Vous êtes sur la page 1sur 20

Année : 2019-2020

Étude de cas  : Mise en place d’un réseau WIFI sécurisé


Rapport de Projet

Destinataire : Mdm NGOM

Présenté par : Mouhamed Dème, Mouhamed Niang,


Aminta Diongue, Sokhna Khoudia Dieng, Onil Sohinto
Table des matières

Introduction

I. Le WIFI
II. Les normes WIFI
a) Norme : 802.11
b) Norme 802.11G
c) Norme 802.11a
d) Norme 82.11n
III. Topologies des réseaux Wifi
a) Le mode AD HOC
b) Mode infrastructure
IV. Les fréquences
V. Sécurité des réseaux sans fils (Wifi)
a) Les risques de sécurité associés au Wi-Fi
b) De quoi dépend la sécurité d’un réseau Wi-Fi ?
c) Sensibilité des données échangées et disponibilité des réseaux
VI. Techniques de déploiement
a) La norme WIFI
b) Sécurité
c) Système d´exploitation
VII. Architecture d’un réseau local à accès contrôlé
a) Composants d’un réseau 802.1X
b) Synoptique de connexion
VIII. Protocoles d’authentification
a) EAP-MD5
b) EAP-MSCHAPv2
c) EAP-TLS
d) EAP-PEAP
e) EAP-TTLSv0
IX. Politique de sécurité
a) Réseau de confiance
b) Sécurité du serveur
c) Cloisonnement des flux
d) Intégrité et confidentialité des messages
e) Journalisation

Conclusion
Table des figures

Figure 1 : le mode ad hoc


Figure 2 : le mode infrastructure
Figure 3 : Les canaux 2.4 GHz
Figure 4 : Disposition des canaux 2.4 GHz
Figure 5 : Composants principaux d’un réseau à accès contrôlé
Figure 6 :Logigramme de connexion à un réseau 802.1X
Lexique

IEEE : Institute of Electrical and Electronics Engineers

Wi-Fi : Wireless Fidelity

BSS : Basic Service Set

WEP : Wired Equivalent Privacy

WPA : Wi-Fi Protected Access

RADIUS : Remote Authentication Dial-In User Service

EAPoL : Extensible Authentication Protocol over LAN

IPsec : Internet Protocol Security

TLS : Transport Layer Security

EAP : Extensible Authentication Protocol

LDAP : Lightweight Directory Access Protocol.


Introduction

Le développement des objets communicants et leur usage quotidien sont aujourd’hui à


l’origine de l’omniprésence des réseaux sans-fil Wi-Fi, tant chez les particuliers que dans le monde
professionnel. Ces réseaux permettent de connecter tout type de matériel (ordinateurs portables,
téléphones mobiles, consoles de jeux, télévisions, équipements électroménagers, automates
industriels, etc.) à des réseaux privés ainsi qu’au réseau public Internet. Le Wi-Fi est largement
utilisé au sein des réseaux domestiques (par les modems routeurs Internet et autres "Box"), mais
également dans le monde professionnel pour la commodité d’accès au réseau interne de l’entreprise,
ainsi que pour s’épargner le coût d’une infrastructure filaire. Ces réseaux Wi-Fi sont toutefois
souvent vulnérables, et utilisables par des personnes malveillantes afin d’intercepter des données
sensibles (informations personnelles, codes de cartes de paiement, données d’entreprise etc.). Début
2013, près de la moitié des réseaux Wi-Fi n’utilisent aucun moyen de chiffrement ou utilisent un
moyen de chiffrement obsolète. Force est de constater que la problématique de sécurisation des
réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent
méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien,
il est souvent possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une
borne Wi-Fi. Plusieurs aspects de configuration sont à prendre en compte. L’objet de ce document
est donc de guider le lecteur dans le choix des meilleurs paramètres pour la bonne sécurisation d’un
réseau Wi-Fi. Le particulier non averti y trouvera des recommandations simples à appliquer pour la
mise en place d’un réseau Wi-Fi personnel, tandis que l’administrateur réseau en entreprise y
trouvera des informations et recommandations complémentaires applicables à un système
d’information.

I. Le WIFI

La norme IEEE 802.11 (ISO/CEI 8802-11) est un standard international décrivant les
caractéristiques d'un réseau local sans fil (WLAN). La marque déposée « Wi-Fi » correspond
initialement au nom donné à la certification délivrée par la WECA (« Wireless Ethernet
Compatibility Alliance »), organisme ayant pour mission de spécifier l'interopérabilité entre les
matériels répondant à la norme 802.11 et de vendre le label « Wi-Fi » aux matériels répondant à
leurs spécifications. Par abus de langage (et pour des raisons de marketing) le nom de la norme se
confond aujourd'hui avec le nom de la certification. Ainsi un réseau Wi-Fi est en réalité un réseau
répondant à la norme 802.11. Dans d'autres pays de tels réseaux sont correctement nommés WLAN
(Wireless LAN). Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit.
Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des
assistants personnels (PDA), des objets communicants ou même des périphériques à une liaison
haut débit (de 11 Mbit/s en 802.11b à 54 Mbit/s en 802.11a ou 802.11g et 540 Mbit/s pour le
802.11n) sur un rayon de plusieurs dizaines de mètres en intérieur (selon les technologie).

II. Les normes WIFI

Le Wi-Fi (Wireless Fidelity) est une certification décernée par la Wifi Alliance aux
produits conformes aux standards 802.11 de l'IEEE. La technologie Wi-Fi permet de créer un réseau
informatique sans fils, dans le but d’étendre le réseau Ethernet via les ondes radios sur une zone
géographiquement distante.

a) Norme : 802.11

➢ Première norme Wi-Fi utilisée par le grand public et les professionnels depuis 1999.
➢ Fréquence : 2,4 Ghz (3 canaux distincts).
➢ Débit : 11 Mbits (6 Mbits réel).
➢ Portée intérieure : 10 à 15 mètres"
➢ Portée extérieure : selon l'antenne utilisée.
➢ Incompatible pour le transfert de gros fichier, le streaming vidéo ...
➢ Sécurité dépassée : WEP.

b) Norme 802.11G

➢ Norme Wi-Fi plus performante que le 802.11b (retro-compatible).


➢ Sécurité améliorée (WPA - TKIP - PSK - WPA2).
➢ Fréquence : 2,4 Ghz (3 canaux distincts).
➢ Débit : 54 Mbits (25 Mbits réel).
➢ Portée intérieure : 10 à 50 mètres"
➢ Portée extérieure : selon l'antenne utilisée.
➢ Permet le transfert des fichiers images, sons, vidéo ...
➢ Possibilité de débit maxi : 108 Mbits (Super G, voir produits constructeurs).

c) Norme 802.11a

➢ Fréquence: 5 Ghz (8 canaux distincts).


➢ Bande de fréquence différente pour améliorer les effets de perturbation de signal.
➢ Sécurité améliorée (WPA - TKIP - PSK - WPA2).
➢ Débit : 54 Mbits (25 Mbits réel).
➢ Portée intérieure : 10 à 70 mètres"
➢ Portée extérieure : selon l'antenne utilisée.
➢ Permet le transfert des fichiers images, sons, vidéo …

d) 802.11n (MIMO)

➢ Evolution des réseaux Wi-Fi haut débit.


➢ Découpage des données transmises.
➢ Algorithme de gestion des rebonds.
➢ Débit : 400 Mbits (100 Mbits réel).
➢ Portée intérieure : 30 à 100 mètres (En utilisation INTERIEURE exclusivement).
➢ Permet le transfert des fichiers images, sons, vidéo …
III.Topologies des réseaux Wifi

Nous allons décrire quelles sont les différentes topologies de réseau possibles avec la norme 802.11.

a) Le mode AD HOC

En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin
de constituer un réseau point à point (peer to peer en anglais), c'est-à-dire un réseau dans lequel
chaque machine joue en même temps le rôle de client et le rôle de point d’accès. L’ensemble formé
par les différentes stations est appelé ensemble de services de base
indépendants (en anglais independant basic service set, abrégé en IBSS). Un IBSS est ainsi un
réseau sans fil constitué au minimum de deux stations et n’utilisant pas de point d’accès.
L’IBSS constitue donc un réseau éphémère permettant à des personnes situées dans une
même salle d’échanger des données. Il est identifié par un SSID, comme l’est un ESS en mode
infrastructure. Dans un réseau ad hoc, la portée du BSS est déterminée par la portée de chaque
station. Cela signifie que si deux stations du réseau sont hors de portée l’une de l’autre, elles ne
pourront pas communiquer, même si elles voient d’autres stations. En effet, contrairement au mode
infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les
trames d’une station à une autre. Ainsi un IBSS est par définition un réseau
sans fil restreint.

Figure 1 : le mode ad hoc


Application :

➢ Communication Wi-Fi de pc à pc sans Point d’Accès.


➢ Les ordinateurs sont émettrices et réceptrices des données.
➢ Simple de mise en œuvre.

b) Mode infrastructure

En mode infrastructure, chaque station se connecte à un point d’accès via une liaison sans
fil. L’ensemble formé par le point d’accès et les stations situés dans sa zone de couverture est appelé
ensemble de services de base (en anglais Basic Service Set, noté BSS) et constitue une cellule. .
Dans le mode infrastructure, le BSSID correspond à l’adresse MAC du point d’accès. Il est
possible de relier plusieurs points d’accès entre eux (ou plus exactement plusieurs BSS) par une
liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un
ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution (DS) peut-
être aussi bien un réseau filaire qu’un réseau sans fil. Un ESS est repéré par un ESSID (Service Set
Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format ASCII) servant de nom
pour le réseau. L’ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en
quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est
nécessaire pour qu’une station se connecte au réseau étendu. Lorsqu’un utilisateur nomade passe
d’un BSS à un autre lors de son déplacement au sein du l’ESS, l’adaptateur réseau sans fil de sa
machine est capable de changer de point d’accès selon la qualité de réception des signaux provenant
des différents points d’accès. Les points d’accès communiquent entre eux grâce au système de
distribution afin
d’échanger des informations sur les stations et permettre le cas échéant de transmettre les données
des stations mobiles. Cette caractéristique permettant aux stations de passer de façon transparente
d’un point d’accès à un autre est appelée itinérance (en anglais roaming).

Figure 2 : le mode infrastructure


Application :

➢ Communication Wi-Fi via un Point d’Accès.


➢ Le Point d’Accès gère les interconnexions Wi-Fi.
➢ Gestion et administration centralisées.
➢ Mise en place de sécurité (WEP - WPA – WPA2).

IV. Les fréquences

Les canaux 2.4 GHz (802.11b et 802.11g)

Figure 3 :Les canaux 2.4 GHz

➢ Les canaux se chevauchent dans les airs.


➢ Seuls les canaux 1-6 et 11 sont distincts.

Figure 4 :Disposition des canaux 2.4 GHz


V. Sécurité des réseaux sans fils (Wifi)

Le développement des objets communicants et leur usage quotidien sont aujourd’hui à


l’origine de l’omniprésence des réseaux sans-fil Wi-Fi, tant chez les particuliers que dans le monde
professionnel. Le Wi-Fi est largement utilisé au sein des réseaux domestiques (par les modems
routeurs Internet et autres "Box"), mais également dans le monde professionnel pour la commodité
d’accès au réseau interne de l’entreprise, ainsi que pour s’épargner le coût d’une infrastructure
filaire.

Ces réseaux Wi-Fi sont toutefois souvent vulnérables, et utilisables par des personnes
malveillantes afin d’intercepter des données sensibles (informations personnelles, codes de cartes de
paiement, données d’entreprise etc.). Force est de constater que la problématique de sécurisation des
réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent
méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien,
il est souvent possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une
borne Wi-Fi. Plusieurs aspects de configuration sont à prendre en compte.

a) Les risques de sécurité associés au Wi-Fi

La compromission d’un réseau sans-fil donne accès à l’ensemble des flux réseaux qui y sont
échangés, ce qui inclut bien évidemment les données sensibles. Or, l’interception des flux peut être
réalisée assez simplement. De par la multitude d’outils prévus à cet effet et disponibles librement,
elle ne nécessite souvent aucune connaissance particulière.
L’accès illégitime à un réseau Wi-Fi par une personne malveillante lui confère une situation
privilégiée lui permettant de s’attaquer plus facilement à d’autres ressources du système
d’information (postes de travail, serveurs, équipements réseaux) indirectement d’accéder à d’autres
données sensibles.

Par manque de robustesse, les mécanismes cryptographiques intrinsèques aux réseaux Wi-Fi
n’apportent parfois qu’une fausse impression de sécurité. Fin 2012, les principaux profils de
sécurité sont, par ordre d’apparition :

➢ le WEP, dont la clé (mot de passe d’accès) est cassable en moins d’une minute ;
➢ le WPA, de robustesse variable en fonction du paramétrage utilisé ;
➢ le WPA2, particulièrement robuste ;
➢ et plus récemment le WPS qui simplifie l’authentification d’un terminal sur un réseau
WPA2 (par code PIN par exemple) mais ré-introduit une vulnérabilité importante qui en
réduit fortement le niveau de sécurité.

b) De quoi dépend la sécurité d’un réseau Wi-Fi ?

Certains déploiements peuvent exiger l’activation de paramétrages


spécifiques qui, de fait, influeront différemment sur le niveau de sécurité global du réseau sans-fil et
des matériels qui s’y connectent.
La simple présence de la technologie Wi-Fi dans un terminal ou un équipement peut suffire à ce
qu’il présente des risques de sécurité. Il est donc préférable de se passer de cette technologie
lorsqu’elle ne répond à aucun besoin concret. À défaut et lorsque l’utilisation d’un réseau sans-fil
est incontournable, la sécurité et la robustesse d’un réseau Wi-Fi et du matériel supportant cette
technologie dépendent
en général :

➢ de l’accessibilité du réseau, c’est à dire de la portée des signaux électromagnétiques qui


propagent le signal Wi-Fi ;

➢ des mécanismes d’authentification utilisés afin d’identifier les utilisateurs du réseau de


manière univoque et sûre ;

➢ des mécanismes cryptographiques mis en œuvre afin de protéger les communications sans-
fil, lesquels sont souvent dérivés des mécanismes d’authentification ;

➢ des mécanismes d’administration et de supervision des points d’accès du réseau et des


terminaux utilisant le réseau ;

➢ d’autres éléments de configuration des points d’accès Wi-Fi.

c) Sensibilité des données échangées et disponibilité des réseaux

La technologie Wi-Fi repose sur un lien radio dont les ondes sont par nature sujettes à
l’interception et aux interférences (brouillage des ondes accidentel ou intentionnel). En l’absence de
moyens de protection complémentaires conformes à la réglementation, il convient alors de ne pas
utiliser de li en Wi-Fi pour faire transiter des données sensibles ou critiques comme, par exemple :

➢ des informations classifiées de défense. Leur protection en confidentialité doit


impérativement être assurée par des équipements agréés par l’ANSSI (IGI 1300 1 ) ;

➢ des informations sensibles à caractère confidentiel ;

➢ des informations non confidentielles mais dont la disponibilité et l’intégrité sont critiques
pour des infrastructures industrielles ou d’importance vitale.

Dans ces contextes, quel que soit le niveau de sécurité des réseaux Wi-Fi pouvant être mis
en œuvre, il reste préférable d’utiliser des connexions filaires. À défaut, la confidentialité des
informations devra être assurée par l’utilisation de moyens de chiffrement complémentaires tels
qu’IPsec ou TLS.

VI. Techniques de déploiement


Le choix des technologies utilisées est un point très délicat car ceci va influencer fortement
les performances de notre réseau. Les systèmes souples et adaptés au futur doivent être les premiers
candidats. Ainsi la discussion sur le choix technologique va tourner autour de trois points essentiels
que sont la norme wifi, la sécurité et le système d’exploitation utilisé dans les serveurs.

a) La norme WIFI

Pour la couverture coté client, on adoptera la norme 802.11g car fonctionnant dans la bande
des 2.4Ghz et supportant des débits théoriques de 54Mbps. Cette technologie a été choisie au
détriment des normes 802.11a et 802.11b car la norme 802.11a bien que supportant un débit
théorique de 54Mbps fonctionne dans la bande des 5Gh. La norme 802.11b bien que fonctionnant
dans la bande des 2.4Ghz n'a qu'un débit théorique que de 11Mbps ce qui va réduire les
performances de la VoIP.

