MAUREY SIMON PICARD FABIEN LP SARI RESEAU RADIO (A/B/G) ET SECURISATION D'ACCES

Transcription

1 MAUREY SIMON PICARD FABIEN LP SARI RESEAU RADIO (A/B/G) ET SECURISATION D'ACCES

2 SOMMAIRE 1. Introduction 2. Matériel Requis 3. Découverte des équipements WIFI Symbol 3.1. WS Caractéristiques techniques Configuration du WS Accès en mode console Configuration du logiciel Hyper terminal Configuration initiale du WS Accès en mode navigateur 3.2. AP Mise en place d'un réseau sans fil non sécurisé 4.1. Architecture physique du réseau mise en œuvre 4.2. Architecture logique du réseau mise en œuvre 4.3. Configuration du réseau Configuration du C Configuration du WS Configuration du serveur DHCP Configuration du client 5. Mise en place d'un réseau sans fil sécurisé 5.1. Wep Architecture physique du réseau mise en œuvre Configuration du réseau Configuration du WS Création d'une nouvelle politique de sécurité : iut_wep Attachement de la politique de sécurité au WLAN Configuration du client 5.2. WPA Architecture du réseau mise en œuvre Configuration du réseau Configuration du WS Création d'un nouveau réseau sans fil Création d'une nouvelle politique de sécurité : iut_802_1x Configuration du client Test et validation de la mise en œuvre 6. Isolement des réseaux locaux au niveau 2 (VLAN) 6.1. Architecture physique du réseau mise en œuvre 6.2. Architecture logique du réseau mise en œuvre 6.3. Configuration du réseau Configuration du C Mise en œuvre du lien TRUNK sur le port Création des VLANs Configuration du WS Mise en œuvre du TRUNK sur l'interface Eth Mise en œuvre du mapping 6.4. Test et validation de la mise en œuvre 7. Mobilité dans un réseau sans fil 8. Conclusion TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 1

3 1. INTRODUCTION Les réseaux sans fils sont de plus en plus déployés que ce soit dans le milieu de l'entreprise que dans le domaine personnel. Les équipements actifs destinés au domaine personnel sont pré configuré et très facile à utiliser de façon à ce que des personnes averties puissent les mettre en place mais aussi les sécurisent. Les équipements conçus pour être utilisés en milieu professionnel sont beaucoup moins intuitifs à mettre en place et nécessitent une configuration spécifique en fonction de ce que l'on désire mettre en place. L'objectif de ce TP a été de mettre en place un réseau local filaire prolongé par des points d'accès sans fils et de démontrer que l'accès aux bornes peut être partagé entre différents utilisateurs mais aussi les isolés et ainsi permettre un accès au réseau filaire de type VLAN sans remettre la sécurité de celui-ci en cause. Nous avons étudié les protocoles et les règles de sécurités disponibles afin d'éviter tous problèmes d'accès au réseau sans fils avec entre autre l'authentification, le cryptage, etc 2. MATERIEL REQUIS 3 x PC sous Windows 1 x PC Portable avec interface sans fils b/g 1 x Accès au serveur RADIUS 1 x Serveur DHCP 1 x Commutateur Ethernet Cisco C x Commutateur Wireless Symbol WS x Bornes d'accès AP300 + Alimentations Divers câbles 3. DECOUVERTE DES EQUIPEMENTS WIFI SYMBOL 3.1. WS CARACTERISTIQUES TECHNIQUES Le WS5100 du constructeur SYMBOL est un commutateur spécifique permettant d'interconnecter deux réseaux physiques différents, un en filaire et l'autre en sans fils. Il dispose pour cela de deux ports Ethernet prenant en charge un débit pouvant aller jusqu'à 1Gbits/s ainsi que d'un port Série permettant le management "OUTBAND" au moyen d'une console. Le premier port Ethernet nommé Eth1 sert à relier le WS5100 à l'ensemble des bornes d'accès sans fils. Le deuxième port nommé Eth2 sert lui à relier le WS5100 au réseau filaire. Le commutateur WS5100 peut gérer jusqu'à 48 bornes d'accès ainsi que 32 réseaux sans fils différents. Il prend en charge les protocoles Wifi a, b et g. De plus, sa taille au standard un RU lui permet de s'intégrer facilement dans un rack. En terme de sécurité, le WS5100 propose les protections suivantes : - Mode de chiffrements Clés WEP 40 et 128bits Clés WPA-TKIP et AES TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 2

4 - Mode d'authentification 802.1x / EAP Il peut se connecter à un serveur RADIUS externe qui fera office d'organe d'authentification. Le WS5100 intègre aussi un serveur DHCP et gère les VLANs ainsi que la QoS CONFIGURATION DU WS5100 Le WS5100 possède deux moyens de configuration : en se connectant par le port console et en utilisant un logiciel terminal. Cette solution est nécessaire au début mais peu intuitive à l'usage. Le deuxième moyen est d'utiliser l'interface graphique en se connectant à l'aide d'un navigateur sur le WS5100. Cette solution est plus pratique à l'usage et plus agréable. Par contre elle nécessite l'installation d'un applet Java Accès en mode console Configuration du logiciel Terminal L'accès en mode console s'effectue en reliant un PC disposant d'un port Série libre au port console du WS5100 et en utilisant un logiciel terminal de type Hyper Terminal. La configuration de celui-ci est la suivante : Configuration de logiciel Terminal Une fois la configuration effectuée, nous aboutissons à l'interface en ligne de commande (CLI). Pour accéder au WS5100, il est nécessaire de s'authentifier : TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 3

