Esi 2011 Baz Etu

Ministère des Enseignements Secondaire et Supérieur
(MESS)
Secrétariat Général
Université Polytechnique de Bobo-Dioulasso (U.P.B.)
Ecole Supérieure d'Informatique (E.S.I)
Cycle des Ingénieurs de Travaux Informatiques (C.I.T.I)

Option: Réseaux et Maintenance Informatiques (Ré.M.I)
THEME : «Etude et optimisation d'une politique de sécurité des liaisons BLR»
Période du 1er Septem6re au 30 !Novem6re 2011
Auteur: BAZIE Marc Baudouin
Maître de staee Superviseur
Me BOKOUM Awa M. DIALLO Abdoul Karim
Chef du service informatique à Enseignant à l'Ecole Supérieure

la BSIC Burkina d'Informatique
Année académique: 2010-2011

, .LV l i
TABLEDESMATIERES
TABLE DES MATIERES 1
REMERCIEMENTS 111
LISTE DES SIGLES ETABREVIATIONS IV

TABLE DES FIGURES VII
TABLE DES TABLEAUX IX
AVANT·PROPOS X
INTRODUCTION GENERALE 1
PREMIERE PARTIE: PRESENTATION DE LA STRUCTURE D'ACCUEIL: LA BSIC 3
1.1. OBJECTIFS DE LA B5IC 3

1.2.AcTIVITES DELAB51C BURKINA 3
1.3. PRODUITS OFFERTS AUX CLIENTS 4
DEUXIEME PARTIE: ETUDE DU THEME 6
Il.1. ETUDE DE L'EXISTANT 6

Il.1.1. Authentification 8
1/.1.2. Protocole d'échange de c/és 9
Il.1.3. Confiden tialité 10
Il.2. ANALYSE CRITIQUE DE L'EXISTANT 12
Il.2.1. Confiden tialité 12
Il.2.2. Auth entifica tion 12
Il.2.3. Intégrité des données 12
Il.2.4. Non-répudiation 12
Il.2.5. Contrôle d'accès 13
1/.2.6. Vulnérabilités par rapport aux limites de cette stratégie de sécurité 13
11.2.6.1. Attaque de type « wate r-torture » 13
Il.2.6.2. Attaque de type « Man-In-The-Mddle » 13
Il.2.6.3. Déni de se ru ces 14
Il.2.6.4. Redirection 14
Il.3. TYPES D'EQUIPEMENTS DE SECURITE RESEAUX EXISTANTS 15
Il.3.1. Firewalls (pore-feu] 15
Il.3.1.1. Fonctionnement d'un firewall 15
Il.3.1.2. ü mites d'un fi rewall 16
Il.3.2. Serveur proxy 16
Il.3.2.1. Fonctionnement 16
Il.3.2.2. ümites d'unserveurproxy 17
Il.3.3. Bottiers de chiffrement 17
Il.3.4. IDS/IPS 17
Il.3.4.1.1 Os 17
Il.3.4.2.1 PS 18
/1.3.5. Serveurs d'uuthentification 18
Il.3.5.1. CHAP 18
Il.3.5.2. PAP 18
Il.3.5.3. SeaJr1D 19
Il.3.5.4. Cas de IPSec 19
Il.3.5.5. TACACS 19
Il.3.5.6. RADiUS 19
Il.4. ETUDE COMPARATIVE DES SOLUTIONS SECURISEES D'INTERCONNEXION POSSIBlES 20
Il.4.1. Protocoles d'authentification 20
Il.4.1.1. EAP-M05 21
Il.4.1.2. Gsco LEAP 22
Il.4.1.3. EAP-TLS 22
Il.4.1.4. EAP-TILS et EAP·PEAP 24
Il.4.2. Serveurs d'authentification 25
Paae1
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--1
1_"_'_
"_' _
Il.4.2.1. Steel Belted Radius 25

Il.4.2.2. McrosoftIAS 26
Il.4.2.3. Radiator 27
Il.4.2.4. FreeRADIUS 27
1/.4.3. Bases de données de comptes d'utilisa teu rs 28
Il.4.3.1. Annuaire LDAP 28
Il.4.3.2. Basede données Mysql 28
1/.4.4. Prévention d'intrusion 28
Il.4.4.1. Watchgua rd 1PS 29
Il.4.4.2. Atta ck mitigator 1PS 29
Il.4.4.3. Prelude NIDS 29
Il.4.4.4. Snort NIDS 29
1/.4.5. Tableau récapitula tif des solutions appropri ées .30
TROISIEME PARTIE: MISE EN PLACE DE LA SOLUTION RETENUE 33
111.1. TABLEAU RECAPITULATIF DE LASOlUTION RETENUE 33

III .2. MISE EN PLACE DE LASOLUTION RETENUE 33
111.2.1. Installation de « Ubuntu » .35
111.2.1.1. Préparation de l'installation 35
111.2.1.2. Différentes éta pes d1nstallation de « Ubuntu » 35
111.2 .2. Serveur d'authentification 35
111.2.2.1. Installation et ronfiguration de OpenSSL 35
111.2.2.2. Installation et ronfiguration de FreeRadi us 37
111.2.2.3. Configuration du modem RADWiN WIMAX 40
111.2.2.4. Exemple de ronfiguration d'une machined'utilisate ur 40
111.2.3. Base de données des certificats 43
111.2.4. Système de détection/prévention d'in trusion .47
111.2.4.1. Pré-requis 47
111.2.4.2. Installation de Snort 47
111.2.4.3. Règles de Snort 49
111.2.4.4. Lancement de Snort , , 50
111.2.4.5. Configuration finale 54
111.3. COUT ESTIMATIF DUPROJET .56
CONCLUSION 57
BmUOGRAPI-IIE ET WEBOGRAPI-IIE ' 58
RaDDon ducroie: defin de cvde Paae 11

"",I,.'U,", '"'" '""Y"1".,..JU •• VI ..... ""''"'yv"'"'''l'''~ U'"' ..J,",,",I,.I1I'~ .... ~.., "U'..JVII..J .IJ""~"
REMERCIEMENTS
~ twt ~ }'~ <U-w trWtci à ~ fro ~ ~ ~ 11 m'a;,u
~ de ~ à ~ C"-~. 9'b~, ~ ~ O-'~oonX à :
~ L'Ecole Supérieure d'Informatique(E.S.I) pour la formation reçue durant ces trois dernières
années;
~ M. DIALLO Abdoul Karim, mon superviseur de stage qui a accordé beaucoup de son temps
pour mes questions d'éclaircissement;
~ Mme BOKOUM Awa, chef du service informatique à la BSIC Burkina qui est mon maître de
stage et qui a pu libérer son temps pour m'aider dans l'élaboration de mon projet de fin de
cycle;
~ M. SOME Ayrnard, ingénieur réseau à la BSIC Burkina;
~ M. TRAORE Harouna, informaticien à la BSIC;
~ M. OUEDRAOGO Bertrand, informaticien à la BSIC ;
~ Mme BASSOLE Dalida, ma cousine;
~ Tout le personnel de l'agence principale de la B51 C Burkina.
Ratmort du oroie: de fin de cvde Paae ffI

"'"Ut.
LISTE DESSIGLES ETABREVIATIONS
3DES: 3 (Data Encryption System)

AM: Authentication, Automation, Accounting
ACL: Access Control List
AES: Advanced Encryption Standard
AK.: Access Key
AP: Analyse et Programmation
BLR: Boucle Locale Radio
BS: Base Station
BSIC : Banque Sahélo-Saharienne pour l'Investissement et le Commerce
CEN-SAD : Corrmunauté des états sahélo-sahariens
CHAP: ChaI1enge-Handshake Authentication Protocol
CICI: Cycle des Ingénieurs de Conceptions Infonnatiques
CITI : Cycle des Ingénieurs de Travaux Informatiques
DDoS: Distnbuted DoS
DES: Data Encryption System
DoS: Deny OfServices
EAP: Extended Authentication Protocol
ESI : Ecole Supérieure d'Infunnatique
FTP: File Transfert Protocol
H-IDS: Host Intrusion Detection System
HTTP: HyperText Transfert Protocol
HTIPS: HyperText Transfert Protocol Secure
lAS: Internet Authentication Service
ICMP: Internet Control Message Protocol
ID: IDentité
IDS: Intrusion Detection System
IEEE: Institute ofElectrical Electronics Engineers
IGC: Infrastructure de Gestion de Clés
IP: Internet Paquet
IPS: Intrusion Prevention System
IPSEC: Internet Paquet SECure
ISO: International Standardization Organization
-----------------------------------------
Ranoort du oroia delin de cvde PaaelV
l'VII
LDAP: Lightweight Directory Access Protocol

LEAP: Lightweight EAP
l'IE1F: Internet Engineering Task Force
LS: Liaison Spécialisée
MAC: Media Access Control
MIB: Management Information Base
NAS: Network Access Server
NAT: Network Address Translation
N-IDS: Network Intrusion Detection System
NIST: National Institute ofStandards and Technology
ONATEL: Office National des TELélécommunications
OSI: Open Systems Interconnection
aux: Ou eXclusif
PAP: Password Authentication Protocol
PC: Personnal Computer
PEAP: Protected EAP
PKM: Privacy Key Managerrent
PPP: Point-to-Point Protocol
RADIUS:ReIDJte Authentication Dial-In User Service
RéMI: Réseaux et Maintenance Informatiques
RSA: Rivest Shamir Adlernan
SBR: Steel Behed Radius
SNMP: Simple Network Management Protocol
SS: Suscriber Station
SSH: Secure SHell
SSL: Secure Socket Layer
TACACS: Tenninal Access Controller Access Control System
TCP: Transmission Control Protocol
TEK: Transport Encryption key
Tl.S: Transport Layer Security
TILS: Tunœled Transport Layer Security
UDP: User Datagram Protocol
UPB: Université Polytechnique de Bobo-Dioulasso
USB : Universal SeriaI Bus
VoIP: Voix sur IP
VPN: Virtual Private N etwork
Ratmort du orota de fin de cvcle PaaeV

_____________________________.....1_._. "_·· _
WIFI: WIreless FIdelity

WIMAX: Wordwide Interoperability fur Microwave Access
Ratmortdu oroie:de fin de cvcle Paae VI

TABLE DES FIGURES
Figure 1 : Schéma des interconnexions dans la ville de Ouagadougou , 7
Figure 2: Schéma d'un processus d'authentification WIMAX 9
Figure 3: Schéma d'un processus d'acquisition de clés TEK " , 10
Figure 4: Schéma expliquant l'algorithme AES avec un tour 11
Figure 5: Exemple d'attaque de type man-in-the-middle 14
Figure 6: Schéma d'un processus d'authentification EAP-MD5 21
Figure 7 : Schéma d'authentification EAP-TLS 24
Figure 8: Schéma d'un processus d'authentification EAP-TTLS 25
Figure 9: Interface de Steel Belted Radius/entreprise..... ... 26
Figure 10: Interface de Microsoft lAS 27
Figure Il : Position de Snort dans un réseau..................................................................... 30
Figure 12: Nouvelle architecture du réseau de OUagadougou 34
Figure 13: Aperçu dufichier openssl.cnf. 36
Figure 14: Aperçu dufichier eap.conf. 39
Figure 15: Aperçu dufichier clients.conf. .40
Figure 16: Aperçu de la première fenêtre l'installation de serveur.der .41
Ratmort du oroietde finde cvde PaaeVU

••I..,L.<II.V'f .... ..,VI, ..
&.111-1 .......... ' ~y"' I-lIf"'YVff"~"''''''''''' .., ...... 111 fi'" VI ..... f ...... ~&.I"
1 ~". 1
Figure 17: Aperçu de l'assistant d'installation de serveur.der .41
Figure 18: Aperçu de l'option du répertoire des certificats .42
Figure 19: Aperçu de lafin de l'installation. .42
Figure 20: Aperçu de l'avertissement de sécurité .43
Figure 21: Aperçu de l'assistant de BIENVENU. .43
Figure 22: Aperçu de l'installation de mysql... ,...44
Figure 23 : Aperçu dufichier sql.conf. 45
Figure 24 : Aperçu du fichier Radiusd.conf 45
Figure 25 : Aperçu de l'installation de MySQL. 46
Figure 26: Aperçu de l'ajout de Client au groupe .47
Figure 27: Aperçu dujournal de log de Snort pour la première attaque 51
Figure 28: Aperçu dujournal de log de snort pour la deuxième attaque 52
Figure 29: Aperçu du script de démarrage de snort 53
Figure 30: Aperçu des règles iptables 54
Figure 31 : Aperçu dufichier interfaces 55
Raooort du oroie: de fin de cycle Paae VIII

TABLE DES TABLEAUX
Tableau 1 : Résumé de la politique de sécurité wimax existante Il
Tableau 2 : Exemples de règles d'un firewall... 15
Tableau 3 : Tableau récapitulatif des différentes solutions appropriées 30
Tableau 4: Tableau récapitulatif de la solution retenue 33
Tableau 5 : Coût estimatifdu projet 56
Raooortduorote: defin decvde PaaelX

AVANT-PROPOS
L'Université Polytechnique de Bobo-Dioulasso (UPB) fut créée en 1995 dans le but de

décentraliser la formation universitaire. Elle a pour objectif de donner une formation
professiormelle aux étudiants. L'UPB comprend actuellement cinq (05) instituts et me (01)
école qui sont: l'Institut de Développement Rurale (IDR), l'Institut Universitaire de
Teclmologie (IUT), l'Institut des Sciences Exactes et Appliquées (ISEA) , l'Institut des
Sciences de la Nature et de la Vie (ISNY) , l'Institut Nationale des Sciences de la Santé
(INSSA), l'Ecole Supérieure d'Informatique (ES!).
L'Ecole Supérieure d'Informatique (ESI) créée en 1991 a été implantée à Ouagadougou et
c'est en septembre 1995 qu'elle a été transférée au sein de l'UPB. Elle a pour mission la
formation fondamentale et professionnelle dans les domaines de l'informatique. Elle offre
deux cycles de formation à savoir le Cycle d'Ingénieurs de Conception en Informatique
(CICI) et le Cycle d'Ingénieurs de Tavaux en Informatique (CITI). Le Cl'Il comprend deux
filières: la filière Analyse et Programmation (AP) qui existe depuis la création de l'ESI et la
filière Réseaux et Maintenance Informatiques (RéMI) créé en octobre 2000 avec le soutien de
la coopération Française.
Pour une formation efficiente, l'ESI intègre dans le cursus de formation un stage pratique de
douze (12) semames en entreprise pour les étudiants en fin de cycle.
Raooort du oroie: defin de cvde PaaeX

Etude et Optimisation d 'unepolitiquede sécuritédes liaisonsBLR 2011
INTRODUCTION GENERALE
L'infurmatique qui est la science du traiterrent automatique de l'infurmation est en constante

évolution. De là, l'entreprise qui est un domaine en pleine ébullition dans le monde actuel, se
trouve la plus touchée par cette évolution. Au sein de celle-ci, s'impose un besoin pressant de
conmnmiquer. Ainsi, le réseau informatique se révèle être le levier de prospérité des
entreprises ambitieuses et la solution idoine aux nombreux défis de corrmunication. Le réseau
infurrnatique perrœt de faire corrnnuniquer des ordinateurs, des imprimantes, des
télécopieurs, des serveurs, des téléphones et occupe une très grande place dans les banques.
Les signaux marériques transitent à travers un câblage dissimulé derrière les bureaux, sous
les planchers, dans les plafonds ou à travers un système sans fils. Les réseaux sans fils sont de
plus en plus développés car ils permettent d'aller au-delà rrêrre des infrastructures physiques
et utilise les airs pour la transmission des données. Cependant, leur principal inconvénient est
le manque de contrôle des signaux nœrérques. Par conséquent, ils sont les plus vulnérables
aux attaques informatiques qui, au fil du temps se présentent sous plusieurs forrres.
Dans le cadre de notre fonnation, nous avons effectué un stage pratique en entreprise. Nous
avons été reçus par la BSrC Burkina à Ouagadougou Dans le souci d'améliorer la sécurité de
ses liaisons sans fils (liaisons BLR), nous avons travaillé sur le thème :« Etude et optimisation
d'une politique de sécurité des liaisons BLR ».Afin de rrener notre étude, nous allons
comrœncer par étudier la stratégie de sécurité existante. Ains~ nous allons proposer de nous
baser sur un standard reconnu afin de rreœr une analyse critique. Si nous arrivons à trouver
des 1àilles de sécurité, nous allons proposer une stratégie plus rigide tout en tenant compte du
coût de la mise en œuvre.
Notre rapport de fin de cycle sera articulé en différents points. Dans un premier temps, il sera
question de présenter la BSrC Burkina notamment ses objectifs, ses activités et les produits
ofièrts aux clients. Dans un second temps, nous nous attarderons sur l'étude du thèrœ qui
regroupe l'étude de l'existant et la présentation des solutions pouvant pallier les limites de
sécurité des liaisons BLR de la BSrC. Et pour tenniner, il sera question de la mise en place
des solutions retenues avec toutes les étapes nécessaires.
Raooort du proie;de fin de cvde Paae1

Etude ef Optimisationd'unepolitique de sécurité des liaisonsBLR 2011
Ratmort du oroietde fin de cvde PaaeZ

Eh/de et Optimisationd'unepolitique de sécuritédes liaisonsBLR 2011
PREMIERE PARTIE: Présentation de la structure

d'accueil: la BSIC
La Banque Sahélo-Saharienne pour l'Investissement et le Commerce (BSIC) est née de la
volonté des 19 états de la communauté des états sahélo-sahariens (CEN-SAD). Elle est la
véritable pierre angulaire de l'union économique annoncée dans l'article 1erdu traité de la
connmmauté, signé en février 1998 en Libye. En plus d'être une banque d'investissement, elle
offre l'ensemble des services d'une banque universeIle.
LI. Objectifs de la BSIC

.
La BSIC s'est fixé cinq objectifs majeurs. L'objectif premier de la BSIC est de contnbuer au
développement économique et social des états membres. Aussi, elle soutient les économies de
la communauté à travers le financement des secteurs porteurs de croissance. Elle promeut
d'une part l'investissement dans les états membres de la cornrrnmauté CEN -SAD. D'autres
part, elle promeut les échanges comrœrciaux entre les états membres de la connmmauté
CEN-SAD grâce à l'étendue de son réseau Le dernier objectif de la BSIC est de financer les
crédits de campagne des produits primaires de base (coton, arachide,...) les besoins productifs
et tous les besoins d'exploitations courants des entreprises commerciales.
L2.Activités de la BSIC Burkina
En tant que banque comrœrciale la BSIC assure les services bancaires et financiers grâce à
des inst:rurœnts rmdernes de paiement. Aussi, d 'une part elle finance les opérations bancaires,
notamrœnt les besoins d'exploitation de sa clientèle (rond de roulement, escompte du papier
cormercial, ... ). D'autres part, elle finance les opérations de conmerce extérieur et les
opérations bancaires, notanment les besoins d'exploitation de sa clientèle (fond de roulement,
escompte du papier commercial, caution et avals, ... ). L'une des activités majeures est qu'elle
finance les projets d'investissements productifs des petites et rmyennes entreprises du secteur
privé, mixte ou public et les grands marchés dont sont adjudicataires ses clients. Enfin, elle
participe au financement des crédits de campagne des principaux produits d'exploitation.
---------------------------------------, ----
Ratmort duorale:de finde cvcle Paoe3
Etude et Optimisation d 'unepolitique de sécurité des liaisons BLR 211]]
1.3. Produits offerts aux clients
Les clients de la BS/C bénéficient d'un certain nombre de produits parmi lesquels on peut
citer:
- Les comptes chèques

- Les comptes à tenne
Les comptes d'épargne
- Les cautions diverses!Avals
- Les financements d'investissements
- Les crédits d'équiperœnt ou de consommation
- Les transferts/changes
- Les crédits de campagne
- Les :financements de trésorerie
- Les crédits personnels ou collectifs
- Les :financements du cormerce extérieur
- Les conseils
- Le service Money gram
- La rmnétique
Raooort du oroia de fin de cycle Paae4

Etude et Optimisation d 'unepolitique de sécurité des liaisons BLR 2011
Roooort du oro/et defin de cvde PaueS

Etude et Optimisation d 'unepolitiquede sécuritédes liaisonsBLR zun
DEUXIEME PARTIE : Etude du thème

Notre étude ne saurait se faire sans tenir conte d'une certaine démarche. Ainsi, nous allons
d'abord eflèctuer une étude de l'existant qui consiste à étudier la stratégie de sécurité
existante et les limites de cette stratégie. Ensuite, il sera question de présenter les équipements
de sécurité existants dans le milieu du réseau infunnatique afin d'effectuer à la suite tm choix
judicieux des équipements pouvant pallier les limites de sécurité qui seront répertoriées.
D.l. Etude de l'existant

L'étude de l'existant porte en premier lieu sur la stratégie de sécurité des difièrentes
interconnexions réseaux entre les agences de la BSIC. Cette étude va s'étendre jusqu'à trouver
les limites de cette stratégie et présenter les différentes attaques possibles.
Dans la ville de Ouagadougou, les agences de la BSIC sont interconnectées entre elles par des
liaisons BLR. Il s'agit des agences suivantes: l'agence principale, l'agence de ouaga2000,
l'agence de Samandin, l'agence de Gounghin, l'agence de Larlé et l'agence de Charles de
Gaule. Chaque agence à une liaison point-à-point avec l'agence principale sur l'avenue
Kwarœ n'knnmh. Ainsi toutes les agences peuvent cornrmmiquer entre elles VIa l'agence
principale. La technologie BLR utilisée est le WIMAX (Wordwide Interoperability for
Microwave Access) standard IEEE 802.16d. Les services utilisés par ces intercormexions
sont la VaIP, les services de transfert de fichiers FTP et la connexion internet.
D'autres agences existent également dans d'autres villes et sont aussi connectées à l'agence
principale par des liaisons LS de l'ONATEL. Ce sont les agences de Bobo-Dioulasso,
üuahïgouya et Pouytenga. Le schéma suivant présente les interconnexions de la BSIC
Burkina dans la ville de Ouagadougou
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - _ .__. _ -
Raooort du oroie: de fin de cvde Paae6
Etude et Optimisation d'unepolitique de sécurité des liaisons BLR 2011
AnbmeII.Rde1''9!'1Ce
de Ouaga 2000
Anœme II.Rdel'.,ce
Ré!l1aJ i11IJre:
deL<rlé
9oI'ibtlS
cxdi1a1lUs
IPJi'aes
1rrp'i1lléllte5
~Acti'leDi'a:tCl"f
RéseaJ i'I1Erre:
9oI'it1:t6
CXdi'latlm
IPJi'aes
Irrp'i1llo1'11es
Ré!l1aJ i111Jre:
9oI'it1:t6
CXdi1a1lUs
IPJi'aes
1rrp'i1lléllte5
RéseaJ i111Jre:
9oI'iths
CXdi'latlm
Ré!l1aJ i1lerre:
9oI'it1:t6
IP Ji'aes
1rrp'i1lléllte5
Frewall mallnil
CXdi'latlm
IPJi'aes
1rrp'i1lléllte5
93rIelr Acti'Ie Di'a:tc.y
5er'lllU'FTP
~d'ntm3t
Figure 1 : Schéma des interconnexions dans la ville de Ouagadougou
La stratégie de sécurité WlMAX existante à la BSIC Burkina repose sur les possibilités des
équipements WlMAX de marque RADWIN. Autrement dit, seul le modem RADWIN WlMAX
est configuré pour sécuriser les transmissions de données entre les stations. Cette stratégie de
sécurité repose sur trois principes.
RaDDoTt du oroie: defin decvde Paae7

Etude et Optimisationd 'unepo litiquede sécuritédes liaisonsBLR 21111
II.1.1.Authentification
L'authentification est le mécanisme qui permet de s'assurer que celui qui se connecte est bien
celui qui a les droits de se connecter. Dans notre cas, le processus d'authentification est
déclenché la première fuis qu'une machine veuille communiquer avec l'une des agences. Le
rmdem de cette agence initie donc un processus d'authentification avec le modem de l'agence
distante. Le protocole d'authentification utilisé est RSA. Le protocole d'authentification RSA
utilise des certificats numériques X. 509.
L'authentification se fuit sekm le node client/serveur. Le client (la station qui initie la
communication) initialise le processus d'autorisation en envoyant un message Authentication
Information au serveur (la station qui reçoit la communication). Ce message contient le
certificat X. 509 délivré par le constructeur RADWIN. Le message Authentication Information
est purement intorrratif la station serveur peut décider de l'ignorer.
Le client envoie un message Authorization Request au serveur irmnédiatement après avoir
envoyé le message Authentication Information. Ceci est une demande de clé
d'authentification AK. Ce message est signé par le certificat X.509 du client et contient les
capacités de sécurité supportées par ce dernier. A la réception, le serveur va vérifier la
signature du message. Si les données sont correctes, elle utilise la clé publique de la station
cliente pour chiffrer une clé AK aléatoire dans un message destiné au client. Ce message
contient également la longueur de la clé et sa durée de vie ainsi que la stratégie de sécurité
choisie par le serveur.
Ainsi, si une station est authentifiée c'est corrnne SI tous les éléments du réseau de cette
station étaient authentifiés.
La prochaine authentification entre ces stations se fera après que l'une des stations se serait
mis en veille(ou à uœ fréquence donnée) et qu'une machine veuille connnuniquer.
Le schéma suivant décrit le processus d'authentification d'une station WIMAX.
Raooort du oroie: de fin de cvde PoaeB

Etude et Optimisationd 'unepolitiquede sécuritédes liaisonsBLR 21111
Authentification InrlllTllaion
AulDrization Request
(certiftat X509 dl c1ien~ cipceités dJ séarité SlppOft93S]
~ ftItorization Reply
(br1J.Jelr de lac/é etgadlfée de vie, stratégie desécU'itéchoisie]
Clé PI. rB}lE! Clé 1« émise

(128 bits) (128 tits)
sati:rl q,li i1iœ la comrtU1i:ati:rl

(CIB1t) sati:rl q,li reço~ la comrtU1i:ati:rl
~811)
Figure 2 : Schéma d'un processus d'authentification WlMAX
II. 1.2. Protocole d'échange de clés

Pour chiffrer les données, une clé de transfert de données (TEK) est nécessaire. La clé TEK est
une clé secrète partagée entre deux stations qui désirent s'échanger des données.
Pour obtenir une clé TEK, le client, à l'aide de sa clé AK obtenu précédennnent génère deux
clés: une pour chiffrer les clés de chiïfierœnt (KEK) et l'autre pour chiffrer les messages de
connexion (HMAC key).
Le client envoie une demande de clé TEK au serveur (TEK key request).La clé TEK est alors
générée d'une façon aléatoire par la station serveur. Afin de l'acheminer vers le client (TEK
key reply), cette clé est cryptée selon trois algorithmes au choix :3DES (KEK de 112 bits),
RSA (clé publique du client), AES (KEK de 128bits). Les équipements RADWIN (cas de la
BSIC Burkina) utilise l'algorithme AES.
Le schéma suivant illustre le processus d'acquisition de clés de cryptage des données.
Ranoort du oroie: de fin de cycle Paae9

