UNIVERSITE D’ANTANANARIVO

ECOLE SUPERIEURE POLYTECHNIQUE

D’ANTANANARIVO

------------------------------------------------

DEPARTEMENT ELECTRONIQUE

________________________________

MEMOIRE DE FIN D’ETUDES EN VUE DE L’OBTENTION

DU DIPLOME D’INGENIEUR

Spécialité : ELECTRONIQUE

Options :

INFORMATIQUE INDUSTRIELLE *

ELECTRONIQUE AUTOMATIQUE ◊

MISE EN PLACE D’UN RESEAU SANS FILS

SECURISE DANS UNE ENTREPRISE

présenté par :

Monsieur JAONA Andriamparany Herilalaina *

Monsieur RAFENOHERY Lova Nomena ◊

Soutenu le 20 Juillet 2005

N° d’ordre : 05/EN/II/04 *

05/EN/EA/04 ◊

Année Universitaire : 2003-2004

MEMOIRE DE FIN D’ETUDES EN VUE DE L’OBTENTION

DU DIPLOME D’INGENIEUR

Spécialité : Electronique

Options :

Informatique Industrielle *

Electronique Automatique ◊

MISE EN PLACE D’UN RESEAU SANS FILS

SECURISE DANS UNE ENTREPRISE

Soutenu le 20 juillet 2005

N° d’ordre : 05/EN/II/04 *

05/EN/EA/04 ◊ Année Universitaire : 2003-2004

Présenté

par :

Monsieur JAONA Andriamparany Herilalaina *

Monsieur RAFENOHERY Lova Nomena ◊

Membres du jury :

Monsieur RAKOTOMIRAHO Soloniaina

Monsieur RASTEFANO Elisée

Monsieur RABESANDRATANA ANDRIAMIHAJA Mamisoa

Monsieur Justin

Rapporteur : Monsieur RIVONANTENAINA Hery

Président

Examinateur

Examinateur

Examinateur

REMERCIEMENTS Tout d’abord, nous tenons à remercier Dieu qui nous a donné la force et la santé pour que nous puissions mener à terme ce mémoire. Ensuite, nous adressons nos vifs remerciements et sincères reconnaissances à :

- Monsieur RAKOTOMIRAHO Soloniaina, d’avoir bien voulu présider ce mémoire.

- Monsieur RASTEFANO Elisée, Chef de département Electronique, qui nous a dirigés pour mener à bien nos études et qui a aussi accepté d’être parmi les membres du jury.

- Monsieur Justin et

- Monsieur RIVONANTENAINA Hery, pour ses conseils et aides qu’il nous a fournis pendant

l’élaboration de ce mémoire malgré ses diverses occupations.

- Monsieur RABESANDRATANA ANDRIAMIHAJA Mamisoa, de consentir à prendre part au membre du jury.

- Toutes nos familles respectives qui nous ont soutenus et encouragés et nous ont prêtés leur aide

financière au cours de la réalisation du présent mémoire.

- Tous nos collègues de la filière Electronique pour leurs aides et encouragements.

- Tous ceux qui, de près ou de loin, ont contribué à ce travail.

« Veuillez retrouver ici toute notre gratitude et toute notre sympathie »

Merci

Loom et Kevin

RESUME

Le réseau sans fils est un moyen de communication des ordinateurs, plus précisément un

réseau d’ordinateurs qui communiquent entre eux sans intervention filaire comme dans le

réseau ethernet. Ce dernier permet non seulement d’avoir tous les privilèges d’un réseau

informatique comme le partage d’un fichier, l’accès internet mais de résoudre au problème de

câblage et de mobilité des stations.

Cependant sa mise en place et sa sécurité nécessitent un degré de connaissance importante du

fait de son support de transmission basé sur les ondes radioélectriques.

i

TABLE DES MATIERES

INTRODUCTION…………………………………………… ………………………………………………… 1

Chapitre I GENERALITES SUR LES RESEAUX SANS FILS………… 2 I-1-Architecture……………………………………………………………………………… 2

a-Le mode infrastructure……………………………………………………………… 2 b-Le mode ad-hoc……………………………………………………………………… 3

I-2-Technologies de réseaux sans fils……………………………………………………….. 3 a-La normalisation……………………………………………………………………... 4 b-Les bandes de fréquence……………………………………………………………. 4 c-Architecture en couches…………………………………………………………….. 5

I-3-Trames et fonctionnalités………………………………………………………………. 14 a-Les trames de niveau physique……………………………………………………… 15 b-Les trames MAC……………………………………………………………………. 15

I-4-Les principales caractéristiques de Wi-Fi……………………………………………….. 16 I-5-Les équipements………………………………………………………………………… 17

Chapitre II SECURITES ET SOLUTIONS DANS LES RESEAUX SANS FILS…………………………………………………………………… 19 II-1-Problèmatiques générales du réseau sans fils ………………………………………… 19 II-2-Les attaques réseaux et risques en matière de sécurité………………………………… 20 II-3-Sécurité du réseau sans fils………………………………………………………………21

a-Les différentes techniques de sécurité………………………………………………. 21 b-Sécurisations………………………………………………………………………… 26

II-4-Solutions………………………………………………………………………………... 31 Chapitre III REALISATION PRATIQUE…………………………… . 33 1- Etude et survey…………………………………………………………………………… 33 2-Installation et configuration………………………………………………………………. 34 3-Maintenance………………………………………………………………………………. 42 4-Coûts……………………………………………………………………………………… 42

CONCLUSION………………………………………………………………………………………………… 43 ANNEXE I……………………………………………………………………………………………………… 44 ANNEXE II………………………………………………………………………………………………………47 BIBLIOGRAPHIE…………………………………………………………………………………………….. 52

ii

LISTES DES FIGURES

Figure 1.1 : Le mode infrastructure Figure 1.2 : Le mode ad-hoc Figure 1.3 : Le modèle en couches d’IEEE 802.11 Figure 1.4 : Fonctionnement de la couche LLC

Figure 1.5 : Algorithme CSMA / CA Figure 1.6 : L’architecture des trames dans IEEE 802.11 Figure 1.7 : Format d’une trame MAC Figure 1.8 : Une carte PCMCIA Wi-Fi Figure 1.9 : Une carte réseau PCI Figure 1.10 : Point d’accès Wi-Fi Figure 2.1 : Le chiffrement de données Figure 2.2 : L’authentification par clé publique Figure 2.3 : Le hachage d’un message Figure 2.4 : Open System Authentication Figure 2.5 : Shared Key Authentication Figure 2.6 : SSL/TLS et le modèle en couche Figure 2.7 : VPN et tunnel de bout en bout

Figure 2.8 : La négociation RADIUS Figure 2.9 : L’architecture de 802.1x Figure 2.10 : Réseau filaire et Wi-Fi sécurisé Figure 3.1 : Configuration de CISCO AIRONET 1200 series sur le canal 7 Figure 3.2 : Interface Web du point d’accès CISCO AIRONET 1200 Figure 3.3 : Identification de l’administrateur de l’AP

iii

Figure 3.4 : Création d’un SSID « poly » au niveau de la console par Hyperterminal Figure 3.5 : Configuration de la clé WEP au niveau d’interface browser Figure 3.6 : Configuration de la clé WEP au niveau de la console par Hyperterminal Figure 3.7 : Configuration des types d’authentification au niveau d’interface browser Figure 3.8 : Statut du fonctionnement du réseau Wi-Fi vu de la carte réseau

LISTE DES TABLEAUX

Tableau 1.1 : Les groupes de travail du groupe 802.11

Tableau 1.2 : Allocation des bandes de fréquences ISM selon les pays

Tableau 1.3 : Le découpage en sous-bandes de la bande U-NII

Tableau 1.4 : La couche liaison de données

Tableau 3.1 : Prix des équipements Wi-Fi

iv

ABREVIATIONS

AAS : Authentication, Authorization, and Accounting

ACL : Access Control List

AES : Advanced Encryption Standard

AID : Association IDentity

AP : Access Point

ART : Autorité de régulation des Télécommunications

BLR : Boucle Local Radio

BPSK : Binary Phase Shift Keying

BSS : Basic Set Service

CCA : Clear Channel Assessment

CRC : Cyclic Redundancy Check

CSMA / CA : Carrier Sense Multiple Access/Collision Avoidance

CW : Contention Window

DCF : Distributed Coordination Function

DHCP : Dynamic Host Configuration Protocol

DIFS : DCF InterFrame Spacing

DOS : Denial Of Service

DS : Distribution System

DSSS : Direct Sequence Spread Spectrum

EAP : Extensible Authentication Protocol

ESS : Extended Service Set

ETSI : European Telecommunications Standards Institute

FCC : Federal Communication Commission

FCS : Frame Check Sequence

FEC : Forward Error Correction

FHSS : Frequency Hopping Spread Spectrum

FTP : File Transfer Protocol

GPRS : General Packet Radio Service

GSM : Global System for Mobile Communications

HiperLAN : High Performance Radio LAN

HTTP : HyperText Transfer Protocol

IBSS : Independent Basic Set Service

IEEE : Institute of Electrical and Electronics Engineers

IFS : InterFrame Spacing

IPSec : Internet Protocol Security

IR : InfraRouge

ISM : Industrial, Scientific and Medical

ISO : International Organisation for Standardisation

LAN : Local Area Network

LLC : Logical Link Control

v

LSAP : Logical Service Access Point

MAC : Medium Access Control

MIC : Message Integrity Check

MKK : Institut d’inspection et de certification des équipements radio (Japon)

MPDU : MAC Protocol Data Unit

NAT : Network Address Translation

NAV : Network Allocation Vector

OFDM : Orthogonal Frequency Division Multiplexing

OMERT : Office Malagasy d’Etude et de Régulation de Télécommunications

OSI : Open Systems Interconnection

PAE : Port Access Entity

PCF : Point Coordination Function

PCS : Physical Carrier Sense

PDA : Personal Digital Assistant

PLCP-PDU : Physical Level Control Protocol-Protocol Data Unit

PoE : Power over Ethernet

QAM : Quadrature Amplitude Modulation

QoS : Quality of Service

QPSK : Quadrature Phase Shift Keying

RADIUS : Remote Authentication Dial-In User Service

RC4 : Ron’s Code 4

RSA : Rivest, Shamir, Adelman

RTS/CTS : Request to Send / Clear to Send

SSID : Service Set IDentifier

SSL/TLS : Secure Socket Layer/Transport Security

TCP/ IP : Transmission Control Protocol / Internet Protocol

TKIP : Temporal Key Integrity Protocol

UDP : User Datagram Protocol

UMTS : Universal Mobile Telecommunications System

U-NII : Unlicensed-National Information Infrastructure

VCS : Virtual Carrier Sense

VLAN : Virtual Local Area Network

VPN : Virtual Private Network

WECA : Wireless Ethernet Compatibility Alliance

WEP : Wired Equivalent Privacy

WLAN : Wireless Local Area Networks

WMAN : Wireless Metropolitan Area Networks

WPA : Wi-Fi Protected Access

WPAN : Wireless Personal Area Networks

WWAN : Wireless Wide Area Networks

1

Introduction

Au lendemain du èXX siècle, nos besoins en matière de communication ne cessent de grandir. L’utilisation du radiotéléphone portable, des satellites et de l’Internet en témoigne.

Au niveau des entreprises, l’utilisation du réseau informatique joue un rôle important

comme moyen de communication, mais la mise en place d’un tel réseau nécessite un meilleur choix du système de transmission.

Pour établir un réseau, on dispose de différents types de support de transmission :

� Le classique câble coaxial et la paire torsadée qui transportent des signaux électriques.

� La fibre optique qui supporte des signaux lumineux.

� L’air qui fait propager des ondes électromagnétiques.

Un réseau sans fils (en anglais wireless network) est, comme son nom l'indique, un

réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grâce aux réseaux sans fils, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité".

Les réseaux sans fils sont basés sur une liaison utilisant des ondes radioélectriques (radio et infrarouges) au lieu des câbles habituels. Il existe plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisée ainsi que le débit et la portée des transmissions.

L'installation de tels réseaux ne demande pas de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux filaires. En contrepartie se pose le problème de la réglementation relative aux transmissions radioélectriques. De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique restreinte, il est donc nécessaire de mettre en place les dispositions nécessaires de telle manière à assurer une confidentialité des données circulant sur les réseaux sans fils. C’est ce qui nous a orienté dans le choix de ce mémoire s’intitulant : « MISE EN PLACE D’UN RESEAU SANS FILS SECURISE DANS UNE ENTREPRISE ».

Pour présenter notre étude, ce mémoire est organisé en trois chapitres : - Les généralités sur les réseaux sans fils constituent le premier chapitre, - Le second chapitre est consacré aux sécurités et solutions des réseaux sans fils, - Enfin, la réalisation pratique.

2

Chapitre I GENERALITES SUR LES RESEAUX SANS FILS I-1-Architecture

Un réseau sans fils généralement appelé réseau Wi-Fi (Wireless Fidelity) est fondé sur

une architecture cellulaire. Cette architecture peut s’apparenter à celle utilisée dans la téléphonie mobile, où des téléphones mobiles utilisent des stations de base pour communiquer entre eux.

Un réseau Wi-Fi est composé de un ou plusieurs « points d’accès » ou AP, auxquels un certain nombre de stations de base équipées de cartes Wi-Fi s’associent pour échanger des données. Le rôle du point d’accès consiste à unifier le réseau et à servir de pont entre les stations du réseau et du réseau extérieur.

La taille du réseau dépend de la zone de couverture du point d’accès, aussi appelée

cellule. Cette unique cellule constitue l’architecture de base de Wi-Fi, appelée BSS (Basic

Service Set) ou ensemble de services de base. D’après cette architecture, il existe deux topologies :

� Le mode infrastructure avec BSS (Basic Set Service) � Le mode ad-hoc, ou IBSS (Independent Basic Set Service)

a-Le mode infrastructure Le mode infrastructure désigne un réseau composé d’une infrastructure permettant

l’échange d’information entre les stations du réseau. Cette infrastructure n’est autre que le point d’accès défini précédemment qui fournit aux différentes stations, qui se trouvent dans sa zone de couverture ou cellule, un certain nombre de services. A un point d’accès peuvent être associées jusqu’à 100 stations. Cependant, on peut étendre le domaine de couverture en utilisant plusieurs points d’accès. Ainsi on obtient un réseau en mode infrastructure étendu ESS (Extended Service Set), qui comporte un ensemble de BSS connectés entre eux par l’intermédiaire d’un système de distribution ou DS (Distribution System).

Figure 1.1 : Le mode infrastructure

3

b-Le mode ad-hoc Le mode ad-hoc ou encore point à point ne fait pas appel à une infrastructure. Un

réseau Wi-Fi en mode ad-hoc ne comporte pas de point d’accès, et ce sont les stations elles-mêmes qui entrent en communication sans aucune aide extérieure. L’avantage d’une telle topologie est sa simplicité de mise en œuvre là où l’on ne peut pas déployer rapidement de réseau Wi-Fi. Un réseau en mode ad –hoc permet, entre autres, d’échanger des informations, là où aucun point d’accès n’est disponible.

Figure 1.2 : Le mode Ad-hoc

I-2-Technologies de réseaux sans fils

Il existe différents types de réseaux sans fils qui sont distincts selon leur portée :

• Les réseaux personnels « WPAN » (Wireless Personal Area Networks) Ce type de réseau concerne les réseaux sans fils d'une faible portée : de l'ordre de quelques dizaines de mètres. Ce type de réseau sert généralement à relier des périphériques (imprimante, téléphone portable, appareils domestiques,...) ou un assistant personnel (PDA) à un ordinateur sans liaison filaire ou bien à permettre la liaison sans fils entre deux machines très peu distantes. Il existe plusieurs technologies utilisées pour les WPAN comme Bluetooth, Zigbee, les liaisons infrarouges…

• Les réseaux locaux sans fils « WLAN » (Wireless Local Area Networks) Ce sont des réseaux d’entreprise d’une portée de quelques centaines de mètres.

• Les réseaux métropolitains « WMAN » (Wireless Metropolitan Area Networks)

Leur portée est de quelques kilomètres. La BLR fait partie de ces réseaux

4

• Les réseaux sans fils de type « WWAN » (Wireless Wide Area Networks) Désignés aussi sous le nom « réseaux cellulaires », ils sont actuellement les plus utilisés. Le GSM, le GPRS, et l’UMTS font partie de ce type de réseau. a-La normalisation

Pour la normalisation des réseaux sans fils, c’est principalement le groupe de travail IEEE 802.11 de l’IEEE (Institute of Electrical and Electronics Engineers) qui s’en charge aux Etats Unis, tandis que le groupe HiperLAN (High Performance Radio LAN) s’en occupe en Europe. Le standard d’origine définit trois couches physiques pour une même couche MAC. Ces produits sont :

• IEEE 802.11 FHSS qui utilise la technique d’étalement de spectre basée sur le saut de fréquence

• IEEE 802.11 DSSS qui utilise la technique d’étalement de spectre basée sur une séquence directe

• IEEE 802.11 IR de type infrarouge Le standard d’origine a été amélioré, le tableau ci-dessous récapitule les différents groupes de travail du groupe 802.11 :

Groupe Description 802.11a Ajout d’une nouvelle couche physique : débit jusqu’à 54 Mbps 802.11b Ajout d’une nouvelle couche physique : débit jusqu’à 11 Mbps 802.11c Incorporation des fonctionnalités de 802.1d 802.11d Travaux sur la couche physique permettant d’étendre l’utilisation de 802.11 dans de nouveaux

pays 802.11e Travaux sur la Qualité de Service 802.11f Travaux sur l’interopérabilité entre les points d’accès 802.11g Ajout d’une nouvelle couche physique : jusqu’à 54 Mbps 802.11h Harmonisation de 802.11a avec le standard européen 802.11i Amélioration du système de sécurité et d’authentification

Tableau 1.1: Les groupes de travail du groupe 802.11

b-Les bandes de fréquence

Etant donné que les couches physiques du standard 802.11 utilisent des ondes radio, alors elles émettent sur certaines bandes de fréquences. L’utilisation de ces bandes est régie par des organismes propres à chaque pays tels que : la FCC (USA), l’ART (France), MKK (Japon), L’OMERT (Madagascar). Les deux bandes sans licence utilisées dans 802.11 sont la bande ISM (Industrial, Scientific and Medical) et la bande U-NII (Unlicensed-National Information Infrastructure).

La bande ISM

La bande ISM correspond à trois sous-bandes de fréquences, 902-928 MHz, 2,4-2,4835 GHz, et 5,725-5,825 GHz qui ont été cédées par l’armée américaine en 1985 . C’est la bande des 2,4 GHz qui est utilisée dans 802.11, avec une largeur de bande de 83,5 MHz.

5

Pays Bande de fréquences

Etats-Unis 2,400-2,4835 GHz Europe 2,400-2,483 GHz Japon 2,471-2,497 GHz France 2,4465-2,4835 GHz

Tableau 1.2 : Allocation des bandes de fréquences ISM selon les pays

La bande U-NII Cette bande sans licence est située dans les 5 GHz. Elle offre une largeur de bande plus importante, de 300MHz au lieu de 83,5 MHz pour l’ISM. La bande U-NII n’est pas continue, et est divisée en trois sous-bandes distinctes de 100 MHz, qui utilisent chacune une puissance de signal différente. Le tableau suivant illustre ce découpage en sous-bandes : Les deux premières sous-bandes sont utilisées à l’intérieur des bâtiments, tandis que la troisième est utilisée à l’extérieure.

Ce sont les trois standards 802.11b, 802.11a et 802.11g qui sont les plus utilisés

actuellement, surtout dans les réseaux WLAN. Nous nous intéresserons à ces trois standards et voir leurs débits, leurs techniques de transmissions et enfin les codages utilisés. c-Architecture en couches

Comme pour tous les standards IEEE issus du comité 802 dont la principale tâche a

consisté à standardiser les réseaux locaux, IEEE 802.11 couvre les deux premières couches du modèle OSI ou ISO (International Organisation for Standardisation), à savoir la couche physique et la couche liaison des données. Cette dernière est elle-même subdivisée en deux sous couches, la couche LLC (Logical Link Control) et la couche MAC (Medium Access Control).

La figure suivante illustre l’architecture du modèle proposé par le groupe de travail IEEE 802.11 comparée à celle du modèle OSI. Une des caractéristiques essentielles du standard est qu’il définit une couche MAC commune à toutes les couches physiques. (Cela permet d’ajouter des couches physiques sans toucher à la couche MAC).

A l’intérieur

50 mW 250 mW

Low Middle

A l’extérieure

1 W

High

5,15 5,20 5,25 5,30 5,35 5,725 5,775 5,825

Domaine d’application

Puissance

Bande U-NII

Fréquences (GHz)

Tableau 1.3 : Le découpage en sous-bandes de la bande U-NII

6

Figure 1.3 : Le modèle en couches d’IEEE 802.11 La couche physique La couche physique, est l’interface située entre la couche MAC et le support qui

permet d’envoyer et de recevoir des trames. On remarque que même si les couches DSSS et FHSS sont fondées sur l’étalement de bande, leur mécanisme différent ne leur permet pas d’être compatibles entre elles. La plupart des couches physiques s’appuient sur l’utilisation des ondes radio, lesquelles émettent sur certaines bandes de fréquences.

WI-FI ou IEEE 802.11b Cette norme utilise la bande des 2,4 GHz ou ISM. Elle utilise comme technique de transmission l’étalement de spectre en séquence directe ou DSSS. Pour cette norme, on ne peut utiliser que trois réseaux sur une même cellule et elle offre un débit maximal de 11Mbps. Le débit varie selon la technique de transmission et le codage utilisés. En effet, le DSSS divise la bande des 2.4 GHz en 14 canaux de 20 MHz chacun. Or il est impossible de placer 14 canaux adjacents de 20 MHz car la largeur de la bande n’étant que 83,5 MHz. Les 14 canaux se recouvrent donc et les fréquences crêtes de chaque canal sont espacées de 5 MHz. Toutefois, pour une transmission de 11 Mbps correcte il est nécessaire de transmettre sur une bande de 22 MHz car, d'après le théorème de Shannon, la fréquence d'échantillonnage doit être au minimum égale au double du signal à numériser. Ainsi certains canaux recouvrent partiellement les canaux adjacents, c'est la raison pour laquelle des canaux isolés (les canaux 1, 6 et 11) distants les uns des autres de 25 MHz sont généralement utilisés.

Pour permettre à plusieurs réseaux d’émettre sur une même cellule, il faut allouer à

chacun d’eux des canaux appropriés, qui ne se recouvrent pas. Par exemple, considérons deux réseaux utilisant DSSS. Si l’un d’eux utilise le canal 6, le canal 7 ne peut pas être utilisé par le deuxième réseau, car ils sont trop proches. Il en va de même des canaux 2, 3, 4, 8, 9 et 10, qui ne peuvent non plus être alloués du fait de l’étalement de la bande passante du canal 6. Les canaux qui peuvent être utilisés sont les canaux 1, 11, 12, 13 et 14. L’utilisation de deux canaux proches, voire adjacents, entraînerait des interférences entre les deux réseaux et donc une baisse des performances.

Quant au débit, il dépend de la technique de modulation et le codage utilisés. Pour le

802.11b, les deux techniques de modulation utilisées sont :

• BPSK (Binary Phase Shift Keying), qui, à chaque changement de phase, encode 1 bit et permet d’atteindre un débit de 1 Mbps.

7

• QPSK (Quadrature Phase Shift Keying), qui utilise quatre rotations (0°, 90°, 180°

et 270°) pour encoder 2 bits, là où le BPSK en encode un. Le QPSK permet d’atteindre un débit de 2 Mbps.

