Remerciements
Ces transparents sont extraits du tutoriel Architecture des rseaux sans fil donn par Daniel Azuelos aux JRES 2005 http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11 Couche physique Composants et architecture Protocole Scurit
WEP 802.1X et WEP dynamique WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (2/2)
Architecture de rseau
Rseau sans fil isol du rseau filaire Portail web daccs Affectation dynamique de VLAN Points daccs virtuels Commutateur sans fil Passerelle de scurit Choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
2,4 / 5 GHz 2 11 GHz 900 / 1800 MHz 1900 / 2200 MHz 100 m 54 Mb/s 50 km 70 Mb/s Accs IEEE 802.16 35 km 9600 Kb/s -> 2 Mb/s Tlphonie et donnes ITU
Applications Connexion Rseau priphriques local Norme IEEE 802.15 IEEE 802.11
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11
Couche physique Composants et architecture Protocole Scurit
WEP 802.1X et WEP dynamique WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Normalisation 802.11
Wi-Fi est un label d'interoprabilit dlivr par la Wi-Fi alliance : groupement de constructeurs qui publie des listes de produits certifis (http://www.wi-fi.org/) 802.11 (1997) : jusqu 2 Mb/s 802.11 (1999) : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications 802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplment 802.11) 802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplment 802.11) 802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement 802.11)
compatible avec 802.11b
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 8
Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP) gestion de la mobilit 802.11h (2003) : pour l'utilisation de 802.11a en Europe slection dynamique de canal et gestion de la puissance d'mission 802.11i (2004) : scurit 802.11e (2005) : qualit de service Travaux en cours :
802.11k : mesure de la qualit de la liaison radio 802.11n : dbit > 100 Mb/s 802.11r : transfert rapide de connexion entre bornes 802.11s : rseaux maills
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture Protocole Scurit
WEP 802.1X et WEP dynamique WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
10
Onde lectromagntique
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
11
Spectre lectromagntique
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
12
P (W) F (Hz) F porteuse En radio, la puissance est souvent exprime en dBm (dcibels milliwatt )
dBm = 10*log10(P/ 0.001) 0 dBm 1 mW
13
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
802.11b : modulation
DSSS : Direct Sequence Spread Spectrum talement de spectre, squence directe Donnes transmettre Signal transmettre +
802.11 b : canaux
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
15
802.11a
OFDM : Orthogonal Frequency Division Multiplexing
20 MHz
5,15
48 sous-canaux de donnes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
802.11g
Bande 2,4 GHz Transmission DSSS pour les dbits 11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b Transmission OFDM pour les dbits suprieurs La compatibilit 802.11b ne ralentit pas le dbit des trames de donnes des stations 802.11g, mais certaines trames de gestion (balise) et de contrle (trames de protection) doivent tre mises des dbits compatibles avec le 802.11b
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
17
802.11n
Groupe dtude n du 802.11 (TGn) draft 1.0 approuv en mars 2006
na pas pass ltape suivante => draft 2.0 (au moins !)
normalisation en 2007 ? Dbits annoncs jusqu 600 Mb/s MIMO : Multiple Input Multiple Output
plusieurs antennes / metteurs / rcepteurs radios transmission des donnes en parallle sur le mme canal en utilisant les
trajets multiples
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
18
Les usages privs (rseaux indpendants, usages particuliers) ne ncessitent pas de dmarche auprs de lART.
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
19
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11 Couche physique
Composants et architecture
Protocole Scurit
WEP 802.1X et WEP dynamique WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
20
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
21
Architecture 802.11
Station : toute machine quipe dune interface 802.11 BSS (Basic Service Set) : zone l'intrieur de laquelle les stations restent en communication BSS indpendants = rseaux ad hoc
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
22
STA 1
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
23
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
24
(idem CSMA/CD)
Mais elle ne peut pas dtecter les collisions parce qu'elle n'entend pas ncessairement toutes les stations parce que la liaison radio est half duplex Avoidance => la station rceptrice met un ACK qui indique que la trame a
t correctement reue et qu'il n'y a pas eu de collision avant d'mettre les donnes contrl par le paramtre dot11RTSThreshold
Trames de contrle
contribuent au bon acheminement des trames de donnes exemple : ACK, RTS/CTS
Trames de donnes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
26
La station peut mettre des trames Probe Request pour identifier les rseaux sans fil disponibles sur diffrents canaux Le point d'accs lui renvoie une trame Probe Response (mmes infos que dans la balise) Pour utiliser le rseau sans fil, la station doit s'authentifier et s'associer
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
27
Authentification et association
non authentifi, non associ Authentification russie authentifi, non associ Association ou rassociation russie authentifi, associ Dsassociation D-authentification
D-authentification
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
28
Authentification
Deux modes d'authentification :
ouvert (open system) partag (shared key)
Mode dauthentification Open System Demande d'authentification PA Succs Shared key Demande d'authentification PA Challenge Challenge chiffr Succs
STA
STA
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
29
Association rassociation
La station envoie au PA une demande d'association Si la station est dj authentifie le PA accepte la demande et retourne un identificateur d'association (Association ID) La station peut alors changer des trames de donnes avec les autres stations de l'ESS Rassociation : lorsqu'une station se dplace d'un BSS l'autre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
30
Protocole : adressage
Adresses sur 48 bits, mme format qu'une adresse Ethernet Une trame 802.11 contient 4 champs adresse, dont la signification varie en fonction du type de trame
Contrle Dure/ID Adr 1 Adr 2 Adr 3 Contrle Adr 4 Donnes CRC de sq.
type de trame
gestion contrle donnes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
31
Protocole : adressage
Les 4 champs adresse indiquent : Le BSSID : il identifie de manire unique un BSS
mode infrastructure : adresse MAC du point d'accs mode ad hoc : choisie de manire tre unique ne pas confondre avec le SSID (aussi appel ESSID)
Ladresse de destination : adresse du destinataire final Ladresse source : adresse de la station qui a initialement mis la trame Ladresse du rcepteur : adresse du destinataire immdiat Ladresse de lmetteur : adresse de la station qui met la trame
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
32
Protocole : adressage
Exemple : station 1 mettant une trame de donnes vers station 2
Rseau filaire STA1 PA1 PA2 STA2
PA1
STA1 STA2
STA2
PA2
STA1
La station lit le champ Adr 1 pour savoir si une trame lui est ou non adresse Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vrifie de plus que le BSSID est celui du PA auquel elle est associe
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
33
Mobilit
STA Nouveau PA PA courant
Authentification Demande de rassociation BSSID ancien PA STA tait associe ? Oui Rassociation russie Trames en tampon destines STA Fin association avec STA
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 34
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11 Couche physique Composants et architecture Protocole
Scurit
WEP 802.1X et WEP dynamique WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
35
Le signal peut tre brouill par une source extrieure Les mmes risques existent sur un rseau filaire mais il faut pouvoir accder au matriel rseau (prises, cbles...)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
36
Historique et terminologie
1999 : WEP (802.11) 2001 : 802.1X => authentification 802.1X + chiffrement WEP dynamique 2003 : WPA (Wi-Fi Protected Access) :
spcification publie par la Wi-Fi Alliance, et reprenant une bonne partie du
2004 : 802.11i MAC Security Enhancements WPA2 : label de la Wi-Fi Alliance pour 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
