Vous êtes sur la page 1sur 23

Scuriser un rseau Wifi avec Windows 2003 Server

Introduction :
La scurit Wifi est un sujet pineux auquel il convient de porter une attention particulire. Il est parfois ncessaire de rpondre cette problmatique par des "astuces stratgiques" plutt que par des lments bruts de scurit. En effet, le Wifi est la cible potentielle d'attaques qui sont simples raliser et parfois trs dommageable pour le systme d'information vis. Lors de la mise en place dun rseau Wifi (Wireless Fidlit), la scurit est un lment essentiel quil ne faut pas ngliger. Effectivement, avec lmergence de lespionnage informatique et lapparition du Wardriving qui est l'attaque favorite utilise par des pirates contre les rseaux Wifi, et bien videment, les moyens mettre en uvre pour s'en protger. Il est dsormais difficile davoir une confiance totale dans la scurit des rseaux Wifi, mme en utilisant le protocole scuris WEP (Wired Equivalent Privacy) et un filtrage au niveau des adresses Mac (Media Access Control Address). Nous vous proposons par consquent dtudier la mise en place dune infrastructure Wifi scuris WPA (Wifi Protected Access) 802.1X utilisant un serveur Radius et une authentification par certificat (EAP-TLS : Extensible Authentication Protocol-Transport Layer Security). est ce que les problmes que pose la scurit wep , peuvent disparaitre en adoptant une scurit wpa ?

1. Prsentation de WPA
Le WPA est un mcanisme pour scuriser les rseaux sans-fil de type Wifi. Il a t cr au dbut des annes 2000 en rponse aux nombreuses et svres faiblesses que des chercheurs ont trouves dans le mcanisme prcdent, le WEP. En attendant la nouvelle norme 802.11i en cours d'laboration, la Wifi Alliance et l'IEEE ont dcid de dfinir le protocole WPA afin de combler les lacunes du protocole WEP. Prcdemment les rseaux Wi-Fi disposaient de cls WEP fixes, dcides sur les points daccs. Mais l'utilisation des cls WEP a rvl deux faiblesses importantes: L'utilisation d'algorithmes cryptographiques peu dvelopps l'a rendu trs vulnrable. Il suffit de quelques heures un ventuel pirate pour casser les cls utilises. 1

Seconde faiblesse, l'impossibilit d'authentifier un ordinateur ou un utilisateur qui se connecterai au rseau. Afin de pallier au problme de cryptographie, WPA dfinit deux nouvelles mthodes de chiffrement et de contrle d'intgrit: TKIP (Temporal Key Integrity Protocol) : ce protocole a t conu afin de s'adapter au mieux au matriel existant. Il utilise RC4 comme algorithme de chiffrement , ajoute un contrle d'intgrit MIC et introduit un mcanisme de gestion des cls (cration de cls dynamiques un intervalle de temps prdfini) CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) : priori plus puissant que TKIP, il utilise AES comme algorithme de chiffrement. C'est la solution qui semble se distinguer long terme. Cependant ce protocole est totalement incompatible avec le matriel actuel. WPA utilise le protocole 802.1X . galement appel EAPOL (EAP Over Lan) il est utilis comme mthode de transport pour l'authentification EAP. C'est est une rponse au besoin d'authentifier les machines ou les utilisateurs connects sur un rseau local. Il permet donc de transfrer les paquets d'authentification vers divers lments d'un rseau mais offre aussi un mcanisme pour changer des cls qui vont tre utilises pour chiffrer les communications et en contrler l'intgrit. Le protocole 802.1X dfinit trois catgories d'acteur jouant chacun un rle diffrent. Le supplicant : il s'agit du poste de travail qui demande accder au rseau. L'authenticator : c'est le dispositif Wi-Fi (galement client Radius, voir chapitre suivant) fournissant la connexion au rseau. Il supporte deux tats, non autoris et autoris, mais il ne joue que le rle de relais dans l'authentification. Le serveur d'authentification : Il s'agit d'un serveur implmentant une solution Radius WPA est donc une solution complexe, cependant, un mode spcial de WPA (WPA-PSK : Pre Shared Key) existe galement afin de permettre aux particuliers de profiter de cette scurit sans disposer de serveur d'authentification. La configuration du WPA-PSK commence par la dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps prdfini.

2. Prsentation de lauthentification EAP


Le protocole EAP est une extension du protocole PPP, un protocole utilis pour les connexions internet distance permettant notamment l'identification des utilisateurs sur le rseau. Contrairement PPP, le protocole EAP permet d'utiliser diffrentes mthodes d'identification et son principe de fonctionnement rend trs souple l'utilisation de diffrents systmes d'authentification.

