Implémentation d'un portail captif avec pfsense

UNIVERSITÉ D’ANTANANARIVO
DOMAINE SCIENCES ET
MENTION PHYSIQUE ET APPLICATION
Mémoire de fin d’étude en vue de l’obtention du diplôme de
MASTER EN PHYSIQUE ET APPLICATION
Parcours : Ingénierie en Systèmes Electronique et
RANDRIANTSAMIVOLA Sandaniaina Alain
Devant
Président : Mme RANDRIAMANANTANY Zely Arivelo
Rapporteur : M. RAKOTOARIMANANA Liva Graffin
Examinateurs : M. RANAIVO
M. RASAMIMANANA
Centre d’Information et de Documentation Scientifique et Technique
IMPLEMENTATION D’UNE SOLUTION TECHNIQUE
PERMETTANT DE PARTAGER DE FACON SECURISEE
L’ACCES INTERNET (PORTAIL CAPTIF) VIA PFSENSE
DOMAINE SCIENCES ET TECHNOLOGIES
: Ingénierie en Systèmes Electronique et Informatique
Présenté par
Devant la commission de jury composés de
Mme RANDRIAMANANTANY Zely Arivelo Professeur Titulaire
M. RAKOTOARIMANANA Liva Graffin Maître de Conférences
M. RANAIVO-NOMENJANAHARY Flavien Professeur Titulaire
M. RASAMIMANANA François de Salle Maître de Conférences
Le 31 Août 2016
TECHNOLOGIES
MASTER EN PHYSIQUE ET APPLICATIONS
Informatique
:
Professeur Titulaire
Maître de Conférences
NOMENJANAHARY Flavien Professeur Titulaire
Maître de Conférences

Mémoire de fin
Parcours : Ingénierie en Systèmes Electronique et Informatique
Devant la commission de jury composés de
Président : Mme RANDRIAMANANTANY Zely Arivelo Professeur Titulaire
Rapporteur : M. RAKOTOARIMANANA Liva Graffin Maître de Conférences
Examinateurs : M. RANAIVO
Centre d’Information et de
L’ACCES INTERN
Présenté par
Devant la commission de jury composés de :
RAKOTOARIMANANA Liva Graffin Maître de Conférences
M. RANAIVO-NOMENJANAHARY Flavien Professeur Titulaire
d’étude en vue de l’obtention du diplôme de
RAKOTOARIMANANA Liva Graffin Maître de Conférences
NOMENJANAHARY Flavien Professeur Titulaire
Documentation Scientifique et Technique
CAPTIF) VIA PFSENSE

i
REMERCIEMENTS
C’est avec le plus grand honneur que nous avons réservé cette page en signe de
gratitude et de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation
de ce rapport du mémoire.
Notre sincère gratitude s’adresse également à Mr RAHERIMANDIMBY Marson
Doyen de la Facultés des Sciences, d’avoir accepté mon inscription au sein de son
établissement
Je tiens à remercier aussi à Mr RAKOTONDRAMANANA HeryTiana Chef de
département de Physiquede nous avoir permis de présenter ma mémoire au sein de son
département.
Un grand remerciement aussi à notre Unité d’enseignement, la formation MISEI,
sous la responsabilité de Madame RAZANAMANAMPISOA Harimalala et tous nos
enseignants du MISEI qui ont assuré notre formation pendant ces cinq années d’études.
De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont
fait en acceptant de juger notre travail, tout d’abord je remercie le Président de jury Mme
RANDRIAMANANTANY ZelyArivelo Professeur Titulaire d’avoir présider ma mémoire.
Je remercie aussi à notre Rapporteur de mémoire M. RAKOTOARIMANANA
LivaGraffin Maître de Conférences de son point de vue professionnel très riche, et ses
conseils en matière d’organisation et l’élaboration de ce mémoire.
Un grand merci aussi aux Examinateurs M. RANAIVO-NOMENJANAHARY
Flavien Professeur Titulaire et M. RASAMIMANANA François de Salle Maître de
Conférences d’avoir assisté et analyser ma mémoire.
Nos remerciements s’adressent à Mme RAKOTOARIVELO Arjoque Marie Laure, le
directeur du Centre d’Information et de Documentation Scientifique et Technique (CIDST)
qui nous a accueillies dans son établissement.
Nos remerciements vont aussi à nos encadreurs Mr ANDRIANASOLO Mexin
Responsable informatique et Mr HERINIAINA Doris Administrateur réseau du CIDST pour
notre encadrement tout au long de ce stage et par leurs conseils et leurs aides précieux, nous a
guidés pendant notre projet.

ii
TABLE DES MATIERES
REMERCIEMENTS ................................................................................................................................ i
TABLE DES MATIERES........................................................................................................................ii
LISTE DES ABREVIATIONS................................................................................................................v
LISTE DES FIGURES...........................................................................................................................vii
LISTE DES TABLEAUX.......................................................................................................................ix
LISTE DES ANNEXES...........................................................................................................................x
INTRODUCTION................................................................................................................................... 1
CHAPITRE 1 : ........................................................................................................................................ 3
PRESENTATION DE CIDST ET DU PROJET..................................................................................... 3
1-1 Structure d'accueil et contexte....................................................................................................... 4
1-2 Présentation du thème ................................................................................................................... 6
1.2.1 Problématique......................................................................................................................... 6
1-2-2 Résultat attendus.................................................................................................................... 7
1.3Définitions liées à la sécurité.......................................................................................................... 7
1.3.1 Sécurité informatique ............................................................................................................. 8
1.3.2 Identification .......................................................................................................................... 9
1.3.3Authentification....................................................................................................................... 9
1.3.4 Autorisation............................................................................................................................ 9
1.3.5 Accounting ............................................................................................................................. 9
1.3.6 Cryptage ............................................................................................................................... 10
1.4Les différents types d’attaques sur le réseau informatique........................................................... 10
1.4.1Attaques des réseaux classiques............................................................................................ 11
1.4.2 Attaques des réseaux sans fil................................................................................................ 12
CHAPITRE 2:........................................................................................................................................... 14
ETUDE THEORIQUE DES RESEAUX SANS FILS ........................................................................................ 14
2.1 Etude de l’interface radio ............................................................................................................ 15
2.1.1 Support de transmission (les ondes radio)............................................................................ 15
2.1.2 Les bandes de fréquences utilisées dans la norme IEEE 802.11 .......................................... 15
2.1.3 Les canaux............................................................................................................................ 16
2.1.4 Technique de transmission ................................................................................................... 17
2.2 Communication entre équipements............................................................................................. 21
2.3 Communication entre équipements en mode infrastructure........................................................ 24
2.3.1 Communication entre une station et un point d’accès.......................................................... 24
2.3.2 Communication entre deux stations à travers un point d’accès............................................ 25

iii
2.3.3 Le Handover......................................................................................................................... 25
2.4 Le modèle en couche IEEE ......................................................................................................... 26
2.4.1 La couche liaison de données............................................................................................... 26
2.4.2 La couche physique.............................................................................................................. 26
2.4.3 Format de la trame MAC...................................................................................................... 27
2.4.4 Le champ de Durée / ID ....................................................................................................... 30
2.5 Les techniques d’accès................................................................................................................ 33
2.5.1 DCF (Distribution Coordination Function).......................................................................... 33
2.5.2 PCF (Point Coordination Function)..................................................................................... 36
2.6 Problèmes spécifiques aux réseaux sans fils de type IEEE 802.11............................................. 36
2.6.1 Support de transmission ....................................................................................................... 36
2.6.2 La sécurité de réseau sans fil................................................................................................ 36
2.6.3 Qualité de service ................................................................................................................. 38
2.6.4 Mobilité des utilisateurs ....................................................................................................... 39
2.6.5 Les Applications du Wi-Fi ................................................................................................... 39
CHAPITRE 3 : ...................................................................................................................................... 40
PARTAGER D’ACCES INTERNET SECURISE (PORTAIL CAPTIF) VIA PFSENSE................... 40
3-1 FreeBSD...................................................................................................................................... 41
3.1.1 Principales différences entre un système BSD et un système Linux :.................................. 41
3.1.2 Fonctions supporté par Pfsense ............................................................................................ 42
3.2 Portail Captif ............................................................................................................................... 44
3.3 Fonctionnement général .............................................................................................................. 44
3.4 Etude technique de PFsense ........................................................................................................ 45
3.5 Définition de Pfsense................................................................................................................... 46
3.6 Les fonctionnalités et services de PFsense.................................................................................. 46
3.7 Versions dePFsense..................................................................................................................... 47
3.8 Installation de sécurité internet.................................................................................................... 48
3.8.1 Matériel et architecture réseau requis................................................................................... 48
3.8.2Installation de PFsense .......................................................................................................... 49
3.9Configuration de PFsense............................................................................................................. 51
3.9.1 Configuration générale......................................................................................................... 51
3.9.2 Configuration des interfaces................................................................................................. 54
CHAPITRE 4: ....................................................................................................................................... 58
MISEEN ŒUVRE DE TECHNIQUE D’IMPLEMENTATION DE PFSENSE................................. 58
4.1 Organigramme et mise en œuvre pratique de l’authentification ................................................. 59
4.2Paramètres généraux..................................................................................................................... 61

iv
4.3Authentification et gestion des utilisateurs................................................................................... 66
4.3.1Authentification par RADIUS............................................................................................... 66
4.3.2 Gestion de comptes utilisateurs............................................................................................ 67
4.4Sécurité du portail captif .............................................................................................................. 69
4.5.Contrôle de la bande passante ..................................................................................................... 72
4.5.1 Introduction à la QoS............................................................................................................ 72
4.5.2 Contrôle de bande passante avec NTOP............................................................................... 72
CONCLUSION ..................................................................................................................................... 76
ANNEXE1 Généralités sur le WiFi ......................................................................................................... I
ANNEXE2 L'authentification RADIUS à partir d'une base de données MySQL................................. III
ANNEXE 3 Code HTML/PHP du page d’authentification....................................................................VI
REFERENCES BIBLIOGRAPHIQUES..........................................................................................VIII
REFERENCES WEBOGRAPHIQUES...........................................................................................VIII

v
LISTE DES ABREVIATIONS
AAA: Authorization, Authorization and Accounting/Auditing
AP : Access Point
CARP : Common Address Redundancy Protocol
CPU: Central Processing Unit
CIDST: Centre d’Information et de DocumentationScientifique et Technique
DMZ : Demilitarized Zone
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name Service
DSSS: Direct Séquence Spread Spectrum
FAI : Fournisseurd'accès à Internet
FHSS: Frequency Hopping Spread Spectrum
FTP : Foiled Twisted Pair
HTTP : HyperText Transfer Protocol
HTTPS : HyperText Transfer Protocol Security
HTML : HyperText Markup Language
IP : Internet Protocol
LAN: Local Area Network
MAC : Medium Access Control
NFS : Network File System
NTP : Network Time Protocol
NAT: Network Address Translation
NA3 : Network Access Server
OFDM: Orthogonal Frequency-Division Multiplexing
PPTP : Point-to-Point Tunneling Protocol
PHP : Hypertext Preprocessor
PSK: Pre-Shared Key
RADIUS: Remote Authentification Dual-In User Service
RAM : Random Access Memory
SSL : Secure Sockets layers
SSH : Secure Shell
STP : Shielded Twisted Pair

vi
TCP : Transfer Control Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VPN : Virtual Private Network
WIFI : Wireless Fidelity
WAN : Wide Area Network

vii
LISTE DES FIGURES
Figure 1 : Organigramme et la structure du CIDST ................................................................................ 6
Figure 2 : Répartition des Bandes ISM en France et en Europe............................................................ 15
Figure 3 : Répartition de la bande U-NII............................................................................................... 16
Figure 4 : Recouvrement des canaux dans la bande ISM...................................................................... 17
Figure 5 : Etalement de spectre à saut de fréquence FHSS................................................................... 18
Figure 6 : Etalement de spectre à séquence directe (DSSS).................................................................. 19
Figure 7 : La modulation OFDM .......................................................................................................... 21
Figure 8 : Mode ad hoc.......................................................................................................................... 21
Figure 9 : mode infrastructure............................................................................................................... 22
Figure 10 : Topologie à cellules disjointes............................................................................................ 23
Figure 11 : Topologie à cellules partiellement recouvertes................................................................... 23
Figure 12 : Topologie à cellules recouvertes......................................................................................... 24
Figure 13 : Modèle IEEE....................................................................................................................... 26
Figure 14 : Format de la trame MAC.................................................................................................... 27
Figure 15 : Champ de contrôle.............................................................................................................. 27
Figure 16 : Format de la trame.............................................................................................................. 30
Figure 17 : Trame WiFi......................................................................................................................... 31
Figure 18 : Préambule ........................................................................................................................... 31
Figure 19 : En-tête PLCP-FHSS............................................................................................................ 32
Figure 20 : En-tête PLCP ...................................................................................................................... 32
Figure 21 : Procédé de transmission dans le CSMA/CA....................................................................... 34
Figure 22 : Mécanisme du CSMA/CA.................................................................................................. 35
Figure 23 : Différents cas d’attaque ...................................................................................................... 37
Figure 24 : BSD et Linux ...................................................................................................................... 41
Figure 25 : topologie CIDST................................................................................................................. 43
Figure 26 : Fonctionnement portail captif............................................................................................. 45
Figure 27 : Architecture du réseau sans sécurisation ............................................................................ 48
Figure 28 : Architecture de sécurisation internet .................................................................................. 49
Figure 29 : Ecran démarrage PFsense ................................................................................................... 50
Figure 30 : Boite de dialogue pour la configuration de VLAN............................................................. 50
Figure 31 : Portail de connexion à PFsense........................................................................................... 52
Figure 32 : Paramètres généraux de PFsense ........................................................................................ 52
Figure 33 : Configuration générale........................................................................................................ 53
Figure 34 : Configuration de l'interface WAN...................................................................................... 54
Figure 35 : Configuration de l'interface LAN ....................................................................................... 55
Figure 36 : Configuration du serveur DHCP......................................................................................... 56
Figure 37 : Règles sur l'interface WAN.................................................................................................. 57
Figure 38 : authentification basée portail captif et accès Internet sur le réseau de cidstWIFI .............. 59
Figure 39 :Activation du portail captif................................................................................................... 62
Figure 40 : Paramètre de la page de redirection.................................................................................... 63
Figure 41 : Limitation de la bande passante.......................................................................................... 63
Figure 42 : Importation de code HTML................................................................................................ 64
Figure 43 : Importation d'image ............................................................................................................ 64
Figure 44 : Fenêtre d’authentification du portail................................................................................... 65
Figure 45 : Fenêtre d’authentification en cas d'erreur.......................................................................... 65
Figure 46 : Gestion de comptes avec FreeRadius ................................................................................. 67

viii
Figure 47 : Gestion de compte en local................................................................................................. 68
Figure 48 : Activation de HTTPS pour l'accès au webguid .................................................................. 69
Figure 49 : Choix du type de certificat.................................................................................................. 70
Figure 50 : Paramètres du certificat....................................................................................................... 70
Figure 51 : Certificat téléchargé............................................................................................................ 71
Figure 52 : Importation du certificat et de sa clé privée........................................................................ 71
Figure 53 : Installation du paquet Ntop................................................................................................. 73
Figure 54 : Configuration de mot de passe Ntop................................................................................... 73
Figure 55 : Statistiques globales............................................................................................................ 74
Figure 56 : Rapport du trafic sur l'interface d'écoute ............................................................................ 74
Figure 57 : Vue des protocoles.............................................................................................................. 75

ix
LISTE DES TABLEAUX
Tableau 1: Allocation des bandes de fréquences ISM selon les pays ................................................... 16
Tableau 2: Test de trames..................................................................................................................... 28
Tableau 3: Trames de gestion ............................................................................................................... 28
Tableau 4: Trames de contrôle.............................................................................................................. 29
Tableau 5: Trames de données ............................................................................................................. 29
Tableau 6: Signification des adresses dans la trame des données ....................................................... 30
Tableau 7: Types d'attaques et solution préconisés ............................................................................. 37
Tableau 8: Version logiciel PFsense....................................................................................................... 47

x
LISTE DES ANNEXES
ANNEXE 1
ANNEXE 2
ANNEXE 3

1
INTRODUCTION
L'évolution de l'informatique durant les Quarante dernières années est allée croissante:
les transistors ont remplacé les lampes, les circuits imprimés ont réduit les câblages, les
réseaux ont modifié les approches centralisées et Internet est devenu un continent virtuel
incontournable. Cet engouement à l'utilisation des TIC impose une augmentation de l'offre
des services Internet. En effet, bon nombre de cette population disposent aujourd'hui d'un
appareil mobile (ordinateur portable, tablette, Smartphone, ...) et souhaitent pouvoir accéder à
Internet dans la majorité des lieux qu'ils fréquentent. Dans cette optique, l'expansion très
rapide des points d'accès sans-fil permet la connexion des appareils nomades.
Chaque réseau possède sa politique d'accès et ne souhaite pas laisser n'importe qui
accéder aux ressources réseaux et plus particulièrement les ressources Internet qui sont très
limitées.
Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces
réseaux qui doivent cumuler de multiples avantages. Ces avantages sont entre autres : une
compatibilité avec la majorité des appareils mobiles du marché, une sécurité des échanges
entre les clients –serveurs et le reste du réseau, une plus grande transparence offerte à
l'utilisateur aussi bien lors de la phase d'authentification que lors de l'utilisation du réseau, une
réduction de l'impact au niveau des ressources matérielles et de la bande passante, etc. Face à
ces enjeux, le portail captif s'est imposé comme une solution fréquemment utilisée dans les
points d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou
filaire) nécessitant un contrôle d'accès.
Le Centre d’Information et de Documentation Scientifique et Technique (CIDST
)dispose d'un réseau informatique dont la gestion se complique avec la diversité et le nombre
croissant des utilisateurs d'où la nécessité de mettre en place un portail captif sur le serveur
Free BSD de CIDST.
Ce manuscrite divise en quatre chapitres. Le premier chapitre présent la présentation
du projet,le structure d’accueil et contexte dans lequel s'inscrit le stage ainsi que le thème
d'étude, on va établir les différents types de sécurités ainsi que les différents types d’attaques.
Le deuxième chapitre est consacré à l’étude théorique des réseaux sans fils pout mieux
comprendre les interfaces radio, les communications entre équipements en

2
modeinfrastructure et lemodèle en couche IEEE. Les techniques d’accès et les problèmes
spécifiques aux réseaux sans fils seront discutés. La solution technique permettant de partagé
de façons sécurisél’accès internet fait l'objet du troisième chapitre ce qui permettra de
choisir la solution à implanter et le dernier chapitre donne les détails sur la mise en œuvre de
technique d’implémentation de PFsense
.

