Vous êtes sur la page 1sur 67

REPUBLIQUE DU CAMEROUN REPUBLC OF CAMEROON

Paix-Travail-Partie Peace-Work-Fatherland
******* *******
UNIVERSITE DE YAOUNDE I UNIVERSITY OF YAOUNDE I
*******
*******

INSTITUT SUPERIEUR DE FORMATION AUX


ECOLE NATIONALE SUPERIEURE
METIERS DES TELECOMMUNICATIONS, DE
POLYTECHNIQUE DE YAOUNDE L’INNOVATION TECHNOLOGIQUE,
DE COMMERCE ET DE GESTION

MEMOIRE DE FIN DE FORMATION

Thème: SECURISATION DU RESEAU WIFI PAR IMPLEMENTATION DE


LA NORME 802.1X SUR SERVEUR RADIUS

Rédigé par:
ATANGANA AMOUGOU LAURENT STEPHANE
Étudiant en 3ème année en Télécommunications et Réseaux à
L’IFTIC-SUP

En vue de l’obtention de la licence professionnelle en Télécommunication et Réseaux

Filière: GENIE ELECTRIQUE

Option : TELECOMMUNICATIONS ET RESEAUX

Sous la supervision de:


EncadreurAcadémique
Encadreur académique
AMBIEBELE MAMENE
M.AMBIEBELE Jean Louis
MAMENE Jean Louis
Ingénieur en
Ingénieur desTélécommunications
Télécommunications
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

ANNEE ACADEMIQUE: 2019-2020

DEDICACES

À ma famille.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


II
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

REMERCIEMENTS

Ce mémoire est l’aboutissement d’un travail de trois années d’études. C'est pourquoi, je tiens à
remercier, dans ces quelques lignes, en signe de gratitude et de profonde reconnaissance, tous ceux qui de
près ou de loin, ont contribué à l’aboutissement de ce projet.
Mes sincères remerciements sont adressés à:
 Tous les membres du Jury d’avoir accepté de conduire cette soutenance et d’y apporter une
contribution positive pour l’émulation de ma formation dans le domaine des TIC;
 Monsieur le President du Conseil administration, Administrateur Statutaire, fondateur de l’IFTIC-
SUP, qui nous a permis d’intégrer le prestigieux institut dont il a la charge;
 Monsieur le Directeur des études de l’Institut Supérieur de Formation aux Métiers des
Télécommunications, de l’Innovation Technologique de Commerce et de Gestion de Commerce et
de Gestion, pour sa patience, ses conseils et les différentes orientations données pour le suivi de ce
travail;
 Tout le corps enseignant de l’IFTIC-SUP pour son encadrement tout le long de l’année ;
 Mes très chers parents qui ont consenti des sacrifices et prodigué des encouragements tout au long
de mes études;
 Ma famille pour le soutien qu’il m’accorde.
 Je remercie tous mes camardes pour l’ambiance amicale et fraternelle qui a régné entre nous durant
ces trois années passées à l’IFTIC-SUP.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


III
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

SOMMAIRE

DEDICACES..................................................................................................................................................ii
REMERCIEMENTS ..................................................................................................................................... iii
SOMMAIRE ................................................................................................................................................. iv
RESUME ........................................................................................................................................................v
ABSTRACT .................................................................................................................................................. vi
LISTES DES TABLEAUX .......................................................................................................................... vii
LISTES DES FIGURES .............................................................................................................................. viii
LISTES DES SYMBOLES ET ABREVIATIONS ....................................................................................... ix
INTRODUCTION GENERALE ................................................................................................................... 1
CHAPITRE I : CONTEXTE ET PROBLEMATIQUE ................................................................................ 2
I- CONTEXTE .......................................................................................................................................... 2
II- PROBLEMATIQUE ......................................................................................................................... 2
CHAPITRE II : METHODOLOGIE ............................................................................................................. 4
INTRODUCTION ......................................................................................................................................... 4
I- PRÉSENTATION DE LA MÉTHODE QQOCQP ............................................................................... 5
II- ETAT DE l’ART ............................................................................................................................... 6
III- Cahier de charges ............................................................................................................................ 28
IV-PRÉSENTATION ET CHOIX DE LA SOLUTION ............................................................................. 29
CHAPITRE III : SOLUTIONS, RESULTATS, COMMENETAIRES ...................................................... 41
I- MISE EN PLACE DE L’ENVIRONNEMENT DE TRAVAIL ......................................................... 41
II- RESULTATS .................................................................................................................................. 50
III- COMMENTAIRES ......................................................................................................................... 52
CONCLUSION GENERALE ..................................................................................................................... 53
BIBLIOGRAPHIE ...................................................................................................................................... 54
WEBOGRAPHIE ........................................................................................................................................ 55
TABLE DE MATIERES ............................................................................................................................. 56

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


IV
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

RESUME

Les réseaux informatiques sont de plus en plus nombreux et utilisés dans les activités intéressant
l’économie mondiale. Toute entreprise soucieuse de son développement s’équipe forcément d’outils
informatiques et intègre dans son système d’information un réseau informatique.
La mise en place d’une politique de sécurité fiable et efficace est indispensable pour garantir la
confidentialité, l’authenticité et l’intégrité des données et aussi pour s’assurer de l’identification des
différents utilisateurs, abonnés ou clients de l’entreprise.
Le présent mémoire a eu pour objet la résolution de la problématique de sécurité au sein d’un réseau
wifi.
C’est dans cette optique que, pour notre réseau wifi, nous nous sommes servis du protocole
d’authentification 802.1x sur serveur radius pour la sécurisation optimale de celui-ci.
Pour la mise en place de ce protocole, nous avons cru bon travailler avec Cisco Packet Tracer. Notre
système de sécurité a eu pour repères, les points d’accès de notre réseau. Cette façon de voir les choses,
nous aura permis, nous le croyons, de maximiser la sécurité de notre réseau en bloquant, dès l’entrée dans
celui-ci, toutes les velléités d’attaques ou d’intrusions pirates. Aussi, notre travail a principalement consisté
à implémenter le protocole d’authentification 802.1x au niveau des points d’accès, portes d’entrée de notre
réseau.
La réalisation de ce mémoire nous aura permis d’acquérir des nouvelles connaissances et de mieux
comprendre le fonctionnement et le processus de sécurisation des réseaux en général et des réseaux sans fils
en particulier.
Ce fut une très grande expérience pour nous de pouvoir réaliser ce travail.

Mots clés : Radius, Cisco Packet Tracer, 802.1x.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


V
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

ABSTRACT

Computer networks are increasingly numerous and activities affecting the world economy. Any
company concerned with its development necessarily equips itself with IT tools and integrates a
computer network into its information system.

The establishment of a reliable and effective security policy is essential to guarantee the
confidentiality, authenticity and integrity of the data and also to ensure the identification of the
various users, subscribers or customers of the company.
The purpose of this brief is to resolve the security issue within a Wi-Fi network. It is with
this in mind that, for our wifi network, we used the 802.1x authentication protocol on a radius
server for optimal security.
For the implementation of this protocol, we saw fit to work with Cisco Packet Tracer. Our
security system was based on the access points to our network. This way of seeing things, we
believe, will have allowed us to maximize the security of our network by blocking, upon entering
it, all attempts at attacks or hacker intrusions. Also, our work mainly consisted of implementing
the 802.1x authentication protocol at the access points, the gateways to our network.
The completion of this thesis will have allowed us to acquire new knowledge and better
understand the operation and process of securing networks in general and wireless networks in
particular.
It was a great experience for us to be able to carry out this work.

Key Words: Radius, Cisco Packet Tracer, 802.1x.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


VI
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

LISTES DES TABLEAUX

Tableau 1:WPAN .................................................................................................................................................... 9


Tableau 2:WLAN................................................................................................................................................... 10
Tableau 3:WMAN ................................................................................................................................................. 11
Tableau 4:WWAN ................................................................................................................................................. 12
Tableau 5:BUDGETISATION .................................................................................................................................. 40
Tableau 6:BUDGETISATION2 ................................................................................................................................ 40

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


VII
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

LISTES DES FIGURES

Figure 1: Routeur Wi-Fi ........................................................................................................................................ 15


Figure 2: Adaptateur Wi-Fi ................................................................................................................................... 16
Figure 3:Mode Infrastructure ............................................................................................................................... 17
Figure 4:Mode Ad-Hoc ......................................................................................................................................... 17
Figure 5:Deni De Service ....................................................................................................................................... 20
Figure 6:Main In The Middle ................................................................................................................................ 20
Figure 7:Spoofing ................................................................................................................................................. 21
Figure 8:Sniffing ................................................................................................................................................... 21
Figure 9:Processus D'authentification .................................................................................................................. 39
Figure 10:Interface Cisco Packet Tracer ................................................................................................................ 42
Figure 11:Architecture De Travail ......................................................................................................................... 43
Figure 12: Configuration Serveur Dhcp ................................................................................................................. 44
Figure 13: Configuration AAA Sur le Serveur ........................................................................................................ 45
Figure 14: Interface de Configuration Routeur Wi-Fi Cisco ................................................................................... 46
Figure 15: Configuration SSID ............................................................................................................................... 47
Figure 16: Configuration Securite Wireless ........................................................................................................... 47
Figure 17: interface indiquant L e Chemin A suivre Pour l'authentification Via le Point D'acces ........................... 48
Figure 18: Non Connexion Entre La Machien Et Le Point d'acces .......................................................................... 48
Figure 19:Creation Profile ..................................................................................................................................... 49
Figure 20:Mode D'Architecture ............................................................................................................................ 49
Figure 21:Interface Autthentification ................................................................................................................... 50
Figure 22: Connexion Entre Routeur Wi-Fi et Point D'acces .................................................................................. 51
Figure 23:Architecture Finale Interconecter ......................................................................................................... 51
Figure 24:Test De Ping .......................................................................................................................................... 52

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


VIII
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

LISTES DES SYMBOLES ET ABREVIATIONS

 IEEE: Institute of Electrical and Electronics Engineers


 IP : Internet Protocol
 IPSEC : Internet Protocol Security
 MAC : Media Acces Control Address
 PDA : Personal Digital Assistant
 RADIUS: Remote Authentication Dial-In User Service
 SSID : Service Set Identifier
 VLAN : Virtual Area Network
 VPN : Virtual Private Nework
 WEP : Wired Equivalent Privacy
 WIFI : Wireless Fidelity
 WPA : Works Progress Administration
 WPA2: Wi-Fi Protected Access 2
 WPAN : Wireless Personal Area Network
 WLAN : Wireless Local Area Network
 WMAN : Wireless Metropolitan Area Network
 WWAN : Wireless Wide Area Network

