Sommaire - barthelemyfabien.free.frbarthelemyfabien.free.fr/media/Mémoire_FB.pdf · c. IEEE 802.11...
Transcript of Sommaire - barthelemyfabien.free.frbarthelemyfabien.free.fr/media/Mémoire_FB.pdf · c. IEEE 802.11...
Fabien Barthélémy Licence ARE 2010-2011
| 2
Sommaire POUR DES RAISONS DE CONFIDENTIALITE, IL M’A ETE DEMANDE DE
SUPPRIMER TOUTE REFERENCE A MON ENTREPRISE D’ALTERNANCE. JE
POURRAIS FOURNIR LE DOSSIER COMPLET (AVEC ANNEXES) SUR
DEMANDE. L’INDEXATION DES PAGES EST DE CE FAIT INCORECTE ET LA
MISE EN PAGE EST AUSSI IMPACTEE.
I. Introduction : ........................................................................................................ 4
3. Mes activités en entreprise : ......................................................................... 5
IV. Cahier des Charges : ........................................................................................... 6
1. Le projet : ..................................................................................................... 6
2. Les réseaux sans-fil : ................................................................................... 6
Présentation générale : .......................................................................................................... 6 a.
Le Wi-Fi : ................................................................................................................................ 6 b.
IEEE 802.11 : ........................................................................................................................... 7 c.
Sécurité Wi-Fi : ....................................................................................................................... 7 d.
Le matériel : ........................................................................................................................... 7 e.
3. Exigences techniques : ................................................................................ 8
4. Exigences financières : ................................................................................ 9
V. Organisation du projet : ........................................................................................ 9
1. Les différentes phases du projet : ................................................................ 9
2. Organisation des tâches : ........................................................................... 10
3. Diagramme de GANTT prévisionnel : ......................................................... 12
VI. Déroulement du projet : .......................................................................................13
1. Etude de l’existant : .................................................................................... 13
2. Problématique : .......................................................................................... 16
3. Choix de l’architecture : .............................................................................. 16
4. Mise en place des VLAN : .......................................................................... 17
Généralités sur les VLAN : .................................................................................................... 17 a.
Mise en place de la nouvelle architecture (Cf Annexe 2) : .................................................. 18 b.
5. Le réseau Visiteurs : ................................................................................... 19
Les portails captifs :.............................................................................................................. 19 a.
Fabien Barthélémy Licence ARE 2010-2011
| 3
Etudes des solutions : .......................................................................................................... 20 b.
Test des solutions :............................................................................................................... 25 c.
Choix de la solution : ............................................................................................................ 25 d.
Installation et configuration de pfSense (Cf Annexe 3) : ..................................................... 26 e.
6. Le réseau Employés : ................................................................................. 27
Sécurité : .............................................................................................................................. 27 a.
Mise en place (Cf Annexe 4) : .............................................................................................. 30 b.
7. Les Points d’accès : ................................................................................... 32
Définition du besoin : ........................................................................................................... 32 a.
Etude du matériel : .............................................................................................................. 32 b.
Choix de la solution : ............................................................................................................ 35 c.
Choix de l’emplacement des bornes : .................................................................................. 35 d.
Installation et configuration des bornes (Cf Annexe 5) : ..................................................... 35 e.
8. Phase de recette du projet ......................................................................... 36
Difficultés rencontrées : ....................................................................................................... 36 a.
Respect des exigences : ....................................................................................................... 36 b.
Satisfaction des utilisateurs : ............................................................................................... 39 c.
Respect des délais : .............................................................................................................. 40 d.
VII. Conclusion : ........................................................................................................41
1. Professionnelle : ......................................................................................... 41
2. Personnelle : .............................................................................................. 41
VIII. Bibliographie : .....................................................................................................42
IX. Glossaire : ...........................................................................................................43
Fabien Barthélémy Licence ARE 2010-2011
| Introduction : 4
I. Introduction :
De nos jours l’informatique prend une place primordiale dans la vie d’une
entreprise, le besoin de mobilité des employés au sein des bâtiments ainsi que
l’importance d’offrir un accès internet aux visiteurs, nous amène à implanter des
réseaux wifi.
Mais le réseau informatique d’une entreprise regroupe toutes les données
sensibles. Le réseau sans fil étant par définition un réseau de propagation d’ondes,
les murs de l’entreprise n’en délimitent pas la fin qui le rend vulnérable au monde
extérieur.
Fabien Barthélémy Licence ARE 2010-2011
| Présentation de l’entreprise : 5
II. Présentation de l’entreprise :
III. Organisation informatique :
Mes activités en entreprise :
J’ai été embauché le 1er septembre 2010 au poste d’assistant administrateur
réseau au sein de la société X. Durant cette année de formation on m’a confié toutes
les tâches de l’administration réseau, mes principales activités ont été les suivantes :
Assurer le support et la formation des utilisateurs
Répondre aux demandes individuelles en établissant un ordre de priorité.
Apporter une solution définitive ou temporaire afin que le collaborateur puisse
travailler.
Etablir, diffuser, maintenir des guides de l’utilisateur disponibles et accessibles
à tous.
Administrer les serveurs
Assurer le fonctionnement de chaque serveur dans le rôle qui lui a été
attribué.
Mettre sous audit (alerte + indicateur de performance) chaque serveur
(Nagios).
Seconder le responsable informatique pour assurer la disponibilité du
système.
Maintenir la sécurité informatique
Faire respecter les règles mise en place par la hiérarchie.
Gérer les paramètres de sécurité des postes clients, logiciels et données
utilisateurs.
Administrer les sauvegardes et les mises à jour.
Gérer les utilisateurs et leurs accès aux différentes applications, y compris
utilisateurs nomades (vpn, smartphone…).
Gérer le parc
Planifier et approvisionner les besoins à court terme (consommables).
Réparer / remplacer le matériel en cas de panne, fournir un matériel de
remplacement pendant l’intervention en cas de besoin.
Gérer les stratégies de mises à jour du parc Windows.
Durant la seconde partie de ma formation on m’a confié un projet de mise en
place de deux réseaux Wi-fi afin d’offrir un accès à internet pour les visiteurs et une
extension sans fil du réseau local pour les employés, c’est ce projet qui sera
développé au cours du mémoire.
Fabien Barthélémy Licence ARE 2010-2011
| Cahier des Charges : 6
Durant la totalité de ma présence en entreprise j’ai un contact régulier avec
tous les employés ainsi que les différents fournisseurs et supports techniques à notre
disposition.
IV. Cahier des Charges :
1. Le projet :
Ce projet a pour but de repenser toute l’architecture du réseau sans-fil de la
société afin de rendre plus accessible aux employés ainsi qu’aux visiteurs une
connexion sans-fil dans les locaux de l’entreprise. Il comprend la phase d’étude, de
recherche, de mise en place et de recette.
2. Les réseaux sans-fil :
Présentation générale : a.
Un réseau sans fil est un réseau où plusieurs terminaux peuvent
communiquer sans avoir besoin d’une connexion filaire. Ce type de réseau apporte
une flexibilité dans le sens où l’utilisateur reste connecté même s’il se déplace.
