Mise en place d’une sécurisation wifi sous Windows serveur

Les risques liés aux réseaux sans fil

Le manque de sécurité : Les ondes radioélectriques ont une grande capacité à se propager dans toutes les directions avec une portée relativement grande. Il est difficile de confiner les émissions radio dans un périmètre restreint. La principale conséquence de cette propagation des ondes entraîne la facilité pour une personne non autorisée d’écouter le réseau.
Le war-driving : Etant donné qu’il est facile d’écouter des réseaux sans fil, une pratique venue tout droit des Etats-Unis consiste à circuler dans la ville avec un ordinateur portable ou un assistant personnel équipé de carte réseau sans fil à la recherche de réseaux sans fil. Cette pratique s’appelle le war-driving parfois noté war-driving ou war-xing pour war-crossing.

Les risques liés à la mauvaise protection d’un réseau sans fil

L’interception des données : Par défaut un réseau sans fil est non sécurisé, c’est à dire qu’il est ouvert à tous et que toute personne se trouvant dans le rayon de portée peut potentiellement écouter toutes les communications circulant sur le réseau.
L’intrusion réseau : Un réseau sans fil non sécurisé représente pour le pirate un point d’entré facile au réseau. Le pirate pourra voler ou détruire les informations présentes sur le réseau, avoir accès à Internet gratuitement et ainsi mener des attaques sur Internet.
Le brouillage radio : Les ondes radios sont très sensibles aux interférences, c’est la raison pour laquelle un signal peut facilement être brouillé par une émission radio ayant une fréquence proche de celle utilisée dans le réseau sans fil. Un four à micro-ondes peut ainsi rendre inopérable un réseau sans fil lorsqu’il fonctionne dans le rayon d’action d’un point d’accès.
Le déni de service : Il s’agit d’envoyer des informations de telle manière à perturber le bon fonctionnement du réseau sans fil, c’est ce que l’on appelle un déni de service.

