WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un réseau Wi-Fi avec authentification basée sur des certificats

( Télécharger le fichier original )
par Arnaud Dupont FOTSO TACHUM
Institut Africain d'Informatique, Representation du Cameroun - Analyste Concepteur de Systèmes d'Informations 2008
  

précédent sommaire

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

B. Attaques actives

Les différentes attaques connues dans les réseaux sans fil Wi-Fi sont :

F DoS (Denial of Service)

Le déni de service réseau est souvent l'alternative à d'autres formes d'attaques car dans beaucoup de cas il est plus simple à mettre en oeuvre, nécessite moins de connaissances et est moins facilement traçable qu'une attaque directe. Cette attaque a pour but d'empêcher des utilisateurs légitimes d'accéder à des services en saturant de fausses requêtes ces services. Elle se base généralement sur des " bugs " logiciel. Dans le domaine du Wi-Fi, cela consiste notamment à bloquer des points d'accès soit en l'inondant de requête de désassociation ou de désauthentification (programme Airjack), ou plus simplement en brouillant les signaux hertzien.

F Spoofing (usurpation d'identité)

L'IP spoofing est une technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate. L'IP spoofing n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade (il s'agit du terme technique) de l'adresse IP au niveau des paquets émis, c'est-à-dire que les paquets envoyés sont modifiés afin qu'ils semblent parvenir d'une autre machine.

F Man in the middle (home au milieu)

Cette attaque consiste pour un réseau Wi-Fi, a disposer un point d'accès étranger à proximité des autres PA légitimes. Les stations désirant se connecter au réseau livreront au PA " félon " leurs informations nécessaires à la connexion. Ces informations pourront être utilisées par une station pirate. Il suffit tout simplement à une station pirate écoutant le trafic, de récupérer l'adresse MAC d'une station légitime et de son PA, et de s'intercaler au milieu.

Annexe3 Généralités sur les certificats

Un certificat de clé publique, généralement appelé simplement un certificat, est une instruction signée numériquement qui lie la valeur d'une clé publique à l'identité de la personne, de la machine ou du service qui contient la clé privée correspondante. La plupart des certificats communément utilisés sont basés sur la norme de certificat X.509v3 (Version 3 de la recommandation X.509 de l'ITU-T relative à la syntaxe et au format des certificats).

Des certificats peuvent être émis pour une variété de fonctions telles que l'authentification d'utilisateurs Web, l'authentification de serveurs Web, la sécurisation d'une messagerie, la sécurité IP (IPSec), la Transport Layer Security (TLS). Des certificats sont également délivrés par une certification authority (CA) à une autre afin d'établir une hiérarchie de certification.

L'entité qui reçoit le certificat est appelée le sujet du certificat. L'émetteur et signataire du certificat est une autorité de certification.

En général, les certificats contiennent les informations suivantes :

F La valeur de la clé publique du sujet

F Des informations identifiant le sujet, par exemple son nom et son adresse de messagerie

F La période de validité (durée pendant laquelle le certificat est valide)

F Des informations identifiant l'émetteur

F La signature numérique de l'émetteur qui atteste la validité de la liaison entre la clé publique du sujet et les informations d'identification de ce dernier.

Un certificat n'est valide que pour la durée spécifiée à l'intérieur ; chaque certificat contient les dates Valide à partir du et Valide jusqu'au qui définissent les limites de la période de validité. Une fois que la période de validité d'un certificat est dépassée, un nouveau certificat doit être demandé par le sujet du certificat expiré.

Dans le cas où il devient nécessaire de défaire la liaison déclarée dans un certificat, ce dernier peut être révoqué par l'émetteur. Chaque émetteur gère une liste de révocation de certificats qui peut être utilisée par des programmes lors de la vérification de la validité de n'importe quel certificat.

L'un des principaux avantages des certificats est que les hôtes n'ont plus besoin de gérer un jeu de mots de passe pour des sujets individuels qui doivent être authentifiés avant d'obtenir un accès. Il suffit désormais à l'hôte d'établir une relation d'approbation avec un émetteur de certificats.