La technique DSSS (Direct Sequence Spread Spectrum, étalement de spectre à

séquence directe) consiste à transmettre pour chaque bit une séquence Barker (parfois appelée bruit pseudo-aléatoire ou en anglais pseudo-random noise, noté PN) de bits. Ainsi chaque bit valant 1 est remplacé par une séquence de bits et chaque bit valant 0 par son complément. La couche physique de la norme 802.11 définit une séquence de 11 bits (10110111000) pour représenter un 1 et son complément (01001000111) pour coder un 0. On appelle chip ou chipping code (en français puce) chaque bit encodé à l'aide de la séquence en utilisant un « ou » Exclusif (XOR). Pour chaque bit de données transmis, on obtient une séquence de 11 bits, cette séquence est ensuite convertie en signal, appelée symbole, qui est transmis à la vitesse de 1 MSps (million de symboles par seconde) grâce à une technique de modulation. C’est donc la technique de modulation qui détermine la vitesse de transmission. On peut dire que cette technique (appelée chipping) revient donc à moduler chaque bit avec la séquence barker. Pourtant en utilisant ce type de codage, on n’obtient que le débit entre 1 et 2 Mbps. Pour optimiser le débit de la transmission, la norme 802.11b propose d’autre type d'encodage. Tandis que les deux séquences Barker ne permettent de définir que deux états (0 ou 1) à l'aide de deux mots de 11 bits (compléments l'un de l'autre), une méthode alternative appelée CCK (Complementary Code Keying) permet d'encoder directement plusieurs bits de données en une seule puce (chip) en utilisant 8 séquences de 64 bits. Ainsi en codant simultanément 4 bits, la méthode CCK permet d'obtenir un débit de 5.5 Mbps et elle permet d'obtenir un débit de 11 Mbps en codant 8 bits de données en utilisant la technique QPSK avec une vitesse de 1,375 MSps (million de symbole par second).

Wi-Fi 5 ou IEEE 802.11a

Wi-Fi 5 n’utilise pas les techniques d’étalement de bande mais une technique aux

performances supérieures : l’OFDM. Elle n’utilise pas la bande ISM mais la bande U-NII. 8 réseaux sont disponibles dans une cellule, et son débit varie entre 6 et 54 Mbps. En effet, l’OFDM divise les deux premières sous bandes de la bande U-NII (Low et

Middle) de largeur de bande 300 MHz, en 8 canaux de 20 MHz contenant chacun 52 sous-canaux de 300 kHz. Les 48 premiers sous canaux sont utilisés pour la transmission de données, tandis que les quatre derniers sont utilisés pour la correction d’erreur. Les différentes transmissions, émissions et réceptions se font sur les 48 sous-canaux de manières simultanées autrement dit sur un seul canal donné (20 MHz). La force d’OFDM vient de cette transmission en parallèle sur plusieurs sous-canaux ayant une faible largeur de bande et un faible débit pour créer un seul et même canal haut débit. Les 8 canaux disjoints ne se recouvrent pas, donc, 8 réseaux sont disponibles là où Wi-Fi n’en supporte que trois. L’inconvénient d’OFDM est qu’il réclame davantage de puissance, ce qui peut devenir un sérieux problème lorsque les stations sont mobiles et donc équipées de batteries.

Quant aux débits, ils varient toujours en fonction des techniques de modulation et les codages utilisés. Pour le Wi-Fi-5, pour atteindre 6 Mbps, chaque sous-canal utilise le BPSK, offrant un débit de 0,125 Mbps par sous-canal; et pour atteindre 54 Mbps, les sous-canaux utilisent la technique 64 QAM qui offre 1,125 Mbps par sous canal.

8

IEEE 802.11g 802.11g utilise la bande ISM et la technique de codage CCK, mais comme Wi-Fi 5, il

utilise la technique de transmission OFDM ce qui lui permet d’atteindre le débit théorique de 54 Mbps (soit 30 Mbps au niveau radio).

Technologie Codage Type de modulation Débit

802.11b 11 bits (Barker

sequence) PSK 1Mbps

802.11b 11 bits (Barker

sequence) QPSK 2Mbps 802.11b CCK (4 bits) QPSK 5.5Mbps 802.11b CCK (8 bits) QPSK 11Mbps 802.11a CCK (8 bits) OFDM 54Mbps 802.11g CCK (8 bits) OFDM 54Mbps

Tableau 1.4 : La couche liaison de données

La couche liaison de données se place au-dessus de la couche physique et en dessous de la couche réseau. Cette couche a pour objectif de réaliser le transport des trames qui sont créées dans la carte Ethernet IEEE 802.11 sur l’interface radio. La couche liaison de données de 802.11 est essentiellement composée de deux sous-couches :

• LLC (Logical Link Control), qui s’occupe de la structure de la trame.

• MAC (Medium Access Control), qui définit un algorithme permettant

d’accéder au réseau, c’est-à-dire qui permet à la carte Ethernet d’émettre sur l’interface radio sans qu’une carte coupleur le fasse en même temps, ce qui provoquerait une collision.

� La couche LLC

La couche LLC a été définie par le standard IEEE 802.2. Cette couche permet

d’établir un lien logique entre la couche MAC et la couche niveau 3 du modèle OSI, la couche réseau. Ce lien se fait par l’intermédiaire du LSAP (Logical Service Access Point)

La couche LLC fournit deux types de fonctionnalités :

� Un système de control de flux. � Un système de reprise sur erreur.

La figure suivante illustre le fonctionnement de la couche LLC : le paquet qui lui est

remis par la couche réseau est encapsulé dans une trame LLC, laquelle contient une adresse en-tête de la trame et une zone de détection d’erreur en fin de trame.

9

FEC: Forward Error Correction CRC: Cyclic Redundancy Check MPDU: MAC Protocol Data Unit

Figure 1.4 : fonctionnement de la couche LLC

Outre ces deux fonctionnalités, le rôle principal de cette couche réside dans son

système d’adressage logique ou LSAP (Logical Service Access point) qui permet de masquer aux couches hautes les informations provenant des couches basses. De la sorte, la couche LLC permet de rendre interopérable des réseaux complètement différents dans la conception de la couche physique ou de la couche MAC mais possédant la même couche LLC.

� La couche MAC

Le rôle de la couche MAC de 802.11 est d’assurer la gestion de l’accès de plusieurs

stations à un support partagé dans lequel chaque station écoute avant d’émettre. Du fait que le support de transmission est hertzien, la couche MAC 802.11 intègre à la

fois de nouvelles et d’anciennes fonctionnalités inhérentes à la couche MAC, ainsi que d’autres, que l’on ne trouve généralement que dans les couches hautes du modèle OSI. Les fonctionnalités de la couche MAC 802.11 sont les suivantes :

� Contrôle d’accès au support; � Adressage et formatage des trames; � Contrôle d’erreur permettant de contrôler l’intégrité de la trame à partir d’un

CRC (Cyclic Redundancy Check); � Fragmentation et réassemblage; � Qualité de service (QoS); � Gestion de l’énergie; � Gestion de la mobilité; � Sécurité.

10

L’une des particularités du standard 802.11 est qu’il définit deux méthodes d’accès fondamentalement différentes au niveau de la couche MAC :

o DCF (Distributed Coordination Function). Cette méthode est conçue

pour supporter les transmissions asynchrones tout en permettant à tous les utilisateurs voulant transmettre des données d’avoir une chance égale d’accéder au support.

o PCF (Point Coordination Function). Contrairement à DCF, cette

méthode ne génère pas la collision du fait que le système de transmission de données est centré sur le point d’accès et que c’est le point d’accès qui gère les différentes transmissions de données entre les stations du réseau.

Le DCF est la méthode d’accès générale utilisée pour permettre des transferts de

données asynchrones, autrement dit des transferts de données sans gestion de priorités. Le DCF s’appuie sur le protocole CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) combiné à l’algorithme de back-off.

Le CSMA est une technique dite d’accès aléatoire avec écoute de la porteuse, qui

permet d’écouter le support de transmission avant tout envoi de données. Le CSMA/CA évite que plusieurs transmissions aient lieu sur un même support au même moment et réduit le nombre de collisions. Pour éviter les collisions, le CSMA/CA fait appel à différentes techniques, telles que des mécanismes d’écoute au support introduite par 802.11, l’algorithme de back-off pour la gestion de l’accès au support, un mécanisme optionnel de réservation, dont le rôle est de limiter le nombre de collision en s’assurant que le support est libre. L’algorithme CSMA/CA forme un des points fondamentaux des réseaux Wi-Fi. Il décrit pour une station mobile la façon d’accéder au canal radio, comme en matière de radio il n’est pas possible d’émettre en même temps que l’on écoute, l’algorithme utilisé dans les réseaux Wi-Fi essaye de régler le problème des collisions en les rendant impossibles.

11

Figure 1.5 : Figure 1.6 :

Une station veut transmettre des données

Ecoute du support

Le support est libre

Transmission des données

Attente DIFS

Réception d’un ACK

Le support est libre

Transmission des données réussies

Réception d’un ACK

Transmission des données échouées

Transmission des données réussies

Transmission des données

Décrémentation d’un timeslot et écoute de support

Attente jusqu’à ce que le support soit libre

Attente DIFS

Temporisateur déjà calculé ?

Calcul du temporisateur Timer Backoff

Limite du nombre de retransmissions

Le support est libre

Expiration du temporisateur

Non

Non

Non

Non Non

Non

Non

Oui

Oui

Oui

Oui Oui

Oui

Oui

Oui

Non

Algorithme CSMA/CA

12

Dans 802.11, l’écoute au support se fait à la fois au niveau de la couche physique, avec le PCS (Physical Carrier Sense), et au niveau de la couche MAC, avec le VCS (Virtual Carrier Sense). Le PCS permet de connaître l’état du support en détectant la présence d’autres stations 802.11 et en analysant toutes les trames qu’il reçoit ou en écoutant l’activité sur le support grâce à la puissance relative du signal des différentes stations. Le PCS fait appel pour cela au PLCP (Physical Layer Convergence Protocol) de la couche physique. Le VCS, de son coté, ne permet pas vraiment l’écoute du support mais réserve le support par l’intermédiaire du PCS. Deux types de mécanismes sont utilisés dans le VCS :

� Une réservation fondée sur l’envoi des trames RTS/CTS (Request to

Send/Clear to Send) entre une station source et une station destination avant tout envoi de données. Ce mécanisme permet de réserver le support en l’annonçant aux autres stations BSS et ainsi de s’assurer que le support est libre pendant toute la durée de la communication tout en évitant les collisions.

� Un mécanisme permettant d’éviter les collisions entre les stations d’un même

BSS lorsque les trames RTS/CTS sont utilisées grâce à un timer, le NAV (Network Allocation Vector). Le timer NAV est calculé par chaque station pour déterminer la durée d’occupation du support lors d’une transmission.

L’accès au support est contrôlé grâce à l’utilisation d’un mécanisme d’espacement

entre deux trames, appelé IFS (InterFrame Spacing), cet espacement correspondant à l’intervalle de temps entre la transmission de deux trames. Les intervalles IFS sont en fait des périodes d’inactivité sur le support de transmission qui permettent de gérer l’accès au support pour les stations ainsi que d’instaurer un système de priorités lors d’une transmission.

Avant toute transmission de données, chaque station écoute le support et s’assure que celui ci est libre avant d’y accéder. Pour éviter que plusieurs stations ne transmettent en même temps des données et ne provoquent ainsi des collisions, les stations utilisent l’algorithme de back-off, déjà présent dans Ethernet. Cette méthode simple, fondée sur le calcul d’un temporisateur gérant les transmissions et retransmissions des différentes stations, permet à chaque station d’avoir la même probabilité d’accéder au support. Dans 802.11, le temps est découpé en intervalles ou timeslot. Ce timeslot permet en outre de définir les intervalles IFS et les temporisateurs pour les différentes stations. L’algorithme de back-off définit une fenêtre de contention CW (Contention Windows) ou fenêtre de back-off. Ce paramètre correspond au nombre de timeslot qui peuvent être sélectionnés pour le calcul du timer de back-off. Il est compris entre une valeur minimale MINCW et une valeur maximale MAXCW , valeurs

prédéfinies par la norme 802.11. Lors de la première tentative de transmission, CW est toujours égale à MINCW .

