Mise en Place D'un Reseau WIFi Securisé [PDF]

Zitiervorschau

Année : 2019-2020

Étude de cas  : Mise en place d’un réseau Rapport de Projet

WIFI sécurisé Destinataire : Mdm NGOM

Présenté par : Mouhamed Dème, Mouhamed Niang, Aminta Diongue, Sokhna Khoudia Dieng, Onil Sohinto

Table des matières Introduction I. Le WIFI II. Les normes WIFI a) Norme : 802.11 b) Norme 802.11G c) Norme 802.11a d) Norme 82.11n III. Topologies des réseaux Wifi a) Le mode AD HOC b) Mode infrastructure IV. Les fréquences V. Sécurité des réseaux sans fils (Wifi) a) Les risques de sécurité associés au Wi-Fi b) De quoi dépend la sécurité d’un réseau Wi-Fi ? c) Sensibilité des données échangées et disponibilité des réseaux VI. Techniques de déploiement a) La norme WIFI b) Sécurité c) Système d´exploitation VII. Architecture d’un réseau local à accès contrôlé a) Composants d’un réseau 802.1X b) Synoptique de connexion VIII. Protocoles d’authentification a) EAP-MD5 b) EAP-MSCHAPv2 c) EAP-TLS d) EAP-PEAP e) EAP-TTLSv0 IX. Politique de sécurité a) Réseau de confiance b) Sécurité du serveur c) Cloisonnement des flux d) Intégrité et confidentialité des messages e) Journalisation

Conclusion

Table des figures

Figure 1 : le mode ad hoc Figure 2 : le mode infrastructure Figure 3 : Les canaux 2.4 GHz Figure 4 : Disposition des canaux 2.4 GHz Figure 5 : Composants principaux d’un réseau à accès contrôlé Figure 6 :Logigramme de connexion à un réseau 802.1X

Lexique IEEE : Institute of Electrical and Electronics Engineers Wi-Fi : Wireless Fidelity BSS : Basic Service Set WEP : Wired Equivalent Privacy WPA : Wi-Fi Protected Access RADIUS : Remote Authentication Dial-In User Service EAPoL : Extensible Authentication Protocol over LAN IPsec : Internet Protocol Security TLS :

Transport Layer Security

EAP :

Extensible Authentication Protocol

LDAP : Lightweight Directory Access Protocol.

Introduction

Le développement des objets communicants et leur usage quotidien sont aujourd’hui à l’origine de l’omniprésence des réseaux sans-fil Wi-Fi, tant chez les particuliers que dans le monde professionnel. Ces réseaux permettent de connecter tout type de matériel (ordinateurs portables, téléphones mobiles, consoles de jeux, télévisions, équipements électroménagers, automates industriels, etc.) à des réseaux privés ainsi qu’au réseau public Internet. Le Wi-Fi est largement utilisé au sein des réseaux domestiques (par les modems routeurs Internet et autres "Box"), mais également dans le monde professionnel pour la commodité d’accès au réseau interne de l’entreprise, ainsi que pour s’épargner le coût d’une infrastructure filaire. Ces réseaux Wi-Fi sont toutefois souvent vulnérables, et utilisables par des personnes malveillantes afin d’intercepter des données sensibles (informations personnelles, codes de cartes de paiement, données d’entreprise etc.). Début 2013, près de la moitié des réseaux Wi-Fi n’utilisent aucun moyen de chiffrement ou utilisent un moyen de chiffrement obsolète. Force est de constater que la problématique de sécurisation des réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien, il est souvent possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une borne Wi-Fi. Plusieurs aspects de configuration sont à prendre en compte. L’objet de ce document est donc de guider le lecteur dans le choix des meilleurs paramètres pour la bonne sécurisation d’un réseau Wi-Fi. Le particulier non averti y trouvera des recommandations simples à appliquer pour la mise en place d’un réseau Wi-Fi personnel, tandis que l’administrateur réseau en entreprise y trouvera des informations et recommandations complémentaires applicables à un système d’information.

I. Le WIFI La norme IEEE 802.11 (ISO/CEI 8802-11) est un standard international décrivant les caractéristiques d'un réseau local sans fil (WLAN). La marque déposée « Wi-Fi » correspond initialement au nom donné à la certification délivrée par la WECA (« Wireless Ethernet Compatibility Alliance »), organisme ayant pour mission de spécifier l'interopérabilité entre les matériels répondant à la norme 802.11 et de vendre le label « Wi-Fi » aux matériels répondant à leurs spécifications. Par abus de langage (et pour des raisons de marketing) le nom de la norme se confond aujourd'hui avec le nom de la certification. Ainsi un réseau Wi-Fi est en réalité un réseau répondant à la norme 802.11. Dans d'autres pays de tels réseaux sont correctement nommés WLAN (Wireless LAN). Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA), des objets communicants ou même des périphériques à une liaison haut débit (de 11 Mbit/s en 802.11b à 54 Mbit/s en 802.11a ou 802.11g et 540 Mbit/s pour le 802.11n) sur un rayon de plusieurs dizaines de mètres en intérieur (selon les technologie).

II. Les normes WIFI Le Wi-Fi (Wireless Fidelity) est une certification décernée par la Wifi Alliance aux

produits conformes aux standards 802.11 de l'IEEE. La technologie Wi-Fi permet de créer un réseau informatique sans fils, dans le but d’étendre le réseau Ethernet via les ondes radios sur une zone géographiquement distante.

a) Norme : 802.11 ➢ ➢ ➢ ➢ ➢ ➢ ➢

Première norme Wi-Fi utilisée par le grand public et les professionnels depuis 1999. Fréquence : 2,4 Ghz (3 canaux distincts). Débit : 11 Mbits (6 Mbits réel). Portée intérieure : 10 à 15 mètres" Portée extérieure : selon l'antenne utilisée. Incompatible pour le transfert de gros fichier, le streaming vidéo ... Sécurité dépassée : WEP.

b) Norme 802.11G ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢

Norme Wi-Fi plus performante que le 802.11b (retro-compatible). Sécurité améliorée (WPA - TKIP - PSK - WPA2). Fréquence : 2,4 Ghz (3 canaux distincts). Débit : 54 Mbits (25 Mbits réel). Portée intérieure : 10 à 50 mètres" Portée extérieure : selon l'antenne utilisée. Permet le transfert des fichiers images, sons, vidéo ... Possibilité de débit maxi : 108 Mbits (Super G, voir produits constructeurs).

c) Norme 802.11a ➢ ➢ ➢ ➢ ➢ ➢ ➢

Fréquence: 5 Ghz (8 canaux distincts). Bande de fréquence différente pour améliorer les effets de perturbation de signal. Sécurité améliorée (WPA - TKIP - PSK - WPA2). Débit : 54 Mbits (25 Mbits réel). Portée intérieure : 10 à 70 mètres" Portée extérieure : selon l'antenne utilisée. Permet le transfert des fichiers images, sons, vidéo …

d) 802.11n (MIMO) ➢ ➢ ➢ ➢ ➢ ➢

Evolution des réseaux Wi-Fi haut débit. Découpage des données transmises. Algorithme de gestion des rebonds. Débit : 400 Mbits (100 Mbits réel). Portée intérieure : 30 à 100 mètres (En utilisation INTERIEURE exclusivement). Permet le transfert des fichiers images, sons, vidéo …

III.Topologies des réseaux Wifi Nous allons décrire quelles sont les différentes topologies de réseau possibles avec la norme 802.11.

a) Le mode AD HOC En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin de constituer un réseau point à point (peer to peer en anglais), c'est-à-dire un réseau dans lequel chaque machine joue en même temps le rôle de client et le rôle de point d’accès. L’ensemble formé par les différentes stations est appelé ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS). Un IBSS est ainsi un réseau sans fil constitué au minimum de deux stations et n’utilisant pas de point d’accès. L’IBSS constitue donc un réseau éphémère permettant à des personnes situées dans une même salle d’échanger des données. Il est identifié par un SSID, comme l’est un ESS en mode infrastructure. Dans un réseau ad hoc, la portée du BSS est déterminée par la portée de chaque station. Cela signifie que si deux stations du réseau sont hors de portée l’une de l’autre, elles ne pourront pas communiquer, même si elles voient d’autres stations. En effet, contrairement au mode infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les trames d’une station à une autre. Ainsi un IBSS est par définition un réseau sans fil restreint.

