 Mise en œuvre de réseaux Ad-Hoc et Infrastructures sécurisées
Accueil > Articles > Réseaux
|
|
Auteurs
|
|
 |
|
|
155220
122/562
|
Retrouvez la Première partie de cet article en suivant ce
lien :
Mise en œuvre de réseaux Ad-Hoc et Infrastrucures
sécurisés
Dans cette partie nous allons voir comment monter des
réseaux Wireless dans les deux typologies, Ad-Hoc et Infrastructure, de façon
sécurisée. Nous allons commencer par une partie commune sur les paramétrages
généraux dans Windows XP puis par le réseau Ad-Hoc et nous passerons à la
partie Infrastructure. Elle sera divisée en deux parties. Dans la première
nous sécuriserons le réseau à l’aide des briques de bases, celles que tout le
monde peut mettre en œuvre facilement, dans la seconde nous verrons les étapes
pour sécuriser un réseau tel que fait chez Microsoft par exemple, un peu moins
accessible à tout le monde.
Les points à vérifier dans Windows XP
Windows XP, comme expliqué dans la partie technologies,
supporte toutes les technos Wireless. Il propose en plus un système d’auto
configuration qui permet de gérer automatiquement le Roaming, la détection de
réseau, etc. Les anciennes cartes Wireless ne supportent pas forcément cette
fonctionnalité implémentée en tant que service sous Windows XP. Vous le trouvez
sous le nom « Configuration automatique sans fil » si vous avez
appliqué les dernier hotfix du site Windows Update.
Si pour une raison ou une autre, vous ne souhaitez pas
utiliser ce service, désactivez-le dans les propriétés de la Connexion
réseaux sans fil en décochant la case Utiliser Windows pour configurer
mon réseau sans fil. Je vous conseille de laisser cette case cochée.
Pendant que nous sommes dans cet onglet, regardons ce qui
est disponible. La section Réseaux disponibles vous montre les réseaux Wireless
actuellement disponible autour de vous. Les noms des réseaux sont les SSID des
réseaux. Cliquez sur le bouton Configurer pour configurer les paramètres
du réseau sélectionné. après cette étape, le réseau apparaîtra dans la seconde
section Réseaux favoris. Cette section vous montre tous les réseaux que
vous avez déjà configurés, qu’ils soient disponibles ou non. En cliquant sur le
bouton Propriétés d’un réseau, on obtient la même fenêtre que lorsqu’on
tente de configurer un réseau. Attention, si vous avez déjà configuré un
réseau, il ne faut pas le faire une seconde à l’aide du bouton configurer mais
à l’aide du bouton Propriétés. Afin de gérer les priorité de connexion à
différents réseaux, vous avez la possibilité de les mettre dans l’ordre que
vous souhaitez. Dans mon cas, si le réseau TECHED et LaurelleWireless sont
disponibles en même temps, le poste se connectera au réseau TECHED. Attention,
les SSID sont sensibles aux minuscules et majuscules.
Les paramètres de configuration disponibles sont : le
SSID, le WEP, l’authentification Open system et Shared Key. Toutes ces options
seront abordées dans les sections suivantes.
L’autre onglet intéressant est l’onglet Authentification. Il
permettra de paramétrer les services d’authentification à utiliser. Nous ne les
mettrons pas en œuvre dans le cas des utilisations simples. Ils sont utilisés
dans des architectures plus complexes, vous pouvez laisser les paramètres par
défaut.
Monter et sécuriser un réseau Ad-Hoc
Il s’agit ici de paramétrer les deux ordinateurs faisant
parti de ce réseau de façon identique. L’idée de ce type de réseau est de
pouvoir facilement échanger des données, jouer en réseau dans un aéroport, dans
un avion (pas sûr que ce soit vraiment autorisé…) ou dans un train. Tout ce qui
est fait sur un ordinateur devra être fait sur l’autre. Pour créer un tel
réseau, il faut aller dans les propriétés de la connexion réseau sans fil et
dans l’onglet Configuration réseaux sans fil (cf explication Les points
à vérifier dans Windows XP pour savoir où trouver cette boîte de dialogue).
Ensuite, il faut cliquer sur le bouton Ajouter.
Choisissez d’abord un IBSS que vous rentrez dans le nom de
réseau SSID. Cochez la case du bas Ceci est un réseau d’égal à égal.
Pour sécuriser votre réseau Ad-Hoc, choisissez l’option Cryptage de données
(WEP Activé) et décochez la case La clé m’est fournie automatiquement.