Initialement, dès qu’une station veut transmettre des informations, elle écoute le support grâce au PCS défini précédemment. Si le support est libre pendant un temps DIFS (DCF IFS utilisé par les stations d’un BSS ou d’un IBSS), elle transmet directement sa trame sans utiliser l’algorithme de back-off. Dans le cas contraire, le support étant occupé par une autre station, la station attend qu’il se libère, autrement dit attend un DIFS et diffère sa transmission. Pour tenter d’accéder à nouveau au support, il utilise l’algorithme de back-off. Si plusieurs stations attendent de transmettre, elles recourent toutes à l’algorithme de back-off. Plus précisément, chaque station calcul un temporisateur ou timer de back-off (BACKOFFT )

selon la formule : timeslotCWRandomTBACKOFF ).,0(=

13

Random (0, CW) est une variable pseudo uniforme comprise entre [0, CW-1]. Le BACKOFFT correspond donc à un nombre de timeslot. Cet algorithme tire de manière

aléatoire différentes valeurs de temporisateur pour chaque station, permettant à chacune d’avoir les mêmes chances d’accéder au support.

I-3-Trames et fonctionnalités

Pour envoyer de l’information, les émetteurs Wi-Fi doivent préparer des trames de

données, c’est-à-dire des blocs de données ayant un en-tête et une zone indiquant la fin de la trame. Ce bloc contenant les données utilisateur possède un format bien spécifié qui dépend de la technique d’accès au support physique utilisée. Par ailleurs, le support hertzien étant partagé, il faut déterminer une technique permettant le passage de multiples trames provenant des machines différentes. A cette structure de trames émise sur le niveau physique, s’ajoute une seconde structure de trame encapsulée dans la première.

Figure 1.6 : L’architecture des trames dans IEEE 802.11

La figure illustre la transmission de données dans l’architecture d’un accès Wi-Fi au travers des couches MAC et physique. Le premier niveau correspond à la technique d’accès au support hertzien. La trame correspondant à ce protocole porte le nom de trame MAC ou MPDU. Toutes les données venant des couches supérieures à la couche MAC sont encapsulées dans la trame MAC, cette dernière est encapsulée dans une seconde trame, de niveau physique, de façon à assurer le transport de la trame MAC sur l’interface physique. Cette trame est appelée PLCP-PDU (Physical Level Control Protocol-Protocol Data Unit).

Données

Trame MAC ou MPDU

En-tête MAC

Données

PLCP-PDU

En-tête PHY

Trame

Couche MAC

Couche physique

TRANSMISSION

14

a-Les trames de niveau physique Les trames de niveau physique ne sont autres que les blocs d’éléments binaires qui sont

émis sur la couche physique. Ces trames sont constituées de trois parties :

o Le préambule : utilisé pour la détection du signal, la synchronisation, la détection du début de la trame et la prise du canal radio pour l’émission ou CCA (Clear Channel Assessment).

o L’en-tête : contient diverses informations concernant notamment le débit

de la connexion, qui peut varier en fonction de la qualité du signal.

o Les données proprement dites : contenant les informations provenant de la couche MAC.

Les informations contenues dans les trames de niveau physique varient en fonction de

l’interface utilisée. La structure des PLCP-PDU est différente pour chaque couche physique définie dans IEEE 802.11.

b-Les trames MAC

Figure 1.7 : Format d’une trame MAC

La figure ci-dessus illustre la structure générale d’une trame MAC IEEE 802.11. Suivant le type de trame, certains champs sont susceptibles de ne pas apparaître, tels que les champs adresse 1, adresse 2, adresse 3, adresse 4, contrôle de séquence ou encore le corps de trame. La taille maximale d’une trame est de 2347 octets.

La trame commence par un en-tête assez complexe et contient sept champs qui

tiennent sur une longueur totale de 30 octets :

� Le champ contrôle de trame : assure le transport des informations de contrôle nécessaire à la couche MAC.

� Le champ Duration/ID : a deux sens différents suivant le type de trames

utilisées. Pour les trames de contrôle en mode d’économie d’énergie, il correspond à l’identifiant de la station, ou AID (Association IDentity), qui transmet la trame. Pour toutes les autres trames, ce champ correspond à la valeur de durée de vie qui est utilisée lors du calcul du NAV (Network Allocation Vector).

Adresse 1 Adresse 2 Adresse 3 Adresse 4 Corps de la trame

Octets 2 2 6 6 6 2 6 0-2312 2

Contrôle de trame

Duration/ID Contrôle de séquence FCS

En-tête MAC

15

� Les champs adresses : d’une longueur de 6 octets, ils ont le même format que

les adresses définies par l’IEEE 802 MAC.

� Le champ contrôle de séquence : est constitué de deux sous-champs, le numéro de séquence et le numéro de fragment.

Les différents types de trames qui circulent dans un réseau Wi-Fi incluent les trames

de contrôle, qui permettent de transporter les informations de supervision nécessaire à la bonne marche du réseau, les trames de gestion, qui sont nécessaire à l’administrateur du réseau, et les trames de données, qui transportent les informations des utilisateurs.

� Le champ FCS (Frame Check Sequence) : utilise un CRC sur 32 bits pour le

contrôle de l’intégrité des trames.

I-4-Les principales caractéristiques de Wi-Fi Les principales caractéristiques de Wi-Fi sont :

� La fragmentation et le réassemblage, qui permet de pallier le problème de la transmission d’importants volumes de données.

� Le "Variable Rate Shifting", qui fait varier le débit en fonction de la qualité de

l’environnement radio. Les débits Wi-Fi sont compris entre 1 et 11 Mbps. Le débit de 11 Mbps n’est qu’une valeur théorique, correspondant approximativement à 6 Mbps de débit utile, soit 0,75 Mops. Cette différence s’explique essentiellement par la taille des en-têtes des trames utilisées dans Wi-Fi ainsi que par l’utilisation d’un certain nombre de mécanismes qui permettent de fiabiliser la transmission dans un environnement radio.

� La mobilité, qui est une caractéristique essentielle d’un réseau sans fils. Elle permet

aux utilisateurs du réseau de se déplacer à leur guise tout en maintenant leur communication en cours. Lorsque les stations se déplacent, c’est-à-dire lorsqu’elles changent de cellule ou en mode économie d’énergie, elles doivent rester synchronisées pour pouvoir communiquer. Au niveau d’un BSS, les stations synchronisent leurs horloges avec l’horloge du point d’accès. Lorsqu’une station entre dans un BSS ou un ESS, soit après une mise sous tension ou un mode veille, soit lorsqu’elle entre directement dans une cellule, elle doit choisir un point d’accès auquel s’associer. Le choix du point d’accès s’effectue selon différents critères, tels que la puissance du signal, le taux d’erreur des paquets ou la charge du réseau. La qualité de service, qui permet, par l'intermédiaire d’IEEE 802.11e, le support des transmissions en temps réel de données de type voix ou vidéo dans les environnements Wi-Fi. De tels services demandent des transferts isochrones, c’est-à-dire des transferts de données qui permettent de faire varier le délai entre les différentes trames d’une même transmission. Dans le cas d’une application vidéo, par exemple, plus ce délai est important, plus la qualité se dégrade, qu’elle soit sonore ou visuelle.

16

I-5-Les équipements

Sous le sigle Wi-Fi, la WECA (Wireless Ethernet Compatibility Alliance), un

organisme englobant la plupart des équipementiers dans le domaine des réseaux sans fils, certifie les cartes des fabricants mais surtout en garantit l’interopérabilité. Tous les produits candidats au sigle Wi-Fi sont soumis par la WECA à des tests communs vérifiant leur compatibilité mutuelle.

� Les cartes Wi-Fi

Les cartes Wi-Fi sont plus couramment utilisées sont les cartes pour stations mobiles.

Pour les ordinateurs portables, les cartes au format PCMCIA sont les plus utilisées, tandis que pour les organiseurs le format des cartes varie en fonction du type de PDA (Personal Digital Assistant) utilisé.

Figure 1.8 : Une carte PCMCIA Wi-Fi Pour les stations fixes de type ordinateur de bureau, différents modèles de cartes sont

disponibles. D’origine, une machine fixe ne possède pas d’interface PCMCIA, à la différence d’une station portable, mais seulement des ports USB ou PCI, voire ISA pour les machines relativement anciennes. Ce sont donc ces types de ports qu’utilisent les cartes Wi-Fi pour stations fixes.

Figure 1.9 : Une carte réseau PCI � Les points d’accès Wi-Fi

Le point d’accès peut incorporer deux interfaces Wi-Fi, par exemple, pour une plus large couverture ou posséder certaines fonctionnalités améliorant la sécurité ou encore faire office de routeur ou de serveur DHCP (Dynamic Host Configuration Protocol). Il peut être considéré dans ce cas comme une station équipée d’une interface Wi-Fi incorporant un certain nombre de fonctions que ne possèdent pas les stations.

17

Figure 1.10 : Point d’accès Wi-Fi Certaines sociétés proposent des points d’accès dits logiciels. Ces derniers ne sont rien

d’autres que des stations, généralement des ordinateurs fixes, équipés de cartes Wi-Fi dans lequel un logiciel est installé pour transformer la station en point d’accès. Des logiciels libres, comme HOST AP, permettent de configurer une station Wi-Fi en point d’accès Wi-Fi.

� Les antennes

Parmi les différents types d’antennes, il y a :

� Omnidirectionnelle ou omni. Ces antennes sont comparables à de longs cylindres placés verticalement. Elles permettent d’arroser une large zone sur 360° mais la qualité du signal est souvent médiocre du fait qu’elles captent le bruit de l’environnement ambiant.

� Yagi. Sortes de longs cylindres utilisés à l’horizontale, les Yagi sont fortement

directives (entre 15 et 60°).

� Paraboliques. De la taille de petites paraboles. Ces antennes sont généralement fortement directives.

18

Chapitre II SECURITES ET SOLUTIONS DANS LES RESEAUX SANS FILS II-1-Problématiques générales du réseau sans fils

Les réseaux sans fils posent de nombreux problèmes de sécurité. Beaucoup de leurs

caractéristiques ouvrent des vulnérabilités : les propriétés du média, les caractéristiques de la technologie, celles des implémentations et la manière de positionner les bornes dans l’architecture des réseaux de l’entreprise.

Propriétés du média

Le média se compose d’ondes radioélectriques. Ces dernières ont intrinsèquement une grande capacité à se propager dans toutes les directions avec une portée relativement grande. Il est ainsi très difficile d’arriver à confirmer les émissions d’ondes radio dans un périmètre restreint.

Les caractéristiques de propagation des ondes sont complexes, dynamiques et difficiles à prévoir, avec beaucoup de phénomènes : absorption, diffraction, réfraction, réflexion, en fonction de l’humidité, du verre, du béton,… Il est donc très difficile d’envisager une limite absolue au réseau, et sa frontière n’est pas observable.

La principale conséquence de cette « propagation sauvage » des ondes radio est la facilité que peut avoir une personne non autorisée d’écouter le réseau, éventuellement en dehors de l’enceinte du bâtiment où le réseau sans fils est déployé.

Caractéristiques de la technologie Une borne peut être placée n’importe où, là où se trouvent le courant électrique et une

connexion filaire. Cette absence de contraintes amène souvent à ne pas analyser le placement des bornes par rapport à la zone qui mérite d’être couverte. Il est courant de trouver des bornes mal placées, mal orientées, couvrant parfois mieux les étages des voisins que l’étage où se trouve l’entreprise.

