Mise en place d’un réseau wifi sécurisé

imgres.jpg

Principes :

Un réseau sans fil et par extension un réseau WiFi, est beaucoup plus sensible qu’un réseau filaire car les données circulent librement dans l’air.  Par conséquent il est essentiel de protéger son réseau sans fil, même si les données qui circulent n’ont rien de confidentiel.

En effet, un réseau sans fil non protégé et sans aucun effort de configuration, peut permettre à n’importe quel utilisateur d’utiliser votre connexion internet et éventuellement lancer un certain nombre d’attaques. Dans le cadre d’une entreprise cela voudrait dire que n’importe quel utilisateur pourrait utiliser le réseau wifi en question bien qu’il ne fasse pas parti des employés , il pourra alors accéder dans le pire des cas à des données sensibles . Alors , en cas de problème, le responsable sera le propriétaire de la connexion à internet. Voilà pourquoi il est important de sécuriser son réseau wifi .

Situation mise en place :

Ce projet a pour but de mettre en place un réseau wifi pour le SSID « M2L » invisible et sécurisé par le biais d’une clé WPA changée régulièrement, d’un filtrage d’adresse mac et par le biais d’un serveur NPS utilisé comme serveur Radius (Le serveur NPS est l’implémentation Microsoft d’un serveur et d’un proxy RADIUS ). Ensuite il y aura aussi la mise en place d’un réseau wifi pour le SSID « visiteurs » qui ne sera pas protégé via une clé car il sera accessible par les visiteurs.

Étape de la mise en place de la solution :

→ Installation de la borne wifi
→ Configuration de l’interface de la borne wifi
→ Installation de Windows Server 2012 et de l’Active Directory
→ Ajout du rôle « Serveur NPS » en tant que serveur radius
→ Connexion au réseau sans fil

Ressources utilisées :

Afin de mettre en place un réseau wifi sécurisé nous aurons besoin :

Afficher l'image d'origine

→ Borne wifi cisco WAP321 ( Configuration de la borne wifi + Configuration de l’interface )
→ Un commutateur

Résultats attendus :

02.PNG

→ Le SSID « visiteurs » sera vible et le SSID « M2L » sera invisible
→ La clé WPA du SSID « M2L » sera renouvelée régulièrement
→ Mise en place d’un serveur NPS comme serveur radius
→ Filtrage des adresses mac
→ Changement du mot de passe d’accès à l’interface de la borne wifi
→ Mise en place d’une restriction au niveau de certain site web
Modification du mot de passe d’accès à la borne wifi

*WPA : le protocole WPA permet un meilleur chiffrement des données , les clés WPA sont générés automatiquement par le point d’accès sans fil

Productions associées :

→ La mise en place de la solution en 3 parties (l’installation de la borne wifi, les configurations de sécurisation et la mise en place du serveur radius)

→ Procédure de test

 

 

 

Mise en place d’un Firewall avec Pfense

Qu’est-ce qu’un Firewall ?


Un firewall est  littéralement « mur de feu », un « pare feu », il s’agit d’un ordinateur (plus un programme) filtrant ce qui passe d’un réseau à un autre. Il permet de sécuriser les réseaux et les ordinateurs en contrôlant ou en bloquant les accès . Il va donc autoriser l’accès aux ordinateurs du réseau local à se connecter à internet et bloquer les connexions d’internet vers les ordinateurs du réseau local.

Le filtrage se fait selon divers critères. Les plus courants sont :

  • l’origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ;
  • les options contenues dans les données (fragmentation, validité, etc.) ;
  • les données elles-mêmes (taille, correspondance à un motif, etc.) ;
  • les utilisateurs pour les plus récents.

Un pare-feu fait souvent office de routeur et permet ainsi d’isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées (DMZ). Ces zones sont séparées suivant le niveau de confiance qu’on leur porte.

Chaque fois qu’un paquet de données arrive, le firewall compare ce paquet à chaque règle (dans l’ordre) jusqu’à en trouver une qui corresponde au paquet. Il exécute alors l’action correspondante à la règle.Les règles peuvent être: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc. Les actions peuvent être: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre réseau, modifier les entêtes du paquet…

#source : http://sebsauvage.net/comprendre/firewall/
#source : https://fr.wikipedia.org/wiki/Pare-feu_(informatique)

Situation mise en place :

Ce projet a pour but de mettre en place un Firewall/Pare-feu pour la Maison des Ligues via le logiciel Pfsense afin d’assurer la sécurité des réseaux internes en filtrant les entrées et en définissant une DMZ, une zone qui pourra être accessible depuis l’extérieur alors que le réseau local sera protégé par le Firewall/Pare-feu.

Étape de la mise en place de la solution :

→ Mise en place d’un réseau LAN avec un serveur DHCP et un serveur DNS
→ Mise en place d’un réseau DMZ avec un serveur web, un serveur ftp et une base de donnée
→ Mise en place d’un réseau Internet
→ Permettre l’interconnexion entre les postes
→ Installation du firewall via Pfsense
→ Configuration du firewall via Pfsense
→ Procédure de test

Présentation du logiciel Pfense :

J’ai choisie de mettre en place un Firewall à l’aide du logiciel Pfense. Il s’agit d’un routeur/pare-feu open source basé sur le système d’exploitation FreeBSD. Il utilise le pare-feu à états Packet Filter ( le pare-feu logiciel et officiel d’OpenBSD) , des fonctions de routage et de NAT lui permettant de connecter plusieurs réseaux informatiques.

