PPE 3-1

Partie Réseau - Mise en place d’un réseau WIFI

Steveen Hanta - Mathieu Collin – Jordan Dutaillis – (Ismaël Sacko)Kos Informatique

TABLE DES MATIÈRES

Mise en place du WifiI. Intro_________________________________________________________________________1II. Etude des besoins en matériels et de son déploiement_______________________2III. Etude d’une stratégie de sécurité____________________________________________3IV. Descriptif de la solution proposée__________________________________________8V. Mise en œuvre de la solution sur Cisco Packet Tracer_________________________9VI. Schéma du réseau actuel_________________________________________________10

SCHÉMA DU RÉSEAU ACTUEL

I. IntroLe Wifi est une technologie de réseau informatique sans fil utilisant les ondes électromagnétiques, et qui permet l’interconnexion entre plusieurs terminaux distants.

Il s’appuie sur la toute première norme IEEE 802.11 offrant des débits de 1 ou 2 Mbit/s, mais il existe également d’autres variantes de cette norme offrant jusqu’à 300 Mbit/s.

La maison des ligues disposent de la technologie WIFI pour les visiteurs dans les salles de réunion du rez-de-chaussée, le réseau est aussi disponible à chaque étage des bureaux des ligues. Les bornes WIFI des bâtiments diffusent un signal « Visiteurs », une clé WPA est nécessaire pour pouvoir y accéder, cette clé est renouvelé régulièrement et les ligues sont informés lorsque celle-ci change. Le réseau « Visiteurs » ne permet d’accéder à un accès internet.

Afin de faire évoluer les services proposés aux utilisateurs du WIFI, le DSI de la Maison des Ligues décident de mettre en place deux services WIFI différents sur deux réseaux différents.

Un réseau WIFI « Visiteurs » sera diffusé et aucune authentification ne sera nécessaire, il permettra juste un accès à internet.

Le second réseau se nommera « Permanents », il sera crypté et nécessitera une authentification pour pouvoir s’y connecter. Ce réseau donnera aussi un accès internet mais il permettra aussi aux utilisateurs d’accéder u réseau administratif et aux ressources d’impression de la Maison des Ligues.

Page 1

SCHÉMA DU RÉSEAU ACTUEL

II. Etude des besoins en matériels et de son déploiement

Deux bornes Wifi seront nécessaire par étage de chaque bâtiment, un réseau « Permanent » pour les bureaux des ligues et ainsi qu’un réseau « visiteurs » pour les visiteurs de la ligue. Une borne pour chaque réseau.

La Maison des Ligues dispose de 4 bâtiments, seuls les bâtiments A, B et C sont déjà équipé de borne WIFI.

Les bâtiments A et C disposent de 4 étages qui hébergent les bureaux des ligues et les rez-de-chaussée hébergent des espaces mutualisés.

Nous aurons besoin de seulement 11 bornes wifi car il existe déjà 11 bornes. Il y aura 10 bornes dans les bâtiments A et C (1 par étage) et 1 dans le bâtiment B (total = 11).

Pour le raccordement des bornes Wifi, nous allons procéder de cette manière :

Pour les bâtiments A et C, nous connecterons chaque borne WIFI de chaque étage au switch qui brasse les prises des bureaux de chaque étage.

Les routeurs des rez-de-chaussée seront brassés au switch central du bâtiment B.

Page 2

SCHÉMA DU RÉSEAU ACTUEL

A. CHOIX DU MATÉRIEL

Les points d'accès Cisco Aironet gamme 1130AGoffrent de nombreuses fonctionnalités, notamment :

Deux radios prennent en charge plusieurs options de réseau sans fil fonctionnant dans les bandes de fréquences 2,4 et 5 GHz pour une plus grande flexibilité, une meilleure couverture et une prise en charge améliorée des périphériques clients.

Page 3

SCHÉMA DU RÉSEAU ACTUEL

Possibilité d'adapter la couverture même en cas d'obstacles ou d'interférences potentielles

Facilité d'installation dans les faux-plafonds Intégration avec les logiciels de gestion et de surveillance sans fil de Cisco Système de fixation à blocage hautement sécurisé avec boîtier en plastique

léger (point d'accès 1130AG) ou boîtier renforcé (point d'accès 1240AG) Compatible 802.11A/B/G

Pour plus d’infos : http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps6087/product_data_sheet0900aecd801b9058.pdf

Prix des 11 bornes = 299.00 * 11 = 3289 $ (2450.64€)

Page 4

SCHÉMA DU RÉSEAU ACTUEL

III. Etude d’une stratégie de sécuritéA. LES RISQUES DE SÉCURITÉ ASSOCIÉS AU WIFI

La compromission d’un réseau sans-fil donne accès à l’ensemble des flux réseaux qui y sont échangés, ce qui inclut bien évidemment les données sensibles.

Or, l’interception de ces données sensibles peut être réalisée assez simplement. De par la multitude d’outils prévus à cet effet et disponibles librement, elle ne nécessite souvent aucune connaissance particulière.

Fin 2012, les principaux profils de sécurité sont, par ordre d’apparition :

- WEP, dont la clé (mot de passe d’accès) est cassable en moins d’une minute

- WPA, de robustesse variable en fonction du paramétrage utilisé- WPA2, particulièrement robuste- et plus récemment le WPS qui simplifie l’authentification d’un terminal sur

un réseau WPA2 (par code PIN par exemple) mais réintroduit une vulnérabilité importante.