Il existe diffrentes mthodes d'authentification pour EAP (Extensible Authentication Protocol). Voici les diffrentes mthodes classes de la moins sre la plus sre : EAP-MD5: Cest la plus simple. Le client est authentifi par le serveur en utilisant un mcanisme de dfi rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte, compare les deux et en fonction du rsultat valide ou non lauthentification. Une coute du trafic peut dans le cas dun mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute. LEAP (Lightweight EAP): est une mthode propre Cisco qui repose sur l'utilisation de secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est bas sur l'change de dfi et rponse. EAP-TTLS (tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour changer des couples attribut valeur la manire de RADIUS11 servant lauthentification. Pratiquement nimporte quelle mthode dauthentification peut tre utilise. PEAP (Protected EAP): est une mthode trs semblable dans ses objectifs et voisine dans la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification supportes par EAP. EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Cest la plus sre. Le serveur et le client possdent chacun leur certificat qui va servir les authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit de dployer une infrastructure de gestion de cls. Rappelons que TLS, la version normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement, authentification mutuelle, contrle dintgrit). Cest lui qui est utilis de faon sousjacente par HTTPS, la version scurise de HTTP, pour scuriser le Web. Nous utiliserons donc la mthode EAP-TLS qui propose ce jour le plus de scurit. Avec la mthode EAP-TLS lauthentification du client d'accs peut se faire de diffrentes faons : A laide dun certificat personnel associ la machine, lauthentification a lieu au dmarrage de la machine. A laide dun certificat personnel associ lutilisateur, lauthentification a lieu aprs lentre en session (" logon ") de lutilisateur. Il est possible de combiner les deux prcdentes mthodes. La valeur de la cl de registre "HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode" permet de modifier ce comportement : 0 authentification de la machine au dmarrage, en cas dchec authentification de lutilisateur au logon 1 authentification de la machine au dmarrage, puis authentification de lutilisateur au logon 2 uniquement authentification de la machine 3

Nous utiliserons des certificats du type X509v3 Extended Key Usage dlivrs par le site Web de l'autorit de certification.

3. Prsentation de Radius
Le serveur Radius (Remote Authentication Dial-In User Service) a t initialement conu pour authentifier des connexions par modem (PPP). Dsormais Radius peut tre utilis pour centraliser l'authentification, l'autorisation et la gestion des comptes pour les connexions d'accs distance, VPN, Wi-Fi... Il est possible par exemple sous Windows 2003 Server de crer des stratgies d'accs pour autoriser des utilisateurs, des groupes d'utilisateurs, des ordinateurs ou tout autre ressource voulant se connecter au rseau. Le protocole Radius assure les changes entre un client Radius (borne d'accs Wi-Fi, authenticator) et le serveur d'authentification. Il s'agit d'un protocole UDP utilisant les ports 1812 pour l'authentification et 1813 pour la comptabilit. Un environnement Radius est compos : Dun serveur Radius qui centralise l'authentification, l'autorisation et la gestion des comptes Dun client Radius, c'est--dire un serveur daccs distant ou une borne daccs Wi-Fi (authenticator) qui reoit les demandes d'authentification RADIUS des clients et les retransmet au serveur Radius. Dun client daccs distance ou Wi-Fi (supplicant) quip de Windows XP, 2000 et certains autres systmes dexploitation non Microsoft. Dans notre cas nous utiliserons une authentification de type EAP-TLS, le protocole Radius ne servira donc qu' transporter du TLS et dfinir quel utilisateur ou quel groupe aura accs au rseau.

4. Installation dune autorit de certificat racine


Dans notre cas linstallation se fera sur un serveur contrleur de domaine Windows 2003 Server. Linstallation dune autorit de certificat racine ncessite tout dabord linstallation des services IIS (Internet Information Server). Installation des Services IIS 4

Linstallation des Services IIS peut seffectuer de deux manires : - 1 re possibilit : par loutil " Grer votre serveur " situer dans les outils dadministrations

Il va donc falloir ajouter un rle notre serveur On choisit alors Serveurs dapplication (IIS, ASP.NET)

Puis nous avons le choix dinstaller les extensions du serveur FrontPage et/ou la structure ASP.NET Dans notre cas nous utiliserons ASP.NET car lautorit de certificat ncessite cette technologie

Linstallation est alors termine.

- 2 me possibilit : par loutil " Ajout/Suppression de composants Windows " situ dans " Ajout/Suppression de programmes " du Panneau de configuration. Slectionner Serveur dapplications puis cocher Services IIS

Linstallation peut donc commencer aprs avoir valider notre choix Linstallation est maintenant termine. Nous allons donc pouvoir installer une Autorit de Certification Racine. Installation dune Autorit de Certification Racine Nous utilisons loutil " Ajout/Suppression de composants Windows " situ dans " Ajout/Suppression de programmes " du Panneau de configuration. Puis on slectionne Services de certificats

Un message derreur apparat alors

Le message stipule quaprs installation des Services de certificats lordinateur ne pourra ni changer de nom ni changer de domaine, les certificats mis par votre autorit risqueraient de ne plus tre valide. Nous validons par oui puis continuons linstallation. Il faut dsormais slectionner Autorit racine dentreprise car il sagit de la premire autorit installe

10

Linstallation continue, il faut alors choisir le nom de notre autorit. Dans notre cas nous choisirons : certificat-supinfo

11

Puis on slectionne lemplacement de la base de donnes et le journal de certificats.

