Vous êtes sur la page 1sur 82

Thme :

Authentification dans les Rseaux Wifi par


le protocole radius
Ralis par :
Ften RIDENE Epse RAISSI & Adel RAISSI

Universit Virtuelle de Tunis

PROJET DE FIN DETUDES


En vue de lobtention du titre de

Licence Applique en Sciences et Techniques de


lInformation et des Communications
Encadr par :
Mr Mohamed HAMDI

Devant le Jury compos de :

Anne Universitaire:
2010/2011

Ddicaces
Remerciements
Table des matires
Table des Figures
Avant-propos
Introduction Gnrale
Prsentation de ltablissement daccueil
Etude gnrale sur la scurit des rseaux Wifi
Protocoles dauthentification pour les rseaux Wifi
Etude de cas
Conclusion
Glossaire
Webographie

Ddicace de Ften RIDENE


Epse RAISSI :
* Mon cher papa MESKA : Que Dieu
bnisse son me et lamne au Paradis
* Ma chre maman SOUSOU
* Mon mari et binme : ADEL
* Toute ma belle famille RAISSI
* SAMSOUMI, RANNOUNTI, NOUNOU
* Tous ceux qui maiment et que jaime

Je ddie ce modeste travail

ii

Ddicace de Adel RAISSI :


* Mon cher pre Med SALAH
* Ma chre mre ZOUHAIRA
* Mes frres et surs
* Ma chre femme et binme : Ften
* Toute ma belle famille RIDENE
* Sada, Fayal, Azzedine et Hammond
* Toua(te)s mes collgues L-SAT NOKIA
Spcialement SAMER
* Tous ceux qui maiment et que jaime
Je ddie ce modeste travail

iii

Nous soussigns, le binme ralisant ce Projet de Fin dEtudes :


Ften RIDENE Epse RAISSI et Adel RAISSI, tudiants en LASTIC3,
que nous tenons fortement remercier tous ceux qui nous ont aid
avoir cette chre et honorable occasion pour approfondir notre
niveau de connaissance au domaine de la scurit des rseaux, nous
facilitant ainsi la prise en charge dun cas rel, ayant le but
dauthentifier et de scuriser un rseau.
Nous remercions donc, tous ceux qui nous ont aids, en particulier :
* UVT qui nous a attribu cette honorable chance
* Notre encadreur : Monsieur Mohamed HAMDI
* Tous nos collgues qui nont pargn aucun effort pour nous
aider, savoir nos collgues SupCom et L-SAT NOKIA, vu que
leurs remarques et leurs consignes ont t pour nous dun grand
apport.
*LEcole Suprieure des Communications de Tunis : SupCom, et
lInstitut Suprieur des Etudes Technologiques en Communications
de Tunis : ISETCOM, dont les suprieurs nous ont fourni le lieu de
travail ncessaire et le matriel dont nous avons besoin, pour bien
russir la ralisation de notre Projet de Fin dEtudes dans les plus
confortables conditions.
* Enfin nos meilleurs et vifs remerciements sadressent aux
membres du jury pour avoir accept dvaluer ce projet.
Ften RIDENE et Adel RAISSI

iv

Cre en 1998, et place sous la double tutelle du Ministre de


l'Enseignement Suprieur et de la Recherche Scientifique (Universit de
Carthage) et du Ministre de lIndustrie et de la Technologie (Secrtariat
d'Etat des Technologies de la Communication), membre du

Rseau

Mditerranen des Ecoles d'Ingnieurs, admise la Confrence des


Grandes Ecoles (CGE), au mois de dcembre 2008 en tant que membre
associ, premire cole associe de lInstitut Tlcom linternational,
Sup'Com est une cole d'ingnieurs qui a pour vocations :

La formation d'ingnieurs de haut niveau scientifique et

technique, aptes concevoir, mettre en ouvre et grer les services, les


systmes et les rseaux de tlcommunications.

La contribution l'effort national relatif la recherche

scientifique et technologique dans le domaine des technologies de


l'information et la communication (TIC).

La formation continue ou qualifiante des cadres suprieurs

dans le domaine des TIC.

Etablissement daccueil : SupCom

Licence Applique en Sciences et Techniques dInformation et de Communication

Table des matires


Liste des Figures .......................................................................................................................... 3
Avant Propos.................................................................................................................................. 5
Introduction Gnrale ............................................................................................................ 6
CHAPITRE 0 : Prsentation de l'tablissement d'accueil ................................... 9
0.1- Infrastructure sans fils de l'Universit SupCom : ........................................................................ 9
CHAPITRE 1 : Etude Gnrale sur la scurit des Rseaux WiFi .................. 11
1.1-Faiblesses des rseaux WiFi : .................................................................................. 11
1.2- Attaques possibles contre les rseaux WIFI :................................................ 11
1.2.1-Lintrusion rseaux : ............................................................................................................. 11
1.2.2-Le Wardriving : ..................................................................................................................... 12
1.2.3- Les risque sur un rseau WiFi.............................................................................................. 13
1.3-Exemple dune attaque sur les rseaux WiFi : ARP Spoofing .................. 14
1.3.1-Quest ce quune attaque par man in the middle ?........................................................ 15
1.3.2- Usurpation de ladresse MAC .............................................................................................. 17
1.4-Les mcanismes de la scurit disponibles pour les rseaux WiFi ...... 26
1.4.1-Aspects de base de la scurit des rseaux : ....................................................................... 26
1.4.2-Dfinition de lAuthentification ........................................................................................... 27
Conclusion ................................................................................................................................ 30
Chapitre 2 : Protocoles dauthentification pour les rseaux WiFi............ 31
2.1-Solutions potentielles :............................................................................................. 31
2.1.1- PAP ...................................................................................................................................... 31
2.1.2- CHAP .................................................................................................................................... 32
2.1.3- MS-CHAP ............................................................................................................................. 33
2.1.4- EAP ...................................................................................................................................... 36
2.2- Services dauthentification applicatifs ......................................................... 37
2.2.1 RADIUS................................................................................................................................... 37
2.2.2- TACACS+ .............................................................................................................................. 41
2.2.3- Kerberos .............................................................................................................................. 43
Chapitre 3 : Etude de cas ....................................................................................................... 48
3.1- Architecture de la solution propose : .......................................................... 48

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 1

Licence Applique en Sciences et Techniques dInformation et de Communication


3.1.1- Rseau WiFi de SupCom :................................................................................................... 48
3.1.2-Pr-requis ............................................................................................................................. 49
3.1.3- Actions ................................................................................................................................. 49
3.1.4- Utilisations possibles ? ........................................................................................................ 49
3.2- Description du rseau de test : ............................................................................. 50
3.2.1- Configuration du point daccs WiFi : ................................................................................. 50
3.2.2- Configuration du serveur Radius : ....................................................................................... 53
Conclusion .................................................................................................................................... 71
Glossaire ........................................................................................................................................ 73
Webographie ................................................................................................................................. 75

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 2

Licence Applique en Sciences et Techniques dInformation et de Communication

Liste des Figures


FIGURE 0.1 : PLAN DU RESEAU WIFI FAISANT PARTIE DU RESEAU SUPCOM ............................................................................ 9
FIGURE 1.1 : WAR-CHALKING ...................................................................................................................................... 12
FIGURE 1.2 : RESEAU WIFI AVANT USURPATION.............................................................................................................. 16
FIGURE 1.3 : RESEAU WIFI APRES USURPATION ATTAQUE MAN IN THE MIDDLE : MITM ............................................ 16
FIGURE 1.4 : ARP AVANT LATTAQUE.............................................................................................................................. 18
FIGURE 1.5 : MAC REELLE DE LATTAQUANT .................................................................................................................... 18
FIGURE 1.6 : UNIFIED SNIFFING .................................................................................................................................... 19
FIGURE 1.7: CARTE WIFI ATTAQUANTE .......................................................................................................................... 19
FIGURE1.8 : MAC DE LATTAQUANT QUI SERA MODIFIEE.................................................................................................... 20
FIGURE 1.9 : DETECTION DES HOTES CONNECTEES POUR EN CHOISIR LA VICTIME .................................................................... 20
FIGURE 1. 10 : TARGET 1 ............................................................................................................................................ 21
FIGURE 1. 11 : TARGET 2 ............................................................................................................................................ 21
FIGURE 1.12.1 : CURRENT TARGETS.............................................................................................................................. 22
FIGURE 1 .12.2: CURRENT TARGETS .............................................................................................................................. 22
FIGURE 1.13 : ARP POISONNING................................................................................................................................... 23
FIGURE 1.14: CHOIX DE LATTAQUE............................................................................................................................... 23
FIGURE 1.15 : START SNIFFING .................................................................................................................................... 24
FIGURE 1.16 : CHK_POISON SUCCESSFULL ................................................................................................................ 24
FIGURE 1.17 :LADRESSE MAC DU POINT DACCES ATTRIBUEE A LATTAQUANT...................................................................... 25
FIGURE 1.18 : CHIFFREMENT ....................................................................................................................................... 28
FIGURE2.1 : LES 2 ETAPES D'AUTHENTIFICATION DU PROTOCOLE PAP.................................................................................. 32
FIGURE 2.2 : LES 3 ETAPES D'AUTHENTIFICATION DU PROTOCOLE CHAP ............................................................................... 33
FIGURE 2.3 : RADIUS : EAP-TLS ................................................................................................................................ 38
FIGURE 2.4.1 : UNE DES ARCHITECTURES SUPPORTEES PAR TACACS ................................................................................... 41
FIGURE 2.4.2: TERMINAL ACCESS CONTROLLER ACCESS CONTROL SYSTEM PLUS ................................................................... 42
FIGURE 2.5 : ETAPES DAUTHENTIFICATION KERBEROS ................................................................................................... 43
FIGURE 3.1 : PARAMETRAGE DU POINT DACCES .............................................................................................................. 51
FIGURE 3.2 : PARAMETRAGE DE LADRESSAGE IP ............................................................................................................. 51
FIGURE 3.3 : PARAMETRAGE 802.1X ............................................................................................................................ 52
FIGURE 3.4 : CONFIGURATION RADIUS A TRAVERS SON WIZARD ......................................................................................... 53
FIGURE 3.5 : AJOUT DU POINT DACCES WIFI SUR CLEARBOX ............................................................................................. 54
FIGURE 3.6 : CHOIX DES PROTOCOLES DAUTHENTIFICATION AUTORISES ............................................................................... 55
FIGURE 3.7 CHOIX DU TYPE DE BASE DE DONNEES ............................................................................................................ 56
FIGURE 3.8 LISTE DES ADRESSES MAC DEJA CONFIGUREES ................................................................................................... 57
FIGURE 3.9 AJOUT DUN NOUVEL UTILISATEUR ................................................................................................................. 57
FIGURE 3.10 : AJOUT DE LADRESSE MAC (ID UNIQUE DU CLIENT)....................................................................................... 58
FIGURE 3.11 : CREATION DU CERTIFICAT SERVEUR ............................................................................................................ 58
FIGURE 3.12 : INSERTION DES INFORMATIONS DU SERVEUR ............................................................................................... 59
FIGURE 3.13 : INSERTION DES INFORMATIONS DE LOCALISATION DU SERVEUR........................................................................ 59
FIGURE 3.14 : SAUVEGARDE DU CERTIFICAT .................................................................................................................... 60
FIGURE 3.15 : SUCCES DE CREATION DU CERTIFICAT DU SERVEUR ........................................................................................ 60
FIGURE 3.16 SUCCES DE CREATION DU CERTIFICAT DU SERVEUR .......................................................................................... 61
FIGURE 3.17 : CREATION DE DEMANDE DE CERTIFICAT SERVEUR.......................................................................................... 62
FIGURE 3.18 : ENREGISTREMENT DE DEMANDE DE SIGNATURE DU CERTIFICAT ........................................................................ 62
FIGURE 3.19 : SUCCES DE LENREGISTREMENT DE LA DEMANDE DE SIGNATURE DU CERTIFICAT .................................................. 63
FIGURE 3.20 : 3EME ETAPE DE CERTIFICATION ................................................................................................................. 63
FIGURE 3.21 : SELECTION DU CHEMIN DU CERTIFICAT ET DE LA CLE ...................................................................................... 64

