Architecture et sécurité du

Transcription

1 HAUTE ECOLE DE LA VILLE DE LIEGE Catégorie Technique INSTITUT SUPERIEUR D ENSEIGNEMENT TECHNOLOGIQUE Architecture et sécurité du WiFi Mémoire de fin d études présenté par PHILIPPART Raphaël en vue de l obtention du diplôme de GRADUE EN TECHNOLOGIE DE L INFORMATIQUE Orientation : Architecture des réseaux (Intranet et Internet) Année académique

2 Architecture et sécurité du WiFi

3 Remerciements Je tiens tout d abord à remercier l ensemble du corps enseignant de l ISET pour ces 3 années d étude passées en leur compagnie. Je tiens aussi à remercier Monsieur Pirotte qui a été d un très grand soutien lors de mon stage. Il m a apporté tout son savoir et le matériel nécessaire à la réalisation de ce travail de fin d études. Un grand merci à lui! Je remercie aussi Mr Cunhabotao, responsable opérationnel chez Chronopost, pour l aide apportée pour ce projet. J en profite aussi pour remercier toutes les personnes avec qui je me suis entretenues pour la bonne réalisation de mon travail

4 Présentation du lieu de stage J ai fait mon stage dans la société Evysoft SCRL dont le siège social se situe rue Matteotti 42, 4460 Grâce-Hollogne. Mr Pirotte, l administrateur de la société, travaille seul. Le gros du travail consiste à une maintenance du réseau et du parc informatique de la société Chronopost International Belgium située chaussée de Louvain à Zaventem. L installation de la station permettant de scanner les colis en toute mobilité s est faite à Zaventem. Les tests de cette station se sont effectués avec l aide du personnel de Chronopost. Ils se sont déroulés de nuit. En effet, c est à ce moment que cette machine est la plus utilisée

5 Introduction Le travail de fin d études, comme son nom l indique, est l ultime travail fourni par un étudiant lors de ses études. C est bien entendu la fin d un cursus scolaire mais aussi le commencement de la vie professionnelle. A l école, le professeur donne son cours et si une question doit être posée, le professeur y répond, mais la vie active nous oblige à nous dépasser et à trouver par nous-mêmes les solutions en se servant des outils et tuyaux donnés au cours de ces 3 années. Mais aussi, apprendre à en maîtriser de nouveaux en utilisant les bases acquises à l ISET et l expérience accumulée au fil des années de travail. J ai abordé mon stage avec une envie et une soif d apprendre dans des milieux fort vastes comme l INTERNET et les RESEAUX. Ces 2 domaines ont été les fils conducteurs de mon stage. Durant ces quatorze semaines, j ai travaillé pour la société EVYSOFT SCRL. Monsieur Pirotte est spécialisé dans la maintenance informatique, mais surtout la maintenance réseaux. Mon travail pour EVYSOFT a été la création et la maintenance de réseau. Création et maintenance d outil de backup, divers travaux de maintenance PC et l élaboration d un projet de réseaux sans fil. Mes buts dans ce projet sont : - Installer une machine sans fil connectée au réseau déjà existant de Chronopost International Belgium - Effectuer des tests de distance et de fiabilité du matériel mis à ma disposition. - Une station capable de scanner les codes colis sur les bandes de tri de Chronopost International Belgium dans une certaine partie du hangar, cette station sera reliée au réseau existant par du matériel aux normes WiFi. - Sécuriser le système à l aide du cryptage des données notamment

6 I. LE WI-FI A. Qu est ce qu une onde radio? Les ondes hertziennes, utilisées non seulement pour la radio proprement dite (la TSF, comme on l'appelait en 1930) mais aussi pour la télévision, le téléphone portable voire le four à micro-ondes, appartiennent comme la lumière ou les rayons X à la grande famille des ondes électromagnétiques. Elles sont produites en injectant dans une antenne un courant électrique variable à haute-fréquence. On peut comparer l'antenne à une ampoule électrique nue qui rayonnerait l'énergie que lui communique le courant électrique qui la traverse. B. Comment se propage une onde radio-électrique? Pour pas mal de moyens de propagation des ondes radio, nous devons garder en mémoire une analogie avec la lumière et nous remémorer les cours de physique élémentaire traitant de ce sujet. Si nous prenons en considération que la lumière se propage en ligne droite, nous pouvons nous rendre compte d'emblée que tout obstacle crée un cône d'ombre, qui empêchera tout objet s'y trouvant de recevoir une lumière directe (un immeuble par exemple). Il est nécessaire d'avoir un minimum de connaissances sur la propagation des ondes hertziennes afin de pouvoir mettre en place une architecture réseau sans fil, et notamment de disposer les bornes d'accès (points d'accès) de telle façon à obtenir une portée optimale. Les ondes radio (notées RF pour Radio Frequency) se propagent en ligne droite dans un rayon de 360. La vitesse de propagation des ondes dans le vide est de m/s. Dans tout autre milieu, le signal subit un affaiblissement dû à L'absorption des ondes radio La réflexion des ondes radio 1) Absorption des ondes radio Lorsqu'une onde radio rencontre un obstacle, un certain pourcentage de son signal est absorbé et transformé en énergie, le reste continue à se

7 propager de façon atténuée et une partie peut éventuellement être réfléchie. On appelle atténuation d'un signal la réduction de la puissance de celuici lors d'une transmission. L'atténuation est mesurée en bels (dont le symbole est B) et est égale au logarithme en base 10 de la puissance à la sortie du support de transmission, divisée par la puissance à l'entrée. On préfère généralement utiliser le décibel (dont le symbole est db) correspondant à un dixième de la valeur en Bels. Ainsi un Bel représentant 10 décibels la formule devient : R (db) = (10) * log (P2/P1) Lorsque R est positif on parle d'amplification, lorsqu'il est négatif on parle d'atténuation. Dans le cas des transmissions sans fil il s'agit plus particulièrement d'atténuations. L'atténuation augmente avec l'augmentation de la fréquence ou de la distance. De plus lors de la collision avec un obstacle, la valeur de l'atténuation dépend fortement du matériau composant l'obstacle. Généralement les obstacles métalliques provoquent une forte réflexion, tandis que l'eau absorbe le signal. 2) Réflexion des ondes radio Lorsqu'une onde radio rencontre un obstacle, tout ou une partie de l'onde est réfléchie, ce qui engendre une perte de puissance. La réflexion est telle que l'angle d'incidence est égal à l'angle de réflexion. Par définition une onde radio est susceptible de se propager dans plusieurs directions. Par réflexions successives un signal source peut être

8 amené à atteindre une station ou un point d'accès en empruntant des chemins multiples (on parle de multipath ou en français cheminements multiples). La différence de temps de propagation (appelée délai de propagation) entre deux signaux ayant emprunté des chemins différents peut provoquer des interférences au niveau du récepteur car les données reçues se chevauchent. Ces interférences deviennent de plus en plus importantes lorsque la vitesse de transmission augmente car les intervalles de temps entre les données sont de plus en plus courts. Les chemins de propagation multiples limitent ainsi la vitesse de transmission dans les réseaux sans fil. Pour remédier à ce problème certains points d'accès possèdent deux récepteurs possédant chacun une antenne. Ainsi, grâce à l'utilisation simultanée de deux récepteurs, le point d'accès est capable de distinguer deux signaux provenant de la même station. Un système de contrôle d erreur est alors mis en place pour vérifier les éventuelles pertes de données