Cette technologie permet de limiter les coûts de mise en place d’un réseau,
elle évite tout le câblage, se déploie assez rapidement, et permet de connecter tout
type de terminal ne disposant pas forcément de prise réseau (Smartphones par
exemple). Les réseaux sans fils permettent aussi une grande souplesse d’évolution
de par le peu de modifications physiques qu’engendre le déménagement du réseau
ou bien le changement de technologie.
Mais les réseaux sans fils présentent aussi quelques inconvénients comme la
sécurité car avec un réseau sans fil, ce n’est plus les murs de l’entreprise qui
délimitent les accès mais bien la propagation des ondes qui peuvent parfois être
captées par des personnes qui ne sont en aucun cas concerné par l’entreprise ; ou
bien la continuité du signal qui peut être entravée par les interférences avec d’autres
appareils émettant des ondes.
Le Wi-Fi : b.
Fabien Barthélémy Licence ARE 2010-2011
| Cahier des Charges : 7
Le Wi-Fi est un type de réseau sans-fil qui signifie Wireless-Fidelity, il
regroupe plusieurs normes de réseaux sans-fil : les normes IEEE 802.11. Il permet
de relier des appareils (ordinateur, routeurs…) dans un réseau informatique sans
liaison filaire.
Grâce au Wi-Fi, nous pouvons mettre en place des réseaux sans-fil à très
haut débit et sécurisés, ce qui permet d’envisager leur déploiement au sein des
entreprises.
IEEE 802.11 : c.
IEEE 802.11 est un ensemble de normes sur les réseaux sans-fil, elle se décompose
de la manière suivante :
- 802 est un standard pour le déploiement des réseaux numériques locaux ou
métropolitains à liaison filaire ou sans-fil.
- 802.1 est la gestion des réseaux.
- 802.10 est la sécurisation des échanges pour les systèmes à liaison filaire ou
sans-fil.
- 802.11 sont les spécifications pour l'implémentation de réseaux numériques
locaux à liaison sans fil.
Sécurité Wi-Fi : d.
Par définition les ondes Wi-Fi se propagent hors des murs de l’entreprise,
c’est pourquoi la sécurité d’un tel réseau est primordiale pour prévenir des risques
d’intrusion de personnes non autorisées, de confidentialité des informations qui
circulent et de détérioration due à des attaques sur le réseau. La sécurité est donc
un point principal sur lequel il faut être attentif lors de la mise en place d’un réseau
Wi-Fi. Cette sécurité est abordée de différentes manières au sein des réseaux Wi-Fi :
connexion, authentification, échanges.
Le matériel : e.
Pour mettre en place de tels réseaux il faut définir le matériel qui va permettre
de transformer les données informatiques en signaux radio et inversement. Nous
avons besoin de point d’accès (PA) qui nous permettent de passer du réseau filaire
au réseau sans-fil, c’est ce type de matériel qui va emmètre les ondes.
Ces points d’accès peuvent fonctionner en deux modes différents définis par l’IEEE
802.11, soit en Ad Hoc, soit en Infrastructure :
Fabien Barthélémy Licence ARE 2010-2011
| Cahier des Charges : 8
- Ad Hoc est un mode où les machines sans fils clientes se connectent les unes
aux autres afin de constituer un réseau point à point, c'est-à-dire un réseau dans
lequel chaque machine joue en même temps le rôle de client et le rôle de point
d'accès.
- Le mode infrastructure est un mode de fonctionnement qui permet de connecter
les ordinateurs équipés d'une carte Wi-Fi entre eux via un ou plusieurs points
d'accès qui agissent comme des concentrateurs. Autrefois, ce mode était
essentiellement utilisé en entreprise. Dans ce cas la mise en place d'un tel réseau
oblige de poser à intervalle régulier des bornes dans la zone qui doit être
couverte par le réseau. Les bornes, ainsi que les machines, doivent être
configurées avec le même nom de réseau (SSID : Service Set IDentifier) afin de
pouvoir communiquer. L'avantage de ce mode, en entreprise, est de garantir un
passage obligé par le PA, il est donc possible de vérifier qui accède au réseau.
En revanche, le réseau ne peut pas s'agrandir, hormis en posant de nouvelles
bornes. Actuellement les Fournisseurs d’Accès Internet (FAI), les boutiques
spécialisées et les grandes surfaces fournissent aux particuliers des routeurs
sans fil qui fonctionnent en mode Infrastructure, tout en étant très facile à
configurer.
Pour l’architecture souhaitée nous allons fonctionner sur un mode Infrastructure étant
donné que l’ensemble de notre réseau n’est pas exclusivement sans fil.
3. Exigences techniques :
Réseau disponible pour les visiteurs :
- Tenir compte de la politique de restriction sur l’accès aux sites web
(pornographie, téléchargement illégal…).
- Offrir la possibilité aux visiteurs de se connecter au réseau de leur entreprise via
un VPN.
- Garantir une sécurité optimale du réseau de l’entreprise en y étant totalement
séparé.
Réseau disponible pour les employés :
- Connexion via le compte Active Directory.
- Connexion invisible pour l’utilisateur.
- Offrir les mêmes services que le réseau filaire sans manipulation supplémentaire.
- Garantir une sécurité optimale en autorisant seulement les comptes employés à
s’y connecter.
- Sécuriser les données qui transitent sur le réseau.
- Maintien des règles de filtrage web en place.
Fabien Barthélémy Licence ARE 2010-2011
| Organisation du projet : 9
4. Exigences financières :
Aucune exigence financière n’a été donnée en début de projet, les budgets
sont accordés tout au long du projet selon les besoins. Des réunions sont organisées
où je présenterais, avec l’aide de mon tuteur, l’état d’avancement du projet et les
ressources financières nécessaires au bon déroulement de celui-ci.
V. Organisation du projet :
1. Les différentes phases du projet :
Ce projet est organisé en six phases :
Etude de l’existant :
Cette phase consiste à analyser la solution actuellement en place au sein de
l’entreprise afin d’établir les besoins.
Choix de l’architecture à mettre en place :
Ici nous allons étudier la meilleure architecture réseau à mettre en place pour
optimiser notre réseau et répondre aux attentes fixées.
Présentation de la solution à la direction :
Cette phase consistera en une réunion avec le directeur controlling et IT au
cours de laquelle nous présenterons la solution trouvée, ses avantages et
inconvénient ainsi que les devis associés à sa mise en place.
Mise en place du réseau Wi-Fi invités :
Dans cette phase nous allons rechercher différentes solutions pour la mise en
place de ce réseau, les comparer, en faire le test pour ensuite définir et mettre la
solution à mettre en production.
Mise en place du réseau Wi-Fi employés :
Ceci constituera la seconde partie de ce projet, nous allons définir et mettre en
place une solution sécurisée pour l’extension du réseau de l’entreprise.
Recette :
Fabien Barthélémy Licence ARE 2010-2011
| Organisation du projet : 10
Cette phase sera une étude des attentes fixées en début de projet et des
travaux réalisés, ceci nous permettra de définir la réussite du projet.
