TP ADMINISTRATION RESEAUX SANS FIL Manipulation N 1 : Installation d un Réseau Ad-hoc ( indépendant, ou point à point). Matériel nécessaire : Trois postes PC fixes. Trois cartes (format PCI).client 11b ou 11g, à intégrer dans chacun des PC Les drivers de cartes. Par facilité, les documents et drivers (copie du CD-ROM) sont installés dans le disque dur du système. Logiciels nécessaires : Dans le répertoire c:\tpwifi Objectifs : Configurer un réseau autonome ad-hoc Paramétrer les connexions réseaux sans fil ( protocole TCP/IP, pont d accès à Internet) Analyse sommaire de la qualité de liaison et du débit. 192.168.0.1 PC1 192.168.0.3 PC3 192.168.0.2 PC2 Configuration : Le PC1 conserve une connexion au réseau de l Ecole ou, une connexion directe à Internet, selon le cas. Logiciel d analyse de débit LanEval (pré installé) : Page 1 sur 9
Installation des drivers des cartes sans fil : Les paramètres de connexion seront installés sans sécurité. La sécurisation du réseau sera étudiée dans une manipulation ultérieure. Configurez les paramètres réseau suivants aller dans «Favoris réseau» puis click droit «propriétés», puis propriétés la partie connexion, puis configuration sans fil, puis avancé puis mettre réseau d égal à égal (ad hoc) puis faire ajouter : o Nom du réseau : SSID = 101, ne pas laisser le nom par défaut.ne pas modifier le mot de passe administrateur o Mode WEP désactivé. Sur la connexion sans fil de chaque PC, installer l adresse du protocole TCP/IP, comme indiqué sur le schéma. Vérification des liaisons et du protocole TCP/IP. Désactiver sur chaque machine le parefeu windows pour cela aller dans Paramètres, puis Panneau de configuration, puis parefeu windows puis désactiver. Installer LanEval si pas installé puis sur les deux PC ouvrir l application LanEval La figure d accueil suivante apparaît. Page 2 sur 9
Les tests LanEval se feront en mode Packet Broadcast. LanEval est un générateur de trames automatiques, qui vous permet de vérifier la qualité et le fonctionnement de la connexion au protocole TCP/IP. L un des postes sera en récepteur de Trames (Start RX), le second en émetteur Start Tx). Lancer les deux applications, pas plus de dix secondes, car vous allez saturer la mémoire et bloquer le PC. Une fenêtre comme celle qui suit, vous donne l évolution des paquets reçus et une fenêtre équivalente s affiche sur l émetteur. Relever le taux d erreurs de transmission, le débit moyen. Placer un obstacle physique entre les deux antennes, recommencer le test et constater l évolution de la qualité de la liaison (débit,moyen, taux d erreurs, bon paquets/mauvais paquets). Effectuer le test de liaison TCP/IP entre chaque PC. Connexion à Internet. La connexion à Internet est faite sur le PC1, par l accès au réseau de l Ecole. Les PC2et 3 ne possèdent plus d accès à Internet. Sur le PC1,vous allez donc créer une passerelle entre la liaison réseau Ethernet et la liaison sans fil, pour permettre aux PC2 et PC3 d accéder à Internet au travers de PC1. Page 3 sur 9
Manipulation N 2 : Installation d un Réseau Infrastructuré Matériel nécessaire : 1 ou 2 point d accès plus des PCs Objectifs : Configurer les points d accès au réseau câblé Mise en place d une application client-serveur FTP Analyse de débit, mise en évidence de l aspect semi-duplex des communications. Configuration des Points d Accès AP 1 192.168.0.1 192.168.0.4/5/6 PC1/2/3 Le points d accès est déconnecté du réseau de l Ecole. Faire un reset pendant 15 secondes du point d accès, puis connecter la carte LAN du PC sur une liaison LAN du point d accés. Puis configurer la carte filaire du PC en DHCP, vous pouvez alors accéder à l aide d Internet Explorer à l administration du PA en donnant comme login : (pas de login) password : admin. Puis configurer le/les point d accés : Nom SSID : 101 Pas de WEP Canaux 1 et 6 respectivement pour les AP1,AP2, Laisser le mot de passe initial. Puissance d émission (1000 mw-100 %) Donner l adresse IP Statique proposée. Sur les PC, configurer les cartes PCI en mode Infrastructuré, et configurer les liaisons TCP/IP avec les adresses proposées Page 4 sur 9
Paramètrage complémentaire du PA : Sur les PA concernés : Mode mixte (pour AP 11g) Filtres MAC : désactivé SNMP : désactivé (si ce paramètre existe) Une fois configuré les points d accès, enlever la liaison filaire, puis configurer les postes puis finir l installation du système conformément à la figure suivante. Une fois la configuration de base initialisée, sous-réseau et paramétrer les valeurs complémentaires. Postes Clients PC : Modifier les paramètres des liaisons sans fil des PC, en le configurant en mode infrastructuré. Réactiver la connexion sans fil, un indicateur de force du signal doit apparaître. Vérification des connexions IP par l invite de commande DOS : «ping» Mise en œuvre d une application FTP client /serveur : Serveur FTP : Installer dans le PC1, le programme Personal FTP Server s il n est pas installé, lancer le programme setup dans le répertoire ftpserver du bureau. répondre OUI aux questions en Allemand, une fois installé, il vous proposera de choisir la langue entre l Anglais ou l Allemand. Configurer le serveur, en cochant «start minimized». Dans l onglet options>users, créer un compte client FTP, en l occurrence : Username : votre nom, Password : «à votre choix», et définisser le chemin d accès (au serveur) : C :\. dans ce cas vous autorisez le client à accéder au disque C du PC serveur. Vous ferez attention, dans la pratique à ne pas le faire, car si vous passez par Internet, vous ouvrez tout votre disque au monde entier. Mais ici nous sommes en salle de TP et à l issue de la séance, vous effacerez les programmes installés. Client FTP : Dans les PC2 et 3, installer le programme WS_ftple qui est un logiciel simple de client FTP. Une fois cela effectué, créer le compte du serveur : son adresse IP, le nom de l utilisateur que vous avez installé sur le serveur et le mot de passe associé. Enregistrez la configuration. Vous pouvez supprimer les comptes serveurs préexistants. Puis démarrer le serveur. Lors du démarrage du logiciel préciser activate later. Etablisser maintenant la connexion avec le serveur. Si tout cela se passe bien, vous pouvez accéder au contenu de son disque dur. Page 5 sur 9
Placer un fichier de grande taille (au moins 20 Mo) dans le compte Mes Documents du serveur. Une fois cela fait, transférer son contenu dans le répertoire Mes documents du client PC2. Relever la durée du transfert, et dans la fenêtre information ou status, du client, ou du serveur, observer le débit nominal. Déplacer le PC ou créer un obstacle entre les deux PC de façon à réduire sensiblement la qualité et le niveau du signal entre ces deux points. Recommencer le transfert et constater le débit. Une analyse plus fine du signal sera vu dans une manipulation à suivre. Page 6 sur 9
Manipulation N 3 : Mise en place d une stratégie de sécurité de base Matériel nécessaire et configuration : Les mêmes que la manipulation précédente Objectifs : Sensibiliser, au fait que les signaux peuvent être observés, donc interceptés et modifiés par une personne malveillante, ou que l on peut se servir du point d accès pour avoir une connexion Internet à bon compte. Les données échangées n étant pas stratégiquement importantes, on mettra donc en place une politique de sécurité élémentaire. Utiliser quelques outils simples d observation du réseau. Comment observer ou détecter un réseau sans fil actif? 1. Sniffer de réseau simple : Net Stumbler : Lancer ce programme depuis un des postes. Vous devez obtenir une fenêtre équivalente à celle qui suit. : A quoi correspond l adresse MAC qui apparaît? Elargisser, la fenêtre d observation et vous verrez apparaître, en autres le SSID du réseau, les débits, en place, l indicateur de clé WEP activé ou non, et autres informations utiles que vous analyserez. Toujours avec cet utilitaire vous pouvez connaître le niveau de rapport S/B. Page 7 sur 9
2. Analyseur de trames Ethereal : Lancer cet utilitaire, effectuer des transactions entre les différents clients du réseau ( FTP, Internet, ) et vous obtiendrez une analyse de ce qui se passe sur le réseau comme la figure suivante : Relever grossièrement, les données principales, et vous constatez que l on peut aisément, observer ce qui se passe sans se faire repérer ( Attaque passive). De nombreux autres logiciels sont disponibles, mais l objectif de ce TP n étant pas de se transformer en Hacker, nous allons nous contenter de chercher à nous protéger. Se protéger : Il a été étudié en cours des méthodes plus au moins sophistiquées de protection, nous allons uniquement voir les méthodes élémentaires, simples à mettre en œuvre et gratuites, qui suffisent pour une utilisation privée. Page 8 sur 9
Réduire la portée d émission : Si vous êtes un hacker potentiel, de l extérieur vous pouvez découvrir, les réseaux qui rayonnent autour de vous (War Driving)et utiliser les fonctions de votre réseau entre l accès gratuit à Internet. Ne négligez pas ce point de vue car, en cas de trafic délictueux, vous auriez toutes les difficultés à vous justifier. A ce stade,il convient de limiter la puissance d émission du PA à ce qui est nécessaire. Tous les PA ne le permettent pas, cela dépend de leur prix. Les PA fournis donnent la possibilité de réduire de moitié leur puissance, trouver la fonctionnalité qui vous permet de réduire à 500 mw. Diffusion du SSID. Eviter la diffusion du SSID, en revenant aux fonctionnalités du PA et désactiver la diffusion du nom de réseau. Filtrage MAC : Les paramètres avancés du PA vous autorisent à installer le filtrage des adresses MAC autorisées à se connecter. Activez cette fonction et enregistrez les adresses Mac des cartes utilisées, en en oubliant volontairement une. Vérifier alors la connexion de ce client associé. Rectifier en enregistrant son adresse. Mise en place de la clé WEP Sur les PA, activer la fonction WEP, et programmer manuellement les clés. La figure qui suit propose 4 clés 64 bits, générées à partir d une phrase. faîtes en de même sur les paramètres de connexion des cartes, rechercher la fonction d activation de la clé WEP Relancez Net Stumbler et Ethereal, et constatez les différences avant et après cryptage WEP. Manipulation N 4 : Connexion internet Connecter le point d accés au réseau internet de l école. Page 9 sur 9