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


IX
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

INTRODUCTION GENERALE

Le monde d’aujourd’hui ne pas être comparable au précédent. Depuis quelques années,


nous assistons à la révolution du numérique, plus besoin de se rendre d’un point A à un point B
pour pouvoir dialoguer avec son frère, son ami, sa famille. Il est ainsi possible d’être interconnecté
à un réseau sans le moindre câble, ce qui résout le problème de portabilité du réseau avec une
qualité de service aussi meilleure que celle du réseau câblé.
Les réseaux informatiques sont aujourd’hui très indispensables dans toutes les activités de
notre vie, se connecter sans le moindre câble à un réseau wifi est devenu facile, grâce aux travaux
acharnés des ingénieurs des télécommunications et informatiques qui chaque jour, sont à la
recherche des nouveaux instruments de communication, pour rendre le monde plus proche malgré
les grandes distances.
Pour qu’une entreprise soit pérenne dans le temps, il lui faut une politique de sécurité pour
garantir la protection de ses équipements et de ses informations par des protocoles de sécurisation.
C’est le cas du protocole d’authentification 802.1x, celui-ci permet de résoudre le problème de
vulnérabilité d’un réseau wifi.
C’est dans cette optique que nous sommes amenés à traiter dans ce mémoire, le sujet ainsi
soumis à votre évaluation. Il est question pour nous de sécuriser un réseau wifi, via le serveur radius
qui en son sein implémente le protocole d’authentification 802.1x. Pour y parvenir, nous avons
construit notre thème sur trois Chapitres :
- Le premier chapitre traite du contexte et de la problématique : nous ressortons ici les
raisons qui nous ont poussés à choisir ce thème et soulevons les problématiques autour
- Le deuxième chapitre présente la méthodologie mise au point pour atteindre l’objectif visé
- Le troisième chapitre est celui des solutions, résultats et commentaires, nous y faisons une
implémentation du protocole d’authentification 802.1x sur le serveur radius et mettons en place
notre architecture wifi.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


1
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

CHAPITRE I : CONTEXTE ET PROBLEMATIQUE

I- CONTEXTE

Ce travail s’effectue dans un contexte sanitaire mondial très particulier : le monde vit la
pandémie liée au covid-19, celle-ci a pratiquement bouleversé tous les systèmes mis en marche
pour réguler la marche du monde. Les systèmes d’enseignement n’en sont pas exemptés, cela n’a
pas constitué un frein pour nous parvenus à la fin de formation à l’IFTIC-SUP dans la Filière Génie
Electrique, Option : Télécommunication et Réseaux. Il a été conseillé à chaque étudiant de réfléchir
sur le thème de mémoire qu’il souhaiterait soutenir ou de se référer à toute personne ressource qui
lui permettrait d’en trouver un.
C’est compte tenu du fait de la croissance de la cybercriminalité dans les réseaux
d’entreprise dans notre pays et de par le monde qu’il m’est apparu important de mener une réflexion
dans ce sens. Car, il ne passe aucun jour sans qu’il y’ait plainte de piraterie des données, du vol
d’argent soit chez des particuliers ou chez des entreprises pourtant réputées sérieuses. Le covid-19,
il nous semble, a accéléré la cybercriminalité certainement pour des raisons de survie des hackers.
J’ai choisi de traiter le présent thème pour apporter ma modeste contribution à la recherche des
solutions efficaces de protection contre les cybercriminels.
Nous avons choisi les réseaux wifi parce que ceux-ci présentent d’énormes inconvénients
dans la mesure où la sécurité de ses réseaux est faible.
C’est dans cette optique que nous présentons ce projet dans lequel Il est question de
sécuriser un réseau wifi via le serveur radius a l’intérieur duquel le protocole d’authentification
802.1x sera implémenté.

II- PROBLEMATIQUE

Les réseaux sans fils bien qu’ils constituent une avancée majeure de la technologie des
réseaux ne sont pas pour autant fiables. Les réseaux Wi-Fi sont le plus souvent vulnérables et sujets
aux attaques des personnes malveillantes qui essaient toujours de pénétrer pour nuire aux personnes

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


2
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

et entreprises. Du fait de la fragilité des systèmes de sécurité mis en place, n’est-il pas temps
d’essayer une autre manière de maximiser la sécurité de ces réseaux et d’essayer les technologies
innovantes actuellement mises en œuvre en matière de sécurité des réseaux wifi et de leurs systèmes
d’informations ?
Les grandes questions que nous sommes le plus souvent amenés à nous poser sont les
suivantes : Connaitre les procédés utilisés par les pirates ne nous sera-t-il pas plus utile pour nous
protéger nous-mêmes ?
Pourquoi les pirates parviennent-ils à franchir les différents niveaux de sécurité des
systèmes informatiques ?
Quelles sont les points vulnérables des systèmes d’informations et comment les renforcer ?
Quelles sont les cyberattaques dont il faut absolument se protéger ?
Quelles sont les techniques avancées utilisées dans une cyberattaque ?
Pour répondre à toutes ces questions, nous avons utilisé la norme 802.1x du standard IEEE
actuellement la plus prisée pour la vérification de l'authentification de l’utilisateur avant la
connexion de l'ordinateur au réseau, l’autre question est de savoir si celle-ci ne présente pas des
limites et des contraintes pour son implémentation dans un VLAN sur serveur d'authentification
centralisé Radius ?
Pour répondre à toutes ces questions, il est judicieux de choisir une méthodologie qui nous
permettra si possible de solutionner le problème posé.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


3
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

CHAPITRE II : METHODOLOGIE

INTRODUCTION

La méthodologie permet de définir l’ordonnancement du projet, pour remplir trois fonctions


qui sont : la planification, exécution, et le contrôle, ce qui permet de déterminer le programme
optimal d’utilisation des moyens à notre disposition pour mener à bien notre projet dans les temps
définis.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


4
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

I- PRÉSENTATION DE LA MÉTHODE QQOCQP

Pour l’élaboration de notre travail, nous nous sommes servis de la méthode QQOCQP.

Le sigle QQOQCP signifie : Quoi ? Qui ? Où ? Quand ? Comment ? Pourquoi ?


On utilise cette méthode pour résoudre de façon précise et concrète un problème posé. Elle
nous permet à travers les six questions, d’avoir une vue globale de la marche à suivre pour atteindre
les objectifs suscités par ledit problème. Comment interpréter ces questions ?
Quoi ?
Cette question permet de définir de manière claire et précise le problème. Il s’agit ici de
mettre en place une politique et un système de sécurité efficace qui protège de façon maximale
toutes les opérations internes et externes à l’entreprises que ce soit les données propres à
l’entreprises ou celles des utilisateurs liés à l’entreprise.
Qui ?
Cette tâche incombe à l’administrateur réseau en charge de la sécurité de l’entreprise. Celui-
ci doit pouvoir inventorier toutes sortes d’attaques susceptibles de perturber le fonctionnement de
l’entreprise et concevoir une politique de sécurité puis l’implémenter.
Où ?
Cette question permet de déterminer les différents points où seront installés les instruments
de sécurité. Ici sur les points d’accès de notre réseau Wifi.
Quand ?
De façon permanente, dès la création du réseau de l’entreprise.
Comment ?
A l’aide du protocole d’authentification 802.1X via le serveur RADIUS.
Pourquoi ?
Parce que c’est la norme la plus utilisée pour la sécurité d’accès réseau.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


5
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

II- ETAT DE l’ART

II- 1- LES RESEAUX SANS FILS

Introduction

Les réseaux informatiques sont un ensemble d’équipements interconnectés les uns aux dans
lesquels des ressources, des données, des informations sont échangées
Le travail acharné des chercheurs en la matière a fait naitre une évolution de la technologie
des réseaux câblés aux réseaux non câblés c’est-à-dire les réseaux wifi
Les réseaux sans fils sont des réseaux où des utilisateurs sont connectés à un réseau qui leur
permet d’être mobiles malgré qu’ils soient connectés à des réseaux fixes. Ce sont des réseaux
faciles à mettre sur pied ne nécessitant pas de grandes connaissances.

A- Définition

Les réseaux wifi sont des réseaux qui fonctionnent au moyen d’émission des ondes
radioélectriques.
Les réseaux sans fils sont aussi des réseaux ou au moins deux terminaux peuvent
communiquer sans la moindre liaison filaire.

II- 1-1-Normes IEEE 802.11

L’IEEE a eu à développer la norme 802.11 sous plusieurs versions qui regroupent les normes
physiques et les normes d’amélioration. Chacune d’elles offrent des caractéristiques en termes de
fréquences, de débit ou portée du signal.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


6
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

A- Les normes physiques

La première version normalisée par IEEE a été 802.11. Elle utilisait la modulation DSSS
sur la bande 2.4GHz. Cette première norme proposait un débit très faible de 2Mbit/s comparés aux
débits que propose les normes :
-Norme IEEE 802.11b ou Wi-Fi2 : c’est la première norme Wi-Fi interopérable qui
propose un de 11Mbit/s. elle permet de couvrir un rayon de 300 mètres dans un environnement
sans encombre. Cette norme agit sur une bande passante de 2.4GHz. Elle a connu beaucoup
d’extension qui visait à améliorer la qualité de service, le débit, le niveau de sécurité, la bande
passante, etc.
-Norme IEEE 802.11a : connu sous le nom de Wi-Fi 5, cette norme permet d’avoir un
débit de 27Mbit/s sous un rayon de 10metres. Elle n’est pas compatible avec la norme 802.11b,
elle a un très bon débit et une faible portée ce qui constitue un problème pour les utilisateurs. Pour
répondre donc à ces problèmes, l’IEEE a développé la norme 802.11g
-Norme IEEE 802.11g : cette norme offre un débit égal à celui de la Norme 802.11a tout
en étant compatible avec la Norme 802.11b
-Norme 802.11n : conçue pour atteindre les débits théoriques de 270Mbit/s ou 300Mbit/s.

B- Normes d’améliorations

Les normes suivantes ont apporté d’énormes améliorations sur le réseau Wi-Fi du point de
vue de la sécurité, de la qualité, de l’interopérabilité, etc.
-Normes IEEE 802.11i : mise sur pied pour renforcer la sécurité des transmissions au
niveau MAC se substituant ainsi au protocole de cryptage WEP.
-Normes IEEE 802.11d : elle permet aux différents équipements d’échanger des
informations sur les plages de fréquences et les puissances autorisées dans les pays d’origine. Elle
permet l’amélioration de couche physique afin de fournir une conformité aux exigences de certains
pays.
-Normes IEEE 802.11e : elle a été mise sur pied pour l’amélioration de la qualité de
service (bande passante, délai de transmissions de paquets…) et les fonctionnalités
d’authentification ainsi que la sécurité.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


7
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

-Normes IEEE 802.11f : elle assure l’interopérabilité entre les points d’accès de différents
constructeurs.
-Normes IEEE 802.11h : elle a été mise sur pied pour gérer le spectre de la norme 802.11a
et vise à améliorer la sous couche MAC, afin de rendre compatible les équipements 802.11a avec
les infrastructures Hiperlan2. Enfin elle s’occupe de l’assignation automatique de fréquences du
point d’accès et du contrôle automatique de la puissance d’émission, afin d’éliminer les
interférences entre points d’accès.

II- 1-2-Différentes couches Wi-Fi

Il en existe deux types de couches : la couche physique et la couche de liaison de données

 Couche physique
Elle assure la transmission de données au support, elle est composée de deux sous couches :
 Sous couche PLCP
Elle s’assure de la détection du support et fourni u signal CCA a la sous couche MAC pour
lui informer si le support est occupé ou non
 Sous couche PMD

Elle spécifie le type de support de transmission

 Couche de liaison de données


Elle assure le transfert de blocs d’informations entre les équipements qui ont un taux
d’erreur négligeable. Elle se compose également de deux sous couches :
 Sous couche LLC
Elle fournit un contrôle de flux et de multiplexage pour la liaison logique
 Sous couche MAC

Elle fournit un contrôle d’écoulement et de multiplexage pour le support de transmission

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


8
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

II- 1-3-Types de réseaux sans fils

A- WPAN (Wireless Personal Area Network)

Communément appelé réseau domestique, le WPAN est un réseau qui fonctionne sans le
moindre câble et qui permet d’interconnecter les équipements sur une zone d’environs quelques
mètres.

Technologie Norme Débit Portée Bande de Observation


théorique (m) fréquence
(GHz)
Bluetooth IEEE 1Mbits/s Une 2,4 - -Bas prix
trentaine 2,4835
802.15.1 -L’émission de
puissance
dépend de la
réglémentation
HomeRF Consortium 10Mbits/s 50 - 100 2,4 - -Permet de
2,4835 relier des PC
(Intel, HP,
.portables,
Siemens,
fixes et
Motorola et d’autres

Compaq) terminaux.

ZigBee IEEE 20 – 250 100 2,4 - -Très bas prix,

802.15.4 Kbits/s 2,4835


-Très faible
consommation
d’énergie.

TABLEAU 1:WPAN

B- WLAN

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


9
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

Le WLAN est un Réseau wifi local pouvant couvrir un établissement. C’est un réseau ou
un utilisateur mobile peut se connecter à un réseau LAN via une connexion sans fil, avec une portée
d’environs quelques centaines de mètres.

Technologie Norme Débit Portée (mètres) Bande de Observation

(Mbits/s) fréquence
(GHz)
WiFi IEEE 2 - 54 35 -50 2,4 – 2,4835 -Elle comporte plusieurs
802.11 (indoor) des déclinaisons IEEE 802.11 a/b/g
centaines
(outdoor)
HiperLAN ETSI 19 - 20 Max 150 2,4 -La vitesse de déplacement de
1 l’utilisateur ne peut excéder 10 m/s
HiperLAN 54 Max 150 5,4–5,7 -Permet d’accéder aux réseaux

2 ATM

HiperLink 155 150 - 200 17,2 – 17,3 -Permet des liaisons fixes entre 2
points

DECT 2 300 1880 – 1900 -Technique d’accès TDMA


MHz

TABLEAU 2:WLAN
C- WMAN

Un WMAN est un réseau wifi pouvant couvrir un établissement ou une ville. Pour ce type
de réseau on utilise généralement la fibre optique. En voici les types et caractéristiques
Technologie Norme Débit Portée Bande de Observation
(Mbits/s) (km) fréquence
(GHz)

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


10
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

WiMax IEEE 70 50 1– 66 - Permet le raccordement des hots


802.16 spots Wifi pour l’accès à Internet
- Techniques d’accès TDMA
Comporte plusieurs déclinaisons

HiperAccess ETSI supérieur à Très 11–66 - Permet d’accéder aux réseaux ATM
100 courte
portée

TABLEAU 3:WMAN
D- WWAN

Le WWAN est un Réseau wifi pouvant couvrir le monde. est également connu sous le nom de
réseau cellulaire mobile. Il s’agit des réseaux sans fil les plus répandus puisque tous les téléphones mobiles
sont connectés à un réseau étendu sans fil
Technologie Norme Débit Portée Bande de Observation
(km) fréquence
-Utilise une commutation
de circuits

GSM Européenne 9.6 Kbits/s Jusqu’à 0.9 et 1.8 GHz -permet le transfert de la

30km voix ou de données


numériques de faible
volume
114 Kbits/s -Utilise une commutation
(réel) et de paquets

GPRS Européenne 171.2 Kbits/s 0.3 - 30 0.9 et 1.8 GHz -Prise en charge des
(théorique) applications de données à
moyens débits

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


11
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

-Offre un accès à Internet


Européenne 2G et à ses serveurs web -

(ETSI) (théorique) 0.3 - 30 2 GHz Supporte des applications

UMTS audio et vidéo basse


définition -Fonctionne en
mode paquet et mode
circuit

CDMA 2000 Américaine ≤ 2 Mbits/s 2 GHz -Utilise la technique


(TIA) d’étalement de bande
384 Kbits/s -Utilise la commutation
(station fixe) de circuit

EDGE Européenne et 144 Kbits/s 0.3 - 30 2GHz


(station
mobile)

TABLEAU 4:WWAN

II- 1-4-Les services de base de la sécurité

D’une manière générale, la sécurité s’appuie sur cinq services à savoir : l’intégrité des
données, la non-répudiation, l’authentification, la confidentialité et l’identification

A- Intégrité des données

L’intégrité des données consiste à prouver que les données n’ont pas été modifiées. Pour
garantir l’intégrité des données, il est nécessaire de mettre en place un contrôle d’erreur.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


12
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

B- Non-répudiation

La non-répudiation consiste à empêcher qu’un expéditeur puisse nier ultérieurement avoir


envoyé un message. La non-répudiation peut être mise en place à l’aide de la signature à clé
publique ou privée.

C- Authentification

L’authentification a pour objectif de vérifier l’identité des processus communicants.

D- Confidentialité

La confidentialité consiste à garantir que les données échangées ne sont pas


compréhensibles que par les deux entités communicantes. La confidentialité implique la mise ne
place d’algorithme de chiffrement ou de cryptage en continu pour assurer la confidentialité

 Cryptage symétrique

Ici il faudrait juste que l’émetteur et le récepteur possèdent la même clé pour rendre les
données chiffrées, déchiffrées afin de les rendent compréhensibles

 Cryptage asymétrique

Ici le cryptage fonctionne suivant un couple de clé dit clé publique et clé privée. La seule
clé connue de l’émetteur et du destinataire n’est que la clé publique parce que la clé privée sert à
déchiffrer.
Le principe est simple l’metteur prend la clé publique du destinataire et chiffre le message,
lors que le message parvient au destinataire il le déchiffre avec sa clé privée.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


13
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

E- Identification

L’utilisateur d’un système ou d’une ressource quelconque possède une identité qui doit être
identifiée.

II- 1-5-Equipements utilisés pour la transmission dans un réseau WIFI

La mise en place d’un réseau wifi repose sur deux types d’équipements à savoir :
 Les Points d’accès
 Les Adaptateurs sans fils ou encore cartes d’accès

A- Points d’accès

Un point d’accès est un équipement du réseau informatique qui permet de créer un réseau
local avec internet à l’appui et desservir les utilisateurs du t réseau ainsi crée.
Des fonctionnalités complémentaires standards incluent l’accueil d’un portail captif et
d’une liste de contrôle d’accès de sorte que l’on peut restreindre l’accès des invites sans pour autant
compromettre la sécurité du réseau en outre ; ces fonctionnalités permettent de mieux gérer le
contrôle d’accès des utilisateurs sur le réseau.
Certains points d’accès sont dotés de la fonctionnalité Clustering (ou Grappe de points
d’accès) c’est à dire que l’administrateur du réseau wifi peut lui-même configurer le réseau wifi,
le mettre sur pied et sécuriser celui-ci.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


14
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 1: ROUTEUR WI-FI

B- Adaptateurs sans fils ou cartes d’accès

Un adaptateur wifi est un équipement qui permet à un utilisateur du réseau de pouvoir se


connecter à internet sans qu’il n'est besoin de se connecter à un point d’accès.
L’adaptateur sans fil a éliminé tous les problèmes et situations incongrues face aux
problèmes de connectivité à internet, maintenant il est possible sans point d’accès mais avec un
adaptateur wifi de pouvoir profiter de la connexion internet n’importe où tout en restant dans le
champ de portée de la réception du signal.
Les adaptateurs wifi sont disponibles en version Plug-and-Play. Il suffit de se brancher sur
le port USB de son PC. L’adaptateur WIFI pour être desservi à une connexion internet, Il n’est pas
généralement nécessaire d’installer les pilotes de l’adaptateur wifi puisqu'il est indirectement pris
en compte lors de son branchement au PC, mais au contraire on vous invite à installer
automatiquement les dits pilotes.
L’utilisation d’un adaptateur wifi soulage de tous les maux de tête et permet de profiter
d’une connectivité effective à internet.
Il est possible avec un seul adaptateur wifi de pouvoir interconnecter plusieurs appareils

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


15
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 2: ADAPTATEUR WI-FI

II- 1-6-Mode de fonctionnement d’un réseau wifi

Le réseau wifi repose sur deux modes de fonctionnement érigés du standard 802.11 à
savoir :
 Le mode infrastructure
 Le mode ad-hoc

A- Le mode infrastructure

Dans ce mode de fonctionnement, les différents équipements qui sont munis d’une carte
wifi ou carte réseau wifi tels que PC PORTABLE, PDA, se connectent au réseau via un point
d’accès qui dessert les différents équipements
Il est à signaliser que dans ce type d’architecture le point d’accès agit comme un
concentrateur

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


16
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 3:MODE INFRASTRUCTURE


B- Le mode Ad-Hoc

Dans ce mode de fonctionnement les équipements sont connectés sans le moindre point
d’accès les uns aux autres.
On utilise généralement ce mode si on ne veut pas d’équipements supplémentaires pour le
réseau wifi que l’on veut constituer.

