Cours 06 Sansfil 2-Theorie PDF

Rseaux locaux sans fil WiFi
Catherine Grenet et Marie-Claude Quidoz

Meudon, 11 et 12 mai 2006
Remerciements
Ces transparents sont extraits du tutoriel
Architecture des rseaux sans fil donn par
Daniel Azuelos aux JRES 2005
http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Plan (2/2)
Architecture de rseau
Rseau sans fil isol du rseau filaire
Portail web daccs
Affectation dynamique de VLAN
Points daccs virtuels
Commutateur sans fil
Passerelle de scurit
Choix de mise en uvre
Dploiement du rseau radio

Outils
Pourquoi dployer un rseau sans fil

aujourd'hui ?
Pour faciliter la connexion des utilisateurs itinrants, en particulier dans
les espaces collectifs

Pour connecter des locaux impossibles ou trop coteux cbler
(amiante, monument historique)

Pour mettre en place une connexion provisoire (travaux)
Pour occuper l'espace : offrir le service pour viter les installations pirates
Le sans fil n'est pas destin remplacer intgralement le cblage filaire

(fiabilit, dbit)
Il nest pas fait pour connecter des serveurs !
Les diffrents types de rseau sans fil

WPAN
WLAN
WMAN
WWAN
Nom
commun
Bluetooth
et autres
WiFi
WiMax
GSM, GPRS,
UMTS
Bande de
frquence
2,4 GHz
2,4 / 5 GHz 2 11 GHz 900 / 1800 MHz

1900 / 2200 MHz
Porte
qq m
100 m
50 km
35 km
Dbit
thorique
3 Mb/s
54 Mb/s
70 Mb/s
9600 Kb/s
-> 2 Mb/s
Applications Connexion
Rseau
priphriques local
Accs
Tlphonie
et donnes
Norme
IEEE
802.16
ITU
IEEE 802.15
IEEE
802.11
Plan (1/2)
Introduction
Aspects thoriques
Couche physique
Protocole
Scurit
WEP
WPA et 802.11i
Wi-Fi est un label d'interoprabilit dlivr par la Wi-Fi alliance :
groupement de constructeurs qui publie des listes de produits certifis
(http://www.wi-fi.org/)
802.11 (1997) : jusqu 2 Mb/s
802.11 (1999) : Wireless LAN Medium Access Control (MAC) and
Physical Layer (PHY) Specifications

802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplment
802.11)
802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplment
802.11)
802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement
802.11)
compatible avec 802.11b
Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP)
gestion de la mobilit
802.11h (2003) : pour l'utilisation de 802.11a en Europe
slection dynamique de canal et gestion de la puissance d'mission

802.11i (2004) : scurit
802.11e (2005) : qualit de service
Travaux en cours :
802.11k : mesure de la qualit de la liaison radio
802.11n : dbit > 100 Mb/s
802.11r : transfert rapide de connexion entre bornes
802.11s : rseaux maills
Plan (1/2)
Introduction
Aspects thoriques
Couche physique
Protocole
Scurit
WEP
WPA et 802.11i
10
Onde lectromagntique
11
Spectre lectromagntique
12
Emission / rception radio

Principe : transmission de l'information par modulation d'une porteuse
Le signal transmis est caractris par son spectre
P (W)
F (Hz)
Fporteuse
En radio, la puissance est souvent exprime en dBm
(dcibels milliwatt )
dBm = 10*log10(P/ 0.001)
0 dBm 1 mW
13
802.11b : modulation
DSSS : Direct Sequence Spread Spectrum
talement de spectre, squence directe
Donnes transmettre
Signal transmettre
+
Squence dtalement
(signal pseudo-alatoire connu de tous)
Selon la vitesse de transmission
codage de 1, 4 ou 8 bits simultanment
puis modulation de phase 2 ou 4 tats
14
802.11 b : canaux
Bande 2,4 GHz

14 canaux de 22 MHz
seulement trois canaux
disjoints
15
802.11a
OFDM : Orthogonal Frequency Division Multiplexing
20 MHz
5,15
GHz
12 canaux disjoints
diviss en 52 sous-porteuses
48 sous-canaux de donnes
5,825
4 sous-canaux
pour correction
derreur
16
802.11g
Bande 2,4 GHz
Transmission DSSS pour les dbits 11 M/s (1, 2, 5.5, 11)
=> compatible avec 802.11b

Transmission OFDM pour les dbits suprieurs
La compatibilit 802.11b ne ralentit pas le dbit des trames de donnes
des stations 802.11g, mais certaines trames de gestion (balise) et de

contrle (trames de protection) doivent tre mises des dbits
compatibles avec le 802.11b
17
802.11n
Groupe dtude n du 802.11 (TGn)
draft 1.0 approuv en mars 2006
na pas pass ltape suivante => draft 2.0 (au moins !)
normalisation en 2007 ?
Dbits annoncs jusqu 600 Mb/s
MIMO : Multiple Input Multiple Output
plusieurs antennes / metteurs / rcepteurs radios
transmission des donnes en parallle sur le mme canal en utilisant les
trajets multiples
18
Rglementation (ARCEP ex-ART)

