des groupes d'utilisateurs, des ordinateurs ou tout autre ressource voulant se connecter au rseau. Le protocole RADIUS assure les changes entre un client RADIUS (borne d'accs Wifi, authenticator) et le serveur d'authentification. Il s'agit d'un protocole UDP (User
33
Stage de fin dtudes
Datagram Protocol) utilisant les ports 1812 pour l'authentification et 1813 pour la comptabilit.
Un environnement RADIUS est compos :
Dun serveur Radius qui centralise l'authentification, l'autorisation et la gestion des comptes. Dun client Radius, c'est--dire un serveur daccs distant ou une borne daccs Wifi. (authenticator) qui reoit les demandes d'authentification RADIUS des clients et les retransmet au serveur Radius.
Dun client daccs distance ou Wifi (supplicant) quip de Windows XP, 2000 et certains autres systmes dexploitation non Microsoft. Dans notre cas nous utiliserons une authentification de type EAP-TLS, le protocole
Radius ne servira donc qu' transporter du TLS et dfinir quel utilisateur ou quel groupe aura accs au rseau.
34
Stage de fin dtudes
Figure 2.9 : Exemple dutilisation du serveur RADIUS.
2. Fonctionnement du serveur RADIUS

Quand un client est configur pour utiliser RADIUS, nimporte quel utilisateur du client prsente linformation dauthentification au client. Ceci pourrait tre avec une demande de procdure de connexion spcifique, ou on sattend ce que lutilisateur entre son nom dutilisateur et son mot de passe. Alternativement, lutilisateur pourrait utiliser un protocole tel que le Point-to-Point Protocol (PPP), qui transmet cette information dans des paquets dauthentification. Une fois que le client a obtenu une telle information, il peut authentifier lutilisateur en utilisant RADIUS. Pour ceci, le client cre une demande daccs contenant des attributs tels que le nom de lutilisateur, le mot de passe de lutilisateur, lidentification du client et lidentification de port auxquels lutilisateur accde. Quand un mot de passe est prsent, il est cach en utilisant une mthode bas sur lalgorithme MD5 de RSA. La requte daccs est soumise au serveur RADIUS par lintermdiaire du rseau. Si aucune rponse nest retourne aprs un certain temps, la demande est renvoye un certain nombre de fois. Le client peut galement expdier des demandes un ou des serveurs alternatifs au cas ou le serveur primaire serait en panne ou inaccessible. Une fois que le serveur RADIUS reoit la demande, il valide le client. Une demande dun client pour lequel le serveur RADIUS na pas un secret partag sera silencieusement nglige. Si le client est valide, le serveur RADIUS consulte une base de donnes des utilisateurs pour trouver lutilisateur dont le nom est dans le demande. Lentre pour lutilisateur dans la base de donnes contient une liste de besoins qui doivent tre satisfaits pour permettre laccs lutilisateur. Ceci inclut toujours la vrification du mot de passe, mais peut galement indiquer le client ou le port auxquels lutilisateur peut accder. Si toutes les conditions sont runies et que le serveur RADIUS souhaite mettre un dfi auquel lutilisateur doit rpondre, le serveur RADIUS envoie une rponse daccs challenge. Il peut inclure un message des textes afficher par le client lutilisateur pour recueillir une rponse au dfi, et peut inclure un attribut dtat. Si le client reoit un Access challenge et supporte le challenge/response il peut afficher le message des textes, le cas chant, lutilisateur, et demander un rponse lutilisateur. Le client soumet alors nouveau sa requte Access request initial avec une nouvelle identification de demande, avec
35
Stage de fin dtudes
lattribut user-password remplac par la rponse chiffr, et en incluant lattribut dtat de laccess challenge ventuel. Le serveur peut rpondre ce nouvel Access-request avec un Access-accept, un Access-reject ou un Access-challenge diffrent.
3. Scnario de fonctionnement du serveur RADIUS

