PPE : Le laboratoire GSB · Web viewLes ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission

PPE : Le laboratoire GSB

Le laboratoire Galaxy Swiss Bourdin (GSB)

PPE 2.1


Travail effectué par :

LARANT Wilfried LEMAITRE Florian COMOTTI Arnaud

PPE 2.1


Sommaire

I. Descriptif réseaux sans fil (Wireless Networking)...........................................................................2

1. Définition......................................................................................................................................2

2. Spécification du wifi...................................................................................................................3

3. Evolution du 802.11.....................................................................................................................4

4. Enjeux du wifi..............................................................................................................................4

5. Opportunité pour GSB..................................................................................................................5

6. Menace........................................................................................................................................5

II. Contexte GSB : Stratégie de sécurité Wifi.......................................................................................8

1. Réseau permanent.........................................................................................................................8

1. Réseau visiteur..............................................................................................................................8

Recommandations en matière de sécurité sans fil...................................................................8

III. Répartition des point d'accès........................................................................................................9

2. Choix de la cryptologie...............................................................................................................10

3. Choix du Matériel.......................................................................................................................11

IV. Conclusion :................................................................................................................................12

Activité 2.1-2014 1


I. Descriptif réseaux sans fil (Wireless Networking)

1. Définition o Un réseau sans fil est un réseau de machines qui n'utilisent pas de cables. C'est une

technique qui permet aux particuliers, aux réseaux de télécommunications et aux entreprises de limiter l'utilisation de cables entre diverses localisations.

Applicationso Nomadisme (accéder à internet via un ordinateur portable, en mobilité)

Classificationo Chaque solution correspond à un usage différent, en fonction de ses caractéristiques

(vitesse de transmission, débit maximum, coût de l’infrastructure, coût de l’équipement connecté, sécurité, souplesse d’installation et d’usage, consommation électrique et autonomie…).



Classification des réseaux sans fils

2. Spécification du wifi Les premiers équipements conçus à partir des préconisations de la norme IEEE 802.11 ont rencontré des problèmes d'interopérabilité. En effet, car l'IEEE n'avait pas les moyens de tester et valider selon leurs standards les équipements disponibles sur le marché.

En 1999, plusieurs dirigeants d'industries décidèrent de se regrouper et de former une organisation mondiale à but non lucratif dans le but de conduire à l'adoption d'une norme acceptée dans le monde entier pour la grande vitesse de mise en réseau local sans fil. Il s'agissait de la norme 802.11. Parmis ses dirigeants se trouvaient 3Com, Aironet (dorénavant Cisco), Harris Semiconductor (dorénavant Intersil), Lucent (dorénavant Agere), Nokia et Symbol Technologies. C'est ainsi que nacquis la Wireless Ethernet Compatibility Alliance (WECA) qui déposa la nouvelle technologie Wi-Fi. En 2003, ce consortium fut renommée Wi-Fi Alliance et son siège se trouve désormais à Austin au Texas.

En mars 2000, le programme Wi-Fi CERTIFIED™ fut lancé. Ainsi, chaque équipement avec " Wi-Fi CERTIFIED™ " dessus est un équipement qui a été testé et approuvé par la Wi-Fi Alliance. L'utilisateur pourra donc être confiant quant à l'interopérabilité et la qualité de son achat.

Désormais, la Wi-Fi Alliance est constituée de plusieurs centaines d'entreprises et a réalisé plus de 5000 certifications de produits à ce jour. Son but est de certifier tout équipement Wi-Fi et de promouvoir l'utilisation de cette technologie comme standart universel des réseaux locaux au sein de



tous les secteurs du marché. Elle encourage donc l'utilisation accrue de la connexion Wi-Fi à des produits et des services dans les nouveaux et les marchés établis.

3. Evolution du 802.11

4. Enjeux du wifi

Les réseaux locaux sans fil (WLAN ou RLR pour réseaux Radio Local Radioélectrique) utilisent les ondes radio-électriques permettant la transmission de données entre ordinateurs.

La plupart des technologies actuelles utilisent des fréquences de 2,4 Ghz, jusque-là réservées aux applications militaires, médicales et scientifiques, pour permettre à des appareils de communiquer sans fil par les ondes hertziennes.

Le standard dominant aujourd'hui est la norme 802.11b de l'IEEE (Institute of Electrical and Electronics Engineers), plus communément appelée "Wi-Fi" (Wireless Fidelity).

Wi-fi permet de créer de véritables réseaux locaux capables d'accueillir de très nombreux utilisateurs avec un débit de 11 Mbits/s pour une cellule Wi-fi.

L’intérêt de ce système c’est, entre autres, qu’il évite le câblage des bâtiments qui est coûteux, l’accès au réseau se faisant grâce à des antennes.



