Memoire Online - Authentification du réseau basé sur les certificats

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Sommaire

IV.2 Les adaptateurs de réseau client sans fil 20

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

II. CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI SOUS WINDOWS XP SP2.41

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

LISTE DES SIGLES ET ACRONYMES

Tableau 4: Configuration matérielle minimale du serveur d'authentification page24

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Figure 8: Concept de solution basé sur l'authentification EAP-TLS 802.1X .....Page27

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

DEDICAGES

Je rends Grâce à DIEU LE TOUT PUISSANT pour tous les bienfaits dont Il ne cesse de nous donner.

Comme le dit Amadou Hampathé Ba <<Tout ce que nous avons nous le devons une fois à notre père et deux fois à notre mère>>

Je dédie donc ce modeste travail à ma Mère, à mon Père, à mes frères et soeurs

Et aussi à tous mes parents qui m'ont inculqué des valeurs hautement salutaires telles que la rigueur et le sérieux dans le travail,

Mes frères et soeurs de l'association des élèves et étudiants de Sindian (AMERAS/ZIG) à qui je dis grand merci pou avoir porté leur choix sur ma modeste personne pour être le Président de leur Amicale depuis deux ans,

A tous mes camarades de promotion à qui je dis grand merci pour avoir porté leur choix sur ma modeste personne pour être le délégué de classe auprès de l'administration de l'Université depuis deux ans.

Que LE TOUT PUISSANT soutienne nos efforts, nous accorde une longue vie, exauce nos prières et nous accorde une excellente réussite.

Mes voisins, à mes amis : Cassien DIATTA, Yacinth DIATTA, Jean Philippe Coly Master II Géographie, surtout M. DIATTA qui m'a beaucoup aidé à la mise en forme de ce modeste travail.

Que LE TOUT PUISSANT soutienne vos efforts, vous accorde une longue vie, exauce vos prières et vous accorde une excellente réussite.

Votre Amour et votre compréhension m'ont été d'un grand soutien dans la réalisation de ce travail.

REMERCIEMENTS

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Tout d'abord nos remerciement vont à l'endroit de tous les professeurs et les enseignants de la filière informatique-appliquée qui nous ont inculqué une bonne formation ainsi que le savoir durant les trois ans qu'on a passées dans cette université.

Qu'ils trouvent ici l'expression de mes profonds sentiments, de remerciements et de reconnaissance.

Je remercie personnellement monsieur M. DIATTA Directeur des études d'EFI qui a accepté de m'accompagner tout au long de mes recherches afin que je puise aujourd'hui réaliser ce modeste travail.

Je le remercie pour tous les sacrifices qu'il a fait pour moi sans compter les soutient qu'il m'a accordés tout au long de mon travail.

Mes remerciements vont aussi en l'endroit de Mm Mendy professeur de Réseaux Locaux qui m'a donné un support sur lequel, je me suis appuyé pour la réalisation de ce mémoire et M. Poui Directeur D'EFI qui m'a permis de travailler dans son Bureau durant tout ce temps,

Je remercie à Mm Marie Ndiaye Etudiante en Master Réseaux et Télécommunications à SORBONE qui m'a mis en relation avec beaucoup d'autres étudiants qui m'ont donné toutes les informations nécessaires sur l'authentification des réseaux basés sur des certificats.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

INTRODUCTION:

Dans le cadre du programme de formation « Licence en information appliquée à la gestion des organisations, nous sommes appelés à écrire et à déposer un mémoire de fin de cycle en vue de mettre en application les connaissances acquises tout au long de la période de formation afin de permettre une intégration facile et rapide de nos diplômes en milieu professionnel et/ou de nous donner la chance de continuer nos études en master. Ainsi, le monde d'aujourd'hui pour bien communiquer et faciliter le développement, emprunte le chemin des TIC. Voilà pourquoi nous avons choisi de travailler sur l'authentification des réseaux sans fil basés sur les certificats pour voir l'impact de ces réseaux sur les populations après avoir identifié les différents processus pour en fin créer un réseau wifi.

Pour bien approfondir nos recherches, nous allons montrer l'hypothèse suivante :

Un fort accroissement des Wi-Fi induit un taux d'inflation élevé de l'économie du pays.

Ce présent document a pour but de présenter les différentes étapes que nous utiliserons et le détail des différents travaux que nous mènerons sur les recherches pour authentifier les réseaux sans fil. Il Comportera deux grandes parties à savoir la partie d'étude théorique et la partie d'étude pratique.

Ainsi le titre du mémoire est : Mise en place d'un réseau Wi-Fi avec authentification basée sur des certificats

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

CHAPITRE 1 : PARTIE ETUDE THEORIQUE

Sous les propositions de nos choix, nous avons été amenés à travailler sur le thème suivant : « L'authentification des réseaux sans fil Wi-Fi basés sur des certificats ». Les réseaux informatiques sont devenus depuis quelques années, des axes majeurs de communication. Aujourd'hui, les principaux développements de ces réseaux visent à favoriser la mobilité, pour répondre aux nouveaux besoins des personnes, des téléphones et ordinateurs portables, qui sont par essence mobiles et qu'on retrouve de plus en plus dans la société. Les réseaux sans-fil permettent à leurs utilisateurs de se connecter de n'importe où et d'accéder aux ressources de leurs réseaux pour tout ce qui sont à la portée de ceux-ci. Cependant, lorsqu'un réseau filaire existe déjà, une analyse des solutions existantes doit être menée afin que la sécurité, la performance et la qualité du réseau global soient de rigueur.

I. APERÇU DU RESEAU EXISTANT

L'école EFI de Ziguinchor est une école qui comprend trois bâtiments, seul deux Bâtiments sont câblés en filaire (Bâtiment A et Bâtiment B) à partir de 2 baies de brassage (Switch2, Switch3) interconnectés via une liaison câblée au répartiteur général. Les bureaux administratifs, sont liés au réseau à travers des connexions Wi-Fi. Leur Bibliothèque n'est pas encore reliée au réseau de l'établissement ce qui empêche une majorité des instituteurs de se connecter à internet. Pour les salles et les bureaux actuellement connectées au réseau local, aucune politique de contrôle d'accès n'a été mise en place. Le partage des données et des ressources matérielles s'effectuent via un groupe de travail. Un serveur Windows 2003 Server est installé et qui joue le rôle de passerelle (Serveur DHCP). L'adressage des postes est automatique.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

I.1 THEORIE (revue de la littérature).