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 3

Licence Applique en Sciences et Techniques dInformation et de Communication


FIGURE 3.22 : CREATION DE CERTIFICAT CLIENT ............................................................................................................... 65
FIGURE 3.23 : INSERTION DES INFORMATIONS DU CLIENT................................................................................................... 66
FIGURE 3.24 : ENREGISTREMENT DU CERTIFICAT CLIENT .................................................................................................... 66
FIGURE 3.25.1 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 67
FIGURE 3.25.2 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 67
FIGURE 3.25.3 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 68
FIGURE 3.25.4 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 68
FIGURE 3.25.5 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 68
FIGURE 3.25.6 : ETAPES DIMPORTATION DU CERTIFICAT SUR CHAQUE POSTE CLIENT .............................................................. 69
FIGURE 3.26 : DETECTION DE NOTRE POINT DACCES......................................................................................................... 69
FIGURE 3.27 : NOTIFICATION POUR AUTHENTIFICATION A NOTRE POINT DACCES .................................................................... 70
FIGURE 3.28 : AUTHENTIFICATION DUN UTILISATEUR ....................................................................................................... 70

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 4

Licence Applique en Sciences et Techniques dInformation et de Communication

Avant Propos
Dans le cadre de lobtention du certificat de la

Sciences de lInformation et de Communication,


Virtuelle de Tunis, nous tions appels raliser

Licence Applique en

au sein de

lUniversit

un projet de fin dtudes,

dans un milieu industriel, dans notre cas, nous tions accueillis par un
tablissement acadmique : lEcole Suprieure des Communications de
Tunis :

SupCom,

situe au Technople EL GHAZELA. Notre projet a dur

quatre mois : de Mars Juin 2011.


Dans ce contexte, se situe le prsent travail, qui consiste authentifier
et scuriser laccs un rseau WiFi, et ce travers le protocole
dauthentification RADIUS.
Le travail consiste

mettre en place un rseau sans fils, qui doit

respecter les normes de scurit, dans le but de minimiser le risque


dattaques, en garantissant lauthentification et lidentification des utilisateurs
grce au protocole RADIUS.
Ce projet nous a t dune grande utilit, vu quil nous a permis de :

Nous familiariser sur le plan pratique avec les diffrentes tches et


oprations effectues, afin de scuriser un rseau sans fils dans le cadre
acadmique.

Avoir une ide sur la mthode adquate de maintenir un rseau sans fil
en scurit, vitant ainsi -grce des systmes et des protocoles bien
dtermins- toute tentative illgale daccs ou de modification des bases
de donnes prives et secrtes des clients authentifis (tudiants,
enseignants, services technique et administratif, visiteurs).

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 5

Licence Applique en Sciences et Techniques dInformation et de Communication

Introduction Gnrale
Dans lobjectif de garantir une meilleure accessibilit aux services
rseau, plusieurs architectures de communication modernes ont privilgi
labandon des cbles de transmission au profit des liaisons radio. Ces
liaisons peuvent tre soit du type infrarouge, Bluetooth ou Hertziennes.
Nous parlons donc des liaisons sans fils, qui ont pris une grande
ampleur avec lapparition de concentrateurs qui permettent de connecter
simultanment plusieurs nuds entre eux. Il peut s'agir dordinateurs,
d'imprimantes, de terminaux GSM ou de priphriques divers. Les liens
radio sont mme utiliss pour interconnecter des rseaux. A lchelle dun
rseau local, lutilisation de lair libre comme support de transmission,
consiste au dploiement des rseaux WiFi, rgis par les normes IEEE
802.11.
Les technologies dites sans fils , la norme 802.11g en particulier,
facilitent et rduisent le cot de connexion pour les rseaux de grandes
tailles. Avec peu de matriel et un peu d'organisation, de grandes
quantits

d'informations

peuvent

maintenant

circuler

sur

plusieurs

centaines de mtres, sans avoir recours une compagnie de tlphone ou


decblage.
La mise en uvre des rseaux sans fils est facile, mais la scurit
des donnes qui y sont transmises nest pas toujours assure. Ceci est d,
en grande partie, aux vulnrabilits intrinsques du lieu radio.
Une attaque -qui a pour but d'intercepter les communications sans
fils entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que
le canal de communication entre elles a t compromis- peut avoir lieu si
le canal nest pas scuris. L'attaquant est alors capable d'observer,
d'intercepter et de modifier les messages d'une victime l'autre. Son
intrusion est facilement possible, quand le rseau en question nest pas
assez scuris dautant plus facile que laccs au rseau ouvert. Cet
utilisateur malveillant peut accder au rseau sans fils quil attaque, tout
en utilisant une fausse identit. Il peut par exemple, modifier un message
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 6

Licence Applique en Sciences et Techniques dInformation et de Communication


M partant dun expditeur X au destinataire Y selon lattaque dite MAN IN
THE MIDDLE, qui lui permet de remplacer le message M par un autre
message M aprs lavoir modifi, sans que X et Y ne sen rendent compte.
Ce type dattaque, et plusieurs autres, dont notamment le vol des
informations du type proprits intellectuelles, le dni de service et
lUsurpation dIdentit, nous ont appels tudier ces vulnrabilits
dauthentification des rseaux WiFi, et trouver des solutions potentielles,
bases sur les protocoles dauthentification, en prenant Radius comme
solution adquate.
RADIUS (Remote Authentification Dial-In User Service), est un
protocole

client-serveur,

permettant

de

centraliser

des

donnes

d'authentification. L'opration d'authentification est initie par un client du


service RADIUS, qui est dans notre cas un point d'accs rseau sans fils.
Le poste utilisateur

transmet une requte d'accs un client RADIUS

pour entrer sur le rseau. Ce client (ou point daccs) se charge de


demander les informations identifiant l'utilisateur, qui seront dans notre
cas : le nom d'utilisateur (login), le mot de passe et ladresse Mac de la
carte rseau WiFi, travers laquelle, un tudiant, un personnel, ou mme
un visiteur passager de SupCom, pourra se connecter.
Pour raliser ce projet, nous avons commenc par effectuer des
recherches, pour tudier :

Les faiblesses des rseaux WiFi, et notamment les possibilits

techniques de se connecter sous une fausse identit.

Les

types

dattaques

qui

peuvent

avoir

lieu

dans

un

environnement acadmique.

Les mcanismes de protection existants- des rseaux WiFi, et

leur efficacit par rapport aux attaques visant lauthentification.


Aprs avoir effectu ces recherches, et pour pouvoir choisir le
protocole dauthentification qui conviendra nos besoins, nous avons
effectu :
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 7

Licence Applique en Sciences et Techniques dInformation et de Communication

Une tude comparative des protocoles dauthentification pour

les rseaux WiFi.

Une

revue

des

services

dauthentification

applicatifs

disponibles pour les rseaux WiFi.


Sur la base de cette tude, nous avions propos une architecture qui
permet de subvenir aux besoins de SupCom, en termes de protection
contre lusurpation didentit.
Le cot de la solution, en termes deffort de dploiement, a t aussi
pris en compte, lors de la conception de cette architecture.
Enfin, pour que cette tude thorique soit value, nous avons
effectu les tapes suivantes :

La mise en place dun rseau de test, qui permet de simuler

lenvironnement rel.

Lvaluation des performances de la solution propose.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 8

Licence Applique en Sciences et Techniques dInformation et de Communication

CHAPITRE 0 : Prsentation de l'tablissement d'accueil


0.1- Infrastructure sans fils de l'Universit SupCom :
Lusage du rseau WiFi lEcole Suprieure des Communications de
Tunis (SupCom), requiert une validation d'identit base sur l'identifiant
et le mot de passe de l'utilisateur : tudiant, membre du personnel de
l'Universit ou visiteur : dans ce dernier cas, il est ncessaire de connecter
ce rseau une personne extrieure (ne disposant donc pas d'un
identifiant) et pour laquelle, nous allons crer un compte temporaire.
SupCom se dote dj d'une infrastructure sans fils couvrant trs
largement les sites de l'Institution. Cette infrastructure doit permettre aux
personnes disposant dordinateurs portables, de se dplacer dans les
locaux de SupCom, tout en conservant une connexion rseau avec les
facilits qui y sont associes (mail, accs internet, ...).

Figure 0.1 : Plan du rseau WiFi faisant partie du rseau SupCom

Lutilisation de cette infrastructure est autorise pendant toute


lanne universitaire, mais les examens de Travaux Pratiques et de
Travaux Dirigs, sont obligatoirement passs sur des PCs de bureau,
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 9

Licence Applique en Sciences et Techniques dInformation et de Communication


utilisant une connexion cble, qui assure plus de performance et plus de
fiabilit.
Actuellement, tous les postes quips de carte WiFi supportant les
normes 802.11b ou 802.11g doivent pouvoir se connecter. Les avantages
de cette connexion sont notoires: toute activit sur le rseau WiFi de
SupCom est chiffre (crypte). Pour mieux la scuriser, nous pouvons
rendre

cette

d'identit).

connexion
Ceci

authentifie

limitera

donc,

et

chiffre

(pas

considrablement,

d'usurpation
les

risques

despionnage : lutilisateur ouvre son navigateur web, et tente d'accder


une page de son choix. Il reoit

alors immdiatement une demande

d'authentification et doit fournir son identifiant et son mot de passe, et


obtiendra ainsi l'accs au rseau.
Cest donc pour proposer dapprofondir le niveau de scurit du
rseau WiFi, que nous avons effectu ce projet de fin dtudes, visant sur
le fait de trouver des solutions potentielles dauthentification, et ce en
tudiant les diffrents types dattaques possibles et en cherchant la
solution adquate.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 10

Licence Applique en Sciences et Techniques dInformation et de Communication

CHAPITRE 1 : Etude Gnrale sur la scurit des


Rseaux WiFi
1.1-Faiblesses des rseaux WiFi :
Les ondes radiolectriques ont intrinsquement une grande capacit
de se propager dans toutes les directions avec une porte relativement
grande. Il est ainsi trs difficile darriver confiner les missions dondes
radio dans un primtre restreint. Ainsi les ondes se propagent galement
dun tage un autre (avec de plus grandes attnuations). La principale
consquence de cette propagation incontrle des ondes radio, se rsume
dans la facilit que peut avoir une personne non-autorise dcouter le
rseau, ventuellement en dehors de lenceinte du btiment o le rseau
sans fils est dploy.
Cest l o le bt blesse, quun rseau sans fils peut tre trs bien
install : dans une entreprise par exemple, sans que cela ne soit
explicitement autoris par les administrateurs ! En effet, il suffit un
employ de brancher un point daccs sur une prise rseau pour que
toutes les communications du dit rseau soient rendues publiques
dans le rayon de couverture du point daccs.

