Memoire Online - Mise en place d'un réseau Wi-Fi avec authentification basée sur des certificats

Pour leur volonté, leurs énormes sacrifices et pour l'amour qu'ils ont su me donner tout au long de ma formation. Je leur suis infiniment reconnaissant.

DIEU Tout Puissant, pour m'avoir donné la force, la santé et l'intelligence nécessaires pour accomplir ce travail ;

Monsieur le Représentant Résident de l'Institut Africain d'Informatique, Représentation du Cameroun, ainsi que tout le corps professoral et administratif pour l'ensemble des enseignements et conseils prodigués à mon égard ;

A tout ceux qui de près ou de loin ont contribué à la réalisation de ce travail, je pense notamment à :

Dans le cadre de la formation de ses étudiants, l'IAI (Institut Africain d'Informatique) intègre en fin de troisième année un stage pratique en entreprise en vue de mettre en application les connaissances acquises tout au long de la période scolaire et de permettre une intégration facile et rapide de ses diplômés en milieu professionnel. C'est ainsi que la société CaWaD s'est portée garante pour nous accueillir et ainsi nous permettre au mieux de parfaire notre formation. Le présent rapport a pour but de présenter les différentes étapes que nous avons traversées tout au long de cette période et de détailler dans les moindres détails les différents travaux effectués lors de celle-ci. Comme l'indique le cahier de charge, il comportera deux grandes parties à savoir la phase d'insertion dans l'entreprise et la phase de travail technique.

Cette première partie est celle relatant les étapes de notre insertion dans cette structure qui nous a aimablement accueillis. La structure y sera brièvement présentée avant d'entrer dans le vif du sujet, à savoir l'insertion dans l'entreprise.

I. PRÉSENTATION DE LA STRUCTURE

I.1 HISTORIQUE

CaWaD Sarl, société à responsabilité limitée, est une société de services en ingénierie informatique créée en octobre 2003 et spécialisée dans le conseil, la conception, la création et le développement d'applications web et sites Internet.

Après cinq années d'existence, l'agence s'est dotée d'un studio multimédia (CaWaD Design) et d'un laboratoire de recherche et développement (CaWaD Labs).

CaWaD Labs est un département spécialisé dans la recherche et l'étude de technologies et stratégies de développement de sites, services, applications et solutions web pour entreprises et particuliers. Les résultats de ses travaux en Web Consulting et audit informatique ont été utilisés comme références dans plusieurs projets. Ce département est par exemple à l'initiative du projet aJob4You (devenu EmploiCameroun.org) ou de l'intégration de solutions web et e-business chez Solution Technology Corporation SARL.

I.2 OBJECTIFS ET ACTIVITÉS

Les objectifs de la société CaWaD ne sont pas des moindres. Entre autres on a :

F accompagner ses clients dans leurs projets Internet afin de leur donner une réelle valeur ajoutée par la mise à contribution de technologies efficientes ;

F leur offrir une aide spécifique, propre à leurs objectifs, leur vision et leurs exigences ;

F leur donner de réels atouts de succès par le conseil, l'expertise et l'assistance après le lancement de leur projet ;

F vulgariser l'utilisation d'Internet et des nouveaux media auprès du grand public, des entreprises et des collectivités.

Au fil du temps, CaWaD a su imposer ses compétences et son savoir-faire auprès de nombreux clients. Que l'on appartienne au grand public, à une PME/PMI ou à une collectivité, l'on trouve en CaWaD le partenaire pour mener à bien les projets Internet, intranet ou extranet. L'objectif de CaWaD est d'apporter des réponses pragmatiques et efficaces sous forme de solutions adaptées aux problématiques de chaque métier.

Ce pôle comporte la création de sites web, l'hébergement web professionnel, la création d'applications web et Intranet, le référencement et le e-marketing, la création de logiciels de gestion. CaWaD réalise différents types de sites Web adaptés aux besoins de ses clients.

Ici on retrouve les systèmes d'information, l'étude et conduite de projets, l'audit et conseil IT, l'informatique décisionnelle, du Outsourcing.

Ceci consiste en la définition de l'Identité visuelle d'entreprise, à l'infographie & PAO, au montage Audio et Vidéo et à la Post production.

Ce module regroupe l'installation de réseaux & VSAT, la gestion de parcs, la fourniture de matériels, la maintenance.

Ce pôle consiste en la formation professionnelle, l'e-Learning, la formation en alternance, les séminaires IT.

I.3 ORGANIGRAMME

I.4 PLAN DE LOCALISATION

II. PHASE D'INSERTION

II.1 PRISE DE CONTACT

Le mardi 08 juillet 2008, nous avons été reçus par le Directeur Général adjoint. Il nous a présenté brièvement ce qu'il attendait de nous, et a insisté sur l'éthique de leur structure à savoir le respect des engagements.

II.2 IMPRÉGNATION DE L'ENTREPRISE

Le début effectif de notre stage a eu lieu le 10 juillet 2008 après une prise de contact de 2 jours. Ce jour, nous avons été reçus dans la salle de conférence par le Directeur Général Adjoint qui nous a fait une présentation générale de l'entreprise et nous a fait visiter l'ensemble les locaux de la structure.

Il faudrait préciser ici que le personnel de cette entreprise est à la fois très accueillant et tout aussi ouvert, ce qui a contribué à faciliter et accélérer notre insertion.

Nombre	Type d'ordinateur	Caractéristiques	Etat
01	Tour	Pentium IV 2.4GHz, RAM: 512, DD: 40Go	Bon
04	Desktop	Pentium III de 733 MHz, RAM: 128Mo, DD : 20 Go	Bon
02	Tour	Pentium III de 733 MHz, RAM: 128 Mo, DD :20 Go	Bon
03	Laptop	P IV de 2 GHz, RAM: 512Mo, DD : 40 Go	Bon
03	Imprimantes	Deux HP à jet d'encre et une HP laser	Bon
01	Photocopieuse	HP multifonctions (scanner, photocopieuse...)
02	Locaux techniques	Chacun ayant 1 DLink 8 ports	Bon
01	Trousse	Trousse complète de maintenance et de réseaux

F Les systèmes d'exploitation : Windows 2003 serveur, XP professionnel, UBUNTU ;

F Applications: Adobe Photoshop, Office 2003, Desknow, Dreamweaver, Notepad, Adobe Flash.

Le personnel de CaWaD est constitué d`une quinzaine de personnes très jeunes et dynamiques, et qui sont en grande partie des anciens étudiants de l'IAI-Cameroun. Notons tout de même qu'en grande partie ce personnel est comprend des consultants spécialisés dans les différents domaines de l'informatique à savoir la maintenance des équipements, les réseaux, le multimédia, la bureautique, le webmastring et l'informatique de gestion.

Après cette période d'insertion passée au sein de la société CaWaD, nous pensons avoir acquis le nécessaire afin de poursuivre sans encombre la suite de notre stage. De ce fait nous passons à la seconde partie à savoir le travail technique.

Après la phase d'insertion qui nous a permis de nous familiariser avec les horaires de travail et les attitudes à adopter au sein de la structure, nous passons à celle qui est essentiellement consacrée au compte rendu du travail technique réalisé au cours du stage. Sous les instructions de nos encadreurs, nous avons été amenés à travailler sur le thème suivant : « Déploiement d'un réseau sans fil Wi-Fi avec authentification basée sur des certificats ».

Les réseaux informatiques sont devenus en l'espace de quelques années, des axes majeurs de communication. Ceci est notamment vrai pour une entreprise d'ingénieurs qui maîtrisent, pour la plupart, assez bien les technologies de l'information et de la communication. Aujourd'hui, les principaux développements de ces réseaux visent à favoriser la mobilité, pour répondre aux nouveaux besoins des assistants personnels, des téléphones et ordinateurs portables, qui sont par essence mobiles et qu'on retrouve de plus en plus dans la société.

Les réseaux sans-fil permettent à leurs utilisateurs de se connecter de n'importe où et d'accéder aux ressources de leurs réseaux pour peu qu'ils soient à la portée de ceux-ci. Cependant, lorsqu'un réseau filaire existe déjà, une analyse profonde des solutions existantes doit être menée afin que la sécurité, la performance et la qualité du réseau global soient de rigueur. Ainsi, il a été établi, en collaboration avec tous les acteurs de ce projet un cahier des charges qui nous a servi de base pour les diverses études et le déploiement à proprement parler du réseau sans fil Wi-Fi à CaWaD.

III. CAHIER DES CHARGES

Plusieurs choses étaient primordiales pour avoir une ligne directrice du projet. En voici quelques caractéristiques principales du réseau à implémenter :

L'équipement envisagé doit être simple et peu onéreux, ce qui implique l'utilisation d'une technologie assez répandue. En outre, toutes les installations doivent utiliser la même technologie.

Le principal problème des réseaux Wi-Fi est leur fragilité vis-à-vis des attaques externes. Le cryptage et l'authentification devront être simples pour les personnes connectées et très difficiles à casser. De préférence, les certificats pourront être utilisés pour l'authentification.

La couverture minimale du réseau doit correspondre à tous les bureaux ainsi qu'aux salles de conférence et de formations. Une étude devra être menée pour 14 machines au moins et 30 au plus.

Le passage de la connexion sans-fil à la connexion au réseau filaire doit être transparent pour l'utilisateur. Tous les équipements de l'entreprise doivent pouvoir se connecter avec une grande facilité. De même, l'adressage du réseau ne devra pas être modifié afin de ne pas pénaliser les utilisateurs du réseau pendant le déploiement du sans fil. Une réutilisation de l'infrastructure en place est recommandée.

Les bornes doivent être protégées contre le vol et les incidents divers. Elles doivent être physiquement et logiquement inaccessibles.