2. Organisation des tâches :
Etude de l’existant :
- Etude du réseau
- Définition des besoins
Choix de l’architecture à mettre en place :
- Etude de solution d’architecture réseau
- Analyse des avantages et inconvénients
- Définition de l’architecture
Recherche de solutions :
- Comparaison de solutions
- Mise en place de tests
Présentation de la solution à la direction :
- Présentation des besoins - Argumentations sur la solution proposée
- Présentation des devis
Mise en place du réseau Wi-Fi invités :
- Etudes des différentes solutions de portail captif
- Mise en place de test sur deux solutions retenues
- Choix de la solution
- Installation et configuration de la solution
- Rédaction des procédures utilisateurs et administrateurs
- Mise en production.
Mise en place du réseau Wi-Fi employés :
- Etude des différents moyens de sécurisation du réseau
- Choix des solutions de sécurisation du réseau
- Recherche et comparaison de matériels compatibles avec les solutions choisies
Fabien Barthélémy Licence ARE 2010-2011
| Organisation du projet : 11
- Choix du matériel à mettre en place
- Installation et configuration du matériel
- Rédaction des procédures utilisateurs et administrateurs
- Mise en production
Recette :
- Comparaison des attentes fixées avec les objectifs atteint
- Etude de satisfaction auprès des utilisateurs
Fabien Barthélémy Licence ARE 2010-2011
| Organisation du projet : 12
3. Diagramme de GANTT prévisionnel :
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 13
VI. Déroulement du projet :
1. Etude de l’existant :
Actuellement nous avons trois réseaux wifi disponibles sur le site :
- RW_Public au troisième étage du bâtiment sécurisé par une clé partagée WPA.
Ce réseau n’est pas relié au réseau interne de l’entreprise et est à disposition des
employés. Pour son utilisation comme point d’accès mobile au réseau de
l’entreprise, les employés doivent connecter le client VPN ce qui engendre une
perte de temps qui n’est pas forcément la bienvenue lors de réunions avec les
clients ou fournisseurs.
- RW_Public2 au deuxième étage est identique au réseau RW_Public.
Architecture Actuelle
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 14
Ces deux réseaux ne sont pas disponibles dans tout le bâtiment, voici une
étude de réception des différents réseaux :
Sur le plan suivant nous retrouvons le bâtiment de la société, deux zones y sont
représentées :
Les zones représentent la couverture Wi-Fi actuelle.
Les zones représentent les parties du bâtiment qui ont le plus
besoin d’être couvertes par le réseau sans-fil (salles de réunions, bureaux de
la direction…).
Les représentent les bornes Wi-Fi.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 15
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 16
On observe bien que seule une salle de réunion présente une bonne réception du
réseau Wi-Fi
De plus le fait d’avoir plusieurs réseaux sur le même canal pose de problèmes
de disponibilité, nous constatons des coupures réseaux ce qui engendre encore des
pertes de temps pour les utilisateurs.
D’un point de vue de la sécurité, les réseaux wifi RW_Public et RW_Public2
sont reliés au réseau de l’entreprise par les bornes wifi qui font office de routeurs, les
clés partagées WPA sont connues pas l’ensemble du personnel et donc facilement
utilisables par des personnes étrangères à la société.
2. Problématique :
Toutes ces failles nous poussent donc à repenser totalement l’architecture du
réseau Wifi de l’entreprise afin d’augmenter la disponibilité des réseaux autant pour
les employés que pour les visiteurs qui aujourd’hui ont besoin d’être connectés en
permanence. Cette refonte devra aussi permettre d’augmenter la sécurité du réseau
de l’entreprise.
3. Choix de l’architecture :
Afin de rendre accessible aux employés toutes les ressources informatiques
du réseau de l’entreprise mais aussi d’offrir un accès internet aux différents visiteurs
transitant dans les salles de réunions tout en assurant une sécurité optimale des
ressources mises à disposition, nous allons mettre en place deux réseaux Wi-Fi
différents. Ces deux réseaux Wi-Fi seront séparés logiquement par la mise en place
de VLAN : un VLAN d’administration, un VLAN réseau interne et un VLAN réseau
visiteurs.
Dans un premier temps nous allons étudier la mise en place du réseau
Visiteurs sécurisé via un portail captif, ce réseau devra comprendre un filtrage web
selon la politique de filtrage de l’entreprise, pour des raisons de sécurité nous
n’autoriserons que les protocoles http, https et ftp.
La seconde partie sera consacrée au réseau Employés qui lui sera une
extension du réseau local sans fil (WLAN) de l’entreprise sécurisé via un système
d’authentification relié à l’annuaire LDAP de la société.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 17
Architecture Future
4. Mise en place des VLAN :
Généralités sur les VLAN : a.
Les VLAN (Virtual Local Area Network, Réseau Local Virtuel en français)
séparent les réseaux physiques de manière logique. Ils permettent une segmentation
du réseau (réduction de la taille d'un domaine de broadcast), une augmentation de la
sécurité en créant un ensemble logique isolé et une souplesse d’administration car
l’architecture du réseau peut être modifiée par une simple configuration sur les
commutateurs. Le seul moyen pour communiquer entre des machines appartenant à
des VLAN différents est alors de passer par un routeur.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 18
Il existe trois types de VLAN :
- Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based
VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le
commutateur ;
- Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou
en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en
fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus
souple que le VLAN par port car le réseau est indépendant de la localisation de la
station ;
- Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :
Le VLAN par sous-réseau (en anglais Network Address-Based VLAN)
associe des sous-réseaux selon l'adresse IP source des datagrammes.
Ce type de solution apporte une grande souplesse dans la mesure où la
configuration des commutateurs se modifie automatiquement en cas de
déplacement d'une station. En contrepartie une légère dégradation de
performances peut se faire sentir dans la mesure où les informations
contenues dans les paquets doivent être analysées plus finement.
Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de
créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX,
AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même
protocole au sein d'un même réseau.
Mise en place de la nouvelle architecture (Cf Annexe 2) : b.
Dans notre cas nous allons utiliser les VLAN de niveau 1 car nous avons
besoin de séparer les ports des commutateurs afin que seul les personnes habilités
puissent modifier l’architecture, les VLAN de niveau 2 permettent une usurpation
d’identité en modifiant l’adresse IP d’un terminal et les VLAN de niveau 3 présentent
le même problème que les VLAN de niveau 2 en plus des ralentissements qu’ils
peuvent occasionner.
La mise en place de VLAN est une étape assez simple, elle consiste à créer
trois VLANs sur les commutateurs, affecter les ports des commutateurs aux
différents VLANs : pour le réseau visiteurs nous avons besoin de deux ports pour le
serveur pfsense; tous les autres seront affectés au VLAN Employés, nous réservons
un VLAN d’administration à partir duquel nous administrerons les bornes wifi. Afin
que les bornes puissent recevoir les trois VLANs sur un seul port, il faut mettre en
place un lien trunk taggué sur chacun des trois VLANs, qui va permettre de
transmettre les données des trois VLANs. Un routage inter-VLAN sera mis en place
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 19
afin de rendre disponible l’administration du serveur pfSense et des bornes Wifi
depuis un VLAN différent et l’accès à internet depuis le VLAN visiteurs.
Architecture des VLANs
5. Le réseau Visiteurs :
Les portails captifs : a.
