Mémoire FB

Fabien Barthlmy Licence ARE 2010-2011

| 2

Sommaire POUR DES RAISONS DE CONFIDENTIALITE, IL MA ETE DEMANDE DE

SUPPRIMER TOUTE REFERENCE A MON ENTREPRISE DALTERNANCE. JE

POURRAIS FOURNIR LE DOSSIER COMPLET (AVEC ANNEXES) SUR

DEMANDE. LINDEXATION DES PAGES EST DE CE FAIT INCORECTE ET LA

MISE EN PAGE EST AUSSI IMPACTEE.

I. Introduction : ........................................................................................................ 4

3. Mes activits en entreprise : ......................................................................... 5

IV. Cahier des Charges : ........................................................................................... 6

1. Le projet : ..................................................................................................... 6

2. Les rseaux sans-fil : ................................................................................... 6

Prsentation gnrale : .......................................................................................................... 6 a.

Le Wi-Fi : ................................................................................................................................ 6 b.

IEEE 802.11 : ........................................................................................................................... 7 c.

Scurit Wi-Fi : ....................................................................................................................... 7 d.

Le matriel : ........................................................................................................................... 7 e.

3. Exigences techniques : ................................................................................ 8

4. Exigences financires : ................................................................................ 9

V. Organisation du projet : ........................................................................................ 9

1. Les diffrentes phases du projet : ................................................................ 9

2. Organisation des tches : ........................................................................... 10

3. Diagramme de GANTT prvisionnel : ......................................................... 12

VI. Droulement du projet : .......................................................................................13

1. Etude de lexistant : .................................................................................... 13

2. Problmatique : .......................................................................................... 16

3. Choix de larchitecture : .............................................................................. 16

4. Mise en place des VLAN : .......................................................................... 17

Gnralits sur les VLAN : .................................................................................................... 17 a.

Mise en place de la nouvelle architecture (Cf Annexe 2) : .................................................. 18 b.

5. Le rseau Visiteurs : ................................................................................... 19

Les portails captifs :.............................................................................................................. 19 a.


| 3

Etudes des solutions : .......................................................................................................... 20 b.

Test des solutions :............................................................................................................... 25 c.

Choix de la solution : ............................................................................................................ 25 d.

Installation et configuration de pfSense (Cf Annexe 3) : ..................................................... 26 e.

6. Le rseau Employs : ................................................................................. 27

Scurit : .............................................................................................................................. 27 a.

Mise en place (Cf Annexe 4) : .............................................................................................. 30 b.

7. Les Points daccs : ................................................................................... 32

Dfinition du besoin : ........................................................................................................... 32 a.

Etude du matriel : .............................................................................................................. 32 b.

Choix de la solution : ............................................................................................................ 35 c.

Choix de lemplacement des bornes : .................................................................................. 35 d.

Installation et configuration des bornes (Cf Annexe 5) : ..................................................... 35 e.

8. Phase de recette du projet ......................................................................... 36

Difficults rencontres : ....................................................................................................... 36 a.

Respect des exigences : ....................................................................................................... 36 b.

Satisfaction des utilisateurs : ............................................................................................... 39 c.

Respect des dlais : .............................................................................................................. 40 d.

VII. Conclusion : ........................................................................................................41

1. Professionnelle : ......................................................................................... 41

2. Personnelle : .............................................................................................. 41

VIII. Bibliographie : .....................................................................................................42

IX. Glossaire : ...........................................................................................................43


| Introduction : 4

I. Introduction :

De nos jours linformatique prend une place primordiale dans la vie dune

entreprise, le besoin de mobilit des employs au sein des btiments ainsi que

limportance doffrir un accs internet aux visiteurs, nous amne implanter des

rseaux wifi.

Mais le rseau informatique dune entreprise regroupe toutes les donnes

sensibles. Le rseau sans fil tant par dfinition un rseau de propagation dondes,

les murs de lentreprise nen dlimitent pas la fin qui le rend vulnrable au monde

extrieur.


| Prsentation de lentreprise : 5

II. Prsentation de lentreprise :

III. Organisation informatique :

Mes activits en entreprise :

Jai t embauch le 1er septembre 2010 au poste dassistant administrateur

rseau au sein de la socit X. Durant cette anne de formation on ma confi toutes

les tches de ladministration rseau, mes principales activits ont t les suivantes :

Assurer le support et la formation des utilisateurs

Rpondre aux demandes individuelles en tablissant un ordre de priorit.

Apporter une solution dfinitive ou temporaire afin que le collaborateur puisse

travailler.

Etablir, diffuser, maintenir des guides de lutilisateur disponibles et accessibles

tous.

Administrer les serveurs

Assurer le fonctionnement de chaque serveur dans le rle qui lui a t

attribu.

Mettre sous audit (alerte + indicateur de performance) chaque serveur

(Nagios).

Seconder le responsable informatique pour assurer la disponibilit du

systme.

Maintenir la scurit informatique

Faire respecter les rgles mise en place par la hirarchie.

Grer les paramtres de scurit des postes clients, logiciels et donnes

utilisateurs.

Administrer les sauvegardes et les mises jour.

Grer les utilisateurs et leurs accs aux diffrentes applications, y compris

utilisateurs nomades (vpn, smartphone).

Grer le parc

Planifier et approvisionner les besoins court terme (consommables).

Rparer / remplacer le matriel en cas de panne, fournir un matriel de

remplacement pendant lintervention en cas de besoin.

Grer les stratgies de mises jour du parc Windows.

Durant la seconde partie de ma formation on ma confi un projet de mise en

place de deux rseaux Wi-fi afin doffrir un accs internet pour les visiteurs et une

extension sans fil du rseau local pour les employs, cest ce projet qui sera

dvelopp au cours du mmoire.


| Cahier des Charges : 6

Durant la totalit de ma prsence en entreprise jai un contact rgulier avec

tous les employs ainsi que les diffrents fournisseurs et supports techniques notre

disposition.

IV. Cahier des Charges :

1. Le projet :

Ce projet a pour but de repenser toute larchitecture du rseau sans-fil de la

socit afin de rendre plus accessible aux employs ainsi quaux visiteurs une

connexion sans-fil dans les locaux de lentreprise. Il comprend la phase dtude, de

recherche, de mise en place et de recette.

2. Les rseaux sans-fil :

Prsentation gnrale : a.

Un rseau sans fil est un rseau o plusieurs terminaux peuvent

communiquer sans avoir besoin dune connexion filaire. Ce type de rseau apporte

une flexibilit dans le sens o lutilisateur reste connect mme sil se dplace.

Cette technologie permet de limiter les cots de mise en place dun rseau,

elle vite tout le cblage, se dploie assez rapidement, et permet de connecter tout

type de terminal ne disposant pas forcment de prise rseau (Smartphones par

exemple). Les rseaux sans fils permettent aussi une grande souplesse dvolution

de par le peu de modifications physiques quengendre le dmnagement du rseau

ou bien le changement de technologie.