FIGURE 4:MODE AD-HOC

II- 1-6-Avantages et inconvénients des réseaux wifi

A- Avantages

Les réseaux sans fils ont été mis en place pour corriger les manquements des réseaux
filaires en apportant plusieurs avantages parmi lesquels.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


17
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

 La mobilité
La mobilité ici s’exprime par le fait que l’utilisateur est libre de tout mouvement tant qu’il
se déplace avec, sa tablette, son téléphone ou son ordinateur dans le rayon de couverture du Wifi,
ce qui conduit à une liberté ou un poids en moins chez les utilisateurs qui sont satisfaits.

 Installation de l’environnement facile


La mise en place ou le déploiement d’un réseau wifi ne nécessite pas des connaissances
poussées, il est facile de mettre en place un environnement Wi-Fi, il suffit juste d’avoir un modem
qui sert de point d’accès aux utilisateurs et le tour est joué, plus besoin de technologie câblé ou l’on
s’embrouille avec des connexions qui par la suite peuvent s’avérer erronées.

 Facilité et souplesse
Un réseau wifi peut être implémenté dans les zones à accès difficile, afin de desservir la
population de cette technologie du fait que le réseau câblé, est difficile à mettre sur pied dans les
zones à accès difficile.

B- Inconvénients

Le réseau wifi bien qu’il soit une avancée majeure du monde technologique présente des
inconvénients a ne pas négligé on peut citer entre autres :

 Portée limitée
Le réseau wifi, bien qu’il soit une avancée majeure dans le monde technologique, a une
portée limitée dans la mesure où il ne couvre qu’un certain périmètre ou une zone de couverture
assez restreinte ce qui constitue un désavantage.

 Sécurité
Bien qu’il soit bon dans son ensemble, le wifi est vulnérable ; son niveau de sécurité ne fait
pas confiance dans la mesure où s’il ne présente pas de sécurité, tout le monde peut se connecter à
ce réseau ce qui peut ralentir le ralentir.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


18
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

Du moment où il présente une sécurité faible, des hackers ou pirates informatiques arrivent
à se défaire très facilement des sécurités rencontrées dans un réseau wifi.

 Santé de l’homme peut être touche par les ondes électromagnétiques


Le réseau wifi fonctionne sur la base d’émission des ondes électromagnétiques qui ont des
effets néfastes sur la sante des hommes. Ces ondes électromagnétiques sont la cause de nombreuses
maladies comme :

II- 1-7-Types d’attaques dans les réseaux wifi

Habituellement on rencontre :

A- Le déni de service

Le déni de service est une attaque réseau plus simple à mettre en œuvre puisqu'il ne
nécessite pas de grandes connaissances en hacking et réseau informatique
C’est une attaque qui a pour but d’empêcher les utilisateurs d’un réseau d’accéder à des
services tout en inondant le réseau de requêtes informatiques jusqu'à ce que celui-ci soit mis hors
service
Elle repose généralement sur des BUGS logiciels
En ce qui concerne le réseau wifi, il consiste tout simplement à bloquer l’accès à des points
d’accès en brouillant les signaux hertziens ou en inondant le point d’accès de requêtes de dés-
authentification ou de dissociation.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


19
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 5:DENI DE SERVICE

B- Main in the middle

C’est une attaque dans laquelle deux points d’accès, le point d’accès légitime et le point
d’accès étranger servent d’attaque
Le point d’accès étranger est un point d’accès ouvert où tout un chacun peut se connecter
et après que des utilisateurs se soient connectés sur le réseau légitime. Le point d’accès étranger
est à la disposition du pirate, celui-ci se charge de récupérer les informations nécessaires à la
connexion du point d’accès légitime.
Ainsi tout utilisateur du réseau légitime livre son adresse MAC à tout venant.

FIGURE 6:MAIN IN THE MIDDLE

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


20
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

C- Ursupation d’adresse IP

Le spoofing est une attaque réseau qui consiste à envoyer à une machine via une machine
pirate des requêtes qui semblent provenir d’une adresse IP autre que celle de la machine pirate

FIGURE 7:SPOOFING

D- SNIFFING

Le sniffing est une attaque réseau permettant à un attaquant de compromettre la sécurité


d’un réseau d’une manière passive. Un sniffer est un outil qui surveille sans se faire repérer un
ordinateur du réseau en vue d’y trouver des informations susceptibles d’intéresser un attaquant.
Dans la plupart des cas, ces informations sont relatives à l’authentification des utilisateurs : couples
nom d’utilisateur / mot de passe permettant l’accès à un système ou une ressource donnée

FIGURE 8:SNIFFING

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


21
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

II- 1-8-Differents moyens de protection contre les attaques sur un réseau wifi

Avoir un réseau c’est agréable mais le sécuriser, c’est garantir son fonctionnement optimal
dans la mesure où on effectue une restriction des connexions au réseau wifi pour éviter tout
problème venant à mettre en péril son fonctionnement.

A- LA SECURITE DITE ELEMENTAIRE

Elle permet uniquement de résoudre le problème du contrôle d’accès. Il s’agit de techniques


qui peuvent être utilisées de façon complémentaire :

L’identificateur de réseau

Il s’agit du SSID que l’utilisateur doit connaître pour se connecter au réseau. Cette
protection est en fait très sommaire, étant donné que les points d’accès envoient périodiquement et
en clair le SSID dans les trames balise. Il suffit d’une simple écoute du réseau pour obtenir le SSID.

baisse de la puissance du wifi

Si on dispose d’un routeur wifi puissant mais d’un petit logement, il est possible que le
signal de du réseau wifi s’étend jusque chez vos différents voisins. Cela peut donner aux voisins
l’occasion de se connecter facilement à votre réseau. Il est possible sur la majorité des routeurs
disponibles aujourd'hui de baisser la puissance de transmission de ceux-ci jusqu’à ce que le signal
émis ne soit reçu que dans le périmètre souhaité.

Filtrage par adresse MAC

Pour cette opération, aller sur la page de gestion du routeur pour entrer manuellement les
adresses MAC des appareils autorisés sur votre réseau. On peut aussi aller dans la section « contrôle
de l’accès » présent sur de nombreux routeurs pour voir la liste des appareils déjà connectés, il ne
restera plus qu’à sélectionner ceux des appareils autorisés et à éliminer les autres.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


22
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

La sécurité d’un réseau Wifi doit être renforcée selon le degré de confidentialité des
données.

LE MOT DE PASSE

Pour se connecter au réseau, l’utilisateur utilise un mot de passe. Cette protection est
également très simpliste. Il est facile pour un intrus de capturer le mot de passe et de l’utiliser par
la suite pour se connecter au réseau.

La protection par adresse IP


Les risques d'intrusions externes sont bien moindres en attribuant des adresses IP fixes aux
stations bénéficiant d'une connexion sans fil. Il faut, donc désactiver la fonction DHCP au niveau
du serveur auquel est connectée la borne Wifi.

B- Sécurité des points d'accès

Les méthodes suivantes permettent de mieux sécuriser le réseau :

 Mise en place d’un VPN

Un réseau VPN repose sur un protocole appelé « protocole de tunneling » qui permet de
faire circuler les informations de l’entreprise de façon cryptée d’un bout à l’autre du tunnel. Ainsi
les utilisateurs ont l’impression de se connecter directement sur le réseau de leur entreprise. Il peut
offrir des connections routées et des connections d’accès distant à des réseaux privés par
l’intermédiaire d’internet. Il est dit virtuel car il relie deux réseaux « physiques » (réseaux locaux)
par une liaison non filaire (internet), et privé car seuls les ordinateurs des réseaux locaux de part et
d’autre du VPN peuvent accéder aux données.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


23
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

 Mise en place d’un pare-feu

Un firewall est un ensemble de différents composants matériels et logiciels qui contrôlent


le trafic intérieur / extérieur, il permet de protéger un ordinateur ou un réseau d'ordinateurs des
intrusions provenant d'un réseau tiers comme internet et de filtrer les paquets de données échangées
avec le réseau.

 Améliorer l'authentification

Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des
comptes utilisateurs ; il est possible de recourir à un serveur RADIUS (Remote Authentication Dial-
In User Service) qui est un système client/serveur permettant de gérer les comptes des utilisateurs
et les droits d'accès associés.

 Cryptage des données

Afin de sauvegarder la confidentialité et l’intégrité des données circulant sur le lien sans
fils, il est indispensable de chiffrer le trafic de telle sorte qu’il ne soit intelligible que par les
destinataires légitimes.

Définition

La cryptographie est une méthode permettant de rendre secrètes (illisibles) des informations
afin de garantir l’accès à un seul destinataire authentifié. Elle est essentiellement basée sur
l’arithmétique : il s’agit de transformer les lettres qui composent le message en succession de
chiffres, puis faire des calculs sur ces chiffres pour :
Les modifier de telle façon à les rendre incompréhensibles.
Faire en sorte que le destinataire saura les décrypter.
Le fait de coder un message de façon à le rendre secret s’appelle le cryptage. La méthode
inverse est appelée décryptage, elle nécessite une clé de décryptage.
On distingue deux types de cryptages :

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


24
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

 Le Cryptage symétrique encore appelé également cryptage à clé secrète ou


chiffrement conventionnel, utilise une même clé pour crypter et décrypter le message. Les
algorithmes de chiffrement les plus connus sont : le DES (Data Encryption Standard), le Triple
DES et l’AES.
Le principe de cette technique est la distribution des clés dans un réseau étendu car elle nécessite
le partage d’une seule clé avec chacun des correspondants

 Le Cryptage asymétrique qui utilise deux clés différentes pour chaque utilisateur :
un est privé et n’est connue que par son propriétaire, l’autre est publique et donc accessible par tout
le monde.
Le principal avantage du cryptage à clé publique est de résoudre le problème de l’envoi de clé privée sur un
réseau non sécurisé. Il est plus lent que la plupart des cryptages à clé privée mais il reste préférable pour
trois raisons :
 Plus évolutif pour les systèmes possédant des millions d’utilisateurs.
 Permet de signer le message donc garantir l’authentification et le non répudiation.
 Supporte les signatures numériques.

