Vous êtes sur la page 1sur 5

Infrastructure Point d'accès

Objectif :

Connaître l'infrastructure (Point d'accès).

1) Monter et sécuriser un réseau en mode Infrastructure (Point d'accès) :

La première partie de cette section présentera la configuration d'un poste client pour se
connecter de façon sécurisée à une borne Wireless. La seconde partie proposera une
méthodologie pour créer un réseau Wireless beaucoup plus sécurisé mais nécessitant
beaucoup plus de moyens.

Le paramétrage d'un client réseau en mode infrastructure se fait de la même façon que
pour un client Ad Hoc. La différence réside dans le fait que le réseau Wireless à
paramétrer est détecté automatiquement. Il apparaît dans la liste des réseaux
disponibles. Il faut connaître le SSID du réseau que vous voudrez joindre. Cliquez sur le
bouton Configurer. Vous pouvez alors rentrer les paramètres du réseau Wireless. Les
propriétés à rentrer dépendent du réseau que vous joignez.

Si vous montez votre propre réseau, il est conseillé de paramétrer votre borne d'accès
avec le filtrage par adresse MAC, premier niveau de sécurité pour l'authentification. Ce
paramétrage s'effectue directement sur la borne. L'adresse MAC d'une carte réseau est
toujours marquée dessus. Si tel n'est pas le cas, vous pouvez toujours obtenir le numéro
de votre adresse MAC en ouvrant une console puis en tapant ipconfig /all. Le résultat
ressemble à cela :
Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : NETGEAR MA401 Wireless PC
Card
Adresse physique . . . . . . . . .: 00-30-AB-29-9A-FD
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 192.168.0.2
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.0.1
Serveur DHCP. . . . . . . . . . . : 192.168.0.1
Serveurs DNS . . . . . . . . . . : 193.252.19.3
                                   193.252.19.4
Bail obtenu . . . . . . . . . . . : samedi 6 octobre 2006
20:52:35
Bail expirant . . . . . . . . . . : mardi 9 octobre 2006
20:52:35

Cela vous donne l'adresse physique de votre carte qui représente l'adresse MAC. Cette
adresse est à fournir à l'administrateur qui gère la borne pour qu'il vous autorise à vous
-1-
y connecter. La plupart des bornes se paramètrent à travers un browser. On prendra
comme exemple une borne Netgear MR314. La plupart des bornes possèdent des
paramètres équivalents. Le paramétrage du filtrage MAC donne :

Ensuite, afin que vos communications soient cryptées, il est nécessaire d'activer les
paramètres du WEP dans l'AP. Vous avez la possibilité de spécifier 4 clés différentes.
Cela vous permet par exemple d'avoir une clé permanente que vous changez de temps
en temps et des clés temporaires que vous pouvez fournir à des invités ou des
intérimaires. A leur départ, vous désactivez la clé. Dans la plupart des cas, vous pouvez
générer les clés avec des phrases, plus faciles à retenir que les valeurs hexa des 13
octets… Dans le cas de la borne MR314, cela donne :

-2-
Encore une fois, il est conseillé de n'utiliser que le cryptage 128 bits (clé de 104 bits),
plus sécurisé que le cryptage 64 bits (clé de 40 bits).

Partons du principe que l'administrateur réseau a correctement paramétré le filtrage


par adresse MAC, que votre adresse sera allouée en DHCP et qu'il a positionné le WEP à
128 bits. Cô té client, le réseau doit apparaître dans les réseaux disponibles. Pour le
configurer, appuyez sur le bouton Configurer.

                     

 Sélectionnez la case Cryptage de données (WEP Activé)


 décochez la case La clé m'est fournie automatiquement.
 Rentrez ensuite la Clé réseau sur 104 bits soit en caractères ASCII soit en hexa.
 Cliquez ensuite sur OK.

Le réseau apparaît ensuite dans la catégorie Réseaux favoris. Fermer la fenêtre


propriété en cliquant sur OK (si vous devez saisir une adresse IP statique n'oubliez pas
de le faire).

Si tout se passe bien, vous devriez être connecté au réseau. En cas de problème, vérifiez
que vous avez correctement paramétré la clé WEP, que l'administrateur a bien saisi
votre adresse MAC et que le firmeware de votre carte réseau est à jour. Pour vérifier les
propriétés, cliquez sur le bouton Propriétés de la section Réseaux favoris.

-3-
2) Mise en place d'un serveur Remote Authentication Dial-In User Service
(RADIUS) :

Cette mise en place se base sur l'implantation d'un serveur Remote Authentication Dial-
In User Service (RADIUS), basé sur les RFCs 2865 et 2866. Ce serveur RADIUS
permettra de façon centralisée d'authentifier, d'autoriser et de gérer les comptes
(appeler Authentication, Authorization, and Accounting ou AAA en anglais) pour :

 Les AP
 L'authentification des switch Ethernet
 Les serveurs de type Virtual Private Network (VPN)
 Les serveurs de connexion Digital Subscriber Line (DSL)
 Plus généralement, tout autre serveur d'accès à un réseau

L'infrastructure RADIUS type peut se schématiser ainsi :

Chez Microsoft, le serveur RADIUS est inclus dans la famille Windows 2000 Server, il
s'agit de Internet Authentication Service (IAS). IAS s'appuie sur Active Directory pour
authentifier les utilisateurs et pour autoriser ou non les utilisateurs à accéder au réseau
en dial-in.

-4-
Le paramétrage permet de créer des profils et de jouer sur des règles qui définissent les
privilèges et les interdictions d'accès.

Pour gérer l'authentification à la fois des machines et des utilisateurs, nous avons opté
pour une solution à base de certificats. Il est nécessaire de posséder deux certificats
pour pouvoir s'authentifier, un pour la machine, l'autre pour l'utilisateur. Si et
seulement si les deux certificats sont valables alors l'authentification est validée. Une
encryptions forte est utilisée pour les communications.

-5-

Vous aimerez peut-être aussi