Infrastructure Point d'accès

Acceuil >> TP Informatique >> TP réseaux >> Configuration d'un réseau WiFi >> Infrastructure Point d'accès

Objectif :

Connaître l'infrastructure (Point d'accès).

1) Monter et sécuriser un réseau en mode Infrastructure (Point d'accès) :

La première partie de cette section présentera la configuration d'un poste client pour se connecter de façon sécurisée à une borne Wireless. La seconde partie proposera une méthodologie pour créer un réseau Wireless beaucoup plus sécurisé mais nécessitant beaucoup plus de moyens.

Le paramétrage d'un client réseau en mode infrastructure se fait de la même façon que pour un client Ad Hoc. La différence réside dans le fait que le réseau Wireless à paramétrer est détecté automatiquement. Il apparaît dans la liste des réseaux disponibles. Il faut connaître le SSID du réseau que vous voudrez joindre. Cliquez sur le bouton Configurer. Vous pouvez alors rentrer les paramètres du réseau Wireless. Les propriétés à rentrer dépendent du réseau que vous joignez.

Si vous montez votre propre réseau, il est conseillé de paramétrer votre borne d'accès avec le filtrage par adresse MAC, premier niveau de sécurité pour l'authentification. Ce paramétrage s'effectue directement sur la borne. L'adresse MAC d'une carte réseau est toujours marquée dessus. Si tel n'est pas le cas, vous pouvez toujours obtenir le numéro de votre adresse MAC en ouvrant une console puis en tapant ipconfig /all. Le résultat ressemble à cela :

Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : NETGEAR MA401 Wireless PC Card
Adresse physique . . . . . . . . .: 00-30-AB-29-9A-FD
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 192.168.0.2
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.0.1
Serveur DHCP. . . . . . . . . . . : 192.168.0.1
Serveurs DNS . . . . . . . . . . : 193.252.19.3
193.252.19.4
Bail obtenu . . . . . . . . . . . : samedi 6 octobre 2006 20:52:35
Bail expirant . . . . . . . . . . : mardi 9 octobre 2006 20:52:35

Cela vous donne l'adresse physique de votre carte qui représente l'adresse MAC. Cette adresse est à fournir à l'administrateur qui gère la borne pour qu'il vous autorise à vous y connecter. La plupart des bornes se paramètrent à travers un browser. On prendra comme exemple une borne Netgear MR314. La plupart des bornes possèdent des paramètres équivalents. Le paramétrage du filtrage MAC donne :

Ensuite, afin que vos communications soient cryptées, il est nécessaire d'activer les paramètres du WEP dans l'AP. Vous avez la possibilité de spécifier 4 clés différentes. Cela vous permet par exemple d'avoir une clé permanente que vous changez de temps en temps et des clés temporaires que vous pouvez fournir à des invités ou des intérimaires. A leur départ, vous désactivez la clé. Dans la plupart des cas, vous pouvez générer les clés avec des phrases, plus faciles à retenir que les valeurs hexa des 13 octets… Dans le cas de la borne MR314, cela donne :

Encore une fois, il est conseillé de n'utiliser que le cryptage 128 bits (clé de 104 bits), plus sécurisé que le cryptage 64 bits (clé de 40 bits).

Partons du principe que l'administrateur réseau a correctement paramétré le filtrage par adresse MAC, que votre adresse sera allouée en DHCP et qu'il a positionné le WEP à 128 bits. Côté client, le réseau doit apparaître dans les réseaux disponibles. Pour le configurer, appuyez sur le bouton Configurer.

DHCP et qu'il a positionné le WEP à 128 bits

Sélectionnez la case Cryptage de données (WEP Activé)
décochez la case La clé m'est fournie automatiquement.
Rentrez ensuite la Clé réseau sur 104 bits soit en caractères ASCII soit en hexa.
Cliquez ensuite sur OK.

Le réseau apparaît ensuite dans la catégorie Réseaux favoris. Fermer la fenêtre propriété en cliquant sur OK (si vous devez saisir une adresse IP statique n'oubliez pas de le faire).

Si tout se passe bien, vous devriez être connecté au réseau. En cas de problème, vérifiez que vous avez correctement paramétré la clé WEP, que l'administrateur a bien saisi votre adresse MAC et que le firmeware de votre carte réseau est à jour. Pour vérifier les propriétés, cliquez sur le bouton Propriétés de la section Réseaux favoris.

2) Mise en place d'un serveur Remote Authentication Dial-In User Service (RADIUS) :

Cette mise en place se base sur l'implantation d'un serveur Remote Authentication Dial-In User Service (RADIUS), basé sur les RFCs 2865 et 2866. Ce serveur RADIUS permettra de façon centralisée d'authentifier, d'autoriser et de gérer les comptes (appeler Authentication, Authorization, and Accounting ou AAA en anglais) pour :

Les AP
L'authentification des switch Ethernet
Les serveurs de type Virtual Private Network (VPN)
Les serveurs de connexion Digital Subscriber Line (DSL)
Plus généralement, tout autre serveur d'accès à un réseau

L'infrastructure RADIUS type peut se schématiser ainsi :

Chez Microsoft, le serveur RADIUS est inclus dans la famille Windows 2000 Server, il s'agit de Internet Authentication Service (IAS). IAS s'appuie sur Active Directory pour authentifier les utilisateurs et pour autoriser ou non les utilisateurs à accéder au réseau en dial-in.

Le paramétrage permet de créer des profils et de jouer sur des règles qui définissent les privilèges et les interdictions d'accès.

Pour gérer l'authentification à la fois des machines et des utilisateurs, nous avons opté pour une solution à base de certificats. Il est nécessaire de posséder deux certificats pour pouvoir s'authentifier, un pour la machine, l'autre pour l'utilisateur. Si et seulement si les deux certificats sont valables alors l'authentification est validée. Une encryptions forte est utilisée pour les communications.

Tags: Infrastructure, WIFI, Point accès, routeur, ADSL, modem, configuration, réseaux, formation