Vous êtes sur la page 1sur 80

Mmoire de projet pour lobtention de la licence

Dpartement Rseaux et Tlcommunications


Promotion 2008/2009

CHANROUX Quentin
PROJET DE DEPLOIEMENT DU WI-FI
Sous la responsabilit de Monsieur Mohammed Samer

122, rue Paul Armangot 94400 Vitry sur seine,


Tl. 0141807375/11 fax. 0141807376, www.gtrvitry.net

REMERCIEMENTS

Je tiens tout dabord remercier mon tuteur dentreprise, M. Stphane BOUCHER, responsable du
service informatique, ainsi que M. Choulep CHUNG pour leurs explications, leur patience et leur
disponibilit.

Je remercie galement toute lquipe informatique, M. Stphane BOUCHER, M. Chou-Lep CHUNG,


M. Grard FACCENDA, Mme Muriel BIANCHI, M. Gilles SOURIS, M. Jrmie DUCASTEL et M. Philipe
BUTH pour leur sympathie et leur disponibilit durant cette anne.

Je remercie vivement M. Grard de MARCILLAC, Directeur de ltablissement et toute la direction


pour la confiance quils mont accord tout au long de cette anne.

Enfin, je remercie lIUT de Vitry sur Seine, mon tuteur de stage, M. Mohammed Samer, ainsi que
toute lquipe pdagogique et administrative pour cette anne passe avec eux.

R&T 2008/2009

Page 2 sur 80

SOMMAIRE
REMERCIEMENTS............................................................................................................................................. 2
SOMMAIRE....................................................................................................................................................... 3
GLOSSAIRE DES FIGURES ET TABLEAUX........................................................................................................... 5
INTRODUCTION................................................................................................................................................ 7
CHAPITRE I................................................................................................................................................... 8
PRESENTATION DE LA CCIP.......................................................................................................................... 8
1. PRESENTATION DE LENTREPRISE........................................................................................................ 9
LA CHAMBRE DE COMMERCE ET DINDUSTRIE DE PARIS (CCIP)...........................................................9
Prsentation gnrale..................................................................................................................... 9
Missions.......................................................................................................................................... 9
Chiffres-cls.................................................................................................................................. 11
Ressources.................................................................................................................................... 11
EGF.................................................................................................................................................... 12
Prsentation gnrale................................................................................................................... 12
Son service informatique............................................................................................................... 13
CHAPITRE II................................................................................................................................................ 14
LE WI-FI :................................................................................................................................................... 14
DHIER, DAUJOURDHUI ET DE DEMAIN..................................................................................................... 14
2. LE WIFI DHIER, DAUJOURDHUI ET DE DEMAIN................................................................................. 15
Historique.......................................................................................................................................... 15
Architecture....................................................................................................................................... 15
Normes.............................................................................................................................................. 17
Mode de fonctionnement:.................................................................................................................. 18
Modes opratoires......................................................................................................................... 18
Rpartition des canaux.................................................................................................................. 20
Risques et solutions........................................................................................................................... 20
Les attaques en Wi-Fi :.................................................................................................................. 21
Les consquences:........................................................................................................................ 21
Les solutions actuelles contre ces attaques :................................................................................. 22
Avantages et inconvnients............................................................................................................... 22
Avantages du Wifi :....................................................................................................................... 22
Inconvnients du Wifi :.................................................................................................................. 22
Standards concurrents du Wi-Fi......................................................................................................... 22
CHAPITRE III............................................................................................................................................... 24
PROJET WI-FI DE EGF................................................................................................................................. 24
3. PROJET WI-FI DE EGF......................................................................................................................... 25
Contexte et Objectif du projet........................................................................................................... 25
Organisation du projet....................................................................................................................... 25
Organigramme des acteurs du projet............................................................................................ 26

R&T 2008/2009

Page 3 sur 80

Etude de lenvironnement............................................................................................................. 27
Mise en place des solutions retenues............................................................................................ 27
Cot du projet............................................................................................................................... 31
CHAPITRE IV.............................................................................................................................................. 32
REALISATION DU PROJET............................................................................................................................ 32
4. Ralisation du projet.......................................................................................................................... 33
Ltude de couverture radio.......................................................................................................... 34
Cblage......................................................................................................................................... 35
Installation des bornes Wifi........................................................................................................... 35
Rfrencement des bornes Wifi dans le DHCP............................................................................... 35
Mise en place du serveur Radius................................................................................................... 36
Crations de nouveaux VLAN........................................................................................................ 38
Raccordement des bornes et configuration des switchs................................................................39
Mise en place du serveur WLSE (Wireless Lan Solution Engine).....................................................40
Configuration de la borne management........................................................................................ 40
Ajout de la borne management dans le serveur Radius.................................................................44
Configuration des bornes clientes................................................................................................. 44
Configuration du serveur WLSE..................................................................................................... 46
Configuration du Firewall............................................................................................................... 50
Configuration et activation du Wifi................................................................................................ 51
Dtection des rseaux Wifi............................................................................................................ 51
Connexion au rseau Wifi public EGF_Public.................................................................................. 51
Connexion au rseau Wifi priv EGF_Prive..................................................................................... 52
Test de couverture et puissance du signal..................................................................................... 54
CHAPITRE V............................................................................................................................................... 55
Conclusion................................................................................................................................................. 55
5.0 Conclusion....................................................................................................................................... 56
Bilan.................................................................................................................................................. 56
Conclusion......................................................................................................................................... 56
ANNEXES............................................................................................................................................... 57
Configuration dtaille du rseau sans fil de EGF :................................................................................ 57
Configuration des bornes Wi-Fi CISCO AIRONET 1130AG via le serveur WLSE :.................................57
Configuration du serveur Radius........................................................................................................ 62
Configuration du Firewall CheckPoint................................................................................................. 71
Diffrents protocoles de scurit....................................................................................................... 73
Glossaire........................................................................................................................................... 76
Bibliographie..................................................................................................................................... 77

R&T 2008/2009

Page 4 sur 80

GLOSSAIRE DES FIGURES ET TABLEAUX

Tableau 1 - Rpartition des effectifs par secteur d'activit.......................................................11


Tableau 2 - Normes.................................................................................................................17
Tableau 3 - Bande de frquences............................................................................................20
Tableau 4 - VLAN....................................................................................................................39

Figure 1 - Mode ad hoc..........................................................................................................19


Figure 2 - Mode infrastructure................................................................................................20
Figure 3 - Man in the middle...................................................................................................21
Figure 4 - Architecture du rseau wifi ouvert EGF....................................................................29
Figure 5 - Architecture du rseau wifi administratif EGF..........................................................30
Figure 6 - Serveur DHCP.........................................................................................................36
Figure 7 - Serveur RADIUS 4.1................................................................................................37
Figure 8 - Cration du certificat pour la connexion pour rseau EGF_Prive................................38
Figure 9 - Configuration du serveur manager sur la borne Management...................................41
Figure 10 - WDS groupe Infrastructure.................................................................................41
Figure 11 - WDS groupe client..............................................................................................42
Figure 12 - Configuration AP...................................................................................................42
Figure 13 - Configuration du DNS............................................................................................43
Figure 14 - Configuration accs HTTPS....................................................................................43
Figure 15 - Configuration Telnet/SSH.......................................................................................43
Figure 16 - Evolution de la configuration rseau du serveur RADIUS.........................................44
Figure 17 - Activation du service DHCP...................................................................................44
Figure 18 - Configuration AP...................................................................................................45
Figure 19 - Configuration Telnet/SSH.......................................................................................45
Figure 20 - Configuration service SNMP...................................................................................46
Figure 21 - Configuration de la communaut SNMP..................................................................46
Figure 22 - Configuration Telnet/SSH.......................................................................................47
Figure 23 - Configuration authentification WDS.......................................................................47
Figure 24 - Visualisation du domaine (WDS) et de la borne management..................................47
Figure 25 - Visualisation bornes..............................................................................................48

R&T 2008/2009

Page 5 sur 80

Figure 26 - Visualisation bornes..............................................................................................48


Figure 27 - Location Manager.................................................................................................49
Figure 28 - Interface EGF_Public.............................................................................................50
Figure 29 - Interface EGF_Prive...............................................................................................50
Figure 30 - Exemple de rgle dans le Firewall..........................................................................51
Figure 31 - Rseaux Wifi EGF..................................................................................................51
Figure 32 - Rseau Public EGF.................................................................................................52
Figure 33 - Configuration carte rseau....................................................................................52
Figure 34 - Configuration carte rseau - Protocole EAP............................................................53
Figure 35 - Validation du certificat..........................................................................................53