Puissances autorises depuis juillet 2003 (exprimes en PIRE :
Puissance Isotrope Rayonne Equivalente)

Frquences (MHz) Canaux
Intrieur
Extrieur
2400 - 2454
1-8
100 mW
100 mW
2454 -2483,5
9-13
100 mW
10 mW
Les usages privs (rseaux indpendants, usages particuliers) ne
ncessitent pas de dmarche auprs de lART.
19
Plan (1/2)
Introduction
Aspects thoriques
Couche physique
Protocole
Scurit
WEP
WPA et 802.11i
20
Caractrisques induites par le support

Support partag par tous
Pas de limite franche ni visible au del de laquelle la rception est
impossible
Le signal peut tre brouill par une source extrieure

Le support de transmission est beaucoup moins fiable qu'en rseau
filaire, et non matris
Les stations ne sont pas fixes, mais portables, voire mobiles

Certaines stations peuvent tre caches les unes aux autres
Les vitesses de propagation peuvent varier dans le temps et tre
asymtriques
21
Architecture 802.11
Station : toute machine quipe dune interface 802.11
BSS (Basic Service Set) : zone l'intrieur de laquelle les stations
restent en communication
BSS indpendants = rseaux ad hoc
STA 1
STA 2
BSS 2
BSS 1
STA 3
STA 4
22
Architecture 802.11 (suite)

Les BSS peuvent tre interconnects par un systme de distribution
(DS, Distribution System) : le plus souvent un rseau Ethernet
Un point d'accs est une station qui fournit l'accs au DS
Rseau
d'infrastructure
STA 1
STA 2
BSS 1
PA
Systme de
distribution (DS)
PA
BSS 2
STA 3
STA 4
23
Architecture 802.11 (suite)

ESS (Extended Service Set) : ensemble de BSS interconnects par un
systme de distribution
Les stations peuvent communiquer entre elles et passer d'un BSS
l'autre l'intrieur d'un mme ESS

ESS
STA 1
STA 2
BSS 1
PA
Systme de
distribution (DS)
PA
BSS 2
STA 3
STA 4
24
Protocole : accs au mdia

Mdia partag => 802.11 dfinit deux mthodes d'accs
DCF (Distributed Coordination Function)
Dans toutes les stations, sur rseau ad hoc et d'infrastructure
CSMA/CA Carrier Sense Multiple Access Collision Avoidance
Principe : la station coute le mdia pour vrifier qu'il est libre avant d'mettre
(idem CSMA/CD)
Mais elle ne peut pas dtecter les collisions

parce qu'elle n'entend pas ncessairement toutes les stations
parce que la liaison radio est half duplex
Avoidance => la station rceptrice met un ACK qui indique que la trame a
t correctement reue et qu'il n'y a pas eu de collision
Mcanisme supplmentaire : metteur et rcepteur changent un RTS/CTS
avant d'mettre les donnes

contrl par le paramtre dot11RTSThreshold
PCF (Point Coordination Function)

Uniquement dans les points daccs, peu implmente
Le PA contrle laccs au mdia (par interrogation des stations)
25
Protocole : types de trames

Trames de gestion
balise (beacon)
Probe Request / Response
authentification
association
Trames de contrle
contribuent au bon acheminement des trames de donnes
exemple : ACK, RTS/CTS
Trames de donnes
26
Protocole : dcouverte des rseaux

Le point d'accs met intervalles rguliers (~ 100 ms) des trames
balise (beacon) qui contiennent :

SSID Service Set Identifier : chane de caractres identifiant le rseau sans fil
Les points daccs dun mme ESS mettent le mme SSID

Dbits supports
La station peut mettre des trames Probe Request pour identifier les
rseaux sans fil disponibles sur diffrents canaux

Le point d'accs lui renvoie une trame Probe Response (mmes infos
que dans la balise)

Pour utiliser le rseau sans fil, la station doit s'authentifier et s'associer
27
Authentification et association
non authentifi,
non associ
Authentification
russie
D-authentification
authentifi,
non associ
Association ou
rassociation
russie
D-authentification
Dsassociation
authentifi,
associ
28
Authentification
Deux modes d'authentification :
ouvert (open system)
partag (shared key)
Mode dauthentification
Open System
STA
Demande
d'authentification PA
Shared key
STA
Succs
Demande
d'authentification PA
Challenge
Challenge chiffr
Succs
29
Association rassociation
La station envoie au PA une demande d'association
Si la station est dj authentifie le PA accepte la demande et retourne
un identificateur d'association (Association ID)
La station peut alors changer des trames de donnes avec les autres
stations de l'ESS
Rassociation : lorsqu'une station se dplace d'un BSS l'autre
30
Protocole : adressage
Adresses sur 48 bits, mme format qu'une adresse Ethernet
Une trame 802.11 contient 4 champs adresse, dont la signification varie
en fonction du type de trame

Contrle Dure/ID Adr 1 Adr 2 Adr 3
Contrle
Adr 4 Donnes CRC
de sq.
type de trame
gestion
contrle
donnes
31
Les 4 champs adresse indiquent :
Le BSSID : il identifie de manire unique un BSS
mode infrastructure : adresse MAC du point d'accs
mode ad hoc : choisie de manire tre unique
ne pas confondre avec le SSID (aussi appel ESSID)
Ladresse de destination : adresse du destinataire final

Ladresse source : adresse de la station qui a initialement mis la trame
Ladresse du rcepteur : adresse du destinataire immdiat
Ladresse de lmetteur : adresse de la station qui met la trame
32
Exemple : station 1 mettant une trame de donnes vers station 2
Rseau
filaire
PA1
STA1
PA1
STA1 STA2
PA2
STA2
PA2
STA2
STA1
La station lit le champ Adr 1 pour savoir si une trame lui est ou non
adresse
Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vrifie de
plus que le BSSID est celui du PA auquel elle est associe
33
Mobilit
STA
Nouveau PA
PA courant
Authentification
Demande de rassociation
BSSID ancien PA
STA tait associe ?

Oui
Rassociation russie
Trames en tampon
destines STA
Fin association avec STA
34
Plan (1/2)
Introduction
Aspects thoriques
Couche physique
Protocole
Scurit
WEP
WPA et 802.11i
35
Risques lis aux rseaux sans fil

Mdia partag => les coutes sont possibles
Pas de limite franche ni visible au del de laquelle la rception est
impossible, donc en l'absence de mcanismes appropris n'importe qui

peut :
couter le rseau
se connecter au rseau (et utiliser l'accs Renater de l'unit par exemple)
Le signal peut tre brouill par une source extrieure
Les mmes risques existent sur un rseau filaire mais il faut pouvoir
accder au matriel rseau (prises, cbles...)
36
Historique et terminologie
1999 : WEP (802.11)
2001 : 802.1X
=> authentification 802.1X + chiffrement WEP dynamique

2003 : WPA (Wi-Fi Protected Access) :
spcification publie par la Wi-Fi Alliance, et reprenant une bonne partie du
draft 3.0 de 802.11i en attendant la ratification de la norme

2004 : 802.11i MAC Security Enhancements
WPA2 : label de la Wi-Fi Alliance pour 802.11i
37
WEP
Wireless Equivalent Privacy
Intgr la norme 802.11 de 1999
Principes :
cl secrte (40 ou 104 bits) partage par toutes les stations
authentification par dfi / rponse
confidentialit par chiffrement symtrique
Problmes et limitations
la cl peut tre dcouverte par simple coute du rseau avec des logiciels du
domaine public (AirSnort, Aircrack)

pas de mcanisme de distribution des cls
38
Plan (1/2)
Introduction
Aspects thoriques
Couche physique
Protocole
Scurit
WEP
WPA et 802.11i
39
802.1X + WEP dynamique

802.1X permet une authentification srieuse des utilisateurs avant
connexion au rseau
Les cls sont gnres laide de protocoles de chiffrement et
distribues sous forme chiffre sur le rseau sans fil

Une cl WEP par utilisateur et par session
Cl commune pour les trames multicast
Renouvele suffisamment souvent dans le courant de la session pour
quelle ne puisse pas tre dcouverte (~ quelques minutes)

Avantages :
empche la dcouverte des cls
distribution automatique des cls
40
802.1 X
Port-Based Network Access Control (2001, rvision 2004)
Protocole permettant de n'autoriser l'accs un port rseau qu'aprs
authentification
Conu pour les rseaux filaires, s'applique aux rseaux IEEE 802
port rseau = port de commutateur (802.3)
association (802.11)
Composants :
systme authentifier (supplicant ) : qui demande l'accs au rseau
systme authentifiant ou relais dauthentification (authenticator ) :
contrle laccs au rseau
ne fait que relayer les changes dauthentification avec le serveur
serveur d'authentification : dtermine si le systme authentifier est autoris
accder au(x) service(s) dont l'accs est contrl par le relais

41
802.1X : port contrl et port non contrl
Port
contrl
Port non
contrl
Port non
autoris
Point
dattachement
Rseau local
Port
contrl
Port non
contrl
Port
autoris
Point
dattachement
Rseau local
42
802.1X : authentification
Port
contrl
Port non
contrl
Autorisation
Serveur
dauthentification
Systme
authentifier
Point
dattachement
Point
dattachement
EAP
Rseau local
43
EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
dvelopp l'origine pour lauthentification des utilisateurs se
connectant en PPP sur des serveurs daccs distants

permet d'encapsuler diffrents protocoles d'authentification et donc
de ne pas les implmenter dans le serveur RAS, qui les relaie vers
un serveur d'authentification
l'authentification elle-mme repose sur des mthodes
(protocoles) dfinies par ailleurs et encapsules dans EAP
44
Mthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST
LEAP (Lighweight EAP)
Proprit Cisco
Authentification mutuelle du client et du serveur par MS-CHAPv1
Cls dynamiques drives des changes MS-CHAP
Problmes de scurit lis lutilisation de MS-CHAPv1 => obsolte
TLS
RFC 2716
Authentification mutuelle du client et du serveur par certificats X.509
Permet de driver des cls de chiffrement
Mthode dauthentification de facto pour 802.11i
45
Mthodes EAP (suite)

