) et s curisation d'acces - sylecomte.fr - reseau radio (wifi a-b-g) et... · le but de ce tp...

IUT d’Angers

License Sari Module FTA3

Compte Rendu

«Réseau radio (Wifi a/b/g)» «et sécurisation d’accès»

Par

Sylvain Lecomte

Le 21/01/2008

Sylvain Lecomte Le 21/01/2008 2/18

Sommaire

1. Introduction ............................................................................................................................................ 3

2. Matériels requis ...................................................................................................................................... 3

3. Objectifs .................................................................................................................................................. 4

4. Découverte et mise en œuvre des équipements Wifi Symbol ................................................................. 4

4.1 Objectif de la manipulation N°1 ................................................................................................................... 4

4.2 Architecture physique du réseau à mettre en œuvre pour la manipulation N°1 .......................................... 4

4.3 Configurations initiales ................................................................................................................................. 5

4.4 Test et validation des paramétrages de base ............................................................................................... 6

4.5 Accès en mode graphique avec un browser sécurisé .................................................................................... 6

5. Objectif de la manipulation N°2 .............................................................................................................. 7

5.1 Architecture physique du réseau à mettre en œuvre pour la manipulation N°2 .......................................... 7

5.2 Architecture logique du réseau à mettre en œuvre pour la manipulation N°2 ............................................ 7

5.3 Configuration demandée .............................................................................................................................. 8

6. Objectif de la manipulation N°3 ............................................................................................................ 11

6.1 Architecture physique du réseau à mettre en œuvre pour la manipulation N°3 ........................................ 11

6.2 Configuration demandée ............................................................................................................................ 11






8.2 Architecture logique du réseau à mettre en œuvre pour la manipulation N°5 .......................................... 15


9. Mobilité dans un réseau sans fil ............................................................................................................ 18

9.1 Objectif de la manipulation N°6 ................................................................................................................. 18

10. Conclusion ............................................................................................................................................ 18


1. Introduction Le but de ce TP ‘Réseau radio (wifi a/b/g) et sécurisation d’accès’ est de découvrir et de mettre en œuvre des équipements actifs permettant de réaliser des réseaux sans fil supportant les normes 802.11 abg définis par IEEE. On verra également dans ce TP, qu’une infrastructure physique constituée de points d’accès sans fil peut être partagée entre différentes populations d’utilisateurs sans fil. Nous verrons également les protocoles et règles de sécurité à activer pour éviter tous problèmes d’accès au média.

2. Matériels requis Faire l’inventaire des matériels et logiciels ci-dessous : Ressources communes :

• 1 x câble console CISCO (bleu clair, RJ45 – RS232 9pts Femelle) avec rallonge éventuelle)

• Divers : Câbles Ethernet droits et croisés de catégorie 5 • 3 x PC sous Windows ou Linux – Fedora avec couche TCP/IP installée (2 stations XP-

Pro et 1 serveur 2003) • Logiciels installés :

- Logiciel d’émulation de terminal (mode vt100) pour le management « OUTBAND » (HyperTerminal Private Edition V 6.3)

- PSP 6 (pour les captures d’écrans) - SuperScan (Scanneur de ports) - Sniffers : Snifmon (commercial : ufasoft) et WireShark (libre)

• 1 Texte de TP couleur relié • Annexes

Ressources spécifiques : TP N°2 : Réseau radio (Wifi a/b/g) et sécurisation d’accès

• 2 x interfaces USB adapter 3COM 802.11g avec leurs drivers TCP/IP (WEP, WAP, 802.lx)

• 1 x portable PC muni d’une carte Wireless b/g et d’un slot d’extension PCMCIA pour le test de carte Wifi supplémentaires

• 1 x accès au serveur Radius + 1 x serveur DHCP (outils réseaux sur partition DATA) • 1 x logiciel d’émulation de terminal (mode vtl00) pour le management «OUTBAND» • 2 x câbles de console CISCO (RJ45 – RS232 9pts Femelle) • 1 x câble de console SYMBOL (DB9 – DB9 RS232 9pts F/F) • 1 x commutateur Ethernet CISCO: 1 x C2950-12 num 2 (baie) ou C3750-24TS-S sur

table • 1 x commutateur Wireless SYMBOL WS5100 • Divers : câbles Ethernet droits et croisés de catégorie 5 • 2 points d’accès WI-FI : bornes SYMBOL AP 100 avec adaptateur secteur-PoE delta

électronique


3. Objectifs

Découvrir et mettre en œuvre des équipements actifs permettant de réaliser des réseaux sans fils supportant les normes 802.11 abg définies par IEEE.

