2.1.2 Configurer manuellement les adresses IP :
La plupart des points d'accès actuels disposent du
protocole DHCP (Dynamic Host Configuration Protocol). Il s'agit d'un
protocole qui permet à un ordinateur qui se connecte sur un
réseau d'obtenir dynamiquement sa configuration réseau (adresse
IP, etc.). Pour ce projet, on désactivera le DHCP ceci évitera
qu'un pirate trouve facilement les identifiants du réseau. Ainsi, il
faudra s'adresser au service technique afin d'obtenir les
éléments nécessaires à la configuration
réseau.
2.2.1 Choisir un mot de passe d'accès au point
d'accès :
L'administration du point d'accès se fait par
l'intermédiaire de pages Web accessibles par n'importe quel ordinateur
connecté par câble. Il suffit de saisir une adresse IP (fournie
par le constructeur) dans le navigateur Web et le mot de passe par
défaut (fourni par le constructeur) pour accéder à
l'administration. A ce stade, toute personne pouvant accéder au
réseau, peut faire les changements ou modifier d'autres
paramètres du point d'accès. On changera donc le mot de passe par
un nouveau. Ce mot de passe devra répondre au principe de mots de passe
forts.
MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE
APPLIQUEE UNIVERSITE ASSANE SECK DE
ZIGUINCHOR 2013/2014
2.2.2 Filtrer les équipements par adressage MAC
:
Une adresse MAC (Media Access Control) permet
d'identifier matériellement un ordinateur grâce à son
adaptateur réseau.
Cette adresse est unique et définie par le fabriquant
de l'adaptateur. Chaque point d'accès offre la possibilité
d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son adresse MAC dans la
liste autorisée ne sera pas autorisé à se connecter sur le
réseau. Notons tout de même que le filtrage d'adresses MAC est
contournable. En effet, une adresse Mac peut être émulée
sous un environnement Linux. IL suffit de faire dans un terminal:
# ifconfig eth1 down
# ifconfig eth1 hw S
# ether 00:01:02:03:04:05
# ifconfig eth1 up
2.2.3 Choisir une clé de chiffrement hautement
sécurisée
Pour remédier aux problèmes de
confidentialité des échanges sur les réseaux sans fils, le
standard 802.11 intègre un mécanisme simple de chiffrement des
données, il s'agit du WEP (Wired Equivalent
Privacy).
Le WEP est un protocole chargé du chiffrement des
trames 802.11 utilisant l'algorithme symétrique RC4 (Rivest Cipher
4) avec des clés d'une longueur de 64 bits ou 128 bits. Le principe
du WEP consiste à définir dans un premier temps une clé
secrète de 40 ou 104 bits. Cette clé secrète doit
être déclarée au niveau du point d'accès et des
clients. La clé sert à créer un nombre pseudo
aléatoire d'une longueur égale à la longueur de la trame.
Chaque transmission de donnée est ainsi chiffrée en utilisant le
nombre pseudo aléatoire comme masque grâce à un OU
Exclusif entre le nombre pseudo aléatoire et la trame.
La clé de session partagée par toutes les
stations est statique, c'est-à-dire que pour déployer un grand
nombre de stations Wi-Fi il est nécessaire de les configurer en
utilisant la même clé de session. Ainsi la connaissance de la
clé est suffisante pour déchiffrer les communications.
MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE
APPLIQUEE UNIVERSITE ASSANE SECK DE
ZIGUINCHOR 2013/2014
De plus, 24 bits de la clé servent uniquement pour
l'initialisation, ce qui signifie que seuls 40 bits de la clé de 64 bits
servent réellement à chiffrer et 104 bits pour la clé de
128 bits. Dans le cas de la clé de 40 bits, une attaque par force brute
(c'est-à-dire en essayant toutes les possibilités de clés)
peut très vite amener le pirate à trouver la clé de
session.
De plus, une faille décelée par les chercheurs
Fluhrer, Mantin et Shamir concernant la génération de la
chaîne pseudo aléatoire rend possible la découverte de la
clé de session en stockant 100 Mo à 1 Go de trafic
créé intentionnellement. Le WEP n'est donc pas suffisant pour
garantir une réelle confidentialité des données.
Pour autant, il est vivement conseillé de mettre au
moins en oeuvre une protection WEP 128 bits afin d'assurer un niveau de
confidentialité acceptable.
Ces faiblesses du WEP ont conduit à l'apparition du
WPA (Wi-Fi Protected Access) qui est une solution de
sécurisation de réseau Wi-Fi proposée par la Wi-Fi
Alliance. Le WPA est une version « allégée » du
protocole 802.11i, reposant sur des protocoles d'authentification et un
algorithme de cryptage robuste : TKIP (Temporary Key
Integrity Protocol). Le protocole TKIP permet la génération
aléatoire de clés et offre la possibilité de modifier la
clé de chiffrement plusieurs fois par secondes, pour plus de
sécurité.
Le fonctionnement de WPA repose sur la mise en oeuvre d'un
serveur d'authentification permettant d'identifier les utilisateurs sur le
réseau et de définir leurs droits d'accès.
Le 802.11i a été ratifié le 24 juin 2004,
afin de fournir une solution de sécurisation poussée des
réseaux Wi-Fi. Il s'appuie sur l'algorithme de chiffrement TKIP, comme
le WPA, mais supporte également l'AES (Advanced
Encryption Standard), beaucoup plus sûr. La Wi-Fi Alliance a ainsi
créé une nouvelle certification, baptisée
WPA2, pour les matériels supportant le standard
802.11i. Contrairement au WPA, le WPA2 permet de sécuriser aussi bien
les réseaux sans fil en mode infrastructure que les réseaux en
mode ad hoc.
On choisira donc WPA pour le chiffrement. On aurait pu
utiliser le WPA2 mais bien qu'il soit déjà
implémenté dans plusieurs systèmes d'exploitation, il n'en
est pas encore le cas pour les composants matériels ce qui pourrait
compromettre la compatibilité des équipements.
MBAYE DIEDHIOU ETUDIANT EN LICENCE 3 INFORMATIQUE
APPLIQUEE UNIVERSITE ASSANE SECK DE
ZIGUINCHOR 2013/2014
| 