b) Sécurité

Le choix de la sécurité à adopter nécessite une attention particulière car étant un point très
sensible. Nous mettrons sur pied un serveur Radius qui interroge l’annuaire LDAP pour authentifier
les utilisateurs. Ainsi chaque utilisateur devra s’identifier auprès du serveur Radius qui ira interroger
l’annuaire LDAP pour voir si l’utilisateur est enregistré. Si ce dernier est répertorié dans l’annuaire
alors le serveur Radius pourra l’autoriser à accéder aux services réseaux.

c) Système d´exploitation

Le système d’exploitation utilisé dans nos serveurs jouera un rôle primordial car influençant
le système sur tous les plans. Les plus importants aspects à tenir en compte sur le choix sont la
sécurité et la performance. Tous ces paramètres étant tenu en compte, on va choisir le système
d’exploitation Linux car étant multi taches et multi-utilisateurs. De plus il est open source et très
fiable car il ne permet pas la propagation des virus.

VII. Architecture d’un réseau local à accès contrôlé

Un réseau local à accès contrôlé requiert l’utilisation d’une infrastructure 802.1X. De façon
synthétique, une telle infrastructure est construite autour de plusieurs clients (e.g. des
commutateurs, des points d’accès sans fil) qui offrent des ports de connexion à des supplicants.
L’état de ces ports est contrôlé par un serveur au moyen d’un protocole. Le serveur communique
avec les clients au travers d’un réseau de confiance et il autorise ou refuse l’ouverture d’un port à un
supplicant après authentification de ce dernier. Le serveur dispose aussi d’un service de
journalisation qui enregistre les évènements liés aux accès réseaux (tentatives de connexion,
déconnexions. . .). Il fournit également les clés cryptographiques nécessaires à la sécurisation des
échanges sans fil entre supplicants et bornes d’accès.
Dans sa dernière évolution, ce standard définit un moyen de sécuriser la connexion filaire
entre le supplicant et le client par des moyens cryptographiques, au même titre qu’une connexion
sans fil. Cette fonctionnalité, appelée MACsec, n’est pas abordée dans ce document car elle est peu
implémentée dans les supplicants et dans les clients actuels.

a) Composants d’un réseau 802.1X

➢ Serveur

Le serveur est le composant central d’un réseau à accès contrôlé. Il centralise les fonctions
d’authentification et d’autorisation des supplicants et la fonction de journalisation des évènements
remontés par les clients. Situé dans le réseau de confiance, il décide si la connexion d’un supplicant
au réseau à accès contrôlé est autorisée ou refusée. Par défaut, si aucune réponse n’est fournie par le
serveur, le port reste dans l’état fermé et le supplicant n’a pas accès au réseau. Il est donc
indispensable qu’un serveur soit joignable à tout moment pour assurer la disponibilité du réseau.
La norme ne spécifie pas le protocole à utiliser pour les échanges entre les clients et le
serveur, tant que celui-ci permet de contrôler l’état des ports des clients. Elle cite cependant en
exemple les protocoles RADIUS et Diameter. Ces deux protocoles sont ainsi devenus les
standards utilisés dans les réseaux 802.1X. Le protocole Diameter est le successeur du protocole
RADIUS. Il est le standard d’authentification des équipements sur des réseaux de téléphonie mobile
3G et 4G. Cependant il est rarement implémenté dans les clients utilisés dans les systèmes
d’information traditionnels.
Figure 5 :Composants principaux d’un réseau à accès contrôlé

c) Réseau de confiance et clients

Le réseau de confiance est le réseau utilisé par les équipements d’une infrastructure 802.1X pour les
communications nécessaires à son fonctionnement. Il transporte les informations d’authentification
et d’autorisation des équipements finaux et les différentes données de journalisation remontées par
les clients au serveur. Ce réseau de confiance est considéré comme sûr, sans hypothèse sur
les protocoles qu’il transporte. Le trafic réseau généré par ces échanges est négligeable. Les
informations d’authentification et d’autorisation échangées entre les clients et le serveur sont
détaillées dans la RFC2865 et les informations de journalisation dans la RFC2866.
Les clients d’un réseau 802.1X sont des équipements tels que des commutateurs (switchs) ou des
points d’accès Wi-Fi qui fournissent une connectivité au réseau à accès contrôlé à l’aide de ports de
connexion. Il sont connectés au réseau de confiance, pour contacter le serveur. Les ports de
connexion
peuvent se trouver dans deux états :

• dans l’état autorisé, un port accepte tout trafic en provenance et à destination du supplicant
connecté, notamment le trafic IP ;

• dans l’état non autorisé, seul le trafic EAPoL est autorisé entre le client et le supplicant.

