Sommaire - barthelemyfabien.free.frbarthelemyfabien.free.fr/media/Mémoire_FB.pdf · c. IEEE 802.11...

Fabien Barthélémy Licence ARE 2010-2011

| 2

Sommaire POUR DES RAISONS DE CONFIDENTIALITE, IL M’A ETE DEMANDE DE

SUPPRIMER TOUTE REFERENCE A MON ENTREPRISE D’ALTERNANCE. JE

POURRAIS FOURNIR LE DOSSIER COMPLET (AVEC ANNEXES) SUR

DEMANDE. L’INDEXATION DES PAGES EST DE CE FAIT INCORECTE ET LA

MISE EN PAGE EST AUSSI IMPACTEE.

I. Introduction : ........................................................................................................ 4

3. Mes activités en entreprise : ......................................................................... 5

IV. Cahier des Charges : ........................................................................................... 6

1. Le projet : ..................................................................................................... 6

2. Les réseaux sans-fil : ................................................................................... 6

Présentation générale : .......................................................................................................... 6 a.

Le Wi-Fi : ................................................................................................................................ 6 b.

IEEE 802.11 : ........................................................................................................................... 7 c.

Sécurité Wi-Fi : ....................................................................................................................... 7 d.

Le matériel : ........................................................................................................................... 7 e.

3. Exigences techniques : ................................................................................ 8

4. Exigences financières : ................................................................................ 9

V. Organisation du projet : ........................................................................................ 9

1. Les différentes phases du projet : ................................................................ 9

2. Organisation des tâches : ........................................................................... 10

3. Diagramme de GANTT prévisionnel : ......................................................... 12

VI. Déroulement du projet : .......................................................................................13

1. Etude de l’existant : .................................................................................... 13

2. Problématique : .......................................................................................... 16

3. Choix de l’architecture : .............................................................................. 16

4. Mise en place des VLAN : .......................................................................... 17

Généralités sur les VLAN : .................................................................................................... 17 a.

Mise en place de la nouvelle architecture (Cf Annexe 2) : .................................................. 18 b.

5. Le réseau Visiteurs : ................................................................................... 19

Les portails captifs :.............................................................................................................. 19 a.


| 3

Etudes des solutions : .......................................................................................................... 20 b.

Test des solutions :............................................................................................................... 25 c.

Choix de la solution : ............................................................................................................ 25 d.

Installation et configuration de pfSense (Cf Annexe 3) : ..................................................... 26 e.

6. Le réseau Employés : ................................................................................. 27

Sécurité : .............................................................................................................................. 27 a.

Mise en place (Cf Annexe 4) : .............................................................................................. 30 b.

7. Les Points d’accès : ................................................................................... 32

Définition du besoin : ........................................................................................................... 32 a.

Etude du matériel : .............................................................................................................. 32 b.

Choix de la solution : ............................................................................................................ 35 c.

Choix de l’emplacement des bornes : .................................................................................. 35 d.

Installation et configuration des bornes (Cf Annexe 5) : ..................................................... 35 e.

8. Phase de recette du projet ......................................................................... 36

Difficultés rencontrées : ....................................................................................................... 36 a.

Respect des exigences : ....................................................................................................... 36 b.

Satisfaction des utilisateurs : ............................................................................................... 39 c.

Respect des délais : .............................................................................................................. 40 d.

VII. Conclusion : ........................................................................................................41

1. Professionnelle : ......................................................................................... 41

2. Personnelle : .............................................................................................. 41

VIII. Bibliographie : .....................................................................................................42

IX. Glossaire : ...........................................................................................................43


| Introduction : 4

I. Introduction :

De nos jours l’informatique prend une place primordiale dans la vie d’une

entreprise, le besoin de mobilité des employés au sein des bâtiments ainsi que

l’importance d’offrir un accès internet aux visiteurs, nous amène à implanter des

réseaux wifi.

Mais le réseau informatique d’une entreprise regroupe toutes les données

sensibles. Le réseau sans fil étant par définition un réseau de propagation d’ondes,

les murs de l’entreprise n’en délimitent pas la fin qui le rend vulnérable au monde

extérieur.


| Présentation de l’entreprise : 5

II. Présentation de l’entreprise :

III. Organisation informatique :

Mes activités en entreprise :

J’ai été embauché le 1er septembre 2010 au poste d’assistant administrateur

réseau au sein de la société X. Durant cette année de formation on m’a confié toutes

les tâches de l’administration réseau, mes principales activités ont été les suivantes :

Assurer le support et la formation des utilisateurs

Répondre aux demandes individuelles en établissant un ordre de priorité.

Apporter une solution définitive ou temporaire afin que le collaborateur puisse

travailler.

Etablir, diffuser, maintenir des guides de l’utilisateur disponibles et accessibles

à tous.

Administrer les serveurs

Assurer le fonctionnement de chaque serveur dans le rôle qui lui a été

attribué.

Mettre sous audit (alerte + indicateur de performance) chaque serveur

(Nagios).

Seconder le responsable informatique pour assurer la disponibilité du

système.

Maintenir la sécurité informatique

Faire respecter les règles mise en place par la hiérarchie.

Gérer les paramètres de sécurité des postes clients, logiciels et données

utilisateurs.

Administrer les sauvegardes et les mises à jour.

Gérer les utilisateurs et leurs accès aux différentes applications, y compris

utilisateurs nomades (vpn, smartphone…).

Gérer le parc

Planifier et approvisionner les besoins à court terme (consommables).

Réparer / remplacer le matériel en cas de panne, fournir un matériel de

remplacement pendant l’intervention en cas de besoin.

Gérer les stratégies de mises à jour du parc Windows.

Durant la seconde partie de ma formation on m’a confié un projet de mise en

place de deux réseaux Wi-fi afin d’offrir un accès à internet pour les visiteurs et une

extension sans fil du réseau local pour les employés, c’est ce projet qui sera

développé au cours du mémoire.


| Cahier des Charges : 6

Durant la totalité de ma présence en entreprise j’ai un contact régulier avec

tous les employés ainsi que les différents fournisseurs et supports techniques à notre

disposition.

IV. Cahier des Charges :

1. Le projet :

Ce projet a pour but de repenser toute l’architecture du réseau sans-fil de la

société afin de rendre plus accessible aux employés ainsi qu’aux visiteurs une

connexion sans-fil dans les locaux de l’entreprise. Il comprend la phase d’étude, de

recherche, de mise en place et de recette.

2. Les réseaux sans-fil :

Présentation générale : a.

Un réseau sans fil est un réseau où plusieurs terminaux peuvent

communiquer sans avoir besoin d’une connexion filaire. Ce type de réseau apporte

une flexibilité dans le sens où l’utilisateur reste connecté même s’il se déplace.

Cette technologie permet de limiter les coûts de mise en place d’un réseau,

elle évite tout le câblage, se déploie assez rapidement, et permet de connecter tout

type de terminal ne disposant pas forcément de prise réseau (Smartphones par

exemple). Les réseaux sans fils permettent aussi une grande souplesse d’évolution

de par le peu de modifications physiques qu’engendre le déménagement du réseau

ou bien le changement de technologie.