TTLS
draft-ietf-pppext-eap-ttls-05
Authentification du serveur par certificat X.509
Utilisation du tunnel chiffr TLS pour faire passer un autre protocole dauthentification
: PAP, CHAP, MD5, MS-CHAP

authentification interne par AVP (paires attribut-valeur)
PEAP (Protected EAP)

TTLS
Utilisation du tunnel chiffr TLS pour faire passer un autre change EAP (EAP over
EAP)
Avantage / TLS : possibilit de rutiliser les systmes dauthentification
existants (annuaire LDAP par exemple)

EAP-FAST (Cisco) : fait pour acclrer la rauthentification lors dun handover
46
802.1X : protocoles
Station
Station
Point daccs
Point daccs
Serveur
dauthentification
Serveur
dauthentification
EAP over RADIUS
EAP over LAN
EAP-TLS, EAP-TTLS...
EAP
RADIUS
802.1X (EAPoL)
UDP / IP
802.11
802.3
47
802.1X : EAPoL
dfinit EAPoL : EAP over LAN
encapsulation des paquets EAP sur les rseaux 802

champ Type Ethernet = 0x888E
4 types de message :
EAP-Start : envoy au PA par la station qui veut dmarrer lauthentification
EAP-Logoff : envoy par la station, le port est remis dans ltat non autoris
par le PA
EAP-Packet : transporte les informations dauthentification
EAP-Key : pour transmettre une cl entre le PA et la station
48
RADIUS
Remote Authentication Dial In User Service
originellement (RFC 2138 -> 2865) dfini pour le transport
dinformations dauthentification et de configuration entre un serveur

daccs distant et un serveur dauthentification
49
RADIUS (suite)
Utilise le port UDP 1812
repose sur un secret partag entre le serveur et le client (ici le point daccs)
Les messages EAP sont encapsuls dans 4 types de trames :
messages point daccs -> serveur : Access Request
messages serveur -> point daccs relays vers la station : Acess Challenge
messages serveur -> point daccs indiquant que lauthentication a russi : Access
Accept
messages serveur -> point daccs indiquant que lauthentication a
chou : Access Reject

RADIUS -> DIAMETER (RFC 3588 9/2003)
site officiel : http://www.diameter.org/
logiciel open source : http://www.opendiameter.org/
50
802.1X : dialogue EAP
Station
Serveur
dauthentification
Point daccs
EAP Request/Identity
EAP Response/Identity
Access Request - EAP Response/Identity
Authentification (dialogue EAP)

Access Accept
EAP Success
EAPoL-Key
802.1X / EAPoL
RADIUS
51
802.1X : dialogue EAP- authentification

4 types de paquets EAP :
Request, Response, Success, Failure
Station
Point daccs
Serveur
dauthentification

EAP Request
Access Challenge - EAP Request
EAP Response
Access Request - EAP Response
802.1X / EAPoL
RADIUS
52
Plan (1/2)
Introduction
Aspects thoriques
Couche physique
Protocole
Scurit
WEP
WPA et 802.11i
53
WPA et 802.11i
Reposent galement sur lauthentification 802.1X
Deux modes :
personnel pour environnements SOHO
entreprise pour les structures plus importantes
Gestion et distribution des cls

Deux nouveaux mcanismes de chiffrement :
TKIP (WPA)
CCMP (802.11i)
54
WPA/802.11i : principe
Authentification de la station par le serveur dauthentification avant que
le point daccs ne lui accorde laccs au rseau

=> drivation dune cl matresse connue du serveur et du client (et deux
seuls)
cl matresse => drivation dune cl matresse pair pair (PMK)
par la station
fournie par le serveur au point daccs
PMK => drivation des cls de session (unicast, multicast)

Authentification du serveur par la station
important dans lenvironnement sans fil (points daccs sauvages)
55
WPA/802.11i : fonctionnement
Station
Point daccs
Serveur
dauthentification
Dcouverte de la politique de scurit

Phase 1
Phase 2
Phase 3
Phase 4
Authentification 802.1X
Distribution cl (802.1X)
Distribution cl (RADIUS)
Liaison chiffre tablie
56
WPA/802.11i : phase 1
Mode dauthentification = ouvert
Le point daccs annonce les politiques de scurit supportes dans
les trames Beacon et Probe Response
RSNA : Robust Security Network Association

Ajout dun champ RSN IE (Information Element) dans les trames
Beacon, Probe Response, Association Request/Response
Le champ RSN IE dcrit :

le type de chiffrement du trafic unicast et multicast :
WEP-40, WEP-104, TKIP, CCMP (dfaut)
la mthode dauthentification et de gestion des cls :

802.1X (dfaut), cl pr-partage
57
WPA/802.11i : phase 1 (suite)
Probe Request
Probe Response
RSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X
Authentification Open System
Authentification Open System (succs)
Association Request
RSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X
Association Response (succs)
58
WPA/802.11i : phases 2 et 3
Station
Serveur
dauthentification
Point daccs
EAP Request/Identity
EAP Response/Identity
Authentification (dialogue EAP)

Drivation de la cl matresse
Drivation PMK
Drivation PMK
Access Accept (+ PMK)
EAP Success
Gnration cls de session
802.1X / EAPoL
RADIUS
59
WPA/802.11i : phases 2 et 3
Gnration des cls (suite) :
procdure dite 4-way handshake : change de 4 messages EAPoL-Key
qui permettent de:

sassurer que le client dtient bien la PMK
de driver un ensemble de cls de chiffrement et dintgrit
partir de la PMK, des adresses MAC du client et du point daccs de deux
nombres alatoires
de chiffer le transport de la cl de groupe
60
WPA/802.11i : mode personnel

destin aux rseaux adhoc et rseaux personnels ( domicile)
mme mcanisme de dcouverte de la politique de scurit
pas dauthentification 802.1X
cl pr-partage est drive dun mot de passe et sert directement de
PMK
mme procdure de 4-way handshake
mmes techniques de chiffrement : TKIP CCMP
61
TKIP
Temporal Key Integrity Protocol
Amlioration de WEP
Chiffrement RC4 (pour pouvoir utiliser les mmes puces)
Cl de chiffrement des trames est drive dune cl matresse (<>
WEP o la cl matresse chiffre directement les trames)

Une cl diffrente pour chaque trame
Ajout dun numro de squence pour contrer les attaques par rejeu
Ajout dune squence de contrle dintgrit (y compris sur adresse
source)
62
802.11i : nouveauts par rapport WPA

Chiffrement CCMP
Counter Mode with CBC-MAC Protocol
Sans souci de compatibilit avec WEP => nouvelles puces
Chiffrement AES
Pr-authentification (pour le handover)
63
Plan (2/2)
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Outils
64
Avant de commencer
Spcifications du projet : un rseau sans fil
o a ?
dans des zones prcises : bibliothque, caftria
dans lensemble du/des btiments
et aussi dans le parc ?
pour qui ? nombre et type dutilisateurs
personnel permanent
invits (ayant travailler avec le labo)
gens de passage : colloques, formations
pour quoi faire ?
au minimum : offrir un accs internet
un peu plus : accs une imprimante locale
au maximum : accs lensemble des ressources du rseau
En gnral, tout a en mme temps pour diffrentes catgories dutilisateurs
avec quels quipements ?
type de plate-forme : matriel, systme dexploitation
65
Plan (2/2)
portail web daccs

Outils
66

Rseau
sans fil
Rseau
filaire
Pare-feu
Tous les PA dans le mme VLAN
Internet
Dispositif de
contrle daccs
67
DMZ
DMZ
Rseau
extrieur
Serveurs
C-R
Rseau
extrieur
Clients
DMZ
GB
C-R
Serveurs
Clients
Sans fil
Sans fil
68

Rseau local
Rseau interne
Internet
Zone(s)
semi-ouverte(s)
Rseau sans fil

Accs client vers Internet
Accs services externes : publics (DNS, HTTP)
sur authentification (HTTPS, IMAPS, SMTPS)
69

accs aux quipements actifs :
autoris depuis le rseau filaire
interdit depuis le rseau sans fil
accs autoriss du rseau sans fil vers le rseau filaire :

au serveur DHCP
aux serveurs DNS
aux services publics (web etc.)
aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS,
SSH (pour les utilisateurs internes)

accs du sans fil vers le reste de linternet
peut tre limit certains ports (sans tre trop restrictif)
empcher les connexions entrantes
70

Accs supplmentaires possibles pour les utilisateurs identifis via VPN
Internet
Internet
Concentrateur
VPN
Rseau du
laboratoire
Rseau
Rseau
Sans
Sansfil
fil
71
Rseau sans fil isol du rseau filaire + VPN

Solution (presque) idale pour les petites structures
Inconvnient (de taille) : absence de contrle daccs au rseau sans fil
risque dpendant de lenvironnement
possibilit dutilisation illicite des rseaux de la recherche
responsabilit vis--vis de Renater et dInternet en gnral
Amliorations possibles :
WEP
rseau ouvert
mais personne ne peut sy connecter par hasard
panneau Accs rserv
OK pour une petite structure (quelques bornes), au-del problme de gestion
des cls
72
Rseau sans fil isol du rseau filaire + VPN

Amliorations possibles (suite):
contrle daccs par adresse MAC
peut tre local la borne
ou centralis sur un serveur RADIUS
Mise en uvre avec un serveur RADIUS :

Le PA envoie une requte Access-Request avec :
User-Name et User-Password : adresse MAC de la station

Fichier users :
00904b1d9fd8 Auth-Type:=Local,
User-Password="00904b1d9fd8"
Avantage de ces solutions : fonctionnent avec tous les clients
73
Plan (2/2)
portail web daccs

Outils
74
Portail web daccs

portail captif
Logiciels libres :
NoCat (http://nocat.net/)
NoCatAuth : version originale en Perl
NoCatSplash : portage en C
M0n0wall (http://m0n0.ch/wall/)
talweg (http://sourcesup.cru.fr/talweg/)
75
Portail web daccs : fonctionnement

Rseau public
Rseau dont
on veut contrler
laccs
Routeur ou pont
@ IP (DHCP)
HTTP
Login ?
Passwd ?
Authentification ?
Nom dutilisateur et mot de passe
Serveur
dauthentification
Succs de lauthentification
Autorisation
daccs
76
Portail web daccs : fonctionnement

Lautorisation daccs au rseau se fait par modification des rgles de
filtrage
Fin dautorisation daccs ?
bouton dconnexion : pas forcment utilis
par requtes ARP ou ICMP priodiques
Protection des changes

les donnes dauthentification doivent tre changes en HTTPS
le reste du trafic nest pas protg => recommandations aux utilisateurs
Solution satisfaisante
pour laccueil des visiteurs
parce quelle fonctionne avec tous les clients
77
Plan (2/2)
portail web daccs

Outils
78

La sparation rseau sans fil / rseau filaire
a t impose par des contraintes de scurit
compte tenu des fonctionnalits des premiers matriels
Aujourdhui les rseaux filaires sont segments en VLAN

permet dattribuer des droits diffrents des groupes dutilisateurs
diffrents
avec les limites du VLAN par port (VLAN visiteur ?)

prolonger la structure du rseau filaire sur le rseau sans fil
avec des mcanismes adapts aux rseaux sans fil
79

Serveur
dauthentification
Utilisateur 1
VLAN 1
VLAN 1
Ex : visiteurs
Point daccs
sans fil
VLAN 1
Commutateur
Ethernet
VLAN 2
Utilisateur 2
VLAN 2
Tag 802.1Q
VLAN 2
Ex : permanents
80

Repose sur lauthentification 802.1X
le numro de VLAN est transmis par le serveur RADIUS au point
daccs dans le message Access-Accept

Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802 (6)
Tunnel-Private-Group-ID=<numro de VLAN>
Fonctionne sur le filaire comme sur le sans fil :
un commutateur Ethernet affecte le port auquel est connect le client dans
le VLAN retourn par le serveur RADIUS

un point daccs sans fil tiquette chaque trame en sortie dans le VLAN
correspondant lutilisateur
Suppose de propager tous les VLAN ncessaires jusquaux points
daccs (nomadisme sur un campus)

81
Portail daccs
web
Pas dauthentification
802.1X
VLAN par dfaut

Parefeu
PA
Authentification
802.1X
Rseau
du labo
Serveur
dauthentification
82

On peut avoir des fonctionnalits ~ quivalentes celles des VLAN
filaires sur le sans fil deux conditions :

un BSSID par VLAN : une station ne traite les trames adresses des
adresses de groupe que si le BSSID est celui du PA auquel elle est

associe
cls de groupe diffrentes pour chaque groupe dutilisateurs : pour que les
trames ne puissent pas tre dchiffres par toutes les stations
83
Plan (2/2)
portail web daccs

Outils
84

Chaque PA peut mettre plusieurs SSID
A chacun de ces SSID est associ :
un VLAN sur le rseau filaire
une mthode et un serveur dauthentification
Permet de grer plusieurs rseaux administrativement distincts sur la
mme infrastructure
Permet davoir un BSSID par VLAN
Possibilit daffecter ensuite dynamiquement le VLAN en 802.1X ?
85
SSID 1
VLAN 1
Auth : portail
daccs web
Point daccs
sans fil
VLAN 1
SSID 2
Commutateur
Ethernet
VLAN 2
Tag 802.1Q
VLAN 2
Auth : MAC adresse
86
Plan (2/2)
portail web daccs

Outils
87

Aussi appel contrleur
Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace
(rachet par Cisco)

Botier spcialis plac en coupure (logique) entre le rseau filaire et le
rseau sans fil

Un certain nombre de fonctions habituellement gres dans les points
daccs sont dportes sur le commutateur

authentification
association
chiffrement
interconnexion avec le rseau filaire
=> notion de point daccs lger
88

Fonctionnement : tablissement dun tunnel (niveau 2 ou 3) entre
chaque point daccs et le commutateur

La communication entre le PA et le commutateur repose sur un
protocole que chaque constructeur essaie de normaliser lIETF

LWAPP (Airespace/Cisco)
CAPWAP
SLAPP (Trapeze, Aruba)
Solutions propritaires :
fonctionnent avec les points daccs fournis par le constructeur
mme si acceptent gnralement les PA dautres constructeurs
perte de la plupart des fonctionnalits intressantes
89
Commutateur sans fil : niveau physique
Tunnels
Points daccs
Commutateurs
Ethernet
Commutateur
sans fil
90
Commutateur sans fil : niveau logique

Les VLAN sont propags jusquau commutateur et non jusquaux points
daccs
Rseau
sans fil
SSID 1
Rseau
filaire
Commutateur
sans fil
SSID 2
Points daccs
VLAN 1
SSID 1
VLAN 2
Tunnels
SSID 2
Tag 802.1Q
91
Commutateur sans fil : gestion de la radio

Ajustement dynamique de la puissance et du canal de chaque point
daccs
autocalibration du rseau radio ?
Les points daccs peuvent ou non fonctionner simultanment en mode
sonde
Dtection des interfrences

