Upload
emma-effa
View
59
Download
0
Embed Size (px)
Citation preview
CONSERVATOIRE NATIONAL DES ARTS ET METIERSCENTRE REGIONAL RHNE-ALPES CENTRE D'ENSEIGNEMENT DE GRENOBLE
MEMOIREprsent par David ROUMANET en vue d'obtenir
LE DIPLME D'INGENIEUR C.N.A.M.en INFORMATIQUE
NOMADISME ET SCURITSUR LES RSEAUX INFORMATIQUES
Soutenu le 15 dcembre 2005
JURY Prsidente : Mme Vronique Donzeau-Gouge Membres : M. Eric Gressier M. Jean-Pierre Giraudin M. Andr Plisson M. Andrzej Duda M. Eric Jullien
CONSERVATOIRE NATIONAL DES ARTS ET METIERSCENTRE REGIONAL RHNE-ALPES CENTRE D'ENSEIGNEMENT DE GRENOBLE
MEMOIREprsent par David ROUMANET en vue d'obtenir
LE DIPLME D'INGENIEUR C.N.A.M.en INFORMATIQUE
NOMADISME ET SCURITSUR LES RSEAUX INFORMATIQUES
Soutenu le 15 dcembre 2005
Stage ralis au sein du Dpartement Rseau de la Direction des Systmes d'Information de Grenoble Universit sous la responsabilit de Mr JULLIEN Eric, responsable adjoint du Dpartement Rseau.
Mes remerciements :Durant ce stage, j'ai pu voluer dans un environnement trs instructif et dont le cadre ouvert m'a permis d'obtenir tous les renseignements et toute l'aide dont j'avais besoin. Cette anne de travail au sein du CICG restera une exprience trs bnfique pour moi. Je tiens remercier particulirement :
Le CNAM qui facilite l'acquisition de comptences et permet de nombreuses personnes engages en entreprise de poursuivre leurs tudes. Christian LENNE qui m'a accueilli dans son dpartement et auquel je suis reconnaissant d'un sujet passionnant au sein du CICG. ric JULLIEN, qui s'est beaucoup investi dans son rle de tuteur, et dont les suggestions, les conseils et le positivisme m'ont beaucoup aid. Tous les membres du dpartement rseau du CICG qui, chacun dans leur domaine, m'ont apport une aide pour la ralisation pratique de mon projet (notamment Raoul DORGE, Patrick PETIT, Jean-Luc DEMOISSON, Philippe BEUTIN et David RIDEAU). Les membres du jury qui consacrent une grande partie de leur temps aux auditeurs du CNAM, notamment pour les preuves de mmoire et de probatoire. Ma femme Batrice pour m'avoir motiv continuer mon cursus ingnieur puis m'avoir encourag dans les moments difficiles ainsi que mes fils qui m'ont permis de relativiser les problmes : je leur ddie ce mmoire. Les diffrentes communauts "Wi-Fi Grenoble", "Wi-Fi CRU", "ARREDU", "FreeRADIUS" et en particulier Rok PAPEZ du rseau slovne ARNES pour son aide prcieuse dans le projet de connexion au rseau EDURoam. Les dveloppeurs "Open Office" pour les diffrentes aides et amliorations d'applications sur la version beta (dont certaines corrections ont t spcialement intgres dans la roadmap 2.0 pour moi !).
TABLE DES MATIRES1 INTRODUCTION.....................................................................................................................................1 2 NOTIONS FONDAMENTALES.............................................................................................................. 3 2.1 Dfinitions........................................................................................................................................3 2.1.1 Dfinitions lies au nomadisme....................................................................................... 3 2.1.1.1 Nomadisme......................................................................................................................4 2.1.1.2 Itinrance (roaming).........................................................................................................4 2.1.1.3 Mobilit............................................................................................................................ 4 2.1.1.4 Handover.........................................................................................................................4 2.1.1.5 ASFI ................................................................................................................................4 2.1.1.6 Wi-Fi................................................................................................................................ 5 2.1.2 Dfinitions lies la scurit........................................................................................... 5 2.1.2.1 Scurit............................................................................................................................5 2.1.2.2 Identification.....................................................................................................................5 2.1.2.3 Authentification (authentication)...................................................................................... 5 2.1.2.4 Autorisation......................................................................................................................6 2.1.2.5 Accounting.......................................................................................................................6 2.1.2.6 Cryptologie.......................................................................................................................6 2.2 Constats sur le nomadisme informatique........................................................................................7 2.2.1 Statistiques et volutions................................................................................................. 7 2.2.2 Rcapitulatif..................................................................................................................... 9 2.3 Rpercussions sur la scurit....................................................................................................... 10 2.3.1 Attaques des rseaux classiques.................................................................................. 11 2.3.1.1 Attaques externes..........................................................................................................11 2.3.1.2 Attaques par ingnierie sociale..................................................................................... 11 2.3.1.3 Attaques par infection....................................................................................................12 2.3.2 Attaques des rseaux sans fil........................................................................................ 12 2.3.2.1 War-driving.................................................................................................................... 12 2.3.2.2 War-chalking..................................................................................................................13 2.3.2.3 Brouillage.......................................................................................................................13 2.3.2.4 Arp-poisoning ................................................................................................................13 2.4 Conclusion.....................................................................................................................................13 3 CAHIER DES CHARGES.....................................................................................................................15 3.1 Dfinition de l'environnement........................................................................................................15 3.1.1 Rles du CICG............................................................................................................... 15 3.1.2 Dpartement rseau...................................................................................................... 16 3.1.3 Prsentations des rseaux dploys............................................................................. 17 3.1.3.1 Rseau TIGRE.............................................................................................................. 17 3.1.3.2 Rseau AMPLIVIA.........................................................................................................18 3.1.3.3 Rseau RENATER........................................................................................................18 3.1.3.4 Rseau GEANT.............................................................................................................19 3.1.3.5 Rseaux relationnels.....................................................................................................20 3.1.3.5.a TERENA............................................................................................................... 20 3.1.3.5.b EDUROAM.............................................................................................................20 3.2 Analyses et classifications.............................................................................................................21 3.2.1 Classification des utilisateurs......................................................................................... 21 3.2.2 Classification des quipements..................................................................................... 22 3.2.3 Classification des accs gographiques........................................................................ 23 3.2.4 Conclusion des analyses............................................................................................... 24 3.3 Description de l'architecture d'origine............................................................................................24 3.3.1 Architecture VPN interuniversitaire................................................................................ 24
i
3.3.2 Fonctionnement de l'architecture................................................................................... 25 3.4 Spcifications des besoins............................................................................................................26 3.4.1 Description des contraintes............................................................................................27 3.4.1.1 Contraintes techniques..................................................................................................27 3.4.1.1.a Contraintes de la solution VPN..............................................................................27 3.4.1.1.b Contraintes de l'architecture rseau......................................................................27 3.4.1.2 Contraintes lgislatives..................................................................................................28 3.4.1.3 Contraintes collectives...................................................................................................28 3.4.2 Description des besoins................................................................................................. 29 3.4.2.1 Utilisation "simplifie".....................................................................................................30 3.4.2.2 Utilisation "tendue".......................................................................................................30 3.4.2.3 Salubrit des postes......................................................................................................30 3.4.2.4 Rsum des besoins.....................................................................................................314 NORMES ET INFORMATIONS............................................................................................................33 4.1 Nomadisme et mobilit..................................................................................................................33 4.1.1 Modles de rseaux.......................................................................................................33 4.1.2 Normes communes........................................................................................................ 35 4.1.2.1 Norme IEEE 802.1q.......................................................................................................35 4.1.2.2 Norme IEEE 802.1x.......................................................................................................36 4.1.3 Normes rseaux filaires................................................................................................. 38 4.1.3.1 Rseaux point--point et multipoint...............................................................................38 4.1.3.2 Ethernet......................................................................................................................... 39 4.1.3.3 Accs via rseau tlphonique......................................................................................40 4.1.3.3.a RTC........................................................................................................................40 4.1.3.3.b DSL........................................................................................................................40 4.1.4 Normes rseaux sans fil................................................................................................ 41 4.1.4.1 Modulations et codages.................................................................................................41 4.1.4.1.a Modulation d'amplitude (Amplitude Modulation)....................................................42 4.1.4.1.b Modulation de frquence (Frequency Modulation)................................................42 4.1.4.1.c Modulation de phase (Phase Modulation)............................................................. 42 4.1.4.1.d Modulations et symboles....................................................................................... 43 4.1.4.2 Distances et interfrences.............................................................................................43 4.1.4.2.a Distances...............................................................................................................44 4.1.4.2.b Interfrences..........................................................................................................44 4.1.4.3 Etalement de spectre.....................................................................................................45 4.1.4.3.a FHSS .................................................................................................................... 45 4.1.4.3.b DSSS.....................................................................................................................45 4.1.4.4 Rseaux sans fil 802.11................................................................................................ 46 4.1.4.4.a Gnralits sur le standard 802.11....................................................................... 47 4.1.4.4.b Spcifications du standard 802.11........................................................................ 47 4.1.4.4.c Fonctionnement du standard 802.11.....................................................................49 4.2 Scurit......................................................................................................................................... 52 4.2.1 Chiffrement.....................................................................................................................53 4.2.1.1 Algorithmes chiffrement symtrique........................................................................... 53 4.2.1.1.a RC4........................................................................................................................53 4.2.1.1.b DES........................................................................................................................53 4.2.1.1.c AES-Rijndael..........................................................................................................54 4.2.1.2 Algorithmes chiffrement asymtrique......................................................................... 54 4.2.1.3 Fonctions de hachage et de signature.......................................................................... 55 4.2.1.3.a Fonction de hachage............................................................................................. 55 4.2.1.3.b Fonction de signature lectronique....................................................................... 56 4.2.2 Authentification, Autorisation et accounting................................................................... 56 4.2.2.1 Diffrentes mthodes d'authentification........................................................................ 56 4.2.2.1.a Mot de passe......................................................................................................... 57 4.2.2.1.b One Time Password.............................................................................................. 57 4.2.2.1.c Biomtrie................................................................................................................57
ii
4.2.2.1.d Carte puce.......................................................................................................... 57 4.2.2.1.e Single Sign On.......................................................................................................58 4.2.2.2 Autorisation et traces (AAA).......................................................................................... 58 4.2.2.2.a Architecture AAA................................................................................................... 58 4.2.2.2.b Gestion de droits et journalisation......................................................................... 59 4.2.2.2.c RADIUS..................................................................................................................59 4.2.2.3 Structure d'autorit de certification................................................................................60 4.2.3 Tunnels et Rseaux Virtuels Privs............................................................................... 62 4.2.3.1 SSL, TLS et SSH (Secure SHell).................................................................................. 62 4.2.3.1.a SSL/TLS.................................................................................................................62 4.2.3.1.b SSH........................................................................................................................62 4.2.3.2 IPSec (Internet Protocol Secure)...................................................................................63 4.2.3.2.a AH (Authentication Header)...................................................................................64 4.2.3.2.b ESP (Encapsulating Security Paiload).................................................................. 64 4.2.3.2.c Fonctionnement d'IPSec........................................................................................64 4.2.3.3 PPTP (Point to Point Tunneling Protocol)..................................................................... 65 4.2.3.4 EAP................................................................................................................................65 4.2.3.4.a EAP-TLS................................................................................................................67 4.2.3.4.b EAP-TTLS et EAP-PEAP.......................................................................................68 5 SOLUTIONS ET DPLOIEMENT.........................................................................................................71 5.1 Les lments de rponse..............................................................................................................71 5.1.1 Solution "simplifie" sans configuration cliente.............................................................. 71 5.1.2 Solution "tendue" avec installation d'un logiciel tiers................................................... 71 5.1.3 Elment commun aux deux solutions............................................................................ 72 5.2 Services d'authentification.............................................................................................................72 5.2.1 Evaluation de solutions.................................................................................................. 72 5.2.1.1 Steel Belted Radius (Funk Software Inc.)..................................................................... 72 5.2.1.2 Microsoft IAS (Microsoft)............................................................................................... 73 5.2.1.3 Radiator (OSC)..............................................................................................................73 5.2.1.4 FreeRADIUS (Alan DEKOK)......................................................................................... 74 5.2.1.5 Rsum des solutions values....................................................................................74 5.2.2 Choix de la solution........................................................................................................74 5.2.3 Installation et configuration d'un serveur FreeRADIUS................................................. 75 5.2.3.1 Installation de base........................................................................................................75 5.2.3.1.a Utilisation de SSH..................................................................................................75 5.2.3.1.b Installation de FreeRADIUS...................................................................................76 5.2.3.2 Configuration de base................................................................................................... 76 5.2.3.3 Configuration avance...................................................................................................77 5.3 Portails captifs...............................................................................................................................79 5.3.1 Squid et fonction de routage politique............................................................................79 5.3.1.1.a SQUID....................................................................................................................80 5.3.1.1.b Routage politique...................................................................................................80 5.3.1.2 Avantages......................................................................................................................80 5.3.1.3 Inconvnients.................................................................................................................80 5.3.1.4 Conclusion sur SQUID et sur le routage politique.........................................................80 5.3.2 M0n0wall et pfSense......................................................................................................81 5.3.2.1 Installation et configuration............................................................................................81 5.3.2.2 Avantages......................................................................................................................82 5.3.2.3 Inconvnients.................................................................................................................83 5.3.2.4 Conclusion sur m0n0wall...............................................................................................83 5.3.3 Talweg............................................................................................................................83 5.3.3.1 Installation et configuration............................................................................................84 5.3.3.2 Avantages......................................................................................................................85 5.3.3.3 Inconvnients.................................................................................................................85 5.3.3.4 Conclusion sur Talweg.................................................................................................. 85 5.3.4 Conclusion..................................................................................................................... 85
iii
5.4 Rseaux Virtuels Privs................................................................................................................ 86 5.4.1 VPN + Portail SSL F5 Networks.................................................................................... 87 5.4.1.1 Installation et configuration............................................................................................87 5.4.1.2 Avantages......................................................................................................................88 5.4.1.3 Inconvnients.................................................................................................................88 5.4.1.4 Conclusion sur un VPN F5 Networks............................................................................ 89 5.4.2 VPN + Portail Cisco 3030.............................................................................................. 89 5.4.2.1 Avantages......................................................................................................................90 5.4.2.2 Inconvnients.................................................................................................................90 5.4.2.3 Conclusion sur un VPN Cisco 3030.............................................................................. 90 5.4.3 Solution WPA................................................................................................................. 90 5.4.3.1 Partie client (supplicant)................................................................................................ 91 5.4.3.2 Partie point d'accs (authenticator)...............................................................................92 5.4.3.3 Partie serveur................................................................................................................ 93 5.4.3.4 Avantages......................................................................................................................95 5.4.3.5 Inconvnients.................................................................................................................95 5.4.3.6 Rsum et conclusion sur WPA....................................................................................96 5.4.4 Architecture finale dploye...........................................................................................96 5.4.4.1 Capacits de l'architecture............................................................................................ 96 5.4.4.2 Intgration des diffrentes solutions..............................................................................97 5.5 Salubrit de poste..........................................................................................................................99 5.5.1 Objectifs......................................................................................................................... 99 5.5.2 Moyens...........................................................................................................................99 5.5.3 Problmes rencontrs.................................................................................................. 100 5.6 Gestion du projet.........................................................................................................................100 5.6.1 Droulement du projet................................................................................................. 100 5.6.2 Organisation des ides................................................................................................ 101 5.6.3 Communication............................................................................................................ 102 5.6.3.1 Communication interne................................................................................................102 5.6.3.2 Communication externe...............................................................................................103 6 CONCLUSION ET PERSPECTIVES..................................................................................................105 6.1 Prennit de la solution VPN...................................................................................................... 105 6.2 Validit des solutions dployes.................................................................................................105 6.3 Perspectives mergeantes..........................................................................................................105 6.3.1 Perspectives sur l'authentification................................................................................105 6.3.2 Perspectives sur la protection...................................................................................... 106 6.3.3 Perspectives sur les autorisations............................................................................... 106 6.4 Projections...................................................................................................................................107 7 ANNEXES...........................................................................................................................................109 7.1 Les standards PKCS...................................................................................................................109 7.2 Les groupes de travail de l'IEEE................................................................................................. 110 7.3 Valeurs de frquences et puissance d'mission......................................................................... 110 7.4 Principe de l'talement de spectre.............................................................................................. 111 7.5 Diffrences et similitudes entre protocoles VPN.........................................................................111 7.6 Script d'accounting......................................................................................................................112 7.7 Extraits de la notice de configuration du rseau STAR...............................................................117 8 ACRONYMES.....................................................................................................................................119 9 INDEX LEXICAL.................................................................................................................................121 10 BIBLIOGRAPHIE..............................................................................................................................123