3
CHAPITRE 1 :
PRESENTATION DE CIDST ET DU PROJET

4
Le projet de portail d'accès captif est de créer une passerelle entre un réseau interne (LAN) et le
réseau Internet (WAN). La finalité est de pouvoir déployer la solution dans toutes les structures du
CIDST (Centre d’Information de Documentation Scientifique et Technique). Le portail sera doté de
fonctionnalités d'authentification qui permettent d'identifier les usagers du service à des fins de
traçabilité. Le dernier aspect important réside dans l'utilisation optimale de la bande passante, la
sécurisation des connexions et la centralisation des données d'authentification.
1-1 Structure d'accueil et contexte
Le Centre d'Information et de Documentation Scientifique et Technique, créé par décret n° 87-
145 du 5 Mai 1987, modifié par décret n° 92-661 du 8 juillet 1992, le CIDST est placé sous la double
tutelle du Ministère de l’Education Nationale et de la Recherche Scientifique et du Ministère des
Finances et du Budget.
Le CIDST dont le siège est à Tsimbazaza Antananarivo possède des représentations régionales.
Les antennes ont été mises en place pour satisfaire les besoins en informations des décideurs, des
chercheurs, des opérateurs économiques, des enseignants et des acteurs de développement au niveau
des régions.
Les antennes du CIDST : Fianarantsoa, Mahajanga, Toamasina et Toliara. Dont ces objectifs sont :
 Répondre aux besoins en information scientifique et technique des chercheurs, des opérateurs
économiques et des enseignants ;
 Gérer les informations sur les résultats de recherche des travaux scientifique et techniques
effectués à Madagascar ;
 Coopérer avec les centres de documentation et de bases de données étrangères ainsi qu’avec
les organisations internationales en matière d’information et de documentation scientifique et
technique.
Cependant la mission du CIDST consiste à :
 Contribuer à l’élaboration et la mise en œuvre de la politique nationale de recherche sur
l’information, la communication et la diffusion des connaissances ;
 Appuyer les acteurs du développement par une meilleure circulation de l’information en
général et la diffusion de l’information scientifique et technique relative aux résultats de la
recherche nationale et internationale
 Assurer une expertise scientifique en matière d’authentification et de sécurisation de
l’information

5
 Assurer des cycles de formation pour une meilleure gestion de l’information et pour le
renforcement de capacité des professionnels. Pour matérialiser les objectifs qu’il s’est fixé les
activités principales sont :
o Information Scientifique et Technique : offrir un libre accès à l’information et à la
documentation scientifique et technique
o Formation concernant la technique et gestion documentaires, informatique et internet
o Edition, impression, diffusion : appuyé les acteurs de développements par une
meilleure circulation de l’information scientifique et technique issue de la recherche
nationale et internationale.
o Formation en sciences de l’information (recherche d’informations, informatique
documentaire).
o Conseil en organisation de système d’information (étude de mise en place,
réorganisation, information)
L’organigramme et la structure du CIDST se présente comme suit :
o Le conseil d’Administration
o Le conseil Scientifique d’Orientation
o La direction
o Les services et Départements Techniques
o Quatre Antennes régionales
o Une cellule Technologique de l’Information
Depuis 2012, le CIDST héberge et gère le CATI (Centre d’Appui à la Technologie de l’innovation).

6
Figure 1 : Organigramme et la structure du CIDST
1-2 Présentation du thème
Notre travail de mémoire est axé sur l’Implémentation d’une solution technique permettant de
partager de façon sécurisée l'accès Internet (Portail captif) via PFSENSE.
1.2.1 Problématique
Le réseau du CIDST, comme n'importe quel autre réseau n'est pas sans faille en termes de
sécurité. En effet, bien que moderne, l'accès au réseau sans fil du CIDST se fait par authentification
par adresse MAC, et celui au filaire par la détention d'un compte valide (identifiant/mot de passe) sur
les poste fixes. Cela reste insuffisant quand on sait qu'il existe de nos jours des logiciels qui arrivent à
contourner l'authentification par adresse MAC. L'authentification par adresse MAC a aussi cette
particularité de ne pas permettre une gestion efficace des utilisateurs car, hormis l'autorisation d'accès
au réseau, on ne saurait qui est réellement connecté. En outre, l'authentification par le filaire autorise la
connexion des machines externes à la structure; c'est-à-dire qu'un utilisateur qui venait brancher sa
machine personnelle à partir d'un câble du réseau, pouvait se connecter sans qu'il ne lui soit demandé

7
de s'authentifier. Ce qui n'est pas sans risque car un utilisateur mal intentionné pourrait contourner
facilement l'authentification d'où une remise en cause de la politique d'accès. Ainsi l'évolution du
nombre croissant d'utilisateurs Wi-Fi et le contrôle d'accès de tous les utilisateurs font apparaître
l'impératif de mise en place d'un système d'authentification transparent et simple d'utilisation. En outre
le centre à 2 salles d’informatique pouvant accueillir 20 personnes, une salle de formation pouvant
accueillir 30 personnes et une salle de réunion pouvant accueillir jusqu’à 60 personnes nomades et
généralement de passage. Voilà autant de problèmes auxquels nous avons apporté une solution grâce à
cette étude de portail captif.
1-2-2 Résultat attendus
L'objectif principal de ce projet est d'implanter une solution technique permettant d'authentifier les
utilisateurs et de partager de façon sécurisée l'accès Internet, d'où le déploiement d'une solution de
portail captif. D'après le cahier de charge qui nous a été soumis, l'achèvement de ce projet doit
permettre aussi au centre de rendre effectif ce qui suit:
 Les utilisateurs doivent se connecter au réseau LAN et Wifi.
 Le portail captif doit attribuer les adresses IPV4 aux clients.
 Pour se connecter, les clients n'ont besoin que d'un navigateur Web d'un Login et d'un Mot
de passe.
 Aucune configuration ne doit être faite chez le client.
 Toutes les requêtes des clients doivent être automatiquement redirigées sur la page
d'authentification.
 L'authentification des clients et des administrateurs doit se faire de façon sécurisée.
 Le point d'accès doit être totalement transparent pour le client. Les clients ne pourront
qu'accéder au Web.
 L'accès au Web et par ricochet au portail captif doit indépendant de la plateforme.
 De même, l'adressage du réseau du Centre d’information ne devra pas être modifié afin de ne
pas pénaliser les utilisateurs du réseau pendant le déploiement.
1.3Définitions liées à la sécurité
Les systèmes d’information prennent de plus en plus une place stratégique au sein des
entreprises. Ainsi la notion du risque lié à ces derniers devient une source d’inquiétude et une donnée

8
importante à prendre en compte, ceci en partant de la phase de conception d’un système d’information
jusqu’à son implémentation et le suivi de son fonctionnement.
Les pratiques associées à la sécurité des systèmes d’information constituent un point à
l’importance croissante dans l’écosystème informatique qui devient ouvert et accessible par
utilisateurs, partenaires et fournisseurs de services de l’entreprise. Il devient essentiel pour les
entreprises de connaître leurs ressources en matière de système d’information et de définir les
périmètres sensibles à protéger afin de garantir une exploitation maîtrisée et raisonnée de ces
ressources.
Par ailleurs, les nouvelles tendances de nomadisme et de l’informatique permettent, non
seulement, aux utilisateurs d’avoir accès aux ressources mais aussi de transporter une partie du
système d’information en dehors de l’infrastructure sécurisée de l’entreprise. D’où la nécessité de
mettre en place des démarches et des mesures pour évaluer les risques et définir les objectifs de
sécurité à atteindre.
1.3.1 Sécurité informatique
La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un
système informatique. En termes de sécurité informatique les menaces peuvent être le résultat de
diverses actions en provenance de plusieurs origines :
 Origine opérationnel: Ces menaces sont liées à un état du système à un moment donné. Elles
peuvent être le résultat d’un bogue logiciel (Buffer Overflows, format string …etc.), d’une
erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection), d’un
dysfonctionnement de la logique de traitement ou d’une erreur de configuration
 Origine physique: Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut
citer notamment les désastres naturels, les pannes ou casses matérielles, le feu ou les coupures
électriques.
 Origine humaine: Ces menaces sont associées directement aux erreurs humaines, que ce soit
au niveau de la conception d’un système d’information ou au niveau de la manière dont on
l’utilise. Ainsi elles peuvent être le résultat d’une erreur de conception ou de configuration
comme d’un manque de sensibilisation des utilisateurs face au risque lié à l’usage d’un
système informatique.
Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma
directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des systèmes
d’information.

9
La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité en
instaurant une politique de sécurité au sein des organismes et en palliant à certaines faiblesses à la fois
organisationnelles et technologiques.
1.3.2 Identification
L'identité est un ensemble d'éléments qui permettent de reconnaître un individu (ex: Rakoto),
une entité ou bien une marque. Toutefois, une identité peut être copiée et les contrefaçons existent.
L'identifiant est un élément normalisé associé à cette identité : Une adresse MAC est également un
numéro unique désignant une seule interface réseau. Il est malheureusement facile de copier ou forger
un identifiant : la sécurité ne peut pas être assurée par un identifiant seul.
1.3.3Authentification
Pour s'assurer qu'un identifiant soit bien présenté par l'identité (l'utilisateur) qu'il représente, il
faut authentifier ce dernier. L'authentification est le procédé permettant à un individu ou une entité de
prouver son identité : la photo sur une carte nationale d'identité, une empreinte digitale, vocale ou
rétinienne pour des systèmes perfectionnés ou encore un mot de passe ou une carte à puce pour les
méthodes les plus courantes. L'authentification repose sur la notion d'un secret partagé ou d'éléments
infalsifiables.
1.3.4 Autorisation
Pour utiliser les ressources d'un environnement sécurisé, il est nécessaire d'avoir une ou
plusieurs autorisations. L'autorisation correspond généralement à une fonction dans cet
environnement. En informatique, les droits fournis à un utilisateur authentifié sont liés à son rôle et
éventuellement au moyen employé pour se connecter. De plus, les accès aux ressources impliquent des
droits attribués de manière individuelle d'une part, et par l'appartenance à des groupes, d'autre part.
1.3.5 Accounting
L'accounting est un terme anglais qui se traduit littéralement par "comptabilité" mais la
signification du terme est plutôt "traçabilité". L'accounting permet de suivre le fonctionnement d'un
réseau en fournissant des statistiques sur la charge globale, le nombre d'utilisateurs actifs, les accès
rejetés, etc. En terme de sécurité, l'accounting est fondamental : en effet, l'ASSI et l'entreprise étant
responsables des fautes commises à partir de leur réseau, il leur est nécessaire de pouvoir déterminer
avec précision qui l'utilise et à quel moment.

10
1.3.6 Cryptage
La cryptologie est la science des écritures secrètes et des messages chiffrés. Elle comprend la
cryptographie et la cryptanalyse. La loi Malgache définit les Moyens de cryptologie : Tout matériel ou
logiciel conçu ou modifié pour transformer des données, qu'il s'agit d'informations ou de signaux, à
l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète,
ayant principalement pour objet de garantir la sécurité du stockage ou de la transmission de données,
en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.
La liste suivant redonne la définition exacte de ces mots et entre parenthèses, leur équivalent anglais :
 Cryptographie (cryptography) : du grec kruptos, caché, et graphein, écrire. Science du
chiffrement.
 Cryptanalyse (Cryptanalysis) : Art de déchiffrer les messages codés (sans obtenir par voie
officielle les mécanismes ou les codes utilisés).
 Chiffrement (encryption) : Ensemble de méthodes permettant de rendre un message
incompréhensible.
Les anglicismes suivants sont parfois employés :
 cryptage et crypter (à la place de chiffrer). Les anglais emploient aussi le terme encipher et
decipher pour déchiffrer.
 Stéganographie (Steganography) : La stéganographie consiste à cacher un message dans un
document anodin afin qu'il passe inaperçu. Actuellement, il est facile de cacher un fichier texte
dans une image jpeg par exemple.
 Cryptogramme (CipherText) : message codé résultant du chiffrement.
 Texte en clair (Plaintext) : message original.
 Challenge (challenge) : employé dans le sens de défi, il représente une épreuve qu'il faut
réussir pour obtenir un avis positif. Le chiffrement d'un ensemble de données de taille limitée
est un challenge.
1.4Les différents types d’attaques sur le réseau informatique
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une
attaque. Une « attaque » est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du
système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur
chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de
machines infectées (par des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire. Plus
rarement il s'agit de l'action de pirates informatiques. Afin de contrer ces attaques il est indispensable
de connaître les principaux types d'attaques afin de mettre en œuvre des dispositions préventives.

11
1.4.1Attaques des réseaux classiques
En informatique, il existe de nombreuses attaques possibles : certaines sont basées sur des
bugs ou failles des logiciels, d'autres sur l'accès à certaines ressources insuffisamment protégées ou
encore sur l'ignorance ou la curiosité des utilisateurs.
1.4.1.1 Attaques externes
Les attaques externes sont les attaques menées depuis l'Internet. Tout réseau connecté à
Internet est soumis à de nombreuses attaques qui ont plusieurs objectifs :
 Obtenir des informations sur les serveurs du réseau : la connaissance du système d'exploitation
permet d'en connaître les failles officielles et peut-être trouver un serveur qui n'a pas été mis à
jour. L'attaque la moins discrète est le balayage de port car elle est facilement repérable. Elle
est intéressante pour le pirate car des services comme le transfert de fichier (FTP), le terminal
distant (Telnet), le service de messagerie (SMTP,POP...) renvoient généralement une chaîne
de caractères indiquant le nom et la version de l'application gérant ces ports.
 Obtenir un compte sur une machine connectée au réseau : en utilisant une faiblesse du système
d'exploitation, un pirate peut se connecter sur une machine et agir par rebond. L'attaque menée
vers un réseau sera détectée comme provenant d'une machine corrompue mais ce ne sera pas
celle du pirate.
 Obtenir un plantage d'un serveur : l'arrêt brutal d'un serveur ne permet pas d'obtenir
d'informations sur l'attaquant, par contre, l'indisponibilité de ce serveur peut entraîner des
pertes importantes pour l'entreprise : informations, transactions, ordres, etc.,
 Intercepter et modifier des communications : en bloquant un serveur, le pirate peut introduire
à sa place un serveur qui aura presque la même fonction. Toutefois, ce nouveau serveur peut
également modifier les messages qui transitent par lui et en changer le contenu. L'intérêt est
que le destinataire reçoit d'une machine qu'il croit connaître, un message modifié tandis que le
pirate dispose de l'information originale. Ce type d'attaque est appelé "man in the middle"
(MITM) ou l'homme du milieu.
1.4.1.2 Attaques par ingénierie sociale
Les attaques par ingénierie sociale sont tournées vers les utilisateurs et administrateurs. Plutôt
que de tenter une attaque externe, le pirate va tenter d'obtenir l'information par un des employés de
la société. Pour cela, il peut se faire passer pour un commercial, un technicien de maintenance, un
administrateur du réseau. Il emploiera le téléphone, le courrier, le courrier électronique, voire même le
contact direct. Kevin Mitnick un hacker connu a écrit un livre (MITN04) sur ces techniques. Le
phishing est d'ailleurs devenu une technique très en vogue par courrier électronique en affichant un
message demandant de renouveler les mots de passe d'un compte chez un organisme connu. Le lien

12
affiché pointe en réalité vers une page web d'un serveur pirate imitant la mise en page du site officiel
et l'utilisateur confiant saisit les informations demandées en croyant être sur le site officiel. Même si le
message ne touche qu'une partie de la population, le pirate dispose alors d'une base de données
contenant les identifiants et mots de passe de nombreux utilisateurs du service officiel (généralement,
ce sont les banques qui sont le plus visées).
.4.1.3 Attaques par infection
Les attaques par infection concernent les virus, les vers, les spywares12 et les chevaux de
Troie. Ce sont des fichiers contenant du code exécutable (macro VBS pour les fichiers DOC ou XLS
par exemple) et qui, lorsque le fichier est ouvert, tente d'infecter le poste de l'utilisateur. Pour paraître
crédible, les virus utilisent généralement le carnet d'adresses de la machine, aussi il n'est pas
surprenant de trouver un message d'un ami franco-malgache qui écrit en anglais. Ce devrait être
suffisamment surprenant pour ne pas ouvrir la pièce jointe et pourtant de nombreuses personnes se
laissent attraper. Le fléau est tel que de nombreux administrateurs généralisent le déploiement de
l’antivirus sur leurs serveurs de courrier.
Les vers utilisent le réseau via les applications diverses comme les navigateurs, les
programmes peer-to-peer, les lecteurs multimédia, les messageries instantanées... ils n'ont pas besoin
d'une action de la part de l'utilisateur pour s'activer.
Un cheval de Troie (par référence au héros mythique Ulysse) est un programme malicieux
intégré dans un programme sain. Lorsque le programme sain est lancé, le cheval de Troie s'active et
écoute sur un port du système (dans une plage peu utilisée pour éviter un conflit) : il peut alors
accepter des commandes en provenance d'un pirate. Le plus célèbre est probablement "Back Orifice"
en référence à la suite "Back Office" de Microsoft. Actuellement, une nouvelle menace par cheval de
Troie voit le jour avec des programmes capables de valider un message d'alerte provenant d'un pare-
feu personnel. Les spywares sont des logiciels espions qui recueillent des informations sur le
comportement de l'utilisateur. Certaines données privées sont parfois placées dans des "cookies", de
petits fichiers utilisés par les sites web pour mémoriser des données. Une autre utilisation des
spywares est l'enregistrement des touches appuyées par l'utilisateur : le pirate est alors en mesure de
connaître les mots de passe tapés au clavier. Ces programmes sont aussi appelés "keylogger".
1.4.2 Attaques des réseaux sans fil
Les réseaux sans fil sont sensibles aux attaques précédentes comme les autres réseaux mais ils
ouvrent également la voie à de nouvelles attaques : parce que les ondes hertziennes ne sont pas
facilement contrôlables, la mauvaise implantation d'un point d'accès réseau sans fil revient à placer des
prises réseaux hors des locaux. Deux méthodes existent pour détecter des réseaux sans fil et permettre
leur écoute : le "wardriving" et le "war-shalking".

