Projet Personnalisé Encadré 3.2

Transcription

1 2014/2015 Projet Personnalisé Encadré 3.2 ETUDE SUR LA MISE EN PLACE DU RESEAU WIFI Arnaud Duboishamon, Anthony Dubois, Lucas Corizzi GALAXY SWISS BOURDIN

2 Table des matières Introduction Étude sur la mise en place d une satratégie de sécurité spéciale.2 Qu est-ce qu un réseau sans fils?...2 I. Les risques de sécurité du... 3 II. Comment bien sécuriser son réseau?...4 La configuration... 4 L accessibilité aux matériels La gestion organisationnelle..6 III. Etude sur les besoins matériel et son déploiement..6 Rappel des besoins de l entreprise..6 Les matériels nécessaires 6 Le deploiement..7 IV. Descriptif de la solution pour l entreprise GSB. 9 La cryptographie et authentification..9 Le plan d'adressage wifi 10 configuration et sécurité 10 Conclusion

3 Introduction La DSI de l entreprise Galaxy Swiss Bourdin ressentant le besoin de mettre en place un réseau sans fil dans l espace du site de Paris afin de palier à des nécessités particulières, nous a demandé dans un premier temps de faire une étude sur la mise en place d une stratégie de sécurité spéciale. Puis dans une deuxième partie, une étude sur les besoins matériels et sur le déploiement et un descriptif de la solution proposée. Etude sur la mise en place d une stratégie de sécurité spéciale Avant de mettre en place le réseau la DSI de l entreprise GSB nous a demandé de faire d étudier les failles de sécurité wifi et les solutions possibles pour sécuriser au mieux le réseau sans fil de l entreprise. Avant toute chose qu est-ce qu un réseau sans fil? Qu est-ce qu un réseau sans fils? Un réseau, c est un réseau fonctionnant sans fil (Wireless). L appellation résulte d une vulgarisation de ce type de connexion : la norme IEEE Il s agit alors d établir des communications radios entre plusieurs équipements, au sein d un même réseau informatique. Logo officiel On notera qu il se base sur Ethernet (les données sont donc empaquetées comme sur un réseau filaire), et peut donc être lié à un réseau câblé classique. Deux manières de créer un réseau sans fil existe : le mode Ad-Hoc et le mode Infrastructure. Ad-Hoc : connexion Wireless entre plusieurs ordinateurs ou appareils clients (smartphones, tablettes ). Il n y a alors pas besoin de point d accès (Access Point, AP), du fait que les échanges sont opérés directement de machine à 2

4 machine. Infrastructure : connexion via un point d accès. Il s agit là du mode de connectivité le plus utilisé dans ce type de réseau. Il est particulièrement fiable et efficace. C est l AP qui gère intelligemment les flux. Communiquant par ondes radios, comme précisé plus tôt, le réseau diffuse donc sur un canal (une fréquence particulière), que la personne chargée de l installer pourra configurer manuellement. Enfin, un réseau sans fils peut être utilisé à vocation personnelle/professionnelle ou publique. On parlera alors de réseau public ou privé. Privé : connexion possible à condition de posséder la clé (un mot de passe) pour s authentifier sur le réseau. L idée est de protéger au mieux l accès, le restreignant aux seuls utilisateurs autorisés. Public : connexion ouverte à tous, dans le sens où elle autorise n importe qui à s y connecter. Parfois tout de même, il faudra s authentifier (Login et Mot de passe)... Mais la philosophie de cette ouverture est de permettre un accès libre. I. Les risques de sécurité du Les risques liés au wifi sont la divulgation de données sensibles et confidentielles par des personnes mal intentionnées, la modification, le vol et la suppression de données, l utilisation du réseau gratuitement par des personnes risquant de mettre la responsabilité de l entreprise en jeu. Les risques liés au réseau wifi peuvent être classifié en 4 catégories. L accès aux données : le wifi utilisant des signaux radio rien de plus simple que d intercepter ces ondes en étant dans le périmètre de diffusion de celle-ci. L intrusion dans le réseau : celle-ci peut être particulièrement dangereuse, en effet si le réseau wifi à accès au réseau local de l entreprise l intrus peut avoir accès à toutes les données de l entreprise et ainsi pirater les postes de travail ou les serveurs ou simplement par l utilisation du réseau gratuitement par des personnes risquant de mettre la responsabilité juridique (le téléchargement illégal) de l entreprise en jeu. Le brouillage : du fait que les réseaux sans fil utilisent des ondes radio ils peuvent être brouillés facilement par exemple par les ondes d un four à micro-ondes. 3

5 Denial of service (ou DOS ): cela consiste à envoyer des fausses requêtes afin de saturer un service et d empêcher d autre requêtes d être servies. Le déni de service d alimentation : cela consiste à envoyer une grande quantité de données pour surcharger une machine et la rendre ainsi inutilisable. II. Comment bien sécuriser son réseau? La définition d'une politique de sécurité pour un réseau wifi est une opération complexe mais primordiale, qu elle soit technique ou organisationnelles. Elles ne doivent pas imposer des contraintes irréalistes pour les utilisateurs qui motiveraient ces derniers à les contourner. Nous pouvons découper en trois la manière de bien sécuriser son réseau : La configuration Dans un premier temps, il est préférable de masquer la diffusion de l SSID du réseau de l entreprise bien que cela ne soit pas vraiment une mesure de sécurité car cela sera tout de même très facile pour une personne mal intentionnée de se le procurer; cela va tout de même cacher un peu le réseau aux yeux de tous. Il est important aussi de régler la portée du signal au minimum possible en effet plus la portée est étendue plus le nombre de personnes pouvant tenter de se connecter frauduleusement seront nombreux pour cela une portée minimale est recommandée. Il est aussi important de mettre à jour les cartes wifi et les équipements tels que les firmwares pour éviter les failles de sécurité car le réseau wifi utilisant des ondes radios celles-ci peuvent être pilotée par des micro-codes embarqués dans les postes hôtes ou bien dans les équipements hôtes. Il faut aussi utiliser les protections de cryptographiques car il est nécessaire de protéger son réseau par un chiffrement d authentification appropriée : Le Wep est une sécurité basique et peu sécurisable car il utilise une clé d authentification cassable en moins d une minute. Wap est un niveau au-dessus mais sa robustesse dépend de son paramètrage. Le wap2 est particulièrement robuste ; il se décline en deux : le Wpa psk utilise une clé secréte et le Wpa entreprise qui authentifie les utilisateurs grâce à un serveur radius. Il est recommandé d utiliser le mode wap2 entreprise avec un algorithme AES-CCMP. 4

6 L accessibilité aux matériels Une protection des points d accès doit être mise en place pour éviter l intrusion de personnes mal intentionnées. Mettre en oeuvres des gpo nécessaires pour que les utilisateurs ne puissent pas avoir la nécessiter de connaitre les clés sécurisant le reseaux de l entreprise. Ces GPO vont permettre aux utilisateurs de ne pas avoir accès aux propriétés des cartes réseau sans fil ce qui va permettre de diminuer le risque de divulgation Utiliser des mécanismes d authentification : comme l utilisation de serveur radius, la détection des adresses mac : car il est possible de détecter les interfaces wifi dans une zone donnée via leur adresse mac cependant ce n est pas suffisant une personne peut changer son adresse mac donc Il est important de mettre des équipements de filtrage réseau permettant l'application de règle strictes et en adéquation avec les objectifs de la sécurité La gestion organisationnelle La plupart de la gestion organisationnelle peut passer par la sensibilisation des utilisateurs du réseau. En effet beaucoup de faille sur un réseau peuvent prendre sources depuis les laisser aller des utilisateurs, pour palier à ce problème plusieurs conseils sont à donner : Les mots de passe ne sont pas à communiquer à un tiers ni à écrire sur un support qui peuvent être à la portée d autrui. En leur précisant qu il ne faut jamais penser être à l abri du risque. Cependant la sensibilisation peut également se faire du côté de l équipe informatique L équipe informatique a la possibilité de changer de façon régulière les clés de sécurité du réseau wifi. Ils peuvent également auditer son réseau (le tester) pour mesurer l écart entre le niveau de sécurité obtenu et celui désiré. En terme de sécurité la gestion et surveillance du réseau GSB a aussi son importance : cela peut s effectuer grâce à la surveillance ip, la surveillance physique avec des outils dédiés. Cette gestion comprend aussi de s appuyer sur une bonne équipe qui a connaissance des réseaux et de la sécurité des systèmes d information. 5