Lorsqu'un hôte, tel qu'un serveur Web sécurisé, désigne un émetteur en tant qu'autorité racine approuvée, l'hôte approuve implicitement les stratégies que l'émetteur a utilisées pour établir les liaisons des certificats qu'il émet. En fait, l'hôte fait confiance à l'émetteur en ce qui concerne la vérification de l'identité du sujet du certificat. Un hôte désigne un émetteur en tant qu'autorité racine de confiance en plaçant le certificat auto-signé de l'émetteur contenant sa clé publique dans le magasin de certificats de l'autorité de certification racine de confiance de l'ordinateur hôte. Les autorités de certification intermédiaires ou secondaires ne sont approuvées que si elles ont un chemin d'accès de la certification valide à partir d'une autorité de certification racine de confiance.

Lorsque deux entités (machines, personnes, applications ou services) essaient d'établir leur identité et leur relation d'approbation, le fait que les deux entités approuvent la même autorité de certification permet d'établir entre elles le lien d'identité et d'approbation. Une fois qu'un sujet de certificat a présenté un certificat émis par une autorité de certification approuvée, l'entité qui essaie d'établir la relation d'approbation peut entreprendre un échange d'informations en stockant le certificat du sujet dans son propre magasin de certificats et, le cas échéant, en utilisant la clé publique contenue dans le certificat pour crypter une clé de session afin de sécuriser toutes les communications suivantes avec le sujet du certificat.

Annexe4 Généralités sur le protocole RADIUS

L'authentification est l'opération par laquelle le destinataire et/ou l'émetteur d'un message s'assure (nt) de l'identité de son interlocuteur. L'authentification est une phase cruciale pour la sécurisation de la communication. Les utilisateurs doivent pouvoir prouver leur identité à leurs partenaires de communication et doivent également pouvoir vérifier l'identité des autres utilisateurs. L'authentification de l'identité sur un réseau est une opération complexe, car les parties qui communiquent ne se rencontrent pas physiquement lors de la communication. Un utilisateur malveillant peut ainsi intercepter des messages ou emprunter l'identité d'une autre personne ou entité.

Le protocole RADIUS (Remote Authentication Dial-In User Service) en français « service d'authentification distante des utilisateurs d'accès à distance », mis au point initialement par la société Livingston, est un protocole d'authentification standard, défini par les RFC 2865 (pour l'authentification) et 2866 (pour la comptabilité).

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

Le scénario du principe de fonctionnement est le suivant :

F Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

F Le NAS achemine la demande au serveur RADIUS ;

F Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

o ACCEPT : l'identification a réussi ;

o REJECT : l'identification a échoué ;

o CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

o CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de passe.

Suite à cette phase dit d'authentification, débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur.

Figure 15 : RADIUS

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5 champs:

o Code : Définit le type de trame (acceptation, rejet, challenges, requête)

o Identifier : Associe les réponses reçues aux requêtes envoyées.

o Length : Champ longueur.

o Authentificator : Champ d'authentification comprenant les éléments nécessaires.

o Attributes : Ensemble de couples (attribut, valeur).

Figure 16 : En-tête d'un paquet RADIUS

Annexe5  Glossaire des principaux sigles et acronymes utilisés

Terme

Définition

Adresse MAC (Media Access Control)

Adresse matérielle d'un périphérique raccordé à un support de réseau partagé.

AES (Advanced Encryption Standard)

Technique de cryptage de données par bloc de 128 bits symétrique.

Bande ISM (Intermediate Service Module)

Bande radio utilisée dans les transmissions de mise en réseau sans fil.

Bit (chiffre binaire)

Plus petite unité d'information d'une machine.

CSMA/CA (Accès multiple par détection de porteur./Autorité de certification)

Méthode de transfert de données utilisée pour empêcher les collisions de données.