5 User name : cli Symbol Wireless Switch WS 5000 Series. Please enter your username and password... userid: admin password: symbol Welcome... Creating the Event list... System information... System Name : WS5000 Description : WS5000 Wireless Network Switch Location : Software Ver. : 1.x.y.z-nnnA...etc... ws5000> L'affichage du prompt du CLI confirme que nous sommes bien connectés au WS Configuration initiale du WS5100 La remise en configuration usine s'effectue en chargeant un fichier se trouvent sur la mémoire flash locale du WS5100. La commande a utilisé est la suivante : WS5100> restore WS5000Defaults_v R.cfg Après confirmation, le WS5100 charge la configuration par défaut et tout ce qui a été fait précédemment est effacé. Pour se connecter à l'aide du navigateur, il est nécessaire de mettre une adresse IP sur l'interface Eth2. Pour cela, il faut au préalable désactiver le serveur DHCP : WS5100> configure Ethernet 2 WS5100.(Cfg).Ethernet.[2]> set disable dhcp Et ensuite de mettre l'adresse IP à l'interface Eth2 : WS5100.(Cfg).Ethernet.[2]> ipaddress Pour vérifier que le serveur DHCP a bien été désactivé et que l'interface Eth2 a bien pris en compte son adresse, il est possible d'exécuter la commande suivante qui nous donnera toutes les informations concernant l'interface Ethernet choisie : WS5100> show Ethernet 2 TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 4

6 Résultat de la commande Voici les paramétrages de bases à effectuer en mode console. L'interface Eth2 étant maintenant configurée, il est possible de continuer la configuration à l'aide du navigateur Accès en mode navigateur Le WS5100 dispose d'un serveur Web sécurisé (GUI) accessible à l'adresse et permettant une configuration plus aisée qu'en mode console. Lors de la connexion, plusieurs avertissements concernant les certificats s'affichent mais il suffit d'appuyer sur "oui" pour arriver à une demande d'authentification : Demande d'authentification TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 5

7 User ID : admin Password : symbol Les informations d'authentification correctement rentrées, la page principale s'ouvre : Fenêtre principale du GUI La fenêtre est décomposée en 4 parties : La barre en haut proposant le menu principal. une frame à gauche permettant d'accéder aux différentes politiques mises en place que ce soit dans le cas des interfaces filaires ou sans fils. une frame à droite donnant des détails sur les éléments sélectionnés dans la frame de gauche. la barre en bas donnant l'état de la connexion entre le navigateur et le WS5100, l'heure ainsi que l'accès au log, au changement du mot de passe d'accès ainsi qu'à un mode "urgence" AP300 L'AP300 de chez SYMBOL est une borne d'accès sans fils permettant aux clients sans fils de se connecter à un réseau. Elle gère les protocoles a, b et g et dispose de deux têtes, une pour la gestion du protocole a (4, GHz) et une autre pour b et g (2,4 2,5 GHz). Elle dispose d'un connecteur RJ45 permettant de transmettre et de recevoir des informations d'un réseau Ethernet mais aussi d'être alimentée. Pour cela, on utilise une alimentation spéciale qui permet de faire transiter des données et du courant électrique en même temps et conformément au protocole 802.3af. Elle dispose de deux ports RJ45. Le TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 6

8 premier port sera relié au réseau filaire et le deuxième à la borne d'accès. Sur le deuxième port, on utilise les deux paires torsadées restantes pour faire passer le courant électrique et ainsi alimenter la borne. 4. MIS EN PLACE D'UN RESEAU SANS FILS NON SECURISE 4.1. ARCHITECTURE PHYSIQUE DU RESEAU MISE EN ŒUVRE 4.2. ARCHITECTURE LOGIQUE DU RESEAU MISE EN ŒUVRE 4.3. CONFIGURATION DU RESEAU L'objectif de cette première mise en place est de créer un premier réseau sans fils afin d'étendre le réseau local filaire constitué par un commutateur C2950 de chez CISCO. On ne met en place pour l'instant aucun chiffrement ni authentification. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 7

9 CONFIGURATION DU C2950 Le commutateur est configuré en mode usine et seule une adresse IP est appliquée au VLAN 1. Switch> enable Switch# erase startup-config Switch# reload On reboot le commutateur après avoir effacé le fichier de démarrage de celui-ci. Lors de la configuration initiale effectuée au démarrage, on utilise les paramètres suivants : Nom d'hôte : SW Pwd : rli Pwd secret : rli2006 Virtuel: vt Interface de management : FastEthernet0/1 Ensuite, il suffit de mettre une adresse IP au VLAN 1 : SW> enable SW# configure terminal SW(Config)# interface vlan 1 SW(vlan-if)# ip address SW(vlan-if)# no shutdown Tous les ports sont par défaut dans le VLAN 1. La commande suivant permet d'afficher tous les VLANs présents dans le commutateur avec les ports rattachés : SW# show vlan La configuration du C2950 est finie et l'on peut passer à celle du WS CONFIGURATION DU WS5100 La première configuration s'effectue à l'aide de l'assistant "Quick Start", disponible dans le menu View Quick Start. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 8

10 Aide à la configuration Quick Start Ce menu permet de créer très simplement son premier réseau sans fils. Pour cela il suffit d'indiquer les paramètres suivants : ESSID : IUT_WL1 Bandwidth : 100% LAN : Ethernet2 Encryption : none L'ESSID est le nom du réseau sans fil. Il est diffusé par la borne d'accès et les clients peuvent le voir afin d'effectuer une demande de connexion. Bandwidth correspond à la bande passante allouée à ce réseau. LAN permet d'indiquer vers où le trafic est "mappé", c'està-dire dirigé. Encryption correspond à la sécurité mise en place CONFIGURATION DU SERVEUR DHCP Un serveur DHCP (Dynamic Host Configuration Protocol) permet d'assigner dynamiquement des adresses IP et un masque de sous-réseau à un ordinateur en faisant la demande. Il peut aussi fournir d'autres informations comme l'adresse de la passerelle ou encore celles des DNS. Cette utilisation dynamique permet de diminuer les erreurs d'adressage sur de grands réseaux mais aussi de faciliter la configuration des machines car tout est centralisé sur le serveur. Nous avons mis en place le service DCHP fournit avec Windows 2000 server. Pour le configurer, il suffit de se rendre dans : Démarrer Programmes Outils d'administration DHCP TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 9

11 Chemin d'accès pour la configuration du service DHCP Une fenêtre s'affiche alors permettant la configuration du service. Vue d'ensemble du service DHCP Il est possible de voir à partir de cette fenêtre les étendues déjà fournies par le service DHCP avec l'adresse du serveur DCHP (ici : ) et sur quelle réseau il distribue des adresses (ici : ). Pour créer une nouvelle étendue, il faut effectuer un clic droit dans la partie de gauche et faire Nouvelle étendue Un assistant s'ouvre permettant d'effectuer facilement la configuration. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 10

12 Assistant Configuration Nouvelle étendue : 1 ère fenêtre En cliquant sur Suivant >, il est possible de commencer la configuration de la nouvelle étendue. Assistant Configuration Nouvelle étendue : 2 ème fenêtre TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 11

13 Il est demandé de rentrer un nom et une description concernant l'étendue afin de l'identifier rapidement si un même service venait à fournir des adresses IP pour différents réseaux. Assistant Configuration Nouvelle étendue : 3 ème fenêtre Dans cette fenêtre, on indique la plage d'adresse IP que le serveur DHCP va fournir aux clients lui demandant. On indique aussi la valeur du masque. Assistant Configuration Nouvelle étendue : 4ème fenêtre TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 12

14 Si l'on souhaite ne pas distribuer une certaine plage d'adresse IP dans la plage définie auparavant, c'est ici que l'on peut les déclarer. Il est possible d'exclure plusieurs plages d'adresses IP. Assistant Configuration Nouvelle étendue : 5ème fenêtre Un bail est le temps qu'un client va garder son adresse IP avant qu'elle ne devienne obsolète et qu'il en demande une nouvelle. La définition de cette durée se fait à ce moment. Assistant Configuration Nouvelle étendue : 6 ème fenêtre TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 13

15 Un serveur DCHP peut fournir aussi d'autres adresses IP comme la passerelle par défaut ou le(s) serveur(s) DNS. Il est possible de les configurer en cliquant sur Oui, je veux configurer ces options maintenant. Assistant Configuration Nouvelle étendue : 7 ème fenêtre La saisie d'une passerelle par défaut se fait ici. Elle sera communiquée au client en même temps que son adresse IP. Il est possible d'en définir plusieurs et de leur donner un ordre de priorité. Assistant Configuration Nouvelle étendue : 8 ème fenêtre TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 14

16 Les serveurs DNS à utiliser pour la résolution des noms de domaine sont à paramétrer dans cette fenêtre-ci. Il est possible tout comme lors de la saisie des adresses des passerelles d'en définir plusieurs et de les hiérarchiser. Assistant Configuration Nouvelle étendue : 9 ème fenêtre La configuration est maintenant terminée et il est nécessaire d'activer l'étendue si l'on veut que les clients se voient attribuer des adresses IP. Il est aussi nécessaire que le service Serveur DHCP soit démarré pour que cela fonctionne. Pour vérifier que le service est lancé, il suffit de taper services.msc dans la fenêtre exécuter du menu Démarrer. Une nouvelle fenêtre s'ouvre avec tous les services démarrés sur le serveur. La ligne à vérifier s'appelle Serveur DHCP et le service doit être démarré et de façon Automatique au lancement du serveur pour plus de sécurité CONFIGURATION DU CLIENT Le client peut être un ordinateur, un ordinateur portable, un palm, tout matériel possédant une carte réseau a, b ou g. Sa configuration est nécessaire pour qu'il puisse se connecter au réseau sans fils. Pour cela nous allons d'abord regarder au niveau de l'adressage IP. Il suffit de faire un clic droit sur l'icône Connexion au réseau sans fils de la carte réseau que l'on utilise, de cliquer sur Propriétés et ensuite de double cliquer sur Protocole Internet (TCP/IP). Tous les paramètres nous sont fournis automatiquement par le serveur DHCP, la fenêtre doit ressembler alors à la suivante : TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 15

17 Propriétés de Protocole Internet Ensuite, nous allons nous assurer que la gestion des réseaux sans fils est assurée par Windows et non pas par le constructeur de la carte WIFI. En fermant la fenêtre Propriétés de Protocole Internet, on clique sur l'onglet Configuration réseaux sans fils. Puis on s'assure que l'option Utiliser Windows pour configurer mon réseau sans fils est cochée. Propriétés de Connexion Réseau sans fils TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 16

18 Il faut ensuite procéder à l'ajout du réseau sans fils s'il n'a pas été détecté. Dans cette même fenêtre, on clique sur Ajouter et une nouvelle fenêtre s'ouvre. On renseigne les paramètres suivants et ensuite on fait OK. Nom réseau (SSID) : IUT_WL1 Authentification réseau : ouvrir Cryptage des données : Désactivé En se rendant dans la fenêtre Connexion réseau sans fils, IUT_WL1 est maintenant présent et il est possible de s'y connecter. La connexion est active lorsqu'il est marqué à coté Connecté ou bien en regardant dans la barre des tâches, un petit ordinateur est présent avec des ondes vertes. Afin de mettre en évidence que le client est bien connecté au réseau et qu'il communique bien avec les autres PCs, nous avons fait des pings entre les diverses machines présentes sur le réseau et cela dans les deux sens. 5. MIS EN PLACE D'UN RESEAU SANS FILS SECURISE Maintenant que le réseau sans fils marche, nous allons commencer à le sécuriser. La sécurisation d un réseau sans fils est très importante car le principe même du réseau est d utiliser des ondes radioélectriques pour diffuser les trames. Les communications peuvent donc être écoutées par des personnes autres que celles voulues. Deux choses sont à faire pour sécuriser un réseau sans fils. La première est de crypter les données qui transitent entre les différents matériels de façon à ce que seules les personnes concernées puissent comprendre les informations échangées. Et la deuxième est d authentifier les personnes afin de savoir qui est présent sur le réseau. Pour cela, nous avons appliqué une méthode de chiffrement par clé. Tout d abord avec WEP (Wired Equivalent Privacy) et ensuite WPA (WIFI Protected Access) avec authentification auprès d un serveur RADIUS WEP 128 Le Wired Equivalent Privacy (WEP) est un protocole de cryptage des données qui fait partie intégrante de la norme IEEE et qui devait fournir un niveau de confidentialité comparable aux réseaux locaux filaires. Malheureusement, ce type de cryptage n est pas le plus sécurisant car malgré la taille des clés disponibles (64, 128 et 256bits), il est très facile de la casser. Il faut en moyenne moins d une heure pour cracker une clé WEP à l aide de logiciels disponibles sur Internet et avec un simple PC muni d une carte WIFI. Le fait que la gestion des clés ne soit pas dynamique mais aussi qu une clé soit échangée par tous les utilisateurs sont ses principaux défauts. La longueur de la clé utilisée dans le TP a été de 128bits. Nous n avons pas essayé de craquer notre clé mais cela aurait pu être une expérience intéressante ARCHITECTURE DU RESEAU MISE EN PLACE L'architecture physique reste la même, voir CONFIGURATION DU RESEAU TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 17

19 Configuration du WS5100 Nous allons modifier la configuration du WS5100 de façon à ce qu'il prenne en charge maintenant le chiffrement des données en WEP Création d une nouvelle politique de sécurité : iut_wep128 Pour cela nous allons créer une nouvelle politique de sécurité. Pour cela, il suffit d aller dans le menu : Create Access Port Security Policy Chemin d accès pour la création d une nouvelle politique de sécurité Nous aboutissons alors sur une nouvelle fenêtre qui est un assistant permettant la configuration de la nouvelle politique d accès. Assistant création politique de sécurité : 1 ère fenêtre TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 18

20 Dans cette première fenêtre, il est nécessaire de donner un nom unique à la politique de sécurité afin de la différencier des autres (ici, iut_wep128). Il est aussi possible de donner une courte description du rôle de cette politique. Il suffit ensuite de cocher WEP pour que le cryptage utilisé soit le WEP. Une fois les champs correctement remplis, le bouton Prochain est disponible. Assistant création politique de sécurité : 2 ème fenêtre Cette deuxième fenêtre permet de renseigner comment va être gérer la clé. Dans le cas de la clé WEP, celle-ci doit être renseignée par le créateur du réseau, puis ensuite chaque client devra la recopier lors de la demande de connexion au réseau. C est pourquoi nous devons cocher la case Manually Pre-Shared Key. Le bouton Prochain se dégrise à nouveau et nous pouvons avancer. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 19

21 Assistant création politique de sécurité : 3 ème fenêtre Ce troisième écran permet d indiquer qu elle est la taille de la clé que l on va utiliser pour crypter les messages échangés mais aussi de rentrer la clé, soit une clé aléatoire que l on va générer, soit une clé que l on va choisir. Il est à noter que cet écran comporte une incohérence dans le choix de la taille de la clé. Une clé WEP est composé de deux parties : une première qui est la clé de chiffrement et d une deuxième partie, le vecteur d initialisation qui est un bloc de bits d une longueur de 24 bits utilisé dans l opération de chiffrement. Théoriquement ce vecteur d initialisation est généré aléatoirement mais si l on regarde bien, on constate que lorsque qu on utilise une clé de 128 bits, on donne en même temps le vecteur d initialisation alors qu en théorie, on devrait donner une clé de longueur = 104 bits. De plus, une autre incohérence en terme de sécurité est d autoriser l entrée d une clé en ASCII, ce qui veut dire que l on peut entrer un mot familier ce qui rendra la clé encore plus facilement cassable à l aide d un dictionnaire contenant des mots courants. Une fois la clé renseignée (dans notre cas : qui n est pas une clé a utilisé dans un véritable réseau), il est possible de passer à la confirmation de la création de la politique de sécurité en cliquant sur le bouton Prochain. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 20

22 Assistant création politique de sécurité : 4 ème fenêtre Cette 4 ème et dernière fenêtre permet de confirmer la création de la politique de sécurité. En cliquant sur Terminer, la politique de sécurité sera sauvegardée et la fenêtre fermée Attachement de la politique de sécurité au WLAN Maintenant que la politique de sécurité est créée, il faut la rattacher au réseau sans fil concerné, IUT_WL1. Pour cela il suffit de se rendre dans le menu : Modify Access Port WLAN Une fenêtre va alors s afficher, proposant les différents réseaux sans fil existants. Il suffit alors de cliquer sur celui concerné qui est pour nous IUT_WL1 et de cliquer sur Edit. Il ne reste plus alors qu à lui associer la politique de sécurité que nous venons de créer iut_wep128. Pour confirmer le bon rattachement de la politique de sécurité au réseau, il suffit de cliquer sur le lien de gestion des politiques des bornes d accès et de regarder : TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 21

23 Politique des bornes d accès Nous pouvons constater que la politique de sécurité iut_wep128 est bien attachée à un réseau sans fil Configuration du client L accès à la borne d accès étant maintenant sécurisé, il est nécessaire de modifier la configuration du client de façon à ce qu il prenne en compte ce changement. Pour cela, il suffit d aller dans les propriétés de connexion de la carte réseau sans fil et de cliquer sur l onglet Configuration réseau sans fil. On sélectionne ensuite le réseau IUT_WL1 et on clique sur Propriétés de façon à le modifier. Une nouvelle fenêtre s ouvre on clique maintenant sur l onglet Authentification. Il ne reste plus alors qu à modifier l information suivante : Cryptage des données : WEP On valide toutes les fenêtres et la configuration est maintenant terminée. Dorénavant lorsque nous nous connecterons au réseau IUT_WL1, une fenêtre nous demandera de rentrer la clé WEP deux fois et exactement comme nous l avons rentrer lors de la création de la politique d accès WPA Le WIFI Protected Acess (WPA) est un protocole qui tout comme le WEP permet de sécuriser les échanges dans un réseau sans fil. Il a été créé en 2003 tout particulièrement pour remplacer WEP qui est jugé trop peu sécurisé. WPA respecte quasiment tout le protocole et sa dernière version WPA2 est entièrement compatible Il existe deux types de cryptage WPA, le personnal et le enterprise. Le premier est une version moins TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 22

24 sécurisée que le deuxième car il n intègre pas l authentification. Les utilisateurs partagent tous une même phrase secrète, un peu à la manière de WEP. La deuxième est couplée à un serveur d authentification à la norme 802.1x qui va gérer les utilisateurs et distribuer les clés. Les deux apports majeurs du protocole WPA par rapport au WEP sont la mise en place d un échange dynamique des clés lors de l utilisation du système appelé TKIP (Temporal Key Integrity Protocol) et l allongement du vecteur d initialisation à 48 bits au lieu de 24. Ces deux apports permettent de combler les lacunes du WEP. Nous avons mis en œuvre dans cette partie un chiffrement des données en utilisant le protocole WPA avec une rotation des clés à l aide du protocole TKIP ainsi qu une authentification auprès d un serveur RADIUS (Remote Authentification Dial-In User Service) qui gère une base d utilisateurs et le transport des données d authentification ARCHITECTURE DU RESEAU MISE EN PLACE L'architecture physique reste la même, voir CONFIGURATION DU RESEAU Nous allons créer un nouveau réseau sans fil possédant comme SSID : IUT_WL2 ainsi qu avec chiffrement des données reposant sur WPA Configuration du WS5100 Pour commencer nous allons créer un nouveau réseau, puis une nouvelle politique d accès que nous associerons au nouveau réseau Création d un nouveau réseau sans fil Plutôt que de créer complètement un nouveau réseau sans fil, nous allons modifier la politique existante QIAPPolicy01 créée lors de la première manipulation en utilisant "Quick Start". Pour cela, il faut se rendre dans le menu : Modify Access Port Existing Policy Une nouvelle fenêtre va alors s'ouvrir. Il suffit de choisir la politique QIAPPolicy01 et de cliquer sur Edit. Nous pouvons maintenant la modifier et la configurer selon nos besoins. Nous commençons alors par changer le ESSID existant par IUT_WL2. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 23

25 Modification de la politique existante Le ESSID changé, il est possible de cliquer sur Prochain et ainsi passer à l'étape suivante. Affectation d'une politique de sécurité au nouveau réseau sans fil TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 24

26 Cette étape consiste à associer au nouveau réseau sans fil une politique de sécurité. Dans notre cas, nous souhaitons créer une nouvelle politique de sécurité basée sur un cryptage WPA. Pour que l'association se fasse automatiquement, nous cliquons sur le bouton Create qui nous amène à l'assistant que nous avons utilisé pour la création de la politique de sécurité iut_wep128. Une fois cette étape faite, l'assistant nous propose de répartir la bande passante entre les différents réseaux sans fil présents. Nous la répartissons de manière équivalente, c'est-àdire Maintenant, le réseau sans fil est créé et il reste à configurer le client Création d'une nouvelle politique de sécurité : iut_802_1x Grâce à l'assistant, la création d'une nouvelle politique de sécurité se fait très simplement. Assistant création politique de sécurité : 1 ère fenêtre Nous souhaitons maintenant mettre en œuvre un cryptage des données dynamique donc nous cochons la case TKIP et lui donnons comme nom iut_802_1x. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 25

27 Assistant création politique de sécurité : 2 ème fenêtre Nous avons à notre disposition un serveur RADIUS afin de gérer l'authentification des utilisateurs. Pour le sélectionner et le configurer, nous cochons la case 802.1x EAP. Assistant création politique de sécurité : 3ème fenêtre TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 26

28 Cette 3 ème fenêtre permet d'indiquer l'adresse IP du serveur RADIUS ainsi que le temps de rotations des clefs TKIP. Dans notre cas, le serveur RADIUS se trouvait à l'adresse sur le port 1812 et le mot de passe permettant de chiffrer les communications entre le WS5100 et le serveur RADIUS et qu'il fallait mettre dans le champ RADIUS Shared Secret était wifi. Le champ Period permet de gérer le temps de rotation des clefs et nous avons mis sa valeur à 600. La création de la politique d'accès est maintenant terminée et la fenêtre peut être quittée Configuration du client Afin de pouvoir accéder au nouveau réseau sans fil, il est nécessaire de créer un nouveau profil de connexion. Pour cela, nous allons aller dans les propriétés réseaux de la carte réseau sans fil et cliquer sur l'onglet Configuration réseaux sans fil. Dans la liste des Réseaux favoris, nous allons en ajouter un nouveau en cliquant sur le bouton Ajouter. Les paramètres à rentrer sont les suivants : Nom réseau (SSID) : IUT_WL2 Authentification réseau : WPA Cryptage des données : TKIP Puis nous allons renseigner le client que nous souhaitons nous authentifier en cliquant sur l'onglet Authentification. Une nouvelle fenêtre s'ouvre et les paramètres sont les mêmes que l'image suivante : Configuration de l'authentification TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 27

29 Et enfin nous cliquons sur Propriétés afin de configurer le Type EAP. La configuration est la même que l'image suivante : Configuration de EAP Dans le menu Configurer, il faut aussi décocher Utiliser le mot de passe de la session Windows afin que lors des demandes de connexion, une fenêtre s'affiche invitant l'utilisateur à s'authentifier TEST ET VALIDATION DE LA MISE EN ŒUVRE Une fois la configuration du WS5100 ainsi que celle du client effectuée et sauvegardée, nous avons pu passer à la phase de test et de validation. Tout d'abord, lorsque nous souhaitons nous connecter au réseau IUT_WL2 au travers de la fenêtre Connexion réseau sans fil, TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 28

30 Connexion réseau sans fil nous avons maintenant une fenêtre nous demandant de nous authentifier : Demande d'authentification En lui fournissant les informations voulues, c'est-à-dire un nom d'utilisateur (tp2) et un mot de passe (tp2), le WS5100 va faire une demande d'authentification. Si celle-ci est correcte, alors le client va se voir attribuer une adresse IP par le serveur DHCP et le client est connecté au réseau sans fil IUT_WL2. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 29

31 En consultant les logs sur le serveur RADIUS, on peut consulter les demandes d'authentification avec les dates et les heures ainsi que les approbations et les refus. 6. ISOLEMENT DES RESEAUX LOCAUX AU NIVEAU 2 (VLAN) La technique des VLANs (Virtual Lan ou réseau local virtuel) permet de créer plusieurs réseaux logiques sur un même commutateur physique. La mise en place de VLANs permet de segmenter le réseau et ainsi diminuer la taille d'un domaine de broadcast. De plus en terme de sécurité, les VLANs sont isolés comme pourraient l'être différents réseaux filaires. Le seul moyen d'effectuer des communications inter-vlans est d'utiliser un routeur. Le but de cette manipulation est créer trois VLANs afin d'isoler les bornes et les deux réseaux sans fils afin d'étendre les fonctionnalités d'isolement des réseaux locaux d'ordinaire effectuer sur des réseaux de type filaires à des réseaux de type sans fil. Pour cela, nous allons créer trois VLANs sur le commutateur C2950 et mapper les bornes sur le premier VLAN tout ce qui provient du réseau sans fil dont le SSID est IUT_WL1, sur le deuxième VLAN tout ce qui provient du réseau sans fil ayant pour SSID IUT_WL2 et enfin sur le troisième VLAN les bornes. A la fin de cette manipulation, nous pourrons alors constater que le déploiement d'une infrastructure sans fil est possible avec la capacité à partager celle-ci entre différentes populations distinctes tout en conservant une isolation entre elles et sans pénaliser la sécurité d'un réseau par rapport à l'autre ARCHITECTURE PHYSIQUE DU RESEAU A METTRE EN ŒUVRE TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 30

32 6.2. ARCHITECTURE LOGIQUE DU RESEAU MISE EN ŒUVRE Serveur DHCP (postes mobiles) Pool Masque Serveur DHCP (postes mobiles) Pool Masque PC /24 PC /24 VLAN 1 VLAN 2 Port 12 / ETH2 ESSID IUT_WL1 PC2 (poste mobile) Client DHCP PC /24 PC /24 Port 1/ ETH1 ESSID IUT_WL2 VLAN 3 PC2 (poste mobile) Client DHCP AP300 Access Policy AP300 Référence :TP 2_0_ CONFIGURATION DU RESEAU CONFIGURATION DU C Mise en œuvre du lien TRUNK sur le port 12 Tout d'abord, il est nécessaire de mettre le port 12 du C2950 en mode TRUNK. Un lien en mode TRUNK n'appartient à aucun VLAN. D'ailleurs pour preuve d'une bonne configuration, en faisant la commande suivante qui permet d'afficher tous les VLANs ainsi que les ports associés, le port en mode TRUNK ne doit appartenir à aucun VLAN et donc ne pas être présent : Switch# show vlan Les commandes suivantes permettent de mettre le port FastEthernet 12 du C2950 en mode TRUNL : Switch# configure terminal Switch(config)# interface FastEthernet 0/12 Switch(config-if)# switchport mode trunk Création des VLANs Les différentes configurations des VLANs respectent le tableau suivant : TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 31

33 VLAN SWITCH Vlan ID SW1 (CISCO / 12x10/100TX) VLAN default 1 Port = 1-4 VLAN DMZ 2 Port = 5-8 VLAN bornes 3 Port = 9-11 TRUNK (802.1q) Tagged Port = 12 La configuration du premier VLAN n'est pas nécessaire car, par défaut, tout les ports se trouvent dans le VLAN 1 considéré comme le VLAN de management. La configuration du deuxième VLAN est la suivante : Switch# configuration terminal Switch(config)# interface range FastEthernet0/5 8 Switch(if-range)# switchport access vlan 2 Switch(if-range)# exit Switch(config)# vlan 2 Switch(vlan)# name DMZ Nous plaçons les ports 5 à 8 du C2950 dans le VLAN 2 en une seule passe grâce à l'utilisation du mot clé RANGE qui permet de définir un intervalle de ports. Le VLAN 2 est créé automatiquement et nous lui donnons le nom de DMZ. La configuration du VLAN 3 est similaire à celle du VLAN 2 : Switch# configuration terminal Switch(config)# interface range FastEthernet0/9 11 Switch(if-range)# switchport access vlan 3 Switch(if-range)# exit Switch(config)# vlan 3 Switch(vlan)# name BORNES La configuration du C2950 est maintenant terminée. En exécutant la commande permettant de voir les VLANs, nous pouvons constater que tous les ports sont bien affectés au bon VLAN et que le port 12 a disparu et qu'il est donc en mode TRUNK CONFIGURATION DU WS5100 Nous allons maintenant mapper le WLAN IUT_WL1 sur le VLAN 1 et le WLAN IUT_WL2 sur le VLAN 2, c'est-à-dire rediriger les paquets provenant du réseau sans fil IUT_WL1 vers le VLAN 1 et les paquets provenant du réseau IUT_WL2 vers le VLAN 2. Pour cela nous allons d'abord activer l'interface Eth2 en mode TRUNK, puis nous activerons le mapping des WLANs vers les VLANs Mise en œuvre du TRUNK sur l'interface Eth2 L'activation du TRUNK sur une interface Ethernet du WS5100 peut s'effectuer de deux manières différentes, en mode graphique et en mode console. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 32

34 La première est très simple à réaliser puisqu'il se suffit de se rendre sur l'interface concernée, pour nous la 2, grâce à l'explorateur situé sur la gauche et de cocher la case 802.1q Trunk. La deuxième méthode n'est pas plus compliquée : WS5100> Configure Ethernet 2 WS5100.'Cfg).Ethernet.[2]> set trunk 1 L'interface Eth2 est maintenant en mode TRUNK et pour vérifier s'il est bien actif, nous pouvons cliquer sur le bouton VLAN Discovery puis Discover. Fenêtre affichant les différents VLANs disponibles Nous pouvons voir les VLAN 2 et 3 mais pas le VLAN 1. Ceci est du au fait que le port 12 du C2950, le VLAN natif est le VLAN 1. Pour corriger ce problème, il suffit de dire au port 12 que son VLAN natif est un VLAN avec un nombre inutilisé par exemple 100. Switch# configure terminal Switch(config)# interface FastEthernet 0/12 Switch(config-if)# switchport trunk native vlan 100 Ceci étant fait, si l'on appuie de nouveau sur le bouton Discover, on constate que les trois VLANs sont présents. Nous pouvons maintenant passer à l'activation du mapping Mise en œuvre du mapping TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 33

35 La mise en œuvre du mapping s'est effectuée en modifiant la politique actuelle de gestion des interfaces Ethernet. Pour cela nous sommes allés dans le menu : Modify Eternet Existing Policy Dans cette nouvelle, nous avons choisi la politique utilisée actuellement, QIAPPolicy01. Dans la fenêtre suivante, nous devons choisir quel sera le VLAN "d'appui" des deux ports Ethernet. Nous avons choisi le seul VLAN disponible. Choix du VLAN "d'appui" La prochaine étape est d'associer un WLAN au VLAN. C'est ce que l'on appelle le mapping. Nous avons donc mappé sur le VLAN 1, le WLAN IUT_WL1 et sur le VLAN 2, le WLAN IUT_WL2. Mapping des WLANs sur les VLANs TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 34

36 En cliquant sur Prochain, la politique est correctement modifiée et sauvée. Nous pouvons maintenant tester le fonctionnement TEST ET VALIDATION DE LA MISE EN ŒUVRE Afin de constater si l'isolation des différents WLANs était correcte, nous avons placé un PC relié au réseau filaire dans chacun des VLANs 1 et 2 et nous nous sommes connectés au moyen d'un PC portable au réseau sans fil d'abord sur le SSID IUT_WL1 puis sur le SSID IUT_WL2. Nous avons effectué différents pings entre les machines afin de constater si elles se voyaient ou non entre elles. Nous avions fixé l'adresse IP de la machine seule dans son VLAN car il est impératif que le serveur DHCP soit dans le même VLAN que les machines souhaitant récupérer une adresse IP. De plus, le serveur RADIUS doit rester dans le vlan de management afin d'être en permanence joignable par le WS5100 afin d'effectuer l'authentification des utilisateurs. 7. MOBILITE DANS UN RESEAU SANS FIL L'accès à une borne n'est pas possible au-delà d'une certaine distance comme nous avons pu le constater dans le TP consacré à l'étude de site. Pour garder un réseau toujours joignable, il est nécessaire de disposer plus ou moins de bornes selon la superficie du réseau à couvrir. Mais dans un soucis de qualité, il est nécessaire que le changement d'une borne à une autre, lorsque l'utilisateur quitte la zone de couverture d'une borne, soit pour lui le plus transparent possible et conserve sa connexion. La fonction permettant au client de changer de borne en toute transparence pour l'utilisateur est appelée Roaming. Nous n'avons hélas pas pu mettre en pratique cette manipulation mais nous nous sommes quelques peu renseignés sur la technique utilisée. La superficie du réseau est découpée en cellule où chaque cellule correspond à une borne d'accès. Chaque cellule se superpose un petit peu. Ceci permet à l'utilisateur de rester connecté à la borne sortante pendant que le client négocie avec la borne entrante. Ainsi lorsque les négociations de connexion sont effectuées, le client est passé sur la borne entrante et cela sans que l'utilisateur s'en aperçoive. 8. CONCLUSION Au travers de ce TP, nous avons pu voir qu'il était possible de créer des réseaux sans fil sécurisés grâce à l'utilisation de moyens cryptographiques plus ou moins puissants couplé à l'authentification des utilisateurs. Nous avons aussi pu constater que différentes populations d'utilisateurs pouvaient cohabiter, tout en étant isolé mais aussi sans remettre en cause la sécurité grâce à l'utilisation de VLANs. Les réseaux sans fil et plus particulièrement le WIFI sont des domaines d'actualités, intéressants et nécessaires de maîtriser. Le monde professionnel mais aussi le monde personnel se tourne de plus en plus vers ces solutions qui ont un grand avenir. TP2 RESEAU RADIO (WIFI A/B/G) ET SECURISATION D'ACCES - 35