Projet

Personnalis
Encadr 3.2
ETUDE SUR LA MISE EN PLACE DU
RESEAU WIFI

Arnaud Duboishamon, Anthony Dubois, Lucas

Corizzi
GALAXY SWISS BOURDIN

Table des matires

Introduction..
....2
tude sur la mise en place dune satratgie de scurit
spciale Wifi.2
Quest-ce
quun
rseau
fils ?...................................................................2

sans

I.

Les
risques
de
scurit
du
Wif.....3

II.

Comment bien scuriser son

rseau ?...........................................................4
La configuration
..
.4

Laccessibilit aux
matriels.....5
La gestion
organisationnelle
..6

III.

Etude sur les besoins matriel et son

dploiement..6

Rappel
des
besoins
de
lentreprise..6
Les
matriels
ncessaires
6

Le
deploiement
..7
Descriptif de la solution pour lentreprise
GSB.9
La cryptographie et
authentification..9
Le plan d'adressage
wifi 10
configuration et
scurit
10
IV.

Conclusion
...12

Introduction
La DSI de lentreprise Galaxy Swiss Bourdin ressentant le besoin de
mettre en place un rseau sans fil dans lespace du site de Paris afin de palier des
ncessits particulires, nous a demand dans un premier temps de faire une tude
sur la mise en place dune stratgie de scurit spciale Wifi. Puis dans une deuxime
partie, une tude sur les besoins matriels et sur le dploiement et un descriptif de la
solution propose.

Etude sur la mise en place dune stratgie de scurit spciale Wifi

Avant de mettre en place le rseau Wifi la DSI de lentreprise GSB nous a demand de
faire dtudier les failles de scurit wifi et les solutions possibles pour scuriser au
mieux le rseau sans fil de lentreprise. Avant toute chose quest-ce quun rseau sans
fil ?

Quest-ce quun rseau sans fils ?

Un rseau Wifi, cest un rseau fonctionnant sans fil (Wireless). Lappellation Wifi
rsulte dune vulgarisation de ce type de connexion : la norme IEEE 802.11.
Il sagit alors dtablir des communications radios entre plusieurs quipements, au sein
dun mme rseau informatique.

Logo Wifi officiel

On notera quil se base sur Ethernet (les donnes sont donc empaquetes comme sur
un rseau filaire), et peut donc tre li un rseau cbl classique.
Deux manires de crer un rseau sans fil existe : le mode Ad-Hoc et le mode
Infrastructure.

Ad-Hoc : connexion Wireless entre plusieurs ordinateurs ou appareils clients

(smartphones, tablettes). Il ny a alors pas besoin de point daccs (Access
Point, AP), du fait que les changes sont oprs directement de machine
machine.

Infrastructure : connexion Wifi via un point daccs. Il sagit l du mode de

connectivit le plus utilis dans ce type de rseau. Il est particulirement fiable et
efficace. Cest lAP qui gre intelligemment les flux.

Communiquant par ondes radios, comme prcis plus tt, le rseau Wifi diffuse donc
sur un canal (une frquence particulire), que la personne charge de linstaller pourra
configurer manuellement.
Enfin, un rseau sans fils peut tre utilis vocation personnelle/professionnelle ou
publique. On parlera alors de rseau Wifi public ou priv.

Priv : connexion possible condition de possder la cl (un mot de passe) pour

sauthentifier sur le rseau. Lide est de protger au mieux laccs, le
restreignant aux seuls utilisateurs autoriss.

Public : connexion ouverte tous, dans le sens o elle autorise nimporte qui
sy connecter. Parfois tout de mme, il faudra sauthentifier (Login et Mot de
passe)... Mais la philosophie de cette ouverture est de permettre un accs libre.

I.