9 3) Propriété des milieux L'affaiblissement de la puissance du signal est en grande partie dû aux propriétés des milieux traversés par l'onde. Voici un tableau donnant les niveaux d'atténuation pour différents matériaux : Matériaux Affaiblissement Exemples Air Aucun Espace ouvert, cour intérieure Bois Faible Porte, plancher, cloison Plastique Faible Cloison Verre Faible Vitres non teintées Verre teinté Moyen Vitres teintées Eau Moyen Aquarium, fontaine Etres vivants Moyen Foule, animaux, humains, végétation Briques Moyen Murs Plâtre Moyen Cloisons Céramique Elevé Carrelage Papier Elevé Rouleaux de papier Béton Elevé Murs porteurs, étages, piliers Verre blindé Elevé Vitres pare-balles Métal Très élevé Béton armé, miroirs, armoire métallique, cage d'ascenceur C. Qu'est-ce que le Wi-Fi? Le Wi-Fi ou est un ensemble de normes spécifiant un type de réseau local sans fil, un type de WLAN (wireless local area network = réseau local sans fil). Basées sur le protocole Ethernet, ces normes ont été définies par l'institut de normalisation IEEE (Institute of Electrical and Electronics Engineers). Il existe actuellement trois normes définissant trois types de réseaux Wi-Fi : le a, le b, et le g. Remarque : j ai défini ici le Wi-Fi (wireless fidelity) comme l'ensemble des normes , ce qui est la définition actuelle de la plupart des

10 constructeurs de matériel réseau, mais ce terme ne désignait au départ que la norme b. Le est un standard depuis juillet Le b est un standard depuis septembre C est l actualisation du et il permet un débit de 11Mbits/s. Tous les produits affichant la norme WIFI ou b sont compatibles entre eux. Ces normes diffusées par l IEEE autorisent la transmission de données sur différents types de média, sur la lumière infrarouge et 2 types de transmissions radio (FHSS : technologie à étalement du spectre à saut de fréquence et DSSSS : la technologie à étalement du spectre à séquence directe) dans la bande de fréquence des 2,4 à 2,483Ghz. Cette bande de fréquence appelée ISM (Industry Scientific Medical) est libre de toute licence. D. Pourquoi le Wi-Fi? Pour commencer, revenons en arrière grâce à un petit historique rapide des choses. Les premières technologies sans fil étaient des normes propriétaires offrant des débits de 1 à 2 Mbits/sec maximum. Ce débit était rendu possible grâce à la technologie FHSS. Ces normes ont fait l unanimité sur le marché malgré leurs faibles bandes passantes, car ce qui était vraiment nouveau, c était la mobilité apportée par cette révolution. Le problème, avec ces normes propriétaires, c est qu elles n étaient pas compatibles avec les autres normes comme par exemple, le standard (Ethernet). Il fallait encore augmenter le débit pour que les sociétés puissent encore utiliser leurs applications avec autant de facilité qu avec le réseau filaire, mais aussi améliorer l aspect sécurité et une protection des données équivalente à celle des réseaux câblés. La technologie DSSS est apparue. Cette technologie permettra de passer de 1, 2Mbits/sec à 11Mbits/sec. Les raisons d'être du Wi-Fi, sont multiples. La première, évidente, est le fait que cette technologie permet de déployer un réseau à un endroit où l'on n aurait pas été capable d'amener un fil. Dans le même ordre d'idée, elle permet dans certains cas de diminuer le coût de déploiement d'un réseau en évitant des travaux qui auraient été nécessaires à l'installation d'un réseau filaire. De plus, un réseau Wi-Fi peut servir de pont entre deux réseaux filaires et, par

11 exemple, être utilisé par une entreprise qui possède deux bâtiments distants, pour relier les réseaux de ceux-ci à moindre coût. Un grand intérêt du Wi-Fi est aussi qu'il permet de fournir facilement un accès internet dans les lieux les plus divers comme par exemple, des lieux publics comme des aéroports, des bibliothèques,... Le Wi-Fi permet, aussi, aux particuliers, de déployer chez eux un réseau sans fil qui peut par exemple être utilisé pour accéder à internet partout chez soi. Mais dans le cas présent chez Chronopost, cette technologie sans fil va permettre de scanner les colis partout sur les bandes de tri, sans s encombrer de fil réseaux permettant la mobilité des utilisateurs et en limitant ainsi les risques d accidents dus aux câbles, par exemple. Un réseau, de type wireless, permet de relier une centaine d'ordinateurs de tous types, à un réseau commun permettant ainsi la communication des différentes unités du secteur. Aussi, l'utilité première du wireless est la mobilité ; De cette façon, on peut aller dans un atelier, avec un ordinateur portable, tout en étant connecté au réseau local. C'est aussi une protection contre le vandalisme, car l'utilisation de câbles sur des lieux «publics» peut être dangereuse pour une connexion. Il est arrivé que certains providers (fournisseurs d'accès Internet) soit déconnectés du réseau à cause d'une coupure de leur liaison extérieure. Le réseau filaire manque de mobilité et est mal protégé contre les actes de vandalisme. Le seul problème avec le wireless provient des pertes de signal. En effet, un corps (tel que notre corps, le métal, les arbres, certains plastiques) résonne avec le signal. Le métal et les ferreux magnétiques vont bloquer le champ magnétique créé. De même le béton gêne, bref tous les éléments urbains contribuent aux pertes du signal. On constate aussi que

12 les arbres bloquent le signal au travers de leurs troncs ainsi que de leurs feuilles en été. L'air quant à lui est neutre, il ne favorise ni ne défavorise le signal. E. Comment faire un réseau sans fil chez soi ou en entreprise? Pour s équiper d un réseau sans fil, nous avons besoin d adaptateurs clients comme, par exemple, des clients au format: - PCI (comme dans mes tests) - PCMCIA - ISA - USB Et «accessoirement» (car tout simplement, ça peut fonctionner sans) un point d accès, plus connu sous le nom d Access Point (AP). Un AP fonctionne de la même façon qu un Hub traditionnel, la bande passante est divisée par autant de clients connectés. Cependant, on peut ajouter des autres AP pour en augmenter ou du moins en rétablir, ainsi, la bande passante. Accessoirement, car il existe le mode Ad-Hoc permettant de mettre en relation directe des ordinateurs équipés d'une carte réseau Wi-Fi. Il n'est pas nécessaire de disposer d'un matériel annexe mais, en contrepartie, il est impossible de communiquer avec un réseau fixe. Le mode Ad-Hoc est idéal pour échanger des informations dans une salle de réunion qui ne dispose pas d'une infrastructure réseau. Les réseaux Ad- Hoc sont donc généralement éphémères : ils existent le temps de transférer des fichiers Par exemple, 2 ordinateurs portables, munis chacun d une carte Wireless, peuvent se passer d un access point et ainsi profiter d un réseau qui est dans ce cas éphémère

13 II. Expérimentation A. Le hardware M. Pirotte a mis à ma disposition 4 produits qui ont, tous, la particularité du wireless et un smart UPS qui va nous servir de batterie. 1) Deux access points. a) Le premier de la marque NETGEAR MR314 Câble/DSL b Wireless Router avec 4 ports 10/100 Mbps Switch qui a un débit théorique de 11 Mbps en wireless. Spécifications Protocoles routés TCP/IP, RIP-1, RIP-2, DHCP, NAT, PPPoE, IPSec Protocoles LAN 10BASE-T, 100BASE-TX, 11Mbps b Alimentation 12 V DC 1,2A Dimensions Largeur : 253 mm (9.95") Profondeur : 181 mm (7.1") Hauteur : 35 mm (1.4")

14 Conditions d'utilisation Température de fonctionnement : De 0 C à 40 C. Hygrométrie de fonctionnement : Humidité relative de 90% maximum, hors condensation. Normes de sécurité : FCC Part 15 Classe B, VCCI Classe B, EN55022 (CISPR 22), CLasse B Interface LAN : 10BASE-T ou 100BASE-TX, RJ-45 WAN : 10BASE-T, RJ-45 Portée Utilisation intérieure : 11Mbp/s : 53 mètres 5.5Mbp/s : 82 mètres 2Mbp/s : 122 mètres 1Mbp/s : 152mètres Utilisation extérieure : 11Mbp/s : 255 mètres 5.5Mbp/s : 352mètres 2Mbp/s : 402mètres 1Mbp/s : 503mètres Sécurité par encryptage Encryptage WEP 40/64 et 128 bits Nombre maximum de périphériques connectés La limite du nombre de périphériques sans fil dépend du nombre de paquets générés par chaque noeuds. Normalement de 30 à 70. La limitation Ethernet est de 253. Fréquence De 2.4 à 2.5 GHZ en DSSS (Direct Sequence Spread Spectrum)

15 Petite note : le MR314 est muni d un connecteur RJ45 (prise téléphone RNIS). J ai placé l Alcatel Speed Touch Home sur cette entrée. J ai découvert que l on pouvait, après avoir entré tous les paramètres de la connexion, utiliser le netgear comme passerelle internet pour un nombre illimité de machines grâce à un hub placé sur un des 4 ports. b) Le second de la marque 3com qui a pour référence 3CRWE60092A. Spécifications La technologie Power over Ethernet alimente le point d'accès par câble Ethernet de catégorie 5. La fonction Clear Channel Select choisit automatiquement le meilleur canal radio disponible

16 La fonction Auto Network Connect maintient votre connexion, même lors du passage à un autre sous-réseau IP. Support du chiffrement WEP sur 40 bits. Support de jusqu'à 65 utilisateurs simultanés, dans un rayon de 100 m et à une vitesse allant jusqu'à 11 Mbps. La fonction Dynamic Security Link fournit des clés de chiffrement personnalisées de 128 bits modifiées à chaque session, plus l'authentification optionnelle de l'utilisateur. La certification Wi-Fi garantit l'interopérabilité du point d'accès avec les équipements d'autres marques 2) Deux cartes sans fil aux normes WiFi a) La première, une 3com a été achetée en même temps que le hub 3com Spécification Standards supported IEEE b standard for Wireless LAN Wi-Fi All major networking standards (including TCP/IP, IPX) PCI Bus power management interface specification 1.0 ACPI 1.0 PCI 2.2 Environmental Operating temperature: 0 C to 55 C (Operating), -20 to 65 C (Storing) Max. Humidity: 95% Non-condensing Power specifications Transmit power : +18 Nominal Temp Range (Typical) Operating Voltage: 3.3V and 5V ± 5% Radio specifications

17 Operating Range: Open space: up to 300m; Indoor: up to 70m Frequency range: GHz, direct sequence spread spectrum Number of Channels: Europe: 13 (1-13 ) US: 11 (1-11 ) France: 4 (10-13 ) Antenna system: Detachable dipole antenna with SMA (male) connector Mobility: Seamless roaming across cell boundaries with handover Specific features Supported bit rates: 11 Mbps 5.5 Mbps 2 Mbps 1 Mbps Data encryption: 64 /128 bit WEP Encryption Utility Software: Configuration utility software b) La seconde, une carte SMC SMC2402W Spécification IEEE b Compliant Jusqu à 22 Mbps wireless LAN Jusqu à 352m d opération (La distance peut être affectée par des variations d environnement comme des interférences, )

18 2.4 GHz en bande de fréquence Direct Sequence Spread Spectrum (DSSS) Ad-hoc or infrastructure mode (sans AP ou avec) 64-bit, 128-bit or 256-bit WEP encryption Compatibility IEEE b PCI Standard Version 2.2 Windows 98/ME/2000/XP Specifications Configuration Ad-Hoc (Peer to Peer) Infrastructure Radio Signal Type Direct Sequence Spread Spectrum (DSSS) Media Access Protocol CSMA/CA (Collision Avoidance) with ACK Security 64-/128-/256-bit Operating Channel 11 Channels (US, Canada) 13 Channels (Europe) 14 Channels (Japan) RF Output Power dbm Antenna Type External Dipole Antenna Antenna Gain 2 dbi Antenna Connector SMA Reverse Connector Type LED Power/TX/RX Power Voltage 3.3 or 5 Volt + 5% Power Consumption 650 ma by TX (Max) 350 ma by RX

19 3) Smart-UPS Le but de ce projet étant de réaliser une station sans fil, j ai placé un APC Smart-UPS XL 750VA USB & Serial 230V dans une armoire à roulettes. Cette armoire permettant la mobilité de cette station dans tout le hall. Les cartes WiFi pour la mobilité du réseau et le Smart UPS pour ses batteries qui me garantissent une autonomie minimale de 3 heures. Muni de ces 2 technologies, j obtiens une mobilité parfaite. Numéro de référence : SUA750XLI Description APC Smart-UPS XL, 750VA/600W, Entrée 230V/ Sortie 230V, Interface Port DB-9 RS-232, SmartSlot, USB, Extended runtime model Caractéristiques générales Automatic Self Test, Régulation automatique de la tension, SmartSlot intégré, Batteries remplaçables sans arrêt du système, Gestion intelligente des batteries, Indicateur de charge, Conditionnement de ligne au niveau du réseau, Indicateur de surcharge, Indicateur pour remplacement de batterie, Scalable Run Time, Sortie de l'onde sinusoïdale, Logiciel, USB Connectivity, Batteries remplaçables par l'utilisateur, Plage de tension d'entrée étendue Sortie Capacité de l'alimentation de sortie 750 VA Capacité de l'alimentation de sortie 600 Watts Tension nominale de sortie

20 230 V Remarque sur la tension de sortie Configurable for 220 : 230 or 240 nominal output voltage Type de forme de l'onde Sinewave Branchement en sortie (8)IEC 320 C13 Entrée Voltage nominal en entrée 230 V Fréquence d'entrée 50/60 Hz +/- 3 Hz (auto sensing) Type de connexion en entrée IEC-320 C14 Longueur du cordon 6 pieds (1.83 metres ) Plage de tension d'entrée pour branchement V Plage de tension réglable d'entrée pour branchement V

21 B. Le software L interface client du 3com est semblable à l interface de la carte SMC. Le client se lance au démarrage de la machine et un icône montrant l état du signal est présent dans la barre des tâches. On peut choisir via ce programme plusieurs configurations, comme le taux de cryptage à utiliser pour dialoguer avec le hub par exemple. Plusieurs configurations peuvent être programmées en même temps, pour éventuellement passer d un taux de cryptage à un autre très facilement. Voici, par exemple, l interface du 3com. On peut aussi, en un coup d œil, définir : - En quelle encryption on se trouve, - A quel SSID on est connecté, - En quel type de connexion on se trouve ( Infrastructure ou Ad-hoc), - Le taux de transmission, - Et sur quel canal on se trouve. Voici un exemple de configuration avec un WEP de 128 bits en type infrastructure (On peut ici y voir et y changer les différents profiles.):

22 C. Les Bilans 1. Les tests en milieu «non industriel» avec le hub netgear. Avant de tester le matériel chez Chronopost International à Bruxelles, mes premiers tests furent locaux. Comme je n avais qu une carte wireless, j ai branché le premier pc avec une carte réseau normale et le second avec la carte SMC. En étant à 2 mètres du hub NETGEAR et sans aucune interférence les transferts étaient de 10 Mbps/sec, en effet un fichier de 32Mb est copié entre deux machines en 33 secondes. Pas de déconnexion, un transfert stable et très rapide. J ai pu me déplacer dans tout le bâtiment sans perdre la fréquence. La différence était le taux de transfert diminuant suivant la distance et l environnement. Le hub étant au deuxième étage, j ai pu me déplacer jusqu au fond du jardin sans problème. Même chez le voisin, je captais toujours très bien avec une bande passante de 5Mbps par seconde

23 2. Présentation des tests. Tout d abord présentation des 2 machines test. J ai testé 2 machines différentes, pour voir si la puissance de ces machines ou leurs mémoires ne jouaient pas un rôle dans la performance des réseaux sans fil. La première machine, un COMPAQ Deskpro muni d un Céléron 466MHz, 96Mb de RAM, 6Gb de disque dur tournant à 5400tr/min. La seconde machine, un tout intégré Eagletec muni d un Duron 1400+, 256Mb de RAM, 40Gb de disque dur tournant à 7200 tr/min. Mes tests se sont basés sur 2 choses : Sur l impression à l écran de RunSheet (feuilles de livraisons de Chronopost). Ces RunSheet sont délivrées par le concentrateur national, toutes les données nationales des livraisons y sont répertoriées et stockées sous forme de base de données, et l impression de celle-ci à l écran est totalement dépendante de la connexion réseau. PS : Pour que le test ne soit pas faussé, j ai toujours pris la même RunSheet qui comportait, quand-même, 7 pages. Ce qui n est pas mal, au vu du nombre habituel de feuilles données aux chauffeurs (en moyenne 2 à 3 feuilles) et je me suis toujours loggé avec le même nom d utilisateur. A l ouverture du programme CITSOPI, un exécutable (.exe) est téléchargé du concentrateur national, pour que tous travaillent avec la même version de CITSOPI, donc, encore ici, un bon test vérifiant la fiabilité du réseau. Avant toute chose, le concentrateur national est relié au hub 48 ports avec une bande passante de 1 Gbits/sec et le hub wireless est connecté à ce hub 48 ports avec une bande passante de 100 Mbits/sec. J ai placé le hub à différents endroits contre les murs du hall, mais il y avait toujours une partie de celui-ci qui ne recevait pas les ondes. J ai décidé de placer le hub sur un poteau en béton qui se trouve plus ou moins au centre de ce hall. 3. Test réalisé avec l antenne vendue avec la carte Sachant, au départ, qu une machine, câblée, ouvre le programme CITSOPI en 12 secondes et imprime la Runsheet à l écran en 30 secondes, j ai constaté que ces temps n étais pas respectés (en moyenne 3 fois plus de temps). En effet, plus on s éloigne du hub, plus la puissance du signal décroît (reste 60% du signal à 40 mètres). La contradiction vient aussi du

24 fait que la qualité du signal, annoncé par le logiciel devrait être excellente. Nous constatons qu en cas de demande de ressource «réseaux», elle chute anormalement (reste 5% du signal à 40 mètres). J ai pu aussi constater de multiples déconnexions. En parlant avec Monsieur Pirotte, nous en sommes venus à la conclusion que dans l armoire recevant l ordinateur, ce dernier reçoit très mal les ondes, et que cette armoire ferait office de cage de Faraday, donc les ondes ne passeraient pas bien. Une cage de Faraday est un dispositif à paroi conductrice, permettant d isoler électriquement les corps placés à l intérieur de celle-ci. Nous avons sorti la machine, constatant, néanmoins, que les tests n étaient pas plus concluants que les précédents. 4. Test réalisé avec Antenne omnidirectionnelle avec gain de 2.5 dbi Nous avons alors décidé d acheter une antenne à placer hors de l armoire, en hauteur avec un câble reliant la carte réseau. Nous pouvons dire que ces tests sont positifs (voir les résultats sur la feuille «Test réalisé avec une antenne spéciale»). Nous ne perdons pas grand chose comme temps par rapport à une machine câblée ; nous avons beaucoup moins de lenteur due à des pertes de connexion, même à 40 m. Le déplacement de la machine n influence en rien le réseau et ses performances. Ces performances ne sont pas affectées par la puissance ni la mémoire de la machine travaillant en WiFi. Après tous ces tests, nous avons choisi de mettre dans l armoire, le compaq avec la carte sans fil 3com ainsi que le hub. Nous avons demandé au responsable de nuit de faire tester ce dispositif par son équipe (C est de nuit que ces scannages sont réalisés). Celle-ci était très contente des performances et de la fluidité du système. Depuis ce jour, mes tests se sont réalisés de jour et la machine exploitée la nuit. Après tous ces tests, on peut en venir à la conclusion que le matériel 3Com est très très fiable avec une antenne supplémentaire et beaucoup moins avec celle d origine ; Le netgear est très bon en milieu individuel mais est moins fiable pour le milieu industriel à cause de la quantité de métal par exemple : même remarque pour la carte SMC. Il faut savoir que le prix est quand-même fort différent entre ces différents matériels ; le matériel 3Com étant quand-même beaucoup plus onéreux que les autres

25 III. Sécurité A. Encryption pour le NETGEAR Un cryptage est la transformation d un message clair en un message codé compréhensible seulement par celui qui dispose du code. La configuration des hubs se fait ici par browser. On rentre l adresse ip dans le browser, une authentification par mot de passe est demandée à l entrée ; si celui-ci est bon, nous arrivons dans l interface du hub. On peut y configurer entre autres, l encryption. En voici l exemple sur le netgear :

26 On entre un mot qui constituera en quelque sorte la clé de l encryption du NETGEAR. J ai entré le mot «Chronopost», cliqué sur create et généré une série alphanumérique de 26 chiffres et lettres en hexadécimal. Le chiffre 26 est propre à une encryption de 128 bits tandis qu une encryption de 64 bits ne contient que 10 chiffres et/ou lettres dans sa clé. On peut voir aussi la possibilité de changer de channel (chaîne) et de SSID (Service Set Identifier = identifiant du réseau)

27 B. Encryption pour le 3com On peut donc en effet choisir plusieurs possibilités en terme d encryption. On peut soit, comme dans le netgear, générer une clé à partir d une chaîne de caractères ou alors entrer une clé spécifique à chaque hub comme dans l exemple suivant :

28 Pour pousser la sécurité plus loin, 3com a mis au point un système pour que toute personne se connectant au hub s authentifie, on peut enregistrer certaines personnes, ces personnes sont mises dans une user access list, et ceux qui ne sont pas sur celle-ci ne peuvent avoir accès au réseau, en voici un exemple : L encryption pour le hub 3com ne s est pas passée du premier coup contrairement à celle du netgear. En effet, l encryption d origine ne fonctionnait pas. J ai du actualiser la version du fichier du firmware. J ai trouvé le fichier d actualisation sur le site 3com. L actualisation ne s est pas faite sans mal, en effet, comme il existe plusieurs versions de firmware, le tout était de trouver la bonne pour faire fonctionner cette encryption. Le nom du fichier utilisé est AP6K_REVB_3.6_FS.bin, celui-ci a permis l utilisation de l encryption. J ai découvert ce fichier grâce au FAQ se trouvant sur le site 3com. La version de ce fichier est la 3.6, la version précédente était 2.0. Bien choisir ses mots de passe La clé de 128 bits utilisée pour chiffrer les données serait toutefois assez complexe à casser. Aussi, Tim Newsham, un chercheur de la société de rappelle que les mots de passe mal choisis peuvent toujours être forcés avec une bonne vieille technique, celle du dictionnaire. Il suffit d'essayer tous les mots les uns après les autres

29 IV. Quelques recommandations pour la sécurisation des réseaux sans fil. A. Introduction Les réseaux sans fil rencontrent aujourd hui un succès important car ils permettent, via la norme IEEE b, dite Wi-Fi ("Wireless Fidelity"), de déployer des moyens de transmissions sans contrainte d'immobilité liée aux câblages et aux prises électriques (hormis l'alimentation si il n y a pas de batteries). La promotion actuelle de ce type de solution est uniquement axée sur les avantages qu elle procure : facilité et rapidité d installation, coût inférieur à un système filaire, mobilité, accès partagé à des services de haut débit comme Internet. Toutefois, les coûts induits par la gestion des risques associés sont bien souvent omis. Comme la sécurité des données par exemple. Bien que la norme b présente certaines options de sécurité, les protections des réseaux Wi-Fi restent faibles, même vis-à-vis d attaques simples. La nature du signal transmis (onde électromagnétique) rend difficile, voire impossible la maîtrise complète de la propagation. En conséquence, il est assez facile d'écouter les messages et même de s'introduire sur de tels réseaux, à l insu des utilisateurs et de l opérateur, pour y accomplir des actes malveillants sans laisser de trace. La disponibilité publique, la gratuité et la facilité de mise en oeuvre des outils de localisation, d interception passive et d agression confirment l'importance de cette menace. Ce chapitre présente d'une part une analyse des différents types de risques auxquels les réseaux Wi-Fi sont exposés, d'autre part une série de conseils permettant à leurs administrateurs et usagers de mieux contrôler et si possible réduire les risques. Ces conseils concernent les questions de déploiement, de protection physique ou de protection logique du réseau. Ils peuvent aider à mettre en place un réseau sécurisé (action a priori), ou à sécuriser physiquement et logiquement un réseau déjà existant (action a posteriori). B. Évaluation générale des risques En raisonnant par analogie, implanter un réseau sans fil est similaire au fait de placer en pleine rue une prise téléphonique connectée à la ligne téléphonique d'un particulier ou d'une entreprise, ou bien de positionner des prises ethernet sur un réseau filaire en dehors de tout contrôle