Mais les rseaux sans fils prsentent aussi quelques inconvnients comme la

scurit car avec un rseau sans fil, ce nest plus les murs de lentreprise qui

dlimitent les accs mais bien la propagation des ondes qui peuvent parfois tre

captes par des personnes qui ne sont en aucun cas concern par lentreprise ; ou

bien la continuit du signal qui peut tre entrave par les interfrences avec dautres

appareils mettant des ondes.

Le Wi-Fi : b.



Le Wi-Fi est un type de rseau sans-fil qui signifie Wireless-Fidelity, il

regroupe plusieurs normes de rseaux sans-fil : les normes IEEE 802.11. Il permet

de relier des appareils (ordinateur, routeurs) dans un rseau informatique sans

liaison filaire.

Grce au Wi-Fi, nous pouvons mettre en place des rseaux sans-fil trs

haut dbit et scuriss, ce qui permet denvisager leur dploiement au sein des

entreprises.

IEEE 802.11 : c.

IEEE 802.11 est un ensemble de normes sur les rseaux sans-fil, elle se dcompose

de la manire suivante :

- 802 est un standard pour le dploiement des rseaux numriques locaux ou

mtropolitains liaison filaire ou sans-fil.

- 802.1 est la gestion des rseaux.

- 802.10 est la scurisation des changes pour les systmes liaison filaire ou

sans-fil.

- 802.11 sont les spcifications pour l'implmentation de rseaux numriques

locaux liaison sans fil.

Scurit Wi-Fi : d.

Par dfinition les ondes Wi-Fi se propagent hors des murs de lentreprise,

cest pourquoi la scurit dun tel rseau est primordiale pour prvenir des risques

dintrusion de personnes non autorises, de confidentialit des informations qui

circulent et de dtrioration due des attaques sur le rseau. La scurit est donc

un point principal sur lequel il faut tre attentif lors de la mise en place dun rseau

Wi-Fi. Cette scurit est aborde de diffrentes manires au sein des rseaux Wi-Fi :

connexion, authentification, changes.

Le matriel : e.

Pour mettre en place de tels rseaux il faut dfinir le matriel qui va permettre

de transformer les donnes informatiques en signaux radio et inversement. Nous

avons besoin de point daccs (PA) qui nous permettent de passer du rseau filaire

au rseau sans-fil, cest ce type de matriel qui va emmtre les ondes.

Ces points daccs peuvent fonctionner en deux modes diffrents dfinis par lIEEE

802.11, soit en Ad Hoc, soit en Infrastructure :



- Ad Hoc est un mode o les machines sans fils clientes se connectent les unes

aux autres afin de constituer un rseau point point, c'est--dire un rseau dans

lequel chaque machine joue en mme temps le rle de client et le rle de point

d'accs.

- Le mode infrastructure est un mode de fonctionnement qui permet de connecter

les ordinateurs quips d'une carte Wi-Fi entre eux via un ou plusieurs points

d'accs qui agissent comme des concentrateurs. Autrefois, ce mode tait

essentiellement utilis en entreprise. Dans ce cas la mise en place d'un tel rseau

oblige de poser intervalle rgulier des bornes dans la zone qui doit tre

couverte par le rseau. Les bornes, ainsi que les machines, doivent tre

configures avec le mme nom de rseau (SSID : Service Set IDentifier) afin de

pouvoir communiquer. L'avantage de ce mode, en entreprise, est de garantir un

passage oblig par le PA, il est donc possible de vrifier qui accde au rseau.

En revanche, le rseau ne peut pas s'agrandir, hormis en posant de nouvelles

bornes. Actuellement les Fournisseurs dAccs Internet (FAI), les boutiques

spcialises et les grandes surfaces fournissent aux particuliers des routeurs

sans fil qui fonctionnent en mode Infrastructure, tout en tant trs facile

configurer.

Pour larchitecture souhaite nous allons fonctionner sur un mode Infrastructure tant

donn que lensemble de notre rseau nest pas exclusivement sans fil.

3. Exigences techniques :

Rseau disponible pour les visiteurs :

- Tenir compte de la politique de restriction sur laccs aux sites web

(pornographie, tlchargement illgal).

- Offrir la possibilit aux visiteurs de se connecter au rseau de leur entreprise via

un VPN.

- Garantir une scurit optimale du rseau de lentreprise en y tant totalement

spar.

Rseau disponible pour les employs :

- Connexion via le compte Active Directory.

- Connexion invisible pour lutilisateur.

- Offrir les mmes services que le rseau filaire sans manipulation supplmentaire.

- Garantir une scurit optimale en autorisant seulement les comptes employs

sy connecter.

- Scuriser les donnes qui transitent sur le rseau.

- Maintien des rgles de filtrage web en place.


| Organisation du projet : 9

4. Exigences financires :

Aucune exigence financire na t donne en dbut de projet, les budgets

sont accords tout au long du projet selon les besoins. Des runions sont organises

o je prsenterais, avec laide de mon tuteur, ltat davancement du projet et les

ressources financires ncessaires au bon droulement de celui-ci.

V. Organisation du projet :

1. Les diffrentes phases du projet :

Ce projet est organis en six phases :

Etude de lexistant :

Cette phase consiste analyser la solution actuellement en place au sein de

lentreprise afin dtablir les besoins.

Choix de larchitecture mettre en place :

Ici nous allons tudier la meilleure architecture rseau mettre en place pour

optimiser notre rseau et rpondre aux attentes fixes.

Prsentation de la solution la direction :

Cette phase consistera en une runion avec le directeur controlling et IT au

cours de laquelle nous prsenterons la solution trouve, ses avantages et

inconvnient ainsi que les devis associs sa mise en place.

Mise en place du rseau Wi-Fi invits :

Dans cette phase nous allons rechercher diffrentes solutions pour la mise en

place de ce rseau, les comparer, en faire le test pour ensuite dfinir et mettre la

solution mettre en production.

Mise en place du rseau Wi-Fi employs :

Ceci constituera la seconde partie de ce projet, nous allons dfinir et mettre en

place une solution scurise pour lextension du rseau de lentreprise.

Recette :



Cette phase sera une tude des attentes fixes en dbut de projet et des

travaux raliss, ceci nous permettra de dfinir la russite du projet.

2. Organisation des tches :

Etude de lexistant :

- Etude du rseau

- Dfinition des besoins

Choix de larchitecture mettre en place :

- Etude de solution darchitecture rseau

- Analyse des avantages et inconvnients

- Dfinition de larchitecture

Recherche de solutions :

- Comparaison de solutions

- Mise en place de tests

Prsentation de la solution la direction :

- Prsentation des besoins - Argumentations sur la solution propose

- Prsentation des devis

Mise en place du rseau Wi-Fi invits :

- Etudes des diffrentes solutions de portail captif

- Mise en place de test sur deux solutions retenues

- Choix de la solution

- Installation et configuration de la solution

- Rdaction des procdures utilisateurs et administrateurs

- Mise en production.