Le but de cette manipulation est de montrer qu’une infrastructure physique constituée de points d’accès sans fil peut être partagée entre différentes populations d’utilisateurs sans fil et isolées entre elles pour permettre ainsi un prolongement logique vers une infrastructure filaire de type VLAN sans remettre en cause la sécurité de celui-ci.

Maîtriser le paramétrage et l’installation d’un réseau sans fil peut s’avérer complexe à bien des égards car cette technologie utilise un média partagé dont les accès ne sont pas limités par le support physique auxquels ils sont raccordés. En fait, la propagation du signal dans l’air dépend principalement du milieu traversé, de la longueur d’onde et de la puissance d’émission de celui-ci.

Nous étudierons, dans ce TP, plus particulièrement les protocoles et les règles de sécurité à activer pour éviter tous problèmes d’accès au média partagé (Authentification, Chiffrement, ACL, BEACON, etc.)

4. Découverte et mise en œuvre des équipements Wifi Symbol

4.1 Objectif de la manipulation N°1

L’objectif de la manipulation N°1 est de raccorder les équipements réseaux présents sur la figurer ci-dessous et de réaliser l’ensemble des paramétrages initiaux nécessaires pour le management INBAND.

4.2 Architecture physique du réseau à mettre en œuvre pour la manipulation N°1


4.3 Configurations initiales

4.3.1 WS5100 Nous avons relié le PC1 au commutateur WS5100 à l’aide d’un câble console, ce qui permet d’avoir accès au WS5100 : Accès en mode console : Grâce au logiciel HyperTerminal, il faut ouvrir une session avec les paramètres suivants : 19200 bits/s, 8 bits de données, 1 bit de stop, sans parité et pas de contrôle de flux. Les identifiants de connexion sont : - Username CLI : cli - Username : admin - Password : superuser Configuration en mode usine (configuration par défaut) : Une fois en mode privilégié, on s’aperçoit que les commandes sont très peu différentes de celle des matériels CISCO. Pour la remise en configuration d’usine il faut taper la commande erase startup-config puis faire un reload pour redémarrer le commutateur. Il faut ensuite mettre une adresse IP à l’interface Ethernet coté LAN (ETH2) dans un réseau 192.168.2.0 pour correspondre au plan d’adressage définit plus haut. Pour affecter l’adresse IP à l’interface ETH2, il faut faire les commandes suivantes :

Vu que l’interface Eth2 est reliée au VLAN 1, il faut affecter l’adresse IP directement au VLAN 1. - interface vlan 1 - ip address 192.168.2.10/24 - no shutdown 4.3.2 Commutateur CISCO C2950-12 Sur le commutateur CISCO C2950, nous avons tout d’abord fait une remise d’usine du commutateur puis nous avons mis une adresse de management au VLAN 1 pour pouvoir faire des tests de pings 4.3.3 Station PC1 Nous avons affecté au PC1 l’adresse IP 192.168.2.5.


4.4 Test et validation des paramétrages de base

Pour vérifier la communication entre les équipements du réseau nous avons effectué deux pings, le premier du PC1 (192.168.2.5) au commutateur C2950 (192.168.2.1) et le deuxième du PC1 (192.168.2.5) au commutateur WS5100 (192.168.2.10).

La commande ping nous a permis de vérifier que la communication entre les différents équipements était correcte.

4.5 Accès en mode graphique avec un browser sécurisé

On peut également avoir accès à la configuration du commutateur WS5100 grâce à un navigateur Internet. Cette interface de management nécessite la mise en place d’un ‘Java Runtime Environnement’ au niveau du pc client. Les identifiants sont les mêmes qu’en CLI.