Dû à l’interface air, une borne sans fils ne peut agir comme un commutateur (switch) mais comme un concentrateur (hub) donc chaque carte Ethernet sans fils reçoit le trafic de toutes les bornes sur le canal qu’elle utilise.

Caractéristiques des implémentations

Les identificateurs de réseau et des clés de chiffrement sont généralement stockés dans

un fichier sur le disque de la machine ou sur Windows dans la base de registre en lecture. Le vol de l’ordinateur ou de la carte sans fils, entraîne alors le risque du vol de la clé.

Positionnement dans l’architecture Même lorsque les bornes sont sciemment déployées par le service réseau au sein du

périmètre interne du réseau d’entreprise, elles sont mises trop souvent directement sur le réseau privé, sans filtrage, avec une puissance d’émission réglée au maximum, et parfois sans authentification des utilisateurs. De nombreuses bornes sont déployées dans le réseau interne, à l’intérieur du périmètre de l’entreprise. Les bornes individuelles sont connectées à la place de l’ordinateur. La puissance est réglée au maximum et il n’y a pas d’authentification, ni de

19

sécurité appropriée ni de construction d’une architecture appropriée. Cela traduit une facilité apparente de déploiement et d’installation. II-2-Les attaques réseaux et risques en matière de sécurité

Comme tout autre réseau, Wi-Fi peut être soumis à différents types d’attaques, soit pour en perturber le fonctionnement, soit pour intercepter les informations transmises. Le seul désavantage de Wi-Fi vient du support qu’il utilise, l’air ambiant, qui le rend particulièrement vulnérable.

Les attaques réseaux

De tout temps, les réseaux ont été soumis à différents types d’attaques. Les attaques peuvent être passives, comme dans le cas de l’écoute d’un réseau visant à récupérer des informations en « craquant » les différents mots de passe et clés de chiffrement. Dans d’autres cas, les attaques sont actives, l’attaquant tentant de prendre le contrôle de machines ou d’en détériorer certains équipements. Les attaques les plus connues sont les suivantes :

• Attaque par déni de service (DOS) : parmi les plus redoutées, cette attaque consiste à inonder un réseau de messages afin que les équipements de ce dernier ne puissent plus les traiter, voire jusqu’à ce qu’il s’effondre.

• Attaque par force brute : consiste à tester toutes les combinaisons possibles afin de

récupérer un mot de passe ou une clé de chiffrement utilisée dans un réseau.

• Attaque par dictionnaire : est utilisée pour récupérer un mot de passe ou une clé en recourant à une base de données contenant un grand nombre de mots.

• Attaque par virus, vers et cheval de Troie : très connues, ces attaques permettent

soit de détériorer des fichiers voire des composants de la machine, soit de prendre le contrôle d’une machine (virus et vers) et d’en exploiter les ressources (cheval de Troie)

Les risques en matière de sécurité

Les risques liés à la mauvaise protection d'un réseau sans fils sont donc multiples :

� L'interception de données consistant à écouter les transmissions des différents utilisateurs du réseau sans fils,

� le détournement de connexion dont le but est d'obtenir l'accès à un réseau local ou à

Internet,

� le brouillage des transmissions consistant à émettre des signaux radio de telle manière à produire des interférences,

� les dénis de service rendant le réseau inutilisable en envoyant des commandes

factices.

20

II-3-Sécurité du réseau sans fils a-Les différentes techniques de sécurité

Pour éviter toute divulgation d’information, le trafic du réseau doit être codé de telle manière que quiconque le récupère ne puisse le chiffrer. Les seules parades à ces types d’attaques sont la cryptographie, qui empêche les intrus d’accéder aux données échangées dans le réseau, et l’authentification, qui permet l’identification et l’autorisation de toute personne voulant émettre des données.

La cryptographie Le principe de base de la cryptographie est illustré à la figure ci-dessous. Une clé de cryptage est utilisée pour coder un texte en clair. Le texte chiffré est alors envoyé au destinataire. Ce dernier utilise une clé de décryptage afin de reconstituer le texte en clair. A tout moment pendant la transmission un individu peut récupérer le texte chiffré, appelé cryptogramme, et essayer de le déchiffrer par diverses méthodes.

Figure 2.1 : Le chiffrement de données

La signature électronique

La signature électronique permet d’identifier et d’authentifier l’expéditeur des données. Elle permet en outre de vérifier que les données transmises sur le réseau n’ont pas subi de modification. Différentes techniques permettent de signer un message à envoyer. L’une d’elles fait appel aux algorithmes à clé publique, mais les plus utilisées sont les fonctions de hachage.

Utilisation des clés publiques Outre la confidentialité, l’avantage de la cryptographie à clé publique est qu’elle permet d’authentifier l’expéditeur d’un message. La signature électronique est la seconde utilisation des clés publiques. Pour se faire authentifier, l’émetteur utilise sa clé privée pour signer un message. De son coté, le récepteur utilise la clé publique de l’émetteur pour vérifier si le message est bien signé. De cette façon, le récepteur peut vérifier tout à la fois que les données n’ont pas été modifiées et qu’elles ont bien été envoyées par l’émetteur.

Texte en clair

Cryptage avec clé publique

Décryptage avec clé privée

Texte en clair

21

La fonction de hachage La fonction de hachage offre une solution de remplacement à l’utilisation de la signature grâce à des clés publique et privée. Le rôle de la fonction de hachage est de créer une sorte d’empreinte numérique du message qui doit être envoyé. La taille de cette empreinte, appelée digest, est très petite comparée à celle du message. Une autre caractéristique de cette technique est qu’il est très difficile, voire impossible de retrouver le message d’origine à partir de son empreinte. Cela garantit l’authenticité et l’intégrité du message envoyé.

Message Message chiffré Clé publique

Expéditeur (2)

Message chiffré Message

Génération des clés

Clé publique

Clé privée

Clé privée

(4)

Transmission du message chiffré

(3)

Décryptage du message chiffré avec la clé privée Destinataire

Transmission de la clé publique en clair sur le réseau

(1)

Cryptage du message avec la clé privée

Figure 2.2 : L’authentification par clé publique

22

Figure 2.3 : Le hachage d’un message

La sécurité du Wi-Fi avec WEP Pour permettre aux réseaux Wi-Fi d’avoir un trafic aussi sécurisé que les réseaux fixes, le standard 802.11 a mis en place un protocole, appelé WEP (Wired Equivalent Privacy). Ce protocole offre deux types de mécanismes : le chiffrement de données (cf. ANNEXE II ) et l’authentification. Tous deux reposent sur l’utilisation d’une même clé secrète partagée. Le WEP est un système à clé symétrique, la même clé étant utilisée pour chiffrer et déchiffrer les données. Les principales caractéristiques du WEP sont les suivantes :

� Confidentialité des données : utilisation de l’algorithme RC4 [1] pour chiffrer les données et éviter l’écoute clandestine.

� Authentification : sécurisation du réseau en n’autorisant que les stations qui

possèdent les bonnes clés. Le WEP fournit en outre un contrôle de l’intégrité des données, qui permet de vérifier la validité des données lors des transmissions. Lorsque le WEP est utilisé, les performances s’en ressentent toutefois, et un réseau peut perdre jusqu’à 20% de ses capacités.

Message

Expéditeur

Fonction de hachage (H)

(1)

Création de l’empreinte du message

Message

Transmission du message

(2)

Transmission de l’empreinte

(2’)

Fonction de hachage (H)

Création de l’empreinte du message reçu

(4)

Vérification des deux empreintes ; si elles correspondent

le message est authentifié Destinataire

(3)

23

L’authentification Le mécanisme d’authentification utilise la clé partagée pour l’envoi des données chiffrées. IEEE 802.11 offre deux types de mécanismes d’authentification : Open System. Authentication et Shared Key Authentication.

Open System Authentication Open system Authentication est le mécanisme d’authentification par défaut. Ce mécanisme se déroule en deux étapes, comme illustré à la figure suivante :

1. une station envoie une demande d’authentification. 2. la station reçoit une réponse négative ou positive.

L’Open System Authentication n’est pas un véritable système d’authentification, car n’importe quelle station peut s’authentifier auprès d’un point d’accès, aucune n’étant rejetée.

Shared Key Authentication Ce mécanisme fournit un meilleur système d’authentification en utilisant un mécanisme de clé secrète partagée. La clé secrète n’est pas envoyée en clair sur le réseau mais utilise le WEP pour être chiffrée. Ce mécanisme ne fonctionne évidemment que si les stations utilisent le WEP.

AP

Station Point d’accès

Confirmation

Requête d’authentification

Figure 2.4 : Open System Authentication

24

Cette authentification suit quatre étapes, comme illustré à la figure suivante :

1. une station qui souhaite s’associer à un point d’accès lui envoie une trame d’authentification.

2. lorsque le point d’accès reçoit cette trame, il retourne à la station une trame contenant

128 bits d’un texte aléatoire généré par l’algorithme WEP.

3. après avoir reçu la trame contenant le texte, la station la copie dans une trame

d’authentification et la chiffre avec la clé secrète partagée puis envoie le tout au point d’accès.

4. Le point d’accès déchiffre le texte chiffré avec la même clé secrète partagée et le

compare avec le précédent. Si c’est le même, le point d’accès confirme à la station son authentification. Dans le cas contraire, il envoie une trame d’authentification négative. Une fois l’authentification réussie, la station doit s’associer avec le point d’accès pour se connecter au réseau.

WPA Comme expliqué précédemment, la faiblesse du WEP vient de sa gestion des clés de chiffrement. Pour pallier les insuffisances du WEP, un remplaçant appelé WPA (Wi-Fi Protected Access), protége mieux les clés du décryptage et devrait améliorer sensiblement la sécurité des réseaux

AP

Requête d’authentification

Confirmation

Challenge Text

Challenge Response

Figure 2.5 : Shared Key Authentication

Client

25

sans fils même si l'algorithme utilisé reste inchangé. Son fonctionnement repose sur un système d'échange de clés dynamiques, renouvelées tous les 10 ko de données. Ce procédé est appelé TKIP (Temporal Key Integrity Protocol), b-Sécurisations Sécurisation physique Il est nécessaire de prendre en compte, lors du déploiement d’un réseau, la sécurité physique des équipements et des sites. Le choix du périmètre d’implantation, le nombre et la nature des installations dépendront notamment de l’analyse de ces périmètres. Sécurisation au niveau liaison

� Segmentation des réseaux sans fils Cela consiste à :

� Segmenter l’infrastructure de réseau sans fils avec des VLAN � Séparer réseau sans fils pour l’entreprise et réseau de Hot spot � Détecter les intrus par les adresses MAC � Tester l’étanchéité des VLAN sans fils � Usage des VLAN (réseau virtuel) sur les réseaux sans fils

Les VLAN n’offrent pas de garantie d’étanchéité mais ils sont la seule solution pour cloisonner plusieurs réseaux sans fils de nature différente au même endroit, comme un réseau privé d’entreprise et un réseau d’accès à l’Internet ou Hot Spot. Dans une telle situation il fait s’en servir et les filtrer sur le commutateur. Sécurisation au niveau réseau

� Filtrage IP

Le propos du filtrage IP est d’appliquer des règles de filtrage à un flux de datagrammes IP afin de prendre une décision qui est le plus souvent binaire : laisser passer ou ne pas laisser passer avec en option de conserver une trace de passage. Par son usage on cherche à protéger un site ou une machine d’un flux de datagrammes pour lesquels on suspecte que tous ne sont pas envoyés par des utilisateurs bienveillants. Le filtre s’efforce d’éliminer le trafic indésirable à partir de considérations à priori, mais il ne représente pas la panacée en matière de sécurité sur les réseaux. En effet, à partir du moment où le filtre laisse passer certains datagrammes, même à priori innocents, une porte est ouverte au détournement de l’usage initial du service ouvert. Dans ces conditions il faut se rendre à l’évidence : il n’y a pas de sécurité absolue sur le réseau. Un routeur filtrant est nommé « Firewall » qu’il faut traduire en « pare-feu ». Le filtrage IP est une caractéristique essentielle de tout routeur digne de ce nom.