Sécurité d’un réseau sans fil

Une infrastructure adaptée : Lors de la mise en place d’un réseau sans fil, la première chose à faire consiste à positionner intelligemment les points d’accès selon la zone que l’on souhaite couvrir. Il n’est pas rare que la zone couverte soit largement plus grande que souhaitée. Il est possible de réduire la puissance de la borne d’accès afin d’adapter sa portée à la zone à couvrir.
Valeurs par défaut : Les paramètres par défaut sont tels que la sécurité est minimale. Il est donc impératif de se connecter à l’interface d’administration pour y définir un mot de passe d’administration. D’autre part, il est conseillé de modifier le nom du réseau par défaut et de désactiver la diffusion (broadcast) de ce dernier sur le réseau, afin d’éviter de donner au pirate des éléments d’information sur la marque ou le modèle du point d’accès utilisé.
WEP (Wired Equivalent Privacy) : Le cryptage WEP utilise une clé de 64 ou 128 bits, que l’on doit à la fois paramétrer sur le point d’accès et sur les machines clientes. Cette clé est identique pour tous les utilisateurs d’un même point d’accès, et est fixe. Tant que l’administrateur n’établit pas une autre clé, elle est conservée et utilisée.
La clé est composée des 24 bits du Vecteur d’Initialisation (IV), les bits restants étant la clé de cryptage à proprement parler. L’IV d’un paquet correspond en quelque sorte à son numéro, qui varie donc de manière régulière. Au final, le cryptage se fait sur 40 ou 104 bits seulement.
Faiblesses – Inconvénients : Le WEP a de nombreuses faiblesses :
La clé de cryptage étant fixe, si elle n’est pas modifiée régulièrement sur le point d’accès et les machines clientes, un pirate a tout le temps qu’il souhaite pour essayer de la trouver.
Les IVs sont réutilisables sans contrainte : votre ordinateur peut renvoyer des milliers de paquets avec le même IV sans que cela ne pose de problèmes, le point d’accès répondant en incrémentant normalement son numéro d’IV.
Il n’y a pas d’authentification auprès du point d’accès, donc une personne non autorisée mais connaissant la clé de cryptage pourrait s’y connecter.
Utilisation : Tout d’abord, l’utilisation du cryptage WEP avec une clé de 64 bits est déconseillée : elle est vraiment trop facile à déchiffrer.
De plus, l’utilisation du WEP est à proscrire en entreprise puisque, quelle que la taille de la clé, le niveau de cryptage est vraiment trop faible pour des données sensibles.
Le particulier pourra, quant à lui, l’utiliser pour sécuriser au minimum sa connexion en déployant une clé codée sur 128 bits, qu’il veillera à modifier régulièrement pour assurer la sécurité présente et future. WPA (Wireless Private Access) : Le cryptage WPA est une évolution du WEP visant à combler les lacunes de celui-ci. Tout d’abord, la clé de cryptage est codée sur 128 bits et est rendue fortement variable grâce à l’utilisation du protocole TKIP (Temporal Key Integrity Protocol). Il utilise une fonction mathématique qui permet de modifier la clé de cryptage de manière non prévisible. La découverte d’une des clés à un instant précis ne compromet donc pas la sécurité des transmissions ultérieures.
Le protocole TKIP est combiné avec un code d’intégrité de message MIC (Message Integrity Code): l’émetteur calcule ce code et l’intègre au paquet envoyé, le récepteur calcule lui aussi ce code et le compare à la valeur reçue. Une différence indique un paquet non valide, qui est ignoré.
De plus, le Vecteur d’Initialisation (IV) qui est à présent codé sur 48 bits, est crypté et n’est pas réutilisable tant que la clé de cryptage n’a pas changé. Autre point fort, le WPA utilise un contrôle d’accès par authentification. La machine cliente doit s’identifier auprès du point d’accès avant de pouvoir transférer des données au sein du réseau. Le fait de connaître la clé de cryptage ne donne donc pas accès au réseau.
Deux méthodes d’authentification peuvent être utilisées avec le WPA :
La première est destinée aux particuliers ainsi qu’aux petites entreprises, il s’agit du WPA-PSK (Pre Shared Key).
L’autre, le WPA-EAP (Extensible Authentication Protocol), est destinée aux entreprises de plus grande taille. Voyons leurs spécificités : Comme indiqué précédemment, le WPA-PSK, avec une authentification à clé pré-partagée, est destiné aux particuliers ainsi qu’aux petites entreprises. Le principe est le suivant : la clé pré-partagée est paramétrée sur le point d’accès et sur les machines clientes. La machine cliente souhaitant se connecter envoie sa clé au point d’accès. Si les deux correspondent, l’accès est autorisé : la clé pré-partagée servira à déterminer la première clé de cryptage à utiliser, et ne sera utilisée que pour l’authentification.
Le WPA-EAP est quant à lui destiné à de plus grosses structures, car il nécessite plus de matériel. En effet, lorsqu’une machine cliente tente de se connecter, le point d’accès la met en relation avec un serveur d’authentification, qui est souvent un serveur RADIUS (Remote Authentication Dial-In User).
Le serveur s’identifie lui-même auprès de la machine, qui envoie alors ses informations d’authentification (login + mot de passe, empreinte digitale, carte à puce Une fois l’authentification acceptée par le serveur RADIUS, une clé de cryptage est générée et transmise au point d’accès et à la machine cliente.
Ce système permet ainsi d’avoir une clé de cryptage différente à chaque session, pour chaque machine, à n’importe quel moment, ce qui garantit une sécurité élevée en tout point.
Faiblesses – Inconvénients : Il faut savoir que l’utilisation du WPA engendre une légère baisse de débit du réseau sans fil par rapport à l’utilisation du WEP. Comme il y a plus d’informations à transmettre (MIC), et vu que le cryptage est plus compliqué, il faut plus de temps au matériel pour crypter/décrypter les données.
Il y a aussi une légère faiblesse du WPA-PSK dans la mesure où il n’existe qu’une seule et unique clé pour l’authentification de toutes les machines. La phase d’authentification est donc critique, car elle pourrait permettre de découvrir la clé pré-partagée. Mais vu que la clé n’est transmise que pour l’authentification, les risques sont réduits, et le WPA-PSK reste très sécurisé.
Utilisation : Le WPA de type PSK est donc suffisamment sécurisé pour l’utiliser chez soi, ainsi que dans les petites structures. Mais il faut veiller à utiliser une clé pré-partagée forte : elle doit contenir tout type de caractères dont les caractères spéciaux. Ces caractères ne doivent surtout pas former un mot existant dans les langues courantes, pour éviter toute attaque de type dictionnaire.

WPA2 (Wireless Private Access)

Le WPA2 est une évolution du WPA. Il se décline lui aussi selon les deux méthodes d’authentification, WPA2-PSK et WPA2-EAP. La principale différence avec le WPA est le protocole de cryptage utilisé : l’AES (Advanced Encryption Standard), qui remplace le protocole TKIP. Le principe reste le même, sauf que les clés de cryptage vont de 128 à 256 bits, garantissant une sécurité hors du commun.
En effet, le WPA2-EAP est validé pour une utilisation au sein des administrations gouvernementales, preuve de son efficacité.
Faiblesses – Inconvénients : Le WPA2 n’a pas vraiment de faiblesses, hormis l’utilisation d’une clé pré-partagée pour l’authentification avec WPA2-PSK, mais cela ne nuit que peut à sa sécurité. Toutefois, le WPA2 nécessite presque toujours le remplacement du matériel utilisé avec les cryptages WEP ou WPA, son seul inconvénient, car il représente un lourd investissement. Utilisation : Le WPA2 offre actuellement la meilleure solution de sécurisation des réseaux sans fil. L’utilisation du WPA2-PSK et du WPA2-EAP est la même que pour le WPA.
Le WPA2-PSK est recommandé pour une utilisation à petite échelle, alors que le WPA2-EAP peut être utilisé partout, principalement à grande échelle.

Présentation Radius

Un serveur RADIUS (Remote Access Dial-In User Service) est souvent utilisé pour centraliser l’authentification, l’autorisation et la gestion des comptes pour les connexions d’accès à distance. Il utilise le protocole RADIUS pour échanger avec le client RADIUS.
Fonctionnement de l’identification : Le poste utilisateur (supplicant dans les RFC) transmet une requête d’accès à un client RADIUS pour entrer sur le réseau. Ce client se charge de demander les informations identifiant l’utilisateur : le nom d’utilisateur (login) et le mot de passe par exemple.
Le client RADIUS génère selon le protocole une requête Access-Request contenant les informations d’authentification. Le serveur RADIUS peut traiter lui-même cette requête ou la transmettre à un autre serveur RADIUS par un mécanisme appelé Proxy Radius. Le serveur Radius chargé de l’identification finale (appelé Home Radius) peut traiter la demande s’il dispose de suffisamment d’éléments dans l’Access-Request ou demander des informations supplémentaires par un renvoi de paquet Access Challenge, auquel le client répondra par un autre Access-Request, et ainsi de suite. Les échanges sont retransmis par la chaîne de serveurs Radius proxy intermédiaires dans un sens et dans l’autre.
Quand le serveur Radius dispose de suffisamment d’éléments (jusqu’à une douzaine d’échanges pour les protocoles complexes de type EAP) le serveur RADIUS valide ou refuse l’identification en renvoyant un paquet de type : Access-Accept ou Access-Reject.
Protocoles de mot de passe : RADIUS connaît nativement deux protocoles de mot de passe : PAP (échange en clair du nom et du mot de passe), et CHAP (échange basé sur un hachage de part et d’autre avec échange seulement du « challenge »). Le protocole prévoit deux attributs séparés : User-Password et CHAP-Password.
Depuis, se sont greffées les variations Microsoft: MS-CHAP et MS-CHAP-V2; leur similarité avec CHAP permet de les transporter en RADIUS de la même façon, à l’initiative du serveur et sous réserve de possibilité de transport de bout en bout du supplicant au client Radius, du client au serveur Radius et enfin du serveur Radius à la base de données d’identification.
C’est sur cette dernière étape que souvent le bât blesse : rien n’est prévu par exemple en LDAP pour transporter le challenge ni les étapes spécifiques de MS-CHAP ou MS-CHAP-V2 qui, du coup, se terminent exclusivement sur des bases d’identification Microsoft locales pour le serveur Radius. Autorisation : L’identification RADIUS peut être enrichie d’une autorisation, par exemple pour un client de fournisseur d’accès son adresse IP, son temps de connexion maximal, son temps d’inactivité. Tous ces paramètres sont définis par des attributs du paquet dans les RFC, en l’occurrence pour cet exemple l’attribut 8, plus connu sous son nom « convivial » Framed-IP-Address, bien que le protocole ne connaisse en fait que les numéros, et les attributs Session-Timeout et Idle-Timeout. Les attributs standards sont définis dans les RFC, les attributs spécifiques d’un fournisseur ou VSA (Vendor Specific Attributes) sont multiplexés dans l’attribut 26 : chaque fournisseur se voit attribuer un numéro unique permettant de l’identifier, un octet de cet attribut définit un numéro de VSA, ce qui permet à chaque fournisseur de définir jusqu’à 255 attributs spécifiques pour son matériel. Le serveur Radius s’adapte à ces « dialectes » par des dictionnaires d’attributs…
Comptabilisation (accounting) : La deuxième fonction d’un serveur Radius est l’accounting (ou comptabilisation) assurant à la fois la journalisation des accès et la facturation. Définie par des RFC différents, gérée sur des ports UDP différents (1646 ou 1813 pour les plus courants alors que l’identification est faite sur les ports 1645 ou 1812), cette fonction est souvent assurée par un programme ou même un serveur différent.

Table des matières

Introduction Générale 
Première Partie : Cadre de référence et Problématique 
I.1. Cadre de référence 
I.1.1. UCAD / FST
I.1.2. Master TDSI
I.2. Problématique
Deuxième Partie : Présentation des technologies sans fil
II.1. Applications du WLAN
II.1.1. Les risques liés aux réseaux sans fil
II.1.2. Les risques liés à la mauvaise protection d’un réseau sans fil
II.2. Sécurité d’un réseau sans fil
II.2.1. Une infrastructure adaptée
II.2.2. Valeurs par défaut
II.2.3. WEP (Wired Equivalent Privacy)
II.2.4. WPA (Wifi Protected Access)
II.2.5. WPA2 (Wifi ProtectedAccess 2)
II.2.6. Le filtrage par adresse MAC
II.3. Le protocole EAP
II.3.1 Présentation
II.3.2. Prise en charge dans les différentes versions de Windows
II.3.3. PEAP
II.3.4. Méthodes EAP pour différents types d’accès réseau.
II.4. Présentation Radius
II.4.1. Principe de fonctionnement
II.4.2. Extension
Troisième Partie: Mise en œuvre d’une sécurisation d’un wifi sous Windows serveur 2008
III.1. Etapes de configuration du serveur
III.2. Configuration de la borne d’accès TP-LINK
III.3. Configuration du poste client
Conclusion 
WEBOGRAPHIE

Télécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *