Sie sind auf Seite 1von 49

Ministre de lEnseignement Suprieur, de la Recherche Scientifique, des

Technologies de lInformation et de la Communication


Universit de Tunis El Manar

Dpartement des Technologies de lInformation et de la Communication

Stage ingnieur

ralis par

Bilel KAABAR
intitul

Contrle dun rseau local sans fil


partir dun site distant
Encadrant :
Entreprise daccueil :

Mr Atef BELHADJ ALAYA


OneTech Business Solution

Anne Universitaire : 2015-2016

Remerciements

Nous tenons tout dabord, remercier lentreprise OneTech Business Solution de nous avoir accueilli durant ces deux mois de stages, davoir fourni
latmosphre magnifique pour raliser le stage et de nous avoir donn lopportunit nous intgrer lquipe dingnieurs.
Nous remercions tout particulirement Mr Atef Belhadj Alaya notre encadrant, de nous avoir encadr et conseill tout au long la priode de stage et
pour le sujet intressant quil nous a propos. Nous tenons galement manifester nos expressions de respects aux membres de Jury qui ont accept
valuer notre travail.
Finalement, nous remercions tous ceux qui ont aid de prs ou de loin pour
que notre stage passe dans les meilleures conditions.

Table des matires


Introduction gnrale
1 Introduction de stage
1.1 Introduction . . . . . . . . . . . . . . . . .
1.2 Prsentation de lentreprise . . . . . . . . .
1.2.1 Le groupe OneTech Holding . . . .
1.2.2 OneTech Business Solution (OTBS)
1.2.3 Missions de lOTBS . . . . . . . . .
1.2.4 Ressources humaines . . . . . . . .
1.3 Sujet de stage . . . . . . . . . . . . . . . .
1.3.1 Prsentation de sujet de stage . . .
1.3.2 Objectifs de stage . . . . . . . . . .
1.4 Prsentation Fortinet . . . . . . . . . . . .
1.4.1 Lentreprise Fortinet . . . . . . . .
1.4.2 Les produits de Fortinet . . . . . .
1.5 Chronogramme de stage . . . . . . . . . .
1.6 Conclusion . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.

1
2
2
2
2
2
3
3
3
3
4
4
4
5
5

2 Technologie Wifi et configuration avec Fortinet


2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 La norme Wifi (IEEE 802.11) . . . . . . . . . . . . . . . . . .
2.2.1 Couche Physique . . . . . . . . . . . . . . . . . . . . .
2.2.2 Modes de dploiement . . . . . . . . . . . . . . . . . .
2.2.3 Les diffrentes normes Wifi . . . . . . . . . . . . . . . .
2.2.4 Paramtres dun rseau Wifi . . . . . . . . . . . . . . .
2.3 Configuration dun rseau Wifi avec des quipements Fortinet
2.3.1 Cration dun profil AP . . . . . . . . . . . . . . . . .
2.3.2 Dploiement dun point daccs . . . . . . . . . . . . .
2.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6
7
7
7
7
8
9
9
10
13
14

3 Scurit dun rseau informatique et caractristiques des quipements Fortinet


3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Scurit dun rseau sans fil . . . . . . . . . . . . . . . . . . .
3.2.1 Accs au rseau . . . . . . . . . . . . . . . . . . . . . .
3.2.2 Chiffrement des donnes . . . . . . . . . . . . . . . . .
3.2.3 Dtection des AP rogues . . . . . . . . . . . . . . . . .

15
16
16
16
17
18

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

TABLE DES MATIRES

3.3

3.4
3.5

3.2.4 Gestion des utilisateurs . . .


VPN (Virtuel Private Network) . .
3.3.1 Dfinition . . . . . . . . . .
3.3.2 Paramtres dun canal IPsec
3.3.3 Modes de configuration dun
Politiques de scurit chez Fortinet
Conclusion . . . . . . . . . . . . . .

. . . .
. . . .
. . . .
VPN .
tunnel
. . . .
. . . .

. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
IPsec VPN
. . . . . . .
. . . . . . .

4 Architecture de contrle dun rseau sans fil distant


4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . .
4.2 tude de la solution . . . . . . . . . . . . . . . . . . .
4.2.1 Critres de la solution . . . . . . . . . . . . . .
4.2.2 Matriels utiliss . . . . . . . . . . . . . . . . .
4.3 Conception de larchitecture . . . . . . . . . . . . . . .
4.4 Configurations et implmentation . . . . . . . . . . . .
4.4.1 Configuration de base des Fortigate . . . . . . .
4.4.2 Configuration de FortiAuthenticator . . . . . .
4.4.3 Configuration du contrleur sans fil . . . . . . .
4.4.4 Configuration du canal IPsec VPN . . . . . . .
4.4.5 Gestion de trafic . . . . . . . . . . . . . . . . .
4.4.6 Jointure des AP . . . . . . . . . . . . . . . . . .
4.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.

19
19
20
20
22
24
24

.
.
.
.
.
.
.
.
.
.
.
.
.

25
26
26
26
26
27
28
28
28
30
31
34
34
35

Conclusion gnrale

36

Bibliographie

38

iv

Table des figures


1.1

Chronogramme de stage . . . . . . . . . . . . . . . . . . . . .

2.1
2.2
2.3
2.4

Illustration des canaux Wifi dans la bande 2.4 GHz . . . . .


Topologie dun AP en mode "Tunnel to Wireless Controler"
Topologie dun AP pont avec le rseau local (Local Bridge)
Topologie Mesh Downlink . . . . . . . . . . . . . . . . . . .

3.1
3.2
3.3
3.4
3.5
3.6

Dtection des AP rogues . . . . . . . . . . . . . . .


Surveillance des AP rogues . . . . . . . . . . . . . .
Surveillance des clients connects sur linterface Wifi
tigate . . . . . . . . . . . . . . . . . . . . . . . . . .
Topologie IPsec Dial-up user . . . . . . . . . . . . .
Topologie IPsec Site-to-site . . . . . . . . . . . . . .
Topologie IPsec Hub and spoke . . . . . . . . . . .

4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8

Architecture de contrle dun rseau sans fil distance . . . .


Arbre LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de serveur LDAP sur le Fortigate . . . . . . . .
Test des authentifications des utilisateurs LDAP sur le Fortigate
Configuration de contrleur sans fil . . . . . . . . . . . . . . .
Configuration de la premire phase dun canal IPsec VPN . .
tablissement dun canal IPsec VPN . . . . . . . . . . . . . .
Jointure des points daccs avec le Fortigate de contrle . . . .

. . .
. . .
dun
. . .
. . .
. . .
. . .

.
.
.
.

8
11
12
12

. . .
. . .
For. . .
. . .
. . .
. . .

18
19
19
22
23
23
27
29
30
30
31
33
33
35

Liste des tableaux


2.1

Les normes IEEE 802.11x . . . . . . . . . . . . . . . . . . . .

4.1
4.2

Table dadressage de larchitecture ralis . . . . . . . . . . . .


Exemples de politiques cres sur le Fortigate . . . . . . . . .

28
34

Liste des acronymes


aes Advanced Encryption Standard
AP Acess Point
GUI Gaphical User Interface
EAP Extensible Authentication Protocol
IPsec Internet Protocol Security
LDAP Lightweight Directory Access Protocol
RADIUS Remote Authentication Dial-In User Service
TKIP Temporal Key Integrity Protocol
UTM Unified Threat Management
VPN Virtual Private Network
WEP Wired Equivalent Privacy
WLAN Wireless Local Acess Network
WPA Wifi Protected Access

Introduction gnrale
Le Wifi est un rseau sans fil qui a connu un grand succs sur le march des
tlcommunications. Grce ses technologies, il permet une connexion haut
dbit, il relie des quipements distants sans utiliser des cbles et il donne la
possibilit aux utilisateurs de se dplacer sans perdre la connexion. Par consquent, les rseaux sans fil sont devenus largement dploy par les entreprises
et les tablissements. Nous parlons dans ce cas des WLAN (Wireless Local
Access Network). Cependant, le contrle dun tel rseau est important afin de
garantir la scurit, lintgrit et la confidentialit.