iv
INDEX DES ILLUSTRATIONSIllustration 1: Rpartition des fonctions mobiles en entreprise........................................................... 7 Illustration 2: quipement des personnes mobiles en entreprise (2004)........................................... 8 Illustration 3: Principaux freins au dveloppement des rseaux mobiles...........................................8 Illustration 4: Nombre de "hotspots" dploys....................................................................................9 Illustration 5: Symboles utiliss dans le war-chalking...................................................................... 13 Illustration 6: Organigramme du CICG............................................................................................. 16 Illustration 7: Logo du CICG et nouveau logo DSIGU...................................................................... 16 Illustration 8: Dorsale haut dbit Metronet........................................................................................17 Illustration 9: Schma logique du rseau TIGRE............................................................................. 18 Illustration 10: Le rseau Renater.................................................................................................... 19 Illustration 11: tendue du rseau relationnel EDURoam (27 juillet 2005)...................................... 21 Illustration 12: Architecture Wi-Fi et VPN de Grenoble Universits................................................. 25 Illustration 13: Les tunnels interuniversitaires.................................................................................. 26 Illustration 14: Statistiques virales du 1er semestre 2005................................................................ 31 Illustration 15: Les couches OSI et TCP/IP...................................................................................... 34 Illustration 16: Fonctionnement des rseaux locaux virtuels............................................................35 Illustration 17: Insertion champs VLAN dans une trame Ethernet................................................... 36 Illustration 18: Fonctionnement du protocole 802.1x....................................................................... 37 Illustration 19: Le standard 802.1x et ses protocoles....................................................................... 37 Illustration 20: Trame 802.1x............................................................................................................37 Illustration 21: Les couches EAP......................................................................................................38 Illustration 22: Les topologies filaires............................................................................................... 39 Illustration 23: Mcanisme CSMA/CD.............................................................................................. 40 Illustration 24: Spectre de frquences et longueurs d'ondes........................................................... 41 Illustration 25: Les diffrentes modulations...................................................................................... 42 Illustration 26: Extrait d'un datasheet d'un composant lectronique................................................ 43 Illustration 27: Dbits en fonction de la distance en 802.11............................................................. 44 Illustration 28: Les diffrentes perturbations des ondes...................................................................45 Illustration 29: talement de spectre................................................................................................ 45 Illustration 30: Les diffrentes familles de rseaux sans fil.............................................................. 46 Illustration 31: Logo Wi-Fi, BlueTooth et Wi-Max............................................................................. 46 Illustration 32: Chevauchement des frquences en 802.11b/g........................................................ 48 Illustration 33: Exemple de rpartition de canaux............................................................................ 49 Illustration 34: Les couches du standard 802.11..............................................................................49 Illustration 35: Les diffrents modes de connexion 802.11.............................................................. 50 Illustration 36: Protection de communication entre les points d'accs............................................. 50 Illustration 37: Problme de dtection de collision en 802.11.......................................................... 51 Illustration 38: Fonctionnement de CSMA/CA..................................................................................51 Illustration 39: Fonctionnement d'un algorithme de chiffrement symtrique.................................... 53 Illustration 40: Fonctionnement d'un algorithme de chiffrement asymtrique.................................. 55 Illustration 41: Fonctionnement d'un mcanisme de hachage......................................................... 55 Illustration 42: Les deux modles d'architecture AAA...................................................................... 58 Illustration 43: Symbole cadenas pour le protocole HTTPS (navigateur IE 6)................................. 60 Illustration 44: Structure typique d'une IGC (cf. www.securiteinfo.com).......................................... 61 Illustration 45: Redirection de ports avec SSH.................................................................................63 Illustration 46: Les modes transport et tunnel d'IPSec..................................................................... 63 Illustration 47: Structure de l'en-tte AH...........................................................................................64 Illustration 48: Structure de l'en-tte ESP........................................................................................ 64 Illustration 49: VPN PPTP................................................................................................................ 65 Illustration 50: VPN IPsec.................................................................................................................65 Illustration 51: Format de trame EAP............................................................................................... 65 v
Illustration 52: Authentification EAP-TLS......................................................................................... 67 Illustration 53: Authentification EAP-TTLS....................................................................................... 68 Illustration 54: Interface de Steel Belted Radius.............................................................................. 73 Illustration 55: Interface d'IAS de Microsoft...................................................................................... 73 Illustration 56: PuTTY, interface de configuration/connexion........................................................... 76 Illustration 57: Synoptique de fonctionnement FreeRADIUS........................................................... 77 Illustration 58: Logo du projet STAR................................................................................................ 78 Illustration 59: Extrait d'une prsentation du systme STAR........................................................... 79 Illustration 60: Fonctionnement du routage politique (policy routing)...............................................80 Illustration 61: Architecture typique m0n0wall.................................................................................. 81 Illustration 62: M0n0wall, panneau de configuration........................................................................ 82 Illustration 63: Architecture Talweg.................................................................................................. 83 Illustration 64: Exemple de r-criture de liens sous Talweg........................................................... 84 Illustration 65: VPN IPSec et VPN SSL............................................................................................86 Illustration 66: Firepass, interface de configuration..........................................................................87 Illustration 67: Portail utilisateur sur Firepass 1000......................................................................... 88 Illustration 68: Cisco VPN 3030, interface de configuration............................................................. 89 Illustration 69: Premire maquette : tests EAP-TTLS...................................................................... 91 Illustration 70: SecureW2, interface de configuration.......................................................................91 Illustration 71: SecureW2, interface de connexion........................................................................... 91 Illustration 72: Configuration des lments de la chane EAP-TTLS............................................... 92 Illustration 73: Cisco AP-1100, interface web de configuration........................................................ 93 Illustration 74: Principe de fonctionnement du script Perl................................................................ 94 Illustration 75: Rsultats visibles dans la table 'ACCOUNTING'...................................................... 95 Illustration 76: Architecture STAR interuniversitaire finale............................................................... 98 Illustration 77: Progression du travail dans le temps......................................................................100 Illustration 78: Gestion de projet par diagramme de Gantt............................................................ 101 Illustration 79: Cycle de la roue de Deming....................................................................................101 Illustration 80: Organisation d'ides... le projet au dbut de l'tude...............................................102 Illustration 81: Exemple de "weblog" employ pour le projet STAR...............................................104 Illustration 82: Principe de l'talement de spectre.......................................................................... 113
INDEX DES TABLESTableau 1: Lieux et mobilit............................................................................................................... 9 Tableau 2: Localisation et usage des services.................................................................................23 Tableau 3: Profils type de l'ensemble des utilisateurs..................................................................... 24 Tableau 4: Table des fonctionnalits par besoins............................................................................ 32 Tableau 5: Le modle ISO............................................................................................................... 34 Tableau 6: Echelle de qualit de signal............................................................................................44 Tableau 7: Les amendements du standard 802.11..........................................................................47 Tableau 8: Les principales diffrences de transmission 802.11...................................................... 48 Tableau 9: Dbits constats avec deux stations 802.11b (source IMAG-LSR)............................... 52 Tableau 10: Points forts des diffrents algorithmes utiliss avec EAP............................................ 66 Tableau 11: Tableau rsumant les diffrentes solutions values.................................................. 74 Tableau 12: Tableau comparatif des solutions portails captifs........................................................ 85 Tableau 13: Tableau rcapitulatif de l'architecture mixte................................................................. 97 Tableau 14: Les standards PKCS.................................................................................................. 111 Tableau 15: Les groupes de travail de l'IEEE 802......................................................................... 112 Tableau 16: Frquences et puissances d'mission 802.11........................................................... 112 Tableau 17: Les diffrents protocoles VPN (niveau 2 et 3)............................................................113 vi
vii
Chapitre 1 - INTRODUCTION
1 INTRODUCTIONL'volution de l'informatique durant les trente dernires annes est alle croissante : les transistors ont remplac les lampes, les circuits imprims ont rduit les cblages, les rseaux ont modifi les approches centralises et Internet est devenu un continent virtuel incontournable. Durant cette volution, il n'a pas t facile de dterminer si c'est la technique qui a fait progresser les mthodes de travail, l'inverse ou les deux la fois. Le constat actuel montre seulement que nous ne sommes que dans une tape transitoire dans l'emploi de ces technologies : L'ENIAC1 et ses 19 000 tubes reprsentent l're prhistorique de cette plante virtuelle mais l'intgration des circuits intgrs et la convergence des technologies (comme la vido-confrence, les rseaux sans fils, la biomtrie, l'analyse vido, etc) n'ont pas encore fini de progresser. Dans ce contexte, l'Homme vit dans un monde en perptuelle mutation et cherche adapter son mode de vie l'volution des mthodes de travail. Dans un prsent o les contrats d'embauche prcisent que le lieu de travail est une rgion voire mme un pays, la technologie devient un moyen de garder un lien, une attache avec ses proches : train grande vitesse, tlphone mobile, courrier lectronique, vido-confrence... Cette technologie nous rend aussi esclave du temps et du travail : envoi de rapports depuis la maison, saisie de commandes et consultation des stocks en temps rel pour garantir un dlai aux clients, supervision permanente de structures (astreintes)... telles sont les contre-parties que la technologie mobile apporte l'Homme itinrant. Dsormais dans l're des services, l'Homme sdentaire de l're industrielle devenu une sorte de "cro-magnon" a fait place un homo-sapiens capable de se dplacer, de voyager, de parcourir des distances importantes tout en restant en liaison permanente avec son entourage. Dans ce cadre, ce mmoire a pour objectif de mieux comprendre ce qu'est le nomadisme en informatique et de trouver des solutions aux problmes de scurit que l'itinrance implique dans un contexte interuniversitaire. Pour cela, la premire partie s'attache dcrire les notions essentielles la comprhension de cette volution, le vocabulaire employ et ses rpercussions. La seconde partie dfinit le cadre de travail et les spcifications propres aux universits de Grenoble. Ensuite, nous prsentons les normes techniques existantes sur lesquelles s'appuient les communications mobiles et les scurits associes. Enfin la recherche et la mise en uvre des solutions testes dans le cadre du CICG sont dtailles. Le dploiement de l'architecture finalement adopte au sein du rseau interuniversitaire est dcrite et justifie.