13
1.4.2.1 War-driving
Le war-driving est une technique simple qui consiste à circuler dans les rues et les lieux
publics à la recherche d'émetteurs. Un PC portable équipé avec une carte réseau sans fil écoute les
différentes fréquences et détecte les caractéristiques des informations reçues.
1.4.2.2 War-chalking
Le war-chalking est un extension du war-driving. Cette méthode consiste simplement à noter
près de l'émetteur (du moins dans sa zone d'émission) ses caractéristiques : est-ce un réseau ouvert,
fermé, protégé ?
Ceux qui n'en connaissent pas la signification ne voient qu'un graffiti alors que les hackers y voient
une occasion de se connecter au réseau. De plus, l'attribution d'adresses IP de manière dynamique
facilite la mise en œuvre d'un équipement sur ce réseau. Une fois détectés, les réseaux sans fil sont la
cible des attaques précédemment citées mais aussi des suivantes (liées aux techniques de déni de
service)
1.4.2.3 Brouillage
Les fréquences employées par les réseaux sans fil peuvent être brouillées afin
qu'aucunecommunication ne puisse passer. Bien que brutale, cette attaque utilisée de
manièreponctuelle et irrégulière perturbe un réseau sans permettre de trouver facilement l'origine.
1.4.2.4 Arp-poisoning
Ce type d'attaque consiste à répondre plus rapidement que les autres postes à la demande de
corrélation entre adresse IP et adresse MAC (arp-who-has) mais en fournissant une fausse adresse
MAC. Une méthode dérivée de cette attaque est de remplir les tables ARP deséquipements du réseau
pour les saturer. Le résultat rend possible l'usurpation d'une machine par une autre machine hors des
locaux de l'entreprise.

14
CHAPITRE 2:
ETUDE THEORIQUE DES RESEAUX SANS FILS

15
2.1 Etude de l’interface radio
2.1.1 Support de transmission (les ondes radio)
Les ondes radio, également appelées ondes hertziennes car elles furent découvertes par le
physicien allemand Heinrich Hertz en 1888, sont des ondes électromagnétique, c’est-à-dire des
oscillations combinées d’un champ magnétique et d’un champ électrique. Les ondes radio, les
infrarouges, la lumière visible, les ultraviolets, les rayons X ou encore les rayons gamma sont tous des
exemples d’onde électromagnétique. Ces ondes transportent de l’énergie sans avoir besoin d’un
quelque support matériel : autrement dit, elles peuvent se propager dans le vide. La théorie des ondes
électromagnétique est trop vaste et complexe pour le traiter ici en détail, voici donc les principaux
qu’il faut retenir :
 La portée du signal ;
 Le bruit d’interférences;
 Le débit ;
2.1.2 Les bandes de fréquences utilisées dans la norme IEEE 802.11
Les technologies utilisées pour les réseaux WPAN et les WLAN, fonctionnent sur deux bandes :
 La bande ISM (Industrial, Scientific and Medical) (de 2400 à 2500 Mhz).
 La bande U-NII (Unlicenced-National Information Infrastructure) (de 5150 à 5720 Mhz).
2.1.2.1 La bande ISM
La bande ISM correspond à trois sous bandes (902-928 Mhz, 2.400-2.4835 Ghz, 5.725-5.850
Ghz) seule la bande de 2.400-2.4835 Ghz, avec une bande passante de 83.5 Mhz, est utilisée par la
norme 802.11.
Figure 2 : Répartition des Bandes ISM en France et en Europe
Cette bande ISM est reconnue par les principaux organismes de la réglementation, tels que la
FCC aux Etats-Unis, l’ETSI en Europe, l’ART en France, l’ARTEC à Madagascar. La largeur de
bande libérée pour les RLAN varie cependant suivant les pays (voir tableau suivant). En plus une
utilisation sans licence.

16
Tableau 1: Allocation des bandes de fréquences ISM selon les pays
Pays Bande de fréquences
Etats-Unis (FCC) 2.400-2.485 Ghz
Europe (ETSI) 2.400-2.4835 Ghz
Japon (MKK) 2.471-2.497 Ghz
France (ART) 2.4465-2.4835 Ghz
Madagascar (ARTEC) 2.446-2.483 Ghz
2.1.2.2 La bande U-NII
La bande sans licence U-NII est située autour de 5Ghz. Elle offre une largeur de bande
de300Mhz (plus importante que celle de la bande ISM qui est égale à 83.5 Mhz). Cette bande n’estpas
continue mais elle est divisée en trois sous-bandes distinctes de 100 Mhz. Dans chaque sous bande la
puissance d’émission autorisée est différente. La première et la deuxième sous bande concernent des
transmissions en intérieur. La troisième sous-bande concerne des transmissions en extérieur. Comme
pour la bande ISM, la disponibilité de ces trois bandes dépend de la zone géographique. Les Etats-
Unis utilisent la totalité des sous-bandes, l’Europe n’utilise que les deux premières et le Japon la
première. Cette bande est reconnue par les mêmes principaux organismes de règlementation.
Figure 3 : Répartition de la bande U-NII
2.1.3 Les canaux
Comme nous l’avons vu, toutes les variantes du WiFi découpe la bande de fréquence sur
laquelle reposent (2.4 Ghz ou 5 Ghz) en canaux ils sont différents selon les variantes utilisées. Le
802.11 FHSS utilise la bande de 2.4 Ghz et la découpe en canaux de 1 Mhz numérotés à partir de 2400
Mhz. Les canaux utilisables changent en fonction de la législation du pays où se trouve, mais en deux
mots on a droit aux canaux 2 à 83 en Europe et aux canaux 2 à 80 aux Etats-Unis. Du coup, la plupart
de matériel se limite aux canaux 2 à 80. Le 802.11 FHSS n’étant presque plus utilisé nous ne
détaillerons pas davantage ses canaux. Pour toute les autres variantes du WiFi sur la bande de 2.4 Ghz

17
c’est-à-dire le 802.11 DSSS le 802.11b et le 802.11g. Quatorze canaux de 22 Mhz largeur sont définis
également numérotés à partir de 2400 Mhz. Leurs centres ne sont espacés que de 5 Mhz de sorte qu’ils
se superposent en partie. Ceci permet de choisir avec une certaine souplesse la bande de la fréquence
que l’on préfère utiliser, mais si l’on a deux réseaux au même endroit et qu’ils utilisent des canaux
voisins on aura beaucoup d’interférences. Pour éviter les interférences on recommande un espace de
cinq canaux au moins donc on ne peut pas utiliser que trois canaux simultanément au même endroit.
Figure 4 : Recouvrement des canaux dans la bande ISM
2.1.4 Technique de transmission
La couche physique définit plusieurs techniques de transmission permettant de limiter les
problèmes d’interférences :
2.1.4.1 Etalement de la bande spectrale
L’étalement de bande a pour but d’utiliser plus de bande que nécessaire par le bais d’un facteur
d’étalement. L’IEEE a initialement défini trois couches physiques initiales :
 Le FHSS : La modulation FHSS (Frequency HoppingSpread Spectrum) a été inventée et
brevetée en 1942 par l’actrice Hedy Lamar et le pianiste George Antheil, qui étaient assez
polyvalents. Le principe du FHSS est assez simple : une large bande de fréquence est divisée
en de multiples canaux et les communications se font en sautant (hopping) successivement
d’un canal à un autre, selon une séquence et un rythme convenus à l’avance entre l’émetteur et
le récepteur. Il est difficile d’intercepter les communications si l’on ne connaît pas la séquence
choisie, c’est pourquoi elle fut très appréciée par les militaires américains qui l’utilisèrent pour
radioguider les torpilles sans que l’ennemi puisse intercepter ou brouiller le signal. Dans le cas
du 802.11, cette fonction n’est (malheureusement) pas exploitée car les séquences de canaux
utilisées ne sont passe crêtes. Le FHSS offre également une résistance importante aux
interférences voire même aux brouillages volontaires car les canaux pour lesquels le bruit est
trop important peuvent êtres simplement évites. Toutefois, le 802.11 FHSS n’exploite pas
cette capacité, contrairement au Bluetooth et au Home RF qui sont deux technologies sans fil
utilisant la modulation FHSS. Un dernier avantage du FHSS est que plusieurs communications
peuvent avoir lieu en même temps sur la même bande de fréquences pourvu qu’elles utilisent

18
des séquences de canaux ne rentrant pas en collision les unes avec les autres. Par exemple, une
communication pourrait utiliser la séquence triviale : 1,2,3, 1,2,3, 1,2,3, tandis qu’une autre
communication aurait la séquence suivante 2,3,1,2,3,1,… de sorte qu’à aucun moment les
deux communications n’utilisent le même canal. Dans la première version du 802.11, la bande
de fréquence allant 2400 Mhz à 2483.5 Mhz a été découpée pour le FHSS en canaux de 1 Mhz
de largeur chacun. Dans la plupart des pays, les canaux 2 à 80 sont autorisés. Au sein de
chaque canal, la modulation gaussienne FSK (Frequency Shift Keying) à deux états 2GFSK
(2Gaussian FSK) est utilisée et permet un débit de 1 Mb/s. En utilisant la modulation 4GFSK
on peut atteindre un débit de 2 Mb/s. En utilisant la modulation GFSK (Gaussian FSK)
comme modulation sous- jacent, le FHSS permet d’éviter les interférences entre canaux
voisins, ce qui permet à plusieurs utilisateurs de communiquer en FHSS en même temps sans
gêner. Le standard 802.11a défini un mécanisme d’adaptation dynamique du débit en fonction
du rapport signal/bruit : lorsqu’il élever, la modulation utilisée est la 4GFSK à 2 Mb/s, sinon
le802.111 s’adapte automatiquement et descend au 2GFSK à 1 Mb/s.
Figure 5 : Etalement de spectre à saut de fréquence FHSS
 Le DSSS (chipping) La modulation DSSS (Direct Séquence Spread Spectrum) est également
une technique d’étalement de spectre, mais contrairement au FHSS, aucun saut de fréquence
n’a lieu : le DSSS provoque des transitions d’état très rapides (Chipping) qui tendent à étaler
le spectre du signal. Pour ce faire, l’émetteur envoie une séquence de plusieurs bits, appelés
des chips, pour chaque bit d’information à transmettre. Par exemple, en peut choisir d’envoyer
11101 au lieu de 0 et son inverse (00010) au lieu de 1 : dans le cas, si l’on veut transmettre
l’information 010, alors on émettra les chips suivant : 11101 00010 11101. Dans cet exemple ;
la séquence 11101 est ce qu’on appelle le (code d’étalement). Plus le code est long, plus le
débit artificiellement démultiplié, donc plus le spectre est étalé. Par exemple, si le débit

19
envoyé est égale à 1 Mb/s, mais avec DSSS sera bien sûr égal 11Mb/s si le code d’étalement
de 11 chips : du coup, la bande de fréquence occupée par le signal est égale au double du débit
de la source. Sans ce chipping, la bande occupée n’aurait qu’une largeur de 2 Mhz (deux fois
1 Mb/s).Le DSSS présente deux intérêts importants :
o Tout d’abord, comme nous l’avons dit, le spectre de fréquences du signal est étalé,
avec tous les avantages (et les inconvénients) que cela apporte, en particulier une
meilleur résistance au bruit ;
o Le fait que l’on émettre plusieurs chips pour chaque bit information signifie que l’on
peut avoir une redondance important, qui permet de corriger des erreurs de
transmission. En résulte que la modulation DSSS étale le spectre du signal par une
technique de chipping. Ceci permet avant tout de mieux résister au bruit. Pour
communiquer, l’émetteur et le récepteur doivent se mettre d’accord sur un canal fixe à
utiliser. Pour un débit de 1 Mb/s le 802.11 DSSS repose sur la modulation 2DPSK
(2Differential PSK) mais, pour un débit 2 mb/s utilisent simplement 4DPSK (4
Differential PSK). Dans les deux cas, le code d’étalement a une longueur de 11 bits et
il est toujours égal à 10110111000. Ce code fait partie d’une famille de codes aux
propriétés mathématiques similaires, définie en 1953 par le mathématicien Barker
Figure 6 : Etalement de spectre à séquence directe (DSSS)
Pour atteindre des débits de 5.5 Mb/s ou 11 Mb/s, le 802.11b amélioré encore ce procédé en
utilisant la modulation CCK (Complementary Code Keying) pour atteindre ce qu’on appelle le DSSS à
haut vitesse ou HR-DSSS (High-Rate-DSSS). Celle-ci repose toujours sur le même principe de base
d’étalement par chipping avec la modulation 4DPSK.Toutfois, au lieu d’utiliser toujours le même code
de BARKER pour étaler le signal, elle utilise jusqu’à 64 codes différent, ce qui permet de transporter 6
bits information (car 26=64) en plus deux bits autorisés par la modulation 4DPSK. Ces codes, de 8 bits
de longueur chacun, sont des codes complémentaires c’est-à-dire que leur propriétés mathématique
permettent aux récepteur de ne pas le confondre, même s’il y a quelques erreurs de transmission, voire

20
même un décalage dans le récepteur, puisqu’il y a nettement moins de redondance, on obtient un débit
plus importante, en tout cas tant que la réception est bonne (donc faible distance).
LeHR-DSSS est mieux adapté en intérieur et à courtes distance que le DSSS sur BARKER.
Malheureusement, alors que le FHSS peut sauter les canaux encombrés par du bruit ou des
interférences, le DSSS ne le peut pas. Comme pour le FHSS, le standard définit pour le DSSS un
mécanisme d’adaptation automatique du débit en fonction de la distance. Ainsi, à courte distance la
modulation sera le HR-DSSS à 11 Mb/s (8 bits information pour 8 chips émis). Plus, loin en passe
automatiquement à 5.5Mb/s (4 bits information pour 7 chips émis). Ensuite, on descend à 2Mb/s en
utilisent le DSSS/BARKER et 4DPSK, puis à 1 Mb/s en DSSS/BARKER et2DPSK.
2.1.4.2 Modulation OFDM
La modulation OFDM (Orthogonal Frequency Division Multiplexing), parfois appelée DMT
(Discrete Multitone Modulation), est sans doute la plus puissance des trois modulations du WiFi car
elle permet à la fois les débits les plus importants (54 Mb/s), la meilleur résistance au multipath, mais
aussi la plus grande capacité de partage du spectre. L’OFDM repose sur le principe de multiplexage :
permettre la transmission simultanée de plusieurs communications sur une même bande de fréquence.
Il existe le multiplexage par division des communications au cours du temps, qu’on appelle le TDM
(Time Division Mutliplexing) : chaque communication dispose de sa tranche de temps pour émettre des
données et peut utiliser l’ensemble du spectre. Le multiplexage peut également se faire en partageant
les différentes communications par fréquences : c’est FDM (Frequency Division Multiplexing).
Un spectre assez large est divisé en de multiple sous-porteuse (Sub-Carriers) et les données
sont émises simultanément sur chaque sous-porteuse. Malheureusement, il est alors possible d’avoir
des interférences entre les sous-porteuses, ce qu’on appelle ICI (Inter-Carrier-Interference). Pour
résoudre ce problème, l’OFDM utilise une fonction mathématique assez complexe pour rendre les
sous-porteuses (Orthogonales), c’est-à-dire pour qu’elles n’interfèrent pas les unes avec les autres.
Dans le cas du 802.11, il s’agit d’une transformation de Fourier inverse rapide IFFT (Inverse Fast
Fourier Transform). Grâce à cette fonction, les porteuses sont placées dans le spectre de fréquences de
telle sorte que les pics de puissance d’une porteuse donnée correspondent aux zéros des autres
porteuses. Les deux premières sous-bandes (Low et Middle) de la bande U-NII sont divisées en
8canaux de 80 Mhz. Chaque canal est ensuite divisé en 52 sous-canaux de 300 Khz, 48 pour la
transmission de données et 4 pour la correction d’erreur appelé FEC ( Forward Correction Error). Le
WiFi en utilise quatre comme (pilotes) qui servent à synchroniser les fréquences et à mesurer en
permanence les interférences et les décalages de phase, afin de s’y adapter au mieux.

