802.11i permet de dfinir un RSN mais est cependant rtro-compatible avec l'ancien mode de scurisation WEP.

Dans cet amendement sont introduits deux nouveaux procds de chiffrement, le TKIP ainsi que le CCMP.

WEP (Wired Equivalent Privacy) ; TKIP (Temporal Key Integrity Protocol) ; CCMP (CTR with CBC-MAC Protocol).

Il est noter que le WEP est dfini en temps pr-RSN dans la mesure o il n'offre pas une scurit suffisante dans un rseau sans-fil. TKIP est certifi RSN et est compatible avec le matriel pr-RSN, c'est une volution plus robuste que le WEP permettant une transition douce vers un rseau totalement RSN (Robust Secure Network). CCMP est la mthode de chiffrement la plus sre offerte par la norme 802.11i mais n'est pas compatible avec les vieux matriels.

1. Prsentation de WPA et 802.1X

En attendant la nouvelle norme 802.11i en cours d'laboration, la Wi-Fi Alliance et l'IEEE ont dcid de dfinir le protocole WPA afin de combler les lacunes du protocole WEP. Prcdemment les rseaux Wi-Fi disposaient de cls WEP fixes, dcides sur les points daccs. Mais l'utilisation des cls WEP a rvl deux faiblesses importantes:

L'utilisation d'algorithmes cryptographiques peu dvelopps l'a rendu trs vulnrable. Il suffit de quelques heures un ventuel pirate pour casser les cls utilises. Seconde faiblesse, l'impossibilit d'authentifier un ordinateur ou un utilisateur qui se connecterai au rseau.

Afin de pallier au problme de cryptographie, WPA dfinit deux nouvelles mthodes de chiffrement et de contrle d'intgrit:

TKIP (Temporal Key Integrity Protocol) : ce protocole a t conu afin de s'adapter au mieux au matriel existant. Il utilise RC4 comme algorithme de chiffrement , ajoute un contrle d'intgrit MIC et introduit un mcanisme de gestion des cls (cration de cls dynamiques un intervalle de temps prdfini) CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) : priori plus puissant que TKIP, il utilise AES comme algorithme de chiffrement. C'est la solution qui semble se distinguer long terme. Cependant ce protocole est totalement incompatible avec le matriel actuel.

WPA utilise le protocole 802.1X . galement appel EAPOL (EAP Over Lan) il est utilis comme mthode de transport pour l'authentification EAP. C'est est une rponse au besoin d'authentifier les machines ou les utilisateurs connects sur un rseau local. Il permet donc de transfrer les paquets d'authentification vers divers lments d'un rseau mais offre aussi un

mcanisme pour changer des cls qui vont tre utilises pour chiffrer les communications et en contrler l'intgrit. Le protocole 802.1X dfinit trois catgories d'acteur jouant chacun un rle diffrent.

Le supplicant : il s'agit du poste de travail qui demande accder au rseau. L'authenticator : c'est le dispositif Wi-Fi (galement client Radius, voir chapitre suivant) fournissant la connexion au rseau. Il supporte deux tats, non autoris et autoris, mais il ne joue que le rle de relais dans l'authentification. Le serveur d'authentification : Il s'agit d'un serveur implmentant une solution Radius

WPA est donc une solution complexe, cependant, un mode spcial de WPA (WPA-PSK : Pre Shared Key) existe galement afin de permettre aux particuliers de profiter de cette scurit sans disposer de serveur d'authentification. La configuration du WPA-PSK commence par la dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps prdfini.

2. Prsentation de lauthentification EAP

Il existe diffrentes mthodes d'authentification pour EAP (Extensible Authentication Protocol). Voici les diffrents mthodes classes de la moins sre la plus sre

EAP-MD5: Cest la plus simple. Le client est authentifi par le serveur en utilisant un mcanisme de dfi rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte, compare les deux et en fonction du rsultat valide ou non lauthentification. Une coute du trafic peut dans le cas dun mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute. LEAP (Lightweight EAP): est un mthode propre Cisco qui repose sur l'utilisation de secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est bas sur l'change de dfi et rponse. EAP-TTLS (tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour changer des couples attribut valeur la manire de RADIUS11 servant lauthentification. Pratiquement nimporte quelle mthode dauthentification peut tre utilise. PEAP (Protected EAP): est une mthode trs semblable dans ses objectifs et voisine dans la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification supportes par EAP. EAP-TLS(Extensible Authentication Protocol-Transport Layer Security): Cest la plus sre. Le serveur et le client possdent chacun leur certificat qui va servir les authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit de dployer une

infrastructure de gestion de cls. Rappelons que TLS, la version normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement, authentification mutuelle, contrle dintgrit). Cest lui qui est utilis de faon sous-jacente par HTTPS, la version scurise de HTTP, pour scuriser le Web. Nous utiliserons donc la mthode EAP-TLS qui propose ce jour le plus de scurit. Avec la mthode EAP-TLS lauthentification du client d'accs peut se faire de diffrentes faons :

A laide dun certificat personnel associ la machine, lauthentification a lieu au dmarrage de la machine. A laide dun certificat personnel associ lutilisateur, lauthentification a lieu aprs lentre en session (" logon ") de lutilisateur.

Il est possible de combiner les deux prcdentes mthodes. La valeur de la cl de registre "HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMod e" permet de modifier ce comportement :

0 authentification de la machine au dmarrage, en cas dchec authentification de lutilisateur au logon 1 authentification de la machine au dmarrage, puis authentification de lutilisateur au logon 2 uniquement authentification de la machine

Nous utiliserons des certificats du type X509v3 Extended Key Usage dlivrs par le site Web de l'autorit de certification.

3. Prsentation de Radius
Le serveur Radius (Remote Authentication Dial-In User Service) a t initialement conu pour authentifier des connexions par modem (PPP). Dsormais Radius peut tre utilis pour centraliser l'authentification, l'autorisation et la gestion des comptes pour les connexions d'accs distance, VPN, Wi-Fi... Il est possible par exemple sous Windows 2003 Server de crer des stratgies d'accs pour autoriser des utilisateurs, des groupes d'utilisateurs, des ordinateurs ou tout autre ressource voulant se connecter au rseau. Le protocole Radius assure les changes entre un client Radius (borne d'accs Wi-Fi, authenticator) et le serveur d'authentification. Il s'agit d'un protocole UDP utilisant les ports 1812 pour l'authentification et 1813 pour la comptabilit.

Un environnement Radius est compos :

Dun serveur Radius qui centralise l'authentification, l'autorisation et la gestion des comptes Dun client Radius, c'est--dire un serveur daccs distant ou une borne daccs Wi-Fi (authenticator) qui reoit les demandes d'authentification RADIUS des clients et les retransmet au serveur Radius. Dun client daccs distance ou Wi-Fi (supplicant) quip de Windows XP, 2000 et certains autres systmes dexploitation non Microsoft.

Dans notre cas nous utiliserons une authentification de type EAP-TLS, le protocole Radius ne servira donc qu' transporter du TLS et dfinir quel utilisateur ou quel groupe aura accs au rseau.

Introduction 1. Prsentation de WPA 2. Prsentation de lauthentification EAP 3. Prsentation de Radius 4. Installation d'une autorit de certificat racine 5. Installation et configuration du serveur Radius

6. Configuration du point d'accs Wi-Fi 7. Configuration des clients d'accs Wi-Fi Conclusion

Nous avons donc tout fait au long de cet article pour mettre en place une infrastructure Wi-Fi la plus scurise possible tout en tant compatible avec les exigences des diffrentes technologies des fabricants. Vous disposez donc maintenant de la scurit la plus renforce pour un rseau sans-fil. Si vous craigniez encore le piratage, il ne vous reste plus qu mettre en place des dispositifs de brouillage, mais attention ne pas dtriorer du mme cot votre rseau. De plus cet architecture base sur un serveur Radius et une authentification de type EAP pourra galement vous servir pour mettre en place une politique daccs distant centralise et scurise .