LE RESEAU INFORMATIQUE SANS FIL WI-FI Présenté par: C3LD-SENEGAL Centre Linux et Logiciels Libres pour le Développement au Sénégal

PLAN Présentation Les Normes Les Modes de connexion La Sécurité Cas Pratique Conclusion C3LD-SENEGAL

PRESENTATION La norme IEEE 802.11 ratifiée en 1997 est un standard international décrivant les caractéristiques d'un réseau local sans fil (WLAN). Le Wi-Fi parfois noté à tort WiFi, correspond initialement au nom donné à la certification délivrée par la Wi-Fi Alliance, anciennement WECA, l'organisme chargé de maintenir l'interopérabilité entre les matériels répondant à la norme 802.11. C3LD-SENEGAL

Les technologies sans fil, de même que pour les liaisons filaires, se regroupent en catégories suivant la portée de ces liaisons. C3LD-SENEGAL

La norme 802.11 s'attache à définir les couches basses du modèle OSI C3LD-SENEGAL

LES NORMES La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbps. Des révisions ont été apportées à la norme originale afin d'optimiser le débit et d'assurer une meilleure sécurité ou une meilleure interopérabilité : les normes 802.11a, 802.11b et 802.11g C3LD-SENEGAL

Les différentes extensions IEEE 802.11. C3LD-SENEGAL

C3LD-SENEGAL

LES MODES DE CONNEXION Le standard 802.11 définit deux modes : mode infrastructure et mode ad-hoc. Mode Infrastructure: le réseau sans fil consiste au minimum en un point d’accès connecté à l’infrastructure du réseau filaire et un ensemble de postes réseaux sans fil Cette configuration est baptisée Basic Service Set (BSS, ou ensemble de services de base). Un Extended Service Set (ESS, ou ensemble de services étendu) est un ensemble d’au moins deux BSS formant un seul sous-réseau. C3LD-SENEGAL

C3LD-SENEGAL

► Mode Ad-hoc Egalement baptisé point à point, ou ensemble de services de base indépendants - soit IBSS, de l’anglais Indépendant Basic Service Set, représente simplement un ensemble de stations sans fil 802.11 qui communiquent directement entre elles sans point d’accès ni connexion à un réseau filaire. Cette infrastructure a comme avantage de se passer de point d'accès et surtout d'être flexible et dynamique. C3LD-SENEGAL

C3LD-SENEGAL

LA SECURITE Les Services de Base de la Sécurité Classiquement, la sécurité s’appuie sur cinq services de base : l’identification, l’authentification, la confidentialité, l’intégrité des données et la non répudiation. --- L’identification: l’utilisateur possède une identité qui détermine ses lettres de crédits et ses autorisations d’usage. C3LD-SENEGAL

----L’authentification: elle peut être simple ou mutuelle ----L’authentification: elle peut être simple ou mutuelle. Elle consiste essentiellement à comparer les données provenant de l’utilisateur qui se connecte à des informations stockées dans un site protégé. Les attaques sur les sites mémorisant les mots de passe représentent une part importante du piratage. C3LD-SENEGAL

--- La confidentialité: elle désigne la garantie que les données échangées ne sont compréhensibles que par les deux entités qui partagent un même secret. Cette propriété implique la mise en œuvre des algorithmes de chiffrement en mode flux, c’est-à-dire octet par octet, ou en mode bloc, par exemple par série de 8 octets. C3LD-SENEGAL

Il existe deux grandes familles d’algorithmes de chiffrement : C3LD-SENEGAL

C3LD-SENEGAL

Pour garantir l’intégrité: --- L’intégrité d’un objet (document, fichier, message …) est la garantie que cet objet n’a pas été modifié par une autre personne que son auteur. Pour garantir l’intégrité: une première possibilité consiste à chiffrer les données transportées dans un paquet. Une seconde possibilité est offerte par les techniques de signature. C3LD-SENEGAL

Le principe d’une fonction de hachage C3LD-SENEGAL

--- La non répudiation: le but est que l’émetteur d’un message ne puisse pas nier d’avoir envoyé et le récepteur d’avoir reçu. Cette fonctionnalité est surtout utilisée lors des transactions commerciales sur Internet. Le reçu que l’on signe au livreur, la lettre recommandée sont des mécanismes de non répudiation. Les certificats permettent d’assurer ce service. C3LD-SENEGAL

Les attaques dans un réseau sans fil Les attaques sont divisées en attaques passives et actives. --- Les attaques passives  Une attaque est dite passive lorsqu’un individu non autorisé obtient un accès à une ressource sans modifier son contenu (écoutes ou analyses de trafic ) --- Les attaques actives  Une attaque est dite active lorsqu’une personne non autorisée apporte des modifications aux messages et flux de données ou de fichiers. C3LD-SENEGAL

C3LD-SENEGAL

Mécanismes de Sécurité de 802.11 Les points d’accès utilisés dans les réseaux sans fil diffusent les données vers toutes les stations situées dans leur champ d’émission. De ce fait un utilisateur malintentionné peut s’introduire dans le périmètre d’un réseau et récupérer des informations lui permettant d’obtenir l’accès au réseau. Pour authentifier un client dans un réseau sans fil 802.11, plusieurs mécanismes de sécurité ont été définis. C3LD-SENEGAL

--- Le Protocole WEP: fondé sur l’algorithme de chiffrement symétrique par flot RC4, il a été créé dans le but de satisfaire le contrôle d’accès, la confidentialité, l’authentification et l’intégrité. --- Le SSID: Il s’agit d’un identificateur réseau qui, s’il est connu de l’utilisateur, permettra à ce dernier de se connecter au réseau. Cette protection est très faible car le SSID peut être intercepté facilement. C3LD-SENEGAL

--- Les Listes de Contrôle d’Accès : chaque carte réseau possède une adresse MAC qui est envoyée à chaque connexion au point d’accès. Ce dernier peut ainsi procéder à un filtrage sur la base d’une liste d’adresses MAC autorisées à se connecter sur la borne --- WPA, WPA2, AES, la dynamique des clés: En 2003, la Wi-Fi Alliance a introduit le WPA pour faire face à la faiblesse du WEP. En 2004, elle a introduit WPA2. C3LD-SENEGAL

Faisant partie de la norme IEEE 802 Faisant partie de la norme IEEE 802.11i, elles assurent une authentification mutuelle entre le client et le serveur d'authentification à travers le point d'accès. WPA utilise l'algorithme de cryptage TKIP avec vérification des messages MIC. WPA2 utilise quant à lui l'algorithme de cryptage CCMP appelé également AES qui nécessite, en raison de sa complexité, une mise à jour matérielle des points d'accès et des adaptateurs Wi-Fi clients C3LD-SENEGAL

Les méthodes d’authentification du EAP Le protocole EAP est destiné à encapsuler des protocoles d’authentification et les informations de contrôles relatives, il ne spécifie pas le type d'authentification à utiliser et en supporte une grande variété: EAP-MD5, LEAP, EAP-TLS, EAP-TTLS, PEAP MS-CHAPv2 C3LD-SENEGAL

-Authentification basée sur certificats L’avantage des certificats est une meilleure sécurité, mais leur gestion,est relativement complexe. -Authentification basée sur mot de passe Ce principe d’authentification retire le problème lié aux certificats. Par contre, cette méthode se trouve être moins sécurisée et sujette à un plus grand nombre d’attaques. C3LD-SENEGAL

LES CAS PRATIQUES C3LD-SENEGAL

installation des composantes du réseau : LA CONFIGURATION Les principes et les techniques de base pour installer un réseau sans fil. installation des composantes du réseau : -- insertion des cartes Wi-Fi dans les ordinateurs. -- la connexion des cartes, et l’installation du point d’accès. -- l’installation logicielle des pilotes.     C3LD-SENEGAL

Configurer le Point d’Accès: Les principaux paramètres: --- Adresse IP : une @ locale --- Masque de sous réseau --- Mode de Connexion: Ad hoc ou Infras. --- SSID: le nom du réseau sans fil --- PS Mode: Enabled ou Disabled ---Taux de transfert --- Canal --- WEP (cryptage): sécuriser les données C3LD-SENEGAL

Les équipements Wi-fi les plus répandus Le matériel: Les équipements Wi-fi les plus répandus sont répartis en deux familles: --- Wi-Fi b: débit de 11Mb. --- Wi-Fi g: débit de 56Mb. C3LD-SENEGAL

Exemples de Cartes Wi-Fi C3LD-SENEGAL

Exemple de Points d’accès C3LD-SENEGAL

Mise en Place de la Norme 802.1x avec la méthode EAP-TLS Initialement prévue pour les réseaux Ethernet, 802.1x permet la mise en place de procédures d’authentification grâce au protocole EAP. La norme 802.1x définit trois acteurs : – le client (le supplicant) – le contrôleur (le point d’accès dans le cas de Wi-Fi): authenticator – le serveur d’authentification (RADIUS est le standard de fait) C3LD-SENEGAL

Principe de fonctionnement de 802.1x C3LD-SENEGAL

Description de EAP-TLS L'EAP-TLS est basé sur des certificats utilisés pour crypter les échanges entre le client et le serveur freeRadius. Ces certificats sont des certificats signés par une autorité de certification prouvant leur validité. On peut utiliser des certificats générés par des autorités de confiance, mais on peut aussi choisir de générer soi-même ses certificats. C3LD-SENEGAL

Windows XP intégre 802.1x nativement Logiciels Utilisés ►FreeRadius : une implémentation libre du protocole RADIUS (Remote Authentication Dial In User Service). ► OpenSSL : une implémentation libre du protocole SSL(Secure Socket Layer) Windows XP intégre 802.1x nativement C3LD-SENEGAL

Il y a quatre fichiers principaux: Fichiers de configurations de Radius Il y a quatre fichiers principaux: radiusd.conf: fichier de configuration général de freeradius. clients.conf: fichier d'identification des clients (points d'accès) qui auront le droit d'interroger le serveur freeradius. eap.conf: fichier qui définit les EAP supportés par freeradius. users: base locale des utilisateurs C3LD-SENEGAL

► Création de l’autorité de certification Création des Certificats ► Création de l’autorité de certification ► Création de certificat pour le client ► Création de certificat pour le serveur C3LD-SENEGAL

Conclusion C3LD-SENEGAL

Merci de votre attention C3LD-SENEGAL