A la question de savoir les raisons ayant favorisé le choix du projet, il nous a été répondu par plusieurs points. Ainsi dans le livre sécurité informatique et réseaux, Solange Ghernouti-Hélie dit : « Malgré le succès incontestable des technologies numérique, notre société, toujours tributaire des technologies, est devenue fragile. Elle court un risque majeur car notre environnement quotidien est déterminé par ces systèmes complexes qui peuvent subir des pannes ou être paralysés par des attaques. Comme ces systèmes sont interconnectés et dépendent les uns des autres, des effets domino sont à craindre, en anéantissant en cascades leur fonctionnement. L'attachement à ces ustensiles numériques, parfois même les phénomènes d'addiction à ces usages, à internet ou au téléphone portable, n'arrangent pas cette situation de soumission à ces infrastructures numériques. »

I.2 Pourquoi faire de l'authentification réseau ?

I.2.1 Qu'est-ce que l'authentification réseau ?

I.2.3 Authentifier quoi ? Des utilisateurs ou des machines ?

Une authentification par utilisateur implique que les autorisations sont accordées quelque soit la machine utilisée.

Une authentification par machine implique qu'une machine recevra les mêmes autorisations quelque soit l'utilisateur qui l'utilise.

Dans chaque cas il est possible de croiser les éléments d'authentification avec l'adresse MAC de la machine.

I.2.4 Eléments pour authentifier

I.2.5 Autoriser quoi ?

Dans un réseau plat (sans sous-réseau) on autorise tout le réseau obligatoirement. Dans un réseau segmenté on autorise la connexion sur un sous-réseau (Vlan).

II. Protocoles d'authentification

Protocoles propriétaires => Exemple: VMPS de Cisco Authentification sur adresse MAC uniquement

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Authentification sur adresse MAC, Login/password Certificats, cartes à puce ....

II.1 Protocoles d'authentification: Radius et 802.1x

802.1x met en oeuvre le protocole EAP pour les communications du client vers le serveur d'authentification. EAP (Extensible Authentification Protocol) est un protocole de transport de protocole d'authentification. L'intérêt de l'architecture d'EAP est de pouvoir utiliser divers mécanismes d'authentification sans que l'équipement réseau (NAS) ait besoin de les connaître. Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui

implémente les mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce II.1.1 Le protocole Radius: les types de paquets

Le protocole utilise 4 types de paquets suffisants pour assurer toutes les transactions:

Premier paquet envoyé par le client (NAS). Il contient l'identité de l'utilisateur qui se

Renvoyé par le serveur Radius pour accepter la requête du client après interrogation de sa base d'authentification. Ce paquet peut contenir une liste d'attributs correspondant aux services qui sont autorisés (par exemple le vlan).

Emis par le serveur radius pour spécifier au client que sa requête est rejetée.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

En principe ce paquet peut être émis à tout moment pour mettre fin à une connexion, mais certains équipement ne supporte pas.

Emis par le serveur Radius pour demander soit de réémettre un Access-Request, soit pour demander des informations complémentaires.

II.1.2 Protocoles d'authentification: EAP

- EAP/TLS : Authentification mutuelle entre le serveur et le client par certificat. - EAP/PEAP ou EAP/TTLS : Le client est authentifié par un login/mot de passe. Le serveur peut être authentifié par son certificat.

II.1.3 Protocoles d'authentification: Terminologie

III. CHOIX DE LA SOLUTION A DEPLOYER

Le déploiement d'un réseau sans fil Wi-Fi doit passer par une étude détaillée des solutions existantes pour être en accord avec les principes du déploiement qui seront évoqués.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

1. Choix de l'architecture et de la norme du réseau Sur ces points

1.1.1 Le mode de fonctionnement :

Le Wi-Fi peut fonctionner suivant 2 modes : ad hoc et infrastructure. En mode ad hoc, il n'y a pas d'infrastructure quelconque à mettre en place. Les échanges entre clients Wi-Fi s'effectuent lorsqu'ils sont à portée d'ondes radios.

Donc, il n'y a pas de sécurité possible dans un tel mode de fonctionnement. Cependant, en mode infrastructure, on se base sur une station spéciale appelée Point d'Accès (PA). Elle permet à une station Wi-Fi de se connecter à une autre station Wi-Fi via leur PA commun. Une station Wi-Fi associée à un autre PA peut aussi s'interconnecter. L'ensemble des stations à portée radio du PA forme un BSS (Basic Service Set). Chaque BBS est identifié par un BSSID (BSS Identifier) de 6 octets qui correspondent souvent à l'adresse MAC du PA.

Tout ceci permet de contrôler les connections au réseau afin d'y appliquer des politiques sécuritaires. Ainsi notre choix s'est porté sur le mode infrastructure.

1.1.2 La norme de Wi-Fi :

Les normes de Wi-Fi sont nombreuses et diverses. De toutes ces normes, les plus connues sont 802.11a, 802.11b et 802.11g, qui sont les principales du standard 802.11 ceci grâce à leur large intégration dans les matériels et logiciels.

La norme 802.11a permet d'obtenir un débit théorique de 54 MBps, soit cinq fois plus que le 802.11b, pour une portée d'environ une dizaine de mètres seulement. La norme 802.11a s'appuie sur un codage du type OFDM sur la bande de fréquence 5 GHz et utilise 8 canaux. Les équipements 802.11a ne sont pas compatibles avec les équipements 802.11b/g. Il existe toutefois des matériels intégrant des puces 802.11a et 802.11b, on parle alors de matériels «dual band».

Débit théorique (en intérieur)	Portée
54 Mbits/s	10 m
24 Mbits/s	30 m
12 Mbits/s	50 m

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

La norme 802.11b permet d'obtenir un débit théorique de 11 MBps, pour une portée d'environ une cinquantaine de mètres en intérieur et jusqu'à 200 mètres en extérieur (et même au-delà avec des antennes directionnelles).

Débit théorique	Portée (en intérieur)	Portée (à l'extérieur)
11 Mbits/s	50 m	200 m
5,5 Mbits/s	75 m	300 m
2 Mbits/s	100 m	400 m
1 Mbit/s	150 m	500 m

La norme 802.11g permet d'obtenir un débit théorique de 54 MBps pour des portées équivalentes à celles de la norme 802.11b. D'autre part, dans la mesure où la norme 802.11g utilise la bande de fréquence 2,4GHZ avec un codage OFDM, cette norme est compatible avec les matériels 802.11b, à l'exception de certains anciens matériels.