R&T 2008/2009

Page 6 sur 80

INTRODUCTION
Le Wifi est considr actuellement comme un symbole de libert et de Haute Technologie. Il est
pouss vers le haut par le besoin croissant de mobilit des utilisateurs.
Malgr les problmes lis au dbit et la scurit, le Wifi a su simposer dans les entreprises
grce son confort et sa facilit dutilisation.
La technologie Wifi est en phase de maturation, elle gagne en fiabilit et rapidit en partant dun
standard sans scurit ses dbuts en 1997. Ensuite, sa scurit est assure par le protocole
WEP et enfin larrive de la norme 802.11i en juin 2004 apportent des labels de scurit aux
protocoles WPA et WPA2.
La norme 802.11g atteint aujourdhui un dbit de 54Mb/s. La nouvelle norme 802.11n allie la
technologie MIMO (Multiple-Input Multiple-Output) est en phase de validation au sein de lInstitude
of electrical and Electronics Engineers (IEEE) garantissant un dbit thorique 540Mb/s tout en
restant compatible avec les normes Wifi 802.11b/g actuelles. La progression technologique Wifi
est en adquation avec les besoins de plus en plus fort de mobilit ; il nous promet un bel avenir.
Les fournisseurs daccs Internet commencent irriguer des zones forte concentration
dutilisateurs (gares, aroports, htels, trains) avec des rseaux sans fil connects Internet.
Ces zones ou point daccs sont appeles bornes Wifi ou points daccs Wifi et en anglais hot
spots .
Le Wifi rpond une forte demande de la part des utilisateurs nomades mais les problmes lis
sa technologie et sa scurit ont retard sa mise en place.
Le Wifi est un succs incontestable auprs des utilisateurs. Cependant il continue gnrer un
sentiment de mfiance quant sa scurit.
Dans ce projet, vous seront dabord prsents ltablissement CCIP/EGF, ensuite le Wifi et ses
diffrents aspects et enfin ltude et la ralisation du projet Wifi EGF : pourquoi le Wifi dans
notre tablissement ? Quels sont les choix techniques et scurits ? Et comment les mettre en
uvre ?
A lissue de cet expos sera prsent le bilan de ce projet, ses amliorations, ses mises jour
faire afin de maintenir ce rseau scuris et performant.

R&T 2008/2009

Page 7 sur 80

CHAPITRE I
PRESENTATION DE LA CCIP

R&T 2008/2009

Page 8 sur 80

1. PRESENTATION DE LENTREPRISE
LA CHAMBRE DE COMMERCE ET DINDUSTRIE DE PARIS (CCIP)
Prsentation gnrale
La Chambre de Commerce et dIndustrie de Paris (CCIP) fut cre le 25 fvrier 1803 suite
un dcret de Napolon Bonaparte. Elle se dveloppa par le cumul de mesures destines
faciliter ladaptation des entreprises aux grandes mutations techniques, technologiques et
sociales.
La fin des Trente Glorieuses, marque par le choc ptrolier, prcipita la France dans la crise.
Il fallut alors redfinir les objectifs prioritaires de la CCIP. Dans un contexte dintgration
europenne croissante, il devint fondamental dlever Paris au rang de premire capitale
conomique europenne. Dans cette perspective furent successivement implants le Palais
des Congrs (1974), le Parc des expositions (1983), lcole europenne des affaires (dit lEAP
en 1975), ainsi que la grande cole dingnieurs ESIEE (1987).
Les annes 90 amenrent ensuite un nouveau dfi la CCIP : celui de la mondialisation.
Do la mise en place de toute une panoplie visant soutenir les crateurs et repreneurs
dentreprises, accompagner les PME et PMI dans leur stratgie dexportation, apporter
de nouveaux moyens pour la formation des vendeurs, indispensables dans la comptition
commerciale et enfin contribuer aux travaux de lagence rgionale de dveloppement.

Missions
Actrice conomique essentielle de la rgion Ile de France, la CCIP mne ses actions en suivant
quatre grands axes dans le domaine conomique : reprsenter, accompagner, former et
dvelopper.
A. Reprsenter les intrts des entreprises
La CCIP reprsente plus de 310 000 entreprises qui totalisent 20% du PIB franais.
Interlocutrice privilgie des institutions rgionales, nationales et europennes, elle propose
rgulirement des mesures et des amnagements dans divers domaines qui touchent la
vie de lentreprise. Ses recommandations font lobjet de rapports diffuss auprs des
pouvoirs publics, juridiques, sociaux et fiscaux.

R&T 2008/2009

Page 9 sur 80

B. Accompagner les entreprises auprs des pouvoir publics


Dans ses dlgations de Paris, des Hauts-de-Seine, de Seine-Saint-Denis et du Val-de-Marne,
la CCIP met son expertise et sa connaissance du territoire au service du dveloppement
conomique. Elle propose aux dirigeants, aux crateurs, repreneurs et cdants dentreprise
une gamme de services adapts chaque tape du dveloppement de leurs affaires.
C. Former
Chaque anne, la CCIP forme 13 000 jeunes et 40 000 adultes. Plus de 30 % des jeunes
diplms issus de ses coles sont embauchs dans les 6 mois qui suivent la fin de leur
scolarit.
La formation dlivre par la CCIP suit 4 axes :

La formation basique

qui comprend les enseignements suprieurs de gestion, de

techniques, de technologiques, ainsi que commerciaux.

La formation continue dans la mesure o la CCIP offre un catalogue complet et volutif de


la formation (stages interentreprises, programmes sur mesure, parcours individuels,
coaching, validation des acquis par lexprience)

La formation linternational

travers divers moyens tels que

les programmes

dchanges dtudiants, la promotion de la langue franaise ltranger ou encore


lexportation du savoir faire pdagogique en Europe, au Moyen-Orient, en Afrique et en
Asie.

Lexpertise de la formation puisque la CCIP adapte en permanence les programmes de ses


coles aux volutions des besoins des entreprises grce deux ples dexpertise: (Le
PREAU qui veille et accompagne en e-formation et lOFEM)
D. Dvelopper lattractivit de la rgion parisienne
La CCIP uvre pour amliorer le rayonnement de la Rgion Parisienne dans le milieu des
affaires. Elle vise donc faire de Paris le premier lieu mondial daccueil des congrs et
salons. Pour cela, on compte plusieurs initiatives telles que la mise en place du Palais des
Congrs (1er site franais daccueil des congrs internationaux), le parc des expositions de
Paris-Nord Villepinte (1er site franais daccueil de salons professionnels en France) ainsi que
lorganisation de manifestations.

R&T 2008/2009

Page 10 sur 80

Chiffres-cls

Voici les chiffres-cls en 2005:

30 prises de positions adoptes par les lus en assemble gnrale

60 200 porteurs de projets informs

14 000 jeunes forms dans les 12 coles de la CCIP

40 000 stagiaires en formation continue.

391 accords dchanges acadmiques dans 55 pays.

4,5 milliards deuros de retombes directes et indirectes pour lIle-de-France, gnrs par les
salons et congrs, notamment grce aux sites exploits par la CCIP, qui reprsentent prs de
la moiti des capacits daccueil proposes.
Plus de 8,4 millions de visites sur ccip.fr et les sites CCIP associs.
Ressources

Tableau 1 - Rpartition des effectifs par secteur d'activit


Secteur d'activit
Nombre de

Part sur

collaborateurs

lensemble de

Direction gnral et autres

313

leffectif
7%

directions rattaches
Finances et administrations
Action territoriale
Enseignement et formation
tudes et informations
Total

677
621
2448
260
4319

16%
14%
57%
6%
100%

** Ce texte est largement inspir des sources internes de la CCIP.

R&T 2008/2009

Page 11 sur 80

EGF
Prsentation gnrale

Les Ecoles GREGOIRE-FERRANDI sont des tablissements denseignements technologiques de la


Chambre de Commerce et dIndustrie de Paris. Cres en 1931, elles sont ddies aux mtiers de
lartisanat de tradition, de lalimentation et de la restauration. Le nombre de salaris est de 208
collaborateurs dont 133 professeurs et 75 administratifs et leur budget de fonctionnement est de
17 millions deuros (110 millions de Francs).
Les atouts majeurs de ces Ecoles sont reprsents par des relations fortes avec les entreprises,
un souci constant dadaptation et de rponse aux besoins des employeurs, des quipements qui
permettent aux jeunes dapprendre dans les conditions de leur futur mtier et un enseignement
technique assur par des professionnels reconnus. A ceci sajoute la prsence, sur le mme site,
dune palette diversifie et complmentaire de formations, autant de possibilits de
passerelles dun mtier lautre offertes aux jeunes.
Ces coles sont divises en trois parties :

LEcole Ferrandi, spcialise dans la formation aux mtiers de lalimentation, la


distribution et la restauration

LEcole Grgoire, spcialise dans la formation aux mtiers de lartisanat, de


lamnagement et dcoration dintrieur

LEcole suprieure de la cuisine franaise.

De longue date, les Ecoles GREGOIRE-FERRANDI entretiennent avec les professionnels des
relations troites et privilgies. Elles sont lcoute des entreprises pour rpondre toujours plus
efficacement leurs besoins et peuvent se prvaloir :
o

De taux levs de russite aux examens : le taux moyen de russite aux examens
atteint 88 %

D'une insertion professionnelle russie : en moyenne, plus de 90 % des jeunes


issus de ces coles ont trouv un emploi dans les six mois suivant leur sortie de
formation.