D’autres méthodes de chiffrements existent et ne sont pas moins intéressantes, nous citerons :

le chiffrement WEP (Wired equivalent Privacy)

Le WEP est un protocole chargé du chiffrement des trames 802.11 utilisant l'algorithme
RC4 avec des clés symétriques, secrètes et statiques d'une longueur de 64 ou 128 bits. Le principe
du WEP consiste à définir dans un premier temps une clé secrète de 40 ou 128 bits. Cette clé secrète
doit être déclarée au niveau du point d'accès et des clients. Elle sert à créer un nombre pseudo
aléatoire d'une longueur égale à la longueur de la trame. Chaque transmission de donnée est ainsi
chiffrée en utilisant le nombre pseudo-aléatoire comme masque grâce à un OU Exclusif entre le
nombre pseudo-aléatoire et la trame.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


25
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

La clé de session partagée par toutes les stations est statique, c'est-à-dire que pour déployer
un grand nombre de stations Wifi il est nécessaire de les configurer en utilisant la même clé de
session, la connaissance de la clé est suffisante pour déchiffrer les communications.

Le chiffrement WPA (Wifi Protected Access)

Le WPA est une version « allégée » du protocole 802.11i, et une solution de sécurisation de
réseau wifi proposé par la Wifi Alliance, afin de combler les lacunes du WEP. Il Permet d’utiliser
une clé par station connecté au réseau sans fil, alors que le WEP, utilise la même clé pour tout le
réseau. Les clés sont en effet générées et distribuées de façon automatique par le point d’accès sans fil si
celui-ci est compatible à WPA.
Le WPA repose sur des protocoles d’authentification et un algorithme de cryptage, TKIP
(Temporary Key Protocol), qui permet la génération aléatoire des clés, et offre la possibilité de
modifier la clé de chiffrement plusieurs fois par seconde, pour plus de sécurité.
Les intérêts de TKIP par rapport aux clés WEP sont les suivants :
Vecteur d’initialisation de 48bits au lieu de 24 bits pour le WEP.
Génération et distribution des clés : le WPA génère et distribue les clés de cryptage
de façon périodique à chaque client, et chaque trame utilise une nouvelle clé, évitant
ainsi d’utiliser une même clé WEP pendant des semaines voire des mois.
Code d’intégrité du message appelé MIC (Message Integrity Code) permet de
vérifier l’intégrité ICV (Integrity Check Value), il est sur 4 Octets pour le WEP et
sur 8 octets pour WPA.

 ARCHITECTURE WPA

Le WPA peut fonctionner selon deux modes :

 WPA Entreprise : ce mode impose l’utilisation d’une infrastructure


d’authentification 802.1x basée sur l’utilisation d’un serveur d’authentification généralement un
serveur RADIUS (Remote Authentication Dial In User Service) qui permet d’identifier les

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


26
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

utilisateurs sur le réseau et de définir leurs droits d’accès, et d’un contrôleur réseau (le point
d’accès).

 WPA Personal : ce mode permet de mettre en œuvre une infrastructure sécurisée


basée sur un WPA restreint ou WPA-PSK (Pre-Shared Key) sans serveur d’authentification. Il
repose sur l’utilisation d’une clé partagée, appelée PSK, en déployant une même clé de chiffrement
dans l’ensemble des équipements. Contrairement au WEP, il n’est pas nécessaire de saisir une clé
de longueur prédéfinie, en effet, le WPA permet de saisir une passphrase (phrase secrète), traduite
en PSK par un algorithme de hachage.
Cette première version du WPA ne prend en charge que les réseaux en mode infrastructure,
ce qui signifie qu’il ne permet pas de sécuriser des réseaux sans fils en mode Ad-Hoc.
Ce protocole possède quelques faiblesses, dont sa sensibilité aux attaques de type déni de
service. En effet, si quelqu’un envoie au moins deux paquets chaque seconde utilisant une clé de
cryptage incorrecte, le point d’accès sans fils tuera toutes les connexions utilisateurs pendant une
minute. C’est un mécanisme de défense pour éviter les accès non autorisés à un réseau protégé,
mais il est capable de bloquer tout un réseau sans fils.
Outre ce problème, il manque au WPA pour fournir une meilleure sécurité :
Un SSID (Service Set IDentifier) sécurisé, c'est-à-dire une chaine de caractères
alphanumériques sécurisée permettant d’identifier un réseau sans fils.
Une déconnection rapide et sécurisée.

 LA NORME 802.11I OU WPA2

La norme 802.11i a été ratifiée le 24 juin 2004, afin de fournir une solution de sécurisation
poussée des réseaux Wifi. Elle s’appuie sur l’algorithme de chiffrement TKIP, comme le WEP,
mais prend également en charge l’AES (Advenced Encryption Standard), beaucoup plus sûr que
RC4 pour les données. Le Wifi Alliance a ainsi créé une nouvelle certification, baptisée WPA-2,
pour les matériels prenant en charge le standard 802.11i (ordinateur portable, PDA, carte réseau…).

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


27
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

Le WPA-2 offre de Nouvelles fonctionnalités de sécurité telles que le Key Caching et la


pre-authentification et contrairement au WPA, il permet de sécuriser également les réseaux en
mode Ad Hoc.
Pour résumer, le WPA-2 offre par rapport au WPA :

 Une sécurité et une mobilité plus efficaces grâce à l’authentification du client


indépendamment du lieu où il se trouve.
 Une intégrité et une confidentialité garanties par un mécanisme de distribution
dynamique des clés.
 Une souplesse accrue grâce à une réauthentification rapide et sécurisée.
Toutefois, pour profiter du WPA-2, les entreprises doivent disposer d’un équipement spécifique tel
qu’une puce cryptographique dédiée pour les calculs exigés par l’AES. Ultérieur à 802.1x, le
WPA2 lui a été intégré du fait de ses caractéristiques.

III- Cahier de charges

Il s’agit d’un document de référence qui permet à un ingénieur, ou un technicien de préciser les
conditions, les règles et les exigences d’un projet, d’une invention, d’un travail à accomplir ou
d’une tâche à exécuter par une personne qualifiée en vue de résoudre un problème spécifique,
d’améliorer une situation donnée tout en déterminant les résultats attendus Wifi par
implémentation de la norme 802.1x sur serveur Radius exige deux types de besoins :
A- Des besoins fonctionnels

 Mettre un système de sécurité fiable et efficace impose :


 Acquisition et utilisation des instruments de sécurisation des points d’accès ;
 La définition d’une meilleure politique de sécurité
 L’emploi optimal de toutes les méthodes de sécurité
 Le choix et l’implémentation de la méthode choisie

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


28
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

B- Des besoins non fonctionnels

Coté serveur : une évolutivité et une mise à jour facile et rapide de l’application ; le respect
de la confidentialité des communications, l’application doit répondre aux différentes
exigences des usagers de façon optimale et en temps réel
Coté client : une interface conviviale et facile à utiliser ; compatibilité avec des équipements
d’autres constructeurs

IV-PRÉSENTATION ET CHOIX DE LA SOLUTION

IV- 1-présentation de la solution

A- Le protocole d’authentification 802.1x

Le protocole d’authentification 802.1x mise en service en juin 2001 est une norme utilisée
dans la sécurité d’accès au réseau via l’authentification des différentes entités désireuses de se
connecter au réseau. Si un utilisateur essaye de se connecter au réseau il passe par une phase
d’authentification, s’il réussit à entrer le couple (login / mot de passe) juste il a accès au réseau
sinon il sera rejeté, 802.1x repose sur trois éléments à savoir :
Supplicant : le client demande à s’authentifier avant de pouvoir accéder aux
ressources du réseau.
Authenticator : l’authentificateur est l’équipement réseau (commutateur, point
d’accès…) auquel le client se connecte. Suivant la réponse du serveur
d’authentification, le commutateur laissera passer ou non le trafic du client.
Authentication server : le serveur d’authentification vérifie sur demande du
commutateur si le demandeur peut ou non accéder aux ressources réseau LAN.
Le protocole 802.1x implique une communication indirecte entre le poste de travail et le
serveur Radius. La communication entre le poste de travail et le NAS s’appuie sur le protocole
EAP qui assure le transport des informations d’authentification et permet d’utiliser différentes

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


29
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

méthodes d’authentification d’où le terme ‘’ Extensible’’. Le domaine d’application de ce


protocole, correspond donc à tous les modes de connexion pouvant être considérés comme des
connexions dites point à point telles que connexion réseau sans fil, entre un poste utilisateur et une
borne d’accès Wifi.

On distingue deux types de trafic EAP :

 EAP over LAN (EAPOL) : entre le système à authentifier et le point d’accès.


 EAP over Radius : entre le point d’accès et le serveur d’authentification.

B- Les méthodes associées à EAP

Le protocole EAP ne propose pas qu’une seule méthode d’authentification c'est-à-dire qu’il
utilise ces différents éléments pour identifier un client :
 Le login / mot de passe
 Le certificat électronique
 La biométrie
 Une puce (SIM)
Certaines méthodes combinent plusieurs critères (certificat et login/mot de passe …). En
plus de l’authentification, EAP gère la distribution dynamique des clés de chiffrement. Parmi les
méthodes de l’authentification les plus communes sur EAP on distingue :

• EAP- TLS (EAP Transport Layer Security)


EAP- TLS est implémenté chez de nombreux fabricants de matériel sans fils, il utilise deux
certificats numériques, le serveur et le client s’authentifient mutuellement tout en cryptant les
données échangées dans cette phase d’authentification. L’utilisation de clés publiques et privées
des deux côtés permet de créer un tunnel sécurisé entre les deux parties, ce qui garantit l’intégrité
des données. Avec ce principe le client ne fournit pas de mot de passe puisque le certificat permet
l’authentification.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


30
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

L'utilisation de certificat possède des avantages et des inconvénients. Ils sont souvent
considérés comme plus sûrs que les mots de passe, cependant la distribution des certificats aux
clients est une contrainte qu'il ne faut pas négliger.

 EAP-TTLS (EAP Tunneled Transport Layer Security) et EAP-PEAP (Protected EAP)

Ces deux méthodes sont assez similaires, elles s'appuient sur la confidentialité proposée par
l'encapsulation dans un tunnel pour réaliser une authentification via login/mot de passe. On
distingue deux phases d’authentification :

 Première phase:
Identification du serveur par le client en utilisant un certificat validé par une autorité
de certification.
 Deuxième phase:
Identification du client par le serveur par login/password.
À l'issue de la première phase, le tunnel TLS chiffré s'établit, garantissant une grande
confidentialité des échanges pour la deuxième phase où le client transmet ses éléments
d'authentification (login/password) via le CHAP, PAP, MS-CHAP ou MS-CHAPv2 pour EAP-
TTLS et MS-CHAPv2, token-card ou certificat (similaire à EAP-TLS) pour EAPPEAP.
La différence entre EAP-PEAP et EAP-TTLS vient de la manière d'encapsuler les échanges
lors de la deuxième phase. Pour EAP-PEAP, les données échangées entre le client et le serveur au
travers du tunnel TLS sont encapsulées dans des paquets EAP. EAP-TTLS utilise des AVP
(Attribute-Values Pairs) encapsulées dans des paquets EAP-TTLS.
L'avantage présenté par ces deux méthodes est que le client peut être authentifié par mot
de passe, on supprime donc la complexité de gestion liée aux certificats caractéristique d’EAP-
TLS, tout en proposant une authentification mutuelle.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


31
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

 EAP-MD5 (EAP Message Digest 5-Challenge)

Cette méthode ne propose pas une authentification mutuelle, le client s’authentifie


simplement en fournissant un couple login/mot de passe. Grace au mécanisme de challenge/
réponse, le serveur envoie un challenge au client, celui-ci renvoie son mot de passe associé au
challenge, le serveur compare le résultat avec le mot de passe qu’il détient dans sa base de données,
si le résultat est identique alors l’accès est autorisé, sinon il est refusé.
Le problème majeur de cette méthode réside dans le fait que les échanges ne sont pas
chiffrés, en outre EAP-MD5 ne gère pas la distribution dynamique des clés WEP.
Le seul avantage de cette méthode est la simplicité : il est relativement facile de mettre en
place une structure d’authentification basée sur cette méthode, celle-ci est d’ailleurs beaucoup
utilisée pour des réseaux filaires ou la contrainte liée au chiffrage des échanges est moins forte que
pour les réseaux wifi.

C- Introduction au protocole RADIUS

RADIUS (Remote Authentication Dial-In User Service)

est un protocole client-serveur permettant de centraliser des données d'authentification. Le


protocole RADIUS a été inventé et développé en 1991 par la société Livingston enterprise (rachetée
par Lucent Technologies), qui fabriquait des serveurs d'accès au réseau pour du matériel
uniquement équipé d'interfaces série ; il a fait ultérieurement l'objet d'une normalisation par l'IETF.

D- Normalisation

La dernière version du protocole RADIUS est normalisée par l'IETF dans deux RFC :
RFC 2865 (RADIUS authentication) et RFC 2866 (RADIUS accounting) de juin 2000. La phase
d'autorisation (définition des droits d'accès) étant accomplie lors de la réponse d'identification
(ajout d'attributs au paquet "Authentication Response"); et depuis la publication de la norme
802.1X qui donne comme seul exemple de mise en œuvre le protocole Radius, ce dernier est devenu
un standard de fait.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


32
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

E- Utilité

Le but de RADIUS était à l'origine de permettre aux fournisseurs d'accès à Internet


d'authentifier les utilisateurs distants utilisant les connexions par modem RTC à partir de multiples
serveurs mais d'une seule base utilisateurs. Dans la situation précédente, les noms et mots de passe
des utilisateurs devaient être dupliqués dans chaque appareil ayant besoin d'identifier des
utilisateurs. De même, l'authentification POP (messagerie électronique) devait être gérée par ce
biais. L'identification sur les sites Web par un nom et un mot de passe est aussi gérée en RADIUS,
le serveur Apache est un des clients Radius les plus répandus. C'est toujours l'utilisation la plus
courante du protocole RADIUS : nom et mot de passe de connexion à l'Internet, mais de plus en
plus les réseaux sans fil ou filaires y ont aussi recours pour identifier les utilisateurs.
Le protocole RADIUS permet de faire la liaison entre des besoins d'identification et une
base d'utilisateurs en assurant le transport des données d'authentification de façon normalisée.
L'opération d'authentification est initiée par un client du service RADIUS, qui peut être un boîtier
d'accès distant (NAS : Network Access Server), un point d'accès réseau sans fil, un pare-feu
(firewall), un commutateur, un autre serveur. Le serveur la traite en accédant si nécessaire à une
base externe : base de données SQL, annuaire LDAP, comptes d'utilisateur de machine ou de
domaine ; un serveur Radius dispose pour cela d'un certain nombre d'interfaces ou méthodes.

F- Fonctionnement de RADIUS

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs
d'accès à internet car il est relativement standard et propose des fonctionnalités de comptabilité
permettant aux FAI de facturer précisément leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à
une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS
(Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


33
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS.

G- Fonctionnement de l'identification

Le poste utilisateur (supplicant dans les RFC) transmet une requête d'accès à un client
RADIUS pour entrer sur le réseau. Ce client se charge de demander les informations identifiant
l'utilisateur : le nom d'utilisateur (login) et le mot de passe par exemple.
Le client RADIUS génère selon le protocole une requête Access-Request contenant les
informations d'authentification. Le serveur RADIUS peut traiter lui-même cette requête ou la
transmettre à un autre serveur RADIUS par un mécanisme appelé Proxy Radius. Le serveur Radius
chargé de l'identification finale (appelé Home Radius) peut traiter la demande s'il dispose de
suffisamment d'éléments dans l'Access-Request ou demander des informations supplémentaires
par un renvoi de paquet "Access Challenge", auquel le client répondra par un autre « Access-
Request », et ainsi de suite. Les échanges sont retransmis par la chaîne de serveurs Radius proxy
intermédiaires dans un sens et dans l'autre.
Quand le serveur Radius dispose de suffisamment d'éléments (jusqu'à une douzaine d'échanges
pour les protocoles complexes de type EAP) le serveur RADIUS valide ou refuse l'identification
en renvoyant un paquet de type : Access-Accept ou Access-Reject.

H- Protocoles de mot de passe

RADIUS connaît nativement deux protocoles de mot de passe : PAP (échange en clair du
nom et du mot de passe), et CHAP (échange basé sur un hachage de part et d'autre avec échange
seulement du « challenge »). Le protocole prévoit deux attributs séparés : User-Password et CHAP-
Password.
Depuis, se sont greffées les variations Microsoft: MS-CHAP et MS-CHAP-V2; leur
similitude avec CHAP permet de les transporter en RADIUS de la même façon, à l'initiative du
serveur et sous réserve de possibilité de transport de bout en bout du supplicant au client Radius,
du client au serveur Radius et enfin du serveur Radius à la base de données d'identification.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


34
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

C'est sur cette dernière étape que souvent le bât blesse : rien n'est prévu par exemple en
LDAP pour transporter le challenge ni les étapes spécifiques de MS-CHAP ou MS-CHAP-V2 qui,
du coup, se terminent exclusivement sur des bases d'identification Microsoft locales pour le serveur
Radius.

I- Autorisation

L'identification RADIUS peut être enrichie d'une autorisation, par exemple pour un client
de fournisseur d'accès son adresse IP, son temps de connexion maximal, son temps d'inactivité.
Tous ces paramètres sont définis par des attributs du paquet dans les RFC, en l'occurrence pour cet
exemple l'attribut 8, plus connu sous son nom "convivial" Framed-IP-Address, bien que le
protocole ne connaisse en fait que les numéros, et les attributs Session-Timeout et Idle-Timeout.
Les attributs standards sont définis dans les RFC, les attributs spécifiques d'un fournisseur ou VSA
(Vendor Specific Attributes) sont multiplexés dans l'attribut 26 : chaque fournisseur se voit
attribuer un numéro unique permettant de l'identifier, un octet de cet attribut définit un numéro de
VSA, ce qui permet à chaque fournisseur de définir jusqu'à 255 attributs spécifiques pour son
matériel. Le serveur Radius s'adapte à ces "dialectes" par des dictionnaires d'attributs.

J- Comptabilisation (accounting)

La deuxième fonction d'un serveur Radius est l'accounting (ou comptabilisation) assurant à
la fois la journalisation des accès et la facturation. Définie par des RFC différents, gérée sur des
ports UDP différents (1646 ou 1813 pour les plus courants alors que l'identification est faite sur les
ports 1645 ou 1812), cette fonction est souvent assurée par un programme ou même un serveur
différent.
L'accounting se base sur deux types de paquets principaux : Accounting Start et Accounting
Stop, une session est définie comme l'intervalle entre un Start et un Stop. Le paquet Accounting
Start émis par le client Radius après connexion effective de l'utilisateur à la suite d'une phase

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


35
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

d'identification réussie contient des données de base : nom d'utilisateur (mais pas le mot de passe
inutile ici), adresse IP affectée, date et heure de connexion, type de connexion, type de service, etc.
Quand l'utilisateur se déconnecte du service ou que le client Radius le déconnecte sur
inactivité, dépassement de temps de connexion ou autre, ce client Radius envoie un paquet
Accounting Stop avec le même identificateur de session, le serveur Radius peut alors clore la
session et journaliser la déconnexion, souvent avec un grand nombre de paramètres dans le paquet
Stop : temps de connexion, type d'utilisation, nombre de paquets et d'octets échangés selon les
divers protocoles, et éventuellement des informations plus confidentielles sur les sites visités ou
contenus échangés.
Il existe d'autres types de paquets d'accounting : Intermédiaire (émis à intervalles
périodiques par le client entre Start et Stop, utile au cas où le Stop serait perdu), On (le client Radius
a démarré) et Off (le client Radius va s'arrêter), ce dernier pour mémoire, il est rare qu'un appareil
prévienne avant de tomber en panne ou de planter.
Pour faciliter le travail de liaison entre la phase d'identification et la phase de
comptabilisation (le serveur radius peut avoir reçu des centaines d'autres requêtes entre les deux),
l'attribut Class est envoyé vers le client avec le paquet Access-Accept; le client Radius a pour
consigne de le renvoyer tel quel dans le paquet Accounting Start. Le serveur Radius peut donc
inclure dans cet attribut toutes les informations utiles pour faire la liaison entre une identification
réussie, accompagnée souvent d'une réservation de ressources - canal, PVC ou adresse IP par
exemple - et l'utilisation effective de ces ressources.
Dans le cas où l'opération est abandonnée (il n'y a pas de paquet Accounting Start
correspondant après une identification réussie), un mécanisme doit restituer les ressources
réservées ; la plupart des mises en œuvre utilisent un mécanisme de temporisation pour cela
(phantom accounting record). Les ressources réservées par l'identification, occupées par
l'Accounting Start sont normalement libérées par le paquet Accounting Stop, ce qui implique par
exemple qu'un serveur Radius ne peut attribuer des adresses IP que s'il gère aussi la fonction
d'accounting.
L'accounting a aussi une fonction légale : l'accès à l'Internet doit être identifié, et tout
utilisateur doit être traçable au moins vers un numéro de compte ou de carte bancaire, c'est pourquoi
la fonction d'accounting est toujours activée chez les FAI et les enregistrements conservés : sur

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


36
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

commission rogatoire d'un juge, le FAI peut fournir l'identification à un instant donné de toute
adresse IP.