5. Opportunité pour GSB

- Dépasser les barrières physiques :

Certaines situations peuvent rendre l’installation de câbles difficile, voire des fois impossible. Afin de « contourner » ces problèmes et de répondre aux demandes croissantes, différents constructeurs ont mis en place sur le marché des appareils permettant de créer des liaisons sans fils entre plusieurs station.GSB est composé d’un seul bâtiment composé de 6 étages. Le wifi est donc une solution permettant de palier à cette problématique de connexion de câbles.

- D'étendre un réseau:

Certaine situation requiert une connexion constante à Internet (accès à la messagerie, applications..). Dans le cadre de notre PPE, nous supposons qu'il est évident qu'il existe une forte demande de mobilité chez les utilisateurs en interne. Le wifi devra permettre une augmentation de leur productivité par le biais d'un accès au réseau qu’elle que soit leur localisation physique. Les connexions wifi sont capables de s'étendre jusqu'à une centaine de mètres.

- De proposer un service:

Dans notre contexte GSB, l'entreprise dessert une connexion à Internet à ces visiteurs. Ce service est aujourd'hui une configuration standard au sein des entreprises, il est fréquemment déployer pour des visiteurs.

6. Menace

Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples :

L'interception de données consistant à écouter les transmissions des différents utilisateurs du réseau sans fil

o Par défaut un réseau sans fil est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le rayon de portée d'un point d'accès peut potentiellement écouter toutes les communications circulant sur le réseau. Pour un particulier la menace est faible car les données sont rarement confidentielles, si ce n'est les données à caractère personnel. Pour une entreprise en revanche l'enjeu stratégique peut être très important.

Le détournement de connexion dont le but est d'obtenir l'accès à un réseau local ou à interneto Lorsqu'un point d'accès est installé sur le réseau local, il permet aux stations

d'accéder au réseau filaire et éventuellement à internet si le réseau local y est relié.



Un réseau sans fil non sécurisé représente de cette façon un point d'entrée royal pour le pirate au réseau interne d'une entreprise ou une organisation.

o Outre le vol ou la destruction d'informations présentes sur le réseau et l'accès à internet gratuit pour le pirate, le réseau sans fil peut également représenter une aubaine pour ce dernier dans le but de mener des attaques sur Internet. En effet étant donné qu'il n'y a aucun moyen d'identifier le pirate sur le réseau, l'entreprise ayant installé le réseau sans fil risque d'être tenue responsable de l'attaque.

Le brouillage des transmissions consistant à émettre des signaux radio de telle manière à produire des interférences

o Les ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission radio ayant une fréquence proche de celle utilisée dans le réseau sans fil. Un simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fil lorsqu'il fonctionne dans le rayon d'action d'un point d'accès.

Les dénis de service rendant le réseau inutilisable en envoyant des commandes facticeso La méthode d'accès au réseau de la norme 802.11 est basée sur le protocole

CSMA/CA, consistant à attendre que le réseau soit libre avant d'émettre. Une fois la connexion établie, une station doit s'associer à un point d'accès afin de pouvoir lui envoyer des paquets. Ainsi, les méthodes d'accès au réseau et d'association étant connus, il est simple pour un pirate d'envoyer des paquets demandant la désassociation de la station. Il s'agit d'un déni de service, c'est-à-dire d'envoyer des informations de telle manière à perturber volontairement le fonctionnement du réseau sans fil.

o D'autre part, la connexion à des réseaux sans fils est consommatrice d'énergie. Même si les périphériques sans fils sont dotés de fonctionnalités leur permettant d'économiser le maximum d'énergie, un pirate peut éventuellement envoyer un grand nombre de données (chiffrées) à une machine de telle manière à la surcharger. En effet, un grand nombre de périphériques portables (assistant digital personnel, ordinateur portable, ...) possèdent une autonomie limitée, c'est pourquoi un pirate peut vouloir provoquer une surconsommation d'énergie de telle manière à rendre l'appareil temporairement inutilisable, c'est ce que l'on appelle un déni de service sur batterie

Pour prevenir ces risques ils existent différentes sécurité : La clef WEP

o Le protocole WEP (Wired Equivalent Privacy ou Protection Equivalente au Câble) utilise une clé d’une longueur de 64 à 256 bits dont 24 ne sont pas utilisés pour le chiffrement. Cela fait une clé, si on la compare à un mot, d’une longueur de 5 à 29 caractères. La majorité des clés est composée de 13 caractères. L’algorithme utilisé dans le chiffrement possède une grande faiblesse qui est exploitée aujourd’hui très facilement par les hackers. Il suffit de quelques minutes pour reconstituer tous les morceaux de la clé WEP qui circulent de temps à autres sur votre réseau. La raison pour laquelle ils circulent est intimement liée à l’algorithme utilisé car celui-ci doit être initialisé à chaque échange pour ne pas utiliser deux fois la



même clé. De fait une partie de la clé (les 24 bits en question) est utilisée comme élément d’initialisation (vecteur d’initialisation) et celui-ci n’est pas chiffré.

o Au bout d’un moment, si quelqu’un écoute tous les échanges, il aura obtenu suffisamment d’éléments pour reconstruire la clé sans la connaître au préalable. Pour cette raison la clé WEP ne doit absolument plus être utilisée sur les équipements Wi-Fi aujourd’hui.