Un utilisateur envoie une requte au NAS afin dautoriser une connexion distance. Le NAS achemine la demande au serveur RADIUS. Le serveur RADIUS consulte la base de donnes didentification fin de connatre le type de scnario didentification demand pour lutilisateur. Soit le scnario actuel convient, soit une autre mthodes didentification est demande lutilisateur. Le serveur RADIUS retourne ainsi une des quatre rponses suivantes : ACCEPT : lidentification a russi. REJECT : lidentification a chou. CHALLENGE : le serveur RADIUS souhaite des informations supplmentaires. Suite cette phase dit dauthentification, dbute une phase dautorisation o le serveur retourne les autorisations de lutilisateur.
36
Stage de fin dtudes
Fichier 2.10 : Authentification avec serveur RADIUS.
4. Serveur FreeRADIUS
a. Prsentation du freeRADIUS
FreeRADIUS est un serveur RADIUS libre, il offre une alternative aux autres serveurs d'entreprise RADIUS, et est un des serveurs RADIUS les plus modulaires et riches en fonctionnalits disponibles aujourd'hui. Il est considr comme le serveur le plus utilis dans le monde. Il convient autant aux systmes embarqus avec peu de mmoire qu'aux systmes avec plusieurs millions d'utilisateurs.
b. Historique du freeRADIUS
FreeRADIUS commena tre dvelopp en aot 1999 par Alan DeKok et Miquel van Smoorenburg. Miquel van Smoorenburg avait prcdemment crit le serveur Cistron RADIUS, qui fut largement utilis quand le serveur Livingston cessa d'tre maintenu. Le serveur gagna rapidement le support de la communaut par l'addition de modules intgrer avec LDAP, SQL et d'autres bases de donnes. Le support de EAP fut ajout en 2001, le serveur supporte dsormais la plupart des protocoles d'authentification.
37
Stage de fin dtudes
c. Schma de fonctionnement du freeRADIUS
Figure 2.11 : Fonctionnement du freeRADIUS.
d. Tableau comparatif :
Mthodes EAP/TLS EAP/TTLS EAP/MD5 CHAP PAP PEAP Login/Password FreeRADIUS OpenRADIUS GNU-RADIUS IC-RADIUS
Tableau : Tableau comparatif des diffrents mthodes dauthentification supports par le service RADIUS.
V.
Serveur SAMBA
1. Prsentation du serveur Samba
Samba est un serveur de fichiers pour Linux en licence GNU GPL libre compatible avec les rseaux Microsoft Windows. C'est--dire qu'il permet de partager les fichiers et les imprimantes d'un serveur linux avec les ordinateurs d'un rseau Microsoft Windows, et de
38
Stage de fin dtudes
manire totalement transparente : Linux passe pour un serveur Windows NT aux "yeux" des clients Windows. Les clients pour Microsoft Windows deviennent alors en quelque sorte des clients Linux... Il existe des protocoles notamment le FTP(File Transfert Protocol) permettant de transfrer des fichiers l'aide de commandes travers un rseau htrogne constitu de machines de types et de systmes d'exploitation diffrents. Toutefois, ce type de manipulation est assez fastidieux. Ainsi, les rseaux Microsoft Windows, actuellement trs rpandus dans les rseaux locaux, offrent une manire totalement transparente de partager des fichiers, en permettant notamment la copie par simple glisserdposer. Cependant, ce type de rseau ne permet la base qu'un partage de fichiers entre machines fonctionnant avec un systme Microsoft Windows. Ainsi, si vous possdez une machine sous linux, il existe une solution: utiliser Samba. Samba permet de dfinir des niveaux d'accs trs pointus trs proches de ceux proposs par un serveur Windows NT. Samba est donc une alternative conomique et robuste un recours un serveur Windows NT. (CCM).
Figure 2.12 : Echanges des requtes Samba.
2. Fonctionnement du serveur Samba

Samba configure des partages rseaux pour les rpertoires UNIX y compris le contenu de tous les sous-rpertoires. Ils apparaissent pour les utilisateurs de Windows comme des dossiers Windows classiques accessibles via le rseau. Les utilisateurs dUnix peuvent lire les partages avec le smbclient (libsmb) install avec Samba. Chaque rpertoire peut avoir des
39
Stage de fin dtudes
privilges daccs diffrents. Par exemple : les rpertoires ayant un accs en lecture/criture pour tous les utilisateurs dfinis, permettent chacun deux daccder leurs propres fichiers. Mais ils nont pas accs aux dossiers des autres, sauf si une autorisation est dfinie. A noter que le partage netlogon (/etc/samba/netlogon), gnralement accessible en lecture, est le rpertoire par dfaut pour les scripts douverture de session utilisateur. La configuration est ralise par ldition dun fichier unique gnralement installs dans (/etc/smb.conf ou /etc/samba/smb.conf). Samba peut aussi fournir des scripts douverture de session utilisateur et une mise en place de groupes de stratgies via (poledit). Samba inclut un outil dadministration web appel SWAT (Samba Web Administration Tool). Lorsque les deux systmes de partage de fichiers (NFS, Samba) sont installs pour comparaison, Samba se rvle moins performant que NFS au niveau des taux de transferts. Nanmoins, une tude a montr que Samba 3 tait jusqu 2,5 fois plus rapide que la version SMB de Windows serveur 2003. La version 3.2 apporte le support de IPv6 et ajoute la possibilit de stocker les partages Samba dans la base de registre ainsi que lexprimentation du clustering et dautres amliorations.
Figure 2.13 : Fonctionnement du serveur Samba.
VI.
Protocole LDAP :
40
Stage de fin dtudes
1. Prsentation du protocole LDAP

LDAP (Lightweight Directory Access Protocol), est un protocole standard permettant de grer des annuaires, cest--dire daccder des bases dinformations sur les utilisateurs dun rseau par lintermdiaire de protocoles TCP/IP. Le protocole LDAP dfinit la mthode daccs aux donnes sur le serveur au niveau du client, et non la manire de laquelle les informations sont stocks. Ainsi LDAP fournit lutilisateur des mthodes lui permettant de :

se connecter se dconnecter rechercher des informations comparer des informations insrer des entres modifier des entres supprimer des entres Un annuaire LDAP est un type de base de donnes spcifique, cest--dire quil sagit
dune sorte de base de donnes ayant des caractristiques particulires : un annuaire est prvu pour tre plus sollicit en lecture quen criture. Cela signifie quun annuaire est conu pour tre plus souvent consult que mis jour. les donnes sont stockes de manire hirarchique dans lannuaire, tandis que les bases de donnes dites relationnelles stockent les enregistrements de faon tabulaire. les annuaires doivent tre compacts et reposer sur un protocole rseau lger. Un annuaire doit comporter des mcanismes permettant de rechercher facilement une information et dorganiser les rsultats. les annuaires doivent pouvoir tre rpartis. Cela signifie quun serveur dannuaire doit comporter des mcanismes permettant de cooprer, cest--dire dtendre la recherche sur des serveurs tiers si jamais aucun enregistrement nest trouv. Un annuaire doit tre capable de grer lauthentification des utilisateurs ainsi que les droits de ceux-ci pour la consultation ou la modification de donnes.
41
Stage de fin dtudes
2. Prsentation dActive Directory :