Pour avoir une sécurité maximale, choisissez une clé de 104 bits et entrez une
clé de réseau. Attention, il faudra rentrer exactement la même sur les deux
ordinateurs et les mêmes autres paramètres. Ensuite, cliquez simplement sur OK
et c’est parti. Si tout se passe bien, alors les deux machines se verront
automatiquement. Notez qu’il n’y a pas besoin de spécifier d’adresse IP pour
vos cartes, le service PAN (Personal Area Network) de Windows XP va s’en
charger pour vous !
Normalement tout est maintenant paramétré et cela doit
fonctionner. En cas de problèmes, vérifiez bien que les deux clés WEP sont
identiques et que vous n’avez pas spécifiez d’adresse IP ou qu’elles sont bien
compatibles. Si cela ne fonctionne toujours pas, essayez de désactiver le WEP
des deux côtés. Pensez également à vérifier si la version du firmeware des
cartes est à jour. Voyons maintenant comment paramétrer un réseau en modeinfrastructure.
Monter et sécuriser un réseau en mode Infrastructure
La première partie de cette section présentera la
configuration d’un poste client pour se connecter de façon sécurisée à une
borne Wireless. La seconde partie proposera une méthodologie pour créer un
réseau Wireless beaucoup plus sécurisé mais nécessitant beaucoup plus de
moyens.
Le paramétrage d’un client réseau en mode infrastructure se
fait de la même façon que pour un client Ad-Hoc. La différence réside dans le
fait que le réseau Wireless à paramétrer est détecté automatiquement. Il
apparaît dans la liste des réseaux disponibles (cf Les points à vérifier dans
Windows XP). Il faut connaître le SSID du réseau que vous voudrez joindre.
Cliquez sur le bouton Configurer. Vous pouvez alors rentrer les paramètres du
réseau Wireless. Les propriétés à rentrer dépendent du réseau que vous joignez.
Si vous montez votre propre réseau, je vous conseille de
paramétrer votre borne d’accès avec le filtrage par adresse MAC, premier niveau
de sécurité pour l’authentification. Ce paramétrage s’effectue directement sur
la borne. L’adresse MAC d’une carte réseau est toujours marquée dessus. Si tel
n’est pas le cas, vous pouvez toujours obtenir le numéro de votre adresse MAC
en ouvrant une console puis en tapant ipconfig /all. Le résultat ressemble à
cela :
Suffixe DNS propre à la connexion :
Description
. . . . . . . . . . . : NETGEAR MA401 Wireless PC Card
Adresse physique . . . . . . . . .: 00-30-AB-29-9A-FD
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 192.168.0.2
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.0.1
Serveur DHCP. . . . . . . . . . . : 192.168.0.1
Serveurs DNS . . . . . . . . . . : 193.252.19.3
193.252.19.4
Bail obtenu . . . . . . . . . . . : samedi 6 juillet 2002 20:52:35
Bail expirant . . . . . . . . . . : mardi 9 juillet 2002 20:52:35
Cela vous donne l’adresse physique de votre carte qui
représente l’adresse MAC. Cette adresse est à fournir à l’administrateur qui
gère la borne pour qu’il vous autorise à vous y connecter. La plupart des
bornes se paramètrent à travers un browser (ou butineur pour les défenseurs de
la langue française). Je possède une borne Netgear MR314, je vais la prendre
comme exemple. La plupart des bornes possèdent des paramètres équivalents. Le
paramétrage du filtrage MAC donne :
Ensuite, afin que vos communications soient cryptées, il est
nécessaire d’activer les paramètres du WEP dans l’AP. Vous avez la possibilité
de spécifier 4 clés différentes. Cela vous permet par exemple d’avoir une clé
permanente que vous changez de temps en temps et des clés temporaires que vous
pouvez fournir à des invités ou des intérimaires. A leur départ, vous
désactivez la clé. Dans la plupart des cas, vous pouvez générer les clés avec
des phrases, plus faciles à retenir que les valeurs hexa des 13 octets… Dans le
cas de la borne MR314, cela donne :
Encore une fois, je vous conseille de n’utiliser que le
cryptage 128 bits (clé de 104 bits), plus sécurisé que le cryptage 64 bits (clé
de 40 bits).
Partons du principe que l’administrateur réseau a
correctement paramétré le filtrage par adresse MAC, que votre adresse sera
allouée en DHCP et qu’il a positionné le WEP à 128 bits. Côté client, le réseau
doit apparaître dans les réseaux disponibles. Pour le configurer, appuyez sur
le bouton Configurer.
Sélectionnez la case Cryptage de données (WEP Activé) et
décochez la case La clé m’est fournie automatiquement. Rentrez ensuite
la Clé réseau sur 104 bits soit en caractères ASCII soit en hexa. Cliquez
ensuite sur OK. Le réseau apparaît ensuite dans la catégorie Réseaux favoris.
Fermer la fenêtre propriété en cliquant sur OK (si vous devez saisir une
adresse IP statique n’oubliez pas de le faire).