Figure 1 : le mode ad hoc

Application : ➢ Communication Wi-Fi de pc à pc sans Point d’Accès. ➢ Les ordinateurs sont émettrices et réceptrices des données. ➢ Simple de mise en œuvre.

b) Mode infrastructure En mode infrastructure, chaque station se connecte à un point d’accès via une liaison sans fil. L’ensemble formé par le point d’accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set, noté BSS) et constitue une cellule. . Dans le mode infrastructure, le BSSID correspond à l’adresse MAC du point d’accès. Il est possible de relier plusieurs points d’accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution (DS) peutêtre aussi bien un réseau filaire qu’un réseau sans fil. Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format ASCII) servant de nom pour le réseau. L’ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu’une station se connecte au réseau étendu. Lorsqu’un utilisateur nomade passe d’un BSS à un autre lors de son déplacement au sein du l’ESS, l’adaptateur réseau sans fil de sa machine est capable de changer de point d’accès selon la qualité de réception des signaux provenant des différents points d’accès. Les points d’accès communiquent entre eux grâce au système de distribution afin d’échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de passer de façon transparente d’un point d’accès à un autre est appelée itinérance (en anglais roaming).

Figure 2 : le mode infrastructure

Application :

➢ ➢ ➢ ➢

Communication Wi-Fi via un Point d’Accès. Le Point d’Accès gère les interconnexions Wi-Fi. Gestion et administration centralisées. Mise en place de sécurité (WEP - WPA – WPA2).

IV. Les fréquences Les canaux 2.4 GHz (802.11b et 802.11g)

Figure 3 :Les canaux 2.4 GHz

➢ Les canaux se chevauchent dans les airs. ➢ Seuls les canaux 1-6 et 11 sont distincts.

Figure 4 :Disposition des canaux 2.4 GHz

V. Sécurité des réseaux sans fils (Wifi) Le développement des objets communicants et leur usage quotidien sont aujourd’hui à l’origine de l’omniprésence des réseaux sans-fil Wi-Fi, tant chez les particuliers que dans le monde professionnel. Le Wi-Fi est largement utilisé au sein des réseaux domestiques (par les modems routeurs Internet et autres "Box"), mais également dans le monde professionnel pour la commodité d’accès au réseau interne de l’entreprise, ainsi que pour s’épargner le coût d’une infrastructure filaire. Ces réseaux Wi-Fi sont toutefois souvent vulnérables, et utilisables par des personnes malveillantes afin d’intercepter des données sensibles (informations personnelles, codes de cartes de paiement, données d’entreprise etc.). Force est de constater que la problématique de sécurisation des réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien, il est souvent possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une borne Wi-Fi. Plusieurs aspects de configuration sont à prendre en compte.

a) Les risques de sécurité associés au Wi-Fi La compromission d’un réseau sans-fil donne accès à l’ensemble des flux réseaux qui y sont échangés, ce qui inclut bien évidemment les données sensibles. Or, l’interception des flux peut être réalisée assez simplement. De par la multitude d’outils prévus à cet effet et disponibles librement, elle ne nécessite souvent aucune connaissance particulière. L’accès illégitime à un réseau Wi-Fi par une personne malveillante lui confère une situation privilégiée lui permettant de s’attaquer plus facilement à d’autres ressources du système d’information (postes de travail, serveurs, équipements réseaux) indirectement d’accéder à d’autres données sensibles. Par manque de robustesse, les mécanismes cryptographiques intrinsèques aux réseaux Wi-Fi n’apportent parfois qu’une fausse impression de sécurité. Fin 2012, les principaux profils de sécurité sont, par ordre d’apparition : ➢ ➢ ➢ ➢

le WEP, dont la clé (mot de passe d’accès) est cassable en moins d’une minute ; le WPA, de robustesse variable en fonction du paramétrage utilisé ; le WPA2, particulièrement robuste ; et plus récemment le WPS qui simplifie l’authentification d’un terminal sur un réseau WPA2 (par code PIN par exemple) mais ré-introduit une vulnérabilité importante qui en réduit fortement le niveau de sécurité.