IV. APERÇU DU RÉSEAU EXISTANT ET JUSTIFICATION DU PROJET

Les bureaux administratifs sont câblés en paires torsadées à partir de 2 baies de brassage. Les baies de brassage sont interconnectées via une liaison câblée.

Actuellement 7 équipements (PC ou Laptops) sont connectés au réseau. Trois autres machines restent encore isolées du réseau. La salle de conférence n'est pas encore reliée au réseau de l'entreprise, la salle des formations en cours d'aménagement aussi.

Pour les salles actuellement connectées au réseau local, aucune politique de contrôle d'accès n'a été mise en place. Le partage des données et des ressources matérielles s'effectuant via le groupe de travail « CaWaD». Windows 2003 Server Entreprise Edition a été installé sur le serveur qui joue le rôle de passerelle. Cependant, aucune véritable fonctionnalité de ce serveur n'est utilisée. L'adresse de sous réseau est 192.168.10.0 et le masque 255.255.255.0. L'adressage des postes est manuel. La zone de couverture à les caractéristiques suivantes : 20m*12m soit 240m² sur le même étage.

A la question de savoir les raisons ayant favorisé le choix de ce projet, il nous a été répondu par plusieurs points. Notamment, CaWaD est en train de négocier l'acquisition d'une dizaine de machines. Et afin d'éviter un câblage fastidieux nécessitant des percées de trous dans les murs, toutes ces machines devront être configurées pour pouvoir accéder au réseau de l'entreprise par le Wi-Fi.

Bien plus, il nous a été signalé la forte croissance du nombre d'ordinateurs portables au sein de CaWaD. Ces ordinateurs étant pour la plupart récents disposent par défaut intégré un adaptateur sans fil Wi-Fi. Donc, plus besoin d'installer des câbles pour connecter ces machines.

La mobilité dans les différents bureaux a été un autre argument ayant poussé à choisir ce projet. Le personnel de CaWaD étant constitué en majorité de consultants, ceux-ci devront pouvoir se connecter au réseau avec leurs ordinateurs portables lorsqu'ils sont sollicités pour un projet au sein de la maison et ceci à partir de n'importe quel bureau.

Enfin, les problèmes de recâblage à chaque déménagement ont renforcé le joug favorisant le déploiement du réseau sans fil à CaWaD. En effet, CaWaD est toujours à la recherche d'un emplacement pour son installation définitive, ainsi il n'est pas exclut que l'on vienne à changer les locaux d'un moment à l'autre. Un réseau sans fil évitera les câblages répétitifs à chaque déménagement.

V. CHOIX DE LA SOLUTION À DÉPLOYER

Le déploiement d'un réseau sans fil Wi-Fi doit passer par une étude détaillée des solutions architecturales, matérielles et sécuritaires existantes pour être en accord avec les principes évoquées dans le cahier de charge.

V.1 CHOIX DE L'ARCHITECTURE ET DE LA NORME DU RÉSEAU

Le Wi-Fi peut fonctionner suivant 2 modes : ad hoc et infrastructure. En mode ad hoc, il n'y a pas d'infrastructure quelconque à mettre en place. Les échanges entre clients Wi-Fi s'effectuent lorsqu'ils sont à portée d'ondes radios. Donc, il n'y a pas de sécurité possible dans un tel mode de fonctionnement. Cependant, en mode infrastructure, on se base sur une station spéciale appelée Point d'Accès (PA). Elle permet à une station Wi-Fi de se connecter à une autre station Wi-Fi via leur PA commun. Une station Wi-Fi associée à un autre PA peut aussi s'interconnecter. L'ensemble des stations à portée radio du PA forme un BSS (Basic Service Set). Chaque BBS est identifié par un BSSID (BSS Identifier) de 6 octets qui correspond souvent à l'adresse MAC du PA. Tout ceci permet de contrôler les connections au réseau afin d'y appliquer des politiques sécuritaires. Ainsi notre choix s'est porté sur le mode infrastructure.

Les normes de Wi-Fi sont nombreuses et diverses. De toutes ces normes, les plus connues sont 802.11a, 802.11b et 802.11g, qui sont les principales du standard 802.11 ceci grâce à leur large intégration dans les matériels et logiciels.

La norme 802.11a permet d'obtenir un débit théorique de 54 Mbps, soit cinq fois plus que le 802.11b, pour une portée d'environ une dizaine de mètres seulement. La norme 802.11a s'appuie sur un codage du type OFDM sur la bande de fréquence 5 GHz et utilise 8 canaux. Les équipements 802.11a ne sont pas compatibles avec les équipements 802.11b/g. Il existe toutefois des matériels intégrant des puces 802.11a et 802.11b, on parle alors de matériels «dual band».

La norme 802.11b permet d'obtenir un débit théorique de 11 Mbps, pour une portée d'environ une cinquantaine de mètres en intérieur et jusqu'à 200 mètres en extérieur (et même au-delà avec des antennes directionnelles).

La norme 802.11g permet d'obtenir un débit théorique de 54 Mbps pour des portées équivalentes à celles de la norme 802.11b. D'autre part, dans la mesure où la norme 802.11g utilise la bande de fréquence 2,4GHZ avec un codage OFDM, cette norme est compatible avec les matériels 802.11b, à l'exception de certains anciens matériels.

Remarque : Avec les normes 802.11b+ et 802.11g+, on atteint respectivement des débits théoriques de 22 Mbit/s et 108 Mbits/s.

En somme, nous avons préféré le 802.11g au 802.11b. Cependant, notre objectif est le 802.11g+. C'est pourquoi, nous ferons tout le possible pour obtenir du matériel répondant à cette norme. Pour plus d'informations sur les concepts du Wi-Fi, consulter l'annexe 1.

Notre étude se fera pour un nombre de clients compris entre 10 et 30. Avec 10 clients Wi-Fi et 2 points d'accès satisfaisant la norme 802.11g on obtient en pratique un débit de l'ordre de 8Mbits/s pour chacun. Si ce nombre de clients doit évoluer par exemple jusqu'à 30, on aura alors sensiblement 3Mbits/s pour chacun ce qui reste totalement acceptable et de qualité. Ainsi hors mis les problèmes d'emplacements, un maximum de 2 points d'accès serait suffisant pour la solution finale.

Nous savons qu'avec la norme 802.11g, pour un débit théorique de 54Mbit/s on peut atteindre une trentaine de mètres en intérieur, or cette distance délimite parfaitement la zone à couvrir par le réseau. Si on retient l'utilisation de deux points d'accès, nous installerons le premier au couloir et le second dans la salle de conférence. Afin de sécuriser nos points d'accès, on utilisera des boîtiers de barres métalliques avec cadenas qu'on fixera au mur. Ils devront être fixés de sorte que personne ne puisse avoir facilement accès sans l'aide d'une échelle.

V.2 CHOIX DES PARAMÈTRES DE SÉCURITÉ

La sécurité des réseaux sans fil est l'élément essentiel qui décourage plusieurs personnes de déployer cette technologie. En effet, les ondes radios ne pouvant être confinées dans un espace délimitée, n'importe quelle personne se trouvant à portée de ces ondes peut s'y connecter et utiliser le réseau à des fins pas toujours catholiques (Voir l'annexe 2). Ainsi, il est essentiel de déployer de gros moyens pour sécuriser notre réseau sans fil Wi-Fi. Sur ce, nos choix s'effectueront en accord avec l'avancé technologique mais sans remettre en cause les compatibilités matérielles. On a ainsi retenu les points suivants:

Un réseau Wi-Fi porte toujours un nom d'identification afin que les ordinateurs puissent le détecter et se connecter dessus. Ce nom s'appelle le SSID (Service Set IDentifier). Si on ne configure pas le point d'accès, le SSID est défini par défaut. Ainsi on le modifiera, afin de le reconnaître plus facilement par la suite. Cependant, on s'arrangera à ce que ce nom n'ait aucun sens pour un éventuel pirate afin de l`empêcher d'identifier facilement notre réseau.

Le SSID est une information importante pour se connecter au réseau sans fil. Le point d'accès diffuse continuellement cette information pour permettre aux ordinateurs de le détecter. Le SSID n'est pas une fonction de sécurisation mais permet de rendre "caché" son point d'accès à la vue de tout le monde. Une fois le réseau configuré avec les ordinateurs, on activera la fonction "cacher le SSID", présente dans le point d'accès, afin de rendre ce dernier "invisible" au monde extérieur.

La plupart des points d'accès actuels disposent du protocole DHCP (Dynamic Host Configuration Protocol). Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement sa configuration réseau (adresse IP, etc.). Pour ce projet, on désactivera le DHCP ceci évitera qu'un pirate trouve facilement les identifiants du réseau. Ainsi, il faudra s'adresser au service technique afin d'obtenir les éléments nécessaires à la configuration réseau.

L'administration du point d'accès se fait par l'intermédiaire de pages Web accessibles par n'importe quel ordinateur connecté par câble. Il suffit de saisir une adresse IP (fournie par le constructeur) dans le navigateur Web et le mot de passe par défaut (fourni par le constructeur) pour accéder à l'administration. A ce stade, toute personne pouvant accéder au réseau, peut faire les changements ou modifier d'autres paramètres du point d'accès. On changera donc le mot de passe par un nouveau. Ce mot de passe devra répondre au principe de mots de passe forts.

Une adresse MAC (Media Access Control) permet d'identifier matériellement un ordinateur grâce à son adaptateur réseau. Cette adresse est unique et définie par le fabriquant de l'adaptateur. Chaque point d'accès offre la possibilité d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son adresse MAC dans la liste autorisée ne sera pas autorisé à se connecter sur le réseau. Notons tout de même que le filtrage d'adresses MAC est contournable. En effet, une adresse Mac peut être émulée sous un environnement Linux. IL soffit de faire dans un terminal:

Pour remédier aux problèmes de confidentialité des échanges sur les réseaux sans fils, le standard 802.11 intègre un mécanisme simple de chiffrement des données, il s'agit du WEP (Wired Equivalent Privacy).