Mais les réseaux sans fils présentent aussi quelques inconvénients comme la

sécurité car avec un réseau sans fil, ce n’est plus les murs de l’entreprise qui

délimitent les accès mais bien la propagation des ondes qui peuvent parfois être

captées par des personnes qui ne sont en aucun cas concerné par l’entreprise ; ou

bien la continuité du signal qui peut être entravée par les interférences avec d’autres

appareils émettant des ondes.

Le Wi-Fi : b.



Le Wi-Fi est un type de réseau sans-fil qui signifie Wireless-Fidelity, il

regroupe plusieurs normes de réseaux sans-fil : les normes IEEE 802.11. Il permet

de relier des appareils (ordinateur, routeurs…) dans un réseau informatique sans

liaison filaire.

Grâce au Wi-Fi, nous pouvons mettre en place des réseaux sans-fil à très

haut débit et sécurisés, ce qui permet d’envisager leur déploiement au sein des

entreprises.

IEEE 802.11 : c.

IEEE 802.11 est un ensemble de normes sur les réseaux sans-fil, elle se décompose

de la manière suivante :

- 802 est un standard pour le déploiement des réseaux numériques locaux ou

métropolitains à liaison filaire ou sans-fil.

- 802.1 est la gestion des réseaux.

- 802.10 est la sécurisation des échanges pour les systèmes à liaison filaire ou

sans-fil.

- 802.11 sont les spécifications pour l'implémentation de réseaux numériques

locaux à liaison sans fil.

Sécurité Wi-Fi : d.

Par définition les ondes Wi-Fi se propagent hors des murs de l’entreprise,

c’est pourquoi la sécurité d’un tel réseau est primordiale pour prévenir des risques

d’intrusion de personnes non autorisées, de confidentialité des informations qui

circulent et de détérioration due à des attaques sur le réseau. La sécurité est donc

un point principal sur lequel il faut être attentif lors de la mise en place d’un réseau

Wi-Fi. Cette sécurité est abordée de différentes manières au sein des réseaux Wi-Fi :

connexion, authentification, échanges.

Le matériel : e.

Pour mettre en place de tels réseaux il faut définir le matériel qui va permettre

de transformer les données informatiques en signaux radio et inversement. Nous

avons besoin de point d’accès (PA) qui nous permettent de passer du réseau filaire

au réseau sans-fil, c’est ce type de matériel qui va emmètre les ondes.

Ces points d’accès peuvent fonctionner en deux modes différents définis par l’IEEE

802.11, soit en Ad Hoc, soit en Infrastructure :



- Ad Hoc est un mode où les machines sans fils clientes se connectent les unes

aux autres afin de constituer un réseau point à point, c'est-à-dire un réseau dans

lequel chaque machine joue en même temps le rôle de client et le rôle de point

d'accès.

- Le mode infrastructure est un mode de fonctionnement qui permet de connecter

les ordinateurs équipés d'une carte Wi-Fi entre eux via un ou plusieurs points

d'accès qui agissent comme des concentrateurs. Autrefois, ce mode était

essentiellement utilisé en entreprise. Dans ce cas la mise en place d'un tel réseau

oblige de poser à intervalle régulier des bornes dans la zone qui doit être

couverte par le réseau. Les bornes, ainsi que les machines, doivent être

configurées avec le même nom de réseau (SSID : Service Set IDentifier) afin de

pouvoir communiquer. L'avantage de ce mode, en entreprise, est de garantir un

passage obligé par le PA, il est donc possible de vérifier qui accède au réseau.

En revanche, le réseau ne peut pas s'agrandir, hormis en posant de nouvelles

bornes. Actuellement les Fournisseurs d’Accès Internet (FAI), les boutiques

spécialisées et les grandes surfaces fournissent aux particuliers des routeurs

sans fil qui fonctionnent en mode Infrastructure, tout en étant très facile à

configurer.

Pour l’architecture souhaitée nous allons fonctionner sur un mode Infrastructure étant

donné que l’ensemble de notre réseau n’est pas exclusivement sans fil.

3. Exigences techniques :

Réseau disponible pour les visiteurs :

- Tenir compte de la politique de restriction sur l’accès aux sites web

(pornographie, téléchargement illégal…).

- Offrir la possibilité aux visiteurs de se connecter au réseau de leur entreprise via

un VPN.

- Garantir une sécurité optimale du réseau de l’entreprise en y étant totalement

séparé.

Réseau disponible pour les employés :

- Connexion via le compte Active Directory.

- Connexion invisible pour l’utilisateur.

- Offrir les mêmes services que le réseau filaire sans manipulation supplémentaire.

- Garantir une sécurité optimale en autorisant seulement les comptes employés à

s’y connecter.

- Sécuriser les données qui transitent sur le réseau.

- Maintien des règles de filtrage web en place.


| Organisation du projet : 9

4. Exigences financières :

Aucune exigence financière n’a été donnée en début de projet, les budgets

sont accordés tout au long du projet selon les besoins. Des réunions sont organisées

où je présenterais, avec l’aide de mon tuteur, l’état d’avancement du projet et les

ressources financières nécessaires au bon déroulement de celui-ci.

V. Organisation du projet :

1. Les différentes phases du projet :

Ce projet est organisé en six phases :

Etude de l’existant :

Cette phase consiste à analyser la solution actuellement en place au sein de

l’entreprise afin d’établir les besoins.

Choix de l’architecture à mettre en place :

Ici nous allons étudier la meilleure architecture réseau à mettre en place pour

optimiser notre réseau et répondre aux attentes fixées.

Présentation de la solution à la direction :

Cette phase consistera en une réunion avec le directeur controlling et IT au

cours de laquelle nous présenterons la solution trouvée, ses avantages et

inconvénient ainsi que les devis associés à sa mise en place.

Mise en place du réseau Wi-Fi invités :

Dans cette phase nous allons rechercher différentes solutions pour la mise en

place de ce réseau, les comparer, en faire le test pour ensuite définir et mettre la

solution à mettre en production.

Mise en place du réseau Wi-Fi employés :

Ceci constituera la seconde partie de ce projet, nous allons définir et mettre en

place une solution sécurisée pour l’extension du réseau de l’entreprise.

Recette :



Cette phase sera une étude des attentes fixées en début de projet et des

travaux réalisés, ceci nous permettra de définir la réussite du projet.

2. Organisation des tâches :

Etude de l’existant :

- Etude du réseau

- Définition des besoins

Choix de l’architecture à mettre en place :

- Etude de solution d’architecture réseau

- Analyse des avantages et inconvénients

- Définition de l’architecture

Recherche de solutions :

- Comparaison de solutions

- Mise en place de tests

Présentation de la solution à la direction :

- Présentation des besoins - Argumentations sur la solution proposée

- Présentation des devis

Mise en place du réseau Wi-Fi invités :

- Etudes des différentes solutions de portail captif

- Mise en place de test sur deux solutions retenues

- Choix de la solution

- Installation et configuration de la solution

- Rédaction des procédures utilisateurs et administrateurs

- Mise en production.