Dtection / neutralisation des points daccs sauvages
Dtection des rseaux ad hoc
Dtection dattaques 802.11 classiques
Localisation gographique des points daccs et des clients
92
Commutateur sans fil : gestion de la radio

Gestion de la bande passante par utilisateur(s), par application, par
VLAN
Possibilit dinterdire les communications directes entre clients

Equilibrage de charge entre points daccs adjacents
Possibilit daffecter des priorits aux diffrents flux
Gestion de la mobilit
93
Authentification et contrle daccs

Portail
802.1X, EAP, TLS, TTLS
VPN IPsec et SSL
Base interne / externe (LDAP, AD)
Fonctions de contrle daccs + ou - sophistiques :
filtrage IP
pare-feu stateful
par utilisateur, groupe dutilisateurs, VLAN
Systme de dtection dintrusion embarqu
94
Administration et supervision
Gestion centralise des points daccs
configurations
mises jour logicielles
Dtection et configuration automatique des points daccs
Tableau de bord, statistiques (par station, par point daccs,
globales)
Plan de site avec localisation des points daccs
95
Plan (2/2)
portail web daccs

Outils
96
Passerelle de scurit
Constructeur : exemple Ucopia
Botier spcialis plac en coupure (logique) entre le rseau filaire et le
rseau sans fil

solution non spcifique aux rseaux sans fil
fonctionne avec tous les PA
Commutateur sans fil traite les trames 802.11 mises par les stations
Passerelle traite les trames 802.3 mises par les points daccs
agrgat de fonctions permettant de grer les utilisateurs mobiles,
visiteurs
97
Passerelle : exemple Ucopia

logiciel sur PC/Linux quip de 2 interfaces rseau, intgrant un certain
nombre de briques de logiciels libres

se place en coupure de rseau
physique ou logique
possibilit davoir plusieurs SSID par bornes (si elles le supportent)

et dy associer des mthodes dauthentification diffrentes
chaque SSID est associ un VLAN en sortie de la borne
VLAN peut tre redfini en fonction du profil de lutilisateur en sortie de la
passerelle
98
Passerelle : exemple Ucopia
Rseau
filaire
Rseau
sans fil
SSID 1
VLAN 1
VLAN 3
SSID 2
Points daccs
VLAN 4
SSID 1
Passerelle
VLAN 2
SSID 2
99
Passerelle Ucopia : authentification et contrle

daccs
Authentification
par nom dutilisateur et mot de passe en HTTPS
802.1X / EAP-TLS, TTLS, PEAP
par carte puce (EAP-SHA1, dveloppement propre)
serveur RADIUS embarqu (peut tre configur en proxy vers un autre
serveur RADIUS)
Contrle daccs
fonction du profil de lutilisateur
par mise en place de filtres correspondant au profil de lutilisateur sur le
contrleur pour la dure de la connexion (iptables)

possibilit daffecter un VLAN en fonction du profil de lutilisateur en sortie
du contrleur
100
Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN)
Zro configuration : reconnaissance et redirection de certains flux
SMTP -> serveur de messagerie local
HTTP
impression : par lintermdiaire du serveur dimpression embarqu
Gestion des points daccs : par SNMP

configuration
stockage et traitement des logs
101
Plan (2/2)
portail web daccs

Outils
102
Choix de la mthode EAP

mthode EAP fonde sur TLS pour :
authentification du serveur par le client
protection des informations didentit de lutilisateur
la gnration de cls de session robustes
=> EAP-TLS, EAP-TTLS, PEAP

EAP-TLS
pour :
le plus largement support
client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3
le CNRS dispose dune IGC
contre :
il faut distribuer des certificats tous les utilisateurs
103
Choix de la mthode EAP

EAP-TTLS
pour :
permet de rutiliser les bases dauthentification existantes (LDAP, AD)
contre :
ncessite un client spcifique pour Windows
SecureW2 (http://www.securew2.com/)
PEAP
envisager dans un environnement tout Windows
104
Choix de la mthode de chiffrement

Ne pas tre maximaliste
WEP dynamique : raisonnable
TKIP : si on peut le faire, tant mieux
CCMP : prmatur
105
Serveur dauthentification
Serveur RADIUS
de multiples implmentations commerciales
open source : FreeRadius
Microsoft IAS (Internet Authentication Server)
FreeRadius
http://www.freeradius.org/
liste de diffusion : freeradius-users@lists.freeradius.org (verbosit ++)
Linux, FreeBSD, NetBSD, Solaris
authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et dautres
autorisation : fichier local, LDAP (OpenLDAP), base SQL
106
FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb
radiusd.conf, eap.conf, clients.conf et users
radiusd.conf : gnralits
adresse, port
logs
clients.conf :
client 194.57.138.2 {
secret = monalisa
shortname = bsf2
nastype = other
}
107
eap.conf :
tls {
# private_key_password = whatever
private_key_file =
${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
certificate_file =
${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
CA_file = ${raddbdir}/certs/LOCAL/CA.pem
dh_file = ${raddbdir}/certs/LOCAL/dh
random_file = /dev/urandom
# fragment_size = 1024
# include_length = yes
# check_crl = yes
check_cert_cn = %{User-Name}
}
108
users :
#
# CN des utilisateurs autorises a se connecter avec certificat

#
'Catherine Grenet'
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 12
#
# La ligne suivante permet de refuser l'acces aux utilisateurs
# qui ne sont pas dans la liste ci-dessus
#
DEFAULT Auth-Type := Reject
test : radiusd X
109
Plan (2/2)
portail web daccs

Outils
110
Propagation
111
Transparence
112
Interfrences
113
Interfrences
114
Couverture
115
Construction du rseau
116
Classes dusage
117
Classes dusage
118
Plan des frquences
119
Rglage des PA
120
802.3af
Power Over Ethernet (PoE)
permet de fournir une puissance infrieure 15 W sous 48 V en
courant continu sur le cble Ethernet

transport
soit sur les deux paires qui transportent les donnes (1-2 et 3-6)
soit sur les deux paires inutilises (4-5 et 7-8)
Lalimentation peut tre fournie :

soit par le commutateur Ethernet
soit par un injecteur
121
802.3af
Cbles RJ-45
Point daccs
Commutateur
Commutateur
Injecteur
122
Plan (2/2)
portail web daccs

Outils
123
Outils
Analyseur de spectre
Scanner actif
Netstumbler (Windows) : http://www.netstumbler.com/
iStumbler (Mac OS X) : http://istumbler.net/
124
Outils : scanners et analyseurs

Scanners passifs et analyseurs fonctionnent sur une carte rseau en
mode RFMON
permet de capturer tous les paquets 802.11
mode promiscuous pour une carte Ethernet
RFMON = mode coute seulement (<> Ethernet)
Kismet : http://www.kismetwireless.net/
Linux
dtection des points daccs
capture du trafic
WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/
Ethereal sous Linux (pas de mode RFMON sous Windows)
125
Bibliographie succinte
Daniel Azuelos, Architecture des rseaux sans fil, 2005,
http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Matthew Gast, 802.11 Rseaux sans fil, 2e dition, OReilly, 2005
Luc Saccavini, Le protocole IEEE 802.1X, 2003,
http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf
Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE
802.11i Overview, 2002
126

Cours 06 Sansfil 2-Theorie PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cours 06 Sansfil 2-Theorie PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Rseaux locaux sans fil WiFi

Catherine Grenet et Marie-Claude Quidoz

Dploiement du rseau radio

Pourquoi dployer un rseau sans fil

les espaces collectifs

(amiante, monument historique)

Le sans fil n'est pas destin remplacer intgralement le cblage filaire

Les diffrents types de rseau sans fil

2,4 / 5 GHz 2 11 GHz 900 / 1800 MHz

Physical Layer (PHY) Specifications

slection dynamique de canal et gestion de la puissance d'mission

Emission / rception radio

Bande 2,4 GHz

=> compatible avec 802.11b

des stations 802.11g, mais certaines trames de gestion (balise) et de

Rglementation (ARCEP ex-ART)

Puissance Isotrope Rayonne Equivalente)

Les usages privs (rseaux indpendants, usages particuliers) ne

ncessitent pas de dmarche auprs de lART.

Caractrisques induites par le support

Le signal peut tre brouill par une source extrieure

filaire, et non matris

Les stations ne sont pas fixes, mais portables, voire mobiles

Architecture 802.11 (suite)

(DS, Distribution System) : le plus souvent un rseau Ethernet

Un point d'accs est une station qui fournit l'accs au DS

Architecture 802.11 (suite)

l'autre l'intrieur d'un mme ESS

Protocole : accs au mdia

Mais elle ne peut pas dtecter les collisions

t correctement reue et qu'il n'y a pas eu de collision

Mcanisme supplmentaire : metteur et rcepteur changent un RTS/CTS

avant d'mettre les donnes

PCF (Point Coordination Function)

Protocole : types de trames

Protocole : dcouverte des rseaux

balise (beacon) qui contiennent :

Les points daccs dun mme ESS mettent le mme SSID

rseaux sans fil disponibles sur diffrents canaux

que dans la balise)

un identificateur d'association (Association ID)

Rassociation : lorsqu'une station se dplace d'un BSS l'autre

en fonction du type de trame

Ladresse de destination : adresse du destinataire final

Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vrifie de

plus que le BSSID est celui du PA auquel elle est associe

STA tait associe ?

Risques lis aux rseaux sans fil

impossible, donc en l'absence de mcanismes appropris n'importe qui

Le signal peut tre brouill par une source extrieure

=> authentification 802.1X + chiffrement WEP dynamique

draft 3.0 de 802.11i en attendant la ratification de la norme

domaine public (AirSnort, Aircrack)

802.1X + WEP dynamique

distribues sous forme chiffre sur le rseau sans fil

quelle ne puisse pas tre dcouverte (~ quelques minutes)

serveur d'authentification : dtermine si le systme authentifier est autoris

accder au(x) service(s) dont l'accs est contrl par le relais

802.1X : port contrl et port non contrl

connectant en PPP sur des serveurs daccs distants

(protocoles) dfinies par ailleurs et encapsules dans EAP

Mthodes EAP (suite)

: PAP, CHAP, MD5, MS-CHAP