1
ENIAC : Electronic Numerical Integrator and Computer, premier ordinateur au monde fonctionnant lampes et conu en 1946, il pse 30 tonnes pour une surface occupe de 72m.
Page 1
Chapitre 2 - Notions fondamentales
2 NOTIONS FONDAMENTALESL'informatique est passe d'un modle centralis (entre 1950 et 1975) un modle rparti ( partir de 1974 avec l'arrive d'Apple). C'est toutefois un nouveau modle qui existe aujourd'hui avec la mobilit. En effet, si les tlphones cellulaires ont ouvert la voie avec la transmission de paroles, c'est la transmission des donnes et des services associs qui dveloppe la mobilit informatique :
golocalisations et tlguidages en temps rel, rservations d'htels ou de transports "en ligne"2, transactions boursires toute heure et en tout lieu, mtorologie, ventes en ligne, gestion de stocks en direct, travaux collaboratifs, ENT3, calendriers partags...
Les dplacements reprsentent un temps considrable souvent perdu sur de longs trajets (avion, bateau, train) et les runions ne permettent pas toujours le partage immdiat d'informations. Rendre les quipements informatiques capables de fonctionner lors de dplacements comme s'ils taient relis en permanence au rseau de l'entreprise est un dfi technique dont l'aboutissement se traduit par un gain de performance. La technologie est heureusement l pour rpondre ce dfi : toutefois, l'volution rapide des besoins et la rsolution des problmes de manire ponctuelle conduisent les fabricants crer de nouveaux concepts et de nouveaux termes. Parfois il s'agit simplement de la dviation d'un terme connu, d'autres fois c'est l'utilisation de termes anglais. Ce chapitre a pour objectif de clarifier le domaine du nomadisme et de la scurit afin que les lecteurs aient la mme vision quelques soient leurs domaines de travail (tlcommunications ou rseaux par exemple). Aprs la description de plusieurs termes utiles, nous verrons qui sont les utilisateurs nomades et nous proposons un classement bas sur les usages des outils nomades et finalement mettons en exergue quels sont les blocages l'expansion du nomadisme informatique.
2.1 DfinitionsEn informatique, les termes sont souvent utiliss par abus de langage. De nombreux articles emploient des mots dont la signification n'est pas exacte voire compltement fausse. Gnralement, les abrviations les plus connues sont anglaises mais certains documents utilisent l'abrviation franaise ce qui peut porter confusion : un RVP signifie un "point de rendez-vous" chez les anglo-saxons mais un "rseau priv virtuel" en France. De plus, les interprtations des termes ne sont parfois pas identiques. Cette section a pour objet de dfinir les termes et abrviations employs dans ce mmoire et dtailler les abus de langage qui sont parfois utiliss.
2.1.1 Dfinitions lies au nomadismeCette section couvre les termes utiliss dans ce rapport avec les dfinitions originales et celles redfinies par les utilisateurs, concernant les technologies sans fil.
2 3
Lorsqu'on est connect un rseau. ENT : Environnement Numrique de Travail.
Page 3
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
2.1.1.1 Nomadisme
L'encyclopdie Microsoft Encarta donne comme dfinition du nomadisme :"nomadisme, mode de vie des populations non sdentaires, caractris par des dplacements cycliques ou priodiques afin dassurer leur subsistance". Il est vrai que la population active est souvent amene dans le cadre du travail se dplacer pour toutes sortes de motifs qui seront numrs plus loin. Dans ce rapport, le terme nomadisme dfinit le mode de vie des personnes qui lors de leurs dplacements, doivent imprativement se connecter un rseau informatique. Il englobe les notions d'itinrance et de mobilit.2.1.1.2 Itinrance (roaming)
Traduction du mot anglais "roaming", le terme "itinrance" n'existe pas dans les dictionnaires franais actuels (Larousse, Petit Robert...). Il s'agit d'un terme driv du mot itinrant qui signifie "qui va d'un lieu un autre pour accomplir sa tche". Toutefois, dans sa partie tlcommunication, le grand dictionnaire terminologique de l'Office Qubcois de la langue franaise4 dfinit l'itinrance comme une "fonction relie un systme de tlphonie cellulaire, qui consiste permettre l'abonn d'un rseau d'utiliser son appareil dans une zone autre que celle o il a t enregistr, mais dans laquelle il peut tre localis.". Par consquent, l'itinrance est employe dans ce rapport pour les systmes informatiques dont les fonctions permettent un utilisateur de se connecter son systme d'information partir d'un autre rseau.2.1.1.3 Mobilit
Si en tlphonie, le terme itinrance est plus facilement utilis, en informatique et rseau c'est le terme mobilit qui est le plus frquemment employ. On rencontre ce terme en entreprise dans l'expression "mobilit gographique", qui traduit la capacit de changer de lieu de travail tout en restant dans la mme socit. Dans ce mmoire "mobilit" est utilis comme tant la capacit d'un quipement de changer de rseau dans l'espace, dans le temps ou les deux en mme temps. Cela signifie qu'un systme dispose d'une autonomie complte lui permettant de choisir et de se connecter sur un rseau puis de pouvoir atteindre des services utiles l'utilisateur.2.1.1.4 Handover
Ce terme anglais se traduit par "relais" ou "cession" en franais. C'est le mcanisme permettant un quipement de choisir son point de rattachement dans un mme rseau pour effectuer ses communications, en fonction de paramtres tels que la qualit de rception. Cette fonction est capitale dans les rseaux sans fil.2.1.1.5 ASFI
Pour endiguer la pntration des termes anglo-saxons, l'Acadmie franaise a cr l'acronyme ASFI5 qui signifie "Accs Sans Fil Internet". Il est donc utile de rappeler que la mise en uvre d'un quipement compatible Wi-Fi pour accder Internet n'est pas un accs Wi-Fi mais un ASFI : cet acronyme remplace galement le terme anglais "hotspot".
4 5
http://www.granddictionnaire.com/ ASFI : Accs Sans Fil Internet.
Page 4
Chapitre 2 - Notions fondamentales
2.1.1.6 Wi-Fi6
Cet acronyme anglais est la contraction de "Wireless Fidelity", un clin d'il aux quipements musicaux qualifis de haute fidlit, en anglais Hi-Fi (High Fidelity). Les abus de langage de la presse parlent souvent des "connexions Wi-Fi", des "quipements Wi-Fi" ou "quipements la norme Wi-Fi" alors que Wi-Fi dsigne la compatibilit des-dits quipements de diffrentes marques quelques standards de la famille 802.11 : c'est une certification commerciale.
2.1.2 Dfinitions lies la scuritLes dfinitions concernant la scurit des systmes informatiques constituent cette section : les enjeux de cette scurit sont trs importants et il n'est pas surprenant de trouver du vocabulaire gnralement canton aux sries policires.2.1.2.1 Scurit
"Situation politique, conomique, matrielle ou morale dont tout risque ou tout danger est exclu" explique le dictionnaire Focus-Bordas et qui complte cette dfinition par "Dispositif destin viter tout accident". C'est actuellement la proccupation majeure de tous les organismes communicant par rseaux. Dsormais une fonction ddie la scurit des systmes d'information existe : ASSI7 ou RSSI8.2.1.2.2 Identification
L'identit est un ensemble d'lments qui permettent de reconnatre un individu (ex: Jean Dupont), une entit ou bien une marque. Toutefois, une identit peut tre copie et les contre-faons existent. L'identifiant est un lment normalis associ cette identit : le numro INSEE est un identifiant unique en France. Une adresse MAC est galement un numro unique dsignant une seule interface rseau. Il est malheureusement facile de copier ou forger un identifiant : la scurit ne peut pas tre assure par un identifiant seul.2.1.2.3 Authentification (authentication)
Pour s'assurer qu'un identifiant soit bien prsent par l'identit (l'utilisateur) qu'il reprsente, il faut authentifier ce dernier. L'authentification est le procd permettant un individu ou une entit de prouver son identit : la photo sur une carte nationale d'identit, une empreinte digitale, vocale ou rtinienne pour des systmes perfectionns ou encore un mot de passe ou une carte puce pour les mthodes les plus courantes. L'authentification repose sur la notion d'un secret partag ou d'lments infalsifiables.
6 7 8
Wi-Fi alliance : Wireless-Fidelity alliance (http://www.wi-fi.org/). C'est une association industrielle but non-lucratif de plus de 200 membres dont l'objectif est de promouvoir le WLAN (rseaux locaux sans fil). La Wi-Fi alliance un programme de certification s'appuyant sur les spcifications du groupe 802.11. ASSI : Agent de Scurit des Systmes d'Information. RSSI : Responsable Scurit des Systmes d'Information.
Page 5
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
2.1.2.4 Autorisation
Pour utiliser les ressources d'un environnement scuris, il est ncessaire d'avoir une ou plusieurs autorisations. L'autorisation correspond gnralement une fonction dans cet environnement. En informatique, les droits fournis un utilisateur authentifi sont lis son rle et ventuellement au moyen employ pour se connecter. De plus, les accs aux ressources impliquent des droits attribus de manire individuelle d'une part, et par l'appartenance des groupes, d'autre part.2.1.2.5 Accounting
L'accounting est un terme anglais qui se traduit littralement par "comptabilit" mais la signification du terme est plutt "traabilit". L'accounting permet de suivre le fonctionnement d'un rseau en fournissant des statistiques sur la charge globale, le nombre d'utilisateurs actifs, les accs rejets, etc. En terme de scurit, l'accounting est fondamental : en effet, l'ASSI et l'entreprise tant responsables des fautes commises partir de leur rseau, il leur est ncessaire de pouvoir dterminer avec prcision qui l'utilise et quel moment.2.1.2.6 Cryptologie
La cryptologie est la science des critures secrtes et des messages chiffrs. Elle comprend la cryptographie et la cryptanalyse. La loi franaise dfinit les prestations de cryptologie comme tant "toutes prestations visant transformer l'aide de conventions secrtes des informations ou signaux clairs en information ou signaux inintelligibles pour des tiers, ou raliser l'opration inverse, grce des moyens, matriels ou logiciels conus cet effet"9. Cette science emploie un vocabulaire souvent mal utilis et dont les anglicismes sont venus remplacer les termes franais. La liste ci-dessous redonne la dfinition exacte de ces mots et entre parenthses, leur quivalent anglais [WEB001].
Cryptographie (cryptography) : du grec kruptos, cach, et graphein, crire. Science du chiffrement. Cryptanalyse (Cryptanalysis) : Art de dchiffrer les messages cods (sans obtenir par voie officielle les mcanismes ou les codes utiliss). Chiffrement (encryption) : Ensemble de mthodes permettant de rendre un message incomprhensible. Les anglicismes suivants sont parfois employs : cryptage et crypter ( la place de chiffrer). Les anglais emploient aussi le terme encipher (et decipher) pour dchiffrer. Stganographie (Steganography) : La stganographie consiste cacher un message dans un document anodin afin qu'il passe inaperu. Actuellement, il est facile de cacher un fichier texte dans une image jpeg par exemple. Cryptogramme (CipherText) : message cod rsultant du chiffrement. Texte en clair (Plaintext) : message original. Challenge (challenge) : employ dans le sens de dfi, il reprsente une preuve qu'il faut russir pour obtenir un avis positif. Le chiffrement d'un ensemble de donnes de taille limite est un challenge.
9
Article 28 de la loi 90-1170 du 29 dcembre 1990 modifie
Page 6
Chapitre 2 - Notions fondamentales
2.2 Constats sur le nomadisme informatiqueLe vocabulaire tant acquis, nous allons prsenter le concept de nomadisme informatique et les problmes qu'il pose. Dans la thorie, le nomadisme informatique consiste simplement supprimer les contraintes gographiques d'accs aux rseaux. Dans les faits, il faut des investissements consquents et une modification profonde des mthodes de travail des entreprises et organismes publics pour obtenir des rsultats intressants. Nous allons donc nous attarder sur les statistiques existantes pour comprendre pour qui et pourquoi la mobilit se dveloppe et quels sont ses freins.
2.2.1 Statistiques et volutionsLa mobilit touche de plus en plus de personnes en entreprise. Les populations les plus nomades sont les commerciaux mais aussi les dirigeants et les intervenants pour maintenance. Le tableau ci-dessous prsente la rpartition par fonction (source Louis Harris "les entreprises, la mobilit et les NT" en 2004, cit dans le livre blanc sur la mobilit en entreprise) [LIBL04] :
Commerciale
62
Dirigeante
29
Maintenance
29
Transport
16
Autres
9
Gestion de chantier 0 5
210 15 20 25 30 35 40 45 50 55 60 65
Illustration 1: Rpartition des fonctions mobiles en entreprise
Cette volution est lie l'accroissement de productivit des individus ce qui entrane de nouvelles demandes. Ces demandes entranent leur tour de nouvelles applications. Les usages principaux sont le passage de commandes, l'accs aux inventaires ou aux bases clients, la rcupration de notices et d'informations et la prise de dcision en temps rel. D'autre part, la mobilit implique l'utilisation d'un terminal : tlphone, PDA, ordinateur portable... il est intressant de constater que la notion de mobilit est plutt associe aux tlphones mobiles, comme le montre le tableau suivant.
Page 7
Mmoire CNAM Nomadisme et scurit des rseaux informatiques100,00% 90,00% 80,00% 70,00%70,00% 13,13% 26,26% 20,21%
6,38% 3,19%
60,00% 50,00% 40,00%70,21% 25,25% toutes presque toutes quelques-unes aucune
30,00% 20,00% 10,00% 0,00%11,00% 35,35% 14,00% 5,00%
Tlphone mobile
ordinateur portable
PDA
Illustration 2: quipement des personnes mobiles en entreprise (2004)
Cette faible pntration des ordinateurs portables et des PDA s'explique toutefois par les raisons qui freinent le dveloppement des solutions mobiles. Il apparat notamment (toujours d'aprs Louis Harris) que le cot de mise en place, la scurit et la complexit de la mise en uvre sont les arguments les plus bloquants, comme le montre l'illustration suivante :65 60 55 50 45 40 35 30 25 20 15 10 5 0 Cot des solutions Scurit Complexit Performance Couverture Fiabilit NSP 9 38 35 34 54 49 63
Illustration 3: Principaux freins au dveloppement des rseaux mobiles
Le retour sur investissement et l'interoprabilit sont galement des obstacles : les entreprises ne peuvent accepter des solutions htrognes dont la maintenance grve leurs budgets. Pourtant, les entreprises attendent des avantages de ces technologies mobiles. D'aprs IBM Business Consulting Services, il y a huit axes de bnfices :
qualit des donnes (mises jour rgulires et plus frquentes, diminution des doubles saisies, plus d'informations collectes, informations plus prcises), productivit (diminution des cots administratifs, ordonnancement plus efficace, outillages et pices corrects diminuant le nombre des interventions ncessitant une deuxime visite, re-planification dynamique),
Page 8
Chapitre 2 - Notions fondamentales
accs l'information sur site (accs direct aux informations pertinentes et jour), moindre dpendance vis--vis des processus papiers (brochures et nouveauts catalogues), pilotage de la performance (suivi des niveaux de services, assistance et retour d'informations individualiss, cltures d'interventions plus prcises), lien avec l'entreprise d'appartenance), (facilit de communication, renforcement du sentiment
service client (moins de pnalits pour non-respect des rendez-vous, meilleur respect des engagements, moins d'opportunits perdues), scurit des agents (possibilit de suivre les agents en zones sensibles ou les travaux avec risques), traabilit des interventions discriminatoire de l'oprateur). (horodatage, justification du fonctionnement non
Il existe galement un profil de mobilit : les employs n'utilisent pas les mmes quipements car les besoins ne sont pas les mmes pour tous les mtiers. Il faut employer le bon outil et pour cela, connatre les lieux d'utilisation et les solutions offertes.GPRS/UMTS ADSL/RTC Au bureau A la maison Chez un client Sur la route A l'htel/au restaurant Tableau 1: Lieux et mobilit 802.11
Ds lors, le lieu et le moyen utiliser pour accder certaines ressources facilitent le choix pour la mise en uvre d'une solution nomade. D'ailleurs, les ventes d'ordinateurs portables sont passes de 23% en 2003 29% en 2004 sur le volume des ventes en micro-informatique [FERO04]. La plupart de ces terminaux intgrent dsormais la norme 802.11 en standard, ce qui favorise l'expansion des rseaux sans fil. Enfin, le nombre d'ASFI augmente trs rapidement et les estimations par les grands oprateurs montrent que le march est porteur.3500 US 20000 34000 1500 Europe 25000 42000 0 5000 10000 15000 20000 25000 30000 35000 40000 45000 2003 2005 2007
Illustration 4: Nombre de "hotspots" dploys
Page 9
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
2.2.2 RcapitulatifCette srie de statistiques essentiellement franaises nous permet de voir que le nomadisme en entreprise touche tout le monde mais que ce sont les fonctions commerciales et dirigeantes qui sont les plus demandeuses. Les deux tiers des personnes mobiles utilisent des PC portables alors que seulement un tiers emploie des PDA. Mais encore, 95% des employs ont un tlphone mobile : ce march touchait moins le nomadisme informatique mais les nouvelles offres hauts dbits (UMTS, 3G...) ainsi que les volutions techniques (autonomie accrue, taille rduite) devraient rapprocher les tlphones et les PDA et fournir des applications lgres compatibles avec les rseaux internet moyen terme. Les rseaux 802.11 sont trs employs et utilisables presque partout (des difficults subsistent dans les dplacements rapides) : certains fabriquants ont dj annonc des puces spcialises compatibles 802.11 pour les tlphones mobiles10. Il est donc prvu un dploiement de cette technologie de manire intensive dans les annes venir ( la fin 2005, l'Europe devrait avoir dploy 25000 ASFI). Cet engouement est toutefois frein part gale par le cot... et par la scurit !
2.3 Rpercussions sur la scuritLa section prcdente permet de se rendre compte de la pntration de la mobilit sur le march franais. Toutefois, 54% des responsables refusent de dvelopper ces rseaux en raison de la scurit : si celle-ci s'appuyait normment sur l'accs physique l'infrastructure, les rseaux sans fil changent dsormais la politique des ASSI : autoriser la mobilit des utilisateurs implique gnralement l'ouverture des systmes d'information hors des locaux de l'entreprise... et cette ouverture augmente le risque de pntration par des personnes mal intentionnes. Les utilisateurs quant eux, veulent bnficier d'un accs l'intranet en utilisant des supports diffrents et ds lors, la multiplicit des systmes d'accs accrot la charge de travail : configurations, maintenances, supports, diagnostics, redondances de matriels, surveillances... De plus, l'ASSI engage sa responsabilit (en plus de celle de l'entreprise) en cas d'attaque en provenance de son rseau : il occupe un poste haut risque qui implique une trs bonne connaissance des failles et des attaques possibles, mais aussi des notions de droits. Ds lors, l'ASSI dispose de plusieurs mthodes de scurisation des rseaux et des machines dont les plus classiques sont :
Authentification (gnralement un identifiant associ un mot de passe), Traabilit (journaux), Gestion des autorisations et des droits (individuels ou de groupes), Chiffrement et intgrit des donnes (cryptages et signatures lectroniques), Alerte de scurit (anti-virus, systmes d'exploitation et applications), Surveillance en temps rels (IDS, scanners, volumtrie...) Mise jour des failles logicielles (tlchargement de patchs), Filtrage par systmes antivirus et pare-feu des virus, chevaux de Troie et trames malformes, Formation (utilisateurs),
10 Samsung, communiqu de presse du 02 dcembre 2004
Page 10
Chapitre 2 - Notions fondamentales
....
La scurit est devenue trs importante et elle constitue l'un des budgets les plus levs pour les entreprises. Cela n'est pas seulement d l'mergence des technologies sans fil mais aussi la croissance des nombres de virus et vers informatiques, l'augmentation du nombre d'quipements en rseau et la diversit des protocoles permettant l'accs aux systmes d'informations.
2.3.1 Attaques des rseaux classiquesEn informatique, il existe de nombreuses attaques possibles : certaines sont bases sur des bugs ou failles des logiciels, d'autres sur l'accs certaines ressources insuffisamment protges ou encore sur l'ignorance ou la curiosit des utilisateurs.2.3.1.1 Attaques externes
Les attaques externes sont les attaques menes depuis l'Internet. Tout rseau connect Internet est soumis de nombreuses attaques qui ont plusieurs objectifs :
Obtenir des informations sur les serveurs du rseau : la connaissance du systme d'exploitation permet d'en connatre les failles officielles et peut-tre trouver un serveur qui n'a pas t mis jour. L'attaque la moins discrte est le balayage de port car elle est facilement reprable. Elle est intressante pour le pirate car des services comme le transfert de fichier (FTP), le terminal distant (Telnet), le service de messagerie (SMTP, POP...) renvoient gnralement une chane de caractres indiquant le nom et la version de l'application grant ces ports. Obtenir un compte sur une machine connecte au rseau : en utilisant une faiblesse du systme d'exploitation, un pirate peut se connecter sur une machine et agir par rebond. L'attaque mene vers un rseau sera dtecte comme provenant d'une machine corrompue mais ce ne sera pas celle du pirate. Obtenir un plantage d'un serveur : l'arrt brutal d'un serveur ne permet pas d'obtenir d'informations sur l'attaquant, par contre, l'indisponibilit de ce serveur peut entraner des pertes importantes pour l'entreprise : informations, transactions, ordres, etc., comme l'attaque mene en janvier 2003 sur les serveurs corens puis amricains (13000 guichets de la "Bank of America" ont perdu l'historique de leurs transactions). Les attaques classiques sont le dni de services (DoS ou Deny of Service) ou le remplissage de buffer (buffer overflow). Elles sont bases sur les failles des systmes viss. Intercepter et modifier des communications : en bloquant un serveur, le pirate peut introduire sa place un serveur qui aura presque la mme fonction. Toutefois, ce nouveau serveur peut galement modifier les messages qui transitent par lui et en changer le contenu. L'intrt est que le destinataire reoit d'une machine qu'il croit connatre, un message modifi tandis que le pirate dispose de l'information originale. Ce type d'attaque est appel "man in the middle" (MITM) ou l'homme du milieu.
2.3.1.2 Attaques par ingnierie sociale
Les attaques par ingnierie sociale sont tournes vers les utilisateurs et administrateurs. Plutt que de tenter une attaque externe, le pirate va tenter d'obtenir l'information par un des employs de la socit. Pour cela, il peut se faire passer pour un commercial, un technicien de maintenance, un administrateur du rseau. Il emploiera le tlphone, le courrier, le courrier lectronique, voire mme le contact direct. Kevin Mitnick un hacker connu a crit un livre [MITN04] sur ces techniques. Le phishing11 est d'ailleurs devenu une technique trs en vogue par courrier lectronique en affichant un message demandant de renouveler les mots11 Contraction de fishing (pcher) et phreaking (pirater les lignes tlphoniques)
Page 11
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
de passe d'un compte chez un organisme connu. Le lien affich pointe en ralit vers une page web d'un serveur pirate imitant la mise en page du site officiel et l'utilisateur confiant saisit les informations demandes en croyant tre sur le site officiel. Mme si le message ne touche qu'une partie de la population, le pirate dispose alors d'une base de donnes contenant les identifiants et mots de passe de nombreux utilisateurs du service officiel (gnralement, ce sont les banques qui sont le plus vises).2.3.1.3 Attaques par infection
Les attaques par infection concernent les virus, les vers, les spywares 12 et les chevaux de Troie. Ce sont des fichiers contenant du code excutable (macro VBS pour les fichiers DOC ou XLS par exemple) et qui, lorsque le fichier est ouvert, tente d'infecter le poste de l'utilisateur. Pour paratre crdible, les virus utilisent gnralement le carnet d'adresses de la machine, aussi il n'est pas surprenant de trouver un message d'un ami franco-franais qui crit... en anglais ! Ce devrait tre suffisamment surprenant pour ne pas ouvrir la pice jointe et pourtant de nombreuses personnes se laissent attraper. Le flau est tel que de nombreux administrateurs gnralisent le dploiement des antivirus sur leurs serveurs de courrier. Les vers utilisent le rseau via les applications diverses comme les navigateurs, les programmes peer-to-peer, les lecteurs multimdia, les messageries instantanes... ils n'ont pas besoin d'une action de la part de l'utilisateur pour s'activer. Un cheval de Troie (par rfrence au hros mythique Ulysse) est un programme malicieux intgr dans un programme sain. Lorsque le programme sain est lanc, le cheval de Troie s'active et coute sur un port du systme (dans une plage peu utilise pour viter un conflit) : il peut alors accepter des commandes en provenance d'un pirate. Le plus clbre est probablement "Back Orifice" en rfrence la suite "Back Office" de Microsoft. Actuellement, une nouvelle menace par cheval de Troie voit le jour avec des programmes capables de valider un message d'alerte provenant d'un pare-feu personnel (CERT janvier 2005). Les spywares sont des logiciels espions qui recueillent des informations sur le comportement de l'utilisateur. Certaines donnes prives sont parfois places dans des "cookies", de petits fichiers utiliss par les sites web pour mmoriser des donnes. Une autre utilisation des spywares est l'enregistrement des touches appuyes par l'utilisateur : le pirate est alors en mesure de connatre les mots de passe taps au clavier. Ces programmes sont aussi appels "keylogger".
2.3.2 Attaques des rseaux sans filLes rseaux sans fil sont sensibles aux attaques prcdentes comme les autres rseaux mais ils ouvrent galement la voie de nouvelles attaques : parce que les ondes hertziennes ne sont pas facilement contrlables, la mauvaise implantation d'un point d'accs rseau sans fil revient placer des prises rseaux hors des locaux. Deux mthodes existent pour dtecter des rseaux sans fil et permettre leur coute : le "wardriving" et le "war-shalking".2.3.2.1 War-driving
Le war-driving est une technique simple qui consiste circuler dans les rues et les lieux publics la recherche d'metteurs. Un PC portable quip avec une carte rseau sans fil coute les diffrentes frquences et dtecte les caractristiques des informations reues.
12 Logiciel-espion
Page 12
Chapitre 2 - Notions fondamentales
2.3.2.2 War-chalking
Le war-chalking est une extension du war-driving. Cette mthode consiste simplement noter prs de l'metteur (du moins dans sa zone d'mission) ses caractristiques : est-ce un rseau ouvert, ferm, protg ? Pour cela, trois symboles sont couramment utiliss (illustration 5).SSID SSID SSID Contact
WBande passante Rseau Ouvert Rseau Ferm Bande passante Rseau Protg
Illustration 5: Symboles utiliss dans le war-chalking
Ceux qui n'en connaissent pas la signification n'y voit qu'un graffiti alors que les hackers y voit une occasion de se connecter au rseau. De plus, l'attribution d'adresses IP de manire dynamique facilite la mise en uvre d'un quipement sur ce rseau. Une fois dtects, les rseaux sans fil sont la cible des attaques prcdemment cites mais aussi des suivantes (lies aux techniques de dni de service) :2.3.2.3 Brouillage
Les frquences employes par les rseaux sans fil peuvent tre brouilles afin qu'aucune communication ne puisse passer. Bien que brutale, cette attaque utilise de manire ponctuelle et irrgulire perturbe un rseau sans permettre de trouver facilement l'origine.2.3.2.4 Arp-poisoning
Ce type d'attaque consiste rpondre plus rapidement que les autres postes la demande de corrlation entre adresse IP et adresse MAC (arp-who-has) mais en fournissant une fausse adresse MAC. Une mthode drive de cette attaque est de remplir les tables ARP des quipements du rseau pour les saturer. Le rsultat rend possible l'usurpation d'une machine par une autre machine hors des locaux de l'entreprise.
2.4 ConclusionBien que la mobilit soit un concept existant depuis de nombreuses annes (dplacements chez un client, en runion ou lors d'un sminaire), les technologies sans fil ont aboli le frein psychologique du rseau ferm, reprsent par le cblage. La grande simplicit d'implmentation d'un rseau sans fil attire les dcideurs qui voient l, un moyen de suivre au plus prs les besoins de leurs clients et diminuer les tapes intermdiaires de saisie. Issus d'une technologie rcente, ces rseaux apportent en effet, un confort d'utilisation non ngligeable : de nombreux quipements terminaux sont compatibles, peuvent communiquer entre eux et les solutions sont simples mettre en place. Le dploiement des rseaux sans fil grande chelle est une ralit incontournable autant en entreprises que chez les particuliers.
Page 13
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
Toutefois, cet accroissement de libert complique la tche des administrateurs qui dfinissaient la scurit de leurs systmes d'information en fonction de l'accessibilit physique des points de connexions. Les rseaux sans fil mettent en vidence ce jugement erron et imposent la recherche de solutions pour parer aux nouvelles menaces dont les rseaux sont la proie. Ainsi se pose la problmatique entre deux objectifs opposs : comment concilier mobilit et scurit, libert et contrle, simplicit et contrainte ?
Page 14
Chapitre 3 - Cahier des charges
3 CAHIER DES CHARGESAprs avoir dcrit la situation du nomadisme et de la scurit de manire gnrale, il est maintenant possible de dterminer quelles sont les attentes des universits de Grenoble et comment elles souhaitent rsoudre les problmes lis l'utilisation de ces technologies sans fil. En premier lieu, la structure du CICG ainsi que son fonctionnement sont expliqus avec comme objectif la comprhension des diffrents rles du CICG au niveau local, rgional et national. Puis une dfinition des diffrents profils d'utilisateurs prsents dans les universits et des usages du rseau permettra de connatre le contexte du nomadisme en universit. Enfin, la rdaction d'un cahier des charges et l'numration des contraintes lies l'architecture en place auront pour but de faciliter le travail de recherche et d'tude.
3.1 Dfinition de l'environnementLes universits de Grenoble mutualisent un certain nombre de ressources : l'avantage est de diminuer les cots de gestion, d'exploitation, et d'administration de ces ressources. Dans ce cadre, le Centre Interuniversitaire de Calcul de Grenoble matrialise cette volont.
3.1.1 Rles du CICGLe CICG est un service interuniversitaire qui a t cr en 1972 par les tablissements d'enseignement suprieur de l'acadmie de Grenoble et dont l'activit tournait autour des supercalculateurs et du calcul scientifique. Depuis fin 1995 les universits, Joseph Fourier, Pierre Mends-France, Stendhal, de Savoie, et l'Institut National Polytechnique de Grenoble l'ont charg de deux missions :
l'informatique de gestion, qui est assure par le Dpartement Informatique de Gestion, la gestion des rseaux informatiques, qui est assur par le Dpartement Rseau.
ces deux missions sont dfinies et rglementes par deux conventions en date du 22 mai 1996 :
la convention relative l'organisation de l'informatique de gestion, la convention relative l'activit de rseau informatique.
Le CICG est aussi charg de la diffusion des logiciels ayant fait l'objet d'accords de diffusion avec le Ministre de l'ducation nationale de l'enseignement suprieur et de la recherche. Il est administr par un conseil d'administration et dirig par un Directeur. Sous l'autorit de ce dernier, se trouvent :
le Dpartement Informatique de Gestion (DIG), le Dpartement Rseau (DR), l'activit diffusion de logiciels, l'administration.
L'organigramme (illustration 6) clarifie la structure du CICG.Page 15
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
Illustration 6: Organigramme du CICG
Trs rcemment, le nom du CICG et son logo ont t modifis pour se rapprocher de ses missions contemporaines : il est devenu DSIGU13.
Illustration 7: Logo du CICG et nouveau logo DSIGU
Toutefois, l'heure de l'criture de ces pages, la redfinition de ses missions est en cours mais n'est pas termine.
3.1.2 Dpartement rseauLe dpartement rseau du CICG au sein duquel s'est droul notre stage, est un service interuniversitaire qui ralise des missions pour le conseil d'administration en accord avec le comit de pilotage qui relve des diffrentes Universits, Scientifique (U1), Sciences Sociales (U2), Lettres (U3) et de l'INPG. Le Dpartement Rseau a deux missions principales :
La gestion de diffrents rseaux, dont le rseau interuniversitaire, La coordination d'actions transversales.
13 Direction des Systmes d'Information de Grenoble Universits
Page 16
Chapitre 3 - Cahier des charges
3.1.3 Prsentations des rseaux dploysPour accder ses services (messagerie, intranet, web) un utilisateur va utiliser plusieurs niveaux de rseaux dont les structures sont hirarchises. Le CICG intervient dans ces structures qui sont expliques dans cette section.3.1.3.1 Rseau TIGRE
Le rseau TIGRE14 est le rseau MAN15 enseignement suprieur et recherche de l'Acadmie de Grenoble. Techniquement, il est constitu de deux toiles (routeurs/commutateurs) dont les curs redondants sont situs gographiquement au CICG ( Saint-Martin d'Hres) et l'INPG (au centre de Grenoble). Sur cette partie, le CICG oprateur du rseau loue les fibres optiques MetroNet.
Illustration 8: Dorsale haut dbit Metronet
Les organismes utilisant ce rseau sont :
UJF (Universit Joseph Fourier, http://www.ujf-grenoble.fr/) aussi appele U1, UPMF (Universit Pierre Mends France, http://www.upmf-grenoble.fr/) ou U2, Universit Stendhal (Universit Stendhal, http://www.u-grenoble3.fr/) surnomme U3, INPG (Institut National Polytechnique de Grenoble, http://www.inpg.fr/) dit U4, IMAG (Institut d'informatique et Mathmatiques Appliques de Grenoble, http://www.imag.fr/) qui est en fait, une fdration d'units de recherche du CNRS, de l'UJF, de l'INRIA et de l'INPG. CNRS (Centre National de la Recherche Scientifique, http://www.cnrs.fr/), INRIA (Institut National de Recherche en Informatique et en Automatique, http://www.inrialpes.fr/), ESRF (European Synchrotron Radiation Facility, http://www.esrf.fr/) , ILL (Institut Laue-Langevin, http://www.ill.fr/), EMBL (European Molecular Biology Laboratory, http://www.embl-grenoble.fr/ et http://www.embl.org/), IUFM (Institut Universitaire de Formation des Matres, http://www.grenoble.iufm.fr/), CROUS (Centre Rgional des Oeuvres Universitaires et Scolaires , http://www.crousgrenoble.fr/).
14 TIGRE : Toile Informatique de GREnoble 15 Metropolitan Area Network
Page 17
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
Le bon fonctionnement du rseau repose sur une architecture logique redondante des liens et quipements formant les curs du rseau via un routage dynamique BGP : ainsi la disponibilit du rseau de type RMU16 est excellente et permet l'accs Renater dans les meilleures conditions (forte bande passante et fiabilit).
Illustration 9: Schma logique du rseau TIGRE
Le CICG est donc responsable de l'exploitation et de l'volution du rseau TIGRE, un rle crucial puisqu'il a en charge les demandes d'agrments Renater, le routage et le filtrage, la gestion des alertes, la maintenance des quipements et l'volution du rseau tout en garantissant un accs fiable et rapide aux ressources.3.1.3.2 Rseau AMPLIVIA
Le rseau AMPLIVIA est le successeur du rseau ARAMIS. Il se situe au niveau de la rgion Rhne-Alpes et est financ par le conseil rgional. Il est ouvert des "communauts" reconnues de faon autonome sur ce rseau, notamment : les universits et centres de recherche publics de l'acadmie de Grenoble, les universits et centres de recherche publics de l'acadmie de Lyon, la communaut d'enseignement scolaire de l'Acadmie de Grenoble (coles, collges, lyces publics et privs sous contrat), les organismes publics de l'Acadmie (CIO, CRDP/CDDP, GRETA, IA, etc.), la communaut d'enseignement scolaire de l'Acadmie de Lyon, et d'autres communauts (Enseignement agricole, formation continue , CFA...). Dans ce cadre, le CICG joue un rle d'interface (mandate par les sites universitaires) la jonction des diffrents points d'accs entre ce rseau et les sites universitaires de la rgion.3.1.3.3 Rseau RENATER
Le rseau RENATER17 est le rseau national de la recherche et de l'ducation. Il relie plus de 600 sites (universits et organismes de recherche) et la troisime gnration (Renater 3) est actuellement en exploitation tandis que la quatrime annonce par le ministre dlgu lEnseignement suprieur et la Recherche en juin 2005 est en cours de dploiement. Renater permet galement l'accs vers l'Internet franais (via SFINX), l'Internet international, les rseaux de l'Asie pacifique, les DOM-TOM et les rseaux de l'ducation et de la recherche europens et amricains.16 RMU : Rseau Mtropolitain Universitaire 17 RENATER : Rseau National de Tlcommunications pour la Technologie, lEnseignement et la Recherche (http://www.renater.fr/)
Page 18
Chapitre 3 - Cahier des charges
Illustration 10: Le rseau Renater
Le rle du GIP18 RENATER, matre d'ouvrage du rseau national, consiste :
mettre en uvre dans le rseau les lments techniques de scurit conformes l'tat de l'art, et en assurer l'exploitation par un oprateur professionnel avec un cahier des charges prcis, oprer un des CERT19 franais ; un CERT est une entit d'information technique et oprationnelle sur les actions dlictueuses en matire de rseaux et d'quipements informatiques ( ne pas confondre avec le CERTA20), susciter, chez les organismes et sites connects, des actions de sensibilisation des responsables et des utilisateurs, ainsi que des actions de mise en uvre des techniques de scurisation de leurs rseaux de site et de leurs quipements informatiques (depuis les grands ordinateurs partags jusqu'aux stations de travail et micro-ordinateurs de chaque utilisateur), responsabiliser les acteurs de tous les sites raccords RENATER, par l'intermdiaire de la charte de scurit et de dontologie que le responsable de tout site (et thoriquement tout utilisateur) connect RENATER doit signer et respecter.
L encore, le rle du CICG est fondamental puisqu'il est l'interlocuteur unique entre le rseau national Renater et les membres du rseau TIGRE.3.1.3.4 Rseau GEANT
Le rseau GEANT21 est un rseau europen. Il connecte 30 rseaux de recherche et d'ducation (NREN22) qui desservent 34 pays. Renater en fait partie pour la France.
18 GIP : Groupement dIntrt Public. 19 CERT : Computer Emergency Response Team 20 CERTA : Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques informatiques. Il est rattach la DCSSI (http://www.ssi.gouv.fr/) 21 GEANT : Gigabit European Academic Network (http://www.geant2.net/) 22 NREN : National Research and Education Network.
Page 19
Mmoire CNAM Nomadisme et scurit des rseaux informatiques
En plus de fournir une plateforme IPv4 trs haut dbit (certaines connexions atteignent 10Gbps), d'autres services sont disponibles pour rpondre la demandes des chercheurs : IPv6, multicast, VPN. De plus, GEANT amliore l'interconnexion avec les autres rseaux mondiaux (Amrique du nord, zone Asie-Pacifique, l'Amrique du Sud et les pays mditerranens).3.1.3.5 Rseaux relationnels
Ces rseaux s'appuient sur les rseaux d'infrastructures nationaux (comme Renater) et sur le rseau Europen GANT. Ce sont plutt des groupes d'exprimentation travaillant de manire indpendante sur des thmes communs.3.1.3.5.a TERENA
TERENA est n en 1994, de l'association de RARE23 et EARN24. TERENA est donc une association dont le but est de participer l'amlioration des rseaux pour la recherche et l'ducation. Pour cela, l'association travaille sur les thmes suivants :
Lower Layer Technologies (les techniques de bas niveau employes dans les rseaux), Security (la scurit des systmes et des rseaux et la coordination entre les diffrents acteurs. A titre d'exemple, les CSIRT25), Middleware (la couche interdpentante entre l'application et le rseau), Mobility (l'outil permettant le nomadisme des tudiants et des chercheurs entre les diffrents domaines), Voice and Video Collaboration (la vidoconfrence, la tlphonie sur IP, les flux audio et vido), Grid (notamment la modlisation des systmes de calculs distribus).
Le CICG, par son rle, est impliqu dans la plupart de ces groupes de travail et participe aux projets nationaux, parfois de manire "moteur". Travaillant sur des projets prestigieux comme la mobilit, IPv6, la voix sur IP, la qualit de service, la vidoconfrence... le CICG est bien plac pour avoir un rle de conseil auprs des universits et des autres partenaires. Il pilote donc galement les groupes de travail pour le dploiement de ces technologies dans les facults et universits de Grenoble.3.1.3.5.b EDUROAM
Le rseau EDUROAM26 permet aux utilisateurs des institutions participantes de se connecter en n'importe quel point en utilisant son accrditation habituelle. Il est issu du dveloppement d'un groupe de travail de TERENA27 (TERENA Mobility). Ce groupe existe depuis janvier 2003 et le projet s'appelle "EDURoam". Ce projet est bas sur une structure hirarchique de serveurs RADIUS. La politique d'EDURoam n'est pas fige sur les moyens techniques mettre en uvre, l'objectif tant de faciliter le nomadisme entre les pays ayant rejoint le groupe de travail. Il n'y a donc aucune solution pr-tablie ce qui permet une certaine autonomie de travail pour chaque pays et favorise l'exprimentation.
23 24 25 26 27
RARE : Rseaux Associs pour la Recherche Europenne EARN : European Academic and Research Network CSIRT : Computer Security Incident Response Team EDUROAM : EDUcation ROAMing (http://www.eduroam.org/) TERENA : Trans-European Research and Education Networking Association
Page 20
Chapitre 3 - Cahier des charges
La carte suivante montre les pays adhrents.
Illustration 11: tendue du rseau relationnel EDURoam (27 juillet 2005)
Les pays ayant dj mis en production une solution compatible avec EDURoam sont reprsents en vert tandis que les pays en cours de dploiement sont affichs en bleu.
3.2 Analyses et classificationsMaintenant que les rles du CICG sont dfinis et que l'imbrication des diffrents rseaux utiliss est connue, il est temps de s'intresser aux raisons de l'existence de ces rseaux : les utilisateurs et leurs besoins. La taxonomie des utilisateurs, des moyens employs et des ressources utiles est la base de cette section qui va permettre d'analyser les besoins, de dfinir les usages et de mettre en vidence les contraintes actuelles.
3.2.1 Classification des utilisateursDans l'environnement des universits les diffrentes catgories d'utilisateurs sont nombreuses. En effet, il y a les tudiants, les enseignants, le personnel administratif et technique, les visiteurs...
Les tudiants : population trs diversifie en terme de connaissance des outils informatiques, on peut distinguer les novices pour lesquels l'ordinateur e