21
Figure 7 : La modulation OFDM
2.2 Communication entre équipements
L’architecture d’un réseau Wi-Fi est basée sur un système cellulaire. Il existe deux principaux
modes de fonctionnement.
2.2.1 Mode ad hoc
En mode ad hoc, il n’y a aucune administration centralisée. Il n’existe pas de point d’accès.
Les stations terminales communiquent directement entre elles selon des liaisons point à point ou point
multi point. Ces stations forment une cellule appelée IBSS (Idependant Basic Service Set).
Figure 8 : Mode ad hoc

22
2.2.2 Le mode infrastructure
Dans ce mode, une station de base appelée Access Point (point d’accès) gère toutes les stations
terminales à portée radio. Il permet aux stations terminales de communiquer entre elles et avec des
stations d’un réseau filaire existant. L’ensemble constitué par le point d’accès et les stations sous son
contrôle forme un BSS (Basic Service Set/Ensemble de services de base) ; la zone ainsi couverte est
appelée BSA (Base Set Area).
Figure 9 : mode infrastructure
Le BSS est identifié par un BSSID qui est généralement l’adresse MAC du point d’accès. Une
ensemble de BSS forme un ESS (Extended Service Set). Les BSS (plus précisément leurs points
d’accès) sont interconnectés via un DS (distribution system/système de distribution). Le système de
distribution ou backbone est implémenté indépendamment de la partie sans fil, c’est généralement un
réseau Ethernet, mais il peut aussi être un réseau Token Ring, FDDI ou un autre réseau local sans fil.
Cette architecture permet aussi d’offrir aux usagers mobiles l’accès à d’autres ressources (serveurs de
fichier, imprimante, etc.) ou d’autres réseaux (Internet).L’ESS est identifié par un ESSID
communément appelé SSID est qui constitue le nom du réseau. Le SSID est un premier niveau de
sécurité, vu que la station doit connaître ce SSID pour pouvoir se connecter au réseau. Dans le mode

23
infrastructure, Il existe plusieurs topologies qui dépendent des caractéristiques de lazone à couvrir, du
nombre d’utilisateurs, des besoins de mobilité, du choix des canaux et du trafic.En fonction de ces
critères, on opte pour l’une des topologies suivantes:
 Topologie à cellules disjointes
Cette topologie, (illustrée à la figure suivant) se justifie en cas de faible nombre de canaux disponibles
ou si l’on souhaite éviter toute interférence. Il est toutefois difficile de discerner si les cellules sont
réellement disjointes, sauf lorsqu’elles sont relativement éloignées. Dans ce type d’architecture, la
mobilité n’est pas possible.
Figure 10 : Topologie à cellules disjointes
 Topologie à cellules partiellement recouvertes
Cette topologie, illustrée à la figure suivant est caractéristique des réseaux sans fil. Elle permet
d’offrir un service de mobilité continue aux utilisateurs du réseau, tout en exploitant au maximum
l’espace disponible. Cependant, elle exige en contrepartie une bonne affectation des canaux afin
d’éviter les interférences dans les zones de recouvrement. Cette topologie est à privilégier en cas de
déploiement d’une solution de téléphonie IP WiFi.
Figure 11 : Topologie à cellules partiellement recouvertes

24
 Topologie à cellules recouvertes
Dans cette topologie, illustrée à la figure ci après, une bonne configuration des canaux est également
nécessaire afin d’éviter les interférences. Elle permet, dans un espace restreint pratiquement à une
cellule, de fournir la connectivité sans fil à un nombre important d’utilisateurs. C’est pourquoi elle est
utilisée dans les salles de réunion ou lors des grandes conférences dans le but de fournir un accès sans
fil fiable à tous les participants.
Figure 12 : Topologie à cellules recouvertes
2.3 Communication entre équipements en mode infrastructure
Dans le mode infrastructure les stations se trouvant dans la même cellule sont fédérées autour
du point d’accès avec lequel ils rentrent en communication. Cette communication est basée sur un
système distribué pour l’accès au canal de communication. Le système d’accès multiple n’existe pas
en Wi-Fi, ce sont alors les techniques d’accès citées précédemment, qui permettent de résoudre le
problème de partage du canal de communication.
2.3.1 Communication entre une station et un point d’accès
Lors de l’entrée d’une station dans une cellule, celle-ci diffuse sur chaque canal une requête de
sondage (Probe Request), contenant l’ESSID pour lequel il est configuré, ainsi que les débits que son
adaptateur sans fil supporte. Si aucun ESSID n’est configuré, la station écoute le réseau à la recherche
d’un ESSID. En effet, chaque point d’accès diffuse régulièrement (0.1 seconde) une trame balise
contenant les informations sur son BSSID, ses caractéristiques et éventuellement son ESSID. L’ESSID
est automatiquement diffusé, mais il est possible (même recommandé) de désactiver cette option. A
chaque requête de sondage reçue, le point d’accès vérifie l’ESSID et la demande de débit présent dans
la trame balise. Si l’ESSID correspond à celui du point d’accès, ce dernier envoie une réponse
contenant des informations sur sa charge et des données de synchronisation. La station recevant la

25
réponse peut ainsi constater la qualité du signal émis par le point d’accès afin de juger de la distance à
laquelle elle se trouve. Le débit est d’autant meilleur que le point d’accès est proche.
2.3.2 Communication entre deux stations à travers un point d’accès
Pour entrer en communication avec une station destinatrice B, la station émettrice A doit
d’abord passé par le point d’accès pour son authentification et son association. Pour cela, la station A
envoie une trame de demande d’authentification au point d’accès qui lui répond avec une trame
réponse d’authentification. Après l’échange de trames d’authentification, la station A envoie au
point d’accès une trame de requête d’association, ce dernier envoie à son tour une trame de réponse
à la requête d’association permettant ainsi à la station A d’avoir accès à la station B. Avant de
transmettre ses données à la station B, la station A lui envoie d’abord un paquet d’appel sous forme
d’une trame RTS. Si cette trame est correctement reçue par la station B, alors cette dernière l’acquitte
avec une trame CTS. La station A vérifié si la trame CTS est reçue sans erreur, auquel cas elle peut
envoyer ses données. Au cas échéant la procédure sera reprise.
2.3.3 Le Handover
Les stations qui se déplacent d’une cellule à une autre doivent rester synchronisées pour maintenir
la communication. Le point d’accès envoie périodiquement des trames de gestion, plus précisément
des trames balises (Beacon frame) qui contiennent la valeur de son horloge, aux stations qui peuvent
ainsi se synchroniser. La station terminale choisit son point d’accès en fonction de la puissance du
signal du point d’accès, du taux d’erreurs par paquet et de la charge du réseau. La station demande à
accéder à une BSS dans deux Beacon Frame cas :
 Terminal qui était éteint et qui par la suite est mis sous tension
 Terminal en déplacement
L’adaptateur réseau est capable de changer de point d’accès selon la qualité des signaux reçus et
provenant des différents points d’accès. Les points d’accès peuvent aussi communiquer entre eux et
échanger des informations concernant les stations grâce au système de distribution(DS).Pour pouvoir
s’associer à un point d’accès, c'est-à-dire établir un canal de communication avec le point d’accès, la
station procède à une écoute de l’environnement :
 Ecoute passive: la station attend la réception d’une trame balise appelée venant du
point d’accès.
 Ecoute active: Une fois le point d’accès le plus approprié est détecté, la station lui envoie une
demande d’association via une trame appelée Probe Request Frame. La station peut envoyer
une requête d’association à un ou plusieurs points d’accès. Le point d’accès envoie une
réponse à la requête. Si c’est un échec, la station prolonge son écoute. En cas de succès, la
station accepte l’association. Le point d’accès signale la nouvelle association au DS, qui met à

26
jour sa base de données puis informe l’ancien point d’accès afin qu’il puisse libérer ses
ressources.
2.4 Le modèle en couche IEEE
La norme IEEE 802.11 repose sur une architecture en couche définie par le standard IEEE et
couvre les deux premières couches du modèle OSI, c’est à dire la couche physique et la couche liaison
de données:
Figure 13 : Modèle IEEE
2.4.1 La couche liaison de données
Elle est aussi composée de deux sous couches :
 La sous couche LLC cette couche de la norme IEEE 802.11 utilise les mêmes propriétés que
la sous couche LLC de la norme IEEE 802.3, ce qui correspond à un mode avec connexion et
avec acquittement des données.
 La sous couche MAC 802.11 intègre les mêmes fonctionnalités que la sous couche MAC
802.3, à savoir :
o La procédure d’allocation du support
o L’adressage des paquets
o Le formatage des trames
o Le contrôle d’erreurs CRC.
Dans la norme 802.11, la sous couche MAC réalise également la fragmentation et le
réassemblage des trames.
2.4.2 La couche physique
Elle assure la transmission des données sur le support, elle est constituée de deux sous
couches: PMD et PLCP
 La sous couche PMD spécifie le type de support de transmission, le type d’émetteur-
récepteur, le type de connecteur et la technique de modulation et de démodulation.

27
 La sous couche PLCP s’occupe de la détection du support et fournit un signal appelé CCA
(Clear Channel Assessment) à la sous couche MAC pour lui indiquer si le support est
occupé ou non. L’IEEE a défini quatre types de couches physiques différentes caractérisées
chacune par une technique démodulation précise. Il s’agit des techniques suivantes :
o FHSS
o DSSS
o OFDM
o Infrarouge
2.4.3 Format de la trame MAC
La trame MAC est la trame encapsulée au niveau de la sous couche MAC, son format est le suivant :
Figure 14 : Format de la trame MAC
 Le champ de contrôle de trame ce champ est composé des 4 adresses, d’un bit de donnée et
du CRC à 4 octets comme sur cette figure 15.
Figure 15 : Champ de contrôle

28
 Le champ version de protocole, il contient deux bits qui peuvent être utilisés pour reconnaître
des versions futures possibles du standard 802.11. Dans la version courante, la valeur est fixée
à 0.Le champ type indique le type de trame à transmettre sur le réseau. Il existe trois types de
trames : les trames de gestion, les trames de contrôle et les trames de données.
Tableau 2: Test de trames
Pour chaque type de trame (valeur du champ type), le champ sous type nous donne la fonction à
réaliser :
 Les trames de gestion sont utilisées lors des procédures d’association et de désassociassions
d’une station avec le point d’accès, de la synchronisation et de l’authentification.
Tableau 3: Trames de gestion
 Les trames de contrôle, pour cette trame il en existe plusieurs parmi lesquelles on peut citer :
o La trame RTS : paquet spécial d’appel envoyé par la station source avant le paquet de
données.
o La trame CTS : envoyée par la station destination après avoir reçu le paquet spécial
d’appel.
o La trame d’accusé de réception
o La trame PS-Poll
o La trame CF-End
o La trame CF-End + CF –ACK

29
Tableau 4: Trames de contrôle
 Les trames de données contiennent les données utilisateurs, notamment les adresses source,
destination et BSSID, ce qui permet aux points d’accès d’acheminer correctement les trames
vers leurs destinations.
Tableau 5: Trames de données
 To DS (pour le système de distribution) : Le bit est à 1 lorsque la trame est adressée au point
d’accès pour qu’il l’a fasse suivre au DS, sinon ce bit est à 0.
 From DS (Venant du système de distribution) : Ce bit est mis à 1 si la trame vient du DS, dans
le cas contraire il est à 0.
 More Frag (d’autres fragments) : Ce bit est mis à 1 quand il y a d’autres fragments qui suivent
le fragment en cours. Il est à 0 s’il ne reste plus de fragments à transmettre. Un ensemble de
fragments forme un paquet.
 Retry (Retransmission) : Ce champ renseigne si la trame est transmise pour la première fois ou
si elle est retransmise.
 PwrMgt (gestion d’énergie) : Ce champ indique l’état de la station après la transmission. Si le
bit est à 0, la station terminale est en mode normal. Si le bit est à 1, la station terminale est en
état d’économie d’énergie.
 More Data (d’autres données) : Le point d’accès utilise ce champ pour indiquer à une station
terminale en état d’économie d’énergie, s’il a ou non des trames en attente qui lui sont
destinées.
 WEP(sécurité) : Ce champ permet de déterminer si la station utilise le cryptage.
 Order (ordre) Ce champ permet de vérifier si l’ordre de réception des fragments est le bon.

30
2.4.4 Le champ de Durée / ID
Ce champ a deux sens qui dépendent du type de trame :
 Pour les trames de Polling en mode d’économie d’énergie, c’est l’ID de la station.
 Dans les autres trames c’est la valeur de durée utilisée pour le calcul du vecteur d’allocation
(NAV).
Figure 16 : Format de la trame
2.4.4.1 Les champs adresse 1, 2, 3 et 4 :
Ces champs correspondent à des adresses MAC de stations sources, de stations de destination
ou (Base services Set Identifier). Les adresses MAC de ces différents champs spécifient des types de
transmissions bien précis :
Tableau 6: Signification des adresses dans la trame des données
 L’adresse 1 est toujours l’adresse du récepteur. Si le bit To DS est à 1, c’est l’adresse du point
d’accès qui est généralement le BSSID. Par contre si le bit est à 0, il s’agit de l’adresse de la
station de destination (Transmission entre deux stations terminales d’un même IBSS).
 L’adresse 2 est toujours l’adresse de l’émetteur. Si le bit From DS est à un, c’est l’adresse du
point d’accès (BSSID). S’il est à 0, c’est l’adresse de la station terminale source(Transmission
entre deux stations terminales d’un même BSS).
 L’adresse 3 correspond à l’adresse de l’émetteur lorsque le bit From DS est à 1.Sinon et si le
bit To DS vaut 1, elle correspond à l’adresse de la station de destination (Transmission entre
point d’accès et une station terminale sous son contrôle).
 L’adresse 4 est spécialement utilisée dans le cas d’une communication entre 2 points d’accès
faisant intervenir le système de distribution (DS). Les bits To DS et From DS seront donc tous

31
les deux à 1 (Transmission entre deux stations terminales d’un même ESS mais n’appartenant
pas au même BSS).
2.4.4.2 Le contrôle de séquence
C’est un champ sur 12 bits utilisé pour attribuer à chaque trame un numéro de séquence entre
0 et4095. Le numéro de séquence est incrémenté de 1 à chaque fois qu’une trame est envoyée. Au
cours de la transmission d’une trame, quatre bits sont utilisés pour coder le numéro du fragment dans
l’ordre d’envoi des fragments.
2.4.4.3 Le CRC
Il s’étend sur 32 bits. Le CRC sert au contrôle d’erreur à partir d’un polynôme générateur
standard :
Figure 17 : Trame WiFi
 Le préambule est dépendant de la couche physique et contient deux champs : un champ
désynchronisation Synch et un champ SFD. Le champ Synch est utilisé par le circuit physique
pour sélectionner l’antenne à laquelle se raccorder. Quant au champ SFD, il est utilisé pour
délimiter le début de la trame.
Figure 18 : Préambule
La longueur du champ préambule varie selon la technique de modulation utilisée au niveau de
la couche physique. Pour la technique de modulation FHSS, le champ Synch s’étend sur 80
bits et le champ SFD sur 16 bits. Dans la technique DSSS, il existe deux formats possibles du
champ Préambule : un format par défaut avec un champ Synch long de 128 bits, et un format
avec un champ Synch court de 56 bits. Le deuxième format est utilisé pour améliorer les

32
performances du réseau dans les cas de données critiques telles que la voix, la VoIP (Voice
over IP). Le préambule court est également intéressant lorsque les trames doivent être
fragmentées (on transmet moins de bits non utiles).
 L’en-tête PLCP contient les informations logiques utilisées par la couche physique pour
décoder la trame. Dans la modulation FHSS l’en-tête PLCP se présente comme suit :
Figure 19 : En-tête PLCP-FHSS
Le champ PLW sur 12 bits indique le nombre d’octets que contient le paquet, ce qui est utile à
la couche physique pour détecter correctement la fin du paquet.
 Le fanion de signalisation PSF s’étend sur 4 bits et indique le débit de transmission des
données MAC.
 Le champ HEC utilise un CRC sur 16 bits pour la vérification de l’intégrité de l’en-tête PLCP.
Dans la modulation DSSS, l’en-tête PLCP se présente sous une autre forme.
Figure 20 : En-tête PLCP
Elle est composée de quatre champs.
o Le champ Signal s’étend sur 8 bits et indique la modulation à utiliser pour l’émission
et laréception des données.
o Le champ Service sur 8 bits est réservé pour une utilisation future.