R&T 2008/2009

Page 12 sur 80

En plus de ces coles le site comprend la Direction des Relations Internationales de


lEnseignement (DRI/E), qui participe, depuis 1958, la promotion du franais ltranger comme
outil des changes conomiques.

R&T 2008/2009

Page 13 sur 80

Ainsi, le Centre de Langue concentre son action sur la communication en situation professionnelle
au service de tous les trangers qui utilisent le franais dans leur mtier, mais galement des
entreprises franaises implantes ltranger, qui recherchent un personnel francophone.

Son service informatique


Le site Grgoire-Ferrandi, qui comprend les trois coles (EGF) et la DRI/E (Direction des Relations
Internationales de l'Enseignement), dispose d'un parc informatique consquent comprenant plus
de 450 ordinateurs personnels rpartis sur trois rseaux distincts :
-

un rseau administratif pour tous les administratifs des Ecoles Grgoire-Ferrandi

un rseau pdagogique utilis par les lves et professeurs des diffrentes coles

un rseau propre la DRI/E.

Le service informatique a la tche de grer ce systme, d'assurer sa maintenance et son


dveloppement.

Organisation du service informatique :

Responsable :

Stphane BOUCHER

Gestionnaire de Parc :

Grard FACCENDA

Administrateur Rseaux :

Chou-Lep CHUNG

Dveloppement applications :

Gilles SOURIS

Dveloppeurs Web :

Jrmie DUCASTEL, Philipe BUTH

Charger de laudio-visuel :

Muriel BIANCHI

Apprenti :

R&T 2008/2009

Quentin CHANROUX

Page 14 sur 80

CHAPITRE II
LE WI-FI :
DHIER, DAUJOURDHUI ET DE DEMAIN

R&T 2008/2009

Page 15 sur 80

2. LE WIFI DHIER, DAUJOURDHUI ET DE DEMAIN


Historique
Lide de transmettre des donnes informatiques par ondes lectromagntique est ne dans
les universits de Seattle, o les tudiants dsiraient changer des donnes par ce mode de
transmission. La technologie est connue grce ladoption du standard IEEE (Institute of
Electrical and Electronic Engineers) 802.11 en juin 1997 par WECA (Wireless Ethernet
Compatibility Alliance).
Le Wifi (Wireless Fidelity) est un ensemble de frquences radio standardis qui permet
de partager une connexion Internet et dchanger de donnes entre plusieurs postes.
Un rseau sans fil (en anglais wireless network) est un rseau dans lequel au moins deux
terminaux peuvent communiquer sans liaison filaire.
Les rseaux sans fil sont bass sur une liaison utilisant des ondes radiolectriques (radio et
infrarouges) la place des cbles habituels. Il existe plusieurs technologies se distinguant
par la frquence d'mission utilise ainsi que par le dbit et la porte des transmissions.
Grce au Wi-Fi, il est possible de crer des rseaux locaux sans fil haut dbit. Dans la
pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des
assistants personnels (PDA) ou mme des priphriques une liaison haut dbit (de 11
Mbit/s en 802.11b 54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mtres
en intrieur. Gnralement, la moyenne se situe entre une vingtaine et une cinquantaine de
mtres. Dans un environnement ouvert, la porte peut atteindre plusieurs centaines de
mtres voire, dans des conditions optimales, plusieurs dizaines de kilomtres pour la
'variante' WIMAX ou avec des antennes directionnelles.

Architecture
La structure du standard 802.11 sappuie sur le model OSI pour dfinir les deux couches
basses :
La couche physique (note parfois couche PHY), proposant trois types de codage de
l'information.
La couche liaison de donnes est constitue de deux sous-couches : le contrle de la
liaison logique (Logical Link Control, ou LLC) et le contrle d'accs au support (Media Access
Control, ou MAC).

R&T 2008/2009

Page 16 sur 80

Le protocole 802.11 couvre les couches MAC et physique. Le standard dfinit actuellement une
seule couche MAC qui interagit avec trois couches physiques, fonctionnant toutes les trois 1 et
2 Mbps :

Frequency hopping (FH) dans la bande des 2,4Ghz

Direct sequence (DF) dans la bande des 2,4 Ghz

Infrarouge(IR)

FHSS

802.2(LLC)
802.11(MAC)
DSSS

Liaison de donnes
IR

Physique

Il est possible d'utiliser n'importe quel protocole sur un rseau sans fil Wi-Fi au mme titre
que sur un rseau Ethernet.

R&T 2008/2009

Page 17 sur 80

Normes
La norme IEEE 802.11 est la norme initiale en 1997. Le tableau ci-dessous prsente les diffrentes
rvisions de la norme 802.11 valides ou en cours de validation par IEEE.
Tableau 2 - Normes
Norme

Nom

Description
La norme 802.11a (baptis Wi-Fi 5) permet d'obtenir un haut dbit (dans

802.11
a

Wi-Fi 5

un rayon de 10mtres: 54 Mbit/s thoriques, 30 Mbit/s rels). La norme


802.11a spcifie 8 canaux radio dans la bande de frquences des 5 GHz.
Elle propose un dbit thorique de 11 Mbit/s (6 Mbit/s rels) avec une

802.11
b

Wi-Fi

porte pouvant aller jusqu' 300 mtres dans un environnement dgag.


La plage de frquences utilise est la bande des 2,4 GHz avec, en France,
13 canaux radio disponibles.

Amlioration
802.11
e

de la
qualit de
service
(QoS)

La norme 802.11e vise donner des possibilits en matire de qualit de


service au niveau de la couche liaison de donnes. Ainsi cette norme a
pour but de dfinir les besoins des diffrents paquets en termes de bande
passante et de dlai de transmission de telle manire permettre
notamment une meilleure transmission de la voix et de la vido.
La norme 802.11f propose le protocole Inter-Access point roaming Protocol

802.11

Itinrance

(roaming)

permettant un utilisateur itinrant de changer de point d'accs de faon


transparente lors d'un dplacement, quelles que soient les marques des
points d'accs prsentes dans l'infrastructure rseau. Cette possibilit est
appele itinrance (ou roaming en anglais)
La norme 802.11g est la plus rpandue actuellement. Elle offre un haut
dbit (54 Mbit/s thoriques, 26 Mbit/s rels) sur la bande de frquences des

802.11

2,4 GHz. La norme 802.11g a une compatibilit descendante avec la norme

802.11b, ce qui signifie que des matriels conformes la norme 802.11g


peuvent fonctionner en 802.11b. Cette aptitude permet aux nouveaux
quipements de proposer le 802.11g tout en restant compatible avec les
rseaux existants qui sont souvent encore en 802.11b.
La norme 802.11h vise rapprocher la norme 802.11 du standard

802.11

Europen (Hiperlan 2, d'o le h de 802.11h) et tre en conformit avec la

rglementation europenne en matire de frquences et d'conomie

R&T 2008/2009

Page 18 sur 80

d'nergie.
La norme 802.11i a pour but d'amliorer la scurit des transmissions
(gestion et distribution des cls, chiffrement et authentification). Cette

802.11

norme s'appuie sur le WPA (Wi-Fi Protected Access) ou lAES (Advanced

Encryption Standard) et propose un chiffrement des communications pour


les transmissions utilisant les technologies 802.11a, 802.11b et 802.11g.
Elle est allie la technologie MIMO (Multiple-Input MultipleOutput) garantis un
WWiSE
(World-

802.1
1n

Wide
Spectrum
Efficiency)
ou TGn
Sync

dbit thorique 540Mb/s et d'une porte

tendue prs de 300 mtres tout en restant compatible avec les


normes Wi-Fi 802.11b/g actuelles.
La technologie MIMO est une technique utilisant des antennes
multiples pour optimiser le dbit l'intrieur de locaux (bureau,
appartement, maison), tout spcialement lorsque les interfrences
et obstacles sont nombreux.
En avril 2006, des priphriques la norme 802.11n commencent
apparaitre mais il s'agit d'un 802.11 N draft (brouillon) ou plutt
provisoire en attendant la norme dfinitive. La norme 802.11n est
attendue pour 2008.

Mode de fonctionnement:
Modes opratoires
Deux modes de fonctionnement existent, le mode ad doc est pour les particuliers tandis que le
mode infrastructure est plutt pour les entreprises.
a) Mode Ad hoc
Les rseaux ad hoc sont des rseaux sans fil capables de s'organiser sans infrastructure dfinie
pralablement.
Chaque entit communique directement avec sa voisine. Pour communiquer avec d'autres
entits, il est ncessaire de faire passer ses donnes par d'autres qui se chargeront de les
acheminer. Pour cela, il est d'abord primordial que les entits se situent les unes par rapport aux
autres, et soient capables de construire des routes entre elles. Les rseaux ad hoc s'organisent
d'eux mmes et chaque entit peut jouer diffrents rles.

R&T 2008/2009

Page 19 sur 80

Figure 1 - Mode ad hoc


b) Mode Infrastructure
En mode infrastructure, chaque station se connecte un point d'accs via une liaison sans fil.
L'ensemble form par le point d'accs et les stations situs dans sa zone de couverture est appel
ensemble de services de base (en anglais Basic Service Set, not BSS). Il constitue une cellule.
Chaque BSS est identifi par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode
infrastructure, le BSSID correspond l'adresse MAC du point d'accs. Il est possible de relier
plusieurs points d'accs entre eux (ou plus exactement plusieurs BSS) par une liaison appele
systme de distribution (note DS pour Distribution System) afin de constituer un ensemble de
services tendu (Extended Service Set ou ESS). Le systme de distribution (DS) peut tre aussi
bien un rseau filaire, qu'un cble entre deux points d'accs ou bien mme un rseau sans fil. Un
ESS est repr par un ESSID (Service Set Identifier), c'est--dire un identifiant de 32 caractres de
long (au format ASCII) servant de nom pour le rseau. L'ESSID, souvent abrg en SSID, Il porte le
nom du rseau et reprsente un premier niveau de scurit dans la mesure o la connaissance
du SSID est ncessaire pour qu'une station se connecte au rseau tendu.
Lorsqu'un utilisateur nomade passe d'un BSS un autre lors de son dplacement au sein de l'ESS,
l'adaptateur rseau sans fil de sa machine est capable de changer de point d'accs selon la
qualit de rception des signaux provenant des diffrents points d'accs. Les points d'accs
communiquent entre eux grce au systme de distribution afin d'changer des informations sur
les stations et permettre le cas chant de transmettre les donnes des stations mobiles.
Cette caractristique permettant aux stations de "passer de faon transparente" d'un point
d'accs un autre est appel itinrance (en anglais roaming). La gestion daccs se fait sur la
borne.

R&T 2008/2009

Page 20 sur 80

Figure 2 - Mode infrastructure


Rpartition des canaux
Dans le standard 802.11x, la bande de frquence 2.412-2.484 GHz (d'une largeur de 83.5 MHz) a
t dcoupe en 14 canaux spars de 5MHz, dont les 11 premiers sont utilisables aux EtatsUnis. Seuls les canaux 10 13 sont utilisables en France. Il ny a pas de recouvrement entre les
canaux 1, 6 et 11 (**)
Tableau 3 - Bande de frquences
Canal
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Frquence (GHz) 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.484

** Source CISCO Wireless Lan (Editeur Syngress)

Risques et solutions
Lutilisation du rseau sans fil comporte des risques car il expose des menaces dintrusion.
Nous allons les analyser en dtail et voir les solutions dencryptage sur le march afin de
protger les accs et les donnes.

R&T 2008/2009

Page 21 sur 80

Les attaques en Wi-Fi :


Le War-Driving :
Cette technique consiste se dplacer dans une ville avec un ordinateur portable muni dune
carte 802.11b/g et dune antenne externe pour se connecter sur les rseaux sans fil.
De nombreux logiciels sont disponibles pour casser les cls de chiffrement sur tous les
systmes d'exploitation : Linux, Windows.
Lhomme au milieu
Cette attaque consiste se faire passer pour une autre machine en utilisant son adresse MAC.
Cela permet de faire de l'interception : Man In The Middle

Figure 3 - Man in the middle


Les consquences:
Les risques du Wifi sont exploits par les pirates de manires suivantes

coute et interception de trafic

Introduction d'une station ou d'un serveur illicite dans le rseau

Vol d'informations, espionnage ...

Malveillance
Personnel licenci qui installe du matriel avant son dpart
Matriel ayant une "fonction cache"

R&T 2008/2009

Page 22 sur 80

Les solutions actuelles contre ces attaques :

Prconiser et intgrer la scurit ds la conception du projet pour valuer et


anticiper les risques.

Mettre en place une politique daudit systmatique pour tudier lexistant.


Implanter de bornes intelligentes (Ex : Cisco avec la solution WLSE) pour
faciliter et optimiser la gestion des bornes.

Mettre en place une solution appuyant sur une authentification complte :


lutilisateur/ la machine/ la borne/ le Serveur Radius.

Avantages et inconvnients
Avantages du Wifi :

Mobilit, facilit et rapidit d'installation et d'utilisation

Compatibilit inter-Platform si les normes sont respectes

Complmentarit au rseau filaire Ethernet

Cot peu lev par rapport au rseau filaire

Inconvnients du Wifi :

Rseau

scuris

mais

chute

rapide

du

dbit

lors

de

nombreuses

communications ou d'informations trop riches (images, vido audio...).

Problmes dinterfrences dus aux obstacles rencontrs (murs, vitres


teintes, tages,...), pouvant aller jusqu' la coupure de la liaison,
notamment lors du dplacement dune borne l'autre.

Pas de rgle stricte dans le dploiement du Wifi : ncessit dune tude


pralable approfondie

Standards concurrents du Wi-Fi


Il existe plusieurs technologies concurrentes : HiperLAN2, Bluetooth, CPL.
a) hiperLAN2 (High Performance Radio LAN 2.0) est norme europenne labore par l'ETSI
(European Telecommunications Standards Institute). Elle est en concurrence directe avec la
norme

R&T 2008/2009

Page 23 sur 80

802.11a. Elle fonctionne sur la bande des 5GHz en modulation OFDM (voir norme 802.11) avec un
dbit de 54Mbits/s.
Les fonctionnalits sont:
Mode haut dbit : la couche physique peut transmettre et recevoir des donnes 54 Mbits/s
grce la modulation OFMD.
Mode orient connexion : avant chaque envoi, une connexion est tablie entre les stations et l'AP
(point d'accs). Les communications point--point sont bidirectionnelles et les communications
point--multipoint sont unidirectionnelles. Un canal de broadcaste permet de joindre toutes les
stations en mme temps.
b) Bluetooth : Technologie de transmission sans fil entre PC, PDA et priphriques. Le Bluetooth
est bien adapt lutilisation de tlphones GPRS comme modems, ainsi qu la constitution de
petits rseaux locaux hors des murs de lentreprise. Mais son cot encore lev, un dbit limit et
une interoprabilit imparfaite en restreignent encore lusage. Le standard Bluetooth est la fois
complmentaire et concurrent de Wifi. Tous deux visent instaurer par la voie des airs un
dialogue entre systmes.
c) CPL : (Courants Porteurs en Ligne) : Technologie qui vise faire passer de linformation sur
les lignes lectriques en utilisant des techniques de modulations avances. Les premires
exprimentations ont t ralises en France en 2000 par EDF, R&D et Ascom. Les principes de
CPL consistent superposer au signal lectrique de 50Hz un autre signal plus haute frquence
(bande 1,6 30 Mhz) et de faible nergie. Ce deuxime signal se propage sur linstallation
lectrique peut tre reu et dcod distance. Ainsi le signal CPL est reu par tout rcepteur CPL
qui se trouve sur le mme rseau lectrique.
d) Le standard IEEE 802.16e WiMAX
Le WiMAX (world interoperability for microwave access) est une technologie de boucle locale radio
(BLR) avec gestion de la qualit de services (QoS).La technologie WiMAX est capable sur un
rayon de 45 km d'mettre l'Internet sans fil avec un dbit allant jusqu' 70 Mb/s (ou 8,75 Mo/s).
Son application est la mme que celle que nous connaissons avec le Wi-Fi. A l'aide d'une antenne
et d'une borne relais, les ordinateurs qui se trouvent dans la zone couverte bnficient d'une
connexion Internet sans fil.

R&T 2008/2009

Page 24 sur 80

CHAPITRE III
PROJET WI-FI DE EGF

R&T 2008/2009

Page 25 sur 80

3. PROJET WI-FI DE EGF


Contexte et Objectif du projet
Le projet des rseaux sans fil de sappuie sur les nouvelles technologies de linformation et de
communication, conformment la stratgie de la direction de EGF.
Cette stratgie vise utiliser le Wifi :
-

Dune part le Wifi public sadresse aux lves, aux administratifs, professeurs de
ltablissement et les intervenants extrieurs lcole afin de bnficier dun accs internet
mobile

Dune autre part le Wifi priv, sadresse uniquement aux administratifs de ltablissement.
Il leur permettra de bnficier de tous les services dj disponibles comme sils taient
connects en filaire :

accs internet

accs aux diffrents sites internes de la chambre de commerce (intranet,


saga2, temptation)

accs la messagerie interne Lotus Notes

accs aux lecteurs rseaux

accs aux serveurs de lcole (serveurs de fichiers, serveurs dimpression)

Les enjeux sont trs importants sur deux plans :

Sur le plan commercial : le Wifi est une valeur ajoute nos mthodes
denseignement afin de mieux satisfaire les utilisateurs de EGF et dattirer des
nouveaux tudiants, clients et visiteurs.

Et sur le plan technique et budgtaire: Il permet de moderniser notre rseau en


ajoutant des nouvelles fonctionnalits avec un budget raisonnable.

Ce rseau est en mode INFRASTRUCTURE.

Organisation du projet
Ce projet a t initi par le responsable du service informatique, M. Stphane BOUCHER. Je
travaille sur ce projet avec laide de mon tuteur pdagogique, M. Stphane BOUCHER et de notre
administrateur rseaux, M. Choulep CHUNG.

R&T 2008/2009

Page 26 sur 80

Organigramme des acteurs du projet

Direction du projet
Initiateurs du projet

EGF
Stephane BOUCHER
Responsable
Informatique

quipe rseau
Ralisateurs du projet
Stphane BOUCHER
Architecte Systmes Rseaux
Choulep CHUNG
Administrateur rseaux
Chanroux Quentin
Apprenti

CHANR

R&T 2008/2009

Page 27 sur 80

Etude de lenvironnement
Dans le cadre de cette opration, en qualit de matre douvrage, nous avons fait appel la
socit AMEC SPIE pour faire une tude de couverture de radio sans fil.
Ltude de couverture permet de dfinir :

Le nombre de bornes utiles

Le type dantenne utiliser

Lemplacement des bornes

La puissance dmission du rseau radio

Les canaux utiliss par le rseau

Le mode dalimentation des bornes

Linfrastructure des cblages et les lments actifs utiliser

Cette tude prend en compte les normes en vigueur sur lutilisation de lespace radio en France
dans les bandes de 2.4 GHz.
Conclusion :
Le rsultat de cette tude a confirm la faisabilit du projet. Il nous a permis de dfinir une zone
de couverture radio adapte nos besoins. Cela nous a guid dans le choix de la topologie
physique : le type des bornes, des commutateurs actifs et aussi dans la politique de scurit
mettre en place.
Mise en place des solutions retenues
Nous avons retenu deux solutions : la solution Radius pour le rseau Wifi ouvert et la solution WPA
2 pour le rseau Wifi administratif scuris.
Nous allons analyser les tapes de connexion et authentification rseau dans chaque type de
rseau Wifi.
Rseau Wi-Fi ouvert :
Le portail captif fonctionne conjointement avec le serveur Radius pour authentifier les utilisateurs
connects.

R&T 2008/2009

Page 28 sur 80

Aucune configuration pralable nest ncessaire sur le poste de client.


Identit du client Wifi:
Pour se connecter ce rseau, le client doit possder :

un compte avec un login et un mot de passe connus par le serveur Radius.

Les phases de connexion :


1- Le client fait une requte DHCP sur le rseau EGF_Public (SSID diffus). Il rcupre
automatiquement son adresse IP (172.22.96.x) attribue par le serveur DHCP.
En ouvrant le navigateur le client sera confront linterface du Firewall o il devra entrer son
login et son mot de passe.
2- Le client doit sidentifier (login + mot de passe)
3- La validation de son identit se fait entre le serveur Radius et le Firewall.
4- Aprs cette validation, Laccs est autoris mais limit par les rgles du pare-feu CHECKPOINT
uniquement aux services suivants :

Faire des requtes http/https sur le Web.

Envoyer et recevoir les Emails personnels type POP3/SMTP.

R&T 2008/2009

Page 29 sur 80

Figure 4 - Architecture du rseau wifi ouvert EGF


Rseau Wi-Fi administratif scuris:
La solution WPA 2 sappuie sur une authentification entre le client, la borne Wifi et le serveur
RADIUS. Cette communication est en mode crypt. Nous allons voir en dtail cette solution.
Identit du client Wifi:

Sa carte rseau Wifi doit tre configure en mode WPA 2 et EAP.

Le certificat Radius install (fourni par ladministrateur).

Slection du SSID : EGF_Prive .

Dans lactive Directory, cocher la case appel entrant du compte utilisateur.

R&T 2008/2009

Page 30 sur 80

Les phases de connexion :


1. Le client se connecte via le protocole WPA 2 la borne Wifi. Il va tablir un tunnel scuris
TLS avec le serveur dauthentification RADIUS travers les bornes et les Switchs
(concentrateur)
2. Pour monter ce tunnel, le client utilise les protocoles : EAP over LAN (EAPOL)
3. Une fois le tunnel mont, le client envoie son certificat au serveur RADIUS pour lui
demander lautorisation daccs.
4. Le serveur Radius lui renvoie une demande didentification (Login et mot de passe).
5. Lidentit du client vrifi, Le serveur Radius autorise la borne louverture du VLAN 186
correspondant au SSID EGF_Prive.
6. Le client peut rcuprer son adresse IP via le serveur DHCP/DNS et bnficier des services
suivants :

Faire des requtes http sur le Web.

Envoyer et recevoir les Emails via Lotus Notes ou Web mail.

Accder aux ressources internes dEGF avec ses droits prdfinis.

R&T 2008/2009

Page 31 sur 80

Figure 5 - Architecture du rseau wifi administratif EGF

R&T 2008/2009

Page 32 sur 80

Cot du projet
Le cot total est : 50000 euros TTC

Le cot du projet est tal sur deux parties :

Lachat du matriel : 28000 euros TTC

Les bornes 1130 Cisco : 40 x 350 TTC = 14000 TTC


Les switchs : 2 x 3500 TTC = 7000 TTC
Le WLSE 2.15 Appliance + Soft + Installation : 4500 TTC
Lapplication serveur Radius ACS 4.1 = 4500 TTC

Le cot de la prestation : 22000 euros TTC


Ltude de couverture : 2000 TTC
Cblage : 20000 TTC

R&T 2008/2009

Page 33 sur 80

CHAPITRE IV
REALISATION DU PROJET

R&T 2008/2009

Page 34 sur 80

4. Ralisation du projet
Dans cette tape, nous allons prsenter la ralisation en deux parties :
Partie 1 : les travaux raliss par les prestataires de services.

Ltude de couverture de radio a t ralise par la socit Amec Spie et le cblage a t


effectu par la socit SNEF.
Partie 2 : Les travaux raliss par le service Informatique de EGF.

Dans cette partie, nous allons dans les dtails des oprations en dcrivant des fonctionnalits et
le rle de chaque lment et souligner les difficults raliser de chaque opration.

Installation des bornes Wifi

Dclaration des bornes dans le DHCP

Mise en place du serveur RADIUS.

Configuration la borne CISCO model

Configuration de base des bornes

Mise en place du serveur WLSE.

Configuration du Firewall

R&T 2008/2009

Page 35 sur 80

Partie I
Ltude de couverture radio
Nous avons fait appel la socit Amec Spie pour raliser cette tude.
Jai particip activement cette tude pour dfinir les priorits des zones couvrir accompagner
lAmec Spie dans la ralisation.
Nous avons utilis :
1- Un ordinateur portable avec une carte client sans fil PCMCIA
Cette carte prend en compte les diffrentes mthodes dauthentification et de cryptage
normalises par lIEEE (WEP, WPA, 802.1x).
2- Des logiciels de planification et de cartographie de rseau sans fil pour dterminer le dbit et
le nombre de bornes ncessaires pour avoir une bonne couverture.
3- Des bornes Wifi.
Les bornes radio vont servir lors de ltude dterminer :

La couverture radio.

Les canaux utiliss par salle et par AP.

Le rayonnement du rseau (intrieur/extrieur).

Les interfrences au niveau de lespace frquentiel (entre AP, avec dautres quipements,
ou avec dautres rseaux radio).

Le dbit rel du rseau.

Nous avons faire des mesures du niveau 10 au niveau 0. A chaque tage, on dtermine lendroit
optimal pour chaque borne.
Globalement, les tests sont satisfaisants, trs peu dinterfrences ont t observes, mme dans
les lieux haut risque dinterfrences (restaurant).
Par ailleurs, il est important de matriser le nombre de bornes prsentes dans le btiment afin
dviter toute interfrence au niveau radio.

R&T 2008/2009

Page 36 sur 80

Dautre part, considrant le type dquipements actifs utiliss sur le rseau, une tude de
compatibilit est ncessaire pour valider le bon fonctionnement de lensemble. Le rseau sans fil
est, ne loublions pas, une extension du rseau filaire.
Les ondes radio se propagent dans la nature et seuls les quipements adapts permettent de
garantir une mobilit scurise.
Cblage
Une fois ltude de couverture termine et valide, nous avons fait appel la socit SNEF pour
raliser linstallation des bornes Wifi Cisco.
Lobjectif est de faire passer les cbles travers tout le btiment afin de raccorder chaque borne
Wifi lemplacement qui lui a t prcdemment dfini par ltude de couverture radio.
PARTIE II
Installation des bornes Wifi
A partir de ltude de couverture radio ralise par la socit Amec Spie, nous avons ralis
linstallation des bornes Wifi Cisco.
Lobjectif est dinstaller les bornes Wifi conformment aux normes de scurit actuelles. Les
positions des bornes ont t dfinies dans ltude de couvertures de radio afin de respecter les
contraintes techniques et rglementaires.
Nous avons install les 37 bornes Wifi Cisco modle : Cisco Aironet 1130AG sur notre site. La
borne Cisco est livre avec un support mural permettant de mettre un cadenas pour la protger
contre le vol.
Nous avons fait des tests sur chaque borne pour valider son bon fonctionnement.
Rfrencement des bornes Wifi dans le DHCP
Durant linstallation des bornes, nous avons relev pour chacune des bornes, ladresse MAC qui
lui correspond.
Par la suite, nous avons dclar dans une tendue rserve, une adresse IP et un nom
dquipement pour chaque borne Wifi (172.22.65.10 47).

