Vous êtes sur la page 1sur 66

Rapport d’exposé sur la sécurité réseau

UCAD Master 1 TDSI


Formateur : Mr Youssef
Thème: Authentification dans les Réseaux Wifi
par le protocole radius (sous Windows)

Babacar Ndiaye Bernard Ousmane Sané Moussa Diallo


1
Sommaire
Préambule
Objectifs
1. Les modes d’authentification dans un réseau wifi
2. Le fonctionnement des serveurs radius
3. Installation et configuration
3.1. Configuration du client Radius
3.2. Installation (ClearBox Enterprise Server™)
3.3. Configuration du serveur Radius
3.3.1. Création d’une autorité de certification
3.3.2. Création d’un certificat pour le serveur Radius
3.3.3. Installation du certificat du serveur
3.3.4. Création d’un certificat pour le client
3.3.5. Révocation d’un certificat client
3.3.6. Ajout d’un client Radius
4. Test pratique
4.1. Test de connections avec login/mot de passe pour un client final
4.2. Test de connections avec certificat pour un client final
2
Conclusion
Préambule
• Les technologies dites « sans fils », la norme 802.11g en
particulier, facilitent et réduisent le coût de connexion pour les
réseaux de grandes tailles. La mise en œuvre des réseaux sans
fils est facile, mais la sécurité des données qui y sont
transmises n’est pas toujours assurée. Ainsi nous allons vous
présenter RADIUS (Remote Authentification Dial-In User
Service) qui est un protocole client-serveur, permettant de
centraliser des données d'authentification.

3
Objectifs
On se fixe comme but de transformer une machine qui tourne sous
windows en un server Radius.
Radius éxiste sous Linux avec free Radius et sous windows server il
vient avec l'instance donc il suffit seulement de l'activer au niveau
des fonctionnalités pour bénéficier de ses services.
Pour notre cas (Radius sous windows), il nous appartiendra de
définir notre propre politique de sécurité, à savoir comment nous
allons authentifier nos clients ? soit par login et password
soit par cerificat, aussi quelle base de donnees utiiliser ? et
comment formuler les requêtes vers la table client afin d'identifier
ces derniers ?
Cette demarche nous permet de comprendre et de maitriser notre
configuration et surtout d’intervenir à chaque fois que le besoin se
fera sentir.
4
Mode d'authentification
Les réseaux wifi offrent quatre mode d’authentification :

Diseable
Le point d'accès accepte n'importe quelle requête
d'authentification.
Il Correspond à une forme de non authentification.
Idéal pour offrir un accès libre à Internet par exemple.

5
Mode d'authentification
• WEP (Wired Equivalent Privacy) : créé en 1999 pour assurer la confidentialité et l'intégrité
dans les réseaux sans fil de type Wi-Fi.
On Suppose que le client et le serveur possède une clef secrète partagée.
• Protocole d'authentification :
1. Le client envoie une demande d'authentification au point d'accès avec qui il partage sa
clef WEP.
2. Le point d'accès répond avec un challenge aléatoire envoyé en clair.
3. Le client utilise sa clé WEP local pour encrypter ce challenge et renvoie le message
chiffre au point d'accès.
4. Le point d'accès déchiffre le message et considère le client comme valide si le texte
correspond au challenge aléatoire envoyé.
Un attaquant peut écouter passivement les échanges entre le client et le point d'accès.
Ceci inclut le challenge aléatoire et le même challenge encrypte avec la clé WEP du client.
Comme la méthode de chiffrement utilisée (RC4) utilise un OU-exclusif entre le flux de clé
et le message, il est facile de retrouver ce flux en faisant un OU-exclusif entre le texte
clair
et le message chiffré.
Conséquence : possibilité d'attaque de l'homme au milieu.
6
Mode d'authentification
WPA (Wi-Fi Protected Access) : protocole d'authentification
développe par la Wi-Fi Alliance pour remédier aux faiblesses
de WEP et servir d'intermédiaire avant WPA2.
Conçu pour fonctionner avec le même matériel que WEP mais
avec un logiciel mis à jour.
Utilise RC4 avec une clé de 128 bits + 48 bits pour le vecteur
d'initialisation. Implémente le protocole TKIP pour contrer certaines
faiblesses rencontrées par WEP.
WPA-802.1X utilisé dans notre cas: le point d'accès sera accompagné
d'un serveur d'authentification. Nous avons choisit de créer un
serveur Radius sous Windows.

