Mémoire de projet pour l’obtention de la licence

Département Réseaux et Télécommunications

Promotion 2008/2009

CHANROUX Quentin

PROJET DE DEPLOIEMENT DU WI-FI

Sous la responsabilité de Monsieur Mohammed Samer

122, rue Paul Armangot 94400 Vitry sur seine,Tél. 0141807375/11 fax. 0141807376, www.gtrvitry.net

REMERCIEMENTS

Je tiens tout d’abord à remercier mon tuteur d’entreprise, M. Stéphane BOUCHER, responsable du service informatique, ainsi que M. Choulep CHUNG pour leurs explications, leur patience et leur disponibilité.

Je remercie également toute l’équipe informatique, M. Stéphane BOUCHER, M. Chou-Lep CHUNG, M. Gérard FACCENDA, Mme Muriel BIANCHI, M. Gilles SOURIS, M. Jérémie DUCASTEL et M. Philipe BUTH pour leur sympathie et leur disponibilité durant cette année.

Je remercie vivement M. Gérard de MARCILLAC, Directeur de l’établissement et toute la direction pour la confiance qu’ils m’ont accordé tout au long de cette année.

Enfin, je remercie l’IUT de Vitry sur Seine, mon tuteur de stage, M. Mohammed Samer, ainsi que toute l’équipe pédagogique et administrative pour cette année passée avec eux.

R&T 2008/2009 Page 2 sur 79

SOMMAIREREMERCIEMENTS................................................................................................................................................2SOMMAIRE..........................................................................................................................................................3GLOSSAIRE DES FIGURES ET TABLEAUX............................................................................................................5INTRODUCTION..................................................................................................................................................7

CHAPITRE I.....................................................................................................................................................8PRESENTATION DE LA CCIP............................................................................................................................8

1. PRESENTATION DE L’ENTREPRISE..........................................................................................................9LA CHAMBRE DE COMMERCE ET D’INDUSTRIE DE PARIS (CCIP)............................................................9

Présentation générale.......................................................................................................................9Missions.............................................................................................................................................9Chiffres-clés.....................................................................................................................................11Ressources......................................................................................................................................11

EGF......................................................................................................................................................12Présentation générale.....................................................................................................................12Son service informatique.................................................................................................................13

CHAPITRE II..................................................................................................................................................14LE WI-FI :......................................................................................................................................................14D’HIER, D’AUJOURD’HUI ET DE DEMAIN.......................................................................................................14

2. LE WIFI D’HIER, D’AUJOURD’HUI ET DE DEMAIN..................................................................................15Historique............................................................................................................................................15Architecture.........................................................................................................................................15Normes................................................................................................................................................17Mode de fonctionnement:....................................................................................................................18

Modes opératoires...........................................................................................................................18Répartition des canaux....................................................................................................................20

Risques et solutions.............................................................................................................................20Les attaques en Wi-Fi :....................................................................................................................21Les conséquences:..........................................................................................................................21Les solutions actuelles contre ces attaques :..................................................................................22

Avantages et inconvénients................................................................................................................22Avantages du Wifi :.........................................................................................................................22Inconvénients du Wifi :....................................................................................................................22

Standards concurrents du Wi-Fi...........................................................................................................22CHAPITRE III.................................................................................................................................................24PROJET WI-FI DE EGF....................................................................................................................................24

3. PROJET WI-FI DE EGF...........................................................................................................................25Contexte et Objectif du projet.............................................................................................................25Organisation du projet.........................................................................................................................25

Organigramme des acteurs du projet..............................................................................................26

R&T 2008/2009 Page 3 sur 79

Etude de l’environnement...............................................................................................................27Mise en place des solutions retenues..............................................................................................27Coût du projet.................................................................................................................................31

CHAPITRE IV.................................................................................................................................................32REALISATION DU PROJET..............................................................................................................................32

4. Réalisation du projet............................................................................................................................33L’étude de couverture radio............................................................................................................34Câblage...........................................................................................................................................35Installation des bornes Wifi.............................................................................................................35Référencement des bornes Wifi dans le DHCP................................................................................35Mise en place du serveur Radius.....................................................................................................36Créations de nouveaux VLAN..........................................................................................................38Raccordement des bornes et configuration des switchs.................................................................39Mise en place du serveur WLSE (Wireless Lan Solution Engine).....................................................40Configuration de la borne management..........................................................................................40Ajout de la borne management dans le serveur Radius..................................................................44Configuration des bornes clientes...................................................................................................44Configuration du serveur WLSE.......................................................................................................46Configuration du Firewall.................................................................................................................50Configuration et activation du Wifi..................................................................................................51Détection des réseaux Wifi..............................................................................................................51Connexion au réseau Wifi public EGF_Public...................................................................................51Connexion au réseau Wifi privé EGF_Prive......................................................................................52Test de couverture et puissance du signal......................................................................................54

CHAPITRE V..................................................................................................................................................55Conclusion....................................................................................................................................................55

5.0 Conclusion.........................................................................................................................................56Bilan.....................................................................................................................................................56Conclusion...........................................................................................................................................56

ANNEXES..................................................................................................................................................57Configuration détaillée du réseau sans fil de EGF :.................................................................................57

Configuration des bornes Wi-Fi CISCO AIRONET 1130AG via le serveur WLSE :..................................57Configuration du serveur Radius.........................................................................................................62Configuration du Firewall CheckPoint..................................................................................................71Différents protocoles de sécurité.........................................................................................................73Glossaire..............................................................................................................................................76Bibliographie........................................................................................................................................77

R&T 2008/2009 Page 4 sur 79

GLOSSAIRE DES FIGURES ET TABLEAUX

Tableau 1 - Répartition des effectifs par secteur d'activité.......................................................11Tableau 2 - Normes................................................................................................................17Tableau 3 - Bande de fréquences............................................................................................20Tableau 4 - VLAN....................................................................................................................39

Figure 1 - Mode ad’ hoc..........................................................................................................19Figure 2 - Mode infrastructure................................................................................................20Figure 3 - Man in the middle...................................................................................................21Figure 4 - Architecture du réseau wifi ouvert EGF....................................................................29Figure 5 - Architecture du réseau wifi administratif EGF..........................................................30Figure 6 - Serveur DHCP.........................................................................................................36Figure 7 - Serveur RADIUS 4.1................................................................................................37Figure 8 - Création du certificat pour la connexion pour réseau EGF_Prive................................38Figure 9 - Configuration du serveur manager sur la borne Management...................................41Figure 10 - WDS – groupe Infrastructure.................................................................................41Figure 11 - WDS – groupe client..............................................................................................42Figure 12 - Configuration AP...................................................................................................42Figure 13 - Configuration du DNS............................................................................................43Figure 14 - Configuration accès HTTPS....................................................................................43Figure 15 - Configuration Telnet/SSH......................................................................................43Figure 16 - Evolution de la configuration réseau du serveur RADIUS.........................................44Figure 17 - Activation du service DHCP...................................................................................44Figure 18 - Configuration AP...................................................................................................45Figure 19 - Configuration Telnet/SSH......................................................................................45Figure 20 - Configuration service SNMP...................................................................................46Figure 21 - Configuration de la communauté SNMP..................................................................46Figure 22 - Configuration Telnet/SSH......................................................................................47Figure 23 - Configuration authentification WDS.......................................................................47Figure 24 - Visualisation du domaine (WDS) et de la borne management..................................47Figure 25 - Visualisation bornes..............................................................................................48

R&T 2008/2009 Page 5 sur 79

Figure 26 - Visualisation bornes..............................................................................................48Figure 27 - Location Manager.................................................................................................49Figure 28 - Interface EGF_Public.............................................................................................50Figure 29 - Interface EGF_Prive...............................................................................................50Figure 30 - Exemple de règle dans le Firewall..........................................................................51Figure 31 - Réseaux Wifi EGF..................................................................................................51Figure 32 - Réseau Public EGF.................................................................................................52Figure 33 - Configuration carte réseau....................................................................................52Figure 34 - Configuration carte réseau - Protocole EAP............................................................53Figure 35 - Validation du certificat..........................................................................................53

R&T 2008/2009 Page 6 sur 79

INTRODUCTION

Le Wifi est considéré actuellement comme un symbole de liberté et de Haute Technologie. Il est poussé vers le haut par le besoin croissant de mobilité des utilisateurs.Malgré les problèmes liés au débit et à la sécurité, le Wifi a su s’imposer dans les entreprises grâce à son confort et à sa facilité d’utilisation.

