Chargement en cours…

0 100
% %
PRÉSENTATION PROJET
DE FIN D’ÉTUDE
Sécuriser un réseau Wi-Fi
Présenté par
Houssem kâabi
Ahlem hammami
TS5 sécurité des réseaux

2009-2010
 n v a vo u s
s t c e qu’ o h u i ??
Qu ’ e jo ur d ’
te r a u
Présen
u s s era Notre plan pour la
t io nv o
Not re p r é se n ta
troi s p a r ties : présentation
é s ou s
Délivr
Cliquez sur l'icône
pour ajouter une image
 PLAN DE L’EXPOSÉ
1 Introduction

Problématique & objectifs

2

3 Application & Réalisation

prob app
 INTRODUCTION

1
Partie:
 PLAN
I) Définition

II) Catégories et normes

Wi-Fi

III) Avantages et
inconvénients
 INTRODUCTION
I) Définition

 Wi-Fi ou «Wireless-Fidelity» est le nom

commercial attribué à la norme 802.11 qui
caractérise les réseaux locaux sans fil (WLAN)

 En réalité, c’est une liaison utilisant des ondes

radioélectriques pour la communication
informatique entre deux terminaux.

7/44
 INTRODUCTION
 Apparu au milieu des années 90 aux USA.

 le Wi-Fi (Wireless-Fidelity), qui correspond à

l’ensemble des normes IEEE 802.11, est une
technologie sans fil permettant de se connecter en
réseau dans la bande de fréquences ISM à 2.4Ghz.

 En pratique le Wi-Fi permet de connecter des

ordinateurs entre eux et à l’internet et au réseau
local.
8/44
 INTRODUCTION
II) Les normes Wi-Fi
 Il n’existe pas UNE norme 802.11, mais
PLUSIEURS qui décrivent chacune un aspect
particulier du Wi-Fi:

Débits, Fréquences utilisées

Usages ( QOS, Roaming)
Sécurité

9/43
 INTRODUCTION
a. les normes de débit:
 802.11 a : débit 54Mbit/s à une fréquence de 5Ghz.
 802.11 b : débit 11Mbit/s à une fréquence de 2.4Ghz.
 802.11 g : débit 54Mbit/s à une fréquence de 2.4Ghz.
 802.11 n : technique MIMO plusieurs antennes.

10/44
 INTRODUCTION
b. Normes diverses :
 802.11c, 802.11d : Internationalisation
 802.11e : Amélioration de la qualité de service (QOS)
 802.11f : Itinérance (Roaming)
 802.11h : Normalisation Européenne (Hyperlan)
notamment en matière d’économie d’énergie
 802.11r : Utilisation de l’infra-rouge
 802.11j : Normalisation Japonaise

11/44
 INTRODUCTION
c. Normes de Sécurité :
 802.11i : Chiffrement des transmissions (WPA2)

d. Normes Associées :
 802.1X : Authentification de type Single One sur le
réseau

12/44
 INTRODUCTION
les Catégories Wi-Fi
En mode infrastructure, chaque station se connecte à
un point d'accès via une liaison sans fil.

13/44
 INTRODUCTION
En mode ad-hoc, les stations se connectent les unes
aux autres afin de constituer un réseau point à point.

14/44
 INTRODUCTION
III) Les avantages et les inconvénients:
Avantages:
 Favorise la mobilité
 Simplicité d’utilisation et une structure souple.
 Coût faible si on le compare au réseau filaire
 Évolutive selon les besoins des utilisateurs.
Inconvénients:
 Le signal peut être perturbé par des interférences
dû au matériel ou l’environnement
 Risque lié à l’insécurité de ce réseau.
15/44
fin
 e lque s n o t io ns Notre projet
u q u
s a v o ir v s a n s fil touche à la
Apr è local
r ése a u r le b u t de
Sur le s p r é sente o u v rir sécurité Wi-Fi
vo u à c
On va ojet qui vise
pr
Notre ité .
a sé c ur
S
Cliquez sur l'icône
pour ajouter une image
 PROBLÉMATIQUE
& OBJECTIFS
Partie:

2
 POURQUOI LE WI-FI ?
Pourquoi tous semblent trop attirés à ce type de
réseau ??
Wi-Fi = réseau sans fil = réseau mobile = réseau non
filaire = réseau haut débit = onde radio= non couteux =
pas d’infrastructure …
D’où on peut facilement remarquer la migration vers
l’utilisation du Wi-Fi ( dans les clubs; les restaurent ;les
domiciles et dans notre cas les sociétés et les entreprises
…= il faut être prudent comme tout réseau le Wi-Fi alors
doit aussi être sécuriser.