7
Le protocole RADIUS
• Le protocole RADIUS (Remote Authentification Dial-In User Service) est
un protocole d’authentification standard.
• Le fonctionnement de RADIUS est basé sur un système client/serveur
chargé de définir les accès d'utilisateurs distants à un réseau. Il s'agit du
protocole de prédilection des fournisseurs d'accès à internet car il est
relativement standard et propose des fonctionnalités de comptabilité
permettant aux FAI de facturer précisément leurs clients.
• Le protocole RADIUS repose principalement sur un serveur (le serveur
RADIUS), relié à une base d'identification (base de données, annuaire
LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server),
faisant office d'intermédiaire entre l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS
est chiffrée et authentifiée grâce à un secret partagé.
• Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-
dire transmettre les requêtes du client à d'autres serveurs RADIUS.

8
Le fonctionnement de RADIUS

• Dans cette partie nous allons mettre les mains dans le cambouis
pour décrire étapes par étapes le processus d’authentification entre
les différents acteurs concernés par ce scenario échange.

9
• Un utilisateur envoie une requête au client RADIUS afin d'autoriser une
connexion à distance ;
• Le client RADIUS achemine la demande au serveur RADIUS ;
• Le serveur RADIUS consulte la base de données d'identification afin de
connaître le type de scénario d'identification demandé pour l'utilisateur.
Soit le scénario actuel convient, soit une autre méthode d'identification
est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des
quatre réponses suivantes :
• ACCEPT : l’identification a réussi ;
• REJECT : l’identification a échoué ;
• CHALLENGE : le serveur RADIUS souhaite des informations
supplémentaires de la part de l'utilisateur et propose un « défi » (en
anglais « challenge ») ;
• CHANGE PASSWORD où le serveur RADIUS demande à l'utilisateur un
nouveau mot de passe.

• Suite à cette phase dit d'authentification, débute une phase d'autorisation
où le serveur retourne les autorisations de l'utilisateur.

10
• Le schéma suivant récapitule les éléments entrant en jeu dans
un système utilisant un serveur RADIUS :

11
• EAP START : le client, associé au point d’accès, envoie un message EAP START : c’est sa
démarche d’accès directe en tapant une adresse sur un navigateur web.
• 1) EAP REQUEST identity : comme réponse, le point d’accès demande au client de
s’identifier, il envoie au client une requête d’authentification.
• 2) Le client répond alors à cette demande d’identité qui lui est attribuée par le point
d’accès, par son identifiant, en tapant son nom d’utilisateur et son mot de passe (login).
• 3) Puis, le point d’accès transmet la requête EAP (repose) dans une demande d’accès
RADIUS : le même message du client vers le point d’accès est transféré du point d’accès
vers le serveur RADIUS.
• 4) Ainsi, le serveur initie le processus d’authentification et envoie son certificat qui
confirme l’appartenance du client au groupe identifié.
• 5) La station vérifie le certificat du serveur RADIUS et lui envoie son certificat.
• Le client génère une valeur aléatoire, puis l’émet au serveur RADIUS en la chiffrant avec
la clé.
• 6) Le point d’accès envoie la clé de broadcast avec la clé Wep du
• RADIUS.
• 7) Maintenant, il y aura des échanges de données publiques du serveur RADIUS.
• 8) Le serveur RADIUS construit à partir de la valeur aléatoire une clé Wep qui est
envoyée.
• 9) Le serveur RADIUS envoie un message RADIUS « ACCEPT » ou « refuse » ou «
CHALLENGE » au point d’accès.
• 10) Le point d’accès envoie un message EAP SUCCESS.
• 11) Echange de données.
12
Mise en place de notre architecture de test:

13
Authentification dans les Réseaux Wifi par le protocole radius
Matériels

1. Client final (toute personne qui veut se


connecter au réseau wifi)

2. Client RADIUS (modem wifi)

3. Une Machine Windows sur laquelle on va


installer ClearBox Enterprise Server pour
servir de serveur RADIUS
14
Authentification dans les Réseaux Wifi par le protocole radius
Client final