b) De quoi dépend la sécurité d’un réseau Wi-Fi ? Certains déploiements peuvent exiger l’activation de paramétrages spécifiques qui, de fait, influeront différemment sur le niveau de sécurité global du réseau sans-fil et des matériels qui s’y connectent. La simple présence de la technologie Wi-Fi dans un terminal ou un équipement peut suffire à ce qu’il présente des risques de sécurité. Il est donc préférable de se passer de cette technologie

lorsqu’elle ne répond à aucun besoin concret. À défaut et lorsque l’utilisation d’un réseau sans-fil est incontournable, la sécurité et la robustesse d’un réseau Wi-Fi et du matériel supportant cette technologie dépendent en général : ➢ de l’accessibilité du réseau, c’est à dire de la portée des signaux électromagnétiques qui propagent le signal Wi-Fi ; ➢ des mécanismes d’authentification utilisés afin d’identifier les utilisateurs du réseau de manière univoque et sûre ; ➢ des mécanismes cryptographiques mis en œuvre afin de protéger les communications sansfil, lesquels sont souvent dérivés des mécanismes d’authentification ; ➢ des mécanismes d’administration et de supervision des points d’accès du réseau et des terminaux utilisant le réseau ; ➢ d’autres éléments de configuration des points d’accès Wi-Fi.

c) Sensibilité des données échangées et disponibilité des réseaux La technologie Wi-Fi repose sur un lien radio dont les ondes sont par nature sujettes à l’interception et aux interférences (brouillage des ondes accidentel ou intentionnel). En l’absence de moyens de protection complémentaires conformes à la réglementation, il convient alors de ne pas utiliser de li en Wi-Fi pour faire transiter des données sensibles ou critiques comme, par exemple : ➢ des informations classifiées de défense. Leur protection en confidentialité doit impérativement être assurée par des équipements agréés par l’ANSSI (IGI 1300 1 ) ; ➢ des informations sensibles à caractère confidentiel ;

➢

des informations non confidentielles mais dont la disponibilité et l’intégrité sont critiques pour des infrastructures industrielles ou d’importance vitale.

Dans ces contextes, quel que soit le niveau de sécurité des réseaux Wi-Fi pouvant être mis en œuvre, il reste préférable d’utiliser des connexions filaires. À défaut, la confidentialité des informations devra être assurée par l’utilisation de moyens de chiffrement complémentaires tels qu’IPsec ou TLS.

VI.

Techniques de déploiement

Le choix des technologies utilisées est un point très délicat car ceci va influencer fortement les performances de notre réseau. Les systèmes souples et adaptés au futur doivent être les premiers candidats. Ainsi la discussion sur le choix technologique va tourner autour de trois points essentiels que sont la norme wifi, la sécurité et le système d’exploitation utilisé dans les serveurs.

a) La norme WIFI Pour la couverture coté client, on adoptera la norme 802.11g car fonctionnant dans la bande des 2.4Ghz et supportant des débits théoriques de 54Mbps. Cette technologie a été choisie au détriment des normes 802.11a et 802.11b car la norme 802.11a bien que supportant un débit théorique de 54Mbps fonctionne dans la bande des 5Gh. La norme 802.11b bien que fonctionnant dans la bande des 2.4Ghz n'a qu'un débit théorique que de 11Mbps ce qui va réduire les performances de la VoIP.

b) Sécurité Le choix de la sécurité à adopter nécessite une attention particulière car étant un point très sensible. Nous mettrons sur pied un serveur Radius qui interroge l’annuaire LDAP pour authentifier les utilisateurs. Ainsi chaque utilisateur devra s’identifier auprès du serveur Radius qui ira interroger l’annuaire LDAP pour voir si l’utilisateur est enregistré. Si ce dernier est répertorié dans l’annuaire alors le serveur Radius pourra l’autoriser à accéder aux services réseaux.

c)

Système d´exploitation

Le système d’exploitation utilisé dans nos serveurs jouera un rôle primordial car influençant le système sur tous les plans. Les plus importants aspects à tenir en compte sur le choix sont la sécurité et la performance. Tous ces paramètres étant tenu en compte, on va choisir le système d’exploitation Linux car étant multi taches et multi-utilisateurs. De plus il est open source et très fiable car il ne permet pas la propagation des virus.

VII.

Architecture d’un réseau local à accès contrôlé

Un réseau local à accès contrôlé requiert l’utilisation d’une infrastructure 802.1X. De façon synthétique, une telle infrastructure est construite autour de plusieurs clients (e.g. des commutateurs, des points d’accès sans fil) qui offrent des ports de connexion à des supplicants. L’état de ces ports est contrôlé par un serveur au moyen d’un protocole. Le serveur communique avec les clients au travers d’un réseau de confiance et il autorise ou refuse l’ouverture d’un port à un supplicant après authentification de ce dernier. Le serveur dispose aussi d’un service de journalisation qui enregistre les évènements liés aux accès réseaux (tentatives de connexion, déconnexions. . .). Il fournit également les clés cryptographiques nécessaires à la sécurisation des échanges sans fil entre supplicants et bornes d’accès.

Dans sa dernière évolution, ce standard définit un moyen de sécuriser la connexion filaire entre le supplicant et le client par des moyens cryptographiques, au même titre qu’une connexion sans fil. Cette fonctionnalité, appelée MACsec, n’est pas abordée dans ce document car elle est peu implémentée dans les supplicants et dans les clients actuels.

a) Composants d’un réseau 802.1X ➢ Serveur Le serveur est le composant central d’un réseau à accès contrôlé. Il centralise les fonctions d’authentification et d’autorisation des supplicants et la fonction de journalisation des évènements remontés par les clients. Situé dans le réseau de confiance, il décide si la connexion d’un supplicant au réseau à accès contrôlé est autorisée ou refusée. Par défaut, si aucune réponse n’est fournie par le serveur, le port reste dans l’état fermé et le supplicant n’a pas accès au réseau. Il est donc indispensable qu’un serveur soit joignable à tout moment pour assurer la disponibilité du réseau. La norme ne spécifie pas le protocole à utiliser pour les échanges entre les clients et le serveur, tant que celui-ci permet de contrôler l’état des ports des clients. Elle cite cependant en exemple les protocoles RADIUS et Diameter. Ces deux protocoles sont ainsi devenus les standards utilisés dans les réseaux 802.1X. Le protocole Diameter est le successeur du protocole RADIUS. Il est le standard d’authentification des équipements sur des réseaux de téléphonie mobile 3G et 4G. Cependant il est rarement implémenté dans les clients utilisés dans les systèmes d’information traditionnels.

Figure 5 :Composants principaux d’un réseau à accès contrôlé

c) Réseau de confiance et clients Le réseau de confiance est le réseau utilisé par les équipements d’une infrastructure 802.1X pour les communications nécessaires à son fonctionnement. Il transporte les informations d’authentification et d’autorisation des équipements finaux et les différentes données de journalisation remontées par les clients au serveur. Ce réseau de confiance est considéré comme sûr, sans hypothèse sur les protocoles qu’il transporte. Le trafic réseau généré par ces échanges est négligeable. Les informations d’authentification et d’autorisation échangées entre les clients et le serveur sont détaillées dans la RFC2865 et les informations de journalisation dans la RFC2866. Les clients d’un réseau 802.1X sont des équipements tels que des commutateurs (switchs) ou des points d’accès Wi-Fi qui fournissent une connectivité au réseau à accès contrôlé à l’aide de ports de

connexion. Il sont connectés au réseau de confiance, pour contacter le serveur. Les ports de connexion peuvent se trouver dans deux états : •

dans l’état autorisé, un port accepte tout trafic en provenance et à destination du supplicant connecté, notamment le trafic IP ;

•

dans l’état non autorisé, seul le trafic EAPoL est autorisé entre le client et le supplicant.

