Cour Cool Wifi

53
INST I TUT DE LA FRANCOPHONIE POUR L’ INFORMATIQUE TPE : CONNECTIVI TE ET S EC UR ITE DES R ESEAUX SA NS FILS RAPPORT FIN AL Réaliser par: Ewelle Ewelle Richard Encadré par: M.  Nguyen Hong Quang Hanoï, Juillet   2009

Transcript of Cour Cool Wifi

Page 1: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 1/53

INSTITUT DE LA FRANCOPHONIE POUR L’INFORMATIQUE

TPE : CONNECTIVITE ET SECURITEDES RESEAUX SANS FILS

RAPPORT FINAL

Réaliser par:

Ewelle Ewelle Richard

Encadré par:

M. Nguyen Hong Quang

Hanoï, Juillet – 2009

Page 2: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 2/53

Table des matières 

I.  INTRODUCTION ................................................................................................................ 4 1.1.  Contexte du travail ...................................................................................................................................................... 4 1.2.  Objectif .......................................................................................................................................................................... 4 1.3.  Aperçut du document ................................................................................................................................................. 4 PARTIE I : TRAVAIL THEORIQUE ......................................................................................... 5 I.  RESEAUX SANS FILS : CONNECTIVITE ET SECURITE........ ......... ........ ....... ........ ......... . 5 1.1.  Problème de connectivité .......................................................................................................................................... 5 1.2.  Fail les de sécur ité ........................................................................................................................................................ 7 II.  CAS DU RESEAU DE L’IFI .............................................................................................. 8 2.1.  Déploiement ................................................................................................................................................................. 9 2.2.  Sécurité .......................................................................................................................................................................... 9 III.  ETAT DE L’ART ........................................................................................................... 10 3.1.  Connectivité ................................................................................................................................................................10 3.2.  Evolut ion de la sécurité des réseaux sans fils .....................................................................................................12 IV.  SOLUTIONS PROPOSEES ........................................................................................... 14 4.1.  Connectivité des réseaux sans fils .........................................................................................................................14 4.2.  Sécurité ........................................................................................................................................................................15 PARTIE II : REALISATION PRATIQUE ............................................................................... 18 CHAPITRE I : CONNECTIVITE DES RESEAUX SANS FILS ........ ........ ......... ....... ........ ........ 18 V.  SIMULATIONS ............................................................................................................. 19 5.1.  Description des outils de simulation .....................................................................................................................19 5.2.  Simulations des scen arios [05] ...............................................................................................................................20 VI.  MODELE POUR LE RESEAU DE L’IFI........................................................................ 25 6.1.  Analyse du site ...........................................................................................................................................................25 6.2.  Modélisation du déplo iem ent ................................................................................................................................28 

Page 3: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 3/53

6.3.  Modélisation du rez-de-chaussée ..........................................................................................................................29 6.4.  Modélisation du premier niveau [02] ...................................................................................................................30 6.5.  Modélisation du deuxième nive au ........................................................................................................................32 6.6.  Synthèse ......................................................................................................................................................................32 CHAPITRE II : SECURITE ..................................................................................................... 32 I.  MODELE DE SECURITE ................................................................................................. 32 1.1.  Stratégie d’identification et d’authentification ..................................................................................................32  1.2.  Stratégie d’accès interne .........................................................................................................................................33  1.3.  Architecture d’authentification générale .............................................................................................................34  II.  IMPLEMENTATION ET CONFIGURATION .............................................................. 35 2.1.  Installation de Freeradius avec EAP-TLS + MySQL [23] .....................................................................................36  2.2.  Installation de Freeradius avec EAP-TLS (Sans MySQL).....................................................................................38  2.3.  Installation de MySQL et base de données radius .............................................................................................41 2.4.  Configur ation du NAS ...............................................................................................................................................43 2.5.  Insta llation de Chil lispot (P ortail capti f) [24] ......................................................................................................43 2.6.  Insta llation et confi guration de Di alupAdm in [25] ............................................................................................46 2.7.  Configur ation du Commutateur .............................................................................................................................48 PARTIE III : PERSPECTIVES ET CONCLUSION ........ ........ ........ ........ ........ ........ ........ ........ . 49 I.  CONNECTIVITE : ROAMING ......................................................................................... 49  II.  SECURITE ..................................................................................................................... 50 1.1.  Annuaire LDAP (Lightweight Directory Access Protocol) ..................................................................................50 1.2.  Tunnel VPN .................................................................................................................................................................50 III.  CONCLUSION ............................................................................................................... 51 IV.  REFERENCES ............................................................................................................... 52 

Page 4: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 4/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

4 Réalisé par Richard Ewelle, Promotion 14, IFI

I.  INTRODUCTION

Ce document constitue le rapport final du TPE qui portait sur la connectivité et lasécurité des réseaux sans fils. Après 9 mois de rechercher et de travail dans le domaine desréseaux sans fils, il est question ici de rapporter l’ensemble des travaux effectués, de diffuser 

les résultats ainsi que l’expérience acquise pendant la réalisation de ce projet. 

1.1. Contexte du travail

Un réseau sans fil est un réseau qui n'a pas besoin d'infrastructure filaire pour fonctionner offrant ainsi une très grande portabilité et mobilité aux utilisateurs. La mobilité enmatière de communication étant devenue un besoin très partagé dans de nombreux pays dumonde entier, les réseaux sans fils sont par conséquent les réseaux les plus célèbres et les plusutilisés de nos jours. Mais ces facteurs positifs cachent d’autres facteurs négatifs quin’existent pas ou très peu dans les réseaux filaires : Non seulement la sécurité du systèmen'est pas toujours garantie mais aussi et surtout, il est difficile d’assurer une connectivité

 permanente à toutes les machines du réseau. L’accessibilité du média sans fils et la facilitéd’installation et d’utilisation de ce type de réseau le rend ent particulièrement vulnérable. De

 plus l’espace étant couvert de p lusieurs autres ondes émises par d’autres appareils (bruits) iln’est pas toujours évident de prédire de façon objective la puissance du signal chez tel ou telmachine cliente. D’où la difficulté d’avoir une performance et une couverture optimale.

1.2. Objectif 

Dans ce vaste monde des réseaux sans fils, mon travail en ce que concerne le TPE estd’étudier les problèmes de connectivité et de sécurité rencontrés dans les réseaux sans fils, etde proposer des solutions existantes ou pas permettant dans un premier temps de garantir à la

mesure du possible une connectivité permanente aux utilisateurs et dans un deuxième tempsd’assurer un niveau de sécurité acceptable pour un réseau d’entreprise ou de campus . Car ilest clair que la sécurité absolue n’existe pas. Il sera ensuite question de faire, une étude de cassur le réseau sans fil de l´IFI afin de trouver une solution pour améliorer la connectivité et lasécurité de ce réseau.

1.3.  Aperçut du doc ument 

Afin de diffuser tout le travail effectué, ce rapport est constitué de plusieurs chapitres:Tout d’abord je commencerai par la partie théorique, et dans cette partie, je vais faire un bref aperçu des notions importantes dans les réseaux sans fils, ensuite dans l’état de l’art je vous

 présenterai ce qui est fait actuellement en connectivité et en sécurité et a partir de cela je feraides propositions ou des recommandations pouvant permettre d’améliorer la connectivité et leniveau de sécurité d’un réseau sans fils.  

Pour la partie pratique, je commencerai par la connectivité ; et ici après avoir biensélectionné les scénarios mettant en évidence les considérations en termes de puissance designal, de débit de transmission et l’influence du bruit ambiant sur la qualité du signal,

 j’analyserai ces résultats et fournirai pour le cas du réseau de l’IFI, une proposit ion dedéploiement. En ce qui concerne la sécurité après avoir défini une politique de sécuritéacceptable  basé sur l’authentification et l’autorisation centralisé à un serveur d’authentification radius, nous allons tout simplement la mettre en œuvre . Avant de conclure,

 j’identifierai quelques perspectives qui seront des idées que je n’ai pas eu le temps ou lesmoyens d’implémenter mais qui sont également important pour la suite de ces travaux.  

Page 5: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 5/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

5 Réalisé par Richard Ewelle, Promotion 14, IFI

PARTIE I : TRAVAIL THEORIQUE

I.  RESEAUX SANS FILS : CONNECTIVITE ET SECURITE

Les réseaux sans fils utilisent les radiofréquences reposant sur les ondes hertziennes pour établir une liaison entre deux équipements mobiles. L’IEEE à adopté le standard 802.11spécifiant les méthodes d’accès au médium permettant la liaiso n physique. Ce standard

 possède plusieurs extensions qui définissent les débits théoriques des connexions:  La 802.11a qui émet à 54Mbps en utilisant la bande de fréquence 5 GHz,  La 802.11b qui émet à 11Mbps en utilisant la bande de fréquence 2,4 GHz et  La 802.11g émet à 54Mbps en utilisant la bande de fréquence 2,4 GHz.La norme 802.11g par les différents avantages qu’elle offre est de loin la plus utilisée. En

effet elle permet une performance comparable à celle de la 802.11a tout en restant compatibleaux équipements en 802.11b. Sa bande de transmission (2,4 GHz) est divisée en 11 ou 13canaux qui permettent d'éviter les interférences lors du déploiement de plusieurs pointsd'accès sur une même zone et sur la même bande.

L'architecture générique d'un réseau sans fil en mode infrastructure est d'avoir un pointd'accès balayant une zone avec des machines clientes disposant une carte d'interface sans filavec un standard compatible avec celui du point d'accès. Suivant le site géographique et letype de réseau sans fils que l'on désire mettre en place, la configuration des points d'accès

 peut être facile ou difficile. Devant le succès fulgurant des réseaux sans fils, il est primordialede fournir un réseau sans fils de haute disponibilité capable de répondre aux attentes de sesutilisateurs habitués aux performances des réseaux filaires, ceci sans sacrifier ni la sécurité, nila mobilité, ni le contrôle du réseau, tout en garantissant le coût d'acquisition total le plus bas

 possible. D'où il est important de savoir comment déployer, exploiter et gérer plusieurs

 points d'accès dans une zone plus ou moins étendue dans l’ objectif d'assurer un certainniveau de sécurité, d’évolutivité, de fiabilité et de gestion identiques à ceux des réseaux LAN filaires.

1.1. Problème de connectivité

La première partie de ce TPE est consacrée aux problèmes de connectivité dans lesréseaux sans fils. En effet, les réseaux sans fils tout comme les autres appareils utilisant lesondes pour le transport des informations sont sujets à de différentes perturbations. Ces

 perturbations peuvent se limiter à causer une connexion intermittente, ou dans le pire des casune absence totale de connexion. D’où il est très important de savoir comment déployer son

réseau sans fil car les choix déploiement conditionnent la performance et la connectivité duréseau. Il existe plusieurs facteurs pouvant causer une perte de connectivité :

1.1.1. Couverture radio  Une condition nécessaire pour l’association et la connexion à un point d’accès est de

se situer dans la zone arrosée par ce point d’accès. D’où la distance entre le point d’accès et lamachine cliente doivent être pris en compte dans le déploiement d’un résea u sans fils. En plusde la distance il faut également diminuer le nombre ou la densité des obstacles entre ces deuxéquipements et veiller au bon placement des antennes des points d’accès. Voici un exemplequi illustre bien cette situation. [13]

Page 6: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 6/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

6 Réalisé par Richard Ewelle, Promotion 14, IFI

Figure 1: Problème de co uver tur e  

Dans le premier cas, la machine est en dehors des zones de couverture des deux pointsd’accès, par conséquent ne peut pas se connecter. Il faudra donc diminuer la distance entre lePC et le point d’accès et prévoir les zones de chevauchement entre les points d’accès. Dans ledeuxième cas, l’orientation de l’antenne diminue la zone de couverture, d’où pour avoir une

 bonne couverture il faut savoir où placer le point d’accès et comment orienter ses antennes.  

1.1.2. Interférence

La majorité des WLAN opèrent dans la bande de fréquence à 2.4 GHz avec unmaximum de 14 canaux. Chacun de ces canaux occupe 22 MHz et le signal est plus fort

quand l’on se situe au centre du canal. Dans le schéma qui suit, on peut observer  que si l’onchoisit deux canaux très proches (1 et 2) pour deux points d’accès dont les zones sechevauchent, il ya des interférences. Et ce cas est l’un des pire car ici le chevauchement esttrès proche du centre du canal ce qui provoque des interférences plus importants. [13]

Fig ur e 2: Prob lème d'i nt erféren ce  

Problème Solution

Page 7: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 7/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

7 Réalisé par Richard Ewelle, Promotion 14, IFI

D’où le choix des canaux pour les points d’accès est très important.  C’est d’ailleurs la

raison pour laquelle il est conseillé de toujours faire une étude du site avant tout déploiementde réseau sans fils.

1.1.3. Atténuation du signal

Dans un environnement Indoor, (environnement clos avec la présence des murs, des tableset d'autres objets pouvant être des obstacles à la trajectoire des ondes), la propagation desondes est plus complexe que pour des environnements ouverts qui présentent peu d’obstacles.En effet, la présence d’obstacles rend d’une part le trajet des ondes radio plus complexe car les réflexions et réfractions sont plus nombreuses, et d’autre part la diffraction survient plus

fréquemment. De plus, la multitude des chemins empruntés par les ondes issues d’un émetteur a pour conséquence d’élargir la réponse impulsionnelle du canal radio. De ce fait, il n’est plus

 possible de modéliser la propagation des ondes par une simple fonction de la distance entrel’émetteur et le récepteur, mais aussi les chemins multiples que peuvent prendre les ondesavant d'arriver à la destination. Il existe plusieurs approches permettant de prédire à temps

considérable ce phénomène, mais de façon générale chaque chemin a une perte relative auxdifférentes atténuations (interférences et obstacles) subit par le signal tout au long du chemin,la perte totale c'est la somme des pertes. [03]

Fig ure 3: Déviatio n de s on de s  

Lorsqu'une onde radio rencontre un obstacle, une partie de sa puissance est absorbée ettransformée en énergie, une partie continue à se propager de façon atténuée et une partie peutéventuellement être réfléchie. De plus lors de la collision avec un obstacle, la valeur de

l'atténuation dépend fortement du matériau composant l'obstacle. Ce qui peut conduire à unediminution considérable de la zone de couverture et résulter à une absence de connexion pour des machines située pas très loin du point d’accès.  

1.1.4. Authentification et identification

Une bonne partie des problèmes de connexion sont provoqués par une mauvaiseconfiguration des machines clientes au point de vue sécurité. Pour pouvoir se connecter à un

 point d’accès il faut s’assurer que l’on dispose du même type de sécurité que le point d’accèset que les clés et les cert ificats que l’on possède sont reconnus valide pour l’authentification.  

1.2. Failles de sécurité

Page 8: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 8/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

8 Réalisé par Richard Ewelle, Promotion 14, IFI

Lorsqu’il est question de sécurité des réseaux, les trois notions qui interviennent

habituellement dans la discussion sont la vulnérabilité, les menaces et les attaques.

1.2.1. Vulnérabilités

La vulnérabilité est le degré de faiblesse inhérent à tout réseau ou périphérique. Celaconcerne les routeurs, les commutateurs, les ordinateurs de bureau, les serveurs et même les

 périphériques de sécurité. Les menaces viennent d’individus compétents intéressés par l’exploitation des faiblesses de sécurité. Il est prévisible que de tels individus continueront àrechercher de nouvelles faiblesses et de nouveaux exploits.

1.2.2. Menaces

Les menaces sont mises en œuvre à l’aide d’une variété d’outils, de scripts et de programmes permettant de lancer des attaques contre des réseaux et leurs périphériques. Engénéral, les périphériques réseau attaqués sont des points d’extrémité comme les ser veurs etles ordinateurs de bureau. [12]

Il existe plusieurs menaces ou attaques pouvant atteindre l’infrastructure d’un réseau.On peut citer quatre catégories principales d’attaques :

  Reconnaissance : La reconnaissance est la découverte non autorisée des systèmes, deleurs adresses et de leurs services, ou encore la découverte de leurs vulnérabilités. Ils’agit d’une collecte d’informations qui, dans la plupart des cas, précède un autre typed’attaque. Ce type d'attaques est très courant dans les réseaux sans fils dans la mesureoù les informations peuvent être interceptée par quiconque se situant dans la zone decouverture du point d'accès.Exemple : Prismdump, Ethereal, Network Stumbler, Kismet... 

  Accès ou attaque d'authentification: L’accès au système est la possibilité qu'a un

intrus d’accéder à un périphérique auquel il ne dispose pas de compte ou de mot de passe. Ceci dépend fortement de la méthode d'authentification utilisée car plusl'authentification est vulnérable, plus les intrus pourront accéder au réseau sans fils.Exemple : Attaques de mot de passe, Attaque de l’homme du milieu, Mac Spoofing,

Shared Key Authenfication Attacks.  Attaques DoS : L’attaque par déni de service ( DoS ) est la forme d’attaque la plus

répandue et aussi la plus difficile à éliminer. Elle empêche l’utilisation d’un service

 par les personnes autorisées en épuisant les ressources du système. Il sera doncimpossible de s’associer au de s’authentifier au point d’accès. Exemple: Attaque de durée de transmission,  Disassoiciation and Deauthentification

attacks

  Rogues AP: Ce sont les points d'accès non autorisés dans le réseau. Ils sont installés par les intrus avec un niveau de sécurité minimal comme WEP et est utilisé commeméthode d'accès au réseau. Les attaques de l'homme du milieu utilisé ces type de

 points d'accès pour s'authentifier au réseau. Nous parlerons plus en détail des attaques d'authentification qui sont celles qui nous

concernent le plus dans le cadre de ce TPE.

II.  CAS DU RESEAU DE L’IFI 

De façon générale, le réseau déployé à l'IFI utilise une topologie en étoile à trois couche:

une couche de base qui fournit la connexion à l'extérieur et à internet, une couche dedistribution qui utilise les serveurs, les Switchs et les points d'accès pour repartir le signal

Page 9: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 9/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

9 Réalisé par Richard Ewelle, Promotion 14, IFI

 provenant de la couche de base, et une couche d'accès auxquelles sont connectées lesmachines clientes et d'autres serveurs.

2.1. Déploiement 

Il existe dans ce réseau plusieurs points d'accès CISCO LINKSYS (Broadband router)qui sont placés de part et d'autre du bâtiment, avec des systèmes de sécurité et de propagationdes ondes plus ou moins identiques. Ils sont divisés en deux groupes: ceux accessiblesseulement par les enseignants et ceux disponibles pour les étudiants et les invités.

Le réseau du personnel: Comme système de sécurité, il utilise un filtrage à la based'adresse MAC: Ici les adresses MAC des machines sont vérifiées avant d'autoriser ou derefuser la connexion.

Le réseau des étudiants: Il utilise une technique de cryptage et de décryptage des donnéesà base de clé. Une clé est déployée sur chaque borne et pour se connecter, les machinesclientes doivent posséder la même clé. Et l’algorithme de cryptage utilisé est TKIP. Le

 protocole d’authentificat ion est le WPA et WPA2 en mode Personal.

La connectivité des machines aux points d'accès n'est pas toujours assurée malgré le faitque l'on se trouve dans la zone de couverture des points d'accès et qu'on possède les bonnesclés d'authentification aux points d'accès.

Le tableau suivant présente les canaux d’une petite partie des bornes wifi présente à l'IFI. NB : On peut remarquer que toutes les cellules de points d’accès se chevauchent.

N° SSID Canal

Cell 01  prima 2

Cell 02 Classe 2 2

Cell 03  prima 7

Cell 04 Multimédia 11

Cell 05 Tp 2 6

 Nous constatons que les canaux attribués ne respectent pas les règles des canaux sanschevauchement, qui demande de laisser un écart de 5 canaux entre deux zones qui sechevauchent (les canaux 1, 6,11). D’où les différents interférences qui sont à l’origine d’unemauvaise qualité du signal et des débits très faibles. Et ceci n’est qu’une partie des bornesdéployées à l’IFI. Il y en a encore dont le SSID est caché d onc on ne peut pas les voir.

2.2. Sécurité

En ce qui concerne la sécurité, il s'avère que les techniques de sécurité mis en place sontcontournables, c'est à dire que l'on peut obtenir soit une adresse MAC en essayant tour à tour 

 plusieurs permutations de bits (Attaque de dictionnaire citée plus haut). Mais par contre lasolution WPA2 Personal a un niveau de sécurité remarquable mais elle est égalementcraquable. Le document [2] nous montre en effet les vulnérabilités de WPA PSK ou personalet de l’algorithme TKIP. Eric Tews un chercheur Allemand à découvert que WPA Personal

 peut être décrypté en 15 minutes. Et cette vulnérabilité est du à l’utilisation de l’a lgorithme

TKIP. Il faut donc éviter d’utiliser WPA Personal et TKIP.[8]Avec ces informations sur le réseau sans fils de l'IFI, il devient dont primordiale de

trouver des solutions à ces problème; en d'autre terme comment déployer son réseau sans fil

afin d'assurer une couverture radio maximale et la minimisation des interférences tout engarantissant un niveau de sécurité acceptable pour les réseaux de campus.

Page 10: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 10/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

10 Réalisé par Richard Ewelle, Promotion 14, IFI

III.  ETAT DE L’ART 

Comme tous les appareils à base de radio fréquence, les réseaux sans fils sont sujets auxinterférences et aux troubles diverses, raison pour laquelle depuis sa création beaucoup detravaux et de recherches ont été effectuées dans le but d'améliorer la connectivité et la sécurité

dans ce type de réseau. De jours en jours, des produits logiciels sont développés et permettentd’avoir des analyses plus ou moins bonnes de la couverture radio afin de mieux planifier le

déploiement de sont réseaux. Et plusieurs modèles de propagation sont également étudiésdans les laboratoires. Les protocoles de sécurité des réseaux sans fils ont également évolués etont peut de nos jours obtenir un haut niveau de sécurité.

3.1. Connectivité

En ce qui concerne la connectivité, tout porte à croire que les problèmes de connectivitédes machines à un point d'accès sont globalement due à deux raisons. Soit la machine nerespecte pas les différents paramétres de connexion au point d'accès (sécurité et bande de

fréquence), soit le déploiement du point d'accès ne permet pas une couverture complète etfiable, et ne minimise pas les interférences. Il est également important de noter que le nombrede connexions par point d’accès ne doit pas déborder un certain seuil. En supposant que lesmachines clientes dispose d’une bonne configuration et des bons identifiant pour se connecter,nous orienterons nos travaux vers les aspects de déploiement des points d’accès.  

1.1.1. Couverture radio  Comme nous l’avons dit plus haut le placement des   points d’accès et des antennes doit

garantir que toutes les machines clientes soient couvertes par le signal venant des pointsd’accès. Suivant les débits espérés pour les réseaux, on peut ainsi opter pour deux types dedéploiement :

Un déploiement orienté couverture:

Il s'agit ici d'offrir une couverture maximale avec un nombre minimal de pointd'accès. Un tel déploiement respecte un ratio type de 25 machines par AP. Ici on ne tient pascompte des besoins des applications des utilisateurs. L’objectif ici est de minimiser lenombre de points d’accès tout en garantissant que toute les machines pourront percevoir lesignal venant des points d’accès. Il est caractérisé par des débits très faibles et n'ai utilisableque dans les petites structures [12]

Fig ur e 4: Dépl oi emen t or ien técou v ertu re  

Page 11: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 11/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

11 Réalisé par Richard Ewelle, Promotion 14, IFI

Un déploiement orienté capacité:

Ici l'accent est mis sur le débit: le système doit maximiser le débit à fournir pour chaque utilisateur. C'est le type de déploiement par excellence des réseaux supportant lesapplications qui nécessite une grande bande passante, et une latence minimal. Donc ici on va

minimiser le nombre d'utilisateur par AP. Dans l'exemple précédent on aura donc 30 AP de12 utilisateurs au lieu de 14 AP de 25 utilisateurs. [12]

Fig ur e 5: Dépl oi emen t ori en téc apa ci té 

1.1.2. Interférence

Pour le problème de configuration des canaux il est conseillé d’attribuer aux points

d’accès dont les zones chevauchent, des canaux avec un espace de 5 canaux. Ainsi les bandesdes deux canaux seront sans chevauchement. Exemple 1, 6 et 11. [13]

Figure 6: Choix des can aux  

Bien sur ce cas est le cas idéal, mais dans certains cas, puisqu’il faudra aussi tenir compte des points d’accès des environs il est impossible de garantir un espacement de 5canaux. Dans ce cas on va essayer de donner un espacement d’au moins 4 canaux l’impact ici

sera moindres car le chevauchement sera aux extrémités de la fréquence du canal où la puissance est faible. On aura donc les canaux (1,5,9,13).

Page 12: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 12/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

12 Réalisé par Richard Ewelle, Promotion 14, IFI

3.1.1. Atténuation du signalC’est la partie la plus difficile à prévoir. Car l’atténuation du signal est spécifique à

l’environnement et dépend de plusieurs facteurs différents. Comme nous l’avons dit plushaut, il existe plusieurs modèles pour la prédiction du signal qu’une machine cliente peutrecevoir à un instant donnée et à une position donnée. Le modèle le plus simple c’est le

modèle empirique qui ne se base que sur la distance entre l’émetteur et le récepteur. D’autresmodèles plus complets peuvent prendre en compte des facteurs comme le bruit ambiant, lesobstacles et les différentes trajectoires des ondes, et également la distance entre l’émetteur etle récepteur. La plupart de ces modèles sont encore en Laboratoire et font l’objet de p lusieurs

thèses de doctorat. Vu la complexité de ces modèles de propagation et le manque de temps,nous n’entrerons pas dans les détails de ces modèles. Il existe également des produits logicielsqui essayent de faire ce type de prédiction mais la plupart sont des produits commerciaux.Exemple : AirSleuth et AirMagnet.

3.1.2. L'impact des besoins des applications des utilisateurs [01]

Bien que les besoins en bande passantes des applications ne soient pas totalement prévisibles, une bonne règle de répartition du media pour l'accès à internet, le téléchargementdes fichiers et des emails et l'accès aux applications client/serveur, serait de limiter chaque

 point d'accès à 25 utilisateurs.Car tous les utilisateurs on accès au media sans fils; et plus il y a d'utilisateurs plus il

ya de collision des trames, de backoff, et de retransmission ce qui cause plus de latenceénorme au niveau du point d'accès. Les stations clientes passeront plus de temps à essayer d'accéder au media au lieu de transmettre et de recevoir des trames. Ce processus conduit audépassement du temps limite pour les protocoles de couches supérieures et résulte souventaux échecs de connexion et même des fermetures de connexion. D'où pour contrecarrer ce

 phénomène opter pour un déploiement orienté capacité en installant plusieurs points d'accès et

en limitant le nombre de connexion à 25.Ainsi, pour un point d'accès fonctionnant à un débit théorique de 11Mbps dans unréseau 802.11b partagé, il est raisonnable de n'espérer que 6 Mbps de débit réel. Ce qui donneun maximum de 25 connexions à 245 Kbps chacune. En étendant ce ratio à un réseau 802.11aavec 54 Mbps on ne peut expirer que 22 Mbps ce qui nous donne également 25 utilisateurs à880Kbps. Ce ci n'est vrai que si tous les utilisateurs transmettent la même quantité dedonnées.

Une autre façon de résoudre ce problème c'est au niveau des machines clientes:  Ajuster le seuil de fragmentation de trame : Plus la trame est petite, plus elle a de

chance d'être reçu soit par un client soit par l'AP.  Ajuster le seuil RTS (Ready To Send): Permet à l'émetteur (client ou AP) de réserver le

média pour un certain temps pour envoyer une trame et de recevoir l'accusé de réceptioncorrespondante.Vu que les systèmes d'exploitation différents ont très souvent des valeurs différentes de

ces seuils, un système pourra donc avoir un comportement différent face à ces problèmes decongestion.

3.2. Evolution de la sécurité des réseaux sans fils

 Nous proposons d’aborder le problème de sécurité rencontré dans les réseaux 802.11 par l’étude des différentes évolutions concernant les systèmes de sécurité et présentons

l'architecture d’une solution de sécurité basée sur l'utilisation d'un portail web et de la normeIEEE 802.1x.

Page 13: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 13/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

13 Réalisé par Richard Ewelle, Promotion 14, IFI

3.2.1. Le protocole WEPLe WEP est un protocole chargé du chiffrement des trames 802.11. Il va permettre d’une part,de crypter les données, et d’autre part, d’assurer l’intégrité des données transmises.  Le principe du WEP consiste à définir une clé secrète déclarée au niveau des points d'accès etdes clients qui assurera le cryptage et le décryptage des informations. Tout utilisateur 

 possédant cette clé pourra communiquer sur le réseau.Inconvénients : L’authentification, faiblesse du contrôle d’erreur, mauvaise gestion des clés,vulnérabilités aux dénies de services DoS.

3.2.2. Le masquage des SSID et le filtrage d’adresses MAC

De nos jours, certains logiciels permettent de modifier facilement les adresses MAC associéesaux cartes, si bien qu’il n’est pas compliqué de prendre le filtrage d’adresses MAC à contre-

 pied. Même si aucun SSID n’est diffusé par un point d’accès, le trafic échangé entre le client

et le point d’accès finit par révéler le SSID. Si un pirate surveille passivement la bande RF, leSSID peut être sniffé dans l’une de ces transactions, car il est envoyé en texte clair.  

