Ahmed youssef

Rsum : Tout dabord, il a fallu installer le systme Windows Server 2003 R2 Standard Edition sur un poste de travail. Suite cela, linstallation du service DNS qui est ncessaire au bon fonctionnement dActive Directory. Le serveur assumera la gestion DNS pour son domaine. Son but est de rsoudre les noms DNS dordinateurs en adresse IP et inversement. La configuration se fait intuitivement par un assistant. La suite logique vient avec linstallation dActive Directory. Cela se fait par la commande dcpromo linvite de commande Excuter. lissue de lassistant dinstallation la machine devient le DC (contrleur de domaine). Le DC stocke un rpliqua de lannuaire qui assure lauthentification et louverture des sessions des utilisateurs, les recherches dans lannuaire, ainsi que la propagation des modifications faites sur lannuaire. Lorganisme Wi-Fi Alliance recommande, dans la configuration WPA dentreprise, lusage dune architecture dauthentification standard 802.1x. Il travaille au niveau des couches basses du modle OSI. Son but est dautoriser ou non laccs physique un rseau local, aprs authentification du demandeur. Il est utilis comme mthode de transport pour lauthentification EAP (Extensible Authentification Protocol) et est galement appel EAPOL (EAP Over Lan). Ltude de la solution se basera sur une mthode dauthentification EAP-TLS (EAP-Transport Layer Security). Cette mthode utilise les certificats lectroniques pour une authentification mutuelle entre le client et le serveur. Un tunnel scuris est mis en place pour la distribution des cls de chiffrement. Ainsi la mise en place dune infrastructure de gestion de cls et donc dune autorit de certification (AC) est recommande. En effet, tous les utilisateurs et le serveur RADIUS doivent possder un certificat lectronique. Leur achat auprs dune socit spcialise pourrait coter trs cher, cest pourquoi linstallation dune autorit de certification sur le serveur sera effectue. Linstallation de lAC seffectue laide dun assistant. La distribution des certificats lectronique se fait par interface web via le service IIS. Son installation est donc aussi ncessaire. Afin de scuriser les transferts de certificats via linterface web, il est prfrable dutiliser le protocole SSL pour cette tche. Ainsi les donnes transitant entre lautorit de certification et le client seront cryptes. Un certificat de serveur Web sera install pour linterface web laide dun assistant prvu cet effet. Trois participants sont dfinis dans larchitecture 802.1x pour mener bien le processus : Supplicant : cest le systme authentifier. Il sagit du poste de lutilisateur qui souhaite se connecter au rseau. Authenticator ou relai : borne daccs Wi-Fi. Cest de l que part la demande auprs dun serveur dauthentification. Le Serveur RADIUS : 802.1x propose une communication selon le protocole RADIUS (Remote Authentication Dial In User Service).Ce protocole servira donc transporter du TLS et dfinir quel utilisateur ou groupe aura accs au rseau. Ainsi le lancement du service RADIUS ou IAS pour service dauthentification internet est ncessaire. Le protocole RADIUS a t conu pour prendre en charge la gestion des connexions des utilisateurs distants au rseau. Le serveur RADIUS lui-mme ne contient pas la liste des comptes authentifier. Des connecteurs logiciels permettent la transmission de la demande des entits ddis cet usage comme les serveurs dannuaires (Active Directory). Dans notre cas, le serveur dannuaires LDAP sera le mme que le serveur RADIUS. Avant la configuration du service IAS, on ajoutera les comptes autoriss laccs Wi-Fi. Un groupe sera cr et ddi pour cet usage. Dans les proprits de ce groupe, il faudra penser cocher Autoriser laccs distant.