Par défaut, ils sont dans l’état non autorisé et leur changement d’état est commandé par le serveur après authentification et autorisation d’un supplicant. La communication avec les supplicants s’effectue au moyen du protocole EAPoL alors qu’elle s’effectue à l’aide du protocole du réseau de confiance entre les clients et le serveur (RADIUS sur IP dans la plupart des cas). La connectivité Ethernet des supplicants est donc inexistante avant leur autorisation d’accès au réseau à accès contrôlé.

➢ Réseau à accès contrôlé Le réseau à accès contrôlé est le réseau dont les accès doivent être maîtrisés. Il est connecté aux différents clients et aux supplicants. Le terme réseau à accès contrôlé désigne par extension l’ensemble des réseaux utilisateurs (physiques ou virtuels) dont l’accès doit être contrôlé centralement.

➢ Supplicant Les supplicants cherchent à se connecter au réseau à accès contrôlé au travers des ports de connexion offerts par les clients. L’accès à ce réseau est autorisé ou refusé après une phase d’authentification et d’autorisation dans laquelle les trois équipements (supplicant, clients et serveur) interagissent. Une fois leur accès au réseau autorisé, les supplicants sont connectés au réseau à accès contrôlé.

b) Synoptique de connexion La connexion à un réseau à accès contrôlé s’effectue en quatre étapes. ➢ Initialisation :le client détecte la tentative de connexion du supplicant à un port dont l’accès est contrôlé, il active le port en mode non autorisé. ➢ Identification : •

le client transmet au EAP-Request/Identity) ;

supplicant

une

demande

d’identification

•

le supplicant retourne au client son identité (trame EAP-Response/Identity) ;

(trame

•

le client transmet l’identité du supplicant au serveur (paquet Access-Request).

➢ Négociation EAP : •

le serveur envoie au client un paquet contenant la méthode d’authentification demandée au supplicant (paquet Access-Challenge) ;

•

le client transmet la demande du serveur au supplicant au travers d’une trame EAP-Request ;

•

si le supplicant accepte cette méthode, il procède à l’étape d’authentification au moyen de celle-ci, sinon il renvoie au client les méthodes qu’il supporte et l’étape de négociation recommence.

➢ Authentification : •

le serveur et le supplicant échangent des messages EAP-Request et EAP-Response par l’intermédiaire du client suivant la méthode d’authentification choisie,

•

le serveur fournit une réponse Access-Accept ou Access-Reject suivant le résultat de l’authentification et de l’autorisation du supplicant : ✔ si la réponse est Access-Accept, le client bascule le port de connexion dans l’état autorisé, le supplicant dispose ainsi d’une connectivité Ethernet au réseau à accès contrôlé, ✔ si la réponse est Access-Reject, le port reste dans l’état non autorisé et le supplicant ne dispose d’aucun accès réseau hormis au travers du protocole EAP.

À la fin de la connexion (déconnexion logicielle entraînant un message EAP dédié ou changement de statut du lien physique), le client modifie l’état du port à non autorisé.

VIII.

Protocoles d’authentification

Avant de pouvoir accéder aux ressources du réseau, les supplicants devraient d'abord s’authentifier. L’idéal est que chaque supplicant dispose d’un identifiant unique qui ne peut être utilisé par d'autres. Lorsqu’un supplicant tente de se connecter à un réseau 802.1X, il fournit une identité. Il est donc possible d’autoriser sa connexion en fonction uniquement de l’identité qu’il déclare, cependant un tel fonctionnement abaisse le niveau de sécurité du réseau à celui d’un réseau ouvert. L’authentification est donc un pré-requis nécessaire à l’autorisation de connexion de supplicants à un réseau 802.1X.Dans une infrastructure 802.1X, l’authentification des supplicants repose sur le protocole EAP. Ce protocole d’authentification extensible définit plusieurs méthodes

d’authentification possédant différents niveaux de sécurité. Les méthodes d’authentification les plus fréquemment utilisées sont détaillées dans cette section.

a) EAP-MD5 Authentification du supplicant reposant sur un protocole par défi-réponse et sur la fonction de hachage MD5 . Cette méthode offre un faible niveau de sécurité, car vulnérable à des attaques par dictionnaires et de l’homme du milieu. De plus, elle ne permet pas d’authentifier le serveur et ne peut pas être utilisée dans des réseaux sans fil de part l’absence de négociation des clés cryptographiques durant l’authentification.