La technologie Wifi est en phase de maturation, elle gagne en fiabilité et rapidité en partant d’un standard sans sécurité à ses débuts en 1997. Ensuite, sa sécurité est assurée par le protocole WEP et enfin l’arrivée de la norme 802.11i en juin 2004 apportent des labels de sécurité aux protocoles WPA et WPA2. La norme 802.11g atteint aujourd’hui un débit de 54Mb/s. La nouvelle norme 802.11n alliée à la technologie MIMO (Multiple-Input Multiple-Output) est en phase de validation au sein de l’Institude of electrical and Electronics Engineers (IEEE) garantissant un débit théorique 540Mb/s tout en restant compatible avec les normes Wifi 802.11b/g actuelles. La progression technologique Wifi est en adéquation avec les besoins de plus en plus fort de mobilité ; il nous promet un bel avenir.

Les fournisseurs d’accès à Internet commencent à irriguer des zones à forte concentration d’utilisateurs (gares, aéroports, hôtels, trains…) avec des réseaux sans fil connectés à Internet. Ces zones ou point d’accès sont appelées bornes Wifi ou points d’accès Wifi et en anglais « hot spots ».

Le Wifi répond à une forte demande de la part des utilisateurs nomades mais les problèmes liés à sa technologie et à sa sécurité ont retardé sa mise en place.

Le Wifi est un succès incontestable auprès des utilisateurs. Cependant il continue à générer un sentiment de méfiance quant à sa sécurité.

Dans ce projet, vous seront d’abord présentés l’établissement CCIP/EGF, ensuite le Wifi et ses différents aspects  et enfin l’étude et la réalisation du projet Wifi à EGF : pourquoi le Wifi dans notre établissement ? Quels sont les choix techniques et sécurités ? Et comment les mettre en œuvre ?

R&T 2008/2009 Page 7 sur 79

A l’issue de cet exposé sera présenté le bilan de ce projet, ses améliorations, ses mises à jour à faire afin de maintenir ce réseau sécurisé et performant.

R&T 2008/2009 Page 8 sur 79

CHAPITRE I PRESENTATION DE LA CCIP

R&T 2008/2009 Page 9 sur 79

1. PRESENTATION DE L’ENTREPRISE

LA CHAMBRE DE COMMERCE ET D’INDUSTRIE DE PARIS (CCIP)

Présentation générale La Chambre de Commerce et d’Industrie de Paris (CCIP) fut créée le 25 février 1803 suite à un décret de Napoléon Bonaparte. Elle se développa par le cumul de mesures destinées à faciliter l’adaptation des entreprises aux grandes mutations techniques, technologiques et sociales.

La fin des Trente Glorieuses, marquée par le choc pétrolier, précipita la France dans la crise. Il fallut alors redéfinir les objectifs prioritaires de la CCIP. Dans un contexte d’intégration européenne croissante, il devint fondamental d’élever Paris au rang de première capitale économique européenne. Dans cette perspective furent successivement implantés le Palais des Congrès (1974), le Parc des expositions (1983), l’école européenne des affaires (dit l’EAP en 1975), ainsi que la grande école d’ingénieurs ESIEE (1987).

Les années 90 amenèrent ensuite un nouveau défi à la CCIP : celui de la mondialisation. D’où la mise en place de toute une panoplie visant à soutenir les créateurs et repreneurs d’entreprises, à accompagner les PME et PMI dans leur stratégie d’exportation, à apporter de nouveaux moyens pour la formation des vendeurs, indispensables dans la compétition commerciale et enfin à contribuer aux travaux de l’agence régionale de développement.

Missions Actrice économique essentielle de la région Ile de France, la CCIP mène ses actions en suivant quatre grands axes dans le domaine économique : représenter, accompagner, former et développer.

A. Représenter les intérêts des entreprises

La CCIP représente plus de 310 000 entreprises qui totalisent 20% du PIB français. Interlocutrice privilégiée des institutions régionales, nationales et européennes, elle propose régulièrement des mesures et des aménagements dans divers domaines qui touchent à la vie de l’entreprise. Ses recommandations font l’objet de rapports diffusés auprès des pouvoirs publics, juridiques, sociaux et fiscaux.

R&T 2008/2009 Page 10 sur 79

B. Accompagner les entreprises auprès des pouvoir publics

Dans ses délégations de Paris, des Hauts-de-Seine, de Seine-Saint-Denis et du Val-de-Marne, la CCIP met son expertise et sa connaissance du territoire au service du développement économique. Elle propose aux dirigeants, aux créateurs, repreneurs et cédants d’entreprise une gamme de services adaptés à chaque étape du développement de leurs affaires.

C. Former

Chaque année, la CCIP forme 13 000 jeunes et 40 000 adultes. Plus de 30 % des jeunes diplômés issus de ses écoles sont embauchés dans les 6 mois qui suivent la fin de leur scolarité.

La formation délivrée par la CCIP suit 4 axes : La formation basique qui comprend les enseignements supérieurs de gestion, de

techniques, de technologiques, ainsi que commerciaux. La formation continue dans la mesure où la CCIP offre un catalogue complet et évolutif de

la formation (stages interentreprises, programmes sur mesure, parcours individuels, coaching, validation des acquis par l’expérience)

La formation à l’international à travers divers moyens tels que les programmes d’échanges d’étudiants, la promotion de la langue française à l’étranger ou encore l’exportation du savoir faire pédagogique en Europe, au Moyen-Orient, en Afrique et en Asie.

L’expertise de la formation puisque la CCIP adapte en permanence les programmes de ses écoles aux évolutions des besoins des entreprises grâce à deux pôles d’expertise: (Le PREAU qui veille et accompagne en e-formation et l’OFEM)

D. Développer l’attractivité de la région parisienne La CCIP œuvre pour améliorer le rayonnement de la Région Parisienne dans le milieu des affaires. Elle vise donc à faire de Paris le premier lieu mondial d’accueil des congrès et salons. Pour cela, on compte plusieurs initiatives telles que la mise en place du Palais des Congrès (1er site français d’accueil des congrès internationaux), le parc des expositions de Paris-Nord Villepinte (1er site français d’accueil de salons professionnels en France) ainsi que l’organisation de manifestations.

R&T 2008/2009 Page 11 sur 79

Chiffres-clés 

Voici les chiffres-clés en 2005:

30 prises de positions adoptées par les élus en assemblée générale 60 200 porteurs de projets informés 14 000 jeunes formés dans les 12 écoles de la CCIP 40 000 stagiaires en formation continue. 391 accords d’échanges académiques dans 55 pays.

4,5 milliards d’euros de retombées directes et indirectes pour l’Ile-de-France, générés par les salons et congrès, notamment grâce aux sites exploités par la CCIP, qui représentent près de la moitié des capacités d’accueil proposées. Plus de 8,4 millions de visites sur ccip.fr et les sites CCIP associés.

Ressources 

Tableau 1 - Répartition des effectifs par secteur d'activitéSecteur d'activité Nombre de

collaborateursPart sur

l’ensemble de l’effectif

Direction général et autres directions rattachées

313 7%

Finances et administrations 677 16%Action territoriale 621 14%Enseignement et formation 2448 57%Études et informations 260 6%Total 4319 100%

** Ce texte est largement inspiré des sources internes de la CCIP.

R&T 2008/2009 Page 12 sur 79

EGF Présentation générale 

Les Ecoles GREGOIRE-FERRANDI sont des établissements d’enseignements technologiques de la Chambre de Commerce et d’Industrie de Paris. Créées en 1931, elles sont dédiées aux métiers de l’artisanat de tradition, de l’alimentation et de la restauration. Le nombre de salariés est de 208 collaborateurs dont 133 professeurs et 75 administratifs et leur budget de fonctionnement est de 17 millions d’euros (110 millions de Francs).

Les atouts majeurs de ces Ecoles sont représentés par des relations fortes avec les entreprises, un souci constant d’adaptation et de réponse aux besoins des employeurs, des équipements qui permettent aux jeunes d’apprendre dans les conditions de leur futur métier et un enseignement technique assuré par des professionnels reconnus. A ceci s’ajoute la présence, sur le même site, d’une palette diversifiée et complémentaire de formations, autant de possibilités de « passerelles » d’un métier à l’autre offertes aux jeunes.

Ces écoles sont divisées en trois parties :

L’Ecole Ferrandi, spécialisée dans la formation aux métiers de l’alimentation, la distribution et la restauration

L’Ecole Grégoire, spécialisée dans la formation aux métiers de l’artisanat, de l’aménagement et décoration d’intérieur

L’Ecole supérieure de la cuisine française.