Si tout se passe bien, vous devriez être connecté au réseau.
En cas de problème, vérifiez que vous avez correctement paramétré la clé WEP,
que l’administrateur a bien saisi votre adresse MAC et que le firmeware de
votre carte réseau est à jour. Pour vérifier les propriétés, cliquez sur le
bouton Propriétés de la section Réseaux favoris.
Nous avons donc vu comment paramétrer une connexion de type
infrastructure avec AP suffisamment sécurisé en première approche. Si vous êtes
vraiment paranoïaque ou si vous avez les moyens, je vais maintenant vous
présenter ce que nous avons mis en place pour sécuriser et authentifier les
utilisateurs du réseau Wireless.
Cette mise en place se base sur la mise en place d’un
serveur Remote Authentication Dial-In User Service (RADIUS), basé sur les RFCs
2865 et 2866. Ce serveur RADIUS permettra de façon centraliser d’authentifier,
d’autoriser et de gérer les comptes (appeler Authentication, Authorization, and
Accounting ou AAA en anglais) pour :
•
Les AP
•
L’authentification des switches
ethernet
•
Les serveurs de type Virtual Private Network (VPN)
•
Les serveurs de connexion Digital Subscriber Line
(DSL)
•
Plus généralement, tout autre serveur d’accès à un
réseau
L’infrastructure RADIUS type peut se schématiser
ainsi :
Chez Microsoft, le serveur RADIUS est inclus dans la famille
Windows 2000 Server, il s’agit de Internet Authentication Service (IAS). IAS
s’appuie sur Active Directory pour authentifier les utilisateurs et pour
autoriser ou non les utilisateurs à accéder au réseau en dial-in.
Le paramétrage permet de créer des profils et de jouer sur
des règles qui définissent les privilèges et les interdictions d’accès.
Pour gérer l’authentification à la fois des machines et des
utilisateurs, nous avons opté pour une solution à base de certificats. Il est
nécessaire de posséder deux certificats pour pouvoir s’authentifier, un pour la
machine, l’autre pour l’utilisateur. Si et seulement si les deux certificats
sont valables alors l’authentification est validée. Une encryption forte est
utilisée pour les communications.
Cette méthode est beaucoup plus sécurisée que la première
mais demande beaucoup plus de ressources que la première. Il faut en avoir les
moyens. La sécurité est avant tout une question de coût.
Conclusion
J’espère vous avoir éclairé et permis de comprendre ce
qu’est le Wireless. En tout cas, si vous êtes arrivé jusqu’au bout de la
lecture, c’est que le sujet vous a intéressé !
Pour résumer et pour ceux qui n’ont pas eu le courage de tout
lire, il faut bien comprendre avant de mettre en place ce type de technologie
les différents standards, leurs avantages et inconvénients, c’était l’objet de
la première partie.
La mise en place d’une solution Ad-Hoc est uniquement
destinée à relier de façon ponctuelle deux machines ou plus dans un réseau qui
sera de type point à point.
Une solution infrastructure est à privilégier
dans le cadre d’une mise en place dans une entreprise, une école ou chez soit
dès que l’on a plus d’une machine à relier. Avant de s’équiper, il faut
vérifier que les bornes que vous allez acheter permettent bien de faire du
filtrage par adresse MAC et du WEP 128 bits. C’est aujourd’hui pour un coût
faible, la solution la plus sécurisée. Dans cette solution, l’administrateur
réseau est content puisqu’il sécurise l’authentification avec le filtrage par
adresse MAC et le WEP, et vous, utilisateurs êtes content car vos données sont
cryptées à l’aide du WEP.
Si vous avez les moyens et besoin de protéger votre
infrastructure de façon poussée, alors il faudra passer à une solution avec un
serveur d’authentification, du cryptage fort, le tout à base de certificats.
Pour en revenir à mes motivations sur cette session, je suis
ressorti rassuré et certain d’avoir fait le bon choix avec l’implémentation que
j’en ai faite chez moi. De toute façon, je n’airais ni eu le temps ni les
moyens de mettre en place une solution avec un serveur RADIUS. Si l’un de vous
se décide pour cette solution, alors je suis certain que cela pourra faire l’objet
d’un excellent article.
Quelques liens utiles
Pour aller encore plus loin sur le site de l’IEEE :
http://standards.ieee.org/Wireless/
Pour comprendre en quoi Bluetooth n’a rien à voir avec le
802.11 :
http://www.bluetooth.com/
Le site du consortium Wireless Ethernet Compatibility
Alliance :
http://www.wi-fi.org/
Liste des produits certifiés Wi-Fi :
http://www.wi-fi.org/certified_products.asp
|
|
|
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