1.2- Attaques possibles contre les rseaux WIFI :


1.2.1-Lintrusion rseaux :
Lorsquun point daccs est install sur le rseau local, il permet aux
stations daccder au rseau

filaire et ventuellement Internet si le

rseau local y est reli. Un rseau sans fils, non-scuris, reprsente de


cette faon un point dentre royal pour le pirate au rseau interne dune
entreprise

ou

dune

organisation.

Outre

le

vol

ou

la

destruction

dinformations prsentes sur le rseau et laccs internet gratuit pour le


pirate, le rseau sans fils peut galement reprsenter une aubaine pour ce
dernier dans le but de mener des attaques sur Internet.
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 11

Licence Applique en Sciences et Techniques dInformation et de Communication


En effet, tant donn quil ny a aucun moyen didentifier le pirate sur
le rseau, lentreprise -ayant install le rseau sans fils- risque dtre
tenue responsable de lattaque.
1.2.2-Le Wardriving :
Etant donn quil est trs facile de raliser des coutes sur les
rseaux sans fils, une pratique simple consiste circuler dans la ville avec
un ordinateur portable (voire un assistant personnel) quip dune carte
rseau sans fils, il sagit du war-driving. Des logiciels spcialiss dans ce
type dactivit, permettant mme dtablir une cartographie trs prcise
en exploitant un matriel de go-localisation (GPS= Global Positionning
System).
Les cartes tablies permettent ainsi de mettre en vidence les
rseaux sans fils dploys non scuriss, offrant mme parfois un accs
internet ! De nombreux sites capitalisant ces informations ont vu le jour
sur internet, si bien que des tudiants londoniens ont eu lide dinventer
un langage des signes , dont le but est de rendre visibles les rseaux
sans fils en dessinant mme le trottoir des symboles la craie indiquant
la prsence dun rseau WiFi, il sagit du war-chalking (francis en
craieFiti ou craie-fiti). Deux demi-cercles opposs dsignent ainsi un
rseau ouvert offrant un accs Internet, un rond signale la prsence
dun rseau sans fils ouvert sans accs un rseau filaire et enfin un W
encercl met en vidence la prsence dun rseau sans fils correctement
scuris.

Figure 1.1 : War-Chalking


Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 12

Licence Applique en Sciences et Techniques dInformation et de Communication


1.2.3- Les risque sur un rseau WiFi
Les risques lis la mauvaise protection dun rseau sans fils sont
multiples :

Linterception

de

donnes,

consistant

couter

les

transmissions des diffrents utilisateurs du rseau sans fils.

Le dtournement de la connexion, dont le but est dobtenir

laccs un rseau local ou internet.

Le brouillage des transmissions, consistant mettre des

signaux radio de telle manire produire des interfrences.

Les dnis de service rendant le rseau inutilisable en envoyant

des commandes factices.


Toutes ces menaces sont expliques ci-dessous.
1.2.3.1-Linterception des donnes :
Par dfaut un rseau sans fils est non scuris, cest--dire quil est
ouvert tous et que toute personne se trouvant dans le rayon de porte
dun point daccs peut potentiellement couter toutes les communications
circulant sur le rseau. Pour un particulier la menace est faible car les
donnes sont rarement confidentielles, si ce ne sont pas les donnes
caractres personnel. Pour une entreprise en revanche, lenjeu stratgique
peut tre trs important.
1.2.3.2-Le brouillage radio :
Les ondes radio sont trs sensibles aux interfrences, cest la raison
pour laquelle un signal peut facilement tre brouill par une mission
radio, ayant une frquence proche de celle utilise dans le rseau sans
fils. Un simple four micro-ondes peut ainsi rendre totalement inoprable
un rseau sans fils lorsquil fonctionne dans le rayon daction dun point
daccs.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 13

Licence Applique en Sciences et Techniques dInformation et de Communication


1.2.3.3-Le dni de service :
La mthode daccs au rseau de la norme 802.11 est base sur le
protocole CSMA/CA, consistant attendre que le rseau soit libre avant
dmettre. Une fois la connexion tablie, une station doit sassocier un
point daccs afin de pouvoir lui envoyer des paquets. Ainsi, les mthodes
daccs au rseau et dassociation tant connues, il est simple pour un
pirate denvoyer des paquets demandant la dissociation de la station. Il
sagit dun dni de service, cest--dire envoyer des informations de telle
manire perturber volontairement le fonctionnement du rseau sans fils.
Dautre part, la connexion des rseaux sans fils est consommatrice
dnergie. Mme si les priphriques sans fils sont dots de fonctionnalits
leur permettant dconomiser le maximum dnergie, un pirate peut
ventuellement envoyer un grand nombre de donnes (chiffres) une
machine de telle manire la surcharger. En effet, un grand nombre de
priphriques

portables

(assistant

digital

personnel,

ordinateur

portable,) possdent une autonomie limite, cest pourquoi un pirate


peut vouloir provoquer une surconsommation dnergie de telle manire
rendre lappareil temporairement inutilisable, cest ce que lon appelle un
dni de service sur batterie. Dautres techniques peuvent bien mener au
mme rsultat.

1.3-Exemple dune attaque sur les rseaux WiFi : ARP Spoofing


Ettercap est une suite doutils dont le but principal est deffectuer des
attaques par Man In The Middle sur un rseau local. Il peut tre utilis
comme une invite de commandes ou tout en tant une interface
graphique. Une fois plac, il permet de :
Infecter, remplacer et supprimer des donnes dans une
connexion.
Dcouvrir des mots de passe pour des protocoles comme
FTP, http, POP3, SSH1,

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 14

Licence Applique en Sciences et Techniques dInformation et de Communication


Fournir aux victimes de faux certificats SSL dans des
sessions HTTPS.
Etc.
Des plugins sont aussi disponibles pour des attaques comme le DNS
Spoofing (usurpation DNS).
1.3.1-Quest ce quune attaque par man in the middle ?
Cest un type dattaque, lors de laquelle, un pirate place sa machine
sur le chemin logique entre deux autres machines quil veut attaquer. Une
fois dans cette position, il peut alors lancer un grand nombre dattaques,
particulirement dangereuses.
Il y a plusieurs types dattaques pour devenir man in the middle .
Nous allons voir dans cette partie du chapitre, des attaques bases sur le
protocole ARP.
Le protocole ARP est utilis pour traduire des adresses IP (ex :
172.16.112.74) en adresses physiques de carte rseau, autrement dites :
adresse MAC (ex : 00-30-4f-54-40-a7). Quand un quipement essaye
daccder une ressource rseau, il va dabord envoyer des requtes vers
les autres quipements, pour connatre ladresse MAC qui est associe
avec ladresse IP quil veut atteindre. Cet quipement va garder
lassociation IP MAC, comme adresse dans son cache (le cache ARP), et
ce pour acclrer de nouvelles connexions vers cette mme adresse IP.
Lattaque survient, quand une machine demande aux autres, de
trouver ladresse MAC associe une adresse IP. Le pirate va alors
rpondre au demandeur avec des paquets, indiquant que ladresse IP est
associe sa propre adresse MAC. Par ce biais, il va court-circuiter la
vraie rponse dassociation IPMAC venant dune autre hte. Cette
attaque est rfrence en tant quUsurpation ARP (ARP poisoning ou ARP
Spoofing). Elle nest possible que si le pirate et les victimes sont
lintrieur du mme domaine de broadcast qui est dfini au niveau dune
hte par une adresse IP et un masque de sous rseau, dans notre cas :
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 15

Licence Applique en Sciences et Techniques dInformation et de Communication


172.16.112.70

(ladresse

du

point

daccs)

remplacera

ladresse

172.16.112.75 (ladresse de la machine attaquante ou pirate), sachant


que le masque de sous rseau est : 255.255.0.0.
Dans notre projet, nous avons appliqu cette attaque -schmatise ci
dessous- o une machine avec ladresse IP 172.16.112.75, atteint des
ressources Internet partir dun rseau local. Aprs lusurpation ARP, la
machine, effectuant lattaque par Ettercap, sera place en tant que man
in the middle , mettant la machine 172.16.112.72 comme victime
dUsurpation.

Figure 1.2 : Rseau WiFi avant Usurpation


Il est bon de rappeler les informations propos du comportement de la
machine Ettercap aprs ce schma :

Figure 1.3 : Rseau WiFi aprs Usurpation Attaque Man In The Middle : MITM

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 16

Licence Applique en Sciences et Techniques dInformation et de Communication


Chaque fois quEttercap dmarre, il dsactive la redirection IP

(IP

forwarding) dans le noyau, et commence lui-mme rediriger des


paquets. Il peut ralentir les performances rseaux entre les deux htes en
raison du temps de traitement sur sa machine.
Ettercap a besoin des privilges root, pour ouvrir les sockets de la
couche liaison de donnes LLS (Link Layer Sockets). Aprs la phase
dinitialisation, les privilges root ne sont plus ncessaires, Ettercap les
modifie en no body. Si Ettercap doit crire ou crer des fichiers journaux
(log files), il doit tre excut dans un dossier avec les permissions
appropries.
Ainsi, le but de notre dmonstration dEttercap dans ce chapitre, tait
de montrer le danger des attaques man in the middle par Usurpation
ARP. Nous allons maintenant montrer des exemples dattaques ralises
avec Ettercap. Et enfin, nous profiterons de quelques contre-mesures,
inventes pour lutter contre ces attaques par usurpation ARP.

1.3.2- Usurpation de ladresse MAC

Avant deffectuer lattaque, nous avons lanc la commande arp-a, et


nous

avons

trouv

que

ladresse

IP

du

poste

attaquant est:

172.16.112.75. Cest cette adresse qui sera remplace par celle du point
daccs 172.16.112.70. Sachant que le serveur DHCP est configur pour
attribuer automatiquement des adresses IP entre 172.16.112.71 et
172.16.112.90.

La figure suivante, nous donne le rsultat de la commande arp a,


avant que lattaque ait lieu.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 17

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 1.4 : arp avant lattaque


Une fois lusurpation a eu lieu, nous allons la comparer en lanant la
commande arp-a, pour voir la diffrence.
Nous pouvons le vrifier aussi par la commande IP config qui
montre ladresse IP du PC attaquant et son adresse physique, avant
deffectuer lattaque, pour en dduire plutard la diffrence :

Figure 1.5 : Mac relle de lattaquant

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 18

Licence Applique en Sciences et Techniques dInformation et de Communication


On trouve alors Ettercap en mode graphique, et depuis le menu
Sniff, on clique sur Unified sniffing

Figure 1.6 : Unified Sniffing


a mnera lapparition dune liste de choix pour slectionner la
carte rseau travers laquelle on se connecte (dans notre cas WiFi nous
allons slectionner la cl WiFi SAGEM, installe sur le poste du bureau
pour tester laccs sans fils.

Figure 1.7: Carte WiFi attaquante

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 19

Licence Applique en Sciences et Techniques dInformation et de Communication


Ettercap nous affiche ainsi le rsultat suivant :

Figure1.8 : Mac de lattaquant qui sera modifie


On y trouve ladresse IP de la machine en question (lattaquant) et le
masque de sous-rseau, sur lequel elle est configure.
Et nous allons maintenant scanner le sous rseau pour dcouvrir des
htes en cliquant sur le menu Hosts puis sur Scan for hosts.

Figure 1.9 : Dtection des htes connectes pour en choisir la victime


Puis on clique sur le menu Hosts et le sous menu Hosts List : a
nous affichera la liste des adresses IP des machines dtectes sur la
mme plage dadresse. On en slectionnera la passerelle par dfaut (le
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 20

Licence Applique en Sciences et Techniques dInformation et de Communication


point daccs ayant ladresse : 172.16.112.70) et on lajoute target1 en
cliquant sur Add to Target1, son adresse IP sera attribue au PC
attaquant pour remplacer la sienne.

Figure 1. 10 : Target 1
Puis

on

slectionne

la

machine

usurper

empoisonner) :

172.16.112.72 et on lajoute Target 2 en cliquant sur Add to Target 2

Figure 1. 11 : Target 2
N.B : Si on ne choisit aucune machine en cible (Target2), toutes les
machines lintrieur du sous-rseau seront usurpes.
Nous allons maintenant vrifier les cibles (Targets) en cliquant sur
le menu Target puis le sous menu : Current Targets.
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 21

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 1.12.1 : Current Targets


Ca mnera au rsultat suivant :

Figure 1 .12.2: Current Targets


Et maintenant nous allons dmarrer lusurpation en cliquant sur le
menu Mitm puis sur le sous-menu Arp poisonning :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 22

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 1.13 : Arp poisonning


La fentre suivante apparatra alors, pour nous permettre de choisir
le type dattaque :

Figure 1.14: Choix de lattaque


On y slectionne sniff remote connections, et on excute le sniffer
pour collecter des statistiques en cliquant sur le menu Start et le sous
menu start sniffing.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 23

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 1.15 : Start Sniffing


Ca nous affiche ladresse physique du point daccs qui sera
attribue la machine attaquante pour remplacer la sienne et celle de la
victime avec son MAC aussi.
Enfin, en cliquant sur le menu Plugins puis sur chk_poison, a
nous confirmera que lusurpation a bien russi.

Figure 1.16 : Chk_poison successfull


On relance alors la commande arp a de nouveau, pour la comparer
avec celle quon a lance avant lattaque, et a nous donne le rsultat
suivant :
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 24

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 1.17 :Ladresse MAC du point daccs attribue lattaquant


On en dduit donc, que ladresse MAC du point daccs, a t la
mme adresse MAC attribue au PC attaquant, dont ladresse IP est
172.16.112.73.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 25

Licence Applique en Sciences et Techniques dInformation et de Communication


1.4-Les mcanismes de la scurit disponibles pour les rseaux WiFi
1.4.1-Aspects de base de la scurit des rseaux :
La scurit dun systme dinformation consiste mettre en uvre
des protections permettant dassurer les trois proprits suivantes :
1.4.1.1-La confidentialit des donnes : (Protection contre lcriture non-autorise) :
Elle correspond la prvention de la divulgation non-autorise de
linformation.
Assurer la confidentialit, cest faire de sorte que les informations
soient inaccessibles ou incomprhensibles, pour des tiers qui ne possdent
pas les privilges requis.
1.4.1.2-Lintgrit des donnes (protection contre la modification) :
Assurer

lintgrit

des

donnes

consiste

la

prvention

de

modification non-autorise de linformation, par un utilisateur non autoris


le faire, que lopration soit ralise de manire intentionnelle ou non.
1.4.1.3-Disponibilit des services (Dtection dutilisation illgale) :
Laccs et lutilisation des services doivent toujours tre possibles
pour les personnes habilites le faire, dans le temps le plus bref, en
tenant

compte

des

ressources

du

systme.

Toute

utilisation

des

ressources, destine ralentir ou bloquer le systme, doit pouvoir tre


dtecte et contrecarr.1.4.2-Dfinition de lauthentification :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 26

Licence Applique en Sciences et Techniques dInformation et de Communication


1.4.2-Dfinition de lAuthentification
1.4.2.1-Au sens linguistique :

Nom

du

verbe

authentifier,

qui

veut

dire

certifier

la

vrit,

lexactitude de quelque chose.


1.4.2.2- Au sens rseaux de communication :

Lauthentification est une procdure qui consiste, pour un rseau de


communication, vrifier lidentit dune entit (personne, groupe,
ordinateur), afin dautoriser laccs de cette dernire des ressources
(systmes, rseaux, applications).
Lauthentification, dans son sens technologique, permet donc de
valider lauthenticit de lentit en question. Alors que lidentification
revient simplement soumettre une identit que lauthentification est
mme de prouver.
1.4.2.3- Fondement de lauthentification :

Au niveau dun rseau scuris, un utilisateur non-identifi ne doit


pas

pouvoir

se

connecter ;

on

doit

alors

utiliser

un

protocole

dauthentification pour lui vrifier lidentit des entits autorises utiliser


les ressources protges.
Scuriser le systme dinformation est de plus en plus difficile,
surtout lheure o le nombre dapplications et le degr douverture vers
lextrieur croissent.
Dfinir les entits autorises accder au systme dinformation
constitue lune des bases de la scurit. Une telle procdure, dite contrle
daccs, est troitement lie lauthentification dans la mesure o
lidentit des entits autorises doit tre vrifie afin de faire face aux
usurpateurs.
Lauthentification englobe souvent des concepts et des approches
diffrentes.

Il

plusieurs

moyens

dauthentification,

qui

sont

gnralement regroups en trois grandes catgories :

Ce que lon connat : un mot de passe, un code PIN

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 27

Licence Applique en Sciences et Techniques dInformation et de Communication

Ce que lon a : une carte puce, un certificat

Ce que lon est : la biomtrie.

Lauthentification par mot de passe est utilise en grande majorit


dans les systmes scuriss, car elle est la plus simple mettre en place.
Nous verrons nanmoins les autres possibilits dauthentification et les
avantages.
Sachant que les services dfinissent lensemble

des oprations

accessibles par des protocoles, les services dauthentifications regroupent


donc lensemble des oprations pour sauthentifier, quel que soit le
protocole et quelle que soit la couche OSI.
1.4.2.3.1-Chiffrement :

Il implique un mcanisme de distribution de cls et participe


directement divers services : la confidentialit, lintgrit (en permettant
la dtection de la modification des donnes) et lauthentification (en
protgeant le systme contre les tentatives non autorises de connexion).
Il convient de distinguer le chiffrement de voie obtenu par la mise en
place de botes sur les lignes et en laissant les donnes en clair au
niveau des htes et des nuds du rseau.

Figure 1.18 : Chiffrement

Et le chiffrement de bout en bout ait lieu, en laissant en clair


uniquement les informations de routage. Le chiffrement peut tre
symtrique (DED : data encryption standard) ou asymtrique (RSA :
Rivest Shamir Adleman=algorithme de cryptographie)

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 28

Licence Applique en Sciences et Techniques dInformation et de Communication


1.4.2.3.2-Echange dauthentification :

Lorsque les entits homologues et les moyens de communication sont


considrs

comme

srs,

lidentification

de

lentit

homologue

est

suffisante, elle peut tre obtenue par un mot de passe. Ce dernier est
efficace contre les erreurs mais pas contre les malveillances.
1.4.2.3.3-Signature avec ou sans notarisation :

Lorsque les identits se font mutuellement confiance, mais pas au


moyen de communication, il convient demployer une combinaison
demployer une combinaison de mot de passe +

chiffrement pour

sauthentifier mutuellement.
Lorsque

les

entits

nont

pas

confiance

aux

moyens

de

communication, les mcanismes de signature numrique deviennent trs


ncessaires. La notarisation amliore la scurit du systme, dans la
mesure o elles lassurent aux entits, grce un tiers : le notaire, auquel
elles se fient, lintgrit, lorigine, la date, la destination, des donnes.
Le

tiers,

doit

acqurir

les

informations

ncessaires,

par

des

communications protges, et doit aussi les conserver.


1.4.2.3.4-Le contrle daccs :

Il utilise lidentit authentifie des entits ou des informations fiables


pour dterminer leur droit daccs une ressource. Il peut enregistrer
sous forme de trace daudit et signaler toute tentative non autorise
daccs. Il peut mettre en jeu les listes maintenues par des centres ou par
lentit accde : des mots de passe, des jetons utiliss pour distribuer les
droits daccs, des certificats -dis libells -indiquant la sensibilit des
donnes.
1.4.2.3.5- Lintgrit :

Elle sobtient par lutilisation des codes de dtection derreur, des


codes de contrle cryptographique et de la numrotation des units de
donnes.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 29

Licence Applique en Sciences et Techniques dInformation et de Communication


1.4.2.3.6- Bourrage :

Dans certains cas, laccroissement du flux dinformation entre deux


entits, peut tre significatif pour un tiers. Pour sen protger, on effectue
un bourrage de voie. La ligne sera constamment utilise, entre 2
missions de messages dpourvus de sens.
Ces messages inutiles seront limins larrive. Ils devront tre
variables et non identifiables comme message de bourrage par un ennemi.
On utilisera pour cela 1 gnrateur de messages adquat.
1.4.2.3.7- Contrle de routage :
Ce sont les systmes extrmistes ou les rseaux peuvent tre
amens slectionner une route plus sre, aprs dtection dune attaque
persistante, ou pour tenir comte de la sensibilit des donnes.
Conclusion
Dans ce chapitre, nous avons prsent la problmatique essentielle
de notre projet, savoir la scurisation des rseaux WiFi, et ce en
prsentant un aperu gnral sur ce type de rseaux.
Nous avons aussi discut les attaques auxquelles ils sont sujets, en
prenant lUsurpation comme exemple.
Enfin, nous avons discut dune manire sommaire les solutions de
scurit qui sont aptes tre utilises, et ce en focalisant notre intrt sur
les solutions dauthentification au vu des caractristiques des systmes
WiFi.
Dans le chapitre suivant, nous proposerons donc une description
plus dtaille des solutions potentielles.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 30

Licence Applique en Sciences et Techniques dInformation et de Communication

Chapitre 2 : Protocoles dauthentification pour les


rseaux WiFi
2.1-Solutions potentielles :
Les protocoles ou les mcanismes dauthentification dcrits dans ce
chapitre, ont tout dabord t des protocoles de la deuxime couche du
model OSI (appele liaison), puisquils ont t initialiss par le Protocole
PPP qui permet louverture de session sur le rseau RTC. Actuellement, ils
sont galement utiliss dans la couche rseau grce au passage de PPP
PPPoA (over ATM) et PPPoE (over Ethernet) qui sont principalement
utiliss pour ouvrir des connexions ADSL.
Cependant, ces mcanismes sont les briques de nombreux serveurs
et applications dauthentifications comme RADIUS, TACACS+, Kerberos,
2.1.1- PAP
Le protocole PAP (Password Athentication Protocol), utilis avec le
Protocole PPP, permet didentifier un utilisateur auprs dun serveur PPP
en vue dune ouverture de connexion sur le rseau.
Aprs une phase de synchronisation entre le client et le serveur pour
le

dfinir

lutilisation

du

Protocole

PPP

et

PAP,

le

processus

dauthentification se fait en deux tapes :

Le client envoie son nom PAP ainsi que son mot de passe en

clair.