Débit théorique	Portée (en intérieur)	Portée (à l'extérieur)
54 Mbits/s	27 m	75 m
24 Mbit/s	42 m	140 m
12 Mbit/s	64 m	250 m
6 Mbit/s	90 m	400 m

Avec les normes 802.11b+ et 802.11g+, on atteint respectivement des débits théoriques de 22 Mbit/s et 108 Mbits/s.

En somme, nous disposons des équipements intégrants les normes 802.11b/g c'est ce qui nous donne des débits et des portées acceptables dans notre cas.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

1.1.3 Le nombre de point d'accès :

Actuellement on retrouve à l'EFI 1point d'accès situé au niveau de la direction du Directeur d'étude, et qui couvre les bureaux et les salles concernés. La bibliothèque située au Bâtiment B est l'espace qui concerne les instituteurs et qui nécessite l'ajout d'un deuxième point d'accès puisqu' il n'est pas couvert par les ondes Wi-Fi qui viennent du RDC.

Notre étude se fera donc pour un nombre de connecteurs compris entre 10 et 200. Avec 10 clients Wi-Fi et 1 point d'accès satisfaisant la norme 802.11g on obtient en théorie un débit de l'ordre de 10Mbits/s pour chacun. Si ce nombre de clients doit évoluer par exemple jusqu'à 30, on aura alors sensiblement 3Mbits/s pour chacun ce qui reste totalement acceptable.

1.1.4 Emplacement du point d'accès :

Nous savons qu'avec la norme 802.11g+, pour un débit théorique de 108Mbit/s on peut atteindre une trentaine de mètres en intérieur, or cette distance délimite parfaitement la zone à couvrir par le réseau qui ne dépasse pas les 20 mètres. Nous avons choisi d'installer le point d'accès à la surveillance générale qui est l'endroit qui est près du répartiteur général et où il est mieux protégé (loin de la portée des autres personnes).

La sécurité des réseaux sans fil est l'élément essentiel qui décourage plusieurs personnes de déployer cette technologie. En effet, les ondes radios ne pouvant pas être réservées dans un espace délimité, n'importe quelle personne se trouvant à portée de ces ondes peut s'y connecter et utiliser le réseau à des fins malfaisantes. Ainsi, il est essentiel de déployer de gros moyens pour sécuriser notre réseau sans fil Wi-Fi. Pour cela on a ainsi retenu les points suivants:

2.1.1 Modifier et Cacher le nom par défaut du réseau :

Un réseau Wi-Fi porte toujours un nom d'identification afin que les ordinateurs puissent le détecter et se connecter dessus. Ce nom s'appelle le SSID (Service Set IDentifier). Si on ne configure pas le point d'accès, le SSID est défini par défaut. Ainsi on le modifiera, afin de le reconnaître plus facilement par la suite.

Le SSID est une information importante pour se connecter au réseau sans fil. Le point d'accès diffuse continuellement cette information pour permettre aux ordinateurs de le détecter. Le SSID n'est pas une fonction de sécurisation mais permet de rendre "caché" son point d'accès à la vue de tout le monde.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Une fois le réseau configuré avec les ordinateurs, on activera la fonction "cacher le SSID", présente dans le point d'accès, afin de rendre ce dernier "invisible" au monde extérieur.

- Le cryptage WEP : est un protocole de sécurité pour les réseaux sans fil. WEP offre un niveau de sécurité de base mais satisfaisant pour la transmission de données sans fil.

- Le cryptage (WPA et WPA2) : est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi.

Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP, le WPA sécurise la transmission de données sans fil en utilisant une clé similaire à la clé WEP, mais sa force est que cette clé change dynamiquement. Il est donc plus difficile pour un pirate de la découvrir et d'accéder au réseau. On choisira donc WPA pour le chiffrement puisqu' il est compatible avec nos équipements existants. On aurait pu utiliser le WPA2 mais bien que son implémentation puisse engendrer des problèmes de compatibilité, on l'a évité.

2.1.2 Configurer manuellement les adresses IP :

La plupart des points d'accès actuels disposent du protocole DHCP (Dynamic Host Configuration Protocol). Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement sa configuration réseau (adresse IP, etc.). Pour ce projet, on désactivera le DHCP ceci évitera qu'un pirate trouve facilement les identifiants du réseau. Ainsi, il faudra s'adresser au service technique afin d'obtenir les éléments nécessaires à la configuration réseau.

L'administration du point d'accès se fait par l'intermédiaire de pages Web accessibles par n'importe quel ordinateur connecté par câble. Il suffit de saisir une adresse IP (fournie par le constructeur) dans le navigateur Web et le mot de passe par défaut (fourni par le constructeur) pour accéder à l'administration. A ce stade, toute personne pouvant accéder au réseau, peut faire les changements ou modifier d'autres paramètres du point d'accès. On changera donc le mot de passe par un nouveau. Ce mot de passe devra répondre au principe de mots de passe forts.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

2.2.2 Filtrer les équipements par adressage MAC :

Une adresse MAC (Media Access Control) permet d'identifier matériellement un ordinateur grâce à son adaptateur réseau.

Cette adresse est unique et définie par le fabriquant de l'adaptateur. Chaque point d'accès offre la possibilité d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son adresse MAC dans la liste autorisée ne sera pas autorisé à se connecter sur le réseau. Notons tout de même que le filtrage d'adresses MAC est contournable. En effet, une adresse Mac peut être émulée sous un environnement Linux. IL suffit de faire dans un terminal:

2.2.3 Choisir une clé de chiffrement hautement sécurisée

Pour remédier aux problèmes de confidentialité des échanges sur les réseaux sans fils, le standard 802.11 intègre un mécanisme simple de chiffrement des données, il s'agit du WEP (Wired Equivalent Privacy).

Le WEP est un protocole chargé du chiffrement des trames 802.11 utilisant l'algorithme symétrique RC4 (Rivest Cipher 4) avec des clés d'une longueur de 64 bits ou 128 bits. Le principe du WEP consiste à définir dans un premier temps une clé secrète de 40 ou 104 bits. Cette clé secrète doit être déclarée au niveau du point d'accès et des clients. La clé sert à créer un nombre pseudo aléatoire d'une longueur égale à la longueur de la trame. Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo aléatoire comme masque grâce à un OU Exclusif entre le nombre pseudo aléatoire et la trame.

La clé de session partagée par toutes les stations est statique, c'est-à-dire que pour déployer un grand nombre de stations Wi-Fi il est nécessaire de les configurer en utilisant la même clé de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

De plus, 24 bits de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits. Dans le cas de la clé de 40 bits, une attaque par force brute (c'est-à-dire en essayant toutes les possibilités de clés) peut très vite amener le pirate à trouver la clé de session.

De plus, une faille décelée par les chercheurs Fluhrer, Mantin et Shamir concernant la génération de la chaîne pseudo aléatoire rend possible la découverte de la clé de session en stockant 100 Mo à 1 Go de trafic créé intentionnellement. Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données.

Pour autant, il est vivement conseillé de mettre au moins en oeuvre une protection WEP 128 bits afin d'assurer un niveau de confidentialité acceptable.

Ces faiblesses du WEP ont conduit à l'apparition du WPA (Wi-Fi Protected Access) qui est une solution de sécurisation de réseau Wi-Fi proposée par la Wi-Fi Alliance. Le WPA est une version « allégée » du protocole 802.11i, reposant sur des protocoles d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity Protocol). Le protocole TKIP permet la génération aléatoire de clés et offre la possibilité de modifier la clé de chiffrement plusieurs fois par secondes, pour plus de sécurité.

Le fonctionnement de WPA repose sur la mise en oeuvre d'un serveur d'authentification permettant d'identifier les utilisateurs sur le réseau et de définir leurs droits d'accès.

Le 802.11i a été ratifié le 24 juin 2004, afin de fournir une solution de sécurisation poussée des réseaux Wi-Fi. Il s'appuie sur l'algorithme de chiffrement TKIP, comme le WPA, mais supporte également l'AES (Advanced Encryption Standard), beaucoup plus sûr. La Wi-Fi Alliance a ainsi créé une nouvelle certification, baptisée WPA2, pour les matériels supportant le standard 802.11i. Contrairement au WPA, le WPA2 permet de sécuriser aussi bien les réseaux sans fil en mode infrastructure que les réseaux en mode ad hoc.

On choisira donc WPA pour le chiffrement. On aurait pu utiliser le WPA2 mais bien qu'il soit déjà implémenté dans plusieurs systèmes d'exploitation, il n'en est pas encore le cas pour les composants matériels ce qui pourrait compromettre la compatibilité des équipements.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

2.2.4 Choisir une méthode d'authentification basée sur des certificats

L'EAP (Extensible Authentification Protocol) n'est pas un protocole d'authentification à proprement parler, mais un protocole de transport de protocoles d'authentification tels que TLS, MD5, PEAP, LEAP, etc.

En effet, avec cette méthode, les paquets du protocole d'authentification sont encapsulés dans les paquets EAP. Son but est l'authentification d'un utilisateur sur un réseau non ouvert, car dans un premier temps, dans ce type de réseau, seul les trafics EAP sont permis

(pour permettre l'authentification). Ce n'est qu'après authentification que le réseau est ouvert. Une méthode d'authentification EAP utilise différents éléments pour identifier un client tels que : le couple « login/mot de passe », les « certificats électroniques », les « cartes à puces (SIM) », etc.

En plus de l'authentification, EAP gère la distribution dynamique des clés de chiffrement (WEP ou WPA).

3. Les deux méthodes d'authentification :

EAP utilisant des certificats sont : PEAP (Protected EAP): le processus d'authentification de PEAP consiste à établir un tunnel sécurisé TLS entre le client et le serveur d'authentification, en authentifiant le serveur RADIUS à l'aide d'un certificat. Ensuite, il est possible de choisir entre la méthode MS-CHAPv2

(Microsoft Challenge Handshake Authenticator Protocol version 2) ou TLS pour authentifier l'utilisateur.

Quand la méthode PEAP est utilisée c'est souvent pour éviter d'utiliser les certificats client, il est donc logique que sur les deux méthodes proposées par PEAP, l'utilisation de Login/Password, via MS-CHAP, soit largement privilégiée.

EAP-TLS (EAP-Transport Layer Security): EAP-TLS est une méthode d'authentification mutuelle, ce qui signifie que le client et le serveur se prouvent respectivement leur identité. Lors de l'échange EAP-TLS, le client d'accès à distance envoie son certificat d'utilisateur et le serveur d'accès à distance envoie son certificat d'ordinateur. Si l'un quelconque des certificats n'est pas envoyé ou n'est pas valide, la connexion est interrompue. Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un protocole de transport sécurisé

Nous utiliserons donc la méthode EAP-TLS qui propose le plus de sécurité. Avec la méthode EAP-TLS l'authentification du client d'accès peut se faire de différentes façons :

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

- A l'aide d'un certificat personnel associé à la machine, l'authentification a lieu au démarrage de la machine.

- A l'aide d'un certificat personnel associé à l'utilisateur, l'authentification a lieu après l'entrée en session de l'utilisateur.

Nous avons opté pour la seconde méthode car elle augmente le niveau de sécurité.

IV- Composants matériels et logiciels

IV.1 Identification des composants matériels :

IV.2 Les adaptateurs de réseau client sans fil

Les cartes réseaux PCI installés ont les caractéristiques techniques suivantes :

- Compatible Linux, MAC OS et Windows XP/2000/98 SE/ME, certifié pour Windows Vista ;

- Standard 802.11g et compatibilité rétrograde avec les produits en 802.11b ;
- Taux de transfert des données sans fil pouvant atteindre 54 Mbps;

IV.3 Les points d'accès sans fil Wi-Fi

. Taux de transfert des données : connexion sans fil à 11 MBits/s (norme IEEE 802.11b),

54Mbits/s (norme IEEE 802.11g) et 108 Mbits/s avec les appareils compatibles Super G de la

.Port Ethernet sur RJ-45 compatible Q802.3af PoE. Compatible avec les équipements 802.11b

. Power Over Ethernet (PoE) intégré, Encryptage de données WEP 64/128/152 bits,

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

V. Présentation générale de Cisco Systems

Cisco Systems est aujourd'hui le premier fournisseur mondial de solutions réseau. Cisco fournit la gamme la plus étendue de solutions réseaux pour le transport des données, de la voix et de la vidéo. Linksys est une filiale de Cisco vendant du matériel à destination du grand public, Contrairement à Cisco qui n'est présent que sur le marché professionnel. Link Corporation est un constructeur taïwanais de matériel pour les réseaux sans fil et Ethernet, destiné aux particuliers et aux entreprises.