R&T 2008/2009

Page 37 sur 80

Figure 6 - Serveur DHCP


Sur le serveur DHCP nous avons cr galement deux nouvelles plages :
-

Wifi public :

172.22.96.0/20, dynamique de 172.22.96.1 172.22.96.200

Wifi priv :

172.22.80.0/20

Mise en place du serveur Radius


Son rle est dauthentifier de faon centralise des utilisateurs travers tous les dispositifs de
Cisco et les bases de donnes externes comme Active Directory et LDAP.
Nous avons donc choisi la solution CiscoSecure ACS version 4.1 pour deux raisons :
Dune part parce quelle rponde notre exigence de pouvoir rgnrer un certificat de
chiffrement dans le protocole Radius nous-mmes sans passer par une autorit de certification.
Et dautre part, parce quelle est compatible avec notre matriel Cisco existant.
Nous avons choisi dinstaller Cisco Secure sur le Contrleur secondaire EGF_INF01
(http://172.22.17.245:2002) du domaine EGF_FR afin quil puisse avoir tous les accs aux bases
de donnes dActive Directory et de lLDAP.
Chaque utilisateur authentifi via lActive Directory ou le LDAP sera automatiquement ajout dans
la base de donnes du serveur Radius.

R&T 2008/2009

Page 38 sur 80

Figure 7 - Serveur RADIUS 4.1


Le compte administrateur a tous les droits dadministration pour ce serveur. Un compte
technicien a galement t ajout afin de grer uniquement les groupes (exemple : 2008/2009) et
les utilisateurs du serveur radius.
La notification par mail est adresse cchung@ccip.fr (administrateur rseaux du site EGF) via
mailccip.ccip.fr (serveur mail du domaine ccip).
Pour la connexion au rseau Wifi Priv (EGF_Prive), nous allons crer un certificat
dauthentification, sans ce certificat il nous sera impossible de se connecter au rseau Wifi priv.
Pour crer ce certificat nous allons dans System Config - ACS certificate setup => generate self
signed certificate.
Ce certificat doit tre renouvel chaque anne tous les postes se connectant en wifi priv
(Gnr le 24/02/09 et expirant le 24/02/2010).

R&T 2008/2009

Page 39 sur 80

Figure 8 - Cration du certificat pour la connexion pour rseau EGF_Prive


En ce qui concerne la configuration rseau, nous ajoutons :
-

Du ct client, notre pare-feu EGF_FW1 (AAA CLIENTS) si le pare-feu EGF_FW1 nest plus
disponible, la bascule se fera automatiquement sur EGF_FW2.

Du ct serveur nous ajoutons notre serveur contrleur de domaine EGF_INF01 (AAA


Server).
Crations de nouveaux VLAN
La principale difficult pour configurer la borne Cisco est de bien dfinir les VLAN utiliss EGF et
dattribuer chaque VLAN sa configuration de scurit adapte.

VLAN 183 : VLAN de gestion des quipements.

VLAN 186 : Rseau WiFi priv.

VLAN 187 : Rseau WiFi publique.

R&T 2008/2009

Page 40 sur 80

Attribution des VLAN


Tableau 4 - VLAN

VLAN

RESEAU

180

Rseau administratif

181

Rseau Pdagogique

182

Rseau DRIE

183

Rseau Administration des quipements

184

Rseau DMZ publique

185

Rseau admin FW

186

Rseau Wifi priv

187

Rseau Wifi publique

Raccordement des bornes et configuration des switchs


Une fois, la cration de VLAN termine et diffuse sur les switchs, nous branchons les 37 bornes
sur les switchs de nos diffrents locaux techniques. Il ne nous reste plus qu appliquer la bonne
configuration sur les bons ports.
Configuration pour les bornes Wifi
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk native vlan 183
switchport mode trunk
Configuration pour la borne Management
interface FastEthernet0/24
switchport access vlan 183
switchport mode access
speed 100
duplex full
spanning-tree portfast
Mise en place du serveur WLSE (Wireless Lan Solution Engine )

R&T 2008/2009

Page 41 sur 80

WLSE est une solution de gestion centralise du rseau Wi-Fi Cisco. Elle permet ladministrateur
rseau :

De dtecter, de localiser et de neutraliser rapidement et facilement les points d'accs non


autoriss.

Doptimiser les performances en dtectant et en localisant les interfrences RF et en


contrlant de manire proactive lutilisation et les dfaillances du rseau.

De configurer et mettre jour les bornes Wi-Fi (template).

Nous lavons install avec laide la socit Telindus. Loutil WLSE a t install sur un serveur
Cisco.
La version actuelle est 2.15.
Hostname : EGFWLSE

DNS : 172.22.17.245 - 172.22.17.246

Domain name : egf.ccip.fr

Country Name: FR

Ip addess : 172.22.65.1

Common name : www.egf.ccip.fr

Mask : 255.255.240.0

Email : cchung@ccip.fr

Gateway : 172.22.64.1

Mail server : mailccip.ccip.fr 195.68.195.68

Configuration de la borne management


Nous allons maintenant nous occuper de la configuration de la borne Management, dans Express
Setup nous lui donnons le nom APMGMTGRE02.
Par dfaut lidentifiant et le mot de passe pour accder la borne sont cisco et cisco, nous crons
un compte local admin .
Ensuite dans Server Manager, nous indiquons les diffrents paramtres de notre serveur RADIUS.

R&T 2008/2009

Page 42 sur 80

Figure 9 - Configuration du serveur manager sur la borne Management


Dans Wireless Services, nous activons les deux services WDS (Wireless Domain Service), WMN
(Wireless Network Manager), nous crons deux groupes :

Le groupe Infrastructure avec les paramtres suivants :

Figure 10 - WDS groupe Infrastructure


-

Le groupe client avec une priority 1 sur le serveur 172.22.17.245 avec le mode
dauthentification client, nous cochons EAP, LEAP et nous appliquons pour tous les SSIDs.

R&T 2008/2009

Page 43 sur 80

R&T 2008/2009

Page 44 sur 80

Figure 11 - WDS groupe client


Toujours dans Wireless Service, nous activons lAP (Access Point) avec les paramtres suivants :

Figure 12 - Configuration AP
Pour finir dans longlet Services nous renseignons les paramtres pour le DNS, nous activons
le service HTTPS pour accder la borne management via un accs web scuris
(https://172.22.65.10) et le service telnet et SSH qui nous permettra de diffuser les template sur
les bornes Wifi.

R&T 2008/2009

Page 45 sur 80

Figure 13 - Configuration du DNS

Figure 14 - Configuration accs HTTPS

Figure 15 - Configuration Telnet/SSH

R&T 2008/2009

Page 46 sur 80

Ajout de la borne management dans le serveur Radius


Aprs avoir redmarr la borne Wifi Management, nous allons lajouter en tant que client au sein
du serveur radius.

Figure 16 - Evolution de la configuration rseau du serveur RADIUS


Configuration des bornes clientes
Nous allons maintenant faire une configuration basique des bornes Wifi clientes
Comme prcdemment nous dfinissons un nom spcifique chaque borne cliente par
lintermdiaire de lexpress setup, un compte admin local.
Nous activons galement le service HTTPS pour accder aux 37 bornes via un accs web scuris
(https://172.22.65.11-47).
Dans Network Interfaces, nous activons le service DHCP afin que chaque borne puisse rcuprer
ladresse IP qui lui correspond (voir Rfrencement des bornes Wifi dans le DHCP).

Figure 17 - Activation du service DHCP

R&T 2008/2009

Page 47 sur 80

Dans Wireless Service, nous activons lAP (Access Point) avec les paramtres suivants :

Figure 18 - Configuration AP
Dans longlet service nous activons le telnet et le SSH, cela nous permettra de pouvoir diffuser les
template partir du serveur WLSE

Figure 19 - Configuration Telnet/SSH


Il nous reste activer un dernier paramtre, la communaut SNMP, qui permettra au serveur
WLSE de visualiser toutes les bornes clientes (manage devices).

R&T 2008/2009

Page 48 sur 80

Figure 20 - Configuration service SNMP


Configuration du serveur WLSE
Nous allons tout dabord configurer le service de communaut SNMP o nous dfinissons la plage
dadresse correspondante aux diffrentes bornes (management et clientes 172.22.65.[10-47])
ainsi que la version du protocole SNMP (ici, utilisateur du protocole SNMPv2c, pas besoin
dauthentification).

Figure 21 - Configuration de la communaut SNMP

R&T 2008/2009

Page 49 sur 80

Nous allons ensuite activer le protocole Telnet/SSH qui nous servira diffuser la configuration
finale sur les bornes clientes

Figure 22 - Configuration Telnet/SSH


Nous configurons lauthentification via le WDS et nous activons le WNM

Figure 23 - Configuration authentification WDS


Visualisation de la borne management :

Figure 24 - Visualisation du domaine (WDS) et de la borne management

R&T 2008/2009

Page 50 sur 80

Visualisation de toutes les AP :

Figure 25 - Visualisation bornes

Configuration du site
Aller sur Devices Group Management Campus Site et enfin crer sub group EGF
Crer sub group (System group) pour les 4 tages du site et mettre les bornes dans chaque
groupe

Figure 26 - Visualisation bornes

R&T 2008/2009

Page 51 sur 80

Mises jour des plans scanns et les importer dans le site location manager
ADD Site, Add Floor, Edit Floor
Placer dans le plan, toutes les AP (unspecified locations)

Figure 27 - Location Manager

Il est possible de crer des templates pour diffuser tous les AP la mme configuration.
Par contre il faut au pralable prparer les bonnes versions du WLSE et les bornes AP. Sinon la
configuration nest pas bascule sur les bornes AP.
A lheure actuelle, le serveur doit passer de la version 2.15 vers 2.15.1 puis 2.15.2 pour pouvoir
appliquer les templates sur les AP 1130.

R&T 2008/2009

Page 52 sur 80

Configuration du Firewall
Nous allons maintenant nous intress au raccordement du Wifi public et priv sur le Firewall.
Au pralable nous avions dj cr les VLAN 186 et 187 sur le cur de rseau et les switchs
Les cbles sont connects sur le switch 172.22.64.25 sur les ports gi1/0/7 et gi2/0/7 puis sont
directement raccords une interface de chaque Firewall
On applique cette configuration sur les deux interfaces :
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 186,187
switchport mode trunk
speed 100
duplex full
spanning-tree portfast trunk
Une fois le raccordement termin, nous devons crer les deux sous-interfaces eth5.186 et
eth5.187 avec les ip suivantes 172.22.80.[2-3] et 172.22.80.[2-3]. Nous crons les interfaces
VLAN sur le port 5 de chaque Firewall.
Pour cela nous nous connectons via putty sur nos deux Firewall. Nous utilisons la commande
sysconfig qui nous propose plusieurs choix, nous choisissons loption network connection
puis add new connection - eth5 - VLAN 186 puis 187.
En mme temps nous activons le relais DHCP (DHCP relay) pour nos deux interfaces eth5.186 et
eth5.187.
Sur le SmartDashBoard nous entrons dans la topologie du Firewall EGF_FW et nos deux
connexions sont dtectes, il ne nous reste plus qu les renommer correctement.

Figure 28 - Interface EGF_Public

Figure 29 - Interface EGF_Prive

R&T 2008/2009

Page 53 sur 80

Dans le Dashboard, nous ajoutons les rgles des utilisateurs wifi pour quils puissent se connecter
au serveur lotus, internet et aux diffrents serveurs. Voici un exemple de quelques rgles (voir
annexe pour les toutes les rgles du Firewall).

Figure 30 - Exemple de rgle dans le Firewall


Configuration et activation du Wifi
Tous les quipements ncessaires sont configurs et prts pour lactivation du Wifi public et priv
Nous nous connectons sur notre serveur WLSE et nous allons crer un template qui diffusera la
configuration suivante sur toutes les bornes.
(Voir annexe)
Dtection des rseaux Wifi
Nous lanons la dtection des rseaux Wifi et nous dtectons bien les rseaux Wifi public et priv.

Figure 31 - Rseaux Wifi EGF


Connexion au rseau Wifi public EGF_Public
Pour les comptes publics, il suffira daller sur le serveur Radius et de crer les comptes
gnriques. Pour les personnes qui ont un compte dans lActive Directory, il suffira de cocher
accs appel entrant du compte de lutilisateur.

R&T 2008/2009

Page 54 sur 80

Figure 32 - Rseau Public EGF


En ouvrant le navigateur internet, les utilisateurs doivent rentrer leur login et mot de passe et ils
peuvent accder internet.
Connexion au rseau Wifi priv EGF_Prive
La premire fois, pour se connecter au Wifi Priv, il faudra installer le certificat gnr par le
serveur Radius, vrifier que la case appel entrant du compte utilisateur est bien coche dans
lActive Directory et configurer les paramtres de la connexion :

Figure 33 - Configuration carte rseau

R&T 2008/2009

Page 55 sur 80

Figure 34 - Configuration carte rseau - Protocole EAP


Une fois la configuration termine nous nous reconnectons la connexion Wifi Priv et nous avons
un message quil faut confirmer :

Figure 35 - Validation du certificat


On peut dsormais travailler comme si lordinateur tait cbl en filaire.

R&T 2008/2009

Page 56 sur 80

Test de couverture et puissance du signal


A laide dun ordinateur portable, nous nous sommes dplacs dans tout le site EGF ct interne
comme ct externe pour vrifier la couverture et la force du signal afin de pouvoir rgler les
bornes via le logiciel WLSE.

R&T 2008/2009

Page 57 sur 80

CHAPITRE V
Conclusion

R&T 2008/2009

Page 58 sur 80

5.0 Conclusion
Bilan
Le projet Wifi EGF est termin. 37 bornes Wifi sur 4 tages ont t dployes et sont
oprationnelles.
Nous avons fait les recherches ncessaires pour matriser la nouvelle technologie du rseau sans
fil. Nous avons su galement consulter et impliquer les comptences externes afin de minimiser
les erreurs dans la phase de ralisation.
Nous avons ralis nous-mmes la politique de scurit Wifi, les configurations du serveur
RADIUS, du serveur WLSE, des bornes Cisco et du Firewall. Cela a eu un double avantage :
matriser la technologie et rduire le cot du projet.
Les tudiants comme le personnel administratif peuvent se connecter au rseau Wifi de EGF avec
leurs droits daccs respectifs et travailler dans des conditions favorables. Le rseau Wifi a largi
les possibilits dchanges entre les enseignants, le personnel administratif et les tudiants et les
a libr des contraintes lies aux salles libre-service.

Conclusion
Lintgration du Wifi EGF a t pour nous un projet denvergure sur le plan technique comme
sur le plan humain.
La fiabilit du rseau Wifi a engendr une forte demande dutilisation par les responsables et les
utilisateurs nomades EGF.
Sur le plan personnel et professionnel, ce projet est une des plus grandes ralisations auxquelles
jai particip. Jai appris mieux grer les contraintes et les imprvus dun projet informatique.
Jai galement acquis de nouvelles comptences grce mes recherches de solutions adaptes
au projet.
Je pense personnellement que grce sa valeur ajoute le Wifi aura un bel avenir dans les
entreprises o la mobilit est ncessaire.

R&T 2008/2009

Page 59 sur 80

ANNEXES
Configuration dtaille du rseau sans fil de EGF :
Configuration des bornes Wi-Fi CISCO AIRONET 1130AG via le serveur WLSE :

Cration du template
Cration dun nouveau job

R&T 2008/2009

Page 60 sur 80

Activation des antennes de type G/N

R&T 2008/2009

Page 61 sur 80

Dfinition des paramtres pour le SSID EGF_Priv avec le protocole EAP et le protocole
dauthentification WPA2 / TKIP

R&T 2008/2009

Page 62 sur 80

R&T 2008/2009

Page 63 sur 80

Dfinition des paramtres pour le SSID EGF_Public

R&T 2008/2009

Page 64 sur 80

Configuration du serveur Radius

Installation du serveur radius ACS 4.1 sur le serveur EGF_INF01 (172.22.17.245)


http://172.22.17.245:2002

R&T 2008/2009

Page 65 sur 80

Le compte administrateur a tous les droits dadministration pour ce serveur. Un compte


technicien a galement t ajout afin de grer uniquement les groupes et les utilisateurs du
serveur radius.
Configuration systme :
Services Log File Configuration
Configuration du niveau de dtail sur Low (seulement les actions de start et stop sont
enregistres)
La gnration du fichier de log seffectue lorsquil atteint la taille de 10240 Ko (10 Mo).
Le dossier de destination des fichiers de log est configur pour garder seulement les 30 derniers
fichiers gnrs.

R&T 2008/2009

Page 66 sur 80

Interface de configuration
Les options coches sont disponibles, les autres restent caches.

R&T 2008/2009

Page 67 sur 80

Configuration rseau

Du ct client nous ajoutons notre pare-feu EGF_FW1 => 172.22.16.1 (AAA CLIENTS) si le parefeu EGF_FW1 nest plus disponible, la bascule se fera automatiquement sur EGF_FW2 et notre
borne management.

R&T 2008/2009

Page 68 sur 80

Standard Radius IETF


Share secret : 8k2b8qs

Du ct serveur nous ajoutons notre serveur contrleur de domaine EGF_INF01 => 172.22.17.245
(AAA Server)

R&T 2008/2009

Page 69 sur 80

Configuration des groupes dutilisateurs

R&T 2008/2009

Page 70 sur 80

Gestion et configuration des groupes dutilisateurs.


Le Group0 est le groupe par dfaut (tout le monde qui nest pas affect un groupe).
Nous pourrons crer des groupes par anne scolaire par exemple groupe 2008/2009 afin de grer
facilement les comptes utilisateurs pour laccs au Wifi. Une fois lanne scolaire termin il ne
restera plus qu supprimer le groupe par exemple 2008/2009 et tous les comptes de lanne
prcdente seront supprims et inutilisables.
User Setup : Permet de visionner la liste des utilisateurs et de les modifier une fois quils ont t
crs.

Gestion des bases externes

R&T 2008/2009

Page 71 sur 80

Aller dans External User Database pour grer les bases de donnes Interne RADIUS et Externe :
Dans notre cas les bases sont : Active Directory du domaine CCIP_FR et EGF_FR

System Config Global Authentification Setup

Cocher

Allow EAP-MSCHAPv2

R&T 2008/2009

Page 72 sur 80

PEAP 120
Enable Fast Reconnect
LEAP Allow LEAP (for Aironet only)
EAP-MD5 Allow EAP-MD5
Timeout : 120 seconds
Allow MS-CHAP Version 1 Authentification
Allow MS-CHAP Version 2 Authentification

R&T 2008/2009

Page 73 sur 80

Configuration du Firewall CheckPoint


Configuration des rgles dans le Firewall
Le rseau wifi public et priv lautorisation daccder aux contrleurs de domaines (EGF_inf01 &
EGF_inf02) pour le protocole DNS

Le rseau wifi priv lautorisation daccder aux contrleurs de domaines (EGF_inf01 &
EGF_inf02) pour pouvoir sauthentifier.

Le rseau wifi priv lautorisation daccder au serveur ADE via les ports utiliss par
lapplication (port TCP 3402 et1099)

Le rseau wifi priv lautorisation daccder aux serveurs EGFS01, EGFS02 et WOPR par le port
80

R&T 2008/2009

Page 74 sur 80

Le rseau wifi priv lautorisation daccder aux serveurs GHOST afin de rcuprer les mises
jour de notre anti-virus et anti-spyware VirusScan, install sur le serveur GHOST

Le rseau wifi priv lautorisation daccder au serveur de fichiers EGF_fic01 de lcole.

Le rseau wifi priv lautorisation daccder lapplication Ymag (port Ymag TCP 3050)

Le rseau wifi priv lautorisation de faire du HTTP/HTTPS/FTP

Le rseau wifi public lautorisation de faire du HTTP/HTTPS/FTP/POP

Le rseau wifi priv lautorisation denvoyer des mails sur le serveur mailccip.ccip.fr

Le rseau wifi priv lautorisation de consulter les mails via le client Lotus (port TCP 1352)

R&T 2008/2009

Page 75 sur 80

Diffrents protocoles de scurit


SOLUTION 1 : PROTOCOLE WEP
Normalisation
Mthode dauthentification

Normalis en 1999 par IEEE


Lauthentification ouverte : sans protection
Lauthentification partage : La borne et le client
partagent la mme cl de chiffrement pour
sauthentifier mutuellement.

Mthode de chiffrement du
message

La cl WEP est installe sur la station.


Algorithme de chiffrement :
RC4 pour assurer la confidentialit.
CRC-32 pour assurer l'intgrit.
Le contrle d'intgrit est donc ralis par calcul d'une
somme CRC32 sur les donnes du message. Cette
somme sera place la suite des donnes, l'ensemble
tant par la suite chiffr. Ce chiffrement est assur par
RC4.

Fonctionnement
En mode authentification partage : L'authentification
est ralise par la borne Wi-Fi par lenvoi dun challenge
alatoire de 128 bits partir duquel la station dsireuse
de s'associer devra construire une trame de rponse
avec sa cl WEP. L'AP vrifie le bon dchiffrement de
Vulnrabilits

cette trame si tout est conforme, il autorise laccs.


Faiblesse de la construction de cl de lalgorithme RC4
Rutilisation de la suite chiffrante (keystream reuse)
Le contrle dintgrit CRC-32 perfectible.
Injection de faux paquets. Ses faiblesses ont t
exploites pour casser sa cl WEP.
SOLUTION 2 : PROTOCOLE WPA/WPA2

R&T 2008/2009

Page 76 sur 80

Normalisation
Mthode dauthentification

Normalis en 2004 par IEEE


La borne et le client utilisent les mthodes 802.1X et lEAP pour
sauthentifier.
Le client doit installer le certificat dauthentification.

Mthode de chiffrement du
message

Les protocoles de confidentialit (TKIP, CCMP) pour assurer le


chiffrement des messages.
Le Contrle d'Intgrit de Message (MIC, AES) pour assurer
l'intgrit des messages.

Fonctionnement

La station et la borne saccordent une politique de scurit


utiliser :

Les mthodes dauthentification (802.1X, EAP/TLS,


certificat)

Le protocole de chiffrement du message (TKIP, CCMP MIC,


EAS)
Les deux poignes de main (handshake) pour driver les
vulnrabilits

cls secrtes chiffres.


lutilisation de passphrases trop simples qui pourrait tre
dchiffres

AVANTAGES ET INCONVNIENTS DU WEP ET WPA/WPA2

COMPARAISON

R&T 2008/2009

SOLUTION 1 : WEP

Page 77 sur 80

SOLUTION 2 : WPA/WPA2

Avantages

Simplicit

Chiffrement robuste.

Scurit relative

Authentification performante avec


lensemble des dispositifs:
EAP/TLS, certificat et serveur
RADIUS.
Gestion efficace des cls secrtes.
La rutilisation des paquets avec
des Vecteur dInitialisation
uniques est impossible.
Risque dattaque trs faible.
Administration centralise.

Inconvnients

Dchiffrement la

vole,

dauthentification.

Modification des clefs

Rcupration de la
clef WEP

R&T 2008/2009

Besoin dun serveur

Page 78 sur 80

Dploiement des certificats.

Glossaire
AP Access Point, station de base pour un rseau Wi-Fi (appel aussi point d'accs ou borne)
interconnectant les clients sans fil entre eux ainsi qu'au rseau filaire.
ARP Address Resolution Protocol, protocole faisant la correspondance entre adresse IP et
adresse MAC.
BSSID Basic Service Set Identifier, adresse MAC du point d'accs.
CCMP Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol, protocole
de chiffrement utilis dans WPA2 bas sur l'algorithme de chiffrement par bloc AES.
EAP Extensible Authentication Protocol, cadre de travail pour des mthodes d'authentification
varies.
EAPOL EAP Over LAN, protocole utilis dans les rseaux sans fil pour le transport d'EAP.
PSK Pre-Shared Key, cl drive d'un mot de passe, remplaant la PMK normalement issue
d'un vrai serveur d'authentification.
SSID Service Set Identifier, identifiant du rseau sans fil (identique l'ESSID).
Template (Cisco)
TKIP Temporal Key Integrity Protocol, protocole de chiffrement utilis dans le WPA, bas sur
l'algorithme de chiffement RC4 (comme le WEP).
TMK Temporary MIC Key, cl pour l'authenticit des donnes du trafic destination d'une
machine (unicast) (utilis dans TKIP).
WDS Wireless Distribution System dsigne un systme permettant l'interconnexion de
plusieurs points d'accs sans fil. Il dsigne galement interconnexion sans fil entre les points
d'accs Wi-Fi.
WEP Wired Equivalent Privacy, protocole de chiffrement par dfaut des rseaux sans fil de
type 802.11.
WPA Wireless Protected Access, implmentation d'une pr-version de la norme 802.11i base
sur le protocole de chiffrement TKIP.
WNM Wireless Network Manager,
WRAP Wireless Robust Authenticated Protocol, ancien protocole de chiffrement utilis dans le
WPA2.

R&T 2008/2009

Page 79 sur 80

Bibliographie
Dans cette annexe, jai rfrenc les diffrents sites qui mont t utiles pour raliser ce projet
http://www.labo-cisco.com/
Ce site offre une excellente qualit dinformation technique lie au matriel Cisco.
http://www.cisco.com/
Site officiel du fabriquant Cisco
Les autres sites :
http://www.guideinformatique.com/
http://www.i-cosoft.com/
http://solutions.journaldunet.com/
http://fr.wikipedia.org/wiki/Wi-Fi
http://www.wireless-fr.org/spip/

R&T 2008/2009

Page 80 sur 80