Mise en place du réseau Wi-Fi employés :

- Etude des différents moyens de sécurisation du réseau

- Choix des solutions de sécurisation du réseau

- Recherche et comparaison de matériels compatibles avec les solutions choisies



- Choix du matériel à mettre en place

- Installation et configuration du matériel

- Rédaction des procédures utilisateurs et administrateurs

- Mise en production

Recette :

- Comparaison des attentes fixées avec les objectifs atteint

- Etude de satisfaction auprès des utilisateurs



3. Diagramme de GANTT prévisionnel :


| Déroulement du projet : 13

VI. Déroulement du projet :

1. Etude de l’existant :

Actuellement nous avons trois réseaux wifi disponibles sur le site :

- RW_Public au troisième étage du bâtiment sécurisé par une clé partagée WPA.

Ce réseau n’est pas relié au réseau interne de l’entreprise et est à disposition des

employés. Pour son utilisation comme point d’accès mobile au réseau de

l’entreprise, les employés doivent connecter le client VPN ce qui engendre une

perte de temps qui n’est pas forcément la bienvenue lors de réunions avec les

clients ou fournisseurs.

- RW_Public2 au deuxième étage est identique au réseau RW_Public.

Architecture Actuelle



Ces deux réseaux ne sont pas disponibles dans tout le bâtiment, voici une

étude de réception des différents réseaux :

Sur le plan suivant nous retrouvons le bâtiment de la société, deux zones y sont

représentées :

Les zones représentent la couverture Wi-Fi actuelle.

Les zones représentent les parties du bâtiment qui ont le plus

besoin d’être couvertes par le réseau sans-fil (salles de réunions, bureaux de

la direction…).

Les représentent les bornes Wi-Fi.



On observe bien que seule une salle de réunion présente une bonne réception du

réseau Wi-Fi

De plus le fait d’avoir plusieurs réseaux sur le même canal pose de problèmes

de disponibilité, nous constatons des coupures réseaux ce qui engendre encore des

pertes de temps pour les utilisateurs.

D’un point de vue de la sécurité, les réseaux wifi RW_Public et RW_Public2

sont reliés au réseau de l’entreprise par les bornes wifi qui font office de routeurs, les

clés partagées WPA sont connues pas l’ensemble du personnel et donc facilement

utilisables par des personnes étrangères à la société.

2. Problématique :

Toutes ces failles nous poussent donc à repenser totalement l’architecture du

réseau Wifi de l’entreprise afin d’augmenter la disponibilité des réseaux autant pour

les employés que pour les visiteurs qui aujourd’hui ont besoin d’être connectés en

permanence. Cette refonte devra aussi permettre d’augmenter la sécurité du réseau

de l’entreprise.

3. Choix de l’architecture :

Afin de rendre accessible aux employés toutes les ressources informatiques

du réseau de l’entreprise mais aussi d’offrir un accès internet aux différents visiteurs

transitant dans les salles de réunions tout en assurant une sécurité optimale des

ressources mises à disposition, nous allons mettre en place deux réseaux Wi-Fi

différents. Ces deux réseaux Wi-Fi seront séparés logiquement par la mise en place

de VLAN : un VLAN d’administration, un VLAN réseau interne et un VLAN réseau

visiteurs.

Dans un premier temps nous allons étudier la mise en place du réseau

Visiteurs sécurisé via un portail captif, ce réseau devra comprendre un filtrage web

selon la politique de filtrage de l’entreprise, pour des raisons de sécurité nous

n’autoriserons que les protocoles http, https et ftp.

La seconde partie sera consacrée au réseau Employés qui lui sera une

extension du réseau local sans fil (WLAN) de l’entreprise sécurisé via un système

d’authentification relié à l’annuaire LDAP de la société.



Architecture Future

4. Mise en place des VLAN :

Généralités sur les VLAN : a.

Les VLAN (Virtual Local Area Network, Réseau Local Virtuel en français)

séparent les réseaux physiques de manière logique. Ils permettent une segmentation

du réseau (réduction de la taille d'un domaine de broadcast), une augmentation de la

sécurité en créant un ensemble logique isolé et une souplesse d’administration car

l’architecture du réseau peut être modifiée par une simple configuration sur les

commutateurs. Le seul moyen pour communiquer entre des machines appartenant à

des VLAN différents est alors de passer par un routeur.



Il existe trois types de VLAN :

- Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based

VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le

commutateur ;

- Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou

en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en

fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus

souple que le VLAN par port car le réseau est indépendant de la localisation de la

station ;

- Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :

Le VLAN par sous-réseau (en anglais Network Address-Based VLAN)

associe des sous-réseaux selon l'adresse IP source des datagrammes.

Ce type de solution apporte une grande souplesse dans la mesure où la

configuration des commutateurs se modifie automatiquement en cas de

déplacement d'une station. En contrepartie une légère dégradation de

performances peut se faire sentir dans la mesure où les informations

contenues dans les paquets doivent être analysées plus finement.

Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de

créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX,

AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même

protocole au sein d'un même réseau.

Mise en place de la nouvelle architecture (Cf Annexe 2) : b.

Dans notre cas nous allons utiliser les VLAN de niveau 1 car nous avons

besoin de séparer les ports des commutateurs afin que seul les personnes habilités

puissent modifier l’architecture, les VLAN de niveau 2 permettent une usurpation

d’identité en modifiant l’adresse IP d’un terminal et les VLAN de niveau 3 présentent

le même problème que les VLAN de niveau 2 en plus des ralentissements qu’ils

peuvent occasionner.

La mise en place de VLAN est une étape assez simple, elle consiste à créer

trois VLANs sur les commutateurs, affecter les ports des commutateurs aux

différents VLANs : pour le réseau visiteurs nous avons besoin de deux ports pour le

serveur pfsense; tous les autres seront affectés au VLAN Employés, nous réservons

un VLAN d’administration à partir duquel nous administrerons les bornes wifi. Afin

que les bornes puissent recevoir les trois VLANs sur un seul port, il faut mettre en

place un lien trunk taggué sur chacun des trois VLANs, qui va permettre de

transmettre les données des trois VLANs. Un routage inter-VLAN sera mis en place



afin de rendre disponible l’administration du serveur pfSense et des bornes Wifi

depuis un VLAN différent et l’accès à internet depuis le VLAN visiteurs.

Architecture des VLANs

5. Le réseau Visiteurs :

Les portails captifs : a.

Le portail captif est un logiciel qui permet de gérer l’authentification des

utilisateurs qui souhaitent accéder à internet. Lors de la mise en place du réseau,

aucune sécurité n’est activée pour s’y connecter, ce n’est qu’après que la connexion

se fait. Le portail captif va, dès la première requête http, rediriger le navigateur web

afin d’authentifier l’utilisateur, sans quoi aucune demande ne passera au-delà du

serveur captif.