Etude et Optimisationd 'unepolitique de sécurité des liaisons BLR 21111
Clé AK CléAK
génà'edé KEK(128 bits) génère dé KEK(l28 bits)
etdé ""AC(lfiO bits) et dé .",H:(160 bits
TEK key request

~Dr1}JwrcIéAK(HM4C-5HAl}
TEK key reply
Clé TEK ra;ue Clé TEK émise

(12Bbits) (12Bbits)
Statin ClJi hilE la comllUli::atin

(CIie1t) statin ClJi reçoit la ccnmncsnn
(:ervetJ')
Figure 3 : Schéma d'un processus d'acquisition de clés TEK
II.1.3. Confidentialité
La confidentialité est le rrécanisrre qui permet d'assurer la protection des données contre les
actions non autorisées. Dans le cas de la BSIC, c'est l'algoritlune AES (qui est en réalité la clé
TEK) qui est utilisé pour chiffrer les données afin de garantir la confidentialité.
En effet, RADWIN a remplacé le 3DES (qui utilise des clefs de chiffrerœnt de 56 bits) par
l'AES. L'AES a été adopté par le NIST (National Institute of Standards and Teclmology) en
2001. De plus, son utilisation est très pratique car il consorrune peu de rrérmire, sa
complexité est rmindre et il est plus facile à implémenter.
L'algoritlnne procède par bloc de 128 bits (16 octets). A l'aide d'un aux une clé secrète est
ajoutée au bloc. Chaque octet est transformé par une fonction non linéaire et l'ensemble des
octets sont placés dans une matrice de 4x4 éléments. Les 3 dernières lignes sont décalées
cycliquement vers la gauche (la Zèrre ligne est décalée d'une colonne, la 3èIre ligne de 2
colormes, et la -lèrre ligne de 3 colormes). Ensuite, chaque colonne est transformée par
combinaisons linéaires des différents élérrents de la colorme (ce qui revient à multiplier la
matrice 4x4 par une autre matrice 4 x4). Une clé de tour est générée à partir de la clé secrète
par un sous-algoritlune (dit de cadencerrent). Cette clé de tour est ajoutée par un aux au
dernier bloc obtenu Ces différentes opérations définissent un « tour ». Pour une clé de 128
bits, AES nécessite 10 tours. Le schéma suivant explique le processus de chiffrerœnt avec
l'algorithrœ AES.
Ratmort: du oroie: defin de cvde Paae10

Etude et Ootimisationd'unepolitique de sécurité des liaisons BLR 2011
r--------------------------1 tour suivant
clé
1
1
1
1
1
1
clé de tour 1
1
1
1
sortie: bloc de 128 bits
1
sortie de
Il 'algorithme
J.
Figure 4: Schéltlil expliquant l'algorithme AES avec un tour
Nous résurmns dans le tableau suivant la politique de sécurité existante
Tableau 1 : Résumé de la politique de sécurité wimax existante
Authe ntificatio n Protocole d'échange de clés Confidentialité
Repose sur RSA avec Utilisation de clé KEK pour Chiffrement avec l'algorithme
certificat X.S09 du côté de transmettre les clés lEK et de AES (128bits)
la station cliente clé HMAC pour chiffrer les
rœssages d'authentification
Ratmort du orote: de fin de cvde Paae11

Etude et Optimisation d 'unepolitique de sécuritédes liaisons BLR 21111
H.2. Analyse critique de l'existant

Après avoir étudié la stratégie de sécurité existante, nous allons apporter une critique. Pour
cela, nous allons mener notre analyse suivant le standard d'architecture international ISO
7498-2 (OSI Basic Reference Model-Part 2: Security Architecture).
II.2.1. Confidentialité
L'Wl des algoritlnnes les plus puissants de chiffrement est utilisé afin de protéger les données
contre toute sorte d'interception, il s'agit de l'algorithme AES 128bits. Pour déchiffrer Wl
message crypté avec l'algoritlnne AES 128 bits, il y a 2 128 clés possibles. C'est un algoritlnne
rigide aux attaques; de plus sa conception s'est basée sur les milles de sécurité des
algorithmes qui l'ont précédé (notarrnrent le 3DES).
II.2.2. Authentification
En ce qui concerne l'authentification, un problème se pose: l'ouverture à plusieurs types
d'attaques dû au manque d'authentification mutuelle. En effet, seule la station cliente est
authentifier au niveau de la station serveur (avec un certificat X.S09) mais le serveur ne
s'authentifie pas au niveau du client. Ainsi, pendant une demande d'accès, un serveur peut
être usurpé et communiquer avec un client désirant établir une conmunication C'est Wle
mille énorme à prendre en compte surtout dans notre conteste de banque.
II.2.3. Intégrité des données

L'algoritlnne de hachage HMAC utilisé est défini dans l'IETF RFC 2104 et utilise SHA-
1corrnœ function logique. De tels mécanismes pour valider l'authenticité des messages ne
sont pas seulement utilisés pendant le processus d'authentification, mais ils le sont aussi
pendant l'échange de messages de distrIbution de clés et pendant l'échange de messages
normaux de transport. C'est une stratégie assez rigide surtout qu'il est utilisé avec AES.
II.2.4. Non-répudiation
L'algorithme AES-CCM utilisé par les équipements RADW1N présente un important rôle dans
le cas de non-répudiation, En effet la clé symétrique utilisée permet de s'assurer qu'un
message a bien été envoyé par ure source spécifiée et reçu par un récepteur spécifié.
Raooon.du oroie: de fin decvcle Paae12

Etude et Optimisation d 'unepolitique de sécurité desliaisonsBLR 2011
II.2.5. Contrôle d'accès

Dans la phase d'authentification, une clé AK est échangée entre les stations. C'est une
stratégie qui perrret de contrôler l'accès au réseau par les stations WlMAX.
Cette stratégie de contrôle d'accès n'est pas suffisante car les équipements RADWIN n'ont
pas été spécialement conçus pour assurer cette function
En somme, il en ressort que le véritable problème de cette stratégie de sécurité des liaisons
BLR est le manque d'authentification nmtuelle et de système de prévention d'intrusion. Ceci
est une faille de sécurité qui peut favoriser différents types d'attaques.
II.2.6. Vulnérabilités par rapport aux limites de cette stratégie de sécurité

Avec l'étude de l'existant on se rend compte que certains points de sécurité sont acceptables.
Par contre, d'autres systèmes de sécurité sont obsolètes et ouvrent la porte à diffëreors types
d'attaques.
II.2.6.1. Attaque de type « water-torture »
Ce type d'attaque consiste à écrire lID canal de fréquence radio à l'aide d'émetteur
radiofréquence qui rend ainsi possible à l'attaquant de construire me nouvelle trame de
données ou alors capturer ou rrodfier les trames de données et les retransmettre dans le canal
d'une façon continue. Ainsi, la station cliente ne demandant pas d'authentification préalable,
accepte ces requêtes. Il est même possible d'insérer des codes de virus qui pourront récupérer
des infurmations sur l'entreprise. Ce sont des trames qui peuvent avoir des répercutions sur le
modem WlMAX en consommant assez d'énergie et en paralysant le réseau
II.2.6.2. Attaque de type « Man-In-The-Middle »
Ce genre d'attaque se présente sous diverses formes.

Il est possible pour lID attaquant de créer lID pont entre deux stations. Il est connecté au client
et en même temps au serveur. Ainsi toutes les données transitent par lui avant d'atteindre
leurs destinations. Il peut alors modifier les trames de données en sa guise.
Aussi, lID attaquant peut usurper une station serveur dû au manque d'authentification du
serveur légitime et ainsi communiquer avec le client. Le schéma suivant illustre l'attaque de
type « Man- In-1be- Middle » entre deux ordinateurs.
Ratmort du oroiet de lin de cycle Paae13

Etude et Optimisation d 'unepolitique de sécuritédes liaisons BLR 2(111
10.1.'.4 10.1 •••2 Host A Host B 10.1.9.3
Figure 5: Exemple d'attaque de type man-in-the-middle

1
II.2.6.3. Déni de services
Un message de type Auth-invalid est envoyé à la station cliente lorsque la clé d'accès AK est
expirée ou lorsque le serveur n'arrive pas à authentifier le client. Ce rœssage n'est pas
protégé par HMAC et son identifiant PKM est égal à zéro. Ceci est une faille qui peut être
utilisé par des outils de DoS afin d'invalider me station légitime et ainsi l'usurper et agir en sa
gUISe.
II.2.6.4. Redirection
Il est possible pour un attaquant d'intercepter les signaux BLR et les rediriger vers un autre
réseau Les trames de données seront capturer par me autre antenne au lieu d'être acheminé
vers la destination légitime. Cette attaque perrret donc à l'attaquant de mieux exploiter les
données redirigée s.
L'analyse de l'existant nous conduit à des objectifs spécifiques pour la sécurité des liaisons
BLR. Il 1àudra mettre un place une stratégie qui permettra de gérer l'authentification mutuelle
et le contrôle d'accès. Aussi, il 1àudra que cette stratégie soit rigide face aux différentes
attaques citées plus haut.
Afin d'atteindre ces objectifs, nous allons d'abord étudier les équiperœnts de sécurité réseaux
existants. Ensuite, nous pourrons les comparer par catégories afin de fàire ressortir ceux qui
nous intéressent.
-----------.--------------_.,---------------'''''.,-_.".,--
Rapport du oroie: de fin de cycle Paae14
Eh/de et Optimisationd'unep 0 litique de sécurité des liaisonsBLR 2n11
ll.3. Types d'équipements de sécurité réseaux existants
Il s'agit d' efièctuer une analyse des différents équipements de sécurité réseaux avec leurs
forces et leurs fàiblesses. Cette section nous permettra de fàire lID bilan des différents
équipements de sécurité réseaux afin de nous permettre à la suite d'étudier celles qui pourront
nous aider dans notre projet.
II.3.1. Firewalls (pare-feu)

Un firewall (appelé aussi coupe-feu, garde-barrière ou pare-feu), est lID système permettant de
protéger lID ordinateur ou lID réseau d'ordinateurs des intrusions provenant d'un réseau tiers.
Le firewall est lID système permettant de filtrer les paquets de données échangés avec le
réseau, il s'agit ainsi d'une passerelle filtrante comportant au rninirmnn deux interfàces réseau:
une interfàce pour le réseau à protéger (réseau interne) et une interfàce pour le réseau externe.
II.3.1.1. Fonctionnement d'un firewaU

Un système pare-feu contient lID ensemble de règles prédéfinies permettant d'autoriser la
connexion (allow), de bloquer la connexion (deny) ou de rejeter la demande de connexion
sans avertir Iérœtteur (drop).
On distingue habituellement deux types de politiques de sécurité: celle permettant d'autoriser
uniquement les connmmications ayant été explicitement autorisées et celle permettant
d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition
précise et contraignante des besoins en connnunication Le tableau ci-dessous donne des
exemples de règles d'un firewall.
Tableau 2 : Exemples de règles d'un firewall
Règle Action IP source IP dest Protocol Port source Port dest
1 Accept 192.168.10.20 194.154.192.3 tep any 25

2 Accept any 192.168.10.3 tep any 80
3 Accept 192.168.10.0/24 any tep any 80
4 Deny any any any any any
Ratmort du orote: de fin de cycle Paae 15
Etude et Optimisationd'unepolitique de sécuritédes liaisonsBLR 211 Il
II.3.1.2. Limites d'un frrewaU

Un système firewall n'offre bien éviderrnnent pas une sécurité absolue. Les firewal1s n'offrent
une protection que dans la mesure où l'ensemble des conmunications vers l'extérieur passe
systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les
accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité.
C'est notannnent le cas des connexions effectuées à partir du réseau interne à l'aide d'un
rmdem ou de tout noyen de conœxon échappant au contrôle du firewaD.
De la rrêrœ manière, l'introduction de supports de stockage provenant de l'extérieur sur des
machines internes au réseau ou des ordinateurs portables peut porter fortement préjudice à la
politique de sécurité globale. La mise en place d'un firewall doit donc se faire en accord avec
une véritable politique de sécurité.
II.3.2. Serveur proxy

Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire»)
est à l'origine une machine faisant fonction d'intermédiaire entre les ordinateurs d'un réseau
local et un réseau externe.
II.3.2.1. Fonctionnement
Le principe de forctionœrœnt basique d'un serveur proxy est assez simple : il s'agit d'un
serveur "mandaté" par une application pour effectuer une requête sur Internet à sa place.
Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide d'une application cliente configurée
pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui
donner sa requête. Le serveur proxy va alors se connecter au serveur que l'application cliente
cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au
proxy, qui va à son tour la transmettre à l'application cliente.
Aussi, grâce à l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en
anglais logging ou tracking) VIa la constitution de journaux d'activité (logs)
en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de
connexion à Internet. Il est ainsi possible de filtrer les connexions à internet en analysant
d'une part les requêtes des clients, d'autre part les réponses des serveurs. Lorsque le filtrage
est réalisé en comparant la requête du client à une liste de requêtes autorisées, on parle de liste
blanche, lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. Enfin l'analyse des
réponses des serveurs confomérœnt à une liste de critères (mots-clés) est appelé filtrage de
contenu
Ratmort du oroie:de fin de cvcle Paae 16

Etude et Optimisation d 'unepolitique de sécurité des liaisons BLR ZOll
Le proxy peut se présenter sous la forme de reverse-proxy. On appelle reverse-proxy un
serveur proxy permettant non pas aux utilisateurs d'accéder au réseau internet, mais aux
utilisateurs d'internet d'accéder indirectement à certains serveurs internes.
II.3.2.2. Limites d'un selVeur proxy

Corme le firewall, un serveur proxy n'offre une protection que dans la rresure où l'ensemble
des communications vers l'extérieur passe systématiquement par son intennédiaire. Ainsi, les
accès au réseau extérieur par contournement du serveur proxy sont des failles de sécurité.
Aussi, le serveur proxy peut poser de nombreux problèmes relatifs aux hbertés individuelles
et aux droits des personnes.
II.3.3. Boitiers de chiffrement

Un boitier de chiffrement est un équipement de cryptage qui permet de chiffrer ou déchiffrer
les données qui transitent par lui. C'est un excellent moyen de crypter des échanges inter-
réseau
II.3.4. IDSIIPS
II.3.4.1. IDS
Un IDS (Intrusion Detection System) est un système qui permet de surveiller les activités d'un
réseau, de contrôler les données qui y transitent et aussi de détecter les actions suspectes sur le
réseau Ainsi, il permet d'avoir une action de prévention sur les risques d'intrusion Il existe
deux grandes familles distinctes d'IDS: les N-IDS(Network Based Intrusion Detection System)
qui assurent la sécurité au niveau du réseau et les H-IDS(Host Based Intrusion Detection
System), ils assurent la sécurité au niveau des hôtes. Un N-IDS nécessite un matériel dédié et
constitue un système capable de contrôler les paquets circulant sur un ou plusieurs liens
réseau dans le but de découvrir si un acte malveillant ou anormal a lieu Le trafic réseau est
généralement constitué de datagramrres IP. Un N-IDS est capable de capturer les paquets
lorsqu'ils circulent sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste
en une pile TCPIIP qui réassemble les datagrammes IP et les connexions Tep.
Raooort du oroie de fin de cycle Paae17

Etude et Optimisationd 'unepolitique de sécuritédes liaisons BLR 2(11)
II.3.4.2. IPS
Un IPS (Intrusion Prevention System) est un système de prévention et de protection contre les
intrusions et non plus seulerœnt de reconnaissance et de signalisation des intrusions comme la
plupart des IDS le sont.
D.3.S. Serveurs d'authentification
L'authentification est la procédure qui consiste, pour un systèrœ informatique, à vérifier

l'identité d'une entité (personne, ordinateur, ) afin d'autoriser l'accès de cette entité à des
ressources (systèrres, réseaux, applications, ). L'authentification permet de vérifier fidentité
d'un utilisateur sur une des bases suivantes :
- lul élérœnt d'information que futilisateur connaît (rmt de passe, passphrase) ;

- un élérrent que l'utilisateur possède (carte à puce, clé de stockage, certificat) ;
- une caractéristique physique propre à futilisateur, on parle alors de biométrie
(fond de rétine, empreinte digitale, ADN).
L'authentification intervient à différents niveaux dans les couches de protocoles du modèle

inerret : au niveau applicatif (HTTP, FTP), au niveau transport (SSL, SSH), au niveau réseau(
IPSEC)et au rnveau transmission (PAP, CHAP). Il existe différents protocoles
d'authentification
11.3.5.1. CHAP
CHAP est une procédure sécurisée pour se relier à un systèrre.

Après que le lien soit fuit, le serveur envoie un rressage au demandeur de connexion Le
demandeur répond avec une valeur obtenue en utilisant une fonction à sens unique
d'informations parasites. Le serveur contrôle la réponse en la comparant à son propre calcul
de la valeur prévue d'informations parasites. Si les valeurs s'assortissent, l'authentification est
reconnue; autrerrera la connexion est terminée. A tout rmrrent, le serveur peut inviter la
partie reliée pour envoyer un nouveau rressage.
II.3.5.2. PAP
PAP (password Authentication Protocoljest un protocole bidirectionnel simultané pour les

paquets de t:ramfert entre }el!; partiel!; daru; un réseau. PAP comprend l'ordon.'lancement de
Raooortduorale: defin de cvde Paae 18
Etude et Optimisationd 'unepolitique de sécuritédes liaisonsBLR 21111
données, le contrôle d'écoulerrent, la responsabilité, et la détection et repnse d'erreur.

PAP est un procédé employé par des serveurs de PPP pour valider une demande de
connexion Après que le lien soit établi, le demandeur envoie un rmt de passe et une
identification au serveur. Le serveur valide la demande et renvoie un accusé de réception,
tennine la connexion, ou offre au demandeur une autre chance. Des rmts de passe sont
envoyés sans sécurité et le créateur peut faire des tentatives répétées d'accès.
II.3.5.3. SecurID
SecurID permet, en une seule étape, d'identifier avec certitude les utilisateurs du systèrre et
du réseau afin d'interdire tout accès illicite. Utilisé avec des modules de contrôle d'accès
(ACM) logiciels ou matériels dédiés, SecurID génère un nouveau code d'accès imprévisible
toutes les soixante secondes.
II.3.5.4. Cas de IPSec
Le problème avec les paquets IPest que leurs contenus comprennent des données sensibles
(adresse + contenu) facilerœnt fàlsifiable. L'un des protocoles d'authentification exige donc
de rajouter un entête d'authentification cryptographique (Authentication Header) pour
perrrettre d'authentifier la provenance des paquets.
II.3.5.5. TACACS
TACA CS (Tenninal Access Controller Access Control System) est un protocole

d'authentification plus ancien, commun aux réseaux d'Unix qui permet à un serveur d'accès à
distance d'expédier le rmt de passe de la procédure de connexion d'un utilisateur à un serveur
d'authentification pour déterminer si on peut permettre l'accès à un système donné
II.3.5.6. RADIUS
Le protocole RADIUS (Remote Authentication Dial-In User Service), nus au point

initialerrent par Livingston, est un protocole d'authentification standard. Le protocole
RADIUS repose principalerrent sur un serveur (le serveur RADIUS), relié à une base
d'identification (base de données, annuaire LDAP) et un client RADIUS, appelé NAS (Network
Access Server), fàisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble
des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce
à un secret partagé. Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-
dire transmettre les requêtes du client à d'autres serveurs RADIUS.
Le fonctionnement de RADIUS est basé sur le scénario suivant:

Ra lJDOrt du orale: defin de cvde Paae 19
un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance
- le NAS achemine la demande au serveur RADIUS;
- le serveur RADIUS consulte la base de données d'identification afin de connaître le
type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel
convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le
serveur RADIUS retourne ainsi une des quatre réponses suivantes: ACCEPT
(l'identification a réussi), REJECT(l'identification a échoué),CHALLENGE (le serveur
RADIUS souhaite des informations supplémentaires de la part de l'utilisateur) ou
encore CHANGE PASSWORD où le serveur RADIUS demande à l'utilisateur un
nouveau mot de passe. Le schéma suivant illustre les éléments entrant en jeu dans un
système utilisant le protocole RADIUS:
DA. Etude comparative des solutions sécurisées d'interconnexion

possibles
Après avoir étudié les équipements de sécurité avec leurs possibilités et leurs limites, et
connaissant nos besoins nous pouvons aisément découvrir celles qui nous intéresse. Nous
étudions donc les sohrtions qui peuvent répondre aux exigences suivantes:
~ Pouvoir gérer de façon sécurisée l'authentification mutuelle à l'aide de certificats
nurrériques.
~ Le seul rmyen d'avoir accès au réseau est de disposer d'un certificat (que ce soit au
niveau de la station cliente qu'au niveau de la station serveur).
~ Pouvoir gérer l'ensemble des certificats d'authentification.
~ Pouvoir empêcher une action au cas où elle arriverait à contourner la stratégie de
sécurité existante.
~ Ne pas trop surcharger le réseau avec des paquets de gestion (tenir compte de la bande
passante).
II.4.1. Protocoles d'authentification

Le protocole 802.lX qui définit les stratégies de sécurité les plus avancées des réseaux sans
fils propose l'utilisation de EAP (Extended Authentification Protocol) pour gérer
l'authentification des réseaux sans fils.
Ratmort du oroie: de fin de cvcle Paae20

Etude et Optimisationd 'unep olitique de sécurité des liaisonsBIR znn
Il est possible d'associer EAP à diffërentes méthodes afin d'étendre la sécurité pendant
l'authentificatio n
II.4.1.1. EAP-MD5
EAP-MD5 ne propose pas d'authentification mutuelle, le client s'authentifie simplement en

fournissant lID. couple login/mot de passe .
Le protocole EAP-MD5 fonctionne comme suit :
1) Le client se connecte au point d'accès.
2) Le serveur émet une requête EAP-MD5 sous fonne d'un texte de défi ou challenge text.
3) Le client doit répondre à cette requête en chiffrant le défi avec son mot de passe.
4) Le serveur chiffre le défi de son côté en utilisant le mot de passe du client stocké dans sa
base. Si le résuhat coïncide, le client est authentifié.
Il est très important de noter que les échanges ne sont pas chiffrés. Le challenge text et son
résuhat transitent en clair sur le réseau
Cette méthode est vulnérable aux attaques de types Dictionnaire (pas de notion de session,
attaque brute possible), Man In the Middle, session hijacking.
Le seul avantage de cette méthode est la simplicité. Le schéma suivant illustre les différentes
phases d'authentification avec EAP-MD5.
I c~nll
FOL
1 i'iIIIlI LU' : I11", , Odlntl )
Ate .1 n!IU l IOOII : '
Figure 6: Schéma d'un processus d'authentificationEAP-MD5
Raooortdu croie:de fin de cvde Paae21

Etude et Optimisation d'unepolitique de sécurité des liaisons BLR 2111 1
II.4.1.2. Cîsco LEAP
Cisco a développé sa propre méthode EAP de manière à pouvoir proposer une solution
complète (cartes clients, points d'accès, serveur Radius). Malgré tout, les équipements Cisco
supportent d'autres types d'authentification (pEAP, EAP- TLS, ...).
Du point de vue de radministrateur, le fuit d'avoir une solution complète est tm avantage
indéniable. Cependant, il est difficile de contraindre tous les utilisateurs à s'équiper avec des
cartes et des points d'accès d'tm seul constructeur. Heureusement, il existe des logiciels clients
permettant de s'authentifier en utilisant LEAP avec des cartes d'autres constructeurs. Par
ailleurs, LEAP présente quelques défaillances. Tout d'abord, la clé utilisée entre le client et le
point d'accès est dérivée du login et du mot de passe stockés sur le serveur Radius. La
méthode utilisée dans ce cas est MS-CHAPv 1, connue pour être vulnérable, Ensuite, Les
échanges EAP ne sont pas chiffrés, le login passe en clair, seul le mot de passe est protégé
parle hachage MS-CHAPv 1.
II.4.1.3. EAP-TLS
EAP s'appuie sur TLS (Transport Layer Security) pour proposer une authentification
sécurisée. Cette méthode s'appuie sur les certificats électroniques. Ainsi, chaque partie
(station serveur et station cliente) doit posséder tm certificat pour prouver son identité. Ils sont
souvent considérés comrre plus sûrs que les mots de passe, cependant les opérations de
gestion qu'ils engendrent peuvent se révéler fastidieuses (création, suppression, listes de
révocation) et l'existence d'une infrastructure de gestion de clés (IGC) est requise. La
distnbution des certificats aux clients est une contrainte qu'il ne faut pas négliger.
Le processus d'authentification se fuit comrre suit :
1) Le client s'associe physiquement au point d'accès.

2) Le point d'accès envoie une requête d'authentification au client. Le client répond avec son
identifiant (nom de machine ou login), ce message est relayé par le point d'accès vers le
serveur RADIUS.
3) Le serveur RADIUS initie le processus d'authentification TLS par le message TLS start.
4) Le client répond avec un message client_hello, qui contient:
des spécifications de chi:ffrement vides en attendant qu'elles soient négociées entre le
client et le serveur ;
- la version TLS du client ;
- tm nombre aléatoire (défi ou challenge) ;
- lm identifiant de session ;
Raooort dunroie:de fin de evcle Paae22
Eh/de et Optimisation d 'unepolitiquede sécuritédes liaisonsBLR 2011
- les types d'algorithmes de chiffrement supportés par le client.