Mise en place du rseau Wi-Fi employs :

- Etude des diffrents moyens de scurisation du rseau

- Choix des solutions de scurisation du rseau

- Recherche et comparaison de matriels compatibles avec les solutions choisies



- Choix du matriel mettre en place

- Installation et configuration du matriel

- Rdaction des procdures utilisateurs et administrateurs

- Mise en production

Recette :

- Comparaison des attentes fixes avec les objectifs atteint

- Etude de satisfaction auprs des utilisateurs



3. Diagramme de GANTT prvisionnel :


| Droulement du projet : 13

VI. Droulement du projet :

1. Etude de lexistant :

Actuellement nous avons trois rseaux wifi disponibles sur le site :

- RW_Public au troisime tage du btiment scuris par une cl partage WPA.

Ce rseau nest pas reli au rseau interne de lentreprise et est disposition des

employs. Pour son utilisation comme point daccs mobile au rseau de

lentreprise, les employs doivent connecter le client VPN ce qui engendre une

perte de temps qui nest pas forcment la bienvenue lors de runions avec les

clients ou fournisseurs.

- RW_Public2 au deuxime tage est identique au rseau RW_Public.

Architecture Actuelle



Ces deux rseaux ne sont pas disponibles dans tout le btiment, voici une

tude de rception des diffrents rseaux :

Sur le plan suivant nous retrouvons le btiment de la socit, deux zones y sont

reprsentes :

Les zones reprsentent la couverture Wi-Fi actuelle.

Les zones reprsentent les parties du btiment qui ont le plus

besoin dtre couvertes par le rseau sans-fil (salles de runions, bureaux de

la direction).

Les reprsentent les bornes Wi-Fi.



On observe bien que seule une salle de runion prsente une bonne rception du

rseau Wi-Fi

De plus le fait davoir plusieurs rseaux sur le mme canal pose de problmes

de disponibilit, nous constatons des coupures rseaux ce qui engendre encore des

pertes de temps pour les utilisateurs.

Dun point de vue de la scurit, les rseaux wifi RW_Public et RW_Public2

sont relis au rseau de lentreprise par les bornes wifi qui font office de routeurs, les

cls partages WPA sont connues pas lensemble du personnel et donc facilement

utilisables par des personnes trangres la socit.

2. Problmatique :

Toutes ces failles nous poussent donc repenser totalement larchitecture du

rseau Wifi de lentreprise afin daugmenter la disponibilit des rseaux autant pour

les employs que pour les visiteurs qui aujourdhui ont besoin dtre connects en

permanence. Cette refonte devra aussi permettre daugmenter la scurit du rseau

de lentreprise.

3. Choix de larchitecture :

Afin de rendre accessible aux employs toutes les ressources informatiques

du rseau de lentreprise mais aussi doffrir un accs internet aux diffrents visiteurs

transitant dans les salles de runions tout en assurant une scurit optimale des

ressources mises disposition, nous allons mettre en place deux rseaux Wi-Fi

diffrents. Ces deux rseaux Wi-Fi seront spars logiquement par la mise en place

de VLAN : un VLAN dadministration, un VLAN rseau interne et un VLAN rseau

visiteurs.

Dans un premier temps nous allons tudier la mise en place du rseau

Visiteurs scuris via un portail captif, ce rseau devra comprendre un filtrage web

selon la politique de filtrage de lentreprise, pour des raisons de scurit nous

nautoriserons que les protocoles http, https et ftp.

La seconde partie sera consacre au rseau Employs qui lui sera une

extension du rseau local sans fil (WLAN) de lentreprise scuris via un systme

dauthentification reli lannuaire LDAP de la socit.



Architecture Future

4. Mise en place des VLAN :

Gnralits sur les VLAN : a.

Les VLAN (Virtual Local Area Network, Rseau Local Virtuel en franais)

sparent les rseaux physiques de manire logique. Ils permettent une segmentation

du rseau (rduction de la taille d'un domaine de broadcast), une augmentation de la

scurit en crant un ensemble logique isol et une souplesse dadministration car

larchitecture du rseau peut tre modifie par une simple configuration sur les

commutateurs. Le seul moyen pour communiquer entre des machines appartenant

des VLAN diffrents est alors de passer par un routeur.



Il existe trois types de VLAN :

- Un VLAN de niveau 1 (aussi appels VLAN par port, en anglais Port-Based

VLAN) dfinit un rseau virtuel en fonction des ports de raccordement sur le

commutateur ;

- Un VLAN de niveau 2 (galement appel VLAN MAC, VLAN par adresse IEEE ou

en anglais MAC Address-Based VLAN) consiste dfinir un rseau virtuel en

fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus

souple que le VLAN par port car le rseau est indpendant de la localisation de la

station ;

- Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :

Le VLAN par sous-rseau (en anglais Network Address-Based VLAN)

associe des sous-rseaux selon l'adresse IP source des datagrammes.

Ce type de solution apporte une grande souplesse dans la mesure o la

configuration des commutateurs se modifie automatiquement en cas de

dplacement d'une station. En contrepartie une lgre dgradation de

performances peut se faire sentir dans la mesure o les informations

contenues dans les paquets doivent tre analyses plus finement.

Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de

crer un rseau virtuel par type de protocole (par exemple TCP/IP, IPX,

AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le mme

protocole au sein d'un mme rseau.

Mise en place de la nouvelle architecture (Cf Annexe 2) : b.

Dans notre cas nous allons utiliser les VLAN de niveau 1 car nous avons

besoin de sparer les ports des commutateurs afin que seul les personnes habilits

puissent modifier larchitecture, les VLAN de niveau 2 permettent une usurpation

didentit en modifiant ladresse IP dun terminal et les VLAN de niveau 3 prsentent

le mme problme que les VLAN de niveau 2 en plus des ralentissements quils

peuvent occasionner.

La mise en place de VLAN est une tape assez simple, elle consiste crer

trois VLANs sur les commutateurs, affecter les ports des commutateurs aux

diffrents VLANs : pour le rseau visiteurs nous avons besoin de deux ports pour le

serveur pfsense; tous les autres seront affects au VLAN Employs, nous rservons

un VLAN dadministration partir duquel nous administrerons les bornes wifi. Afin

que les bornes puissent recevoir les trois VLANs sur un seul port, il faut mettre en

place un lien trunk taggu sur chacun des trois VLANs, qui va permettre de

transmettre les donnes des trois VLANs. Un routage inter-VLAN sera mis en place



afin de rendre disponible ladministration du serveur pfSense et des bornes Wifi

depuis un VLAN diffrent et laccs internet depuis le VLAN visiteurs.

Architecture des VLANs

5. Le rseau Visiteurs :

Les portails captifs : a.

Le portail captif est un logiciel qui permet de grer lauthentification des

utilisateurs qui souhaitent accder internet. Lors de la mise en place du rseau,

aucune scurit nest active pour sy connecter, ce nest quaprs que la connexion

se fait. Le portail captif va, ds la premire requte http, rediriger le navigateur web

afin dauthentifier lutilisateur, sans quoi aucune demande ne passera au-del du

serveur captif.