Ce système offre donc une sécurité du réseau mis à disposition, il permet de

respecter la politique de filtrage web de l’entreprise grâce à un module proxy et

permet aussi grâce à un firewall intégré d’interdire l’accès aux protocoles souhaités.



Mais ce système présente tout de même un inconvénient : une fois que

l’utilisateur est authentifié, le portail captif met en place une autorisation pour

l’adresse MAC et l’adresse IP du PC, leur usurpation par un tiers est assez simple et

présente une faille dans la sécurité du réseau. C’est pourquoi la mise en place d’une

durée maximale de connexion est requise, le système demande donc une nouvelle

fois l’authentification après dépassement de ce délai.

Etudes des solutions : b.

Dans l’étude des différentes solutions j’ai mis en évidence plusieurs critères

importants que doivent prendre en compte les différentes solutions :

- Sécurité des échanges lors de l’authentification : pour éviter la récupération de

mot de passe sur le réseau.

- Présence d’une documentation complète : pour assurer la rapidité de mise en

place de la solution.

- Simplicité d’administration : pour permettre à différentes personnes d’administrer

le logiciel.

- Simplicité d’utilisation : pour permettre à tous les visiteurs (expérimentés ou non)

à se connecter au réseau Wi-Fi.

- Compatibilité multiplateforme : pour permettre la connexion depuis les

Smartphones et différents navigateurs web.

- Présence de sauvegarde et restauration de configuration : pour permettre un

redémarrage du système très rapidement en cas de problèmes.

- Pérennité de la solution : pour palier au failles de sécurité et augmenter les

fonctionnalités de la solution via des mises à jour.

- Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la

charte graphique de l’entreprise et ainsi le rendre plus convivial.

Toutes les solutions étudiées sont des solutions libre et gratuites ce qui nous

permet de diminuer le budget de leur mise en place.

PfSense :

pfSense est une distribution FreeBSD développée lors d’un projet en 2004,

l’objectif de départ est d’assurer les fonctions de pare-feu et de routeur mais

l’engouement généré par cet applicatif lui a permis d’étendre ses fonctionnalités et

présente maintenant les fonctions de portail captif, serveur proxy…

Son installation se fait facilement via une distribution dédiée et toutes les

configurations peuvent se faire soit en ligne de commande (SSH) ou bien via

l’interface web (HTTPS). La sauvegarde et restauration de configuration est

disponible à travers l’interface web et permet de générer un simple fichier d’une taille



raisonnable. Le portail assure une évolution constante grâce à des mises à jour

régulières dont l’installation est gérée automatiquement dans une partie du panneau

d’administration.

Cette solution permet une authentification sécurisée via le protocole HTTPS et

un couple utilisateur / mot de passe.

Une documentation très complète est disponible sur internet, un support

commercial est désormais présent en cas de gros incident. pfSense dispose aussi

d’une communauté très active.

pfSense assure une compatibilité multiplateforme, une personnalisation

complète des pages accessibles par les utilisateurs ainsi qu’une simplicité

d’utilisation grâce à une page de connexion succincte où on ne retrouve que deux

champs (utilisateur / mot de passe).

Alcasar :

Alcasar est un projet Français essentiellement dédié aux fonctions de portail

captif, cet applicatif s’installe via un script supporté par la distribution Linux Mandriva,

les configurations se font via une interface de gestion sécurisée (HTTPS) ou bien en

ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la

configuration est prise en charge via la création d’un ghost système dans le panneau

d’administration, ce qui engendre tout de même un fichier d’une certaine taille. Les

mises à jour régulières assurent la pérennité de la solution.

L’authentification au portail est sécurisée par HTTPS et un couple utilisateur /

mot de passe.

Une documentation assez complète est disponible pour l’installation et la

configuration et la communauté semble active.

Tout comme pfSense, Alcasar est compatible avec de nombreuses

plateformes, la personnalisation des pages utilisateurs et la simplicité d’utilisation son

présente.

ZeroShell :

ZeroShell est une distribution Linux conçue pour mettre en place une sécurité

globale au sein d’un réseau (Pare-Feu, VPN, portail captif…). Son installation est

simple via une distribution dédiée.



Elle présente une interface de gestion web simple d’utilisation qui permet

entre autres de sauvegarder la configuration du portail captif ou encore de

personnaliser les pages de connexion et déconnexion dans un éditeur HTML intégré.

Cette solution n’est encore disponible qu’en version beta car le projet est en cours de

lancement.

Comme les deux autres solutions la page d’authentification est sécurisé et la

connexion se fait via un couple utilisateur / mot de passe.

On retrouve assez peu de documentation pour la gestion de système mais la

communauté à l’air tout de même bien présente.

Son utilisation reste identique aux autres solutions présentées.

ChilliSpot :

ChilliSpot est un applicatif dédié à la gestion de l’authentification sur les

réseaux, son installation est assez simple via un package applicatif disponible sur les

distributions Red Hat et Fedora. La sauvegarde de la configuration est disponible

mais elle implique de copier les fichiers de configuration et donc de les connaitre.

La page de connexion est disponible en HTTPS à condition d’avoir configuré

le serveur web (Apache) au préalable en écoute sur le port 443.

On retrouve une documentation complète et une communauté assez active,

mais le projet est en régression, la dernière version stable date d’octobre 2006 et le

projet est mis en suspens depuis le départ du développeur principal.

L’utilisation est la même que les autres solutions proposées, page de

connexion avec champs utilisateur et mot de passe.

Voici un tableau comparatif de ces quatre solutions :



pfSense 72

Sécurité Authentification HTTPS 4 3

Documentation

Très complète (anglais / français)

Communauté active / Support commecial

Nombreux Tutoriaux

3 3

Plateformes Clientes Supportées Toutes 3 3

PersonalisationCréation de la page web d'authentification

et d'accès refusé suivant un modèle 1 3

Facilité d'administration

Installation via distribution dédiée

Configuration à travers page web

oú chaque entrée est expliqué.

3 3

Facilité d'Utilisation

Page de connexion avec login

et mot de passe et bouton logout

Redirection automatique si non authentifié

5 3

Sauvegarde / Restauration ConfigurationSauvegarde et restauration du fichier de configuration

dans le panel d'administration2 3

Pérénité de la solution

4 Versions stables (1.2.1 / 1.2.2 / 1.2.3/2.0)

dernière version mars 2011.

mise à jour du portail intégré au panel d'administration

3 3

Alcasar 70


DocumentationComplète (français) / Communauté active

/ Nombreux Tutoriaux3 3

Plateformes Clientes Supportées Toutes 3 3

PersonalisationModification de la page web d'authentification

et d'accès refusé1 3

Facilité d'administrationInstallation via script automatisé

Administration à travers page web intuitive3 3





5 3

Sauvegarde / Restauration ConfigurationSauvegarde du système (GHOST)

dans le panel d'administration2 2

Pérénité de la solution

Amélioration constante,

v2.0.1 de janvier 2011.