� IPSec (Internet Protocol Security )

26

Le terme IPSec désigne un ensemble de mécanismes destinés à protéger le trafic au niveau d’IP. Les services de sécurité offerts sont l’intégrité en mode non connecté, l’authentification de l’origine des données, la protection contre le rejeu et la confidentialité (confidentialité des données et protection partielle contre l’analyse du trafic). Ces services sont fournis au niveau de la couche IP, offrant donc une protection pour IP et tous les protocoles du niveau supérieur.

Sécurisation au niveau transport On pourrait assurer cette sécurisation en utilisant le protocole SSL/TLS (Secure Socket Layer/Transport Security). Le protocole SSL permet de sécuriser tous types d’échanges entre clients et serveurs. Il est une couche optionnelle se situant entre les couches d’application et transport. Dans la pile protocolaire TCP/IP, SSL se situe entre les protocoles d’application et le protocole TCP. En insérant SSL entre TCP et la couche d’application on évite des changements significatifs aux protocoles existants tels que HTTP, FTP… Ainsi le protocole d’application s’interface avec SSL de la même façon dont il s’interface avec TCP. Pour TCP, SSL n’est qu’une application qui utilise ses services. Pour mettre en place une connexion SSL, il faut d’abord établir une connexion TCP/IP, car SSL utilise certaines « primitives »de TCP/IP. Ainsi SSL peut être vu comme un canal sûr au sein de TCP/IP, où le trafic entre deux applications « peer to peer » est échangé de manière cryptée. Tous les appels de la couche d’application à la couche TCP sont remplacés par des appels de l’application à SSL, et c’est SSL qui se charge des communications avec TCP. La figure ci-dessous illustre ce concept : Sécurisation au niveau application A ce niveau, on pourrait adopter le protocole SSH ou « Secure Shell » qui sécurise la connexion depuis l’ordinateur local jusqu’au serveur distant en établissant une connexion cryptée. La solution SSH est basée sur une authentification forte de type RSA (Rivest Shamir, Adelman). L’authentification et les échanges de clés sont faits avec RSA (clés publiques et clés privées).

HTTP

IMAP LDAP

SSL/TLS

TCP

IP

Figure 2.6 : SSL/TLS et le modèle en couche

27

Sécurisation des bornes Supprimer la configuration par défaut des « AP » est une première étape dans la sécurisation de son réseau sans fils. Il est nécessaire de :

• Modifier la clé WEP et l’identifiant réseau (SSID) installés par défaut; • Désactiver les services d’administration disponibles sur l’interface sans fils;

• Régler la puissance d’émission du pont (AP) au minimum nécessaire par une

commande logicielle;

• Privilégier le paramétrage en mode local (ex : par le port série) et donc éviter les commandes à distance.

Les réseaux privés virtuels VPN (Virtual Private Network) Pour de grands réseaux avec des besoins forts en sécurité, la solution de réseaux virtuels privés (VPN) est conseillée. Des tunnels virtuels sont configurés de telle sorte à assurer que seuls les utilisateurs autorisés sont capables d’accéder au réseau d’entreprise. Le but de VPN est de créer un « tunnel » sécurisé entre un client et un serveur. Il permet d’identifier, d’autoriser l’accès ainsi que de chiffrer tout trafic circulant dans le réseau.

Figure 2.7 : VPN et tunnel de bout en bout

RADIUS (Remote Authentication Dial-In User Service) RADIUS est un protocole centralisé permettant l’autorisation et l’authentification de l’utilisateur. Conçu à l’origine pour l’accès à distance, il est aujourd’hui utilisé dans nombre d’environnement, tels les VPN et les points d’accès Wi-Fi. RADIUS est situé au-dessus du niveau 4 de l’architecture OSI. Il utilise le protocole de transport UDP (User Datagram Protocol) pour des raisons évidentes de rapidité et repose sur une architecture client-serveur.

Serveur

VPN

28

Client

Figure 2.8 : La négociation RADIUS Comme illustré à la figure ci-dessus, le client envoie des attributs de connexions auprès du serveur. L’authentification entre le serveur et le client se fait par l’intermédiaire d’un secret partagé, qui est généralement formé d’une clé et des attributs du client. Pour s’authentifier, le serveur envoie un challenge au client, que seul le secret partagé peut résoudre. Il vérifie les attributs envoyés par le client et la réponse au challenge et, s’ils sont corrects, accepte le client.

Authentifier les utilisateurs de WLAN

Pour sécuriser les réseaux sans fils, il faut les surveiller par l’architecture et par des audits externes. Cependant, l’élément le plus important est d’authentifier les utilisateurs du réseau. Ceci peut se faire avec un portail http ou avec la norme IEEE 802.1X, dont la disponibilité et l’usage se développent.

Portail http

La méthode utilisable et la plus simple, est d’utiliser un portail WEB qui authentifie l’utilisateur. Ce dernier est filtré au niveau TCP/IP sur un firewall derrière la borne ou sur la borne elle-même. A ce moment là, sa première tentative de connexion en http est usurpée par le portail qui se fait passer pour le site qu’il cherchait à joindre. Le portail demande alors à l’utilisateur une authentification, qui généralement par login/mot de passe, avec un serveur d’authentification RADIUS (Remote Authentication Dial In User Service) derrière, mais d’autres possibilités y compris des certificats clients, sont également utilisables.

IEEE 802 .1x

802.11x utilise le protocole d’authentification EAP (Extensible Authentication Protocol) pour authentifier le client. Le protocole EAP est en fait lui-même un protocole générique qui permet d’encapsuler toute forme de méthode d’authentification : mots de passe, carte à puce, clé publique, et d’y associer les échanges spécifiques à chaque méthode d’authentification.

Serveur

Access Request

Access Accept/Access Reject

29

Principe d’IEEE 802.1x 802.1x découpe les ports physiques d’un commutateur ou les ports virtuels d’une

borne sans fils en deux ports logiques appelés PAE (Port Access Entity) : le PAE d’authentification (Authentificator PAE) qui est toujours ouvert, et le PAE de service ou port contrôlé, qui ne sera ouvert qu’après une authentification réussie.

Figure 2.9 : L’architecture de 802.1x

IEEE 802.11i et TKIP

Suite aux attaques sur la sécurité de 802.11b, l’IEEE a créé un groupe de travail dédié

pour adresser la sécurité : IEEE 802.11i. Le groupe de travail IEEE 802.11i a défini deux niveaux : � Une solution de transition compatible avec le matériel existant, qui propose un

nouveau protocole de gestion des clefs, TKIP (Temporal Key Integrity Protocol), qui génère et distribue des clefs WEP dynamiques, et qui sera inclus dans la certification Wi-Fi de la WECA.

� Une solution finale incompatible avec le matériel existant où 802.1x est

obligatoire, avec l’algorithme de chiffrement RC4 remplacé par AES [2]. Améliorer l'authentification Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des comptes utilisateurs (en anglais AAA pour Authentication, Authorization, and Accounting), il est possible de recourir à un serveur RADIUS Définir des adresses IP fixes Les risques d'intrusion externes sont bien moindres en attribuant des adresses IP fixes aux stations de la flotte bénéficiant d'une connexion sans fils. Il est ainsi possible de gérer une table d'adresses des connexions autorisées. Il faut, dans ce cas, désactiver la fonction DHCP au niveau du serveur auquel est connectée la borne Wi-Fi.

Contrôleur Serveur d’authentification

Port contrôlé

Port non contrôlé

Liaison filaire Liaison sans fils ou filaire

30

Installer un pare-feu On peut aussi installer un firewall comme si le point d'accès était une connexion internet. Ce firewall peut être le serveur IPSec (VPN) des clients sans fils. Un réseau Wi-Fi "sécurisé" peut se schématiser comme ceci :

II-4-Solutions

Nombreux sont les problèmes liés à la sécurité située précédemment. Heureusement

des solutions existent. Ce paragraphe présente quelques solutions qu’on puisse adopter pour assurer le minimum de sécurité d’un réseau sans fils.

D’abord, le problème d’écoute passive menaçant l’intégrité d’un réseau est réglé par le chiffrement. D’autres attaques menacent l’intégrité d’un réseau, comme l’intrusion ou la dissimulation d’identité. Le domaine de sécurité qui s’attache à régler ce problème est l’authentification c’est à dire qu’on cherche à s’assurer de l’identité du transmetteur grâce à des algorithmes spécifiques. Avec l’intrusion, un étranger pénètre un système de communication. Le contrôle d’accès s’attache à répondre à cette menace.

A part les solutions de sécurité au niveau du protocole, il y a les solutions suivantes :

� Gestion des réseaux sans fils

D’abord, la gestion des réseaux sans fils est réussie quand elle est réalisée par une

équipe formée et compétente.

� Utiliser la sécurité des bornes Les bornes possèdent de nombreuses fonctions permettant d’éviter une intrusion trop facile, cependant, ces fonctions ne sont pas activées par défaut. Pour l’administration de la borne

Figure 2.10 : Réseau filaire et Wi-Fi sécurisé

31

elle-même, il faut choisir des mots de passe de qualité ; en désactivant tous les services d’administration (Interface Web, TFTP) sur l’interface sans fils; en gérant et supervisant des bornes uniquement par l’interface filaire. Il faut choisir un SSID approprié, sans lien avec le réseau ou l’entreprise. Ainsi le SSID du client doit correspondre à celui de la borne pour s’associer. Ce n’est pas une sécurité absolue et au travers d’autres clients, un intrus pourra toujours retrouver le SSID et s’associer, mais, combiné avec le WPA, cela constitue une barrière forte vis-à-vis de certains logiciels d’écoute disponibles

� Architecturer correctement ses WLAN Cette solution consiste à :

� Considérer les bornes 802.11 comme des équipements sensibles en choisissant des bornes dont le firmware (microprogramme constructeur) peut être mis à jour pour les correctifs de sécurité et les nouvelles fonctionnalités.

� Travailler la sécurité physique des ondes dans l’espace en choisissant

consciencieusement l’emplacement des bornes ou des antennes en réglant la puissance des bornes comme il faut.

� ACL (Access Control List)

Pour restreindre encore plus l’accès au point d’accès, ce dernier contient une liste d’adresses MAC, appelée ACL (Access Control List). L’adresse MAC est une adresse unique que possède toute carte Wi-Fi ou Ethernet. C’est par l’intermédiaire de cette adresse que la station peut être reconnue dans le réseau.

� Une infrastructure adaptée

La première chose à faire lors de la mise en place d'un réseau sans fils consiste aussi à

positionner intelligemment les points d'accès selon la zone que l'on souhaite couvrir. Eviter les murs extérieurs mais choisir plutôt un emplacement central. En se promenant autour de l'immeuble, on peut établir le périmètre à l'intérieur duquel la borne est accessible. Il n'est toutefois pas rare que la zone effectivement couverte soit largement plus grande que souhaitée, auquel cas il est possible de réduire la puissance de la borne d'accès afin d'adapter sa portée à la zone à couvrir.

� Eviter les valeurs par défaut

� Activer le cryptage WEP ou WPA

32

Chapitre III REALISATION PRATIQUE

Dans cette dernière partie, nous allons voir la mise en œuvre pour la réalisation d’un réseau Wi-Fi. Cela se fait en réalité par quelques différentes étapes : 1- Etude et survey

Cette étape permet en quelque sorte de bien étudier le milieu et l’environnement pour l’installation du réseau Wi-Fi ainsi que la déduction et l’optimisation des matériels utilisés dans les normes.

Pour commencer, on doit d’abord disposer de l’architecture ou le plan du bâtiment à recouvrir. Pour ce fait, nous disposerons assez d’informations sur la dimension et quelques idées sur le phénomène d’atténuation car nous savons que la portée de la zone de recouvrement d’un point d’accès Wi-Fi est limitée et que les ondes radio s’atténuent suivant les matières qu’ils rencontrent.