Le portail captif est un logiciel qui permet de gérer l’authentification des
utilisateurs qui souhaitent accéder à internet. Lors de la mise en place du réseau,
aucune sécurité n’est activée pour s’y connecter, ce n’est qu’après que la connexion
se fait. Le portail captif va, dès la première requête http, rediriger le navigateur web
afin d’authentifier l’utilisateur, sans quoi aucune demande ne passera au-delà du
serveur captif.
Ce système offre donc une sécurité du réseau mis à disposition, il permet de
respecter la politique de filtrage web de l’entreprise grâce à un module proxy et
permet aussi grâce à un firewall intégré d’interdire l’accès aux protocoles souhaités.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 20
Mais ce système présente tout de même un inconvénient : une fois que
l’utilisateur est authentifié, le portail captif met en place une autorisation pour
l’adresse MAC et l’adresse IP du PC, leur usurpation par un tiers est assez simple et
présente une faille dans la sécurité du réseau. C’est pourquoi la mise en place d’une
durée maximale de connexion est requise, le système demande donc une nouvelle
fois l’authentification après dépassement de ce délai.
Etudes des solutions : b.
Dans l’étude des différentes solutions j’ai mis en évidence plusieurs critères
importants que doivent prendre en compte les différentes solutions :
- Sécurité des échanges lors de l’authentification : pour éviter la récupération de
mot de passe sur le réseau.
- Présence d’une documentation complète : pour assurer la rapidité de mise en
place de la solution.
- Simplicité d’administration : pour permettre à différentes personnes d’administrer
le logiciel.
- Simplicité d’utilisation : pour permettre à tous les visiteurs (expérimentés ou non)
à se connecter au réseau Wi-Fi.
- Compatibilité multiplateforme : pour permettre la connexion depuis les
Smartphones et différents navigateurs web.
- Présence de sauvegarde et restauration de configuration : pour permettre un
redémarrage du système très rapidement en cas de problèmes.
- Pérennité de la solution : pour palier au failles de sécurité et augmenter les
fonctionnalités de la solution via des mises à jour.
- Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la
charte graphique de l’entreprise et ainsi le rendre plus convivial.
Toutes les solutions étudiées sont des solutions libre et gratuites ce qui nous
permet de diminuer le budget de leur mise en place.
PfSense :
pfSense est une distribution FreeBSD développée lors d’un projet en 2004,
l’objectif de départ est d’assurer les fonctions de pare-feu et de routeur mais
l’engouement généré par cet applicatif lui a permis d’étendre ses fonctionnalités et
présente maintenant les fonctions de portail captif, serveur proxy…
Son installation se fait facilement via une distribution dédiée et toutes les
configurations peuvent se faire soit en ligne de commande (SSH) ou bien via
l’interface web (HTTPS). La sauvegarde et restauration de configuration est
disponible à travers l’interface web et permet de générer un simple fichier d’une taille
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 21
raisonnable. Le portail assure une évolution constante grâce à des mises à jour
régulières dont l’installation est gérée automatiquement dans une partie du panneau
d’administration.
Cette solution permet une authentification sécurisée via le protocole HTTPS et
un couple utilisateur / mot de passe.
Une documentation très complète est disponible sur internet, un support
commercial est désormais présent en cas de gros incident. pfSense dispose aussi
d’une communauté très active.
pfSense assure une compatibilité multiplateforme, une personnalisation
complète des pages accessibles par les utilisateurs ainsi qu’une simplicité
d’utilisation grâce à une page de connexion succincte où on ne retrouve que deux
champs (utilisateur / mot de passe).
Alcasar :
Alcasar est un projet Français essentiellement dédié aux fonctions de portail
captif, cet applicatif s’installe via un script supporté par la distribution Linux Mandriva,
les configurations se font via une interface de gestion sécurisée (HTTPS) ou bien en
ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la
configuration est prise en charge via la création d’un ghost système dans le panneau
d’administration, ce qui engendre tout de même un fichier d’une certaine taille. Les
mises à jour régulières assurent la pérennité de la solution.
L’authentification au portail est sécurisée par HTTPS et un couple utilisateur /
mot de passe.
Une documentation assez complète est disponible pour l’installation et la
configuration et la communauté semble active.
Tout comme pfSense, Alcasar est compatible avec de nombreuses
plateformes, la personnalisation des pages utilisateurs et la simplicité d’utilisation son
présente.
ZeroShell :
ZeroShell est une distribution Linux conçue pour mettre en place une sécurité
globale au sein d’un réseau (Pare-Feu, VPN, portail captif…). Son installation est
simple via une distribution dédiée.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 22
Elle présente une interface de gestion web simple d’utilisation qui permet
entre autres de sauvegarder la configuration du portail captif ou encore de
personnaliser les pages de connexion et déconnexion dans un éditeur HTML intégré.
Cette solution n’est encore disponible qu’en version beta car le projet est en cours de
lancement.
Comme les deux autres solutions la page d’authentification est sécurisé et la
connexion se fait via un couple utilisateur / mot de passe.
On retrouve assez peu de documentation pour la gestion de système mais la
communauté à l’air tout de même bien présente.
Son utilisation reste identique aux autres solutions présentées.
ChilliSpot :
ChilliSpot est un applicatif dédié à la gestion de l’authentification sur les
réseaux, son installation est assez simple via un package applicatif disponible sur les
distributions Red Hat et Fedora. La sauvegarde de la configuration est disponible
mais elle implique de copier les fichiers de configuration et donc de les connaitre.
La page de connexion est disponible en HTTPS à condition d’avoir configuré
le serveur web (Apache) au préalable en écoute sur le port 443.
On retrouve une documentation complète et une communauté assez active,
mais le projet est en régression, la dernière version stable date d’octobre 2006 et le
projet est mis en suspens depuis le départ du développeur principal.
L’utilisation est la même que les autres solutions proposées, page de
connexion avec champs utilisateur et mot de passe.
Voici un tableau comparatif de ces quatre solutions :
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 23
pfSense 72
Sécurité Authentification HTTPS 4 3
Documentation
Très complète (anglais / français)
Communauté active / Support commecial
Nombreux Tutoriaux
3 3
Plateformes Clientes Supportées Toutes 3 3
PersonalisationCréation de la page web d'authentification
et d'accès refusé suivant un modèle 1 3
Facilité d'administration
Installation via distribution dédiée
Configuration à travers page web
oú chaque entrée est expliqué.
3 3
Facilité d'Utilisation
Page de connexion avec login
et mot de passe et bouton logout
Redirection automatique si non authentifié
5 3
Sauvegarde / Restauration ConfigurationSauvegarde et restauration du fichier de configuration
dans le panel d'administration2 3
Pérénité de la solution
4 Versions stables (1.2.1 / 1.2.2 / 1.2.3/2.0)
dernière version mars 2011.
mise à jour du portail intégré au panel d'administration
3 3
Alcasar 70
Sécurité Authentification HTTPS 4 3
DocumentationComplète (français) / Communauté active
/ Nombreux Tutoriaux3 3
Plateformes Clientes Supportées Toutes 3 3
PersonalisationModification de la page web d'authentification
et d'accès refusé1 3
Facilité d'administrationInstallation via script automatisé
Administration à travers page web intuitive3 3
Facilité d'Utilisation
Page de connexion avec login
et mot de passe et bouton logout
Redirection automatique si non authentifié
5 3
Sauvegarde / Restauration ConfigurationSauvegarde du système (GHOST)
dans le panel d'administration2 2
Pérénité de la solution
Amélioration constante,
v2.0.1 de janvier 2011.