5. Objectif de la manipulation N°2


5.2 Architecture logique du réseau à mettre en œuvre pour la manipulation N°2


5.3 Configuration demandée

5.3.1 Sur le commutateur CISCO C2950-12 Aucune configuration spéciale n’est demandée car tous les ports du commutateur Ethernet CISCO 2950 sont dans le VLAN 1 par défaut. Donc tous les équipements connectés au commutateur C2950 peuvent communiquer entre eux. 5.3.2 Sur la borne Symbol AP300 Les bornes AP300 ont besoin d’un boitier d’adaptation de type 802.3af pour pouvoir être alimentées, car elles sont auto alimentées via l’Ethernet mais le commutateur CISCO 2950 ne possède pas la technologie PoE (Power Over Ethernet) donc on a besoin pour cette manipulation de petits boitier qui vont fournir l’énergie aux bornes pour fonctionner. Interface principale :

Dans un premier temps, il faut régler la zone ‘Country’ car les normes sont différentes selon les pays. Voici les différents menus de configuration :


On voit que les différents menus de configuration sont assez complets et que l’on peut faire beaucoup de chose, il y a même un menu diagnostic. 5.3.3 Sur le poste de travail PC3 Il faut activer la fonction serveur DHCP sur le PC3, pour celui il faut tout d’abord démarrer le service :

Et ensuite il faut configurer le serveur DHCP suivant les paramètres définis dans le plan d’adressage du réseau. Pour vérifier que le serveur DHCP fonctionne correctement, nous avons mis le PC1 en attribution automatique d’adresse IP et nous avons attendu quelques secondes et au bout de quelques secondes le PC1 avait obtenu une adresse IP.


Nous voyons bien dans l’imprime écran précédent la ligne DHCP activé : Oui. 5.3.4 Sur le commutateur sans fil Symbol WS5100 Dans cette partie, il faut à l’aide de l’interface Web du commutateur WS5100, créer un WLAN IUT_WL1.

Une fois le WLAN créé, il faut l’activer à l’aide du bouton Enable en bas de la page pour qu’il devienne actif. 5.3.5 Sur le poste de travail PC2 Les pilotes de l’interface sans fil USB était déjà installé. Et dans la liste des réseaux sans fil disponible nous voyons bien le WLAN IUT_WL1 et le PC2 arrive à s’y connecter.




L’architecture reste identique à la manipulation N°2 voir page 7.


6.2.1 Sur le commutateur WS5100 Sur le commutateur WS5100, il a fallut changer les conditions d’accès au réseau en mettant comme sécurité une clef WEP 128 (pour le TP nous avons mis une clef WEP 64 pour que cela soit plus rapide à taper lors de la connexion sans fil).

6.2.2 Sur le PC client Sur le PC client, nous voyons bien un réseau sans fil IUT_WL1 sécurisé, nous entrons la clef WEP défini sur le commutateur WS5100 et le PC client se connecte.

Le pc client possède l’IP 192.168.2.13 et le PC qui est relié à l’AP300 possède l’IP 192.168.2.5. Nous avons effectué des pings qui ont fonctionné correctement.




L’architecture reste identique à la manipulation N°2 voir page 7.


7.2.1 Sur le commutateur WS5100 Sur le commutateur WS5100, nous avons créé un 2ème WLAN d’ESSID IUT_WL2 avec un mode de chiffrement TKIP, une authentification 802.1x / EAP avec rotation des clefs TKIP toutes les 1800 secondes. Et pour finir un organe d’authentification RADIUS (qui possède l’adresse IP 192.168.2.254). Nous avons bien évidement vérifier l’adresse du serveur RADIUS à l’aide de la commande ping.

Voici le résultat :


7.2.2 Sur le PC client Sur le PC client, il a fallut le configurer pour qu’il sache qu’il aura besoin d’une authentification pour pouvoir accéder au réseau sans fil. Dans les propriétés réseaux sans fil, il faut décocher ‘Valider le certificat du server’ et utilisez le mode ‘Mot de passe sécurité MSCHAP V2’ comme ci-dessous :

Lorsqu’on essai de se connecter au réseau sans fil IUT_WL2 une fenêtre nous invite à donner un identifiant et un mot de passe :


L’identifiant et le mot de passe sont ‘tp2’ ils ont été configuré dans le serveur RADIUS. Dès que l’identifiant et le mot de passe sont rentrés, nous avons eu accès au réseau et nous étions connecté au réseau IUT_WL2.




