Soutenance mémoire
PROBLEMATIQUES DES RESEAUX WI-FI
Complexité
Le premier problème auquel l’administrateur réseau est confronté est la diversité des compétences nécessaires à la mise en œuvre d’un réseau Wi-Fi. Il faut prendre en considération les problèmes de transmission radio, un éventuel audit du site, l’intégration de l’existant (réseau câblé,…), le respect de la régulation, le support effectif des standards actuels et à venir, l’administrateur de ce futur réseau,….
Attaques et intrusions
On peut classifier les attaques en deux groupes principaux : les attaques passives et les attaques actives, qui sont bien évidemment plus dangereuses.
Attaques passives
Dans un réseau Wi-Fi, il s’agit tout simplement d’écouter le trafic radio dans l’air. L’écoute passive est d’autant plus facile que le média air est difficilement maîtrisable. Bien souvent, la zone de couverture radio d’un point d’accès déborde du domaine privé d’une entreprise ou d’un particulier.
Attaques actives
Les différentes attaques connues dans les réseaux filaires et qui touchent le monde du Wi-Fi sont :
− Attaques DoS (Denial of Service) qui a pour but de bloquer des points d’accès Wi Fi.
− Attaque par force brute qui consiste à tester toutes les combinaisons possibles afin de récupérer un mot de passe ou une clé de chiffrement utilisée dans un réseau.
− Attaque par dictionnaire qui est utilisée pour récupérer un mot de passe ou une clé en utilisant une base de données contenant un grand nombre de mots.
− Spoofing (usurpation d’identité) est une technique permettant à un pirate d’envoyer à une machine des paquets, semblant provenir d’une adresse IP autre que celle de la machine du pirate.
Intrusions
Les intrusions dans l’environnement sans-fil peuvent être classifiées comme suit : [6]
− Surveillance : elle consiste à observer et décoder le trafic effectif du réseau.
− Impersonation : ce type consiste à prendre la place d’un client ou d’un AP valide en utilisant son adresse (BSSID et ESSID pour un AP), dans l’objectif d’accéder au réseau ou aux services.
− Intrusion Client : consiste à exploiter une vulnérabilité du client pour accéder au réseau.
− Intrusion Réseau : qui vise à prendre le contrôle des ressources réseau d’une entreprise.
Multiplicité des méthodes d’attaques et d’intrusions
Du fait des faiblesses des solutions standard, de nombreux risques existent en Wi-Fi. Il s’agit typiquement des Fake AP, Rogue AP, Honey Pot, dont on parle le plus souvent.
Fake AP
Le Fake AP n’est pas un véritable AP. Des logiciels permettent de faire apparaître l’interface Wi-Fi d’un poste client (généralement sous Linux) comme un AP, et de configurer son ESSID (nom symbolique du WLAN) et BSSID (adresse MAC de l’AP) dans un objectif d’impersonation.
Rogue AP
La faille de sécurité dite Rogue AP est la plus redoutée en entreprise (nous traduirons Rogue par indésirable ici). Elle survient quand un utilisateur du réseau connecte un AP sur la prise Ethernet murale, lui permettant d’avoir une certaine mobilité avec son ordinateur à l’intérieur de la cellule ainsi créée. Ces installations pirates, pas nécessairement malveillantes, sont particulièrement dangereuses parce qu’elles ouvrent le réseau de l’entreprise au monde Wi-Fi.
Honey Pot
Le pot de miel est un AP qui cherche à apparaître comme faisant partie intégrante du réseau de la société pour attirer les postes clients (utilisation du même ESSID), et les laisser se connecter (au niveau WLAN). De cette façon, l’Honey Pot espère pouvoir espionner la phase de connexion, pour en déduire les paramètres utiles, quitte à effectivement reproduire simultanément la phase de connexion vers le réseau réel.
MESURES DE SECURITE
Un réseau sans-fil est beaucoup plus sensible qu’un réseau filaire car les données circulent librement dans l’air. Il est essentiel de protéger un réseau sans-fil, même si on considère que les données qui circulent n’ont rien de confidentiel. En effet, un réseau sans-fil non protégé peut permettre à n’importe quel utilisateur du voisinage d’utiliser une connexion Internet et éventuellement lancer un certains nombre d’attaques.
Cryptage et Firewall
Le cryptage
Le cryptage ou chiffrement garantit la confidentialité des données. Le cryptage consiste à prendre un message, dit « en clair », et à le soumettre à une fonction ou algorithme mathématique pour produire un texte « crypté ». Le déchiffrement est la transformation inverse. Les algorithmes de cryptage se servent le plus souvent d’une valeur, appelée clé, qui sert à chiffrer et à déchiffrer les données.