Figure 6 :Logigramme de connexion à un réseau 802.1X

b) EAP-MSCHAPv2 Authentification mutuelle des correspondants qui repose sur un mot de passe et des défis cryptographiques. Cette méthode offre un niveau de sécurité faible, elle est vulnérable à des attaques par dictionnaires et sa résistance est équivalente à celle d’une clé DES

c) EAP-TLS EAP-TLS est un protocole d’authentification mutuelle du supplicant et du serveur par certificats. Cette authentification est réalisée à l’aide d’un handshake TLS. Cette méthode nécessite que le serveur et chaque supplicant possèdent un certificat. Elle impose donc l’utilisation d’une infrastructure de gestion de clés dans le système d’information. Ce protocole d’authentification est considéré comme sûr. Il expose cependant l’identité du supplicant durant la connexion, au travers du Common Name du certificat ou du champ Identity de la réponse EAP. Suivant le scénario de

déploiement envisagé, cette information peut être considérée comme sensible. Le mode privacy, traite ce problème en modifiant le séquencement des opérations dans le handshake TLS. L’implémentation de cette fonctionnalité est cependant optionnelle et elle reste peu implémentée dans les serveurs et les supplicants existants.

d) EAP-PEAP Ce protocole d’authentification est souvent dénommé PEAP dans la littérature. Initialement créé et défini par Microsoft ses spécifications sont disponibles en accès libre sur le site de l’éditeur. Le protocole PEAP propose plusieurs versions et évolution.Le protocole PEAP fonctionne en deux phases. Durant la première phase, le serveur s’authentifie auprès du supplicant au moyen d’un certificat pour créer un tunnel TLS entre les deux parties. Il procède ensuite à l’authentification du supplicant dans le tunnel TLS au moyen d’une méthode EAP appelée méthode interne. Les échanges réalisés par cette méthode interne sont protégés par le tunnel TLS établi. Cette construction permet l’utilisation de protocoles reposant sur les mots de passe pour l’authentification des supplicants. La méthode d’authentification interne la plus couramment utilisée est la méthode EAP-MSCHAPv2 et dans ce cas, le protocole est appelé PEAP-MSCHAPv2. PEAP peut également utiliser d’autres méthodes internes comme EAP-TLS pour authentifier les supplicants. Le protocole PEAP requiert uniquement un certificat serveur, l’utilisation de certificats clients est optionnelle et dépend de la méthode interne choisie. La mise en œuvre de ce protocole permet d’atteindre un niveau de sécurité correct, sous réserve d’appliquer les recommandations détaillées dans le chapitre 3 de ce document.

e) EAP-TTLSv0 Le protocole EAP-TTLSv0, aussi appelé EAP-TTLS, est un protocole d’authentification en deux phases,dont le fonctionnement est similaire au protocole PEAP. Ces protocoles restent cependant différents et incompatibles. Durant la première phase, le supplicant authentifie le serveur au moyen d’un certificat afin de créer un tunnel TLS entre les deux parties. L’authentification du supplicant s’effectue durant la seconde phase, à l’intérieur du tunnel TLS précédemment créé et à l’aide d’une méthode d’authentification interne (inner method). Cette méthode peut être une méthode EAP (EAP-MD5 par exemple) ou non EAP comme MSCHAPv2. Dans la majorité des déploiements, les méthodes internes utilisées sont PAP, EAP-MD5, EAP MSCHAPv2 ou MSCHAPv2. Le protocole EAP-TTLSv0 est défini dans le document et il présente plusieurs avantages : ➢ l’identité du supplicant est masquée durant la phase d’authentification ; ➢ plusieurs méthodes internes peuvent être utilisées, sachant qu’elles sont souvent déjà mises en place dans un système d’information ; ➢ il requiert uniquement un certificat serveur, l’utilisation de certificats clients n’est pas obligatoire. L’utilisation de ce protocole permet d’atteindre un niveau de sécurité correct sous certaines conditions de déploiement.