K- Limitations

 RADIUS a été conçu pour des identifications par modem, sur des liaisons lentes et peu
sûres ; c'est la raison du choix du protocole UDP, bien expliquée dans RFC2138. Ce choix
technique d'un protocole non agressif conduit à des échanges laborieux basés sur des
temporisations de réémission, des échanges d'accusés de réception qui se justifiaient tant
que la connexion à l'Internet relevait du principe "bouteille à la mer" d'UDP, mais n'ont plus
lieu d'être par exemple entre opérateurs dans les activités de roaming ou de Proxy Radius
→ Diameter utilise TCP ou SCTP
 RADIUS base son identification sur le seul principe du couple nom/mot de passe ;
parfaitement adaptée à l'époque (1996), cette notion a dû être adaptée par exemple pour
l'identification des terminaux mobiles par leur numéro IMEI ou par leur numéro d'appel
(Calling-Station-ID en Radius) sans mot de passe (alors que la RFC interdit le mot de passe
vide !)
 RADIUS assure un transport en clair, seul le mot de passe est chiffré par hachage ; la
sécurité toute relative du protocole repose sur le seul secret partagé et impose la sécurisation
des échanges entre le client et le serveur par sécurité physique ou VPN → Diameter peut
utiliser IPSec ou TLS
 RADIUS limite les attributs, gérés sous forme de chaîne "Pascal" avec un octet en tête
donnant la longueur, à 255 octets, cohérents avec la notion de nom/mot de passe, mais
inadapté à toute tentative d'introduction de biométrie (fond d'œil, empreinte digitale) de
cryptographie (certificat) → Diameter utilise des attributs sur 32 bits au lieu de 8 (déjà
présents dans certaines extensions EAP de RADIUS, notamment TTLS)
 RADIUS est strictement client-serveur, d'où des discussions et bagarres de protocoles
propriétaires quand un serveur doit légitimement tuer une session pirate sur un client →
Diameter a des mécanismes d'appel du client par le serveur

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


37
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

 RADIUS n'assure pas de mécanisme d'identification du serveur ; or se faire passer pour un


serveur est un excellent moyen de récolter des noms et mots de passe → EAP assure une
identification mutuelle du client et du serveur
 La deuxième version de RADIUS date d’avril 1997et est définie par RFC 2138 et
RFC 2139. Les serveurs Radius de première génération utilisaient ces RFC, certains sont
encore en production. Ce sont les serveurs de deuxième génération qui nous intéressent et
qui font partie des extensions de RADIUS.

L- Extensions de RADIUS

 EAP (Extensible Authentication Protocol) est un protocole conçu pour étendre les fonctions
du protocole Radius à des types d'identification plus complexes ; il est indépendant du
matériel du client Radius et négocié directement avec le supplicant (poste client, terminal
d'accès). C'est ce qui a permis de le mettre en place rapidement sur un maximum d'appareils
réseau puisqu'il n'utilise que deux attributs Radius servant de protocole de transport, et a
conduit à une explosion de types EAP : EAP-MD5 défini dans le RFC comme exemple,
mais aussi EAP-TLS, EAP-TTLS, EAP-PEAP (version 0 Microsoft, version 1 Cisco,
version 2 bientôt), EAP-MS-CHAP-V2, EAP-AKA, EAP-LEAP et EAP-FAST (Cisco),
EAP-SIM, etc.
 802.1X est un protocole assurant l'identification par port pour l'accès à un réseau ; il n'est
pas lié explicitement à RADIUS dans son principe et utilise dans toutes ses définitions les
termes "serveur AAA" et "protocole AAA", mais il se trouve que l'annexe D du document
de référence mentionne comme "exemple" de protocole et serveur AAA le seul RADIUS.
Toutes les mises en œuvre de 802.1X connues s'appuient donc sur RADIUS.
 Diameter n'est pas vraiment une extension mais un successeur du protocole RADIUS ; il
est basé sur TCP/SCTP alors que Radius est en UDP, il utilise des attributs de grande taille
(Radius est limité à 254 octets par attribut) et il est destiné aux échanges entre serveurs sur
des liaisons sûres ; les serveurs Diameter sont généralement compatibles Radius. Un certain
nombre de types d'attributs Diameter se retrouvent déjà dans EAP-TTLS par exemple.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


38
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

 Le schéma suivant récapitule les éléments entrant en jeu dans un système utilisant un
serveur RADIUS :

FIGURE 9:PROCESSUS D'AUTHENTIFICATION


1- Lorsque le client demande à accéder au réseau après avoir obtenu du serveur DHCP une
adresse IP, il transmet ses informations d’identité au point d’accès sans fil. Pendant cette
phase, le client ne peut avoir accès aux ressources locales ;
2- Le point d’accès sans fil revoie ses informations au serveur Radius. Le serveur Radius vérifie
les informations d’identité, consulte sa stratégie d’accès et autorise ou refuse l’accès au
client ;
3- S’il est reconnu, le client est autorisé à accéder et échange les clés de cryptage avec le point
d’accès sans. En fait les clés sont générées par le serveur Radius et transmises au point
d’accès sans fil via le canal sécurise (802.1x). Si le client n’est pas autorisé par le serveur
Radius, il n’est pas autorisé à accéder au réseau et la communication s’interrompt ;

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


39
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

4- Grace aux clés de cryptage, le client et le point d’accès sans fil établissent une connexion
sans fil sécurisée ce qui permet au client et au réseau interne de communiquer ;
5- Le client commence à communiqué avec des périphéries du réseau interne.
Cette architecture implique une authentification du point d’accès au niveau du server.

IV-2-BUDGETISATION

Désignations Quantités Prix unitaires Prix total


(F CFA HT) (F CFA HT)
Routeur Wi-Fi Tp- 01 50000 200000
Link ou LinkSys
Cisco
Laptop 01 275000 275000

Serveur 01 700000 700000


Informatique

TABLEAU 5:BUDGETISATION

Formation Main d’œuvre Imprévus Total


Personnel
500000 200000 100000 800000

TABLEAU 6:BUDGETISATION2

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


40
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

CHAPITRE III : SOLUTIONS, RESULTATS, COMMENETAIRES

I- MISE EN PLACE DE L’ENVIRONNEMENT DE


TRAVAIL

I- 1-OUTILS UTILISES POUR LA REALISATION DU PROJET

A- COTE MATERIEL

HP LAPTOP INTEL CORE i3 8TH GENERATION

C’est un ordinateur de marque HP pour la réalisation de notre projet. En effet cette machine est
dotée de différentes caractéristiques à savoir :

 Fréquence de processeur 2,20GHZ


 RAM 8Go
 ROM 1TB
 SYSTEME D’EXPLOITATION 64bits

B- COTE LOGICIEL

Cisco Packet Tracer

I- 2-PRESENTATION DE L’ENVIRONNEMENT CISCO PACKET


TRACER

Cisco paquet tracer est un logiciel de Cisco simulation oriente réseaux qui aide tout un chacun dans
la construction des réseaux physique mais en virtuel c’est un outil facile à manier il peut paraitre bizarre a
première vue mais avec le temps et la persévérance du travaux Cisco devient plus facile et agréable que l’on
peut penser

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


41
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 10:INTERFACE CISCO PACKET TRACER

A-Comment se procurer Cisco Pocket Tracer ?

Pour se procurer le bijou qu’est Cisco Pocket Tracer il faut vous rendre à l’adresse :
www.netacad.com.

Et de là vous pourrez télécharger le logiciel de simulation réseaux. Sachez-le des maintenant c’est
un logiciel totalement gratuit qui a pour but d’aider tout un chacun dans ses divers projets réseaux

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


42
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

I- 3-ARCHITECTURE SECURISEE DU TRAVAIL

FIGURE 11:ARCHITECTURE DE TRAVAIL

A- DIFFERENTS SERVICES DEPLOYES DANS NOTRE


ARCHITECTURE DE TRAVIL

1- Service DHCP

Le DHCP permet l’attribution automatiques des adresses IP aux différentes machines qui souhaitent
faire partir du réseau dans lequel se trouve le serveur DHCP.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


43
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

I-4-CONFIGURATION DES DIFFERENTES ENTITEES

Les différentes entités suivantes, interviennent dans la mise en place de notre solution de
sécurisation du réseau wifi.

A-CONFIGURATION DU SERVEUR RADIUS

On met le Serveur Radius dans le réseau du Routeur WIFI juste en activant la fonctionnalité DHCP
qui nous permet d’avoir une adresse IP de façon automatique.

FIGURE 12: CONFIGURATION SERVEUR DHCP


On configure ainsi le protocole AAA

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


44
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 13: CONFIGURATION AAA SUR LE SERVEUR

B- CONFIGURATION DU ROUTEUR WIFI

Etend dans le routeur WIFI nous avons choisi de travailler avec la bande de fréquence de 2.4GHz
pour notre réseau et désactiver ainsi les autres réseaux afin que les machines ne se connectent pas sur ses
réseaux car ils n’ont pas de sécurité et le SSID est par Default.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


45
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 14: INTERFACE DE CONFIGURATION ROUTEUR WI-FI CISCO

Ici on enlève le SSID par Default pour mettre un SSID avec un nom de notre réseau pour que quand
l’utilisateur souhaite se connecter au réseau que sur la liste des différents SSID il voit le SSID ou il doit se
connecter

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


46
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS
FIGURE 15: CONFIGURATION SSID
A ce niveau on configure le niveau de sécurité pour la sécurité du réseau WIFI. La sécurité
d’authentification que l’on souhaite mettre sur pied nécessite sur le point d’accès ou le routeur WIFI de
prendre comme niveau de sécurité le WPA2 entreprise. On insère du coup l’adresse IP du serveur dans le
menu déroulant la configuration W¨PA2 entreprise, pour rendre interopérable le serveur et le routeur WIFI.

FIGURE 16: CONFIGURATION SECURITE WIRELESS

C- CONFIGUATION DE LA MACHINE POUR SE


CONNECTER AU POINT D’ACCES VIA
AUTHENTIFICATION

La figure suivante nous présente l’endroit dans lequel on doit se rendre pour s’authentifier dans le
point d’accès.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


47
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 17: INTERFACE INDIQUANT L E CHEMIN A SUIVRE POUR L'AUTHENTIFICATION VIA LE POINT D'ACCES
La figure suivante nous présente une non-interconnexion entre une machine du réseau et le point
d’accès, il est a note qu’ici aucune authentification n’a encore été faite.