Script de mise à jour du portail
intégré au panel d'administration
3 3
Solutions Critères DescriptionPondération
(1-5)
Note
(1-3)Total
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 24
ZeroShell 57
Sécurité Authentification HTTPS 4 3
Documentation Faible (anglais) / Communauté active 3 2
Plateformes Clientes Supportées Aucune information 3 1
Personalisation Editeur intégré dans panel d'administration 1 3
Facilité d'administrationInstallation via distribution dédiée,
configuration à travers page web intuitive3 3
Facilité d'Utilisation
Page de connexion avec login
et mot de passe et bouton logout
Redirection automatique si non authentifié
5 3
Sauvegarde / Restauration ConfigurationGestion des sauvegarde et restauration
dans panel d'administration2 3
Pérénité de la solutionProjet en phase de lancement
seules versions dispo sont des beta 1.0Beta143 1
ChilliSpot 52
Sécurité Authentification HTTPS 4 3
Documentation Complet (anglais) / Communauté active 3 1
Plateformes Clientes Supportées Aucune d'information 3 1
PersonalisationModification de la page web d'authentification
et d'accès refusé1 3
Facilité d'administrationInstallation via .rpm sur red hat et fedora,
page d'administration intuitive3 3
Facilité d'Utilisation
Page de connexion avec login
et mot de passe et bouton logout
Redirection automatique si non authentifié
5 3
Sauvegarde / Restauration ConfigurationSauvegarde et restauration
des fichiers de configuration "à la main"2 2
Pérénité de la solutionDernière version de octobre 2006,
le développeur principal est parti du projet.3 1
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 25
Test des solutions : c.
Suite à cette étude nous avons décidé de mettre en test les deux solutions qui
nous semblaient les meilleures : pfSense et Alcasar.
Dans les deux cas je n’ai eu aucun problème lors de l’installation, les
panneaux d’administration sont assez intuitifs ce qui rends les manipulations plutôt
simples. Les deux solutions présentent quasiment les mêmes fonctions concernant le
portail captif et répondent aussi bien l’une que l’autre aux exigences fixées.
Pour ces tests j’ai mis en place la configuration suivante :
- Portail captif avec redirection automatique sur réseau LAN au WAN.
- Serveur pfSense / Alcasar passerelle du LAN au WAN.
- Serveur pfSense / Alcasar serveur DHCP sur le LAN.
- Serveur pfSense / Alcasar filtre web.
- Un client connecté via un point d’accès Wi-Fi sur le LAN.
Lors de la première requête internet, le navigateur web du client est redirigé
vers la page d’authentification sécurisée où il lui est demandé un utilisateur et un mot
de passe. Une fois le compte (préalablement créé dans la base des comptes sur le
serveur) saisi, le portail redirige automatiquement vers la page demandé. Si un
mauvais compte est saisi le portail redirige de nouveau vers la page
d’authentification en affichant un message d’erreur.
Les tests sur différents navigateurs : Opéra, Safari, Mozilla Firefox, Internet
Explorer ainsi que les différentes plateformes : Windows, MAC, IPhone, Androïde,
Linux sont tous concluant, l’authentification se fait sans aucun souci et les
redirections fonctionnent très bien.
La mise en place du filtrage de protocole fonctionne aussi, nous n’autorisons
que les protocoles HTTP, HTTPS et FTP.
Grâce aux BlackList disponibles sur les applicatifs, les règles de filtrage web
se mettent en place très facilement.
Choix de la solution : d.
Suite aux phases de test nous avons dû choisir une solution, les deux
applicatifs répondent tout à fait à nos demandes mais nous avons décidé de garder
pfSense pour son coté plus convivial, il présente une page principale en tableau de
bord où l’on retrouve toutes les informations essentielles et que l’on peut modifier en
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 26
fonction des besoins. Ce produit présente aussi pour nous une plus grande
assurance car la communauté est très active et le support peut nous venir en aide en
cas de problème.
Installation et configuration de pfSense (Cf Annexe 3) : e.
pfSense sera installé sur une Appliance dédiée : un boitier Alix 2D13, Appliance
disposant de très peu de ressources matérielles.
- Installation :
L’installation de pfSense est assez simple, elle se fait via une distribution
dédiée distribuée sur le site de pfSense et un utilitaire distribué par m0n0wall pour
l’installation sur une carte Compact Flash (www.pfsense.org / www.m0n0wall.com).
- Configuration générale :
Dans cette partie nous renseignons les paramètres réseau de base du
serveur, ces derniers vont lui permettre de contacter le réseau local et internet
(adresse IP, serveurs DNS, passerelle…).
- Création des certificats :
Afin de permettre une connexion sécurisée sur le portail captif, la mise en
place de certificats nous permet d’assurer au client qu’il se trouve sur le bon serveur,
les mots de passes sont donc envoyés à la bonne personne. De plus les certificats
nous permettent de crypter les données transmises, ce qui rend difficile le vol de
mots de passe.
- Configuration du serveur DHCP :
Pour que les visiteurs, qui veulent utiliser leurs ordinateurs, ne perdent pas de
temps en configuration, nous mettons en place un serveur DHCP qui va
automatiquement fournir au poste les informations de connexions sur le réseau.
- Configuration du portail captif :
Lorsque les visiteurs seront connectés sur le réseau Wi-Fi, dès la première
demande d’accès via un navigateur web, la page sera automatiquement redirigée
vers la page de connexion au portail sécurisé, ce qui permettra l’authentification sur
le réseau et autorisera la personne à naviguer sur internet. Les informations de
connexions seront fournies par notre service.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 27
- Configuration sur serveur proxy :
Selon la politique du réseau de l’entreprise, un filtrage des sites web sera mis
en place, selon des listes noires générales et régulièrement mises à jour, les sites
internet de type pornographiques, pédophilie… ne seront pas consultables sur le
réseau Wi-Fi.
- Personnalisation des pages web :
Afin d’intégrer totalement le portail captif dans le réseau de l’entreprise les
pages de connexion seront mises aux couleurs de l’entreprise grâce à un
développement HTLM, PHP, JAVASCRIPT.
Voici un exemple :
- Rédaction d’une charte d’utilisation :
Pour se prévenir d’une utilisation abusive de ce réseau nous avons rédigé une
charte d’utilisation qui devra être acceptée avant la connexion, sans qui cette
dernière ne sera pas possible.
6. Le réseau Employés :
Sécurité : a.
Pour assurer la sécurité du réseau nous allons utiliser le Wi-Fi Protected
Access 2 (WPA2 – IEEE 802.11i), en implémentant différents protocoles qui
permettront de répondre aux exigences de sécurité et de transparence auprès des
utilisateurs.
Authentification des utilisateurs :
Sur le réseau Employés, les utilisateurs doivent obligatoirement être
authentifiés de façon transparente, aucun identifiant ne doit être demandé, c’est
pourquoi nous allons utiliser un serveur Radius.