18/44
 ET NOTRE PROJET?

Notre projet porte sur la partie de sécurité pour le réseau

Wi-Fi qui va être installer à l’Office National des Postes .
Observons ces jours le haut niveau des piratages et
d’attaques ce ci nécessite un haut niveau de sécurité en
implémentant les mécanismes de sécurité nécessaires.

19/44
 OBJECTIFS

Défis: Notre objectif est d’implémenter les

mécanismes nécessaires pour sécuriser notre réseau
Wi-Fi :
Propositions: Du côté authentification : implémenter
un serveur d’authentification Freeradius Et de
l’autre côté : prendre d’autres mesures de sécurité
comme paramétrer le point d’accès.

20/44
 NOTRE SOLUTION
 Chiffrement:
B
 WEP

 Authentif  A  C  Paramét
ication:  Notre rage du
 serveur  Solution  Point
d’accès
 E  D
 Confidential  Protection
ité :WPA du réseau:
21/44
d’autre
fin
Partie:

3
RÉALISATION
PLAN
I) Attaques sur le Wifi
1.1 les attaques passives
1.2 les attaques actives

II) La solution Radius

1. Installation
2.Configuration
3.Test et scénario

III) Autres mesures de

sécurité
3.2 paramétrage du point
d’accès
3.3 autres règles de sécurité
 LES ATTAQUES
Les ordinateurs utilisant le réseau wifi sont souvent
cibles d’attaques visant soit à gagner un accès
illégitime aux données des utilisateurs soit à
contrôler le réseau. On peut classer ces attaques
en:
 Attaques passives.
 Attaques actives.

24/44
 LES ATTAQUES PASSIVES

L’attaquant espionne (sniffe) les

données échangées sans les
modifier.
Son but

Obtenir les informations pour mener une

action dangereuse (une attaque active par
exemple).
25/44
 LES ATTAQUES ACTIVES
 Attaques internes:
 Attaques externes:
 Attaques utilisant l’imitation.
 Attaques utilisant la modification.
 Attaques de fabrication.
 Déni de service (DoS).

26/44
 LA SOLUTION RADIUS
RADIUS: (Remote Access Dial In User Service) =
sécuriser un accès via un périphérique par lequel un
utilisateur souhaite accéder au réseau.

- L’utilisateur communique son

nom et son mot de passe.

- Le serveur Radius autorise ou

non l’accès au réseau.

- Le serveur Radius donne à la

machine cliente les
informations de configuration
TCP/IP nécessaires.

27/44
AUTHENTIFICATION
RADIUS
Client Point d’accès
authentication
supplicant authenticator
server
802.11 association
Access blocked
EAPOL-start

EAP-request/identity

EAP-response/identity RADIUS-access-request (EAP)

EAP-request RADIUS-access-challenge (EAP)

EAP-response RADIUS-access-request (EAP)

EAP-success RADIUS-access-accept (EAP)

EAPOW

Access allowed
28/44
 FREERADIUS
1.Installation :
Décompression du paquetage: freeradius.1.0.7.tar.gz
Compilation du paquetage: avec la commande tar et ./configure
Openssl: création des certificats (client, et serveur).
MySQL: on peut configurer une base pour les utilisateur cet outil est
optionnel comme on peut utiliser la base locale de freeradius (fichiers
users).
Installation des certificats des clients dans les postes à autoriser.
FreeRadius : une implémentation libre du protocole RADIUS (Remote
Authentication Dial In User Service).
OpenSSL : une implémentation libre du protocole SSL(Secure Socket
Layer)
Windows XP: (poste client)intègre 802.1x nativement.
Mysql : implémentation libre supporté par le serveur freeradius
29/44
 FREERADIUS
2.Configuration:
ce sont les fichiers qui se trouvent sous le freeradius:

30/44
 radiusd.conf
FREERADIUS
modules {
eap { clients.conf
md5 { }
} client 172.16.112.37 {
} secret = testing123
authorize {
shortname =
eap
} }
authenticate {
eap
}
users
test Auth-Type := EAP, User-Password == " azerty"
Reply-Message = « welcome to our network"