Le WEP est un protocole chargé du chiffrement des trames 802.11 utilisant l'algorithme symétrique RC4 (Rivest Cipher 4) avec des clés d'une longueur de 64 bits ou 128 bits. Le principe du WEP consiste à définir dans un premier temps une clé secrète de 40 ou 104 bits. Cette clé secrète doit être déclarée au niveau du point d'accès et des clients. La clé sert à créer un nombre pseudo aléatoire d'une longueur égale à la longueur de la trame. Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo aléatoire comme masque grâce à un OU Exclusif entre le nombre pseudo aléatoire et la trame.

La clé de session partagée par toutes les stations est statique, c'est-à-dire que pour déployer un grand nombre de stations Wi-Fi il est nécessaire de les configurer en utilisant la même clé de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.

De plus, 24 bits de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits. Dans le cas de la clé de 40 bits, une attaque par force brute (c'est-à-dire en essayant toutes les possibilités de clés) peut très vite amener le pirate à trouver la clé de session. De plus, une faille décelée par les chercheurs Fluhrer, Mantin et Shamir concernant la génération de la chaîne pseudo aléatoire rend possible la découverte de la clé de session en stockant 100 Mo à 1 Go de trafic créé intentionnellement. Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données. Pour autant, il est vivement conseillé de mettre au moins en oeuvre une protection WEP 128 bits afin d'assurer un niveau de confidentialité acceptable.

Ces faiblesses du WEP ont conduit à l'apparition du WPA (Wi-Fi Protected Access) qui est une solution de sécurisation de réseau Wi-Fi proposée par la Wi-Fi Alliance. Le WPA est une version « allégée » du protocole 802.11i, reposant sur des protocoles d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity Protocol). Le protocole TKIP permet la génération aléatoire de clés et offre la possibilité de modifier la clé de chiffrement plusieurs fois par secondes, pour plus de sécurité.

Le fonctionnement de WPA repose sur la mise en oeuvre d'un serveur d'authentification permettant d'identifier les utilisateurs sur le réseau et de définir leurs droits d'accès.

Le 802.11i a été ratifié le 24 juin 2004, afin de fournir une solution de sécurisation poussée des réseaux Wi-Fi. Il s'appuie sur l'algorithme de chiffrement TKIP, comme le WPA, mais supporte également l'AES (Advanced Encryption Standard), beaucoup plus sûr. La Wi-Fi Alliance a ainsi créé une nouvelle certification, baptisée WPA2, pour les matériels supportant le standard 802.11i. Contrairement au WPA, le WPA2 permet de sécuriser aussi bien les réseaux sans fil en mode infrastructure que les réseaux en mode ad hoc.

On choisira donc WPA pour le chiffrement. On aurait pu utiliser le WPA2 mais bien qu'il soit déjà implémenté dans plusieurs systèmes d'exploitation, il n'en est pas encore le cas pour les composants matériels ce qui pourrait compromettre la compatibilité des équipements.

L'EAP (Extensible Authentification Protocol) n'est pas un protocole d'authentification à proprement parler, mais un protocole de transport de protocoles d'authentification tels que TLS, MD5, PEAP, LEAP, etc. En effet, avec cette méthode, les paquets du protocole d'authentification sont encapsulés dans les paquets EAP.

Son but est l'authentification d'un utilisateur sur un réseau non ouvert, car dans un premier temps, dans ce type de réseau, seul les trafics EAP sont permis (pour permettre l'authentification). Ce n'est qu'après authentification que le réseau est ouvert. Une méthode d'authentification EAP utilise différents éléments pour identifier un client tels que : le couple « login/mot de passe », les « certificats électroniques », les « cartes à puces (SIM) », etc....

En plus de l'authentification, EAP gère la distribution dynamique des clés de chiffrement (WEP ou WPA). Les deux méthodes d'authentification EAP utilisant des certificats sont :

F PEAP (Protected EAP): Le processus d'authentification de PEAP consiste à établir un tunnel sécurisé TLS entre le client et le serveur d'authentification, en authentifiant le serveur RADIUS à l'aide d'un certificat. Ensuite, il est possible de choisir entre la méthode MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) ou TLS pour authentifier l'utilisateur. Quand la méthode PEAP est utilisée c'est souvent pour éviter d'utiliser les certificats client, il est donc logique que sur les deux méthodes proposées par PEAP, l'utilisation de Login/Password, via MS-CHAP, soit largement privilégiée.

F EAP-TLS (EAP-Transport Layer Security): EAP-TLS est une méthode d'authentification mutuelle, ce qui signifie que le client et le serveur se prouvent respectivement leur identité. Lors de l'échange EAP-TLS, le client d'accès à distance envoie son certificat d'utilisateur et le serveur d'accès à distance envoie son certificat d'ordinateur. Si l'un quelconque des certificats n'est pas envoyé ou n'est pas valide, la connexion est interrompue. Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un protocole de transport sécurisé (chiffrement, authentification mutuelle, contrôle d'intégrité).

Nous utiliserons donc la méthode EAP-TLS qui propose le plus de sécurité. Avec la méthode EAP-TLS l'authentification du client d'accès peut se faire de différentes façons :

§ A l'aide d'un certificat personnel associé à la machine, l'authentification a lieu au démarrage de la machine.

§ A l'aide d'un certificat personnel associé à l'utilisateur, l'authentification a lieu après l'entrée en session de l'utilisateur.

Nous avons opté pour la seconde méthode car elle augmente le niveau de sécurité même si elle est quelque contraignante. Pour plus d'informations sur les certificats consultez l'annexe 3.

V.3 CHOIX DU MATÉRIEL RÉSEAU

D'après le cahier de charges, nous devons choisir un matériel adéquat en respectant les coûts, la qualité et l'évolutivité. Nous avons effectué des recherches sur les principaux équipements requis pour le déploiement du réseau sans fil.

A. Les adaptateurs de réseau client sans fil

Le choix des adaptateurs de réseaux clients sans fil n'a pas été difficile. Nous avons opté pour des clés USB contrairement aux cartes car en plus d'être moins encombrants, elles sont aussi plus faciles à utiliser. Quant à la marque, D-Link a ravi la palme d'honneur. Nous aurons pu aussi choisir Linksys mais le rapport qualité-prix a fait basculer notre choix. Pour le modèle on a préféré le D-Link DWA-110 qui est une clé USB sans fil ayant les caractéristiques techniques suivantes :

F Compatible Linux, MAC OSxxx et Windows XP/2000/98 SE/ME, certifié pour Windows Vista ;

B. Les points d'accès sans fil Wi-Fi

Pour les points d'accès, il a fallu répondre à des objectifs et des contraintes précis. Notre enquête a portée sur trois grands constructeurs, à savoir D-Link, Linksys et Cisco. Une étude comparative de ces solutions a été effectuée au niveau de la portée et du débit, les coûts et les débouchés respectifs.

Cisco Systems est aujourd'hui le premier fournisseur mondial de solutions réseau. Cisco fournit la gamme la plus étendue de solutions réseaux pour le transport des données, de la voix et de la vidéo.

Linksys est une filiale de Cisco vendant du matériel à destination du grand public, contrairement à Cisco qui n'est présent que sur le marché professionnel.

D-Link Corporation est un constructeur taïwanais de matériel pour les réseaux sans fil et Ethernet, destiné aux particuliers et aux entreprises.

Chez Cisco, nous avons opté pour une borne de type Aironet 1100. Cette borne est un matériel professionnel, supportant les normes Wi-Fi 802.11a/b/g ainsi que les dernières technologies en matière de sécurité. Elle est de plus étudiée pour permettre la téléphonie et la voix sur IP (VoIP), et permet le passage rapide d'une borne à l'autre quand le client se déplace (roaming). Elle dispose en outre de plusieurs interfaces d'administration avancées. La borne Aironet 1100 est un matériel standard, compatible avec la presque totalité des réseaux. L'ajout d'un tel matériel dans certaines zones permet l'extension géographique du réseau à moindre coût. L'alimentation en électricité du point d'accès Cisco Aironet 1100 est sécurisée, par l'emploi de la technologie Power over Ethernet. Les bornes Cisco ont un module radio détachable qui favorise leur évolutivité. De plus, les ROM sont flashables pour changer le firmware aisément.

Quant à Linksys, le matériel étudié est une borne Linksys WRT54G. Il s'agit de bornes supportant la norme Wi-Fi 802.11g et intégrant un switch Ethernet 4 ports. Ce modèle a été conçu dans l'optique de partager une connexion haut débit entre plusieurs systèmes, en Ethernet filaire ou en Wi-Fi. En particulier, l'interface d'administration web proposée est inutilisable pour gérer un grand parc de bornes. Ces bornes ont encore d'autres défauts. D'abord, elles ne supportent pas la technologie Power over Ethernet, et doivent donc être alimentées par un transformateur extérieur branché sur une prise. Ensuite, elles ont une faible puissance d'émission (environ 30mW contre 100mW pour les solutions professionnelles), et les antennes fournies avec les bornes sont de qualité médiocre. Ces antennes peuvent être remplacées par du matériel offrant de meilleures performances, mais ce changement s'avère là onéreux. Une telle solution mise en place, représente un surcoût supplémentaire.

Avec D-Link, notre choix s'est porté sur le DWL-2100AP. Le DWL-2100AP est un point d'accès conforme 802.11g+ destiné à être utilisé en intérieur pour une portée maximale de 30m. Il offre des vitesses réseau sans fil pouvant atteindre 108 Mbps (en mode Turbo), tout en assurant l'interopérabilité transparente avec le sans fil 802.11b existant. Avec ses taux de transfert de données élevés, sa sécurité accrue par l'encryptage WEP, WPA et WPA2 et sa fonction de passerelle intégrée, ce point d'accès est la solution sans fil idéale permettant d'adopter une nouvelle technologie ultra-rapide tout en protégeant les investissements passés grâce à l'interopérabilité avec l'équipement réseau actuel. Ces bornes ne supportent pas la technologie Power over Ethernet, mais les antennes fournies sont assez puissantes car on atteint avec elles sensiblement 80mW.

En ce qui concerne les coûts, nous nous sommes rendus dans les principales boutiques informatiques de la ville de Yaoundé et là on a recensé les prix suivants:

C. Bilans

Cisco est un constructeur de matériel réseau de qualité. Cependant, son offre commerciale et technique semble inadaptée au déploiement du réseau sans-fil à CaWaD. La solution tout-en-un est intéressante lors de l'installation d'un réseau complet, filaire et sans-fil. Mais le prix de l'investissement va à l'encontre des besoins de CaWaD qui ne souhaite pas mettre en place un réseau métropolitain, complexe et nouveau.

Quant à Linksys, la nécessité de remplacer les antennes augmente considérablement le coût de la solution. Si elle reste moins chère, la différence avec Cisco est relativement faible ; et malgré l'intéressante perspective d'un firmware open-source, cela ne suffit pas à compenser la perte de qualité au niveau des services, notamment le roaming. Toutefois, dans le classement des solutions envisageables on placerait Linksys en deuxième position.

Enfin, c'est la solution proposée par D-Link qui est celle qui nous a le plus convaincus, et que nous avons fini par choisir. En effet, elle correspond au mieux à nos besoins, et le matériel est d'une excellente qualité technique, tout en restant d'un coût abordable. Le matériel est standard et professionnel malgré son incompatibilité au POE. En prenant le D-Link DWL-2100AP, on a la possibilité d'obtenir un débit pratique d'environ 90Mbits/s (108Mbits/s en théorique) ce qui donne pas moins de 3Mbits/s pour chaque clients si on suppose 30 postes clients. L'adaptateur de client sans fil Wi-Fi que nous avons choisi répond aux principes que nous sommes fixés. Ainsi, nous pensons avoir effectué le choix adéquat et passons à la mise en oeuvre de notre solution.

VI. PRÉSENTATION DÉTAILLÉE DE LA SOLUTION RETENUE

VI.1 CONCEPTION PHYSIQUE

En définitive, la solution retenue aura pour topologie physique le schéma suivant:

Comme on peut le remarquer, la mise en place du réseau sans fil va quelque peu modifier l'architecture du réseau existant. Désormais nous n'aurons besoin que d'un seul commutateur. Tous les ordinateurs portables du réseau seront désormais connectés grâce au Wi-Fi. En effet, tous les ordinateurs portables récents incluent déjà l'adaptateur sans fil et ceux de CaWaD ne dérogent pas à la règle. Quant aux PCs, on devra prévoir des adaptateurs de réseau client sans fil compatible 802.1x. L'emplacement choisi pour installer le point d'accès correspond au centre de la zone de couverture, ainsi toutes les stations clientes recevront presque la même quantité de puissance du signal rayonnée.

VI.2 CONCEPTION LOGIQUE

Le diagramme ci-dessous illustre la conception de la solution choisie (authentification EAP-TLS 802.1X).

Les numéros indiqués sur le diagramme illustrent le processus d'accès au réseau que les étapes suivantes décrivent plus en détail :

1.	Le client sans fil doit, à un moment donné, être authentifié par une autorité centrale pour se connecter au réseau sans fil.
2.	Lorsque le client demande à accéder au réseau, il transmet ses informations d'identité (ou, plus précisément, la preuve qu'il détient ces informations d'identité) au point d'accès sans fil qui, à son tour, les renvoie au NAAS pour demander l'autorisation.
3.	Le NAAS vérifie les informations d'identité, consulte sa stratégie d'accès et autorise ou refuse l'accès au client.
4.	S'il est reconnu, le client est autorisé à accéder au réseau et échange les clés de cryptage avec le point d'accès sans fil. En fait, les clés sont générées par le service NAAS et transmises au point d'accès sans fil via un canal sécurisé. Si le client n'est pas reconnu par le service NAAS, il n'est pas autorisé à accéder au réseau et la communication s'interrompt.
5.	Grâce aux clés de cryptage, le client et le point d'accès sans fil établissent une connexion sans fil sécurisée, ce qui permet au client et au réseau interne de communiquer.
6.	Le client commence à communiquer avec des périphériques du réseau interne.

VI.3 COMPOSANTS LOGICIELS ET MATERIELS NECESSAIRES

A. Composants logiciels

F Un système d'exploitation serveur : Windows 2003 Server Entreprise Edition

Nous l'avons choisi car il inclut la gestion des certificats, il dispose d'un serveur RADIUS intégré sous le nom d'IAS (Internet Authentication Service) pouvant gérer un nombre infini de clients RADIUS; les couples login/mot de passe pourront être gérés avec l'annuaire Active Directory.

L'autre solution aurait été d'utiliser une distribution Linux, sur ce on aurait sollicité Ubuntu car c'est la distribution Linux utilisée à CaWaD. Avec ce choix, on aurait utilisé FreeRadius pour l'authentification. Mais cette solution s'étant avérée compromettante vis-à-vis du cahier des charges du projet (par souci de devoir réutiliser l'infrastructure matérielle et logicielle déjà en place), nous lui avons préféré Windows 2003 Server.

Airmagnet est un analyseur de réseaux sans-fil, compatible 802.11a, b et g, utile au niveau du déploiement et de la maintenance. Il permet d'évaluer la sécurité d'un réseau sans-fil (déceler les accès pirates,...), analyser la qualité du signal émis, la puissance, le nombre de paquets erronés ou la quantité de bande passante disponible (informations de la couche 1 et 2 du protocole 802.11).

B. Composants matériels

Tableau 5 : Configuration matérielle minimale du serveur d'authentification

Comme évoqué dans les postulats, nous ne devons remettre en cause le matériel existant. Le serveur en cours d'utilisation dans l'entreprise répond totalement à ces exigences.

VI.4 ESTIMATION DU COÛT DE DÉPLOIEMENT

Remarques : Nous n'avons pas mentionné les systèmes d'exploitation car ils sont déjà disponibles. Quant à l'analyseur de réseau sans fil, nous n'en n'avons pas fait mention car il nous a été conseillé d'utiliser une version d'évaluation. De plus, le choix d'une solution avec 10 clés USB sans fil est dû au fait que nous supposons que tous les Laptops disposent de nos jours intégré un adaptateur Wi-Fi. Ainsi avec 10 PCs et une dizaine de Laptops on reste dans les prévisions. Seulement ça ne poserait aucun problème si ce nombre venait à augmenter car le point d'accès choisi a une capacité de satisfaction pour une trentaine de postes. Toutefois il faudra évidement prévoir des adaptateurs pour les nouveaux clients n'en disposant pas.

Le point d'accès est livré avec son câble Ethernet et son kit d'alimentation. Si le câble offert à l'achat venait à être insuffisant, on trouvera bien sur place avec quoi l'augmenter. Quant à l'alimentation du point d'accès, il y'a une prise murale juste à coté de l'emplacement que nous avons choisi pour l'installer. Ainsi on n'aura pas besoin d'évaluer le coût du câblage électrique.

Sur ce, nous pensons qu'une fois le matériel acquis, nous pourrons nous lancer à la réalisation effective des travaux d'installation de notre réseau sans fil Wi-Fi.

VII. MISE EN PLACE ÉFFECTIVE DE LA SOLUTION RETENUE

VII.1 PLAN D'ADRESSAGE

Comme exigé dans le cahier des charges, nous ne devons pas changer l'adressage IP. Ainsi, notre réseau conserve les informations suivantes :

Par conséquent, notre réseau sans fil s'intégrera facilement dans le réseau filaire existant et le passage du filaire au sans fil se fera de manière transparente pour les utilisateurs.

VII.2 INSTALLATION D'UNE AUTORITÉ DE CERTIFICAT RACINE

Au préalable le serveur de noms devra être installé. En effet il n'y a pas d'autorité de certification sans DNS (Domain Name System). Nous ne ferons pas mention ici de la procédure d'installation du DNS car ce dernier est déjà installé sur le serveur (mais pas encore utilisé). Notons tout simplement que le domaine de CaWaD se nomme cawad.com.

L'installation d'une autorité de certificat racine nécessite tout d'abord l'installation des services IIS (Internet Information Server).

A. Installation des Services IIS

F 1^ère possibilité : par l'outil " Gérer votre serveur " situé dans les outils d'administration. Après ajouter un rôle à notre serveur, on choisit Serveurs d'application (IIS, ASP.NET).

Puis nous avons le choix d'installer les extensions du serveur FrontPage et/ou la structure ASP.NET. Dans notre cas nous utiliserons ASP.NET car l'autorité de certificat nécessite cette technologie. L'installation va se poursuivre sans autre difficulté majeure jusqu'à la fin.

F 2^ème possibilité : par l'outil " Ajout/Suppression de composants Windows " situé dans " Ajout/Suppression de programmes " du Panneau de configuration. Sélectionner Serveur d'applications puis cocher Services IIS.

B. Installation d'une Autorité de Certification Racine

Nous utilisons l'outil " Ajout/Suppression de composants Windows " situé dans " Ajout/Suppression de programmes " du Panneau de configuration.

Un message d'erreur apparaît et stipule qu'après installation des Services de certificats l'ordinateur ne devra ni changer de nom ni changer de domaine car les certificats émis par notre autorité risqueraient de ne plus être valides.