33
o Le champ Length de 16 bits indique le nombre de microsecondes nécessaires pour
transmettre les données.
o Le champ de contrôle d’erreurs CRC sur 16 bits.
2.5 Les techniques d’accès
La norme 802.11 ne prévoit pas un système d’accès multiple, il se pose alors un problème de
partage du canal de communication entre les différentes stations. C’est ainsi que l’IEEE définit au
niveau de la sous couche MAC, deux techniques d’accès que sont la DCF (Distribution Coordination
Function) et la PCF (Point Coordination Function).
2.5.1 DCF (Distribution Coordination Function)
La DCF est conçue pour prendre en charge le transport des données asynchrones dans lequel
tous les utilisateurs désirant transmettre des données ont une chance égale d’accéder au support de
transmission. Ce mode d’accès à compétition repose sur la technique CSMA/CA. Le CSMA/CA évite
les collisions en utilisant des trames d’acquittement, ACK (Acknowledgment) : un acquittement est
envoyé par la station de destination pour confirmer que les données ont été reçues de manière intacte.
L’accès au support est contrôlé par l’utilisation d’espaces inter-trames ou IFS (Inter-Frame Spacing),
qui correspondent aux intervalles de temps entre la transmission de deux trames. Ces espaces inter-
trames correspondent à des périodes d’inactivité sur le support de transmission. L’IEEE 802.11 définit
trois types d’espaces inter-trames :
 SIFS (Short Initial Inter-Frame Spacing) : c’est le plus court des espaces inter-trames. Il
permet de séparer les trames au sein d’un même dialogue. Il dure 28 µs.
 PIFS (PCF-IFS) : utilisé par le point d’accès pour bénéficier d’une priorité supérieure dans le
cas d’un accès au support contrôlé. Le PIFS correspond à la valeur du SIFS auquel on ajoute
un timeslot de 78 µs, défini dans l’algorithme de Backoff.
 DIFS (DCF-IFS) : inter-trame pour l’accès distribué, utilisé lorsqu’une station veut
commencer une nouvelle transmission. Il correspond à la valeur du PIFS auquel on ajoute un
temps de128 µs. Les terminaux d’un même BSS peuvent écouter l’activité de toutes les
stations qui s’y trouvent. Ainsi, lorsqu’une station envoie une trame, les autres stations
l’entendent et pour éviter une collision, ils mettent à jour un timer appelé NAV (Network
Allocation Vector). Le NAV permet de retarder les transmissions. Lors d’un dialogue entre
deux stations, le NAV est calculé par rapport au champ de Durée/ID des différentes trames
qui sont envoyées (données, ACK, SIFS etc.). Les autres stations ne pourront transmettre que
lorsque le NAV atteint la valeur zéro. Une station, avant de transmettre écoute d’abord le
support. Si aucune activité n’est détectée pendant une durée correspondant à un DIFS, elle
peut alors transmettre. Par contre si le support est occupé, elle prolonge son écoute. Lorsque
lesupport devient libre, la station retarde encore sa transmission en utilisant l’algorithme de

34
Backoff. Si les données envoyées ont été reçues de manière intacte, la station destination
attend pendant un temps équivalent à un SIFS et émet un ACK pour confirmer la bonne
réception des données. L’algorithme de Backoff permet de résoudre le problème d’accès
simultané au support. Initialement, une station calcule la valeur d’un temporisateur appelé
timerBackoff compris entre zéro et sept et correspondant à un certain nombre de timeslots.
Lorsque le support est libre, les stations décrémentent le timer et pourront transmettre lorsque
celui-ci atteint la valeur zéro. Si le support est de nouveau occupé avant que le temporisateur
n’atteigne la valeur zéro, la station bloque le temporisateur. Lorsque plusieurs stations
atteignent la valeur zéro au même instant, une collision se produit et chaque station doit
régénérer un nouveau timer, compris cette fois-ci entre zéro et quinze pour chaque tentative
de retransmission.

Figure 21 : Procédé de transmission dans le CSMA/CA

35
Figure 22 : Mécanisme du CSMA/CA
Une fois la station veut emmètre des données il faut écouter le support s’il est libre ou non.
Une fois le support n’est pas libre, il faut attendre qu’il soit libre et après on passe à la vérification du
NAV si ceci est déclenché ou non et si la valeur de ce NAV est égale à zéro, il faut attendre le DIFS
durant un certains temps sinon on attend pour que le support soit libre. Une fois le calcule de timer est

36
effectué, le temps est décrémenté et on écoute si le support est libre de nouveau (sinon on attend
jusqu’à ce que le support soit libre de nouveau). Après cette attente et que le support est de nouveau
libre le timer est à zéro (sinon on revient à la décrémentation du timer et écoute le support). Une fois le
timer est à zéro ceci implique la transmission de donnée vers la réception d’un ACK et une bonne
transmission de donnée.
2.5.2 PCF (Point Coordination Function)
La PCF est un mode d’accès sans contention. Elle est basée sur l’interrogation successive des
stations (polling) contrôlées par le point d’accès de façon à organiser les transmissions suivant un
multiplexage temporel dynamique du canal de communication. Pour cela, les stations envoient des
trames spéciales appelées PR (Polling Request) auxquelles le point d’accès répond en envoyant les
données demandées. Pour contrôler l’accès au support, le point d’accès dispose une priorité supérieure
en utilisant des inter trames PIFS qui sont plus courtes que l’inter trames DIFS utilisées par les
stations. Toutefois, le point d’accès doit s’assurer que les stations puissent accéder au support au
moyen de la technique DCF, c’est pourquoi les deux modes sont alternés : il existe une période dite
CFP (Contention Free Period) pour la PCF et une période dite CP (Contention Period) pour la DCF
alternées par une trame balise permettant de synchroniser les stations.
2.6 Problèmes spécifiques aux réseaux sans fils de type IEEE 802.11
2.6.1 Support de transmission
Malgré leurs nombreux avantages, les réseaux sans fil posent d’énormes problèmes liés au
support de transmission. Les ondes radio se propagent dans l’air, en ligne droite, à la vitesse de la
lumière et peuvent être déviées par réflexion, réfraction ou diffraction à cause des obstacles rencontrés
sur leur trajectoire. Les ondes radio peuvent même être totalement absorbées. L’existence
d’interférences, principalement dues aux réflexions multiples, a des conséquences néfastes sur les
paramètres de la liaison c'est-à-dire sur le taux d’erreur, la portée ainsi que le débit, qui sont des
grandeurs étroitement liées. Parallèlement aux problèmes dus au support de propagation, la sécurité, la
mobilité ainsi que la qualité de service (fonction de l’application utilisée) restent les maillons faibles
des réseaux sans fil.
2.6.2 La sécurité de réseau sans fil
Bien que les réseaux sans fil offrent la mobilité ainsi que la rapidité et la facilité de déploiement, la
sécurité demeure un réel problème. La propagation dans l’espace fait que n’importe quel individu
ayant des équipements d’écoute appropriés (adaptateur radio, antenne directive, scanner) peut écouter
le trafic sur le réseau (écoute passive).D’autres attaques menacent l’intégrité d’un réseau comme
l’intrusion ou la dissimulation d’identité. Avec l’intrusion, un étranger pénètre un système de
communication puis accède au système d’information de l’entreprise. Dans la dissimulation

37
d’identité, un destinataire reçoit un message en provenance d’une personne qu’il croit connaître mais
dont l’identité a été usurpée.
Tableau 7: Types d'attaques et solution préconisés
 Principales attaques : L’attaque d’un réseau nécessite l’utilisation d’une station espionne
située dans la zone decouverture ou en dehors de celle-ci à condition qu’elle soit munie d’une
antenne directive.
Figure 23 : Différents cas d’attaque
 L’interception des données: En absence de système de cryptage efficace, il est facile de
récupérer le contenu des données qui circulent sur le médium.
 L’intrusion dans le système: Elle consiste, pour une station étrangère au réseau, à se
connecter au point d’accès puis à intégrer le réseau.
 Attaque de l’homme au milieu: Il suffit de mettre en place un point d’accès étranger dans la
zone de couverture du réseau WLAN afin d’intégrer le réseau. Les stations cherchent alors à
se connecter à ce point d’accès (pirate) en fournissant ainsi les informations concernant le
réseau auquel elles sont rattachées. L’exploitation de ces informations permet aux pirates de se
connecter au réseau.
 Attaque par porte dissimulée: Cette technique est identique à la précédente, la seule
différence provient du fait que le point d’accès pirate est directement raccordé au système de
distribution du réseau.

38
2.6.3 Qualité de service
La qualité de service est liée au type d’application, chaque application étant caractérisée par ses
propres besoins. Pour la transmission de données (web, FTP …), il n’y a pas besoins de temps réel, le
flux peut être irrégulier mais les erreurs ne sont pas tolérées. Pour la voix et la vidéo, au contraire, les
flux doivent être réguliers (délai constant), mais le système est plus tolérant aux erreurs. Les
principaux paramètres de qualité de service qui sont pris en compte dans les applications temps réels
sont :
 Le délai de transit : c’est le temps que met le paquet pour transiter de l’émetteur au récepteur.
Il dépend du temps de propagation et du délai de congestion (temps passé dans les files
d’attente du point d’accès). Sachant que les mémoires tampon des points d’accès sont de taille
limitée, tout paquet arrivant dans une file pleine est perdu.
 Le taux d’erreur : c’est le pourcentage de paquets erronés par flux.
 La gigue : c’est la variation de délai dans les temps d’arrivée des différents paquets.
 Le débit: c’est la quantité d’information par unité de temps circulant sur le réseau.
La mobilité d’un hôte a un impact très important sur ces paramètres de qualité. En effet,
lorsqu’une station se déplace d’un BSS à un autre, l’information doit être relayée par le point d’accès
auquel la station était associée précédemment, il en résulte alors de courtes périodes durant lesquelles
la station terminale ne reçoit plus d’information. Par ailleurs, vue que la mobilité des stations est
imprévisible, plusieurs utilisateurs peuvent se retrouver simultanément dans une même cellule, les
ressources de la cellule en terme de bande passante seront alors insuffisantes pour satisfaire tous les
paramètres de qualité. Pour remédier à la dégradation gracieuse du service, il est nécessaire que la
bande passante soit allouée de façon optimale, pour cela deux solutions sont retenues :
 Solution N°1 : Attribuer une priorité aux connexions déjà ouvertes Les connexions déjà
ouvertes (en handover) doivent être prioritaires sur les connexions qui tentent de s’ouvrir en
parallèle, il est souhaitable d’utiliser un système avec des priorités pour pénaliser d’abord les
connexions définies comme étant les moins importantes. Mais il n’est pas toujours possible de
trouver un ordre total des priorités de toutes les applications. De plus, un utilisateur avec des
connexions de faible priorité peut perdre toutes ses connexions, ce qui n’est bien sûr pas
souhaitable.
 Solution N°2 : Spécification des préférences (Profil de perte). Chaque application a des
besoins qui lui sont propres, il est alors possible que chaque utilisateur spécifie, lors de
l’établissement de la connexion, ses préférences concernant les pertes d’information acceptabl
es. Ce profil est utilisé en même temps que d’autres paramètres pour allouer la bande passante
aux différents utilisateurs mobiles présents dans une cellule.

39
2.6.4 Mobilité des utilisateurs
L’un des problèmes majeurs des réseaux locaux sans fil est la gestion de la mobilité des
utilisateurs. La difficulté réside dans l’adressage IP, le routage des paquets et la localisation des
ressources lors du déplacement des utilisateurs. L’environnement mobile pose également un problème
de sécurité.
2.6.5 Les Applications du Wi-Fi
 L’extension du réseau d’entreprise : Si une entreprise désir ajouter une extension du réseau
avec des point d’accès pour éviter les problèmes des câbles.
 Le Wi-Fi à domicile : le partage de la connexion internet à travers un modem Wi-Fi.
 Les HOTSPOTS : Il s'agit d'un lieu où la connexion vers un réseau Internet est possible via
une connexion sans fil et grâce à un ensemble de technologies et de protocoles mis en œuvre.
On parle également de borne ou de point d'accès Wi-Fi.
 Le Wi-Fi communautaire : c’est un type des réseaux Wi-Fi ouvert pour le public.

40
CHAPITRE 3 :
PARTAGER D’ACCES INTERNET SECURISE (PORTAIL
CAPTIF) VIA PFSENSE

41
Toute révision, modification ou action visant à apporter des améliorations au système
informatique du CIDST doit passer par une connaissance préalable de l'ensemble des différents
éléments constituant l'architecture de son système informatique existant. L'analyse de l'existant a pour
but à la fois d'évaluer le niveau de performance et de disponibilité de l'infrastructure réseau, et de
déterminer quelles améliorations peuvent être apportées afin de la rendre plus performante tout en
facilitant sa gestion.
3-1 FreeBSD
Pfsense est un firewall / routeur basé sur un système FreeBSD. L'implémentation du firewall
est basée sur Packet filter(PF) le firewall par défaut du système OpenBSD (intégré directement dans le
noyau).Pfsense est un système léger pouvant être installé sur de vieilles machines, ou même sur des
systèmes embarqués (compact flash).
3.1.1 Principales différences entre un système BSD et un système Linux :
Figure 24 : BSD et Linux
La licence BSD est moins restrictive que la licence GPL (linux), notamment car elle n'oblige
pas de rendre le code source disponible lors de sa distribution (elle autorise même la distribution de
source sous forme de binaires uniquement).
le noyau linux est principalement contrôlé (ce qui peut ou ne peut pas être intégré dans le
code) par Linus Torvalds son créateur, les différentes versions de BSD sont contrôlées par une Core
team chargé de gérer le projet.

42
Linux est juste un noyau, dans un distribution GNU/Linux il n'y a pas de séparation entre les
paquets, inclus dans la distribution (« base system ») et ceux ajouté par l'utilisateur ( addon utilities )
.BSD est un noyau + un Base system, BSD a toujours eu un modèle de développement centralisé (ex
la commande ls n'est pas la commande GNU mais un ls propre au système) permettant une meilleure
cohésion entre les composants du système d'exploitation (séparation claire entre le « base system » de
l'OS et les paquets de source tiers).
Linux supporte nativement un plus grand nombre (noyau plus lourd) de matériels que
BSD.BSD est une famille de système d'exploitation (OpenBSD, FreeBSD, NetBSD et
DragonFlyBSD)comme GNU/Linux (Gentoo, Debian, Redhat, slackware, etc... ) mais chaque système
d'exploitation BSD possède son propre noyau et son propre base système.
3.1.2 Fonctions supporté par Pfsense
Pfsense peut être dédié à divers usage :
 Firewall
 LAN/WAN routeur
 point d'accès wireless (avec portail captif)
 Sniffer
 VPN (Ipsec,L2TP,OpenVPN ou PPTP)
 Proxy (avec Squid) et inverse proxy
 Serveur DHCP, DNS (TinyDNS)
 Serveur de VOIP (Voice over IP avec paquet asterisk ou FreeSwitch)
Pfsense dans notre cas va être principalement utilisé comme firewall, routeur et serveur DHCP
pour notre interface LAN et va permettre :
 De gérer les communications entre notre réseau interne et internet .
 D'offrir un accès redondant (Failover) a Internet (via l'uni Dufour ou via la nouvelle
connexion VDSL CTI).
La figure 25 représente la configuration actuel du CIDST, l'objectif étant d'évaluer PFsense en vue de
remplacer le firewall Clavister dans un avenir proche.

43
Figure 25 : topologie CIDST

44
3.2 Portail Captif
Un portail captif est une application qui permet de gérer l'authentification des utilisateurs d'un
réseau local qui souhaitent accéder à un réseau externe (généralement Internet). Il oblige les
utilisateurs du réseau local à s'authentifier avant d'accéder au réseau externe. Lorsqu'un utilisateur
cherche à accéder à Internet pour la première fois, le portail capte sa demande de connexion grâce à un
routage interne et lui propose de s'identifier afin de pouvoir recevoir son accès.
Cette demande d'authentification se fait via une page web stockée localement sur le portail
captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un navigateur web et d'un accès
Wifi de se voir proposer un accès à Internet. Au-delà de l'authentification, les portails captifs
permettent d'offrir différentes classes de services et tarifications associées pour l'accès Internet (Par
exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela est obtenu en interceptant tous les
paquets quelles que soient leurs destinations jusqu'à ce que l'utilisateur ouvre son navigateur web et
essaie d'accéder à Internet.
Lors de l'établissement de la connexion, aucune sécurité n'est activée. Cette sécurité ne sera
active que lorsque l'ordinateur connecté tentera d'accéder à Internet avec son navigateur web. Le
portail captif va, dès la première requête HTTP, rediriger le navigateur web afin d'authentifier
l'utilisateur, sans quoi aucune demande ne passera au-delà du serveur captif. Une fois l'utilisateur
authentifié, les règles de firewall le concernant sont modifiées et celui-ci se voit autorisé à utiliser son
accès Internet pour une durée fixée par l'administrateur.
A la fin de la durée fixée, l'utilisateur se verra redemander ses identifiants de connexions afin
d'ouvrir une nouvelle session. Ce système offre donc une sécurité du réseau mis à disposition, il
permet de respecter la politique de filtrage web du Centre d’information grâce à un module proxy et
permet aussi grâce à un firewall intégré d'interdire l'accès aux protocoles souhaités.
3.3 Fonctionnement général
Le fonctionnement type d'un portail captif peut être représenté par la figure 26

Figure
Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès
sans fil pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la
configuration du réseau. A ce moment
cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le client va effectuer sa
première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web
d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe.
Cette page est cryptée à l'aide du protocole SSL pour
de passe. Le système d'authentification va alors contacter une base de donné
utilisateurs autorisés à accéder au réseau. Enfin le système d'authentification indique, plus ou moins
directement selon les portails captifs, à la passerelle que le couple MAC/IP du client est authentifié sur
le réseau.
Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le réseau
derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à divers mécanismes
comme une fenêtre popup sur le client rafraîchie à intervalles réguliers
client, est en mesure de savoir si l'utilisateur est toujours connecté au réseau. Au bout d'un délai
d'absence sur le réseau, le portail captif va couper l'accès à cet utilisateur.
3.4 Etude technique de PFsense
PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est d'assurer
les fonctions de pare-feu et de routeur mais l'engouement généré par cet applicatif lui a
45
Figure 26 : Fonctionnement portail captif
configuration du réseau. A ce moment-là, le client a juste accès au réseau entre lui et la passerelle,
entification qui lui permet de s'authentifier grâce à un login et un mot de passe.
Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot
de passe. Le système d'authentification va alors contacter une base de données contenant la liste des
t le client est redirigé vers la page Web qu'il a demandé initialement; le réseau
up sur le client rafraîchie à intervalles réguliers ou des requêtes ping vers le
d'absence sur le réseau, le portail captif va couper l'accès à cet utilisateur.
PFsense
feu et de routeur mais l'engouement généré par cet applicatif lui a
ste accès au réseau entre lui et la passerelle,
entification qui lui permet de s'authentifier grâce à un login et un mot de passe.
sécuriser le transfert du login et du mot
es contenant la liste des
t le client est redirigé vers la page Web qu'il a demandé initialement; le réseau
ou des requêtes ping vers le
feu et de routeur mais l'engouement généré par cet applicatif lui a permis

46
d'étendre ses fonctionnalités et présente maintenant les fonctions de portail captif, serveur proxy,
DHCP ...
Son installation se fait facilement via une distribution dédiée et toutes les configurations
peuvent se faire soit en ligne de commande (SSH) ou via l'interface web (HTTPS). La sauvegarde et la
restauration de configuration est disponible à travers l'interface web et permet de générer un simple
fichier d'une taille raisonnable. Le portail assure une évolution constante grâce à des mises à jour
régulières dont l'installation est gérée automatiquement dans une partie du panneau d'administration.
Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple
utilisateur / mot de passe. Une documentation très complète est disponible sur Internet, un support
commercial est désormais présent en cas de gros incident. PFsense dispose aussi d'une communauté
trèsactive
PFsense assure une compatibilité multi-plates-formes, une personnalisation complète des
pages accessibles aux utilisateurs ainsi qu'une simplicité d'utilisation grâce à une page de connexion
succincte où on ne retrouve que deux champs (utilisateur / mot de passe).
3.5 Définition de Pfsense
Développé par Chris Buechler et Scott UlIrich, PFsense ou « PacketFilterSense » est un
applicatif qui fait office de routeur/firewall open source basé sur le système d'exploitation FreeBSD et
Monowall. Il est une reprise du projet Monowall auquel il rajoute ses propres fonctionnalités. PFsense
est basé sur PF (packetfilter), comme iptables sur GNU/Linux et il est réputé pour sa fiabilité. C'est
une distribution dédiée qui peut être installée sur un simple poste de travail, un serveur ou même sur
un boîtier en version embarquée. Ce qui séduit chez PFsense est sa facilité d'installation et de
configuration des outils d'administration réseau. En effet, après une installation en mode console, il
s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q). La
distribution PFsense met ainsi à la disposition de l'administrateur réseau une multitude d'outils open
source et de services permettant d'optimiser ses tâches. Parmi ces services, figure Captive Portail
(portail captif) qui fait l'objet de ce projet.
3.6 Les fonctionnalités et services de PFsense
En fonction de la version du logiciel, le nombre de services et/ou de fonctionnalités peut varier.
Pour ce projet, la version 2.1.5 est utilisée. Ainsi cette version dispose entre autres de:
 Support des VLAN tagués, c'est-à-dire qu'elle permet de créer et gérer nativement les VLAN;
 Routage IPv4 et (depuis la version 2.1) IPv6 ;
 NAT (Network Address Translation) pour faire correspondre un nombre restreint d'adresses IP
publiques à un nombre plus élevé d'adresses privées locales;

47
 Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP...) pour faire
office de pare-feu;
 Limitation des connexions pour empêcher un utilisateur de se connecter à la fois avec son seul
compte ;
 "LoadBalancing" pour la transposition de charge en cas de surcharge;
 "Failover" pour le basculement d'une ligne à l'autre si l'on possède par exemple plusieurs
abonnements à Internet; Proxy transparent qui joue le rôle de serveur mandataire;
 DNS dynamique pour la gestion dynamique des noms de domaines;
 Portail captif;
 Serveur DHCP;
 Contrôle d'accès par adresses MAC ou authentification RADIUS;
 Serveur ou relay DHCP / DNS qui est relais du serveur DHCP / DNS ;
 etc…
3.7 Versions dePFsense
Depuis sa mise en route en 2004, le projet PFsense ne cesse d'évoluer et différentes versions
du logiciel se sont succédées. Pour chaque version, il en existe pour les architectures i386 (32- bits) et
amd64 (64-bits). De même elles sont disponibles en Live CD ou en plate-forme embarquée. Ainsi on
a:
Tableau 8: Version logiciel PFsense
Version PFsense disponibilité
PFsense 2.3 12/04/2016
PFsense 2.2.6 21/12/2015
PFsense 2.2.5 05/11/2015
PFsense 2.2.4 26/07/2015
PFsense 2.2.3 24/06/2015
PFsense 2.2.2 15/04/2015
Pfsense 2.2.1 17/03/2015
Pfsense 2.2 23/01/2015
Pfsense 2.1.5 12/04/2015
Pfsense 2.1 15/09/2013
PFsense 2.0 17/09/2011
PFsense 1.0 14/10/2006

Il existe aussi des versions intermédiaires non stables (bêta et RC)
tableau 8.
3.8 Installation de sécurité internet
3.8.1 Matériel et architecture réseau requis
Pour le matériel sur lequel PFsense doit s'installer, on a besoin d'un minimum qui soit composé
d'une machine dotée d'au moins deux cartes réseau et dont les caractéristiques sont: au moins 1 Go de
disque dur (500 Mo pour les plates
Mo recommandés; un CPU cadencé à au moins 100 MHZ (500 MHZ ou plus recommandé). Mais
dans notre cas nous avons utilisé un poste de travail avec les caractéristique
 disque dur : 80 Go ;
 Processeur: 1350 Mhz ;
 RAM: 768 MB.
L'architecture réseau le plus souvent déployé est représentée par la figure ci contre.
Figure
Rappelons ici qu'à la place du switch il est placé générale
la phase de test de ce projet, nous avons eu besoin d'
avec carte wifi pour le test et d'un autre PC po
existant est représentée par la figure 27
la figure 28.
48
Il existe aussi des versions intermédiaires non stables (bêta et RC) qui ne sont pas mentionnées sur le
internet
Matériel et architecture réseau requis
ue dur (500 Mo pour les plates-formes embarquées) ; au moins 128 Mo de RAM, mais plus de 512
dans notre cas nous avons utilisé un poste de travail avec les caractéristiques suivantes:
Figure 27 : Architecture du réseau sans sécurisation
qu'à la place du switch il est placé généralement un point d'accès sans fil.
la phase de test de ce projet, nous avons eu besoin d'un point d'accès sans fil, d'un
avec carte wifi pour le test et d'un autre PC pour l'administration via le web. L'architecture du réseau
gure 27 et celle après implémentation de PFsense est représentée par
ne sont pas mentionnées sur le
formes embarquées) ; au moins 128 Mo de RAM, mais plus de 512
s suivantes:
ment un point d'accès sans fil. Pour
un point d'accès sans fil, d'un Switch, d'un PC
L'architecture du réseau
PFsense est représentée par

Figure
On remarque une légère modification dans cette architecture pour l'utilisation de la fonction
captive de PFsense. Si nous voulons prendre en compte plusieurs sous
desutilisateurs, il va falloir augmenter le nombre de cartes rés
3.8.2Installation de PFsense
Pour une mise en œuvre pratique nous avons décrit pas à pas les différentes étapes
del'installation. En effet, on peut utiliser le logiciel de deux façons : installer directement sur ledisque
dur ou utiliser le logiciel via un live CD sans l'installer.
Cette dernière option est très rapide et efficace. Le chargemen
que la configuration. Mais elle possède tout de mêm
manque de fiabilité et l'impossibilité d'ajouter des « package
la structure du CD.
Vu les inconvénients du live CD, pour l'implantation dans le réseau,
installe surle disque dur pour plus de sécurité
caractéristiques requises, puis insérer leCD au démarrage de la machine. On accède ensuite à l'écran
de démarrage de FreeBSD.
Il faut vérifier aussi que l'ordinateur possède les caractéristiques requises
démarrage de la machine. On accède ensuite à l'écran de démarrage de FreeBSD
choisit l'option 1 (par défaut) ou on attend la fin du compte à rebours.
49
Figure 28 : Architecture de sécurisation internet
remarque une légère modification dans cette architecture pour l'utilisation de la fonction
nous voulons prendre en compte plusieurs sous-réseaux pour l'auth
utilisateurs, il va falloir augmenter le nombre de cartes réseau sur la machine PFsense.
utiliser le logiciel via un live CD sans l'installer.
Cette dernière option est très rapide et efficace. Le chargement se fait automatiquement ainsi
que la configuration. Mais elle possède tout de même des inconvénients tels que le
de fiabilité et l'impossibilité d'ajouter des « packages» (logiciels) car on ne peut pas
Vu les inconvénients du live CD, pour l'implantation dans le réseau,
surle disque dur pour plus de sécurité.Tout d'abord, vérifier que l'ordinateur possède les
que l'ordinateur possède les caractéristiques requises, puis insérer leCD au
démarrage de la machine. On accède ensuite à l'écran de démarrage de FreeBSD
choisit l'option 1 (par défaut) ou on attend la fin du compte à rebours.
remarque une légère modification dans cette architecture pour l'utilisation de la fonction
réseaux pour l'authentification
eau sur la machine PFsense.
t se fait automatiquement ainsi
e des inconvénients tels que le chargement long,
car on ne peut pas toucher à
Vu les inconvénients du live CD, pour l'implantation dans le réseau, dans notre choix on
.Tout d'abord, vérifier que l'ordinateur possède les
, puis insérer leCD au
démarrage de la machine. On accède ensuite à l'écran de démarrage de FreeBSD(figure 29) et on

50
Figure 29 : Ecran démarrage PFsense
Pour cette étape on ne configure pas VLAN (on peut le configuré après installation de PFsense
si on souhaite à l’utilisé).
Figure 30 : Boite de dialogue pour la configuration de VLAN
Ensuite vient la configuration des interfaces réseaux. On remarque ici que FreeBSD détecte le
nombre de cartes réseau et leur attribue des noms (dans notre cas les interfaces réseaux détectés sont :
rl2,rl0 et rl1). Une fois les interfaces réseaux détectées, il est nécessaire de définir l'interface LAN
(dans notre cas rl0) et l'interface WAN (rl2) et de valider ces changements en appuyant sur la
touche ENTREE.
Si l'on veut ajouter une DMZ, ou configurer d'autres interfaces on les ajoute dans Optional
interface juste après. Dans notre cas, nous n'avons que deux interfaces et il suffit d'appuyer sur la
touche ENTREE.Une fois les interfaces définies, il est nécessaire d'installer PFsense en dur sur le
disque dur. L'installation sur le disque se fait en tapant le choix «99» pour les versions antérieures à
PFsense2.0 et tapant la lettre «i» depuis la version V2.0. Et il faut continuer l'installation sur le disque
dur.

51
Une fois l'installation lancée on a différentes procédures d'installation et on choisit pour
l'installation rapide puis on continu. Les étapes suivantes sont obligatoires. Elles permettent la création
des partitions accueillant l'installation de PFsense.
Il faut choisir l'option « Accept and Install Bootblocks» puis valider en tapant sur la
toucheENTREE pour lancer l'installation (figure 29).Une fois les partitions créées et paramétrées, il
est nécessaire de redémarrer l'ordinateur pour que les changements soient effectifs.Après redémarrage
on a le menu qui nous permettra de configurer PFsense. Avant tout il est conseillé de changer l'adresse
IP LAN de PFsense pour plus de simplicité par la suite; son adresse IP LAN par défaut étant le
192.168.1.1. Elle sera par la suite modifiée pour être dans notre réseau local. Pour cela, dans le menu
de configuration, taper le choix 2: «Set LAN IP address» et changer l'adresse IP de PFsense.
Ainsi prend fin l'installation et on peut dès maintenant commencer à configurer soit en mode
console, soit à partir de l'interface web. Nous avons choisi ici la configuration via l'interface web car
cela offre plus de convivialité; les options de la configuration en mode console étant détaillées en
annexe 2.
3.9Configuration de PFsense
3.9.1 Configuration générale
Pour la configuration via l'interface web, il faut connecter un PC à l'interface LAN de PFsense.
Commencer par ouvrir un navigateur web et entrer l'adresse IP LAN de la machine (PFsense) dans la
barre d'adresse: http://ip-pfsense. Dans notre cas, nous feronshttp://192.168.3.1 pour accéder à
l'interface de connexion (figure 31) où il est demandé d'entrer un nom d'utilisateur et un mot de passe.
Entrer ensuite le nom d'utilisateur par défaut (admin) et le mot de passe (PFsense) pour se connecter
en tant que administrateur.

52
Figure 31 : Portail de connexion à PFsense
On accède au menu général de PFsense (figure 31) qui donne des informations globales sur le
logiciel (version, date de sortie, version du noyau, le nombre d'interfaces connectées etc.).
Figure 32 : Paramètres généraux de PFsense
Pour le paramétrage général, aller dans l'onglet System, puis General Setup pour voir la
configuration générale de PFsense. Entrer ici le nom de la machine, le domaine et l'adresse IP du
serveur DNS (dans notre cas le nom: PFsense, domaine: locale, l'IP du DNS : 192.168.3.1). Et il faut

53
décocher l'option se trouvant en dessous (Allow DNS server Iist to beoverridden by DHCP/PPP on
WAN). En effet, cette option provoque des conflits puisque le DNS des clients n'est plus PFsense mais
un DNS du WAN inaccessible par le LAN.
Ensuite, modifier le nom et le mot de passe permettant de se connecte à PFsense. On
peutautoriser l'accès à ces pages, via une connexion SSL. Pour cela activer HTTPS en cochant sa case
puis entrer le port 443 dans Web Guid (port correspondant à SSL). On peut ensuite modifier le serveur
de temps NTP et le fuseau horaire pour régler l'horloge (voir figure suivant).
Figure 33 : Configuration générale

54
On va se rendre ensuite dans l'onglet Service puis dans la section DNS forwarder, pour cocher
l'option Enable DNS forwarder. Cette option va permettre à PFsense de transférer et d'émettre les
requêtes DNS pour les clients. Cependant après chaque modification de paramètres il ne faut pas
oublier de sauvegarder en cliquant sur Save qui se trouve en bas.
3.9.2 Configuration des interfaces
3.9.2.1Interface WAN
Dans l'onglet Interfaces, sélectionner WAN puis l'activer en cochant Enable Interface;
sélectionner ensuite le type d'adressage Static ou DHCP. Ici nous avons assigné une adresse DHCP.
Après chaque modification de paramètres il ne faut pas oublier de sauvegarder en cliquant sur Save
qui se trouve en bas de la page.
Figure 34 : Configuration de l'interface WAN
3.9.2.2L'interface LAN
Il faut maintenant activer l'interface LAN de la même manière qu'on l'a fait avec le WAN mais
cette interface doit être nécessairement en Static pour le type d'adressage car, étant celle sur laquelle
sera activée le serveur DHCP, il faut que son adresse soit fixée. Puis assigner son adresse MAC au
format indiqué, son adresse IP étant déjà définie plus haut, sa passerelle est laissée par défaut, c'est-à-
dire sa propre adresse IP car celle-ci constitue la passerelle des clients.

55
Figure 35 : Configuration de l'interface LAN
3.9.2.3Configuration du serveur DHCP
Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion
des clients. Pour cela, aller dans l'onglet Service, puis dans la section DHCP serveur. Cocher la case
Enable DHCP serveur on LAN interface. Entrer ensuite la plage d'adresses IP qui sera attribuée aux
clients. Avant d'activer le service DHCP de PFsense, il faut s'assurer qu'aucun autre serveur DHCP
n'est activé sur le réseau afin d'éviter les conflits d'adresse.
Il faut par la suite entrer l'adresse IP du serveur DNS et le nom de domaine qui sera attribué
aux clients. Entrer ensuite l'adresse de la passerelle pour les clients. Celle-ci sera l'adresse du portail
captif: 192.168.3.1, puis les autres paramètres peuvent être laissés par défaut.

56
Figure 36 : Configuration du serveur DHCP
3.9.2.4Règles du firewall
PFsense étant aussi un firewall, il faut définir certaines règles élémentaires sur les interfaces
pour leur permettre de communiquer entre elles, et avec l'extérieur. Pour cela, aller dans l'onglet
Firewall puis dans la section Rules, puis sélectionner une interface sur laquelle on veut définir des
règles. Ainsi sur l'interface LAN, il faut laisser les règles par défaut car elles autorisent tous les
paquets IP de source LAN à n'importe quelle destination. Pour le WAN, il faut modifier car tout est
bloqué par défaut, ce qui empêche les deux interfaces de se communiquer. Alors on doit cliquer sur le
symbole « e » pour éditer une règle qui va permettre le passage des paquets du WAN vers le LAN.
Pour cela, dans Action, choisir l'option PASS; dans Protocol, choisir ANY; dans Interface, on
sélectionne WAN ; dans Source, sélectionner WAN Subnet puis dans Destination choisir LAN
(figure37). Dans certains cas il peut être nécessaire de définir des règles flottantes, c'est-à-dire des
règles indépendamment des interfaces. Pour cela, dans l'onglet Rules, puis dans le sous-onglet
Floatting, cliquer sur le symbole « e » pour éditer cette règle (le symbole «+» permet d'ajouter une
nouvelle règle et le symbole «x» permet de supprimer une règle).

57
Figure 37 : Règles sur l'interface WAN
Ainsi PFsense est correctement configuré, mais pour le moment il sert uniquement de firewall
et de routeur. Il reste à activer l'écoute des requêtes sur l'interface LAN et contraindre les utilisateurs à
s'authentifier pour traverser le firewall.