Le serveur qui dtient une table de noms dutilisateurs et de

mots de passe vrifie que le mot de

passe correspond bien

lutilisateur et valide ou rejette la connexion.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 31

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure2.1 : Les 2 tapes d'authentification du protocole PAP


PAP est le plus simple des Protocoles dauthentification, il est donc
trs facile implmenter. Mais tant donn que le mot de passe circule en
clair sur le rseau, cest aussi le moins scuris, il est donc fortement
dconseill. Dautre part, mme si le mot de passe est crypt, il est
toujours possible

dutiliser un sniffer afin de capturer la requte

dauthentification et la rutiliser pour sauthentifier, cest ce quon


appelle : attaque par rejeu.
2.1.2- CHAP
Contrairement au Protocole PAP, le Protocole CHAP (Challenge
Handshake

Authentification

Protocole)

permet

une

authentification

scurise par hachage MD5 (Message Digest 5). MD5 et une fonction de
hachage cryptographique permettant dobtenir lempreinte numrique dun
message partir de laquelle il est impossible de retrouver le message
original. Ainsi, en envoyant lempreinte du mot de passe au serveur, le
client peut montrer quil connat bien le mot de passe sans avoir
rellement lenvoyer sur le rseau.
Aprs le mme type de synchronisation que pour le Protocole PAP, le
mcanisme dauthentification est bas sur un CHALLENGE en 3 tapes :

Le serveur envoie au client un nombre alatoire de 16bits ainsi

quun compteur incrment chaque envoi.

Le client gnre une empreinte MD5 de lensemble constitu

reu puis il envoie cette empreinte.


Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 32

Licence Applique en Sciences et Techniques dInformation et de Communication

Le serveur calcule galement de son cot lempreinte MD5

grce au mot de passe du client stock localement puis il compare son


rsultat lempreinte envoye par le client. Si les deux empreintes sont
identiques, le client est bien identifi et la connexion peut seffectuer
sinon, elle est rejete.

Figure 2.2 : les 3 tapes d'authentification du protocole CHAP


Ce mcanisme dauthentification procure CHAP deux avantages :
Tout dabord, si la requte dauthentification envoye par le client est
intercepte, elle ne pourra pas tre rejoue, en effet chaque empreinte
calcule par le client est unique envoi par le serveur.
Dautre part, lors dune session tablie par le Protocole CHAP, le
serveur envoie rgulirement des challenges au client de faon identifier
son identit, cette mesure de TACACS supplmentaire permet donc de se
prmunir des dtournements de session.
2.1.3- MS-CHAP
MS-CHAP (Microsoft Challenge Handshake Authentification Protocol)
est la version spcifique de CHAP mise au point par Microsoft. Plus quune
simple

version

prioritaire,

MS-CHAP

apporte

galement

quelques

amliorations CHAP. Un des principaux inconvnients de CHAP est que le


serveur doit dtenir les mots de passe des utilisateurs en clair pour
pouvoir vrifier lempreinte MD5 envoye par les clients, ce qui constitue
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 33

Licence Applique en Sciences et Techniques dInformation et de Communication


une vulnrabilit potentielle en cas de compromission du serveur. Pour
remdier cette faiblesse, le Protocole MS-CHAP intgre une fonction de
hachage propritaire permettant de stocker sur le serveur un hash
intermdiaire du mot de passe.
Ainsi, en travaillant uniquement avec ce hash intermdiaire au lieu du
mot de passe, le client et le serveur peuvent raliser le mme type de
procdure que celle du CHAP, ainsi, le mot de passe e clair na plus besoin
dtre stock sur le serveur.
Puis malgr lavance du Protocole MS-CHAP par rapport CHAP,
Microsoft cra une seconde version su Protocole (MS-CHAP-v2) pour
rsoudre deux principales faiblesses de MS-CHAP-v1, dune part le fait que
le client ne puisse pas vrifier lauthenticit du serveur sur lequel il veut se
connecter et dautre part que lalgorithme de hachage propritaire utilis
soit trs vulnrable des attaques par brute-force.
Voici le fonctionnement du processus dauthentification mutuelle
fournit par MS-CHAP-v2 :

Le serveur daccs disant envoie une demande de vrification

au client contenant une identification de session I et une chaine C1


gnre alatoirement.

Le client envoie alors une rponse contenant : son nom

dutilisateur, une chane alatoire C2 et un hash de lensemble form


par la chane C1, lidentificateur de session I et son mot de passe.

Le serveur vrifie la rponse du client et il renvoie une rponse

contenant :

une

chane

indiquant

le

succs

ou

lchec

de

lauthentification, et un hash de lensemble form par 3 lments : la


chane C2, lidentificateur de session I et son mot de passe.

Le client vrifie son tour la rponse dauthentification et tablit la

connexion en cas de russite.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 34

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 2.3 : Les tapes d'authentification du protocole MS-CHAP-v2


Cette mthode dauthentification est bien mutuelle car elle permet
effectivement au client dtre sr de lidentit du serveur car seul le
serveur peut lui renvoyer son mot de passe dans le hash ltape 3.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 35

Licence Applique en Sciences et Techniques dInformation et de Communication


2.1.4- EAP
EAP (Extensible Authentification Protocol) nest pas directement un
mcanisme dauthentification comme le sont PAP ou CHAP, il sagit en
ralit dune extension du Protocole PPP qui a permis duniversaliser et de
simplifier lutilisation des diffrents Protocoles dans le cadre des rseaux
sans fils et les liaisons Point-A-Point. EAP contient une douzaine de
mthodes dauthentification, les plus utilises tant EAP-MD5, EAP-TLS,
EAP-TTLS, LEAP ou encore EAP-AKA pour lUMTS.
Il faut distinguer des types de trafics EAP : celui entre le client et le
point daccs : EAP over LAN (utilisant un mdia 802.11a, b ou g) et celui
entre le point daccs et le serveur dauthentification : EAP over RADIUS.

Figure 2.4 : Diffrents types de trafic EAP

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 36

Licence Applique en Sciences et Techniques dInformation et de Communication


2.2- Services dauthentification applicatifs
2.2.1 RADIUS
RADIUS ou Remote Authentication Dial-In User est une norme de
lIETF

(Internet

Engineering

TASK

Force).

Cest

un

Protocole

dauthentification standard Client / serveur qui permet de centraliser les


donnes dauthentification : Les politiques dautorisations et de droits
daccs,

traabilit.

Ce

processus

doit

tre

reli

une

source

dinformations, qui est souvent un annuaire LDAP.


Auparavant, les noms et les mots de passe des utilisateurs devaient
tre dupliqus sur chaque serveur pouvant tre accd distance (par un
modem RTC par exemple).
Larriv

de

RADIUS

permit

aux

fournisseurs

daccs

Internet

dauthentifier les utilisateurs distants connects, partir dune seule base


utilisateurs. Ce Protocole avait particulirement un sens avant lADSL
illimit, car il permettait de mesurer le temps prcis de connexion des
abonns et facturer en consquence.
Lidentification sur les sites Web peut aussi tre gre par RADIUS.
Apache est sans doute le client RADIUS le plus rpandu (le module
mod_auth_RADIUS permet Apache de valider une authentification en
interrogeant un serveur RADIUS).
Aujourdhui, ce protocole est aussi souvent utilis pour les connexions
Internet sans fils (WLAN -

avec le Protocole

802.1X qui assure

lidentification par port pour laccs un rseau). On le retrouve aussi au


sein de la tlphonie sur IP comme outil de gestion des connexions,
autour du Protocole SIP notamment. Dans ce cas, lannuaire SIP charg
de lauthentification communique avec le serveur RADIUS en utilisant ce
Protocole.
Son fonctionnement est dcrit par la figure suivante :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 37

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 2.3 : RADIUS : EAP-TLS


Nous expliquons les tapes symbolises sur le schma comme suit :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 38

Licence Applique en Sciences et Techniques dInformation et de Communication


1)

EAP START : le client, associ physiquement au point daccs,

envoie un message EAP START : cest sa dmarche daccs directe en


tapant une adresse sur un navigateur web.
2)

EAP REQUEST identity : comme rponse, le point daccs

demande au client de sidentifier, il envoi au client une requte


dauthentification.
3)

Le client rpond alors cette demande didentit qui lui est

attribue par le point daccs, par son identifiant, en tapant son nom
dutilisateur et son mot de passe (login).
4)

Puis, le point daccs transmet la requte EAP (repose) dans

une demande saccs RADIUS : le mme message du client vers le point


daccs est transfr du point daccs vers le serveur RADIUS.
5)

Ainsi, le serveur initie le processus dauthentification et envoie

son certificat qui confirme lappartenance du client au groupe identifi.


6)

La station vrifie le certificat du serveur RADIUS et lui envoie

on certificat.
Le client gnre une valeur alatoire, puis lmet au serveur RADIUS
en la chiffrant avec la cl.
7)

Le point daccs envoie la cl de broadcast avec la cl Wep du

RADIUS.
8)

Maintenant, il y aura des changes de donnes publiques du

serveur RADIUS.
9)

Le serveur RADIUS construit partir de la valeur alatoire une

cl Wep qui est envoye.


10)

Le serveur RADIUS envoie un message RADIUS ACCEPT ou

refuse ou CHALLENGE au point daccs.


11)

Le point daccs envoie un message EAP SUCCESS.

12)

Echange de donnes.

Le Protocole RADIUS prsente nanmoins certaines limites :


Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 39

Licence Applique en Sciences et Techniques dInformation et de Communication

Il a t conu au dpart pour des identifications sur des

liaisons lentes et peu sres. Le choix du Protocole UDP (port 1812)


conduit des changes laborieux bass sur des temporisations de
rmission et des changes daccus de rception.

Scurit relative reposant sur le secret partag. Certaines

implmentations lentes limitent en plus sa taille.

Chiffrement de lattribut User-Password par une fonction de

hachage MD5, plutt rserv pour des oprations de signature.

Le rejeu des rponses du serveur possible.

PAS de mcanisme didentification du serveur. Il est ainsi

possible de se faire passer pour un serveur RADIUS et de rcolter les


noms et mots de passe des utilisateurs.

Les normes qui comptent le Protocole RADIUS sont les

Protocoles dauthentification PAP, CHAP ou EAP.

Microsoft : le service dauthentification IAS pour Windows

Serveur 2000/2003, et NPS (Network Policy Server) pour Windows Server


Vista.

Communaut du libre : Open RADIUS et Free RADIUS.