Radius (Remote Authentifiacation Dial-in User Service) est un protocole client-
serveur permettant de centraliser les données d’authentification.
Pour s’authentifier, le poste utilisateur transmet une requête d’accès à un
client RADIUS pour entrer sur le réseau, ce dernier se charge de demander les
informations identifiant l’utilisateur (utilisateur & mot de passe). Le client RADIUS
Page de connexion Portail Captif
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 28
génère une requête d’accès qu’il transmet au serveur RADIUS, ce dernier
préalablement couplé avec le service d’annuaire va pouvoir aller vérifier les
informations envoyées par le client et ainsi valider ou bien refusé l’accès.
Sécurité de l’authentification :
Afin d’assurer l’identité du client auprès du serveur nous utiliserons un
protocole de challenge Microsoft : Microsoft Challenge Handshake Authentication
Protocol Version 2 (MsCHAPv2). Ce protocole permet une authentification mutuelle
entre le client et le serveur. A la demande de connexion le serveur RADIUS envoie
un défi au client contenant un identificateur de session et une chaine de défi
arbitraire, le client envoi une réponse contenant : le nom d’utilisateur, une chaine de
défi homologue arbitraire et un chiffrement unidirectionnel de la chaine de défi reçue,
de la chaine de défi homologue, de l’identificateur de session et du mot de passe
utilisateur. Une fois les informations validées la connexion au réseau peut se faire.
Ce protocole étant sensible aux attaques de dictionnaires, nous implémentons
le protocole Protected Extensible Authentication (PEAP) qui va permettre de créer
un tunnel sécurisé (TLS) pour l’envoi des données d’authentification via EAP et
MSCHAPv2. L'utilisation d'une session TLS dans le cadre d'un PEAP offre les
avantages suivants :
o Elle permet au client d'authentifier le serveur RADIUS ; le client peut
ainsi établir la session uniquement avec un serveur détenant un
certificat approuvé.
o Elle protège le protocole d'authentification MSCHAP v2 contre la
surveillance des paquets.
o La négociation de la session TLS génère une clé pouvant être utilisée
par le client et le serveur RADIUS pour définir des clés principales
communes. Les clés permettant de crypter le trafic du réseau local
sans fil sont dérivées des clés principales.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 29
Sécurité des communications :
Pour sécuriser les communications sur le réseau WPA2 offre deux types de
chiffrements :
- Temporal Key Integrity Protocol (TKIP) : il permet l’authentification et la protetion
des données transitant sur le réseau. C’est une méthode de cryptage. Qui génère
une clé de paquets, mélange les paquets du message, puis remet les paquets
dans l'ordre pour retrouver l'intégrité du message grâce à un mécanisme de
triage.
- Advanced Encryption Standard (AES) : c’est une méthode de chiffrement
symétrique (chiffrement avec une clé secrète).
TKIP est donc initialement mis en place pour pallier aux différents problèmes
du chiffrage WEP, il repose sur la même base de chiffrement qui a révélé ses limites.
AES quant à lui est une méthode de chiffrement complètement à part qui n’a pour
l’instant pas été cassé. De plus TKIP générant dynamiquement (quelques minutes
d’intervalle entre chaque génération de clés) des clés de chiffrement peuvent
diminuer les performances alors que l’AES n’a besoin que de très peu de ressources.
RADIUS EAP
EAP
TLS
EAP 35
AUTHENTIFICATION
RADIUS PEAP MSCHAPv2
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 30
Le réseau Wi-Fi Employés utilisera donc la sécurité suivante : WPA2
Enterprise AES PEAP/MsCHAPv2.
Mise en place (Cf Annexe 4) : b.
L’installation du serveur radius se fait via l’ajout de rôles sur nos deux
contrôleurs de domaines, étant donné le faible nombre de connexions nous n’avons
pas besoin de mettre en place un serveur dédié. Une autorité de certification doit être
installée car nous n’utiliserons pas de certificat externe pour la mise en place de
PEAP qui utilise un certificat côté serveur pour garantir son authenticité auprès du
client.
Les bornes Wi-Fi doivent être référencées sur le serveur d’authentification afin
d’assurer la provenance des connexions. On renseigne un secret qui ne sera connu
que par le point d’accès et le serveur.
1. Lorsque l'ordinateur client est à proximité du point d'accès sans fil, il tente de se
connecter au réseau sur le point d'accès qui est identifié par son SSID (Service
Set Identifier). Le SSID est le nom du réseau local sans fil. Il est utilisé par le client
Fonctionnement WAP2 PEAP MSCHAPv2 et RADIUS
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 31
pour identifier les paramètres corrects et le type d'informations d'authentification à
utiliser pour ce réseau.
2. Le point d'accès sans fil est configuré pour autoriser uniquement les connexions
sécurisées (authentifiées 802.1X). Lorsque le client essaie de s'y connecter, le
point d'accès lance un défi au client. Le point d'accès configure ensuite un canal
restreint, qui permet au client de communiquer uniquement avec le serveur
RADIUS (bloquant l'accès au reste du réseau). Le serveur RADIUS accepte
uniquement la connexion d'un point d'accès sans fil fiable ; c'est-à-dire, un point
d'accès configuré comme un client RADIUS sur le serveur NPS et qui fournit le
secret partagé de ce client RADIUS.
Le client tente d'authentifier le serveur RADIUS via le canal restreint, dans le
cadre de la négociation PEAP, le client établit une session TLS (Transport Layer
Security) avec le serveur RADIUS.
Sécurisé au sein du canal PEAP, le client s'authentifie sur le serveur RADIUS à
l'aide du protocole MS-CHAP v2 EAP. Lors de cet échange, le trafic du tunnel TLS
est visible uniquement du client et du serveur RADIUS et n'est jamais exposé au
point d'accès sans fil.
3. Le serveur RADIUS vérifie les informations d'authentification du client en
consultant l'annuaire. Une fois le client authentifié, le serveur RADIUS regroupe
les informations qui lui permettent de décider s'il autorise le client à utiliser le
réseau local sans fil. Il utilise les informations de l'annuaire (telles que
l'appartenance de groupe) ainsi que les contraintes définies dans sa stratégie
d'accès (par exemple, les moments de la journée auxquels l'accès au réseau local
sans fil est autorisé) pour accorder ou refuser l'accès au client. Le serveur
RADIUS transmet cette décision d'accès au point d'accès.
Si l'accès est accordé au client, le serveur RADIUS transmet la clé principale du
client au point d'accès sans fil. Le client et le point d'accès partagent alors un
matériel de clé commun qu'ils peuvent utiliser pour crypter et décrypter le trafic du
réseau local sans fil qui circule entre eux.
Avec WPA, le matériel de clé principale permet de dériver les clés de cryptage des
données qui sont modifiées pour chaque paquet transmis. La fonctionnalité WPA
n'a pas besoin de forcer des réauthentifications fréquentes pour assurer la
sécurité des clés.