Le Firewall
Le Firewall ou pare-feu est un processus qui analyse le trafic entrant, sortant et traversant. C’est une machine qui a pour rôle principal de protéger le réseau. Le Firewall filtre l’entrée de trafic externe, par exemple l’Internet, vers le réseau local et inversement. Le filtrage de paquet consiste à regarder l’en tête d’un paquet qui traverse une machine et à décider de l’avenir de ce paquet. Celui-ci peut être rejeté, accepté ou modifié suivant des règles plus ou moins complexe. Dans de nombreux cas, on utilisera le filtrage pour contrôler et/ou sécuriser l’intérieur du réseau local du monde extérieur.
Authentification RADIUS
L’authentification est une procédure qui permet de vérifier et de valider l’authenticité d’une entité tandis que l’identification permet de connaître l’identité d’une entité en question. En ce qui concerne l’authentification réseau, il s’agit d’authentifier une machine lorsqu’elle se branche sur le réseau afin d’autoriser ou refuser l’usage du réseau .
RADIUS (Remote Authentication Dial-In User Service) est un protocole d’authentification standard. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS par exemple), relié à une base d’identification (annuaire LDAP, …) et un client RADIUS (c’est le point d’accès pour un réseau Wi-Fi), appelé NAS (Network Access Server) faisant office d’intermédiaire entre l’utilisateur final et le serveur. L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré et authentifié grâce à un secret partagé.
Les paquets RADIUS
Le protocole RADIUS utilise 4 types de paquets pour faire les transactions :
– Access-Request : c’est le premier paquet envoyé par le NAS. Il contient l’identité de l’utilisateur qui se connecte (username/password ou CN ou adresse MAC).
– Access-Accept : c’est le paquet renvoyé par le serveur Radius pour accepter la requête du client après l’interrogation de sa base d’authentification.
– Access-Reject : un paquet émis par le serveur Radius pour spécifier au client que sa requête est rejetée.
– Access-Challenge : ce paquet est émis par le serveur Radius soit pour émettre une nouvelle fois un access-request, soit pour demander des informations complémentaires.
Le protocole EAP
RADIUS repose sur le protocole EAP (ou Extensible Authentication Protocol) du 802.1x pour les communications du client vers le serveur d’authentification. EAP est un protocole de transport de protocole d’authentification. L’intérêt de l’architecture de EAP est de pouvoir utiliser divers mécanismes d’authentification sans que l’équipement réseau ait besoin de les connaître. Dans ce cas, il agit comme un tunnel transparent vers un serveur qui lui implémente les mécanismes souhaités (par exemple: mot de passe, certificats, ….). Son fonctionnement dans ses différentes variantes est décrit comme suit : [12]
− Dialogue entre le supplicant et l’authenticator : EAPoL
Le standard 802.1x spécifie un format de trame Ethernet. Le port du commutateur qui est en mode 802.1x n’acceptera que ce type de trame tant que l’authentification n’est pas accomplie. Ces trames transportent dans leur charge utile le protocole EAP. On parle d’EAPoL pour « EAP Over LAN », utilisé pour le dialogue entre le Supplicant et l’Authenticator.
− Dialogue entre l’authenticator et le serveur d’authentification : EAP in RADIUS
L’authenticator est responsable du relayage des trames EAP entre le supplicant et le serveur d’authentification. Ce relayage prend en compte les transformations nécessaires de ces paquets pour une transmission dans le format approprié. Le serveur d’authentification que l’on utilisera sera un serveur RADIUS, l’authenticator communique alors en EAPoL avec le supplicant et en EAP in RADIUS avec le serveur d’authentification. L’authenticator est client du serveur RADIUS et peut attribuer les informations qu’il reçoit au supplicant (temps de session, …). Dans la configuration de cette étude, toutes les autres trames EAP venant du supplicant sont converties du format EAPoL en EAP in RADIUS et inversement étant donné que le standard 802.1x n’impose pas l’utilisation de RADIUS. Lorsque l’authenticator reçoit un message EAPoL de la part du supplicant qu’il doit faire parvenir au serveur d’authentification, il le transforme en un paquet RADIUS ayant un attribut de code 79 indiquant qu’il encapsule un paquet EAP.
|
Table des matières
Introduction
Chapitre 1 : RESEAU Wi-Fi
1.1. Généralité
a. Réseaux sans fils
b. Wi-Fi
1.2. Spécificité du 802.11
a. Couche liaison de donnée
b. Couche physique
1.3. Modes d’associations
a. Mode Infrastructure
b. Mode Ad –hoc
c. Mode Répéteur
Chapitre 2 : SECURITE RESEAU
2.1. Problématiques des réseaux Wi-Fi
a. Complexité
b. Attaques et intrusions
c. Multiplicités des méthodes d’attaques et d’intrusions
2.2. Mesures de sécurité
a. Cryptage et firewall
b. Authentification RADIUS
c. Annuaire LDAP
Chapitre 3 : MODELE DE CONFIGURATION ET DEPLOIEMENT RESEAU
3.1. Modèle de configuration
a. Firewall
b. Passerelle
3.2. Déploiement réseau
a. Authenticator
b. Supplicant
c. Serveur RADIUS avec LDAP
CONCLUSION
Annexe1
Annexe2
Annexe3
REFERENCES