IX. Politique de sécurité

a) Réseau de confiance La norme 802.1X fait état d’un réseau de confiance qui relie les clients et le serveur. Ce réseau véhicule plusieurs informations : ➢

les messages d’authentification et d’autorisation échangés entre les supplicants et le serveur ;

➢ la clé maîtresse de protection utilisée entre un supplicant et une borne d’accès sans fil ; ➢ les informations de journalisation échangées entre les clients et le serveur

b) Sécurité du serveur Le serveur est l’élément critique d’un réseau 802.1X.Il contrôle l’ouverture de tous les ports de connexion offerts par les clients. Il est donc essentiel de limiter sa surface d’attaque afin de garantir son intégrité et sa disponibilité. Les architectures virtualisées sont fortement présentes dans les systèmes d’information actuels. Malgré les nombreux avantages mis en avant par cette technologie, elle fait reposer le cloisonnement des applications sur des mécanismes logiques. Les scénarios d’attaque d’un service virtualisé sont donc plus nombreux que s’il est physiquement cloisonné (droits des administrateurs de l’hyperviseur, failles de l’hyperviseur, mémoire partagée entre services. . .). En conséquence, la virtualisation du service RADIUS ne peut être réalisée que sur un hyperviseur hébergeant des services d’une même zone de confiance, ayant entre autres : ➢ les mêmes besoins de sécurité (confidentialité, intégrité, disponibilité) ; ➢ le même niveau d’exposition, c’est-à-dire accessible depuis des zones et par des personnes d’un niveau de confiance homogène.

c) Cloisonnement des flux Les flux circulant dans le réseau de confiance sont uniquement des flux de service échangés entre les clients et le serveur. Aucun autre flux n’est légitime sur ce réseau, en particulier les flux des utilisateurs. Il convient donc de s’assurer que les flux utilisateurs du système d’information ne circulent pas dans le réseau de confiance. Il est également essentiel de s’assurer que les réseaux

d’administration du système, d’information ne peuvent pas être atteints trivialement en cas de compromission du réseau de confiance ou du serveur.

d) Intégrité et confidentialité des messages Dans le réseau de confiance, les données d’authentification sont échangées au travers d’attributs EAP dans des paquets RADIUS. Selon la RFC , tout message RADIUS contenant au moins un attribut EAP doit présenter un motif d’intégrité valide dans le champ MessageAuthenticator. Il en est de même pour chaque message de journalisation échangé entre les clients et le serveur (champ Authenticator).

e) Journalisation La gestion des journaux d’évènements associés aux équipements du réseau de confiance est une fonction de sécurité essentielle. En fonctionnement nominal, une telle architecture ne génère pas de messages d’erreur, aussi la surveillance des journaux permet de détecter des comportements suspects, d’anticiper et de réagir à des compromissions.

Conclusion Lors du déploiement d'un réseau sans fil, le Wi-Fi (802.11) semble être la solution répondant au mieux aux besoins des réseaux locaux sans fil grâce à l'avantage qu'elle procure, qui est son interopérabilité avec les réseaux de type Ethernet. En effet, seule les deux premières couches du modèle OSI sont définies par le Wi-Fi. Cette technologie, est fréquemment utilisée dans les entreprises désirant accueillir des utilisateurs mobiles ou souhaitant une alternative au réseau filaire tout en conservant des performances quasi identiques.On a vu que le Wi-Fi soufrait de beaucoup de problèmes de sécurité, mais cette faiblesse a été comblée par l'intégration du WPA et de la 802.11i. L'installation d'un réseau sans fil permet aussi de régler les nombreux problèmes techniques que connaissent les réseaux filaires, comme les problèmes de câblages, d'insuffisances de locaux pouvant accueillir beaucoup de machines.