La clé WPA/WPA2o Le protocole WPA offre une protection d’un niveau bien supérieur à WEP. Il utilise

pourtant le même algorithme de chiffrement et est basé sur le même principe de vecteur d’initialisation. En revanche le TKIP (Temporal Key Integrity Protocol ou Protocole d’intégrité par clé temporelle) a été ajouté, permettant ainsi une permutation plus importante des clés sans que le vecteur d’initialisation ne puisse être reconstitué de manière utile. Dans les configurations les plus courantes, le mode Personnel est utilisé avec la PSK (Pre-Shared Key ou clé pré-partagée). Cela permet d’utiliser une clé alphanumérique normale d’une longueur d’au moins 32 caractères. Ce qui offre un niveau de protection tout à fait acceptable.

o Le protocole WPA2 quant à lui utilise un algorithme de chiffrement beaucoup plus puissant, utilisé dans le cryptage des documents sensibles et possédant une clé très forte. Il s’agit de la dernière norme du protocole WPA permettant de protéger votre réseau WLAN.

o Malheureusement une faille très importante a été découverte au mois de juillet 2010 dans ce protocole qui reste néanmoins considéré comme le plus sécurisé.



II. Contexte GSB : Stratégie de sécurité Wifi

Le cahier des charges du projet nous indique un objectif à atteindre pour ces réseaux. Notre équipe est chargée d’intégrer deux réseaux wifi pour GSB. Nous avons donc décidé de créer deux réseaux comme telle :

Un réseau « permanent » pour les utilisateurs de GSB. Ce réseau sera crypté, il y aura une authentification des utilisateurs. Il permettra d’accéder à Internet ainsi qu’à toutes les ressources de GSB.

Un réseau « visiteur » au service des utilisateurs externe. Il sera établit sans authentification, cet accès sera limité pour se connecter à Internet. Les utilisateurs externes n’auront pas accès aux ressource de GSB, sauf en cas de besoin

1. Réseau permanent

Le réseau « permanent » GSB est un réseau pour les collaborateurs présents sur le site. Cet accès permet d’accéder aux ressources GSB (administrative + serveurs) et à internet. Les données qui vont transiter via le wifi sur le réseau permanent sont d’ordres professionnels et doivent être protégées, via un cryptage du flux wifi.

Les utilisateurs seront connectés à l’aide d’un serveur Radius et d’une sécurité WPA2 enterprise qui permettra d’authentifier les utilisateurs pour identifier leur identité sur le réseau. Ce qui permettra une sécurité optimal pour le réseau GSB et ainsi permettre le bon fonctionnement du système.

1. Réseau visiteur

Le réseau « visiteur » sera un accès pour tout visiteur présent sur le site et souhaitant uniquement se connecter au réseau wifi pour se rendre sur internet, via cet accès l’utilisateur ne pourra accéder à aucune ressource relative à GSB. L’accès est sans authentification et n’est pas crypté, l’accès sera dénommé « Public ».

Recommandations en matière de sécurité sans filAfin d’éviter certains problèmes, les recommandations suivantes peuvent être appliquées :

Utilisez un cryptage fort (WPA2) associé à une authentification forte (802.1x) pour notre réseau sans fil.

Menez des analyses périodiques afin de gagner en visibilité dans notre espace «radio». Se méfier et se débarrasser des points d’accès rogue sur votre réseau. Utilisez pour ce faire les outils d’analyse



Wifi qui nous permettent de détecter automatiquement et de localiser physiquement les points d’accès rogue (points d’accès non désirés).

Utilisez un système de contrôle d’accès (NAC) à notre réseau interne afin d’avoir une meilleure visibilité des équipements non désirés et de les bloquer avant qu’ils ne soient une menace pour l’entreprise.

Utilisez un système de prévention des intrusions sans fil (WIPS) afin d’assurer une surveillance 24×7 et d’obtenir une protection proactive contre tous les types d’utilisation abusive de notre infrastructure Wifi.