DHCP (Dynamic Host Configuration Protocol)

Protocole qui permet à un périphérique d'un réseau local, le serveur DHCP, d'affecter des adresses IP temporaires à d'autres périphériques réseau, généralement des ordinateurs.

DNS (serveur de nom de domaine)

Adresse IP du serveur de votre ISP, qui traduit les noms des sites Web en adresses IP.

Domaine

Nom spécifique d'un réseau d'ordinateurs.

EAP (Extensible Authentication Protocol)

Protocole d'authentification général utilisé pour contrôler l'accès au réseau. De nombreuses méthodes d'authentification fonctionnent avec cette infrastructure.

EAP-PEAP (Extensible Authentication Protocol-Protected Extensible Authentication Protocol)

Méthode d'authentification mutuelle qui utilise des certificats numériques en plus d'un autre système, tels que des mots de passe.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Méthode d'authentification mutuelle qui utilise des certificats numériques.

Étalement du spectre

Technique de fréquence radio large bande utilisée pour une transmission de données plus fiable et sécurisée.

IEEE (The Institute of Electrical and Electronics Engineers)

Institut indépendant qui développe des normes de mise en réseau.

Infrastructure

Matériel informatique et de mise en réseau actuellement installé.

ISP (fournisseur de services Internet)

Société qui procure un accès à Internet.

LAN (réseau local)

Ordinateurs et produits de mise en réseau qui constituent le réseau à votre domicile ou votre bureau.

Mbit/s (Mégabits par seconde)

Un million de bits par second ; unité de mesure pour la transmission de données.

NAT (traduction d'adresses réseau)

La technologie NAT traduit des adresses IP du réseau local en adresses IP différentes pour Internet.

NNTP (Network News Transfer Protocol)

Protocole utilisé pour se connecter à des groupes Usenet sur Internet.

OFDM (multiplexage fréquentiel orthogonal)

Type de technologie de modulation qui sépare le flux de données en un nombre de flux de données bas débit, qui sont ensuite transmises en parallèle.

PoE (Power over Ethernet)

Technologie permettant à un câble réseau Ethernet de fournir des données et l'alimentation électrique.

RADIUS (Remote Authentication Dial-In User Service)

Protocole qui utilise un serveur d'authentification pour contrôler l'accès au réseau.

SNMP (Simple Network Management Protocol)

Protocole de contrôle et de surveillance du réseau largement utilisé.

SSID (Service Set IDentifier)

Nom de votre réseau sans fil.

TCP/IP (Transmission Control Protocol/Internet Protocol)

Protocole réseau de transmission de données qui exige un accusé de réception du destinataire des données envoyées.

TKIP (Temporal Key Integrity Protocol)

Protocole de cryptage sans fil qui modifie périodiquement la clé de cryptage, la rendant plus difficile à décoder.

TLS (Transport Layer Security)

Protocole qui garantie la protection des informations confidentielles et l'intégrité des données entre les applications client/serveur qui communiquent sur Internet.

UDP (User Datagram Protocol)

Protocole réseau de transmission de données qui n'exige aucun accusé de réception du destinataire des données envoyées.

URL (Uniform Resource Locator)

Adresse d'un fichier qui se trouve sur Internet.

WEP (Wired Equivalency Protocol)

WEP est un protocole de sécurité pour les réseaux sans fil. WEP offre un niveau de sécurité de base mais satisfaisant pour la transmission de données sans fil.

WLAN (réseau local sans fil)

Groupe d'ordinateurs et de périphériques associés qui communiquent sans fil entre eux.

WPA (Wi-Fi Protected Access)

Protocole de sécurité pour les réseaux sans fil qui repose sur les fondations de base du protocole WEP. Il sécurise la transmission de données sans fil en utilisant une clé similaire à la clé WEP, mais sa force est que cette clé change dynamiquement. Il est donc plus difficile pour un pirate de la découvrir et d'accéder au réseau.

précédent sommaire






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Et il n'est rien de plus beau que l'instant qui précède le voyage, l'instant ou l'horizon de demain vient nous rendre visite et nous dire ses promesses"   Milan Kundera