Ensuite, on sélectionne le type d'autorité de certification. Nous choisissons Autorité racine d'entreprise car il s'agit de la première autorité installée.

Puis on sélectionne l'emplacement de la base de données et le journal de certificats : C:\WINDOWS\system32\Certlog

Une alerte signale que pour continuer l'installation, les Services IIS doivent être redémarrés. On valide donc par oui.

L'installation nous signale qu'ASP doit être activé pour permettre aux services de certificats de fournir un service d'inscription par le Web. On valide par oui et l'installation des Services de certificat se poursuit et s'achève sans encombre.

VII.3 INSTALLATION ET CONFIGURATION DU SERVEUR RADIUS

A. Installation du serveur RADIUS

Nous utilisons l'outil " Ajout/Suppression de composants Windows " situé dans " Ajout/Suppression de programmes " du Panneau de configuration.

Nous sélectionnons par la suite Services de mise en réseau, puis dans détails il faut cocher Service d'Authentification Internet.

Après l'installation, nous allons créer des comptes utilisateurs et un groupe dans Active Directory pour les utilisateurs du réseau Wi-Fi, avant de passer à la configuration du serveur Radius.

B. Création d'un utilisateur et d'un groupe dans Active Directory

Allez dans le menu Démarrer puis Outils d'administration et enfin sélectionner Utilisateurs et ordinateurs Active Directory.

Dans le dossier Users on fait un click droit avec la souris puis Nouvel utilisateur.

On entre ensuite le mot de passe, ainsi que les options concernant le compte.

Puis on fait un click droit sur l'utilisateur util1-wifi, dans propriétés on va dans l'onglet Appel entrant.

Puis dans Autorisation d'accès distant (appel entrant ou VPN) on coche Autoriser l'accès.

Nous pouvons maintenant créer un groupe d'utilisateurs qui contiendra les utilisateurs autorisés à accéder au réseau Wi-Fi.

Dans le dossier Users, on fait un click droit puis Nouveau groupe que l'on appellera groupe-wifi.

On va faire un click droit sur le groupe groupe-wifi puis aller dans propriétés. Dans l'onglet Membres, on sélectionne ajouter. On ajoute alors l'utilisateur util1-wifi.

L'utilisateur util1-wifi fait donc maintenant partie de groupe-wifi. On répétera la procédure autant de fois pour créer d'autres utilisateurs.

C. Configuration du serveur Radius

Tout d'abord on va dans le menu Démarrer puis Outils d'administration et enfin on sélectionne Service d'authentification Internet.

Dans le dossier Stratégie d'accès distant, on fait un click droit puis Nouvelle stratégie d'accès distant.

On coche Utiliser cet assistant pour paramétrer une stratégie par défaut pour un scénario commun. Puis on va entrer le nom de la nouvelle stratégie.

On continue en validant par suivant et on ajoute le groupe groupe-wifi à la liste d'accès.

On clique sur Suivant puis on sélectionne Carte à puce ou autre certificat.

On sélectionne configurer pour vérifier qu'il s'agit bien du serveur sur lequel on vient d'installer l'autorité de certification racine. Dans notre cas, l'émetteur est certificat-cawad et le certificat est délivré à cawad.com (nom DNS du serveur).

Nous allons maintenant vérifier les paramètres de la nouvelle stratégie. On fait un click droit sur la nouvelle stratégie Accès-Wifi puis propriétés. On vérifie que l'option Accorder l'autorisation d'accès distant est bien cochée.

Maintenant, dans le dossier Client Radius on fait un click droit puis ajouter un client RADIUS.

Puis on entre un nom convivial qui sera celui de notre point d'accès Wi-Fi ainsi que son adresse IP.

On choisi le nom ca-wifi et le mot de passe : ******** et on valide par suivant puis on va définir le secret partagé entre le point d'accès et le serveur Radius. Dans notre cas nous utiliserons la marque de notre point d'accès.

VII.4 INSTALLATION ET SÉCURISATION DU POINT D'ACCÈS WI-FI

L'étude du site avant le déploiement est primordiale. Du placement du point d'accès dépend la couverture et les performances du réseau sans-fil. Celle-ci s'effectue par le logiciel Airmagnet. Nous l'utilisons sur un une DELL Latitude avec la carte Proxim Orinco 802.11a/b/g ComboCard. Après quelques minutes de scan, les résultats stipulent qu'aucun autre point d'accès n'est installé dans les environs, ainsi tous les canaux sont disponibles, nous ne pouvons craindre un quelconque problème d'interférences. De plus, Airmagnet permet de détecter les machines disposant d'adaptateurs Wi-Fi et situées dans les environs.

Nous branchons notre point d'accès sur un port libre du commutateur et l'alimentons sur la prise murale disponible au pied du mur. Après cette installation, nous passons à la configuration.

On ouvre Internet Explorer sur une machine connectée sur un autre port du commutateur (dans ce cas c'est notre serveur) et on saisit l'adresse par défaut du point d'accès, http://192.168.10.1. Une fenêtre de connexion s'affiche. Alors, on entre notre login et notre mot de passe (ce login et ce mot de passe sont fournis avec l'équipement) puis on va dans le menu paramètres sans fil.

Première opération de sécurité : on désactive la diffusion du nom SSID. Puis on clique sur le bouton configuration de la liste d'accès.

Deuxième opération de sécurité : on change le mot de passe par défaut de l'AP et on en prend un qui soit compliqué.

Troisième opération de sécurité : on active le contrôle d'accès et on va à la section liste d'accès. Là, on entre les adresses MAC des clients autorisés à accéder au réseau Wi-Fi.

Enfin on choisit l'option de sécurité WPA-802.1X. On entre l'adresse IP de notre Serveur Radius et le port de communication (par défaut 1812 pour l'authentification et 1813 pour l'accounting). Puis on entre la clé partagée qu'on a saisie sur le serveur Radius.

La configuration de la borne d'accès terminée, nous allons pouvoir passer à la configuration des clients d'accès Wi-Fi.

VII.5 CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI SOUS WINDOWS XP SP2

A. Installation du certificat auto signé du serveur d'authentification et du certificat d'un utilisateur

Nous allons devoir récupérer un certificat émis par l'autorité de certification.

Tout d'abord on ouvre une session sous le nom de l'utilisateur qui recevra le certificat sur cette machine.

Puis dans un navigateur, on se connecte sur le serveur de l'autorité de certification : http:// "nom du serveur "/certsrv. Dans notre cas http://cawad.com/certsrv.

On entre le login et le mot de passe de l'utilisateur «util1-wifi» par exemple dans la fenêtre de connexion qui surgit.

A la page d'accueil, on clique sur Télécharger un certificat d'autorité de certification, une chaine de certificats ou une liste de révocation de certificats puis sur Installer cette chaîne de certificats d'autorité de certification.

Puis on retourne à la page d'accueil et on va maintenant suivre le lien demander un certificat, puis le lien certificat utilisateur et enfin on clique sur le bouton envoyer.

On clique sur installer ce certificat. Puis, sur oui on valide qu'on fait confiance à ce site et le certificat est installé.

Pour vérifier l'effectivité de ces paramètres, dans Internet Explorer on va dans le menu déroulant Outils puis Options Internet puis dans l'onglet contenu, enfin on clique sur certificats. On vérifie que le certificat pour l'utilisateur util1-wifi est bien présent.

On vérifie également que le serveur de certificat est bien présent dans la liste des autorités principales de confiance.

L'installation du certificat est maintenant terminée. Nous allons pouvoir passer à la configuration de la connexion réseau sans-fil.

B. Configuration de la connexion réseau sans-fil

On fait un click droit sur Connexion réseaux sans-fil puis on entre dans les propriétés. Dans l'onglet Configuration réseaux sans-fil on clique sur ajouter. On entre le nom de notre réseau et on choisit la méthode d'authentification de type WPA et un cryptage de type TKIP.

Dans l'onglet authentification on sélectionne Activer l'authentification IEEE 802.1X pour ce réseau et on clique sur propriétés du type EAP.

Puis on sélectionne notre serveur de certificat dans la liste des autorités de certification racine de confiance.

La connexion est configurée et opérationnelle sur cette machine, on peut donc désormais se connecter au réseau sans-fil dessus. On va répéter la procédure pour toutes les autres machines clientes tournant sous Windows XP.

VII.6 CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI SOUS LINUX UBUNTU

Les cartes Wi-Fi sont de mieux en mieux reconnues et souvent tout marche directement. Les packages à installer sont néanmoins les suivants :

Ensuite on va s'assurer que l'adresse MAC de l'interface Wi-Fi de la machine figure dans la liste d'adresse Mac filtrée du point d'accès.

Pour connaître son adresse MAC il suffit de taper ifconfig dans un terminal avec le compte root.

La première étape du paramétrage du poste client consiste donc en l'exportation du certificat de notre autorité de certificat ayant certifié le serveur d'authentification et de l'importer sur le client Linux.

Pour cela authentifions-nous sur le serveur d'authentification (IAS) du domaine.

1. Cliquer sur Démarrer... Outils Administratifs... Autorité de certification

2. Cliquer avec le bouton droit sur le nom de l'autorité de certification puis sélectionner Propriétés

3. Cliquer sur Voir le Certificat et dans l'onglet Détails choisir Exporter vers un fichier

4. Choisir le format PKCS # 7 et cocher Inclure tous les certificats du chemin de certification si possible

Une fois ce fichier exporté, on va le copier dans le répertoire où ont été placés les fichiers de connexion Wi-Fi de l'utilisateur /home/user2/wifi/ et procéder à sa conversion de format.

Nous devons convertir notre certificat encodé PKCS7 (Public Key Crypto System) au format PEM (Privacy Enhanced Mail). Nous réalisons l'opération grâce à OpenSSL et à la commande :

Où cacert.p7b représente le fichier que nous avons récupéré de l'autorité de certification et cacert.pem est le certificat que nous utiliserons avec wpa_supplicant.

La seconde étape du paramétrage consiste en l'exportation du certificat (clé publique et clé privée) de l'utilisateur avec lequel nous souhaitons nous connecter sur l'infrastructure. Pour obtenir les certificats utilisateurs, connectons-nous sur une machine du domaine avec le compte utilisateur souhaité. Nous présenterons ici une autre méthode pour exporter un certificat différente de celles vues ci-dessus :

4. Cliquer sur Aouter puis sur Certificats. Choisir : Le compte utilisateur puis valider

5. Effectuer une requête de certificat pour cet utilisateur si celui-ci n'en dispose pas déjà :

6. Cliquer sur le certificat utilisateur avec le bouton droit et cliquer sur Propriétés

Comme précédemment nous devons convertir notre certificat encodé PKCS12 au format PEM. Nous réalisons l'opération grâce à OpenSSL et à la commande :

Où cert.pfx représente le fichier que nous avons récupéré de l'autorité de certification et user2cert.pem est le certificat que nous utiliserons avec wpa_supplicant (ici on a renommé pour l'utilisateur user2).

La configuration de wpa_supplicant repose sur l'édition du fichier de configuration wpa_supplicant.conf. Nous placerons ce fichier de configuration dans un répertoire utilisateur afin que celui-ci reste confidentiel et ne puisse être utilisé par un autre utilisateur de la machine. Un bon endroit pour stocker ce fichier ainsi que les certificats associés peut être le répertoire /home de l'utilisateur si les droits adéquats sont placés dessus. L'édition de wpa_supplicant.conf donne :

Nous déclarons dans la section network un ensemble de paramètres relatifs à la connexion comme suit :

Rubrique	Paramètre
Ssid	Nom de notre réseau sans fil
key_mgmt	Méthode de gestion de la négociation des clés 802.11
Proto	Méthode de chiffrement utilisé par le point d'accès sans fil
Eap	Nom de la méthode EAP utilisée
identity	Nom d'utilisateur complet du domaine auquel on souhaite se connecter. Celui-ci doit coïncider avec le nom déclaré dans le certificat de l'utilisateur que l'on fourni.
ca_cert	Certificat de l'autorité de certification ayant délivré le certificat au serveur authentifiant les clients
client_cert	Certificat de l'utilisateur
private_key	Clé privée de l'utilisateur
private_key_password	Mot de passe d'utilisation de la clé privée déclaré lors de son importation sur la machine cliente.

Maintenant, on va configurer l'interface en lui donnant une adresse IP, le masque de sous réseau, l'adresse de la passerelle et les adresses DNS. On va alors éditer le fichier : /etc/network/interfaces.

Si tout est prêt, on peut directement utiliser ifup pour connecter l'interface et ifdown pour déconnecter l'interface: sudo ifup eth1.

La configuration des différents éléments du réseau effectuée, nous passons aux observations et aux tests afin de faire part de tous les contours de notre projet.

VIII. OBSERVATIONS ET TESTS

Comme vous l'avez sûrement remarqué, la connexion au réseau Wi-Fi de CaWaD s'effectue lors d'une ouverture de session sur le domaine cawad.com.

Ainsi, lorsqu'un utilisateur souhaite accéder au réseau, il devra ouvrir une session sur le réseau avec son compte du domaine qui lui aura été fourni préalablement par l'administrateur du réseau. Si tout a été convenablement configuré sur la machine utilisée, la connexion au réseau se fera de manière transparente. Si la connexion ne fonctionne pas, il faudra s'adresser au service technique. Ainsi, toutes les machines nécessitant se connecter au réseau devront automatiquement passer par le service technique pour être configurées et les utilisateurs aussi afin d'obtenir les informations sur leurs comptes d'accès.

Par défaut, l'adaptateur sans fil Wi-Fi du poste client gère les déconnexions après un certain temps d'inactivité. Bien plus la fermeture de session ou l'extinction du poste client réalise la déconnexion du réseau. Nous pensons que ceci permettra de renforcer la sécurité de notre réseau sans fil Wi-Fi.

Pour les machines disposant en plus de l'adaptateur Wi-Fi une carte Ethernet, la configuration IP de cette dernière devra être similaire avec celle de l'adaptateur Wi-Fi afin que le passage du sans fil au filaire se fasse de manière transparente. Et notons ici que la connexion au réseau se fera tout naturellement au démarrage de la machine sans passer par une authentification préalable.

Nous allons maintenant tester si les machines arrivent à communiquer entre elles. La commande utilisée est PING (Packet INternet Groper), elle sert à vérifier la connectivité IP à un autre ordinateur en envoyant des messages Requête d'écho ICMP (Internet Control Message Protocol). Si tout est bien configuré on reçoit des réponses positives signifiant que les deux machines arrivent à communiquer entre elles. On réalise ce test sur chaque ordinateur du réseau Wi-Fi.

Maintenant que le réseau sans fil Wi-Fi a été installé, nous pensons à l'avenir afin de savoir ce que nous réserve le temps.

IX. PERSPECTIVES D'AVENIR DU RÉSEAU WI-FI DE CAWAD

IX.1 LA VEILLE TECHNOLOGIQUE

Les réseaux sans-fil sont en évolution permanente : de nouvelles normes sont sans cesse en étude pour améliorer les débits, la fiabilité, la qualité et la sécurité. En ce qui concerne les normes Wi-Fi, le prochain saut technique important est le 802.11n, qui porte le débit maximum théorique à 200 ou 500Mbit/s. Cette norme, qui a été ratifiée en fin 2005 et qui a commencé à être utilisée depuis 2006, demande des équipements spécifiques et nécessiterait donc une mise à jour matérielle pour être supportée.

Quant aux réseaux Wi-Fi maillés (mesh networks) qui pourraient théoriquement concurrencer tous les réseaux Wi-Fi à infrastructure, la plupart des projets sont encore peu développés et utilisables et la norme IEEE correspondante (802.11s) n'en est qu`a ses balbutiements ; d'autre part, le concept même de réseau maillé pose de sérieux problèmes de sécurité.

Les mises à jour du réseau sans fil de CaWaD ne devraient pas poser de problèmes, mais elles supposent un travail de maintenance et de veille technologique léger mais sérieux et régulier. L'avenir à long terme du réseau Wi-Fi CaWaD ne peut être évoqué sérieusement et de façon réaliste dans ce rapport, étant donné la vitesse d'évolution des technologies à l'oeuvre.

IX.2 LES PORTAILS CAPTIFS OU « CYBERCAFÉS VIRTUELS »

Ce projet nous a permis d'entrevoir un autre : la mise en place des « cybercafés virtuels » ou portails captifs. Les cybercafés virtuels sont des cybercafés comme on l'entend mais dont les machines se situent chez les clients. Le principe ici est simple : nous souscrivons un abonnement chez un fournisseur d'accès, ensuite nous installons notre point d'accès dans le quartier ou la zone concernée. Avec ce PA, nous pouvons rayonner notre connexion aux alentours et permettre aux populations environnantes d'en avoir accès moyennant une modeste contribution. Ceci nous permet d'atteindre deux objectifs : permettre aux populations d'accéder à Internet vu que ceci reste encore une denrée rare pour de nombreuses personnes dans notre pays, et dans un second plan de produire des devises au profit de CaWaD Sarl et de l'économie de notre pays.

Seulement cette opération ne peut se faire aussi évidement car il nécessite des moyens d'authentification qui en plus d'être sécurisés se doivent d'être souples. Ceci d'autant plus que la majorité de clients sont en quelque sorte des profanes. Voici à quoi ressemble l'architecture d'un tel système.

Plusieurs logiciels ont été développés pour permettre de déployer de telles solutions. On les appelle : portails captifs.

Techniquement, un portail captif est une structure permettant un accès rapide à Internet. Lorsqu'un utilisateur cherche à accéder à une page Web pour la première fois, le portail captif capture la demande de connexion par un routage interne et propose à l'utilisateur de s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via une page Web stockée localement sur le portail captif grâce à un serveur HTTP. Ceci permet à tout ordinateur équipé d'un navigateur web et d'un accès Wi-Fi de se voir proposer un accès à Internet. La connexion au serveur est sécurisée par SSL grâce au protocole HTTPS, ce qui garanti l'inviolabilité de la transaction.

Les identifiants de connexion (identifiant, mot de passe) de chaque utilisateur sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles du Firewall le concernant sont modifiées et celui-ci se voit alors autorisé à utiliser son accès pour une durée limitée fixée par l'administrateur. A la fin de la durée définie, l'utilisateur se voit redemander ses identifiants de connexion afin d'ouvrir une nouvelle session.

Nous avons jusqu'à ce jour testé plusieurs portails captifs et celui qui présente le plus de potentialités est Pfsence. Nous ne pouvons entrer dans plus de détails sur ce sujet car il constitue l'objet de tout un autre projet. Notons seulement que cette solution a déjà fait ses preuves dans plusieurs pays africains et dans le monde et on vient à se demander ce qui peut être la cause de ce grand retard avec le Cameroun.

X. LA CONDUITE DU PROJET

Bien au-delà de la simple installation d'un réseau Wireless, nous avons également beaucoup appris sur le management de projet. En effet, au départ, chacun d'entre nous était convaincu qu'il allait apprendre énormément au niveau de la sécurisation des réseaux sans-fil, mais bien peu pensaient apprendre une méthodologie de projet.