a. Introduction
La comprhension du service dannuaire Active Directory est la premire tape qui vous permet de comprendre le fonctionnement de Windows 2003 Server et la manire dont ce systme dexploitation peut vous aider atteindre les objectifs de votre entreprise. Ce document sintresse Active Directory sous trois perspectives diffrentes :
Stockage. Active Directory, le service dannuaire de Windows 2003 Server, enregistre sous la forme de hirarchies les informations relatives aux objets du rseau et met ces informations la disposition des administrateurs, des utilisateurs et des applications. La premire section de ce document donne la dfinition dun service dannuaire, dcrit lintgration du service Active Directory avec le systme DNS (Domain Name System) Internet et explique lactualisation de Active Directory lorsquun serveur est dsign en tant que contrleur de domaine1.
Intercommunications. Comme Active Directory sappuie sur des protocoles daccs aux annuaires standard, il peut fonctionner avec dautres services dannuaire. De mme, les applications tierces qui prennent en charge ces protocoles peuvent accder au service. La dernire section de ce document dcrit les relations entre Active Directory et de nombreuses autres technologies.
b. Les avantages dActive Directory

Active Directory dans le systme dexploitation Windows 2000 apporte les avantages suivants :
Intgration avec DNS. Active Directory utilise le systme DNS. DNS est un service standard Internet qui convertit les noms dordinateur lisibles par les utilisateurs (comme mon_ordinateur.microsoft.com) en adresses IP (Internet Protocol)
numriques lisibles par les ordinateurs (quatre numros spars par des points). Ainsi, des processus sexcutant sur des ordinateurs inscrits dans des rseaux TCP/IP peuvent sidentifier et se connecter entre eux.
Flexibilit des requtes. Les utilisateurs et les administrateurs peuvent utiliser la commande Rechercher du menu Dmarrer, licne Favoris rseau sur le bureau ou le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour rechercher rapidement un objet sur le rseau sur la base de ses proprits. Par
42
Stage de fin dtudes
exemple, vous pouvez effectuer la recherche sur le prnom, le nom, le nom de messagerie, lemplacement du bureau ou dautres proprits du compte dutilisateur. Lutilisation du catalogue global optimise la recherche dinformations.
Adaptabilit. Active Directory inclut un ou plusieurs domaines, possdant chacun un ou plusieurs contrleurs de domaine, vous permettant dadapter lannuaire aux conditions requises par le rseau. Plusieurs domaines peuvent tre associs dans une arborescence de domaines et plusieurs arborescences de domaines peuvent tre regroupes dans une fort. La structure la plus simple possible, un rseau un seul domaine, est la fois un arborescence unique et une fort unique.
Scurit des informations. La gestion de lauthentification des utilisateurs et le contrle daccs, tous deux entirement intgrs dans Active Directory, sont les fonctionnalits de scurit cls du systme dexploitation Windows 2003 Server. Active Directory centralise lauthentification. Le contrle daccs peut tre dfini non seulement sur chaque objet de lannuaire, mais aussi sur chaque proprit de ces objets. En outre, Active Directory fournit la fois le stockage et ltendue dapplication des stratgies de scurit.
Interoprabilit. Comme Active Directory sappuie sur des protocoles daccs aux annuaires standard, tels que LDAP (Lightweight Directory Access Protocol), il peut fonctionner avec dautres services dannuaire utilisant ces protocoles. Plusieurs interfaces de programmation dapplications (API), telles que linterface ADSI (Active Directory Service Interface), permettent aux dveloppeurs daccder ces protocoles.
43
Stage de fin dtudes
Figure 2.14 : Schma de lhirarchie dActive Directory.
VII.
Serveur DHCP
1. Prsentation du serveur DHCP
DHCP (Dynamic Host Configuration Protocol) est un terme anglais dsignant un
protocole rseau dont le rle est dassurer la configuration automatique des paramtres IP dune station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-rseau. DHCP peut aussi configurer ladresse de la passerelle par dfaut, des serveurs de noms DNS et des serveurs de noms NBNS (connus sous le nom de serveurs WINS sur les rseaux de la socit Microsoft).
2. Fonctionnement du serveur DHCP

L ordinateur quip de TCP/IP, mais dpourvu dadresse IP, envoie par diffusion un datagramme (DHCP DISCOVER) qui sadresse au port 67 de nimporte quel serveur lcoute sur ce port. Ce datagramme comporte entre autres ladresse physique (MAC) du client. Tout serveur DHCP ayant reu ce datagramme, sil est en mesure de proposer une adresse sur le rseau auquel appartient le client, diffuse une offre DHCP (DHCP OFFER) lattention du client (sur son port 68), identifi par son adresse physique. Cette offre comporte ladresse IP du serveur, ainsi que ladresse IP et le masque de sous-rseau quil propose au client. Il se peut que plusieurs offres soient adresses au client.
44
Stage de fin dtudes
Le client retient une des offres reues (la premire qui lui parvient), et diffuse sur le rseau un datagramme de requte DHCP (DHCP REQUEST). Ce datagramme comporte ladresse IP du serveur et celle qui vient dtre propose au client. Elle a pour effet de demander au serveur choisi lassignation de cette adresse, lenvoi ventuel des valeurs des paramtres, et dinformer les autres serveurs qui ont fait une offre quelle na pas t retenue. Le serveur DHCP choisi labore un datagramme daccus de rception ( DHCP ack pour acknowledgement) qui assigne au client ladresse IP et son masque de sous-rseau, la dure du bail de cette adresse (dont dcoulent deux valeurs T1 et T2 qui dterminent le comportement du client en fin de bail), et ventuellement dautres paramtres :