Les risques de scurit du Wifi

Les risques lis au wifi sont la divulgation de donnes sensibles et confidentielles par
des personnes mal intentionnes, la modification, le vol et la suppression de donnes,
lutilisation du rseau gratuitement par des personnes risquant de mettre la
responsabilit de lentreprise en jeu.
Les risques lis au rseau wifi peuvent tre classifi en 4 catgories.
Laccs aux donnes : le wifi utilisant des signaux radio rien de plus simple que
dintercepter ces ondes en tant dans le primtre de diffusion de celle-ci.
Lintrusion dans le rseau : celle-ci peut tre particulirement dangereuse, en effet si le
rseau wifi accs au rseau local de lentreprise lintrus peut avoir accs toutes les
donnes de lentreprise et ainsi pirater les postes de travail ou les serveurs ou
simplement par lutilisation du rseau gratuitement par des personnes risquant de
mettre la responsabilit juridique (le tlchargement illgal) de lentreprise en jeu.
Le brouillage : du fait que les rseaux sans fil utilisent des ondes radio ils peuvent tre
brouills facilement par exemple par les ondes dun four micro-ondes.
Denial of service (ou DOS ): cela consiste envoyer des fausses requtes afin de
saturer un service et dempcher dautre requtes dtre servies. Le dni de service
dalimentation : cela consiste envoyer une grande quantit de donnes pour
surcharger une machine et la rendre ainsi inutilisable.
II.

Comment bien scuriser son rseau ?

La dfinition d'une politique de scurit pour un rseau wifi est une opration complexe
mais primordiale, quelle soit technique ou organisationnelles. Elles ne doivent pas
imposer des contraintes irralistes pour les utilisateurs qui motiveraient ces derniers
les contourner.
Nous pouvons dcouper en trois la manire de bien scuriser son rseau :

La configuration

Dans un premier temps, il est prfrable de masquer la diffusion de lSSID du rseau de

lentreprise bien que cela ne soit pas vraiment une mesure de scurit car cela sera tout
de mme trs facile pour une personne mal intentionne de se le procurer; cela va tout
de mme cacher un peu le rseau aux yeux de tous.
Il est important aussi de rgler la porte du signal au minimum possible en effet plus la
porte est tendue plus le nombre de personnes pouvant tenter de se connecter
frauduleusement seront nombreux pour cela une porte minimale est recommande.
Il est aussi important de mettre jour les cartes wifi et les quipements tels que les
firmwares pour viter les failles de scurit car le rseau wifi utilisant des ondes radios
celles-ci peuvent tre pilote par des micro-codes embarqus dans les postes htes ou
bien dans les quipements htes.
Il faut aussi utiliser les protections de cryptographiques car il est ncessaire de protger
son rseau par un chiffrement dauthentification approprie :
Le Wep est une scurit basique et peu scurisable car il utilise une cl
dauthentification cassable en moins dune minute.
Wap est un niveau au-dessus mais sa robustesse dpend de son paramtrage.
Le wap2 est particulirement robuste ; il se dcline en deux : le Wpa psk utilise une cl
secrte et le Wpa entreprise qui authentifie les utilisateurs grce un serveur radius. Il
est recommand dutiliser le mode wap2 entreprise avec un algorithme AES-CCMP.

Laccessibilit aux matriels

Une protection des points daccs doit tre mise en place pour viter lintrusion de
personnes mal intentionnes.
Mettre en oeuvres des gpo ncessaires pour que les utilisateurs ne puissent pas avoir la
ncessiter de connaitre les cls scurisant le reseaux de lentreprise. Ces GPO vont
permettre aux utilisateurs de ne pas avoir accs aux proprits des cartes rseau sans
fil ce qui va permettre de diminuer le risque de divulgation
Utiliser des mcanismes dauthentification : comme lutilisation de serveur radius, la
dtection des adresses mac : car il est possible de dtecter les interfaces wifi dans une
zone donne via leur adresse mac cependant ce nest pas suffisant une personne peut
changer son adresse mac donc Il est important de mettre des quipements de filtrage
rseau permettant l'application de rgle strictes et en adquation avec les objectifs de la
scurit

La gestion organisationnelle

La plupart de la gestion organisationnelle peut passer par la sensibilisation des

utilisateurs du rseau. En effet beaucoup de faille sur un rseau peuvent prendre
sources depuis les laisser aller des utilisateurs, pour palier ce problme plusieurs
conseils sont donner :
Les mots de passe ne sont pas communiquer un tiers ni crire sur un support qui
peuvent tre la porte dautrui. En leur prcisant quil ne faut jamais penser tre
labri du risque.
Cependant la sensibilisation peut galement se faire du ct de lquipe informatique
Lquipe informatique a la possibilit de changer de faon rgulire les cls de scurit
du rseau wifi.
Ils peuvent galement auditer son rseau (le tester) pour mesurer lcart entre le niveau
de scurit obtenu et celui dsir. En terme de scurit la gestion et surveillance du
rseau GSB a aussi son importance : cela peut seffectuer grce la surveillance ip, la
surveillance physique avec des outils ddis.
Cette gestion comprend aussi de sappuyer sur une bonne quipe qui a connaissance
des rseaux et de la scurit des systmes dinformation.

III.

Etude sur les besoins matriel et son dploiement

Rappel des besoins de lentreprise

Suite la demande de lentreprise la DSI nous donne les besoins de lentreprise fin de
mettre en place la solution technique pour lentreprise de paris.
Le rseau wifi de lentreprise GSB doit permettre lensemble du personnel, de
bnficier dun accs scuris aux serveurs du rseau GSB du site de Paris.
Il devra offrir aussi lensemble du personnel un accs au rseau internet.
De plus il devra aussi offrir aux non-collaborateurs (visiteurs) un accs ouvert et exclusif
au rseau internet.

Le rseau sera constitu de vlans afin de fluidifier le trafic scuris un maximum et

simplifier la gestion des diffrents services. Linterconnexion de ces vlans doivent tre
fait par un routeur. Le vlan visiteur devra tre prsent tous les tages.
Les postes clients devront obligatoirement obtenir une adresse ip dynamiquement
partir dun serveur DHCP se trouvant au sixime tage.

Les matriels ncessaires

Pour mettre en place ce rseau sans fil nous allons avoir besoin denviron 6 bornes wifi
soit 1 par tage, capable, de diffuser deux SSID wifi diffrents lune pour que tout le
personnel de lentreprise puisse avoir accs aux serveurs de lentreprise et internet
lautre pour que les visiteurs qui viennent dans lentreprise puissent avoir une connexion
internet.
Il faudra aussi un serveur radius configur pour pouvoir donner laccs des serveurs
aux personnels de lentreprise.
Nous aurons aussi besoin de mettre en place une prise rseau par tage afin de pouvoir
connecter les bornes wifi au rseau de lentreprise et pour quelles puissent diffuser les
ondes radios ncessaires pour que tout le monde soit connect donc il faudra au moins
1 switch par tage soit un minimum de 6 switchs.
Ce rseau aura aussi besoin dun firewall pour protger le rseau de lentreprise et
pour bloquer laccs aux serveurs de lentreprise pour le rseau wifi destiner aux
visiteurs.
Il sera ncessaire aussi de mettre un routeur en place afin de grer les vlans qui seront
mis en place pour les diffrents services.
Les postes clients devront eux aussi tre quips de cartes rseaux certifis wifi afin
quils puissent se connecter ce nouveau rseau.

Le dploiement

Ne connaissant pas larchitecture du btiment ni mme sa composition, on supposera

qu'il faut une borne wifi par tages.
Les bornes wifi seront disposes au maximum au milieu de chaques tages fin de

couvrir au mieux tout le primtre du rseau. Elles seront connectes une prise
ethernet elle-mme brasse sur un switch dans la baie de brassage.
Le routeur, le firewall, et le serveur radius seront quant eux dispos au sixime tage
du btiment. Le 6me tage ne ncessite pas un accs sans fil : il contient les serveurs
et personne na besoin de lutiliser.
Une borne wifi ne ncessitera pas dadresse IP, on peut le considrer comme un switch
Wireless, en somme.
Il suffira de le configurer avec un SSID ainsi quun moyen d'authentification.

IV.

Descriptif de la solution pour lentreprise GSB

La cryptographie et authentification

Le Wep pour objectif d'offrir une solution de cryptage des donnes sur le rseau
Wlan. Cependant, ce protocole de chiffrement s'avre trop faible et souffre d'importantes
lacunes en matire de protection de donnes.
Pour pouvoir palier ce problme, la norme 802.11i a t cre cette norme est
galement appele WI-FI PROTECTED ACESS 2 (WPA2)
Le WAP2 utilise l'algorithme de cryptage AES ce qui fait de lui un protocole fiable. Il
possde 2 modes de fonctionnement. : Le WPA personnel et le WPA entreprise.
Le WPA (Wireless Protected Access) est une version allg de la norme 802.11i il
utilise le protocole TKIP ce protocole permet de combler les lacunes du chiffrement
Wep. Il se dcline lui aussi en deux modes: le Wpa-psk qui utilise un mot de passe
secret partag pour l'authentification et le WPA Entreprise qui lui repose sur l'utilisation
d'un serveur radius
(Remote Authentication Dial-In User Service) est un protocole client/serveur destin
permettre des serveurs d'accs de communiquer avec une base de donnes
centralises regroupant en un point l'ensemble des utilisateurs distants. Ce serveur
central (appel serveur RADIUS) va authentifier ses utilisateurs, et leur autoriser l'accs
telles ou telles ressources. Etant une version allge de la norme 802.11i il est moins
performant que le Wpa 2.
Pour l'entreprise GSB nous avons dcid d'utiliser pour que le rseau sans fil ayant
accs aux serveurs la norme 802.11i avec le protocole de chiffrement AES ou le wap2

10

avec authentification par serveur radius autrement dit WPA2 entreprise.

Pour le deuxime rseau sans fil ayant accs seulement internet nous avons dcid
d'utiliser le protocole WAP2 avec une cl daccs qui changera rgulirement.

Addresage wifi

nom

adresse ip

wifi gsb
wifi
visiteur

192.168.31 255.255.255.0
192,168,150
,0
255,255,255,0

masque

configuration et scurit

Pour viter les interfrences et pour avoir un rseau avec les meilleures performances,
il a fallu dfinir les canaux de frquences de ces rseaux wifi.
Car Si deux points d'accs utilisant les mmes canaux ont des zones d'mission qui se
recoupent, des distorsions du signal risquent de perturber la transmission. Ainsi pour
viter toutes interfrences il est recommand d'organiser la rpartition des points
d'accs et l'utilisation des canaux de telle manire ne pas avoir deux points d'accs
utilisant les mmes canaux proches l'un de l'autre.
Voici un exemple.

11

Afin d'empcher un maximum d'utilisateurs extrieurs qui seraient tents de se

connecter notre rseau nous limiteront au maximum la circonfrence de diffusion du
rseau.
Afin de garantir la scurit, nous avons dcid de faire une GPO pour interdire l'accs
aux utilisateurs pouvoir voir les proprits des cartes rseaux ainsi seule l'quipe
informatique pourra par consquent avoir connaissance des identifiants ce qui
permettra d'viter la divulgation de ces identifiants.
Un firewall sera mis en place afin d'interdire au rseau qui ne doit accder qu internet
l'accs aux serveurs de l'entreprise.
Au niveau des ssid, seul celui pour les visiteurs de l'entreprise sera visible par tous.
Celui ayant accs aux serveurs ne sera pas visible mais il sera automatiquement
configur sur les postes des utilisateurs seul l'quipe informatique possdera des
identifiants pour les droits d'accs.
En termes d'accessibilit du matriel, chaque borne wifi sera quipe didentifiant pour
le paramtrage. Pour la salle serveur seule l'quipe informatique sera autorise y
accder et elle sera quipe avec dune technologie permettant de recenser l
informaticien accder cette environnement. de plus chaque informaticien aura des
identifiant spcifique leur besoins.
Pour la gestion organisationnelle nous recommandons de sensibiliser et d'informer les
utilisateurs des risques de la scurit au sein de l'entreprise.
Nous recommandons aussi de mettre en place des procdure de fonctionnement et de
vrification du rseau avec les outils appropris tel que filtrage des adresses ip ou mac
Faire un audit du rseau rgulirement pour parer toutes ventualits et aussi de
vrifier que tous les quipements soit jour en terme de scurit .

12

Conclusion.
Pour finir nous avons tabli ce plan d'action sans avoir tudi au pralable
l'environnement de l'entreprise c'est--dire l'paisseur des murs, du plafond, la longueur
et largeur du btiment etc... C'est pourquoi pour avoir un rseau scuris et performant
il faut avant tout tudier l'environnement.

13