Formation de votre personnel sur les meilleures pratiques telles que l’utilisation de VPN sur les hotspots Wifi ouverts. Envisagez l’utilisation d’un critère d’évaluation Agent de sécurité Wifi pour l’application des politiques de sécurité d’entreprise au travail, à la maison et ailleurs.

III. Répartition des point d'accès

Notre choix pour le déploiement des points d'accès wifi est dans le but d'optimiser la fluidité, pour cela nous mettons en place 7 bornes. Une par étage impaire et de chaque extrémité afin de couvrir toute la superficie, et une proche de la réception et la caféteria pour ne pas saturé le traffic des étages supérieur lorsque les utilisateur et visiteurs sont en pause, et veulent regarder des vidéos par exemple. Les points d'accès seront installé dans les faux plafonds pour rester discret et non accessible une fois configuré. Des cables ethernet reliant la baie de brassage et les différentes bornes devront être installé dans des rocades dans les faux plafonds.

Différents canaux vont être configuré au niveau des bornes pour que leur ondes n'interfère pas entre elles, il existe 11 canaux, un écart de 5 canaux est nécessaires pour ne pas avoir de conflit. Dans notre cas, nous avons attribué un canal a chaque borne afin d'optimisé les performances, il est vrai que certain point d'accès de même canaux sont relativement proche, mais cela reste tolérable pour avoir de bonne performance.Voici la representation graphique :



2. Choix de la cryptologie

Pour le choix de la cryptologie, nous avons choisi le WPA2-entreprise supporté grâce à la norme 802.1n via le protocole EAP, utilise en combiné un serveur d’authentification, communément un Serveur RADIUS. C’est le moyen de protection le plus efficace aujourd’hui à l’aide de son authentification via un login et mot de passe de connexion nominatif et individuel

Le SSID GSB ne sera pas visible en vue des risques qu’engendrait le déploiement a la vue du public. Les utilisateurs auront donc à rentrer manuellement ce SSID afin de garantir la sécurité du réseau.



3. Choix du Matériel Au niveau de la marque et du modèle, étant donné que nous sommes partie sur une base d'appareil CISCO, nous allons nous orienté à nouveau vers eux. Nous recherchons une bornes prenant en charge la norme IEEE 802.1n qui permet un regroupement de toute les autres, la prise en charge de WPA2 PSK avec authentification radius.

Cisco propose 4 version de borne wifi en intérieur :

- Serie 600 : très petit réseau (domicile)

- Serie 1600 : PME (bureau, petit entrepot)

- Serie 2600 : PME / et grande entreprise (bureau, moyen entrepot)

- Serie 3600 : Grande entreprise (grand bureau, grand entrepot)

Nous optons pour la Serie 3600, plus performante, idéale pour les réseaux à haute densité d'utilisateur. Cette borne offre beaucoup de possibilité d'évolution futur, pouvant aller jusqu'à 1,3 Gbits/s (avec module 802.11ac), possède également toutes les dernières technologie CISCO comme la détection des points d'accès indésirables. Pour la version, nous avons choisi la 3600e pouvant atteindre des température élevès au cas ou il y a une surchauffe.

Nous pouvons voir un comparatif très détaillé de la part de Cisco http://www.cisco.com/web/FR/products/wireless_comparison.html#~indoor


http://www.cisco.com/web/FR/products/wireless_comparison.html#~indoor


Pour fonctionner, le point d'accès sans fil Cisco Aironet 3600e nécessite l'utilisation d'un contrôleur Cisco Wireless Controller 2504. Et pour compléter, nous allons nous procurer également des antennes externes pour une plus grande portée.

IV. Conclusion :

Nous optons pour une solution 100% CISCO SYSTEM, avec la dernière génération de borne wifi cisco, la aironet 3600e, et un contrôleur Cisco Wireless Controller 2504, nous aurons suffisament de performance pour que tous les utilisateurs puissent accéder rapidement à tous les outils disponibles.

Le Wifi est devenu une technologie grand public offrant de nombreux avantages et permettant un réel gain d’efficacité. Mais il apporte également avec lui des problèmes de sécurité uniques. Ainsi, une infrastructure Wifi mal sécurisée facilite les attaques pouvant causer de graves dommages tout permettant aux pirates de rester invisibles et non détectés. En ignorant les exigences spécifiques liées à la sécurisation des réseaux sans fil, les administrateurs et les utilisateurs risquent de perdre des données confidentielles et de tomber sous le coup de sanctions juridiques.Dans l’avenir, les entreprises utilisant les meilleures pratiques de sécurité peuvent tirer parti des avantages du Wifi tout en protégeant leurs infrastructures informatiques contre les menaces de celles-ci.


Documents

PPE : Le laboratoire GSB · Web viewLes ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission