KOS INFO

PPE 3-1 Réseau Wifi M2L

Groupe1: A. Grandjean, D.Phrakousonh, L.Fabien

13/11/2013

Ce projet est une étude sur la mise en œuvre d'un nouveau réseau wifi pour

M2L. Son objectif principal est de proposer la meilleure solution en optimisant

les directives de sécurité qui sont évoquées dans le cahier des charges.

Sommaire

**INTRODUCTION** ............................................................................................................................. 3

I. Etudes sur les besoins matériel pour le déploiement du WIFI ........................................ 4

II. Les Réseaux sans fil: descriptif. ............................................................................................... 5

a) Les spécifications du wifi. ................................................................................................. 6

b) Les évolutions du 802.11. .................................................................................................. 7

c) Les enjeux du wifi pour M2L. ............................................................................................ 7

1. Les opportunités du wifi pour M2L. ........................................................................................ 7

2. Les menaces du wifi................................................................................................................. 8

III. Le Contexte M2L : stratégie de sécurité wifi. ..................................................................... 9

a) Wifi permanent ................................................................................................................... 9

b) Wifi visiteurs ......................................................................................................................... 10

c) Les conditions de réussite: politique de sécurité. .................................................... 14

CONCLUSION .................................................................................................................................... 15

**INTRODUCTION**

Dans le cadre du PPE 3, il nous est demandé de faire évoluer le réseau WIFI de M2L. L'association

dispose déjà d'une architecture sans fil, cependant cette dernière s'avère inadapté pour leurs

besoins. Il nous incombe d'intégrer deux nouveaux services, le réseau wifi devra être séparé en deux

réseaux distinctes: un wifi permanent et un wifi visiteur.

Le contexte brièvement rappelé, nous allons rédiger le projet de la manière suivante:

Etude des besoins matériels du déploiement du réseau sans fil,

Mise en place d'une stratégie de sécurité spécifique à M2L,

Un descriptif de la solution proposée,

Une adaptation de la maquette Packet tracer

Ainsi nous étudieront succinctement toutes les étapes nécessaires à l'amélioration de l'architecture

réseau de l'association. Et cela, par le biais d'une compréhension réelle des problématiques liées à la

mise en place de la gestion du réseau de M2L.

I. Etudes sur les besoins matériel pour le déploiement du WIFI

Besoins matériel :

Au vu de l’architecture des locaux M2L, nous avons jugé opportun de ne pas disposer les points

d’accès dans les étages en quinconces, grâce à cette méthode, et de leurs nouvelles dispositions,

nous déploieront que 8 point d'accès wifi afin de la distribuer à toutes les pièces des quatre

bâtiments.

Ces points d’accès seront choisis soigneusement, et pour l’évolution de l’architecture, ils devront être

capables de déployer plusieurs Vlans, donc plusieurs réseaux wifi ; dont un nombre de 2 est

nécessaire par point d’accès.

En plus de ces points d’accès, un serveur RADIUS sera nécessaire afin de servir à l’authentification

des points d’accès wifi par les utilisateurs.

Pour les points d'accès, un router sera choisis pour sa possibilité de manager des ACL, une sécurité

supplémentaire pour protéger ses réseaux sans-fil.

Déploiement :

Le déploiement, pour les étages des 2 bâtiments A et C, sera de 2 points d’accès par étage impair,

postés aux 2 extrémités des locaux, ils couvriront donc chacun une moitié de l’étage impair et des 2

étages pair en haut et en bas. Ces points d’accès seront posés sur le dessus du faux plafond à l’abri

des regards.

o Bâtiment A et C

Etage 4 (partie gauche) Etage 4 (partie droite)

POINT WIFI Etage 3 (partie gauche) Etage 3 (partie droite) POINT WIFI

Etage 2 (partie haute gauche) Etage 2 (partie haute droite)

Etage 2 (partie basse gauche) Etage 2 (partie basse droite)

POINT WIFI Etage 1 (partie gauche) Etage 1 (partie droite) POINT WIFI

RDC (partie gauche) RDC (partie droite)

Le dernier point d’accès sera configuré dans le routeur déjà présent au RDC du bâtiment B, dans la

salle serveur.

La topographie des emplacements ressemblera donc au schéma ci-dessous :

II. Les Réseaux sans fil: descriptif.

Tout d'abord, avant de nous pencher sur la mise en place d'une stratégie de sécurité, nous allons

effectuer un bref historique sur les réseaux wifi. Nous retracerons brièvement ses concepts, son

évolution, ses enjeux ainsi que ses menaces pour les utilisateurs.

Tout commence 1997, le standard IEEE 802.11 est ratifié. Cette norme est utilisée afin de permettre

une communication sans fil entre plusieurs stations au sein d’un système d’information.

L’architecture de réseau sans fil permettant cette transmission de données est basée sur une

technologie d’ondes radio capable de s'étendre jusqu'à une centaine de mètres.

Il existe un organisme en charge de gérer l’interopérabilité entre les équipements 802.11 mis sur le

marché, il s’agit de la Wi-Fi Alliance. Par abus de langage, la norme 802.11 prend l’appellation wifi.

Ainsi, pour définir un réseau sans fil nous parlerons d’un réseau wifi.

a) Les spécifications du wifi.

L’interface réseau sans fil est plus complexe au niveau de son administration que l’interface filaire.

Elle prend la forme d’une station mobile à laquelle est connectée une antenne. Il est intéressant de

conserver une carte réseau Ethernet dans un ordinateur et de relier celle-ci à un point radio, c'est-à-

dire un élément actif permettant de convertir les trames Ethernet provenant de l’émetteur en

trames 802.11 transmises au réseau sans fil. C’est précisément ce type de structure qui est utilisé

pour relier deux réseaux locaux Ethernet par une liaison sans fil.

Il existe deux modes d’exploitation :

Le mode infrastructure, qui nécessite un élément particulier en plus des stations mobiles :

un point d’accès. Ce matériel met en place une étendue géographique à l’intérieur duquel les

stations vont pouvoir communiquer. Chaque station établit une connexion sur point d’accès.

L’ensemble de stations connectées constitue une cellule wifi. En fonction de son étendue, le

réseau sans fil comptera une ou plusieurs cellules.

Le mode poste à poste ou ad-hoc, qui n’utilise pas de point d’accès. Chaque station mobile

peut transmettre des données à une autre dans la mesure où cette dernière se situe dans la

zone de couverture de son interface wifi.

Poste à poste

Mode infrastructure

Figure ci-dessus architecture wifi

b) Les évolutions du 802.11.

Depuis la création du 802.11, de nombreuses évolutions ont été présenté permettant :

- D’augmenter le débit et la portée de la liaison sans fil (802.11a, 802.11b, 802.11g),

- D’améliorer la qualité de la sécurité des transmissions (802.11i),

- D’améliorer la compatibilité de l’architecture avec les autres standards disponible à travers le

monde (802.11f, 802.11h).

c) Les enjeux du wifi pour M2L.

Il est important de mesurer les enjeux du 802.11, nous présenterons les axes majeurs du wifi pour

M2L c'est-à-dire, les forces, les faiblesses, les opportunités ainsi que les menaces que soulève la

problématique de déploiement d'un réseau sans fil.

1. Les opportunités du wifi pour M2L.

Voici ci-dessous les apports de la technologie d'un réseau sans fil pour M2L, cela nous permet de:

- Dépasser les barrières physiques: Certaines situations rendent l'installation de câbles

difficile, voire impossible. Afin de palier à ces obstacles et répondre à la demande croissante,

plusieurs constructeurs ont mis sur le marché ces appareils permettant de créer des liaisons

sans fils entre plusieurs stations. M2L est composé de deux bâtiments distincts composés de

4 étages chacun. Le wifi est donc une solution permettant de palier à cette problématique de

connexion de câbles.

- D'étendre un réseau: Certaine situation requiert une connexion constante à Internet (accès à

la messagerie, applications..). Dans le cadre de notre PPE, nous supposons qu'il est évident

qu'il existe une forte demande de mobilité chez les utilisateurs en interne. Le wifi devra

permettre une augmentation de leur productivité par le biais d'un accès au réseau quelle que

soit leur localisation physique. Les connexions wifi sont capables de s'étendre jusqu'à une

centaine de mètres.