31/44
 FREERADIUS
3.Test
Après avoir fait des modifications concernant les fichiers
de configuration on doit tester le fonctionnement du
serveur utilisant la commande radtest utilisant le client
de test ‘usertest’.
#radtest usertest test 127.0.0.1 1812 testing123

On doit avoir la réponse suivante :

Sending Access-Request of id 130 to 127.0.0.1:1812
User-Name = "usertest"
User-Password = "test"
NAS-IP-Address = y013lx10
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=130,
32/44 length=46
Service-Type = Login-User
 FREERADIUS
Scénario:

Acces denied

Si oui Si non

BD Est-ce qu’il appartient

MySQL À la base ????
33/44
 FREERADIUS
 Utilisateur autorisé:  Utilisateur rejeté:
le serveur est en écoute

Ready to process requests

…
Sending Access-Request of id 130 to Sending Access-Request of id 130 to
127.0.0.1:1812 127.0.0.1:1812
User-Name = « user1" User-Name = « user3"
User-Password = "test" User-Password = "test"
NAS-IP-Address = 172.16.112.34 NAS-IP-Address = 172.16.112.34
NAS-Port = 1812 NAS-Port = 1812
rad_recv: Access-Accept packet from host rad_recv: Access-Reject packet from host
172.16.112.37:1812, id=130, 172.16.112.20:1812, id=130
length=46 length=46
Service-Type = eap-tls Service-Type = eap-tls
Reply-Message = " welcome to our network" Reply-Message = " welcome to our network"

34/44
 AUTRE MESURE DE SÉCURITÉ
 Paramétrage du point d’accès:
On va utiliser un routeur de type WAP-4000 qui
utilisant la norme IEEE 802.11g et intègre des
solutions de sécurité comme une authentification
802.1x avec laquelle coopère Radius avec:
 Chiffrement WEP 64/128 bits.
 Chiffrement WPA, notamment WAP2.
 Filtrage des adresses MAC.
 Masquage des SSID.

35/44
 PARAMÉTRAGE DU POINT
D’ACCÈS
On doit activer le filtrage par adresses MAC : en précisant une liste
d’adresses autorisées ou une liste d’adresses rejetées.

36/44
 PARAMÉTRAGE DU POINT
D’ACCÈS
Les paramètres de notre point d’accès nous offre la possibilité
De masquer le SSID.

37/44
 PARAMÉTRAGE DU POINT
D’ACCÈS
On peut activer un chiffrement pour les connexions en précisant un
Cryptage par une clé WEP.

38/44
 PARAMÉTRAGE DU POINT
D’ACCÈS
On peut encore configurer l’implémentation d’un serveur
d’authentification de type radius : qui va servir d’authentifier
les utilisateurs .

39/44
 AUTRES MESURES DE
SÉCURITÉ

Ces conditions de sécurité sont minimales :

 Changer le mot de passe administrateur

 Changer le nom du réseau (SSID) installé par

défaut.
 
 Régler la puissance d’émission du point d’accès.

 Vérifier qu’il n’existe pas d’autres réseaux au

même endroit (scan).
40/44
 AUTRES MESURES DE
SÉCURITÉ
 Sécurité 802.11 d’origine (WEP)
 Risque associé à la faiblesse de WEP.
 Utiliser un VPN

 Utiliser IPsec
 Pas d’authentification utilisateur, complexe.
 Utiliser 802.1x, EAP-TLS ou PEAP
 État de l’art actuel pour l’authentification.
 Utiliser 802.11i (WPA/WPA2)
 Étatde l’art actuel pour la confidentialité et
l’intégrité des données.
41/44
 CONCLUSION
Les apports de ce projets :
Connaissances théoriques sur la technologie 802.11.

Connaissances pratiques concernant le distribution

ubuntu.

Connaissances pratiques concernant l’implémentation

de freeradius.

Connaissances pratiques concernant le paramétrage

des points d’accès.

42/44
 PERSPECTIVES
Notre projet se repose sur l’usage des outils libres
Supporté par linux.

La combinaison des plusieurs outils permet d’offrir un niveau de

sécurité acceptable et qui peut être renforcer par une bonne
administration et gestion. Toute société peut bénéficier d’une
telle solution pour sécuriser leur réseau sans fil.

43/44
 MERCI POUR VOTRE
ATTENTION

44/44