Et puis, les constructeurs des matriels rseaux et les intresss au domaine


ont offert plusieurs techniques et quipements qui permettent de grer les
rseaux sans fil et de maintenir leur robustesse. Cest dans ce cadre quintervient le projet de notre stage ingnieur effectu chez OneTech Business
Solution durant la saison dt. Il sagit de concevoir et implmenter une solution de contrle dun rseau WLAN partir dun site distant en exploitant des
quipements Fortinet. Nous avons commenc dans un premier lieu par tudier les technologies et les caractristiques de matriels Fortinet et tester leurs
performances. Ensuite nous avons choisi les configurations appropries et les
technologies permettant datteindre le but de stage. Enfin, nous avons ralis
une maquette pour mettre en uvre la solution propose. Notre architecture
finale est compose par des routeurs qui communiquent grce un canal IPsec
VPN, le rseau qui les relie est modlis par lInternet, un contrleur sans fil
qui gre tous points daccs sur le rseau, un serveur dauthentification et des
quipements pour le test de la connectivit (ordinateurs et tlphones mobiles).

Le prsent rapport est compos de quatre chapitres : Dans le premier chapitre, nous prsentons lentreprise daccueil, le cadre du stage et les objectifs
viss. Le deuxime chapitre couvre, dans une premire partie, la prsentation
de la technologie Wifi et dans une deuxime partie nous nous intressons aux
caractristiques des quipements Fortinet pour la cration dun rseau local
sans fil. Le troisime chapitre prsente les mcanismes et les services de scurit dun rseau informatique. Finalement, le quatrime chapitre soccupe de
larchitecture finale et la ralisation de notre solution.

Chapitre 1

Introduction de stage

Sommaire
1.1
1.2

1.3

1.4

1.5
1.6

Introduction . . . . . . . . . . . . . . . . . . .
Prsentation de lentreprise . . . . . . . . . .
1.2.1 Le groupe OneTech Holding . . . . . . . . . .
1.2.2 OneTech Business Solution (OTBS) . . . . .
1.2.3 Missions de lOTBS . . . . . . . . . . . . . .
1.2.4 Ressources humaines . . . . . . . . . . . . . .
Sujet de stage . . . . . . . . . . . . . . . . . . .
1.3.1 Prsentation de sujet de stage . . . . . . . . .
1.3.2 Objectifs de stage . . . . . . . . . . . . . . .
Prsentation Fortinet . . . . . . . . . . . . . .
1.4.1 Lentreprise Fortinet . . . . . . . . . . . . . .
1.4.2 Les produits de Fortinet . . . . . . . . . . . .
Chronogramme de stage . . . . . . . . . . . .
Conclusion . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

2
2
2
2
2
3
3
3
3
4
4
4
5
5

1.1 Introduction

1.1

Introduction

Dans ce chapitre, nous prsentons le cadre gnral du stage. Nous commenons tout dabord par une prsentation de lentreprise daccueil. Ensuite, nous
dfinissons le sujet et les objectifs de notre stage. Enfin, nous prsentons le
chronogramme de droulement des diffrentes phases.

1.2

Prsentation de lentreprise

Notre stage a t effectu OneTech Business Solution Charghuia II


Tunis.

1.2.1

Le groupe OneTech Holding

OneTech Business Solution (OTBS) est une filiale du groupe OneTech Holding, un groupe priv et un leader technologique qui apporte des solutions
ses clients dans trois domaines principaux : la cblerie, la mcatronique et
la technologie de linformation et de la communication. Il opre lchelle
nationale et internationale. Son chiffre daffaires dpasse le 185 millions deuros grce ses trois secteurs dactivits : tlcoms, mcatronique et cblerie.
[webmanagercenter.com 2013]

1.2.2

OneTech Business Solution (OTBS)

La filiale OTBS a t cre en 2005 sous le nom de OneTech dveloppement, intgrateur de solutions rseaux, tlcoms et scurit. En 2011, elle a
t fusionne avec TTE et INTELCOM, entreprises spcialises dans la fabrication et la commercialisation de matriels de tlcommunication ddis
aux entreprises. Elle a port depuis cette reconstitution le nom OneTech Business Solution. Le sige de lentreprise est localis la rue des entrepreneurs,
Charguia II Tunis. [onetech bs.com 2012]

1.2.3

Missions de lOTBS

Etant un intgrateur en tlcom, OTBS est spcialise la conception et la


spcification des architectures rseaux. Elle assure la migration des architectures des clients. Elle implmente des solutions de scurit informatique. Elle
peut aussi former et auditer ses clients. Comme elle soccupe de maintenance.
OTBS vise atteindre les objectifs suivants :
Trouver des solutions rapides et efficaces aux problmes des clients.

1.3 Sujet de stage

Fournir les dernires technologies aux clients et donner les meilleurs


conseils.
Aider les clients amliorer les performances de leurs systmes informatiques dans la dure et la scurit.
[onetech bs.com 2012]

1.2.4

Ressources humaines

Trois profils sont demands OTBS, le profil dun ingnieur ayant une formation en rseaux et tlcommunications et ayant acquis des connaissances
dans le domaine des protocoles de rseaux, ambitieux et rigoureux. Le profil
dun technicien (lectricit, cblage...) et le profil dun ngociateur pour les
services avant et aprs vente. La direction de lentreprise compte sur la motivation de ses employs, la formation et la gestion des comptences. [onetech
bs.com 2012]

1.3
1.3.1

Sujet de stage
Prsentation de sujet de stage

La technologie sans fil est lune des technologies les plus rpandus nos jours.
Le dploiement et la gestion des rseaux sans fil fait la profession de plusieurs
intgrateur tlcoms ce qui a men vers des innovations et des amliorations
dans ce secteur afin de bien grer ces rseaux, faciliter leur dpannage et garantir leur scurit contre les menaces. Notre stage se situe dans ce cadre, il
sagit de concevoir une architecture rseau qui permet le contrle et la gestion
dun rseau local sans fil de type Wifi partir dun site distant tout en garantissant la scurit. En exploitant les fonctionnalits de matriels Fortinet, nous
devons configurer et tester une maquette qui modlise la solution propose.

1.3.2

Objectifs de stage

La solution propose doit satisfaire aux objectifs suivants :


Grer un rseau sans fil partir dun site distant : Identifier et surveiller
les utilisateurs, contrler les points daccs...
Garantir la scurit rseau.
Maintenir la connectivit des utilisateurs.
Concevoir une architecture simple implmenter.
Exploiter les caractristiques de Fortinet.
3

1.4 Prsentation Fortinet

1.4
1.4.1

Prsentation Fortinet
Lentreprise Fortinet

Fortinet est une entreprise amricaine cre en 2000 par Ken Xie ancien
prsident de NetScreen. Elle a mis son premier produit sur le march en mai
2002. Elle est spcialise en scurit rseau en mettant en vre des solutions
matrielles et logicielles sur le secteur des UTM (Unified Thread Management)
[Flexos 2013]

1.4.2

Les produits de Fortinet

Fortinet a mis sur le march plusieurs produits ayant des diffrentes fonctionnalits. Durant la priode de stage, nous nous sommes intresss aux quipements suivants :
FortiGate : FortiGate est un panel fournissant plusieurs fonctionnalits au rseau, il constitue le cur dans une architecture. En plus de
sa capabilit de routage et de commutation et de son support des deux
versions ipv4 et ipv6, il offre des fonctions de scurit via son approche
UTM : pare-feu, antivirus, antispam, protection contre les intrusions,
VPN, filtre Web, filtre Email, contrle terminal, contrle dapplication
et contrleur Wi-Fi.
Tous ces services sont offerts par une seule appliance physique ou machine virtuelle.
FortiAP : FortiAP est un dispositif qui permet aux utilisateurs quips
dune carte rseau sans fil de se connecter au rseau. La famille des FortiAP est capable de supporter les diffrents types de radio (802.11a/b/c/g/n/ac).
Il existe notamment deux types de FortiAP :
ThickAP (Point daccs lourd) gnralement appel FortiWifi :
Cest un dispositif capable de fournir un accs rseau sans fil aux
utilisateurs et de commuter les paquets. Il peut oprer sans contrleur.
ThinAP (Point daccs lger) : Cest un point daccs qui fournit
seulement laccs sans fil aux utilisateurs y connects. Il est contrl
par un FortiGate.
FortiAuthenticator : FortiAuthenticator est un quipement qui fournit une gestion dauthentification sur le rseau. Il peut fonctionner comme
un serveur RADIUS et LDAP comme il supporte le Two-Factor Authentication et la norme IEEE 801.1X.