De longue date, les Ecoles GREGOIRE-FERRANDI entretiennent avec les professionnels des relations étroites et privilégiées. Elles sont à l’écoute des entreprises pour répondre toujours plus efficacement à leurs besoins et peuvent se prévaloir :

o De taux élevés de réussite aux examens : le taux moyen de réussite aux examens atteint 88 %

o D'une insertion professionnelle réussie : en moyenne, plus de 90 % des jeunes issus de ces écoles ont trouvé un emploi dans les six mois suivant leur sortie de formation.

En plus de ces écoles le site comprend la Direction des Relations Internationales de l’Enseignement (DRI/E), qui participe, depuis 1958, à la promotion du français à l’étranger comme outil des échanges économiques.

R&T 2008/2009 Page 13 sur 79

Ainsi, le Centre de Langue concentre son action sur la communication en situation professionnelle au service de tous les étrangers qui utilisent le français dans leur métier, mais également des entreprises françaises implantées à l’étranger, qui recherchent un personnel francophone.

Son service informatique

Le site Grégoire-Ferrandi, qui comprend les trois écoles (EGF) et la DRI/E (Direction des Relations Internationales de l'Enseignement), dispose d'un parc informatique conséquent comprenant plus de 450 ordinateurs personnels répartis sur trois réseaux distincts :

- un réseau administratif pour tous les administratifs des Ecoles Grégoire-Ferrandi

- un réseau pédagogique utilisé par les élèves et professeurs des différentes écoles

- un réseau propre à la DRI/E.

Le service informatique a la tâche de gérer ce système, d'assurer sa maintenance et son développement.

Organisation du service informatique :

Responsable : Stéphane BOUCHER Gestionnaire de Parc : Gérard FACCENDA Administrateur Réseaux : Chou-Lep CHUNG Développement applications : Gilles SOURIS Développeurs Web : Jérémie DUCASTEL, Philipe BUTH Charger de l’audio-visuel : Muriel BIANCHI Apprenti : Quentin CHANROUX

R&T 2008/2009 Page 14 sur 79

CHAPITRE II LE WI-FI   :

D’HIER, D’AUJOURD’HUI ET DE DEMAIN

R&T 2008/2009 Page 15 sur 79

2. LE WIFI D’HIER, D’AUJOURD’HUI ET DE DEMAINHistorique

L’idée de transmettre des données informatiques par ondes électromagnétique est née dans les universités de Seattle, où les étudiants désiraient échanger des données par ce mode de transmission. La technologie est connue grâce à l’adoption du standard IEEE (Institute of Electrical and Electronic Engineers) 802.11 en juin 1997 par WECA (Wireless Ethernet Compatibility Alliance).

Le Wifi (Wireless Fidelity) est un ensemble de fréquences radio standardisé qui permet de partager une connexion Internet et d’échanger de données entre plusieurs postes.

Un réseau sans fil (en anglais wireless network) est un réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Les réseaux sans fil sont basés sur une liaison utilisant des ondes radioélectriques (radio et infrarouges) à la place des câbles habituels. Il existe plusieurs technologies se distinguant par la fréquence d'émission utilisée ainsi que par le débit et la portée des transmissions.

Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA) ou même des périphériques à une liaison haut débit (de 11 Mbit/s en 802.11b à 54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mètres en intérieur. Généralement, la moyenne se situe entre une vingtaine et une cinquantaine de mètres. Dans un environnement ouvert, la portée peut atteindre plusieurs centaines de mètres voire, dans des conditions optimales, plusieurs dizaines de kilomètres pour la 'variante' WIMAX ou avec des antennes directionnelles.

Architecture

La structure du standard 802.11 s’appuie sur le model OSI pour définir les deux couches basses :La couche physique (notée parfois couche PHY), proposant trois types de codage de l'information.La couche liaison de données est constituée de deux sous-couches : le contrôle de la liaison logique (Logical Link Control, ou LLC) et le contrôle d'accès au support (Media Access Control, ou MAC).

R&T 2008/2009 Page 16 sur 79

Le protocole 802.11 couvre les couches MAC et physique. Le standard définit actuellement une seule couche MAC qui interagit avec trois couches physiques, fonctionnant toutes les trois à 1 et 2 Mbps :

Frequency hopping (FH) dans la bande des 2,4Ghz Direct sequence (DF) dans la bande des 2,4 Ghz Infrarouge(IR)

Il est possible d'utiliser n'importe quel protocole sur un réseau sans fil Wi-Fi au même titre que sur un réseau Ethernet.

R&T 2008/2009 Page 17 sur 79

802.2(LLC) Liaison de données802.11(MAC)

FHSS DSSS IR Physique

Normes La norme IEEE 802.11 est la norme initiale en 1997. Le tableau ci-dessous présente les différentes révisions de la norme 802.11 validées ou en cours de validation par IEEE.

Tableau 2 - Normes

Norme Nom Description

802.11a

Wi-Fi 5

La norme 802.11a (baptisé Wi-Fi 5) permet d'obtenir un haut débit (dans un rayon de 10mètres: 54 Mbit/s théoriques, 30 Mbit/s réels). La norme 802.11a spécifie 8 canaux radio dans la bande de fréquences des 5 GHz.

802.11b

Wi-Fi

Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s réels) avec une portée pouvant aller jusqu'à 300 mètres dans un environnement dégagé. La plage de fréquences utilisée est la bande des 2,4 GHz avec, en France, 13 canaux radio disponibles.

802.11e

Amélioration de la

qualité de service(QoS)

La norme 802.11e vise à donner des possibilités en matière de qualité de service au niveau de la couche liaison de données. Ainsi cette norme a pour but de définir les besoins des différents paquets en termes de bande passante et de délai de transmission de telle manière à permettre notamment une meilleure transmission de la voix et de la vidéo.

802.11f

Itinérance (roaming)

La norme 802.11f propose le protocole Inter-Access point roaming Protocol permettant à un utilisateur itinérant de changer de point d'accès de façon transparente lors d'un déplacement, quelles que soient les marques des points d'accès présentes dans l'infrastructure réseau. Cette possibilité est appelée itinérance (ou roaming en anglais)

802.11g

 

La norme 802.11g est la plus répandue actuellement. Elle offre un haut débit (54 Mbit/s théoriques, 26 Mbit/s réels) sur la bande de fréquences des 2,4 GHz. La norme 802.11g a une compatibilité descendante avec la norme 802.11b, ce qui signifie que des matériels conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cette aptitude permet aux nouveaux équipements de proposer le 802.11g tout en restant compatible avec les réseaux existants qui sont souvent encore en 802.11b.

  La norme 802.11h vise à rapprocher la norme 802.11 du standard

R&T 2008/2009 Page 18 sur 79

802.11h

Européen (Hiperlan 2, d'où le h de 802.11h) et être en conformité avec la réglementation européenne en matière de fréquences et d'économie d'énergie.

802.11i

 

La norme 802.11i a pour but d'améliorer la sécurité des transmissions (gestion et distribution des clés, chiffrement et authentification). Cette norme s'appuie sur le WPA (Wi-Fi Protected Access) ou l’AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les technologies 802.11a, 802.11b et 802.11g.

802.11n

WWiSE (World-Wide

Spectrum Efficiency)

ou TGn Sync

Elle est alliée à la technologie MIMO (Multiple-Input Multiple-Output) garantis un débit théorique 540Mb/s et d'une portée étendue à près de 300 mètres tout en restant compatible avec les normes Wi-Fi 802.11b/g actuelles. La technologie MIMO est une technique utilisant des antennes multiples pour optimiser le débit à l'intérieur de locaux (bureau, appartement, maison), tout spécialement lorsque les interférences et obstacles sont nombreux.En avril 2006, des périphériques à la norme 802.11n commencent à apparaitre mais il s'agit d'un 802.11 N draft (brouillon) ou plutôt provisoire en attendant la norme définitive. La norme 802.11n est attendue pour 2008.

Mode de fonctionnement:

Modes opératoires 

Deux modes de fonctionnement existent, le mode ad’ doc est pour les particuliers tandis que le mode infrastructure est plutôt pour les entreprises.a) Mode Ad hocLes réseaux ad’ hoc sont des réseaux sans fil capables de s'organiser sans infrastructure définie préalablement.Chaque entité communique directement avec sa voisine. Pour communiquer avec d'autres entités, il est nécessaire de faire passer ses données par d'autres qui se chargeront de les acheminer. Pour cela, il est d'abord primordial que les entités se situent les unes par rapport aux autres, et soient capables de construire des routes entre elles. Les réseaux ad’ hoc s'organisent d'eux mêmes et chaque entité peut jouer différents rôles.

R&T 2008/2009 Page 19 sur 79

Figure 1 - Mode ad’ hoc

b) Mode Infrastructure En mode infrastructure, chaque station se connecte à un point d'accès via une liaison sans fil.L'ensemble formé par le point d'accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set, noté BSS). Il constitue une cellule. Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution (DS) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil. Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format ASCII) servant de nom pour le réseau. L'ESSID, souvent abrégé en SSID, Il porte le nom du réseau et représente un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu'une station se connecte au réseau étendu.Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ESS, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles.Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais roaming). La gestion d’accès se fait sur la borne.

R&T 2008/2009 Page 20 sur 79

Figure 2 - Mode infrastructure

Répartition des canaux

Dans le standard 802.11x, la bande de fréquence 2.412-2.484 GHz (d'une largeur de 83.5 MHz) a été découpée en 14 canaux séparés de 5MHz, dont les 11 premiers sont utilisables aux Etats-Unis. Seuls les canaux 10 à 13 sont utilisables en France. Il n’y a pas de recouvrement entre les canaux 1, 6 et 11 (**)

Tableau 3 - Bande de fréquencesCanal 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Fréquence (GHz) 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.484

** Source CISCO Wireless Lan (Editeur Syngress)

Risques et solutions

L’utilisation du réseau sans fil comporte des risques car il expose à des menaces d’intrusion. Nous allons les analyser en détail et voir les solutions d’encryptage sur le marché afin de protéger les accès et les données.

R&T 2008/2009 Page 21 sur 79

Les attaques en Wi-Fi :

Le War-Driving   : Cette technique consiste à se déplacer dans une ville avec un ordinateur portable muni d’une carte 802.11b/g et d’une antenne externe pour se connecter sur les réseaux sans fil.De nombreux logiciels sont disponibles pour casser les clés de chiffrement sur tous les systèmes d'exploitation : Linux, Windows.

L’homme au milieuCette attaque consiste à se faire passer pour une autre machine en utilisant son adresse MAC. Cela permet de faire de l'interception : Man In The Middle

Figure 3 - Man in the middle

Les conséquences:

Les risques du Wifi sont exploités par les pirates de manières suivantes Écoute et interception de trafic Introduction d'une station ou d'un serveur illicite dans le réseau Vol d'informations, espionnage ... Malveillance

Personnel licencié qui installe du matériel avant son départ Matériel ayant une "fonction cachée"

R&T 2008/2009 Page 22 sur 79

Les solutions actuelles contre ces attaques :

Préconiser et intégrer la sécurité dès la conception du projet pour évaluer et anticiper les risques.

Mettre en place une politique d’audit systématique pour étudier l’existant. Implanter de bornes intelligentes (Ex : Cisco avec la solution WLSE) pour

faciliter et optimiser la gestion des bornes. Mettre en place une solution appuyant sur une authentification complète :

l’utilisateur/ la machine/ la borne/ le Serveur Radius.

Avantages et inconvénients

Avantages du Wifi :

Mobilité, facilité et rapidité d'installation et d'utilisation Compatibilité inter-Platform si les normes sont respectées Complémentarité au réseau filaire Ethernet Coût peu élevé par rapport au réseau filaire

Inconvénients du Wifi :

Réseau sécurisé mais chute rapide du débit lors de nombreuses communications ou d'informations trop riches (images, vidéo audio...).

Problèmes d’interférences dus aux obstacles rencontrés (murs, vitres teintées, étages,...), pouvant aller jusqu'à la coupure de la liaison, notamment lors du déplacement d’une borne à l'autre.

Pas de règle stricte dans le déploiement du Wifi : nécessité d’une étude préalable approfondie

Standards concurrents du Wi-Fi

Il existe plusieurs technologies concurrentes : HiperLAN2, Bluetooth, CPL.a) hiperLAN2 (High Performance Radio LAN 2.0) est norme européenne élaborée par l'ETSI (European Telecommunications Standards Institute). Elle est en concurrence directe avec la norme

R&T 2008/2009 Page 23 sur 79

802.11a. Elle fonctionne sur la bande des 5GHz en modulation OFDM (voir norme 802.11) avec un débit de 54Mbits/s. Les fonctionnalités sont:Mode haut débit : la couche physique peut transmettre et recevoir des données à 54 Mbits/s grâce à la modulation OFMD.Mode orienté connexion : avant chaque envoi, une connexion est établie entre les stations et l'AP (point d'accès). Les communications point-à-point sont bidirectionnelles et les communications point-à-multipoint sont unidirectionnelles. Un canal de broadcaste permet de joindre toutes les stations en même temps.

b) Bluetooth : Technologie de transmission sans fil entre PC, PDA et périphériques. Le Bluetooth est bien adapté à l´utilisation de téléphones GPRS comme modems, ainsi qu´à la constitution de petits réseaux locaux hors des murs de l´entreprise. Mais son coût encore élevé, un débit limité et une interopérabilité imparfaite en restreignent encore l´usage. Le standard Bluetooth est à la fois complémentaire et concurrent de Wifi. Tous deux visent à instaurer par la voie des airs un dialogue entre systèmes.

c) CPL : (Courants Porteurs en Ligne) : Technologie qui vise à faire passer de l’information sur les lignes électriques en utilisant des techniques de modulations avancées. Les premières expérimentations ont été réalisées en France en 2000 par EDF, R&D et Ascom. Les principes de CPL consistent à superposer au signal électrique de 50Hz un autre signal à plus haute fréquence (bande 1,6 à 30 Mhz) et de faible énergie. Ce deuxième signal se propage sur l’installation électrique peut être reçu et décodé à distance. Ainsi le signal CPL est reçu par tout récepteur CPL qui se trouve sur le même réseau électrique.

d) Le standard IEEE 802.16e WiMAX

Le WiMAX (world interoperability for microwave access) est une technologie de boucle locale radio (BLR) avec gestion de la qualité de services (QoS).La technologie WiMAX est capable sur un rayon de 45 km d'émettre l'Internet sans fil avec un débit allant jusqu'à 70 Mb/s (ou 8,75 Mo/s). Son application est la même que celle que nous connaissons avec le Wi-Fi. A l'aide d'une antenne et d'une borne relais, les ordinateurs qui se trouvent dans la zone couverte bénéficient d'une connexion Internet sans fil.

R&T 2008/2009 Page 24 sur 79

CHAPITRE III PROJET WI-FI DE EGF

R&T 2008/2009 Page 25 sur 79

3. PROJET WI-FI DE EGF

Contexte et Objectif du projet

Le projet des réseaux sans fil de s’appuie sur les nouvelles technologies de l’information et de communication, conformément à la stratégie de la direction de EGF. Cette stratégie vise à utiliser le Wifi :

- D’une part le Wifi public s’adresse aux élèves, aux administratifs, professeurs de l’établissement et les intervenants extérieurs à l’école afin de bénéficier d’un accès internet mobile

- D’une autre part le Wifi privé, s’adresse uniquement aux administratifs de l’établissement. Il leur permettra de bénéficier de tous les services déjà disponibles comme s’ils étaient connectés en filaire :

accès à internet accès aux différents sites internes de la chambre de commerce (intranet,

saga2, temptation) accès à la messagerie interne Lotus Notes accès aux lecteurs réseaux accès aux serveurs de l’école (serveurs de fichiers, serveurs d’impression)

Les enjeux sont très importants sur deux plans : Sur le plan commercial : le Wifi est une valeur ajoutée à nos méthodes

d’enseignement afin de mieux satisfaire les utilisateurs de EGF et d’attirer des nouveaux étudiants, clients et visiteurs.

Et sur le plan technique et budgétaire: Il permet de moderniser notre réseau en ajoutant des nouvelles fonctionnalités avec un budget raisonnable.

Ce réseau est en mode INFRASTRUCTURE.

Organisation du projet

Ce projet a été initié par le responsable du service informatique, M. Stéphane BOUCHER. Je travaille sur ce projet avec l’aide de mon tuteur pédagogique, M. Stéphane BOUCHER et de notre administrateur réseaux, M. Choulep CHUNG.

R&T 2008/2009 Page 26 sur 79

Organigramme des acteurs du projet

Direction du projetInitiateurs du projet

Équipe réseauRéalisateurs du projet

R&T 2008/2009 Page 27 sur 79

Stéphane BOUCHERArchitecte Systèmes Réseaux

Choulep CHUNGAdministrateur réseaux

Chanroux QuentinApprenti

CHANR

EGF

Stephane BOUCHERResponsable Informatique

Etude de l’environnement

Dans le cadre de cette opération, en qualité de maître d’ouvrage, nous avons fait appel à la société AMEC SPIE pour faire une étude de couverture de radio sans fil. L’étude de couverture permet de définir :

Le nombre de bornes utiles Le type d’antenne à utiliser L’emplacement des bornes La puissance d’émission du réseau radio Les canaux utilisés par le réseau Le mode d’alimentation des bornes L’infrastructure des câblages et les éléments actifs à utiliser

Cette étude prend en compte les normes en vigueur sur l’utilisation de l’espace radio en France dans les bandes de 2.4 GHz.

Conclusion   :

Le résultat de cette étude a confirmé la faisabilité du projet. Il nous a permis de définir une zone de couverture radio adaptée à nos besoins. Cela nous a guidé dans le choix de la topologie physique : le type des bornes, des commutateurs actifs et aussi dans la politique de sécurité à mettre en place.

Mise en place des solutions retenues

Nous avons retenu deux solutions : la solution Radius pour le réseau Wifi ouvert et la solution WPA 2 pour le réseau Wifi administratif sécurisé.

Nous allons analyser les étapes de connexion et authentification réseau dans chaque type de réseau Wifi.

Réseau Wi-Fi ouvert :

Le portail captif fonctionne conjointement avec le serveur Radius pour authentifier les utilisateurs connectés.

R&T 2008/2009 Page 28 sur 79

Aucune configuration préalable n’est nécessaire sur le poste de client.

Identité du client   Wifi:

Pour se connecter à ce réseau, le client doit posséder :

un compte avec un login et un mot de passe connus par le serveur Radius.

Les phases de connexion   :

1- Le client fait une requête DHCP sur le réseau EGF_Public (SSID diffusé). Il récupère automatiquement son adresse IP (172.22.96.x) attribuée par le serveur DHCP.En ouvrant le navigateur le client sera confronté à l’interface du Firewall où il devra entrer son login et son mot de passe.2- Le client doit s’identifier (login + mot de passe)3- La validation de son identité se fait entre le serveur Radius et le Firewall.4- Après cette validation, L’accès est autorisé mais limité par les règles du pare-feu CHECKPOINT uniquement aux services suivants :

Faire des requêtes http/https sur le Web. Envoyer et recevoir les Emails personnels type POP3/SMTP.

R&T 2008/2009 Page 29 sur 79

Figure 4 - Architecture du réseau wifi ouvert EGF

Réseau Wi-Fi administratif sécurisé:

La solution WPA 2 s’appuie sur une authentification entre le client, la borne Wifi et le serveur RADIUS. Cette communication est en mode crypté. Nous allons voir en détail cette solution.

Identité du client Wifi:

Sa carte réseau Wifi doit être configurée en mode WPA 2 et EAP. Le certificat Radius installé (fourni par l’administrateur). Sélection du SSID : EGF_Prive . Dans l’active Directory, cocher la case « appel  entrant » du compte utilisateur.

R&T 2008/2009 Page 30 sur 79

Les phases de connexion :

1. Le client se connecte via le protocole WPA 2 à la borne Wifi. Il va établir un tunnel sécurisé TLS avec le serveur d’authentification RADIUS à travers les bornes et les Switchs (concentrateur)

2. Pour monter ce tunnel, le client utilise les protocoles : EAP over LAN (EAPOL)3. Une fois le tunnel monté, le client envoie son certificat au serveur RADIUS pour lui

demander l’autorisation d’accès.4. Le serveur Radius lui renvoie une demande d’identification (Login et mot de passe).5. L’identité du client vérifié, Le serveur Radius autorise à la borne l’ouverture du VLAN 186

correspondant au SSID EGF_Prive.6. Le client peut récupérer son adresse IP via le serveur DHCP/DNS et bénéficier des services

suivants : Faire des requêtes http sur le Web. Envoyer et recevoir les Emails via Lotus Notes ou Web mail. Accéder aux ressources internes d’EGF avec ses droits prédéfinis.

R&T 2008/2009 Page 31 sur 79

Figure 5 - Architecture du réseau wifi administratif EGF

R&T 2008/2009 Page 32 sur 79

Coût du projet

Le coût total est : 50000 euros TTC

Le coût du projet est étalé sur deux parties : L’achat du matériel : 28000 euros TTC

Les bornes 1130 Cisco : 40 x 350 TTC = 14000 € TTC Les switchs : 2 x 3500 TTC = 7000 € TTC Le WLSE 2.15 Appliance + Soft + Installation : 4500 € TTC L’application serveur Radius ACS 4.1 = 4500 € TTC

Le coût de la prestation : 22000 euros TTC

L’étude de couverture : 2000 € TTC Câblage : 20000 € TTC

R&T 2008/2009 Page 33 sur 79

CHAPITRE IV REALISATION DU PROJET

R&T 2008/2009 Page 34 sur 79

4. Réalisation du projet

Dans cette étape, nous allons présenter la réalisation en deux parties :

Partie 1 : les travaux réalisés par les prestataires de services.

L’étude de couverture de radio a été réalisée par la société Amec Spie et le câblage a été effectué par la société SNEF.

Partie 2 : Les travaux réalisés par le service Informatique de EGF.

Dans cette partie, nous allons dans les détails des opérations en décrivant des fonctionnalités et le rôle de chaque élément  et souligner les difficultés à réaliser de chaque opération.

Installation des bornes Wifi Déclaration des bornes dans le DHCP Mise en place du serveur RADIUS. Configuration la borne CISCO model Configuration de base des bornes Mise en place du serveur WLSE. Configuration du Firewall

R&T 2008/2009 Page 35 sur 79

Partie I

L’étude de couverture radio

Nous avons fait appel à la société Amec Spie pour réaliser cette étude. J’ai participé activement à cette étude pour définir les priorités des zones à couvrir accompagner l’Amec Spie dans la réalisation.

Nous avons utilisé :

1- Un ordinateur portable avec une carte client sans fil PCMCIA Cette carte prend en compte les différentes méthodes d’authentification et de cryptage normalisées par l’IEEE (WEP, WPA, 802.1x).

2- Des logiciels de planification et de cartographie de réseau sans fil pour déterminer le débit et le nombre de bornes nécessaires pour avoir une bonne couverture.

3- Des bornes Wifi.Les bornes radio vont servir lors de l’étude à déterminer :

La couverture radio. Les canaux utilisés par salle et par AP. Le rayonnement du réseau (intérieur/extérieur). Les interférences au niveau de l’espace fréquentiel (entre AP, avec d’autres équipements,

ou avec d’autres réseaux radio). Le débit réel du réseau.

Nous avons faire des mesures du niveau 10 au niveau 0. A chaque étage, on détermine l’endroit optimal pour chaque borne.

Globalement, les tests sont satisfaisants, très peu d’interférences ont été observées, même dans les lieux à haut risque d’interférences (restaurant…).

Par ailleurs, il est important de maîtriser le nombre de bornes présentes dans le bâtiment afin d’éviter toute interférence au niveau radio.

R&T 2008/2009 Page 36 sur 79

D’autre part, considérant le type d’équipements actifs utilisés sur le réseau, une étude de compatibilité est nécessaire pour valider le bon fonctionnement de l’ensemble. Le réseau sans fil est, ne l’oublions pas, une extension du réseau filaire.

Les ondes radio se propagent dans la nature et seuls les équipements adaptés permettent de garantir une mobilité sécurisée.

Câblage

Une fois l’étude de couverture terminée et validée, nous avons fait appel à la société SNEF pour réaliser l’installation des bornes Wifi Cisco.L’objectif est de faire passer les câbles à travers tout le bâtiment afin de raccorder chaque borne Wifi à l’emplacement qui lui a été précédemment défini par l’étude de couverture radio.

PARTIE II

Installation des bornes Wifi

A partir de l’étude de couverture radio réalisée par la société Amec Spie, nous avons réalisé l’installation des bornes Wifi Cisco.L’objectif est d’installer les bornes Wifi conformément aux normes de sécurité actuelles. Les positions des bornes ont été définies dans l’étude de couvertures de radio afin de respecter les contraintes techniques et réglementaires. Nous avons installé les 37 bornes Wifi Cisco modèle : Cisco Aironet 1130AG sur notre site. La borne Cisco est livrée avec un support mural permettant de mettre un cadenas pour la protéger contre le vol.Nous avons fait des tests sur chaque borne pour valider son bon fonctionnement.

Référencement des bornes Wifi dans le DHCP

Durant l’installation des bornes, nous avons relevé pour chacune des bornes, l’adresse MAC qui lui correspond. Par la suite, nous avons déclaré dans une étendue réservée, une adresse IP et un nom d’équipement pour chaque borne Wifi (172.22.65.10 à 47).

R&T 2008/2009 Page 37 sur 79

Figure 6 - Serveur DHCP

Sur le serveur DHCP nous avons créé également deux nouvelles plages :

- Wifi public : 172.22.96.0/20, dynamique de 172.22.96.1 à 172.22.96.200- Wifi privé : 172.22.80.0/20

Mise en place du serveur Radius

Son rôle est d’authentifier de façon centralisée des utilisateurs à travers tous les dispositifs de Cisco et les bases de données externes comme Active Directory et LDAP. Nous avons donc choisi la solution CiscoSecure ACS version 4.1 pour deux raisons :

D’une part parce qu’elle réponde à notre exigence de pouvoir régénérer un certificat de chiffrement dans le protocole Radius nous-mêmes sans passer par une autorité de certification.

Et d’autre part, parce qu’elle est compatible avec notre matériel Cisco existant.

Nous avons choisi d’installer Cisco Secure sur le Contrôleur secondaire EGF_INF01 (http://172.22.17.245:2002) du domaine EGF_FR afin qu’il puisse avoir tous les accès aux bases de données d’Active Directory et de l’LDAP.Chaque utilisateur authentifié via l’Active Directory ou le LDAP sera automatiquement ajouté dans la base de données du serveur Radius.

R&T 2008/2009 Page 38 sur 79

Figure 7 - Serveur RADIUS 4.1

Le compte administrateur a tous les droits d’administration pour ce serveur. Un compte technicien a également été ajouté afin de gérer uniquement les groupes (exemple : 2008/2009) et les utilisateurs du serveur radius.La notification par mail est adressée à cchung@ccip.fr (administrateur réseaux du site EGF) via mailccip.ccip.fr (serveur mail du domaine ccip).

Pour la connexion au réseau Wifi Privé (EGF_Prive), nous allons créer un certificat d’authentification, sans ce certificat il nous sera impossible de se connecter au réseau Wifi privé.Pour créer ce certificat nous allons dans System Config - ACS certificate setup => generate self signed certificate.

Ce certificat doit être renouvelé chaque année à tous les postes se connectant en wifi privé(Généré le 24/02/09 et expirant le 24/02/2010).

R&T 2008/2009 Page 39 sur 79

Figure 8 - Création du certificat pour la connexion pour réseau EGF_Prive

En ce qui concerne la configuration réseau, nous ajoutons :- Du côté client, notre pare-feu EGF_FW1 (AAA CLIENTS) si le pare-feu EGF_FW1 n’est plus

disponible, la bascule se fera automatiquement sur EGF_FW2.- Du côté serveur nous ajoutons notre serveur contrôleur de domaine EGF_INF01 (AAA

Server).

Créations de nouveaux VLAN

La principale difficulté pour configurer la borne Cisco est de bien définir les VLAN utilisés à EGF et d’attribuer à chaque VLAN sa configuration de sécurité adaptée.

VLAN 183 : VLAN de gestion des équipements. VLAN 186 : Réseau WiFi privé. VLAN 187 : Réseau WiFi publique.

R&T 2008/2009 Page 40 sur 79

Attribution des VLANTableau 4 - VLAN

VLAN RESEAU

180 Réseau administratif

181 Réseau Pédagogique

182 Réseau DRIE

183 Réseau Administration des équipements

184 Réseau DMZ publique

185 Réseau admin FW

186 Réseau Wifi privé

187 Réseau Wifi publique

Raccordement des bornes et configuration des switchs

Une fois, la création de VLAN terminée et diffusée sur les switchs, nous branchons les 37 bornes sur les switchs de nos différents locaux techniques. Il ne nous reste plus qu’à appliquer la bonne configuration sur les bons ports.

Configuration pour les bornes Wifi

interface FastEthernet0/1switchport trunk encapsulation dot1qswitchport trunk native vlan 183switchport mode trunk 

Configuration pour la borne Management

interface FastEthernet0/24switchport access vlan 183switchport mode accessspeed 100duplex fullspanning-tree portfast Mise en place du serveur WLSE (Wireless Lan Solution Engine)

R&T 2008/2009 Page 41 sur 79

WLSE est une solution de gestion centralisée du réseau Wi-Fi Cisco. Elle permet à l’administrateur réseau :

De détecter, de localiser et de neutraliser rapidement et facilement les points d'accès non autorisés.

D’optimiser les performances en détectant et en localisant les interférences RF et en contrôlant de manière proactive l’utilisation et les défaillances du réseau.

De configurer et mettre à jour les bornes Wi-Fi (template).

Nous l’avons installé avec l’aide la société Telindus. L’outil WLSE a été installé sur un serveur Cisco. La version actuelle est 2.15.

Hostname : EGFWLSE DNS : 172.22.17.245 - 172.22.17.246Domain name : egf.ccip.fr Country Name: FRIp addess : 172.22.65.1 Common name : www.egf.ccip.frMask : 255.255.240.0 Email : cchung@ccip.frGateway : 172.22.64.1 Mail server : mailccip.ccip.fr 195.68.195.68

Configuration de la borne management

Nous allons maintenant nous occuper de la configuration de la borne Management, dans Express Setup nous lui donnons le nom APMGMTGRE02.Par défaut l’identifiant et le mot de passe pour accéder à la borne sont cisco et cisco, nous créons un compte local « admin ».Ensuite dans Server Manager, nous indiquons les différents paramètres de notre serveur RADIUS.

R&T 2008/2009 Page 42 sur 79

Figure 9 - Configuration du serveur manager sur la borne Management

Dans Wireless Services, nous activons les deux services WDS (Wireless Domain Service), WMN (Wireless Network Manager), nous créons deux groupes :

- Le groupe Infrastructure avec les paramètres suivants :

Figure 10 - WDS – groupe Infrastructure

- Le groupe client avec une priority 1 sur le serveur 172.22.17.245 avec le mode d’authentification client, nous cochons EAP, LEAP et nous appliquons pour tous les SSIDs.

R&T 2008/2009 Page 43 sur 79

Figure 11 - WDS – groupe client

Toujours dans Wireless Service, nous activons l’AP (Access Point) avec les paramètres suivants :

Figure 12 - Configuration AP

Pour finir dans l’onglet « Services » nous renseignons les paramètres pour le DNS, nous activons le service HTTPS pour accéder à la borne management via un accès web sécurisé (https://172.22.65.10) et le service telnet et SSH qui nous permettra de diffuser les template sur les bornes Wifi.

R&T 2008/2009 Page 44 sur 79

Figure 13 - Configuration du DNS

Figure 14 - Configuration accès HTTPS

Figure 15 - Configuration Telnet/SSH

R&T 2008/2009 Page 45 sur 79

Ajout de la borne management dans le serveur Radius

Après avoir redémarré la borne Wifi Management, nous allons l’ajouter en tant que client au sein du serveur radius.

Figure 16 - Evolution de la configuration réseau du serveur RADIUS

Configuration des bornes clientes

Nous allons maintenant faire une configuration basique des bornes Wifi clientesComme précédemment nous définissons un nom spécifique à chaque borne cliente par l’intermédiaire de l’express setup, un compte admin local. Nous activons également le service HTTPS pour accéder aux 37 bornes via un accès web sécurisé (https://172.22.65.11-47).Dans Network Interfaces, nous activons le service DHCP afin que chaque borne puisse récupérer l’adresse IP qui lui correspond (voir Référencement des bornes Wifi dans le DHCP).

Figure 17 - Activation du service DHCP

R&T 2008/2009 Page 46 sur 79

Dans Wireless Service, nous activons l’AP (Access Point) avec les paramètres suivants :

Figure 18 - Configuration AP

Dans l’onglet service nous activons le telnet et le SSH, cela nous permettra de pouvoir diffuser les template à partir du serveur WLSE

Figure 19 - Configuration Telnet/SSH

Il nous reste à activer un dernier paramètre, la communauté SNMP, qui permettra au serveur WLSE de visualiser toutes les bornes clientes (manage devices).

R&T 2008/2009 Page 47 sur 79

Figure 20 - Configuration service SNMP

Configuration du serveur WLSE

Nous allons tout d’abord configurer le service de communauté SNMP où nous définissons la plage d’adresse correspondante aux différentes bornes (management et clientes 172.22.65.[10-47]) ainsi que la version du protocole SNMP (ici, utilisateur du protocole SNMPv2c, pas besoin d’authentification).

Figure 21 - Configuration de la communauté SNMP

R&T 2008/2009 Page 48 sur 79

Nous allons ensuite activer le protocole Telnet/SSH qui nous servira à diffuser la configuration finale sur les bornes clientes

Figure 22 - Configuration Telnet/SSH

Nous configurons l’authentification via le WDS et nous activons le WNM

Figure 23 - Configuration authentification WDS

Visualisation de la borne management :

Figure 24 - Visualisation du domaine (WDS) et de la borne management

R&T 2008/2009 Page 49 sur 79

Visualisation de toutes les AP :

Figure 25 - Visualisation bornes

Configuration du site

Aller sur Devices – Group Management – Campus Site – et enfin créer sub group EGFCréer sub group (System group) pour les 4 étages du site et mettre les bornes dans chaque groupe

Figure 26 - Visualisation bornes

R&T 2008/2009 Page 50 sur 79

Mises à jour des plans scannés et les importer dans le site – location managerADD Site, Add Floor, Edit FloorPlacer dans le plan, toutes les AP (unspecified locations)

Figure 27 - Location Manager

Il est possible de créer des templates pour diffuser à tous les AP la même configuration.Par contre il faut au préalable préparer les bonnes versions du WLSE et les bornes AP. Sinon la configuration n’est pas basculée sur les bornes AP.A l’heure actuelle, le serveur doit passer de la version 2.15 vers 2.15.1 puis 2.15.2 pour pouvoir appliquer les templates sur les AP 1130.

R&T 2008/2009 Page 51 sur 79

Configuration du Firewall

Nous allons maintenant nous intéressé au raccordement du Wifi public et privé sur le Firewall.Au préalable nous avions déjà créé les VLAN 186 et 187 sur le cœur de réseau et les switchs Les câbles sont connectés sur le switch 172.22.64.25 sur les ports gi1/0/7 et gi2/0/7 puis sont directement raccordés à une interface de chaque FirewallOn applique cette configuration sur les deux interfaces :

switchport trunk encapsulation dot1qswitchport trunk allowed vlan 186,187switchport mode trunkspeed 100duplex fullspanning-tree portfast trunk

Une fois le raccordement terminé, nous devons créer les deux sous-interfaces eth5.186 et eth5.187 avec les ip suivantes 172.22.80.[2-3] et 172.22.80.[2-3]. Nous créons les interfaces VLAN sur le port 5 de chaque Firewall.Pour cela nous nous connectons via putty sur nos deux Firewall. Nous utilisons la commande “sysconfig” qui nous propose plusieurs choix, nous choisissons l’option « network connection » puis « add new connection » - eth5 - VLAN 186 puis 187.En même temps nous activons le relais DHCP (DHCP relay) pour nos deux interfaces eth5.186 et eth5.187.

Sur le SmartDashBoard nous entrons dans la topologie du Firewall EGF_FW et nos deux connexions sont détectées, il ne nous reste plus qu’à les renommer correctement.

Figure 28 - Interface EGF_Public

Figure 29 - Interface EGF_Prive

R&T 2008/2009 Page 52 sur 79

Dans le Dashboard, nous ajoutons les règles des utilisateurs wifi pour qu’ils puissent se connecter au serveur lotus, à internet et aux différents serveurs. Voici un exemple de quelques règles (voir annexe pour les toutes les règles du Firewall).

Figure 30 - Exemple de règle dans le Firewall

Configuration et activation du Wifi

Tous les équipements nécessaires sont configurés et prêts pour l’activation du Wifi public et privéNous nous connectons sur notre serveur WLSE et nous allons créer un template qui diffusera la configuration suivante sur toutes les bornes.

(Voir annexe)

Détection des réseaux Wifi

Nous lançons la détection des réseaux Wifi et nous détectons bien les réseaux Wifi public et privé.

Figure 31 - Réseaux Wifi EGF

Connexion au réseau Wifi public EGF_Public

Pour les comptes publics, il suffira d’aller sur le serveur Radius et de créer les comptes génériques. Pour les personnes qui ont un compte dans l’Active Directory, il suffira de cocher accès « appel entrant » du compte de l’utilisateur.

R&T 2008/2009 Page 53 sur 79

Figure 32 - Réseau Public EGF

En ouvrant le navigateur internet, les utilisateurs doivent rentrer leur login et mot de passe et ils peuvent accéder à internet.

Connexion au réseau Wifi privé EGF_Prive

La première fois, pour se connecter au Wifi Privé, il faudra installer le certificat généré par le serveur Radius, vérifier que la case « appel entrant » du compte utilisateur est bien cochée dans l’Active Directory et configurer les paramètres de la connexion :

Figure 33 - Configuration carte réseau

R&T 2008/2009 Page 54 sur 79

Figure 34 - Configuration carte réseau - Protocole EAP

Une fois la configuration terminée nous nous reconnectons à la connexion Wifi Privé et nous avons un message qu’il faut confirmer :

Figure 35 - Validation du certificat

On peut désormais travailler comme si l’ordinateur était câblé en filaire.

R&T 2008/2009 Page 55 sur 79

Test de couverture et puissance du signal

A l’aide d’un ordinateur portable, nous nous sommes déplacés dans tout le site EGF côté interne comme côté externe pour vérifier la couverture et la force du signal afin de pouvoir régler les bornes via le logiciel WLSE.

R&T 2008/2009 Page 56 sur 79

CHAPITRE V Conclusion

R&T 2008/2009 Page 57 sur 79

5.0 ConclusionBilan

Le projet Wifi à EGF est terminé. 37 bornes Wifi sur 4 étages ont été déployées et sont opérationnelles.

Nous avons fait les recherches nécessaires pour maîtriser la nouvelle technologie du réseau sans fil. Nous avons su également consulter et impliquer les compétences externes afin de minimiser les erreurs dans la phase de réalisation.

Nous avons réalisé nous-mêmes la politique de sécurité Wifi, les configurations du serveur RADIUS, du serveur WLSE, des bornes Cisco et du Firewall. Cela a eu un double avantage : maîtriser la technologie et réduire le coût du projet.

Les étudiants comme le personnel administratif peuvent se connecter au réseau Wifi de EGF avec leurs droits d’accès respectifs et travailler dans des conditions favorables. Le réseau Wifi a élargi les possibilités d’échanges entre les enseignants, le personnel administratif et les étudiants et les a libéré des contraintes liées aux salles libre-service.

Conclusion

L’intégration du Wifi à EGF a été pour nous un projet d’envergure sur le plan technique comme sur le plan humain.

La fiabilité du réseau Wifi a engendré une forte demande d’utilisation par les responsables et les utilisateurs nomades à EGF.

Sur le plan personnel et professionnel, ce projet est une des plus grandes réalisations auxquelles j’ai participé. J’ai appris à mieux gérer les contraintes et les imprévus d’un projet informatique. J’ai également acquis de nouvelles compétences grâce à mes recherches de solutions adaptées au projet.

Je pense personnellement que grâce à sa valeur ajoutée le Wifi aura un bel avenir dans les entreprises où la mobilité est nécessaire.

R&T 2008/2009 Page 58 sur 79

ANNEXES

Configuration détaillée du réseau sans fil de EGF :

Configuration des bornes Wi-Fi CISCO AIRONET 1130AG via le serveur WLSE   :

Création du template

Création d’un nouveau job

R&T 2008/2009 Page 59 sur 79

Activation des antennes de type G/N

R&T 2008/2009 Page 60 sur 79

Définition des paramètres pour le SSID EGF_Privé avec le protocole EAP et le protocole d’authentification WPA2 / TKIP

R&T 2008/2009 Page 61 sur 79

R&T 2008/2009 Page 62 sur 79

Définition des paramètres pour le SSID EGF_Public

R&T 2008/2009 Page 63 sur 79

Configuration du serveur Radius

Installation du serveur radius ACS 4.1 sur le serveur EGF_INF01 (172.22.17.245)http://172.22.17.245:2002

R&T 2008/2009 Page 64 sur 79

Le compte administrateur a tous les droits d’administration pour ce serveur. Un compte technicien a également été ajouté afin de gérer uniquement les groupes et les utilisateurs du serveur radius.

Configuration système :

Services Log File Configuration

Configuration du niveau de détail sur « Low » (seulement les actions de « start » et « stop » sont enregistrées)La génération du fichier de log s’effectue lorsqu’il atteint la taille de 10240 Ko (10 Mo).Le dossier de destination des fichiers de log est configuré pour garder seulement les 30 derniers fichiers générés.

R&T 2008/2009 Page 65 sur 79

Interface de configuration

Les options cochées sont disponibles, les autres restent cachées.

R&T 2008/2009 Page 66 sur 79

Configuration réseau

Du côté client nous ajoutons notre pare-feu EGF_FW1 => 172.22.16.1 (AAA CLIENTS) si le pare-feu EGF_FW1 n’est plus disponible, la bascule se fera automatiquement sur EGF_FW2 et notre borne management.

R&T 2008/2009 Page 67 sur 79

Standard Radius IETFShare secret : 8k2b8qs

Du côté serveur nous ajoutons notre serveur contrôleur de domaine EGF_INF01 => 172.22.17.245 (AAA Server)

R&T 2008/2009 Page 68 sur 79

Configuration des groupes d’utilisateurs

R&T 2008/2009 Page 69 sur 79

Gestion et configuration des groupes d’utilisateurs.

Le Group0 est le groupe par défaut (tout le monde qui n’est pas affecté à un groupe).Nous pourrons créer des groupes par année scolaire par exemple groupe 2008/2009 afin de gérer facilement les comptes utilisateurs pour l’accès au Wifi. Une fois l’année scolaire terminé il ne restera plus qu’à supprimer le groupe par exemple 2008/2009 et tous les comptes de l’année précédente seront supprimés et inutilisables.

User Setup : Permet de visionner la liste des utilisateurs et de les modifier une fois qu’ils ont été créés.

Gestion des bases externes

R&T 2008/2009 Page 70 sur 79

Aller dans External User Database pour gérer les bases de données Interne RADIUS et Externe : Dans notre cas les bases sont : Active Directory du domaine CCIP_FR et EGF_FR

System Config – Global Authentification Setup

R&T 2008/2009 Page 71 sur 79

Cocher Allow EAP-MSCHAPv2PEAP 120Enable Fast ReconnectLEAP Allow LEAP (for Aironet only)EAP-MD5 Allow EAP-MD5Timeout : 120 secondsAllow MS-CHAP Version 1 AuthentificationAllow MS-CHAP Version 2 Authentification

R&T 2008/2009 Page 72 sur 79

Configuration du Firewall CheckPoint

Configuration des règles dans le Firewall

Le réseau wifi public et privé à l’autorisation d’accéder aux contrôleurs de domaines (EGF_inf01 & EGF_inf02) pour le protocole DNS

Le réseau wifi privé à l’autorisation d’accéder aux contrôleurs de domaines (EGF_inf01 & EGF_inf02) pour pouvoir s’authentifier.

Le réseau wifi privé à l’autorisation d’accéder au serveur ADE via les ports utilisés par l’application (port TCP 3402 et1099)

Le réseau wifi privé à l’autorisation d’accéder aux serveurs EGFS01, EGFS02 et WOPR par le port 80

R&T 2008/2009 Page 73 sur 79

Le réseau wifi privé à l’autorisation d’accéder aux serveurs GHOST afin de récupérer les mises à jour de notre anti-virus et anti-spyware VirusScan, installé sur le serveur GHOST

Le réseau wifi privé à l’autorisation d’accéder au serveur de fichiers EGF_fic01 de l’école.

Le réseau wifi privé à l’autorisation d’accéder à l’application Ymag (port Ymag TCP 3050)

Le réseau wifi privé à l’autorisation de faire du HTTP/HTTPS/FTP

Le réseau wifi public à l’autorisation de faire du HTTP/HTTPS/FTP/POP

Le réseau wifi privé à l’autorisation d’envoyer des mails sur le serveur mailccip.ccip.fr

Le réseau wifi privé à l’autorisation de consulter les mails via le client Lotus (port TCP 1352)

R&T 2008/2009 Page 74 sur 79

Différents protocoles de sécurité

SOLUTION 1 : PROTOCOLE WEP

Normalisation Normalisé en 1999 par IEEEMéthode d’authentification L’authentification ouverte : sans protection

L’authentification partagée : La borne et le client partagent la même clé de chiffrement pour s’authentifier mutuellement.

La clé WEP est installée sur la station.Méthode de chiffrement du message

Algorithme de chiffrement : RC4 pour assurer la confidentialité. CRC-32 pour assurer l'intégrité.

Le contrôle d'intégrité est donc réalisé par calcul d'une somme CRC32 sur les données du message. Cette somme sera placée à la suite des données, l'ensemble étant par la suite chiffré. Ce chiffrement est assuré par RC4.

FonctionnementEn mode authentification partagée : L'authentification est réalisée par la borne Wi-Fi par l’envoi d’un challenge aléatoire de 128 bits à partir duquel la station désireuse de s'associer devra construire une trame de réponse avec sa clé WEP. L'AP vérifie le bon déchiffrement de cette trame si tout est conforme, il autorise l’accès.

Vulnérabilités Faiblesse de la construction de clé de l’algorithme RC4Réutilisation de la suite chiffrante (keystream reuse)Le contrôle d’intégrité CRC-32 perfectible.Injection de faux paquets. Ses faiblesses ont été exploitées pour casser sa clé WEP.

SOLUTION 2 : PROTOCOLE WPA/WPA2

R&T 2008/2009 Page 75 sur 79

Normalisation Normalisé en 2004 par IEEEMéthode d’authentification La borne et le client utilisent les méthodes 802.1X et l’EAP pour

s’authentifier.Le client doit installer le certificat d’authentification.

Méthode de chiffrement du message Les protocoles de confidentialité (TKIP, CCMP) pour assurer le

chiffrement des messages. Le Contrôle d'Intégrité de Message (MIC, AES) pour assurer l'intégrité des messages.

Fonctionnement La station et la borne s’accordent une politique de sécurité à utiliser :

Les méthodes d’authentification (802.1X, EAP/TLS, certificat)

Le protocole de chiffrement du message (TKIP, CCMP MIC, EAS)

Les deux poignées de main (handshake) pour dériver les clés secrètes chiffrées.

vulnérabilités l’utilisation de « passphrases » trop simples qui pourrait être déchiffrées

AVANTAGES ET INCONVÉNIENTS DU WEP ET WPA/WPA2

R&T 2008/2009 Page 76 sur 79

COMPARAISON SOLUTION 1 : WEP SOLUTION 2 : WPA/WPA2

Avantages Simplicité Sécurité relative

Chiffrement robuste. Authentification performante avec

l’ensemble des dispositifs: EAP/TLS, certificat et serveur RADIUS.

Gestion efficace des clés secrètes. La réutilisation des paquets avec

des Vecteur d’Initialisation uniques est impossible.

Risque d’attaque très faible. Administration centralisée.

Inconvénients Déchiffrement à la volée,

Modification des clefs Récupération de la

clef WEP

Besoin d’un serveur d’authentification.

Déploiement des certificats.

R&T 2008/2009 Page 77 sur 79

Glossaire

• AP – Access Point, station de base pour un réseau Wi-Fi (appelé aussi point d'accès ou borne) interconnectant les clients sans fil entre eux ainsi qu'au réseau filaire.

• ARP – Address Resolution Protocol, protocole faisant la correspondance entre adresse IP et adresse MAC.

• BSSID – Basic Service Set Identifier, adresse MAC du point d'accès.• CCMP – Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol, protocole

de chiffrement utilisé dans WPA2 basé sur l'algorithme de chiffrement par bloc AES.• EAP – Extensible Authentication Protocol, cadre de travail pour des méthodes d'authentification

variées.• EAPOL – EAP Over LAN, protocole utilisé dans les réseaux sans fil pour le transport d'EAP.• PSK – Pre-Shared Key, clé dérivée d'un mot de passe, remplaçant la PMK normalement issue

d'un vrai serveur d'authentification.• SSID – Service Set Identifier, identifiant du réseau sans fil (identique à l'ESSID).• Template (Cisco)• TKIP – Temporal Key Integrity Protocol, protocole de chiffrement utilisé dans le WPA, basé sur

l'algorithme de chiffement RC4 (comme le WEP).• TMK – Temporary MIC Key, clé pour l'authenticité des données du trafic à destination d'une

machine (unicast) (utilisé dans TKIP).• WDS – Wireless Distribution System désigne un système permettant l'interconnexion de

plusieurs points d'accès sans fil. Il désigne également interconnexion sans fil entre les points d'accès Wi-Fi.

• WEP – Wired Equivalent Privacy, protocole de chiffrement par défaut des réseaux sans fil de type 802.11.

• WPA – Wireless Protected Access, implémentation d'une pré-version de la norme 802.11i basée sur le protocole de chiffrement TKIP.

• WNM – Wireless Network Manager,• WRAP – Wireless Robust Authenticated Protocol, ancien protocole de chiffrement utilisé dans le

WPA2.

R&T 2008/2009 Page 78 sur 79

Bibliographie

Dans cette annexe, j’ai référencé les différents sites qui m’ont été utiles pour réaliser ce projet

http://www.labo-cisco.com/Ce site offre une excellente qualité d’information technique liée au matériel Cisco.

http://www.cisco.com/Site officiel du fabriquant Cisco

Les autres sites :http://www.guideinformatique.com/http://www.i-cosoft.com/http://solutions.journaldunet.com/http://fr.wikipedia.org/wiki/Wi-Fihttp://www.wireless-fr.org/spip/

R&T 2008/2009 Page 79 sur 79