Pendant l’étude aussi, on doit reconnaître exactement la demande du client parce que

cela peut engendrer beaucoup de paramètres. Par exemple si on veut seulement couvrir un couloir ou un champ précis on doit utiliser une antenne directionnelle, si dans le cas contraire, on optera plutôt à un autre type d’antenne.

La mise en oeuvre d’un système d’antennes permet d’améliorer considérablement la couverture et les performances. Afin d’optimiser les performances globales d’un réseau local sans fils, il est important de comprendre comment le choix et la position des antennes permettent de maximiser la couverture radio.

En même temps on va spécifier les matériels adaptés, car toutes les cartes Wi-Fi ne possèdent pas les mêmes propriétés et sensibilités ainsi que les AP. On peut faire l’audit du rapport signal sur bruit calculé en dB afin de connaître l’état de l’environnement radio grâce à des matériels spécifiques comme le YellowJacket ou AP-test et même des logiciels comme Netstumbler.

Bilan de liaison

On nomme sensibilité de réception, le niveau d’énergie minimum nécessaire pour qu’un récepteur puisse « entendre » une transmission. On nomme rapport signal sur bruit, le ratio nécessaire entre l’énergie du signal utile et le bruit pour « écouter » une transmission : On estime grâce à un bilan de liaison théorique, la faisabilité d’une communication en additionnant tous les gains et en déduisant toutes les pertes

� + puissance d’émission � + gain d’antenne émission - perte dans le câble d’antenne � - affaiblissements de propagation � + gain d’antenne réception - perte dans le câble d’antenne � - sensibilité de réception

33

Comme nous l’avons déjà mentionné, cette étude est une optimisation dans une norme, c’est-à-dire en ayant tous les paramètres de l’environnement, on doit limiter le nombre d’AP dans un but économique en obtenant un débit raisonnable. Plus précisément, on prend en compte la notion de puissance car la puissance d’émission ne doit pas ignorer le règlement de l’OMERT ainsi on pourra ajuster la puissance des AP et les gains des antennes pour ne pas dépasser les limites prescrites dans une fréquence de travail donnée. La puissance d’émission

La puissance d’émission pour les réseaux sans fils est réglementée par des organismes gouvernementaux. La puissance des émetteurs radio fréquence est exprimée en mW

� Point d’accès 100mW � Station 30, 50 ou 100mW

Il est commun d’exprimer les puissances en décibels( dB), c’est à dire sur une échelle

logarithmique plus adaptée aux phénomènes. En fait les décibels mesurent la puissance par rapport à une valeur de référence.

Les ajustements de puissance aux contraintes se font en bridant la puissance des points d’accès en accord avec le choix d’antenne. Le gain d’antenne est à privilégier car les antennes concentrent en émission et en réception.

Après le survey, on établit un rapport vers les responsables technique et commerciale. Ensuite, ce responsable technique doit valider le rapport afin qu’on puisse proposer une offre incluant les caractéristiques des matériels utilisés et le devis.

Une fois le contrat accordé, on peut passer maintenant à l’installation des matériels comme les PC, les cartes Wi-Fi mais avant toute installation, on doit s’octroyer d’une autorisation si l’installation est autorisée bien sûr pour l’emplacement très discret des antennes et AP sans oublier la règle de l’art qui terminera l’installation avec finesse. Remarquons qu’en utilisant la technologie PoE, on pourra limiter une partie de câblage. 2-Installation et configuration Audit du site et configuration du canal radio

Avant toute installation d’un réseau, il est essentiel de réaliser un audit du site et de vérifier s’il n’existe pas d’autres réseaux Wi-Fi susceptibles d’entrer en interférences.

Les informations portent sur les éléments suivants :

• Adresse MAC du point d’accès • Nom du réseau ou SSID • Nom du point d’accès • Canal de transmission utilisé par le point d’accès • Constructeur de l’AP • Topologie du réseau (infrastructure, ad-hoc) • Mécanisme de chiffrement (WEP), activé ou non

34

• Qualité du signal radio ( Signal, Bruit) Choix du canal radio

Ce choix est une phase critique lors de la configuration du réseau. S’il n’existe pas d’autre réseau dans l’environnement, ce choix est de plus simple car on peut choisir n’importe quel canal.

Figure 3.1 : configuration de CISCO AIRONET 1200 series sur le canal 7 En revanche, dès que un ou plusieurs autres réseaux sont présents, le choix devient plus difficile étant donné qu’il faut choisir un canal qui n’entre pas en interférences. Configuration du point d’accès

La première phase de la configuration de l’AP consiste à vérifier sur le site du constructeur si un firmware est disponible. Comme pour les cartes wi-fi, les logiciels permettent de corriger ou d’améliorer certaines fonctionnalités de l’AP. Voyons les différents paramètres de configuration de l’AP Cisco Aironet 1200 séries ci-dessous en utilisant l’interface browser.

35

Figure 3.2 : Interface Web du point d’accès CISCO AIRONET 1200

La deuxième phase de configuration consiste à modifier le SSID et le mot de passe

fournis par le constructeur lors de l’achat de l’AP ( les paramètres par défaut )

Figure 3.3 : Identification de l’administrateur de l’AP

36

Figure 3.4 : Création d’un SSID « poly » au niveau de la console par Hyperterminal

La troisième phase consiste à la configuration de la sécurité du réseau. La sécurité est un élément essentiel dans tout réseau Wi-Fi.

Les points d’accès Wi-Fi ne se différencient pas seulement de la marque ou de son prix mais surtout de ses fonctionnalités.

Un point d’accès simple permet d’établir un réseau Wi-Fi avec comme sécurité une requête d’une clé WEP. Par exemple le modèle WAP54G de Linksys.

Par contre, le modèle Aironet 1200 de CISCO SYSTEMS, est, disons un point d’accès « professionnel » car il possède déjà des paramètres assez importants pour la sécurisation et la gestion du réseau. En voici ses différents paramètres :

� Configuration par console ou par l’interface Web � Restriction des personnes pouvant configurer l’AP � Changement des paramètres radio comme la puissance d’émission, la diversité des

antennes � Gestion des priorités sur le réseau � Limitation du nombre de clients dans le réseau � Capacité d’établir plusieurs SSID d’où plusieurs réseaux Wi-Fi � Création des VLAN au niveau d’une entreprise � Sécurité MIC, TKIP, Broadcast key rotation—EAP au lieu du simple WEP. � Permet de travailler dans la bande 2.4 GHz et 5 GHz � Possède des spécifications pour être configuré avec les serveurs d’authentification sur

le réseau comme RADIUS.

37

Paramétrage de la sécurité

Les points clés de la sécurisation d’une entreprise sont :

• Vérifier l’implantation des AP. La zone de couverture des AP ne devant pas dépasser le périmètre de l’entreprise, il faut, pour en minimiser la portée, disposer de AP permettant de faire varier soit la puissance du signal, soit le débit, soit les deux.

• Modifier le SSID par défaut des AP et éviter d’utiliser des SSID vides. • Fermer le réseau afin d’éviter que le SSID ne soit disponible en clair sur le réseau. • Utiliser l’ACL • Utiliser le WEP avec des clés de longueur maximale c’est à dire 128 bits

Figure 3.5 : Configuration de la clé WEP au niveau d’ interface browser

38

Figure 3.6 : Configuration de la clé WEP au niveau de la console par Hyperterminal L’authentification

Pour qu'une carte réseau d'un client puisse communiquer dans le réseau à travers le point d'accès, celle ci doit s'authentifier auprès de ce dernier.

Chaque point d'accès a ses propres types de mécanismes d'authentification selon leur marque et leur constructeur. Par exemple le Cisco Aironet 1200 utilise 4 types d'authentification : • authentification ouverte ( Open authentication ) • authentification par clé partagée ( Shared key authentication ) • EAP-authentification • authentification par adresse MAC

39

Figure 3.7 : Configuration des types d’authentification au niveau d’ interface browser Remarquons qu’avant l’authentification, l’AP et les clients devraient avoir le même SSID et adresse réseau. Voici le statut d’une carte Wi-Fi ( SMC2662W ) associé au point d’accès Cisco Aironet 1200 de SSID ‘poly’ sur le canal 7.

40

Figure 3.8 : Statut du fonctionnement du réseau Wi-Fi vu de la carte réseau

Configuration de la connexion à internet

Dans un réseau Wi-Fi, toute connexion Internet peut être utilisée : modem 56K, câble ou ADSL. Etant donné que la vitesse de transmission d’un réseau Wi-Fi est comprise entre 1 et 11Mbps, les débits des connexions internet actuellement disponibles sont largement suffisants.

La connexion à internet peut se faire de deux manières, soit en utilisant une machine dédiée, soit en connectant directement un point d’accès au modem. Pour partager une connexion internet, deux protocoles sont utilisés, le NAT (Network Address Translation) et DHCP (Dynamic Host Configuration Protocol) :

• Le protocole NAT permet de partager une connexion internet entre plusieurs stations tout en utilisant l’adresse IP donnée par le fournisseur d’accès. Une autre caractéristique du NAT est qu’il permet de prévenir certaines attaques. Certains points d’accès incorporent le NAT, mais il est possible de l’installer sur une machine dédiée connectée à internet.

• DHCP est un protocole client-serveur qui permet d’allouer dynamiquement et pendant un certain temps les paramètres TCP/IP nécessaire à une station pour se connecter au

41

réseau. Les paramètres fournis par le serveur DHCP auprès de la station sont l’adresse IP de la machine, le masque, l’adresse de la passerelle par défaut et les adresses des serveurs de noms (DNS). DHCP offre une manière conviviale de configurer les stations, mais cette configuration peut aussi être faite manuellement en modifiant directement les paramètres de la carte.

3-Maintenance

Une fois que le réseau fonctionne bien, la tâche suivante consiste à former les responsables du réseau pour le minimum du bien fonctionnement du réseau.

Mais une dernière phase est importante : c’est la maintenance. Cette dernière est régularisée pendant une période selon le contrat. On insiste pour cette maintenance car pendant cette phase, on pourra résoudre les différents problèmes du réseau, par exemple d’ajouter des nouvelles stations ou étendre le réseau, et d’avoir un temps supplémentaire pour familiariser les responsables avec les matériels et en plus on pourra mettre à niveau le réseau de nouvelles technologies telles que la sécurité, les accessoires … 4-Coûts

Les prix des équipements varient fortement suivant : la marque du fabricant, les fonctionnalités (bridging possible entre AP, alimentation via Ethernet, nombre maximal d’utilisateurs par AP, antennes extérieures, puissance variable,...), la qualité, les performances, les mécanismes de sécurité supportés.

EQUIPEMENTS PRIX

Point d'accès 100 € - 1000 € Cartes PCMCIA 60 € - 100 €

Antenne 80 € - 250 €

Tableau 3.1 : Prix des équipements Wi-Fi

42

CONCLUSION

L’étude des réseaux sans fils nous a montré les avantages de la voie hertzienne comme support de transmission. Les avantages de cette technologie se distinguent surtout par la mobilité des stations, l’installation rapide, simple et ayant une bonne performance.

Cependant, l’importance de la sécurité dans un environnement sans fils ne peut être

négligée du fait que ses caractéristiques sont favorables aux attaques. Pour cela, des mesures de sécurité tel que le contrôle d’accès, l’authentification, l’utilisation des protocoles de sécurités supplémentaires sont essentiels pour la sécurité des ressources informatiques de l’entreprise. Mais nous ne pouvons pas quand même affirmer une sécurité à 100%.

Notons aussi que les réseaux sans fils ne sont pas faits pour remplacer totalement les

réseaux filaire mais pour être utiliser comme une solution alternative ou dans des circonstances particulières.

Dans les pays développés, les réseaux sans fils sont en pleine expansion et le nombre

de projets ainsi que les investissements pour l’amélioration de cette technologie énoncent un avenir prometteur. Actuellement, les réseaux sans fils envisagent d’atteindre le débit de 1 Gbps. Quant à Madagascar, les entreprises commencent à utiliser ce type de réseaux.