5) Le serveur renvoie une requête contenant un message server hello suivi
de son certificat (x509) et de sa clé publique
- de la demande du certificat du client ;
- d'un nombre aléatoire (défi ou challenge) ;
- d'un identifiant de session (en fonction de celui proposé par le client).
Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont été proposés par le
client.
6) Le client vérifie le certificat du serveur et répond avec son propre certificat et sa clé
publique.
7) Le serveur et le: client, chacun de son côté, définissent une clé de chiffrement principale
utilisée pour la session. Cette clé est dérivée des valeurs aléatoires que se sont échangées le
client et le serveur. Les messages change _cipher_spec indiquent la prise en compte du
changement de clé. Le message TLSynished tennine la phase d'authentification TLS (TLS
handshake), dans le cas de EAP-TLS la clé de session ne sert pas à chiffrer les échanges
suivants.
8) Si le client a pu vérifier l'identité du serveur (avec le certificat et la clé publique), il renvoie
une réponse EAP sans données. Le serveur retourne une réponse EAP success.
9) La clé de session générée en 8) est réutilisée par le point d'accès pour créer une clé WEP
qui est transmise au client, dans le cas où il s'agit d'une station Wifi. La clé de session est
valide jusqu'à ce que le client se déconnecte ou que son authentification expire, auquel cas il
doit s'identifier à nouveau.
Le tunnel TLS créé lors de la création de la clé de session n'est donc .pas exploité. Seul le TLS
Handshake est utilisé, il permet l'authentification mutuelle des deux parties.
EAP-TLS est une méthode d'authentification performante. Seuls les problèmes liés aux IGe
peuvent dissuader de l'utilisation de cette méthode. Le schéma suivant illustre le processus
d'authentification de EAP-TLS.
RODDOTt duoroia defin decvde PaaeZ3

Etude et Optimisationd 'unepo litique de sécuritédes liaisonsBLR 20 Il
CLIENT SERVER
EAP·Res.ponse Identity
EAP-TLS (start)
EAP·TLS:
Client-Hello
EAP-TLS:
Server-Hello
TLS certificate
ëAP-TI.S: (Client Cent. request]
(Client Certificate) ServerOone
Client Key Exchange
(Cartf. Verifi cation)
CtlaOgB Ciphor
Finished EAP-TLS:
Change Cipher
Fioished
ëAP';TLS ( mpty)
!lems ln l!lqlUlre brsdt&ts: [,.,1 ere opIional
Figure 7 : Schéma d'authentification EAP-TLS
II.4.1.4. EAP-lTLS etEAP-PEAP

Ces deux méthodes sont assez similaires. Elles s'appuient sur la confidentialité proposée par
l'encapsulation dans un tunnel pour réaliser une authentification via loginlmot de passe ou
token-card. Les échanges sont presque similaires à EAP-TLS. Le client s'authentifie au
serveur par l'intermédiaire d'un certificat. EAP-TTLS et EAP-PEAP sont des méthodes très
proches et l'utilisation d'un tunnel TLS chiffré leur confère un bon niveau de confidentialité.
EAP-PEAP présente l'avantage d'être supporté nativement par Windows XP et Windows 2000.
EAP-TTLS permet une meilleure interopérabilité avec les serveurs RADIUS ne supportant pas
EAP. Le schéma suivant illustre le processus d'authentification.
Raooortdu oroie:de fin de cvde Paae24

Eh/de et Optimisationd 'unepolitiquede sécuritédes liaisonsBLR 21111
. ~rlê l
rvr
..
EAP·SIXCéSS & ~ ~I
Il
Figure 8: Schéma d'un processus d'authentification EAP-TTLS
En ce qui concerne le protocole d'authentification, nous voyons que ce qui correspond le plus
à nos exigences est !e protocole EAP-TLS. En effet, ce protocole, contrairement aux autres est
capable de gérer l'authentification mutuelle avec des certificats du côté client comme du côté
serveur. Aussi, les di:flèrentes attaques sur les autres protocoles (notarrnnent Man-In-The-
Middle et attaques par dictiormaire) sont inefficaces.
II.4.2. Serveurs d'authentification

Les systèmes d'authentification sont nombreux mais les systèmes compatibles avec une
véritable architecture AAA (Authentication, Autorization, Accounting) sont moins nombreux.
Il nous incombe de trouver une solution permettant de gérer l'authenticité d'une identité. La
plupart des applications permettant l'accès à un réseau utilisent le protocole RADIUS pour
interroger un serveur AAA. Nous allons donc nous focaliser sur les di:flèrentes solutions
RADIUS possibles.
II.4.2.1. Steel Belted Radius
Cette solution corrnnerciale est développée par la société Funk Software inc. Basée aux États-
Unis, elle a été créée par Paul FUNK en 1982. Elle a amorcé son intégration dans les réseaux
Raooort duoroie;de finde cvde Paae2S
en 1992 avec lD1 logiciel de télémaintenance (proxy Rermte Control). Elle est désormais
spécialisée dans les systèmes d'authentification et la mobilité.
Sieel Belted Radius s'adresse aux entreprises corrnne aux fournisseurs d'accès Internet avec
deux offres distinctes : SBR/enterprise et SBR/Service Provider Edition La version Steel
Be1ted Radius Enterprise est celle qui nous intéresse. Elle coûte environ 4558€ (HT). Une
interface de SBR/entreprise se trouve ci-dessous.
a S t eel-Delted R ad,us En tet ptlSC-Edition (Cl5 C-O'F HAUYObllr') r _
Fi tle
ClSCOAP
IF 0$ jl 72.3 0.1.103
Make/model 1Cisco Aironer Acce•• Point

--- ....
Figure 9: Interface de Steel Belted Radius/entreprise
II.4.2.2. Microsoft lAS
Microsoft Internet Authentication Server est une solution intéressante pour les administrateurs
ayant des serveurs Microsoft. Ce module est en effet inclus de manière standard à partir de
Windows 2000 serveur.
Pour les versions Windows NT, il faut récupérer lID pack additionnel qui contient lAS et
d'autres programmes. Microsoft propose sa vision de l'authentification mais l'application n'est
pas aussi complète que les autres produits (notarrnnent l'absence d'authentification de type
EAP-TTLS). Une interfuce de Microsoft lAS se trouve ci-dessous.
Ratmort du oroie: de fin de cvde Paae26

Etude et Optimisation d 'unepolltiquede sécurité des liaisonsELR 2011
Figure 10: Interface de Microsoft lAS
Il.4.2.3. Radiator
Le groupe "Open System Consultants" est une société créée en 1991. Ce groupe établi à Gold
Coast et Melbourne en Australie, propose des solutions pour les fournisseurs d'accès.
Radiator supporte plus de 60 méthodes d'authentification (LDAP, PAM, iPass, bases de
données, ...) et propose un mécanisme sécurisé d'échange de trames entre relais RADIUS.
RadSec (JANA, port 2083) est une solution propriétaire et développée en langage Perl. Le
prix de ce produit varie entre 600€ pour un serveur, 1800€ pour 2 à 7 serveurs et 5100€ pour
un pack infini. La configuration utilise des fichiers au format texte.
Il.4.2.4. FreeRADIUS
FreeRADIUS est une application AAA libre et gratuite. Malgré cela, ses possibilités sont très
étendues et il est le seul logiciel hbre capable de soutenir la comparaison face aux applications
commerciales. Historiquement, FreeRADIUS est basé sm les sources de Cistron RADIUS qui
n'est désormais plus développé. Parmi les solutions gratuites, il est le plus abouti et son
évolution est régulière.
Grâce à sa rapidité de fonctionnement et sa capacité à pouvoir gérer le protocole EAP-TLS,

FreeRADIUS marque directement la différence face aux autres serveurs d'authentification. En
plus de ces nombreux avantages, il faut noter aussi que FreeRADIUS est gratuit. Nous allons
donc opter pour un serveur FreeRadius.
Raooortduorole:de finde cvde PaaeZ?

~
Eh/de et Optimisationd 'unepoli.ique de sécuritédes liaisonsBLR 21111
H.4.3. Bases de données de comptes d'utilisateurs

La base de données de comptes d'utilisateurs est la liste des comptes d'utilisateurs et leurs
propriétés. Ces infonnations sont consultées par le serveur RADIUS afin de vérifier
l'identification, l'authentification et les propriétés du compte d'utilisateur.
II.4.3.1. Annuaire LDAP
Le protocole LDAP définit la méthode d'accès aux données sur le serveur au niveau du client,
et non la manière dont les infonnations sont stockées. Le protocole LDAP en est actuellement
à la version 3 et a été normalisé par l'IETF (Internet Engineering Task Force).Ce protocole se
conforme à quatre modèles de base :
- un modèle d'information définissant le type d'information stocké dans l'annuaire,

- un modèle de nommage (parfois appelé modèle de désignation) définissant le modèle
d'organisation des infonnations dans l'annuaire,
un modèle fonctionnel (parfois appelé modèle de services) définissant la manière
d'accéder aux informations et éventuellement de les modifier, c'est-à-dire les services
offerts par l'annuaire,
un modèle de sécurité définissant les mécanismes d'authentification et de droits
d'accès des utilisateurs à l'annuaire.
II.4.3.2. Base de données Mysgi
MySQL est le serveur de bases de données le plus populaire. C'est un progrannne hbre et
gratuit, très robuste, rapide et capable de manipuler sans problème des tables avec des
millions de registres. C'est une solution qui pourrait beaucoup nous aider dans la gestion des
certificats.
Nous préférons la solution Mysql qui a la possibilité de gérer des groupes de clients.
Contrairement à l'annuaire LDAP, il sera plus fàcile de créer des groupes de certificats en
fonction des agences de la BSIC Burkina.
II.4.4. Prévention d'intrusion

Il s'agit de mettre en place un ensemble de techniques permettant de détecter les intrusions et
éventuellement de les prévenir.
RaDDoTt duoroie;de fin de cvde Paae28

Etude et Optimisation d'unepolitiquc de s écurit édes liaisons BLR 21111
II.4.4.1. Watchguard IPS
Watchguard IPS est un IPS hardware qui protège les réseaux contre un large éventail de
vulnérabilités de sécurité connues et de points fuibles dans les applications, les bases de
données et les systèmes d'exploitation. Il a aussi la capacité d'analyser tous les protocoles
principaux, notamment HfTP, HFTPS, FTP, Tep, UDP, DNS, SMFP et POP 3 pour bloquer
les attaques de protocoles, du réseau et des applications.
Pour répondre aux menaces, il est possible d'attribuer des actions spécifiques à prendre, selon
le degré de sévérité de la menace (chaque signature a une sévérité attribuée), Les adresses IP
identifiées corrnne étant source d'une attaque peuvent être automatiquement bloquées pour
empêcher un trafic malveillant futur.
II.4.4.2. Attack mitigator IPS
Attack Mitigator IPS est une gannne de solutions de prévention d'intrusions qui protège les
réseaux face aux cyber-attaques les plus répandues. Les attaques hybrides, les attaques par
saturation (flood), les attaques par déni de service simple ou distribué (DoS/DdoS), les
anomalies de protocole et de trafic, l'usurpation d'adresse IP, et bien d'autres encore, sont
détectées avec précision et contrées en temps réel Attack Mitigator IPS assure également une
défense contre les menaces émergentes. La photo suivante nous présente l'aspect physique de
cet équiperœnt.
II.4.4.3. Prelude NIDS
Prelude NIDS est un logiciel libre de détection et de prévention d'intrusion. Il a la capacité de

décoder le protocole HFTP et FTP pour éviter les conflits de codage. Il a aussi la capacité de
détecter des ARP spoof et les camouflages. Son installation modulaire le rend adaptable à
n'importe quel réseau
II.4.4.4. Snort NIDS
Snort NIDS est un logiciel libre de détection et de prévention d'intrusion. C'est égalenent le
«cheval gagnant» en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et
organisations gouvernerœntales. Snort est un des plus actifs NIDS Open Source et possède
une communauté importante contribuant à son succès. Il a la capacité de détecter des erreurs
dans la couche transport et la couche réseau (dans le modèle OSI). La figure suivante présente
la position de Snort dans un réseau
Raooortduoroiet de fin de cvde Paae29

Eh/de el Optimisation d'unepolitique de sécurité des liaisons BLR 211]1
Snort_inline
Server Bridge Mode Client

192.168.1.254 Firewàll (Iptables) 192,168.1.3
192.168.1.100
Figure 11: Position de Snort dans un réseau
Nous préférons mettre en place un IPS logiciel (notamment Snort Inline) tournant sur un
système LINUX (notamment Ubuntuï. Nous retenons cette solution car toute une cornmmauté
participe à son développement et sa mise à jour, Il est gratuit et il offre plusieurs options
paramétrables comparativerœnt aux autres solutions, Il est à noter cependant que son
déploiement s'avère plus complexe.
DA.S. Tableau récapitulatif des solutions appropriées

Nous résumons dans le tableau suivant les différentes solutions appropriées afin d'optimiser
la politique de sécurité des liaisons BLR.
Tableau 3 : Tableau récapitulatifdes différentes solutions appropriées
Protocoles d'authentification
Caracté ris tiques Attaques possibles Solution Jus tificatio os
appropriée
EAP-TLS Utilisation de certificats Par obtention de
client et serveur l'ID du client
Utilisation d'un IGe
Authentification mutuelle
Authentification
EAP-TTLS Authentification Man-In-The-Middle
mutuelle basée
unilatérale avec certificat
sur des
EAP-MD5 Echangesnon chiffiés Vol de session
Authentification du client Attaques par certificats.
par hachage et par mot de dictionnaire EAP-TLS
passe Man-In-The-Middle Rigide face aux
Authentification attaques de type
unilatérale Man-In-The-
Cisco-LEAP Authentification du client Attaquespar Middle et
par hachage et par mot de dictionnaire attaques par 1
Ratmortducroie:de finde cvde Paae30

Etude et Optim isation d 'unepolitique de sécurité des liaisons BIR 2011
passe dictionnaire
Authentification
unilatérale
Serveurs d'authentification
Capacités Limites Solution Jus tifications
appropriée
Ste e 1belted Supporte tous les Solution propriétaire
protocoles (très coûteux)
d'authentification
Fonctionnalités avancées
lAS Directement intégré à Pas de possibilités
Microsoft Windows d'implémenter
Fonctionnement
Serveur certains protocoles
d'authentification plus rapide
Radiator Supporte tous les Fonctionnement pas (langage C)
protocoles très rapide à cause de Free
son développement Radius Supporte le
en Perl protocole EAP-
TLS
FreeRadius Supporte tous les Mise en œuvre
protocoles complexe
Fonctionnement rapide à
cause de son
développement en
langage C
Base de données des comptes d'utilisateurs
Caracté ristiques Limites Solution Jus tifications
• appropriée
Annuaire Fonctionnement sur des Gestion des groupes Possibilité de
LDAP modèles de base d'utilisateurs gérer fàcilement
complexes des groupes de
Mysql Manipulation rapide des Mise en œuvre Mysql certifica15 en
tables complexe
fonction des
agences de la
BS/C
ID SlIPS
Caractéristiques Limites Solution Justifications
appropriée
Watchguard IPS matériel Occupation de bande Toute une
IPS passante communauté
Attack IPS matériel Occupation de bande Version partie ipe à son
mitigator passante développement et
améliorée
IPS sa mise à jour.
de Snort :
Prelude IPS logiciel Besoin d'une
Snort
NIDS machine dédiée Gratuit
Inline
Snort NIDS IPS logiciel Besoin d'une
machine dédiée Largement
paramétrable
Raooortdu oroiec de fin de cvde Paae31

Eh/de et Optimisationd 'unep olitique de sécuritédes liaisonsBLR ZOH
Ratmortdu oroie:de fin de cvde Paae32

Etude et Optimisation d 'unepolitiquede sécurité des liaisonsBLR 1 2011
TROISIEME PARTIE: Mise en place de la solution

retenue
IILi. Tableau récapitulatif de la solution retenue
Avant de commencer à rrettre en place les sohrtions. Nous récapitulons dans le tableau
suivant les élérœnts à mettre en œuvre afin d'optimiser la politique de sécurité des liaisons
BLR de la BSfC Burkina.
Tableau 4 : Tableau récapitulatifde la solution retenue
Solutions retenues Justifications
Protocole d'authentification Authentification mutuelle basée sur des

EAP-TLS à implémenter sur le serveur certificats.
d' authentification Rigide face aux attaques de type Man-In-
The-Middle.
Serveur d'authentification Fonctionnement plus rapide (langage C).
FreeRadius sur Ubuntu 1O.04LTS Supporte le protocole EAP- TLS.
Gratuit.
Gestion des certificats Possibilité de gérer les agences par groupes
Mysql intégrés dans le serveur de certifie ats.
d'authentification Ubuntu 1O.04LTS
IPS Toute une communauté participe à son
Snort Inline sur Ubuntu 1O.04LTS développement et sa mise à jour.
Largement paramétrable
Gratuit.
m.2. Mise en place de la solution retenue
Le schéma suivant illustre l'architecture du réseau futur de Ouagadougou.
Raooortduoroie:de finde cvde Paae33

IVltEme II.R del'agen:e

deDuaga20
IPS
!i
IVltEmeIl.Rdel'~
delll1é
IVllemell.R
cil19lrol C1l11es De GiDe
IVltEme II.R del'agen:e

deGlU1!ttn -
.......
""'"
IPS
'---lB
1
RéiiJall1lEme :
91V1lrl1s
Fivltallmataill
Cldnatals
IP~
Iflllinmles
93val Actite OrB:llJy
9irIlUFlP
93val d\1llmlt
IPS
Figure 12: Nouvelle architecture du réseau de Ouagadougou
Ranoort du nroie: de fin de cvde Paae34

Etude et Optimisationd'une politique de sécuritédes liaisons BLR 21111
Ill.2.1. Installation de « Dbuntu »

Notre choix s'est porté sur Ubuntu 10.04LTScarc'estun système d'exploitation estampillé.
Aussi, ses «mises-à-jour» de sécurité sont supportées pendant cinq (5) ans. Nous présentons
les grandes étapes d'installation de Ubuntu 10.04LTS.
111.2.1.1. Préparation de l'installation
Il faut télécharger le fichier image de Ubuntu 10.04LTS sur le site www.packages.ubuntu.com.

Ensuite le charger en boot sur une clé USE avec le logiciel Unetbootin.
III.2.1.2. Différentes étapes d'installation de« Ubuntu »
Les grandes étapes sont les suivantes :

);> Les« options linguistiques » qui est la toute prerrnere étape ou nous devons choisir la
langue d'installation et la langue du système.
);> Les paramètres de localisation et de réseau.
);> Les« options de partitionnement» qui est la partie est la plus importante de
l'installation et il faudra être très prudent dans les manipulations.
);> La création des comptes d'utilisateur et des mots de passe.
, Après toutes ces étapes, l'installation devrait se poursuivre normalement jusqu'à la fin.
111.2.2. Serveur d'authentification
III.2.2.1. Installation et configuration de OpenSSL
Nous utiliso ns OpenSSL pour générer les certificats.

L'installation de OpenSSL se fait avec la commande
:Ssudo apt-Bet installopenssl
Il faut maintenant éditer le fichier de configuration de OpenSSL, ce fichier contient

difierentes informations corrnne le nom de l'entreprise, le pays, l'adresse e-mail, le nom du
propriétaire du certificat.
Ratmortduoroie:de finde cvde Paae3S

Etude et Optimisation d 'unepolitiquede sécurité des liaisonsBLR 2011
On exécute la corrnnande
$sudo vi lu rllocallopenssl-certgenlssllopenssl.cnf
Ce qui suit est un aperçu du fichier openssl.cnf
[req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = BF
countryN am e_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_defaul t = Some-State
locality Name = Locality Name (eg. city)
localityName_default = BSIC
O.organizationN ame = Organ ization Name (eg. company)
O.organizatio nNam e_default = BSIC
# we can do this but it is not needed nonnally:-)
#1.organizationName = Second Organization Name (eg.
company)
# l .organizati on Nam e_d efa ult = Worl d Wide Web Pty Ud
organizationalUnitNam e = Organiz ational Unit Name (eg.
section)
#organizationalUnitName_default = BSIC
com monName = Common Name (eg. YOUR name)
co mmonName_max = 64
commo nNam e_default = BSIC
emailAddress = Email Address
emaiiAddress_max = 64
emailAddress_default=marcbazie@yahoo.fr
Figure 13: Aperçu du fichier openssl.cnf
Pour la génération des certificats, nous avons besoin des fichiers xpextensions, CA.root,
CA.svr, CA.cltqui se trouvent dans le dossierjusrjlocaljopenssl-certgenjssl.
On crée un dossier /root/certset on copieces fichiers dans le nouveau dossier.
Le fichier CA.root permet de générer le certificat root qui est l'autorité de certification. Il
permettra la génération des certificats clients (signature du certificat). Chaque utilisateur
devra avoir son certificat et l'autorité de certification sur sa machine.
Ratmort: duoroie:de fin de cvde Paae36

Etude et Optimisationd 'tmep o litiquede sécuritédes liaisonsBLR 2011
Etant dans le dossierlrootlcerts, on lance donc la génération du certificat avec la commande
I$sudo .jCA root
A chaque question, on tape sur la touche «Entrée ». Les fichiers root.pem, root.p12, root.der
et le dossier dernoCA sont créés. Le fichier root .pern est utilisé par FreeRadius, et il fàudra
installer le fichier root. der sur chaque station cliente.
Nous allons maintenant générer le certificat serveur.
Ce certificat sera installé sur le serveur RADIUS. On exécute alors la commande suivante
$sudo .jCAsvrserveur
Cette commande crée les fichiers serveur.pem, serveur.pI2, serveur. der .

Nous allons générer maintenant le certificat client avec la commande :
sudo ;jCAclt client
On se retrouve avec 3 fichiers créés: client.pem, client.der, client.pI2. Le fichier client.p12

sera installé sur la machine cliente.
111.2.2.2. Installation et configuration de FreeRadius
Avant l'installation de FreeRadius, il faut installer certaines bibliothèques afin d'éviter des
erreurs pendant la compilation.
On exécute la commande :
$su,do apt-get inst at) libssl-dev snmp libltdl3-dev
On télécharge la version stable de Freekadius.

Pour la compilation de FreeRadius, on utilise le paramètre --sysconfdir=letc/ qui placera tous
les fichiers de configuration dans letc/raddb, le paramètre -silent pennetd'afficher le debug
mmnnum
Ainsi, la suite de commande suivante est à exécuter :
$sudo tar zxvffreeradius-l. û.Z tar.qz

$sudo cdfreeradius-l. 0.2
'$sudo .jconfigure --syscol1fdir=/etcj - silent -sdisable-shared
On peut maintenant passer à l'installation finale de FreeRadius avec la commande
Raooort du oroie:de fin de cycle Paae37

Etude et Optimisationd 'unepolitiquede sécurité des liaisonsBLR ZOIl
'$sudo make && rnake install
On passe à l'installation des certificats sur le serveur. Pour cela on se rend dans le dossier de
configuration de FreeRadius (/etc/raddb/), puis on efface les certificats par défàut. Après on
copie notre certificat root et serveur créés auparavantdans le dossier certs. On génère les
fichiers random & dh avec la fonction date.
Pour cela, exécutons la suite de connnande suivante
'$sudo cd/etc/ raddh/certs/
$sudo rm. -rI ~
$sudo cp /roo t/certs/root.pem /etc/raddb/certs
$sudo cp/root/certs/serveur.pem /etc/raddb/certs
$sudo date > ranâom
$sudo date> dh
On va maintenant s'occuper de la configuration de FreeRadius, les fichiers de configuration se

trouvent dans /etc/raddb. On va juste modifier les fichiers suivants :
eap.confpour la configuration de EAP et des certificats
- clients.confpour la configuration des modemsautorisés à contacter le RADIUS ;
- userspour la configuration des utilisateurs autorisés ;
On spécifie dans le fichier eap.conf (à la ligne 22) que l'on veut utiliser EAP-TLS et non
MD5.Puis, on configure EAP-TLS, il faut que l'on enlève les commentaires à partir de
laligne 122 (toujours dans le fichier eap.conf) afin de modifier les chemins des certificats.
On exécute la commande :
$sudo vi/etc/raddb/eap.conf
Ce qui suit est un aperçu du fichier eap.conf à la ligne 122.
Ratmort duoroie: defin de cvde Paae38

tls {
private_key_password :;: whatever
privatekeyfile :;: ${raddbdir}jcertsjserveur.pem
certificate_fiIe :;: ${raddbdir}jcertsjserveur.pem
CA_file:;: ${raddbdir}jcertsjrootpem
dh_fiIe =${raddbdir}jcertsjdh
random_fiIe :;: ${raddbdir}jcertsjrandom
fragmentsize =1024
includelength :;: yes
#check_crl :;: yes
check_cert_cn = %{User-Name}
}
Figure 14: aperçu du ficllier eap.conf
private_keyyasswordest le mot de passe du certificat serveur.

private_key.file et certificate.fileest le chemin vers le certificat serveur.
CA.fileest le chemin pour le certificat racine.
dh.fileet random.filesont les chemins vers les fichiers aléatoires qu'on a générés.
check cert en permet de vérifier que le nom d'utilisateur fournit par le client est le même
que celui dans le certificat.
check_crlest le seul paramètre qu'on laisse commenter, il permet de vérifier si le certificat
n'a pas été révoqué.
Passons maintenant à la configuration du fichier clients.conf
Ce fichier permet de définir l'adresse que l'on autorise à accéder au serveur RADIUS. Le
serveur et le modem RADWIN partagent un secret (une clé) pour crypter les données.
Pour rajouter notre modem RADWIN qui a comme adresse IP 192.168.1.250, on exécute la
commande:
$sudo vi /etc/raddb/clientsconf
Ce qui suit est un aperçu du fichier clients.conf.
Ratmort du oroiei de fin de cvde Paae39

Eh/de et Optimisationd'unepolttiquede sécurité des liaisonsBLR
____________________ _ _ _ ______......1...2_11_11 _
client 192.168.0.250 {
secret = bonjour
shortname = rad_win
nastype =other
}
Figure 15: Aperçu du fichier clients. conf
On configure maintenant le fichier users. On ajoute à la fin du fichier cette ligne

"client" Auth-Type := EAP, EAP-Type := EAP-TLS
Pour être sur que ça marche bien on lance le daemon avec le debug à l'aide de la corrnnande
$radiusd -X -A &
Il faut à présent configurer le modemRADWIN WIMAX.
111.2.2.3. Configuration du modem RADWIN WIMAX

En ce qui concerne la configuration du modem, il n'ya pas grand-chose à effectuer. Vu que le
modem supporte la norme 802.1X, il suffit de référencer le serveur d'authentification
RADIUS par son adresse IP. Dans l'interface de configuration du modem, on met l'adresse du
serveur d'authentification dans l'onglet sécurité.
111.2.2.4. Exemple de configuration d'une machined'utilisateur

Tous les utilisateurs de la BSIC travaillent sur « windows XP». Pour cela, nous allons
configurer une machine, le processus est le même pour les autres machines d'utilisateur.
Avant de commencer, copions les certificats serveur.der et client.p12 précédemment
configurés. Commençons par le certificat de la racine. On « double-clic» sur le fichier
serveur. der. Cliquons ensuite sur « OK» à la fenêtre qui apparaît.
Raooortduoroietde fin de cvde Paae40

Etude et Optimisation d 'une p olltique d e sécurité des lia isons BLR 2Ul 1
Figure 16: Aperçu de la première fenêtre l'installation de serveur.der
« Installer ce certificat... » va nous conduire à un assistant. Cliquons sur suivant.
Figure 17: Aperçu de l'assistant d'installation de serveur. der
On ne coche pas l'option automatique. Nous allons choisir nous même l'emplacement
où ce certificat sera stocké ensuite « suivant ».
Ratmortdu croie:de fin de cvd e Paae41

Etude et Optimisationd 'unepolitique de sécuritédes liaisonsBLR ZUl1
Figure 18: Aperç,; de l'option du répertoire des certificats
Après ces quelques manipulations, c'est la fin de l'installation. Cliquons sur « Terminer ».
Figure 19: Aperçu de la fin de l'installation
Raonort du orota de finde cvde Paae42

Eh/de et Optimisation d 'unep olitique de sécurité des liaisons BLR Ztll!
Nous avons encore lm avertissement de sécurité. Cliquons sur« OK ».
Figure 20: Aperçu de l'avertissement de sécurité
Installons maintenant le certificat client. On « double-clic »sur le certificat client. Ceci

démarre lm nouvel assistant. On clique sur «suivant ».
..~
.
•U1'('el'f ' - ,
1 ~ .
'-,
'o.
.....
:"-~,j
Figure 21 : Aperçu de l'assistant de BIENVENU
Après quelques clics sur «suivant », l'installation se termine avec succès .
nI.2.3. Base de données des certificats

Maintenant que FreeRadius et EAP-TLS marchent, on va rajouter le support de MySQL à la
place du fichier users afin de pouvoir gérer une base de données des certificats.
Ratmort: duoroie: defin de cvde Paae43

Etude et Optimisation d'unepolitique de sécuritédes liaisonsBLR ZOII
On comrœnce par installer le serveur MySQL + le serveur Web (apache + php) pour la
gestion via phpmyadmin avec la corrunande :
$sudo apt-qet install mysql-server apache php4 php4-mysql phpmyadmin
Ensuite on installela bibliothèque libmysqlclientl2-dev avec la commande
Ssudo apt-get install Iibmysqlclientl Z-dev
Il -faut recompiler FreeRadius avec la commande
I$sudo make && make instail
L'exécution de cette commande nous conduit à l'interface suivante:
config.status : creating Makefile

configure: configuring in ./ types / r lm _sq t m ysq l
configure: running /bin/sh './configure' --prefix=/usr/local '
preftxe/usr/local' '--sysconfdir=/etcl' '--enable-Itdl-install=no' ,
cache-filee/dev/null' '--srcdir=.' 'CFLAGS=-g -02 -D_REENTRANT
-D]OSIX_PTHREAD_SEMANTICS -DOPENSSL_NO_KRB5 -Wall -D_GNU_SOURCE -g
-Wshadow -Wpointer-ari th -Wcast-qual -Wcast-align -Wwrite-strings
-Wstrict-prototypes -Wmissing-prototypes -Wmissing-declarations
-Wnested-externs -W -Wredundant-decls -Wundef --cache-fiIe=/dev/null --
srcdi r=.
checking for gcc... gcc
checking for C compiler default output file name... a.out
checking whether the C compiler works ... yes
checking wh ether we are cross compiling... no
checking for suffix of executables ..
checking for suffix of object files 0
checking whether we are using the GNU C compiler... yes

checking whether gcc accepts -g... yes
checking for gee option to accept ANS\ c... none needed
Figure 22 : Aperçu de l'installation de mvsql
Il faut qu'on modifie la configuration du serveur RADIUS, on édite les fichiers radiusdconf et
Raooortduoroie:de finde cycle Paae44
Etude et Optimtsationd 'unepolitique de sécurité des liaisonsBLR 2011
sql.conf
Connnençons par le fichier sql.conf
On utilise une base de données MySQL, donc on prend le driver rlm sqlmysql. Il n'y a pas de
rmt de passe par défaut pour l'accès.
Ce qui suit est un aperçu du fichier sql.conf
# Databas e type
# CUITent supported are: rlm_sq l_mysql, rlm.sql.postgresql,
# rl m. sql.j odbc, rlm_sql_oracle,

# rlm_sql_unixodbc. rlm.sql freetds
driver e "rlm.sql.rnysql"
# Connect info
server ;:; "1 ocalhost"
login > "root'
password ;:; ""
# Database table configuration
radlusdb » "radius"
Figure 23 : Aperçu du fichier sq/.conf
Maintenant configurons le fichier Radiusd.conf.

Il s'agit d'autoriser que les requêtes sql. Pour cela, dans la section authorlze (, il faut enlever
le # devant sql et connnenter files(connne le montre la figure suivante).
authorize {
[ ... ]
#
# Read the 'users' file
# files
#
# Look in an SOL database. The schema of the database
# is meant to mirror the "users" file.
#
# See "Authorization Oueries" in sql.conf
Sql
Figure 24 : Aperçu du fichier Radiusd.conf
Raooort du orale: de fin de cvde Paae45

Etude et Optimisationd'unepolitique de sécuritédes liaisonsBLR 2011
Pour l'installation de la base de données, nous utilisons le prompt MySQL, mais il est aussi
possible d'utiliser un gestionnaire de base de données corrnne PhpMyAdmin.
On exécute la connnande :
$sudo mysql
Cette commande nous conduit à une interfàce corrnne celle située ci-dessous.
Welcome to the MySQL monitor. Commands end with ; or \g.

mysql>CREATE DATABASE radius;
Query OK, 1 row affected (0.00 sec)
mysqb-use radius
Database changed
mysql>source /root/freeradius·
1.0.2/src/module~/rlm_sqlfdrivers/r)m_sqtmysq)/db_mysql.sql
Figure 25 : Aperçu de l'installation de MvSQL
Nous avons maintenant 8 nouvelles tables, on utilisera juste les tables radgroupcheck et
usergroup. On a une table:
- nasqui pennet de remplacer le fichier client.conf en stockant la liste des NAS
autorisés;
radacctqui stocke les infonnations que retourne le NAS quand on mit de le
accounting;
radcheckqui pennet de vérifier une option d'un utilisateur (par exemple le mot
de passe quand on utilise PEAP ou 111...8) ;
- radgroupcheck même chose que radcheck mais pour une option de groupe ;
radgroupreply qui pennet de retourner une option de groupe
- radpostauth qui stocke chaque authentification réussie;
radreply qui permet de retourner une option pour l'utilisateur
- usergroupqui pennet de mire la liaison entre le nom d'utilisateur et son groupe.
On va rajouter l'utilisateur Client qui va appartenir au groupe Secu.

Pour cela, on exécute la suite de commande suivante :
Raooort du aroie: de fin de cvde Paae46

Elude et Oplimisaliond'unepolitique de sécurité des liaisonsBLR 2011
mysql>INSERT INTO usergroup VALUES (...·Client','Secu·);

Query OK, 1 row affected (0.00 sec)
mysql>SELECT * FROM usergroup;
+----+----------+-----------+
1 id 1 UserName 1GroupName 1
+----+----------+-----------+
11 1Client 1Secu 1
+----+----------+-----------+
1 row in set (0.00 sec)
Figure 26 : Aperçu de l'ajout de Client au groupe secu
Maintenant que la configuration est terminée, on relance le daemon RADIUS avec la

commande
$sudo ra diusd -X -A &
111.2.4. Système de détection/prévention d'intrusion

L'IPS Snort Inline est \IDe version modifiée de l'IDS Snort. Il reçoit les paquets envoyés par le
tirewallNetfilter avec l'aide de la hbrairie libipq, les compare avec des règles de signature
Snort et les marque en "drop" s'ils correspondent à une règle, puis finalement les renvoie vers
Netfilter où les paquets Snort Inline marqués sont rejetés.
111.2.4.1. Pré-requis
Certains progrannnes sont requis pour le fonctionnement de Snort_Inline. Il s'agit notannnent

de apache, mysql, php, iptables-dev et les hbrairies libmysqlclient12-dev, libdnet, libpcre3-
dev.
111.2.4.2. Installation de Snort
On téléchargeSnort_ Inline à l'adresse http://snort-inline.sourceforge.net/download.html.
On le décompresse avec la commande :
$sudo tar -xvfsnorttn line-Zs.Sa.tar.qz
RaDDort du oroie:de fin de cvde Paae47

Etude et Optimis ation d 'unepolitique de sécurité des liaisons BLR 20)1
On crée deux dossiers, un pour stocker le fichier de configuration, l'autre pour stocker les
règles Snort.
Pour cela, on exécute la commande
l$'sudo mkdirj ete/ snort.lnlin e / ete/snort;inline/ru les
On copie les fichiers de configurations de SnortJnline dans le dossier /etc/snort_inline/avec

la corrnnande :
I$sudo cp snort.in /ine-2.4.5a/ete/* /etc/snort. inline/
A l'intérieur du fichier /etc/snort_inline/snort_inline.conf, on recherche la ligne commençant

par "var RULE_PA TH" et on la change comme ci-dessous :
On copie les deux fichiers à l'intérieur du dossier /etc/snort inline/rules à l'aide des
corrnnandes :
I$sudo cpsnort)nline-2.4.5(l/etc/cJassifieation.eonfiB /etc/sn ortinline/rules/

$sudo epsnortinlin e-2.4.5a/etc/re[erenee.eonfiB /etc/sn ortinlin e/rules/
On crée un dossier de journalisation avec la commande:
I$su do /varllog/snorCinline
Paramétrons à présent Mysql

On ajoute un mot de passe MySQL pour l'utilisateur rootavec la corrunande:
I$sudo mysqladmin ·u root password newrootpassworâ
On crée la base de données et les tables MySQL pour recevoir les journaux de Snort avec les
corrnnandes :
Comme il est dangereux d'accéder à la base de données en tant que root, nous avons besoin
de créer un utilisateur qui a des permissions sur la base de données snort.
Ratmortduorale:de lin de cvcle Paae48

Etude et Optimisationd'unepolitique de sécurité des liaisonsBLR 201)
On exécute alors les connnandes :
>grant ail on snort. * to snortuser@localhost identified by 'snortpassword';
»flush privlleqes:
»exit;
Il est temps de créer les tables dans la base de données snort.

Par chance, les tables sont déjà créées, nous avons juste à les trouver et les importer dans le
serveur SQL.
On exécute la commande
I$sudo mysql -u root -psnort < snoreinlin e-2.4.5ajschemasjcreate_mysql
Configurons les paramètres de la base de données MySQL:

Ouvrons le fichier snort inline.co nf avec la connnande:
$sudo vi jetcjsnort_inlinejsnortinlin e. conf
Après la ligne avec "output alert_fast: snortjnline-fàst", ajoutons cette ligne :
output database: log, mysq/, user=snortuser password=snortpassword dbname=snort

host=localhost
Compilons et installons snort Inline avec les corrunandes
'$sudo cd snortinline-Za.Sa
I$sudo ,jconfigure -witb-mysql
I$sudo make
111.2.4.3. Règles de Snort
Une fois Snort_Inlineinstallé, il est nécessaire d'installer les règles de signature Snort et de les
maintenir à jour.
On installe oinkmaster, après l'installation ouvrons le fichier /etc/oinkmaster.conf et ajoutons
la ligne suivante pour mettre à jour les règles:
uri =http://www.bleedingsnort.comjbleeding.rules.tar.gz
Raooortduoroie: de fil. de cvde Paae49

Etude et Optimisationd 'unepolitique de sécurité des liaisonsBLR zou
Nous devons ensuite ajouter les lignes suivantes dans le :fichier

/etc/snort_inline/snort_inline.conf :
incluâe $RULE_PATHjbleeding.rules
include $RULE_PA Til/bieeâtnq-ottacicrespon se.rules
in elude $RULE_PATHjbleeding-dos. rules
Elles indiquent quelles règles seront utilisées. Si on ajoute un ''#'' au début d'une ligne, la
règle correspondante ne sera pas pris en compte. Le démarrage du script oinkmaster va
télécharger les règles bleedingsnort et dire s'il y a un problème.
On exécute alors les connnandes
$sudo su oinkmaster
$sudo oinkmaster -0 /etc/snorc/rules -b /etc/snort/backup 2>&1
111.2.4.4. Lancement de Snort
Snort utilise NetFilter pour filtrer les paquets. NetFilter est un module du noyau de Linux
disporuble depuis la version 2.4 du noyau Il fournit trois principales fonctionnalités: le
filtrage de paquet (accepte ou rejette des paquets), le NAT (change la source ou la destination
IP d'un paquet réseau), le "Packet Mangling" (modifie les paquets).Nous devons charger le .
module Ïp_queue et vérifier si Iopération a bien été effectuée.
Pour cela, exécutons la suite de connnandes
I$su do modprobe ip_queue

'$sudo lsmod1grep ip_queue
ConfiguronsIptables pour tester Snort Inline. Nous configurons en réalité une règle Netfilter
pour envoyer tout le trafic entrant vers la queue où il sera analysé contre les règles de
Snort Inline.
Exécutons donc la suite de connnandes
I$su do iptables -A INPUT -j QUEl!
$sudo iptables - L
l sudo snortinline -Q -v -c j etcj snorCinlinejsnorCinline.conl -17varjlogj snort_inline
Ratmort du oroietde fin de cvde PaaeSO

Eh/de el Optim isationd 'unepolitique de s écurité des liaisons BLR ZOB
Les options -Q, -v,-I,-c ont les significations suivantes:

./ -Q ( process )le trafic est mis en queue,
./ -v verbose
./ -1 chemin des journaux (logs)
./ -c chemin du fichier de configuration
Vérifions que Snort Tnline fontienne correctement. Nous pouvons simuler me attaque en
accédant simplement à me page web située sur la machine Snort_Inline depuis cette même
machine parce que ceci correspondra à me règle d'attaque .Snort.
Par exemple, ouvronsFirefox et entronshttp://localhost.
Consultons le journal de log de Snort à l'aide de la commande
$sudo tai/ofjvarjlogjsnorCinlinejsnorCinline{ast
En consultant l'aperçu ci-dessous, on se rend compte que le trafic a été perçu par snort.
03/07-12:39:27.127882 [**] [116:151:1] (snort decoder)

Bad TrafficSame Sre/Dst IP [**] {TCP} 127.0.0.1 :41050·> 127.0.0.1:8003/07-
12:39:27.127882 [**] [116:150:1] (snort decoder)
Bad Traffic Loop back IP [**] [TCP} 127.0.0.1:41050 -> 127.0.0.1:80
Figure 27 : Aperçu du journal de log de Snort pour la première attaque
Nous pouvons simuler me autre attaque. Ajoutons me règle de signature pour rejeter tout le
trafic web entrant.
.
Ajoutons la règle suivante dans le fichier /ete/snort inline/rules/web-attacks.rules :
drop tep any any -> any 80 (classtype:attempted-user; msq.'Snortlnline bloque le

traffic!":
Consultons le journal à l'aide de la commande :
$sudo teil 1 /varj logj snorC inlinej snorCinline{ ast
Raooort du oroiet de fin de cvde PaaeS1

Eh/de et Optimisationd 'unepolitiquede sécuritédes liaisonsBLR 21111
L'aperçu suivant nous montre une fois de plus que snort a détecté l'attaque.
04/01-18:11:39.454787 [**] {1:0:0] Snort Tnline bloque le trafficl

[**] [Classification: Attempted User Privilege Gain] [Priori/y: 1]
{Tep} 192.168.1.3:1626 -> 192.168.1.101:80
Figure 28 : Aperçu du journal de log de snort pour la deuxième attaque
Créons un fichier appelé snort_inlined et ajoutons le script ci-dessous pour démarrer

fàcilement snort InUne .
On exécute la connnande
Ratmort duoroiet de fin de cvde Paae52

Etude et Optimisation d 'unepolitique de sécurit édes lialsonsBLR 2011
# !/bin/bash
#
# snort inline
startû]
# Démarrrer les démons.

echo "Démarrage du module ip_qu::ue:"
lsmod 1 grep ip_queue >/dev/null ii /sbin/modprobe ip_queue;
#
echo "Démarrage des règles iptables:"
# trafflc iptables envoyé vers la QUEUE:

# accepte acceprles connexions internes
iptables -A INPUT-i 10 -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -010 -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# envoie tous le traffic entrant, sortant et ''forward'' vers la QUEUE

iptables -A INPUT -j QUEUE
iptables -A FORWARD -j QUEUE
iptables -A OUTPUT -j QUEUE
# Démarrage de Snort_inline
echo "Démarrage de snort inline: "
/usr/local/bin/snort_inline -c /etc/snort_inline/snort_inline.conf -Q -D -v \
-l/var/log/snort_inline
# -Q -> process le trafflc en queue
# -D -> lancer en tant que démon
# -v -> verbose
# -1 -> chemin vers les journaux (log)
# -c -> chemin vers le fichier de configuration
}
stopt) r
# Stopper les démons.
# Stopper Snortjnline
# echo "Arrêt de snort inline: "
Figure 29: Aperçu du script de démarrage de snort
On démarre ensuite k script snort_inlined avec la commande
Ratmortdu oroietde fin de cvde PaaeS3

Etude et Optimisationd'unepolitique de sécuritédes liaisons ELR 2011
I$sudo /etc/tnit.d/snorttnlined start
Vérifions maintenant nos règles Iptables avec la connnande:
$sudo iptables -L
Chain INPUT (policy ACCEPl)

target prot opt source destination
ACCEPT aIl localhost localliost
QUEUE aIl anywhere anywhere
Chain FORWARD (policy ACCEPl)
target prot opt source destination
Chain OUTPUT (pvlicy ACCEPl)
target prot opt source destinatio n
ACCEPT aIl localhost localhost
Figure 30 : Aperçu des règles iptables
111.2.4.5. Configuration fmale
Afin de finaliser la configuration de l'IPS, il est nécessaire de configurer un pont afin que
Snort_Inline vérifie les paquets avant de décider s'il mut les accepter ou les refuser.
Nous décidons de charger le rmdule du noyau bridge et nous installons l'outil qui permet de
gérer des ponts avec les connnandes
$sudo modprobe bridge
$sudo apt-get install bridqe-utils
Ratmort du oroiet de fin de cvcle Paae54

Etude el Optimisationd 'unepolitique de s écurité des liaisonsBLR 2011
Il est nécessaire de configurer les interfuces réseau de l'IPS. Exécutons alors la commande
suâo Beait 7etc7network/ interf aces
# interfàce Loopback
auto 10
ifàce 10 illet loopback
#
# Configuration du pont (bridge)
auto brO
iface brO inet static
addres 192.168.) .22
netmask 255 .255.255. 0
broadcast 192.168.1.255
gateway 192.168.1.1
# Ports que vous voulez ajouter dans
# le pont
bridgeyorts ethO ethl
# Temp qu'il faut attendre avant
.# le lancement du pont
bridge_maxwait 0
Figure 31 : Aperçu du fichier interfaces
Ensuite, on relance le service avec la connnande
$sudo/etc/init.d/networking restart
Ajoutons à présent un "cron job" pour charger le module du noyau bridge chaque fois que
Linux démarre.
Raooort duoraietde fin de cvrie Paae55

Etude et Optimisationd 'unepolitiquede sécuritédes liaisonsELR 2011
Exécutons donc la commande :
ID.3. Coût estimatif du projet
La mise en place prend neuf (9) semaines.
Nous présentons le coût estimatif du projet sous forme de tableau.
Tableau 5 : Coût estimati'du projet
Désignation Caractéristiques Quantité Prix unitaire Montant

(FCFA) (FCFA)
Ordinateurs pour PlV 06 350 000 2 100 000
Serveurs HPCOMPAQ
d'authentification i
Ordinateurs pour PlV 06 350 000 2100 000

IPS HPCOMPAQ
Logiciel Mysql Compatible avec 06 Gratuit Gratuit

Ubuntu 10.04LTS
IPS CompatIble Ubuntu 06 Gratuit Gratuit

Snort Inline 10.04LTS
Main d'oeuvre - - - 900 000

Coût total 5100000
Ratmortduoroie: de fin de cvc1e Paae56

Etude et Optimisation d 'unepolitiquede sécuritédes liaisonsBLR 21111
CONCLUSION
Le WIMAX qui est une technologie de plus en plus utilisée par les entreprises pour des
interconnexions est en réalité moins sécurisé. Il est donc nécessaire de mettre en place des
équipements de sécurité supplémentaires. Notre étude nous a permis de comprendre les
processus de sécurité de la plupart des équipements WIMAX notarrnnent l'authentification, le
PKM et la cryptographie. Aussi, il nous a été possible de percevoir un bon nombre d'attaques
sur l'environnement radio et en même temps corrnnent arriver à déjouer ces attaques avec des
serveurs et des IPS. La difficulté de cette solution est sa mise en place car c'est une solution
où il faut beaucoup de temps, savoir manipuler des fichiers textes et avoir une connaissance
des systèrres LINUX. Nos solutions proposées peuvent être implérœntées sur n'importe
quelle norme WIMAX. C'est donc une solution compatIble avec les réseaux téléphoniques
qui utilise le WIMAX mobile (notarnrœnt la norme S02.16e). Il faudra seulement tenir
compte de l'existant et ajouter certaines stratégies, certains équiperœnts ou certaines règles et
la solution est efficace pour tout le réseau
C~ projet a pu être réalisé grâce aux documents existants, mais surtout le fruit de nos
recherches personnelles. Cela nous a forgé à nous :fàrniliariser au milieu professiomel, de voir
de façon pratique les difficultés et l'organisation de celui-ci.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - . _•.._---
"
Ratmort: du orale: de lin de cvde PaaeS?
Etude et Optimisation d 'unepolitique de sécurité des liaisonsBLR 21111
BIBLIOGRAPI-llE ET WEBOGRAPI-llE
Libellés
« Halte aux hackers » 4': édition

Stuart McClure, Joel Scambray, George Kurtz
Groupe Eyrolles 2003
« Tout sur les réseaux sans fil »

"
Fabrice LEMAINQUE
Editions DUNOD
« Les réseaux »Se édition

GJy Pujolles
ÉDITIONS EYROLLES
« Sécurité informatique: Principes et méthodes»

Laurent Bloch, Christophe Wolfhugel
ÉDITIONS EYROLLES
Libellés Dernière date de consultatio n
http://www.ecladafrique.com'bsic/burkina/ '" 06/09120 II
http://rangiroa.ess Lfr/rapports/index.html 06/09/2011
http://ellperts-univers.com'themes-pour-Ia-soutenance-en-reseaux-infonnatiques.html 07/0912011
http://www.reseaux-telecom;.net/tribunes -experts/lire-quelle-securite-en- wimax-l O-page- 2.html.. ...... 08/09/2011
http://www.xmco.fr/actusecu.html (18/09/2011
http://www.secuser.com.vulnerabilite/2011/110809-windows.htm. ,08/09/20 II
http://wwwJournaldunet.com.solutions/OSOI/OSOI18_wimax_versus_wifi.shtml... 09/09/2011
http://fr.wikipedia.org/wikilAdvanced_Encryption_Standard.htm 10/09/20 II
HaDDoTt du Dro/ëtde finde cvrle PaaeS8

Etude et Optimisationd 'unepo li.iquede sécuritédes liaisonsBLR 2011
\
http :JIwww.jldarroiseaux.fr/TP-en-WifI!Securite-en-Wifi-Authentification-EAP-TLS.html... 12/09120 II
http:JIwww.commentcamarche.net/contents/protect/firewall.php3 , 05/10/20 II
http://www.commentcamarche.net/contents/lan/proxy.php3 06/10/2011
http://exclusive-networks.comldownloads/af7docu mentationsldatasheet-vse-fr.pdf... 06/10/20II
http:JIwww.commentcamarche.net/contents/detection/ids .php3 0611 0/201 1
http://www.besoindaide.comlccmlauthentification/pap.htm 10/1 0/2011
http:JIwww.commentcamarche.net/contents/authentification/radius.php3 10/10/2011
http://www.guill.net/index.php?cat=4&sec=2&cqr=4 10/10/20 Il
http://packages.ubuntu.com...................................................................................................................... 15/10/2011
http://www.openmaniak.comlfr/inline_tutorial.php 17/1 0/2011
http://rruproofblogspot.coml2010/lllsecurite-reseaux-informatiques-serveur.html 18/l 0/2011
http://www.freewimaxinfo.comlauthentication-problemhtml. .2511 0/20 Il
RaDDoTt du orale: defin de cvcle Paae59

RaDDort du nroie: de fin decvde Paae60

Esi 2011 Baz Etu

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Esi 2011 Baz Etu

Transféré par

Droits d'auteur :

Formats disponibles

Ministère des Enseignements Secondaire et Supérieur

Université Polytechnique de Bobo-Dioulasso (U.P.B.)

Ecole Supérieure d'Informatique (E.S.I)

Cycle des Ingénieurs de Travaux Informatiques (C.I.T.I)

THEME : «Etude et optimisation d'une politique de sécurité des liaisons BLR»

Période du 1er Septem6re au 30 !Novem6re 2011

Auteur: BAZIE Marc Baudouin

Maître de staee Superviseur

Me BOKOUM Awa M. DIALLO Abdoul Karim

Chef du service informatique à Enseignant à l'Ecole Supérieure

Année académique: 2010-2011

LISTE DES SIGLES ETABREVIATIONS IV

TABLE DES TABLEAUX IX

PREMIERE PARTIE: PRESENTATION DE LA STRUCTURE D'ACCUEIL: LA BSIC 3

1.1. OBJECTIFS DE LA B5IC 3

DEUXIEME PARTIE: ETUDE DU THEME 6

Il.1. ETUDE DE L'EXISTANT 6

Il.4.2.1. Steel Belted Radius 25

TROISIEME PARTIE: MISE EN PLACE DE LA SOLUTION RETENUE 33

111.1. TABLEAU RECAPITULATIF DE LASOlUTION RETENUE 33

RaDDon ducroie: defin de cvde Paae 11

~ de ~ à ~ C"-~. 9'b~, ~ ~ O-'~oonX à :

pour mes questions d'éclaircissement;

~ M. SOME Ayrnard, ingénieur réseau à la BSIC Burkina;

~ M. TRAORE Harouna, informaticien à la BSIC;

~ M. OUEDRAOGO Bertrand, informaticien à la BSIC ;

~ Mme BASSOLE Dalida, ma cousine;

~ Tout le personnel de l'agence principale de la B51 C Burkina.

Ratmort du oroie: de fin de cvde Paae ffI

LISTE DESSIGLES ETABREVIATIONS

3DES: 3 (Data Encryption System)

LDAP: Lightweight Directory Access Protocol

Ratmort du orota de fin de cvcle PaaeV

WIFI: WIreless FIdelity

Ratmortdu oroie:de fin de cvcle Paae VI

Figure 1 : Schéma des interconnexions dans la ville de Ouagadougou , 7

Figure 2: Schéma d'un processus d'authentification WIMAX 9

Figure 3: Schéma d'un processus d'acquisition de clés TEK " , 10

Figure 4: Schéma expliquant l'algorithme AES avec un tour 11

Figure 5: Exemple d'attaque de type man-in-the-middle 14

Figure 6: Schéma d'un processus d'authentification EAP-MD5 21

Figure 7 : Schéma d'authentification EAP-TLS 24

Figure 8: Schéma d'un processus d'authentification EAP-TTLS 25

Figure 9: Interface de Steel Belted Radius/entreprise..... ... 26

Figure 10: Interface de Microsoft lAS 27

Figure Il : Position de Snort dans un réseau..................................................................... 30

Figure 12: Nouvelle architecture du réseau de OUagadougou 34

Figure 13: Aperçu dufichier openssl.cnf. 36

Figure 14: Aperçu dufichier eap.conf. 39

Figure 15: Aperçu dufichier clients.conf. .40

Figure 16: Aperçu de la première fenêtre l'installation de serveur.der .41

Ratmort du oroietde finde cvde PaaeVU

Figure 17: Aperçu de l'assistant d'installation de serveur.der .41

Figure 18: Aperçu de l'option du répertoire des certificats .42

Figure 19: Aperçu de lafin de l'installation. .42

Figure 20: Aperçu de l'avertissement de sécurité .43

Figure 21: Aperçu de l'assistant de BIENVENU. .43

Figure 22: Aperçu de l'installation de mysql... ,...44

Figure 23 : Aperçu dufichier sql.conf. 45

Figure 24 : Aperçu du fichier Radiusd.conf 45

Figure 25 : Aperçu de l'installation de MySQL. 46

Figure 26: Aperçu de l'ajout de Client au groupe .47

Figure 27: Aperçu dujournal de log de Snort pour la première attaque 51

Figure 28: Aperçu dujournal de log de snort pour la deuxième attaque 52