Réseau WIFI avec Contrôle Centralisé et Sécurisé

Présentation au sujet: "Réseau WIFI avec Contrôle Centralisé et Sécurisé"— Transcription de la présentation:

1 Réseau WIFI avec Contrôle Centralisé et Sécurisé
REHMAN Présenté par Sajid Rehman - Terry Stanislas - Johann Leblanc - Stéphane Marine - Jordan Dutaillis 12/07/2016

2 PLAN Introduction L’architecture centralisée Gestion de projet
Le client Problématique Objectif du projet L’architecture centralisée Equipements associés Mécanisme et Fonctionnement Gestion de projet Product Backlog Burndown Chart REHMAN PLAN

3 SCRUM MASTER DEVELOPPEURS Stephane L’équipe scrum

4 LE CLIENT Directeur : Ahmed BADER Société : AB conseil
Localisation : Trappes (78) Activité : formation continu LE CLIENT REHMAN

5 Limites des architectures autonomes
Gestion individuelle des AP Lourdeur d’implantation Pas de vue globale du réseau REHMAN Dans une architecture autonome les bornes d’accès sont en mode lourd/standalone, c’est à dire qu’au sein de leur système d’exploitation se trouve toute la configuration. Les trames utilisateurs sont commutées par la borne vers les bonnes destination.  il faut se connecter en console ou telnet/ssh/http à la borne pour lui configurer différents paramètres comme le SSID, le canal à utiliser, la puissance… Problème : l’architecture Wifi a évoluée et les clients ont des besoins de couverture sans-fil qui peuvent être très large. Dans cette architecture, si on désire ajouter de nouveaux AP il faut les configurer un par un (imaginons qu’on a 500 AP)! solution : architecture centralisée avec AP léger PROBLEMATIQUE

6 Mise en place d’un système de gestion du réseau WIFI :
Centralisé Sécurisé Solution logicielle et matérielle Protocole CAPWAP (RFC5415) REHMAN Centraliser : pour gérer toute les ap léger (léger car assure les fonctions de base du wifi) sur le controlleur, pouvoir les paramétrer toutes en même temps Gestion du chiffrement (définition des politiques de sécurité, authenticator EAP) Cela permet ègalement de superviser, de voir les flux Sécuriser toutes les ap en même temps OBJECTIFS DU PROJET

7 Architecture centralisée
Eléments constitutifs : Contrôleur Wifi Zyxel NXC 2500 Ap Zyxel NWA 5121-NI Switch CISCO 2960 Serveur d’administration AD Terry Equipement acheté par le client Architecture centralisée

8 Architecture centralisée
Terry !!!Changer l’IP du WLAN controller -> – 1.1 – 2.1 – 3.1 !!!Enlever le mot Radius laisser que « AD » !!!Connecter le serveur de supervision au switch. Mettre une icône internet et la connecter au controller. Architecture centralisée

9 Point d’accès léger Mode standalone ou managed Constructeur : Zyxel
Terry La borne sert seulement a prendre le trafic des clients Wi-Fi et le mettre dans le tunnel CAPWAP. Pourquoi on a choisit ça? Capwap, managed par le controller – BUDGET - Point d’accès léger

10 Contrôleur WIFI nxc 2500 Constructeur : Zyxel
Mode de configuration : ssh, console ou web configuration Terry Contrôleur WIFI nxc 2500

11 Contrôleur WIFI Configuration Web Terry
Le dashboard -. Il contient les informations des AP, Il permet de récup toutes les infos sur les ap manager. Les règles de sécurité. Les vlan actif Contrôleur WIFI

12 Fonctionnalités DES EQUIPEMENTS
Contrôleur Zyxel Dhcp Acl Vlan Radius Fonctionnalités DES EQUIPEMENTS

13 Fonctionnalités DES EQUIPEMENTS
Windows Serveur 2008 r2 AD DNS Jordan RADIUS, DHCP, CERTIFICATS RADIUS Interroge une base d’authentification et d’autorisation qui peut être un domaine active directory, une base LDAP qui se trouve sur le serveur lui-même se trouve sur le serveur Fonctionnalités DES EQUIPEMENTS

14 Switch CIsco Utilisation des ports 3, 5, 7 et 9
Ports Tagués en Vlan 10, 20 et 30 Jo Mot de passe complexe Tous les ports inutilisés sont désactiver. On active les ports au fur et a mesure qu’on ajoute des APs Ports connectés au contrôleur et à l’ap (7 et 9) Port 3 pour l’AD Port 5 pour la supp Switch CIsco

15 Mécanisme et fonctionnement

16 PRINCIPE DE L’AUTHENTIFICATION
Modèle : AAA (Authentication, Authorization, Accounting) Jordan Le radius est une fonctionalité, mtn on va s’interesser à comment ce serveur fonctionne Ajouter des trames d’authentifications radius Authentification basé sur un couple mot de passe logiin, et un certificat C’est le chef d’orchestre des connexion 802.1X PRINCIPE DE L’AUTHENTIFICATION

17 PROTOCOLE CAPWAP Protocole de couche 2 / Utilise UDP
Centralise les AP vers les WLAN avec un tunnel Permet d’avoir une seule connexion de couche 3 Jo CAPWAP : Configuration And Provisioning of Wireless Access Points 1-La borne trouve une adresse IP par DHCP, s'il n'a pas été déjà configuré. 2-La borne trouve tous les Contrôleurs disponibles. 3- La borne choisi le Contrôler pour s'associer entre ceux trouvés disponibles. D'abord, elle se connecte au contrôleur PRIMARY si disponible, sinon au SECONDARY, sinon au MASTER, sinon celui qui est le moins saturé. 4- La borne établit le tunnel CAPWAP et s'associe. Elle télécharge la dernière version du logiciel et la configuration sur le Contrôleur. 5 - La borne fonctionne. Le protocole CAPWAP permet d’utiliser n’importe que AP (compatible CAPWAP), avec n’importe quelle controleur, peu importe la marque. PROTOCOLE CAPWAP

18 SSID Staff  Vlan 10 Employé  Vlan 20 Guest  Vlan 30 Jo
Les utilisateurs se connecte grâce aux comptes AD créé sur le serveur AD windows server 2008 Staff = Pour lles admins, réseau caché pour éviter que n’importe qui se connecte dessus. Employé = Pour les employés d’une entreprise virtuelle Guest = Pour les visiteurs SSID

19 ACL SSID Staff - Vlan 10 - INTERNET SSID Employé - Vlan 20 -
Jordan Shéma de quel vlan peut aller ou SSID Guest - Vlan 30 - ACL

20 supervision Outil utilisé : Terry
!!!Refaire le shéma en fonction du slide 7 supervision

21 Gestion du projet Méthode SCRUM Outil utilisé : Target Process
Stephane, Maintenant je vais vous parler de la façon dont nous avons gérés notre projet. Donc Nous avons utilisé la méthode scrum Outil utilisé : Target Process Gestion du projet

22 Release 1/4 Stephane On a fait 5 releases. 15 jours à peu près par sprint. 2 sprint par release. On a pas compté les périodes entreprises.

23 Release 2/4 Stephane On a fait 5 releases. 15 jours à peu près par sprint. 2 sprint par release. On a pas compté les périodes entreprises.

24 Release 3/4 Stephane On a fait 5 releases. 15 jours à peu près par sprint. 2 sprint par release. On a pas compté les périodes entreprises.

25 Release 4/4 Stephane On a fait 5 releases. 15 jours à peu près par sprint. 2 sprint par release. On a pas compté les périodes entreprises.

26 Mêlée Quotidienne Stephane Quand on les a fait?
Comment on les a fait? Skype, médiathèque. Mêlée Quotidienne

27 Difficultés rencontrées
Changement de client et d’axe La livraison du matériel Manque de temps Abandon d’un membre de l’équipe Rehman Matériel reçu mi mai en période entreprise. Par rapport au manque de temps, on s’est retrouvé les samedis avec le matériels. On passait la journée dessus. Difficultés rencontrées

28 Stephane

29

30