Projet WIFI

Ahmed youssef

Dans les configurations du service IAS, la borne daccs Wi-Fi sera ajoute en tant que client RADIUS avec un secret partag. Une stratgie daccs distant sera ajoute pour dterminer quelles demandes de connexions sont autorises par le serveur. Le groupe cr prcdemment se verra accorder laccs par son ajout dans la stratgie et une mthode dauthentification est slectionne : Carte puce ou autre certificat. Ensuite, il faudra slectionner le certificat appropri qui servira de preuve didentit. Lutilisateur lui-mme doit tre en possession dun certificat validant son identit, puisque celui-ci lui sera demand par le serveur RADIUS avec lequel il communiquera. Ce certificat sera rcupr par linterface web, il faut donc une premire connexion obligatoire par filaire. Ltape suivante consiste paramtrer la borne daccs Wi-Fi. On y renseigne la mthode dauthentification, le protocole de chiffrement, ladresse IP du serveur RADIUS et le secret partag. Concernant la station cliente, il faudra bien sr la faire appartenir au domaine du PDC avant toute chose pour pouvoir bnficier des stratgies de groupe dtailles ci-aprs. Dans un premier temps, une nouvelle unit dorganisation sera cre sous le nom symbolique Wi-Fi. Le groupe autoris pour laccs Wi-Fi y sera dplac. Par la suite, une premire GPO (Group Policy Object) sera cre, compose dune stratgie de rseau sans fil qui permettra la borne daccs wi-fi de se paramtrer automatiquement. Une seconde GPO sera cre afin dimporter le certificat de lautorit de certification racine de confiance pour le dploiement sur les postes autoriss. Voil, nous passons aux dtails...

Projet WIFI

Ahmed youssef

Sommaire
Introduction ............................................................................................................................................. 4 I. II. 1) 2) 3) 4) III. a) b) c) d) IV. a. b. V. VI. VII. 1. 2. Installation de Windows server 2003 Standard Edition ............................................................ 5 Installation dActive Directory................................................................................................. 6 Installation du service DNS ...................................................................................................... 6 Installation du service dannuaire Active Directory ............................................................ 17 Configuration du suffixe DNS principal................................................................................ 27 Modification des zones principales du serveur DNS ............................................................ 32 Installation dune autorit de certification............................................................................ 35 Installation du service IIS ....................................................................................................... 35 Installation de certificats......................................................................................................... 36 Scurisation de linterface web............................................................................................... 39 Sauvegarde de lautorit de certification............................................................................... 48 Installation du serveur RADIUS (Service IAS) .................................................................... 51 Installation du service IAS...................................................................................................... 52 Configuration du service IAS ................................................................................................. 60 Configuration de la borne daccs Linksys ............................................................................... 68 Mise en uvre de stratgies de scurit ................................................................................. 71 Configuration du poste client ................................................................................................. 83 Inscription du client dans le domaine .................................................................................... 83 Installation du certificat utilisateur ....................................................................................... 89

Conclusion ........................................................................................................................................... 101

Projet WIFI

Ahmed youssef

Introduction Ce rapport prsente une implmentation de la scurit sur un rseau sans-fil Wi-Fi de type WPA-Entreprise. Pour cela, il est ncessaire davoir un domaine Active Directory. Cette solution met en uvre une authentification par un serveur RADIUS, et linstallation dune autorit de certification permettra la non rpudiation des acteurs des changes. Un dploiement des certificats par AD a galement t dvelopp afin de minimiser lintervention humaine pour loprabilit des postes installs. Cette solution de scurit se base sur EAP et TKIP, le protocole permettant lexploitation de cls dynamiques. TKIP aura t prfre au protocole CCMP car le matriel de lancienne gnration nest plus compatible avec le chiffrement AES qui demande une bien plus grande capacit de calcul. Cela dit, la solution exploitant le protocole CCMP n'est pas trs diffrente dans sa mise en place pratique.

Projet WIFI

Ahmed youssef

I.

Installation de Windows server 2003 Standard Edition

Il sagit dune procdure relativement simple qui consiste tout dabord insrer le CD-ROM dinstallation du systme dexploitation. Au dmarrage de la machine, il est souhaitable daccder aux paramtres du bios afin de modifier les priorits des priphriques de dmarrage et ainsi permettre au lecteur CD/DVD de lancer la procdure dinstallation. Les tapes sont clairement noncer par la suite, cration et formatage de la partition systme C:, installation des fichiers Windows, options rgionales Il sera galement demand le nom, lorganisation appartenant, lidentification du produit, le nom de la machine, le mot de passe de ladministrateur, la date et lheure et les paramtres de gestion de rseau. Pour ces derniers, nous mettrons : - Adresse IP : 192.168.2.215 - Masque de sous rseau : 255.255.255.0 - Adresse IP de la passerelle : 192.168.2.1 - Serveur DNS prfr : 192.168.2.215 Il est demand ensuite le domaine dappartenance de lordinateur ou le groupe de travail. Le deuxime cas sera retenu car nous voulons faire de cette machine un contrleur de domaine. Linstallation se poursuit et se clturera par le redmarrage de la machine. Ltape suivante consiste installer les pilotes de la carte mre, la carte vido et autres priphriques non reconnus au dmarrage. Le gestionnaire des priphriques permettra de vrifier lintgration de tous les priphriques. Un redmarrage est ncessaire.