Par défaut, ils sont dans l’état non autorisé et leur changement d’état est commandé par le serveur
après authentification et autorisation d’un supplicant. La communication avec les supplicants
s’effectue au moyen du protocole EAPoL alors qu’elle
s’effectue à l’aide du protocole du réseau de confiance entre les clients et le serveur (RADIUS sur
IP dans la plupart des cas). La connectivité Ethernet des supplicants est donc inexistante avant leur
autorisation d’accès au réseau à accès contrôlé.

➢ Réseau à accès contrôlé

Le réseau à accès contrôlé est le réseau dont les accès doivent être maîtrisés. Il est connecté aux
différents clients et aux supplicants. Le terme réseau à accès contrôlé désigne par extension
l’ensemble des réseaux utilisateurs (physiques ou virtuels) dont l’accès doit être contrôlé
centralement.

➢ Supplicant

Les supplicants cherchent à se connecter au réseau à accès contrôlé au travers des ports de
connexion offerts par les clients. L’accès à ce réseau est autorisé ou refusé après une phase
d’authentification et d’autorisation dans laquelle les trois équipements (supplicant, clients et
serveur) interagissent.
Une fois leur accès au réseau autorisé, les supplicants sont connectés au réseau à accès contrôlé.

b) Synoptique de connexion

La connexion à un réseau à accès contrôlé s’effectue en quatre étapes.

➢ Initialisation :le client détecte la tentative de connexion du supplicant à un port dont l’accès
est contrôlé, il active le port en mode non autorisé.

➢ Identification :

• le client transmet au supplicant une demande d’identification (trame


EAP-Request/Identity) ;

• le supplicant retourne au client son identité (trame EAP-Response/Identity) ;


• le client transmet l’identité du supplicant au serveur (paquet Access-Request).

➢ Négociation EAP :

• le serveur envoie au client un paquet contenant la méthode d’authentification demandée au


supplicant (paquet Access-Challenge) ;

• le client transmet la demande du serveur au supplicant au travers d’une trame EAP-Request ;

• si le supplicant accepte cette méthode, il procède à l’étape d’authentification au moyen de


celle-ci, sinon il renvoie au client les méthodes qu’il supporte et l’étape de négociation
recommence.

➢ Authentification :

• le serveur et le supplicant échangent des messages EAP-Request et EAP-Response par


l’intermédiaire du client suivant la méthode d’authentification choisie,

• le serveur fournit une réponse Access-Accept ou Access-Reject suivant le résultat de


l’authentification et de l’autorisation du supplicant :

✔ si la réponse est Access-Accept, le client bascule le port de connexion dans l’état


autorisé, le supplicant dispose ainsi d’une connectivité Ethernet au réseau à accès
contrôlé,

✔ si la réponse est Access-Reject, le port reste dans l’état non autorisé et le supplicant
ne dispose d’aucun accès réseau hormis au travers du protocole EAP.

À la fin de la connexion (déconnexion logicielle entraînant un message EAP dédié ou changement


de statut du lien physique), le client modifie l’état du port à non autorisé.

VIII. Protocoles d’authentification

Avant de pouvoir accéder aux ressources du réseau, les supplicants devraient d'abord
s’authentifier. L’idéal est que chaque supplicant dispose d’un identifiant unique qui ne peut être
utilisé par d'autres. Lorsqu’un supplicant tente de se connecter à un réseau 802.1X, il fournit une
identité. Il est donc possible d’autoriser sa connexion en fonction uniquement de l’identité qu’il
déclare, cependant un tel fonctionnement abaisse le niveau de sécurité du réseau à celui d’un réseau
ouvert.
L’authentification est donc un pré-requis nécessaire à l’autorisation de connexion de
supplicants à un réseau 802.1X.Dans une infrastructure 802.1X, l’authentification des supplicants
repose sur le protocole EAP. Ce protocole d’authentification extensible définit plusieurs méthodes
d’authentification possédant différents niveaux de sécurité. Les méthodes d’authentification les plus
fréquemment utilisées sont détaillées dans cette section.

a) EAP-MD5

Authentification du supplicant reposant sur un protocole par défi-réponse et sur la fonction


de hachage MD5 . Cette méthode offre un faible niveau de sécurité, car vulnérable à des attaques
par dictionnaires et de l’homme du milieu. De plus, elle ne permet pas d’authentifier le serveur et
ne peut pas être utilisée dans des réseaux sans fil de part l’absence de négociation des clés
cryptographiques durant l’authentification.