7 III. Etude sur les besoins matériel et son déploiement Rappel des besoins de l entreprise Suite à la demande de l entreprise la DSI nous donne les besoins de l entreprise à fin de mettre en place la solution technique pour l entreprise de paris. Le réseau wifi de l entreprise GSB doit permettre à l ensemble du personnel, de bénéficier d un accès sécurisé aux serveurs du réseau GSB du site de Paris. Il devra offrir aussi à l ensemble du personnel un accès au réseau internet. De plus il devra aussi offrir aux non-collaborateurs (visiteurs) un accès ouvert et exclusif au réseau internet. Le réseau sera constitué de vlans afin de fluidifier le trafic sécurisé un maximum et simplifier la gestion des différents services. L interconnexion de ces vlans doivent être fait par un routeur. Le vlan visiteur devra être présent à tous les étages. Les postes clients devront obligatoirement obtenir une adresse ip dynamiquement à partir d un serveur DHCP se trouvant au sixième étage. Les matériels nécessaires Pour mettre en place ce réseau sans fil nous allons avoir besoin d environ 6 bornes wifi soit 1 par étage, capable, de diffuser deux SSID wifi différents l une pour que tout le personnel de l entreprise puisse avoir accès aux serveurs de l entreprise et à internet l autre pour que les visiteurs qui viennent dans l entreprise puissent avoir une connexion internet. Il faudra aussi un serveur radius configuré pour pouvoir donner l accès des serveurs aux personnels de l entreprise. Nous aurons aussi besoin de mettre en place une prise réseau par étage afin de pouvoir connecter les bornes wifi au réseau de l entreprise et pour qu elles puissent diffuser les ondes radios nécessaires pour que tout le monde soit connecté donc il faudra au moins 1 switch par étage soit un minimum de 6 switchs. Ce réseau aura aussi besoin d un firewall pour protéger le réseau de l entreprise et 6

8 pour bloquer l accès aux serveurs de l entreprise pour le réseau wifi destiner aux visiteurs. Il sera nécessaire aussi de mettre un routeur en place afin de gérer les vlans qui seront mis en place pour les différents services. Les postes clients devront eux aussi être équipés de cartes réseaux certifiés wifi afin qu ils puissent se connecter à ce nouveau réseau. Le déploiement Etage 6 SERVEUR RADIUS INTERNET Vlan 400 internet Vlan 300 serveurs Etage 5 Vlan 150 Vlan 20 Vlan 30 WIFI AVEC CLE WAP2 PSK Vlan 20 direction / DSI Vlan 30 RH Vlan 150 salle de réunion Etage 4 Vlan 150 Vlan 10 Vlan 10 informatique Vlan 30 compta/juridique Vlan 150 salle de réunion Vlan 30 Etage 3 Vlan 150 Vlan 70 WIFI AVEC SERVEUR RADIUS Vlan 70 laboratoire Vlan150 salle de réunion Etage 2 Vlan 150 Vlan 50 Vlan 60 Vlan 50 Vlan 60 commercial Vlan 150 salle de réunion Vlan 40 communication Etage 1 Vlan 150 Vlan 40 Vlan 30 Vlan 30 secrétariat Vlan 150 salle de réunion RDC Vlan 150 Vlan 10 Vlan 80 Vlan 200 Vlan 80 caétériat Vlan 200 démonstration Vlan 10 accueil/sécurité Vlan 150 salle de réunion Ne connaissant pas l architecture du bâtiment ni même sa composition, on supposera qu'il faut une borne wifi par étages. Les bornes wifi seront disposées au maximum au milieu de chaques étages à fin de couvrir au mieux tout le périmètre du réseau. Elles seront connectées à une prise ethernet elle-même brassée sur un switch dans la baie de brassage. Le routeur, le firewall, et le serveur radius seront quant à eux disposé au sixième étage du bâtiment. Le 6ème étage ne nécessite pas un accès sans fil : il contient les serveurs 7

9 et personne n a besoin de l utiliser. Une borne wifi ne nécessitera pas d adresse IP, on peut le considérer comme un switch Wireless, en somme. Il suffira de le configurer avec un SSID ainsi qu un moyen d'authentification. IV. Descriptif de la solution pour l entreprise GSB La cryptographie et authentification Le Wep à pour objectif d'offrir une solution de cryptage des données sur le réseau Wlan. Cependant, ce protocole de chiffrement s'avère trop faible et souffre d'importantes lacunes en matière de protection de données. Pour pouvoir palier à ce problème, la norme i a été créée cette norme est également appelée WI-FI PROTECTED ACESS 2 (WPA2) Le WAP2 utilise l'algorithme de cryptage AES ce qui fait de lui un protocole fiable. Il possède 2 modes de fonctionnement. : Le WPA personnel et le WPA entreprise. Le WPA (Wireless Protected Access) est une version allégé de la norme i il utilise le protocole TKIP ce protocole permet de combler les lacunes du chiffrement Wep. Il se décline lui aussi en deux modes: le Wpa-psk qui utilise un mot de passe secret partagé pour l'authentification et le WPA Entreprise qui lui repose sur l'utilisation d'un serveur radius (Remote Authentication Dial-In User Service) est un protocole client/serveur destiné à permettre à des serveurs d'accès de communiquer avec une base de données centralisées regroupant en un point l'ensemble des utilisateurs distants. Ce serveur central (appelé serveur RADIUS) va authentifier ses utilisateurs, et leur autoriser l'accès à telles ou telles ressources. Etant une version allégée de la norme i il est moins performant que le Wpa 2. Pour l'entreprise GSB nous avons décidé d'utiliser pour que le réseau sans fil ayant accès aux serveurs la norme i avec le protocole de chiffrement AES ou le wap2 avec authentification par serveur radius autrement dit WPA2 entreprise. Pour le deuxième réseau sans fil ayant accès seulement à internet nous avons décidé d'utiliser le protocole WAP2 avec une clé d accès qui changera régulièrement. 8

10 Addresage wifi nom adresse ip masque wifi gsb wifi visiteur 192,168,150,0 255,255,255,0 configuration et sécurité Pour éviter les interférences et pour avoir un réseau avec les meilleures performances, il a fallu définir les canaux de fréquences de ces réseaux wifi. Car Si deux points d'accès utilisant les mêmes canaux ont des zones d'émission qui se recoupent, des distorsions du signal risquent de perturber la transmission. Ainsi pour éviter toutes interférences il est recommandé d'organiser la répartition des points d'accès et l'utilisation des canaux de telle manière à ne pas avoir deux points d'accès utilisant les mêmes canaux proches l'un de l'autre. Voici un exemple. Afin d'empêcher un maximum d'utilisateurs extérieurs qui seraient tentés de se connecter à notre réseau nous limiteront au maximum la circonférence de diffusion du 9

11 réseau. Afin de garantir la sécurité, nous avons décidé de faire une GPO pour interdire l'accès aux utilisateurs à pouvoir voir les propriétés des cartes réseaux ainsi seule l'équipe informatique pourra par conséquent avoir connaissance des identifiants ce qui permettra d'éviter la divulgation de ces identifiants. Un firewall sera mis en place afin d'interdire au réseau qui ne doit accéder qu à internet l'accès aux serveurs de l'entreprise. Au niveau des ssid, seul celui pour les visiteurs de l'entreprise sera visible par tous. Celui ayant accès aux serveurs ne sera pas visible mais il sera automatiquement configuré sur les postes des utilisateurs seul l'équipe informatique possèdera des identifiants pour les droits d'accès. En termes d'accessibilité du matériel, chaque borne wifi sera équipée d identifiant pour le paramètrage. Pour la salle serveur seule l'équipe informatique sera autorisée à y accéder et elle sera équipée avec d une technologie permettant de recenser l informaticien à accéder à cette environnement. de plus chaque informaticien aura des identifiant spécifique à leur besoins. Pour la gestion organisationnelle nous recommandons de sensibiliser et d'informer les utilisateurs des risques de la sécurité au sein de l'entreprise. Nous recommandons aussi de mettre en place des procédure de fonctionnement et de vérification du réseau avec les outils appropriés tel que filtrage des adresses ip ou mac Faire un audit du réseau régulièrement pour parer à toutes éventualités et aussi de vérifier que tous les équipements soit à jour en terme de sécurité. Conclusion. Pour finir nous avons établi ce plan d'action sans avoir étudié au préalable l'environnement de l'entreprise c'est-à-dire l'épaisseur des murs, du plafond, la longueur et largeur du bâtiment etc... C'est pourquoi pour avoir un réseau sécurisé et performant il faut avant tout étudier l'environnement. 10