- De proposer un service: Dans notre contexte M2L, l'association dessert une connexion à

Internet à ces visiteurs. Ce service est aujourd'hui une configuration standard au sein des

entreprises, il est fréquemment déployer pour des visiteurs.

2. Les menaces du wifi

Une attention particulière doit être retenue quand à la sécurisation d'un réseau wifi. Selon une étude

de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), les réseaux wifi sont

souvent vulnérables, l'accès illégitime à un réseau wifi par une personne malveillante lui confère une

situation privilégiée lui permettant de s'attaquer à d'autres utilisateurs et d'accéder aux ressources

d'un système d'information.

La compromission d'un réseau sans fil donne accès à l'ensemble des flux réseaux qui y sont échangés,

ce qui inclut bien inévitablement les données sensibles. L'interception de ses flux est réalisable assez

facilement par un intrus.

Début 2013, près de la majorité des réseaux wifi n'utilisent aucun moyen de chiffrement ou utilisent

un moyen de chiffrement obsolète. Force est de constatée que la problématique des réseaux wifi

n'est pas toujours bien appréhendés et que les risques encourus restent souvent méconnus.

Pour cela, notre mission est de sécurisé le réseau wifi de manière aussi robuste que puisse être un

réseau filaire.

Plusieurs aspects de configuration sont à prendre en compte. Des mécanismes de cryptographie sont

déployés au sein des réseaux wifi. Voici ci-dessous les principaux dispositifs de sécurité classés par

ordres chronologique:

- Le WEP (Wired Equivalent Privacy), solution à éviter, elle dispose d'une clé facilement

cassable. En effet, elle ne propose pas de méthode d'authentification efficace. L'usage du

WEP est prohibé;

- Le WPA (Wifi Protected Access), de robustesse variable en fonction de la configuration

utilisée; elle utilise TKIP (Temporal Key Interity Protocol). Elle a été pensée en tant

qu'amélioration du WEP et introduit dans la norme IEEE 802.11i.

- Le WPA2, particulièrement robuste; elle utilise AES-CCMP également introduit dans le

802.11i. Cette protection est considérée comme robuste et aucune attaque cryptographique

d'AES n'est connue à ce jour. Il s'agit de l'algorithme à privilégier afin de protéger la

confidentialité et l'intégrité des communications wifi.

- Et plus récemment le WPS qui simplifie l'authentification d'un hôte sur un réseau WPA2 (par

code PIN par exemple) mais ré introduit une vulnérabilité importante qui e réduit fortement

le niveau de sécurité. Malheureusement cette solution s'avère très vulnérable, elle est

utilisée par les terminaux disposant d'interfaces ergonomique.

III. Le Contexte M2L : stratégie de sécurité wifi.

Le cahier des charges du projet nous indique un objectif à atteindre pour ces réseaux. Notre équipe

est chargée d’intégrer deux nouveaux réseaux wifi pour la maison des ligues. Ces réseaux se

distinguent en deux entités décrits ci dessous :

Un réseau « permanent » pour les membres de M2L. Ce réseau devra être crypté dans

lequel il y aura une authentification des utilisateurs. Il donnera un accès à Internet, au

réseau administratif et ainsi qu'aux ressources d'impression.

Un réseau « visiteur » au service des utilisateurs externe. Il devra être établit sans

authentification, cet accès sera limité à se connecter à Internet.

a) Wifi permanent

SSID caché interne :

Le SSID interne sera caché aux recherches de wifi disponibles. Cette option est configurée dans le

point d’accès lui-même.

Authentification :

La configuration wifi choisie pour nos identifications, seront couplées à un serveur Radius, nous

avons donc choisi du WPA avec un mot de passe prédéfini et difficile à casser. Cette configuration

permettra donc la connexion des points d’accès wifi au serveur Radius, afin d’aller chercher ses

informations des connexions autorisées. Ensuite, Les machines voulant se connecter possède un

identifiant et un mot de passe spécifique par ligue.

Cellule :

Les cellules représentent les canaux utilisés, afin d’éviter les conflits de canaux, ce qui donnerait une

forte perte de capacité en matière de débits, il faut une différence de 5 canaux entre chaque point

d’accès. La disposition dans les étages des bâtiments A et C ne devraient pas poser problème.