Script de mise à jour du portail

intégré au panel d'administration

3 3

Solutions Critères DescriptionPondération

(1-5)

Note

(1-3)Total



ZeroShell 57


Documentation Faible (anglais) / Communauté active 3 2

Plateformes Clientes Supportées Aucune information 3 1

Personalisation Editeur intégré dans panel d'administration 1 3

Facilité d'administrationInstallation via distribution dédiée,

configuration à travers page web intuitive3 3





5 3

Sauvegarde / Restauration ConfigurationGestion des sauvegarde et restauration

dans panel d'administration2 3

Pérénité de la solutionProjet en phase de lancement

seules versions dispo sont des beta 1.0Beta143 1

ChilliSpot 52


Documentation Complet (anglais) / Communauté active 3 1

Plateformes Clientes Supportées Aucune d'information 3 1

PersonalisationModification de la page web d'authentification

et d'accès refusé1 3

Facilité d'administrationInstallation via .rpm sur red hat et fedora,

page d'administration intuitive3 3





5 3

Sauvegarde / Restauration ConfigurationSauvegarde et restauration

des fichiers de configuration "à la main"2 2

Pérénité de la solutionDernière version de octobre 2006,

le développeur principal est parti du projet.3 1



Test des solutions : c.

Suite à cette étude nous avons décidé de mettre en test les deux solutions qui

nous semblaient les meilleures : pfSense et Alcasar.

Dans les deux cas je n’ai eu aucun problème lors de l’installation, les

panneaux d’administration sont assez intuitifs ce qui rends les manipulations plutôt

simples. Les deux solutions présentent quasiment les mêmes fonctions concernant le

portail captif et répondent aussi bien l’une que l’autre aux exigences fixées.

Pour ces tests j’ai mis en place la configuration suivante :

- Portail captif avec redirection automatique sur réseau LAN au WAN.

- Serveur pfSense / Alcasar passerelle du LAN au WAN.

- Serveur pfSense / Alcasar serveur DHCP sur le LAN.

- Serveur pfSense / Alcasar filtre web.

- Un client connecté via un point d’accès Wi-Fi sur le LAN.

Lors de la première requête internet, le navigateur web du client est redirigé

vers la page d’authentification sécurisée où il lui est demandé un utilisateur et un mot

de passe. Une fois le compte (préalablement créé dans la base des comptes sur le

serveur) saisi, le portail redirige automatiquement vers la page demandé. Si un

mauvais compte est saisi le portail redirige de nouveau vers la page

d’authentification en affichant un message d’erreur.

Les tests sur différents navigateurs : Opéra, Safari, Mozilla Firefox, Internet

Explorer ainsi que les différentes plateformes : Windows, MAC, IPhone, Androïde,

Linux sont tous concluant, l’authentification se fait sans aucun souci et les

redirections fonctionnent très bien.

La mise en place du filtrage de protocole fonctionne aussi, nous n’autorisons

que les protocoles HTTP, HTTPS et FTP.

Grâce aux BlackList disponibles sur les applicatifs, les règles de filtrage web

se mettent en place très facilement.

Choix de la solution : d.

Suite aux phases de test nous avons dû choisir une solution, les deux

applicatifs répondent tout à fait à nos demandes mais nous avons décidé de garder

pfSense pour son coté plus convivial, il présente une page principale en tableau de

bord où l’on retrouve toutes les informations essentielles et que l’on peut modifier en



fonction des besoins. Ce produit présente aussi pour nous une plus grande

assurance car la communauté est très active et le support peut nous venir en aide en

cas de problème.

Installation et configuration de pfSense (Cf Annexe 3) : e.

pfSense sera installé sur une Appliance dédiée : un boitier Alix 2D13, Appliance

disposant de très peu de ressources matérielles.

- Installation :

L’installation de pfSense est assez simple, elle se fait via une distribution

dédiée distribuée sur le site de pfSense et un utilitaire distribué par m0n0wall pour

l’installation sur une carte Compact Flash (www.pfsense.org / www.m0n0wall.com).

- Configuration générale :

Dans cette partie nous renseignons les paramètres réseau de base du

serveur, ces derniers vont lui permettre de contacter le réseau local et internet

(adresse IP, serveurs DNS, passerelle…).

- Création des certificats :

Afin de permettre une connexion sécurisée sur le portail captif, la mise en

place de certificats nous permet d’assurer au client qu’il se trouve sur le bon serveur,

les mots de passes sont donc envoyés à la bonne personne. De plus les certificats

nous permettent de crypter les données transmises, ce qui rend difficile le vol de

mots de passe.

- Configuration du serveur DHCP :

Pour que les visiteurs, qui veulent utiliser leurs ordinateurs, ne perdent pas de

temps en configuration, nous mettons en place un serveur DHCP qui va

automatiquement fournir au poste les informations de connexions sur le réseau.

- Configuration du portail captif :

Lorsque les visiteurs seront connectés sur le réseau Wi-Fi, dès la première

demande d’accès via un navigateur web, la page sera automatiquement redirigée

vers la page de connexion au portail sécurisé, ce qui permettra l’authentification sur

le réseau et autorisera la personne à naviguer sur internet. Les informations de

connexions seront fournies par notre service.

http://www.pfsense.org/



- Configuration sur serveur proxy :

Selon la politique du réseau de l’entreprise, un filtrage des sites web sera mis

en place, selon des listes noires générales et régulièrement mises à jour, les sites

internet de type pornographiques, pédophilie… ne seront pas consultables sur le

réseau Wi-Fi.

- Personnalisation des pages web :

Afin d’intégrer totalement le portail captif dans le réseau de l’entreprise les

pages de connexion seront mises aux couleurs de l’entreprise grâce à un

développement HTLM, PHP, JAVASCRIPT.

Voici un exemple :

- Rédaction d’une charte d’utilisation :

Pour se prévenir d’une utilisation abusive de ce réseau nous avons rédigé une

charte d’utilisation qui devra être acceptée avant la connexion, sans qui cette

dernière ne sera pas possible.

6. Le réseau Employés :

Sécurité : a.

Pour assurer la sécurité du réseau nous allons utiliser le Wi-Fi Protected

Access 2 (WPA2 – IEEE 802.11i), en implémentant différents protocoles qui

permettront de répondre aux exigences de sécurité et de transparence auprès des

utilisateurs.

Authentification des utilisateurs :

Sur le réseau Employés, les utilisateurs doivent obligatoirement être

authentifiés de façon transparente, aucun identifiant ne doit être demandé, c’est

pourquoi nous allons utiliser un serveur Radius.

Radius (Remote Authentifiacation Dial-in User Service) est un protocole client-

serveur permettant de centraliser les données d’authentification.

Pour s’authentifier, le poste utilisateur transmet une requête d’accès à un

client RADIUS pour entrer sur le réseau, ce dernier se charge de demander les

informations identifiant l’utilisateur (utilisateur & mot de passe). Le client RADIUS

Page de connexion Portail Captif



génère une requête d’accès qu’il transmet au serveur RADIUS, ce dernier

préalablement couplé avec le service d’annuaire va pouvoir aller vérifier les

informations envoyées par le client et ainsi valider ou bien refusé l’accès.

Sécurité de l’authentification :

Afin d’assurer l’identité du client auprès du serveur nous utiliserons un

protocole de challenge Microsoft : Microsoft Challenge Handshake Authentication

Protocol Version 2 (MsCHAPv2). Ce protocole permet une authentification mutuelle

entre le client et le serveur. A la demande de connexion le serveur RADIUS envoie

un défi au client contenant un identificateur de session et une chaine de défi

arbitraire, le client envoi une réponse contenant : le nom d’utilisateur, une chaine de

défi homologue arbitraire et un chiffrement unidirectionnel de la chaine de défi reçue,

de la chaine de défi homologue, de l’identificateur de session et du mot de passe

utilisateur. Une fois les informations validées la connexion au réseau peut se faire.

Ce protocole étant sensible aux attaques de dictionnaires, nous implémentons

le protocole Protected Extensible Authentication (PEAP) qui va permettre de créer

un tunnel sécurisé (TLS) pour l’envoi des données d’authentification via EAP et

MSCHAPv2. L'utilisation d'une session TLS dans le cadre d'un PEAP offre les

avantages suivants :

o Elle permet au client d'authentifier le serveur RADIUS ; le client peut

ainsi établir la session uniquement avec un serveur détenant un

certificat approuvé.

o Elle protège le protocole d'authentification MSCHAP v2 contre la

surveillance des paquets.

o La négociation de la session TLS génère une clé pouvant être utilisée

par le client et le serveur RADIUS pour définir des clés principales

communes. Les clés permettant de crypter le trafic du réseau local

sans fil sont dérivées des clés principales.



Sécurité des communications :

Pour sécuriser les communications sur le réseau WPA2 offre deux types de

chiffrements :

- Temporal Key Integrity Protocol (TKIP) : il permet l’authentification et la protetion

des données transitant sur le réseau. C’est une méthode de cryptage. Qui génère

une clé de paquets, mélange les paquets du message, puis remet les paquets

dans l'ordre pour retrouver l'intégrité du message grâce à un mécanisme de

triage.

- Advanced Encryption Standard (AES) : c’est une méthode de chiffrement

symétrique (chiffrement avec une clé secrète).

TKIP est donc initialement mis en place pour pallier aux différents problèmes

du chiffrage WEP, il repose sur la même base de chiffrement qui a révélé ses limites.

AES quant à lui est une méthode de chiffrement complètement à part qui n’a pour

l’instant pas été cassé. De plus TKIP générant dynamiquement (quelques minutes

d’intervalle entre chaque génération de clés) des clés de chiffrement peuvent

diminuer les performances alors que l’AES n’a besoin que de très peu de ressources.

RADIUS EAP

EAP

TLS

EAP 35

AUTHENTIFICATION

RADIUS PEAP MSCHAPv2



Le réseau Wi-Fi Employés utilisera donc la sécurité suivante : WPA2

Enterprise AES PEAP/MsCHAPv2.

Mise en place (Cf Annexe 4) : b.

L’installation du serveur radius se fait via l’ajout de rôles sur nos deux

contrôleurs de domaines, étant donné le faible nombre de connexions nous n’avons

pas besoin de mettre en place un serveur dédié. Une autorité de certification doit être

installée car nous n’utiliserons pas de certificat externe pour la mise en place de

PEAP qui utilise un certificat côté serveur pour garantir son authenticité auprès du

client.

Les bornes Wi-Fi doivent être référencées sur le serveur d’authentification afin

d’assurer la provenance des connexions. On renseigne un secret qui ne sera connu

que par le point d’accès et le serveur.

1. Lorsque l'ordinateur client est à proximité du point d'accès sans fil, il tente de se

connecter au réseau sur le point d'accès qui est identifié par son SSID (Service

Set Identifier). Le SSID est le nom du réseau local sans fil. Il est utilisé par le client

Fonctionnement WAP2 PEAP MSCHAPv2 et RADIUS



pour identifier les paramètres corrects et le type d'informations d'authentification à

utiliser pour ce réseau.

2. Le point d'accès sans fil est configuré pour autoriser uniquement les connexions

sécurisées (authentifiées 802.1X). Lorsque le client essaie de s'y connecter, le

point d'accès lance un défi au client. Le point d'accès configure ensuite un canal

restreint, qui permet au client de communiquer uniquement avec le serveur

RADIUS (bloquant l'accès au reste du réseau). Le serveur RADIUS accepte

uniquement la connexion d'un point d'accès sans fil fiable ; c'est-à-dire, un point

d'accès configuré comme un client RADIUS sur le serveur NPS et qui fournit le

secret partagé de ce client RADIUS.

Le client tente d'authentifier le serveur RADIUS via le canal restreint, dans le

cadre de la négociation PEAP, le client établit une session TLS (Transport Layer

Security) avec le serveur RADIUS.

Sécurisé au sein du canal PEAP, le client s'authentifie sur le serveur RADIUS à

l'aide du protocole MS-CHAP v2 EAP. Lors de cet échange, le trafic du tunnel TLS

est visible uniquement du client et du serveur RADIUS et n'est jamais exposé au

point d'accès sans fil.

3. Le serveur RADIUS vérifie les informations d'authentification du client en

consultant l'annuaire. Une fois le client authentifié, le serveur RADIUS regroupe

les informations qui lui permettent de décider s'il autorise le client à utiliser le

réseau local sans fil. Il utilise les informations de l'annuaire (telles que

l'appartenance de groupe) ainsi que les contraintes définies dans sa stratégie

d'accès (par exemple, les moments de la journée auxquels l'accès au réseau local

sans fil est autorisé) pour accorder ou refuser l'accès au client. Le serveur

RADIUS transmet cette décision d'accès au point d'accès.

Si l'accès est accordé au client, le serveur RADIUS transmet la clé principale du

client au point d'accès sans fil. Le client et le point d'accès partagent alors un

matériel de clé commun qu'ils peuvent utiliser pour crypter et décrypter le trafic du

réseau local sans fil qui circule entre eux.

Avec WPA, le matériel de clé principale permet de dériver les clés de cryptage des

données qui sont modifiées pour chaque paquet transmis. La fonctionnalité WPA

n'a pas besoin de forcer des réauthentifications fréquentes pour assurer la

sécurité des clés.

4. Le point d'accès crée alors un pont entre la connexion au réseau local sans fil du

client et le réseau local interne, permettant au client de communiquer librement

avec les systèmes du réseau interne. Le trafic circulant entre le client et le point

d'accès est alors crypté.



5. Si le client requiert une adresse IP, il peut alors demander un bail DHCP (Dynamic

Host Configuration Protocol) à partir d'un serveur du réseau local. Une fois

l'adresse IP attribuée, le client peut commencer à communiquer normalement

avec les systèmes du reste du réseau.

7. Les Points d’accès :

Définition du besoin : a.

Afin de mettre en place la configuration exposée ci-dessus nous avons besoin de

nouveaux points d’accès Wi-Fi intégrant les fonctionnalités et compatibilités

suivantes :

L’interface de gestion sécurisée via SSL est indispensable pour la

confidentialité des informations d’authentification de l’administrateur.

Interface de gestion en ligne de commande en cas de problème sur le serveur

web de la borne.

WPA2.

AES.

PEAP.

MsCHAPv2.

RADIUS client.

Filtrage par adresse MAC et possibilité de masquer le SSID peuvent assurer

une sécurité de premier ordre.

Intégration du PoE (Power Over Ethernet) qui permet de n’avoir qu’un seul

câble pour relier la borne.

802.11n pour une meilleure diffusion et un meilleur débit.

Le support Multi-SSID pour gérer les deux réseaux Wi-Fi.

Support du 802.1q pour les VLAN.

Possibilité de supervision via le protocole SNMP (Simple Network

Management Protocol).

Possibilité de mettre en place des logs de connexions pour une meilleure

analyse en cas de problèmes.

Etude du matériel : b.

Pour la mise en place du réseau Wi-Fi j’ai étudié quatre bornes, j’ai défini une

pondération pour chacun des critères ce qui me permet de définir précisément la

solution la mieux adaptée à nos besoins.



Voici un tableau comparatif des différentes solutions étudiées :

Prix : CHF 388.-

La D-Link DAP-2590 répond à beaucoup de critères pour la configuration

souhaitée mais n’intègre pas les protocoles PEAP et MsCHAPv2.

Prix : CHF 766.-

La HP E-MSM430 répond à tous les critères de notre configuration future, son

prix assez élevé peut tout de même être un frein à son acquisition.

D-LINK

DAP-2590Fonctionalités (pondération) Note

Interface de gestion sécurisée (5)

Ligne de commande (telnet et SSH) (3)

WPA2 (5)

AES (5)

Filtre MAC (3)

RADIUS (5)

SSID Caché (3)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v1/2c/3 (3)

Logs (3)

53

HP

E-MSM430 Fonctionalités (pondération) Note



WPA2 (5)

AES (5)

PEAP (5)

MsCHAPv2 (5)

Filtre MAC (3)

RADIUS (5)

SSID Caché (3)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v2c/3 (3)

Logs (3)

63



Prix : CHF 510.-

La Cisco AiroNet 1042 N répond elle aussi à tous les critères demandés, son

interface de gestion plus compliquée pourrait poser problème lors de son intégration.

Prix : CHF 430.-

La Ruckus ZoneFlex 7343, bien qu’ayant de nombreuses fonctionnalités

intéressantes (détection automatique de l’environnement…) que les autres n’ont pas,

ne réponds pas aux attentes fixées.

CISCO

Aironet 1042 NFonctionalités (pondération) Note



WPA2 (5)

AES (5)

PEAP (5)

MsCHAPv2 (5)

Filtre MAC (6)

RADIUS (5)

SSID Caché (6)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v1/2/2c/3 (3)

Logs (3)

63

Ruckus

ZoneFlex 7343Fonctionalités (pondération) Note



WPA2 (5)

AES (5)

Filtre MAC (3)

RADIUS (5)

SSID Caché (3)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v3 (2)

Logs (3)

52



Choix de la solution : c.

Suite à la comparaison de toutes ces solutions ainsi qu’à une réunion avec

notre fournisseur il est ressorti que les points d’accès E-MSM 430 de HP sont les

plus adaptés à notre besoin car elles sont compatibles avec toutes les contraintes

de sécurisation des réseaux sans-fil, leur avantage par rapport au point d’accès

Cisco, dont le classement est identique dans notre tableau de pondération, est

une garantie matérielle à vie. De plus notre réseau étant essentiellement formé

de matériel du constructeur HP, ces bornes respectent l’homogénéité matérielle.

Choix de l’emplacement des bornes : d.

Afin de couvrir la plus grande partie du bâtiment et principalement les salles

de réunions trois bornes seront installées : la première à l’entrée du troisième étage

qui couvrira les salles Freelancer et Shine ainsi que les bureaux de la direction, une

seconde dans les bureaux Recherche et Développement ce qui couvrira la salle

Nabucco ainsi que le bureau des commerciaux, enfin la troisième borne sera placée

au rez-de-chaussée, elle couvrira la salle Don Giovanni ainsi que la réception et les

expéditions.

Installation et configuration des bornes (Cf Annexe 5) : e.

La première étape est la mise en place des informations générales,

adresse IP, nom DNS… Celle-ci permet à la borne wifi d’accèder au

réseau de l’entreprise.

Ensuite j’ai configuré la borne afin qu’elle ne soit administrable que

depuis le VLAN d’administration. Cette étape renforce la sécurité du

réseau car toute personne n’ayant pas accès au VLAN administration

n’aura pas accès au paramètres des bornes.

Afin de pouvoir taggué les informations des deux réseaux wifi, j’ai

configuré les deux VLANs dans le point d’accès, ceci va permettre

d’assigner aux VLANs les différents flux d’informations.

L’authentification étant gérée par un serveur externe, j’ai configuré un

profil de connexion afin que la borne sache vers qui se diriger lors d’une

demande de connexion. L’adresse ip, le type d’authentification ainsi

que le secret partagé ont été nécessaires à cette configuration.

Enfin j’ai créé les deux réseaux wifi en renseignant le type

d’authentification (aucun pour le réseau visiteur et WPA2 RADIUS pour

le réseau employés), le VLAN auquel appartiennent les réseaux, le taux

de transfert minimum…



8. Phase de recette du projet

Difficultés rencontrées : a.

Plusieurs phases du projet ont été difficiles, il a fallu tout d’abord comprendre

le fonctionnement des solutions que nous allions mettre en place : portail captif,

serveur proxy, protocoles de sécurité Wi-Fi, serveur RADIUS…

Une fois ces notions assimilées, l’intégration de certains éléments ont posés

quelques problèmes :

La mise en place du portail captif a été une partie assez compliquée de par la mise

en place du serveur Proxy et plus précisément du Filtre Proxy. La distribution dédiée,

installée sur une plateforme matérielle utilisant une carte Compact Flash, était déjà

partitionnée et sa table ne pouvait pas être refaite. Il a fallu trouver dans la

configuration du package squidGuard (intégré à pfSense) les paramètres pour

modifier l’emplacement des bases de données pour les listes noires de filtrage qui

prennent de la place et ne pouvait pas être placée sur la partition par défaut.

Le filtrage d’URLs mis en place pose aussi quelques soucis, le proxy en mode

transparent filtre uniquement les requêtes en http, toutes les requêtes fait en mode

sécurisé (https) ne sont pas filtrées. Par exemple, l’application Facebook pour

Smartphone ne peut pas être bloquée car elle utilise automatiquement le protocole

sécurisé https.