FIGURE 18: NON CONNEXION ENTRE LA MACHINE ET LE POINT D'ACCES


La figure suivante nous présente le début d’authentification de la machine.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


48
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 19:CREATION PROFILE


La figure suivante nous présente la configuration du mode entreprise ou mode Ad-Hoc

FIGURE 20:MODE ARCHITECTURE

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


49
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS
La figure suivante nous présente la phase ou on inserre le couple login/password pour pouvoir être
authentifier par le serveur et avoir accès au service du point d’accès.

FIGURE 21:INTERFACE AUTTHENTIFICATION

II- RESULTATS
La figure suivante nous présente une réponse réussite de connexion entre une machine du réseau
et le point d’accès du réseau.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


50
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

FIGURE 22: CONNEXION ENTRE ROUTEUR WI-FI ET POINT D'ACCES


La figure suivante nous présente l’architecture réseau finale dans sa splendeur après configuration
et moise en place.

FIGURE 23:ARCHITECTURE FINALE INTERCONECTER

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


51
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS
La figure suivante nous présente une réponse réussite de ping entre machines du réseau mis en place.

FIGURE 24:TEST DE PING

III- COMMENTAIRES

Nous observons un réseau qui fonctionne très bien du fait de la bonne configuration de toutes les
entités mise en place dans cette architecteur réseau.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


52
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

CONCLUSION GENERALE

Dans ce projet, nous avons mis en œuvre une technique de sécurisation d’accès aux
réseaux informatiques des entreprises, afin de mieux garantir certains besoins de la sécurité :
l’authentification, l’intégrité et la confidentialité des données échangées entre différents
utilisateurs et d’éviter toute sorte de piratage informatique. Cette technique permet de contrôler
l’accès physique aux équipements d’infrastructures réseaux en s'appuyant sur le protocole EAP
pour le transport des informations d'identification en mode client/serveur, et un serveur
d'identification RADIUS qui utilise une base de données Active Directory.

L’implémentation de 802.1x dans une infrastructure réseau est facile à réaliser et ne


nécessite pas l’ajout d’un nouveau matériel au réseau, ce qui constitue l’un des avantages de la
méthode.

Lors de la configuration du protocole 802.1x au niveau de l’authentificateur nous avons


acquis beaucoup de connaissances sur le fonctionnement et la configuration du matériels Cisco.

Nous avons également eu beaucoup de plaisir à apprendre et à nous familiariser avec le


logiciel Cisco Packet Tracer pour mieux gérer la sécurité de notre architecture réseau.

Néanmoins, cette technique d’authentification ne permet pas d’assurer la sécurisation


maximale des réseaux et reste à améliorer car la sécurité parfaite n’existe pas. Pour une
éventuelle amélioration, on peut installer des certificats pour le serveur et les clients.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


53
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

BIBLIOGRAPHIE

1. OpenClassrooms, les réseaux de Zéro.


2. Éric Leroy, académique de Poitiers, les réseaux informatiques.
3. Patrick Vincent, comprendre le réseau Wi-Fi.
4. Guermouche, sécurité des réseaux Wi-Fi.

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


54
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

WEBOGRAPHIE

1. https://www.corep.fr/le-guide-du-memoire/redaction-memoire/resume-
memoire/#:~:text=Comment%20faire%20un%20r%C3%A9sum%C3%A9%20de,que%20la%20p
robl%C3%A9matique%20sous%2Djacente.
2. https://support.microsoft.com/fr-tn/help/2744850/implementing-peap-ms-chap-v2-
authentication-for-microsoft-pptp-
vpns#:~:text=INTRODUCTION,Point%20to%20Point%20Tunneling%20Protocol).
3. www.cisco.com
4. https://www.youtube.com/results?search_query=802.1x+wireless+security

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


55
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS

TABLE DE MATIERES

DEDICACES..................................................................................................................................................ii
REMERCIEMENTS ..................................................................................................................................... iii
SOMMAIRE ................................................................................................................................................. iv
RESUME ........................................................................................................................................................v
ABSTRACT .................................................................................................................................................. vi
LISTES DES FIGURES .............................................................................................................................. viii
LISTES DES SYMBOLES ET ABREVIATIONS ....................................................................................... ix
INTRODUCTION GENERALE ................................................................................................................... 1
CHAPITRE I : CONTEXTE ET PROBLEMATIQUE ................................................................................ 2
I- CONTEXTE .......................................................................................................................................... 2
II- PROBLEMATIQUE ......................................................................................................................... 2
III- OBJECTIFS............................................................................................... Erreur ! Signet non défini.
CHAPITRE II : METHODOLOGIE ............................................................................................................. 4
INTRODUCTION ......................................................................................................................................... 4
I- PRÉSENTATION DE LA MÉTHODE QQOCQP ............................................................................... 5
II- ETAT DE l’ART ............................................................................................................................... 6
II- 1- LES RESEAUX SANS FILS .................................................................................................... 6
Introduction............................................................................................................................................... 6
A- Definition ........................................................................................................................................... 6
II- 1-1-Normes IEEE 802.11 .............................................................................................................. 6
A- Les normes physiques ................................................................................................................... 7
B- Normes d’améliorations ................................................................................................................ 7
II- 1-2-Différentes couches Wi-Fi ...................................................................................................... 8
II- 1-3-Types de réseaux sans fils ....................................................................................................... 9
A- WPAN (Wireless Personal Area Network) ............................................................................... 9
B- WLAN ....................................................................................................................................... 9
C- WMAN .................................................................................................................................... 10
D- WWAN.................................................................................................................................... 11
II- 1-4-Les services de base de la sécurité ........................................................................................ 12
A- Intégrité des données ............................................................................................................... 12

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


56
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS
B- Non-répudiation....................................................................................................................... 13
C- Authentification ....................................................................................................................... 13
D- Confidentialité ......................................................................................................................... 13
E- Identification ............................................................................................................................... 14
II- 1-5-Equipements utilisés pour la transmission dans un réseau WIFI .......................................... 14
A- Points d’accès .......................................................................................................................... 14
B- Adaptateurs sans fils ou cartes d’accès.................................................................................... 15
II- 1-6-Mode de fonctionnement d’un réseau wifi ........................................................................... 16
A- Le mode infrastructure ............................................................................................................ 16
B- Le mode Ad-Hoc ..................................................................................................................... 17
II- 1-6-Avantages et inconvénients des réseaux wifi........................................................................ 17
A- Avantages ................................................................................................................................ 17
B- Inconvénients........................................................................................................................... 18
II- 1-7-Types d’attaques dans les réseaux wifi ................................................................................. 19
A- Le déni de service .................................................................................................................... 19
B- Main in the middle................................................................................................................... 20
C- Ursupation d’adresse IP ........................................................................................................... 21
D- Intrusion............................................................................................. Erreur ! Signet non défini.
E- SNIFFING ................................................................................................................................... 21
II- 1-8-Differents moyens de protection contre les attaques sur un réseau wifi ............................... 22
A- LA SECURITE DITE ELEMENTAIRE ................................................................................. 22
B- Sécurité des points d'accès....................................................................................................... 23
III- Cahier de charges .................................................................................................................... 28
III- 1-Des besoins fonctionnels ...................................................................................................... 28
2-Des besoins non fonctionnels ........................................................................................................... 29
IV- PRÉSENTATION ET CHOIX DE LA SOLUTION ...................................................................... 29
IV- 1-présentation de la solution ........................................................................................................ 29
A- Le protocole d’authentification 802.1x ................................................................................... 29
B- Les méthodes associées à EAP ................................................................................................ 30
C- Introduction au protocole RADIUS ......................................................................................... 32
D- Normalisation .......................................................................................................................... 32
E- Utilité ........................................................................................................................................... 33

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


57
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX
THEME : SECURISATION D’UN RESEAU WIFI PAR IMPLEMENTATION DE LA NORME DE SECURITE 802.1x
SUR SERVEUR RADIUS
F- Fonctionnement de RADIUS ...................................................................................................... 33
G- Fonctionnement de l'identification .......................................................................................... 34
H- Protocoles de mot de passe ...................................................................................................... 34
I- Autorisation ................................................................................................................................. 35
J- Comptabilisation (accounting) .................................................................................................... 35
K- Limitations............................................................................................................................... 37
L- Extensions de RADIUS ............................................................................................................... 38
V- BUDGETISATION ..................................................................................................................... 40
CHAPITRE III : SOLUTIONS, RESULTATS, COMMENETAIRES ...................................................... 41
I- MISE EN PLACE DE L’ENVIRONNEMENT DE TRAVAIL ......................................................... 41
I- 1-OUTILS UTILISES POUR LA REALISATION DU PROJET .................................................. 41
I- 2-PRESENTATION DE L’ENVIRONNEMENT CISCO PACKET TRACER ............................ 41
A-Comment se procurer Cisco Pocket Tracer ? ...................................................................................... 42
A- Installation de Cisco Pocket Tracer ....................................................... Erreur ! Signet non défini.
I- 3-ARCHITECTURE SECURISEE DU TRAVAIL ........................................................................ 43
A- DIFFERENTS SERVICES DEPLOYES DANS NOTRE ARCHITECTURE DE TRAVIL DE
TRAVAIL ............................................................................................................................................... 43
1- Service DHCP ............................................................................................................................. 43
I- 4-CONFIGURATION DES DIFFERENTES ENTITEES.............................................................. 44
A- CONFIGURATION SERVEUR RADIUS ................................................................................. 44
B- CONFIGURATION ROUTEUR WIFI ....................................................................................... 45
C- CONFIGUATION MACHINE POUR SE CONNECTER AU POINT VIA
AUTHENTIFICATION .......................................................................................................................... 47
II- RESULTATS .................................................................................................................................. 50
III- COMMENTAIRES ......................................................................................................................... 52
CONCLUSION GENERALE ..................................................................................................................... 53
BIBLIOGRAPHIE ...................................................................................................................................... 54
WEBOGRAPHIE ........................................................................................................................................ 55
ANNEXES ............................................................................................................ Erreur ! Signet non défini.
TABLE DE MATIERES ............................................................................................................................. 56

MEMOIRE REDIGE ET SOUTENU PAR : ATANGANA AMOUGOU LAURENT STEPHANE


58
ETUDIANT DE 3EME ANNEE EN TELECOMMUNICATIONS ET RESEAUX

Vous aimerez peut-être aussi