Topologie

Client radius
192.168.0.1

Serveur radius
192.168.0.2

15
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du client Radius

16
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du client Radius

Pour la configuration du
client radius il va falloir
d'abord accéder a l’interface
de configuration de notre
point d’accès, pour cela
nous allons renseigner
l’adresse IP du modem a
savoir le 192.168.0.1 au
niveau d’une machine
cliente qui est connecté au
réseaux ou d’une machine
qui est connectée
directement au point
d’accès par liaison filaire.
Par la suite il nous sera
demander le login et le mot
de passe de l’admin
17
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du client Radius
On arrive au niveau de
l’interface de configuration du
point d’accès.

Pour des soucis de


performance nous allons
commencer par fixer
l’adresse IP qu’on va donner
à notre serveur Radius a
savoir le 192.168.0.2. Pour
cela nous allons au niveau du
menu Configuration IP LAN
de notre page.

18
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du client Radius

Menu Configuration IP LAN

On clique sur ajouter

19
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du client Radius

On renseigne l’adresse
IP l’adresse MAC et le
nom qu’on va donner
au périphérique puis
on clique sur ajouter
et appliquer pour
appliquer les
changements qu’on
vient d’effectuer

20
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du client Radius
Nous allons maintenant choisir
le mode d’authentification que
va utiliser notre point d’accès
en allant au niveau du sous
menu Paramètres Sans Fil.
Ici nous voyons les différents
mode d’authentification dont
on parlé précédemment a
savoir Disable ,WEP, WPA-PSK
et WPA-802.1x

Nous allons choisir le mode


WPA-802.1x en cliquant dessus

21
Authentification dans les Réseaux Wifi par le protocole radius
Automatiquement une Configuration du client Radius
fenêtre s’affiche et nous
demande de renseigner
l’adresse IP du serveur
Radius a savoir le
192.168.0.2, le Port d’écoute
du serveur qui est par défaut
le port 1812 et la Clé
partagée. Cette clé va être
utilisé par la suite au niveau
de notre serveur Radius, elle
doit être secrète (connue que
par l’administrateur du
réseau).
Après avoir renseigné tout les
champs, on peut cliquer sur
appliquer pour ainsi
enregistrer les modifications
qu’on vient d’apporter.

22
Authentification dans les Réseaux Wifi par le protocole radius
installation (ClearBox Enterprise Server™)

23
Authentification dans les Réseaux Wifi par le protocole radius
installation (ClearBox Enterprise Server™)

Nous allons maintenant passer à l’installation de ClearBox Enterprise Server qui est le
logiciel qui va nous permettre d’administrer le serveur Radius sur notre machine
Windows. On peut le télécharger sur se lien :
http://xperiencetech.com/download/clearbox_enterprise_5_7_15.exe
Son installation est assez simple, la méthode « suivant-suivant » en laissant les
paramètres par défaut fera l’affaire.

NB: Renseignez un mot de passe pour le serveur s’il vous est demandé de le faire

24
Authentification dans les Réseaux Wifi par le protocole radius
installation (ClearBox Enterprise Server™)

25
Authentification dans les Réseaux Wifi par le protocole radius
installation (ClearBox Enterprise Server™)
A la fin de l’installation allez
dans
C:\Program Files\ClearBox
Server\Bin\ et exécutez
Configurator.exe.

Vous aurez la fenêtre ci-


contre qui est l’interface de
configuration de notre
serveur Radius .

26
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius

Après avoir installé ClearBox Enterprise Server, nous allons passer à la


configuration de notre serveur Radius. Pour cela nous allons tout d'abord créer un
autorité de certification (CA) qui va se charger de gérer les certificats des clients
qu’on va distribuer dans notre réseau.