IAS

(Internet

Authentification

Service)

est

le

service

dauthentification Internet sur Windows 2000 (Serveur IAS) et Windows


Server 2003 (serveur IAS). Cest une implmentation Microsoft du serveur
RADIUS : Le service IAS joue le rle du serveur RADIUS. Il effectue une
authentification, une autorisation et une gestion des comptes centraliss
des connexions pour de nombreux types daccs rseau (accs sans fils,
accs par commutateur dauthentification, accs par connexion distance
et VPN). En tant que proxy RADIUS, le service IAS peut envoyer les
messages dauthentification et de gestion de comptes dautres serveurs
RADIUS.
NPS (Network Policy Server) est limplmentation dun serveur et
proxy RADIUS sur Windows Serveur Vista. Il remplace le service
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 40

Licence Applique en Sciences et Techniques dInformation et de Communication


dauthentification Internet (IAS) de Windows Server 2003. Cette nouvelle
implmentation effectue toutes les fonctions dj prsentes sans fils et
pour les connexions bases sur 802.1X.
De plus, NPS effectue une valuation du bon fonctionnement du
rseau et rserve un accs limit ou illimit pour les clients NAP.
NAP (Network Access TACACS) est une nouvelle TACACS de laccs
rseau dans Windows Server Vista. Il offre de nouvelles possibilits au
niveau stratgie de scurit : Par exemple il peut demander que les
entits du rseau possdent les dernires mises jour du systme
dexploitation et les derniers fichiers de signature antivirus. En fonction de
cela, les entits auront plus ou moins de droits sur le rseau. Ces entits
sont appeles client NAP. NPS prend en charge aussi lenvoi du trafic
RADIUS via IPv6 (RFC 3162).
2.2.2- TACACS+

Figure 2.4.1 : Une des architectures supportes par TACACS


Tout comme RADIUS, TACACS+ (Terminal Access Controller Access
Control System Plus) est un serveur dauthentification permettant de
centraliser les autorisations daccs dans un rseau. Ce Protocole invent
par CISCO Systme a remplac TCACS et X TACACS mais nest pas bas
sur ceux-ci.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 41

Licence Applique en Sciences et Techniques dInformation et de Communication


TACACS+ supporte diffrents types darchitectures, par exemple, si
un utilisateur utilise une connexion point point, cest le serveur daccs
qui va jouer le rle de client TACACS+pour interagir avec le serveur.

Figure 2.4.2: Terminal Access Controller Access Control System Plus


En revanche, si lutilisateur utilise une connexion WiFi, cest le point
daccs qui va jouer le rle de client TACACS. Dautres parts, TACACS peut
tre utilis pour sauthentifier sur un matriel CISCO, Cest ce dernier qui
va interroger le serveur RADIEUS
La

particularit

de

TACACS+

par

rapport

aux

serveurs

dauthentification traditionnelle est a sparation Protocolaire des trois


fonctions AAA (Authentication, Authorization, Accounting). En effet,
TACACS+permet dutiliser des technologies diffrentes, que ce soit pour
dterminer lidentit dune personne, de dterminer ses droits, ou encore
de grer lenregistrement des logs.
La phase dauthentification peut supporter plusieurs Protocoles
comme des technique de type PAP (login mot de passe) ou encore
TACACS+, une session suit toujours le mme Protocole : le client envoie
une requte START au serveur dcrivant le type de session initi, plus
initie, puis, de paires de messages de types REQUEST>REPONSE
contenant

des

paires

Ften RIDENE & Adel RAISSI

attributs-valeur.

Authentification dans les Rseaux Wifi

La

RFC
2010-2011

ne

dfinit
Page 42

Licence Applique en Sciences et Techniques dInformation et de Communication


dimplmentation spcifique pour le stockage des informations relatives
aux comptes utilisateur le serveur TACACS+peut aussi bien utiliser des
fichiers systmes (/ etc. / passwd), des bases de donnes, des cartes
puce ou encore dautres serveurs dauthentification comme Kerberos.
TACACS+ est donc un serveur dauthentification relativement simple
mais il couvre quand mme lensemble des fonctions AAA et de plus il
peut

sintgr

tout

type

dinfrastructure

de

part

sa

libert

dimplmentation.
2.2.3- Kerberos

Figure 2.5 : Etapes dAuthentification KERBEROS


Lgende de la figure 2.5 :

Le client a sa propre cl prive Kc.

Le serveur a sa propre cl prive Ks.

Le TGS a sa propre cl prive KTGS et connat la cl prive du

serveur Ks.

LAS connat les cls prives du client et de TGS.

TGS et AS sont deux entits de confiance.

Kerberos est un Protocole dauthentification rseau standardis par


lIETF. Lobjectif de Kerberos est double : scuriser un change sur un
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 43

Licence Applique en Sciences et Techniques dInformation et de Communication


rseau non scuris et avoir une authentification fiable de lutilisateur. Il
est bas sur deux entits :

Le serveur dauthentification (AS : Authentication Server) qui

prend en charge toute la partie authentification pur du client. Cest lui


seul qui peut permettre au client de communiquer au TGS (grce un
ticket daccs).

Le serveur de distribution de tickets TGS : Ticket Granting

Server) prend en charge les demandes daccs aux services des clients
dj authentifi. Lensemble des infrastructures serveur de Kerberos AS
et TGS est appel le centre de distribution de cls (KDC : Key
Distribution Center). Ils sont gnralement regroups sur le mme
serveur.
Dans Kerberos, tous les tiers doivent prouver leur identit : on utilise
des mcanismes dauthentification mutuelle. Le Protocole est bas sur des
tickets horodats et chiffrs. Les changes reposent sur un systme de
cryptographie (algorithme DES) base de cls symtriques.
Kerberos partage avec chaque client du rseau une cl secrte faisant
office de preuve didentit.
Le client dsire accder au serveur pour obtenir un service. Ce
serveur est reprsent dans la figure 2.7 par lApplication Server.
AS_ REQ : le client sidentifie auprs de lAS laide dun

mot de passe ou dune carte puce.


LAS vrifie dans sa base (par exemple AD) que me

client existe. Il gnre une cl de session Kc, TGS.


Puis il envoie au client AS_REP :

Une

mot

cl de session Kc, TGS chiffre avec Kc, qui fera office de

de

passe

temporaire

pour

chiffrer

les

communications

suivantes.
Un

ticket daccs T1 au service de dlivrement de ticket,

chiffr avec KTGS (que le client ne peut donc pas chiffrer). Il


Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 44

Licence Applique en Sciences et Techniques dInformation et de Communication


contient notamment lheure de lopration, sa dure de validit,
ladresse de la machine cliente ainsi que la cl de session Kc, TGS.
TGS_REQ : le client fait une demande de ticket auprs

du TGS. Le client lui transmet :


Le
Un

ticket daccs T1 que lAS lui avait donn.


identifiant contenant des informations sur le client avec la

date dmission, chiffres avec la cl de session Kc,TGS.

Le TGS :
Dchiffre

avec se cl, le ticket daccs T1. Il obtient la cl de

session Kc,TGS. Le TGS est maintenant certain que le client a bien


obtenu le T1 de lAS.
Dchiffre

alors

les

informations

que

le

client

avait

prcdemment chiffres avec la cl de session. Il vrifie que la


dure de la validit est correcte. Puis le TGS_REP qui comprend :
Un

ticket T2 pour accder au serveur dapplication. Il est

chiffr avec la cl priv de ce serveur Ks.


Une

seconde cl de session Kc, les communications entre le

serveur et le client. Cette cl a t chiffre avec la cl initiale


Kc,TGS.

Kc,TGS.

Le client dchiffre la seconde cl de session Kc,s avec


Il

envoie

AP_REQ

au

serveur

dapplication

deux

informations :

Un

nouvel identifiant chiffr avec Kc,s.

Le

ticket daccs T2.

Le serveur dapplication vrifie que le ticket est valide en

dchiffrant T2 avec Ks. Il obtient Kc,s. Le serveur peut alors vrifie la

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 45

Licence Applique en Sciences et Techniques dInformation et de Communication


cohrence entre les deux informations. Par exemple il vrifie que la
demande est conforme ce qui est autoris par le ticket. Une rponse
positive ou ngative AP_REP est envoye au client.
Les points forts de Kerberos :
Le

transit des mots de passe sur le rseau est chiffr. Il permet aux

utilisateurs de sauthentifier une fois pour toutes lors du login. Ils pourront
aprs utiliser tous les services daccs distance sans avoir fournir
chaque fois leur login et mot de passe. Ils sont en fait toujours
authentifis de manire transparente par Kerberos pour eux.
Sparation

des rles : lAS et TGT. Cest la base de Kerberos. Mais

dans la ralit, ces deux rles sont regroups en une mme entit (KDC).
Impossible

de rejouer un change deux fois de la mme manire

(grce au timestamps).
Les
Le

points faibles de Kerberos :

chiffrement symtrique ncessite un partage des cls entre lAS

et le client.
Les

horloges doivent tre parfaitement synchronises : en effet,

lanti-rejeu sappuie sur le timestamps .


Lauthentification

mutuelle nest pas disponible lors du premier

change entre lAS et le client. Le client ne peut pas certifier que lAS et
bien celui quil prtend tre.
En revanche, le client

peut exiger que le serveur dapplication

sauthentifie son tour (lors de la dernire tape). Ce dernier sexcute en


renvoyant la date courante (plus rcente que celle du prcdent message
du client) chiffre avec Kc,s. Etant donn que seuls le client et le serveur
connaissent Kc,s, le client peut raisonnablement penser que cest bien le
serveur qui lui rpond.
Kerberos est le mcanisme dauthentification par

dfaut dans

Windows pour vrifier lidentit dun utilisateur ou dun ordinateur. Les

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 46

Licence Applique en Sciences et Techniques dInformation et de Communication


rles de lAS et TGS sont pris en compte par le contrleur de domaine, en
sappuyant sur lannuaire Active Directory.
Suite cette tude comparative, nous avons prfr dessayer
RADIUS comme protocole, travers lequel, nous essayerons de mieux
scuriser le rseau sans fil de SupCom. Cest ce que nous expliquerons
avec plus de dtail dans le chapitre suivant, qui montre notre tude de
cas.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 47

Licence Applique en Sciences et Techniques dInformation et de Communication

Chapitre 3 : Etude de cas


3.1- Architecture de la solution propose :
Aprs avoir tudi, et compar les trois protocoles mentionns dans
le chapitre prcdent, savoir TACACS, KERBEROS et RADIUS, nous
avons choisi ce dernier, pour raliser et atteindre le but principal de notre
projet : amliorer le rseau WiFi en garantissant le maximum possible de
scurit.
Pour ce fait, ltablissement daccueil SupCom nous a fourni les
quipements ncessaires pour mettre en place un rseau test, il sagit de :

4 ordinateurs de bureaux dans le laboratoire cisco2 avec Windows

XP SP3 comme systme dexploitation valable pour le serveur et les clients

3 cls USB-WIFI, pour les tester comme des clients WiFi (laptops)

1 point daccs Planet Wap-4000

Les cbles -paires torsades- dont nous avons fait des cbles directs

(grce aux pinces et connecteurs RJ45)


3.1.1- Rseau WiFi de SupCom :
SupCom dispose dune couverture WiFi, laquelle les tudiants, les
personnels et les visiteurs peuvent avoir accs libre mais scuris,
plusieurs points daccs sont disponibles :

Au niveau des amphis

Au niveau de ladministration

Au niveau des labos Cisco

Au niveau des salles de Confrences

Un accs au rseau WiFi peut tre accord galement des


personnes extrieures, provisoirement, lors de l'organisation d'un colloque
ou dun challenge par exemple. De mme, une couverture WiFi provisoire
peut tre mise en place, lors de l'organisation d'un vnement.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 48

Licence Applique en Sciences et Techniques dInformation et de Communication


3.1.2-Pr-requis
Pour se connecter au rseau WiFi, lutilisateur doit tre quip d'un
ordinateur contenant une carte WiFi, intgre pour les gnrations
actuelles des ordinateurs, en ajoutant une carte PCMCIA si le WiFi nest
pas intgr, ou simplement en branchant une cl WiFi son poste.
3.1.3- Actions

Se connecter au rseau sans fils portant le nom du point

daccs le plus proche

Lancer un navigateur

S'authentifier sur la fentre de connexion qui apparat

3.1.4- Utilisations possibles ?

Navigation web et consultation de la messagerie lectronique

Mise jour du systme dexploitation dont le client dispose

Transfert de fichiers (selon les droits autoriss)

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 49

Licence Applique en Sciences et Techniques dInformation et de Communication


3.2- Description du rseau de test :
3.2.1- Configuration du point daccs WiFi :
Nous avons alors mis en place ce rseau WiFi -minimis-, en
branchant le point daccs par un cble direct, qui connecte le point
daccs une prise RJ45 du laboratoire, ou mme tout en tant branch
directement au Switch de ce labo.
Pour configurer ce point daccs WiFi, nous devons lui ajouter les
paramtres suivants :

SSID ou ESSID : cest le Service Set IDentifier. En WiFi, cest

un identifiant de 32 caractres, propre chaque rseau et qui est prsent


en tte des messages. Le SSID dsigne le rseau auquel est attach le
poste.
Son type dutilisation, dans notre cas il sagit dun point daccs
Son nom, nous lavons nomm WAP-4000 comme a marque
lindique
Et bien videmment son identifiant unique : son adresse mac,
qui lui est attribue par dfaut depuis le fournisseur.

La figure suivante nous montre la configuration et le paramtrage de


notre point daccs :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 50

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.1 : Paramtrage du point daccs


Puis, nous avons effectu le paramtrage IP, configurant notre point
daccs comme un serveur DHCP, qui attribue les adresses IP aux clients
automatiquement, tout en tant limit une plage dadresse bien
dtermine : 172.16.112.71 jusqu 172.16.112.99, et ce pour viter le
conflit dadresses, puisque la plage 112 est utilise dans les labos cisco.

Figure 3.2 : Paramtrage de ladressage IP

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 51

Licence Applique en Sciences et Techniques dInformation et de Communication


Nous rappelons que les adresses 172.16.112.70 et 172.16.112.71 ne
sont pas incluses dans la plage dadressage DHCP, car elles sont dj
attribues au point daccs et au serveur Radius.
Maintenant, nous allons paramtrer le 802.1X : cest un standard li
la scurit des rseaux informatiques, mis au point en 2001 par l'IEEE
(famille de la norme IEEE 802), qui

permet de contrler l'accs aux

quipements d'infrastructures rseau.

Figure 3.3 : Paramtrage 802.1x


N.B : ce paramtrage ne peut tre effectu que si le point daccs
est branch directement au rseau grce un cble direct, nous pouvons
leffectuer en utilisant son driver, ou mme en utilisant ladresse IP qui lui
est attribue par dfaut de la part du fabriquant, qui est gnralement
192.168.1.1, en saisissant cette adresse dans la barre dadresses du
navigateur web. Et dans notre cas, nous avons remplac 192.168.1.1 par
172.16.112.70 en configurant le point daccs.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 52

Licence Applique en Sciences et Techniques dInformation et de Communication


3.2.2- Configuration du serveur Radius :
Parmi les buts principaux de notre projet, nous avons voulu prouver
que nous navons pas besoin dun systme dexploitation serveurcomme Windows 2003 ou 2008 server ou Windows NT, ces versions des
systmes dexploitation de serveurs, contiennent Radius par dfaut dans
le dossier systme I386, il nest pas install automatiquement avec le
systme dexploitation, mais peut tre ajout par la suite en activant des
fonctionnalits Windows.
Pour utiliser comme serveur un poste contenant Windows XP Sp3
comme OS, nous devons alors ajouter un programme qui nous permettra
de le rendre un serveur dauthentification, nous avons alors choisit
ClearBox Enterprise Server 5.6.
Aprs lavoir install, nous devons configurer notre serveur Radius, au
dbut, nous avons suivi le WIZARD, tape par tape, lajout de notre point
daccs comme client se fait ainsi :

Figure 3.4 : Configuration Radius travers son Wizard

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 53

Licence Applique en Sciences et Techniques dInformation et de Communication


Mais suite aux nombreuses applications que nous avons effectues,
aux fautes que nous avons appris ne plus commettre, nous nous
sommes habitus effectuer la configuration et le paramtrage nous
mme, sans avoir besoin du Wizard ; ainsi, nous sommes passs par les
tapes suivantes :
Aprs avoir fouill le Help de ClearBox Enterprise Server 5.6, nous
avons commenc par la configuration du serveur (le poste contenant
Windows XP SP3 comme OS), et ce en ajoutant un nouveau client Radius :
la bote de dialogue ci-dessous permet de mettre en place un nouveau
client Radius, travers lequel, les demandes dauthentification seront
envoyes au serveur : il sagit de notre point daccs WiFi baptis sous le
nom WAP-4000 et ayant comme adresse IP : 172.16.112.70

Figure 3.5 : Ajout du point daccs WiFi sur ClearBox


Puis nous devons slectionner un certificat, afin de fournir des
services de scurit rseau de confiance aux clients sans fils ; le serveur
ClearBox enverra ainsi son certificat numrique obligatoire, sachant que
le canal TLS est tabli dans tous les protocoles WAP (PEAP, EAP-TLS,
etc.) : cest ce qui est requis pour que lauthentification russie.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 54

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.6 : Choix des protocoles dauthentification autoriss


Nous allons maintenant choisir le type de base de donnes dans
laquelle nous allons intgrer pour chaque utilisateur que nous allons
authentifier : un user name, un password et ladresse mac du laptop
depuis lequel il va se connecter, et puisque notre cas de test sera limit
un petit nombre dutilisateurs cr : les 3 cls WiFi que SupCom nous a
fourni et notre pc portable contenant le WiFi intgr, nous allons reporter
donc le choix du type de la base de donnes que nous allons utiliser,
quand nous passerons en cas rel, car nous aurons besoin dun type de
base de donnes qui supporte un grand nombre dutilisateurs : les
tudiants dune cole suprieure, le personnel, les visiteurs et les
utilisateurs temporaires durant des confrences ou des sminaires, en
attendant que notre projet voit le jour et entre en vigueur, nous allons
choisir Microsoft Access comme type de base de donnes, dans laquelle
nous allons saisir les identifiants uniques des cls WiFi dont nous
disposons pour notre projet.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 55

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.7 Choix du type de base de donnes


Une fois la base de donnes cre et enregistre sur le serveur
radius, nous commenons lajout des utilisateurs.
Il faut noter que nous pouvons crer plusieurs types dutilisateurs,
selon le degr de libert dont il bnficieront, en autorisant des
applications et des sites et en bloquant dautres.
Sur cette liste dj cre pour deux cls WiFi, nous ajoutons ma
carte WiFi intgre en suivant ces tapes :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 56

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.8 liste des adresses mac dj configures

Figure 3.9 ajout dun nouvel utilisateur

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 57

Licence Applique en Sciences et Techniques dInformation et de Communication


Nous ajoutons dabord les informations de lutilisateur, le nom
dutilisateur et le mot de passe que nous lui attribuons, le mot de passe
peut tre attribu manuellement ou automatiquement (bouton generate).
Nous allons maintenant ajouter ladresse mac de la carte WiFi
authentifier :

Figure 3.10 : ajout de ladresse MAC (id unique du client)


Aprs avoir insr la liste des utilisateurs, nous allons crer le
certificat du serveur :

Figure 3.11 : Cration du certificat serveur

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 58

Licence Applique en Sciences et Techniques dInformation et de Communication


Nous attribuons alors un nom de domaine notre serveur :
certif.SupCom.rnu.tn, un mot de passe qui crypte la cl prive, nous
serons appels entrer ce mot de passe plutard, le certificat sera donc
valide pendant 365 jours ou, une fois expir, il doit tre renouvel :

Figure 3.12 : Insertion des informations du serveur

Figure 3.13 : Insertion des informations de localisation du serveur

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 59

Licence Applique en Sciences et Techniques dInformation et de Communication


Nous allons maintenant sauvegarder le certificat :

Figure 3.14 : Sauvegarde du certificat


Cela signifie que la racine et les certificats de serveur CA ont t
crs avec succs

Figure 3.15 : Succs de cration du certificat du serveur

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 60

Licence Applique en Sciences et Techniques dInformation et de Communication


La dernire tape consiste slectionner le certificat du serveur
dans le configurateur, nous le lanons alors en slectionnant TLS Server
Settings, puis en cliquant sur Select certificate :

Figure 3.16 Succs de cration du certificat du serveur


Nous cliquons alors sur apply changes , enregistrons les
modifications travers la barre doutils, et nous redmarrons le service
ClearBox.
N.B :nous ne devons jamais supprimer les fichiers de certifications
crs, et surtout, nous devons garder ca.pem priv (il vaut mieux limiter
les autorisations daccs, et laisser seulement ladministrateur y accder).
Afin de fournir des services de scurit rseau de confiance aux
clients sans fils, ClearBox Server doit tre en mesure de sidentifier aux
clients

cryptographiquement ,

il

leur

envoie

alors

son

certificat

numrique au cours de leurs tentatives de connexion. Nous allons alors


crer une demande de certificat de serveur.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 61

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.17 : Cration de demande de certificat serveur


Aprs avoir introduit les informations relatives au serveur, nous
allons enregistrer la demande de signature de certificat ainsi que la cl
prive :

Figure 3.18 : enregistrement de demande de signature du certificat


Le succs de lenregistrement du certificat sera confirm, et nous
devrons, une fois que ce certificat est reu, linstaller aussi bien que la cl
prive dans la machine client.
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 62

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.19 : Succs de lenregistrement de la demande de signature du certificat


Aprs avoir cr le certificat, nous allons procder linstaller, nous
relanons alors

le gestionnaire des certificats, et slectionnons la

troisime tape :

Figure 3.20 : 3me tape de certification


Nous allons alors

spcifier la localisation des deux fichiers : le

certificat et la cl prive qui ont t enregistrs prcdemment, en y


ajoutant le mot de passe de la cl prive que nous avons dj attribu
Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 63

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.21 : Slection du chemin du certificat et de la cl


En cliquant alors sur le bouton suivant, nous allons trouver que le
certificat du serveur Radius est bien install et prt lemploi.
Maintenant, nous allons crer le certificat client : certains protocoles
d'authentification,

comme

EAP-TLS,

exigent

que

l'utilisateur

doive

prsenter son certificat numrique un serveur d'authentification pour


s'identifier. Cela conduit la ncessit d'une infrastructure cl publique
qui exige un certificat numrique pour le seul serveur. Quoi qu'il en soit, si
nous prvoyons d'utiliser EAP-TLS, un certificat client peut tre obtenu
auprs des autorits de certifications existantes. Pourtant nous avons cr
notre propre autorit de certification et avons mis le certificat du serveur
nous-mmes.

Nous relanons alors lassistant de certificats et slectionnons la 4 me


option :

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 64

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.22 : cration de certificat client


Et en spcifiant

le mot de passe du certificat dauthentification

racine, nous allons commencer introduire les informations personnelles


du client, son mot de passe, son adresse mail, un mot de passe et un
dlai de validit du certificat attribu : a peut tre 3ans (dure dtudes
SupCom), un an seulement, si nous voulons renouveler les certificats par
anne universitaire, ou une dure de droit daccs temporaire pour le
visiteur (variant entre 1 et 30 jours).

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 65

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.23 : insertion des informations du client


Puis nous indiquons le chemin o ce certificat sera enregistr

Figure 3.24 : enregistrement du certificat client

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 66

Licence Applique en Sciences et Techniques dInformation et de Communication


Nous portons par la suite cette cl sur un priphrique de stockage,
et linstallons sur le poste du client, ce serait effectu pour chaque client,
aprs lavoir cr dans la base de donnes clients, et ce en suivant ces
tapes :

Figure 3.25.1 : Etapes dimportation du certificat sur chaque poste client

Figure 3.25.2 : Etapes dimportation du certificat sur chaque poste client

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 67

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.25.3 : Etapes dimportation du certificat sur chaque poste client

Figure 3.25.4 : Etapes dimportation du certificat sur chaque poste client

Figure 3.25.5 : Etapes dimportation du certificat sur chaque poste client

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 68

Licence Applique en Sciences et Techniques dInformation et de Communication

Figure 3.25.6 : Etapes dimportation du certificat sur chaque poste client


Une fois limportation de la cl est termine, nous allons tester que
la connexion seffectue bien en authentifiant un client.Nous lanons alors
la dtection des connexions WiFi disponibles, notre point daccs est bien
dtect, nous lavons configur au dbut en lui attribuant comme nom :
PFE-AUTHENTIFIC, pointant par cette abrviation sur le sujet de notre
projet de fin dtudes.

Figure 3.26 : dtection de notre point daccs

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 69

Licence Applique en Sciences et Techniques dInformation et de Communication


Aprs avoir choisi le point daccs, on voit apparatre une notification
qui confirme quil sagit dun rseau WiFi parfaitement scuris.

Figure 3.27 : notification pour authentification notre point daccs


Et en cliquant dessus, une fentre dans laquelle nous allons saisir le
nom dutilisateur et le mot de passe du client sans fils apparaitra

Figure 3.28 : authentification dun utilisateur


Une fois authentifi aprs la vrification du serveur, nous sommes
bien connects en scurit et nous pouvons naviguer sur internet.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 70

Licence Applique en Sciences et Techniques dInformation et de Communication

Conclusion
Pour proposer un bon mcanisme de scurit dun WiFi, comme
solution contre les points faibles dont souffre un rseau acadmique,

il

nous a fallu penser une issue qui sadapte avec larchitecture du rseau
existant, tout en tenant compte de la durabilit, lvolution et la fiabilit
de cette solution, assez bien en termes techniques que conomiques. Pour
cela, nous avons pens mettre en place un serveur Radius, pour
scuriser notre

petit rseau de test, avant de passer le mettre en

uvre sur le grand rseau de notre socit daccueil SupCom.


Pour entamer ce travail, il nous a fallu faire des recherches,
demander laide et bien sr faire des tentatives pour bien comprendre ce
mcanisme de scurit.
Les solutions qui prsentent le rsultat de nos recherches, exigeaient
toujours dutiliser le protocole Radius sur un systme dexploitation
serveur comme le 2003 ou le 2008 server.
Pour prouver notre aptitude, nous avons perptuellement considr,
le fait daccomplir des sujets dj raliss, comme une application et non
pas un projet. Il nous a donc fallu penser une certaine innovation : il
sagit dinstaller

un Serveur Radius sur un systme dexploitation client

comme Windows XP, en ayant uniquement besoin dajouter lempreinte


serveur travers ClearBox : cest une application 32-bit crite en C + +,
qui offre la fiabilit et d'excellentes performances sur les plateformes
Windows.
Nous avons rencontr plusieurs difficults pour matriser cette
application, mais y avoir recherch et travaill pendant quatre mois, nous
a donn loccasion de bien voluer nos connaissances et capacits dans le
domaine des scurits rseau, et principalement une forte scurit sur les
rseaux sans fils acadmiques.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 71

Licence Applique en Sciences et Techniques dInformation et de Communication


Cest une solution trs fiable nos jours mais ce nest pas le cas pour
toujours, vu la progression trs rapide de linvention des mthodes
dattaque et dautres mthodes de dfonce en informatique : rechercher
une solution transitoire , nous a donc appris que nous devons tre
jour avec les progrs du domaine TIC, et cest ce que nous ferons pour
nos prochaines tudes et recherches.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 72

Licence Applique en Sciences et Techniques dInformation et de Communication

Glossaire
A.
AAA

Authentication, Authorization, Accounting

ADSL

Assymetric Digital Subscriber Line

ARAP

APPLE Talk Remote Access Protocol

ARP

Address resolution protocol

AS

Authentication Server

b.
C.
CA

Certificate authority

CHAP

Challenge Handshake Authentication Protocol

CSMA/CA

Carrier Sense Multiple Access with Collision Avoidance

D.
DES

Data Encryption Standard

DHCP

Dynamic Host Configuration Protocol

E.
EAP

Extensible Authentication Protocol

EAP-AKA

Extensible Authentication ProtocolAuthentication and Key Agreement

EAP-TLS

Extensible Authentication Protocol-

EAP-TTLS

Extensible Authentication Protocol-

Transport Layer Security


Tunnelled Transport Layer Security

F.
FTP

File Transfer Protocol

G.
GPRS

General Packet Radio Service

GPS

Global Positionning System

GSM

Global System Mobile

H.
HTTP

Hypertext Transfer Protocol

I.
IAS

Internet Authentication Service

IEEE

International Engineering of Electronics


And Electrics

IETF

Internet Engineering Task Force

IP

Internet Protocol

ISO

International Organization of
Standardisation

J.
K.
KDC

Key Distribution Center

L.
LDAP

Lightweight Directory Access Protocol

LEAP

Lightweight Extensible Authentication Protocol

LLS

Link Layer Sockets

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 73

Licence Applique en Sciences et Techniques dInformation et de Communication


M.
MAC (adresse)

Media Access Control address

MD5

Message Digest 5

MITM

Man In The Middle

MSCHAP

Microsoft Challenge Handshake


Authentication Protocol

N.
NAS

Network Access Server

NPS

Network Policy Server

O.
OSI

Open System Interconnection

P.
PAP

Password Authentication Protocol

PCMCIA

Personal Computer Memory Card


International Association

PIN

Personal Identification Number

POP3

Post Office Protocol

PPP

Point to Point Protocol

PPPoE

Point to Point Protocol over Ethernet

Q.
R.
RADIUS

Remote Authentification Dial-In User Service

RJ45

Registred Jack (une prise Jack enregistre)

RTC

Rseau Tlphonique Commit

S.
SSH

Secure Shell

SSID

Service Set Identifier

T.
TACACS

Terminal Access Controller AccessControl System

TGS

Ticket Granting Service

U.
UDP

User Datagram Protocol

UMTS

Universal Mobile Telecommunications System

USB

Universal Serial Bus

V.
VPN

Virtual Private Network

W.
WAP

Wireless Access Point

WiFi

Wireless Fidelity

WLAN

Wireless Local Area Network

WPA

WiFi Protected Access

X.
Y.
Z.

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 74

Licence Applique en Sciences et Techniques dInformation et de Communication

Webographie
http://www.google.tn
http://www.supcom.mincom.tn/
http://fr.wikipedia.org

http://fr.wikipedia.org/w/index.php?title=Sp%C3%A9cial:Recherche&search=
Clear+Enterprise+Server%E2%84%A2+5.6&ns0=1&redirs=0

http://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service

http://fr.wikipedia.org/wiki/Arp

http://fr.wikipedia.org/wiki/Man-in-the-middle

http://fr.wikipedia.org/wiki/RADIUS_(informatique)

http://www.commentcamarche.net
http://www.faqword.com
http://www.google.com/language_tools?hl=fr
http://www.gaudry.be/kerberos.html
http://forum.pcastuces.com
http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf
http://wareseeker.com/Security-Privacy/clearbox-enterprise-radius-server5.6.zip/7f2b5c856
http://www.01net.com
http://www.clubic.com/forum/reseaux-WiFi-lan/serveur-radius-sur-windows-7-id777036page1.html
http://www.cnam.nat.tn/e-cnam/pages/
http://www.commentcamarche.net/contents/authentification/radius.php3
http://www.infos-du-net.com/forum/285970-8-attaque-WiFi
http://www.supcom.mincom.tn/
http://www.xperiencetech.com/radius_manual/realmlogger.html
http://ettercap.sourceforge.net/
http://forums.cnetfrance.fr/topic/166226-probleme-radius-WiFi/
http://freeradius.org/

Ften RIDENE & Adel RAISSI

Authentification dans les Rseaux Wifi

2010-2011

Page 75

epuis ses origines, lhomme a eu besoin de communiquer, et surtout de


scuriser sa communication ; pour cela, il mit au point des codes, des
alphabets, des langages Paroles, gestes de la main, ombres, signaux

de fume, TAM-TAM, documents manuscrits, imprims et maintenant sous format


numrique en garantissant toujours la scurit de cette information par diffrents
moyens, en utilisant des symboles, en protgeant le message durant son passage par le
canal de transmission : (retour du pigeant avec une rponse, un recommand avec
accus de rception en poste, et maintenant, nous parlons de cryptage des messages..)
La manire de vhiculer un message et dassurer sa scurit en confirmant que
cette information na pas t attaque par un tiers, outre lexpditeur et le
destinataire, progresse de jour en jour. Le souci de lhomme nest donc plus comment
vhiculer un message, mais comment le maintenir en scurit lors de son transfert, le
protgeant ainsi contre tout accs illgal et tout risque dattaque et de modification
Ce souci est dautant plus important dans les rseaux sans fils o laccs est universel.
Dans les zones pitonnes, les aroports et les gares, mais aussi la maison, dans une
universit Les points daccs Wifi sont de plus en plus nombreux et les rseaux sans
fil font dsormais partie de notre quotidien. Ils permettent un accs ais, mais non
scuris.
Dans ce projet, nous nous sommes intresss tudier lauthentification dans
les rseaux sans fil, et plus particulirement le rseau WiFi de SupCom. Nous avons
donc identifi les solutions potentielles, permettant de subvenir ce besoin, ayant
retenu linstallation dune plateforme RADIUS comme solution.
Nous avons aussi mis en vidence, la vulnrabilit des rseaux sans fils, en
ralisant une attaque dusurpation didentit.
Finalement, nous avons mis en place une solution qui protge le rseau WiFi de
SupCom, contre cette attaque.
Alors attachez vos ceintures, et bonne lecture

Vous aimerez peut-être aussi