1.5 Chronogramme de stage

FortiPlanner : Fortiplanner est un outil logiciel qui grce son interface graphique permet ltude et le dploiement dun rseau local sans
fil. Il utilise des algorithmes sophistiqus de propagation du signal afin
dassurer la prcision de la planification. Une fois le rseau est dploy,
Fortiplanner permet aux administrateurs de dcouvrir les trous et les
zones de congestion dans le rseau sans fil, ce qui simplifie la gestion et
le dpannage de rseau. Fortiplanner fonctionne sur tous les systmes
dexploitation Windows.
[Fortinet 2012]

1.5

Chronogramme de stage

Le chronogramme 1.1 prsente le droulement des diffrentes tapes de notre


stage pendant la priode consacre.

Figure 1.1 Chronogramme de stage

1.6

Conclusion

Ce chapitre nous a permis dintroduire le cadre gnral de stage ainsi que le


sujet sur lequel nous avons travaill et le droulement chronologique des tches
ralises. Dans le chapitre suivant, nous allons dcouvrir le contrle dun rseau
Wifi et les configurations ncessaires avec des quipements Fortinet.

Chapitre 2

Technologie Wifi et configuration


avec Fortinet

Sommaire
2.1
2.2

Introduction . . . . . . . . . . . . . . . . . . . . . . . .
La norme Wifi (IEEE 802.11) . . . . . . . . . . . . . .
2.2.1 Couche Physique . . . . . . . . . . . . . . . . . . . . .
2.2.2 Modes de dploiement . . . . . . . . . . . . . . . . . .
2.2.3 Les diffrentes normes Wifi . . . . . . . . . . . . . . .
2.2.4 Paramtres dun rseau Wifi . . . . . . . . . . . . . . .
2.3 Configuration dun rseau Wifi avec des quipements
Fortinet . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1 Cration dun profil AP . . . . . . . . . . . . . . . . .
2.3.2 Dploiement dun point daccs . . . . . . . . . . . . .
2.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . .

7
7
7
7
8
9
9
10
13
14

2.1 Introduction

2.1

Introduction

Aprs avoir introduit le cadre gnral de stage et le sujet propos, nous proposons dans ce chapitre la prsentation de la technologie Wifi et ses diffrentes
caractristiques chez Fortinet. Nous dcouvrons dans une premire partie le
support physique et les paramtres dun rseau Wifi. Dans une deuxime partie, nous dcouvrons les configurations et les caractristiques des quipements
Fortinet qui sont introduits dans un rseau Wifi.

2.2

La norme Wifi (IEEE 802.11)

La norme Wifi est le nom commercial donn la norme IEEE 802.11. Cest
lensemble de plusieurs protocoles qui permettent la communication sans fil
dans un rseau informatique. [Wikipedia 2015]

2.2.1

Couche Physique

Afin de faire connecter les quipements dans le rseau, la technologie Wifi


utilise les ondes radio autour de 2.4 GHz ou 5 GHz. Les ondes radios se
propagent librement dans lair et elles sont mises vers toutes les directions,
ce qui en rsulte des interfrences. Lorsquune collision a lieu, on ne peut
pas la dtecter. Ainsi, les rseaux Wifi utilisent le CSMA/CA (Carrier Sense
Multiple Access/Collision Avoidance) comme mthode daccs au support. Un
terminal ne peut mettre que si le support est disponible. Cependant, afin de
garantir la disponibilit de support, une station est considre comme matre
organise les missions. Une station qui veut mettre envoie une courte trame
RTS (Ready To Send) qui contient des informations sur la communication
comme la longueur de la trame et le dbit. Si le canal est libre, la station
matre renvoie une trame CTS (Clear To Send) qui indique lautorisation de
lmission. [Rousse 2013b]

2.2.2

Modes de dploiement

Dans un rseau Wifi, les terminaux doivent tre quips dune carte rseau
sans fil afin de pouvoir communiquer. Il existe deux types de dploiement dun
rseau sans fil :
Mode infrastructure : Il sagit de faire connecter les diffrents terminaux par un ou plusieurs points daccs. Ce dernier opre dans le rseau
comme un concentrateur. Ce mode est efficace dans les rseaux dentreprises.

2.2 La norme Wifi (IEEE 802.11)

Mode Ad-hoc : Les terminaux communiquent directement entre eux


sans avoir besoin dun quipement intermdiaire. Ce mode permet une
connexion rapide. (www.commentcamarche.com)
[commentcamarche.com 2012]

2.2.3

Les diffrentes normes Wifi

La technologie Wifi est une technologie universelle qui volue rapidement.


Plusieurs normes Wifi sont apparues, notons que la dernire norme 802.11ac
offre un dbit 3 fois plus lev que les anciennes normes. Le tableau 2.1 illustre
les diffrentes normes 802.11 et leurs caractristiques :
802.11
Bande
Largeur du canal
Dbit
Porte

a
5 GHz
20 MHz
54 Mbps
~35 m

b
2,4 GHz
20 MHz
11 Mbps
~35 m

g
2,4 GHz
20 MHz
54 Mbps
~35 m

n
2,4 GHz et 5 GHz
20 MHz ou 40 MHz
De 72 450 Mbps
~70m

ac
2.4GHz et 5 GHz
40 MHz ou 80 MHz
De 433 1300 Mbps
~100m

Table 2.1 Les normes IEEE 802.11x


[Sergere 2014]
Dans la norme 802.11 il existe plusieurs canaux qui dpendent de la rgion
o le rseau est dploy. En Europe par exemple, la bande 2.4GHz est dcoup
en 14 canaux spars par 5MHz. On peut utiliser au maximum 3 canaux la
fois pour viter les chevauchements si plusieurs AP sont dploys. La figure
2.1 illustre un exemple de dcoupage de la bande 2.4GHz.

Figure 2.1 Illustration des canaux Wifi dans la bande 2.4 GHz
[cisco 2015]
8

2.3 Configuration dun rseau Wifi avec des quipements Fortinet

2.2.4

Paramtres dun rseau Wifi

Dans le but de la gestion dun rseau Wifi, il faut dfinir plusieurs paramtres qui assurent la disponibilit de rseau et garantir sa scurit. De ces
paramtres nous pouvons citer :
SSID (Service Set Identifier) : Cest lidentifiant de rseau, cest dire
le nom quil porte. Il est de prfrence un nom significatif.
Mode de scurit : Il faut tenir compte de plusieurs facteurs de scurit
lors de configuration dun rseau sans fil :
Diffusion de lSSID : Ladministrateur rseau peut choisir de diffuser lSSID ou non. Dans le cas de la non diffusion, le rseau ne sera
plus dtectable que si lutilisateur possde lSSID, mais les paquets
peuvent tre sniffs.
Type de scurit : Cest la slection de la mthode par laquelle un
utilisateur peut accder au rseau. Il existe plusieurs types de mode
de scurit (WEP, WPA, WPA2, portail captif...).
Type de chiffrement : Comme le support physique du rseau Wifi
est lair, il est possible pour un pirate de sniffer les paquets. Pour
viter ces violations, les donnes sont chiffres. Il existe plusieurs
types de chiffrement comme lAES et le TKIP. Les modes de scurit et de chiffrement seront dtaills dans le 3me chapitre.
Plage dadresse : Si on veut que les utilisateurs se voient attribuer une
adresse logique automatiquement, on doit disposer dun serveur DHCP.
Si on utilise des quipements Fortinet, le contrleur peut oprer comme
un serveur DHCP et on doit spcifier la plage dadresse.
Il existe des autres paramtres qui ne sont pas forcment configurs,
comme le nombre maximal des clients, le contrleur de secours...
[FortiOS_Handbook 2014a]

2.3

Configuration dun rseau Wifi avec des quipements Fortinet

Dans le but de crer un rseau sans fil laide des quipements Fortinet,
on peut utiliser un contrleur, appel Fortigate, et un point daccs, appel
FortiAP. Comme on peut utiliser un seul dispositif, le Fortiwifi qui opre
comme un contrleur sans fil et un point daccs la fois. Nous nous intressons
un rseau cr par des Fortigate et des FortiAP. Nous pouvons configurer
les Fortigate avant dinstaller les points daccs. Le Fortigate offre en plus
9

2.3 Configuration dun rseau Wifi avec des quipements Fortinet

des caractristiques universelles de rseau Wifi, dautres caractristiques qui


seront abords dans ce chapitre.

2.3.1

Cration dun profil AP

Le Fortigate peut tre configur par une interface de lignes commandes


(CLI) ou par une interface web. On commence par dfinir les profils AP souhaits comme on peut slectionner un profil par dfaut. Le profil AP est compos de deux objets :
2.3.1.1

SSID

Cest une interface wifi virtuelle cre sur le Fortigate sur laquelle on dfinit :
Nom de linterface.
Type de linterface : On doit slectionner Wifi SSID.
Mode de trafic : Il existe trois types de mode de trafique :
Tunnel to wireless controler : Cest le mode par dfaut. Tout le
trafic passe par le Fortigate. Dans ce cas, on doit spcifier une plage
dadresse dans un sous rseau diffrent des autres interfaces de
Fortigate. La figure 2.2 reprsente une topologie Tunnel to Wireless
Controler.
Local Bridge : Dans ce mode, le trafic passe aussi par le Fortigate mais les clients connects linterface Wifi se trouvent dans le
mme sous rseau que linterface Ethernet. Ce mode peut tre modlis par un commutateur o lAP est pont avec le rseau local.
La figure 2.3 reprsente une topologie Local Bridge.
Mesh Downlink : Ce mode est configur lorsquon a plusieurs AP
dployer et un seul est connect au Fortigate. Le FortiAP connect
au Fortigate est appel Mesh root, les autres FortiAP sont appels
Mesh branch ou Mesh leaf. Le trafic passe par un AP un autre
jusqu atteindre le mesh root puis vers le Fortigate. Dans ce cas de
figure, une bande est utilis pour la connexion des clients et lautre
bande pour le trafic transport entre les AP. (Exemple : La bande
2.4GHz est ddie aux utilisateurs, la bande 5GHz est ddie pour
le rseau mesh).
La figure 2.4 reprsente une topologie Mesh Downlink.
Adresse IP : Spcification de ladresse IPv4 ou IPv6.
Accs administrative : Slection des protocoles par lesquels on peut accder au point daccs. (Telnet, SSH, http...)
10

2.3 Configuration dun rseau Wifi avec des quipements Fortinet

Serveur DHCP : Spcifier ladresse du serveur DHCP ou bien slectionner le Fortigate comme serveur DHCP.
Paramtres Wifi : Ces paramtres inclussent :
SSID diffuser, cest le nom de rseau sans fil visible aux utilisateurs.
Mode de scurit : WPA, WEP, Portail captif...
Chiffrement des donnes : AES, TKIP...
Nombre maximum de clients.
Gestion des appareils : Si cette option est active, on peut grer
les clients connects, et galement extraire plusieurs informations
(Systme dexploitation utilis, nom de lappareil...)
Si le mode de scurit choisit est WPA2-Entreprise ou portail captif, une
authentification est alors requise, do on doit spcifier les groupes des utilisateurs autoriss sauthentifier. Ces groupes peuvent tre dfinis en local,
cest--dire sur le Fortigate, ou bien sur un serveur externe, RADIUS par
exemple. [FortiOS_Handbook 2014a]

Figure 2.2 Topologie dun AP en mode "Tunnel to Wireless Controler"

11

2.3 Configuration dun rseau Wifi avec des quipements Fortinet

Figure 2.3 Topologie dun AP pont avec le rseau local (Local Bridge)

Figure 2.4 Topologie Mesh Downlink

[FortiOS_Handbook 2014b]
2.3.1.2

Profil Physique

On dfinit dans cette partie la plateforme utilise (version du FortiAP), le


SSID associ, la norme supporte (802.11 n/g/a...) la frquence ainsi que les
canaux et la puissance de signal, cest--dire on peut choisir le pourcentage
de puissance que le point daccs met.

12

2.3 Configuration dun rseau Wifi avec des quipements Fortinet

2.3.2

Dploiement dun point daccs

2.3.2.1

Contrle dun point daccs

Aprs avoir configur le Fortigate, on peut connecter les FortiAP. Notons


que le nombre maximal des AP quon peut contrler dpend de Fortigate utilis. Le Fortigate 90D par exemple peut contrler jusqu 10 FortiAP alors
quun Fortigate 30D ne peut contrler que 2 FortiAP la fois.
Le Fortigate peut tre configur avec une dcouverte automatique des AP,
ces derniers sont alors dtects par les contrleurs les plus proches. Comme
on peut configurer le FortiAP en lui indiquant ladresse du contrleur par
lequel on veut le contrler. En outre, les FortiAP sont toujours dtects par
les Fortigate sur lesquels ils sont directement connects. Un FortiAP peut tre
dtect par plusieurs Fortigate mais il nest gr que par un seul. Si le FortiAP
nest pas dtect automatiquement on peut entrer son numro de srie sur le
Fortigate pour forcer la dcouverte.
Une fois le FortiAP est dtect, on doit activer son contrle partir de Fortigate et le faire associ un des profils cre. Un mme profil peut tre associ
plusieurs FortiAP alors queun FortiAP ne peut tre configur que par un seul
profil. Un FortiAP dtect et configur sajoute dans une liste des AP grs
(Monitored AP) quon peut par la suite le modifier. [FortiOS_Handbook 2014c]
2.3.2.2

Protocole CAPWAP

La communication entre un contrleur sans fil et un AP est tablit grce


un protocole appel CAPWAP. Ce protocole doit tre activ sur le port o
lAP est connect. Il a pour fonction dinitialiser le processus de dcouverte.
Les points daccs envoient des requtes de demande de dcouvert (discovery
request messages) afin de chercher les contrleurs. Un contrleur qui reoit
ces requtes sur un port o le protocole CAPWAP est activ rpond par une
requte de rponse de dcouvert (discovery request response). Les deux quipements tablissent alors une connexion scurise sur laquelle ils schangent
les informations de contrle et les donnes. [Rousse 2013a]
2.3.2.3

Fast-Roaming

Dans un rseau o on utilise plusieurs points daccs, les utilisateurs mobiles


peuvent se dplacer dune zone de couverture dun AP une autre. Le processus de rauthentification peut prendre quelques secondes ce qui engendre une
perte temporaire de la connexion. FortiAP fast-roaming rsolue ce problme
dans le cas des AP grs par le mme Fortigate.
Le point daccs associe chaque client une cl appele Pairewise Master Key

13

2.4 Conclusion

(PMK) quil la transfert vers tous les points daccs sur lesquels le client peut
se connecter. Lorsque le client mobile se dplace vers une zone de couverture
dun autre AP, il utilisera cette cl pour se connecter rapidement sans devoir
se r-authentifier. [FortiOS_Handbook 2014d]

2.4

Conclusion

Ce chapitre nous a permis de dcouvrir la technologie Wifi et les principales


fonctions dun rseau utilisant cette technologie. Par la suite, nous avons dtaill les paramtres configurer et les caractristiques dun rseau sans fil
avec des quipements Fortinet. Dans le chapitre suivant, nous dcrivons les
mcanismes et les services de scurit dun rseau informatique en nous intressant aux quipements Fortinet.

14

Chapitre 3

Scurit dun rseau informatique


et caractristiques des
quipements Fortinet

Sommaire
3.1
3.2

Introduction . . . . . . . . . . . . . . . . . . . .
Scurit dun rseau sans fil . . . . . . . . . . .
3.2.1 Accs au rseau . . . . . . . . . . . . . . . . . .
3.2.2 Chiffrement des donnes . . . . . . . . . . . . .
3.2.3 Dtection des AP rogues . . . . . . . . . . . . .
3.2.4 Gestion des utilisateurs . . . . . . . . . . . . .
3.3 VPN (Virtuel Private Network) . . . . . . . . .
3.3.1 Dfinition . . . . . . . . . . . . . . . . . . . . .
3.3.2 Paramtres dun canal IPsec VPN . . . . . . .
3.3.3 Modes de configuration dun tunnel IPsec VPN
3.4 Politiques de scurit chez Fortinet . . . . . . .
3.5 Conclusion . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

16
16
16
17
18
19
19
20
20
22
24
24

3.1 Introduction

3.1

Introduction

Les systmes informatiques prsentent des vulnrabilits ce qui rend le rseau une destination aux attaques dans le but dobtenir des informations confidentielles et nuire aux machines appartenant au rseau. Dans ce chapitre, nous
dcrivons les mcanismes de scurit dans un rseau sans fil, la technologie
VPN et les services et les politiques de scurit offertes par les quipements
Fortinet.

3.2

Scurit dun rseau sans fil

Les rseaux sans fil font partie des rseaux les plus susceptibles aux attaques
et la violation des informations puisque le support physique dun tel rseau
est lair ce qui rend facile pour un pirate de sniffer les paquets et mme devenir
un membre de rseau. Les intressants au domaine ont dvelopp plusieurs
mesures de scurit afin de dtecter, prvenir et lutter contre les attaques.

3.2.1

Accs au rseau

Dfinir des mcanismes qui organisent laccs au rseau peut lutter contre
certaines attaques. Laccs un rseau Wifi peut tre scuris par lexigence
dune cl partage ou d-une authentification.
3.2.1.1

Les cls partages

Ce type daccs est connu aussi sous le nom de secret partag. En configurant laccs linterface Wifi par une cl partage, un utilisateur ne sera
capable dappartenir au rseau que sil dispose de cette cl. On distingue essentiellement deux protocoles de scurit des rseaux sans fil de type wifi utilisant
les cls partages :
WEP (Wired Equivalent Privacy) : Cest le premier protocole conu
pour scuriser les rseaux sans fils de type Wifi. Il utilise une cl de
longueur 64 bits ou 104 bits et un vecteur dinitialisation (Initialisation
Vector VI) de longueur 24bits. Il est utilis sur des petits rseaux o la
distribution de cl est facile. Ce protocole a connu plusieurs faillis ce qui
a conduit lapparition de WPA. [Scurit Wifi Guillaume Lehembre]
WPA-Personnel (Wifi Protected Access Personnel) : Pour rsoudre les
faiblesses de WEP, les chercheurs ont cr le WPA. Ce dernier a t
amlior par la suite ce qui a men lapparition de son successeur
WPA2. WPA-Personnel est une variante de WPA qui utilise une cl de
256 bits que les utilisateurs utilisent pour accder au rseau Wifi. Ce
16

3.2 Scurit dun rseau sans fil

mode est utile pour un petit groupe ou une petite entreprise. Le risque
devient majeur si le groupe des utilisateurs augmente.
[Lehembre 2006a]
3.2.1.2

Authentification (IEEE 802.1X)

La norme IEEE 802.1X a t conu afin damliorer la scurit dun rseau


sans fil en exigeant une authentification aux utilisateurs voulant accder au
rseau. En effet, lorsque le nombre des utilisateurs est important, la distribution des cls partages devient plus difficile et le risque de perdre la scurit
de cl devient majeur. Chaque utilisateur doit disposer alors de ses propres
informations dauthentification (un nom et un mot de passe) qui sont vrifi
travers un serveur (ex : RADIUS, LDAP...). La norme 802.1X utilise le protocole EAP (Extensible Authentication Protocol) pour lchange des messages
dauthentification. [Rouse 2005]
On distingue principalement deux modes dauthentification :
WPA-Entreprise (Wifi Protected Access Entreprise) : Cest la deuxime
variante du protocole WPA mais elle est base sur lauthentification
travers un serveur RADIUS. Ce protocole est conu pour les rseaux
des entreprises et offre plus de scurit que WPA-Personnel. WPAEntreprise concerne aussi WPA2. [Wiki]
Portail Captif : La scurit par un portail captif force les clients HTTP
de passer par une page web dans laquelle ils doivent saisir leurs informations dauthentification pour pouvoir devenir un membre de rseau.
Avec un Fortigate, nous pouvons personnaliser la page de portail captif.
[Lehembre 2006a]
En utilisant lun de ces deux modes sur le Fortigate, ce dernier peut oprer comme un serveur dauthentification en crant des utilisateurs locaux sur
lquipement, comme on peut utiliser un FortiAuthenticator en configurant
son adresse sur le Fortigate.

3.2.2

Chiffrement des donnes

tant donn que les messages dans un rseau sans fil sont parpills dans
lair, ils peuvent tre intercepts. Dans le but de les scuriser, on peut utiliser
des algorithmes de chiffrement. Deux types de chiffrement sont souvent utiliss
dans les rseaux Wifi :
TKIP (Temporal Key Integrity Protocol) : Ce protocole a t conu
afin damliorer le protocole WEP. Bien quil utilise le mme algorithme
17

3.2 Scurit dun rseau sans fil

de chiffrement RC4 utilis par WEP, il change la cl de chiffrement des


messages priodiquement, le vecteur dinitialisation est hach et il utilise
des numros de squence pour empcher la rutilisation des paquets.
AES (Advanced Encryption Standard) : Appel aussi algorithme de Rijidael, AES est un algorithme de chiffrement symtrique. Il crypte des
blocs de 128 bits en utilisant des proprits algbriques.
Ces deux algorithmes peuvent tre slectionns simultanment, ce moment
lAP utilisera lalgorithme support par le terminal en favorisant lAES si les
deux sont supports. [Lehembre 2006b]

3.2.3

Dtection des AP rogues

Un point daccs install dans le rseau mais qui nest pas sous le contrle
de ladministrateur est appel un rogue AP. Il constitue une menace sur le
rseau. En effet, un rogue AP bien configur permet de rcuprer plusieurs
informations confidentielles (mots de passe, fichiers partags...) et jouer le rle
dune passerelle pour certaines quipements. Les contrleurs sans fil doivent
tre configurs afin de dtecter les rogues AP et les liminer de rseau.
Afin de grer les rogues AP sur le Fortigate, on doit crer un profil AP
Rogue detector quon lassocie un des FortiAP sur le rseau. Un AP est
dtect comme rogue sera ajout dans une liste appele Rogue AP Monitor
quon peut par la suite empcher les clients de rseau de sy connecter et le
supprimer. [FortiOS_Handbook 2014e] Les figures 3.1 et 3.2 reprsentent des
points daccs trangers dtects par un Fortigate.

Figure 3.1 Dtection des AP rogues

18

3.3 VPN (Virtuel Private Network)

Figure 3.2 Surveillance des AP rogues

3.2.4

Gestion des utilisateurs

La gestion des utilisateurs peut tre tablit avant que les clients connectent
ou aprs.
Gestion avant connexion : On peut crer des listes daccs en permettant
certains quipements seulement de se connecter au rseau. Sur un
Fortigate on peut crer ces listes en indiquant les adresses logiques des
terminaux autoriss, leurs systmes dexploitation... Ensuite on applique
cette liste linterface Wifi. En outre, on peut crer pour chaque profil
AP un filtre dadresse MAC qui autorise ou bloque certains quipements.
Gestion aprs connexion : Aprs que les clients se connectent sur le
rseau, on peut les grer partir du contrleur sans fil en examinant les
informations relatives la communication (dbit, force de signal...). Si
on dtecte des clients trangers sur le rseau, on peut les inspecter et les
bloquer. [FortiOS_Handbook 2014f]
La figure 3.3 reprsente la surveillance des clients connects sur un Fortigate.

Figure 3.3 Surveillance des clients connects sur linterface Wifi dun Fortigate

3.3

VPN (Virtuel Private Network)

Un rseau informatique permet le partage des ressources matriels et logiciels et la communication entre les quipements. Ces utilits exigent parfois
19

3.3 VPN (Virtuel Private Network)

quun utilisateur garde sa connectivit ou demandent des changes des informations sur un rseau tendu. Cest le cas pour les entreprises qui possdent
plusieurs sites distants voulant changer les donnes entre eux ou qui veulent
permettre leurs employs daccder au rseau partir de chez eux. Historiquement, les entreprises louaient des lignes spcialises. Cette solution est
coteuse et ne rpond pas la croissance de la demande. A ce moment, quand
lADSL offre un dbit acceptable, le rseau Internet prsente un itinraire mais
il ntait pas dvelopp avec des mesures de scurit suffisantes. Les rseaux
privs virtuels sont apparus pour rsoudre ce problme.

3.3.1

Dfinition

La technologie VPN (Virtuel Private Network) permet des utilisateurs


distants de se connecter un rseau local priv partir dun site distant via
Internet. La scurit est garantie en combinant plusieurs techniques comme le
chiffrement, lauthentification et le contrle dintgrit. On dit quon a tabli
un canal ou un tunnel VPN. Il existe deux protocoles concernant le VPN :
SSL VPN (Secure Sockets Layer) : Cest un protocole conu par Netflix
qui opre sur la 5me couche du modle OSI (couche session). Il est utilis pour la cration de VPN applicatif, cest--dire que le rseau virtuel
est tablit entre deux applications. Il est gnralement implment sur
les navigateurs. (exemple : paiement en ligne)
IPsec VPN (Internet Protocol Security VPN) : Cest un protocole de
niveau 3 (couche rseau de modle OSI) qui peut supporter les deux
versions IPv4 et IPv6. Il existe sur deux modes, tunnel et transport, dont
le premier offre une protection aux protocoles des couches suprieurs
et le deuxime encapsule les paquets IP dans dautres paquets IP. Le
protocole IPsec VPN utilise plusieurs algorithmes de chiffrement et de
hachage. [CHAMPION ]
Dans ce qui suit, nous nous intressons lIPsec VPN.

3.3.2

Paramtres dun canal IPsec VPN

Afin de crer un canal IPsec VPN, il faut dfinir et configurer certains


paramtres. Les quipements doivent se mettre daccord sur ces paramtres
pour tablir la connexion. Nous prsentons les paramtres essentiels de la
configuration dun canal IPsec VPN.

20

3.3 VPN (Virtuel Private Network)

3.3.2.1

Chiffrement

tant donn que le canal IPsec VPN est tablit sur le rseau Internet, la
protection des informations est ncessaire. Ceci est effectu grce au chiffrement des donnes. Les algorithmes de chiffrement qui peuvent tre utilis sur
un canal IPsec sont les suivants :
AES256 : Un algorithme de blocs de longueur 128 bits qui utilise des
cls de 256 bits.
AES192 : Un algorithme de blocs de longueur 128 bits qui utilise des
cls de 192 bits.
AES128 : Un algorithme de blocs de longueur 128 bits qui utilise des
cls de 128 bits.
DES (Digital Encryption Standard) : Un algorithme de blocs de longueur
64 bits qui utilise des cls de 56 bits.
3DES : Les donnes sont crypts trois fois avec DES.
[FortiOS_Handbook 2014g]
3.3.2.2

Authentification

Le canal IPsec utilise les cls partages afin dtablir la connexion. La mme
cl doit tre prsente par les deux quipements. En plus, on peut exiger une
authentification additionnelle (XAUTH) qui peut tre effectu sur un serveur
externe (RADIUS, LDAP...).
3.3.2.3

Les groupes DH

Le groupes DH (Diffie-Hellman) est une mthode de cryptographie qui


dtermine la force de cl dans le processus des changes. Il existe plusieurs
groupes numrots, plus le numro de groupe est lev, plus le processus est
scuris mais il prend plus de temps. [Wikipedia 2013]
3.3.2.4

Mode Main - Mode Agressif

Si le mode main est configur, les quipements tablissant un canal VPN


changent les paramtres plusieurs fois avec des informations dauthentification crypts. Si le mode slectionn est le mode agressif, les paramtres sont
changs une seule fois sans cryptage. Mme si le mode Main parait plus
scuris, le mode agressif est caractris par sa rapidit. Notons quil existe
dautres paramtres quon peut les configurer comme la longueur de cl et sa
dure de vie. [FortiOS_Handbook 2014h]

21

3.3 VPN (Virtuel Private Network)

3.3.3

Modes de configuration dun tunnel IPsec VPN

Il existe trois modes de configuration dun canal IPsec VPN qui dpondent
de lutilit de limplmentation. [FortiOS_Handbook 2014i]
3.3.3.1

Dial-up User

Dans ce mode, un routeur est configur pour accepter nimporte quel terminal. Un quipement ncessite linstallation dun client VPN pour pouvoir
se connecter sur le rseau virtuel en connaissant ladresse IP publique de linterface WAN de routeur. Lutilisateur distant se voit attribuer une nouvelle
adresse IP et devient un membre de rseau local. Ce mode est gnralement
configur pour permettre aux employs de travailler distances. Fortinet a
dvelopp une application appele FortiClient. Cest un client VPN qui peut
agir comme passerelle local de VPN. Comme on peut utiliser le VPN native
de Windows. Le figure 3.4 prsente une architecture dial-up User.

Figure 3.4 Topologie IPsec Dial-up user

3.3.3.2

Site-to-site

Ce mode est configur entre deux routeurs distants en se mettant daccord


sur les paramtres de canal. Les utilisateurs sur les rseaux locaux se voient
connecter sur un seul routeur. Ce mode sert relier deux sites distants. La
figure 3.5 reprsente une architecture Site-to-site.

22

3.3 VPN (Virtuel Private Network)

Figure 3.5 Topologie IPsec Site-to-site

3.3.3.3

Hub and Spoke

Quand on a plusieurs sites relier, le mode Hub and Spoke constitue le mode
appropri. En effet, dans ce mode plusieurs routeurs (Spokes) sont relis un
routeur (Hub) avec des tunnels IPsec VPN. Tout le trafic passe le Hub. La
figure 3.6 reprsente une architecture IPsec Hub and spoke.

Figure 3.6 Topologie IPsec Hub and spoke

23

3.4 Politiques de scurit chez Fortinet

3.4

Politiques de scurit chez Fortinet

Le FortiGate a connu un succs sur le march grce ses caractristiques


de gestion unifie des menaces. En effet, il fonctionne comme un pare-feu.
En outre, tout trafic passant par le Fortigate doit obir certaines politiques
dfinies par ladministrateur de rseau. Tout trafic doit tre grer de la faon
suivante :
1. Dfinir linterface dentre et linterface de sortie.
2. Dfinir les adresses source et les adresses destination.
3. Slectionner les utilisateurs autoriss.
4. Dfinir les protocoles autoriss : Les protocoles des couches 3 et suprieurs (ICMP, http, TELNET...). Comme on peut autoriser tous les
protocoles.
5. Dfinir un calendrier : La politique sera active pendant une dure spcifie.
6. Appliquer un filtrage dapplication : On peut interdire quelques applications.
7. Appliquer un filtrage web : On peut interdire les utilisateurs daccder
certains URL.
8. Appliquer lantivirus de Fortinet sur le trafic.
Tout trafic qui nappartient aucune des politiques cres sera abandonn.
Grce aux politiques de scurit et la gestion centralise des menaces sur
le Fortigate, le concept BYOD (Bring Your Own Device) qui permet aux
employs dune entreprise dapporter leurs propres matriels peut tre mis en
place.

3.5

Conclusion

A travers ce chapitre, nous avons dcouvert les mcanismes de scurit


dans un rseau Wifi afin de le protger contre les menaces. En outre, nous
avons dfinit la technologie VPN en nous intressant lIPsec VPN et ses
caractristiques. Finalement, nous avons dfini les politiques de scurit sur
un Fortigate. Dans le chapitre suivant, nous allons assembler les technologies
dfinis dans ce chapitre et le chapitre prcdent afin de raliser une architecture
qui met en uvre le but de stage.

24

Chapitre 4

Architecture de contrle dun


rseau sans fil distant

Sommaire
4.1
4.2

Introduction . . . . . . . . . . . . . . . . . . .
tude de la solution . . . . . . . . . . . . . . .
4.2.1 Critres de la solution . . . . . . . . . . . . .
4.2.2 Matriels utiliss . . . . . . . . . . . . . . . .
4.3 Conception de larchitecture . . . . . . . . . .
4.4 Configurations et implmentation . . . . . . .
4.4.1 Configuration de base des Fortigate . . . . . .
4.4.2 Configuration de FortiAuthenticator . . . . .
4.4.3 Configuration du contrleur sans fil . . . . . .
4.4.4 Configuration du canal IPsec VPN . . . . . .
4.4.5 Gestion de trafic . . . . . . . . . . . . . . . .
4.4.6 Jointure des AP . . . . . . . . . . . . . . . .
4.5 Conclusion . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

26
26
26
26
27
28
28
28
30
31
34
34
35

4.1 Introduction

4.1

Introduction

Aprs avoir dfini et dtaill les aspects de la technologie Wifi ainsi que
les mesures de scurit qui protgent le rseau, il faut maintenant savoir slectionner les technologies appropries et savoir combiner les configurations afin
datteindre le but de stage qui est le contrle dun rseau sans fil partir dun
site distant. Dans ce chapitre, nous allons prsenter notre architecture finale
et les configurations qui nous ont permis de tester notre travail.

4.2
4.2.1

tude de la solution
Critres de la solution

Larchitecture de notre solution doit obir certains critres imposs par


lentreprise et raliser les buts suivants :
La gestion des rseaux sans fil est centralise sur un Fortigate distant
(Fortigate de contrle).
Les serveurs doivent appartenir au rseau local de Fortigate de contrle.
La scurit des informations doit tre garantie.
La solution doit tre extensible.
Les utilisateurs qui se dplacent dun rseau un autre ne ncessitent
pas une r-authentification.

4.2.2

Matriels utiliss

Dans le but de configurer et tester notre solution, lentreprise nous a fourni


le matriel suivant :
Un Fortigate VM64 : Une machine virtuelle installe sur une plateforme
de virtualisation.
Un Fortigate 90D.
Un Fortigate 30D.
Deux FortiAP FAP-222B.
Un FortiAuthenticator FAC-VM-v300 : Une machine virtuelle installe
sur une plateforme de virtualisation.
Deux ordinateurs excutant Windows 7 et 8.
Deux machines virtuelles Windows XP.
Un tlphone mobile Android.

26

4.3 Conception de larchitecture

4.3

Conception de larchitecture

Afin de raliser notre architecture finale, nous avons pass par plusieurs
tapes. Nous avons commenc par crer des rseaux Wifi avec le Fortigate
90D et tester des diffrentes configurations, comme la dtection des rogues
AP et le roaming. Ensuite nous avons configur le FortiAuthenticator comme
un serveur RADIUS et LDAP et tester lauthentification. Puis nous avons
configur les trois modes du canal IPsec VPN : Dial-up user, site to site et
hub and spoke. Finalement, nous avons slectionn les configurations que nous
avons juges appropries et ralis la maquette de test.
Nous avons choisi la machine virtuelle Fortigate VM64 pour oprer comme
Fortigate de controle. Nous avons connect un FortiAP chacun des deux
Fortigate 90D et 30D. Le rseau entre les Fortigate est modlis par le rseau
Internet o nous avons cr des canaux IPsec entre le Fortigate de contrle
et les autres Fortigate. Le FortiAuthenticator appartient au rseau local de
VM64.
La figure 4.1 reprsente larchitecture finale de notre solution.

Figure 4.1 Architecture de contrle dun rseau sans fil distance


Le tableau 4.3 prsente ladressage associ.

27

4.4 Configurations et implmentation

Fortigate VM64

Fortigate 90D

Fortigate 30D
FortiAP 222B associ 30D
FortiAP 222B associ 90D
FortiAuthenticator
Ordinateurs + Tlphone mobile

Interface WAN
10.112.40.224
Interface LAN1
10.0.1.254
Interface LAN2
172.16.0.254
Interface WAN
10.112.11.150
Interface LAN1
192.168.1.254
Interface LAN2 192.168.100.254
Interface WAN
10.112.40.222
Interface LAN1
172.24.0.254
Interface LAN2
10.1.1.254
Interface LAN
172.24.0.100
Interface Wifi
10.10.100.1
Interface LAN
192.168.1.2
Interface Wifi
10.10.100.1
10.0.1.99
DHCP

Table 4.1 Table dadressage de larchitecture ralis

4.4

Configurations et implmentation

La configuration des Fortigate, des FortiAP et de FortiAuthenticator peut


tre ralise travers des lignes de commande ou une interface graphique
(GUI). Nous avons utilis les deux.

4.4.1

Configuration de base des Fortigate

Il sagit de configurer les adresses IP des interfaces et les protocoles autoriss. Un Fortigate a une adresse par dfaut 192.168.1.99, un FortiAP a
ladresse 192.168.1.2 et un FortiAuthenticator a ladresse 192.168.1.100. En
se connectant lquipement avec telnet ou ssh nous pouvons changer ces
paramtres.

4.4.2

Configuration de FortiAuthenticator

Sur le FortiAuthenticator, nous commenons par crer des utilisateurs.


Chaque utilisateur est caractris par un nom et un mot de passe. Il faut
aussi crer un administrateur (LDAP Administrator). Ensuite, nous crons
un arbre LDAP qui est compos par :
dn (Distinguished Name) : Cest lidentifiant unique de larbre.

28

4.4 Configurations et implmentation

ou (Organizational Unit) : Il sagit du service de lentreprise dans laquelle


la personne travaille.
uid (User Identifier) : Il sagit de lidentifiant de lutilisateur.
Le figure 4.2 reprsente la structure de notre arbre.

Figure 4.2 Arbre LDAP

Sur le Fortigate, nous indiquons ladresse de FortiAuthenticator, le port de


service, lidentifiant unique et le nom et le mot de passe de ladministrateur
de serveur. Nous pouvons ensuite tester la communication et les authentifications. La figure 4.3 montre la configuration de serveur dauthentification sur
le Fortigate. La figure 4.4 montre le test des authentifications.

29

4.4 Configurations et implmentation

Figure 4.3 Configuration de serveur LDAP sur le Fortigate

Figure 4.4 Test des authentifications des utilisateurs LDAP sur le Fortigate

Finalement, nous crons un groupe dutilisateurs sur le Fortigate (RemoteUsers) en indiquant que les membres de ce groupe sont les utilisateurs LDAP.

4.4.3

Configuration du contrleur sans fil

Sur le Fortigate VM64, nous crons des interfaces Wifi en configurant tous
les paramtres associs :
Mode de trafic : Tunnel to Wireless Controller.
Adresse IP : 10.10.100.1\24
Accs administrative : icmp, https, ssh...
Serveur DHCP : actif.
SSID : TestAP.
30

4.4 Configurations et implmentation

Mode de scurit : Captive Protal (Portail captif).


Groupe dutilisateurs : Remote-Users.
Nous crons ensuite des profils AP qui seront par la suite associ aux FortiAP.
Nous avons choisi la frquence 2.4GHz, les canaux 1,6 et 11 et une puissance
dmission maximale.
Les profils doivent tre configurs avec les mmes paramtres afin de permettre
le roaming comme nous avons activ le fast-roaming sur le Fortigate. La figure
4.5 montre la configuration de rseau Wifi partir de linterface GUI.

Figure 4.5 Configuration de contrleur sans fil

4.4.4

Configuration du canal IPsec VPN

Pour la configuration de lIPsec, nous avons choisi le mode hub and spoke.
Le Fortigate VM64 est le hub, les autres sont des spokes. Dans cette configuration, le hub accepte toutes les connexions issues des autres Fortigate qui
oprent comme des clients. Nous avons choisi ce mode pour que lextension soit
31

4.4 Configurations et implmentation

facile. Sur le Fortigate, nous avons le choix entre deux types de configuration,
policy-based et route-based. Dans la configuration policy-based, il faut dfinir
une politique IPsec, cest--dire que le trafic sera trait comme trafic spcial
entre les interfaces sources et destinations. Cette configuration est complexe
et alourdie le processeur. Nous choisissons la configuration route-based, dans
cette configuration le Fortigate cre une interface virtuelle pour laquelle on
peut spcifier tous les paramtres dune interface physique. Cette interface est
rellement la mme que linterface WAN.
4.4.4.1

Configuration de hub

La ngociation des paramtres entre les Fortigate stablit en deux phases.


Pour la configuration de la premire phase, nous suivons les tapes suivantes :
1. Nommer linterface virtuelle IPsec qui sera cre.
2. Choisir le mode de configuration : Dans ce cas, dial-up user.
3. Slectionner linterface de sortie : Linterface WAN.
4. Choisir le mode agressive ou le mode main : Nous choisissons le mode
main qui est plus scuris.
5. Choisir le mode dauthentification : Nous choisissons une cl partage
que nous devons la spcifier.
6. Slectionner les algorithmes de chiffrement et les groupe DH.
7. Activer ou dsactiver la XAUTH : Elle est dsactive dans notre cas.
8. Crer une route statique pour chacun des rseaux locaux de spokes en
choisissant linterface virtuelle IPsec comme interface de destination.
Pour la configuration de la deuxime phase, nous devons nommer cette phase,
spcifier la phase 1 et choisir les algorithmes de chiffrement et les groupes DH.
La figure 4.6 montre la configuration travers linterface GUI de la permire
phase. La figure 4.7 montre un capture de trafic qui montre ltablissement de
canal.