43

ANNEXE I

TRAMES

Le trame issue de la couche LLC est appelée LPDU (Logical Protocol Data Unit)

Figure AI.1 : Structure d’une LPDU

Les champs d’une LPDU sont les suivants :

o DSAP (Destination Service Access point). Ce champ identifie le ou les SAP (Service Access Point) de niveau supérieur et plus précisément le ou les protocoles de niveau supérieur auquel les données sont destinées.

o SSAP (Source Service Access Point). Identifie le SAP ou le protocole

qui a l’initiative de la transmission de données.

o Contrôle. Ce champ définit le type de LLC utilisé. Il existe trois types de LLC qui se distinguent par le mode de transmission ainsi que par l’utilisation ou non d’un service de reprise sur erreur.

� La trame de l’interface FHSS

Figure AI.2 : Structure de la trame de l’interface FHSS Le préambule permet de déterminer le début de la trame et de synchroniser la

réception des éléments binaires. Ce préambule contient deux parties :

� Synch, utilisé pour sélectionner le point d’accès le mieux approprié et pour synchroniser l’émetteur et le récepteur.

� SFD (Start Frame Delimiter), qui consiste en une suite de 16 bits

(0000110010111101) définissant le début de la trame.

DSAP 1 octet

SSAP 1 octet

Contrôle 2 octets

Données ≥ 1 octet

Préambule

Synch 80 bits

SFD 16 bits

En-tête MPDU

Length 12 bits

PSF 4 bits

CRC 16 bits

44

L’en-tête contient les informations de supervision nécessaire pour gérer la liaison entre

le terminal et le point d’accès. Cet en-tête contient trois parties :

� Length, qui indique le nombre d’octets contenus dans le paquet, Cette indication permet à la couche physique de déterminer la fin de la trame.

� PSF (Payload Signalling Field), qui indique le débit utilisé sur l’interface

radio.

� CRC (Cyclic Redundancy Check), qui est le champ de détection d’erreur que l’on trouve dans la plupart des protocoles de niveau de liaison.

� La trame de l’interface DSSS

Figure AI.3 : Structure de la trame de l’interface DSSS

Le rôle du préambule est comme dans l’interface précédent. Il contient deux champs :

� Synch, utilisé pour la détection et la synchronisation des signaux transportés sur l’ interface.

� SFD

L’en-tête contient quatre champs de supervision de la structure de la trame :

� Signal, qui indique le débit utilisé sur l’interface radio. � Service, une zone réservée pour un usage futur, qui ne contient aujourd’hui que

des 0.

� Length

� CRC

Préambule

Synch 128 bits

SFD 16 bits

En-tête MPDU

Length 16 bits

CRC 16 bits

8 bits

8 bits

Service

Signal

45

� La trame de l’interface IR

Figure AI.4 : Structure de la trame de l’interface IR

� Data Rate indique le débit utilisé sur l’interface

infrarouge.

� DCLA (Data Control Level adjustement), permet d’ajuster la vitesse du signal de la station réceptrice.

Les informations contenues dans la trame de l’interface infrarouge ne sont pas définies

par un nombre d’octet mais par tranche de temps, ou slots. Cela tient à la technique de transmission utilisée, qui détermine des temps de transmissions et non un nombre d’octet à transmettre.

� La trame de l’interface OFDM

Figure AI.5 : Structure de la trame de l’interface OFDM

Le préambule est maintenant réalisé grâce à une séquence de 12 symboles, qui

permettent la détection du signal par le récepteur et le début de la trame. L’en-tête, qui permet le transport des données de supervision, comporte six champs :

� Rate, qui indique le débit utilisé sur l’interface OFDM.

� Reserved, réservé pour un usage futur.

Préambule

12 symboles

En-tête MPDU

Length 4 bits

Tail 6 bits

Service 4 bits

Rate 4 bits

Tail 6 bits

Pad

Parity 1 bit

Reserved 1 bit

Préambule

Synch 57-73 slots

En-tête MPDU

Length 16 slots

CRC 16 slots

DCLA 32 slots

SFD 4 slots

Data Rate 3 slots

46

� Length, indique le nombre d’octet contenu dans la trame.

� Parity, calcule la parité sur les éléments binaires transportés dans les champs Rate, Reserved et Length.

� Tail, ou en-queue, qui est également pour un usage futur.

� Service, pour un usage futur

La zone Tail située après la zone MPDU est également réservée pour un usage futur. La zone Pad qui la suit est un champ de remplissage, ou padding. De 6 bits au minimum permettant à la structure de trame d’avoir une longueur totale qui se compte en octet

ANNEXE II

LA CRYPTOGRAPHIE ET LE CHIFFREMENT

Il existe deux techniques de cryptographie, la cryptographie à clé symétrique et la cryptographie à clé asymétrique, plus connue sous le nom de cryptographie à clé publique. La cryptographie à clé symétrique La cryptographie à clé symétrique est fondée sur l’utilisation d’une clé unique, qui permet à la fois de chiffrer et de déchiffrer les données. Toutes les personnes voulant se transmettre des données de manière sécurisée doivent donc partager un même secret : la clé.

47

Figure AII.1 : La cryptographie à clé symétrique

La faille de ce système réside évidemment dans la transmission de cette clé secrète partagée, tout problème venant de la manière dont est transmise la clé entre l’émetteur et le récepteur. Différents algorithmes de cryptographie à clé symétrique ont été développés, notamment DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm) et la série RC2 à RC6. RC4 : Le RC4 chiffre par flot, sa spécificité réside dans l’utilisation de permutations pseudo-aléatoires pour chiffrer et déchiffrer les données. Il est utilisé dans SSL v2.0 et SSL v3.0 pour sécuriser les connexions dans le protocole WEP d’IEEE 802.11.

Message

Message chiffré

Expéditeur

Cryptage du message avec la clé sécrète

Clé sécrète

(1)

Destinataire

Message

Message chiffré

Clé sécrète

Décryptage du message chiffré avec la clé secrète

(3)

Transmission du message chiffré

(2)

48

La cryptographie à clé publique La technique de cryptographie à clé publique résout le principal problème des clés symétriques, qui réside dans la transmission des clés. Dans la cryptographie à clé publique, deux types de clés sont utilisés :

• Une clé privée pour chiffrer les données, qui doit rester confidentielle. • Une clé publique, qui est laissée à la disposition de tous les utilisateurs. Cette clé

permet de chiffrer les données. La clé publique est envoyée en clair sur le réseau pour permettre le chiffrement. Dès que le destinataire reçoit les données chiffrées, il utilise sa clé privée pour les déchiffrer. Ce processus est illustré à la figure suivante :

Figure AII.2 : La cryptographie à clé publique

Message Message chiffré Clé publique

Expéditeur

Cryptage du message avec la clé publique

(2)

Message chiffré Message

Génération des clés

Clé publique

Clé privé

Clé privée

(4)

Transmission du message chiffré

(3)

Décryptage du message chiffré avec la clé privée Destinataire

Transmission de la clé publique en clair sur le réseau

(1)

49

La cryptographie à clé mixte La cryptographie à clé mixte fait appel aux deux techniques précédentes, à clé symétrique et à clé publique. Ces derniers sont biens connus, la cryptographie à clé symétrique ne permettant pas la transmission de clé sécurisée et la cryptographie à clé publique utilisant des algorithmes trop lents pour le cryptage de données.

Le chiffrement Le mécanisme de chiffrement des données est divisé en deux parties : l’intégrité et le chiffrement proprement dit. L’intégrité Avant de chiffrer les données, on effectue un calcul de l’intégrité des données, ou ICV (Integrity Check Value), grâce à un checksum non chiffré CRC de 32 bits. La clé secrète n’est pas utilisée dans cette partie. Les données sont ensuite concaténées avec l’ICV : Données\\ ICV avec ICV= CRC(données) Le processus de chiffrement Ceci est illustré à la figure suivante :

Figure AII.3 : Le chiffrement des données 1. La clé secrète partagée (k) est concaténée avec un IV(Initialization Vector) de 24 bits. Cet IV est variable mais doit être réinitialisé après chaque utilisation. 2. La nouvelle clé de 64 bits est placée dans le PRNG (PseudoRandom Number Generator). Le PRNG génère une séquence pseudo-aleatoire permettant de chiffrer les données : RC4 (k\\IV) 3. Une fois les deux premières parties terminées, les données sont chiffrées. Pour cela on utilise un « ou » exclusif (XOR) :

50

Données chiffrées = (données \\ICV) ⊕ RC4 (k\\ IV), le symbole ⊕ correspondant à un « ou » exclusif. 4. Les données chiffrées sont transmises, l’IV est ajouté à la trame. Le chiffrement des données ne protège que les données de la trame MAC et non l’en-tête ni le CRC.Cela permet aux autres stations d’écouter les trames, même chiffrées, afin d’en extraire des données utiles, telles que l’information de durée de vie pour le NAV . Le déchiffrement Comme pour le chiffrement, le mécanisme de déchiffrement est composé de deux parties : le déchiffrement proprement dit et le contrôle de l’intégrité des données. Pour le déchiffrement, l’IV permet de retrouver la séquence de clés qui permet de déchiffrer les données. L’IV est concaténé avec la clé secrète, qui, une fois introduite dans le PRNG, donne la bonne séquence de déchiffrement des données. On obtient de la sortie les données déchiffrées ainsi que l’ICV. Pour vérifier que l’opération de déchiffrement s’est déroulée correctement, un calcul d’intégrité est effectué sur les données déchiffrées. Cette nouvelle valeur, ICV’, est comparée à l’ICV obtenu lors du déchiffrement. Si les valeurs d’ICV et d’ICV’ sont différents, c’est que les données sont erronées et doivent être retransmises. La figure suivante illustre ce processus de déchiffrement des données.

Figure AII.4 : Le déchiffrement des données

51

BIBLIOGRAPHIE [1] Site CommentCaMarche.net - "Les réseaux sans fils" et "Le Wi-Fi" [2] D. Males, G. Pujolle, « Wi-Fi par la pratique », Edition Eyrolles, September 2002 [3] Presence-PC.com - Publié le 24 juin 2003 –"Le guide Wi-Fi" [4] « Antennes Cisco Aironet » document sur Google [5] Cours de Réseau local, E 510, 5è année , Département Electronique, ESPA, 2004 [6] Cours de Téléinformatique, E 551, 5è année, Département Electronique, ESPA, 2004 [7] Cours de Traitement Numérique du Signal II,E 531, 5è année, Département

Electronique, ESPA, 2004 [8] http://www.wi-fi.com [9] Philippe. Oechslin , « WLAN security », 2 juin 2004 [10] Genetel , Accompagnement global pour l’optimisation des réseaux data-mobiles, v2.0

(01/12/2003) [11] Sylvain Bourdel, « Introduction aux communications numériques et a l'étalement de spectre », document sur Google

[12] Tom Thomas, « La sécurité des réseaux first-step », CampusPress, 2005

Auteurs : Mr JAONA Andriamparany Herilalaina (*)

Mr RAFENOHERY Lova Nomena (◊)

Titre : « Mise en place d’un réseau sans fils sécurisé dans une entreprise »

Nombre de pages : 52

Nombre de figures : 28

Nombre de tableaux : 5

RESUME

Ce mémoire présente la technologie des réseaux sans fils. L’installation d’un réseau

local sans fils est relativement simple et rapide, comparée à celle d’un réseau local, puisqu’on élimine les besoins de tirer des câbles. Il montre aussi les différents problèmes de sécurité liés à cette technologie et traite les solutions pour remédier à ces derniers.

Mots clés : AP, SSID, WEP, VPN, 802.11, Wi-Fi.

Rapporteur : Monsieur RIVONANTENAINA Hery

Adresses des auteurs : Lot 273 Cité Analamahitsy (*)

Lot IVN 68 ter Ankaditapaka Avaratra(◊)