4. Le point d'accès crée alors un pont entre la connexion au réseau local sans fil du
client et le réseau local interne, permettant au client de communiquer librement
avec les systèmes du réseau interne. Le trafic circulant entre le client et le point
d'accès est alors crypté.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 32
5. Si le client requiert une adresse IP, il peut alors demander un bail DHCP (Dynamic
Host Configuration Protocol) à partir d'un serveur du réseau local. Une fois
l'adresse IP attribuée, le client peut commencer à communiquer normalement
avec les systèmes du reste du réseau.
7. Les Points d’accès :
Définition du besoin : a.
Afin de mettre en place la configuration exposée ci-dessus nous avons besoin de
nouveaux points d’accès Wi-Fi intégrant les fonctionnalités et compatibilités
suivantes :
L’interface de gestion sécurisée via SSL est indispensable pour la
confidentialité des informations d’authentification de l’administrateur.
Interface de gestion en ligne de commande en cas de problème sur le serveur
web de la borne.
WPA2.
AES.
PEAP.
MsCHAPv2.
RADIUS client.
Filtrage par adresse MAC et possibilité de masquer le SSID peuvent assurer
une sécurité de premier ordre.
Intégration du PoE (Power Over Ethernet) qui permet de n’avoir qu’un seul
câble pour relier la borne.
802.11n pour une meilleure diffusion et un meilleur débit.
Le support Multi-SSID pour gérer les deux réseaux Wi-Fi.
Support du 802.1q pour les VLAN.
Possibilité de supervision via le protocole SNMP (Simple Network
Management Protocol).
Possibilité de mettre en place des logs de connexions pour une meilleure
analyse en cas de problèmes.
Etude du matériel : b.
Pour la mise en place du réseau Wi-Fi j’ai étudié quatre bornes, j’ai défini une
pondération pour chacun des critères ce qui me permet de définir précisément la
solution la mieux adaptée à nos besoins.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 33
Voici un tableau comparatif des différentes solutions étudiées :
Prix : CHF 388.-
La D-Link DAP-2590 répond à beaucoup de critères pour la configuration
souhaitée mais n’intègre pas les protocoles PEAP et MsCHAPv2.
Prix : CHF 766.-
La HP E-MSM430 répond à tous les critères de notre configuration future, son
prix assez élevé peut tout de même être un frein à son acquisition.
D-LINK
DAP-2590Fonctionalités (pondération) Note
Interface de gestion sécurisée (5)
Ligne de commande (telnet et SSH) (3)
WPA2 (5)
AES (5)
Filtre MAC (3)
RADIUS (5)
SSID Caché (3)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v1/2c/3 (3)
Logs (3)
53
HP
E-MSM430 Fonctionalités (pondération) Note
Interface de gestion sécurisée (5)
Ligne de commande (telnet et SSH) (3)
WPA2 (5)
AES (5)
PEAP (5)
MsCHAPv2 (5)
Filtre MAC (3)
RADIUS (5)
SSID Caché (3)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v2c/3 (3)
Logs (3)
63
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 34
Prix : CHF 510.-
La Cisco AiroNet 1042 N répond elle aussi à tous les critères demandés, son
interface de gestion plus compliquée pourrait poser problème lors de son intégration.
Prix : CHF 430.-
La Ruckus ZoneFlex 7343, bien qu’ayant de nombreuses fonctionnalités
intéressantes (détection automatique de l’environnement…) que les autres n’ont pas,
ne réponds pas aux attentes fixées.
CISCO
Aironet 1042 NFonctionalités (pondération) Note
Interface de gestion sécurisée (5)
Ligne de commande (telnet et SSH) (3)
WPA2 (5)
AES (5)
PEAP (5)
MsCHAPv2 (5)
Filtre MAC (6)
RADIUS (5)
SSID Caché (6)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v1/2/2c/3 (3)
Logs (3)
63
Ruckus
ZoneFlex 7343Fonctionalités (pondération) Note
Interface de gestion sécurisée (5)
Ligne de commande (telnet et SSH) (3)
WPA2 (5)
AES (5)
Filtre MAC (3)
RADIUS (5)
SSID Caché (3)
PoE (4)
802.11a/b/g/n (4)
Multi-SSID (5)
VLAN 802.1Q (5)
SNMP v3 (2)
Logs (3)
52
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 35
Choix de la solution : c.
Suite à la comparaison de toutes ces solutions ainsi qu’à une réunion avec
notre fournisseur il est ressorti que les points d’accès E-MSM 430 de HP sont les
plus adaptés à notre besoin car elles sont compatibles avec toutes les contraintes
de sécurisation des réseaux sans-fil, leur avantage par rapport au point d’accès
Cisco, dont le classement est identique dans notre tableau de pondération, est
une garantie matérielle à vie. De plus notre réseau étant essentiellement formé
de matériel du constructeur HP, ces bornes respectent l’homogénéité matérielle.
Choix de l’emplacement des bornes : d.
Afin de couvrir la plus grande partie du bâtiment et principalement les salles
de réunions trois bornes seront installées : la première à l’entrée du troisième étage
qui couvrira les salles Freelancer et Shine ainsi que les bureaux de la direction, une
seconde dans les bureaux Recherche et Développement ce qui couvrira la salle
Nabucco ainsi que le bureau des commerciaux, enfin la troisième borne sera placée
au rez-de-chaussée, elle couvrira la salle Don Giovanni ainsi que la réception et les
expéditions.
Installation et configuration des bornes (Cf Annexe 5) : e.
La première étape est la mise en place des informations générales,
adresse IP, nom DNS… Celle-ci permet à la borne wifi d’accèder au
réseau de l’entreprise.
Ensuite j’ai configuré la borne afin qu’elle ne soit administrable que
depuis le VLAN d’administration. Cette étape renforce la sécurité du
réseau car toute personne n’ayant pas accès au VLAN administration
n’aura pas accès au paramètres des bornes.
Afin de pouvoir taggué les informations des deux réseaux wifi, j’ai
configuré les deux VLANs dans le point d’accès, ceci va permettre
d’assigner aux VLANs les différents flux d’informations.
L’authentification étant gérée par un serveur externe, j’ai configuré un
profil de connexion afin que la borne sache vers qui se diriger lors d’une
demande de connexion. L’adresse ip, le type d’authentification ainsi
que le secret partagé ont été nécessaires à cette configuration.
Enfin j’ai créé les deux réseaux wifi en renseignant le type
d’authentification (aucun pour le réseau visiteur et WPA2 RADIUS pour
le réseau employés), le VLAN auquel appartiennent les réseaux, le taux
de transfert minimum…
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 36
8. Phase de recette du projet
Difficultés rencontrées : a.
Plusieurs phases du projet ont été difficiles, il a fallu tout d’abord comprendre
le fonctionnement des solutions que nous allions mettre en place : portail captif,
serveur proxy, protocoles de sécurité Wi-Fi, serveur RADIUS…
Une fois ces notions assimilées, l’intégration de certains éléments ont posés
quelques problèmes :
La mise en place du portail captif a été une partie assez compliquée de par la mise
en place du serveur Proxy et plus précisément du Filtre Proxy. La distribution dédiée,
installée sur une plateforme matérielle utilisant une carte Compact Flash, était déjà
partitionnée et sa table ne pouvait pas être refaite. Il a fallu trouver dans la
configuration du package squidGuard (intégré à pfSense) les paramètres pour
modifier l’emplacement des bases de données pour les listes noires de filtrage qui
prennent de la place et ne pouvait pas être placée sur la partition par défaut.
Le filtrage d’URLs mis en place pose aussi quelques soucis, le proxy en mode
transparent filtre uniquement les requêtes en http, toutes les requêtes fait en mode
sécurisé (https) ne sont pas filtrées. Par exemple, l’application Facebook pour
Smartphone ne peut pas être bloquée car elle utilise automatiquement le protocole
sécurisé https.
Le bâtiment de la société étant assez ancien, nous avons eu des problèmes
avec la portée des bornes Wi-Fi. L’objectif principal qui était de couvrir l’intégralité
des salles de réunions, le bureau des commerciaux ainsi que celui de la direction est
tout de même atteint mais le premier étage est très peu couvert (importance faible :
stock montres et cafétéria) et le deuxième étage n’est qu’à moitié couvert
principalement à cause d’une descente de câbles et des murs épais.
Respect des exigences : b.
Techniques :
Suite à la mise en place des nouveaux réseaux Wi-Fi j’ai réalisé une nouvelle étude,
voici les résultats :
Les zones représentent la couverture Wi-Fi actuelle.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 37
Les zones représentent les parties du bâtiment qui ont le plus
besoin d’être couvertes par le réseau sans-fil (salles de réunions, bureaux de
la direction…).
Les représentent les bornes Wi-Fi.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 38
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 39
Financières :
Les devis proposés à la direction ont été acceptés, la mise en place de solutions
libres a permis de diminuer les coûts du projet.
Le bon de commande est disponible en annexe N°4.
Satisfaction des utilisateurs : c.
Une enquête de satisfaction va être lancée auprès des utilisateurs, ceci nous
permettra de valider définitivement la pérennité du projet.
Elle comprendra les quatre parties importantes pour l’utilisateur :
- Simplicité d’utilisation.
- Fiabilité.
- Disponibilité.
- Rapidité de traitements des informations demandées.
Fabien Barthélémy Licence ARE 2010-2011
| Déroulement du projet : 40
Respect des délais : d.
Diagramme de GANTT réalisé :
Fabien Barthélémy Licence ARE 2010-2011
| Conclusion : 41
VII. Conclusion :
1. Professionnelle :
Aujourd’hui, les nouveaux réseaux Wi-Fi ont permis de combler de nombreuses failles grâce à une augmentation de la sécurité et une séparation des accès. Ils nous permettent de proposer un accès fiable au réseau autant pour les visiteurs que pour les employés. La rapidité et la simplicité de connexion permettent un gain de temps pour les utilisateurs qui ne doivent plus utiliser le VPN pour accéder au réseau interne de l’entreprise.
Les visiteurs disposent eux aussi d’un accès simple et rapide à internet.
2. Personnelle :
La mise en place de ces réseau sans-fil m’a permis de géré un projet
d’envergure où différents aspects du métier d’informaticien sont représentés
(prospection, installation, configuration, rédactions de procédures, analyses des
besoins auprès des utilisateurs…). J’ai pu apprendre le fonctionnement des réseaux
Wi-Fi et des systèmes de portail captifs.
Les périodes au centre de formation Tétras m’ont beaucoup aidé, plus
précisément le module « Déploiement-sécurité réseaux sans fils » qui m’a permis de
trouver une solution aux problèmes posés par l’ancien dispositif en place dans
l’entreprise.
Enfin, la pratique du métier qui a été rendue possible par mon entreprise et
plus précisément mon tuteur m’a permis d’acquérir des compétences globales dans
le travail d’administrateur réseau, d’appréhender plus facilement le contact avec les
utilisateurs et d’apprendre à réagir face à des situations difficiles.
Fabien Barthélémy Licence ARE 2010-2011
| Bibliographie : 42
VIII. Bibliographie :
http://www.wikipedia.org/ : Définition de termes techniques, et documentations sur les
protocoles, outils, et logiciels.
http://www.labo-microsoft.org/ : Informations et aides sur les produits Microsoft.
http://technet.microsoft.com/ : Documentations techniques sur les produits Microsoft.
http://www.pfsense.org/ : Site de la distribution Open Source du même nom.
http://www.alcasar.info/ : Site du projet de portail captif authentifiant et sécurisé.
http://www.zeroshell.net/ : Site de la distribution Open Source du même nom.
http://www.chillispot.info/ : Site du projet de portail captif Open Source.
http://pcengines.ch/ : Fabricant d’une plateforme matérielle légère permettant
d’embarquer le portail captif.
Fabien Barthélémy Licence ARE 2010-2011
| Glossaire : 43
IX. Glossaire :
VLAN
Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique.
WPA
Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour fonctionner, après mise à jour de leur micro-logiciel, avec toutes les cartes Wi-Fi, mais pas nécessairement avec la première génération des points d'accès Wi-Fi. WPA2 quant à lui respecte la norme entière, mais ne peut pas être implémenté sur les matériels anciens.
Wi-Fi
Wi-Fi est un ensemble de protocoles de communication sans fil régis par les normes du groupe IEEE 802.11 (ISO/CEI 8802-11). Un réseau Wi-Fi permet de relier sans fil plusieurs appareils informatiques (ordinateur, routeur, décodeur Internet, etc.) au sein d'un réseau informatique afin de permettre la transmission de données entre eux.
Point d’Accès
Installation qui permet à un utilisateur de se connecter par une liaison radio (RLAN) en 2,4 GHz ou en 5 GHz à un réseau haut débit par exemple à un réseau Ethernet ou un accès ADSL.
Switch
Un commutateur réseau (ou switch, de l'anglais) est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de télécommunication et qui permettent de créer des circuits virtuels
Trunk
Les ports d'une liaison qui agrègent le trafic de plusieurs VLANs s'appellent un « Trunk ». Sur ce type de liaison, le commutateur ajoute des champs supplémentaires dans ou autour de la trame Ethernet. Ils servent notamment à distinguer le trafic de VLANs différents car ils contiennent entre autres le numéro d'identification du VLAN.
Fabien Barthélémy Licence ARE 2010-2011
| Glossaire : 44
Portail Captif
La technique des portails captifs (captive portal) consiste à forcer les clients HTTP d'un réseau de consultation à afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet normalement.
RADIUS
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification.
Active
Directory
Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows.
TLS (Transport Layer Security)
Anciennement nommé Secure Sockets Layer (SSL), c’est un protocole de sécurisation des échanges sur Internet. TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants : - l'authentification du serveur ; - la confidentialité des données échangées (ou session chiffrée) ; - l'intégrité des données échangées ; - de manière optionnelle, l'authentification ou l'authentification forte
du client avec l'utilisation d'un certificat numérique ; - la spontanéité, c'est-à-dire qu'un client peut se connecter de façon
transparente à un serveur auquel il se connecte pour la première fois ;
- la transparence, qui a contribué certainement à sa popularité : les protocoles de la couche d'application n'ont pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https.
-
802.1X
802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par l'IEEE (famille de la norme IEEE 802). Il permet de contrôler l'accès aux équipements d'infrastructures réseau (et par ce biais, de relayer les informations liées aux dispositifs d'identification).