32

4.4 Configurations et implmentation

Figure 4.6 Configuration de la premire phase dun canal IPsec VPN

Figure 4.7 tablissement dun canal IPsec VPN

33

4.4 Configurations et implmentation

4.4.4.2

Configuration des spokes

Les spokes seront configur en se rfrant au hub, nous devons spcifier les
mmes algorithmes de chiffrement et les mmes groupes DH pour les deux
phases et entrer la mme cl partage. La seule diffrence est le mode de
configuration qui doit tre site-to-site en spcifiant ladresse IP de hub.

4.4.5

Gestion de trafic

Sur chaque Fortigate, nous devons appliquer une politique de scurit pour
chaque trafic passant dune interface une autre inclus les interfaces virtuelles
(interface Wifi et Interface IPsec).
Comme nous avons expliqu dans le troisime paragraphe de troisime chapitre, plusieurs paramtres doivent tre spcifis qui organisent le trafic et
garantissent la scurit.
Le tableau 4.2 prsente un exemple de deux politiques cres sur le Fortigate
VM64 (Le hub).

Interface source
Interface destination
Adresses sources
Adresses destinations
Utilisateurs
Calendrier
Protocoles autoriss

Politique 1
(Contrle des points daccs)
WAN
IPsec
10.112.40.224
10.10.100.0/24

Always
(La politique est toujours active)
CAPWAP
(linterface IPsec est conue seulement
pour le contrle des points daccs)

Politique 2
(Accs Internet aux clients Wifi)
Wifi
WAN
10.10.100.0/24
All ou 0.0.0.0/0.0.0.0
Groupe des utilisateurs
crs sur le serveur LDAP
Always
(La politique est toujours active)
http, ftp, ICMP

Table 4.2 Exemples de politiques cres sur le Fortigate

4.4.6

Jointure des AP

Nos points daccs doivent tre contrls partir de hub. Sur les FortiAP,
nous indiquons ladresse du contrleur primaire, du contrleur secondaire voire
du contrleur tertiaire. Dans notre cas, ladresse du contrleur primaire est
celui de VM64, le contrleur secondaire est le Fortigate lequel le FortiAP
est connect.
34

4.5 Conclusion

Les FortiAP seront alors dtect sur le VM64. Nous les faisons correspondre
au profil cr. La figure 4.8 reprsente les deux points daccs dtects sur le
Fortigate VM64.

Figure 4.8 Jointure des points daccs avec le Fortigate de contrle

4.5

Conclusion

La bonne tude des caractristiques de Fortinet et des technologies offertes


par chaque quipement nous a permis de slectionner les configurations appropries afin de raliser une architecture qui met en uvre le contrle dun
rseau sans fil partir dun site distant. Nous avons prsent dans ce chapitre
les configurations ralises et les tests validant le travail.

35

Conclusion et Perspectives
Notre stage ingnieur OneTech Business Solution est achev et nous avons
pu atteindre lobjectif principal quil sagit de concevoir et implmenter une
solution de contrle dun rseau local sans fil partir dun site distant en
exploitant des quipements Fortinet.
Nous avons pass deux mois lentreprise durant lesquels nous avons commenc par tudier les caractristiques des quipements Fortinet, tester des
diffrentes configurations et analyser les spcificits de ces quipements. Nous
avons par la suite slectionn les technologies que nous avons juges correspondantes raliser une maquette qui met en uvre la solution propose. En
exploitant le matriel donn par lentreprise nous avons fourni une architecture
finale valide par des tests et apprcie par lquipe technique de lentreprise.
Dans ce rapport, nous avons commenc par la prsentation de la technologie
Wifi en nous intressant aux matriels Fortinet. Ensuite nous avons labor
quelques mesures de scurit dans les rseaux informatique et nous avons
prsent la gestion unifie des menaces par lquipement Fortigate. Nous avons
termin ce rapport par la conception et limplmentation de la solution.
Cette exprience a t fructueuse plusieurs niveaux. Dune part, nous
avons amlior nos connaissances en technologie de linformation et de la
communication et plus prcisment dans les rseaux locaux sans fil et la scurit des rseaux informatiques. Dautre part, nous avons intgr le monde
professionnel et nous avons eu lopportunit de travailler avec une quipe dingnieurs.
Une partie de nos configurations ont t implment chez des clients de
lOTBS. Le seul inconvnient de notre solution est que la gestion des rseaux
sans fils et des menaces est effectue sur un seul quipement. Le disfonctionnement de cet quipement prsente une menace intense pour le rseau entier.
Pour ce faire, il faut penser dcentraliser la gestion et installer des quipements de garde.
Notre solution est destine non seulement pour les entreprises qui disposent
de plusieurs sites, mais aussi pour les grandes surfaces, les station-essences
et les tablissements similaires qui veulent fournir un accs Internet leurs

clients de tous leurs sites et de rcuprer plusieurs informations qui peuvent


tre utiles.

37

Bibliographie
[CHAMPION ] Christophe CHAMPION. Virtual Private Network. (Cit en
page 20.)
[cisco 2015] cisco. WLAN Radio Frequency Design Considerations, 2015.
(Cit en page 8.)
[commentcamarche.com 2012] commentcamarche.com. Modes de dploiment
dun rseau Wifi, 2012. (Cit en page 8.)
[Flexos 2013] Flexos. FleXos : Prsentation Fortinet. Flexos, 2013. (Cit en
page 4.)
[Fortinet 2012] Fortinet. Fortinet Products, 2012. (Cit en page 5.)
[FortiOS_Handbook 2014a] FortiOS_Handbook. Deploying wireless networks for fortios. 2014. (Cit en pages 9 et 11.)
[FortiOS_Handbook 2014b] FortiOS_Handbook. Deploying wireless networks for fortios, page 14. 2014. (Cit en page 12.)
[FortiOS_Handbook 2014c] FortiOS_Handbook. Deploying wireless networks for fortios, pages 3945. 2014. (Cit en page 13.)
[FortiOS_Handbook 2014d] FortiOS_Handbook.
works for fortios. 2014. (Cit en page 14.)

Deploying wireless net-

[FortiOS_Handbook 2014e] FortiOS_Handbook. Deploying wireless networks for fortios, page 11. 2014. (Cit en page 18.)
[FortiOS_Handbook 2014f] FortiOS_Handbook. Deploying wireless networks for fortios, page 71. 2014. (Cit en page 19.)
[FortiOS_Handbook 2014g] FortiOS_Handbook.
page 15. 2014. (Cit en page 21.)

Ipsec vpn for fortios,

[FortiOS_Handbook 2014h] FortiOS_Handbook.


page 36. 2014. (Cit en page 21.)

Ipsec vpn for fortios,

[FortiOS_Handbook 2014i] FortiOS_Handbook.


page 20. 2014. (Cit en page 22.)

Ipsec vpn for fortios,

[Lehembre 2006a] Guillaume Lehembre.


WPA2, 2006. (Cit en page 17.)

Scurit WiFi , WEP, WPA et

[Lehembre 2006b] Guillaume Lehembre.


WPA2, 2006. (Cit en page 18.)

Scurit WiFi , WEP, WPA et

[onetech bs.com 2012] onetech bs.com. OTBS, Le groupe, 2012. (Cit en


pages 2 et 3.)

BIBLIOGRAPHIE

[Rouse 2005] Margaret Rouse. 802.1X definition. searchmobilecomputing,


2005. (Cit en page 17.)
[Rousse 2013a] Margret Rousse. CAPWAP. 2013. (Cit en page 13.)
[Rousse 2013b] Margret Rousse. CSMA definition. 2013. (Cit en page 7.)
[Sergere 2014] Vincent Sergere. IEEE 802.11x. frandroid.com, 2014. (Cit en
page 8.)
[webmanagercenter.com 2013] webmanagercenter.com. Le groupe One Tech
acquiert la socit Systel, 2013. (Cit en page 2.)
[Wikipedia 2013] Wikipedia. DH Groups, 2013. (Cit en page 21.)
[Wikipedia 2015] Wikipedia. Wi-Fi, 2015. (Cit en page 7.)

39

BIBLIOGRAPHIE

40