Pour continuer linstallation les Services IIS doivent tre redmarrs, on valide donc par oui. Linstallation nous signale quASP doit tre activ pour permettre aux services de certificats de fournir un service dinscription par le Web. On valide donc par oui.

12

5. Installation et Configuration du serveur Radius


Nous allons utiliser loutil " Ajout/Suppression de composants Windows " situ dans " Ajout/Suppression de programmes " du Panneau de configuration. Nous slectionnons par la suite Services de mise en rseau, puis dans dtails il faut cocher Service dAuthentification Internet.

Puis linstallation continue. Aprs linstallation nous allons crer un utilisateur et un groupe dans Active Directory pour les utilisateurs du rseau Wi-fi, avant de passer la configuration du serveur Radius. Cration dun utilisateur et dun groupe dans Active Directory Allez dans le menu Dmarrer puis Outils dadministration et enfin slectionner Utilisateurs et ordinateurs Active Directory. Dans le dossier Users faites un click droit avec la souris puis nouveau utilisateur. On crer alors un utilisateur util1-wifi

13

On entre ensuite le mot de passe, ainsi que les options concernant le compte.

Puis faire un click droit sur lutilisateur util1-wifi puis aller dans proprits dans longlet Appel entrant. Puis dans Autorisation daccs distant (appel entrant ou VPN) cochez Autoriser laccs.

14

Nous pouvons maintenant crer un groupe dutilisateurs qui contiendra les utilisateurs autoriss accder au rseau Wi-Fi. Dans le dossier Users faire un click droit puis nouveau groupe que lon appellera groupe-wifi.

15

Faire un click droit sur le groupe groupe-wifi puis aller dans proprits. Dans longlet Membres slectionnez ajouter. On ajoute alors lutilisateur util1-wifi.

On valide par deux fois par ok, util1-wifi fait donc maintenant partie de groupe-wifi. On peut donc passer la configuration du serveur Radius. Configuration du serveur Radius Tout dabord allez dans le menu Dmarrer puis Outils dadministration et enfin slectionner Service dauthentification Internet. Dans le dossier Stratgie daccs distant fait un click droit puis nouvelle stratgie daccs distant. 16

Cochez utiliser cet assistant pour paramtrer une stratgie par dfaut pour un scnario commun. Puis entrez le nom de la nouvelle stratgie.

Validez par suivant puis cocher la mthode daccs sans fil.

17

On continue en validant par suivant puis on ajoute le groupe groupe-wifi la liste daccs.

Cliquer sur suivant puis slectionnez Carte puce ou autre certificat. Slectionner configurer pour vrifier quil sagit bien du serveur sur lequel vous venez dinstaller lautorit de certification racine. Dans notre cas, lmetteur est certificat-supinfo et le certificat est dlivr labomicrosoft.supinfo.com (nom DNS du serveur).

On fini linstallation en cliquant sur suivant et terminer. Nous allons maintenant vrifier les paramtres de la nouvelle stratgie. Faites un click droit sur la nouvelle stratgie Accs-Wifi puis proprits. 18

Vrifiez que loption accorder lautorisation daccs distant est bien coche.

Puis fermez la fentre en cliquant sur ok. Maintenant, dans le dossier Client Radius faites un click droit puis ajouter un client RADIUS. Puis entrez un nom convivial qui sera celui de votre point daccs Wi-Fi ainsi que son adresse IP. Dans notre article nous utiliserons un modem routeur ADSL NetgearDG834G faisant office de point daccs Wi-Fi.

19

Validez par suivant puis dfinir le secret partag entre le point daccs et le serveur Radius. Dans notre cas nous utiliserons un attribut du client Radius de type standard, mais si la marque de votre point daccs est mentionne il vaut mieux utiliser cet attribut.

Puis cliquez sur terminer.

20

Le point daccs apparat alors dans la liste des clients Radius.

6. Configuration du point daccs Wifi


Pour configurer un point daccs wifi on aura besoin dun modem routeur ADSL NetgearDG834G faisant office de point daccs Wifi, mais la majorit des points daccs des autres fournisseurs sont aussi compatibles. Ouvrez Internet Explorer article http://192.168.10.1 et saisissez ladresse votre point daccs, dans notre

Entrez votre login et votre mot de passe puis aller dans le menu paramtres sans fil. Premire scurit dsactiver la diffusion du nom SSID (Service Set Identifier) ce qui empchera que le nom de votre rseau ne soit visible aux yeux de tous. Puis cliquez sur le bouton configuration de la liste daccs. Deuxime scurit entrez la liste des adresses MAC que vous autoriserez accder au rseau.

21

Enfin choisissez loption de scurit WPA-802.1X Entrez ladresse IP de votre Serveur Radius. Entrez le port de communication (par dfaut 1812). Puis entrez la mme cl partage que celle que vous avez saisie sur le serveur Radius pour le point daccs.

Validez en cliquant sur appliquer. La configuration de la borne daccs est maintenant termine.

22

Validez en cliquant sur appliquer. La configuration de la borne daccs est maintenant termine.

23