Professional Documents
Culture Documents
Personnalis
Encadr 3.2
ETUDE SUR LA MISE EN PLACE DU
RESEAU WIFI
Introduction..
....2
tude sur la mise en place dune satratgie de scurit
spciale Wifi.2
Quest-ce
quun
rseau
fils ?...................................................................2
sans
I.
Les
risques
de
scurit
du
Wif.....3
II.
Laccessibilit aux
matriels.....5
La gestion
organisationnelle
..6
III.
Rappel
des
besoins
de
lentreprise..6
Les
matriels
ncessaires
6
Le
deploiement
..7
Descriptif de la solution pour lentreprise
GSB.9
La cryptographie et
authentification..9
Le plan d'adressage
wifi 10
configuration et
scurit
10
IV.
Conclusion
...12
Introduction
La DSI de lentreprise Galaxy Swiss Bourdin ressentant le besoin de
mettre en place un rseau sans fil dans lespace du site de Paris afin de palier des
ncessits particulires, nous a demand dans un premier temps de faire une tude
sur la mise en place dune stratgie de scurit spciale Wifi. Puis dans une deuxime
partie, une tude sur les besoins matriels et sur le dploiement et un descriptif de la
solution propose.
Avant de mettre en place le rseau Wifi la DSI de lentreprise GSB nous a demand de
faire dtudier les failles de scurit wifi et les solutions possibles pour scuriser au
mieux le rseau sans fil de lentreprise. Avant toute chose quest-ce quun rseau sans
fil ?
Un rseau Wifi, cest un rseau fonctionnant sans fil (Wireless). Lappellation Wifi
rsulte dune vulgarisation de ce type de connexion : la norme IEEE 802.11.
Il sagit alors dtablir des communications radios entre plusieurs quipements, au sein
dun mme rseau informatique.
Communiquant par ondes radios, comme prcis plus tt, le rseau Wifi diffuse donc
sur un canal (une frquence particulire), que la personne charge de linstaller pourra
configurer manuellement.
Enfin, un rseau sans fils peut tre utilis vocation personnelle/professionnelle ou
publique. On parlera alors de rseau Wifi public ou priv.
Public : connexion ouverte tous, dans le sens o elle autorise nimporte qui
sy connecter. Parfois tout de mme, il faudra sauthentifier (Login et Mot de
passe)... Mais la philosophie de cette ouverture est de permettre un accs libre.
I.
Les risques lis au wifi sont la divulgation de donnes sensibles et confidentielles par
des personnes mal intentionnes, la modification, le vol et la suppression de donnes,
lutilisation du rseau gratuitement par des personnes risquant de mettre la
responsabilit de lentreprise en jeu.
Les risques lis au rseau wifi peuvent tre classifi en 4 catgories.
Laccs aux donnes : le wifi utilisant des signaux radio rien de plus simple que
dintercepter ces ondes en tant dans le primtre de diffusion de celle-ci.
Lintrusion dans le rseau : celle-ci peut tre particulirement dangereuse, en effet si le
rseau wifi accs au rseau local de lentreprise lintrus peut avoir accs toutes les
donnes de lentreprise et ainsi pirater les postes de travail ou les serveurs ou
simplement par lutilisation du rseau gratuitement par des personnes risquant de
mettre la responsabilit juridique (le tlchargement illgal) de lentreprise en jeu.
Le brouillage : du fait que les rseaux sans fil utilisent des ondes radio ils peuvent tre
brouills facilement par exemple par les ondes dun four micro-ondes.
Denial of service (ou DOS ): cela consiste envoyer des fausses requtes afin de
saturer un service et dempcher dautre requtes dtre servies. Le dni de service
dalimentation : cela consiste envoyer une grande quantit de donnes pour
surcharger une machine et la rendre ainsi inutilisable.
II.
La dfinition d'une politique de scurit pour un rseau wifi est une opration complexe
mais primordiale, quelle soit technique ou organisationnelles. Elles ne doivent pas
imposer des contraintes irralistes pour les utilisateurs qui motiveraient ces derniers
les contourner.
Nous pouvons dcouper en trois la manire de bien scuriser son rseau :
La configuration
Une protection des points daccs doit tre mise en place pour viter lintrusion de
personnes mal intentionnes.
Mettre en oeuvres des gpo ncessaires pour que les utilisateurs ne puissent pas avoir la
ncessiter de connaitre les cls scurisant le reseaux de lentreprise. Ces GPO vont
permettre aux utilisateurs de ne pas avoir accs aux proprits des cartes rseau sans
fil ce qui va permettre de diminuer le risque de divulgation
Utiliser des mcanismes dauthentification : comme lutilisation de serveur radius, la
dtection des adresses mac : car il est possible de dtecter les interfaces wifi dans une
zone donne via leur adresse mac cependant ce nest pas suffisant une personne peut
changer son adresse mac donc Il est important de mettre des quipements de filtrage
rseau permettant l'application de rgle strictes et en adquation avec les objectifs de la
scurit
La gestion organisationnelle
III.
Suite la demande de lentreprise la DSI nous donne les besoins de lentreprise fin de
mettre en place la solution technique pour lentreprise de paris.
Le rseau wifi de lentreprise GSB doit permettre lensemble du personnel, de
bnficier dun accs scuris aux serveurs du rseau GSB du site de Paris.
Il devra offrir aussi lensemble du personnel un accs au rseau internet.
De plus il devra aussi offrir aux non-collaborateurs (visiteurs) un accs ouvert et exclusif
au rseau internet.
Pour mettre en place ce rseau sans fil nous allons avoir besoin denviron 6 bornes wifi
soit 1 par tage, capable, de diffuser deux SSID wifi diffrents lune pour que tout le
personnel de lentreprise puisse avoir accs aux serveurs de lentreprise et internet
lautre pour que les visiteurs qui viennent dans lentreprise puissent avoir une connexion
internet.
Il faudra aussi un serveur radius configur pour pouvoir donner laccs des serveurs
aux personnels de lentreprise.
Nous aurons aussi besoin de mettre en place une prise rseau par tage afin de pouvoir
connecter les bornes wifi au rseau de lentreprise et pour quelles puissent diffuser les
ondes radios ncessaires pour que tout le monde soit connect donc il faudra au moins
1 switch par tage soit un minimum de 6 switchs.
Ce rseau aura aussi besoin dun firewall pour protger le rseau de lentreprise et
pour bloquer laccs aux serveurs de lentreprise pour le rseau wifi destiner aux
visiteurs.
Il sera ncessaire aussi de mettre un routeur en place afin de grer les vlans qui seront
mis en place pour les diffrents services.
Les postes clients devront eux aussi tre quips de cartes rseaux certifis wifi afin
quils puissent se connecter ce nouveau rseau.
Le dploiement
couvrir au mieux tout le primtre du rseau. Elles seront connectes une prise
ethernet elle-mme brasse sur un switch dans la baie de brassage.
Le routeur, le firewall, et le serveur radius seront quant eux dispos au sixime tage
du btiment. Le 6me tage ne ncessite pas un accs sans fil : il contient les serveurs
et personne na besoin de lutiliser.
Une borne wifi ne ncessitera pas dadresse IP, on peut le considrer comme un switch
Wireless, en somme.
Il suffira de le configurer avec un SSID ainsi quun moyen d'authentification.
IV.
La cryptographie et authentification
Le Wep pour objectif d'offrir une solution de cryptage des donnes sur le rseau
Wlan. Cependant, ce protocole de chiffrement s'avre trop faible et souffre d'importantes
lacunes en matire de protection de donnes.
Pour pouvoir palier ce problme, la norme 802.11i a t cre cette norme est
galement appele WI-FI PROTECTED ACESS 2 (WPA2)
Le WAP2 utilise l'algorithme de cryptage AES ce qui fait de lui un protocole fiable. Il
possde 2 modes de fonctionnement. : Le WPA personnel et le WPA entreprise.
Le WPA (Wireless Protected Access) est une version allg de la norme 802.11i il
utilise le protocole TKIP ce protocole permet de combler les lacunes du chiffrement
Wep. Il se dcline lui aussi en deux modes: le Wpa-psk qui utilise un mot de passe
secret partag pour l'authentification et le WPA Entreprise qui lui repose sur l'utilisation
d'un serveur radius
(Remote Authentication Dial-In User Service) est un protocole client/serveur destin
permettre des serveurs d'accs de communiquer avec une base de donnes
centralises regroupant en un point l'ensemble des utilisateurs distants. Ce serveur
central (appel serveur RADIUS) va authentifier ses utilisateurs, et leur autoriser l'accs
telles ou telles ressources. Etant une version allge de la norme 802.11i il est moins
performant que le Wpa 2.
Pour l'entreprise GSB nous avons dcid d'utiliser pour que le rseau sans fil ayant
accs aux serveurs la norme 802.11i avec le protocole de chiffrement AES ou le wap2
10
Addresage wifi
nom
adresse ip
wifi gsb
wifi
visiteur
192.168.31 255.255.255.0
192,168,150
,0
255,255,255,0
masque
configuration et scurit
Pour viter les interfrences et pour avoir un rseau avec les meilleures performances,
il a fallu dfinir les canaux de frquences de ces rseaux wifi.
Car Si deux points d'accs utilisant les mmes canaux ont des zones d'mission qui se
recoupent, des distorsions du signal risquent de perturber la transmission. Ainsi pour
viter toutes interfrences il est recommand d'organiser la rpartition des points
d'accs et l'utilisation des canaux de telle manire ne pas avoir deux points d'accs
utilisant les mmes canaux proches l'un de l'autre.
Voici un exemple.
11
12
Conclusion.
Pour finir nous avons tabli ce plan d'action sans avoir tudi au pralable
l'environnement de l'entreprise c'est--dire l'paisseur des murs, du plafond, la longueur
et largeur du btiment etc... C'est pourquoi pour avoir un rseau scuris et performant
il faut avant tout tudier l'environnement.
13