Le bâtiment de la société étant assez ancien, nous avons eu des problèmes

avec la portée des bornes Wi-Fi. L’objectif principal qui était de couvrir l’intégralité

des salles de réunions, le bureau des commerciaux ainsi que celui de la direction est

tout de même atteint mais le premier étage est très peu couvert (importance faible :

stock montres et cafétéria) et le deuxième étage n’est qu’à moitié couvert

principalement à cause d’une descente de câbles et des murs épais.

Respect des exigences : b.

Techniques :

Suite à la mise en place des nouveaux réseaux Wi-Fi j’ai réalisé une nouvelle étude,

voici les résultats :

Les zones représentent la couverture Wi-Fi actuelle.



Les zones représentent les parties du bâtiment qui ont le plus

besoin d’être couvertes par le réseau sans-fil (salles de réunions, bureaux de

la direction…).

Les représentent les bornes Wi-Fi.



Financières :

Les devis proposés à la direction ont été acceptés, la mise en place de solutions

libres a permis de diminuer les coûts du projet.

Le bon de commande est disponible en annexe N°4.

Satisfaction des utilisateurs : c.

Une enquête de satisfaction va être lancée auprès des utilisateurs, ceci nous

permettra de valider définitivement la pérennité du projet.

Elle comprendra les quatre parties importantes pour l’utilisateur :

- Simplicité d’utilisation.

- Fiabilité.

- Disponibilité.

- Rapidité de traitements des informations demandées.



Respect des délais : d.

Diagramme de GANTT réalisé :


| Conclusion : 41

VII. Conclusion :

1. Professionnelle :

Aujourd’hui, les nouveaux réseaux Wi-Fi ont permis de combler de nombreuses failles grâce à une augmentation de la sécurité et une séparation des accès. Ils nous permettent de proposer un accès fiable au réseau autant pour les visiteurs que pour les employés. La rapidité et la simplicité de connexion permettent un gain de temps pour les utilisateurs qui ne doivent plus utiliser le VPN pour accéder au réseau interne de l’entreprise.

Les visiteurs disposent eux aussi d’un accès simple et rapide à internet.

2. Personnelle :

La mise en place de ces réseau sans-fil m’a permis de géré un projet

d’envergure où différents aspects du métier d’informaticien sont représentés

(prospection, installation, configuration, rédactions de procédures, analyses des

besoins auprès des utilisateurs…). J’ai pu apprendre le fonctionnement des réseaux

Wi-Fi et des systèmes de portail captifs.

Les périodes au centre de formation Tétras m’ont beaucoup aidé, plus

précisément le module « Déploiement-sécurité réseaux sans fils » qui m’a permis de

trouver une solution aux problèmes posés par l’ancien dispositif en place dans

l’entreprise.

Enfin, la pratique du métier qui a été rendue possible par mon entreprise et

plus précisément mon tuteur m’a permis d’acquérir des compétences globales dans

le travail d’administrateur réseau, d’appréhender plus facilement le contact avec les

utilisateurs et d’apprendre à réagir face à des situations difficiles.


| Bibliographie : 42

VIII. Bibliographie :

http://www.wikipedia.org/ : Définition de termes techniques, et documentations sur les

protocoles, outils, et logiciels.

http://www.labo-microsoft.org/ : Informations et aides sur les produits Microsoft.

http://technet.microsoft.com/ : Documentations techniques sur les produits Microsoft.

http://www.pfsense.org/ : Site de la distribution Open Source du même nom.

http://www.alcasar.info/ : Site du projet de portail captif authentifiant et sécurisé.

http://www.zeroshell.net/ : Site de la distribution Open Source du même nom.

http://www.chillispot.info/ : Site du projet de portail captif Open Source.

http://pcengines.ch/ : Fabricant d’une plateforme matérielle légère permettant

d’embarquer le portail captif.

http://www.wikipedia.org/

http://www.labo-microsoft.org/

http://technet.microsoft.com/

http://www.pfsense.org/

http://www.alcasar.info/

http://www.zeroshell.net/

http://www.chillispot.info/

http://pcengines.ch/


| Glossaire : 43

IX. Glossaire :

VLAN

Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique.

WPA

Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour fonctionner, après mise à jour de leur micro-logiciel, avec toutes les cartes Wi-Fi, mais pas nécessairement avec la première génération des points d'accès Wi-Fi. WPA2 quant à lui respecte la norme entière, mais ne peut pas être implémenté sur les matériels anciens.

Wi-Fi

Wi-Fi est un ensemble de protocoles de communication sans fil régis par les normes du groupe IEEE 802.11 (ISO/CEI 8802-11). Un réseau Wi-Fi permet de relier sans fil plusieurs appareils informatiques (ordinateur, routeur, décodeur Internet, etc.) au sein d'un réseau informatique afin de permettre la transmission de données entre eux.

Point d’Accès

Installation qui permet à un utilisateur de se connecter par une liaison radio (RLAN) en 2,4 GHz ou en 5 GHz à un réseau haut débit par exemple à un réseau Ethernet ou un accès ADSL.

Switch

Un commutateur réseau (ou switch, de l'anglais) est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de télécommunication et qui permettent de créer des circuits virtuels

Trunk

Les ports d'une liaison qui agrègent le trafic de plusieurs VLANs s'appellent un « Trunk ». Sur ce type de liaison, le commutateur ajoute des champs supplémentaires dans ou autour de la trame Ethernet. Ils servent notamment à distinguer le trafic de VLANs différents car ils contiennent entre autres le numéro d'identification du VLAN.


| Glossaire : 44

Portail Captif

La technique des portails captifs (captive portal) consiste à forcer les clients HTTP d'un réseau de consultation à afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet normalement.

RADIUS

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification.

Active

Directory

Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows.

TLS (Transport Layer Security)

Anciennement nommé Secure Sockets Layer (SSL), c’est un protocole de sécurisation des échanges sur Internet. TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants : - l'authentification du serveur ; - la confidentialité des données échangées (ou session chiffrée) ; - l'intégrité des données échangées ; - de manière optionnelle, l'authentification ou l'authentification forte

du client avec l'utilisation d'un certificat numérique ; - la spontanéité, c'est-à-dire qu'un client peut se connecter de façon

transparente à un serveur auquel il se connecte pour la première fois ;

- la transparence, qui a contribué certainement à sa popularité : les protocoles de la couche d'application n'ont pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https.

-

802.1X

802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par l'IEEE (famille de la norme IEEE 802). Il permet de contrôler l'accès aux équipements d'infrastructures réseau (et par ce biais, de relayer les informations liées aux dispositifs d'identification).

Sommaire - barthelemyfabien.free.frbarthelemyfabien.free.fr/media/Mémoire_FB.pdf · c. IEEE 802.11...

Documents

Transcript of Sommaire - barthelemyfabien.free.frbarthelemyfabien.free.fr/media/Mémoire_FB.pdf · c. IEEE 802.11...