8.2 Architecture logique du réseau à mettre en œuvre pour la manipulation N°5

VLAN1

PC1

Adr IP : 192.168.2.2

Serveur DHCP

PC1

Adr IP : 192.168.2.2

Serveur DHCP

PC3

Client DHCP

Adapt USB-sans fil

PC3

Client DHCP

Adapt USB-sans fil

VLAN2

VLAN3

Commutateur Ethernet

C2950-12

Commutateur Wireless

WS5100

Port1 / ETH1

Port12/ETH 2

ESSID

IUT_WL2

ESSID

IUT_WL1

Politiques

d’accès


8.3.1 Sur le commutateur CISCO C2950-12 Sur le commutateur CISCO, il faut paramétrer un lien Trunk avec le commutateur Wireless WS 510 et affecté les ports Ethernet définis dans le tableau ci-dessous : Vlan / Switch VLAN ID SW1 C2950-12 VLAN default 1 Port : 1 - 4 VLAN DMZ 2 Port : 5 - 8 VLAN bornes 3 Port : 9 - 11 Trunk (802.1q) Tagged Port : 12 Tout d’abord, il faut créer les VLAN à l’aide des commandes suivantes : - vlan 2 - name DMZ Puis : - vlan 3 - name bornes


Ensuite il faut attribuer les ports du commutateur au bon VLAN : - interface range FastEthernet 0/1 - 4 - switchport access vlan 1 - interface range FastEthernet 0/5 - 8 - switchport access vlan 2 - interface range FastEthernet 0/9 - 11 - switchport access vlan 3 Et pour finir, paramétrer le port 12 en mode Trunk : - interface FastEthernet 0/12 - switchport mode trunk La commande clef range dans la commande interface permet d’affecter plusieurs ports d’un coup à un VLAN (il faut que les ports se suivent), et les commandes qui ont permis d’affecter les ports sur le VLAN 1 n’était pas nécessaire car par default, tous les ports se situent dans le VLAN 1. Nous pouvons vérifier tout cela grâce à la commande show vlan :

Le port Fa0/12 n’est pas visible car il est en mode Trunk. 8.3.2 Sur le commutateur Wireless WS5100 Activation de l’interface ETH2 en mode Trunk : Dans ‘Layer 2 Virtual Lan’s’ puis dans ETH2 nous pouvons mettre le mode Trunk au port ETH2.


Activation du mapping des WLAN du réseau sans fil sur les VLAN du réseau filaire : Pour cela, il suffit d’aller dans le menu principal pour affecter au WLAN 1 le VLAN 1 et au WLAN 2 le VLAN 2, comme indiqué ci-dessous :

Pour vérifier le bon fonctionnement, nous avons mis le PC portable tout d’abord dans le VLAN 1 et depuis le PC2 qui est dans le VLAN 2 nous avons essayé d’effectuer un ping :

Et ensuite nous avons mis le PC portable dans le VLAN 2 et refais le test du ping :

Nous voyons bien que dans le premier cas, le ping ne passe pas et dans le second cas le ping fonctionne donc le WLAN 1 correspond bien au VLAN 1 et le WLAN 2 correspond bien au VLAN 2.


9. Mobilité dans un réseau sans fil

9.1 Objectif de la manipulation N°6

9.1.1 Architecture physique du réseau à mettre en œuvre pour la manipulation N°6 L’architecture reste identique à la figure précédente page 14. 9.1.2 Configuration initiale du WS5100 Pour cette manipulation, nous avons connecté le PC portable à l’AP 1, puis nous avons débranché l’AP 1, et à l’aide d’un ping continu nous avons pu voir que le PC portable à réussi à changer d’AP 2 pour garder la connectivité :

Nous voyons que seulement 3 paquets sont perdus ce qui est négligeable en cas de navigation Internet, mais cela pourrait être plus contraignant en cas de téléphonie IP.

10. Conclusion Lors de ce TP, nous avons mis en œuvre un commutateur Wifi WS5100 et deux bornes AP 300. Nous avons montré qu’il était possible de créer des VLAN en sans fil appelé WLAN et que c’est WLAN pouvaient être relié avec des VLAN filaires. Nous avons également mis en place de la sécurité wifi à l’aide tout d’abord d’une simple clef Wep 128 puis une authentification par serveur RADIUS qui permet d’encore plus sécuriser le réseau. Le wifi est une technologie qui va prendre de plus en plus d’important dans le monde actuel donc ce TP est une bonne approche de ce qu’on peut faire avec la technologie Wifi.

) et s curisation d'acces - sylecomte.fr - reseau radio (wifi a-b-g) et... · le but de ce tp...

Documents