37
WEP
Wireless Equivalent Privacy Intgr la norme 802.11 de 1999 Principes :
cl secrte (40 ou 104 bits) partage par toutes les stations authentification par dfi / rponse confidentialit par chiffrement symtrique
Problmes et limitations
la cl peut tre dcouverte par simple coute du rseau avec des logiciels du
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
38
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11 Couche physique Composants et architecture Protocole Scurit
WEP
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
39
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
40
802.1 X
Port-Based Network Access Control (2001, rvision 2004) Protocole permettant de n'autoriser l'accs un port rseau qu'aprs authentification Conu pour les rseaux filaires, s'applique aux rseaux IEEE 802 port rseau = port de commutateur (802.3) association (802.11) Composants :
systme authentifier (supplicant ) : qui demande l'accs au rseau systme authentifiant ou relais dauthentification (authenticator ) :
contrle laccs au rseau ne fait que relayer les changes dauthentification avec le serveur
Point dattachement
Point dattachement
Rseau local
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Rseau local
42
802.1X : authentification
Port contrl
Systme authentifier
Point dattachement
Point dattachement
EAP
Rseau local
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 43
EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
dvelopp l'origine pour lauthentification des utilisateurs se
de ne pas les implmenter dans le serveur RAS, qui les relaie vers un serveur d'authentification
l'authentification elle-mme repose sur des mthodes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
44
Mthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST LEAP (Lighweight EAP)
Proprit Cisco Authentification mutuelle du client et du serveur par MS-CHAPv1 Cls dynamiques drives des changes MS-CHAP Problmes de scurit lis lutilisation de MS-CHAPv1 => obsolte
TLS
RFC 2716 Authentification mutuelle du client et du serveur par certificats X.509 Permet de driver des cls de chiffrement Mthode dauthentification de facto pour 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
45
EAP)
Avantage / TLS : possibilit de rutiliser les systmes dauthentification existants (annuaire LDAP par exemple) EAP-FAST (Cisco) : fait pour acclrer la rauthentification lors dun handover
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
46
802.1X : protocoles
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
47
802.1X : EAPoL
dfinit EAPoL : EAP over LAN encapsulation des paquets EAP sur les rseaux 802
champ Type Ethernet = 0x888E
4 types de message :
EAP-Start : envoy au PA par la station qui veut dmarrer lauthentification EAP-Logoff : envoy par la station, le port est remis dans ltat non autoris
par le PA
EAP-Packet : transporte les informations dauthentification EAP-Key : pour transmettre une cl entre le PA et la station
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
48
RADIUS
Remote Authentication Dial In User Service originellement (RFC 2138 -> 2865) dfini pour le transport dinformations dauthentification et de configuration entre un serveur daccs distant et un serveur dauthentification
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
49
RADIUS (suite)
Utilise le port UDP 1812 repose sur un secret partag entre le serveur et le client (ici le point daccs) Les messages EAP sont encapsuls dans 4 types de trames :
messages point daccs -> serveur : Access Request messages serveur -> point daccs relays vers la station : Acess Challenge messages serveur -> point daccs indiquant que lauthentication a russi : Access
Accept
messages serveur -> point daccs indiquant que lauthentication a
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
50
Station
Serveur dauthentification
EAP Response/Identity
802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
RADIUS
51
Station
Point daccs
Serveur dauthentification
Access Request - EAP Response/Identity EAP Request EAP Response Access Request - EAP Response 802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
RADIUS
52
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11 Couche physique Composants et architecture Protocole Scurit
WEP 802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
53
WPA et 802.11i
Reposent galement sur lauthentification 802.1X Deux modes :
personnel pour environnements SOHO entreprise pour les structures plus importantes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
54
WPA/802.11i : principe
Authentification de la station par le serveur dauthentification avant que le point daccs ne lui accorde laccs au rseau
=> drivation dune cl matresse connue du serveur et du client (et deux seuls) cl matresse => drivation dune cl matresse pair pair (PMK)