Voici dessous le schéma correspondant au réseau wifi de M2L:

b) Wifi visiteurs

Ce réseau à la particularité d'être disponible pour les visiteurs en tant que service, toutefois à

l'opposé du réseau wifi permanent, le réseau wifi visiteurs devra être restreint uniquement à

l'utilisation d'internet. Ce réseau est accessible librement sans authentification des visiteurs.

Le SSID sera nommé public, ce réseau sera déployé avec le mécanisme de fonctionnement WPA TKIP

PSK. Afin d'établir une connexion avec le point d'accès, le visiteur devra s'associer au SSID public et

de rentrer la phrase clé intitulé "temporaire". La phrase clé sera renouvelée de manière mensuelle et

sera disponible à l'accueil de M2L. Le réseau wifi visiteur est configurer tel un VLAN.

Voici ci-dessous l'illustration des réseaux sans fils de M2L:

7Utilisateur permanent

4 Visiteurs

2 Visiteurs

1 Routeur 2811

2Point d'accès

sans fil

1Serveur RADIUS

1 Ethernet

Symbole Total Description

Sous-titre de la légende

Légende

Wifi public WPA2 PSK

Wifi permanent Authentification avec

RADIUS

Voici ci-dessous la configuration du routeur 2811:

Commentaire:

Dans un premier temps nous avons installé sur le routeur la liaison permettant de communiquer avec

le serveur RADIUS déjà configuré au préalable sur le réseau.

Une fois celui-ci configuré, il faudra créer les SSID de diffusion qui nous permet de gérer le WIFI

interne et public de l'association, afin de les configurés sur les cartes WIFI adéquates qui permettra la

diffusion des accès WIFI.

c) Les conditions de réussite: politique de sécurité.

La mise en place d'une politique de sécurité pour ces nouveaux réseaux wifi est une opération

primordiale pour M2L. En effet, il est important d'informer les utilisateurs au sein de M2L et de les

sensibiliser contre les risques d'intrusion et d'utilisation de ces réseaux.

Il est tout à fait possible d'optimiser la sécurité avec des préconisations simple à appliquer sur

l'utilisation du wifi par les membres de M2L. Même si ce ne sont pas des règles de sécurité absolue,

la pratique de précautions optimisera l'hygiène et la stabilité du système d'information de M2L.

Sur les postes:

- N'activer la carte wifi que lorsqu'elle doit être utilisée,

- Afin de garder le contrôle d'une connexion d'un poste, désactiver systématiquement

l'association automatique aux points d'accès wifi,

- Maintenir les pilotes wifi à jour,

- Eviter de se connecter à des réseaux sans fil inconnus,

- Bloquer, par configuration du pare feu local, les connexions entrantes via l'interface wifi.

Sur les pc à usage professionnel:

- Ne pas brancher de bornes wifi personnelles sur le réseau de l'entreprise,

Sur les points d'accès:

- Ne pas conserver un SSID proposé par défaut. Ce dernier ne doit pas être explicite par

rapport à l'activité professionnelle ou une information personnelle.

Concernant l'architecture réseau:

- Ne pas sous estimer la zone de couverture d'un réseau wifi.

- Isoler le réseau wifi du réseau filaire.

- Ne pas jamais donner un accès aux ressources interne par les utilisateurs visiteurs.

CONCLUSION

Les méthodes qui ont été présentées dans cette étude devront nous permettre d'être plus

compétent sur l'environnement wifi dans notre travail quotidien. Les connaissances des normes à

savoir sur la disposition du matériel ainsi que leur intéropératibilté est primordial (compatibilité

entre la carte réseau d'un poste vers l'antenne wifi du point d'accès).

Les mécanismes de sécurité qui ont été élaborés sont spécifiques à M2L, bien qu'il existe des degrés

de sécurité plus robuste que celles présenté dans notre étude.

Pour finir, il est important de soulever une autre problématique, malgré le travail fourni pour

sécuriser les réseaux sans fil de M2L, il est important de sensibiliser tout les acteurs de l'association,

car le principal danger de la compromission d'un système d'information reste l'utilisateur en lui-

même. La mise en place d'une charte informatique n'est donc pas à négliger.