Ce systme offre donc une scurit du rseau mis disposition, il permet de

respecter la politique de filtrage web de lentreprise grce un module proxy et

permet aussi grce un firewall intgr dinterdire laccs aux protocoles souhaits.



Mais ce systme prsente tout de mme un inconvnient : une fois que

lutilisateur est authentifi, le portail captif met en place une autorisation pour

ladresse MAC et ladresse IP du PC, leur usurpation par un tiers est assez simple et

prsente une faille dans la scurit du rseau. Cest pourquoi la mise en place dune

dure maximale de connexion est requise, le systme demande donc une nouvelle

fois lauthentification aprs dpassement de ce dlai.

Etudes des solutions : b.

Dans ltude des diffrentes solutions jai mis en vidence plusieurs critres

importants que doivent prendre en compte les diffrentes solutions :

- Scurit des changes lors de lauthentification : pour viter la rcupration de

mot de passe sur le rseau.

- Prsence dune documentation complte : pour assurer la rapidit de mise en

place de la solution.

- Simplicit dadministration : pour permettre diffrentes personnes dadministrer

le logiciel.

- Simplicit dutilisation : pour permettre tous les visiteurs (expriments ou non)

se connecter au rseau Wi-Fi.

- Compatibilit multiplateforme : pour permettre la connexion depuis les

Smartphones et diffrents navigateurs web.

- Prsence de sauvegarde et restauration de configuration : pour permettre un

redmarrage du systme trs rapidement en cas de problmes.

- Prennit de la solution : pour palier au failles de scurit et augmenter les

fonctionnalits de la solution via des mises jour.

- Possibilit de personnaliser la page de connexion : pour adapter le logiciel la

charte graphique de lentreprise et ainsi le rendre plus convivial.

Toutes les solutions tudies sont des solutions libre et gratuites ce qui nous

permet de diminuer le budget de leur mise en place.

PfSense :

pfSense est une distribution FreeBSD dveloppe lors dun projet en 2004,

lobjectif de dpart est dassurer les fonctions de pare-feu et de routeur mais

lengouement gnr par cet applicatif lui a permis dtendre ses fonctionnalits et

prsente maintenant les fonctions de portail captif, serveur proxy

Son installation se fait facilement via une distribution ddie et toutes les

configurations peuvent se faire soit en ligne de commande (SSH) ou bien via

linterface web (HTTPS). La sauvegarde et restauration de configuration est

disponible travers linterface web et permet de gnrer un simple fichier dune taille



raisonnable. Le portail assure une volution constante grce des mises jour

rgulires dont linstallation est gre automatiquement dans une partie du panneau

dadministration.

Cette solution permet une authentification scurise via le protocole HTTPS et

un couple utilisateur / mot de passe.

Une documentation trs complte est disponible sur internet, un support

commercial est dsormais prsent en cas de gros incident. pfSense dispose aussi

dune communaut trs active.

pfSense assure une compatibilit multiplateforme, une personnalisation

complte des pages accessibles par les utilisateurs ainsi quune simplicit

dutilisation grce une page de connexion succincte o on ne retrouve que deux

champs (utilisateur / mot de passe).

Alcasar :

Alcasar est un projet Franais essentiellement ddi aux fonctions de portail

captif, cet applicatif sinstalle via un script support par la distribution Linux Mandriva,

les configurations se font via une interface de gestion scurise (HTTPS) ou bien en

ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la

configuration est prise en charge via la cration dun ghost systme dans le panneau

dadministration, ce qui engendre tout de mme un fichier dune certaine taille. Les

mises jour rgulires assurent la prennit de la solution.

Lauthentification au portail est scurise par HTTPS et un couple utilisateur /

mot de passe.

Une documentation assez complte est disponible pour linstallation et la

configuration et la communaut semble active.

Tout comme pfSense, Alcasar est compatible avec de nombreuses

plateformes, la personnalisation des pages utilisateurs et la simplicit dutilisation son

prsente.

ZeroShell :

ZeroShell est une distribution Linux conue pour mettre en place une scurit

globale au sein dun rseau (Pare-Feu, VPN, portail captif). Son installation est

simple via une distribution ddie.



Elle prsente une interface de gestion web simple dutilisation qui permet

entre autres de sauvegarder la configuration du portail captif ou encore de

personnaliser les pages de connexion et dconnexion dans un diteur HTML intgr.

Cette solution nest encore disponible quen version beta car le projet est en cours de

lancement.

Comme les deux autres solutions la page dauthentification est scuris et la

connexion se fait via un couple utilisateur / mot de passe.

On retrouve assez peu de documentation pour la gestion de systme mais la

communaut lair tout de mme bien prsente.

Son utilisation reste identique aux autres solutions prsentes.

ChilliSpot :

ChilliSpot est un applicatif ddi la gestion de lauthentification sur les

rseaux, son installation est assez simple via un package applicatif disponible sur les

distributions Red Hat et Fedora. La sauvegarde de la configuration est disponible

mais elle implique de copier les fichiers de configuration et donc de les connaitre.

La page de connexion est disponible en HTTPS condition davoir configur

le serveur web (Apache) au pralable en coute sur le port 443.

On retrouve une documentation complte et une communaut assez active,

mais le projet est en rgression, la dernire version stable date doctobre 2006 et le

projet est mis en suspens depuis le dpart du dveloppeur principal.

Lutilisation est la mme que les autres solutions proposes, page de

connexion avec champs utilisateur et mot de passe.

Voici un tableau comparatif de ces quatre solutions :



pfSense 72

Scurit Authentification HTTPS 4 3

Documentation

Trs complte (anglais / franais)

Communaut active / Support commecial

Nombreux Tutoriaux

3 3

Plateformes Clientes Supportes Toutes 3 3

PersonalisationCration de la page web d'authentification

et d'accs refus suivant un modle 1 3

Facilit d'administration

Installation via distribution ddie

Configuration travers page web

o chaque entre est expliqu.

3 3

Facilit d'Utilisation

Page de connexion avec login

et mot de passe et bouton logout

Redirection automatique si non authentifi

5 3

Sauvegarde / Restauration ConfigurationSauvegarde et restauration du fichier de configuration

dans le panel d'administration2 3

Prnit de la solution

4 Versions stables (1.2.1 / 1.2.2 / 1.2.3/2.0)

dernire version mars 2011.

mise jour du portail intgr au panel d'administration

3 3

Alcasar 70


DocumentationComplte (franais) / Communaut active

/ Nombreux Tutoriaux3 3

Plateformes Clientes Supportes Toutes 3 3

PersonalisationModification de la page web d'authentification

et d'accs refus1 3

Facilit d'administrationInstallation via script automatis

Administration travers page web intuitive3 3





5 3

Sauvegarde / Restauration ConfigurationSauvegarde du systme (GHOST)

dans le panel d'administration2 2

Prnit de la solution

Amlioration constante,

v2.0.1 de janvier 2011.

Script de mise jour du portail

intgr au panel d'administration

3 3

Solutions Critres DescriptionPondration

(1-5)

Note

(1-3)Total



ZeroShell 57


Documentation Faible (anglais) / Communaut active 3 2

Plateformes Clientes Supportes Aucune information 3 1

Personalisation Editeur intgr dans panel d'administration 1 3

Facilit d'administrationInstallation via distribution ddie,

configuration travers page web intuitive3 3





5 3

Sauvegarde / Restauration ConfigurationGestion des sauvegarde et restauration

dans panel d'administration2 3

Prnit de la solutionProjet en phase de lancement

seules versions dispo sont des beta 1.0Beta143 1

ChilliSpot 52


Documentation Complet (anglais) / Communaut active 3 1

Plateformes Clientes Supportes Aucune d'information 3 1

PersonalisationModification de la page web d'authentification

et d'accs refus1 3

Facilit d'administrationInstallation via .rpm sur red hat et fedora,

page d'administration intuitive3 3





5 3

Sauvegarde / Restauration ConfigurationSauvegarde et restauration

des fichiers de configuration " la main"2 2

Prnit de la solutionDernire version de octobre 2006,

le dveloppeur principal est parti du projet.3 1



Test des solutions : c.

Suite cette tude nous avons dcid de mettre en test les deux solutions qui

nous semblaient les meilleures : pfSense et Alcasar.

Dans les deux cas je nai eu aucun problme lors de linstallation, les

panneaux dadministration sont assez intuitifs ce qui rends les manipulations plutt

simples. Les deux solutions prsentent quasiment les mmes fonctions concernant le

portail captif et rpondent aussi bien lune que lautre aux exigences fixes.

Pour ces tests jai mis en place la configuration suivante :

- Portail captif avec redirection automatique sur rseau LAN au WAN.

- Serveur pfSense / Alcasar passerelle du LAN au WAN.

- Serveur pfSense / Alcasar serveur DHCP sur le LAN.

- Serveur pfSense / Alcasar filtre web.

- Un client connect via un point daccs Wi-Fi sur le LAN.

Lors de la premire requte internet, le navigateur web du client est redirig

vers la page dauthentification scurise o il lui est demand un utilisateur et un mot

de passe. Une fois le compte (pralablement cr dans la base des comptes sur le

serveur) saisi, le portail redirige automatiquement vers la page demand. Si un

mauvais compte est saisi le portail redirige de nouveau vers la page

dauthentification en affichant un message derreur.

Les tests sur diffrents navigateurs : Opra, Safari, Mozilla Firefox, Internet

Explorer ainsi que les diffrentes plateformes : Windows, MAC, IPhone, Androde,

Linux sont tous concluant, lauthentification se fait sans aucun souci et les

redirections fonctionnent trs bien.

La mise en place du filtrage de protocole fonctionne aussi, nous nautorisons

que les protocoles HTTP, HTTPS et FTP.

Grce aux BlackList disponibles sur les applicatifs, les rgles de filtrage web

se mettent en place trs facilement.

Choix de la solution : d.

Suite aux phases de test nous avons d choisir une solution, les deux

applicatifs rpondent tout fait nos demandes mais nous avons dcid de garder

pfSense pour son cot plus convivial, il prsente une page principale en tableau de

bord o lon retrouve toutes les informations essentielles et que lon peut modifier en



fonction des besoins. Ce produit prsente aussi pour nous une plus grande

assurance car la communaut est trs active et le support peut nous venir en aide en

cas de problme.

Installation et configuration de pfSense (Cf Annexe 3) : e.

pfSense sera install sur une Appliance ddie : un boitier Alix 2D13, Appliance

disposant de trs peu de ressources matrielles.

- Installation :

Linstallation de pfSense est assez simple, elle se fait via une distribution

ddie distribue sur le site de pfSense et un utilitaire distribu par m0n0wall pour

linstallation sur une carte Compact Flash (www.pfsense.org / www.m0n0wall.com).

- Configuration gnrale :

Dans cette partie nous renseignons les paramtres rseau de base du

serveur, ces derniers vont lui permettre de contacter le rseau local et internet

(adresse IP, serveurs DNS, passerelle).

- Cration des certificats :

Afin de permettre une connexion scurise sur le portail captif, la mise en

place de certificats nous permet dassurer au client quil se trouve sur le bon serveur,

les mots de passes sont donc envoys la bonne personne. De plus les certificats

nous permettent de crypter les donnes transmises, ce qui rend difficile le vol de

mots de passe.

- Configuration du serveur DHCP :

Pour que les visiteurs, qui veulent utiliser leurs ordinateurs, ne perdent pas de

temps en configuration, nous mettons en place un serveur DHCP qui va

automatiquement fournir au poste les informations de connexions sur le rseau.

- Configuration du portail captif :

Lorsque les visiteurs seront connects sur le rseau Wi-Fi, ds la premire

demande daccs via un navigateur web, la page sera automatiquement redirige

vers la page de connexion au portail scuris, ce qui permettra lauthentification sur

le rseau et autorisera la personne naviguer sur internet. Les informations de

connexions seront fournies par notre service.



- Configuration sur serveur proxy :

Selon la politique du rseau de lentreprise, un filtrage des sites web sera mis

en place, selon des listes noires gnrales et rgulirement mises jour, les sites

internet de type pornographiques, pdophilie ne seront pas consultables sur le

rseau Wi-Fi.

- Personnalisation des pages web :

Afin dintgrer totalement le portail captif dans le rseau de lentreprise les

pages de connexion seront mises aux couleurs de lentreprise grce un

dveloppement HTLM, PHP, JAVASCRIPT.

Voici un exemple :

- Rdaction dune charte dutilisation :

Pour se prvenir dune utilisation abusive de ce rseau nous avons rdig une

charte dutilisation qui devra tre accepte avant la connexion, sans qui cette

dernire ne sera pas possible.

6. Le rseau Employs :

Scurit : a.

Pour assurer la scurit du rseau nous allons utiliser le Wi-Fi Protected

Access 2 (WPA2 IEEE 802.11i), en implmentant diffrents protocoles qui

permettront de rpondre aux exigences de scurit et de transparence auprs des

utilisateurs.

Authentification des utilisateurs :

Sur le rseau Employs, les utilisateurs doivent obligatoirement tre

authentifis de faon transparente, aucun identifiant ne doit tre demand, cest

pourquoi nous allons utiliser un serveur Radius.

Radius (Remote Authentifiacation Dial-in User Service) est un protocole client-

serveur permettant de centraliser les donnes dauthentification.

Pour sauthentifier, le poste utilisateur transmet une requte daccs un

client RADIUS pour entrer sur le rseau, ce dernier se charge de demander les

informations identifiant lutilisateur (utilisateur & mot de passe). Le client RADIUS

Page de connexion Portail Captif



gnre une requte daccs quil transmet au serveur RADIUS, ce dernier

pralablement coupl avec le service dannuaire va pouvoir aller vrifier les

informations envoyes par le client et ainsi valider ou bien refus laccs.

Scurit de lauthentification :

Afin dassurer lidentit du client auprs du serveur nous utiliserons un

protocole de challenge Microsoft : Microsoft Challenge Handshake Authentication

Protocol Version 2 (MsCHAPv2). Ce protocole permet une authentification mutuelle

entre le client et le serveur. A la demande de connexion le serveur RADIUS envoie

un dfi au client contenant un identificateur de session et une chaine de dfi

arbitraire, le client envoi une rponse contenant : le nom dutilisateur, une chaine de

dfi homologue arbitraire et un chiffrement unidirectionnel de la chaine de dfi reue,

de la chaine de dfi homologue, de lidentificateur de session et du mot de passe

utilisateur. Une fois les informations valides la connexion au rseau peut se faire.

Ce protocole tant sensible aux attaques de dictionnaires, nous implmentons

le protocole Protected Extensible Authentication (PEAP) qui va permettre de crer

un tunnel scuris (TLS) pour lenvoi des donnes dauthentification via EAP et

MSCHAPv2. L'utilisation d'une session TLS dans le cadre d'un PEAP offre les

avantages suivants :

o Elle permet au client d'authentifier le serveur RADIUS ; le client peut

ainsi tablir la session uniquement avec un serveur dtenant un

certificat approuv.

o Elle protge le protocole d'authentification MSCHAP v2 contre la

surveillance des paquets.

o La ngociation de la session TLS gnre une cl pouvant tre utilise

par le client et le serveur RADIUS pour dfinir des cls principales

communes. Les cls permettant de crypter le trafic du rseau local

sans fil sont drives des cls principales.



Scurit des communications :

Pour scuriser les communications sur le rseau WPA2 offre deux types de

chiffrements :

- Temporal Key Integrity Protocol (TKIP) : il permet lauthentification et la protetion

des donnes transitant sur le rseau. Cest une mthode de cryptage. Qui gnre

une cl de paquets, mlange les paquets du message, puis remet les paquets

dans l'ordre pour retrouver l'intgrit du message grce un mcanisme de

triage.

- Advanced Encryption Standard (AES) : cest une mthode de chiffrement

symtrique (chiffrement avec une cl secrte).

TKIP est donc initialement mis en place pour pallier aux diffrents problmes

du chiffrage WEP, il repose sur la mme base de chiffrement qui a rvl ses limites.

AES quant lui est une mthode de chiffrement compltement part qui na pour

linstant pas t cass. De plus TKIP gnrant dynamiquement (quelques minutes

dintervalle entre chaque gnration de cls) des cls de chiffrement peuvent

diminuer les performances alors que lAES na besoin que de trs peu de ressources.

RADIUS EAP

EAP

TLS

EAP 35

AUTHENTIFICATION

RADIUS PEAP MSCHAPv2



Le rseau Wi-Fi Employs utilisera donc la scurit suivante : WPA2

Enterprise AES PEAP/MsCHAPv2.

Mise en place (Cf Annexe 4) : b.

Linstallation du serveur radius se fait via lajout de rles sur nos deux

contrleurs de domaines, tant donn le faible nombre de connexions nous navons

pas besoin de mettre en place un serveur ddi. Une autorit de certification doit tre

installe car nous nutiliserons pas de certificat externe pour la mise en place de

PEAP qui utilise un certificat ct serveur pour garantir son authenticit auprs du

client.

Les bornes Wi-Fi doivent tre rfrences sur le serveur dauthentification afin

dassurer la provenance des connexions. On renseigne un secret qui ne sera connu

que par le point daccs et le serveur.

1. Lorsque l'ordinateur client est proximit du point d'accs sans fil, il tente de se

connecter au rseau sur le point d'accs qui est identifi par son SSID (Service

Set Identifier). Le SSID est le nom du rseau local sans fil. Il est utilis par le client

Fonctionnement WAP2 PEAP MSCHAPv2 et RADIUS



pour identifier les paramtres corrects et le type d'informations d'authentification

utiliser pour ce rseau.

2. Le point d'accs sans fil est configur pour autoriser uniquement les connexions

scurises (authentifies 802.1X). Lorsque le client essaie de s'y connecter, le

point d'accs lance un dfi au client. Le point d'accs configure ensuite un canal

restreint, qui permet au client de communiquer uniquement avec le serveur

RADIUS (bloquant l'accs au reste du rseau). Le serveur RADIUS accepte

uniquement la connexion d'un point d'accs sans fil fiable ; c'est--dire, un point

d'accs configur comme un client RADIUS sur le serveur NPS et qui fournit le

secret partag de ce client RADIUS.

Le client tente d'authentifier le serveur RADIUS via le canal restreint, dans le

cadre de la ngociation PEAP, le client tablit une session TLS (Transport Layer

Security) avec le serveur RADIUS.

Scuris au sein du canal PEAP, le client s'authentifie sur le serveur RADIUS

l'aide du protocole MS-CHAP v2 EAP. Lors de cet change, le trafic du tunnel TLS

est visible uniquement du client et du serveur RADIUS et n'est jamais expos au

point d'accs sans fil.

3. Le serveur RADIUS vrifie les informations d'authentification du client en

consultant l'annuaire. Une fois le client authentifi, le serveur RADIUS regroupe

les informations qui lui permettent de dcider s'il autorise le client utiliser le

rseau local sans fil. Il utilise les informations de l'annuaire (telles que

l'appartenance de groupe) ainsi que les contraintes dfinies dans sa stratgie

d'accs (par exemple, les moments de la journe auxquels l'accs au rseau local

sans fil est autoris) pour accorder ou refuser l'accs au client. Le serveur

RADIUS transmet cette dcision d'accs au point d'accs.

Si l'accs est accord au client, le serveur RADIUS transmet la cl principale du

client au point d'accs sans fil. Le client et le point d'accs partagent alors un

matriel de cl commun qu'ils peuvent utiliser pour crypter et dcrypter le trafic du

rseau local sans fil qui circule entre eux.

Avec WPA, le matriel de cl principale permet de driver les cls de cryptage des

donnes qui sont modifies pour chaque paquet transmis. La fonctionnalit WPA

n'a pas besoin de forcer des rauthentifications frquentes pour assurer la

scurit des cls.

4. Le point d'accs cre alors un pont entre la connexion au rseau local sans fil du

client et le rseau local interne, permettant au client de communiquer librement

avec les systmes du rseau interne. Le trafic circulant entre le client et le point

d'accs est alors crypt.



5. Si le client requiert une adresse IP, il peut alors demander un bail DHCP (Dynamic

Host Configuration Protocol) partir d'un serveur du rseau local. Une fois

l'adresse IP attribue, le client peut commencer communiquer normalement

avec les systmes du reste du rseau.

7. Les Points daccs :

Dfinition du besoin : a.

Afin de mettre en place la configuration expose ci-dessus nous avons besoin de

nouveaux points daccs Wi-Fi intgrant les fonctionnalits et compatibilits

suivantes :

Linterface de gestion scurise via SSL est indispensable pour la

confidentialit des informations dauthentification de ladministrateur.

Interface de gestion en ligne de commande en cas de problme sur le serveur

web de la borne.

WPA2.

AES.

PEAP.

MsCHAPv2.

RADIUS client.

Filtrage par adresse MAC et possibilit de masquer le SSID peuvent assurer

une scurit de premier ordre.

Intgration du PoE (Power Over Ethernet) qui permet de navoir quun seul

cble pour relier la borne.

802.11n pour une meilleure diffusion et un meilleur dbit.

Le support Multi-SSID pour grer les deux rseaux Wi-Fi.

Support du 802.1q pour les VLAN.

Possibilit de supervision via le protocole SNMP (Simple Network

Management Protocol).

Possibilit de mettre en place des logs de connexions pour une meilleure

analyse en cas de problmes.

Etude du matriel : b.

Pour la mise en place du rseau Wi-Fi jai tudi quatre bornes, jai dfini une

pondration pour chacun des critres ce qui me permet de dfinir prcisment la

solution la mieux adapte nos besoins.



Voici un tableau comparatif des diffrentes solutions tudies :

Prix : CHF 388.-

La D-Link DAP-2590 rpond beaucoup de critres pour la configuration

souhaite mais nintgre pas les protocoles PEAP et MsCHAPv2.

Prix : CHF 766.-

La HP E-MSM430 rpond tous les critres de notre configuration future, son

prix assez lev peut tout de mme tre un frein son acquisition.

D-LINK

DAP-2590Fonctionalits (pondration) Note

Interface de gestion scurise (5)

Ligne de commande (telnet et SSH) (3)

WPA2 (5)

AES (5)

Filtre MAC (3)

RADIUS (5)

SSID Cach (3)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v1/2c/3 (3)

Logs (3)

53

HP

E-MSM430 Fonctionalits (pondration) Note



WPA2 (5)

AES (5)

PEAP (5)

MsCHAPv2 (5)

Filtre MAC (3)

RADIUS (5)

SSID Cach (3)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v2c/3 (3)

Logs (3)

63



Prix : CHF 510.-

La Cisco AiroNet 1042 N rpond elle aussi tous les critres demands, son

interface de gestion plus complique pourrait poser problme lors de son intgration.

Prix : CHF 430.-

La Ruckus ZoneFlex 7343, bien quayant de nombreuses fonctionnalits

intressantes (dtection automatique de lenvironnement) que les autres nont pas,

ne rponds pas aux attentes fixes.

CISCO

Aironet 1042 NFonctionalits (pondration) Note



WPA2 (5)

AES (5)

PEAP (5)

MsCHAPv2 (5)

Filtre MAC (6)

RADIUS (5)

SSID Cach (6)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v1/2/2c/3 (3)

Logs (3)

63

Ruckus

ZoneFlex 7343Fonctionalits (pondration) Note



WPA2 (5)

AES (5)

Filtre MAC (3)

RADIUS (5)

SSID Cach (3)

PoE (4)

802.11a/b/g/n (4)

Multi-SSID (5)

VLAN 802.1Q (5)

SNMP v3 (2)

Logs (3)

52



Choix de la solution : c.

Suite la comparaison de toutes ces solutions ainsi qu une runion avec

notre fournisseur il est ressorti que les points daccs E-MSM 430 de HP sont les

plus adapts notre besoin car elles sont compatibles avec toutes les contraintes

de scurisation des rseaux sans-fil, leur avantage par rapport au point daccs

Cisco, dont le classement est identique dans notre tableau de pondration, est

une garantie matrielle vie. De plus notre rseau tant essentiellement form

de matriel du constructeur HP, ces bornes respectent lhomognit matrielle.

Choix de lemplacement des bornes : d.

Afin de couvrir la plus grande partie du btiment et principalement les salles

de runions trois bornes seront installes : la premire lentre du troisime tage

qui couvrira les salles Freelancer et Shine ainsi que les bureaux de la direction, une

seconde dans les bureaux Recherche et Dveloppement ce qui couvrira la salle

Nabucco ainsi que le bureau des commerciaux, enfin la troisime borne sera place

au rez-de-chausse, elle couvrira la salle Don Giovanni ainsi que la rception et les

expditions.

Installation et configuration des bornes (Cf Annexe 5) : e.

La premire tape est la mise en place des informations gnrales,

adresse IP, nom DNS Celle-ci permet la borne wifi daccder au

rseau de lentreprise.

Ensuite jai configur la borne afin quelle ne soit administrable que

depuis le VLAN dadministration. Cette tape renforce la scurit du

rseau car toute personne nayant pas accs au VLAN administration

naura pas accs au paramtres des bornes.

Afin de pouvoir taggu les informations des deux rseaux wifi, jai

configur les deux VLANs dans le point daccs, ceci va permettre

dassigner aux VLANs les diffrents flux dinformations.

Lauthentification tant gre par un serveur externe, jai configur un

profil de connexion afin que la borne sache vers qui se diriger lors dune

demande de connexion. Ladresse ip, le type dauthentification ainsi

que le secret partag ont t ncessaires cette configuration.

Enfin jai cr les deux rseaux wifi en renseignant le type

dauthentification (aucun pour le rseau visiteur et WPA2 RADIUS pour

le rseau employs), le VLAN auquel appartiennent les rseaux, le taux

de transfert minimum



8. Phase de recette du projet

Difficults rencontres : a.

Plusieurs phases du projet ont t difficiles, il a fallu tout dabord comprendre

le fonctionnement des solutions que nous allions mettre en place : portail captif,

serveur proxy, protocoles de scurit Wi-Fi, serveur RADIUS

Une fois ces notions assimiles, lintgration de certains lments ont poss

quelques problmes :

La mise en place du portail captif a t une partie assez complique de par la mise

en place du serveur Proxy et plus prcisment du Filtre Proxy. La distribution ddie,

installe sur une plateforme matrielle utilisant une carte Compact Flash, tait dj

partitionne et sa table ne pouvait pas tre refaite. Il a fallu trouver dans la

configuration du package squidGuard (intgr pfSense) les paramtres pour

modifier lemplacement des bases de donnes pour les listes noires de filtrage qui

prennent de la place et ne pouvait pas tre place sur la partition par dfaut.

Le filtrage dURLs mis en place pose aussi quelques soucis, le proxy en mode

transparent filtre uniquement les requtes en http, toutes les requtes fait en mode

scuris (https) ne sont pas filtres. Par exemple, lapplication Facebook pour

Smartphone ne peut pas tre bloque car elle utilise automatiquement le protocole

scuris https.

Le btiment de la socit tant assez ancien, nous avons eu des problmes

avec la porte des bornes Wi-Fi. Lobjectif principal qui tait de couvrir lintgralit

des salles de runions, le bureau des commerciaux ainsi que celui de la direction est

tout de mme atteint mais le premier tage est trs peu couvert (importance faible :

stock montres et caftria) et le deuxime tage nest qu moiti couvert

principalement cause dune descente de cbles et des murs pais.

Respect des exigences : b.

Techniques :

Suite la mise en place des nouveaux rseaux Wi-Fi jai ralis une nouvelle tude,

voici les rsultats :

Les zones reprsentent la couverture Wi-Fi actuelle.



Les zones reprsentent les parties du btiment qui ont le plus

besoin dtre couvertes par le rseau sans-fil (salles de runions, bureaux de

la direction).

Les reprsentent les bornes Wi-Fi.



Financires :

Les devis proposs la direction ont t accepts, la mise en place de solutions

libres a permis de diminuer les cots du projet.

Le bon de commande est disponible en annexe N4.

Satisfaction des utilisateurs : c.

Une enqute de satisfaction va tre lance auprs des utilisateurs, ceci nous

permettra de valider dfinitivement la prennit du projet.

Elle comprendra les quatre parties importantes pour lutilisateur :

- Simplicit dutilisation.

- Fiabilit.

- Disponibilit.

- Rapidit de traitements des informations demandes.



Respect des dlais : d.

Diagramme de GANTT ralis :


| Conclusion : 41

VII. Conclusion :

1. Professionnelle :

Aujourdhui, les nouveaux rseaux Wi-Fi ont permis de combler de nombreuses failles grce une augmentation de la scurit et une sparation des accs. Ils nous permettent de proposer un accs fiable au rseau autant pour les visiteurs que pour les employs. La rapidit et la simplicit de connexion permettent un gain de temps pour les utilisateurs qui ne doivent plus utiliser le VPN pour accder au rseau interne de lentreprise.

Les visiteurs disposent eux aussi dun accs simple et rapide internet.

2. Personnelle :

La mise en place de ces rseau sans-fil ma permis de gr un projet

denvergure o diffrents aspects du mtier dinformaticien sont reprsents

(prospection, installation, configuration, rdactions de procdures, analyses des

besoins auprs des utilisateurs). Jai pu apprendre le fonctionnement des rseaux

Wi-Fi et des systmes de portail captifs.

Les priodes au centre de formation Ttras mont beaucoup aid, plus

prcisment le module Dploiement-scurit rseaux sans fils qui ma permis de

trouver une solution aux problmes poss par lancien dispositif en place dans

lentreprise.

Enfin, la pratique du mtier qui a t rendue possible par mon entreprise et

plus prcisment mon tuteur ma permis dacqurir des comptences globales dans

le travail dadministrateur rseau, dapprhender plus facilement le contact avec les

utilisateurs et dapprendre ragir face des situations difficiles.


| Bibliographie : 42

VIII. Bibliographie :

http://www.wikipedia.org/ : Dfinition de termes techniques, et documentations sur les

protocoles, outils, et logiciels.

http://www.labo-microsoft.org/ : Informations et aides sur les produits Microsoft.

http://technet.microsoft.com/ : Documentations techniques sur les produits Microsoft.

http://www.pfsense.org/ : Site de la distribution Open Source du mme nom.

http://www.alcasar.info/ : Site du projet de portail captif authentifiant et scuris.

http://www.zeroshell.net/ : Site de la distribution Open Source du mme nom.

http://www.chillispot.info/ : Site du projet de portail captif Open Source.

http://pcengines.ch/ : Fabricant dune plateforme matrielle lgre permettant

dembarquer le portail captif.


| Glossaire : 43

IX. Glossaire :

VLAN

Un VLAN (Virtual Local Area Network ou Virtual LAN, en franais Rseau Local Virtuel) est un rseau local regroupant un ensemble de machines de faon logique et non physique.

WPA

Wi-Fi Protected Access (WPA et WPA2) est un mcanisme pour scuriser les rseaux sans-fil de type Wi-Fi. Il a t cr en rponse aux nombreuses et svres faiblesses que des chercheurs ont trouves dans le mcanisme prcdent, le WEP. WPA respecte la majorit de la norme IEEE 802.11i et a t prvu comme une solution intermdiaire pour remplacer le WEP en attendant que la norme 802.11i soit termine. WPA a t conu pour fonctionner, aprs mise jour de leur micro-logiciel, avec toutes les cartes Wi-Fi, mais pas ncessairement avec la premire gnration des points d'accs Wi-Fi. WPA2 quant lui respecte la norme entire, mais ne peut pas tre implment sur les matriels anciens.

Wi-Fi

Wi-Fi est un ensemble de protocoles de communication sans fil rgis par les normes du groupe IEEE 802.11 (ISO/CEI 8802-11). Un rseau Wi-Fi permet de relier sans fil plusieurs appareils informatiques (ordinateur, routeur, dcodeur Internet, etc.) au sein d'un rseau informatique afin de permettre la transmission de donnes entre eux.

Point dAccs

Installation qui permet un utilisateur de se connecter par une liaison radio (RLAN) en 2,4 GHz ou en 5 GHz un rseau haut dbit par exemple un rseau Ethernet ou un accs ADSL.

Switch

Un commutateur rseau (ou switch, de l'anglais) est un quipement qui relie plusieurs segments (cbles ou fibres) dans un rseau informatique et de tlcommunication et qui permettent de crer des circuits virtuels

Trunk

Les ports d'une liaison qui agrgent le trafic de plusieurs VLANs s'appellent un Trunk . Sur ce type de liaison, le commutateur ajoute des champs supplmentaires dans ou autour de la trame Ethernet. Ils servent notamment distinguer le trafic de VLANs diffrents car ils contiennent entre autres le numro d'identification du VLAN.


| Glossaire : 44

Portail Captif

La technique des portails captifs (captive portal) consiste forcer les clients HTTP d'un rseau de consultation afficher une page web spciale (le plus souvent dans un but d'authentification) avant d'accder Internet normalement.

RADIUS

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des donnes d'authentification.

Active

Directory

Active Directory (AD) est la mise en uvre par Microsoft des services d'annuaire LDAP pour les systmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et d'authentification un rseau d'ordinateurs utilisant le systme Windows.

TLS (Transport Layer Security)

Anciennement nomm Secure Sockets Layer (SSL), cest un protocole de scurisation des changes sur Internet. TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de scurit suivants : - l'authentification du serveur ; - la confidentialit des donnes changes (ou session chiffre) ; - l'intgrit des donnes changes ; - de manire optionnelle, l'authentification ou l'authentification forte

du client avec l'utilisation d'un certificat numrique ; - la spontanit, c'est--dire qu'un client peut se connecter de faon

transparente un serveur auquel il se connecte pour la premire fois ;

- la transparence, qui a contribu certainement sa popularit : les protocoles de la couche d'application n'ont pas tre modifis pour utiliser une connexion scurise par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte un schme http ou https.

-

802.1X

802.1X est un standard li la scurit des rseaux informatiques, mis au point en 2001 par l'IEEE (famille de la norme IEEE 802). Il permet de contrler l'accs aux quipements d'infrastructures rseau (et par ce biais, de relayer les informations lies aux dispositifs d'identification).

Documents

Mémoire FB