V.1.1 Le matériel et les aspects techniques

Chez Cisco, nous avons opté pour une borne de type Aironet 1100. Cette borne est un matériel professionnel, supportant les normes Wi-Fi 802.11a/b/g ainsi que les dernières technologies en matière de sécurité. Elle est de plus étudiée pour permettre la téléphonie et la voix sur IP (VoIP), et permet le passage rapide d'une borne à l'autre quand le client se déplace (roaming). Elle dispose en outre de plusieurs interfaces d'administration avancées. La borne Aironet 1100 est un matériel standard, compatible avec la presque totalité des réseaux. L'ajout d'un tel matériel dans certaines zones permet l'extension géographique du réseau à moindre coût. L'alimentation en électricité du point d'accès Cisco Aironet 1100 est sécurisée, par l'emploi de la technologie Power over Ethernet. Les bornes Cisco ont un module radio détachable qui favorise leur évolutivité. De plus, les ROM sont flashables pour changer le firmware aisément.

Quant à Linksys, le matériel étudié est une borne Linksys WRT54G. Il s'agit de bornes supportant la norme Wi-Fi 802.11g et intégrant un Switch Ethernet 4 ports.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Ce modèle a été conçu dans l'optique de partager une connexion haut débit entre plusieurs systèmes, en Ethernet filaire ou en Wi-Fi. En particulier, l'interface d'administration web proposée est inutilisable pour gérer un grand parc de bornes. Ces bornes ont encore d'autres défauts.

D'abord, elles ne supportent pas la technologie Power over Ethernet, et doivent donc être alimentées par un transformateur extérieur branché sur une prise. Ensuite, elles ont une faible puissance d'émission (environ 30mW contre 100mW pour les solutions professionnelles), et les antennes fournies avec les bornes sont de qualité médiocre. Ces antennes peuvent être remplacées par du matériel offrant de meilleures performances, mais ce changement s'avère là onéreux. Une telle solution mise en place, représente un surcoût supplémentaire.

Avec D-Link, notre choix s'est porté sur le DWL-2100AP. Le DWL-2100AP est un point d'accès conforme 802.11g+ destiné à être utilisé en intérieur pour une portée maximale de 30m.

Il offre des vitesses réseau sans fil pouvant atteindre 108 Mbps (en mode Turbo), tout en assurant l'interopérabilité transparente avec le sans fil 802.11b existant. Avec ses taux de transfert de données élevés, sa sécurité accrue par l'encryptage WEP, WPA et WPA2 et sa fonction de passerelle intégrée, ce point d'accès est la solution sans fil idéale permettant d'adopter une nouvelle technologie ultra-rapide tout en protégeant les investissements passés grâce à l'interopérabilité avec l'équipement réseau actuel.

Ces bornes ne supportent pas la technologie Power over Ethernet, mais les antennes fournies sont assez puissantes car on atteint avec elles sensiblement 80mW.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Figure 6 : Point d'accès D-Link DWL-2100AP V.1.2 Les coûts

En ce qui concerne les coûts, nous nous sommes rendus dans Google Cisco et là on a recensé les prix suivants:

Cisco Aironet 1100: 400 000 FCFA l'unité ; Linksys WRT54G : 120 000 FCFA l'unité ; D-Link DWL-2100AP: 50 000 FCFA l'unité.

V.1.3 Bilans

Cisco est un constructeur de matériel réseau de qualité. Cependant, son offre commerciale et technique semble inadaptée au déploiement du réseau sans-fil à EFI. La solution tout-en-un est intéressante lors de l'installation d'un réseau complet, filaire et sans-fil. Mais le prix de l'investissement va à l'encontre des besoins d'EFI qui ne souhaite pas mettre en place un réseau métropolitain, complexe et nouveau.

Quant à Linksys, la nécessité de remplacer les antennes augmente considérablement le coût de la solution. Si elle reste moins chère, la différence avec Cisco est relativement faible ; et malgré l'intéressante perspective d'un firmware open-source, cela ne suffit pas à compenser la perte de qualité au niveau des services, notamment le roaming. Toutefois, dans le classement des solutions envisageables on placerait Linksys en deuxième position.

Enfin, c'est la solution proposée par D-Link qui est celle qui nous a le plus convaincus, et que nous avons fini par choisir. En effet, elle correspond au mieux à nos besoins, et le matériel est d'une excellente qualité technique, tout en restant d'un coût abordable. Le matériel est standard et professionnel malgré son incompatibilité au POE.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

En prenant le D-Link DWL-2100AP, on a la possibilité d'obtenir un débit pratique d'environ 90Mbits/s (108Mbits/s en théorique) ce qui donne pas moins de 3Mbits/s pour chaque clients si on suppose 30 postes clients. L'adaptateur de client sans fil Wi-Fi que nous avons choisi répond aux principes que nous sommes fixés. Ainsi, nous pensons avoir effectué le choix adéquat et passons à la mise en oeuvre de notre solution.

V.1.4 Le serveur.

Ressource	Configuration minimale
Processeur	Pentium III 850 mégahertz (MHz)
Mémoire vive	512 Mo (méga-octets)
Carte réseau	Deux cartes réseau
Disque dur	Un disque dur de 10 Go

Tableau 4 : Configuration matérielle minimale du serveur d'authentification

Comme évoqué dans les postulats, nous ne devons remettre en cause le matériel existant. Le serveur en cours d'utilisation dans l'entreprise répond totalement à ces exigences.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

VI. ESTIMATION DU COÛT DE DÉPLOIEMENT D'après ce qui précède on évalue la solution envisagée à :

Nombre	Désignation	Marque/modèle	PU	Coût
01	Point d'accès	D-Link DWL-2100AP	50 000	50 000
01	Boîtier métallique	/	10 000	10 000
10	Clé USB sans fil 802.11g 54 MBps	D-Link DWA-110	12 000	120 000
Coût total				180 000

Nous l'avons choisi car il inclut la gestion des certificats, il dispose d'un serveur RADIUS intégré sous le nom d'IAS (Internet Authentification Service) pouvant gérer un nombre infini de clients RADIUS; les couples login/mot de passe pourront être gérés avec l'annuaire Active Directory.

L'autre solution aurait été d'utiliser une distribution Linux, avec ce choix, on aurait utilisé Free-Radius pour l'authentification. Mais puisque les établissements universitaires ayants des conventions avec la société Microsoft et ayant des licences d'utilisation des ses produits, nous avons retenu la solution proposé par Windows 2003 Server et qui est installé dans le serveur de l'établissement mais sans profiter de plusieurs fonctions de ce système d'exploitation.

En définitive, la solution retenue aura pour topologie physique le schéma suivant: Schéma du réseau définitif :

Comme on peut le remarquer, la mise en place du réseau sans fil serveur RADIUS ne va

Tous les ordinateurs de bureau et connectés grâce au Wi-Fi récents incluent déjà l'adaptateur

sans fil n`échappent pas à la règle réseau client sans fil compatible 802.1x.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Le diagramme ci-dessous illustre la conception de la solution choisie (Authentification EAP-TLS 802.1X).

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Le client sans fil. Il s'agit d'un ordinateur ou d'un périphérique exécutant une application qui doit accéder à des ressources du réseau. Ce client est capable non seulement de crypter son trafic réseau, mais aussi de stocker et d'échanger des informations d'identité (clés ou mots de passe).

Le point d'accès sans fil. Dans la terminologie réseau, on parle également de service d'accès au réseau. Ce point d'accès sans fil gère l'accès au réseau et crypte le trafic sans fil. Il permet d'échanger en toute sécurité des clés de cryptage avec le client, afin de sécuriser le trafic du réseau. Enfin, il peut interroger un service d'authentification et d'autorisation pour autoriser ou refuser l'accès au réseau.

Le service NAAS (Network Authentication and Authorization Service). Ce service stocke et vérifie l'identité des utilisateurs habilités, et gère les accès conformément à la stratégie de contrôle d'accès définie. Il peut également collecter des informations de comptabilité et d'audit sur l'accès du client au réseau.

Remarque : NAAS n'est pas un acronyme officiel, il n'est utilisé dans ce document que pour des

raisons de commodité.

Le réseau interne. Il s'agit d'une zone sécurisée de services réseau, à laquelle l'application cliente sans fil doit avoir accès.

Les numéros indiqués sur le diagramme illustrent le processus d'accès au réseau que les étapes suivantes décrivent plus en détail :

1.	Le client sans fil doit, à un moment donné, être authentifié par une autorité centrale pour se connecter au réseau sans fil.	2.
Lorsque le client demande à accéder au réseau, il transmet ses informations d'identité (ou, plus précisément, la preuve qu'il détient ces informations d'identité) au point d'accès sans fil qui, à son tour, les renvoie au NAAS pour demander l'autorisation.	3.
Le NAAS vérifie les informations d'identité, consulte sa stratégie d'accès et autorise ou refuse l'accès au client.	4.
S'il est reconnu, le client est autorisé à accéder au réseau et échange les clés de cryptage avec le point d'accès sans fil. En fait, les clés sont générées par le service NAAS et transmises au point d'accès

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

	sans fil via un canal sécurisé. Si le client n'est pas reconnu par le service NAAS, il n'est pas autorisé à accéder au réseau et la communication s'interrompt.
5.	Grâce aux clés de cryptage, le client et le point d'accès sans fil établissent une connexion sans fil sécurisée, ce qui permet au client et au réseau interne de communiquer.	6.
Le client commence à communiquer avec des périphériques du réseau interne.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

CHAPITRE 2 : PARTIE ETUDE PRATIQUE

I. Mise en place de la solution retenue

Remarques : Nous n'avons pas mentionné les systèmes d'exploitation car ils sont déjà disponibles. Quant à l'analyseur de réseau sans fil, nous n'en n'avons pas fait mention car il nous a été conseillé d'utiliser une version d'évaluation. De plus, le choix d'une solution avec 10 clés USB sans fil est dû au fait que nous supposons que tous les Lap-tops disposent de nos jours intégré un adaptateur Wi-Fi. Ainsi avec 10 PC et une dizaine de Lap-tops on reste dans les prévisions. Seulement ça ne poserait aucun problème si ce nombre venait à augmenter car le point d'accès choisi a une capacité de satisfaction pour une trentaine de postes. Toutefois il faudra évidement prévoir des adaptateurs pour les nouveaux clients n'en disposant pas.

Le point d'accès est livré avec son câble Ethernet et son kit d'alimentation. Si le câble offert à l'achat venait à être insuffisant, on trouvera bien sur place avec quoi l'augmenter. Quant à l'alimentation du point d'accès, il y'a une prise murale juste à coté de l'emplacement que nous avons choisi pour l'installer. Ainsi on n'aura pas besoin d'évaluer le coût du câblage électrique. Sur ce, nous pensons qu'une fois le matériel acquis, nous pourrons nous lancer à la réalisation effective des travaux d'installation de notre réseau sans fil Wi-Fi.

Notre réseau va conserver le même plan d'adressage de l'établissement afin d'éviter la

Par conséquent, notre réseau sans fil s'intégrera facilement dans le réseau filaire existant et le passage du filaire au sans fil se fera de manière transparente pour les utilisateurs.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Au préalable le serveur de noms devra être installé. En effet il n'y a pas d'autorité de certification sans DNS (Domain Name System).

L'installation d'une autorité de certificat racine nécessite tout d'abord l'installation des services IIS (Internet Information Server).

Après ajouter un rôle à notre serveur, on choisit Serveurs d'application (IIS, ASP.NET).

Puis nous avons le choix d'installer les extensions du serveur FrontPage et/ou la structure ASP.NET. Dans notre cas nous utiliserons ASP.NET car l'autorité de certificat poursuivre jusqu'à la fin. Ensuite, nous allons pouvoir installer une Autorité de Certification Racine.

2ème Possibilité : par l'outil " Ajout/Suppression de composants Windows " situé dans " Ajout/Suppression de programmes " du Panneau de configuration. Sélectionner Serveur d'applications puis cocher Services IIS.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

L'installation va se poursuivre sans difficulté. Ensuite, nous allons pouvoir installer une Autorité de Certification Racine.

Nous utilisons l'outil " Ajout/Suppression de composants Windows " situé dans " Ajout/Suppression de programmes " du Panneau de configuration.

Un message d'erreur apparaît et stipule qu'après installation des Services de certificats l'ordinateur ne devra ni changer de nom ni changer de domaine car les certificats risqueraient de ne plus être valides. Nous validons par oui puis continuons l'installation.

Ensuite, on sélectionne le type d'autorité de certification. Nous choisissons Autorité racine d'entreprise autorité installée. Car il s'agit de la première installation.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

L'installation continue, il faut alors choisir le nom de notre autorité. Dans notre cas nous choisissons :

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Une alerte signale que pour continuer l'installation, les Services IIS doivent être temporairement arrêtés.

L'installation nous signale qu'ASP doit être activé pour permettre aux services de certificats valide par oui et l'installation des Services de certificat se poursuit s'achève sans problème.

Nous utilisons l'outil " Ajout/Suppression de composants situé dans " Ajout/Suppression de programmes " du Panneau de configuration. Nous sélectionnons par la suite détails il faut cocher Service d'Authentification Internet.

Une alerte signale que pour continuer l'installation, les Services IIS temporairement arrêtés . On valide donc par oui.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

L'installation nous signale qu'ASP doit être activé pour permettre aux serveurs de fournir un service d'inscription par le Web. On valide par oui et l'installation des Services de certificat se poursuit et nous utilisons l'outil " Ajout/Suppression de composants

Services de mise en réseau. Après l'installation, nous allons créer des comptes utilisateurs et un groupe dans Active Directory pour les utilisateurs du réseau Wi-Fi et un mot de passer à la configuration du serveur Radius.

Allez dans le menu Démarrer puis Outils d'administration et enfin sélectionner Utilisateurs et ordinateurs Active Directory. Dans le dossier Users on fait un click droit avec la souris puis Nouvel utilisateur. On crée alors un utilisateur util1-wifi, On entre ensuite le mot de passe, ainsi que les options concernant le compte.

Puis on fait un click droit sur l'utilisateur utilisateur dans l'onglet Appel entrant, Puis dans Autorisation d'accès distant appel entrant ou VPN, on coche Autoriser l'accès.

Nous pouvons maintenant créer un groupe d'utilisateurs qui contiendra les utilisateurs autorisés à accéder au réseau Wi-Fi.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Dans le dossier Users, on fait un click droit puis Nouveau groupe que l'on appellera groupe-wifi.

On va faire un click droit sur le groupe groupe-wifi puis aller dans propriétés. Dans l'onglet Membres, on sélectionne ajouter. On ajoute alors l'utilisateur util1-wifi.

L'utilisateur util1-wifi fait donc maintenant partie de groupe-wifi. On répétera la procédure autant de fois pour créer d'autres utilisateurs. Maintenant on peut donc passer à la configuration du serveur Radius.

Tout d'abord on va dans le menu Démarrer puis Outils d'administration et enfin on sélectionne Service d'authentification Internet. Dans le dossier Stratégie d'accès distant, on fait un click droit puis Nouvelle stratégie d'accès distant. On coche Utiliser cet assistant pour paramétrer une stratégie par défaut pour un scénario commun. Puis on va entrer le nom de la nouvelle stratégie.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

On continue en validant par suivant et on ajoute le groupe groupe-wifi à la liste d'accès.

On clique sur Suivant puis on sélectionne Carte à puce ou autre certificat.

On sélectionne configurer pour vérifier qu'il s'agit bien du serveur sur lequel on vient d'installer l'autorité de certification racine.

Dans notre cas, l'émetteur est certificat-cawad et le certificat est délivré à cawad.com (nom DNS du serveur).

Nous allons maintenant vérifier les paramètres de la nouvelle stratégie. On fait un click droit sur la nouvelle stratégie Accès-Wifi puis propriétés. On vérifie que l'option Accorder l'autorisation d'accès distant est bien cochée.

Maintenant, dans le dossier Client Radius on fait un click droit puis ajouter un client RADIUS. Puis on entre un nom convivial qui sera celui de notre point d'accès Wi-Fi ainsi que son adresse IP.

On choisi le nom ca-wifi et le mot de passe : ******** et on valide par suivant puis on va définir le secret partagé entre le point d'accès et le serveur Radius. Dans notre cas nous utiliserons la marque de notre point d'accès.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

On ouvre Internet Explorer sur une machine connectée sur un autre port du commutateur (dans ce cas c'est notre serveur) et on saisit l'adresse par défaut du point d'accès http://192.168.1.5, la connexion s'affiche. Alors, on entre notre login et notre mot de passe (ce login et ce mot de passe sont fournis avec l'équipement) puis on va dans le menu paramètres sans fil.

Première opération de sécurité : on désactive la diffusion du nom SSID.

Deuxième opération de sécurité : on change le mot de passe par défaut de l'AP et on en prend un qui soit compliqué.

Troisième opération de sécurité : on active le contrôle d'accès et on va à la section liste d'accès. Là, on entre les adresses MAC des clients autorisés à accéder au réseau Wi-Fi.

Enfin on choisit l'option de sécurité WPA-802.1X. On entre l'adresse IP de notre Serveur Radius et le port de communication (par défaut 1812 pour l'authentification et 1813 pour l'accounting). Puis on entre la clé partagée qu'on a saisie sur le serveur Radius.

La configuration du point d'accès est terminée, nous allons pouvoir passer à la configuration des clients d'accès Wi-Fi.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Enfin on choisit l'option de sécurité WPA-802.1X. On entre l'adresse IP de notre Serveur Radius et le port de communication (par défaut 1812 pour l'authentification et 1813 pour l'accounting). Puis on entre la clé partagée qu'on a saisie sur le serveur Radius.

La configuration de la borne d'accès terminée, nous allons pouvoir passer à la configuration des clients d'accès Wi-Fi.

II. CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI SOUS WINDOWS XP SP2

A. Installation du certificat auto signé du serveur d'authentification et du certificat d'un utilisateur

Nous allons devoir récupérer un certificat émis par l'autorité de certification.

Tout d'abord on ouvre une session sous le nom de l'utilisateur qui recevra le certificat sur cette machine. Puis dans un navigateur, on se connecte sur le serveur de l'autorité de certification : http:// "nom du serveur "/certsrv. Dans notre cas http://cawad.com/certsrv.

On entre le login et le mot de passe de l'utilisateur «util1-wifi» par exemple dans la fenêtre de connexion qui surgit.

A la page d'accueil, on clique sur Télécharger un certificat d'autorité de certification, une chaine de certificats ou une liste de révocation de certificats puis sur Installer cette chaîne de certificats d'autorité de certification.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Puis on retourne à la page d'accueil et on va maintenant suivre le lien demander un certificat, puis le lien certificat utilisateur et enfin on clique sur le bouton envoyer.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

On clique sur installer ce certificat. Puis, sur oui on valide qu'on fait confiance à ce site et le certificat est installé.

Pour vérifier l'effectivité de ces paramètres, dans Internet Explorer on va dans le menu déroulant Outils puis Options Internet puis dans l'onglet contenu, enfin on clique sur certificats. On vérifie que le certificat pour l'utilisateur util1-wifi est bien présent.

On vérifie également que le serveur de certificat est bien présent dans la liste des autorités principales de confiance.

L'installation du certificat est maintenant terminée. Nous allons pouvoir passer à la configuration de la connexion réseau sans-fil.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

B. Configuration de la connexion réseau sans-fil

On fait un click droit sur Connexion réseaux sans-fil puis on entre dans les propriétés. Dans l'onglet Configuration réseaux sans-fil on clique sur ajouter. On entre le nom de notre réseau et on choisit la méthode d'authentification de type WPA et un cryptage de type TKIP.

Dans l'onglet authentification on sélectionne Activer l'authentification IEEE 802.1X pour ce réseau et on clique sur propriétés du type EAP.

On décoche l'option connexion à ces serveurs. Puis on sélectionne notre serveur de certificat dans la liste des autorités de certification racine de confiance.

La connexion est configurée et opérationnelle sur cette machine, on peut donc désormais se connecter au réseau sans-fil dessus. On va répéter la procédure pour toutes les autres machines clientes tournant sous Windows XP.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

III. OBSERVATIONS ET TESTS

Comme vous l'avez sûrement remarqué, la connexion au réseau Wi-Fi de EFI s'effectue lors d'une ouverture de session sur le domaine cawad.com. Ainsi, lorsqu'un utilisateur souhaite accéder au réseau, il devra ouvrir une session sur le réseau avec son compte du domaine qui lui aura été fourni préalablement par l'administrateur du réseau. Si tout a été convenablement configuré sur la machine utilisée, la connexion au réseau se fera de manière transparente. Si la connexion ne fonctionne pas, il faudra s'adresser au service technique. Ainsi, toutes les machines nécessitant se connecter au réseau devront automatiquement passer par le service technique pour être configurées et les utilisateurs aussi afin d'obtenir les informations sur leurs comptes d'accès.

Par défaut, l'adaptateur sans fil Wi-Fi du poste client gère les déconnexions après un certain temps d'inactivité. Bien plus la fermeture de session ou l'extinction du poste client réalise la déconnexion du réseau. Nous pensons que ceci permettra de renforcer la sécurité de notre réseau sans fil Wi-Fi.

Pour les machines disposant en plus de l'adaptateur Wi-Fi une carte Ethernet, la configuration IP de cette dernière devra être similaire avec celle de l'adaptateur Wi-Fi afin que le passage du sans fil au filaire se fasse de manière transparente.

Et notons ici que la connexion au réseau se fera tout naturellement au démarrage de la machine sans passer par une authentification préalable.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

Nous allons maintenant tester si les machines arrivent à communiquer entre elles. La commande utilisée est PING (Packet Internet Groper), elle sert à vérifier la connectivité IP à un autre ordinateur en envoyant des messages Requête d'écho ICMP (Internet Control Message Protocol). Si tout est bien configuré on reçoit des réponses positives signifiant que les deux machines arrivent à communiquer entre elles. On réalise ce test sur chaque ordinateur du réseau Wi-Fi.

Maintenant que le réseau sans fil Wi-Fi a été installé, nous pensons à l'avenir afin de savoir ce que nous réserve le temps.

III.1 PERSPECTIVES D'AVENIR DU RÉSEAU WI-FI DE EFI

Les réseaux sans-fil sont en évolution permanente : de nouvelles normes sont sans cesse en étude pour améliorer les débits, la fiabilité, la qualité et la sécurité. En ce qui concerne les normes Wi-Fi, le prochain saut technique important est le 802.11n, qui porte le débit maximum théorique à 200 ou 500Mbit/s. Cette norme, qui a été ratifiée en fin 2005 et qui a commencé à être utilisée depuis 2006, demande des équipements spécifiques et nécessiterait donc une mise à jour matérielle pour être supportée.

Quant aux réseaux Wi-Fi maillés (mesh networks) qui pourraient théoriquement concurrencer tous les réseaux Wi-Fi à infrastructure, la plupart des projets sont encore peu développés et utilisables et la norme IEEE correspondante (802.11s) n'en est qu`a ses balbutiements ;

D'autre part, le concept même de réseau maillé pose de sérieux problèmes de sécurité. Les mises à jour du réseau sans fil d'EFI ne devraient pas poser de problèmes, mais elles supposent un travail de maintenance et de veille technologique léger mais sérieux et régulier. L'avenir à long terme du réseau Wi-Fi EFI ne peut être évoqué sérieusement et de façon réaliste dans ce rapport, étant donné la vitesse d'évolution des technologies à l'oeuvre.

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

CONCLUSION

Ainsi, nous avons tout au long de ce mémoire mis en place une infrastructure Wi-Fi espérant qu'elle soit la plus sécurisée possible tout en restant compatible avec les différentes technologies existantes. Notons cependant que si le réseau Wi-Fi présente des avantages en confort et en utilisation qui sont considérables, il n'est pas adapté à de lourdes charges, et il faut savoir que les coûts économisés en évitant un câblage Ethernet pour les postes des utilisateurs peuvent être dépassés par d'autres coûts auxquels on n'a pas forcément pensé à l'origine. En pratique, les réseaux Wi-Fi sont performants en mode client-serveur avec des échanges courts (navigation Internet par exemple), ce qui explique leur succès auprès des particuliers.

BIBLIOGRAPHIE

Authentification réseau avec Radius 802.1x - EAP - Free-Radius Auteur : Serge

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE APPLIQUEE UNIVERSITE ASSANE SECK DE

IV. LA CONDUITE DU MEMOIRE

Bien au-delà de la simple installation d'un réseau Wireless, nous avons également beaucoup appris sur le management du mémoire. En effet, au départ, on était convaincu qu'il allait apprendre énormément au niveau de la sécurisation des réseaux sans-fil, mais bien peu pensait apprendre une méthodologie du mémoire.

Au cours de la rédaction on eu à faire des études sur le Wi-Fi. C'est pourquoi lorsqu'on a choisi ce thème, on s'est immédiatement rendu compte de l'importance du mémoire, et à ce titre, avec nos recherches il nous a semblé important de fixer des deadlines pour les phases successives de la partie technique:

Dès la première rencontre avec M. Poui, Directeur d'EFI celui-ci m'a rappelé l'importance du planning et de la sauvegarde. Sous ses recommandations, je suis passé en action et ai sollicité Mm Marie Ndiaye et M. Senghor pour la gestion du planning. Pour les sauvegardes, j'ai pensé une solution quelque originale. Cette solution consiste à s'envoyer par mail mes rapports en cours de rédaction afin de les tenir en sécurité sur Internet et éviter ainsi toute gaucherie après une perte de données locale. Afin de garder une trace de l'évolution de la rédaction, je renomme chaque version avec un nom différent daté sous la forme : rapport-info-020-08-014.

Finalement, nous avons pu respecter ce planning jusqu'à la mi-novembre. En effet, c'est à ce moment qu'est apparu un sérieux obstacle au mémoire: l'absence de fonds pour la réalisation effective des travaux. C'est ce qui nous a empêchés de faire une installation pratique du réseau.