27
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius

Nous allons à l’onglet


Extra Tools qui se
trouve tout en bas du
menu principal puis sur
Certificates Wizard

28
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
C’est au niveau de ce Wizard qu’on va
pouvoir:
1. Créer notre CA pour gérer les
certificats qu’on va créer par la suite.
2. Créer un certificat pour notre
serveur Radius qui va permettre de
l’identifier au niveau de nos clients
finaux.
3. Installer le certificat du serveur
précédemment créer pour qu’il
puisse être visualiser par les client
finals de notre réseau .
4. Créer un certificat client que les
clients finaux pourront utiliser pour
s’authentifier.
5. Révoquer un certificat client qu’on ne
désire plus utiliser .
6. Exporter un certificat de notre CA
pour permettre a un client de
l’utiliser pour s’authentifier
29
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
1.Créer notre CA

30
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
1.Créer notre CA

On donne un nom et un mot de passe a notre CA/ >>Suivant


on renseigne un nom de Domaine complet et un nom plus court a utiliser ainsi que la durée de
validité du certificat et la taille de la clé publique a utiliser />>Suivant
31
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
1.Créer notre CA

On renseigne l’organisation / la ville/la province et le pays ou nous sommes/>>Suivant


Une fenêtre vous montrant que l’opération c’est bien dérouler s’affiche />>Terminer
32
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
1.Créer notre CA

Après avoir créer un CA


nous allons maintenant le
renseigner au niveau des
paramètres de notre
serveur Radius pour cela
on va suivre les étapes
spécifiées ci-contre

33
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
1.Créer notre CA
On voit bien la CA
tdsi.sn qu’on vient de
créer on va donc le
sélectionner puis faire
ok
Ensuite faire Apply
changes pour
appliquer les
changements

NB: vous n’aurez pas


tous ces CA par soucis
de test on en a créer
plusieurs

34
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
2. Créer un certificat pour notre serveur Radius

35
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
2. Créer un certificat pour notre serveur Radius

36
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
2. Créer un certificat pour notre serveur Radius

on renseigne les différents champs demandés en faisant attention a bien choisir la clé Private key
password car il vous sera demandé de le renseigner quand vous voudrez exporter la clé dans une
autre machine./>>>Suivant
37
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
2. Créer un certificat pour notre serveur Radius

on renseigne les deux répertoires et les noms d’enregistrement de la paire de clé(clé public/
clé privé du serveur) //>> Suivant
Une fenêtre vous montrant que l’opération s’est bien déroulée s’affiche //>>Terminer
38
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
3. Installer le certificat du serveur

39
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
3. Installer le certificat du serveur

on renseigne les deux répertoires d’enregistrement de la paire de clé(clé public/ clé privée du serveur)
qui ont été créer précédemment ainsi que le mot de passe pour les exporter //>> Suivant 40
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
3. Installer le certificat du serveur

A la fin de l’exportation une fenêtre vous montrant que l’opération s’est bien déroulée s’affiche
//>>Terminer
41
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
4. Créer un certificat client

42
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
4. Créer un certificat client

On renseigne le mot de passe de la CA //>>Suivant


On renseigne le nom et l’adresse email du client ainsi qu’un mot de passe( qui nous sera demandé
quand on va installer le certificat dans la machine client). //>>Suivant
43
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
4. Créer un certificat client

Ici on renseigne les différents champs demandés //>>Suivant


On clique sur Browse… pour choisir le répertoire d’enregistrement du certificat // >>Suivant
44
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
4. Créer un certificat client

A la fin de l’exportation une fenêtre vous montrant que l’opération c’est bien dérouler s’affiche
//>>Terminer
45
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
5. Révoquer un certificat client

46
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
5. Révoquer un certificat client

On renseigne le mot de passe de la CA //>>Suivant


On sélectionne le certificat a révoquer //>>Suivant
47
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
5. Révoquer un certificat client

A la fin de l’opération une fenêtre vous montrant que l’opération s’est bien déroulée s’affiche
//>>Terminer
48
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
6.Ajouter un client Radius

Pour ajouter un client


Radius on va au niveau
du menu Configure the
Server puis on fait un
clique droit sur RADIUS
Clients puis sur le sous
menu Add New Client

49
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
6.Ajouter un client Radius

Ici on renseigne
le nom qu’on va
donner a notre
client Radius

50
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
6.Ajouter un client Radius

On renseigne l’adresse
IP de notre client Radius
a savoir 192.168.0.1 et la
Clé partagée que nous
avions renseigner au
niveau du point d’accès
Ainsi que la politique
d’authentification a
utiliser (nous allons
choisir celui proposer
par défaut a savoir def)
Puis on clique sur apply
changes pour enregistrer
les modifications

51
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
Nous allons maintenant
choisir la base de donner
a utiliser pour gérer nos
Clients
Toujours dans Configure
the Server nous cliquons
sur def puis
authentification et choisir
la base de donner
userbox
On clique sur apply
changes appliquer les
changements
Pour ajouter des
utilisateurs a cette base
on clique sur Run Users
Manager

52
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
Apres avoir clique sur
Run Users Manager on
arrive a cette interface

On clique sur Users


puis sur New User….

53
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
On donne le nom du
client et le mot de passe
ici client2/passer
(on peut aussi générer le
mot de passe )

Cliquer sur Save pour


enregistrer

Le menu RADIUS
Authentification nous
propose plusieurs type de
filtrage (adresse MAC,
heure et jour de
connexion, nombre de
session autoriser a se
connecter avec cette ce
user )

54
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius
On voit bien que le user a
été bien créé dans la
base des données

On peut aussi ajouter des


groupes de user avec le
menu Groups

Le menu Setting permet


de voir les commendes
SQL utiliser pour gérer la
Base

55
Authentification dans les Réseaux Wifi par le protocole radius
Configuration du serveur Radius

On peut maintenant
redémarrer le serveur pour
enregistrer toutes les
modifications apportées

ClearBox Enterprise Server


offre plusieurs autres
possibilités pour améliorer
la sécurité de nos réseaux
wifi mais nous nous
somme limiter au stricte
minimum pour ne pas
rendre la configuration
complexe.

56
Authentification dans les Réseaux Wifi par le protocole radius
En pratique

57
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
1.Test de connections avec login/mot de passe sur un client final

On sélectionne le réseau dans la liste des connexions wifi


disponibles puis on renseigne le nom du user et son mot de passe a
savoir client2/passer
Puis on appuie sur OK

58
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
1.Test de connections avec login/mot de passe sur un client final

Le certificat du serveur vous est


alors proposer et vous pouvez le
visionner en appuyant sur Détails

On clique sur Connecter pour se Penser a désactiver votre pare-feu


connecter au réseau au niveau de la machine serveur si non elle
ne va pas accepter les requêtes
d’authentification des client final
59
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
2.Test de connections avec certificat client

pour se connecter par certificat il nous faut d'abord installer le certificat client créé précédemment
dans notre machine cliente.
On copie le certificat dans notre clé USB et on le transfère dans la machine cliente et on fait un
double clique sur le certificat //>>Suivant
60
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
2.Test de connections avec certificat client

On renseigne le mot de passe qu’on avait mis en créant le certificat client //>>Suivant
61
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
2.Test de connections avec certificat client

//>>Terminer //>>Oui //>>OK


62
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
2.Test de connections avec certificat client

pou voir le certificat qu’on vient


d’installer, aller sur démarrer et
dans la barre de recherche on
tape certmgr.msc .

On voit bien le certificat nommé


tdsi client

On peut le visionner en cliquant


dessus.

63
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
2.Test de connections avec un certificat client

On sélectionne le réseau dans la liste des connexions wifi disponibles puis on


renseigne tout ce qu’on veut dans les deux champs
Puis on appuie sur OK

64
Authentification dans les Réseaux Wifi par le protocole radius
En pratique
2.Test de connections avec certificat client

Ici on sélectionne le certificat a


utiliser pour se connecter, s’il est
invalide ou révoqué la connexion ne
fonctionnera pas //>>OK

NB: Cette étape est invisible si on a NB: Sur Windows 8 l’option se


installer qu’un seul certificat connecter en utilisant un certificat est
disponible si vous avez installé un
certificat dans votre machine 65
Authentification dans les Réseaux Wifi par le protocole radius
Conclusion

Il est clair que le protocole de chiffrement WEP ne garantit pas une sécurité suffisante
pour les réseaux sans fil Wi-Fi, il ne peut qu'être utilisé en complémentarité d'une
solution de chiffrement de plus haut niveau (comme les technologies VPN). Le mode
WPA2 avec le protocole d’authentification Radius par contre représente une solution
sécurisée pour nos équipements mais quelques faiblesses ont été découvertes dans
WPA2 depuis leur sortie, aucune d'elles n'est critique si des recommandations simples
de sécurité sont suivies.

66
Authentification dans les Réseaux Wifi par le protocole radius