Projet WIFI

Ahmed youssef

Installation dActive Directory 1) Installation du service DNS Il faut tout dabord installer le service DNS (Domain Name Service). Le serveur assumera la gestion pour son domaine. Pour installer une infrastructure Active Directory, il faut implmenter le service DNS, il sagit dun prrequis. Son but est de rsoudre les noms DNS dordinateurs en adresses IP et inversement. Pour se faire, direction menu Dmarrer / Panneau de configuration / Ajout/Suppression de programmes.

II.

Dans la cartouche gauche on slectionne Ajouter ou Supprimer des composants Windows et dans la liste droulante on double clique sur Services de mise en rseau.

Projet WIFI

Ahmed youssef

L nous cochons Systme DNS (Domain Name System) et validons.

Le CD-ROM dinstallation est ncessaire dans notre cas nous lavions dj dans le lecteur CD ce qui explique sa non demande.

Projet WIFI

Ahmed youssef

Une fois linstallation termine, dans le menu Dmarrer / Outils dadministration, on slectionne DNS.

Projet WIFI

Ahmed youssef

Nous arrivons alors linterface suivante qui stockera toutes les donnes relatives au service. par un clic droit on slectionne Configurer un serveur DNS.

Lassistant de configuration du serveur DNS apparait.

Projet WIFI

Ahmed youssef

Une zone de recherche directe et inverse sera configure.

On coche Oui, pour la cration immdiate de la zone de recherche inverse.

Projet WIFI

Ahmed youssef

Nous crons une zone principale.

Nous lui donnons un nom.

Projet WIFI

Ahmed youssef

Un fichier sera cr pour contenir les configurations de la zone principale.

Nous slectionnons le deuxime choix concernant la mise jour dynamique. Apres linstallation dActive Directory, le premier choix qui est actuellement gris sera accessible afin de garantir une meilleure scurit.

Projet WIFI

Ahmed youssef

Des choix similaires seront slectionner pour la configuration de la zone de recherche inverse.

Slection de Zone principale pour le type de zone crer.

Projet WIFI

Ahmed youssef

Nous mettons notre ID rseau.

Un nouveau fichier est cr l aussi pour recevoir les donnes de la zone inverse.

Projet WIFI

Ahmed youssef

Comme prcdemment, la mise jour dynamique scurise et non scurise est autorise.

Les requtes que le serveur DNS ne pourra satisfaire seront rediriger vers le serveur DNS du fournisseur daccs Internet.

Projet WIFI

Ahmed youssef

Lassistant se termine.

Linterface se voit complte logiquement.

Projet WIFI

Ahmed youssef

2) Installation du service dannuaire Active Directory Le lancement de lassistant dinstallation se fait par la commande dcpromo linvite de commandes Executer. A lissue de linstallation, la machine deviendra le premier contrleur de domaine ou DC (Domain Controller). Un contrleur de domaine stocke un replicat de lannuaire qui assure lauthentification et louverture des sessions des utilisateurs, les recherches dans lannuaire, ainsi que la propagation des modifications faites sur lannuaire. Un domaine peut possder un ou plusieurs contrleurs de domaines.

Lassistant se lance

Projet WIFI

Ahmed youssef

La fentre suivante nous informe sur la compatibilit du systme dexploitation.

Le but est de crer un nouveau domaine, le premier choix correspond.

Projet WIFI

Ahmed youssef

Nous crons un domaine parent, on slectionne Domaine dans une nouvelle foret.

On relve lespace de nom pour lequel le serveur DNS fait autorit.

Projet WIFI

Ahmed youssef

Le nom de domaine NETBIOS, il apparaitra au logon des clients ou serveurs pour designer le domaine cible.

La fentre suivante dsigne les chemins ou seront stocks la base de donnes Active Directory et son journal.

Projet WIFI

Ahmed youssef

Le dossier suivant servira pour la rplication.

Un diagnostic des inscriptions DNS est effectu.

Projet WIFI

Ahmed youssef

Ici le second choix semble plus judicieux pour un souci de scurit.

Un mot de passe est demand pour la restauration des services dannuaire.

Projet WIFI

Ahmed youssef

Le rsum de linstallation.

Le processus de linstallation va durer quelques minutes aprs son installation.

Projet WIFI

Ahmed youssef

Linstallation dActive Directory est termine.

Un redmarrage de lordinateur est ncessaire.

Projet WIFI

Ahmed youssef

Enfin pour accder la console de configuration principale dActive Directory, nous allons dans le menu Dmarrer / Outils dadministration / Utilisateurs et ordinateurs Active Directory.

Linterface se prsente sous cette forme.

Projet WIFI

Ahmed youssef

Projet WIFI

Ahmed youssef

3) Configuration du suffixe DNS principal Dans un premier temps direction menu Dmarrer / Panneau de configuration / Connexions rseaux et clic droit sur Connexion au rseau local / proprits.

Projet WIFI

Ahmed youssef

Sur longlet Gnral, on fait dfiler la liste droulante pour arriver sur Protocole internet (TCP/IP) et on clique sur le bouton Proprits.

Sur cette fentre, tout tait dj configur lors de linstallation de Windows, nous allons cliquer sur le bouton Avanc.

Projet WIFI

Ahmed youssef

Sur longlet DNS il faudra rajouter le suffixe DNS.

Dans un second temps, menu Dmarrer et clic droit sur Poste de travail pour atteindre les Proprits.

Projet WIFI

Ahmed youssef

Sur longlet Nom de lordinateur, on clique sur le bouton Modifier.

Un message apparait alors pour vous demander de ne pas changer le nom de lordinateur, on met Ok.

Projet WIFI

Ahmed youssef

A la fentre suivante, on clique sur le bouton Autres...

Enfin on remplit encore le suffixe DNS.

Projet WIFI

Ahmed youssef

4) Modification des zones principales du serveur DNS Auparavant, nous navions pas pu enregistrer la zone principale dans Active Directory du au fait quil ntait pas encore install sur la machine. Afin de bnficier des fonctionnalits de scurit optimale, telles que la mise jour dynamique scurise, il nous faut modifier certaines options des zones principales directes et inverses. Actuellement les zones principales sont stockes dans des fichiers .dns. Nous allons faire en sorte que le stockage de zone soit intgr lannuaire dActive Directory. Pour se faire, dans la console DNS, nous allons faire un clic droit sur la zone principale (dans notre cas : tdsi2009.sn) et Proprits.

Projet WIFI

Ahmed youssef

Ensuite sur longlet Gnral, devant le type de la zone, on appuie sur le bouton Modifier.

Nous cochons Enregistrer la zone dans Active Directory.

Projet WIFI

Ahmed youssef

Un message davertissement vous demande de confirmer.

Enfin, devant Mise jour dynamique, nous slectionnons Scuris uniquement.

La mme manipulation sera effectue pour la zone inverse.

Projet WIFI

Ahmed youssef

III.

Installation dune autorit de certification a) Installation du service IIS

Afin de pouvoir diffuser des certificats par interface web, il est souhaitable dinstaller le service IIS (Internet Information Services). Nous allons donc, par loutil Ajouter ou supprimer des composants Windows, double-cliquer sur Serveur dapplications.

Ensuite, on slectionne Services IIS puis on valide plusieurs reprises.

Projet WIFI

Ahmed youssef

Linstallation seffectue alors.

b) Installation de certificats Toujours dans Ajouter ou supprimer des composants Windows, dans la liste droulante, on slectionne Services de certificats.

Projet WIFI

Ahmed youssef

A la slection, il apparait un message nous mettant en garde concernant la validit des certificats si le nom de lordinateur ou le domaine venait tre modifi.

On clique sur Suivant. Linstallation se fera laide dun assistant. Tout dabord, il sera demand le type dautorit de certifications que lon souhaite installer. Le choix comprend deux types principaux : Autorit dentreprise : ce type dautorit se base sur lannuaire dActive Directory, la dlivrance de certificats est donc faite dans le domaine o est install le service. Autorit autonome : les certificats sont dlivrs dans tout rseau.

Pour chacune de ces deux autorits, il doit tre spcifi si elle est lautorit parente (racine) ou non (secondaire).

Projet WIFI

Ahmed youssef

Par la suite, il faut choisir un nom pour cette autorit. Une priode de validit est galement prciser.

Il faut spcifier les dossiers ou seront stocks la base de donnes de certificats et les journaux de cette base par la suite. On laissera par dfaut.

Projet WIFI

Ahmed youssef

Message nous avertissant de larrt temporaire du service IIS.

Une fois linstallation termine, un nouveau message nous signale que lactivation des pages ASP est ncessaire pour le bon fonctionnement de linterface web lautorit de certification.

c) Scurisation de linterface web Afin de scuriser les transferts de certificats via linterface web, il est prfrable dutiliser le protocole SSL. Ainsi les donnes transitant entre lautorit de certification et le client seront crypts. Pour se faire, lanons le gestionnaire des services internet par le menu Dmarrer / Outils dadministration / Gestionnaire des services Internet (IIS).

Projet WIFI

Ahmed youssef

Ensuite, clic droit sur Site Web par dfaut contenant le rpertoire virtuel Certsrv puis clic sur Proprits.

Sur longlet, dans la section Identification de site Web, on clique sur Avanc.

Projet WIFI

Ahmed youssef

Ici par le bouton Ajouter, nous allons spcifier le port pour la connexion SSL.

Ainsi, on insre le port 443 puis on valide.

Projet WIFI

Ahmed youssef

Le port ajout apparait donc sur la fentre prcdente.

Ltape suivante se passera sur longlet Scurit de rpertoire dans la section Communications scurises. On clique sur le bouton Modifier.

Projet WIFI

Ahmed youssef

On coche Requrir un canal scuris (SSL) et selectionne Ignorer les certificats clients.

LAssistant Certificat de serveur Web se lance aprs un clic sur le bouton Certificat serveur. Il va permettre de crer un certificat de serveur web.

Projet WIFI

Ahmed youssef

Nous mettons logiquement Crer un certificat.

Comme le serveur se trouve sur le domaine, qui plus est sur le contrleur de domaine, nous pouvons slectionner Envoyer immdiatement la demande une autorit de certification en ligne.

Projet WIFI

Ahmed youssef

On prcise un nom pour le certificat et une longueur en bits.

On prcise lOrganisation et lUnit dorganisation

Projet WIFI

Ahmed youssef

On prcise le nom commun du site web pour lequel nous mettons le nom de lordinateur : teranga.

On choisit dans les listes droulantes diffrentes informations gographiques.

Projet WIFI

Ahmed youssef

Par la suite, on spcifie le port SSL.

Enfin nous slectionnons une autorit de certification, celle du contrleur de domaine.

Projet WIFI

Ahmed youssef

Un rcapitulatif avant la demande de certificat est affich. On clique sur Suivant puis sur Terminer.

d) Sauvegarde de lautorit de certification Lautorit de certification doit rgulirement tre sauvegarde car elle est la seule possder la cl prive permettant de gnrer des certificats aux clients. Pour cela, nous allons nous placer dans la console enfichable Autorit de certification et effectuer un clic droit sur lautorit, Toutes les taches et Sauvegarder lAutorit de certification.

Projet WIFI

Ahmed youssef

Un assistant vient nous guider dans la manipulation.

Projet WIFI

Ahmed youssef

Nous slectionnons Cls prives et certificats dautorits de certification et ciblons lemplacement de la sauvegarde dsire.

Nous allons saisir un mot de passe pour la sauvegarde de la cl prive qui doit tout prix rester confidentiel.

Projet WIFI

Ahmed youssef

Lassistant de sauvegarde se termine, on clique sur Terminer.

IV.

Installation du serveur RADIUS (Service IAS)

Un serveur RADIUS (Remote Access Dial-In User Service) est souvent utilis pour centraliser lauthentification, lautorisation et la gestion des comptes pour les connexions daccs distance. Il utilise le protocole RADIUS pour changer avec le client RADIUS. Un environnement RADIUS est compos de : Un serveur RADIUS. Un client RADIUS (lment actif qui reoit les demandes dauthentification des clients et les transmet aux serveurs RADIUS) Un client (ordinateur qui souhaite accder une ressource ncessitant une authentification RADIUS).

Dans notre cas, nous utiliserons une authentification de type EAP-TLS. Le protocole RADIUS ne servira donc qu transporter du TLS et dfinir quel utilisateur ou quel groupe aura accs au rseau.

Projet WIFI

Ahmed youssef

a. Installation du service IAS Dans un premier temps, nous allons installer le serveur RADIUS, et poursuivre sur sa configuration. Pour se faire, direction menu Dmarrer / Panneau de configuration / Ajout/Suppression de programmes. Dans la cartouche gauche, on slectionne Ajouter ou supprimer des composants Windows et dans la liste droulante, on double clic sur Services de mise en rseau.

Nous cochons Services dauthentification Internet et validons.

Projet WIFI

Ahmed youssef

Pour lancer linterface de configuration, il faut aller dans les Outils dadministration et cliquer sur Service dauthentification Internet.

Voici linterface de configuration.

Projet WIFI

Ahmed youssef

Avant de configurer le serveur RADIUS, nous allons ajouter un utilisateur dans Active Directory par linterface Utilisateurs et ordinateurs dActive Directory. Nous faisons un clic droit sur Users, Nouveau et Utilisateur.

Il sappelle wifi.

Projet WIFI

Ahmed youssef

On rentre son mot de passe et coche deux options.

Un rcapitulatif suit avant le terme de la cration de lutilisateur.

Projet WIFI

Ahmed youssef

De la mme manire nous allons crer un groupe.

Nous nommons le groupe groupe-wifi.

Projet WIFI

Ahmed youssef

Par la suite, par un clic droit sur lutilisateur wifi, slectionnons Proprits.

Projet WIFI

Ahmed youssef

Dirigeons nous sur longlet Appel entrant et dans la section Autorisation daccs distant (appel entrant ou VPN) nous allons cocher Autoriser laccs.

Enfin nous allons ajouter lutilisateur wifi au groupe groupe-wifi. Pour cela, un clic droit sur le groupe et Proprits.

Projet WIFI

Ahmed youssef

On appuie sur le bouton Ajouter.

L nous ajoutons lutilisateur concern puis nous validons.

Projet WIFI

Ahmed youssef

b. Configuration du service IAS Tout dabord, nous allons ajouter un client RADIUS, pour cela, clic droit sur Clients RADIUS et Ajouter un client RADIUS.

Nous allons ajouter la borne daccs Linksys, ainsi nous nommerons ce client linksys et lui donnerons pour adresse IP 192.168.2.100.

Projet WIFI

Ahmed youssef

Ensuite, nous dfinissons un secret partag et lattribut client-serveur restera par dfaut RADIUS Standard car la marque du client RADIUS nest pas liste dans la liste droulante.

On clique alors sur Terminer. A la ligne Stratgies daccs distant, par un clic droit, slectionnons Nouvelle Stratgie daccs distant.

Projet WIFI

Ahmed youssef

Un assistant arrive pour aider la configuration.

On coche le premier choix afin de continuer avec lassistant et on nomme la stratgie AccsWi-Fi.

Projet WIFI

Ahmed youssef

Nous slectionnons la mthode daccs sans fil.

Sur la fentre suivante, nous allons ajouter le groupe groupe-wifi. Pour cela, on appuie sur le bouton Ajouter.

Projet WIFI

Ahmed youssef

Apres la saisie du groupe, on valide.

On valide nouveau.

Projet WIFI

Ahmed youssef

Dans la liste droulante suivante, nous allons slectionner Carte puce ou autre certificat et appuyer sur le bouton Configurer.

Ici nous validons aprs la slection du certificat appropri.

Projet WIFI

Ahmed youssef

Il suit un rcapitulatif, appuyons sur Terminer pour confirmer.

On constate larrive de la stratgie linstant dans la section Stratgies daccs distant. On fait un clic droit dessus puis on appuie sur Proprits.

Projet WIFI

Ahmed youssef

On vrifie bien que le bouton radio Accorder lautorisation daccs distant est slectionn.

Enfin, par un clic droit sur Service dauthentification, nous choisissons Inscrire le serveur dans Active Directory.

Projet WIFI

Ahmed youssef

Un message apparait nous demandant dautoriser ou non le serveur RADIUS lire des informations dans lannuaire dActive Directory.

Nous validons.

V.

Configuration de la borne daccs Linksys

Ltape suivante consiste paramtrer la borne daccs. On vrifie dans la documentation fournisseur la manire daccder au point daccs wifi (AP). Dans notre cas, il sagit de ladresse 192.168.2.100 avec les login et mot de passe respectifs admin et admin. Nous ouvrons alors le navigateur Internet et saisissons : http://192.168.2.100 et linvite y insrons les login et mot de passe.

Projet WIFI

Ahmed youssef

On clique sur le lien Basic Setup afin de modifier les paramtres IP selon notre rseau. Nous mettons alors 192.168.2.75 avec le masque de sous rseau 255.255.255.0.

Projet WIFI

Ahmed youssef

Ici, on donne le nom du rseau wifi (SSID) puis on dsactive la diffusion du SSID.

Ici, on prcise le type de scurit quon va utiliser, lalgorithme, ladresse du serveur RADIUS, le port RADIUS utilis, le secret partag et le temps de renouvellement de la cl.

Projet WIFI

Ahmed youssef

VI.

Mise en uvre de stratgies de scurit

Une GPO (Group Policy Object) permet la gestion centralise des ordinateurs et utilisateurs dans un environnement Active Directory. Dans un premier temps nous allons crer une nouvelle unit dorganisation partir de la console Utilisateurs et ordinateurs Active Directory.

Nous la nommons Accs-Wi-Fi.

Projet WIFI

Ahmed youssef

Nous allons y dplacer les ordinateurs concerns par les futures GPO.

Continuons par un clic droit sur la nouvelle unit dorganisation puis un autre sur Proprits.

Projet WIFI

Ahmed youssef

On se dirige vers longlet Stratgie de groupe et on clique sur le bouton Nouveau.

Nous la nommons stratgies_wifi.

Projet WIFI

Ahmed youssef

On double-clique sur la nouvelle stratgie. Direction Configuration ordinateur / Paramtres Windows / Paramtres de scurit et clic droit sur Stratgies de rseau sans-fil et Crer une stratgie de rseau sans fil.

LAssistant Stratgie de rseau sans fil se lance.

Projet WIFI

Ahmed youssef

Nous allons nommer cette stratgie ajout de lAP en tant que rseau favori.

Lassistant se termine, noublions pas de cocher la case Modifier les proprits afin de renseigner un tant soit peu la stratgie.

Projet WIFI

Ahmed youssef

A lentre Accs Rseau, nous mettons Tout rseau disponible (point daccs favori).

Sur longlet Rseaux favoris, nous allons ajouter le point daccs linksys.

Projet WIFI

Ahmed youssef

Nous renseignons le SSID, lauthentification rseau, et le cryptage des donnes.

On passe longlet IEEE 802.1x, on modifie le type EAP afin de paramtrer Carte puce ou autre certificat. On clique sur Paramtres afin de dsigner le certificat dsirer pour lauthentification.

Projet WIFI

Ahmed youssef

Apres la validit, le rseau sans fil apparait.

Par la suite nous allons importer le certificat de lautorit de certification racine de confiance afin quil se dploie sur les postes senss se connecter lAP linksys.

Projet WIFI

Ahmed youssef

Un assistant se lance.

Le chemin du certificat est dfinir.

Projet WIFI

Ahmed youssef

Nous ciblons donc le certificat qui doit se trouver sur la racine du disque o est install lOS.

On passe ltape suivante par le bouton Suivant.

Projet WIFI

Ahmed youssef

Le certificat se placera donc dans la section Autorits de certification racines de confiance.

Un rcapitulatif suit lopration.

Projet WIFI

Ahmed youssef

Enfin un message signale le succs ou non de lopration.

Le certificat doit apparaitre alors dans la console.

Afin dviter dattendre lactualisation des modifications GPO, nous utilisons la commande gpupdate /force.

Cette commande permet donc de forcer mise jour.

Projet WIFI

Ahmed youssef

VII.

Configuration du poste client 1. Inscription du client dans le domaine Nous allons tout dabord modifier les paramtres rseaux du client par le menu Dmarrer / Connexions et Afficher les connexions.

Projet WIFI

Ahmed youssef

Par un clic droit sur linterface rseau filaire, nous nous dirigeons vers Proprits.

Dans la liste droulante, une fois sur Protocole Internet TCP/IP, cliquons sur le bouton Proprits.

Projet WIFI

Ahmed youssef

L nous allons modifier le serveur DNS prfr afin lIP soit celle du serveur DNS local et on se dirige vers le bouton Avanc.

A lemplacement Suffixe DNS pour cette connexion, nous mettons le DNS et cochons la dernire case. A la noter que les mmes manipulations seront effectues pour la connexion sans fil.

Projet WIFI

Ahmed youssef

La seconde tape de linscription au domaine consiste renseigner le domaine dinscription, donc clic droit sur Poste de travail / Proprits.

A longlet Nom de lordinateur, nous cliquons sur le bouton Modifier.

Projet WIFI

Ahmed youssef

Nous avons donn lordinateur le nom client-wifi, nous cochons le bouton radio Domaine et renseignons le nom du domaine dsire puis on clique sur le bouton Autres.

L nous renseignons le suffixe DNS inscrit auparavant dans les proprits rseaux et cochons la case Modifier le suffixe DNS principal lorsque les adhsions au domaine sont modifies.

A la validation, une fentre logon apparaitra nous demandant un compte du domaine qui autorise linscription dordinateurs son domaine.

Projet WIFI

Ahmed youssef

Un message affichant le succs ou non de la manipulation apparat.

Enfin, on redmarre la machine.

Projet WIFI

Ahmed youssef

2. Installation du certificat utilisateur Pour effectuer une demande de certificat, les utilisateurs doivent se connecter, par leur navigateur, sur le site web : http://192.168.2.215/certsrv. Une invite de logon apparaitra, il faudra y insrer le compte autoris lAP linksys. Nous saisissons alors le compte wifi.

L'interface Web se dcompose en trois parties : Demander un certificat : permet de demander des certificats standards ou avancs. Afficher le statut d'une requte de certificat en attente : permet dans le cas d'une autorit de certification autonome, de rcuprer un certificat aprs ayant t valid par l'administrateur. Tlcharger un certificat d'autorit de certification : permet de tlcharger le certificat de l'autorit de certification. Une GPO se charge de rcuprer le certificat de lautorit de certification, nous navons donc pas le tlcharger. Il nous suffira de demander un certificat utilisateur, donc le premier lien.

Projet WIFI

Ahmed youssef

Ensuite, nous cliquons sur le lien Certificat utilisateur.

Nous cliquons sur le bouton Envoyer.

Projet WIFI

Ahmed youssef

Une fentre pop-up apparait pour nous demander si nous voulons oui ou non poursuivre la requte de certificat.

Apres avoir cliqu sur le bouton Oui, nous attendons une rponse du serveur.

Projet WIFI

Ahmed youssef

Enfin, nous installons le certificat.

Un message sinscrira la page suivante concernant le succs ou non de la manipulation.

Afin de vrifier que les certificats sont bien installs, nous allons dans les Options Internet.

Projet WIFI

Ahmed youssef

A longlet Contenu dans la section Certificats, nous allons slectionner le bouton Certificats.

Ensuite, longlet Personnel, nous remarquons bien le certificat utilisateur ajout prcdemment. Pour lafficher, nous avons le bouton Affichage.

Projet WIFI

Ahmed youssef

Une brve description des rles du certificat est prsente, nous lisons notamment quil permet de garantir notre identit auprs dun ordinateur distant.

Projet WIFI

Ahmed youssef

Sur longlet Autorits principales de confiance, nous relevons la prsence du certificat de lautorit de certification.

Projet WIFI

Ahmed youssef

3. Paramtrage de la connexion sans fil Tout dabord, clic droit sur licne Rseau sans fil et Afficher les rseaux sans fil disponibles.

Nous apercevons alors le point daccs Linksys dont le SSID est linksys@tdsi2009.sn. Nous cliquons sur Modifier les paramtres avancs.

Projet WIFI

Ahmed youssef

Sur longlet Configuration rseaux sans fil, notons que le rseau sans fil de lAP Linksys est bien prsent du fait de la GPO. Nous allons vrifier par le bouton Proprits certaines informations.

Projet WIFI

Ahmed youssef

Sur longlet Association, lauthentification rseau est bien WPA et le chiffrement TKIP.

Sur longlet Authentification, le type EAP est bien Carte puce ou autre certificat. Allons vrifier un dernier point par le bouton Proprits.

Projet WIFI

Ahmed youssef

Le certificat de lautorit de certification sera coch si ce nest pas le cas puis on valide.

Nous retournons laffichage des rseaux sans fil et double-cliquons sur llment linksys@tdsi2009.sn mais a ne marche toujours pas.

Projet WIFI

Ahmed youssef

Projet WIFI

Ahmed youssef

Conclusion Nous avons donc tout fait au long de cet article pour mettre en place une infrastructure Wi-Fi la plus scurise possible tout en tant compatible avec les exigences des diffrentes technologies des fabricants. Vous disposez donc maintenant de la scurit la plus renforce pour un rseau sans-fil. Si vous craigniez encore le piratage, il ne vous reste plus qu mettre en place des dispositifs de brouillage, mais attention ne pas dtriorer du mme cot votre rseau. De plus cet architecture base sur un serveur Radius et une authentification de type EAP pourra galement vous servir pour mettre en place une politique daccs distant centralise et scurise.

Projet WIFI