Vous êtes sur la page 1sur 51

Introduction gnrale

La promesse dun monde sans fil est allchante : se connecter Internet sans le moindre
cble, la maison, au bureau, voire mme dans des lieux publics travers des points daccs
(hotspots). Les amateurs y voient le nouveau boom des Technologies de lInformation et
de la Communication (les TIC), la mesure du succs qua connue la tlphonie mobile grce
la technologie GSM.
Les technologies sans fil facilitent et rduisent le cot de connexion pour les rseaux de
grande taille. Avec peu de matriel et un peu d'organisation, de grandes quantits
d'informations peuvent circuler sur plusieurs centaines de mtres, sans avoir recours une
compagnie de tlphone ou de cblage.
Lutilisation de la technologie WiFi (norme IEEE 802.11) permet ainsi dliminer les
cbles et de partager une connexion Internet tout en permettant l'change de donnes entre
plusieurs postes. Les communications WiFi peuvent se faire soit directement de station
station, soit en passant par un point daccs.
Les entreprises, timides au dbut par crainte des nouveaux problmes de scurit que posent
les rseaux sans fil sintressent dornavant au sans fil. Toutefois, concevoir et maintenir un
rseau WiFi dentreprise, scuris, rapide, disponible dans tous les bureaux et bien administr
est une autre gageure que de connecter quelques ordinateurs un rseau Wifi familial et peut
trs vite virer au cauchemar.
Notre travail concerne la mise en uvre dune solution de scurit dans un rseau wifi, ceci
en limitant laccs aux utilisateurs qui doivent sidentifier. Cette identification est
immdiatement suivie dune authentification assure par un serveur (Radius dans notre cas)
en consultant une base de donnes.
Pour dcrire notre dmarche, nous avons organis le travail comme suit :
Le premier chapitre offre une vue densemble de la technologie WiFi en passant en revue
les modes de fonctionnement, les normes et formats de trame WIFI ainsi que les problmes
de scurit et les risques associs.
Dans le deuxime chapitre nous aborderons les solutions de scurit sur lesquelles reposent
les rseaux wifi en passant par des solutions simples pour un niveau lmentaire de scurit
aux solutions plus forte pour une scurit leve.
Le troisime chapitre prsente le protocole 802.1x dont le rle est didentifier les
utilisateurs et de prparer une connexion scurise .Il explique galement le protocole
RADIUS qui fonctionne en parallle avec un serveur Radius qui est lun des composants des
solutions de scurit bases sur le 802.1x.
Le quatrime chapitre explique comment mettre en place et configurer un serveur RADIUS
en se basant sur une base de donnes.

Page1

ChapitreI.Technologie sans fil WiFi

1. Introduction
Lvolution des technologies de linformation et de la communication et le besoin croissantde
mobilit ont contribu lanaissance des rseaux sans fil qui utilisent comme support
detransmission les ondes hertziennes suivant la technologie cellulaire.
Avec le dveloppement de l'informatique et des systmes d'information, la technologie est
venue au besoin primaire de l'homme : la mobilit et la facilit.
Parmi les rseaux sans fil, existant, notre intrt portera sur les rseaux WiFi 1 qui sont faciles
et rapides dployer et qui permettent enplus de la transmission de donnes, dautres
applications. Malheureusement ils comportentun certain nombre de failles, ilssont moins
scuriss que lesrseaux filaires et la qualit de service laisse parfois dsirer.
2. Modes de fonctionnement
Les rseaux WiFi possdent une architecture base sur un systme cellulaire. Les
stations802.11 peuvent sorganiser suivant deux modes de fonctionnement : Le mode
Infrastructure et le mode ad-hoc.
2.1 Mode infrastructure
En mode infrastructure, chaque ordinateur station (note STA) se connecte un point d'accs
via une liaison sans fil.L'ensemble form par le point d'accs et les stations situs dans sa zone
de couverture est appel ensemble de services de base not BSS 2 et constituant une cellule.
Chaque BSS est identifi par un BSSID 3 , un identifiant de 6 octets (48 bits). Dans le mode
infrastructure, le BSSID correspond l'adresse MAC 4 du point d'accs. Il s'agit gnralement
du mode par dfaut des cartes 802.11b.
Il est possible de relier plusieurs points d'accsentre eux (ou plus exactement plusieurs BSS)
parune liaison appele systme de distributionnoteDS 5 afin de constituer unensemble de
services tenduou ESS 6 . Le systme de distribution (DS) peut tre constitu soit dun rseau
cblou bien un rseau sans fil.

Un ESS est repr par un ESSID 7 , c'est--dire un identifiant de 32caractres de long (au
format ASCII) servant de nom pour le rseau. L'ESSID, souvent abrg en SSID, reprsente
le nom du rseau et reprsente en quelque sorte un premier niveau de scurit dans la mesure
o la connaissance du SSID est ncessaire pour qu'une station se connecte au rseau tendu.

WiFi :Wireless Fidelity

BSS:Basic Service Set

BSSID :Basic Service Set Identifier

MAC :Medium Access Controler


DS : Distribution System
6
ESS : Extended Service Set
7
ESSID : Extended service Set Identifier
5

Page2

Chapitre I...Technologie sans fil wifi

Figure 1.1: Mode infrastructure.

Lorsqu'un utilisateur nomade passe d'un BSS un autre lors de son dplacement au sein
del'ESS, l'adaptateur rseau sans fil de sa machine est capable de changer de point d'accs
selon la qualit de rception des signaux provenant des diffrents points d'accs. Les points
d'accs communiquent entre eux grce au systme de distribution (filaire ou sans fil) afin
d'changer des informations sur les stations et permettre le cas chant de transmettre les
donnes des stations mobiles.Cette caractristique permettant aux stations de "passer de faon
transparente" d'un point d'accs un autre est appel itinrance (en anglais roaming).
2.2 Mode Ad hoc
En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin de constituer
un rseau point point(peer to peer en anglais), c'est dire un rseau dans lequel
chaquemachine communique avec une ou plusieurs autres machines sans passer par un
intermdiaire (point daccs).L'ensemble form par les diffrentes stations est appel ensemble
de services de base indpendants abrg en IBSS 8 .
Un IBSS est ainsi un rseau sans fil constitu au minimum de deux stations et n'utilisant pas de
point d'accs. L'IBSS constitue donc un rseau phmre permettant des personnes situes
dans une mme salle d'changer des donnes. Il est identifi par un SSID, comme l'est un ESS
en mode infrastructure.

IBSS: Independent Basic Service Set

Page3

Chapitre I...Technologie sans fil wifi

Figure 1.2: Mode ad-hoc.

Dans un rseau ad hoc, la porte du BSS indpendant est dtermine par la porte de chaque
station. Cela signifie que si deux des stations du rseau sont hors de porte l'une de l'autre,
elles ne pourront pas communiquer, mme si elles "voient" d'autres stations. En effet,
contrairement au mode infrastructure, le mode ad hoc ne propose pas de systme de
distribution capable de transmettre les trames d'une station une autre. Ainsi un IBSS est par
dfinition un rseau sans fil restreint.
3. Normes IEEE 9 802.11
LIEEE a dvelopp la norme 802.11 sous plusieurs versions regroupant ainsi les
normesphysiques suivies des normes damlioration. Elles offrent chacune des
caractristiquesdiffrentes en termes de frquence, de dbit ou de porte du signal.
3.1 Les normes physiques
La premire version normalise par lIEEE ft la 802.11. Elle utilisait la modulation
DSSS 10 sur la bande 2.4 GHz. Cette norme ntait pas compatible entre constructeurs. De plus,
elleoffrait un dbit trs faible (2 Mbits/s), compars aux dbits que proposait la norme
Ethernetfilaire. LIEEE dveloppa de nouvelles gnrations de rseaux sans fil : la 802.11b, la
802.11a 802.11g et la 802.11n.
9

IEEE :Institute of Electrical and Electronics Ingeneers

10

DSSS :Direct Sequence Spread Spectrum

Page4

Chapitre I...Technologie sans fil wifi

Norme IEEE 802.11b ou WiFi2 : cest la premire norme WiFi interoprable. Avec un
dbit de11 Mbits/s, elle permet une porte de 300 mtres dans un environnement dgag.
Elle utilisela bande des 2.4 GHz avec 3 canaux radios disponibles.Cette norme WiFi a
connu beaucoup dextensions et chacune dentre elles, visant apporterune amlioration
soit au niveau du dbit, soit au niveau de la bande passante ou mme de lascurit, de la
qualit de service ou de la capacit du canal etc.
Norme IEEE 802.11a : Appel WiFi 5, cette norme permet dobtenir du haut dbit (dans
un rayon de 10 mtres : 54 Mbit/s thoriques, 27 Mbit/s rels) tout en spcifiant 8 canaux.
Mais elle nest pas compatible avec la 802.11b.Elle utilise la technique de modulation
OFDM 11 .la 802.11a offre un dbit assez lev mais la porte est plus faible et sonusage en
extrieur est souvent interdit. Pour rpondre ces problmes, lIEEE dveloppe lanouvelle
norme 802.11g,
Norme IEEE 802.11g:La 802.11g, offre le mme dbit que le WiFi 5, tout en restant
compatible avec le WiFi2 (bande de frquences de 2.4 GHz).Cette norme vise aussi
remplacer WiFi2 surla bande 2.4GHz mais avec un dbit plus lev pouvant atteindre les
54 Mbits/s. Elle utilise la technique de modulation OFDM.
Norme IEEE 802.11n :La norme IEEE 802.11n doit permettre d'atteindre un dbit
thorique allant jusqu' 270 Mbits/s ou 300 Mbits/s respectivement dans la bande de
frquences des 2,4 GHz ou 5 GHz. La norme a t ratifie en septembre 2009. Celle-ci
doit constituer une amlioration par rapport aux standards IEEE 802.11a pour la bande de
frquences des 5 GHz, IEEE 802.11b et IEEE 802.11g pour la bande de frquences des
2,4 GHz.La norme apporte des amliorations en dbit et en porte par rapport IEEE
802.11a/b/g grce aux technologies suivantes :
MIMO 12 qui permet d'utiliser, la fois, plusieurs missions spatiales et plusieurs
antennes pour les rcepteurs et metteurs.
Le regroupement des canaux radio permettant d'augmenter la bande passante.
L'agrgation de paquets de donnes qui permet l'augmentation des dbits.
3.2 Les normes damlioration
Les normes suivantes ont apport des amliorations sur la technologie wifi du point de vue de
la scurit, de linteroprabilit, de laqualit de service, etc.
Norme IEEE 802.11i:Elle se traduit par une amlioration au niveau MAC 13 destine
renforcer la scurit destransmissions, et se substituant au protocole de cryptage WEP 14 .
Elle vise renforcer lascurit des transmissions.
Norme IEEE 802.11d:En permettant aux diffrents quipements dchanger des
informationssur les plages de frquences et les puissances autorises dans le pays
11

OFDM:Orthogonal frequency Division Multiplexing

12

MIMO :Multiple Input Multiple Output


13
MAC:Media Access Control
14
WEP :Wired Equivalent Privacy

Page5

Chapitre I...Technologie sans fil wifi


dorigine dumatriel, cette norme permet ladaptation des couches physiques afin de
fournir une conformit aux exigences de certains pays particulirement strictes, exemple
France,Japon.
Norme IEEE 802.11e:elle vise amliorer la qualit de service (bande passante, dlai de
transmission pour les paquets) et les fonctionnalits dauthentification et de scurit.
Norme IEEE 802.11f: elle assure linteroprabilit entre les diffrents points daccs des
diffrents constructeurs.
Norme IEEE 802.11h:elle gre le spectre de la norme 802.11a et vise amliorer la sous
couche MAC, afin de rendre compatible les quipements 802.11a avec les infrastructures
Hiperlan2. Enfin, elle soccupe de lassignation automatique de frquences du point
daccs et du contrle automatique de la puissance dmission, afin dliminer les
interfrences entre points daccs.
4. Les Techniques de transmissionutilises dans la technologie WiFi
Les dbits de donnes des diffrentes normes des rseaux locaux sans fil sont affects par ce
que lon appelle une technique de modulation. Elles sont au nombre de trois :
4.1 Lamodulation par saut de frquence FHSS 15
La modulation FHSS a t invente et brevete en 1942 et dont le principe est assez simple :
une large bande de frquences est divise en de multiples canaux et les communications se
font en sautant (hopping) successivement dun canal un autre, selon une squence et un
rythme convenus lavance entre lmetteur et le rcepteur. Il est difficile dintercepter les
communications si lon ne connat pas la squence choisie, cest pourquoi elle fut trs
apprcie par les militaires amricains qui lutilisrent pour radioguider les torpilles sans que
lennemi puisse intercepter ou brouiller le signal.
Dans le cas du 802.11, cette fonction nest (malheureusement) pas exploite car les squences
de canaux utilises ne sont pas secrtes. Le FHSS offre galement une rsistance importante
aux interfrences voire mme aux brouillages volontaires car les canaux pour lesquels le bruit
est trop important peuvent tre simplement vits. Toutefois, le 802.11 FHSS nexploite pas
cettecapacit, contrairement au Bluetooth et au HomeRF qui sont deux technologies sans fil
utilisant la modulation FHSS.
Lautre avantage du FHSS est que plusieurs communications peuvent avoir lieu en mme
temps sur la mme bande de frquences pourvu quelles utilisent dessquences de canaux ne
rentrant pas en collision les unes avec les autres. Par exemple, une communication pourrait
utiliser la squence triviale : 1,2,3,1,2,3,1,2,3... tandis quune autre communication aurait la
squence suivante : 2,3,1,2,3,1,2,3,1... de sorte qu aucun moment les deux communications
nutilisent le mme canal. En contrepartie, chaque communication a un dbit relativement
faible puisquelle nexploite quun seul canal assez troit la fois. Dans la premire version
du 802.11, la bande de frquences allant de 2 400 MHz 2 483,5 MHz a t dcoupe pour le
FHSS en canaux de 1 MHz de largeur chacun.
15

FHSS: Frequency Hopping Spread Spectrum

Page6

Chapitre I...Technologie sans fil wifi


4.2 La modulation par talement de spectre DSSS 16
La modulation DSSS est galement une technique dtalement de spectre, mais contrairement
au FHSS, aucun saut de frquence na lieu : la modulation DSSS provoque des transitions
dtat trs rapides (chipping) qui tendent taler le spectre du signal et ceci en provoquant
artificiellement un dbit trs lev.
Pour ce faire, lmetteur envoie une squence de plusieurs bits, appels des chips, pour
chaque bit dinformation transmettre. Par exemple, on peut choisir denvoyer11101 au lieu
de 0 et son inverse (00010) au lieu de 1. Dans ce cas, si lon veut transmettre linformation
010, alors on mettra les chips suivants : 11101 00010 11101.
Dans cet exemple, la squence 11101 est ce quon appelle le code dtalement .Plus ce
code est long, plus le dbit est artificiellement dmultipli, donc plus le spectre est tal. Par
exemple, si le dbit des donnes envoyer est gal 1 Mb/s, mais quon utilise un code
dtalement de 11 chips, alors le dbit de chips sera bien sr gal 11 Mb/s. Du coup, la
bande de frquence occupe par le signal aura une largeur gale 22 MHz car la largeur de la
bande occupe par le signal est gale au double du dbit de la source. Sans ce chipping, la
bande occupe naurait quune largeur de 2 MHz (deux fois 1 Mb/s).
Le DSSS prsente deux intrts importants :
-

Le spectre de frquences du signal est tal, avec tous les avantages que cela apporte,
en particulier une meilleure rsistance au bruit ;

Le fait que lon mette plusieurs chips pour chaque bit dinformation signifie que lon
peut avoir une redondance importante, qui permet de corriger des erreurs de
transmission. Par exemple, dans lexemple prcdent, puisque le rcepteur connat le
code dtalement utilis (11101), alors il sait quil ne devrait recevoir que 11101 (pour
le bit dinformation 0) ou 00010 (pour le bit 1). Sil reoit 00110, il pourra facilement
corriger lerreur en estimant que le plus proche est 00010 (correspondant au bit 1).

4.3 Le multiplexage OFDM


La modulation OFDM, parfois appeleDMT 17 , est sans doutela plus puissante des trois
modulations duWiFi car elle permet la fois les dbits les plus importants, la meilleure
rsistance au multipath, mais aussi la plus grande capacit de partage du spectre : elle est donc
particulirement indique en intrieur avec une densit importante dantennes WiFi.
Cette technique est implmente dans le 802.11g, le 802.11a et dans le 802.11n. Dautres
technologies lexploitent, dont en particulier la technologie Digital Subscriber Line (DSL) ou
encore le Wimax 18 . LOFDM repose sur le principe du multiplexage qui permet la
transmission simultane de plusieurs communications sur une mme bande de frquences.

16

DSSS: Direct Sequence Spread Spectrum


DMT : Discrete Multitone Modulation
18
Wimax :Worldwide Interoperability for Microwave Access
17

Page7

Chapitre I...Technologie sans fil wifi


LOFDM utilise une fonction mathmatique assez complexepour rendre les sous-porteuses
orthogonales , cest--dire pour quelles ninterfrent pas les unes avec les autres.
Dans le cas du 802.11, il sagit dune transformation de Fourier inverse rapide (IFFT 19 ).
Grce cette fonction, les porteuses sont places dans le spectre de frquences de telle sorte
que les pics de puissance dune porteuse donne correspondent aux zros des autres porteuses.
Enfin, lOFDM peut tre renforc par des codes convolutifs (COFDM 20 ), il sagit dun code
qui rajoute de la redondance dans le message transmettre et permet ainsi au rcepteur de
corriger les erreurs de transmission.
la rception, un algorithme sophistiqu est utilis pour retrouver le message original le plus
probable (par exemple lalgorithme de Viterbi). En rajoutant une redondance plus ou moins
importante, ce mcanisme permet une bonne rsistance aux interfrences. Plus on souhaite un
dbit lev, moins la redondance doit tre importante. En consquence, les dbits levs sont
plus sensibles aux interfrences. De plus, ltalement du spectre tant assez homogne
(contrairement au DSSS), un signal OFDM ne provoque que peu dinterfrences pour les
autres quipements sans fil.
5. Format de la trame WiFi
La trame WiFi est constitue de quatre champs comme la montre la figure ci-dessous.

Figure 1.2 : Trame Wifi.

5.1 Prambule
Le prambule est constitu de deux champs:
- le champ de synchronisation Synch
- le champ SFD 21 .

Figure 1.3: Prambule.

19

IFFT : Inverse Fast Fourier Transform


COFDM : Coded OFDM
21
SFD :Start Frame Delimiter
20

Page8

Chapitre I...Technologie sans fil wifi

Le champ Synch est utilis par le circuit physique pour slectionner lantenne laquelle se
raccorder, quant au champ SFD, il est utilis pour dlimiter le dbut de la trame.
La longueur du champ prambule varie selon la technique de modulation utilise au niveau
dela couche physique.
Pour la technique de modulation FHSS, le champ Synch stend sur 80 bits et le
champ SFDsur 16 bits.
Pour la technique DSSS, il existe deux formats possibles du champ Prambule :
o un format par dfaut avec un champ Synch long de 128 bits,
o un format avec un champSynch court de 56 bits.
Le deuxime format est utilis pour amliorer les performances durseau dans les cas
de donnes critiques telles que la voix, la VoIP 22 . Leprambule court est galement
intressant lorsque les trames doivent tre fragmentes (ontransmet moins de bits non
utiles).
5.2 Champ PLCP 23
Il contient les informations logiques utilises par la couche physique pourdcoder la trame. Le
contenu de ce champ dpend de la technique de transmission utilise.
a. Champ PLCP utilis dans la modulation FHSS
Dans la modulation FHSS len-tte PLCP se prsente comme suit :

Figure 1.4: En-Tte PLCP-FHSS

Le champ PLW 24 sur 12 bits indique le nombre doctets que contient le paquet, ce
quiest utile la couche physique pour dtecter correctement la fin du paquet.
Le fanion de signalisation PSF 25 stend sur 4 bits et indique le dbit de
transmissiondes donnes MAC.
Le champ HEC 26 utilise un CRC 27 sur 16 bits pour la vrification de lintgrit de
lenttePLCP.
22

VoIP: Voice over IP

23

PLCP : Physical Layer Control Protocol


PLW : PLCP_PDU Length Word
25
PSF : PLCP Signaling Field
24

Page9

Chapitre I...Technologie sans fil wifi

b. Champ PLCP utilis dans la modulation DSSS


Dans la modulation DSSS, len-tte PLCP se prsente sous une autre forme.

Figure 1.5: En-Tte PLCP-DSSS.

Elle est compose de quatre champs.


Le champ Signal stend sur 8 bits et indique la modulation utiliser pour lmission
et la rception des donnes.
Le champ Service sur 8 bits est rserv pour une utilisation future.
Le champ Length de 16 bits indique le nombre de microsecondes ncessaires
pourtransmettre les donnes.
Le champ de contrle derreurs CRC sur 16 bits.

5.3 Champ de donnes MAC


La trame MAC est la trame encapsule au niveau de la sous couche MAC, son format est
lesuivant :

Figure 1.6: Format de la trame MAC

26

HEC :Header Error Check

27

CRC : Cyclic Redundancy check

Page10

Chapitre I...Technologie sans fil wifi


5.4 Champ CRC : Il permet de vrifier lintgralit des donnes.

6. Failles de scurit et attaques dans le rseau wifi


Bien que les rseaux wifi offrent la mobilit ainsi que la rapidit et la facilit de dploiement,
la scurit demeure un rel problme.
6.1 Failles de scurit :
Le problme li aux failles est essentiellement d la nature mme du support de
transmission dans lequel se propagent les ondes radiolectriques. Ces ondes ont la possibilit
de se propager dans toutes les directions avec une porte relativement grande. Il est ainsi trs
difficile d'arriver limiter les missions d'ondes radio dans un primtre restreint.
Force est de constater que les problmes de scurit en WiFi sont la rsultante des problmes
de scurit lis aux rseaux filaires auxquels sajoutent les problmes lis au support de
transmission.
Pour sintroduire dans un rseau filaire le pirate doit ncessairement se connecter au mdia
physique, ce qui suppose une intrusion frauduleuse dans lenceinte de dploiement du dit
rseau ou une complicit interne. Contrairement au rseau filaire, lintrusion dans le rseau
wifi ne ncessite pas de connexions un mdia puisque, de plus lcoute du trafic peut se
faire en tant dans la zone de couverture comme en dehors, en ajoutant la carte WiFi une
antenne directive, ce qui constitue une faillede scurit dans ce type de rseau. Laccs au
rseau filaire se fait via la passerelle, tandis que le rseau WiFi dispose dautant de point
dentre que de point daccs.
Le WiFi est unetechnologie base sur des spcifications qui englobent des protocoles divers
spcialiss dansles communications et le transport des donnes par les airs.
Laccs au rseau sans fil se fait par leprotocole CSMA-CA 28 . Quand une interface du rseau
veutmettre, elle coute le support de transmission et si celui-ci est libre alors elle met
.Lesinterfrences diffuses sur les canaux couts provoquent une attente de la part de
l'interfacequi veut mettre, ce qui ralentit le rseau mme si l'indicateur de dbit est au
maximum Ilvous est donc fortement conseill de rduire, voire d'liminer, toutes les sources
possiblesd'interfrences en premier lieu les appareils Bluetooth qui oprent dans la bande de
frquencede 2,4 GHz ainsi que les fours micro-ondes. Assurez-vous que votre tlphone
sans filrsidentiel ne squatte pas les frquences utilises Les obstacles sont galement une
sourced'interfrences et d'affaiblissement du signal Il ne s'agit pas seulement d'obstacles
visibles telsque les murs -surtout ceux en bton -et les arbres qui affaiblissent le signal, mais
aussid'obstacles non visibles tout aussi perturbateurs, le champ magntique d'une tlvision
par exemple.

28

CSMA-CA : Carrier Sense Multiple Access with Collision Avoidance

Page11

Chapitre I...Technologie sans fil wifi

6.2 Les attaques dans les rseaux Wifi


Les risques dattaques lis la mauvaise protection d'un rseau sans fil sont multiples et
peuvent tre classs en deux catgories : les attaques passives et les attaques actives.
6.2.1 Les attaques passives
Une attaque est dite passive lorsquun individu non autoris obtient un accs une ressource
sans modifier son contenu.Les attaques passives peuvent tre des coutes ou des analyses de
trafic (analyse de flot de trafic) consistant en une interception des donnes (eavesdropping)
facilite par le caractre ouvert des quipements de rseaux sans-fil.

Figure 1.7: Attaques dans un rseau sans fil en mode infrastructure.

6.2.2 Les attaques actives


Une attaque est dite active lorsquun individu non autoris apporte des modifications aux
messages et flux de donnes ou de fichiers.Les attaques actives peuvent prendre lune des
formes suivantes :
Lintrusion dans le systme
Lintrusion dans le systme consiste, pour un lment tranger, se connecter au point
daccs radio puis pntrer dans le rseau local derrire le point daccs (rseau
delentreprise). Les points daccs servent lattaquant de point dentre dans le rseau, aprs
quoi il peut tenter de pntrer les quipements relis celui-ci.

Page12

Chapitre I...Technologie sans fil wifi

Lattaque de lhomme au milieu


Il suffit de mettre en place un point daccs tranger dans la zone de couverture du rseau
WLAN 29 afin dintgrer le rseau. Les stations cherchent alors se connecter ce
pointdaccs (pirate) en fournissant ainsi les informations concernant le rseau auquel elles
sont rattaches. Lexploitation de ces informations permet aux pirates de se connecter au
rseau.
LAttaque par porte dissimule
Cette technique est identique la prcdente, la seule diffrence provient du fait que le point
daccs pirate est directement raccord au systme de distribution du rseau.
Le Dnis de service
La connexion des rseaux sans fils est consommatrice d'nergie. Mme si les priphriques
sans fils sont dots de fonctionnalits leur permettant d'conomiser le maximum d'nergie, un
pirate peut ventuellement envoyer un grand nombre de donnes (chiffres, requte
dassociation) une machine de telle manire la surcharger. En effet, un grand nombre de
priphriques portables (assistant digital personnel, ordinateur portable, ...) possdent une
autonomie limite, c'est pourquoi un pirate peut vouloir provoquer une surconsommation
d'nergie de telle manire rendre l'appareil temporairement inutilisable.
War-driving
Cette technique consiste circuler dans la ville avec un ordinateur portable quip d'une carte
rseau sans fil (PDA 30 ) la recherche de rseaux sans fils, il s'agit du war-driving (parfois
not wa-rdriving ou war-Xing pour "war-crossing"). Des logiciels spcialiss dans ce type
d'activit permettent mme d'tablir une cartographie trs prcise en utilisant le GPS 31 . Les
cartes tablies permettent ainsi de mettre en vidence les rseaux sans fil dploys non
scuriss, offrant mme parfois un accs internet.

29

WLAN :Wireless Local Area Ntework

30

PDA: Personal Digital Assistant


31
GPS :Global positioning System

Page13

Chapitre II....Scurit dans les rseaux WiFi

1. Introduction
Les rseaux WiFi forment un ensemble important des rseaux dentreprises et des
environnements domestiques. Il est possible de dployer un nombre adquat de point daccs
dans une entreprise. Grce au WiFi il nest plus ncessaire davoir chercher un endroit o se
connecter et de reconfigurer chaque fois lordinateur pour accder aux services, ainsi la
possibilit de rduction des cots pour les investissements dinstallation sans fil, compars
aux rseaux cbls.
Par contre, WiFi deux handicaps majeurs la difficult dassurer une qualit de services
ainsi que les failles de scurit.
Les problmes concernant la qualit de services proviennent de sources diffrentes, ce qui
rend le systme difficile tre contrl. En effet, les dbits de transmission varient lorsque le
client sloigne ou se rapproche du point daccs.
Pour ce qui est des failles de scurit, elles sont essentiellement dues la nature physique du
support de transmission. En effet, les ondes radio tant un support de transmission partag,
quiconque se trouvant dans la zone de couverture peut couter le trafic et s'introduire dans le
rseau. On peut mme se trouver hors de porte de la couverture radio et accder au rseau
sans fil en utilisant des quipements adquats.
En plus de faiblesses de scurit lies au support radio, un rseau wifi doit se protger aux
attaques classiques qui peuvent porter un certain prjudice au dveloppement de lentreprise.
Si la scurit propose par lensemble des produits du march a longtemps t faible, des
solutions supplmentaires ont cependant t mises en uvre par les constructeurs. Ces
solutions vont de lutilisation de cls des authentifications fortes en passant par des
cryptages spcifiques.
2. Les services de base de la scurit
Dune manire gnrale, la scurit s'appuie sur cinq services savoir: lidentification,
lauthentification, la confidentialit, intgrit des donnes et la non-rpudiation.
2.1 Identification
Lutilisateur dun systme ou de ressources quelconques possde une identit, qui doit tre
identifie et peut tre vrifie de diffrentes manires, par exemple par la saisie dun compte
utilisateur (login) et dun mot de passe.
2.2 Authentification
Lauthentification a pour objectif de vrifier lidentit des processus communicants, elle peut
tre simple ou mutuelle. Elle consiste essentiellement comparer les donnes provenant de
lutilisateur qui se connecte des informations stockes dans un site protg. Les attaques sur
les sites mmorisant les mots de passe reprsentent une part importante du piratage.

Page14

Chapitre II...Scurit dans les rseaux WiFi

2.3 Confidentialit
La confidentialit dsigne la garantie que les donnes changes ne sont comprhensibles
que par les deux entits communicantes. Cette proprit implique la mise en uvre
dalgorithmes de cryptage (chiffrement) en continu.
Pour crypter ou dcrypter une information, il faut dtenir une cl et un algorithme de
cryptage. Il existe deux types de cryptage:
2.3.1 Cryptage symtrique
Dans ce type de cryptage, lmetteur et le rcepteur doivent possder et utiliser la mme cl
secrte pour rendre confidentielles des donnes et pour pouvoir les comprendre.

Figure 2.1 Cryptage Symtrique.

2.3.2 Cryptage Asymtrique ou cl publique


Un systme de chiffrement asymtrique est bas sur lusage dun couple unique de deux
cls, calcules lune par rapport lautre. Cette bi-cl est constitue dune cl publique et
dune cl prive. Seule la cl dite publique peut tre connue de tous, tandis que la cl prive
doit tre confidentielle et traite comme un secret. Lmetteur crypte un message avec la cl
publique du destinataire du message et le destinataire le dcrypte avec sa cl prive.

Page15

Chapitre II...Scurit dans les rseaux WiFi

Figure 2.2 Cryptage Asymtrique.

TYPE DE
CRYPTAGE
Symtrique
Asymtrique

ALGORITHMES
DE CRYPTAGE
DES 1 , RC4 2 et
AES 3
RSA 4 , ECC 5

PRINCIPE
Utilisation dune cl secrte pour crypter les donnes lenvoi et une cl qui lui
est directement relie pour le dcryptage(les cls peuvent tre identiques).
Utilisation de deux cls (prive et publique). La cl publique permet de crypter les
donnes, elle peut tre transmise et laisse la disposition de tous les utilisateurs.
La cl prive qui est confidentielle (secrte) permet de dcrypter les donnes.

Tableau 2.1 : Rcapitulatif des types de cryptage et les algorithmes quils utilisent
2.4 Intgrit des donnes
Lintgrit des donnes consiste prouver que les donnes nont pas t modifies. Elles ont
ventuellement t copies, mais aucun bit ne doit avoir t chang. Pour garantir lintgrit,
il est ncessaire de mettre en place un contrle derreur.
2.5 Non rpudiation
Caractristique d'un systme cryptographique permettant d'empcher qu'un expditeur puisse
nier ultrieurement avoir envoy un message ou effectu une action spcifique. La fonction de
non rpudiation peut seffectuer laide dune signature cl prive ou publique ou par un
tiers de confiance certifiant que la communication a eu lieu.

DES : Data Encryption Standard


RC4 : Rivest Cypher
3
AES : Advanced Encryption Standard
4
RSA : Rivest, Shamir and Adleman
5
ECC : Error Correction Code
2

Page16

Chapitre II...Scurit dans les rseaux WiFi


3. Techniques de Scurit des rseaux WiFi
Le WiFi prsente peu de garantie en termes de scurit. Les solutions proposes deviennent
de plus en plus convaincantes mais les clients ou points daccs restent de trs sensibles
lments pouvant servir de porte dentre dans le rseau. A cet effet, on est pass du WEP au
WPA2 en passant par le WPA 6 .
3.1 Scurit WEP
La scurit WEP est intgre dans la norme IEEE802.11, elle est base sur lutilisation
dune cl statique. Le WEP pour objectif de protger les communications WiFi en cryptant
tous les paquets.
3.1.1 Protocole et cryptage

Tous les AP 7 doivent tre configurs avec une cl secrte, la cl WEP, longue de 40 ou
104 bits
De mme, tous les utilisateurs doivent configurer leurs adaptateurs WiFi avec cette mme
cl WEP.
Par la suite, tout le trafic WiFi entre les utilisateurs et les AP est crypt. L e cryptage
repose sur un algorithme appel RC4 (voir annexe) qui gnre une srie pseudo-alatoire
de bits, Ce bruit est en quelque sorte superpos au message ce qui le rend illisible.

3.1.2 Intgrit
Le contrle de redondance cyclique not CRC 8 , est un moyen de contrle d'intgrit des
donnes facile mettre en uvre. Il consiste protger des blocs de donnes, appels trames
(frames en anglais). A chaque trame est associ un bloc de donnes, appel code de contrle
(parfois CRC par abus de langage ou FCS 9 dans le cas d'un code de 32 bits). Le code CRC
contient des lments redondants vis--vis de la trame, permettant de dtecter les erreurs.
Cette scurit prsente un grand nombre de failles ce qui la rend vulnrable et facilement
cassable.
3.2 Scurit WPA
Le groupe de travail IEEE 802.11 a mis au point une architecture destine combler les
lacunes de scurit WEP ce qui a conduit la recommandation de WPA. Il existe deux
modes : le WPA personal et le WPA enterprise qui ncessite un serveur dauthentification.

WPA : WiFi Protect Access


AP : Point dAccs
8
CRC : Cyclic Redundancy Check)
9
FCS : Frame Check Sequence
7

Page17

Chapitre II...Scurit dans les rseaux WiFi


3.2.1 WPA personal : cls partages (PSK)
Le mode personal permet de mettre en uvre une infrastructure scurise base sur le WPA
sans utiliser de serveur d'authentification. Le WPA personal repose sur l'utilisation d'une cl
partage, appeles PSK 10 , renseigne dans le point d'accs ainsi que dans les postes clients.
En effet, le WPA permet de saisir une passphrase (phrase secrte), traduite en PSK par un
algorithme de hachage.
Ce type de mode a t conu pour les rseaux individuels ou pour les Petites et Moyennes
Entreprises qui ne peuvent se permettre le cot et la complexit d'une solution utilisant un
serveur d'authentification 802.1x.
3.2.1.1 Protocole et cryptage
Le WPA repose sur le protocole TKIP 11 lui-mme bas sur lalgorithme RC4.
TKIP est un protocole de communication qui utilise du keymixing pour chaque paquet,
une vrification de l'intgrit des messages et un mcanisme de mise jour de la cl,
liminant ainsi d'autres problmes de conception qui affectent WEP. En limitant la quantit de
donnes chiffres avec une mme cl, il devient bien plus difficile pour un attaquant de
deviner celle-ci.
Le TKIP rajoute par rapport aux cls WEP :
Vecteur dinitialisation de 48 bits au lieu de 24 bits pour le WEP. Le crackage de la cl
WEP provient en effet du fait que le pirate peut dterminer la cl WEP partir du vecteur
dinitialisation de 24 bits. Donc, il sera bien plus difficile dterminer la cl avec un
vecteur dinitialisation de 48 bits.

Gnration et distribution des cls : le WPA gnre et distribue les cls de cryptage de
faon priodique chaque client. En fait, chaque trame utilise une nouvelle cl, vitant
ainsi dutiliser une mme cl WEP pendant des semaines voire des mois.

3.2.1.2 Intgrit
Le CRC utilis pour le WEP est, de manire intrinsque, peu sr : il est possible d'altrer les
donnes et de mettre jour le CRC du message sans connatre la cl WEP.
Contrairement au WEP, le WPA utilise un algorithme dnomm MIC 12 qui n'est pas
seulement calcul partir des donnes de la trame mais partir de la trame complte, en-tte
comprise.
Cette faon de procder permettra de protger les en-ttes contre les modifications,
notamment les champs de longueur, afin de prvenir tout rajout/suppression de donnes.
L'algorithme commence donc par calculer le MIC partir de la trame claire complte et
d'une des deux cls d'intgrit (celle correspondant au sens de l'envoi). Le rsultat est
concatn la trame puis le tout est envoy au moteur de chiffrement WEP. Un CRC est aussi
calcul, comme prvu pour le WEP. Le fait d'utiliser des cls pour le calcul de la somme
10

PSK :Pre-Shared Key


THIP : Temporal Key Integrity Protocol
12
MIC: MIChael
11

Page18

Chapitre II...Scurit dans les rseaux WiFi


d'intgrit empche la modification de la trame sans trace. En effet, il est impossible de
recalculer le MIC sans la cl adquate.

Fi
gure 2.3: principe du WPA Personal

3.2.2

WPA Entreprise

Le mode entreprise impose l'utilisation d'une infrastructure d'authentification 802.1x base


sur l'utilisation d'un serveur d'authentification, gnralement un serveur RADIUS 13 , et d'un
contrleur daccs rseau (point d'accs).
WPA utilise des cls de chiffrement 128 bits et des cls de session dynamiques pour
assurer la confidentialit du rseau sans fil et la scurit des donnes de l'entreprise.
Ce type de scurit est bas sur lutilisation du protocole CCMP 14 et des cryptages tels que
TKIP (tudi prcdemment) ou AES.

3.2.2.1 Protocole et cryptage


CCMP est une mthode de cryptage dfinie dans le standard IEEE 802.11i. CCMP gre les
cls et l'intgrit des messages. Il s'agit d'une alternative considre comme plus sre que
TKIP qui est utilis dans WPA. Aucune faille n'existe l'heure actuelle sur ce systme bas
sur AES dans un mode d'opration de type "compteur" coupl au code d'authentification
MAC (CBC-MAC). Le compteur sert assurer un chiffrement sr en vitant d'avoir un
vecteur d'initialisation identique pour chaque message alors que le code d'authentification
permet de vrifier que le message n'a pas t altr.

13
14

Radius : Remote Authentication Dial-in User Service


CCMP : Counter-Mode/CBC-Mac protocol

Page19

Chapitre II...Scurit dans les rseaux WiFi


AES (soit standard de chiffrement avanc en franais), connu sous le nom de Rijndael,
est un algorithme de chiffrement symtrique.
Le choix de cet algorithme rpond de nombreux critres plus gnraux dont nous pouvons
citer les suivants :

scurit ou l'effort requis pour une ventuelle cryptanalyse.


facilit de calcul : cela entraine une grande rapidit de traitement
besoins en ressources et mmoire trs faibles
hardware et software : il est possible d'implmenter l'AES aussi bien sous forme
logicielle que matrielle.
simplicit : le design de l'AES est relativement simple

Si l'on se rfre ces critres, on voit que l'AES est galement un candidat particulirement
appropri pour les implmentations embarques qui suivent des rgles beaucoup plus strictes
en matire de ressources, puissance de calcul, taille mmoire, etc...
3.2.2.2 Intgrit
CBC-MAC est l'un des algorithmes de MAC. Il est bas sur un chiffrement par bloc utilis
selon un mode d'opration CBC 15 . Pour chiffrer, on dcoupe les donnes en blocs de taille
adquate (selon le chiffrement par bloc utilis, au minimum un chiffrement par bloc de 32
bits). Les blocs sont chiffrs les uns aprs les autres, le rsultat chiffr du bloc prcdent est
transmis au bloc suivant.

Fi
gure 2.4: Principe du WPA Entreprise

15

CBC : Cipher Block Chaining

Page20

Chapitre II...Scurit dans les rseaux WiFi


3.3 Scurit WPA2
Le 802.11i, nouvelle norme ratifie en 2004, propose une solution de scurisation pousse
pour les rseaux sans fil WiFi. Il sappuie sur lalgorithme de chiffrement TKIP, comme le
WPA, mais supporte lAES au lieu du RC4 qui est beaucoup plus sr au niveau du cryptage
des donnes.
La WiFi Alliance a ainsi cre une nouvelle certification, baptise WPA2, pour les matriels
supportant le standard 802.11i. WPA2 scurise aussi bien les rseaux en mode Infrastructure
quen mode Ad-Hoc. WPA2 16 tout comme son prdcesseur le WPA assure le cryptage ainsi
que lintgrit des donnes mais offre de nouvelles fonctionnalits de scurit telles que le
Key Caching et la Pr-Authentification . (Voir annexe)
Pour rsumer, le WPA2 offre par rapport au WPA :

Une scurit et une mobilit plus efficaces grce lauthentification du client


indpendamment du lieu o il se trouve.
Une intgrit et une confidentialit fortes garanties par un mcanisme de distribution
dynamique de cls.
Une flexibilit grce une rauthentification rapide et scurise.

Sur les fiches techniques de matriel, les constructeurs nindiquent pas WPA2 mais WPA
avec le support du cryptage AES qui correspond forcment la norme WPA2.
3.3.1 Protocole et cryptage
Le protocole et cryptage utiliss pour le WPA2 PSK sont les mmes que pour le
WPA-PSK (TKIP, RC4).
De mme le protocole et cryptage utiliss pour le WPA2 Entreprise sont identiques
ceux de WPA Entreprise.
3.3.2 Intgrit
WPA2-PSK et WPA2-Entreprise utilisent respectivement MIC et CBC pour assurer
lintgrit des donnes.

Tableau 2.2 :Rcapitulatif des techniques de scurit

16

WPA2 :WiFi Protected Access 2

Page21

Chapitre II...Scurit dans les rseaux WiFi


4. Classification des rseaux
Le choix de la solution de scurit dpend de la nature du rseau sans fil scuriser .Pour
cela nous considrons deux cas possibles :
Les rseaux SoHo 17
Les rseaux dentreprises
4.1 Rseaux privs de type SoHo :
Les rseaux sans fil sont de plus en plus communs dans les petits bureaux et bureaux
domicile (SoHo) en raison de leur facilit d'utilisation et d'installation. Ils permettent aux
utilisateurs derrer l'intrieur des zones en utilisant les ordinateurs portables et autres
priphriques rseau compatible. Dans ce type de rseau il nest pas ncessaire dutiliser une
authentification forte de type radius. En gnral la scurit WPA est suffisante, le mode
utilis est le PSK (tudi prcdemment).
4.2 Les rseaux dentreprise
Ce type de rseau doit tre fortement scuris pour protger au maximum les ressources de
lentreprise ainsi que son systme dinformation.
Le mode Entreprise vrifie les utilisateurs du rseau l'aide d'un serveur RADIUS ou d'un
autre serveur d'authentification. Le mode Entreprise est destin aux rseaux d'entreprise et de
l'administration.

Chiffrement
Services

WPA
WEP

de base

personal

WPA(Entreprise) + IEEE 802.1X

WPA2

(SoHo)

Identification

Oui

Oui

Oui

Oui

Authentification

Non

Non

Oui

Oui/Non

confidentialit

RC4

PSK

TKIP

AES

intgrit

CRC

MIC

MIC

CBC

Non-rpudiation

Non

Non

Oui

Oui

Tableau 2.3 : rcapitulatif des protocoles, algorithmes de cryptages et algorithmes de


contrle dintgrit des diffrentes solutions de scurits WiFi

17

SoHo :Small Office Home Office

Page22

Chapitre III.RADIUS

1. Introduction

RADIUS est un service d'authentification distance des utilisateurs distants. Il s'agit du


protocole client-serveur d'autorisation, d'authentification et de gestion des comptes (AAA 1 ),
utilis lorsqu'un client distant se connecte ou se dconnecte d'un serveur d'accs rseau.
Le fonctionnement de RADIUS est bas sur un systme client 2 /serveur qui est charg de
dfinir les accs des utilisateurs distants un rseau grce une base d'identification (base de
donnes, annuaire LDAP, etc.). Il est noter que le serveur RADIUS peut faire office de
proxy, c'est--dire quil peut transmettre les requtes du client vers d'autres serveurs RADIUS.
Le protocole RADIUS utilise le protocole IEEE802.1x qui permet le control daccs auquel
est associe une mthode dauthentification EAP 3 .

2.

Protocole 802.1X

2.1 Prsentation
Le protocole 802.1X a pour but de dfinir un protocole de contrle daccs rseau par
port. On dfinit comme port le moyen par lequel un quipement client accde des
ressources partages via un rseau. Un port peut tout aussi bien tre physique (port dun
quipement de commutation) ou virtuel (port sur une borne daccs WiFi).
Par dfinition, lors de la connexion entre un quipement client et un quipement daccueil, il
existe deux types de ports:
le port supplicant au niveau de lquipement client ;
le port authenticator au niveau de lquipement daccueil. Ce port peut fonctionner
soit en mode contrl (controlled) soit en mode non contrl (uncontrolled).
La gestion des contrles daccs au niveau port permet donc de spcifier les modalits
daccs un rseau au niveau de linterfaage physique entre le client et lquipement
daccueil.

2.2 Identification et authentification dun utilisateur


La connexion dun utilisateur un serveur radius travers un NAS 4 , se fait dabord par
identification puis par authentification.

AAA : Authorization, Authentication and Accounting


Le Client RADIUS est galement appel NAS (Network Access Server)
3
EAP :Extensible authentication protocol
4
NAS : Network Access Server
2

Page23

Chapitre III..RADIUS
2.2.1 Identification
Pour identifier une machine ou un utilisateur, on dispose de plusieurs lments dont les plus
rpandus sont :
Login / Mot de passe
Adresse Ethernet (adresse MAC)
Certificat lectronique
Biomtrie
Puce (SIM 5 )
2.2.2 Authentification IEEE 802.1x
Lauthentification utilise les informations qui ont servis lidentification. Elle est ralise
grce au protocole dauthentification EAP qui supporte plusieurs types dalgorithmes. La
plupart de ces algorithmes prennent en charge des cls dynamiques (amlioration de la
scurit apporte par lutilisation de cls statiques). A chaque utilisateur ou session on associe
une cl dynamique.
L'ensemble des transactions entre le client RADIUS 6 et le serveur sont cryptes grce
lutilisation dun secret partag.
Avant authentification du lutilisateur (supplicant), seul le mode non contrl permet
des changes dinformation spcifiques. Ces flux spcifiques sont appels flux
EAPOL pour EAP Over Lan .
Aprs authentification, le port contrl est bascul et les flux autoriss peuvent tre
mis destination du rseau. Lauthentification de lquipement est assure soit
directement par lquipement daccueil (point daccs) soit par un serveur
dauthentification ddi (type Radius). Une fois lutilisateur est identifi et authentifi,
laccs au rseau lui est autoris.
L'authentification 802.1x pour rseaux (filaire ou sans fil) comporte trois composants
principaux :
Lutilisateur (logiciel client) qui souhaite se connect au rseau distance,
L'authentificateur ou NAS qui est constitu soit dun point d'accs soit dun Switch,
le serveur d'authentification (RADIUS) avec sa base didentification (Base de
donnes, annuaire,..).

5
6

SIM : Subscriber Identity Module


RADIUS : Remote Authentication Dial In User Service

Page24

Chapitre III..RADIUS

Figure 3.1 : Architecture dauthentification 802.1x

Le serveur RADIUS peut authentifier l'utilisateur (par mots de passe ou certificats) ou le


systme (par adresse MAC). En thorie, le client sans fil n'est pas autoris se connecter au
rseau tant que la transaction n'est pas termine.
3. RADIUS
3.1 Principe de fonctionnement
Le protocole RADIUS, dfini par lIETF 7 dans la RFC 8 2865, rpond au modle AAA. Il
permet dauthentifier lidentit dun client, de lui accorder des droits (Authorization) et
denregistrer les donnes de comptabilit (Accounting) comme la facturation. RADIUS a t
conu pour permettre un quipement (NAS) de contrler laccs au rseau et de
communiquer avec un serveur centralis.
La fonction principale de RADIUS est de centraliser lauthentification des utilisateurs qui
cherchent se connecter un rseau ou un service quelconque.
Le scnario de connexion se fait en trois tapes :

7
8

IETF : Internet Engineering Task Force.


RFC : Request For comment

Page25

Chapitre III..RADIUS
Etape 1 : Un utilisateur souhaite accder un rseau et pour cela il se connecte un serveur
daccs au rseau 9 (NAS) qui contrle son accs.
Dans la terminologie RADIUS, le NAS est souvent appel client, ne pas confondre avec
utilisateur.
Etape 2 : Lutilisateur fournit son identit au NAS, le protocole dauthentification utilis pour
cela nest pas spcifi par RADIUS ;

Figure 3.2 : Architecture Radius

Etape 3 : En utilisant le protocole RADIUS, le NAS communique alors avec le serveur afin
de valider lidentit de lutilisateur. Si le serveur RADIUS authentifie bien lutilisateur, il en
informe le NAS et celui-ci laisse dsormais lutilisateur accder au rseau.
Plusieurs NAS peuvent tre configurs pour faire appel au mme serveur RADIUS et lui
dlguer le travail dauthentification des utilisateurs. De cette faon, il nest pas ncessaire
chaque NAS de possder une copie de la liste des utilisateurs : celle-ci est centralise par le
serveur RADIUS.

Le serveur daccs au rseau (NAS) est un quipement (switch, point daccs,..) qui supporte le protocole IEEE
802.1x

Page26

Chapitre III..RADIUS
3.2 Format des paquets RADIUS
Le protocole RADIUS hrite sa souplesse du format de ses paquets. En effet, chaque paquet
est constitu dun en-tte fixe et dune liste variable dattributs :

Code (1 Octet)

ID (1 Octet)

Longueur

(2 Octets)

Authenticator (16 octets)

Attributs (0-4076 Octets)

Figure 3.3 : Format des paquets RADIUS

Champ code: Il indique le type du paquet RADIUS :


Le protocole RADIUS sert aux changes entre le NAS et le serveur RADIUS. Il spcifie six
types principaux de paquets:
Le paquet Access-Request est envoy par le NAS lorsquun client doit tre authentifi
pour accder au rseau. Ce paquet contient entre autres lidentifiant de lutilisateur
ainsi que la preuve de son identit (un mot de passe par exemple).
Un paquet Access-Challenge, contenant un dfi, peut tre renvoy par le serveur en
rponse un paquet Access-Request. Ceci est utile si la mthode dauthentification de
lutilisateur fait intervenir un dfi, ou plus gnralement plusieurs allers-retours entre
le NAS et le serveur. Le NAS doit alors poursuivre lauthentification en renvoyant un
nouveau paquet Access-Request au serveur, contenant la rponse au dfi. Le serveur
peut ventuellement renvoyer nouveau un paquet Access-Challenge et ainsi de suite.
Type de message
Code
1
Access-Request
11
Access-Challenge
2
Access-Accept
3
Access-Reject
4
Accounting-Request
5
Accounting-Response
Tableau 3.1 : Types de paquets utiliss par RADIUS

Le paquet Access-Accept est renvoy au NAS par le serveur, pour indiquer que
lutilisateur est autoris accder au rseau. Ce paquet peut contenir des attributs
dfinissant les autorisations de lutilisateur, comme par exemple lattribut SessionTimeout.

Le paquet Access-Reject est bien sr envoy au NAS si lutilisateur nest pas autoris
accder au rseau. Ce paquet peut galement transporter divers attributs, par
exemple un message derreur prsenter lutilisateur.

Page27

Chapitre III..RADIUS

Le paquet Accounting-Request est envoy par le NAS pour indiquer au serveur le


dbut (type Start) ou la fin (type Stop) dune session. Il contient toutes sortes
dattributs donnant des informations au sujet de la session : Acct-Input-Octets, AcctSession-Time, User-Name, etc. Ce paquet peut ventuellement tre envoy
rgulirement au cours de la session (type Interim-Update).

Enfin, le paquet Accounting-Response est renvoy par le serveur pour indiquer quil
a bien reu le paquet Account-Request.

Champ ID : Il est inclus dans chaque requte : il sagit dun simple compteur qui identifie
le paquet. Ceci permet notamment de savoir quelle requte correspond une rponse
RADIUS (car avec le protocole UDP 10 , lordre des paquets peut changer entre lmetteur
et le rcepteur) ;
Champ longueur : Il spcifie la longueur totale du paquet, en comptant len-tte
RADIUS et les attributs ;
Champ authenticator : Il sert au contrle dintgrit du paquet, cest--dire pour
sassurer que le paquet na pas t modifi par un pirate entre lmetteur et le rcepteur ;
Champ attributs : Les attributs sont placs les uns la suite des autres, leur format est
trs simple. Chaque attribut prcise son type, sa longueur et, bien entendu, sa valeur :

Type (1 Octet)

Longueur

(1 Octet)

valeur (0-253 Octets)

Figure 3.4: Champ attribut

Champ type : Il spcifie les types qui sont dfinis dans la RFC 2865 et dans toutes les
autres RFC lies au protocole RADIUS (2866, 2867, 2868, 2809, 2869 et 2548). Par
exemple, le type Session-Timeout porte le numro 27, le type User-Name porte le
numro 1 et ainsi de suite ;
Champ longueur : Il spcifie la longueur de lensemble de lattribut, pas uniquement
de la valeur.
Champ valeur : La valeur de ce champ peut tre un nombre (sur 32 bits), une srie
doctets, un texte, une adresse IP ou encore une date. Cela dpend du type de lattribut.
3.3 Bases didentification Radius ou connecteurs
Radius est un protocole client-serveur permettant de centraliser les donnes
dauthentification. Il repose sur trois types dacteurs: les utilisateurs, les NAS et le serveur
RADIUS.
Les utilisateurs cherchent se connecter un rseau (ou tout autre service). Les serveurs
daccs au rseau (NAS), ont pour rle de demander aux utilisateurs de sidentifier et de

10

UDP : User Datagram Protocol

Page28

Chapitre III..RADIUS
naccder aux ressources du rseau que sils sont authentifis par le serveur RADIUS selon
leurs droits daccs.
Le serveur RADIUS a pour fonction dauthentifier les utilisateurs en rpondant aux requtes
dauthentification envoyes par les NAS. Lorsquil informe un NAS quun utilisateur est bien
authentifi et quil peut accder au rseau.
Le serveur RADIUS fournit souvent des instructions varies ce NAS, sous la forme
dattributs . Ces instructions peuvent indiquer quil faut dconnecter lutilisateur au bout
dun certain temps, ou encore que cet utilisateur ne doit pas pouvoir accder telle ou telle
partie du rseau. Pour ce faire le serveur est reli diffrents types de connecteurs.
Pour valider les mots de passe (ou toute autre preuve didentit), certains serveurs RADIUS
consultent simplement un fichier contenant la liste des utilisateurs et de leurs mots de passe.
Dautres sont capables de lire ces informations dans une base de donnes (MySQL, Oracle,
etc.). Enfin, certains peuvent consulter un serveur LDAP ou un contrleur de domaine de
Windows NT.
Lors de la configuration du serveur RADIUS, il est possible de choisir le type de connecteur
utiliser ainsi que de la mthode dauthentification utiliser.

Figure 3.5 : Les connecteurs des serveurs RADIUS

4. Protocole dauthentification EAP 11


Le Protocole EAP est un protocole qui peut utiliser diffrentes mthodes dauthentification
(algorithmes). Toutes ces mthodes permettent lutilisateur de s'identifier auprs du serveur
RADIUS. Avec l'authentification RADIUS, les identits des utilisateurs sont vrifies en
regard de bases de donnes.

11

EAP : Extensible Authentication Protocol

Page29

Chapitre III..RADIUS

4.1 Types dauthentification EAP


Il existe plusieurs type dauthentification EAP qui diffrent selon leur mthodes
dauthentification :

4.1.1 EAP-MD5
Le protocole d'authentification MD5 12 est une mthode d'authentification sens unique
utilisant des noms d'utilisateur et des mots de passe. Cette mthode ne prend pas en charge la
gestion des cls mais ncessite la configuration pralable de cls si le chiffrement de donnes
est utilis. Elle peut tre dploye en toute scurit pour l'authentification l'intrieur de
tunnels EAP.
4.1.2 EAP-TLS
Type de mthode d'authentification utilisant le protocole d'authentification EAP et le
protocole de scurit TLS 13 . EAP-TLS fait appel des certificats utilisant des mots de passe.
L'authentification EAP-TLS prend en charge la gestion dynamique des cls WEP. Le
protocole TLS est conu pour la scurisation et l'authentification des communications sur les
rseaux publics par le chiffrement des donnes. Le protocole de ngociation TLS permet au
serveur et au client de s'authentifier mutuellement et de ngocier un algorithme de chiffrement
et des cls cryptographiques avant l'envoi des donnes.

4.1.3 EAP-TTLS
Avec le protocole TTLS 14 le client utilise EAP-TLS pour valider le serveur et crer un
canal chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre protocole
d'authentification, habituellement un protocole mot de passe tel que MD5 Challenge, sur ce
canal chiffr pour activer la validation du serveur. Les paquets de stimulations et de rponses
sont envoys via un canal chiffrement TLS non expos. Les implmentations TTLS
actuelles prennent en charge toutes les mthodes dfinies par le protocole EAP, ainsi que
plusieurs autres mthodes (PAP 15 , CHAP 16 , MS-CHAP 17 et MS-CHAPv2). Le protocole
TTLS peut facilement tre tendu pour fonctionner avec de nouveaux protocoles en
dfinissant de nouveaux attributs prenant en charge ces derniers.

12

MD5 : Message Digest 5


TLS : Transport Layer Security
14
TTLS: Tunneled Transport Layer Security
15
PAP: PasswordAuthentication Protocol
16
CHAP : Challenge Handshake Authentication Protocol
17
MS-CHAP : Microsoft Challenge Handshake Authentication Protocol
13

Page30

Chapitre III..RADIUS
protocole

spcificits

PAP 18

Protocole de ngociation deux voies conu pour tre utilis avec PPP 19 . PAP est un mot de
passe textuel non chiffr utilis sur les anciens systmes SLIP. Il n'est pas sr.
CHAP (Challenge Handshake Authentication Protocol) est un protocole de ngociation trois
voies considres plus sr que le protocole d'authentification PAP.
Utilise une version Microsoft du protocole de ngociation-rponse RSA Message Digest 4. Il
fonctionne uniquement sur les systmes Microsoft et permet le chiffrement des donnes. La
slection de cette mthode d'authentification entrane le chiffrement de toutes les donnes.

CHAP
MS-CHAP
(MD4)
MS-CHAPV2

Prsente une fonctionnalit additionnelle non disponible avec l'authentification MSCHAPV1


ou CHAP standard : la fonctionnalit de modification de mot de passe. Cette fonctionnalit
permet au client de modifier le mot de passe du compte si le serveur RADIUS signale que le
mot de passe est expir.

Tableau 3.2 : Protocoles dauthentification associs TTLS


4.1.4 EAP-PEAP
PEAP 20 est un nouveau type de protocole IEEE 802.1x EAP conu pour tirer parti de la
mthode EAP-TLS ct serveur et pour prendre en charge diffrentes mthodes
d'authentification, y compris les mots de passe utilisateur et les mots de passe utilisation
unique, ainsi que les cartes jetons gnriques.

protocole

spcificits

Carte jetons
gnrique
(GTC)

Utilise des cartes jetons spcifiques pour l'authentification. La fonctionnalit principale


de GTC est l'authentification base sur un certificat numrique/une carte jetons. GTC
inclut galement la capacit de masquer les identits des noms d'utilisateur jusqu' ce que
le tunnel chiffr TLS soit tabli, ce qui offre un niveau de confidentialit supplmentaire en
assurant que les noms d'utilisateur ne sont pas diffuss pendant la phase d'authentification.

MS-CHAP-V2

Reportez-vous la section MS-CHAP-V2 ci-dessus.

TLS

Le protocole TLS ( ne pas confondre avec TSL qui set un type de mthode
dauthentification) lalest conu pour la scurisation et l'authentification des
communications sur les rseaux publics par le chiffrement des donnes. Le protocole de
ngociation TLS permet au serveur et au client de s'authentifier mutuellement et de
ngocier un algorithme de chiffrement et des cls cryptographiques avant l'envoi des
donnes.

Tableau 3.3 : Protocoles dauthentification associs PEAP

4.1.5 EAP-SIM
Cette mthode dauthentification est dfinie dans la RFC 4186. Son but est de permettre
un utilisateur de sidentifier grce la carte SIM de son tlphone portable GSM.

18

PAP :Password Authentication Protocol


PPP : Point to point protocol
20
PEAP : Protected Extensible Authentication Protocol
19

Page31

Chapitre III..RADIUS
Celle-ci peut tre connecte lordinateur via une cl USB, par exemple, ou directement
intgre dans ladaptateur WiFi. Pour que lidentification puisse fonctionner, le serveur
dauthentification doit tre reli loprateur mobile de lutilisateur : il ne sert alors que
dintermdiaire entre le client et le serveur dauthentification de loprateur mobile.
4.1.6 EAP-LEAP 21
LEAP est une implmentation propritaire de EAP conu par Cisco Systems. Cisco a fait
beaucoup d'efforts pour promouvoir ce protocole. Il a permis d'autres fabricants de raliser
des produits LEAP Compatible au travers du programme CCE 22 . Ce protocole n'est pas
prsent nativement sous Windows. Il tait connu pour tre vulnrable aux attaques par
dictionnaire comme EAP-MD5. Mais il ne l'est plus depuis la version ASLEAP (2003) de
Joshua Wright. Cisco continue de soutenir que LEAP est une solution scurise si l'on utilise
des mots de passe suffisamment complexes. Mais tout le monde sait bien que dans la ralit
les mots de passe complexes sont rarement utiliss. De nouveaux protocoles comme EAPTTLS ou PEAP ne rencontrent pas ce type de fragilit car ils crent un tunnel TLS pour
scuriser l'identification. De plus ces nouveaux protocoles tant plus ouverts, ils peuvent tre
utiliss sur des points d'accs de marque Cisco ou non.
Gestion
Type EAP

dynamique
des cls

EAP-MD5

EAP-TLS

EAP-LEAP

NON

OUI

OUI

Re-Authentification

Mthode

automatique

dauthentification

Remarques

Login /Password

-Facile implmenter
-Support par beaucoup de serveur
-Utilise les mots de passe en clair
-Pas dauthentification mutuelle

OUI

Certificat

-Utilisation de certificats pour le


serveur et les clients
-Solide mais compliqu grer
cause des certificats
-Authentification mutuelle entre le
serveur et le client

OUI

Login /Password

-Solution propritaire

NON

EAP-TTLS

OUI

OUI

EAP-PEAP

OUI

OUI

EAP-SIM

OUI

OUI

Login /Password
certificat

Login /Password
certificat
Carte SIM

-Cration dun tunnel TLS sr


-Supporte PAP, CHAP, MS-CHAP,
MS-CHAPv2
-Certificat obligatoire cot serveur,
optionnel cot client Authentification mutuelle
-Similaire EAP-TTLS
-Cration dun tunnel TLS sr
-Authentification mutuelle
-Rduit les risques dusurpation
-Meilleure protection du compte
utilisateur
-Meilleure traabilit

Tableau3.4 : Rcapitulatif des diffrents types dEAP


21
22

LEAP : Lightweight Extensible Authentication Protocol


CCE : Cisco Certified Extensions

Page32

Chapitre III..RADIUS

4.2 Format de Paquet EAP

Code (1 Octet)

Identifier

(1 Octet)

Longueur (2 octets)

Donnes (n octets)

Figure 3.6 : Format de paquet EAP

Champ Code (1 octet) : permet didentifier le type de paquet EAP ou la mthode


didentificationutiliser.
Champ Identifiant (1 octet): aide dans les assortiments (Rponses aux demandes).
Champ Longueur (2 octets): indique la longueur totale du paquet EAP (Code,
Identifiant, Longueur, et Donnes). Les octets supplmentaires dpassant lintervalle
donn par le champ Longueur devraient tre traits comme du bourrage de la couche
Liaison de Donnes et devraient tre ignors la rception.
Champ Donnes (0-n octets) : Le format du champ Donnes est dtermin par le champ
Code.

4.3 les Etapes du protocole EAP


On peut dcouper le protocole EAP en quatre tapes qui sont :

Identit externe
Ngociation de protocole
Protocole transport
Gestion des cls de chiffrement

Etape 1: Identit externe

Cette tape intervient entre le poste de travail, ou plus prcisment lutilisateur (supplicant)
et le NAS.
1. Lutilisateur (supplicant) et le NAS ngocient lusage dEAP.
2. Le NAS envoie un paquet EAP de type EAP-Request/Identity, cest--dire quil
demande au supplicant son identit. On lappellera identit externe.

Page33

Chapitre III..RADIUS
3. Le supplicant rpond par un EAP-Response/Identity, cest--dire lidentit qui lui est
demande. Cette identit est fournie par le supplicant qui a t configur par le
propritaire de la machine. Elle nest donc pas lie intrinsquement cette machine,
mais un choix compltement indpendant dun quelconque aspect physique. Cest
elle qui va servir plus loin de cl de recherche dans la base de donnes du serveur.
4. Le NAS fabrique un paquet Access-Request dans lequel il crit un en-tte (code
+identifiant + longueur + authentificateur) puis un champ attributs et valeurs.
lintrieur de celui-ci, il crit lattribut EAP-Message dans lequel il encapsule le
paquet EAP venant du supplicant. Il crira galement un attribut User-Name dans
lequel il copiera lidentit (celle envoye dans lEAP-Response/ identity). Le serveur
Radius utilisera le contenu de User-Name comme point dentre dans sa base de
donnes.
5. Le NAS envoie le paquet Access-Request au serveur. Le NAS crit dautres attributs
dans lAccess-Request, parmi lesquels Calling- Station-Id qui permettra au serveur
Radius de disposer de ladresse MAC du poste de travail en plus de lauthentification
envoye par le supplicant.

Etape 2: Ngociation de protocole

Cette tape correspond la rception du paquet Access-Request par le serveur et sa


rponse vers lutilisateur (supplicant) afin de proposer une mthode dauthentification.
1. Le serveur reoit le paquet Access-Request.
2. Il construit un paquet Access-Challenge dans lequel il crit un attribut EAP-Message
form dun paquet EAP-Request qui contient une proposition de protocole
dauthentification. Pour notre application nous avons retenu lauthentification EAPMD5 dont le principe dauthentification est donn la figure 3.7.
3. Le NAS dcapsule le paquet EAP contenu dans EAP-Message et le transfert sur la
couche EAP vers le supplicant. Celui-ci rpond par un paquet EAP-Response. Sil
connat le protocole propos et quil est configur, il lacceptera. Dans le cas contraire,
il proposera un protocole pour lequel il est configur, par exemple TLS.
4. La rponse du supplicant est encapsule, comme dans la premire phase, dans un
nouveau paquet Access-Request. Si le serveur accepte ce protocole alors on passe la
troisime phase, cest--dire lexcution du protocole dauthentification. Dans le cas
contraire, il envoie un Access-Reject au NAS.

Page34

Chapitre III..RADIUS

Figure 3.7 : Phases dauthentification EAP-MD5

Etape 3: Protocole transport

Cette tape correspond lexcution du protocole dauthentification transport. Le principe


est le mme que pour les deux premires tapes, cest--dire un change de paquets Radius
Access-Request/Access-Challenge encapsulant des paquets EAP-Request ou EAP-Response.

Etape 4: Gestion des cls de chiffrement


Cette tape na de sens que dans le cas du WiFi. Elle permet la gestion dynamique des cls
de chiffrement.

Page35

Chapitre IV Implmentation de la scurit WIFI dans un rseau dentreprise

1. Introduction et objectif
Les entreprises, timides au dbut par crainte des nouveaux problmes de scurit que posent
les rseaux sans fil, sont maintenant en train dutiliser de plus en plus les rseaux sans fil.
Les intrts pour lentreprise sont en effet importants :
les cots de cblage peuvent tre trs largement rduits ;
les employs, quips dordinateurs portables compatibles WiFi, peuvent rester
connects et productifs hors du bureau ;
les runions sont plus faciles organiser car le rseau est disponible partout et pour
tout le monde ;
les ramnagements de bureaux sont nettement moins complexes grer ; les clients,
fournisseurs et autres visiteurs peuvent se connecter facilement.
Nanmoins chaque rseau possde sa politique d'accs et ne souhaite pas laisser n'importe
qui accder aux ressources rseaux. Ainsi il est ncessaire de mettre en place des systmes
d'authentification sur ces rseaux qui doivent cumuler de multiples avantages comme une
compatibilit avec la majorit des appareils mobiles du march, scuriser les changes entre
les client et le rseau, offrir l'utilisateur la plus grande transparence aussi bien lors de la
phase d'authentification, par lintermdiaire dun point daccs, que lors de l'utilisation du
rseau.
Ainsi pour notre implmentation nous avons utilis un serveur Freeradius qui est un serveur
open source qui peut consulter un fichier, un annuaire ou encore une base de donnes
(MySQL dans notre cas) pour lauthentification des Utilisateurs.

2. Freeradius
Freeradius est un serveur RADIUS libre, il est modulaire et trs riche en fonctionnalits,
il est considr comme le serveur le plus utilis au monde et offre ainsi une alternative aux
autres serveurs d'entreprise RADIUS. Il convient autant aux systmes embarqus avec peu de
mmoire qu'aux systmes avec plusieurs millions d'utilisateurs.
2.1 Installation
Pour mettre en place la scurit, nous avons utilis Ubuntu (version 10.10) qui est un systme
dexploitation libre Fond sur la distribution Linux Debian qui offre ladministrateur de
rseau tout le potentiel dun accs total la pile de protocoles rseaux.
Pour des raisons pratiques, nous avons install Ubuntu comme application de Windows en
utilisant VMware.

Page36

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

VMware est un logiciel permettant la cration d'une ou plusieurs machines virtuelles au sein
d'un mme systme d'exploitation. Il est possible de faire fonctionner plusieurs machines
virtuelles en mme temps, la limite correspondant aux performances de l'ordinateur hte.
Notre fentre Ubuntu se prsente comme suit :

Linstallation de freeradius doit se faire par ladministrateur soit par tlchargement soit enligne par la commande apt-get install freeradius. Lors de linstallation les principaux fichiers
suivants sont crs dans le rpertoire /etc/freeradius:
radiusd.conf : fichier de configuration global du serveur freeradius.
clients.conf : fichier de configuration des clients de freeradius (NAS).
users : fichier de configuration des utilisateurs (clients NAS) qui nest utilis que si
lauthentification se fait par fichier.
sql.conf : fichier de configuration de la base de donnes, si lauthentification se fait par
Bases de donnes.
eap.conf : fichier de configuration des mthodes dauthentification.
default : fichier contenu dans le rpertoire /sites-available et qui contient les modules
dauthentification, dautorisation et de gestion des comptes.
2.2 Configuration de Freeradius avec authentification par fichier
Lors de lexcution de freeradius, le premier fichier lu est radiusd.conf qui conditionne le
chargement de tous les autres fichiers.
Dans un premier temps nous nous intresseront lautentification par fichiers ce qui nous
amne configurer les fichiers users et clients.conf.

Page37

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

Le fichier users 1 : Ce fichier permet de dterminer les paramtres des utilisateurs qui y
sont dfinis. Autrement dit ce niveau doit tre dfini tous les utilisateurs qui auront accs
au rseau.

Le fichier clients.conf 2 : Ce fichier permet de :

Dfinir le client RADIUS appel galement NAS (Network Access Server). Cest dans ce
fichier quest dfinit le secret partag entre un client spcifique et le serveur
Paramtrer le dialogue avec les NAS (client RADIUS)

Dans ce fichier sont recenss les NAS { nom, adresse IP, secret partag + infos optionnelles).
Client host.domainname
{
Secret=mot_de_passe_radius
Shortname=alias
Nastype=other
}
Remarque :
Host.domaine peut tre remplac par ladresse IP

Figure 4.1 : syntaxe utilise pour dfinir les clients RADIUS :

2.2.1 Test Freeradius cot serveur


Une les diffrents fichiers configurs, le test du serveur freeradius se fait en deux tapes :
1. On dmarre notre serveur puis on larrte (en mode terminal).

1
2

Fichier de configuration si on nutilise pas une BDD pour lauthentification


Fichier de configuration des clients reconnus par RADIUS

Page38

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

2. On excute le mode debug de freeradius et on vrifie si le serveur est lcoute sur


les diffrents ports.

Si tout se passe bien, dans le message de debug on aura la rponse suivante la fin :

Ce qui signifie que le serveur coute sur :


le port 1812, pour lauthentification.
le port 1813 pour la gestion des comptes.
le port 1814 en cas dutilisation de proxy.
2.2.2 Test Freeradius ct client
Pour ce faire, on ouvre un deuxime terminal puis on excute la commande de test
suivante :
#radtest <nomutilisateur> < motdepasseutilisateur> <nomduserveur numerodeport>
<secretpartagerentrenasetserveur>
Si tout se passe bien, on aura la rponse suivante :

Page39

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

2.3 Configuration de Freeradius avec authentification par base de donnes (MySQL)


2.3.1 Pr requis
Pour mettre en place une telle authentification, il est ncessaire dinstaller un serveur web
de type Apache2, un serveur de donne MySQL ainsi que PHP. Si lon dsire grer la base de
donnes MySQL de faon graphique, il est recommand dinstaller PhpMyAdmin.
Le choix de la base de donnes MySQL est essentiellement d, sur le fait que son
architecture logicielle est facile personnaliser. Les principaux avantages de MySQL sont sa
rapidit, sa robustesse et sa facilit d'utilisation et d'administration. Un autre avantage majeur
de MySQL est sa documentation trs complte et bien construite.
Nous avons install le serveur mysql ainsi que ses dpendances :
#apt-get install freeradius-mysql mysql-server mysql-client
2.3.2 Mise en place de la base de donnes
Notre base de donnes MySQL contiendra la liste des NAS (nos bornes WiFi) ainsi que la
liste des utilisateurs autoriss utiliser le WiFi. Freeradius n'aura donc manipuler cette
base qu'en lecture, il n'aura rien crire dedans.
Nous devons nous connecter au serveur MySQL en tant quadministrateur ce qui se fait grce
au gestionnaire de MySQL par la commande suivante :

Nous allons ensuite crer une base radius et un super-utilisateur radius.


-

Cration de la base de donnes radius


mysql>create database radius ;
mysql> use 3 radius;

Permet douvrir et de manipuler la base de donnes cre

Page40

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

Cration du super-utilisateur de la BDD radius et attribution des droits:


mysql>CREATE USER 'radius'@'localhost' IDENTIFIED BY 'votremotdepasse';
mysql>grant all privileges on radius.* to radius@% identified by votremotdepasse;
mysql>flush privileges;

Pour la cration des tables, Freeradius propose des fichiers SQL compresss
(/etc/freeradius/sql/mysql/) qui contiennent un certain nombre de tables.
Le principal fichier schema.sql qui permet de crer les tables les plus importantes.
Le fichier nas.sql et n'ajoute qu'une seule table nas destine contenir les
authenticators (NAS).
Pour utiliser les tables cres par freeradius, il va falloir les dcompresser grce aux
commandes suivantes :
# mysql -u root -p radius < /etc/freeradius/sql/mysql/schema.sql
# mysql -u root -p radius < /etc/freeradius/sql/mysql/nas.sql
Avant de continuer la configuration, il nous semble utile de vrifier si les tables cres ont t
dcompresses.

Notre intrt portera essentiellement sur les tables nas et radcheck.

La table nas contient les points daccs (NAS) par lesquels les utilisateurs dsirent
se connecter.
La table radcheck contient les utilisateurs qui ont le droit daccder au rseau.

Page41

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

2.3.3 Mise jour des tables radcheck et nas


a. Cration des utilisateurs autoriss accder au rseau
mysql> use radius ;
mysql> insert into radcheck(UserName, Attribute, op,value) VALUES
(sokhna,Cleartext-password,:=,tyga);
b. Cration des NAS (points daccs)
mysql>insert into nas(nasname,shortname,secret) VALUES
(127.0.0.1,localhost,monpresecretradius);
2.3.4 Paramtrage de freeradius pour utiliser MySQL
Pour utiliser freeradius avec MySQL il est ncessaire de configurer un certain nombre de
fichiers.
-

radiusd.conf : fichier principal de configuration de freeradius dans lequel il faut autoriser le


serveur freeradius accder aux fichiers sql.conf et counter.conf qui est situ dans le
rpertoire sql/mysql.

Default (/etc/freeradius/sites-available/) : permet de configurer la .. il faut


autoriser lutilisation du serveur MySQL en activant sql qui permet dutiliser le fichier de
configuration sql.conf

Sql.conf : Ce fichier contient les informations didentification la base de donnes, il


nest utilis que si on utilise une base de donnes MySQL pour la gestion des utilisateurs.
Dans fichier sql.conf install par dfaut, il faut modifier les paramtres suivants :
-

login = radius
password = votremotdepasse
radius_db = radius
readclients = yes

2.3.5 Choix de la mthode dauthentification


Pour valider notre implmentation, nous avons retenu la mthode EAP-MD5 qui ne propose
pas d'authentification mutuelle, le client s'authentifie simplement en fournissant un couple
login/mot de passe. Lavantage de cette mthode est la simplicit : il est relativement facile de
mettre en place une structure d'authentification base sur cette mthode.
Celle-ci est d'ailleurs beaucoup utilise pour des rseaux filaires o la contrainte lie au
chiffrage des changes est moins forte que pour les rseaux Wifi.

Page42

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

2.3.5.1 Configuration de lauthentification par EAP


-

eap .conf est un fichier qui regroupe tous les modules dauthentification EAP. A ce niveau,
on specifie le type dauthentification utiliser. Puisque nous avons opt pour la mthode
EAP-MD5 aucune reconfiguration na t faite puisquelle est celle installe par dfaut.

2.3.5.2 Principe de lauthentification par EAP-MD5


La connexion dun utilisateur un rseau scuris (EAP-MD5) se fait en plusieurs tapes :
1. Aprs l'association et la phase EAP standard de demande d'identification, le serveur
met une requte EAP-MD5 sous forme d'un texte de dfi ou challenge text (2).
3. Le client doit rpondre cette requte en chiffrant le dfi avec son mot de passe.

4. Le serveur chiffre le dfi de son ct en utilisant le mot de passe du client stock dans
sa base. Si le rsultat concide, le client est authentifi. Il est trs important de noter que
les changes sont non chiffrs. Le challenge text et son rsultat chiffr transitent en clair
sur le rseau.

Page43

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

2.3.6 Test du fonctionnement de freeradius


Nous allons procder de la mme manire que pour lauthentification par fichier grace la
commande radtest. Dans un terminal, nous mettons notre serveur lcoute et dans un autre
nous lanons la commande radtest comme les montrent les deux captures suivantes :

Si toutes les configurations sont bien faites, le rsultat de ce test est le suivant :

Sinon on aura un access-reject

Page44

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

3. Configuration du point daccs


Il sagit de configurer le point daccs en activant les options de scurit rpondant aux
objectifs choisis.
3.1 Configuration du rseau local
1. Configurer ladresse IP du point daccs, le masque du sous rseau et la passerelle par
dfaut.
2. Puis enregistrer ces configurations
3.2 Configuration de la partie radio
1. Changer le SSID (Service Set Identification) par dfaut
2. Choisir de diffuser ou pas ce SSID.
3. Choisir le type de scurit (WEP, WPA, WPA2 ,WPA-Entreprise, WPA2 Entreprise,
802.1x).
4. Prciser la mthode dauthentification EAP (la mme que celle choisie au niveau du
serveur)
5. Configur ladresse IP du serveur RADIUS
6. Configurer le port dauthentification(1812), et de comptabilisation(1813) du serveur
RADIUS
7. Prciser le secret partag entre le point daccs et le serveur RADIUS
8. Configurer le second serveur RADIUS comme proxy si ncessaire
9. Puis enregistrer ces configurations et redmarrer le point daccs.

Page45

Chapitre IVImplmentation de la scurit WIFI dans un rseau dentreprise

4. Organigramme de la procdure dauthentification

Page46

Conclusion gnrale
Bien que les rseaux sans fil offrent beaucoup davantages, nous avons pu noter travers ce
prsent projet quils prsentent aussi de srieux inconvnients et causent souvent dnormes
difficults de mise en uvre. Dans ces conditions, il devient indispensable de dvelopper une
politique de scurit pour dfinir ce qui est autoris et ce qui ne l'est pas.
Assurer la scurit dun systme impose une vision globale et pas uniquement technique:
cela implique de mettre en place une organisation de scurit transversale et indpendante
dans lentreprise, de dfinir une politique globale, et dassurer la scurit tous les chelons.
Lensemble du systme informatique doit tre compartiment et les droits des utilisateurs
doivent tre restreints pour viter quune personne connecte au rseau, comme un visiteur ou
mme un employ, puisse tout faire.
Les parades possibles incluent : le cryptage des donnes changes, un mcanisme fiable
didentification des utilisateurs, le contrle rigoureux de lintgrit des messages changs, un
mcanisme pour empcher la relecture danciens messages. Ces parades sont appuys par une
solution perfectionne et frquente qui consiste utiliser un contrleur daccs capable de
vrifier les identifiants des utilisateurs auprs dun serveur centralis : le serveur RADIUS.
Cependant, il faut noter quil est trs fortement recommand de choisir un secret partag aussi
long et complexe que possible entre le contrleur daccs et le serveur RADIUS.
Nous avons vu que le serveur RADIUS assure les trois fonctions principales savoir
lAuthentification, lAutorisation et la comptabilisation.
La richesse des mthodes dauthentification dun serveur RADIUS constitue lun des
critres de choix les plus importants. Grce la comptabilisation trs prcise des connexions,
il est possible de conserver une trace dtaille de toutes les connexions des utilisateurs. Si lon
possde un bon outil danalyse des historiques de connexion, il est possible de bien contrler
laccs au rseau.
Notons quil existe dautres types de serveurs AAA, moins rpandus: TACACS, TACACS+
ou encore Diameter qui, dfini dans la RFC 3588, est une version amliore du protocole
RADIUS.
Par consquent, la scurit est aussi une histoire de cot. Obtenir un systme scuris cote
cher, le maintenir encore plus cher, lun ne va pas sans lautre. Une fois le systme mis en
place, il faut rester en veille car en matire de scurit informatique, le plus vulnrable est
celui qui ne sait pas voluer.
Parmi les perspectives, on peut citer le portail captif qui est un dispositif qui consiste
forcer un client souhaitant accder un service en http ou htpps sur un rseau passer par une
page web servant l'authentifier sur ce rseau.

Page49

Bibliographie
WiFi professionnel : la norme 802.11, le dploiement, la scurit, Aurlien Gron, 3eme
dition DUNOD 2009.
Authentification rseau avec RADIUS : 802.1x, EAP, FreeRadius, Serge Bordres,
DITIONS EYROLLES novembre 2006.
Introduction la scurit du WiFi , Guillaume Duc, mai 2006.
WPA / WPA2 Une scurit fiable pour le WiFi, Guillaume Lehembre
Mmoire de fin dtude IGE 2 : Mise en place dun rseau WiFi exprimental scuris.
Mmoire de fin dtude IGE 27 : Audit de scurit dun rseau WiFi.
Mmoire de fin dtude IGE 28 : Scurit des liaisons WiFi.

Sites Internet
www.wi-fi.org : Site officiel de lAlliance Wi-Fi
http://www.memoireonline.com
http://www.commentcamarche.net/
http://www.crack-wpa.fr/tutoriel-crack-wpa.php
http://fr.wikipedia.org/wiki/Wi-Fi_Protected_Access
http://www.itworld.com/security/57285/once-thought-safe-wpa-wi-fi-encryption-cracked
http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite
http://www.tomsguide.fr/recherche.php?recherche=ccmp
http://www.infos-du-net.com/forum/298634-8-mise-place-serveur-radius-centralisationlogs
http://www.pcinpact.com/actu/news/47216-wifi-wpa-tkip-protection-attaque.htm
http://support.microsoft.com/kb/815485/fr
http://www.akori.fr/webpad_securite_wifi.html
http://www.linux-tutorial.info/modules.php?name=Howto&pagename=8021XHOWTO/freeradius.html
http://ubuntuforums.org/showthread.php?t=151781
http://technet.microsoft.com/fr-fr/library/bb457039.aspx
http://www.journaldunet.com/solutions/expert/systemes-reseaux/27717/demystifier-le802-11n-et-son-deploiement.shtml
http://www.infos-du-net.com/forum/280993-8-comment-tuto-borne-acces-wifiauthentification-radius-ldap
https://help.ubuntu.com/community/WifiDocs/ChillispotHotspot

Annexes
RC4 DES:presentation
II .Le key cashing
Il permet un utilisateur de conserver la cl PMK (Pairwise Master Key) variante de PSK (PreShared Key) du protocole WPA lorsquune identification sest termine avec succs afin de pouvoir
la rutiliser lors de ses prochaines transactions avec le mme point daccs. Cela signifie quun
utilisateur mobile na besoin de sidentifier quune seule fois avec un point daccs spcifique. En
effet, celui-ci na plus qu conserver la cl PMK ce qui est gr par le PMKID (Pairwise Master
Key IDentifier) qui nest autre quun hachage de la cl PMK, ladresse MAC du point daccs et du
client mobile, et une chane de caractre. Ainsi, le PMKID identifie de faon unique la cl PMK.

III. La Pr-Authentification
Cette fonction permet un utilisateur mobile de sidentifier avec un autre point daccs sur lequel il
risque de se connecter dans le futur. Ce processus est ralis en redirigeant les trames
dauthentification gnres par le client envoy au point daccs actuel vers son futur point daccs par
lintermdiaire du rseau filaire. Cependant, le fait quune station puisse se connecter plusieurs
points daccs en mme temps accrot de manire significative ?le temps de charge.?

Le cryptage symtrique :

Le principe est dutiliser une cl secrte pour crypter les donnes lenvoi et une cl qui lui est
directement relie pour le dcryptage(les cls peuvent tre identiques). Ce principe est bas sur
lutilisation des algorithmes tel que :

Le cryptage asymtrique :
Propos par Whitfield Diffie et Martin Hellman dont le principe est bas sur lutilisation de deux
cls (une cl prive et une cl publique) .La cl publique permet de crypter les donnes, elle peut
tre transmise et laisse la disposition de tous les utilisateurs. La cl prive qui est confidentielle
(secrte) permet de dcrypter les donnes. A ce niveau, nous avons comme algorithme utilis le
RSA.
?RSA 1 : dvelopp en 1978 par D.Rivest, A.Shamir et L.Adleman, cet algorithme a pour but de
transmettre un message cod que seul le rcepteur officiel puisse dcrypter, autrement dit qui ne
puisse pas tre dcrypter par quelquun interceptant le message.

?ECC 2 : procure le mme niveau de protection avec les cls de longueur infrieur quavec

celles de longueur normale, et donc des ressources conomises. Les cls les plus
courantes sont celles de 160 bits, mais elles commencent montrer des signes de
faiblesses. Les cls de 512 bits sont trs robustes. Inconvnient de cette approche : elle est
payante.

1
RSA : .Rivest, .Shamir Adleman
2
ECC : Elliptic Curve Cryptosystem