58
CHAPITRE 4:
MISEEN ŒUVRE DE TECHNIQUE D’IMPLEMENTATION
DE PFSENSE

59
4.1 Organigramme et mise en œuvre pratique de l’authentification
Figure 38 : authentification basée portail captif et accès Internet sur le réseau de cidstWIFI
Dans la mise en œuvre de l’authentification il faut suivre 23 étapes comme a montré la Figure 38.
 Etape1 : Dans la figure 38, un point d'accès (AP) diffuse une trame de balise à une pluralité de
stations périodiquement. Le cadre à ce moment contient SSID (cidstWIFI), l'adresse MAC de
l'AP (B), les informations de sécurité (ouvert) et ainsi de suite. Donc, quand un utilisateur

60
recherche un LAN sans fil sur son appareil, SSID (s) apparaît ainsi que les informations
verrouillé ou déverrouillé à côté d'eux (réseaux cryptés montreront une icône de verrouillage à
droite du SSID tandis que les réseaux ouverts ne sera pas).
 Etape2 :L'utilisateur sélectionne cidstWIFI (sans icône de verrouillage) à se joindre.
 Etape3 :Ensuite, la station passe par 802.11 procédure d'association avec l'AP. Comme l'a
expliqué la dernière fois, cette procédure est la même que "la connexion d'un câble LAN à un
PC" dans un réseau filaire.
 Etape4 : Comme la sécurité de cidstWIFI AP est ouvert, la station saute 802.1X procédure
d'authentification et effectue la procédure d'attribution IP à l'étape 6 à la place.
 Etape5 :Parce que la procédure d'authentification 802.1X est ignorée, aucune donnée
d'utilisateur est crypté ou l'intégrité protégée dans le Airlink entre la station et l'AP.
 Etape6 :La station envoie un message DHCP (DHCP Discover / Demande) d'avoir l'AP
attribuer une adresse IP à elle. Dès réception du message, l'AP, agissant en tant que serveur
DHCP, alloue une adresse IP à la station (DHCP Offre / Ack). Comme l'adresse IP attribuée
par l'AP est une adresse IP privée, l'AP agit comme PAT / NAT (fonctionnalité qui traduit les
adresses IP privées multiples en une seule adresse IP publique).
 Etape7 :Maintenant que la station dispose d'une adresse IP, ainsi, l'utilisateur tente d'accéder à
un site Web (par exemple www.cidst.mg).
 Etape8 :cidstWIFI AP blocs toutes les communications IP sauf DHCP, DNS et messages ARP
pour les utilisateurs inconnus (identifiés par la station MAC ou l'adresse IP), et redirige les
connexions HTTP vers un portail captif préconfiguré (serveur d'authentification Web).
 Etape9 :Le HTTPS message trouvé délivré par cidstWIFI AP à la station comprend:
o Portailcaptif URL :
192.168.3.1 :8000/index.php ?zone=cidst_portal&rediurl=http%2Fwww.gstatic.com%2
generate_204
o l'adresse IP de l'AP: 192.168.3.1
o l'adresse MAC de la station: A
o URL utilisateur a tenté d'accéder à: http://www.cidst.mg
o SSID: cidstWIFI
o Adresse MAC AP: B
 Etape10 :La station envoie HTTP GET message à l'URL dans le champ de l'HTTPS message
trouvé reçu envoyé par le portail captif. :192.168.3.1 :8000/index.php ?zone=cidst_portal&red
iurl=http%2Fwww.gstatic.com%2generate_204 =http://www.cidst.mg
 Etape11 :Le portail captif offre une page de connexion à la station via message HTTPS OK.

61
 Etape12 :L'utilisateur entre les informations d'identification utilisateur (nom d'utilisateur et
mot de passe) obtenus à partir de KT sur la page de connexion.
Etape13 : Comme le point d’accès Wi-Fi n’est pas crypté, un HTTPS (SSL sur HTTP) session
est créée entre la station et le portail captif pour assurer la livraison sécurisée des informations
d'identification utilisateur.
 Etape14 : Maintenant, les informations d'identification utilisateur sont bien remises au portail
captif par l'intermédiaire d'un message HTTPS POST.
 Etape15 : Le portail captif vérifie l'adresse IP de son AP portion obtenue à l'étape 14, et
transmet les informations d'identification utilisateur à l'AP. A ce moment, les interfaces entre
le portail captif et AP seront probablement déterminés selon la méthode de l'opérateur
spécifiée (non standard).
 Etape16 : Une fois qu’on a reçu les informations d'identification utilisateur, l'AP les transmet
via AAA(protocole d’authentification, de l’autorisation et de traçabilité) Demande d'accès
message, demandant l'authentification des utilisateurs.
 Etape17 : Dans AAA, les informations d'identification de l'utilisateur des informations de cet
utilisateur cidstWIFI est déjà provisionnés. Donc AAA, sur la base de ces informations, décide
si l'authentification a réussi ou échoué.
 Etape18 : AAA notifie à l'AP de l'authentification réussie via accès Accepter message.
 Etape19 : L’AP supprime la règle de redirection HTTP appliquée à l'utilisateur.
 Etape20 : L'AP informe le portail captif de l'authentification réussie.
 Etape21 : En réponse au message HTTP GET à l'étape 14, le portail captif transmet la page de
résultat d'authentification à la station de l'utilisateur via message HTTP 200 OK.
 Etape22 : A partir de maintenant, l'AP commence à envoyer des messages comptables à AAA
sur une base régulière pour garder la trace des statistiques d'utilisation du trafic Internet sur la
station authentifiée.
 Etape23 : Maintenant, l'utilisateur dispose d'un accès Internet, mais les données de l'Internet, il
échange sur cidstWifi ne sont pas protégés (ni l'intégrité, ni protégé crypté). Donc, il doit être
prudent parce que quelqu'un pourrait avoir accès à des paquets de données.
4.2Paramètres généraux
Pour activer le portail captif sur l'interface LAN de PFsense, il faut aller dans l'onglet Service
puis dans la section Captive portal. Ensuite il faut cocher la case Enable Captive portal, puis choisir
l'interface sur laquelle le portail captif va écouter. Ici nous avons choisi LAN puisque nous voulons
que les utilisateurs de notre réseau local passent par le portail captif pour aller sur Internet. Dans les
options suivantes, il faut d'abord définir le nombre de clients demandant la page d'authentification à la
fois, ensuite le temps au bout duquel le client sera automatiquement déconnecté s'il est inactif et le

62
temps au bout duquel il sera déconnecté quel que soit son état puis se voir redemander les paramètres
d'authentification. Ainsi Maximum concurrent connections défini le nombre de clients demandant la
page captive à la fois ; Idle Timeout défini le temps au bout duquel un client inactif sera
automatiquement déconnecté et Hard Timeout défini le temps au bout duquel il sera déconnecté quel
que soit son état. On choisi de mettre 10 pour le nombre de connexions simultanées, Une heure pour
l'inactivité et 72 heures pour les déconnections brutales. Ensuite il est possible d'activer ou non une
fenêtre popup qui va servir aux clients de se déconnecter. Il est préférable de ne pas mettre cette
option, car de nombreux utilisateurs utilisent des anti-pop up et donc ne verront pas ce message. Il est
ensuite possible de rediriger un client authentifié vers une URL spécifiée, sinon il est redirigé vers la
page demandée initialement. Et on a choisit de rediriger le client vers l'URL suivante:
http://www.google.mg Le paramètre suivant Concurrent user login, permet d'éviter les redondances de
connexions. En effet, l'utilisateur ne pourra se connecter qu'à un seul compte actif à la fois. Cela va
donc éviter les usurpations d'identité. En cochant ce paramètre, seule la dernière connexion sera active.
Il est aussi possible de filtrer les clients par adresse MAC.
Figure 39 :Activation du portail captif

63
Figure 40 : Paramètre de la page de redirection
Le paramètre de la figure 41Enableper-userbandwidth restriction permet de fixer un débit
maximum montant et descendant de flux Internet par utilisateur afin d'éviter qu'un utilisateur
surcharge la bande passante disponible.
Figure 41 : Limitation de la bande passante
Une fois cette configuration sauvegardée, le portail captif devrait être fonctionnel. On
peutaussi modifier la page d'accueil du portail pour l'adapter au besoin du CIDST, ainsi que la page de
redirection en cas d'échec d'authentification en important un code HTML ou PHP dans les champs
prévus à cet effet. Tout ceci dans un souci de rendre plus conviviale la page captive.

64
Figure 42 : Importation de code HTML
Il est possible d'insérer des images telles qu'un logo de l'Université dans la page d'accueil.Pour
cela, aller dans le sous onglet File Manager pour télécharger l'image à afficher.Toutefois la taille de
cette image ne doit pas excéder 1MB.
Figure 43 : Importation d'image

65
Le paramètre Pass-through MAC sert à définir les adresses MAC autorisées à traverser
PFsense sans authentification. Allowed IP address sert à définir les adresses IP autorisées à se
connecter sans authentification. AllowedHostnames sert à définir les noms d'hôtes autorisés à traverser
PFsense sans authentification et Vouchers sert à définir les groupes d'utilisateurs autorisés à se
connecter à PFsense. En revanche ces paramètres ne sont pas utilisés à l'étape actuelle de l'étude.
Après importation de nos pages ct image d'accueil, voici ce que nous obtenons:
Figure 44 : Fenêtre d’authentification du portail
Figure 45 : Fenêtre d’authentification en cas d'erreur

66
4.3Authentification et gestion des utilisateurs
L'authentification est un point essentiel de PFsense puisqu'elle définit l'autorisation d'accès vers
l'extérieur; une sorte de portail physique fermé accessible par clé. Ainsi trois méthodes
d'authentification sont offertes:
 sans authentification (No authentification) : les clients sont libres ; ils verront le portail mais il
ne leur sera pas demandé de s'authentifier;
 authentification via un fichier local (Local User manager) : les paramètres des comptes
utilisateur sont stockés dans une base de données locale au format XML ;
 authentification via un serveur RADUIS (RADIUS Authentification) : à ce niveau, nous avons
le choix entre utiliser un serveur embarqué FreeRADIUS et utiliser un serveur RADIUS
distant du serveur PFsense. Pour ce projet nous avons testé les trois types d'authentification
avec succès et nous avons retenu l'authentification RADIUS embarqué car non seulement cela
permet de gérer un grand nombre d'utilisateurs, mais aussi pour des raisons de sécurité. A ce
stade, le portail est déjà accessible, c'est-à-dire que pour un utilisateur qui se connecte au
réseau local et à partir de son navigateur, demande une page web, il sera redirigé vers la page
captive qui lui demandera de s'authentifier avant d'avoir accès à la page demandée
initialement. NB : Si le portail apparaît et que l'utilisateur entre correctement ses identifiants
mais qu'il n'a pas accès à Internet, il peut être nécessaire de définir une route statique qui
permet à l'interface LAN d'accéder au serveur de nom de domaine. Pour cela, aller dans
l'onglet System >Route >StaticRouting.
4.3.1Authentification par RADIUS
RADUIS (Remote Authentification Dial-In User Service) est un protocole client-serveur
permettant de centraliser des données d'authentifications. Le client RADIUS appelé NAS (Network
Access Server) fait office d'intermédiaire entre l'utilisateur final et le serveur. C'est le standard utilisé
aujourd'hui surtout par les fournisseurs d'accès à Internet car il est très malléable et très sécurisé.
PFsense intègre un paquet radius libre (FreeRadius) couplé avec une base de données pour stocker les
informations des utilisateurs. Mais on peut aussi utiliser une base de données externe pour y stocker
ses données d'utilisateurs. De même, on peut utiliser un serveur RADIUS distant pour authentifier les
utilisateurs.
Ainsi la CIDST utilise une base de données MYSQL sur un autre serveur pour enregistrer ses
utilisateurs. Dans ce cas nous pouvons soit installer un serveur RADIUS sur le serveur MySQL pour
stocker les données d'identification dans la base MySQL, soit installer le serveur RADIUS sur le
serveur PFsense pour y stocker localement les données d'identification. Dans tous les cas le serveur
d'authentification (RADIUS) sera l'intermédiaire entre le portail captif et la base de données (locale ou

67
distante). Pour la phase de test, nous avons exploité le second cas c'est-à-dire installer un serveur
embarqué FreeRadius sur le serveur PFsense. Pour installer le paquet FreeRaduis2 sur PFsense, il faut
aller dans l'onglet System, puis Packages, puis Available packages, puis FreRadius2. Après
l’installation, la configuration se fait en trois étapes: ". D’abord configurer l'interface d'écoute (ici
LAN) : pour cela aller dans l'onglet Service, puis Freeradius2, puis dans le sous onglet Interface. Le
symbole « + » permet d'ajouter une nouvelle interface; puis entrer l'adresse IP de l'interface (LAN),
puis cliquer sur Save pour enregistrer; ensuite ajouter un client NAS : alors dans l'onglet NAS/Client
entrer l'adresse locale 192.168.1.3 et les autres paramètres. Enfin créer un compte utilisateur pour
tester la configuration: alors dans l'onglet User, cliquer sur le symbole « + » pour ajouter un nouveau
compte utilisateur puis entrer le nom d'utilisateur et le mot de passe du compte. Et pour tester la
configuration il suffit d'entrer la commande 'radtesttestusertestpassword. 192.168.3.1:8000 0
testing123 dans Diagnostic, puis Command prompt; testuserétantl'identifiant, testpassword le mot de
passe, 192.168.3.1 l'adresse locale du client NAS, 1812 lenuméro de port du service RADIUS et
testing123 la clé sécrète entre le serveur et le client RADIUS.Ceci est une configuration pour
enregistrer les utilisateurs dans la base locale de FreeRadius. La configuration de la base de données
MySQL distante est fournie en annexe 2.
4.3.2 Gestion de comptes utilisateurs
Pour ajouter un compte avec authentification Radius, il faut aller dans l'onglet Service,
puisFreeradius, puis User pour entrer les paramètres du compte.
Figure 46 : Gestion de comptes avec FreeRadius

68
Quant à l'authentification via le fichier local il faut aller dans l'onglet System de la figure 47,puis dans
la section User Manager. Ici, on a une liste des utilisateurs existants dans la plateforme. Pour créer un
nouvel utilisateur, cliquez sur le symbole « + » et une nouvelle page s'ouvre sur laquelle certains
champs sont à compléter:
Il faut en premier lieu activer ou désactiver le compte en décochant ou en cochant la case Disabled :
 Entrer le nom d'utilisateur pour le compte utilisateur ;
 Entrer le mot de passe à utiliser pour la connexion;
 Entrer le nom complet pour le compte utilisateur;
 Entrer la date d'expiration du compte au format indiqué;
 Sélectionner le groupe dont le compte utilisateur doit faire partir (utilisateur ou
administrateur);
 Cliquer sur «Save » pour enregistrer le compte.
Figure 47 : Gestion de compte en local

69
4.4Sécurité du portail captif
Dans cette partie il est question d'une part de sécuriser l'accès à l'interface web de
configuration de PFsense (webgui) par le protocole SSL et d'autre part permettre un cryptage des mots
de passe des utilisateurs pour assurer une certaine confidentialité des transactions après
authentification. Pour se faire l'utilisation d'un certificat est plus que nécessaire. Un certificat
électronique (aussi appelé certificat numérique ou certificat de clé publique) étant vu comme une carte
d'identité numérique. Il est utilisé principalement pour identifier une entité physique ou morale, mais
aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l'identité
physique et l'entité numérique virtuel.
Ainsi le certificat va pennettre de crypter les données échangées entre le navigateur et le
serveur d'authentification PFsense. Pour la sécurisation de l'accès au webgui, il faut aller dans l'onglet
System> Advanced de la figure suivant, puis dans la section Admin Access pour activez le service
HTTPS avec son numéro de port 443 (SSL) dans TCP port.
Figure 48 : Activation de HTTPS pour l'accès au webguid
De même pour crypter les mots de passe des utilisateurs et les échanges après leur
authentification, il faut créer un certificat pour pouvoir activer HTTPS. Ce qui se fait en trois étapes:
choix du type de certificat (autogéré ou proclamé par une autorité de certification), création et
téléchargement du certificat puis activation du certificat sur le portail. Pour ce faire aller dans l'onglet
System puis Cert Manager

70
Figure 49 : Choix du type de certificat
Figure 50 : Paramètres du certificat

71
Après Il suffit de vérifier que le certificat a été bien créé puis il suffit de le télécharger comme dans la
figure51.
Figure 51 : Certificat téléchargé
Après le téléchargement du certificat aller dans Service puis Captive Portal pour l'inséreravec
sa clé. Cocher ensuite Enable HTTPS login en donnant le nom du serveur HTTPS(HTTPS server
Name) (figure 52).
Figure 52 : Importation du certificat et de sa clé privée

72
Aisni le portail autorisera l'accès aux pages web sécurisées et sa sécurité semble renforcée
dans la mesure où la récupération des mots sur le réseau est quasiment impossible. Cependant pour le
test nous n'avons pas utilisé de certificat car la plupart des certificats sont payants mais nous espérons
que l'entreprise se dotera de certificat pour le déploiement définitif.
4.5.Contrôle de la bande passante
4.5.1 Introduction à la QoS
Le terme QoS (acronyme de « Quality of Service », en français « Qualité de Service ») désigne la
capacité à fournir un service (notamment un support de communication) conforme à des exigences en
matière de temps de réponse et de bande passante. C'est la capacité à véhiculer dans de bonnes
conditions un type de trafic donné, en termes de disponibilité, de débit, de délai de transmission, de
gigue, de taux de perte de paquet. La mise en place de la QoS peut se faire sur la base de nombreux
critères mais dans notre cas elle va se baser sur la consommation de la bande passante. La qualité de
service se réalise au niveau de la couche 3 du modèle OSI. Elle doit donc être configurée sur les
routeurs ou la passerelle reliée à Internet. Ainsi PFsense étant aussi doté de fonction de routeur, des
paquets y sont intégrés pour la gestion de la bande passante. Ce sont entre autres :
 TrafficShapper ou regulateur de flux qui permet de contrôler le volume des échanges sur le
réseau;
 Bandwitch qui liste les usages du réseau et construit des fichiers HTML sous forme de
graphique et de résumés ;
 Pftop qui donne une vue en temps réel des connexions au pare-feu, et la quantité de données
qui sont envoyées et reçues. Il peut aider à identifier les adresses IP qui utilisent actuellement
de la bande passante ;
 Ntop qui permet aussi d'avoir une vue globale sur la consommation de la bande passante. Cet
outil sera exploité par la suite pour sa simplicité d'administration;
 etc…
4.5.2 Contrôle de bande passante avec NTOP
Ntop est un applicatif libre écrit de manière portable afin de pouvoir fonctionner sur toutes les
plateformes Unix. Il permet d'avoir une vue globale sur la consommation de la bande passante, il est
capable de détecter jusqu'à où les connexions ont été faites par les ordinateurs locaux et combien de
bandes passantes ont été utilisées sur des connexions individuelles. Il fait partie des paquets
disponibles sur PFsense et nous l'avons à cet effet exploité.