adresse IP de la passerelle par dfaut, adresses IP des serveurs DNS, adresses IP des serveurs NBNS (WINS).
Conclusion
Dans ce chapitre nous avons tudi la technologie WI-FI et ce qui sen suit comme norme ensuite nous avons prsent tous les protocoles sur lesquels va se baser notre solution tels que EAP, PEAP, RADIUS, LDAP et autres, puis nous avons expos les deux logiciels importants pour raliser lapplication. Notre choix sest port sur les outils, freeRADIUS comme serveur radius et Active Directory comme annuaire pour tous les avantages quils prsentent par rapport leurs concurrents. Dans le chapitre suivant nous allons dtailler pratiquement la procdure suivre pour raliser notre application.
45
Stage de fin dtudes
Mise en place du serveur RADIUS et de lannuaire Active Directory
Chapitre 3 : Mise en place du serveur RADIUS et lannuaire Active Directory
45
Stage de fin dtudes
Introduction
Ltude thorique de tous ce qui est rapport avec la solution raliser dans le chapitre prcdent nous a permis de choisir freeRADIUS comme logiciel pour grer le serveur radius et Active Directory comme base de donnes pour les utilisateurs du rseau WI-FI de Tunisie Tlcom. Dans ce chapitre, nous allons aborder dun point de vue pratique notre sujet, les installations faire et les configurations raliser, pour la mise en place de lannuaire et le serveur radius et finalement la configuration des points daccs.
I.
Configuration de lannuaire active directory

Ouvrez le menu Dmarrer puis slectionnez Excutez(Windows - R) Tapez dcpromo puis validez. Lassistant dinstallation dActive Directory est lanc,
cliquez suivant.
Figure 3.1 : Excution de la commande dcpromo . Dans la page Type de contrleur de domaine, vrifiez que loption Contrleur de domaine pour un nouveau domaine est slectionne, puis cliquez sur Suivant.
46
Stage de fin dtudes
Figure 3.2 : Cration dun nouveau domaine. Dans la page, crer un nouveau domaine, vrifiez que loption Domaine dans une nouvelle fort est slectionne, puis cliquez sur Suivant. Dans la zone nom DNS complet pour le nouveau domaine, tapez Votre_site.lan puis Suivant.
Figure 3.3 : Prcision du nom de domaine. Dans la page nom de domaine NetBIOS, vrifiez que Votre site apparat. Validez les pages Dossier de la base de donnes et du journal, volume systme partag et diagnostic des inscriptions DNS.
47
Stage de fin dtudes
Figure 3.4 : Validation de dossier de la base de donnes.
Dans la page Autorisations, slectionnez loption Autorisations compatibles uniquement avec les serveurs Windows 2000 ou Windows 2003 Server, cliquez Suivant. Dans la page Mot de passe administrateur de restauration des services dannuaire, entrez et confirmez votre mot de passe. Validez. Validez le rsum pour dmarrer le processus dinstallation dActive Directory. Le processus dinstallation est lanc. Une fois linstallation dActive Directory termine, redmarrez votre ordinateur.
Figure 3.5 : Installation du serveur DNS. Une fois linstallation termine redmarrer lordinateur pour finaliser linstallation
48
Stage de fin dtudes
II.
Mise en place du serveur Radius :

La mise en place du serveur Radius se fera en deux tapes importantes. La premire
verra linstallation de la plateforme linux qui permettra daccueillir le logiciel Freeradius. Ce dernier, est le logiciel qui nous nous permettra de grer notre serveur Radius et qui sera le sujet de la deuxime tape.
1. Installation du freeradius :
Certaines oprations ncessitent le mode root, pour pouvoir les excuter, donc il sera prfrable dentrer en mode root depuis le dbut de la session. Ceci en tapant la commande suivante : $ Sudo su
Figure 3.6 : Le terminal du systme Ubuntu. On tlcharge la dernire version de freeradius qui est la version 2.10.1, celle-ci tant disponible sur le site de freeradius. Le paquet tlcharg sera sous forme darchive (extension .tar.gz) donc il faudra le dcompresser avec la commande tar comme suit :
Figure 3.7 : La commande dextraction du dossier freeradius-Server-2.1.10 . Attendez un moment durant lequel la dcompression des fichiers du package seffectue.
49
Stage de fin dtudes
Figure 3.8 : Lexcution de lextraction. Une fois termin accder dans le dossier nouvellement cr de freeradius puis lancer linstallation de freeradius en excutant les trois commandes suivantes, lune aprs lautre. #./configure sysconfdir=/etc/ #make #make install
Figure 3.9 : Lexcution de ./configure .

50
Stage de fin dtudes
Figure 3.10 : Lexcution de make .
Figure 3.11 : Lexcution de make install . Ainsi, le logiciel freeradius est install et nattend plus qu tre configur.
51
Stage de fin dtudes
2. Configuration du Freeradius :
Pour que freeradius fonctionne correctement les fichiers suivants doivent tre configurs : clients.conf radiusd.conf eap.conf users
a. Configuration du fichier clients.conf :

Ce fichier permet des clients radius dinterroger notre serveur radius. Pour cela, on autorise des plages dadresses dmission protge par un mot de passe, en les ajoutant au fichier. Pour diter le ficher on na qua louvrir avec un diteur tels que vi mais pour notre projet nous avons choisis vim vu la facilit quil apporte la lecture et la modification des fichiers. Ensuite, saisir la suite de la dernire insertion la plage dadresse ncessaire, dans notre cas ce sera 172.16.159.1/24, on constate que dautres plages sont dj prsentes comme celles du localhost(127.0.0.1) pour permettre deffectuer des tests.
On tape sur i pour entrer dans le mode insertion pour quon puisse effectuer des modifications.
52
Stage de fin dtudes
Figure 3.12 : Le fichier clients.conf.
b. Configuration du fichier eap.conf

Le fichier eap.conf est ncessaire pour spcifier la mthode dauthentification utilise par freeradius. On a choisi la mthode PEAP, car a nous permettra dutiliser le MSCHAPv2, un protocole qui utilise les requtes de type challenge/response, pour une authentification avec un domaine Windows dans Active Directory. On remplace la ligne default_eap_type = md5 par la ligne default_eap_type = peap .
53
Stage de fin dtudes
Figure 3.13 : Le fichier eap.conf (section eap). Ensuite apporter les modifications suivantes:
Figure 3.14 : Le fichier eap.conf (section tls).
54
Stage de fin dtudes
Figure 3.15 : Le fichier eap.conf (section peap).
c. Configuration du fichier radiusd.conf

Fichier de base de configuration pour freeradius permettant dimplmenter de nombreux protocoles et dfinir la configuration globale du serveur. On ouvre le fichier et on procde la section Microsoft authentication et on enlve les commentaires des lignes suivantes : authtype = MS-CHAP with_ntdomain_hack = yes Ensuite on ajoute les lignes suivantes : ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=%{mschap:NT-Domain} --username=%{mschap:User-Name} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}" CHAP
55
Stage de fin dtudes
Figure 3.16 : Le fichier radiusd.conf.
d. Configuration du fichier users

La configuration de ce fichier est ncessaire pour effectuer des tests, car ce fichier fait office de base de donnes interne pour freeradius. On y crera au dbut un utilisateur de test juste pour les besoins du test, vu que nos donnes utilisateur sont stockes sur Active Directory.
56
Stage de fin dtudes
Figure 3.17 : Le fichier users.
III.
Configuration du point daccs

Le point daccs, cest le matriel qui va recevoir la demande de connexion dun
client. On peut configurer notre point daccs soit par cble console, soit par interface web. Pour configurer via linterface web, on tape ladresse du point daccs dans le navigateur web.
57
Stage de fin dtudes
Interface web dun point daccs :
Figure 3.18: Page daccueil de linterface web du point daccs. Dans cette figure on indique ladresse IP, masque et passerelle. Puis le rle access point et enable dans la section 802.11G
Figure 3.19 : Configuration initial du point daccs.
58
Stage de fin dtudes
Ensuite on passe la configuration du SSID, en prcisant le nom, on coche le mode diffusion, le type de scurit et ladresse du serveur radius et le mot de passe.
Figure 3.20 : configuration de scurit du point daccs. Les informations prcises sont affiches dans SSID Table , aprs avoir appuy sur apply .
Figure 3.21 : Table des SSID.
59
Stage de fin dtudes
IV.
Configuration du supplicant
Ouvrir favoris rseau, puis choisir proprit du rseau local et passer longlet
authentification aprs avoir slectionn client pour rseau Microsoft .
Figure 3.22 : Proprits du rseau local. On active lauthentification IEEE 802.1x, et dans type EAP on choisit PEAP.
Figure 3.23 : Longlet Authentification .

60
Stage de fin dtudes
On dsactive valider le certificat du serveur et on slctionne EAPMSCAHPv2 comme mthode dauthentification puis on clique sur configurer.
Figure 3.24 : Proprits EAP protges. On coche utiliser automatiquement mon nom douverture de session et mon mot de passe Windows .
Figure 3.25 : Proprit EAP MSCHAPv2.
Conclusion
Dans ce chapitre nous avons montr la procdure suivre pour configurer Active Directory comme annuaire et implmenter freeRADIUS comme serveur RADIUS. Dans le chapitre suivant nous allons dtailler les tapes suivre pour raliser lintgration entre freeRADIUS et Active Directory pour quils assurent la mobilit et lauthentification des profils utilisateurs.
61
Stage de fin dtudes
Mobilit et Intgration
Chapitre 4 : Mobilit et Intgration
62
Stage de fin dtudes
Introduction
Dans ce chapitre nous allons tout dabord prsenter la mobilit et lintgration dun point de vue thorique et puis nous allons entamer le ct pratique de lintgration. A la fin nous allons exposer le rsultat acquit.
I.
La mobilit
1. Prsentation de la mobilit
Un rseau sans fil peut tre utilis dans des endroits temporaires, couvrir des zones
difficiles daccs aux cbles, et relier des btiments distants. La mise en uvre de ce concept aujourdhui, est trs simple mais il faut sappuyer sur des technologies matures pour pouvoir lui donner son essor.
2. Les avantages de la mobilit