Au cours de l'année nous avions eu à faire des études sur le Wi-Fi. C'est pourquoi lorsque ce thème nous a été remis nous nous sommes immédiatement rendu compte de l'importance du projet, et à ce titre, avec l'aide de nos encadreurs il nous a semblé important de fixer des deadlines pour les phases successives de la partie technique:

1. Etude fonctionnelle des besoins et rédaction d'un document présenté au maître de stage pour validation : 1 semaine ;

2. Etude des différentes solutions techniques et choix de la solution : 4 semaines ;

3. Réflexion sur l'architecture et le fonctionnement du réseau : 3 semaines ;

Dès la première réunion avec M. BINIGA, celui-ci nous a rappelé l'importance du planning et de la sauvegarde. Sous ses recommandations, nous sommes passés en action et avons sollicité MS Project pour la gestion du planning. Pour les sauvegardes, nous avons pensé une solution quelque originale. Cette solution consiste à s'envoyer par mail nos rapports en cours de rédaction afin de les tenir en sécurité sur Internet et éviter ainsi toute gaucherie après une perte de données locale. Afin de garder une trace de l'évolution de la rédaction, nous renommons chaque version avec un nom différent daté sous la forme : rapport-fotso-04-08-08 pour dire rapport de FOTSO du 04 août 2008.

Finalement, nous avons pu respecter ce planning jusqu'à la mi-août. En effet, c'est à ce moment qu'est apparu un sérieux obstacle au projet : l'absence de fonds pour la réalisation effective des travaux. Heureusement la situation a été améliorée avec l'acquisition d'un point d'accès par un camarade ce qui nous a permis de faire des installations et de configurations en attendant l'acquisition du matériel par la société CaWaD.

Ainsi, nous avons tout au long de ce stage mis en place une infrastructure Wi-Fi la plus sécurisée possible tout en restant compatible avec les différentes technologies existantes.

Notons cependant que si le réseau Wi-Fi présente des avantages en confort et en utilisation qui sont considérables, il n'est pas adapté à de lourdes charges, et il faut savoir que les coûts économisés en évitant un câblage Ethernet pour les postes des utilisateurs peuvent être dépassés par d'autres coûts auxquels on n'a pas forcément pensé à l'origine.

En pratique, les réseaux Wi-Fi sont performants en mode client-serveur avec des échanges courts (navigation Internet par exemple), ce qui explique leur succès auprès des particuliers.

Enfin, avec la solution des cybercafés virtuels, nous pensons pouvoir produire des devises à CaWaD et par la même occasion participer au mieux à la réduction du fossé numérique qui existe entre le Nord et le Sud.

Authentification réseau avec Radius 802.1x - EAP - FreeRadius Auteur : Serge Bordères Édition : Eyrolles Collection : Blanche.

La première norme des réseaux locaux sans fils est validée en 1997 sous la norme 802.11 et connu du grand public sous le nom de WLAN (Wireless Local Area Network) ou RLAN (Radio LAN).

A ce jour, plusieurs variantes de la norme 802.11 ont été définies pour apporter des améliorations aux performances et à la sécurité. En voici quelques unes :

F 802.11e : amélioration de la couche MAC du 802.11 pour supporter la qualité de service (QoS) ;

F 802.11f : amélioration de l'interopérabilité des systèmes ; compatibilité des Access Point ou IAPP (Inter Access Point Protocol) ;

F 802.11g : extension du 802.11b (Wi-Fi) pour gérer le haut débit identique à celui du 802.11a tout en utilisant la bande ISM de 2.4 GHz (54 Mbits/s) ;

F 802.11h: amélioration du 802.11a pour la gestion et le contrôle du spectre (Spectrum managed) ;

Comme on peut le constater à partir du 802.11b le WECA qui est le groupe de travail en charge des réseaux locaux sans fils au sein de l'IEEE a définit le Label Wi-Fi (Wireless Fidelity).

On utilise le terme Wi-Fi5 pour designer le 802.11a ou encore le Wi-Fi dans la bande des 5 GHz.

Ainsi le Wi-Fi est utilisé dans le langage courant pour désigner les réseaux de données (réseaux locaux) sans fils, devenant ainsi le symbole de l'informatique et de l'Internet nomades.

F Internet haut débit avec mobilité garantie au bureau à domicile ou dans les espaces publics ;

F Possibilité de déplacer les postes de travail n'importe où dans le bâtiment sans perdre la connectivité au (sans contrainte de recâblage) ;

F Intégration facile au réseau existant pour offrir de la mobilité aux utilisateurs ;

Différents mécanismes sont mis en oeuvre pour garantir un minimum de sécurité sur le réseau Wi-Fi de base:

Pour palier aux failles du WEP, et renforcer la sécurité d'une manière générale d'autres normes sont adoptés ou en cours d'adoption : WPA, 802.11i, ...

F Portée : jusqu'à 300m de rayon de couverture sans obstacle (à la propagation des ondes).

F Débits : variable de 1 à 108 Mbit/s (jusqu'à 11 Mbit/s pour le 802.11b, 22 Mbit/s pour le 802.11b+, 54 Mbit/s pour le 802.11g et 108 Mbit/s pour le 802.11g+).

Il est possible de construire son réseau Wi-Fi avec une architecture plus complexe combinant des AP (avec des fonctions différentes) et des équipements de réseaux filaires pour des raisons de couverture ou de sécurité.

Le Point d'Accès ou Access Point (AP) : c'est l'équipement central qui gère l'aspect radio du réseau sans fil. Il joue souvent le rôle de routeur, modem et gère la connexion avec le réseau filaire (Internet). Certains peuvent aussi assurer les fonctions de pont et de répéteur. Les interfaces disponibles su un AP sont :

F RJ45 : utilisé généralement pour interconnecter le réseau sans fil à un autre réseau (filaire...) ou un terminal ne disposant pas de carte Wi-Fi ;

Pour qu'un poste soit connecté à un réseau Wi-Fi il est indispensable qu'il soit équipé de l'un des éléments suivants :

F Un adaptateur Wi-Fi quelconque : Ethernet/Wi-Fi ou Port parallèle/Wi-Fi ou Port série/Wi-Fi

Les interfaces clients sont généralement vendues avec des pilotes/utilitaires (sur CD) pour leur configuration sous différents OS (WINDOWS98/2000/Me/XP ou MAC OS). Par ailleurs, d'autres terminaux peuvent être pré-équipés Wi-Fi ce qui dispense l'usager d'acquisition de matériel supplémentaire :

Exemples : Caméra Wi-Fi, PC Portable Centrino, Imprimante Wi-Fi, Agenda Electronique Wi-Fi.

Une fois l'Access Point convenablement installé, certains mécanismes sont indispensables avant qu'un poste client Wi-Fi se trouvant dans la zone de couverture de l'Access Point puisse échanger les informations sur le réseau :

F d'abord ces postes clients et l'Access Point doivent utiliser un canal radio identique choisie une liste allant de 1 à 14) ;

F ensuite se déroule l'authentification et l'association afin que le poste client Wi-Fi soit logiquement connecté au réseau. Pendant cette phase d'association et d'authentification, l'Access Point et les postes clients échangent un identifiant «le nom du réseau (SSID)» sur lequel ils se trouvent ainsi que la nature du cryptage utilisé ;

F c'est après l'échange de ces informations indispensables que les postes clients seront connectés au réseau Wi-Fi.

Le cadre réglementaire de déploiement et d'utilisation d'un réseau Wi-Fi varie d'un pays à l'autre. Avant de mettre en oeuvre son réseau Wi-Fi, il faut se renseigner sur les aspects réglementaires : les canaux autorisés, les procédures de déclaration obligatoire. Pour le faire, il faut s'adresser à l'ART (Agence de Régulation des Télécommunications). D'après nos renseignements, la réglementation camerounaise autorise le déploiement du Wi-Fi en intérieur ou en extérieur. Seulement, pour un déploiement en extérieur une lettre d'information devra être adressée à l'ART pour « information ».

On peut classifier les attaques dans un réseau sans fil Wi-Fi en deux groupes principaux : les attaques passives et les attaques actives, qui sont bien évidemment plus dangereuses.

A. Attaques passives

Dans un réseau sans fil, l'écoute passive est d'autant plus facile que le média air est difficilement maîtrisable. Bien souvent, la zone de couverture radio d'un point d'accès déborde du domaine privé d'une entreprise ou d'un particulier. L'attaque passive la plus répandue est la recherche de point d'accès. Cette attaque (appelée Wardriving) est devenu le " jeu " favori de nombreux pirates informatique, les points d'accès sont facilement détectables grâce à un scanner (portable équipé d'une carte WI-FI et d'un logiciel spécifique de recherche de PA.) Ces cartes Wi-Fi sont équipées d'antennes directives permettant d'écouter le trafic radio à distance hors de la zone de couverture du point d'accès. Il existe deux types de scanners, les passifs (Kismet, Wi-Fiscanner, Prismstumbler...) ne laissant pas de traces (signatures), quasiment indétectables et les actifs(Netstumbler, Dstumbler) détectables en cas d'écoute, ils envoient des " probe request ". Seul Netstumbler fonctionne sous Windows, les autres fonctionnent sous Linux. Les sites détectés sont ensuite indiqués par un marquage extérieur (à la craie) suivant un code (warchalking) :

Une première analyse du trafic permet de trouver le SSID (nom du réseau), l'adresse MAC du point d'accès, le débit, le type de cryptage utilisé et la qualité du signal. Associé à un GPS, ces logiciels permettent de localiser (latitude, longitude) ces points d'accès.

A un niveau supérieur, des logiciels (Aisnort ou Wepcrack) permettent en quelques heures (suivant le trafic), de déchiffrer les clés WEP et ainsi avec des outils d'analyse de réseaux conventionnels la recherche d'informations peut aller plus loin. Le pirate peut alors passer à une attaque dite active.