Figure 6 :Logigramme de connexion à un réseau 802.1X

b) EAP-MSCHAPv2

Authentification mutuelle des correspondants qui repose sur un mot de passe et des défis
cryptographiques. Cette méthode offre un niveau de sécurité faible, elle est vulnérable à des
attaques par dictionnaires et sa résistance est équivalente à celle d’une clé DES

c) EAP-TLS

EAP-TLS est un protocole d’authentification mutuelle du supplicant et du serveur par


certificats. Cette authentification est réalisée à l’aide d’un handshake TLS. Cette méthode nécessite
que le serveur et chaque supplicant possèdent un certificat. Elle impose donc l’utilisation d’une
infrastructure de gestion de clés dans le système d’information. Ce protocole d’authentification est
considéré comme sûr. Il expose cependant l’identité du supplicant durant la connexion, au travers
du Common Name du certificat ou du champ Identity de la réponse EAP. Suivant le scénario de
déploiement envisagé, cette information peut être considérée comme sensible. Le mode privacy,
traite ce problème en modifiant le séquencement des opérations dans le handshake TLS.
L’implémentation de cette fonctionnalité est cependant optionnelle et elle reste peu implémentée
dans les serveurs et les supplicants existants.

d) EAP-PEAP

Ce protocole d’authentification est souvent dénommé PEAP dans la littérature. Initialement


créé et défini par Microsoft ses spécifications sont disponibles en accès libre sur le site de l’éditeur.
Le protocole PEAP propose plusieurs versions et évolution.Le protocole PEAP fonctionne en deux
phases. Durant la première phase, le serveur s’authentifie auprès du supplicant au moyen d’un
certificat pour créer un tunnel TLS entre les deux parties. Il procède ensuite à l’authentification du
supplicant dans le tunnel TLS au moyen d’une méthode EAP appelée méthode interne. Les
échanges réalisés par cette méthode interne sont protégés par le tunnel TLS établi. Cette
construction permet l’utilisation de protocoles reposant sur les mots de passe pour l’authentification
des supplicants. La méthode d’authentification interne la plus couramment utilisée est la méthode
EAP-MSCHAPv2 et dans ce cas, le protocole est appelé PEAP-MSCHAPv2. PEAP peut également
utiliser d’autres méthodes internes comme EAP-TLS pour authentifier les supplicants. Le protocole
PEAP requiert uniquement un certificat serveur, l’utilisation de certificats clients est optionnelle et
dépend de la méthode interne choisie. La mise en œuvre de ce protocole permet d’atteindre un
niveau de sécurité correct, sous réserve d’appliquer les recommandations détaillées dans le chapitre
3 de ce document.

e) EAP-TTLSv0

Le protocole EAP-TTLSv0, aussi appelé EAP-TTLS, est un protocole d’authentification en


deux phases,dont le fonctionnement est similaire au protocole PEAP. Ces protocoles restent
cependant différents et incompatibles. Durant la première phase, le supplicant authentifie le serveur
au moyen d’un certificat afin de créer un tunnel TLS entre les deux parties. L’authentification du
supplicant s’effectue durant la seconde phase, à l’intérieur du tunnel TLS précédemment créé et à
l’aide d’une méthode d’authentification interne (inner method). Cette méthode peut être une
méthode EAP (EAP-MD5 par exemple) ou non EAP comme MSCHAPv2. Dans la majorité des
déploiements, les méthodes internes utilisées sont PAP, EAP-MD5, EAP MSCHAPv2 ou
MSCHAPv2. Le protocole EAP-TTLSv0 est défini dans le document et il présente plusieurs
avantages :

➢ l’identité du supplicant est masquée durant la phase d’authentification ;

➢ plusieurs méthodes internes peuvent être utilisées, sachant qu’elles sont souvent déjà mises
en place dans un système d’information ;

➢ il requiert uniquement un certificat serveur, l’utilisation de certificats clients n’est pas


obligatoire.

L’utilisation de ce protocole permet d’atteindre un niveau de sécurité correct sous certaines


conditions de déploiement.
IX. Politique de sécurité

a) Réseau de confiance

La norme 802.1X fait état d’un réseau de confiance qui relie les clients et le serveur. Ce
réseau véhicule plusieurs informations :

➢ les messages d’authentification et d’autorisation échangés entre les supplicants et le


serveur ;

➢ la clé maîtresse de protection utilisée entre un supplicant et une borne d’accès sans fil ;

➢ les informations de journalisation échangées entre les clients et le serveur

b) Sécurité du serveur

Le serveur est l’élément critique d’un réseau 802.1X.Il contrôle l’ouverture de tous les ports
de connexion offerts par les clients. Il est donc essentiel de limiter sa
surface d’attaque afin de garantir son intégrité et sa disponibilité. Les architectures virtualisées sont
fortement présentes dans les systèmes d’information actuels. Malgré les nombreux avantages mis en
avant par cette technologie, elle fait reposer le cloisonnement des applications sur des mécanismes
logiques. Les scénarios d’attaque d’un service virtualisé sont donc plus nombreux que s’il est
physiquement cloisonné (droits des administrateurs de l’hyperviseur, failles de l’hyperviseur,
mémoire partagée entre services. . .). En conséquence, la virtualisation du service RADIUS ne peut
être réalisée que sur un hyperviseur hébergeant des services d’une même zone de confiance, ayant
entre autres :

➢ les mêmes besoins de sécurité (confidentialité, intégrité, disponibilité) ;

➢ le même niveau d’exposition, c’est-à-dire accessible depuis des zones et par des personnes
d’un niveau de confiance homogène.

c) Cloisonnement des flux

Les flux circulant dans le réseau de confiance sont uniquement des flux de service échangés
entre les clients et le serveur. Aucun autre flux n’est légitime sur ce réseau, en particulier les flux
des utilisateurs. Il convient donc de s’assurer que les flux utilisateurs du système d’information ne
circulent pas dans le réseau de confiance. Il est également essentiel de s’assurer que les réseaux
d’administration du système, d’information ne peuvent pas être atteints trivialement en cas de
compromission du réseau de confiance ou du serveur.

d) Intégrité et confidentialité des messages

Dans le réseau de confiance, les données d’authentification sont échangées au travers


d’attributs EAP dans des paquets RADIUS. Selon la RFC , tout message RADIUS contenant au
moins un attribut EAP doit présenter un motif d’intégrité valide dans le champ Message-
Authenticator. Il en est de même pour chaque message de journalisation échangé entre les clients et
le serveur (champ Authenticator).

e) Journalisation

La gestion des journaux d’évènements associés aux équipements du réseau de confiance est
une fonction de sécurité essentielle. En fonctionnement nominal, une telle architecture ne génère
pas de messages d’erreur, aussi la surveillance des journaux permet de détecter des comportements
suspects, d’anticiper et de réagir à des compromissions.

Conclusion

Lors du déploiement d'un réseau sans fil, le Wi-Fi (802.11) semble être la solution
répondant au mieux aux besoins des réseaux locaux sans fil grâce à l'avantage qu'elle procure,
qui est son interopérabilité avec les réseaux de type Ethernet. En effet, seule les deux
premières couches du modèle OSI sont définies par le Wi-Fi. Cette technologie, est
fréquemment utilisée dans les entreprises désirant accueillir des utilisateurs mobiles ou
souhaitant une alternative au réseau filaire tout en conservant des performances quasi
identiques.On a vu que le Wi-Fi soufrait de beaucoup de problèmes de sécurité, mais cette
faiblesse a été comblée par l'intégration du WPA et de la 802.11i. L'installation d'un réseau
sans fil permet aussi de régler les nombreux problèmes techniques que connaissent les réseaux
filaires, comme les problèmes de câblages, d'insuffisances de locaux pouvant accueillir
beaucoup de machines.

Vous aimerez peut-être aussi