Cette application permet la mise en place de rseaux orients utilisateurs. Livr en standard avec tous les contrleurs de mobilit, elle offre un contrle incomparable de lensemble de lenvironnement mobile permettant la mise en place des rseaux locaux sans les fils idoines, avec une scurit base sur lidentit et une continuit des services applicatifs. Lensemble des fonctionnalits de base inclut les lments suivants : authentification et chiffrage avanc. protection contre les points daccs sans fils malveillants. mobilit transparente avec une itinrance rapide. En outre, elle peut offrir des outils de gestion et danalyse adaptatifs, configuration centralise, localisation, des modules complmentaires facultatifs qui proposent des fonctions avances, telles que la protection contre les intrusions sans fil, une scurit base sur lidentit avec une application des stratgies orientes utilisateur, un contrle daccs au rseau mobile, un accs distance scuris et des technologies de connectivit rseau avances, un pare-feu dapplication conforme aux stratgies daccs , un serveur VPN (VPN Server) et la gestion de points daccs distants.
63
Stage de fin dtudes
Cette solution offre la possibilit davoir une connectivit sans fil transparente, lorsque les utilisateurs se dplacent sur le rseau. Avec des temps ditinrance trs courts, les performances des applications persistantes et sensibles aux dlais de transmission, telles que les applications voix et vido qui sont garanties. Elle peut intgrer des fonctions de proxy IP mobile et proxy DHCP, ce qui permet aux utilisateurs de se dplacer entre les sous-rseaux, les points daccs et les contrleurs sans logiciel client particulier. Les fonctions de mobilit de cette application sont compatibles avec tous les points daccs tiers. Avec le regroupement des rseaux locaux virtuels, la connexion des utilisateurs ces rseaux est quilibre afin de conserver des performances rseau optimales, lorsque des groupes dutilisateurs importants se dplacent sur ce rseau.
II.
Intgration dUbuntu sous Active Directory

1. Prsentation de lintgration
Comme les entreprises exigent que les processus d'affaires et de scurit soient
davantage intgrs et que l'information soit partage, de nouveaux outils sont ncessaires pour faciliter cette convergence naturelle. De plus, puisque les entreprises utilisent un modle automatis et transparent, augmenter le niveau d'automatisation pour synchroniser les donnes entre ces diffrents systmes devient un composant trs important de leurs systmes de scurit. Avec l'intgration dans Active Directory, les mondes de la scurit logique et physique convergent pour une gestion centralise et une synchronisation des comptes d'utilisateurs de Windows avec les comptes d'utilisateurs sous nimporte quel environnement.
2. Lintgration ct Active Directory

Pour raliser lintgration, on doit crer une machine sous le domaine TELECOM ayant le nom Ubuntu qui nest autre que notre serveur RADIUS. On ouvre une session sur telecom en utilisant le compte Administrateur et le mot de passe pa$$w0rd. On clique sur Dmarrer, pointer sur Outils d'administration, puis cliquer sur Utilisateurs et ordinateurs Active Directory. On pointe sur Nouveau, puis on clique sur Ordinateur. Dans la bote de dialogue Nouvel objet - Ordinateur, on entre Ubuntu dans le champ Nom de l'ordinateur. Sous l'utilisateur ou le groupe suivant peut joindre cet ordinateur un domaine, on clique sur Modifier. Dans la bote de dialogue Slectionnez Utilisateur ou Groupe, tapez Selim, puis on clique sur Vrifier les noms. On Clique sur
64
Stage de fin dtudes
OK. On clique deux fois sur Suivant. On clique sur Terminer. On ferme la fentre Utilisateurs et ordinateurs Active Directory.
3. Lintgration ct Ubuntu :
Faire un ping entre la machine Ubuntu et la machine Windows Server 2003, ping 172.16.159.11
Figure 4.1: Rsultat du ping avec ladresse IP. Par la suite, on ping avec le nom du serveur. Ping BOHMID.TELECOM.LOCAL
Figure 4.2 : Rsultat du ping avec le nom complet de serveur Active Directory.
65
Stage de fin dtudes
4. Installation des packages

a. Likewise-open
Likewise-open, est un logiciel libre qui permet de joindre Linux, Unix, Mac OS Systems, Active Directory pour une authentification scurise avec des utilisateurs nonWindows.
Figure 4.3 : Installation du likewise-open .
Figure 4.4 : Prcision du nom de domaine.

66
Stage de fin dtudes
b. krb5-user
krb5-user, est une implmentation libre de Kerberos 5. Kerberos est un protocole d'authentification rseau. Il centralise la base de donnes d'authentification et utilise des applications compatibles pour fonctionner avec les serveurs ou services qui supportent Kerberos, permettant des connexions simples et une communication crypte dans les rseaux internes ou sur Internet.
Figure 4.5 : Installation du krb5-user .
67
Stage de fin dtudes
c. winbind
winbind, est un logiciel qui permet de rcuprer les utilisateurs et les groupes du contrleur de domaine Windows, pour viter de grer plusieurs bases de donnes dutilisateurs.
Figure 4.6 : Installation du winbind .
d. Samba
Le logiciel samba, est un outil permettant de partager des dossier et des imprimantes travers un rseau local. Il permet de partager et d'accder aux ressources d'autres ordinateurs.
68
Stage de fin dtudes
Figure 4.7 : Installation du samba .
5. Configuration du fichier krb5.conf

On se dplace sous /etc et on ouvre le fichier de configuration krb5.conf avec lditeur vim et on rdige le contenu comme suit. vim krb5.conf
Figure 4.8 : Le fichier krb5.conf .

69
Stage de fin dtudes
6. Configuration du fichier smb.conf

On se dplace sous le rpertoire /etc/samba et on ouvre le fichier smb.conf et on rdige le contenu comme suit. vim smb.conf
Figure 4.9 : Le fichier smb.conf . On lance les services de samba nmbd et smbd : Sudo /etc/init.d/nmbd start Sudo /etc/init.d/smbd start
70
Stage de fin dtudes
Figure 4.10 : Dmarrage des services.
7. Configuration des fichiers rseaux

On se dplace sous /etc , on ouvre le fichier resolv.conf et on ajoute la ligne suivante, pour prciser ladresse du serveur DNS. Nameserver 172.16.159.11
Figure 4.11 : Le fichier resolv.conf. On ouvre le fichier hosts et on ajoute la ligne suivante pour dfinir manuellement une adresse IP pour un hte du rseau repr par un nom de domaine
71
Stage de fin dtudes
Figure 4.12 : Le fichier hosts. On tape la commande suivante : Nslookup bohmid.telecom.local Elle donne le rsultat suivant qui assure que ubuntu est bien connect Active Directory.
Figure 4.13 : Rsultat de la commande nslookup . Pour terminer, on tape la commande net join U Administrateur avec Administrateur ainsi que le nom de la session de ladministrateur du contrleur de
domaine et on entre son mot de passe.
Figure 4.14 : Intgration russie.

72
Stage de fin dtudes
Nous avons aussi captur lchange des trames entre lannuaire et le serveur RADIUS avec un analyseurs de trafic rseaux qui est le wireshark pour vrifier les information propos de cette intgration.
Figure 4.15 : Capture de trame de lintgration. Pour afficher les utilisateurs dActive Directory on tape la commande wbinfo u.
Figure 4.16 : Liste des utilisateurs sous Ubuntu et Active Directory. Ainsi un autre capture dchange de trames entre le serveur Radius et lannuaire Active Directory lors de limportation de la liste des utilisateurs qui sont sous le domaine.
73
Stage de fin dtudes
Figure 4.17 : Capture de trame dimportation des utilisateurs. Pour afficher les groupes dans Active Directory on tape la commande wbinfo g.
Figure 4.18 : Liste des groupes sous Ubuntu et Active Directory.
74
Stage de fin dtudes
III.
Rsultat et vrification
Aprs avoir effectu les configurations ncessaire et paramtrer les fichiers
ncessaires, nous pouvons constater quaprs avoir ajouter un compte utilisateur au domaine telecom il aura automatiquement la possibilit de se connecter via le point daccs que nous avons configurer prcdemment.
Figure 4.19 : Connexion au point daccs le plus proche. Cette authentification est russite aprs avoir debugger le serveur RADIUS est le mettre en mode dcoute listenning pour excuter les requtes de demande daccs.
75
Stage de fin dtudes
Figure 4.20 : Serveur RADIUS en mode coute. Une fois la demande de requte daccs est envoy par le point daccs le serveur RADIUS le traite en envoyant une requte de vrification au serveur Active Directory pour autoris lauthentification et lui permettre daccder au rseau Wifi.
Figure 4.21 : Traitement du requte dauthentification et autorisation daccs.

76
Stage de fin dtudes
Une fois authentifi auprs du serveur Radius, nous pouvons consulter un logiciel de sniffing rseau pour observer les trames changs confirmant lacceptation de demande de connexion.
Figure 4.22 : Capture de trame dacceptation dauthentification. Pour vrifier plus la mobilit on essaye de changer dtage, le signale va saffaiblir dans un premier lieu jusqu' ce quon arrive dans le rayon du deuxime point daccs. Et on va se retrouver connect en toute transparence. Dans le cas de non acceptation de la demande daccs le point daccs recevra une requte access reject comme le montre lanalyseur :
77
Stage de fin dtudes
Figure 4.23 : Capture de trame de rejet dauthentification.
Conclusion
Au long de ce chapitre, nous avons lune des partie importante de notre projet quest lintgration toute en expliquant la configuration effectuer. Puis nous avons affich le rsultat reu aprs avoir fini tous les configurations ncessaires pour sassurer que notre application fonctionne merveille.
78
Stage de fin dtudes
Conclusion Gnral
CONCLUSION GENERAL
Ce stage nous a permis de mieux comprendre limportance de la norme 802.1X dans la Direction des Systmes dInformation, particulirement dans les grandes entreprises comme le Groupe Tunisie Telecom, o tout le fonctionnement de lentreprise est gr par des logiciels qui couvrent les besoins de tout le personnel. Au cours de ce projet de fin dtudes, nous avons tudi la norme 802.1X en prsentant ses diffrentes architectures et nous avons dvelopp une application qui assure la mobilit et la scurit dun rseau de transmission de donns haut dbit daccs WI-FI .Ce projet a t effectu au profit de loprateur Tunisie Tlcom, dans le but de linstallation de son rseau intra-btiment en accs WI-FI au sein de son local dEl Kasbah. Le bilan de notre projet est positif, car nous avons russi atteindre notre but principal qui tait de raliser une authentification scurise 802.1X depuis notre serveur Radius avec lutilisation de compte stock sur Active Directory en assurant la mobilit. Tout au long de ce projet, nous avons pu dcouvrir de nouveaux protocoles et applications de pointe. Notre serveur communique en EAP/PEAP. La technologie WI-FI, semble donc avoir tout pour tre la meilleure dans le domaine, mais elle nest pas exempte dinconvnients. Lutilisation de lair ambiant comme canal de transmission, la rend vulnrable aux interfrences, car de nos jours lair est charg dautres faisceaux et divers types dondes, lutilisant leurs tour comme canal de transmission. Cependant le WI-FI, tout en tant tentant et pratique pour de nombreux secteurs dactivit, devient incontournable et lavenir sera indubitablement sans fil .
79
Stage de fin dtudes
BIBLIOGRAPHIE / NETOGRAPHIE
BIBLIOGRAPHIE
[1] . Le protocole RADIUS.pdf [2] . Guide authentification 802.1X. [3] . FreeRADIUS Tutorial for AD integration.
NETOGRAPHIE
[1] . http://www.likewise.com/products/likewise_open/ [2] . http://deployingradius.com/documents/configuration/active_directory.html [3] . http://doc.ubuntu-fr.org/tutoriel/comment_ajouter_machine_ubuntu_dans_domaine_ active_directory [4] . www.cru.fr/nomadisme-sans-fil/arredu [5] . http://www-igm.univ-mlv.fr/~dr/XPOSE2008/802.1x/802_1x.html [6] . http://technet.microsoft.com/fr-fr/library/cc759077(WS.10).aspx [7] . http://www.crdp-reims.fr/iaca/InstallWindows2003Serveur.pdf [8] . http://www.drizzle.com/~aboba/IEEE/ [9] . http://www.nantes-wireless.org/ [10] . http://ing.ctit.utwente.nl/WU5/D5.1/Technology/radius/
80
Stage de fin dtudes
Annexe
Annexe
1. Cration dun groupe daccs sous Active Directory
Pour raliser la mobilit on doit, aprs la configuration des points daccs et les donnes le mme SSID, crer les utilisateurs quon va les autoriser a se connecter et les affecter un groupe sous Active Directory.
a. Cration dun compte utilisateur

Pour crer un compte utilisateur on doit suivre les tapes suivantes : Tout dabord, on ouvre la session de lAdministrateur avec le mot de passe pa$$w0rd. On clique sur Dmarrer, on pointe sur Outils dadministration, puis on clique sur Utilisateurs et ordinateurs Active Directory. On pointe sur Nouveau, puis on clique sur Utlisateur. Dans la bote de dialogue Nouvel objet on cre un utilisateur avec les coordonns suivantes :
Figure A.1 : Cration dun compte utilisateur.
81
Stage de fin dtudes
Annexe
Aprs, on lui indique un mot de passe qui se compose de diffrent caractre comme des symboles, des lettres et de chiffres et on coche que lutilisateur ne peut pas changer de mot de passe et le mot de passe nexpire jamais .
Figure A.2 : Indication sur le mot de passe. Ensuite, on pointe sur proprits du compte utilisateur cr pour le modifier. Dans longlet Appel Entrant on coche Autoriser laccs.
Figure A.3 : Modification du compte utilisateur cr.

82
Stage de fin dtudes
Annexe
b. Cration dun groupe

Pour crer un groupe, on doit suivre les tapes suivantes : Sous Utilisateurs et ordinateurs Active Directory, on pointe sur Nouveau, puis on clique sur Groupe. Dans la bote de dialogue Nouvel objet on cre un groupe avec les coordonns suivantes :
Figure A.4 : Cration dun groupe. Ensuite, on pointe sur proprits du groupe cr pour accueillir les utilisateurs autoriss se connecter aux points daccs Wifi. Dans longlet Membre on clique sur Ajouter, et dans la fentre qui saffiche on tape le nom de lutilisateurs quon va laffecter.
Figure A.5 : Affectation des utilisateurs au groupe.

83
Stage de fin dtudes
Annexe
4. Configuration du serveur DHCP dans le point daccs

On a configurer le serveur DHCP en accdant au console du point daccs travers le service telnet et on tape les commandes qui se trouve dans le figure ci-dessous.
Figure A.6 : Configuration du serveur DHCP. Et on applique sur lui aussi un serveur DNS.
Figure A.7 : configuration du serveur DNS.
84

Anis

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Anis

Transféré par

Droits d'auteur :

Formats disponibles

Rpublique Tunisienne Ministre de lEnseignement Suprieur et de la Recherche Scientifique Universit de Tunis ElManar

Institut Suprieur de lInformatique

Elabor par: BEN LTAIEF Ahmed MFARREJ Selim

Sujet : Mobilit et scurit des points daccs sans fil

Groupe Tunisie Telecom

Anne Universitaire : 2010/2011

Institut Suprieur de lInformatique

Elabor par : BEN LTAIEF Ahmed MFARREJ Selim

Sujet : Mobilit et scurit des points daccs sans fil

Groupe Tunisie Telecom

Anne Universitaire : 2010/2011

Table des matires

Liste des figures

Liste des tableaux

Stage de fin dtudes

Stage de fin dtudes

Stage de fin dtudes

Stage de fin dtudes Les services de Tunisie telecom :

Figure 1.1 : Lorganigramme du Tunisie Telecom.

Stage de fin dtudes

Stage de fin dtudes

Les besoins relevs ont t rpartis en deux sections :

fonctionnels et non fonctionnels.

a. Les besoins fonctionnels :

b. Les besoin non fonctionnels

Stage de fin dtudes

Figure 1.2 : Architecture de base de notre solution.

3. Diagramme de cas dutilisation

Figure 1.3 : Diagramme de cas dutilisation.

Stage de fin dtudes

Figure 1.4 : Diagramme de squence.

Figure 1.5 : Diagramme de dploiement.

Stage de fin dtudes

Stage de fin dtudes

La scurit des rseaux Wifi

Chapitre 2 : La scurit des rseaux WI-FI

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

Figure 2.1: Schma mode Infrastructure.

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

a. Scurit des points daccs

Stage de fin dtudes

La scurit des rseaux Wifi

b. Scurit des protocoles lis aux rseaux sans fil

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

Stage de fin dtudes

La scurit des rseaux Wifi

d. Scurit aprs la mise en place du rseau sans fil

Stage de fin dtudes

La scurit des rseaux Wifi