73
4.5.2.1 Installation de Ntop sur PFsense
Comme l'installation de tout autre paquet sur PFsense, se connecter sur l'interface de PFsense
à partir du LAN, le WAN étant connecté à Internet, puis dans l'onglet System> Packages
>AvaiblePackage, pour voir les paquets disponibles et sélectionner Ntop pour l'installer.
Figure 53 : Installation du paquet Ntop
4.5.2.2 Configuration du service Ntop
Une fois l'installation terminée, il faut se rendre dans l'onglet Diagnostics >Ntop Settings de
la figure suivant pour initialiser Ntop et lancer le service correspondant. Les paramètres disponibles ici
sont moindres, et permettent seulement de configurer le mot de passe administrateur pour accéder à la
configuration avancée de Ntop, ainsi qu'à l'interface d'écoute.
Figure 54 : Configuration de mot de passe Ntop

74
Désormais Ntop est accessible via le navigateur à l'adresse suivantehttp://<@pfsense>:3000
(mais aussi en cliquant directement sur le bouton « Access ntop »sur la figure 54, ou encore via le
menu PFsense « Diagnostics>ntop »). En se connectant à cette adresse, on accède aux statistiques
générales de notre réseau comme le montre la figure 54:
Figure 55 : Statistiques globales
 Des informations concernant Ntop (interface d'écoute, le nom du domaine ...
 Un rapport concernant le trafic sur l'interface d'écoute (paquet, trafic ou la charge)
 Rapport du trafic sur l'interface d'écoute sur la figure56.
Figure 56 : Rapport du trafic sur l'interface d'écoute

75
 La répartition totale des protocoles.
Figure 57 : Vue des protocoles
Sur l'interface de Ntop se trouvent beaucoup d'autres options qui ne sont pas détaillées ici. Et
pour finir, la configuration proprement dite de Ntop ne sera pas détaillée, mais reste relativement
simple et est fonction des besoins personnels tant l'outil tel qu'installé est déjà entièrement exploitable.
Dans tous les cas, le menu « admin» offre toutes les options nécessaires pour personnaliser Ntop.

76
CONCLUSION
Pour authentifier les utilisateurs de son réseau afin de partager la connexion Internet de façon
sécurisée, le CIDST s'est orientée vers une solution de portail captif. Après une présentation de la
structure d'accueil, l’étude théorique des réseaux sans fils nous a permis de connaitre la
communication entre les équipements, les techniques d’accès et les problèmes spécifiques aux réseaux
sans fils.
C'est ainsi que la solution PFsense a été retenue. Cet applicatif libre a été ensuite étudié de façon
technique et sa fonction captive a été implantée de façon effective. Enfin le paquet Ntop intégré à
PFsense a été installé et configuré pour avoir une vue globale sur la consommation de la bande
passante.
Nous pensons que le but de ce projet est atteint car, il nous aura permis de savoir d'abord l'existence
de solutions libres de portail captif, ensuite de mener une étude concrète et de faire enfin
l'implémentation concrète de la solution libre PFsense.
Pour finir, l'outil PFsense tel que conçu, propose d'autres services réseau qui peuvent être mis à profit
en fonction des besoins.
On peut dire que les résultats attendu son atteints, les utilisateurs peuvent se connecter au réseau LAN
et Wifi, le portail captif attribue des adresses IPV4 aux clients.
Pour se connecter, les clients n'ont besoin que d'un navigateur Web d'un Login et d'un Mot de passe.
Ainsi, aucune configuration ne doit être faite chez le client.
Toutes les requêtes des clients sont automatiquement redirigées sur la page d'authentification du
CIDST. L'authentification des clients et des administrateurs se fait de façon sécurisée. Le point
d'accès est totalement transparent pour le client. Les clients ne pourront qu'accéder au Web. L'accès au
Web et par ricochet au portail captif est indépendant de la plateforme.

I
ANNEXE1 Généralités sur le WiFi
La norme 802.11 est issue des travaux de normalisation de l’organisme IEEE. Cette
norme décrit les caractéristiques d’un réseau local sans-fil que l’on appelle WLAN (Wireless
Local Area Network).C’est par la suite que le nom WiFi (contraction de Wireless Fidelity,
aussi noté Wi-Fi) fait son apparition par l’organisme de certification Wi-Fi Alliance
(anciennement Wireless Ethernet Compatibility Alliance - WECA).Il en résulte que, par abus
de langage et de marketing, le nom de certification et le nom de la norme sont confondus
sous la même appellation : Wi-Fi.
 Utilité :La technologie Wi-Fi nous permet de connecter entre eux et sans fils, tous les
équipements informatiques classiques tels que les ordinateurs de bureau, les
ordinateurs portables, les modems, les assistants personnels (PDA) et, plus
récemment les imprimantes, la Wi-Fi.
 Portée :Ce type de réseau fonctionne dans l’ordre de la dizaine de mètres en
intérieur et à une centaine de mètres en extérieur. En effet, comme tout réseau radio,
la distance de connexion est assez aléatoire du fait des obstacles et de leur nature. Il
faut savoir également qu’en extérieur le temps qu’il fait agit sur la portée.
 Bandes de fréquence :La norme 802.11 utilise en France uniquement la plage des
2,4 GHz pour fonctionner, ce qui est aussi la fréquence utilisée par les fours micro-
ondes : attention aux interférences qui sont non négligeables ! En effet, il existe deux
bandes de fonctionnement : 2,400 à 2,4835 GHz et 5,725 à 5,850 GHz. En ce qui
concerne la France, la plage 5,725 à 5,850 GHz est en cours de négociation avec le
ministère de la défense car elle est déjà occupée par les armées. Les normalisations
européennes tendent à la libérer. Cette bande 2,400 à 2,4835 GHz est découpée en
13 canaux afin d’assurer un fonctionnement correct (expliqué par la suite).Toujours
en France, seuls les canaux 10 à 13 peuvent être utilisés.
 Les normes 802.11 physiques et leurs débits :

III
ANNEXE2 L'authentification RADIUS à partir d'une base de données MySQL
 Installation du paquet RADIUS
Les commandes d’installation des paquets "freeradius" "freeradius-utils" et
"freeradius-mysqI".
aptitude install freeradiusaptitude
installfreeradius-utils
aptitude install freeradiusmysql
 Installation du client/serveur MySQL.
Il suffit d’installer le paquet "mysql-server" et "mysql-client". Lors de l'installation de la
partie Server, on spécifie le mot de passe "administrateur". Retenez-bien ce mot de
passe afin de pouvoir vous connecter ensuite au serveur.
aptitudeinstallmysql-server
aptitude installmysql-client
 Création d'une base "radius" et d'un compte d'administration "admin_radius".
 Connexion au serveur MySQL :
Mysql -u root –p
 Création de la base de données "radius
Createdatabase radius
 Création de l'utilisateur d'administration:
rant all on radius.* to admin_radius@'%' identified by 'adminadmin'
 Application des droits sur la base:
Flush privileges
Injection SQL pour la création des tables.
 Injection de la table "schema" :
mysql -u admin_radius -p radius < /etc/freeradius/sqI/mysqI/schema.sqIinjection de la
base "nas" : mysql -u admin_radius -p radius < /etc/freeradius/sql/mysql/nas.sql
Création des NAS (Network Access Server).
 Création du NAS local pour les tests
INSERT INTO nas (nasname, shortname, secret) VALUES
('127.0.0.l','10calhost','testing123'); Création du NAS distant (correspond à notre
routeur dans notre exemple).
INSERTINTOnas(nasname,shortname,secret) VALUES ('192.168.10.254','cyberoam',
'zXv73gm24');

IV
 Création des utilisateurs d'accès.
Création de l'utilisateur cidst avec un password en clair.
INSERT INTO radcheck (Username, Attribute, op,Value) VALUES ('cidst','Cleartext-
Password',':=','cidst 123');
 Création de l'utilisateur admin avec un password crypté.
INSERT INTO radcheck (Username, Attribute, op,Value) VALUES ('admin','Cryptpas
Password', ':=',~NCRYPT('admin123'»;
 Configuration RADIUS sur la partie MySQL.
Pour ce faire il faut modifier le fichier de configuration /etc/freeradius/sql.conf. Dans le
fichier spécifier le login et password de connexion au serveur MySQL ainsi que le
nom de la base de données ("radius").cependant l'option "ReadClient" qui permet
d'utiliser la table NAS du MySQL est lu seulement au démarrage du service. De ce
fait, si vous ajoutez un nouveau périphérique, pensez à relancer votre service
RADIUS. Pour la table radcheck (les comptes utilisateurs) vous n'avez pas besoin de
redémarrer le servIce.
 Reboot du service:
etc/init.d/freeradius restart
login = adminJadius
password = adminadmin
radiusdb = radius
ReadClients = yes
 Configuration RADIUS. Il faut procéder à quelques modifications au niveau du fichier
de configuration du RADIUS letc/freeradius/radius.conf
$INCLUDE sql.conf $INCLUDE sqIlmysqIlcounter.conf et mettre en commentez la
ligne suivante pour gérer vos utilisateurs sur la base: $INCLUDE clients.conf Reboot
du service RADIUS. Une fois toutes les modifications apportées, nous procédons au
redémarrage du servIce RADIUS.
Afin de visualiser ce qui se passe sur le serveur on va utiliser une commande particulière. Le
but est de démarrer le service en mode "Debug". Saisissez la commande suivante:
 Arrêt du service: letc/init.dlradius stop
 Execution du service en mode "Debug" freeLadius -X
 Test de connexion en local.
On se rappelle que, lors de l'intégration des NAS sur notre base MySQL, il a été ajouté un
Routeur et le serveur lui-même "localhost".

V
Si tout est OK on doit avoir ce type de retour. Access-Accept. Gestion de la base de
données.
Voici quelques commandes à retenir afin de gérer les utilisateurs.
Voilà si tout est OK, alors le serveur RADIUS est opérationnel. On peut à présent configurer
l'équipement réseau (ici PFsense) pour faire ses requêtes sur le serveur RADIUS.

VI
ANNEXE 3 Code HTML/PHP du page d’authentification
<html>
<head>
<title>pfsense.local - Services:Captive portal</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rel="stylesheet" href="/themes/nervecenter/all.css" media="all" />
<link rel="stylesheet" type="text/css" href="/niftycssprintCode.css" media="print" />
<script type="text/javascript">var theme = "nervecenter"</script>
<script type="text/javascript" src="/themes/nervecenter/loader.js"></script>
</head>
<body background="bgimage.jpg">
<div style="padding:2px; width:600px; margin:auto; border:4px solid #67ab9f; background-
color:#b3d8d2; -moz-border-radius:20px; -khtml-border-radius:20px; -webkit-border-
radius:20px; border-radius:20px;">
<h1><font color="blue">Bienvenue sur le r&eacuteseau du CIDST</font></h1>
<p><a href="http://www.cidst.mg/">www.cidst.mg</a></p>
<imgsrc="captiveportal-cidst.jpg" width="600" height="100"alt="cidst" />
<p><font color="fuchsia">Ce r&eacuteseau est prot&eacuteg&eacute et
enti&egraverements&eacutecuris&eacute par l'administrateur.
<br>Veuillez vous renseigner
</font></p>
<div style="padding:5px; width:300px; margin:auto; border:8px solid #67ab9f; background-
color:#b3d8d2; -moz-border-radius:20px; -khtml-border-radius:20px; -webkit-border-
radius:20px; border-radius:20px;">
<strong>Authentification</strong>:
<br><br>
<form method="post" action="$PORTAL_ACTION$">

VII
Utilisateur    <input name="auth_user" type="text">
<p> Mot de passe<input name="auth_pass" type="password"></p>
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
             &
nbsp;        <input name="accept"
type="submit" value="Continue">
</form>
</div>
<p><h6>©sanda2016<p></h6>
</div>
</body>
</html>

VIII
REFERENCES BIBLIOGRAPHIQUES
[1] Jean-François Pillou et Jean-Philippe Bay. Sécurité informatique.3ième édition, Dunod,
Paris 2013.
[2] Solange Ghernaouti -Hélie. Sécurité Internet « stratégies et technologies ». Dunod, Paris,
2000
 [3] Jean- François Carpentier. La sécurité informatique dans la petite entreprise.
2ième édition, copyright-Edition ENI- Décembre 2012.
 [4] Anthony Costanzo, Damien Grillat, Lylian Lefrancois. Etude des principaux
services fournis par PfSense. 2016. en:
ftp://ftp.udg.co.cu/pub/others/pfsense%20firewall/PFsense.pdf
 [5] Ismail Rachdaoui. PFSenseFreeBSB. Génie Réseaux et Télécommunications
ENSA Marrakech, 2016.sur: http://fr.slideshare.net/ISMAILRACHDAOUI/installation-
etconfiguration-de-pfsense
 [6] Michael W.Lucas. Le guide complet du FreeBSD. 2016. sur
http://www.pearson.fr/resources/titles/27440100468110/extras/introduction.pdf
 [7] Marwen Ben Cheikh Ali, KhlifaHammami. Mise en place d’un firewall open source
PfSense. Université de Tunis, 2016. sur:
http://fr.slideshare.net/marwenbencheikhali/rapportfiniale
REFERENCES WEBOGRAPHIQUES
 [8] http://firewalls.chez.com/chapitre2.html:(Janvier 2016)le firewall, une technique de
protection
 [9] http://wapiti.telecom-lille1.eu/commun/ens/peda/options/st/rio/pub/exposes/
exposesrio2000/Blick%20Lammari/site/firewall/fontionnement.htm: (Janvier 2016) Les
fonctionnalités d’un pare-feu
 [10] https://saboursecurity.wordpress.com/2016/02/27/quelques-solutions-pare-feu-
opensource/: (fevrier 2016)Quelques solutions pare-feu Open Source 67
 [11] http://www.formations-virtualisation.fr/vmware-definition-vmware.php: Définition
de VMware [12] http://www.todoo.biz/pfsense.php: (Février 2016) Les solutions de
firewallingOpenSource.

IX
 [12] http://fr.wikipedia.org/wiki (Février 2016)
 [13] http://www.iut-blagnac.fr (Mars 2016)
 [14] http://www.memoireonline.com/09/09/2713/m_Mise-en-place-dun-reseau-Wi-Fi-
avec-authentification-basee-sur-des-certificats0.html (Mars 2016)
 [15] http://forum.pfsense.org/index.php?topic=1452.new (Avril 2016)
 [16] http://www.pfsense.org/index.php?option=com_content&task=view&id=50&Itemid
=78 (Avril 2016)
 [17] http://doc.pfsense.org/index.php/Main_Page (Mai 2016)
 [18] http://www.commentcamarche.net/forum/affich-15520459-portail-captif?#1 (Juin
2016)
 [19] http://www.brest-wireless.net/wiki/softs/portail_captif (Juin 2016)

IMPLEMENTATION D’UNE SOLUTION TECHNIQUE PERMETTANT DE PARTAGER
DE FACON SECURISEE L’ACCES INTERNET (PORTAIL CAPTIF) VIA PFSENSE
RESUME :
La sécurisation d’accès Internet nécessite une étude approfondie sur les réseaux et des connaissances
en matière de télécommunication pour les échanges des données et les transmissions des paquets. En
effet, sur la plateforme UNIX/FreeBSD, nous avons implémenté la solution basant sur le portail captif
au sein de la CIDST. Ce portail est stable, simple d'utilisation, modulable, évolutive et sécurisée.
Le PFsense est particulièrement adapté à des accès réseaux surtout pour de nombreux utilisateurs
itinérants comme pour le cas de la CIDST. Le portail captif intégré dans le PFsense permet la gestion
et la sécurisation d’accès Internet en utilisant le protocole SSL. L'accès Internet se fait via une
connexion HTTPS. Enfin l’activation de l’application Ntop dans le PFsense offre une vue globale sur
la consommation de la bande passante.
Mots clés :Portail captif, UNIX/FreeBSD, PFsense, HTTPS, Ntop
ABSTRACT:
The Internet security requires a thorough study of networks and telecommunications related
knowledge for the exchange of data and transmission of packets. Indeed, on UNIX / FreeBSD
platform, we implemented the solution based on the captive portal within the CIDST. This portal is
stable, easy to use, flexible, scalable and secure.
The PFsense is particularly suited to particular network access for many mobile users as in the case of
CIDST. The integrated captive portal in the PFsense allows management and Internet access security
using SSL. The Internet access is made via an HTTPS connection. Finally the activation of Ntop
application in the pfsense provides an overview on the consumption of bandwidth.
Keywords: Captive portal, UNIX/FreeBSD, PFsense, HTTPS, Ntop
Impétrant : RANDRIANTSAMIVOLA Sandaniaina Alain Encadreur
Te l : (+261)34 09 309 39
Email : rsandaniaina@gmail.com
Adresse : lot B-374 Anatihazo isotry tanà (101) RAKOTOARIMANANA Liva Graffin

Implémentation d'un portail captif avec pfsense

Contenu connexe

Tendances (20)

Similaire à Implémentation d'un portail captif avec pfsense (19)

Implémentation d'un portail captif avec pfsense