Pfsense peut effectuer les tâches suivantes :

-Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP

-Limiter les connexions simultanées sur une base de règle

-Il utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d’exploitation qui initie la connexion.

-Possibilité d’enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.

-Politique très souple de routage possible en sélectionnant une passerelle sur une base par règle (pour l’équilibrage de charge, basculement, Connexions WAN multiple, etc)

-Utilisation d’alias permettant le regroupement et la désignation des adresses IP, des réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de nombreux serveurs.

– Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d’agir en pont filtrant.

-La normalisation des packets est utilisée, il n’y a donc aucune ambiguïté dans l’interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi des paquets fragmentés, protège les systèmes d’exploitation de certaines formes d’attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.

Ressources utilisées :

Afin de mettre en place le Firewall nous aurons besoin:

  • Commutateur

Résultats attendus :

01.PNG

Protection d’un réseau privé (LAN) et protection de l’accès au serveur web .

À partir du réseau LAN:

→ Accès à Internet , au serveur web et à la DMZ
→ Ping possible d’une machine de Lan vers Internet
→ Les machines doivent être invisible depuis Internet
→ Translation d’adresse du réseau LAN vers la DMZ

À partir de la DMZ :

→ Réseau accessible depuis Internet et LAN
→ Accès à Internet
→ Translation d’adresse de la DMZ vers Internet

À partir d’Internet :

→ Pas d’accès sur le réseau LAN
→ L’accès au serveur web ne doit pas se faire directement via l’adresse ip mais par le biais du routeur

Productions associées:

→ Document sur la mise en place de la solution

→ Procédure de test

 

⇒ Si vous souhaitez télécharger ma situation professionnelle cliquez ici ⇐

Epreuve E4 – Situation professionnelle

Présentation de l’épreuve E4 :

Cette épreuve vise à évaluer les compétences acquises par le candidat dans le domaine de la conception et de la maintenance de solutions informatiques pour chacun des parcours du diplôme. Ces compétences sont évaluées à partir de situations professionnelles permettant de mesurer la capacité du candidat à :

  •  produire ou adapter une solution applicative ou d’infrastructure ;
  •  apprécier la qualité de la solution obtenue par rapport à la demande initiale et aux contraintes de production ;
  •  traiter les imprévus qui caractérisent de nombreuses activités du domaine.

L’épreuve est validée par le contrôle de l’acquisition des compétences liées aux activités prévues dans le référentiel du diplôme , elle est basée sur une situation d’évaluation mise en place après le stage de deuxième année et comporte deux phases consécutives identiques à celles décrites dans la forme ponctuelle.

Mes situations professionnelle :

Vous trouverez ci-joint les situations professionnelles présenté durant l’épreuve E4 « Conception et maintenance de solutions informatiques« . Vous trouverez ci-dessous des liens vous permettant de les consulter.

Situation professionnelle n°1 : Mise en place d’un firewall avec Pfsense

Situation professionnelle n°2 : Mise en place d’un réseau wifi sécurisé

Le BTS SIO

Les Objectifs du Bts Sio : 

Le diplômé du BTS SIO (BTS Services informatiques aux organisations) est formé à la mise en place de services informatiques en tant que salarié au sein des organisations (entreprises, administrations, pme, pmi, etc…) soit en tant que consultant d’une SSII (société de services d’ingénierie informatique), d’une société éditrice de logiciels ou d’une société de conseils.

Les services informatiques dont il aura la responsabilité concernent à la fois les solutions techniques d’infrastructures, les applications logicielles, la maintenance et l’évolution de ces solutions dans le respect contraintes légales et stratégiques en s’appuyant sur des normes de sécurité ou des guides de bonnes pratiques.

Présentation de la spécialité SISR :

Le titulaire du BTS SIO, Spécialité « Solutions d’infrastructure, systèmes et réseaux » est chargé d’installer, d’administrer et gérer la maintenance des équipements et des réseaux informatiques. Il intervient au niveau de l’intégration, la sécurisation et la configuration des serveurs, des postes clients et des équipements d’interconnexion.

Il aura également la tâche d’anticiper les besoins d’évolution de l’infrastructure, de maintenir la qualité des services informatiques et de proposer – le cas échéant – des solutions pour faire évoluer les services.

Les débouchés :

Le titulaire du BTS SIO travaille, soit en tant que collaborateur d’une organisation, soit en en tant qu’intervenant d’une société d’ingénierie et de services informatiques, d’un éditeur de logiciels, d’une société de conseil en technologies.

Le titulaire du diplôme peut aussi occuper des emplois variés et liés à l’option choisie, tels que : administrateur systèmes et réseaux, informaticien support et déploiement, développeur d’application, intégrateur, etc.