Académique Documents
Professionnel Documents
Culture Documents
Mise en Place D'un Réseau Wifi Avec Authentification Basée Sur Des Certificats PDF
Mise en Place D'un Réseau Wifi Avec Authentification Basée Sur Des Certificats PDF
-Hdider Makram
et de communication)
A.U 2010-2011
Projet de fin dtudes : LA en sciences et techniques de linformation et de communications
DEDICACES
travail :
Mes parents ;
La famille DAGHSEN ;
profond respect ;
Mes amis ;
delhamma ;
DEDICACES
travail :
Mes amis ;
HDIDER Makram
Projet de fin dtudes : LA en sciences et techniques de linformation et de communications
REMERCIEMENTS
SOMMAIRE
1- Cration
2- Organigramme
Le directeur de lISSTEG est celui qui veille dune part sur la direction
administrative et financire et dautre part sur le ct scientifique et
pdagogique de ltablissement.
INTRODUCTION GENERALE
PARTIE I : ETUDE
THEORIQUE
INTRODUCTION
- Hdider Makram
TITRE DU PROJET :
Mise en place dun rseau Wifi avec authentification base sur des
certificats
DESCRIPTION DU PROJET :
- Caractristiques principales du rseau implmenter,
- Etude de diffrentes solutions techniques et choix de la
solution,
- Rflexion sur larchitecture et le fonctionnement du rseau
- Installation effective du rseau
- Mise en route du rseau
TRAVAIL DEMANDE :
- Etude bibliographique
- Conception
- Ralisation
- Rapport
Le dploiement d'un rseau sans fil Wi-Fi doit passer par une tude
dtaille des solutions existantes pour tre en accord avec les principes
voques dans le cahier de charge.
a- Le mode de fonctionnement
b- La norme de Wi-Fi
- 802.11a
- 802.11b
- 802.11g
La scurit des rseaux sans fil est l'lment essentiel qui dcourage
plusieurs personnes de dployer cette technologie. En effet, les ondes
radios ne pouvant pas tre rserves dans un espace dlimite,
n'importe quelle personne se trouvant porte de ces ondes peut s'y
connecter et utiliser le rseau des fins malfaisantes. Ainsi, il est
essentiel de dployer de gros moyens pour scuriser notre rseau sans
fil Wi-Fi. Pour cela on a ainsi retenu les points suivants:
Son but est l'authentification d'un utilisateur sur un rseau non ouvert,
car dans un premier temps, dans ce type de rseau, seul les trafics EAP
sont permis (pour permettre l'authentification). Ce n'est qu'aprs
authentification que le rseau est ouvert. Une mthode
Nous avons opt pour la seconde mthode car elle augmente le niveau
de scurit.
c- Le serveur.
Nous l'avons choisi car il inclut la gestion des certificats, il dispose d'un
serveur RADIUS intgr sous le nom d'IAS (Internet Authentication
Service) pouvant grer un nombre infini de clients RADIUS; les couples
login/mot de passe pourront tre grs avec l'annuaire Active Directory.
Description :
2- Conception logique
Le diagramme ci-dessous
dessous illustre la conception de la solution
solution choisie
(authentification EAP-TLS
TLS 802.1X).
EAP-TLS 802.1X
PARTIE II : ETUDE
PRATIQUE
Par l'outil " Grer votre serveur " situ dans les outils d'administration.
Aprs ajouter
outer un rle notre serveur, on choisit Serveurs d'application
(IIS, ASP.NET).
Une alerte signale que pour continuer l'installation, les Services IIS
doivent tre temporairement arretes.
arretes. On valide donc par oui.
L'installation nous signale qu'ASP doit tre activ pour permettre aux
services de certificats de fournir un service d'inscription par le Web. On
valide par oui et l'installation des Services de certificat se poursuit et
s'achve sans problme.
problme
Dans le dossier Users on fait un click droit avec la souris puis Nouvel
utilisateur.
Dans le dossier Users, on fait un click droit puis Nouveau groupe que l'on
appellera groupe-wifi..
L'utilisateur util1-wifi
wifi fait donc maintenant partie de groupe
groupe-wifi. On
rptera la procdure autant de fois pour crer d'autres utilisateurs
utilisateurs.
Puis on entre un nom convivial qui sera celui de notre point d'accs WiFi
ainsi que son adresse IP.
On ouvre Internet Explorer sur une machine connecte sur un autre port
du commutateur (dans ce cas c'est notre serveur) et on saisit l'adresse
par dfaut du point d'accs, http://192.168.1.5.. Une fentre de
connexion s'affiche. Alors, on entre notre login et notre mot de passe (ce
login et ce mot de passe sont fournis avec l'quipement) puis on va dans
le menu paramtres sans fil.
On clique sur installer ce certificat. Puis, sur oui on valide qu'on fait
confiance ce site et le certificat est install.
On fait un click droit sur Connexion rseaux sans-fil puis on entre dans
les proprits. Dans l'onglet Configuration rseaux sans-fil on clique sur
ajouter. On entre le nom de notre rseau et on choisit la mthode
d'authentification de type WPA et un cryptage de type TKIP.
Par dfaut, l'adaptateur sans fil Wi-Fi du poste client gre les
dconnexions aprs un certain temps d'inactivit. Bien plus la fermeture
de session ou l'extinction du poste client ralise la dconnexion du
rseau. Nous pensons que ceci permettra de renforcer la scurit de
notre rseau sans fil Wi-Fi.
Et voila maintenant que le rseau sans fil Wi-Fi a t install, et tous les
tests sont effectues avec succs et on espre avoir tabli une solution
plus sure, plus efficace et surtout plus scurise.
CONCLUSION
ANNEXES
Sans faire trop compliqu, beaucoup de points d'accs possdent un serveur DHCP
qui permet tout client d'obtenir un accs sur ce dernier. Un serveur DHCP permet
un ordinateur d'obtenir tous les paramtres ncessaires pour communiquer sur le
rseau, comme l'adresse IP, la passerelle pour se connecter internet, les serveurs
de rsolution des noms de domaine, etc.. Or ce dernier est trop souvent activ par
dfaut sur les points d'accs : grce cette caractristique toute personne passant
porte radio de votre point d'accs pourra se faire attribuer une IP sur ce dernier.
Les protections supplmentaires comme le filtrage d'adresse MAC (unique pour
chaque carte rseau) et le cryptage WEP intgr dans pratiquement tous les
matriels wifi ne seront que des protections en plus mais sachez qu'elles sont trs
facilement contournables. En effet la clef WEP ne change pas rgulirement, donc il
suffit pour un ordinateur voulant se connecter sur votre rseau d'couter les
transmissions de vos postes pour obtenir, aprs un certains nombre de donnes
changes, la clef WEP car les donnes se cryptent toujours de la mme manire
avec la mme clef. Une norme suprieure d'encodage des donnes est en train
d'tre mise en place pour remdier ce problme.
"Je sais qui vous tes" : Lorsque vous demandez votre matriel quip d'une carte
wifi de trouver les rseaux disponibles il va faire rfrence aux SSID, qui
reprsentent l'identifiant rseau. A l'inverse si vous connaissez une adresse MAC du
point d'accs ou d'une carte wifi vous saurez immdiatement de quel matriel il
s'agit.
Voici quelques conseils pour scuriser un peu plus son rseau sans fils :
Chacun est libre de modifier ces rgles en ajoutant des couches supplmentaires.
Sachez que le futur protocole IP ipv6 contient dans ses paquets la scurisation ipsec.
L'ipv6 peut tre utilis en wifi si les clients grent l'ipv6, actuellement tous les Linux,
Unix ont une pile ipv6 fonctionnelle, sur windows 2000 et XP l'ipv6 est activable et
utilisable mais sera propos par dfaut dans les prochaines versions.
La scurisation d'un rseau qu'il soit filaire ou sans fils est possible par de nombreux
moyens matriels et/ou logiciels. Son choix dpend de l'utilisation que vous voulez
faire de votre rseau et des moyens dont vous disposez.
Il est noter que le serveur RADIUS peut faire office de proxy, c'est c'est--dire
transmettre les requtes du client d'autres serveurs RADIUS. L'en
L'en-tte du paquet
RADIUS comporte 5 champs:
Terme Dfinition
Adresse matrielle d'un priphrique raccord un
Adresse MAC (Media Access Control)
support de rseau partag.
Technique de cryptage de donnes par bloc de 128 bits
AES (Advanced Encryption Standard)
symtrique.
Bande radio utilise dans les transmissions de mise en
Bande ISM (Intermediate Service Module)
rseau sans fil.
Bit (chiffre binaire) Plus petite unit d'information d'une machine.
CSMA/CA (Accs multiple par dtection de Mthode de transfert de donnes utilise pour
porteur./Autorit de certification) empcher les collisions de donnes.
Protocole qui permet un priphrique d'un rseau
local, le serveur DHCP, d'affecter des adresses IP
DHCP (Dynamic Host Configuration Protocol)
temporaires d'autres priphriques rseau,
gnralement des ordinateurs.
Adresse IP du serveur de votre ISP, qui traduit les noms
DNS (serveur de nom de domaine)
des sites Web en adresses IP.
Domaine Nom spcifique d'un rseau d'ordinateurs.
Protocole d'authentification gnral utilis pour
contrler l'accs au rseau. De nombreuses mthodes
EAP (Extensible Authentication Protocol)
d'authentification fonctionnent avec cette
infrastructure.
Mthode d'authentification mutuelle qui utilise des
EAP-PEAP (Extensible Authentication Protocol-
certificats numriques en plus d'un autre systme, tels
Protected Extensible Authentication Protocol)
que des mots de passe.
EAP-TLS (Extensible Authentication Protocol- Mthode d'authentification mutuelle qui utilise des
Transport Layer Security) certificats numriques.
Technique de frquence radio large bande utilise pour
talement du spectre
une transmission de donnes plus fiable et scurise.
IEEE (The Institute of Electrical and Electronics Institut indpendant qui dveloppe des normes de
Engineers) mise en rseau.
Matriel informatique et de mise en rseau
Infrastructure
actuellement install.
ISP (fournisseur de services Internet) Socit qui procure un accs Internet.
Ordinateurs et produits de mise en rseau qui
LAN (rseau local)
constituent le rseau votre domicile ou votre bureau.
Un million de bits par second ; unit de mesure pour la
Mbit/s (Mgabits par seconde)
transmission de donnes.
La technologie NAT traduit des adresses IP du rseau
NAT (traduction d'adresses rseau)
local en adresses IP diffrentes pour Internet.
Protocole utilis pour se connecter des groupes
NNTP (Network News Transfer Protocol)
Usenet sur Internet.
Type de technologie de modulation qui spare le flux
OFDM (multiplexage frquentiel orthogonal) de donnes en un nombre de flux de donnes bas
dbit, qui sont ensuite transmises en parallle.
PoE (Power over Ethernet) Technologie permettant un cble rseau Ethernet de
BIBLIOGRAPHIE
http://fr.wikipedia.org/
http://www.commentcamarche.net/
http://www.isstegb.rnu.tn/
http://www.dlink.fr/