B. DE QUOI DÉPEND LA SÉCURITÉ D’UN RÉSEAU WIFI ?Les préconisations que l’on peut trouver dans les guides de bonnes pratiques en matière de sécurité Wifi ne sont pas universelles. Certains déploiements peuvent exiger l’activation de paramétrages spécifiques qui influeront le niveau de sécurité global du réseau sans-fil et des matériels qui s’y connectent.

La robustesse d’un réseau Wifi et du matériel supportant cette technologie dépendent en général :

- de l’accessibilité du réseau, c’est à dire de la portée du signal Wifi- des mécanismes d’authentification utilisés afin d’identifier les utilisateurs

du réseau de manière unique et sûre- des mécanismes cryptographiques (symétriques et asymétriques) mis en

œuvre afin de protéger les communications sans-fil- des mécanismes d’administration et de supervision des points d’accès du

réseau et des terminaux

Page 5

SCHÉMA DU RÉSEAU ACTUEL

C. LES RECOMMANDATION DE L’ANSSI QUI SERONT MISE EN PLACESur les terminaux à usage professionnel :

1 N’activer le Wifi uniquement si nécessaire

2 Maintenir les OS en permanence à jour (minimum 90% sur tout le parc)

3 Ne jamais se connecter à des réseaux sans fils inconnus et lors des déplacements utiliser un VPN

4 Bloquer les connections entrantes, par défauts, de l’interface Wifi par le pare-feu

5 Ne pas brancher des bornes wifi personnelles sur le réseau

Sur les points d’accès Wifi :

6 Configurer les points d’accès pour utiliser un chiffrement robuste. le mode WPA2 avec l’algorithme de chiffrement AES-CCMP est fortement recommandé.

Pour les points d’accès personnels, utiliser le mode d’authentification WPA-PSK (WPA-Personnel) avec un mot de passe long (une vingtaine de caractères par exemple) et complexe, d’autant plus que ce dernier est enregistré et n’a pas besoin d’être mémorisé par l’utilisateur.

Page 6

SCHÉMA DU RÉSEAU ACTUEL

7 Changer le SSID de l’accès Wifi visiteur (ne pas laisser celui par défaut)

8 Désactiver systématiquement la fonction WPS (Wifi Protected Setup) des points d’accès.

WPS : Wifi Protected Setup, permet une mise en place facilité de WPA2. Lorsque WPS est activé sur un point d’accès, un attaquant peut connaître la configuration WPA2 en obtenant le code PIN WPS du point d’accès, ce qui revient à découvrir deux combinaisons, de 4 puis 3 chiffres par recherche en "Brute Force"

9 Sécuriser l’administration du point d’accès Wifi, en :

- utilisant des protocoles d’administration sécurisés (HTTPS par exemple)

- connectant l’interface d’administration à un réseau filaire d’administration sécurisé, à minima en y empêchant l’accès aux utilisateurs Wifi

- utilisant des mots de passe d’administration robustes.

10 Maintenir le micro logiciel des points d’accès à jour.

11 Sur le réseau Wifi "visiteurs", il est recommandé de déployer une infrastructure dédiée à cet usage, isolée des autres et ne donnant accès à aucune ressource du réseau interne.

En environnement Active Directory :

Page 7

SCHÉMA DU RÉSEAU ACTUEL

12 Mettre en œuvre les GPO nécessaires à l’application de stratégies de sécurité verrouillant les configurations Wifi des postes clients Windows.

13 Afin de ne pas les communiquer aux utilisateurs, déployer sur les postes Windows les informations de connexion au Wifi par GPO (nom de réseau, clé d’accès, certificats éventuels si la méthode EAP le nécessite, etc.).

Les choix possibles pour la sécurisation des réseaux sans fils :

Page 8

SCHÉMA DU RÉSEAU ACTUEL

Page 9

SCHÉMA DU RÉSEAU ACTUEL

IV. Descriptif de la solution proposéeAfin de limiter les coûts de déploiement et d’aménagements du réseau Wifi Visiteurs et Permanents, nous utiliserons le matériel déjà en place, c’est-à-dire toutes les bornes wifi déjà installée.

Le réseau Wifi « Permanents » sera sécurisé grâce à WPA2 AES.

Le réseau Wifi « Visiteurs » ne sera pas sécurisé par WPA afin de facilité l’accès à internet pour les utilisateurs de passage. Cependant afin de contrer le risque de surcharge du réseau, le nombre de machines sera limité.

Nous avons choisis de ne pas mettre en place un Serveur Radius car le réseau M2L n’est pas assez important pour investir du temps et de l’argent dans sa mise en place.

Certes, un Serveur Radius fournirait une protection sans équivalence par rapport à une connexion en WPA2-PSK par Access Point mais les coûts, le temps de déploiement du nouveau service, l’utilisation de ressources supplémentaires ne justifient pas sa mise en place.

- L’Authentification : se fera à partir d’une solution WPA2-PSK - Le chiffrement : s’appuiera sur le protocole AES, qui est à ce jour, le plus

récent, et le plus performant des protocoles de cryptage de données- Mot de passe : sur la maquette Packet Tracer le mot de passe est

« monsecret ».En situation réelle le mot de passe sera « !MaisonDesLigues@7913! »

Page 10

SCHÉMA DU RÉSEAU ACTUEL

V. Mise en œuvre de la solution sur Cisco Packet Tracer

Page 11

SCHÉMA DU RÉSEAU ACTUEL

VI. Schéma du réseau actuel

Page 12