30 En effet, pour constituer un réseau local sans fil, il suffit d équiper les postes informatiques, fixes ou portables, d adaptateur b (sous forme de cartes, PCI ou PCMCIA) et si nécessaire, d installer dans les locaux des points d accès. Ces derniers sont connectés au serveur d accès soit par une liaison à un autre point d accès, soit par un accès filaire. Les données circulent alors sur le réseau par ondes radioélectriques. Les risques encourus du fait de l'emploi de ce type de réseaux sont de même nature que pour les réseaux filaires, ils sont simplement plus élevés. En effet, l'écoute d'un message par un intrus ou son entrée sur un réseau b est facilitée du fait de la disponibilité en accès libre sur l Internet d'outils d agression et de la médiatisation qui est faite de leur emploi entre autre sur la toile. Leur utilisation peut permettre des interceptions totalement passives ou du moins très discrètes, voire la dégradation du réseau en usurpant l'identité d un des utilisateurs légitimes du réseau sans fil. L utilisateur ainsi connecté peut avoir accès à tout ce qu il veut sur ce réseau avec les dégâts que cela peut occasionner. Il importe de garantir un niveau suffisant de sécurité pour garantir : La confidentialité des données face à des actes de malveillance; La confidentialité des échanges face à des interceptions passives; La qualité des preuves techniques d'accès aux services (fichier log par exemple) et des actions, notamment pour assurer la facturation et l engagement des responsabilités. Ainsi, une bonne gestion des risques liés à un réseau nécessite toujours une approche globale. 1) Disponibilité La disponibilité d'un réseau peut être remise en cause soit par le brouillage radioélectrique, soit par une attaque en déni de service consistant à rendre inopérant le réseau par un envoi massif d informations. Le brouillage radioélectrique du réseau est relativement aisé par exemple avec du bruit blanc (bruit uniforme et constant dans la gamme de fréquence considérée) diffusé dans la gamme de fréquence des 2,4 GHz et qui suffira à empêcher l'utilisation du réseau. Réalisable avec des composants du commerce, le brouillage peut être général ou sélectif. C est une pratique très médiatisée sur le net. Un brouillage général interdira l'usage de la totalité du réseau

31 Un brouillage sélectif pourra empêcher la prise en compte des communications d'un élément du réseau. La perte de disponibilité pourrait devenir définitive (destruction des interfaces de réseau sans fil) dans le cas où la puissance du brouilleur s'avèrerait très supérieure au niveau admissible par les matériels visés. Le déni de service logique consiste à saturer le point d'accès en multipliant artificiellement le nombre de demandes d'association. Le point d'accès considère alors que de nombreuses machines veulent se connecter. Or, il n'accepte en général que 256 associations (machines). Ne pouvant faire la distinction a priori entre une demande légitime et une demande illicite, il va donc refuser toutes les demandes d'association et donc provoquer un déni de service. Par ailleurs, sur un poste autonome (PDA, portable), la surconsommation due à l'obligation de répondre aux sollicitations de l'attaquant provoque un affaiblissement rapide des batteries et donc une perte importante d'autonomie. 2) Intégrité a) Intrusion L intrusion revêt un caractère actif, consistant à pénétrer un réseau directement, sans nécessairement usurper une identité, afin de pouvoir bénéficier de l'infrastructure du réseau (accès Internet, intranet..), voire pour effectuer divers types d actes malveillants. Une intrusion est souvent facilitée par l'absence totale d'authentification. Sur un réseau radio b chiffré, elle peut passer par une attaque de la clé de chiffrement, par défaut la clé WEP ("Wire Equivalent Privacy"). Pour ce faire, après avoir capté et enregistré une partie de la communication, l attaquant doit reconstituer la clé de chiffrement WEP. Cette reconstitution passe par une étude des flux de données chiffrées circulant sur le réseau. Une fois la clé de chiffrement reconstituée, par exemple avec des programmes comme netstumbler ou airsnort (ces programmes tournent sous linux), il est possible de s'introduire dans le réseau de manière transparente car on ne peut différencier un poste normalement autorisé d'un poste usurpant la même identité, contrairement au cas d'un réseau filaire bien configuré. Il convient de noter que les machines d'un réseau interne sont bien souvent peu protégées. Elles constituent des cibles de choix pour mener des attaques par rebond ou des agressions sur d'autres entités. Dans ce cas, le gestionnaire ou l exploitant du réseau radio deviendrait structurellement incapable de remonter à la source de l agression

32 b) Usurpations d'identité L usurpation d identité, revêt un caractère actif puisque l agent malveillant cherche à pénétrer le réseau en usurpant l identité d une personne autorisée, ceci pouvant parfois se faire de manière transparente. Une fois l opération réussie, il a toute liberté d action pour porter atteinte à l intégrité du réseau en modifiant ou en supprimant les informations qui y circulent. Pour ce faire, le hacker a la possibilité d'usurper soit l identité d un point d accès, soit celle d un client. Dans la première hypothèse, l attaquant se place entre le client et le véritable point d accès tout en feignant d être légitime ; il peut alors comme il le veut enregistrer et modifier les données transmises. Dans la seconde, il se fait passer pour un client pouvant légitimement accéder à l'ensemble du réseau (sans fil et/ou filaire). L'aspect immatériel du réseau ne permet pas de distinguer le véritable client du faux. Dans ce cas, les informations qui normalement transitaient uniquement par le réseau filaire, peuvent être déroutées et passer désormais sur le réseau radio. Ce type d attaques est actuellement possible car la norme b propose un "système d'authentification" basé sur le contrôle des adresses machines (MAC) transmises en clair. Ce système ne peut être considéré comme un réel système d'authentification. 3) Confidentialité Un agent malveillant disposant du matériel adéquat (un ordinateur portable ou simplement un PDA (assistant personnel) muni d une carte b), peut écouter le réseau et par conséquent capter et interpréter les paquets d informations circulant sur celui-ci. Ce phénomène est d autant plus dangereux qu il est invisible et non détectable, car complètement passif. Or, la majorité des cartes réseau sans fil peut être configurée à cet effet et des manuels de fabrication d'antennes sont disponibles sur Internet. J ai trouvé des sites qui rendent possible la conception d antennes, pour une dizaine d euros, permettant d accroître la distance de captation de plusieurs centaines de mètres sans pour autant perdre des informations. Par ailleurs, l'activation du protocole de chiffrement natif WEP ne suffit pas à garantir la confidentialité des informations, mais rend plus difficile la tâche des hackers

33 4) Qualités des preuves techniques La qualité des preuves techniques d'accès et de tentatives d accès aux services et des actions doit être assurée face aux risques suivants : Accès frauduleux aux services sans facturation possible (par exemple accès Internet gratuit) ; Accès utilisé par malveillance avec fausse indication d origine. Un agresseur suffisamment expérimenté tentera quant à lui d effacer les traces minimes qui pourraient rester de son agression, par exemple en arrêtant la journalisation des incidents dans le journal d évènements dans les AP, empêchant leurs remontées vers le centre de gestion, voire en attaquant le centre de gestion. C. Planification et déploiement La mise en place d un réseau sans fil est un projet à part entière qu il convient de bien étudier afin d éviter tous les déboires d un "effet de mode". Pour un déploiement efficace, il est nécessaire de bien planifier les objectifs fonctionnels (gestion des services offerts et de leur qualité) et les objectifs de sécurité (gestion des différents risques). Il doit également respecter strictement l enveloppe financière, les contraintes réglementaires et les contraintes juridiques. Il faut planifier les objectifs et les mesures de sécurité nécessaires avec l aide d un spécialiste toujours distinct et indépendant du fournisseur, puis faire analyser ("auditer") à intervalles réguliers l'efficacité des mesures prises par rapport aux objectifs visés. Cet auditeur effectuera ces tests de pénétration en utilisant notamment les outils d agression disponibles dans le domaine public. La planification doit passer par l étude des divers aspects relatifs à la mise en place d un réseau sans fil. 1) Etude du coût La mise en place d un réseau sans fil est, en principe, d un coût inférieur à celle d un réseau filaire. Toutefois, dans le cas du déploiement d'un système basé sur la norme b, le surcoût lié à une sécurisation efficace peut rapidement rendre le coût d installation bien supérieur à ce qui était prévu initialement. Le rapport entre débit réel et coût d'une solution filaire ou sans fil doit aussi être étudié avec soin. Les frais liés à la maintenance doivent également être pris en compte. Ils couvrent notamment la vérification périodique des matériels (puissance d'émission, plage de fréquences annoncées) et l'intégrité du réseau (bornes illicites )

34 2) Les contraintes réglementaires L'UIT (l Union International des télécommunications) joue un rôle négligeable concernant l'attribution des fréquences pour les systèmes wireless LAN (dont le standard WiFi fait partie). Pour l'europe, les décisions principales ont été prises au niveau de la CEPT (Conférence européenne des administrations des postes et des télécommunications) et de la Commission Européenne. La CEPT a désigné les bandes , et MHz. Les wireless LAN sont considérés comme des SRDs (Short Range devices) : c'est-à-dire qu'ils ne nécessitent aucune coordination. Au niveau belge, l'ibpt (l Institut belge des services postaux et de télécommunications) définit les interfaces radios (spécifications techniques : puissance maximale, bande passante,...) pour ces systèmes. N'importe qui peut donc utiliser un wireless LAN (sans licence) en Belgique pour autant qu'il fonctionne dans les bandes ci-dessus et qu'il respecte les interfaces radios définies par l'ibpt. 3) Evaluation des besoins Il est impératif de définir, que le réseau soit privé ou public, l environnement du réseau, le nombre de stations à connecter, les services désirés et le type d information circulant sur le réseau. a) Pour un réseau privé - l environnement doit être défini : pour un tel réseau, dont la couverture est limitée géographiquement (organisme, bâtiment, entreprise, cabinet médical, maison communale, etc.), l espace à couvrir et l espace couvert non désiré doivent être indentifiés et contrôlés. Il convient aussi de s assurer de la non-préexistence ou proximité d autres réseaux ou équipements risquant d entraîner des perturbations ; - le positionnement des points d accès est un élément essentiel aussi bien pour la sécurité du réseau que pour son bon fonctionnement ; une étude préalable par un spécialiste est fortement recommandée ; Ils doivent être placés en fonction du type d'antenne utilisée. En effet, la zone de couverture diffère suivant le modèle (fouet, parabole ). L'objectif visé est d'éviter une trop grande diffusion hors du périmètre visé de l'entité, leur nombre doit être précisément déterminé car il doit être suffisant pour permettre une couverture de l ensemble de la zone mais sans être excessif pour éviter tout risque de perturbations du réseau,

35 La qualité du signal doit être étudiée (portée et perturbations électromagnétiques) pour chaque point d accès (puissance d émission et réglementation) ; - les services désirés doivent être définis : quelles sont les informations diffusées sur le réseau (dialogue par messagerie, diffusion d informations, remontée de données)? Quel est leur niveau de sensibilité? Le réseau interne est-il connecté à d autres réseaux? Est-il connecté à Internet? b) Pour un réseau public - l environnement doit être défini : pour un tel réseau la couverture est généralement ouverte et étendue. Ce type de réseau est aussi bien souvent connecté au final à un réseau filaire. Mis en place dans des lieux publics, il permet la fourniture de services Internet à grand débit, en particulier dans les lieux de passage ou salles d attente, les «hotspots». Les utilisateurs de terminaux portables (ordinateurs portables ou assistants numériques personnels (PDA)) peuvent alors jouir d accès Internet confortables dans des endroits tels que les aéroports, les gares, les hôtels, les centres de congrès et les cafés Internet. Ce type de déploiement pourrait également contribuer à fournir un accès au "haut" débit dans des zones du territoire aujourd hui mal desservies par les réseaux existants ; - l étude de l implantation et de la couverture des points d accès doit être faite par un spécialiste. La position des points d accès est cruciale pour le bon fonctionnement du réseau ; - les services désirés doivent être définis : principalement dédiés à l accès Internet, ces réseaux doivent être sécurisés par un renforcement de l authentification des utilisateurs interdisant le rejeu pour limiter le vol des autorisations d accès (pas de mots de passe mais des jetons logiciels ou matériels : clés USB, cartes à puce, carte PCMCIA). E. Protection physique des équipements et des sites Les premières règles à mettre en place pour sécuriser un système d information, qu il soit filaire ou sans fil, sont celles qui ont trait à la sécurité physique des équipements et des sites. Bien évidemment, le premier risque à prendre en compte est le risque naturel, qui passe par une étude préalable de l environnement du site : risques d inondations, d impact de foudre, variations de température, risques d'incendie Cette étude permettra de définir si les lieux d'installation retenus sont adéquats et si des protections complémentaires sont nécessaires : énergie secourue, éclateurs contre la foudre, ventilation,

36 climatisation, détection/extinction incendie, renvois d'alarmes sur défaillance... L'étude physique du site (accessibilité, possibilité d'inspection visuelle, nature des bâtiments) établira la vulnérabilité intrinsèque du site et la nature des moyens de protection à mettre en œuvre. La protection physique passe par un contrôle anti-intrusion des accès. En fonction du niveau de protection choisi, sa nature (humain, électronique, mixte...) et son type (contrôle visuel, portiques, badges, cartes électroniques...) seront définis. Enfin, au regard de l'environnement et du type d activité, des systèmes anti-intrusions actifs ou passifs (grillage, barreaux, radars, infrarouge...) peuvent être mis en œuvre selon différents niveaux (enceinte, bâtiments, locaux sensibles). La protection physique du système permettra de détecter et d'éviter de nombreux types d'agression (installation frauduleuse de matériels, manipulation illicite sur les matériels ) qui pourraient remettre en cause les protections logiques retenues par ailleurs. Dans le cas des réseaux privés et conformément à la législation en vigueur, la couverture du réseau devra, autant que possible, être circonscrite dans le périmètre de l'entité. Ceci est d autant plus nécessaire pour un réseau sans fil b, qui peut être écouté, par exemple depuis le parking voisin par une personne installée avec son portable. La protection et la surveillance physique du site à protéger et de ses abords pourront alors limiter ce type de menaces. Des outils d'audit (téléchargeables sur Internet) pourront être utilisés pour vérifier la couverture réelle du réseau à condition de les compléter par des antennes à fort gain. Si le déplacement ou la limitation en puissance des équipements émettant au-delà du périmètre n'est pas possible, les zones identifiées devront faire l'objet d'une surveillance particulière. F. Protections logiques et organisationnelles La confidentialité des données ne peut être obtenue qu'en utilisant un tunnel chiffrant basé par exemple sur une réalisation de confiance du protocole IPSEC en mode tunnel. La mise en place de ce tunnel doit être faite avec des couples clé publique/clé privée ou des certificats et nécessite le déploiement d'une infrastructure de gestion de clé. Dans tous les cas, il est indispensable d'activer le chiffrement WEP. Afin de limiter les risques d'attaques, la clé WEP : - doit être changée fréquemment ("TKIP"), dans le pire des cas, tous les 1 million de paquets ; - ne doit pas être communiquée en clair sur le réseau radio; pour cela, il faut utiliser le canal chiffré créé par la norme 802.1X. Il peut être

37 activé sur le point d'accès et/ou les cartes lorsque celles-ci sont compatibles ; sinon de façon logicielle sur le pare-feu ("firewall") et/ou sur le poste client. Dans l'hypothèse où le réseau filaire ne serait pas considéré comme sûr, la communication entre les différentes machines de ce réseau doit utiliser un chiffrement adapté. Afin de limiter les tentatives d'accès frauduleux dont la responsabilité juridique incomberait au gestionnaire du réseau sans fil, il est indispensable de mettre en place un système d'authentification forte. La norme 802.1X, une fois ses modes configurés correctement, permet l'authentification réciproque des clients et de l'infrastructure. La mise en place d'une infrastructure de gestion de clé est un préalable utile à l'usage d'un système d authentification. La totalité de l'infrastructure filaire doit si possible être configurée pour utiliser IEEE 802.1X (point(s) d'accès, pare-feu, commutateur). La mise en place de 802.1X nécessite l'installation d'un ou plusieurs serveurs d'authentification RADIUS ("Remote Authentification Dial-In User Service") dont la configuration doit être correctement réalisée. Il s agit d un serveur qui demande un login et un mot de passe quand des utilisateurs sans fil se connectent à votre réseau. Appliquez ensuite un cryptage à ces données de login et de mot de passe. Le point d'accès doit diffuser le minimum d'informations nécessaires à la connexion des clients. En particulier, l'identifiant du réseau ("SSID") et les paquets de balise ("beacon") ne seront pas diffusés ou leur fréquence de diffusion sera réduite au minimum. Le choix des matériels (points d'accès, carte réseau) doit dans la mesure du possible s'orienter vers des produits dont le micro-logiciel ("firmware") peut être mis à jour et qui intègrent l'authentification IEEE 802.1X ainsi que le WEP 128 bits. Un pare-feu ("firewall") doit être installé entre le réseau sans fil et le réseau filaire. Il peut être également prudent de distinguer ces deux réseaux tant en termes de confidentialité que de contrôle d'accès. Le pare feu peut intégrer l'authentification IEEE X si le point d'accès ne la gère pas. Le pare-feu doit également contrôler la couche applicative pour bloquer les attaques via des ports normalement autorisés (par exemple le port 80, virus, tunnels). Des antivirus si possible différents, installés sur le pare-feu et sur les postes mobiles permettent de limiter la propagation des chevaux de Troie et des virus. Enfin, sur le réseau filaire, il est préférable d'utiliser des commutateurs ("switch") plutôt que des concentrateurs ("hub") qui diffusent le trafic sur la totalité du réseau sans contrôle possible

38 G. Outils de protection : authentification et chiffrement 1) Authentification La première barrière à mettre en place est l'authentification des machines. La norme b ne permet pas l'authentification. Seul le contrôle des adresses MAC est possible. Sauf cas particuliers (petit réseau), ce contrôle se configure difficilement. La plupart des points d'accès n'installent pas par défaut ce type de contrôle, ce qui rend le réseau démuni de toute vérification de droit d'accès. Même si l'opérateur valide l'option d'authentification, il n'en demeure pas moins que les adresses MAC sont diffusées en clair sur la voie radio ce qui constitue une faille de sécurité. Pour pallier cette lacune, la norme 802.1x propose un protocole d'authentification modulaire EAP (Extensible Authentification Protocol). Ce protocole permet la vérification des autorisations des postes qui se connectent. Ce protocole, pour être efficace, doit être utilisé conjointement avec le protocole TLS (Transport Layer Security) pour le transfert des communications d authentification chiffrées. D'autres protocoles de transfert existent, en particulier EAP-TTLS et EAP-PEAP. Tous ces protocoles doivent être associés à une infrastructure de gestion de clés. Pour une configuration optimale, une infrastructure de type RADIUS doit être installée. Celle-ci gèrera la base de données des droits des utilisateurs et la procédure d authentification doit être installée. 2) Chiffrement En aucun cas le chiffrement WEP proposé par la norme IEEE ne peut suffire à lui seul à garantir la confidentialité des informations. La plupart des équipements ne proposent que des clés d'une longueur de 40 bits insuffisante face aux attaques par "force brute". De plus, le chiffrement utilise l'algorithme RC4 dont la programmation est réalisée de manière incorrecte. En conséquence, le protocole résultant est, au plan cryptographique, faible quelle que soit la taille de la clé employée. En particulier, des outils disponibles sur Internet permettent d obtenir le pseudo-aléa généré et de pénétrer dans le réseau rapidement

39 Se pose également le problème de la gestion des clés qui n est pas traité par le WEP : généralement tous les utilisateurs partagent la même clé, qui est stockée en clair sur un équipement mobile (fichier ou adaptateur suivant les constructeurs), donc exposée. De plus, si un utilisateur la perd, il faut la remplacer sur tous les équipements, ce qui apparaît vite très contraignant. De ce fait, il est recommandé d utiliser le protocole EAP pour la transmission des clés de chiffrement. L'évolution de la norme i devrait intégrer d'autres moyens de chiffrement (AES) et d'authentification (IEEE 802.1X). Elle fait partie des normes futures, prévues pour 2004 et destinées à accroître la qualité des réseaux sans fil. Ainsi, la norme i est destinée à améliorer la sécurité, la e la qualité de service, la f à intégrer la sélection de fréquence dynamique (DFS) et le contrôle de puissance d émission (TPC). En parallèle, d autres normes existent telles que la norme IEEE a ou la norme Hiperlan2, qui ont toutes deux la particularité d utiliser la bande de fréquences des 5 GHz avec un débit théorique de 54 Mbit/s. Sachez qu une protection à 100% n existe pas. Soyez donc toujours sur vos gardes

40 Conclusion Après ces 14 semaines de stage, mon enseignement sur le réseau sans fil s est révélé très intéressant. Je peux en conclure qu il existe effectivement des différences de qualité entre les différentes marques. En effet dans ce travail, j ai constaté que le matériel 3com était le plus fiable, mais il est aussi le plus onéreux. Dans un environnement familial, un réseau WiFi de gamme standard peut convenir, en effet la qualité du signal n est pas autant mise à l épreuve qu en milieu industriel. Ce type de réseau tend à être meilleur marché qu un réseau filaire. Inversement, dans un environnement professionnel où la perte de données et de connexion sont intolérables, il est conseillé d utiliser du matériel de plus haut de gamme qui devient alors plus onéreux qu un réseau filaire. Tous les matériels, quelle que soit la gamme, offrent tous le même niveau de protection des données. L encryption de 128 bits n est pas pour le moment, dans le b par exemple, inviolable et montre encore des points de faiblesse, dans l algorithme du RC4 par exemple. Les normes prochaines sont destinées à améliorer la sécurité en intégrant d autres moyens de chiffrement (AES) et d authentification. La i fait partie des normes futures prévues pour Il est bien sûr très important de suivre l évolution de ces normes, car les mois et les années à venir risquent de nous apporter des évolutions majeures qui nous permettront d utiliser cette technologie avec une sécurité identique à un réseau filaire. C est le début d une nouvelle ère de connectivité où «Mobilité et Flexibilité» sera le maître-mot

41 A. Quelques sites internet visités. Bibliographie Documentations techniques diverses : Informations de sécurité et d installation : Demandes d informations par [email protected] [email protected] [email protected] B. Séminaire Séminaire à Ternat chez Tech Data, présentation de produit wireless. Séminaire Belgacom «Your Telecom Days» à Coromeuse le 10/04/2003, présentaion des produits belgacom, mais aussi de produits wireless en partenariat avec cisco. Séminaire Cisco le 03/04/2003 à Zaventem sur le wireless

42 Glossaire Qu est ce qu une clé d encryption? C est une série alphanumérique qui permet d encrypter les données et de décrypter les données des autres membres du réseau. Les données sont automatiquement encryptées à la sortie par le WEP (Wired Equivalent Privacy = autant de sécurité qu avec fil), et du côté du receveur, la même clé permet de décrypter l information et donc de la lire. Qu est ce qu un SSID (aussi appelé ESSID)? C est un identifiant unique de 32 caractères attaché à la tête du paquet envoyé ; C est une sorte de mot de passe permettant à un périphérique mobile (portable, ) de se connecter au hub. Pour pouvoir se connecter au réseau, on doit faire partie du même SSID. Ce n est pas une grande sécurité, ce SSID figurant dans l entête du paquet, il peut donc être facilement sniffé. Un SSID permet surtout de différencier les différents réseaux. Qu est ce que le canal ou le «channel»? Pour se comprendre, il faut être sur le même canal ou sur le même «channel» ; Voici un tableau avec les différentes fréquences des canaux : Canal Fréquence en GHz Début de la plage : Fin de la plage : 1 2,412 2,402 2, ,417 2,407 2, ,422 2,412 2, ,427 2,417 2, ,432 2,422 2, ,437 2,427 2, ,442 2,432 2, ,447 2,437 2, ,452 2,442 2, ,457 2,447 2, ,462 2,452 2, ,467 2,457 2, ,472 2,462 2, Standard , ou IEEE , est un type de technologie radio utilisé pour les réseaux locaux sans fil (WLAN = Wireless Local Area Networks). C est un standard développé par IEEE (Institute of Electrical and Electronic Engineers). Le IEEE est une organisation internationale qui développe des standards pour des centaines de technologies électroniques et électriques. WiFi Il est composé de différents standards opérant dans des différentes fréquences radio : b est un standard pour les réseaux sans fil opérant dans la bande des 2.4 GHz avec une bande passante de 11 Mbps ; a est un standard différent pour les réseaux sans fil, il opère dans la bande des 5 GHz et une bande passante de 54 Mbps. Un

43 autre standard, le g, est pour les WLAN qui opère dans la bande passante des 2.4 GHz mais avec une bande passante de 54 Mbps. Le standard a C est une spécification de l IEEE pour les réseaux sans fil qui opèrent dans la bande de fréquence des 5 GHz ( GHz à 5.85 GHz) avec un maximum de bande passante de 54 Mbps. La bande de fréquence des 5 GHz n est pas aussi encombrée que la bande des 2.4GHz, parce que les spécifications du a offrent plus de canaux radio que le b. Ces canaux supplémentaires aident à éviter les interférences radio et les microondes. Le standard b C est une spécification de l IEEE pour les réseaux sans fil qui opèrent dans la bande de fréquence des 2.4 GHz (2.4 GHz à GHz) avec un maximum de bande passante de 54 Mbps. C est la bande de fréquence la plus utilisée. Fours à micro-ondes, téléphone sans fil, équipements médicaux et scientifiques, les périphériques bluetooth, tous travaillent dans la bande de fréquence des 2.4 GHz. Le standard g Similaire au b, cette couche physique standard donne un taux de transfert de 54 Mbps maximum. Il opère aussi dans la bande de fréquence des 2.4 GHz mais utilise une technologie différente de radio qui augmente le bande passante. Ce standard n est pas encore beaucoup en application, on espère son explosion d ici le deuxième semestre Access Point ou point d accès Un transmetteur pour les réseaux sans fil qui peut connecter un réseau filaire à un ou plusieurs périphériques sans fil. Un point d accès peut être aussi un pont vers d autres réseaux sans fil. Il existe différents types de point d accès, ceux qui se réfèrent à une station de base, utilisant à la fois le réseau filaire et le réseau sans fil. Ceux-ci incluent les ponts, les routeurs et les passerelles. Les différences entres ceux-ci ne sont pas toujours précises, parce que certains sont capables de les réunir tous en un. Par exemple, un routeur peutêtre un pont et un hub n est pas forcément un switch. Un pont connecte des périphériques étant dotés du même protocole tandis que un routeur peut connecter des réseaux qui utilisent des protocoles différents. Celui-ci lit l adresse incluse dans le paquet et route celui-ci vers la station appropriée, travaillant avec des autres routes dans le réseau pour choisir le chemin adéquat pour envoyer le paquet. Un hub sans fil ou un point d accès ajoutent un capacité à connecter des clients variés, mais n a pas une large bande passante. Une passerelle sans fil est un point d accès capable de NAT routing, DHCP, firewall, security,. NAT NAT = Network Adress Translation. Un réseau capable de partager une seule adresse entrante venant d une connexion dial-up ou xdsl, à tout son parc informatique. NAT prend la seule adresse d entrée et crée une nouvelle adresse IPO pour chaque ordinateur client sur le réseau

44 Le mode Ad-Hoc Un paramètre client qui provient d une connexion point à point dans un réseau sans fil. C est une alternative quand on ne possède pas de point d accès. Le mode infrastructure Un paramètre client venant de la présence d un point d accès. Les clients doivent être paramétrés en mode infrastructure, celui-ci indiquant la présence d un point d accès. Toutes lesdonnées passent par ce point d accès. La bande passante La somme des transmissions capables de passer à un point donné sur un réseau. La capacité de la bande passante dépend de différentes choses comme par exemple, le taux de transfert entre 2 périphériques, le nombre d utilisateurs, le type de périphérique utilisé pour connecter la machine au réseau, C est comme un pipeline, sa capacité est donnée par sa taille et pas plus. Par exemple, la bande passante du b est de 11 Mbps Qu est ce que les bps? Ce sont les bits par seconde. Une mesure de la vitesse de transmission de communication basée sur le nombre de bits envoyés ou reçus par seconde. Bits par seconde bps- est souvent confondu avec bytes par secondes Bps-. Les bits sont une mesure de la vitesse de transmission tandis que les bytes sont la mesure de capacité de stockage. 8 bits font 1 byte. Donc si on a un réseau sans fil de 11 Mbps par seconde, il envoie des données à Megabytes par secondes (1.375 MBps) DHCP DHCP c est Dynamic Host Configuration Protocol. Cet utilitaire peut allouer dynamiquement des adresses IP d une liste prédéfinie et limiter le temps d utilisation pour pouvoir en assigner à d autres. Sans la présence d un serveur DHCP, c est l administrateur réseau qui va assigner les adresses manuellement pour toutes les machines de ce réseau. Quand il y a présence de serveur DHCP, au moment où la machine se connecte une adresse lui est automatiquement assignée

45 Table des matières Remerciement 3 Présentation du lieu de stage...4 Introduction...5 I. Le WIFI...6 A. Qu est ce qu une onde radio?...6 B. Comment se propage une onde radio-électrique?...6 1) Absorption des ondes radio...6 2) Réflexion des ondes radio...7 3) Propriété des milieux...8 C. Qu'est-ce que le Wi-Fi?...9 D. Pourquoi le Wi-Fi?...10 E. Comment faire un réseau sans fil chez soi ou en entreprise?...12 II. Expérimentation...13 A. Le hardware ) Deux access point...13 a) Netgear...13 b) 3com ) 2 cartes sans fil aux normes WiFi...16 a) 3com...16 b) SMC ) Smart-UPS...19 B. Le Software...21 C. Les bilans ) Les tests en milieu «non industriel» avec le hub netgear ) Présentation des tests ) Test réalisé avec l antenne vendue avec la carte

46 4) Test réalisé avec Antenne omnidirectionnelle avec gain de 2.5 dbi...24 III. Sécurité...25 A. Encryption pour le NETGEAR...25 B. Encryption pour le 3com...27 IV. Quelques recommandations pour la sécurité des réseaux sans fil..29 A. Introduction...29 B. Evaluation générale des risques ) Disponibilité ) Intégrité...31 a) Intrusion...31 b) Usurpations d identité ) Confidentialité ) Qualités des preuves techniques...33 C. Planification et déploiement ) Etude du coût ) Contraintes réglementaires ) Evaluation des besoins...34 a) Pour un réseau privé...34 b) Pour un réseau public...35 E. Protection physique des équipements et des sites...35 F. Protections logiques et organisationnelles...36 G. Outils de protection : Authentification et chiffrement ) Authentification ) Chiffrement...38 Conclusion...40 Bibliographie...41 Glossaire...42 Table des matières...45 Annexes

47 Plan du site Chronopost : Pour légende : 1. L emplacement du hub 2. Les tests à 2 mètres 3. Les tests à 20 mètres 4. Les tests à 40 mètres

48