par la station fournie par le serveur au point daccs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
55
WPA/802.11i : fonctionnement
Station
Point daccs
Serveur dauthentification
Phase 2
Phase 3
Distribution cl (RADIUS)
Phase 4
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
56
WPA/802.11i : phase 1
Mode dauthentification = ouvert Le point daccs annonce les politiques de scurit supportes dans les trames Beacon et Probe Response RSNA : Robust Security Network Association Ajout dun champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response Le champ RSN IE dcrit :
le type de chiffrement du trafic unicast et multicast :
WEP-40, WEP-104, TKIP, CCMP (dfaut)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
57
Probe Request Probe Response RSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X Authentification Open System Authentification Open System (succs) Association Request RSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X Association Response (succs)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
58
WPA/802.11i : phases 2 et 3
Station
Serveur dauthentification
EAP Response/Identity
Authentification (dialogue EAP) Drivation de la cl matresse Drivation PMK Drivation PMK Access Accept (+ PMK) EAP Success Gnration cls de session 802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
RADIUS
59
WPA/802.11i : phases 2 et 3
Gnration des cls (suite) : procdure dite 4-way handshake : change de 4 messages EAPoL-Key qui permettent de:
sassurer que le client dtient bien la PMK de driver un ensemble de cls de chiffrement et dintgrit
partir de la PMK, des adresses MAC du client et du point daccs de deux
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
60
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
61
TKIP
Temporal Key Integrity Protocol Amlioration de WEP Chiffrement RC4 (pour pouvoir utiliser les mmes puces) Cl de chiffrement des trames est drive dune cl matresse (<> WEP o la cl matresse chiffre directement les trames) Une cl diffrente pour chaque trame Ajout dun numro de squence pour contrer les attaques par rejeu Ajout dune squence de contrle dintgrit (y compris sur adresse source)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
62
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
63
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
64
Avant de commencer
Spcifications du projet : un rseau sans fil o a ?
dans des zones prcises : bibliothque, caftria dans lensemble du/des btiments et aussi dans le parc ?
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
65
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
66
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
67
DMZ Rseau extrieur C-R DMZ Serveurs Clients Sans fil Sans fil Rseau extrieur DMZ GB C-R Serveurs Clients
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
68
Internet
Zone(s) semi-ouverte(s)
Rseau sans fil Accs client vers Internet Accs services externes : publics (DNS, HTTP) sur authentification (HTTPS, IMAPS, SMTPS)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 69
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
70
Internet Internet
Concentrateur VPN
Rseau du laboratoire
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
71
Amliorations possibles :
WEP rseau ouvert mais personne ne peut sy connecter par hasard panneau Accs rserv
OK pour une petite structure (quelques bornes), au-del problme de gestion
des cls
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
72
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
73
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
74
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
75
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
76
Solution satisfaisante
pour laccueil des visiteurs parce quelle fonctionne avec tous les clients
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 77
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
78
diffrents
avec les limites du VLAN par port (VLAN visiteur ?)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
79
Utilisateur 1 VLAN 1
Commutateur Ethernet
Utilisateur 2 VLAN 2
Tag 802.1Q
VLAN 2 Ex : permanents
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
80
correspondant lutilisateur
Suppose de propager tous les VLAN ncessaires jusquaux points daccs (nomadisme sur un campus)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 81
PA Authentification 802.1X
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
82
adresses de groupe que si le BSSID est celui du PA auquel elle est associe
cls de groupe diffrentes pour chaque groupe dutilisateurs : pour que les
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
83
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
84
Permet de grer plusieurs rseaux administrativement distincts sur la mme infrastructure Permet davoir un BSSID par VLAN Possibilit daffecter ensuite dynamiquement le VLAN en 802.1X ?
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
85
SSID 1
Commutateur Ethernet
SSID 2
Tag 802.1Q
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
86
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
87
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
88
Solutions propritaires :
fonctionnent avec les points daccs fournis par le constructeur mme si acceptent gnralement les PA dautres constructeurs
perte de la plupart des fonctionnalits intressantes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
89
Tunnels
Points daccs
Commutateurs Ethernet
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
90
SSID 1
Rseau filaire
SSID 2
VLAN 1
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
92
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
93
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
94
Administration et supervision
Gestion centralise des points daccs
configurations mises jour logicielles
Dtection et configuration automatique des points daccs Tableau de bord, statistiques (par station, par point daccs, globales) Plan de site avec localisation des points daccs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
95
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
96
Passerelle de scurit
Constructeur : exemple Ucopia Botier spcialis plac en coupure (logique) entre le rseau filaire et le rseau sans fil solution non spcifique aux rseaux sans fil
fonctionne avec tous les PA Commutateur sans fil traite les trames 802.11 mises par les stations Passerelle traite les trames 802.3 mises par les points daccs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
97
passerelle
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
98
Rseau filaire
VLAN 3
SSID 2
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
99
serveur RADIUS)
Contrle daccs
fonction du profil de lutilisateur par mise en place de filtres correspondant au profil de lutilisateur sur le
du contrleur
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
100
Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN) Zro configuration : reconnaissance et redirection de certains flux
SMTP -> serveur de messagerie local HTTP impression : par lintermdiaire du serveur dimpression embarqu
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
101
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
102
EAP-TLS
pour :
le plus largement support client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3 le CNRS dispose dune IGC
contre :
il faut distribuer des certificats tous les utilisateurs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
103
contre :
ncessite un client spcifique pour Windows SecureW2 (http://www.securew2.com/)
PEAP
envisager dans un environnement tout Windows
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
104
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
105
Serveur dauthentification
Serveur RADIUS
de multiples implmentations commerciales open source : FreeRadius Microsoft IAS (Internet Authentication Server)
FreeRadius
http://www.freeradius.org/ liste de diffusion : freeradius-users@lists.freeradius.org (verbosit ++) Linux, FreeBSD, NetBSD, Solaris authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et dautres autorisation : fichier local, LDAP (OpenLDAP), base SQL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
106
FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb radiusd.conf, eap.conf, clients.conf et users radiusd.conf : gnralits
adresse, port logs
clients.conf :
client 194.57.138.2 { secret = monalisa shortname = bsf2 nastype = other }
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
107
FreeRadius : configuration
eap.conf :
tls { # private_key_password = whatever private_key_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem certificate_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem CA_file = ${raddbdir}/certs/LOCAL/CA.pem dh_file = ${raddbdir}/certs/LOCAL/dh random_file = /dev/urandom # fragment_size = 1024 # include_length = yes # check_crl = yes check_cert_cn = %{User-Name} }
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
108
FreeRadius : configuration
users :
#
# CN des utilisateurs autorises a se connecter avec certificat # 'Catherine Grenet' Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 12 # # La ligne suivante permet de refuser l'acces aux utilisateurs # qui ne sont pas dans la liste ci-dessus # DEFAULT Auth-Type := Reject
test : radiusd X
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
109
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
110
Propagation
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
111
Transparence
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
112
Interfrences
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
113
Interfrences
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
114
Couverture
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
115
Construction du rseau
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
116
Classes dusage
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
117
Classes dusage
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
118
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
119
Rglage des PA
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
120
802.3af
Power Over Ethernet (PoE) permet de fournir une puissance infrieure 15 W sous 48 V en courant continu sur le cble Ethernet transport
soit sur les deux paires qui transportent les donnes (1-2 et 3-6) soit sur les deux paires inutilises (4-5 et 7-8)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
121
802.3af
Cbles RJ-45 Commutateur Point daccs
Commutateur
Injecteur
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
122
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
123
Outils
Analyseur de spectre Scanner actif
Netstumbler (Windows) : http://www.netstumbler.com/ iStumbler (Mac OS X) : http://istumbler.net/
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
124
Kismet : http://www.kismetwireless.net/
Linux dtection des points daccs capture du trafic
WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/ Ethereal sous Linux (pas de mode RFMON sous Windows)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
125
Bibliographie succinte
Daniel Azuelos, Architecture des rseaux sans fil, 2005, http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf Matthew Gast, 802.11 Rseaux sans fil, 2e dition, OReilly, 2005 Luc Saccavini, Le protocole IEEE 802.1X, 2003, http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE 802.11i Overview, 2002
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
126