B. Attaques actives

Le déni de service réseau est souvent l'alternative à d'autres formes d'attaques car dans beaucoup de cas il est plus simple à mettre en oeuvre, nécessite moins de connaissances et est moins facilement traçable qu'une attaque directe. Cette attaque a pour but d'empêcher des utilisateurs légitimes d'accéder à des services en saturant de fausses requêtes ces services. Elle se base généralement sur des " bugs " logiciel. Dans le domaine du Wi-Fi, cela consiste notamment à bloquer des points d'accès soit en l'inondant de requête de désassociation ou de désauthentification (programme Airjack), ou plus simplement en brouillant les signaux hertzien.

L'IP spoofing est une technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate. L'IP spoofing n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade (il s'agit du terme technique) de l'adresse IP au niveau des paquets émis, c'est-à-dire que les paquets envoyés sont modifiés afin qu'ils semblent parvenir d'une autre machine.

Cette attaque consiste pour un réseau Wi-Fi, a disposer un point d'accès étranger à proximité des autres PA légitimes. Les stations désirant se connecter au réseau livreront au PA " félon " leurs informations nécessaires à la connexion. Ces informations pourront être utilisées par une station pirate. Il suffit tout simplement à une station pirate écoutant le trafic, de récupérer l'adresse MAC d'une station légitime et de son PA, et de s'intercaler au milieu.

Un certificat de clé publique, généralement appelé simplement un certificat, est une instruction signée numériquement qui lie la valeur d'une clé publique à l'identité de la personne, de la machine ou du service qui contient la clé privée correspondante. La plupart des certificats communément utilisés sont basés sur la norme de certificat X.509v3 (Version 3 de la recommandation X.509 de l'ITU-T relative à la syntaxe et au format des certificats).

Des certificats peuvent être émis pour une variété de fonctions telles que l'authentification d'utilisateurs Web, l'authentification de serveurs Web, la sécurisation d'une messagerie, la sécurité IP (IPSec), la Transport Layer Security (TLS). Des certificats sont également délivrés par une certification authority (CA) à une autre afin d'établir une hiérarchie de certification.

L'entité qui reçoit le certificat est appelée le sujet du certificat. L'émetteur et signataire du certificat est une autorité de certification.

Un certificat n'est valide que pour la durée spécifiée à l'intérieur ; chaque certificat contient les dates Valide à partir du et Valide jusqu'au qui définissent les limites de la période de validité. Une fois que la période de validité d'un certificat est dépassée, un nouveau certificat doit être demandé par le sujet du certificat expiré.

Dans le cas où il devient nécessaire de défaire la liaison déclarée dans un certificat, ce dernier peut être révoqué par l'émetteur. Chaque émetteur gère une liste de révocation de certificats qui peut être utilisée par des programmes lors de la vérification de la validité de n'importe quel certificat.

L'un des principaux avantages des certificats est que les hôtes n'ont plus besoin de gérer un jeu de mots de passe pour des sujets individuels qui doivent être authentifiés avant d'obtenir un accès. Il suffit désormais à l'hôte d'établir une relation d'approbation avec un émetteur de certificats.

Lorsqu'un hôte, tel qu'un serveur Web sécurisé, désigne un émetteur en tant qu'autorité racine approuvée, l'hôte approuve implicitement les stratégies que l'émetteur a utilisées pour établir les liaisons des certificats qu'il émet. En fait, l'hôte fait confiance à l'émetteur en ce qui concerne la vérification de l'identité du sujet du certificat. Un hôte désigne un émetteur en tant qu'autorité racine de confiance en plaçant le certificat auto-signé de l'émetteur contenant sa clé publique dans le magasin de certificats de l'autorité de certification racine de confiance de l'ordinateur hôte. Les autorités de certification intermédiaires ou secondaires ne sont approuvées que si elles ont un chemin d'accès de la certification valide à partir d'une autorité de certification racine de confiance.

Lorsque deux entités (machines, personnes, applications ou services) essaient d'établir leur identité et leur relation d'approbation, le fait que les deux entités approuvent la même autorité de certification permet d'établir entre elles le lien d'identité et d'approbation. Une fois qu'un sujet de certificat a présenté un certificat émis par une autorité de certification approuvée, l'entité qui essaie d'établir la relation d'approbation peut entreprendre un échange d'informations en stockant le certificat du sujet dans son propre magasin de certificats et, le cas échéant, en utilisant la clé publique contenue dans le certificat pour crypter une clé de session afin de sécuriser toutes les communications suivantes avec le sujet du certificat.

L'authentification est l'opération par laquelle le destinataire et/ou l'émetteur d'un message s'assure (nt) de l'identité de son interlocuteur. L'authentification est une phase cruciale pour la sécurisation de la communication. Les utilisateurs doivent pouvoir prouver leur identité à leurs partenaires de communication et doivent également pouvoir vérifier l'identité des autres utilisateurs. L'authentification de l'identité sur un réseau est une opération complexe, car les parties qui communiquent ne se rencontrent pas physiquement lors de la communication. Un utilisateur malveillant peut ainsi intercepter des messages ou emprunter l'identité d'une autre personne ou entité.

Le protocole RADIUS (Remote Authentication Dial-In User Service) en français « service d'authentification distante des utilisateurs d'accès à distance », mis au point initialement par la société Livingston, est un protocole d'authentification standard, défini par les RFC 2865 (pour l'authentification) et 2866 (pour la comptabilité).

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

F Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

F Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

Suite à cette phase dit d'authentification, débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5 champs:

o Authentificator : Champ d'authentification comprenant les éléments nécessaires.

Terme	Définition
Adresse MAC (Media Access Control)	Adresse matérielle d'un périphérique raccordé à un support de réseau partagé.
AES (Advanced Encryption Standard)	Technique de cryptage de données par bloc de 128 bits symétrique.
Bande ISM (Intermediate Service Module)	Bande radio utilisée dans les transmissions de mise en réseau sans fil.
Bit (chiffre binaire)	Plus petite unité d'information d'une machine.
CSMA/CA (Accès multiple par détection de porteur./Autorité de certification)	Méthode de transfert de données utilisée pour empêcher les collisions de données.
DHCP (Dynamic Host Configuration Protocol)	Protocole qui permet à un périphérique d'un réseau local, le serveur DHCP, d'affecter des adresses IP temporaires à d'autres périphériques réseau, généralement des ordinateurs.
DNS (serveur de nom de domaine)	Adresse IP du serveur de votre ISP, qui traduit les noms des sites Web en adresses IP.
Domaine	Nom spécifique d'un réseau d'ordinateurs.
EAP (Extensible Authentication Protocol)	Protocole d'authentification général utilisé pour contrôler l'accès au réseau. De nombreuses méthodes d'authentification fonctionnent avec cette infrastructure.
EAP-PEAP (Extensible Authentication Protocol-Protected Extensible Authentication Protocol)	Méthode d'authentification mutuelle qui utilise des certificats numériques en plus d'un autre système, tels que des mots de passe.
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)	Méthode d'authentification mutuelle qui utilise des certificats numériques.
Étalement du spectre	Technique de fréquence radio large bande utilisée pour une transmission de données plus fiable et sécurisée.
IEEE (The Institute of Electrical and Electronics Engineers)	Institut indépendant qui développe des normes de mise en réseau.
Infrastructure	Matériel informatique et de mise en réseau actuellement installé.
ISP (fournisseur de services Internet)	Société qui procure un accès à Internet.
LAN (réseau local)	Ordinateurs et produits de mise en réseau qui constituent le réseau à votre domicile ou votre bureau.
Mbit/s (Mégabits par seconde)	Un million de bits par second ; unité de mesure pour la transmission de données.
NAT (traduction d'adresses réseau)	La technologie NAT traduit des adresses IP du réseau local en adresses IP différentes pour Internet.
NNTP (Network News Transfer Protocol)	Protocole utilisé pour se connecter à des groupes Usenet sur Internet.
OFDM (multiplexage fréquentiel orthogonal)	Type de technologie de modulation qui sépare le flux de données en un nombre de flux de données bas débit, qui sont ensuite transmises en parallèle.
PoE (Power over Ethernet)	Technologie permettant à un câble réseau Ethernet de fournir des données et l'alimentation électrique.
RADIUS (Remote Authentication Dial-In User Service)	Protocole qui utilise un serveur d'authentification pour contrôler l'accès au réseau.
SNMP (Simple Network Management Protocol)	Protocole de contrôle et de surveillance du réseau largement utilisé.
SSID (Service Set IDentifier)	Nom de votre réseau sans fil.
TCP/IP (Transmission Control Protocol/Internet Protocol)	Protocole réseau de transmission de données qui exige un accusé de réception du destinataire des données envoyées.
TKIP (Temporal Key Integrity Protocol)	Protocole de cryptage sans fil qui modifie périodiquement la clé de cryptage, la rendant plus difficile à décoder.
TLS (Transport Layer Security)	Protocole qui garantie la protection des informations confidentielles et l'intégrité des données entre les applications client/serveur qui communiquent sur Internet.
UDP (User Datagram Protocol)	Protocole réseau de transmission de données qui n'exige aucun accusé de réception du destinataire des données envoyées.
URL (Uniform Resource Locator)	Adresse d'un fichier qui se trouve sur Internet.
WEP (Wired Equivalency Protocol)	WEP est un protocole de sécurité pour les réseaux sans fil. WEP offre un niveau de sécurité de base mais satisfaisant pour la transmission de données sans fil.
WLAN (réseau local sans fil)	Groupe d'ordinateurs et de périphériques associés qui communiquent sans fil entre eux.
WPA (Wi-Fi Protected Access)	Protocole de sécurité pour les réseaux sans fil qui repose sur les fondations de base du protocole WEP. Il sécurise la transmission de données sans fil en utilisant une clé similaire à la clé WEP, mais sa force est que cette clé change dynamiquement. Il est donc plus difficile pour un pirate de la découvrir et d'accéder au réseau.