3.2.3. Le protocole 802.1x ou WEP2

Il repose sur le protocole d’authentification EAP (Extensible Authentification Protocole) dontle rôle est de transporter les informations d’identification des utilisateurs. Il offre une légèreamélioration de certains problèmes de sécurité rencontrés avec le WEP notamment au niveaudes clés et utilise le protocole RADIUS.

o  Inconvénient : Ne garantit pas la protection contre

  L’écoute du trafic d’authentificat ion, les dénies de services    Les attaques du type MITM (Man In The Middle)

3.2.4. Le protocole WPA

Le standard WPA (WI-FI Protected Acces) proposé par la WIFI-Alliance, regroupe toutes lesnormes précédentes et entre autres, un protocole standardisé de gestion des clés, appelé TKIP(Temporal Key Integrity Protocol). TKIP permet la génération automatique des clés et offrela possibilité de modifier la clé de chiffrement plusieurs fois par seconde pour plus desécurité. Il peut être implémenté suivant deux méthodes :

  Le mode PSK (Preshared Key) : La même clé de chiffrement est déployée dans tousles équipements

  Le mode entreprise en association avec un serveur RADIUS ce qui assure une plusgrande sécurité du réseau.

Une architecture WPA en mode entreprise fait intervenir un client ( supplicant), un pointd’accès (authenticator) et un serveur d’authentification.

Les requêtes et réponses EAP nécessaires à l’authentification du client transitent sur un portnon contrôlé. Une fois l’authentification achevée, le serveur d’authentificat ion contactel’authenticator qui décide d’ouvrir une connexion par un port contrôlé.

3.2.5. Le 802.11i ou WAP2

Le standard 802.1i fournit une solution de sécurisation poussée pour les réseaux sansfils. Il s’appuie sur l’algorithme de chiffrement TKIP comme le WAP, mais supporte

également l’AES (Advance Encryption Standard), beaucoup plus sûr.  

En guise de récapitulatif, on obtient le tableau suivant. [13]

Page 14: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 14/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

14 Réalisé par Richard Ewelle, Promotion 14, IFI

Fig ure 7: Pro toco l es de sécu rité 

Ce tableau récapitulatif réalisé par Cisco nous montre que le protocole qui offre le plus desécurité de nos jours est 802.11i/WPA2 qui est implémenté depuis 2004.

IV.  SOLUTIONS PROPOSEES

En se basant sur l’état de l’art, il est question ici de proposer des solutions applicables pour améliorer la connectivité et la sécurité des réseaux sans fils.

4.1. Connectivité des réseaux sans filsEn ce basant sur le fait que les problèmes de connexion et de faiblesse du signal dans les

réseaux sans fils sont dus à un mauvais déploiement, nous allons dans donc faire une analyseen ce qui concerne le déploiement d’un réseau sans fils en générale et enfin utiliser lesrésultats de cet analyse et d’autres informations afin de proposer un modèle de déploiement

 pour le réseau sans fils de l’IFI.

4.1.1. SimulationsAfin de mieux apprécier les contraintes techniques à prendre en compte lors du

déploiement d’un réseau sans fil, compte tenu des technologies existantes, nouscommencerons par l’étude de plusieurs scénarios réalistes au moyen de simulations mettant

en œuvre des topologies particulières propres à l’université. Ces simulations seront faites à l’aide du simulateur NS2. L’objectif de ces simulations

sera de voir les facteurs pouvant influencer la puissance du signal reçu et le débit de laconnexion.

4.1.2. Etude du site et modèle de déploiement Pour confirmer et compléter les résultats de ses simulations nous allons également faire

quelques mesures sur le terrain afin d’étudier de façon plus concrète l’impact du bruit ambiant

sur la puissance utile. Nous verrons également comment la présence des murs et d’ autresobstacles peuvent absorber le signal et causer une couverture partielle ou incomplète.

En plus des solutions existantes citées dans l’état de l’art, il existe également d’autresrecommandations pour lesquels nous ne pourrons pas faire de teste ni de simulation nousallons tout simplement faire confiance à la source de ces informations et les respecter dans

nos déploiement :

Page 15: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 15/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

15 Réalisé par Richard Ewelle, Promotion 14, IFI

  La détermination du nombre de maximal de connexions possible par point d’accès

nécessaires pour assurer la connexion et garantir un certain débit pour chacun desutilisateurs.

  Placer les points d’accès sur les obstacles afin de minimiser les zones d’ombre.   Prévoir un chevauchement de 10 à 15% entre les diamètres de couverture des points

d’accès pour assurer le roaming (passage d’un point d’accès à un autre sansdéconnexion).

  Positionnez les points d’accès à la verticale près du plafond et au centre de chaquezone de couverture.

  Installez les points d’accès à des endroits où les utilisateurs sont appelés à travailler  

Figure 8: Exempl e d'att r ibut ion des can aux  

Après cette phase d’étude et d’analyse, nous aurons assez d’élément pour proposer unesolution au problème de connectivité de l’IFI.  

4.2. Sécurité

La première étape qu’une organisation devrait entreprendre pour se prémunir et protéger ses données contre les risques consiste à développer une stratégie de sécurité. C’est la raison

 pour laquelle avant d’entrer dans les détails techniques de la sécurité il faut qu’on se donneune démarche à suivre.

4.2.1. Stratégie de sécuritéUne stratégie est un ensemble de principes qui guident les prises de décision et permettent

aux dirigeants d’une organisation de déléguer l’autorité en toute confiance. Le document

RFC2196 stipule « qu’une stratégie de sécurité est une déclaration formelle des règles quidoivent être respectées par les personnes qui ont accès aux ressources technologiques et auxdonnées vitales de l'organisation». Une stratégie de sécurité peut se présenter comme desimples règles du bon usage des ressources du réseau ou, à l’inverse, comprendre descentaines de pages et détailler chaque élément de connectivité et les règles correspondantes.[03]. Il existe plusieurs stratégies différentes, mais toutes les stratégies ne sont pasnécessaires pour toutes les organisations. Voici quelques stratégies générales auxquelles nous

allons nous attarder :

15%

Canal 1

Canal 6

Canal 11

Canal 1

Page 16: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 16/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

16 Réalisé par Richard Ewelle, Promotion 14, IFI

  Stratégie d’identification et d’authentification : définit les technologies utiliséesdans l’entreprise pour ne donner l’accès aux données qu’au personnel autorisé.

  Stratégie d’accès interne : définit l’usage acceptable des ressources technologiques

internes par les employés et les invités.  Stratégie d’accès à distance : définit comment les utilisateurs externes peuvent

utiliser l’infrastructure d’accès à distance de l’entreprise. Donc la solution à la sécurité que nous allons proposer pourra implémenter tout cesstratégies de sécurité.

4.2.2. Stratégie d’identification et d’authentification Etant donnée que l’identification et l’authentification sont la base de ce dispositif de

sécurité, il est important du choisir un protocole puissant. L'état de l'art en matière de protocole de sécurité dans les réseaux sans fils nous à permit de voir que la meilleure solutionc’est le protocole 802.11i ou WPA2, c’est dont ce protocole que nous allons utiliser de façongénérale dans tous les réseaux (filaire et sans fil). Il utilise le protocole 802.1X ou EAP(Extensible Authentification Protocol) qui est basé sur un serveur d’authentification radius.

L'objectif étant que tout PC se connectant sur le réseau doit être identifié. D'autres avantagesliés au serveur radius sont:  De multiples poss ibilités d’authentification (Toutes les variantes d’EAP)   Traitement individuel d’un utilisateur ou d’une machine (On peut mixer les méthodes

d’authentification : authentifier la personne et la machine)  Gestion centralisée, trace de toutes les connexions ou tentatives dans un log.

4.2.2.1. 802.1X ou EAP (Extensible Authentification Protocol)

Principe: Authentification d’un client sur un serveur d’authentification (radius) autravers d’un authenticator  (Switch, AP). L’authenticator  reçoit du serveur l’autorisation de

laisser le passage à un client. EAP permet la négociation d’un protocole d’au thentificationentre le client et un serveur radius [14]

Figu re 9: Scéna rio d'aut hen tif ica tion  

Ce schéma montre les différentes étapes (1 à 5) du mécanisme d'authentification sur le

serveur RADIUS.Voici les détails du déroulement du scénario :

Page 17: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 17/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

17 Réalisé par Richard Ewelle, Promotion 14, IFI

  Un utilisateur envoie une requête au NAS afin d’autoriser une connexion à distance.    Le NAS achemine la demande au serveur RADIUS.  Le serveur RADIUS consulte la base de données d’identification    Afin de connaître le type de scénario d’identification demandé pour l’utilisateur.  

Soit le scénario actuel convient, soit une autre méthode d’identificat ion est demandée

à l’utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :    ACCEPT : l’identification a réuss i.  REJECT : l’identification a échoué.    CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la

 part de l’utilisateur et propose un « défi ». EAP est un protocole conçu pour étendre les fonctions du protocole Radius à des types

d’identification plus complexes. Il est indépendant du matériel du client Radius et négociédirectement avec le supplicant (poste client, terminal d’accès).

4.2.2.2. Choix d’un protocole EAP 

Le protocole EAP n'est pas parfait et il existe également des attaques qui peuventmettre en péril les méthodes d'authentification EAP; elles peuvent être soit passives enréalisant juste une écoute du trafic d'authentification à la recherche d'informations utiles ouactives en étant un participant au processus ceci en se faisant passer pour un client sur. Lesattaques les plus célèbres sur EAP sont l'attaque de dictionnaire, et l'attaque de l'homme dumilieu. [12]

  Attaques de dictionnaire : Ce sont des attaques de mot de passe. Ils se rapportent engénéral aux tentatives de connexion répétées à une ressource partagée en essayant tousles mots d'un dictionnaire.

  Attaque de l’homme du milieu : Une attaque du type homme du milieu (« man-in-the-middle » ou MIM en anglais) est menée par un pirate qui s’arrange pour se placer 

entre deux hôtes légitimes. Un Rogue AP par exemple.Il existe ainsi plusieurs variantes d’EAP, donc un problème qui se pose est celui de

savoir lequel choisir. Le tableau suivant nous propose un récapitulatif des techniquesdominantes de EAP. [12]

Figure 10: Protocole EAP 

De façon générale, le critère de sélection sera de choisir le protocole posant le moinsde risques de sécurité. Nous pouvons ainsi conclure qu’EAP-TLS et EAP-TTLS sont deux

 bonnes solutions possibles et ce sont celles que nous allons utiliser dans le cadre de ce TPE.

 Nous allons associer à ces deux protocoles des algorithmes de cryptage efficaces. Les protocoles de cryptage introduis par EAP sont: [21]

Page 18: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 18/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

18 Réalisé par Richard Ewelle, Promotion 14, IFI

  TKIP: Temporal Key Integrity Protocol ou protocole d’intégrité de clé temporaire.  Méthode de chiffrement des données, basée principalement sur une clé temporaire(PPK ), améliorant sensiblement WEP . 

  CCMP: Counter mode encryption with Cbc-Mac. Protocole de chiffrement quifonctionne selon la même idée que TKIP , mais en employant AES à la place de RC4 .

  AES: Advanced Encryption Standard ou norme avancée de chiffrage. Standard decryptage symétrique destiné à remplacer DES qui est devenu trop faible au regard desattaques actuelles.Parmi ces protocoles, AES est le plus sécurisé et de plus il influence moins le débit des

connexions. Le graphique ci-dessus nous montre un résume de l'impact des algorithmes decryptage sur le débit de la connexion. [22]

Figure 11: Impact sur le débit 

On remarque que la solution VPN IPSEC affecte énormément les performances(divisé par 2) tout comme TKIP. Quant à l'utilisation d'AES, et WEP, le débit est légèrementdiminué car ces solutions de cryptage sont implémentées dans le matériel et ne sont pas trèsgourmand en terme de performance.

PARTIE II : REALISATION PRATIQUE

Après la partie théorique de ce TPE, il est maintenant question de faire une mise enœuvre pratique des techniques et des méthodes choisis lors de l’état de l’art et la solution proposée. Je commencerai par la connectivité et en suite je présenterai mon travail en sécurité.

CHAPITRE I : CONNECTIVITE DES RESEAUX SANS FILS

Comme nous l’avons dit plus haut nous allons faire des expérimentations et desanalyses en ce qui concerne le déploiement d’un réseau sans fils. Il est donc question de

 présenter un modèle réaliste de déploiement d'un réseau sans fil respectant au mieux lescontraintes informatiques présentes lors du déploiement d’un tel réseau à l’université.  

Page 19: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 19/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

19 Réalisé par Richard Ewelle, Promotion 14, IFI

V.  SIMULATIONS

L’approche de ce travail est tournée vers les aspects informatiques, comme lestechnologies utilisées, et leurs valeurs pour les responsables du fonctionnement des réseauxsans fils.

5.1. Description des outils de simulation

5.1.1. Network simulator 2 Nous avons choisi de simuler avec ce logiciel un étage type du bâtiment compte tenu des

différents utilisateurs. Ce logiciel est développé, corrigé et étendu au fur et à mesure del’apparition de nouveaux besoins (ou de la découverte d’erreurs). 

5.1.2. Types de modèles de propagations [01] NS2 implémente la norme 802.11 et plusieurs modèles de propagation des ondes

  Free space model : Ce modèle considère qu’il n’existe qu’un seul chemin de

 propagation entre l’émetteur et le récepteur et qu’il est en vue directe. La puissance

reçue au niveau du récepteur ici est une fonction de la distance entre le récepteur etl'émetteur. C’est une implémentation du modèle empirique.

  Two-ray ground reflection model : Le modèle two-ray ground considère à la foisle chemin direct et une réflexion sur le sol.

  Shadowing model : C’est le modèle le plus réaliste des trois car il ne considère pas la puissance reçue comme une fonction non déterministe de la distance. C'est -à-dire qu’en dehors de la distance il existe d’autres paramètres importantsinfluençant la puissance et la qualité du signal.Le shadowing model est donc composé de deux parties.

o  Le modèle d’atténuation en fonction de la distance, qui calcule la puissance

moyenne reçue à une distance d.o  La seconde partie du modèle shadowing reflète les variations de la

 puissance reçue à une distance donnée en fonction de l'environnement.

5.1.3. Modèle Shadowing de NS2 [02] Le modèle Shadowing implémenté dans NS2 est un modèle plus ou moins

réaliste. Il est évident qu’il n’est pas un modèle complet, mais à quelques différences près dumodèle théorique (qui est assez complexe), on peut arriver à obtenir des résultatsgénéralisables. En effet, le Shadowing model est composé de deux parties.

  Le modèle d’atténuation en fonction de la distance , qui calcule la puissancemoyenne reçue à une distance d. notée Pr(d). Il utilise une distance courte comme

référence, notée d0. Pr(d) est calculée relativement à Pr (d0). L’atténuation en fonctionde la distance est souvent mesurée en dB. Nous avonsainsi :

Où β est appelé l’exposant d’atténuation en fonction de ladistance, et est généralement déterminé de façon empirique par des mesures en environnement réel.

  La seconde partie du modèle shadowing reflète les variations de la puissance reçueà une distance donnée dues aux chemins multiples et aux interférences.L’ensemble du modèle shadowing est représenté par : 

Où XdB est la variable aléatoire gaussienne dont la moyenne

est zéro et l’écart type σdB. σdB est appelé shadowingdéviation, et est également obtenue par des mesures en environnement réel.

Page 20: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 20/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

20 Réalisé par Richard Ewelle, Promotion 14, IFI

Faute d'outils d'analyse de la couverture radio, dans nos scénarios nous utiliseronsles paramètres génériques ou typiques représenté dans les tableaux ci-dessous. On aura donccomme exposant d’atténuation β= 5 et comme Shadowing déviation σdB = 9. Mais il est clair que pour une étude plus exacte nous devons faire une étude du site avec des logiciels

 professionnels.

5.2. Simulations des scenarios [05]Ces scénarios peuvent se regroupé en trois groupes:

  L'assurance d'un certain débit de connexion  L'assurance d’une couverture optimale    L'influence des bruits provenant de l'environnement

Les paramètres choisis correspondent à un environnement intérieur comme des bureaux ou des salles de cours avec de courtes distances aux points d'accès. Surtout lesgraphiques, on aura en abscisse le temps en seconde, et en ordonnées le débit en Kbit/s.

5.2.1.  Assurer un certain débit Les besoins des utilisateurs en bande passantes peuvent être divergents. L’objectif est

d’assurer un débit moyen convenable.  

5.2.1.1. Scénario 1 : Influence de plusieurs utilisateursPour donner une idée de l’importance qu’ont des connexions supplémentaires sur un

AP, le scénario suivant est simulé, mettant en œuvre plusieurs utilisateurs différents. La

topologie utilisée permet d’observer simplement les conséquences d’une connexionsupplémentaire sans fil.Description: (Serveur  – Switch – Point d'accès - Machine)La machine Serveur est une machine connectée au réseau câblé.

Les machines PC1, PC2 et PC3 sont des utilisateurs qui requièrent de la bande passante. Nousavons modélisé leurs connexions par des connexions FTP avec CBR (Constant Bit Rate) auServeur dans NS2 de 200 paquets par seconde avec une taille de paquet de 500 octets. Ce quidonne un débit théorique de 800 Kbit/s

 Nous considérons que PC1 est le premier à se connecter au réseau sans fil (5.0s aprèsle début de la simulation). Les machines PC1 et PC2 sont d'autres utilisateurs qui seconnectent sur le réseau l'un après l’autre (respectivement 80.0s et 160s après le d ébut de la

simulation).

Figure 12: Scen ario 1  

Page 21: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 21/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

21 Réalisé par Richard Ewelle, Promotion 14, IFI

Expérimentation

Fi gure 13 : Résul t at s scénari o 1  

Résultats et analyse : Le média sans fils est partagé et le débit de l’un influence le débit del’autre.

  Lors de la connexion de PC2 nous remarquons que le débit de PC1 chute presque demoitié.

   Nous observons que le débit de PC1 chute encore plus bas lorsque PC3 initie uneconnexion FTP, ce qui est vraisemblable étant donné que TCP utilise plus de bande

 passante (accusés de réception, …). 

5.2.1.2. Scénario 2 : Étude du trafic d’une salle informatique Le scénario suivant décrit la situation proche de celle d’une salle de cours. Lesétudiants, principalement des utilisateurs nomades, arrivent en masse et connectent presquesimultanément leurs ordinateurs portables.Description: La configuration est la même que celle du premier scénario mais ici on a plusd'utilisateurs. Donc à l'intervalle de 75 secondes chacun des utilisateurs va se connecter auréseau et initier une connexion FTP sur le serveur. Comme au scénario précédent, le débitthéorique pour chaque connexion est de 800 Kbit/s

Figu re 14 : Scén ari o 2  

Page 22: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 22/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

22 Réalisé par Richard Ewelle, Promotion 14, IFI

Expérimentation

Figu re 15: Résul t at s S cén ari o 2  

Résultat et analyse: Les débits sont grandement dépendants du nombre de connexions  Les connexions progressives des utilisateurs provoquent une chute du trafic

d’informations utiles sur le réseau. D’où il faut prévoir des AP de soutient dans ces  salles de grande auditoires.

  Théoriquement, si l'on suppose que chaque machine cliente utilise un débit de512Kbps pour un point d'accès à 54 Mbps ont pourrait avoir plus de 100 connexionssimultanées. Mais en pratique, ces limites ne seront jamais atteintes; un point d'accès

comme LYNKYS Broadband router ne pourra accepter qu'un maximum de 25connexions à la fois. [02]

5.2.2.  Assurer une couverture maximal

5.2.2.1. Scénario 3 : Étude de la distance de connexion [06]Dans ce scénario nous voulons montrer l'influence de la distance d’un utilisateur par 

rapport au point d'accès sur le débit de la connexion. On initie une connexion FTP et on sedéplace dans la zone de couverture.

Figu re 16 : Scén ari o 3  

Page 23: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 23/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

23 Réalisé par Richard Ewelle, Promotion 14, IFI

Résultat et analyse:   Le modèle Shadowing permet d’obtenir des résultats plus fins qui montrent qu’en

réalité la couverture de l’AP n’est pas limitée par une frontière nette    La distance agit sur la qualité du signal reçu de manière non linéaire et la puissance

reçue influence le débit utile de la connexion

5.2.2.2. Scénario 4 : Conséquences d’une mauvaise couverture de l’étage  Nous nous intéressons à la situation dans laquelle la couverture du réseau sans fil de

l’étage n’est pas complète, probable vu la nature des rayonnements électromagnétiques.Le scénario suivant s’intéresse à la manière dont le trafic est interrompu lorsqu’un

utilisateur mobile circule dans une zone d’ombre, non couverte par le réseau sans fil de

l’étage. Le PC1 va quitter la premièr e cellule pour la deuxième et ensuite va revenir vers la première.

Figu re 17 : Scén ari o 4  

Expérimentation

Fi gure 18 : Résul t at s scénari o 4  

Résultat et analyse: En dehors de la zone de couverture, les débits sont nuls : perte deconnexion.

  Le débit chute suite à l’éloignement du PC1 du premier AP et qui remonte lors de sonapproche vers le deuxième AP.

  Le débit de paquets perdus pendant le processus de rupture est assez grand.  Il faut donc positionner les points d'accès de sorte à minimiser les zones d'ombre. Il est

également important de noter que l'augmentation du nombre de point d'accès n'esttoujours pas la bonne solution car plus il y a de points d'accès plus il y a risque de

Page 24: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 24/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

24 Réalisé par Richard Ewelle, Promotion 14, IFI

 bruits et d'interférences qui vont noyer le signal utile. Donc il faut maximiser lacouvertur e avec un nombre optimal de points d’accès.  

5.2.3. Influence de l'environnement 

5.2.3.1. Gestion des interférences

Avant tout, les conditions suivantes doivent être remplies pour qu’un paquet puisse être reçu :  La puissance du signal reçu doit dépasser un certain seuil (seuil de

communication),  Le rapport signal sur bruit ambiant doit être suffisamment grand (le signal doit

être clairement identifié, et non noyé dans le bruit).

5.2.3.2. Zone de communication :Il existe un seuil de détection de porteuse. Si la puissance du signal est comprise entre ce

seuil et le seuil de communication, alors le message n’est pas compris mais l’activité sur lecanal est néanmoins détectée.

Les différents facteurs à prendre en compte pour les interférences sont :  L’atténuation du signal en fonction de la distance et de l’environnement.    Le bruit ambiant est normalement la somme de tous les bruits perçus au niveau du

récepteur Le rapport signal/bruit (RSB ou SNR) est crucial. C’est la différence entre le signal

reçu et la puissance du bruit au-dessous de laquelle le récepteur ne peut plus capter le signal,aussi la communication ne pourra-t-elle donc pas se passer convenablement.

RSB = PdusignalreçuDBm – PdubruitdBm [07]Pour obtenir un bon débit, il faut avoir un bon rapport signal/bruit. Vu que le

RSB diminue lorsqu’on s’écarte de l’émetteur, le débit diminue lui aussi.  Il est également important de savoir qu’il existe plusieurs modulations

 possibles pour 802.11 dont les propriétés sont différentes. Par exemple, la variation du tauxd’erreur de bit avec le rapport signal à bruit dépend de la modulation utilisée.  [02]

Utiliser une bande passante plus faible permet de transmettre avec une limite de rapport signal

à bruit plus faible (SNR threshold) par conséquent à une puissance plus faible. Le tableausuivant présente les puissances minimales suivantes les débits. [02]

Débits (Mbps ) Sensibilité minimale (dBm)

6 -82

9 -81

12 -79

18 -77

24 -74

36 -70

48 -66

54 -65

Page 25: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 25/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

25 Réalisé par Richard Ewelle, Promotion 14, IFI

5.2.3.3. Scénario 5 : Étude des interférences et des bruits au niveau du  récepteur [06]

 Nous nous intéressons à la situation dans laquelle le récepteur perçoit le signal, maiscelui ci est submergé ou noyé dans le bruit. Puisque le bruit augmente avec la distance, nousallons nous éloigné progressivement de l’émetteur et apprécier la variation de puissance.

Figu re 19 : Scén ari o 5  

Résultats : On peut constater que plus le bruit augmente, plus le rapport signal bruitdiminue d’où la puissance du signal reçu au niveau de récepteur devient de plus en plusfaibles. Avec les annotations faites sur la figure, on peut également voir que suivant lamodulation ou le débit utilisé, ont peut avoir des seuils de puissance minimale différents.

VI.  MODELE POUR LE RESEAU DE L’IFI 

Cette partie présente un modèle de déploiement pour le réseau sans fils de l’IFI. Pour 

cela nous allons dans un premier temps faire une étude de la couverture radio du site, ensuitefaire une analyse des besoins sans fils à l’IFI afin de proposer un déploiement type applicableau réseau de l’IFI. Et nous proposerons également un plan précis de mise en œuvre des

solutions proposées.

6.1.  Analyse du s ite

Dans cette partie, nous analysons la couverture radio telle quelle est actuellement à l’IFI.

L’objectif ici est d’observer les influences de l'environnement sur la puissance du signal.Pour pouvoir effectuer une bonne répartition des canaux aux points d'accès, il est

nécessaire de connaitre les limites de chaque zone de couverture et prévoir des zones avec unchevauchement de 15 % et un écart de 5 canaux dans le choix des canaux.

Étant donné que le bâtiment contient des murs et des objets qui sont susceptibled’absorber le signal nous avons effectué des mesures sur le terrain afin de connaitre le degréd'atténuation et par conséquent la zone de couverture de chaque point d’accès.

Dans ces expérience nous allons capturer la puissance du signal ainsi que du bruitsdans intervalle de temps (30 s) afin de connaître leurs valeurs moyennes.(Car ces valeurs ne

sont pas stables elles oscillent autours d'une moyenne).

Page 26: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 26/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

26 Réalisé par Richard Ewelle, Promotion 14, IFI

Il est important de noter que dans ces expériences, il y a des valeurs extrêmes donc cesvaleurs influenceront beaucoup la moyenne d'où on les supprime d'abord puis on calcule lamoyenne des autres valeurs. Ces mesures sont faites avec un programme écrit en C++. Il

 provient du Wireless tools  présent dans linux. Mais j’ai du le modifier pour l’adapter à mes besoins et permettre de faire des mesures répétés par intervalle de temps et faire des calculs de

moyennes. Les résultats sont plutôt bons car le programme capture les valeurs réelles dusignal et du bruit. Et en sortit, on a un diagramme avec en abscisse le temps en seconde et enordonné la puissance du signal en décibel pour le graphe à gauche et à droite la puissance du

 bruit ambiant en décibel.

6.1.1. Émetteur et récepteur dans la même salle (moins de 10m)  Puissance du Signal: -52 dBm Puissance du bruit: -25 dBm

Figure 20: Capture 1 

6.1.2. Émetteur et récepteur séparé par un mur.  Puissance du Signal: -63 dBm Puissance du bruit: -25 dBm

6.1.3.

6.1.4.

6.1.5.

6.1.6.

Figure 21: Capture 2  

Page 27: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 27/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

27 Réalisé par Richard Ewelle, Promotion 14, IFI

6.1.7. Émetteur et récepteur à deux niveaux différents

Puissance du Signal: -76 dBm Puissance du bruit: -25 dBm

Figure 22: Capture 3  

6.1.8. Émetteur et récepteur séparé par deux murs.

Puissance du Signal: -67 dBm Puissance du bruit: -25 dBm

Figure 23: Capture 4  

Théoriquement dans un espace libre et avec des antennes omnidirectionnelles telle quecelles utilisées à l’IFI, la zone de couverture est d'environ 50 m de rayon. Dans tous cesscénarios nous constatons que le bruit ambiant est toujours le même -25 dBm et que la

 puissance reçue est toujours dans les seuils de communication qui est de supérieur à -79 dBm pour une modulation avec un débit de 11 Mbps (voir tableau plus haut).

On constate également que plus que la distance, les obstacles (les murs et le plafond)influencent le diamètre de la zone de couverture. Après trois murs d'écart ou encore un

 plafond et deux murs on a une puissance de -80 dBm; ce qui est très petit on perd donc la

Page 28: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 28/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

28 Réalisé par Richard Ewelle, Promotion 14, IFI

connectivité. C'est donc cette hypothèse que nous allons utiliser pour nos zones de couverture.Les ondes diffusées ne vont pas au delà de 3 murs.

6.2. Modélisation du déploiement 

L'objectif de cette étude est de connaître:  Le nombre de points d'accès  La localisation des points d'accès  Les paramètres de configuration comme:

o  Le canal de chaque AP.o  Le débit de chaque reçu par la machine cliente

6.2.1. Description du cadre de modélisation [02]Le domaine de modélisation représente le campus de l’IFI, principalement ces trois

niveaux d’étages ainsi que l’amphi théâtre. 

Figure 24: Plan IFI  

Après avoir étudié les plans de ces bâtiments, nous observons que :A.  Plusieurs étages diffèrent par leur fréquentation, leur nombre d’utilisateurs et leur type

d’utilisateurs. B.  Certains étages nécessitent une couverture plus adaptée que d’autres.  

Une rapide conclusion affirmerait que chaque étage nécessite une modélisation complète.Toutefois, nous verrons que simplifier l’étendue de la modélisation est possible.  

L’approche utilisée est d’évaluer le nombre d’utilisateurs potentiellement connectés etd’assurer un débit pour chaque utilisateur. En fonction de la technologie utilisée, nous

A

A B C

A B

Page 29: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 29/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

29 Réalisé par Richard Ewelle, Promotion 14, IFI

 pouvons en déduire le nombre d’AP nécessaire pour garantir un certain débit pour les

utilisateurs.Pour plus de facilité, la modélisation porte sur deux étages type. En effet, nous

 pouvons remarque que le premier et le deuxième niveau présentent certaines similaritéscomme la géométrie des étages et la fréquentation des utilisateurs. En vue de largement

diminuer le temps de la modélisation, et compte tenu de ce caractère de ressemblance, nous pouvons étudier deux étages décrivant des communications types : Le rez-de-chaussée et le premier étage.

6.3. Modélisation du rez-de-chaussée

6.3.1.  Analyse des besoins des utilisateurs Nous pouvons considérer que le rez-de-chaussée est subdivisé en trois types différents

d’utilisateurs à savoir les utilisateurs fixes (le personnel académique, et enseignant), les

utilisateurs nomades (les étudiants ou autres corps éducatif dans l’amphi théâtre pour unséminaire ou une présentation) et les utilisateurs mobiles (qui se déplacent dans le couloir).

Pour le personnel académique nous pouvons également compter les chercheurs au laboratoireMSI. Le tableau ci-dessous nous montre une première estimation de la répartition des typesd’utilisateurs pour le rhé de chaussé.

Pièce Personnelacadémique

ChercheursMS I

Étudiants Couloirs/ mobile Total

A 8 5 13B 6 20 26C (Amphi) 6 4 30 40Total 20 24 30 5 79Pourcentage 25,32% 30,38% 37,97% 6,33% 100%

 Figure 25: Répart it ion des ut i lisa teurs

Ces chiffres nous donnent des ordres de grandeur en vue de modéliser un réseauréaliste pour le rhé de chaussé. Bien entendu, une étude complète et précise sur lafréquentation de chaque pièce donnerait plus de fiabilité à la modélisation. Nous allonssupposer que les hypothèses prises plus hauts sont réaliste vue que la fréquentation des locauxde l’IFI est assez stable.  

6.3.2. Topologie du réseau sans fils

Après avoir identifié les types d’utilisateurs, développons une idée réaliste de la  Topologie du réseau pour le rez-de-chaussée. Avant toute prévision chiffrée, il est utile de

remarquer que les bureaux, le laboratoire MSI et l’amphi théâtre ne nécessiteront pas lesmêmes performances, tant en terme de débits, de couverture réseau ou de disponibilité. En

Page 30: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 30/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

30 Réalisé par Richard Ewelle, Promotion 14, IFI

effet, le laboratoire MSI et les bureaux destinés au corps académique sont plus sollicitées quel’amphi théâtre.

Lorsqu’un Access Point est connecté à p lusieurs utilisateurs, les limites peuvent sefaire ressentir rapidement. La bande passante des connexions potentielles doit être estimée

 pour mieux juger la charge du réseau. Parfois, il est nécessaire de prévoir des Access Point de

soutient pour disperser les connexions entre les utilisateurs et les AP.Suivant les remarques faites à la partie 2, nous allons attribuer un total de 20utilisateurs par point d'accès en laissant une marge de 5 connexions pour les cas imprévus(évolutivité).

Le nombre d’utilisateur s total pour le rez-de-chaussée est estimé à 79; Donc le réseaumis en place doit pouvoir accepter 79 connexions simultanées avec un débit minimum de 1,5Mbps.

Avec ce nombre de connexions et l’hypothèse d’avoir 15 connexions par points

d’accès, on aura donc 5 points d’accès au total. Une topologie possible pour le rez-de-chaussée est donc la suivante. Elle utilise cinq AP pour couvrir le niveau. La distribution descanaux permet de diviser la couverture en zones : il faut s’assurer qu’il n’y a aucun

chevauchement entre les canaux de deux points d’accès adjacents.

Fig ur e 26 : Répar titi on Rez -de -ch au ssée  

NB : le 5 ième AP est attribué à l’amphi théâtre avec le canal 1.  

6.3.3. Remarques sur le nombre d’utilisateurs Nous avons choisi le nombre de points d’accès dans l’Amphi théâtre à 1 compte tenu

du fait que tous les étudiants n’ont pas forcément besoin d’une connexion de plus l’amphi  c’est un auditoire donc on y va plus pour écouter les présentations et non pas pour travailler.  

Il faut noter que le nombre d’utilisateurs et la fréquentation des locaux sont amenés à

changer d’une année à l’autre. De plus, il est fort probable que la proportion d’utilisateurs deréseau sans fil augmente avec le temps étant donné le succès de ceux-ci.

C’est pourquoi il est important de prévoir, dès la conception du réseau, un nombre d’APsuffisant pour satisfaire la future demande. Compte tenu du fait que le nombre maximumd’utilisateurs par AP est d’une vingtaine seulement. Nous voyons que le nombre d’utilisateurs

 par AP ne dépasse pas 15, ce qui permet une marge de sécurité de 5 utilisateurs par AP enmoyenne.

6.4. Modélisation du premier niveau [02]

6.4.1.  Analyse des besoins des utilisateursDe manière similaire et en se basant sur les deux types d’utilisateurs différents

 présents à savoir les utilisateurs fixes (le personnel de la bibliothèque, et enseignant), lesutilisateurs nomades (les étudiants ou autres corps éducatif dans les salles de cours ou à la

 bibliothèque), nous obtenons le tableau ci-dessous qui représente une première estimation dela répartition des types d’utilisateurs pour le premier niveau.  

AP1 : Canal 1AP2 : Canal 6 AP3 : Canal 1 AP4 : Canal 6

Page 31: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 31/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

31 Réalisé par Richard Ewelle, Promotion 14, IFI

Pièce Personnelacadémique

Etudiants Total

 Niv1 - A 3 12 15 Niv1 - B 3 50 53 Niv1 - C 3 30 33

Total 9 92 101Pourcentage 9 % 91 % 100 %

 Figure 27: Répart it ion des ut i lisa teurs

6.4.2. Topologie du réseau sans filsIl est utile de remarquer que les salles de cours, la bibliothèque et la salle multimédia

ne nécessiteront pas les mêmes performances, tant en terme de débits, de couverture réseau oude disponibilité. En effet, les salles de cours destinés aux étudiants ainsi que la sallemultimédia sont plus sollicitées que la bibliothèque par exemple.

Suivant ces statistiques, le nombre d’utilisateurs tota l pour cet étage est 101 dans le

cas où toutes les salles sont occupées en même temps ; ce qui est très rare car en générale

seulement deux des trois salles de cet étages sont occupé à tout instant. Donc le réseau mis en place au lieu de 101 connexions simultanée qui donneraient un grand nombre de pointd’accès et par conséquent plus d’interférences, nous allons nous limiter à 85 connexionssimultanées avec un débit minimum de 245 kbps.

Avec ce nombre de connexions et l’hypothèse d’avoir 20 connexions par pointsd’accès, on aura donc 5 points d’accès au total. Il faut également prendre en compte ici la

densité des murs qui absorbe une bonne partie du signal et également il faut considéré les points d'accès de l’étage du dessous afin de prévenir les interférences et les chevauchementdes zones de couvertures. Il faut donc choisir minutieusement les canaux à affecté auxdifférents points d’accès.  

Une topologie poss ible pour cet étage est donc la suivante. Elle utilise sept AP pour 

couvrir le niveau. La distribution des canaux permet de diviser la couverture en zones : il fauts’assurer qu’il n’y a aucun chevauchement entre les canaux de deux points d’accès adjacents.

Figure 29: Répartition premier niveau

AP1 :

Canal 11

AP2 :

Canal 1

AP3 :

Canal 11AP4 :

Canal 6

AP5 :

Canal 11

Page 32: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 32/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

32 Réalisé par Richard Ewelle, Promotion 14, IFI

Pour estimer le nombre d’utilisateurs plus correctement, nous avons réparti lesutilisateurs par Access Point en se basant sur le plan de l’étage. Le tableau suivant donne une

idée plus précise de la répartition possible des types d’utilisateurs par AP.  

6.5. Modélisation du deuxième niveau

Puisque le deuxième étage à presque les mêmes dimensions que le premier on pourradonc adapter la configuration pour cet étage. On aura donc 3 salles avec un maximum de 70utilisateurs. Mais il est très rare que toutes ces salles soient occupées au même moment nousallons nous arranger à avoir 40 connexions simultanées. Ainsi on aura besoin de deux pointsd’accès. Les canaux ainsi que le pos itionnement des points d’accès sont comme suit :

 Figure 30: Répartition deuxième niveau

6.6. Synthèse

D’après, les informations décrites ci-dessus, nous pouvons étudier la proportiond’utilisateurs ayant des comportements différents par AP.

Il faut noter que le nombre d’utilisateurs et la fréquentation des locaux sont amenés à

changer d’une année à l’autre. De plus, il est fort probable que la proportion d’utilisateurs deréseau sans fil augmente avec le temps étant donné le succès de ceux-ci.C’est pourquoi il est important de prévoir, dès la conception du réseau, un nombre

d’AP suffisant pour satisfaire la future demande, compte tenu du fait que le nombre maximumd’utilisateurs par AP est de 25 seulement. Nous voyons que le nombre d’utilisateurs par AP

ne dépasse pas 20, ce qui permet une marge de sécurité de 5 utilisateurs par AP en moyenne.

CHAPITRE II : SECURITE

Dans cette partie nous allons avant d’entrer dans les détails de configuration, faire une

description plus précise de la stratégie de sécurité à mettre en place ainsi que tous les protocoles et techniques qui y participent.

I.  MODELE DE SECURITE

Dans la partie de solution proposée, nous avons retenu un certain nombre de critèresou stratégies pour une bonne sécurité. Ici nous allons donc les étudier en détails et ensuite lesmettre ensemble afin d’avoir un modèle de sécurité assez robuste.  

1.1. Strat égie d’identification et d’authentification 

Comme nous l’avons dit plus haut, tout le mécanisme d’authentification est basé sur le serveur radius et le protocole EAP. 

AP1 :

Canal 6

AP2 :

Canal 1

Page 33: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 33/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

33 Réalisé par Richard Ewelle, Promotion 14, IFI

1.2. Stratégie d’accès interne 

En relation avec la stratégie d'authentification, les utilisateurs étant de naturesdifférentes, nous avons jugé mieux de proposer des stratégies d'accès différentes suivant letype d'utilisateur.

1.2.1.  Accès au réseau filaire

La variante de EAP utilisée ici est EAP-TTLS: utilise le protocole TLS (TransportLayer Security) Ici on assiste à l'authentification du serveur par certificat et du client par login/mot de passe.  Nous n’entrerons pas dans les détails ici.  

1.2.2.  Accès au réseau sans fil (utilisateur interne: étudiant ou enseignant)

La variante d’EAP utilisée ici est EAP-TLS: utilise également le protocole TLS danssa partie identification. Ici, le serveur d’authentification et le client s’authentifierontmutuellement. Elle est basée sur des certificats utilisés pour crypter les échanges entre le

client et le serveur Radius. Ces certificats sont des certificats signés par une autorité decertification prouvant leur validité. On peut utiliser des certificats générés par des autorités deconfiance, mais on peut aussi choisir de générer soi-même ses certificats. [19]

1.2.3.  Accès au réseau sans fil visiteurs.

Le Wifi avec une forte sécurisation des données (authentification 802.1X, chiffragedes données en WPA/WPA2 TKIP/AES CCMP) est une technologie nouvelle. Les systèmesd'exploitation actuels en raison de leur hétérogénéité, ne supportent pas tous au même niveaules méthodes de sécurisation les plus performantes.

Pour permettre aux utilisateurs, ayant des problèmes avec le paramétrage du modesécurisé, de bénéficier tout de même d'un accès au réseau Wifi, il faut mettre en place unesolution dans laquelle les équipements réseaux (point d'accès Wifi) ne participent ni àl'authentification ni à la sécurisation des données, ces tâches étant réalisées par un portaild'authentification ainsi que par les couches protocolaires supérieures (HTTPS).

Le portail captif est une application Web couplée à un firewall qui gèrent les accèssans fil de l'accès rapide du réseau de l'université. Il permet de vous orienter lors de votre

 première connexion et de trouver toutes les informations nécessaires pour configurer votreconnexion sans fil. Pour avoir accès les utilisateurs doivent être authentifié par le serveur radius pour cela ils entrent leur login et leur mot de passe. [20]

Figure 28: Cas des visiteurs 

Page 34: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 34/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

34 Réalisé par Richard Ewelle, Promotion 14, IFI

1.3.  Architecture d’authentification générale  

Le système que nous allons mettre en place doit pouvoir permettre ces trois type deconnexion au réseau de l'IFI. I l doit respecter les quelques critères suivants: [11]

  Tout PC se connectant sur le réseau sans-fil doit être identifié au même titre que les

PC filaires  L’introduction du réseau sans-fil ne doit pas remettre en cause les principes de sécurité

déjà existants.  Un même PC doit être vu sur le réseau de façon identique qu’il utilise une connexion

filaire ou sans-fils.  Un visiteur doit se trouver dans le réseau visiteurs.

Mais une dernière question ce pose au niveau des deux type de connexions sans fils(internes et les visiteurs), c'est celle de savoir comment configurer les points d'accès. Une

 première approche serait de dire que chaque point d'accès est configuré avec un SSID uniquecorrespondant à un seul type d'utilisateur. Mais dans ce cas, certains points d'accès surtoutceux des invités seront sous utilisés puisqu'il n'y a pas tout le temps des visiteurs.

Une autre approche plus efficace serait de configurer chaque point d'accès avec deuxVlans correspondant aux deux types d'utilisateur, chaque vlan sera donc associé à un SSID.Ainsi les points d'accès pourront toujours être utilisés par tous les utilisateurs.Pour qu'une telle architecture soit mise en œuvre nous avons besoins des bornes WIFI capablede gérer les Vlans

1.3.1. Dispositif généralD’une manière générale, le système mis en place doit avoir les composants suivants :

  Un serveur d’authentification : Nous avons utilisé le serveur OpenSourceFreeradius  

  Des bornes compatibles au Vlan  Un portail Captif tournant sur le serveur Web : Opensource Chillispot  Un Switch compatible aux Vlan  Un routeur pour le filtrage et le firewall

Tout ce dispositif sera organisé suivant la figure ci dessous

Figure 29: Architecture générale 

Cette architecture générale permet de prendre en compte les besoins des utilisateurs en

matière de connexion au réseau et à internet et les règles de sécurité définis par la politique desécurité en vigueur dans l’organisation. Comme on peut le constater les trois types

Page 35: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 35/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

35 Réalisé par Richard Ewelle, Promotion 14, IFI

d'utilisateurs s’authentifient de façon différente au réseau. Cet architecture n’est qu’un

exemple et peut être ajusté par la suite. Nous aurons donc :  Les permanents Wifi : Ils appartiennent au VLAN1 et donc pour accéder au réseau

ils utilisent la méthode d’authentification EAP-TLS ou EAP-TTLS. Les traficsd’authentification passent par le Point d’accès, ensuite le Switch et au niveau du

routeur, ils sont dirigés directement vers le serveur radius pour leur authentification enutilisant les certificats client et root pour TLS et login/mot de passe pour TTLS.    Les visiteurs Wifi : Ils appartiennent au VLAN2 ; pour accéder au réseau ils passent

 par le portail captif qui effectue une authentification sécurité en HTTPS. Ils entrent unlogin/mot de passe transmis au serveur radius par le daemon Chillispot du portail.Lors de l’ouverture de toute page web, Le trafic passe par le point d’accès ensuite

 passe par le Switch et au niveau du routeur, ils sont dirigés vers le portail captif ou ilsvont s’authentifier et pourrons ensuite avoir l’accès au réseau. Les requêtes

d’authentification sont renvoyées vers le serveur radius en passant par le routeur.    Utilisateurs Filaire : Ils appartiennent au VLAN3 et donc pour accéder au réseau il

utilise la méthode d’authentification EAP-TTLS/ EAP-TLS. Les trafics

d’authentification passent par le Switch et au niveau du routeur, ils sont dirigésdirectement vers le serveur radius pour leur authentification en utilisant le login et lemot de passe ou un certificat.  

II.  IMPLEMENTATION ET CONFIGURATION

Cette partie du document porte sur la configuration proprement dite. Nous allons ici vous présenter les différents services configurés au niveau des serveurs ainsi que les différentsfichiers à modifier que se soit chez le serveur ou chez le client. Tour à tour nous allons vous

 présenter l'installation et la configuration du serveur d'authentification (Freeradius),

l'installation et la configuration d'une application de gestion de Freeradius (le DialupAdmin),l'installation et la configuration du portail captif (Chillispot), la configuration du commutateur et la configuration des postes clients et des NAS (Network Authenticator System).

Après des discutions avec mon encadreur, nous avons un peu modifié le dispositif  présenté initialement, ceci à cause de certains problèmes d’incompatibilité ou indisponibilitéde matériel adéquat. Au lieu d’avoir des points d’accès configurés avec deux VLANS nousaurons plutôt un VLAN par point d’accès. Ainsi on aura deux points d’accès différents pour 

les utilisateurs permanents et les visiteurs.

Page 36: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 36/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

36 Réalisé par Richard Ewelle, Promotion 14, IFI

2.1. Installation de Freeradius avec EAP-TLS + MySQL [23]

Cette partie est très importante car c'est sur elle que repose toute l'architectured'authentification. Tous les utilisateurs filaire ou sans fils devrons s'authentifier auprès duserveur Freeradius. Pour cette partie, nous allons dans un premier temps installer et configurer Open SSL utilisé pour la génération des certificats, ensuite nous installerons et configureronsFreeradius en mode EAP-TLS, enfin nous ajouterons un support MySQL à Freeradius.Pour l’installation, nous avons utilisé une Debian lenny (fraîchement installé)

2.1.1. Installation et configuration de OpenSSL

La commande saisie précédemment nous à permit d'installer OpenSSL dans le système. Nousallons maintenant installer une autre version d’OpenSSL qui nous servira à la génération descertificats de l'autorité root, client et serveur. La version utilisée : openssl-0.9.7g. Onl'installera dans un autre répertoire.

2.1.1.1. InstallationOn peut télécharger les sources sur le site www.openssl.org, la version 0.9.7gOn décompresse l'archive et on lance ensuite la compilation puis l'installation de openssl.

OpenSSL se compile, cela dure plus ou moins longtemps suivant votre machine

2.1.1.2. ConfigurationAprès l' installation, nous allons passer à configuration d’OpenSSL. Il s'agit ici d'entrer les

différentes informations concernant le propriétaire du certificat. Le fichier à éditer estopenssl.cnf et nous utiliserons nano pour le modifier.

Vous pouvez ainsi personnaliser votre configuration en éditant ce fichier. Les valeurs que j'aiutilisées sont VN, Hanoi, IFI, TPE_IFI et [email protected].

#tar zxvf openssl-0.9.7g.tar.gz

#cd openssl-0.9.7g

#./config --prefix=/usr/local/openssl-certgen shared

#make && make install

#nano /usr/local/openssl-certgen/ssl/openssl.cnf 

Page 37: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 37/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

37 Réalisé par Richard Ewelle, Promotion 14, IFI

Il faut modifier les lignes qui finissent par xxx_default, pour le nom (commonName) etl'email, il n’y a pas ces lignes, vous pouvez les rajouter pour personnaliser votre

configuration. Ceci facilitera l'étape de la génération des certificats. Une fois que vous lesavez modifiées, il suffit d'enregistrer et quitter. L'installation de OpenSSL est terminée.

2.1.2. Génération des certificatsPour pouvoir générer les certificats, on a besoin des fichiers xpextensions, CA.root,

CA.svr, CA.clt que l’on peut les télécharger sur internet.Il faut ensuite personnaliser ces fichiers en modifiant le mot de passe de chacun de ces

certificats. Pour cela il suffit d'éditer le fichier et modifier le mot de passe par défaut whatever avec votre mot de passe. On utilisera ici comme mot de passe: eerichard 

 Nous allons maintenant générer les différents certificats, on commence par le certificat del'autorité de certification (root), ensuite le certificat du serveur (server) et le certificat du client

(client). Avant toute chose, il faut modifier les droits du fichier CA.root.

2.1.2.1. Génération du certificat root C'est le certificat de base de l'autorité de certification. Il permettra la génération des certificatsclients (signature du certificat). Pour les utilisateurs EAP-TLS devra avoir son certificat etl'autorité de certification sur sa machine. On lance donc la génération du certificat.

Puisque toutes les valeurs par défaut ont été renseignées dans le fichier openssl.cnf, à chaquequestion, tapez juste sur la touche Entrée. Il crée les fichiers root.pem, root.p12, root.der et ledossier demoCA. Le fichier root.pem est utilisé par FreeRadius, et il faudra installer le fichier root.der sur chaque station cliente.

[ req_distinguished_name ]

countryName = Country Name (2 letter code)

countryName_default = VN

[...]

localityName_default = Hanoi

0.organizationName = Organization Name (eg, company)0.organizationName_default = IFI

# we can do this but it is not needed normally :-)

[...]

commonName_default = TPE_IFI

emailAddress = Email Address

emailAddress_max = 64

emailAddress_default = [email protected]

#chmod 777 CA.root

#./CA.root

**********************************************************************

Creating self-signed private key and certificate

When prompted override the default value for the Common Name field

**********************************************************************

Generating a 1024 bit RSA private key..............................................++++++

..++++++

writing new private key to 'newreq.pem'

-----

[...]

**********************************************************************

**********************************************************************

Creating ROOT CA

**********************************************************************

MAC verified OK 

Page 38: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 38/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

38 Réalisé par Richard Ewelle, Promotion 14, IFI

2.1.2.2. Génération du certificat serveur

Ce certificat sera installé sur la machine avec le serveur radius.Il faut passer en paramètre le nom du fichier que l’on veut et à la question Common Name(eg, YOUR Name) []: On a utilisé ici le nom server.

On se retrouve donc avec les fichiers server.pem, server.p12, server.der.

2.1.2.3. Génération du certificat client 

Même chose que pour le certificat client, on passe en paramètre le nom du fichier et à laquestion Common Name, mettre le nom de l'utilisateur (dans notre exemple client).Attention, on ne peut pas avoir 2 certificats avec le même nom d'utilisateur ! De même pour le client on tape la commande :

On se retrouve avec 3 fichiers client.pem, client.der, client.p12 on installera ce dernier 

sur la machine cliente.2.2. Installation de Freeradius avec EAP-TLS (Sans MySQL)

Dans cette partie nous donnerons les différentes étapes par lesquelles il faut passer pour avoir un serveur radius fonctionnel.

2.2.1. InstallationLa version de Freeradius utilisée est : FreeRadius 1.0.2.On peut télécharger les sources sur le site www.freeradius.org, la version 1.0.2. Ensuite ondécompresse l'archive et on lance ensuite la compilation puis l'installation de freeradius. Pour la configuration de compilation de FreeRadius, on utilise le paramètre --sysconfdir=/etc/ qui

 placera tous les fichiers de configuration dans /etc/raddb.

2.2.2. Installation des certificats sur le serveurTous les fichiers utilisés pour la configuration de Freeradius se trouve dans le dossier /etc/raddb. On efface les certificats par défaut de FreeRadius, après on copie notre certificatroot et serveur dans le dossier certs. On finit par générer les fichiers random & dh avec lafonction date.

2.2.3. Configuration de FreeradiusPour la configuration de Freeradius proprement dite, on va juste modifier les fichiers suivants:

  eap.conf pour la configuration de EAP et des certificats  clients.conf pour la configuration des NAS (bornes Wifi) autorités à contacter le

Radius.  users pour la configuration des utilisateurs autorités.

# ./CA.srv server 

# ./CA.clt client

#tar zxvf freeradius-1.0.2.tar.gz

#cd freeradius-1.0.2

  #./configure –-sysconfdir=/etc/ --silent -–disable-shared

#make && make install

# cd /etc/raddb/certs/# rm -rf *

# cp /root/certs/root.pem /etc/raddb/certs

# cp /root/certs/serveur.pem /etc/raddb/certs

# date > random

# date > dh

Page 39: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 39/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

39 Réalisé par Richard Ewelle, Promotion 14, IFI

  radius.conf  le fichier principal de configuration de free radius.

2.2.3.1. Le fichier eap.conf On spécifie que l’on veut utiliser EAP-TLS et non MD5 à la ligne 22:

Après on configure EAP-TLS, il faut que l’on enlève les commentaires (les # devant) à partir de la ligne 122 et on modifie les chemins des certificats. Il faut mettre le même mot de passeque celui utilisé pour la génération des certificats.

Private_key_passwordest le mot de passe du certificat serveur (par défaut la valeur estwhatever on peut le modifier en éditant le fichier CA.svr)private_key_file et certificate_file est le chemin vers le certificat serveur.

CA_file est le chemin pour le certificat racine.2.2.3.2. Le fichier clients.conf 

Ce fichier permet de définir la liste des AP que l’on autorise à accéder au serveur Radius. Le

serveur et l'AP partagent un secret (une clé) pour crypter les données.Par défaut on autorise le localhost (127.0.0.1) avec comme secret : testing123 (pour réaliser des tests en local)Pour rajouter notre borne Wifi avec comme adresse IP 172.16.6.10

On aura une clé partagée entre l'AP et le serveur qui sera shared et on lui donne le nomMaBorneWifi via shortname (utile pour le debug).

2.2.3.3. Le fichier usersDans ce fichier, on défini la liste des utilisateurs qu'on autorise. On a précédemment géré lecertificat pour l'utilisateur client, on ajoute donc à la fin du fichier. on ajoutera égaleme nt unutilisateur pour effectuer les tests en local.

Pour chaque utilisateur, on doit ajouter une ligne dans ce fichier.On peut utiliser une base de données pour gérer la liste des NAS autorisés (on verra plus loin).

default_eap_type = tls

tls {

private_key_password = eerichard

private_key_file = ${raddbdir}/certs/server.pem

certificate_file = ${raddbdir}/certs/server.pem

CA_file = ${raddbdir}/certs/root.pem

dh_file = ${raddbdir}/certs/dh

random_file = ${raddbdir}/certs/random

fragment_size = 1024include_length = yes

#check_crl = yes

check_cert_cn = %{User-Name}

}

}

client 172.16.6.10 {

secret = shared

shortname = MaBorneWifi

nastype = other 

}

"client" Auth-Type := EAP, EAP-Type := EAP-TLS

"usertest" Auth-Type := Local , User-Password =="test"

Page 40: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 40/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

40 Réalisé par Richard Ewelle, Promotion 14, IFI

2.2.3.4. Le fichier radius.conf C'est le fichier principal de configuration de FreeRadius, on n’a rien de spécial à configurer 

 pour le moment.

2.2.4. Lancement et premier test de FreeradiusPour être sur que ça marche bien on lance le daemon avec le debug.

La commande à utilisé pour tester la configuration de freeradius est radtest. Nousallons faire ce teste en local (sur serveur) avec l'utilisateur usertest précédemment ajouté etcomme authentificateur on a utilisé l'entrée localhost du fichier client.conf 

La dernière ligne indique que le client à bel et bien reçu un acquittement à sa demandede connexion. Le serveur à Accepté.

De la même façon on peut observer le déroulement du processus d'authentification auniveau du serveur. Le serveur reçoit la demande d'authentification (rad_recv: Access-Request), passe par une phase d'autorisation et ensuite une phase d'authentification dul'utilisateur (Processing the authorize section, Processing the authenticate section), et enfin ilaccepte l'utilisateur en envoyant un message d'acquittement (Sending Access-Accept of id 185to 127.0.0.1).

# radiusd -X -A &

Starting - reading configuration files ...

reread_config: reading radiusd.conf 

[...]

Listening on authentication *:1812

Listening on accounting *:1813

Listening on proxy *:1814

Ready to process requests.

# radtest usertest test localhost 0 shared

Sending Access-Request of id 57 to 127.0.0.1 port 1812

User-Name = "usertest"User-Password = "test"

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=57, length=20

rad_recv: Access-Request packet from host 127.0.0.1:1024, id=185, length=62

User-Name = "usertest"

User-Password = "test"

 NAS-IP-Address = 127.0.0.1

 NAS-Port = 0

Processing the authorize section of radiusd.conf 

modcall: entering group authorize for request 0

[...]

Processing the authenticate section of radiusd.conf 

modcall: entering group PAP for request 0

[...]

Sending Access-Accept of id 185 to 127.0.0.1 port 1024

Finished request 0

Going to the next request

--- Walking the entire request list ---

Waking up in 6 seconds...

--- Walking the entire request list ---

Cleaning up request 0 ID 185 with timestamp 48847146Nothing to do. Sleeping until we see a request.

Page 41: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 41/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

41 Réalisé par Richard Ewelle, Promotion 14, IFI

2.3. Installation de MySQL et base de données radiusPour permettre une meilleure gestion de Freeradius et de ses différents utilisateurs, nousallons installer une base de données MySQL pour remplacer certains fichiers deconfigurations.

2.3.1.  Ajout du support MySQL à FreeradiusOn commence par installer le serveur MySQL + le serveur Web (apache + php) pour lagestion via phpmyadmin

On installe ensuite la bibliothèque « libmysqlclient12-dev »

Il faudra ensuite recompiler FreeRadius donc on lance un make clean et on recommencecomme à la page d'installation (./configure ... make && make install ).Ensuite on va demander au serveur radius d'aller chercher les informations d'autorisation etd'authentification des clients dans la base de données et non dans les fichiers de configuration.Pour cela on édite les fichiers radius.conf et sql.conf du repertoire /etc/raddb.

2.3.1.1. Le fichier sql.conf Dans ce fichier on renseigne les champs correspondant à une connexion à la base de donnéesradius de MySQL. Les paramètres sont ceux que j'ai utilisé pour ma configuration.

2.3.1.2. Le fichier radius.conf Dans le bloc authorize il faut commenter files et dé commenter sql.

On fera de même pour le bloc authenticate.

2.3.2. Installation de la base de donnéesPuisque nous avons utilisé une débian avec installatin de base nous utiliserons le promptMySQL. Voici comment cette configuration va se faire: on crée la base de donnés vide, etensuite on la remplit avec un fichier SQL fournit dans les sources de freeradius.

#apt-get install mysql-server apache php4 php4-mysql phpmyadmin

#apt-get install libmysqlclient12-dev

# Database type

# Current supported are: rlm_sql_mysql, rlm_sql_postgresql,

# rlm_sql_iodbc, rlm_sql_oracle,

# rlm_sql_unixodbc, rlm_sql_freetds

driver = "rlm_sql_mysql"

# Connect info

server = "localhost"

login = "root"

password = "root"

# Database table configuration

radius_db = "radius"

authorize {

[...]

#

# Read the 'users' file

# files

[...]

# See "Authorization Queries" in sql.conf 

sql

# mysql

Welcome to the MySQL monitor. Commands end with ; or \g.

mysql> CREATE DATABASE radius;

Query OK, 1 row affected (0.00 sec)

mysql> use radius

Database changed

mysql> source /root/freeradius-1.0.2/src/modules/rlm_sql/drivers/rlm_sql_mysql/db_mysql.sql

Page 42: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 42/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

42 Réalisé par Richard Ewelle, Promotion 14, IFI

Vous avez maintenant 8 nouvelles tables. Voilà un petit descriptif des tables, on utilisera justeles tables radgroupcheck et usergroup.

Voici une petite explication sur les différentes tables de cette base de données.Table nas qui permet de remplacer le fichier client.conf en stockant la liste des NAS autoriséTable radacct qui stocke les informations que retourne le NAS quand on fait de l'accountingTable radcheck qui permet de vérifier une option d'un utilisateur (par exemple le mot de

 passe quand on utilise PEAP ou TTLS)Table radgroupcheck  même chose que radcheck mais pour une option de groupe.Table radgroupreply qui permet de retourner une option de groupeTable radpostauth qui stocke chaque authentification réussie.Table radreply qui permet de retourner une option pour l'utilisateur.Table usergroup qui permet de faire la liaison entre le nom d'utilisateur et son groupe.Quand on utilise FreeRadius avec une base de données, la gestion des utilisateurs est un peudifférente, chaque utilisateur est rattaché un groupe. Ce qui fait qu'il y a les options de groupeet les options pour l'utilisateur.

2.3.3. Remplacement du fichier des utilisateurs users.conf par la table NASPour rendre ce remplacement possible, nous allons tout d'abord l'annoncé au niveau du fichier sql.conf en dé-commentant la ligne radclients = yes

Il faut maintenant rajouter notre NAS dans la base de données.Ceci correspond à la même configuration faite précédemment dans le fichier client.conf 

Une brève explication sur les différents champs de la table.Champ id : Numéro unique qui s'auto-incrémente.Champ nasname : Adresse IP du NAS (on peut spécifier un réseau en mettant192.168.23.0/24 par exemple)Champ shortname : Nom de notre NAS

Champ type : le type de NAS pour l'utilisation dictionnaire de la marque par défaut other Champ ports : le(s) port(s) utilisé(s) pour communiquer avec le NAS par défaut 1812

#mysql> SHOW TABLES;

+------------------+

| Tables_in_radius |

+------------------+

| nas || radacct |

| radcheck |

| radgroupcheck |

| radgroupreply |

| radpostauth |

| radreply |

| usergroup |

+------------------+

8 rows in set (0.00 sec)

# Set to 'yes' to read radius clients from

the database ('nas' table)

readclients = yes

}

mysql> SELECT * FROM nas;+----+----------------+--------------+-------+-------+---------+-----------+------------+| id | nasname | shortname | type | ports | secret | community | description |

+----+----------------+--------------+-------+-------+---------+-----------+------------+| 1 | 172.16.6.20 | MaBorneWifi | other | 1812 | shared | public | MonNas |

+----+----------------+--------------+-------+-------+---------+-----------+------------+

Page 43: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 43/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

43 Réalisé par Richard Ewelle, Promotion 14, IFI

Champ secret : la clé partagée entre le NAS et le serveur Radius.Champ community : la communauté SNMP du NAS (pas obligatoire)Champ description : une petite description du nasIl faut également remplacer les entrées du fichier users en rajoutant des utilisateurs dans latable radcheck base de données.

On obtient ainsi la même configuration que celle entrée précédemment dans le fichier users.

2.3.4. Test de Freeradius et MySQL Nous allons maintenant tester tout le dispositif. On va commencer par tester l'authenticateur àl'adresse 172.16.6.10. On va faire se teste sur une autre machine. En supposant que l'adresseIP du serveur est 172.16.6.1 et qu'il y une connectivité entre les deux machines.

On constate que l'authentification s'effectue avec succès et le serveur envoi un acquittement.Pour tester EAP, on doit d'abord configurer les NAS (Point d'accès) et les postes client.

2.4. Configuration du NASLa configuration des NAS n'est pas très compliquée, il suffit juste de renseigner le protocole

d'authentification, l'algorithme de cryptage et l'adresse IP du serveur radius. On peutégalement choisir d'activer la diffusion ou non du SSID.Le Matériel utilisé ici à l'IFI c'est le point d'acces lynksys WGART firmware 1.0. nousutiliserons les parametres suivants:Protocole : WPA2 EntrepriseCryptage : AESRadius server : 172.16.6.1Clé partagée : eapshared

2.5. Installation de Chillispot (Portail captif) [24]Le logiciel ChilliSpot se compose de 2 modules : hotspotlogin.cgi (formulaire webd’authentification) et chillispot (daemon). Par défaut, hotspotlogin.cgi utilise CHAP-Challenge et CHAP-Password pour communiquer avec le serveur Radius. Évidement leserveur radius et et le portail captif peuvent être sur la même machine mais dans notre cas onva les installé sur deux machines différentes (une explication à ceci sera donnée plus tart).

2.5.1. InstallationLe logiciel Chillispot nécessite que les logiciels suivants soient installés : iptables,apache2 ss l-certmysql-client mysql-server  

Pour effectuer la redirection avec Chillispot, nous avons besoin du module tun.o. Ce module permet de créer une interface virtuelle qui va recevoir toutes les requettes http et les rediriger vers la page d'authentification.Debian ne crée pas le périphérique "tun" automatiquement. Taper les commandes suivantes :

mysql> INSERT INTO radcheck VALUES ('','usertest','User-Password','==','test');

Query OK, 1 row affected, 1 warning (0.01 sec)

# radtest usertest test 172.16.6.1 1812 shared

Sending Access-Request of id 57 to 172.16.6.10 port 1812

User-Name = "usertest"

User-Password = "test"

NAS-IP-Address = 172.6.6.10

NAS-Port = 1812

rad_recv: Access-Accept packet from host 172.6.6.1:1812, id=57, length=20

# apt-get install iptables apache2 ssl-cert mysql-client mysql-server 

Page 44: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 44/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

44 Réalisé par Richard Ewelle, Promotion 14, IFI

Il faut ensuite mette à jour la liste des alias; faites le en tapant les commandes suivantes

Le tableau suivant résume l'ensemble des paramètres à configurer pour faire fonctionner chillispot. Nous les utiliserons un à un pour configurer chillispot.

net 172.16.5.0/24 Utilisé par ledhcp de chillispot

dns1 192.168.100.200 Le DNS de l'IFI pour la résolution de nom

radiuslisten 192.168.106.245 L'interface reliée au serveur radius.

radiusserveur1 192.168.106.246 L'adresse IP de l'interface du serveur radius.

radiusserveur2 192.168.106.246 L'adresse IP de l'interface du serveur radius.

radiussecret chilshared secret partagé entre le serveur Radius et le daemon chillispot

radiusnasid ChilAuth NAS-ID : identifiant de notre chillispot

dhcpif  eth0 nom de l’interface reliée au point d’accès(passant par le Switch) 

uamserver  https://172.16.5.1/cgi-

bin/hotspotlogin.cgi

La page du formulaire d'authentification

uamsecret chilsecret secret partagé entre la page hotspotlogin.cgi et le daemon chillispot

On va maintenant passer à l'installation proprement dite de chillispot. Nous allons dans un premier temps télécharger les paquets de chillispot disponibles sur le site

http://www.chillispot.info le paquet chillispot utilisé sont chillispot_1.0_i386.deb. On lanceensuite l'installation.

Un menu de configuration apparaitra, il suffit de répondre soigneusement à toutes lesquestions posées en se basant sur le tableau ci-dessus. Ceci effectuera une configuration de

 base de chillispot dans le fichier /etc/chilli.conf.

2.5.2. Configuration de Chillispot 

Après l'installation et la configuration de base, il faudra éditer le fichier ce fichier /etc/chilli.conf. pour configurer tous les paramètres suivant le tableau donné plus haut.Faire une copie du fichier hotspotlogin.cgi, puis changez les droits ainsi :

Editer le fichier /usr/lib/cgi-bin/hotspotlogin.cgi, décomenter la ligne#$uamsecret = "ht2eb8ej6s4et3rg1ulp"; et remplacer ht2eb8ej6s4et3rg1ulp par la valeur de uamsecret : chilsecret.

Chillispot n'est pas activé par défaut il faudra donc l'activer en éditant le fichier /etc/default/chillispot et remplace la ligne ENABLED=0 par ENABLED=1 

 Nous devons ensuite installer les règles iptables du Firewall. Pour cela, on copie le fichier derègles fourni en example dans le répertoire /etc/ :

# mkdir /dev/net

# mknod /dev/net/tun c 10 200

# modprobe tun

# echo "alias char-major-10-200 tun" >> /etc/modutils/chillispot

# update-modules

#mkdir chillispot#cd chillispot#wget http://www.chillispot.info/download/chillispot_1.0_i386.deb# dpkg -i chillispot_1.0_i386.deb

#cp /usr/share/doc/chillispot/hotspotlogin.cgi.gz /usr/lib/cgi-bin/

#chmod a+x hotspotlogin.cgi.gz

$uamsecret = "chilsecret";

Page 45: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 45/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

45 Réalisé par Richard Ewelle, Promotion 14, IFI

Dans ce fichier, vérifier au moins les paramètres EXTIF et INTIF. Ils doivent être configuréscomme suit:

Si ce n’est pas déjà fait, activer le forwarding entre les interfaces réseau. Vérifier la ligne

suivante existe dans le fichier  /etc/network/options :

Ajouter le portail captif (192.168.106.245) comme un NAS dans la base de données duserveur radius avec la clé childshared.

 Nous allons maintenant vérifier l'authentification du portail captif par le serveur radius(192.168.106.246).

Tout va bien l'authenticator est reconnu par le serveur radius.

2.5.3. Configuration de Apache pour Chillispot Le daemon chillispot fera des redirections vers la page d'authentification qui elle est sécurisé

 par HTTPS. Nous devons donc configurer le serveur apache pour qu'il puisse fonctionner enmode sécurisé. Pour cela nous avons besoin de générer les certificats pour apache. Il est à notéici que les certificats sont délivrés par des autorités de certifications, mais pour des besoinsd'expérimentation, nous allons nous même générer des certificats auto signés.

Ceci créera le certificat dans le fichier /etc/apache2/ssl/apache.pem. Nous devons ensuite activer le mod ssl dans le fichier /etc/apache2/ports.conf et re lancer le

serveur pour prendre les modifications en compte.

 Nous allons maintenant créer un hôte virtuelle sécurisé pour les trafics en Https sur le port443. Nous le ferons en copiant et en modifiant le fichier /etc/apache2/default.

Modifier les lignes suivantes

# cp /usr/share/doc/chillispot/firewall.iptables /etc/chilli.iptables

# chmod u+x /etc/chilli.iptables

EXTIF="eth1" /* interface reliée à Internet */

INTIF="eth0" /* interface reliée au point d'accès */

ip_forward=yes

mysql> INSERT INTO nas

VALUES ('','192.168.106.245','Chillispot','other','1812','chilshared','public','Chillispot');

Query OK, 1 row affected, 1 warning (0.01 sec)

# radtest usertest test 192.168.106.246 1812 chilshared

Sending Access-Request of id 57 to 192.168.106.246 port 1812

User-Name = "usertest"

User-Password = "test"

NAS-IP-Address = 192.168.106.245

NAS-Port = 1812

rad_recv: Access-Accept packet from host 192.168.106.246:1812, id=57, length=20

#mkdir /etc/apache2/ssl

#make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

#echo "Listen 443" >> /etc/apache2/ports.conf 

#a2enmod ssl

#/etc/init.d/apache2 restart

#cp /etc/apache2/sites-available/default /etc/apache2/sites-available/secure

#nano /etc/apache2/sites-available/secure

1. NameVirtualHost *

2. <VirtualHost *>

Page 46: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 46/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

46 Réalisé par Richard Ewelle, Promotion 14, IFI

et faits les ressembler à ceci

nous allons activé l'hôte crée et redemander le serveur apache.

Attention, le daemon chillispot fait office de serveur DHCP, donc arrêtez votre serveur DHCPsi vous en avez un sur la même machine. Enlever ensuite la configuration de l'interface eth0avant de lancer le daemon chillispot.

 Nous devons donc exécuter ces commandes une fois la machine démarrée et les services

lancés. Pour cela, nous allons écrire ces commandes dans le fichier /etc/rc.local afind'exécuter ces commandes au démarrage de la machine, de façon automatique.

2.5.4. Teste de la configuration de chillispot Pour le point d'accès, aucune sécurité n'est nécessaire; il sera donc configuré en mode Openavec une adresse dans le même réseau que le deamon chillispot: 172.16.5.10.Sur le poste client sans-fil une fois connecté au point d'accès, si besoin renouveler son adresseIP (sous Microsoft Windows, taper dans une console DOS : ipconfig /renew) puis ouvrir unnavigateur et taper une URL, par exemplehttp://www.google.fr . Vous devriez être redirigévers le CGI hotspotlogin.cgi pour vous authentifier 

Rentrez votre login/mot de passe. Une page de confirmation apparait et une popup devraitapparaître, indiquant le temps de connexion.

2.6. Installation et configuration de DialupAdmin [25]Après la configuration de radius et ces différent authenticators, il faut maintenant mettre en

 place un dispositif permettant une administration rapide et légère. C'est d'ailleurs une desraisons pour lesquelles on à migré les informations statique des fichiers sur une base dedonnées qui elle est plus maniable et plus efficace. L’outil que nous allons utiliser pour cetteadministration c'est DialupAdmin. Nous l'installerons sur la même machine que le serveur radius. Il nous permettra de générer les NAS, les utilisateurs ainsi que toutes les informationsliées à leurs connexions. Bref c'est une interface Web qui à un grand nombre defonctionnalités que l'on ne va pas tous dévoiler ici. On se contentera de l'installer et de vérifier qu'il fonctionne bien.

2.6.1. InstallationPour son installation il faut utiliser la commande apt-get. On installera par la même occasion

le module php4-mysql

1. NameVirtualHost *:4432. <VirtualHost *:443>3. SSLEngine on4. SSLCertificateFile /etc/apache2/ssl/apache.pem

#a2ensite secure

#/etc/init.d/apache2 restart

#ifconfig eth0 0.0.0.0

#/etc/init.d/chillispot restart

#/etc/chilli.iptables

# apt-get install freeradius-dialupadmin php4-mysql

Page 47: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 47/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

47 Réalisé par Richard Ewelle, Promotion 14, IFI

 Nous allons ajouter un bloc correspondant aux informations de dialupadmin dans le fichier /etc/apache2/sites -enable/000-default.

L’interface web d ialupadmin sera alors access ible via l’URL : https://192.168.106.246/dialupadmin. 

2.6.2. Configuration

Il faut passer à la configuration du dialupadmin proprement dit. Cette configuration est faite

dans le fichier /etc/admin.conf. De façon générale, les entrées suivantes doivent êtrerenseignées dans ce fichier.

Il va ensuite falloir créer un utilisateur MySQL login:dialup mot de passe: dialup et luiattribuer tous les droits à la base de de données radius.

 Nous allons ensuite créer une entré Nas correspondant à localhost dans la table de radius. Onutilisera la clé radsecret.

 Nous devons par la suite, créer d'autres tables utilisées par le dialupadmin. On peut retrouver leurs scripts sql dans le repertoire : /usr/share/freeradius-dialupadmin/sql 

Alias /dialupadmin/ "/usr/share/freeradius-dialupadmin/htdocs/"

<Directory /usr/share/freeradius-dialupadmin/htdocs>

#SSLVerifyClient require

#SSLVerifyDepth 5Options Indexes FollowSymLinks MultiViews

AllowOverride None

Order allow,deny

Allow from all

</Directory>

[...]

general_raddb_dir: /etc/raddb

general_clients_conf: /etc/raddb/clients.conf 

general_sql_attrmap: %{general_base_dir}/conf/sql.attrmap

general_accounting_attrs_file: %{general_base_dir}/conf/accounting.attrs

general_extra_ldap_attrmap: %{general_base_dir}/conf/extra.ldap-attrmap

general_radius_server: localhost

general_radius_server_port: 1812

[...]

general_radius_server_secret: radsecret

[...]

sql_type: mysql

sql_server: localhost

sql_port: 3306

# mettre le nom utilisateur (à modifier)

sql_username: dialup

# mot de passe utilisateur (à modifier)

sql_password: dialup

[...]

sql_debug: false

mysql> INSERT INTO nas

VALUES ('','127.0.0.1','Dialup','other','1812','radsecret','public','Dialup');

Query OK, 1 row affected, 1 warning (0.01 sec)

Page 48: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 48/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

48 Réalisé par Richard Ewelle, Promotion 14, IFI

Si tout est bien configuré, voici les screenshots que vous devriez obtenir.

Pour le sous menu Statistique par exemple on peut avoir toutes les informations sur lesconnexions des clients ainsi que les taux d'occupation et de téléchargement de chacun.

On peut avoir les informations sur les utilisateurs actuellement connectés. Parmi les multiplesfonctionnalités du dialupadmin, on peut également insérer, modifier ou supprimer les Nas, lesutilisateurs, ainsi que les groupes d'utilisateur. Ce qui est très important pour la gestion.

2.7. Configuration du CommutateurPour pouvoir faire fonctionner tout ce dispositif, il est nécessaire d'établir une gestion à la

 base des VLANS. Ainsi tous les serveurs et les NAS seront connectés au commutateur qui sechargera de faire un filtrage à la base des VLANS. Chaque serveur et Nas va donc se voir attribué un VLAN et on s'arrangera à ce que les communications inter Vlan soit impossible en

 passant par ce commutateur. Le matériel utilisé ici c'est un Switch Catalyst de chez Cisco dontvoici les étapes de la configuration.

2.7.1. Configuration de base du SwitchComme le Switch que j'utilisé n'avais jamais été utilisé, il m'a fallut faire une configurationinitiale. J'ai ainsi attribué l'adresse IP 172.16.6.10. Un mot de passe pour l'interface console etun mot de passe pour l'accès en mode configuration globale.Ensuite on je me suis connecté à l'interface virtuelle du Switch par telnet. Une fois àl'interface du mode console, il faut aller en mode de configuraion globale. Cela se fait avec lescommandes suivantes:

# cd /usr/share/freeradius-dialupadmin/sql

# mysql -u radius -p radius < badusers.sql

# mysql -u radius -p radius < mtotacct.sql

# mysql -u radius -p radius < totacct.sql

# mysql -u radius -p radius < userinfo.sql

#telnet 172.16.6.10

[...]

# password: telnet

>en

# password: C2960

# conf t

# conf >

Page 49: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 49/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

49 Réalisé par Richard Ewelle, Promotion 14, IFI

2.7.2. Configuration des VlansUne fois en mode de configuration global, on peut commencer la configuration. On vacommencer par créer 2 VLANS Vlan 1 et Vlan 2.

Ensuite on va associer chaque Nas et serveur à un vlan suivant le schéma de la page 1.

Pour vérifier notre configuration on peut sortir du mode de configuration et taper lecommande show vlan brief/

Chaque hôte (nas et serveurs) est associé à un VLAN.Ainsi les utilisateurs se connectant au point d'accès 1; sont du VLAN 1, par conséquent leurstrafics seront donc envoyés vers le portail captif pour l'authentification via la page CGI. Et lesutilisateurs voulant se connecté au point d'accès 2, vont voire leurs trafics d'authentificationredirigés directement vers le serveur radius. De même pour les clients connectés au réseaufilaire (directement au Switch) qui vont s'authentifier directement au serveur radius.Les utilisateurs filaires aurons comme NAS, le Switch d'où il faut également l'ajouter dans latables nas de la base de donnés radius.

PARTIE III : PERSPECTIVES ET CONCLUSION

I.  CONNECTIVITE : ROAMING

Lorsqu’une station c liente se dép lace d’un point d’accès à un autre, il est nécessaire pour se connecter de s’authentifier à nouveau au deuxième point d’accès. Or pour certainesapplications sensibles à la latence, le temps mis pour la nouvelle authentification est un

 problème. Le Roaming  permettra donc aux utilisateurs de pouvoir se déplacer et de quitter d’un point d’accès à un autre sans devoir s’authentifier à nouveau ainsi la connexion n’est

 pas perdue.

# vlan 10

# vlan 20

#int fa0/3

#switchport access vlan 20

#switchport mode access

#no shutdown

#exit

#exit

# show vlan brief 

Page 50: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 50/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

50 Réalisé par Richard Ewelle, Promotion 14, IFI

II.  SECURITE

1.1.  Annuaire LDAP (Lightweight Directory Access Protoco l)

Comme l'annuaire téléphonique, la première fonction de l'annuaire LDAP est deretrouver facilement les coordonnées d'une personne : son adresse électronique, son adresse

 professionnelle, son téléphone professionnel en fonction de différents critères de recherche.

L'annuaire LDAP de peut également avoir une deuxième fonction : permettrel'authentification d'une personne à l'aide d'un nom de connexion (ou login) d'un mot de passe.

C’est ainsi qu’il est possible de coupler le serveur d’authentification Freeradius et un annuaireLADP. Une manière plus rapide d’implémenter ce système serait d’utiliser les mêmes

identifiants (login et mot de passe) que ceux utilisés pour l’accès au courrier électronique del’IFI. Ainsi tous ceux qui disposent déjà d’un courriel à l’IFI pourront se connecter.

1.2. Tunnel VPN

Le réseau de l'IFI de façon général dispose d'un certain nombre de services internes qui nesont accessible que dans les locaux de l'IFI. Ceci offre un certain niveau de sécurité dans lesens où pour accéder à ces applications il faut d'abord avoir accès au réseau de l'IFI. Mais denos jours il existe des technologies qui permettent aux organisations de créer un réseau privésur l'infrastructure public d'internet.

La technologie VPN permet à l’utilisateur de se connecter à distance aux ressources

du réseau interne de manière sécurisée.Deux types de protocoles VPN sont applicables:

  IPsec  –   Internet Protocol SECurity   SSL  –  Secure Socket Layer 

Les produits VPN SSL sont les plus récents sur le marché. Le principale argumentcommercial: « client-less ». L’utilisateur n’a pas besoin d’installer un client spécial pour se

connecter à son réseau, un navigateur web suffit. [05]Principe: rediriger le trafic réseau des applications courantes vers le port HTTPS pour qu’il

 bénéficie de la protection du tunnel SSL: VPN SSL = Redirection de port + tunnelisation

Figure 30: Technologie VPN  

Page 51: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 51/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

51 Réalisé par Richard Ewelle, Promotion 14, IFI

III.  CONCLUSION

A la fin de ce TPE ou il était question de regarder de près les problèmes de connectivité etde sécurité des les réseaux sans fils, il ressort clairement que, les réseaux sans fils sont trèssollicités de nos jours car ils offrent beaucoup de mobilité contrairement aux réseaux filaire.

Mais ils viennent également avec leur lot de problèmes parmi lesquels la connectivité et lasécurité.

Lors du déploiement d’un réseau sans fil, tel que celui prévu sur le campus de  L’IFI, il est particulièrement intéressant de simuler certaines situations avec des modèles les

 plus réalistes possibles.Toutefois, les simulations exécutées avec NS2 ont permis de visualiser les effets de

quelques scénarios pratiques.Ainsi, les quelques simulations effectuées nous amènent à penser qu’un cahier des

charges le plus rempli possible et la connaissance des contraintes techniques sont primordiaux pour déployer un réseau optimal sur un campus.

Les réseaux sans fils sont des réseaux assez vulnérables de par leur nature. Mais

néanmoins il existe des technologies qui essayent tant bien que mal à assurer un niveau desécurité acceptable dans ce type de réseau. Au fil du temps des méthodes ont été créées maisle protocole 802.1X est celui qui fournit la meilleure sécurité de nos jours. Deux applicationscourantes sont EAP-TLS et EAP-TTLS, tous les deux utilisent un serveur radius et un

 protocole de cryptage AES ou TKIP. EAP-TLS est le protocole le plus sur mais il requiertdes certificats pour chaque client tandis que EAP-TTLS requiert juste un mot de passe et unlogin. Il est c laire que la sécurité dans ses systèmes n’est pas absolue et qu’il reste des chosesà faire car des failles ont été trouvés dans 802.1X : l’attaque de l’homme du milieu et de

l’attaque du dictionnaire. D’où il faut appliquer d’autres mesures de sécuritéscomplémentaires. Le portail captif est également une bonne solution pour offrir desconnexions instantanée aux utilisateurs.

Page 52: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 52/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

52 Réalisé par Richard Ewelle, Promotion 14, IFI

IV.  REFERENCES

  [01] Radio Propagation Models(2003).

http://www.cs.utexas.edu/~lili/classes/S09/doc/propagation_ns.pdf  

  [02] Pejman Roshan, Jonathan Leary: 802.11 Wireless LAN Fundamentals (2003).http://www.onetechvalley.com/ebooks/CISCO/Cisco.Press.802.11.Wireless.LAN.Fundamentals.eBook-LiB.zip  

  [03] Zhong ji, Bin-Hong : Efficient ray-tracing methods for propagation prediction for indoor wireless (2001).http://web.syr.edu/~zji/paper5.pdf  

  [04] CDLTEC infrastructures Technologiques : Propagation des ondes rad io

électriques(2005)http://www.cdltec.com/Propagation%20des%20ondes.pdf  

  [05] Michel Duchateau: Analyse et simulation du déploiementd’un réseau sans fil à l’ULB (2005).http://code.ulb.ac.be/dbfiles/Duc2005mastersthesis.pdf  

  [06] Dominique Dhoutaut, Jonathan Leary:Etude du standard IEEE 802.11 dans lecadre

des réseaux ad hoc : de la simulation à l'expérimentation.(2003)

http://www.cisco.com/web/learning/netacad/index.html 

  [07] Tom’s Guide : Le transport numérique par ondes électromagnétiqueshttp://www.bestofmicro.com/guide/savoir-Wi-Fi,5-

aWRHdWlkZT0xNCZpZENsYXNzZXVyPTI0JmlkUnVicmlxdWU9MTE2.html 

  [08] Vulnerability discovered in WPA encryptionhttp://www.scmagazineus.com/Vulnerability-discovered-in-WPA-

encryption/article/120572/   [11] S.Bordères: Authentification sur réseau sans-fil (2005).

http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf    [12] Krishna Sankar, Sri Sundaralingam, Andrew Balinsky, Darrin Miller : Cisco Wireless LAN

Security (2004).  [13] Cisco: CCNA Exploration: Basic Wireless Concepts and Configuration (2007).

http://www.cisco.com/web/learning/netacad/index.html   [14] Authentification RADIUS.

http://www-igm.univ-mlv.fr/~dr/XPOSE2008/HOTSPOTS_WIFI/radius_auth.html   [15] l'université Paul Verlaine - Metz: Généralités sur le service sans fil de l'université

Paul Verlaine – Metz (2009).http://www.crium.univ-metz.fr/reseau/wifi/faq/generalites.html 

Page 53: Cour Cool Wifi

7/15/2019 Cour Cool Wifi

http://slidepdf.com/reader/full/cour-cool-wifi 53/53

TPE : Connectivité et sécurité des réseaux sans fils 2009

  [16] Manuel BERTRAND: Étude des solutions de connexion pour postes nomades

dans le contexte d'un laboratoire de recherche (2004).http://www.urec.cnrs.fr/IMG/pdf/articles.04.Presentation-connexion-nomades.pdf . 

  [17] Manuel BERTRAND: Recommandations de sécurité destinées auxadministrateurs systèmes et réseaux du CNRS pour l’installation de réseaux locaux

sans fil (« WiFi ») (2004).http://www.urec.cnrs.fr/ IMG/pdf/articles.04.RecomWIFI-v2-7.pdf .  

  [18] Claude Duvallet: Architectures et Protocoles des Réseaux (2003).http://litis.univ-lehavre.fr/~duvallet/enseignements/Cours/M1INFO/Reseau/MI-Cours-

Reseau-Cours3.pdf .   [19] C3LD-SENEGAL: LE RESEAU INFORMATIQUE SANS FIL WI-FI.(2006)

http://www.club-solidarite-numerique.org/presentations_solutions_libres_dakar_2006/10_wifi.ppt. 

  [20] Hassnae MNIE FILALI, Gwenaël CHOLET: Portail Captif IPv6 .

http://projets-gmi.iup.univ-avignon.fr/projets/proj0708/M2/p02/Files/Projet02-Portail%20Captif%20IPv6.ppt. 

  [21] Emmanuel DOREAU, WI-FI: Etat de l’art des protocoles de secret et

d’authentification (2005). (Page consultée le 10 décembre 2008)http://emmanueldoreau.free.fr/CNAM/PROBATOIRE/wifi.pdf . 

  [22] Faure Sylvain, Binet morgan: Mise en place d'un Hotspot WiFihttp://floters.free.fr/rapport/hotspotWifi.pdf  

  [23] Installation Freeradius EAP-TLS-MySQL-OpenSSL

http://blog.igut.fr/public/InstallationFreeradiusEAP-TLSmysqlv1.0.1.pdf  

  [24] Chillispot s imple config  http://www.zlabinger.at/blog/wp-content/uploads/2006/05/chillispot-simple-config.pdf    [25] Dialup admin

http://wiki.freeradius.org/Dialup_admin