Documente Academic
Documente Profesional
Documente Cultură
Remerciements
Ces transparents sont extraits du tutoriel
Architecture des rseaux sans fil donn par
Daniel Azuelos aux JRES 2005
http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (2/2)
Architecture de rseau
Rseau sans fil isol du rseau filaire
Portail web daccs
Affectation dynamique de VLAN
Points daccs virtuels
Commutateur sans fil
Passerelle de scurit
Choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
WLAN
WMAN
WWAN
Nom
commun
Bluetooth
et autres
WiFi
WiMax
GSM, GPRS,
UMTS
Bande de
frquence
2,4 GHz
Porte
qq m
100 m
50 km
35 km
Dbit
thorique
3 Mb/s
54 Mb/s
70 Mb/s
9600 Kb/s
-> 2 Mb/s
Applications Connexion
Rseau
priphriques local
Accs
Tlphonie
et donnes
Norme
IEEE
802.16
ITU
IEEE 802.15
IEEE
802.11
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Normalisation 802.11
Wi-Fi est un label d'interoprabilit dlivr par la Wi-Fi alliance :
groupement de constructeurs qui publie des listes de produits certifis
(http://www.wi-fi.org/)
802.11 (1997) : jusqu 2 Mb/s
802.11 (1999) : Wireless LAN Medium Access Control (MAC) and
802.11)
802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplment
802.11)
802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement
802.11)
compatible avec 802.11b
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP)
gestion de la mobilit
802.11h (2003) : pour l'utilisation de 802.11a en Europe
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
10
Onde lectromagntique
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
11
Spectre lectromagntique
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
12
P (W)
F (Hz)
Fporteuse
En radio, la puissance est souvent exprime en dBm
(dcibels milliwatt )
dBm = 10*log10(P/ 0.001)
0 dBm 1 mW
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
13
802.11b : modulation
DSSS : Direct Sequence Spread Spectrum
talement de spectre, squence directe
Donnes transmettre
Signal transmettre
+
Squence dtalement
(signal pseudo-alatoire connu de tous)
Selon la vitesse de transmission
codage de 1, 4 ou 8 bits simultanment
puis modulation de phase 2 ou 4 tats
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
14
802.11 b : canaux
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
15
802.11a
OFDM : Orthogonal Frequency Division Multiplexing
20 MHz
5,15
GHz
12 canaux disjoints
diviss en 52 sous-porteuses
48 sous-canaux de donnes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
5,825
4 sous-canaux
pour correction
derreur
16
802.11g
Bande 2,4 GHz
Transmission DSSS pour les dbits 11 M/s (1, 2, 5.5, 11)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
17
802.11n
Groupe dtude n du 802.11 (TGn)
draft 1.0 approuv en mars 2006
na pas pass ltape suivante => draft 2.0 (au moins !)
normalisation en 2007 ?
Dbits annoncs jusqu 600 Mb/s
MIMO : Multiple Input Multiple Output
plusieurs antennes / metteurs / rcepteurs radios
transmission des donnes en parallle sur le mme canal en utilisant les
trajets multiples
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
18
Intrieur
Extrieur
2400 - 2454
1-8
100 mW
100 mW
2454 -2483,5
9-13
100 mW
10 mW
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
19
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
20
impossible
asymtriques
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
21
Architecture 802.11
Station : toute machine quipe dune interface 802.11
BSS (Basic Service Set) : zone l'intrieur de laquelle les stations
restent en communication
BSS indpendants = rseaux ad hoc
STA 1
STA 2
BSS 2
BSS 1
STA 3
STA 4
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
22
Rseau
d'infrastructure
STA 1
STA 2
BSS 1
PA
Systme de
distribution (DS)
PA
BSS 2
STA 3
STA 4
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
23
systme de distribution
Les stations peuvent communiquer entre elles et passer d'un BSS
PA
Systme de
distribution (DS)
PA
BSS 2
STA 3
STA 4
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
24
(idem CSMA/CD)
25
Trames de contrle
contribuent au bon acheminement des trames de donnes
exemple : ACK, RTS/CTS
Trames de donnes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
26
La station peut mettre des trames Probe Request pour identifier les
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
27
Authentification et association
non authentifi,
non associ
Authentification
russie
D-authentification
authentifi,
non associ
Association ou
rassociation
russie
D-authentification
Dsassociation
authentifi,
associ
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
28
Authentification
Deux modes d'authentification :
ouvert (open system)
partag (shared key)
Mode dauthentification
Open System
STA
Demande
d'authentification PA
Shared key
STA
Succs
Demande
d'authentification PA
Challenge
Challenge chiffr
Succs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
29
Association rassociation
La station envoie au PA une demande d'association
Si la station est dj authentifie le PA accepte la demande et retourne
La station peut alors changer des trames de donnes avec les autres
stations de l'ESS
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
30
Protocole : adressage
Adresses sur 48 bits, mme format qu'une adresse Ethernet
Une trame 802.11 contient 4 champs adresse, dont la signification varie
Contrle
Adr 4 Donnes CRC
de sq.
type de trame
gestion
contrle
donnes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
31
Protocole : adressage
Les 4 champs adresse indiquent :
Le BSSID : il identifie de manire unique un BSS
mode infrastructure : adresse MAC du point d'accs
mode ad hoc : choisie de manire tre unique
ne pas confondre avec le SSID (aussi appel ESSID)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
32
Protocole : adressage
Exemple : station 1 mettant une trame de donnes vers station 2
Rseau
filaire
PA1
STA1
PA1
STA1 STA2
PA2
STA2
PA2
STA2
STA1
La station lit le champ Adr 1 pour savoir si une trame lui est ou non
adresse
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
33
Mobilit
STA
Nouveau PA
PA courant
Authentification
Demande de rassociation
BSSID ancien PA
Rassociation russie
Trames en tampon
destines STA
Fin association avec STA
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
34
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
35
Les mmes risques existent sur un rseau filaire mais il faut pouvoir
accder au matriel rseau (prises, cbles...)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
36
Historique et terminologie
1999 : WEP (802.11)
2001 : 802.1X
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
37
WEP
Wireless Equivalent Privacy
Intgr la norme 802.11 de 1999
Principes :
cl secrte (40 ou 104 bits) partage par toutes les stations
authentification par dfi / rponse
confidentialit par chiffrement symtrique
Problmes et limitations
la cl peut tre dcouverte par simple coute du rseau avec des logiciels du
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
38
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
39
connexion au rseau
Les cls sont gnres laide de protocoles de chiffrement et
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
40
802.1 X
Port-Based Network Access Control (2001, rvision 2004)
Protocole permettant de n'autoriser l'accs un port rseau qu'aprs
authentification
Conu pour les rseaux filaires, s'applique aux rseaux IEEE 802
port rseau = port de commutateur (802.3)
association (802.11)
Composants :
systme authentifier (supplicant ) : qui demande l'accs au rseau
systme authentifiant ou relais dauthentification (authenticator ) :
contrle laccs au rseau
ne fait que relayer les changes dauthentification avec le serveur
41
Port
contrl
Port non
contrl
Port non
autoris
Point
dattachement
Rseau local
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Port
contrl
Port non
contrl
Port
autoris
Point
dattachement
Rseau local
42
802.1X : authentification
Port
contrl
Port non
contrl
Autorisation
Serveur
dauthentification
Systme
authentifier
Point
dattachement
Point
dattachement
EAP
Rseau local
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
43
EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
dvelopp l'origine pour lauthentification des utilisateurs se
de ne pas les implmenter dans le serveur RAS, qui les relaie vers
un serveur d'authentification
l'authentification elle-mme repose sur des mthodes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
44
Mthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST
LEAP (Lighweight EAP)
Proprit Cisco
Authentification mutuelle du client et du serveur par MS-CHAPv1
Cls dynamiques drives des changes MS-CHAP
Problmes de scurit lis lutilisation de MS-CHAPv1 => obsolte
TLS
RFC 2716
Authentification mutuelle du client et du serveur par certificats X.509
Permet de driver des cls de chiffrement
Mthode dauthentification de facto pour 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
45
EAP)
Avantage / TLS : possibilit de rutiliser les systmes dauthentification
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
46
802.1X : protocoles
Station
Station
Point daccs
Point daccs
Serveur
dauthentification
Serveur
dauthentification
EAP over RADIUS
EAP-TLS, EAP-TTLS...
EAP
RADIUS
802.1X (EAPoL)
UDP / IP
802.11
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
802.3
47
802.1X : EAPoL
dfinit EAPoL : EAP over LAN
4 types de message :
EAP-Start : envoy au PA par la station qui veut dmarrer lauthentification
EAP-Logoff : envoy par la station, le port est remis dans ltat non autoris
par le PA
EAP-Packet : transporte les informations dauthentification
EAP-Key : pour transmettre une cl entre le PA et la station
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
48
RADIUS
Remote Authentication Dial In User Service
originellement (RFC 2138 -> 2865) dfini pour le transport
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
49
RADIUS (suite)
Utilise le port UDP 1812
repose sur un secret partag entre le serveur et le client (ici le point daccs)
Les messages EAP sont encapsuls dans 4 types de trames :
messages point daccs -> serveur : Access Request
messages serveur -> point daccs relays vers la station : Acess Challenge
messages serveur -> point daccs indiquant que lauthentication a russi : Access
Accept
messages serveur -> point daccs indiquant que lauthentication a
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
50
Station
Serveur
dauthentification
Point daccs
EAP Request/Identity
EAP Response/Identity
802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
RADIUS
51
Station
Point daccs
Serveur
dauthentification
EAP Response
Access Request - EAP Response
802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
RADIUS
52
Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
53
WPA et 802.11i
Reposent galement sur lauthentification 802.1X
Deux modes :
personnel pour environnements SOHO
entreprise pour les structures plus importantes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
54
WPA/802.11i : principe
Authentification de la station par le serveur dauthentification avant que
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
55
WPA/802.11i : fonctionnement
Station
Point daccs
Serveur
dauthentification
Phase 2
Phase 3
Phase 4
Authentification 802.1X
Distribution cl (802.1X)
Distribution cl (RADIUS)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
56
WPA/802.11i : phase 1
Mode dauthentification = ouvert
Le point daccs annonce les politiques de scurit supportes dans
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
57
Probe Request
Probe Response
RSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X
Authentification Open System
Authentification Open System (succs)
Association Request
RSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X
Association Response (succs)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
58
WPA/802.11i : phases 2 et 3
Station
Serveur
dauthentification
Point daccs
EAP Request/Identity
EAP Response/Identity
Drivation PMK
Access Accept (+ PMK)
EAP Success
Gnration cls de session
802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
RADIUS
59
WPA/802.11i : phases 2 et 3
Gnration des cls (suite) :
procdure dite 4-way handshake : change de 4 messages EAPoL-Key
nombres alatoires
de chiffer le transport de la cl de groupe
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
60
PMK
mme procdure de 4-way handshake
mmes techniques de chiffrement : TKIP CCMP
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
61
TKIP
Temporal Key Integrity Protocol
Amlioration de WEP
Chiffrement RC4 (pour pouvoir utiliser les mmes puces)
Cl de chiffrement des trames est drive dune cl matresse (<>
source)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
62
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
63
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
64
Avant de commencer
Spcifications du projet : un rseau sans fil
o a ?
dans des zones prcises : bibliothque, caftria
dans lensemble du/des btiments
et aussi dans le parc ?
pour qui ? nombre et type dutilisateurs
personnel permanent
invits (ayant travailler avec le labo)
gens de passage : colloques, formations
pour quoi faire ?
au minimum : offrir un accs internet
un peu plus : accs une imprimante locale
au maximum : accs lensemble des ressources du rseau
En gnral, tout a en mme temps pour diffrentes catgories dutilisateurs
avec quels quipements ?
type de plate-forme : matriel, systme dexploitation
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
65
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
66
Rseau
filaire
Pare-feu
Internet
Dispositif de
contrle daccs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
67
DMZ
DMZ
Rseau
extrieur
Serveurs
C-R
Rseau
extrieur
Clients
DMZ
GB
C-R
Serveurs
Clients
Sans fil
Sans fil
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
68
Internet
Zone(s)
semi-ouverte(s)
69
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
70
Internet
Internet
Concentrateur
VPN
Rseau du
laboratoire
Rseau
Rseau
Sans
Sansfil
fil
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
71
Amliorations possibles :
WEP
rseau ouvert
mais personne ne peut sy connecter par hasard
panneau Accs rserv
OK pour une petite structure (quelques bornes), au-del problme de gestion
des cls
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
72
00904b1d9fd8 Auth-Type:=Local,
User-Password="00904b1d9fd8"
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
73
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
74
M0n0wall (http://m0n0.ch/wall/)
talweg (http://sourcesup.cru.fr/talweg/)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
75
Rseau dont
on veut contrler
laccs
Routeur ou pont
@ IP (DHCP)
HTTP
Login ?
Passwd ?
Authentification ?
Nom dutilisateur et mot de passe
Serveur
dauthentification
Succs de lauthentification
Autorisation
daccs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
76
filtrage
Fin dautorisation daccs ?
bouton dconnexion : pas forcment utilis
par requtes ARP ou ICMP priodiques
Solution satisfaisante
pour laccueil des visiteurs
parce quelle fonctionne avec tous les clients
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
77
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
78
diffrents
avec les limites du VLAN par port (VLAN visiteur ?)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
79
Utilisateur 1
VLAN 1
VLAN 1
Ex : visiteurs
Point daccs
sans fil
VLAN 1
Commutateur
Ethernet
VLAN 2
Utilisateur 2
VLAN 2
Tag 802.1Q
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
VLAN 2
Ex : permanents
80
correspondant lutilisateur
Suppose de propager tous les VLAN ncessaires jusquaux points
81
Portail daccs
web
Pas dauthentification
802.1X
PA
Authentification
802.1X
Rseau
du labo
Serveur
dauthentification
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
82
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
83
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
84
mme infrastructure
Permet davoir un BSSID par VLAN
Possibilit daffecter ensuite dynamiquement le VLAN en 802.1X ?
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
85
SSID 1
VLAN 1
Auth : portail
daccs web
Point daccs
sans fil
VLAN 1
SSID 2
Commutateur
Ethernet
VLAN 2
Tag 802.1Q
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
VLAN 2
Auth : MAC adresse
86
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
87
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
88
Solutions propritaires :
fonctionnent avec les points daccs fournis par le constructeur
mme si acceptent gnralement les PA dautres constructeurs
perte de la plupart des fonctionnalits intressantes
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
89
Tunnels
Points daccs
Commutateurs
Ethernet
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Commutateur
sans fil
90
SSID 1
Rseau
filaire
Commutateur
sans fil
SSID 2
Points daccs
VLAN 1
SSID 1
VLAN 2
Tunnels
SSID 2
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Tag 802.1Q
91
daccs
autocalibration du rseau radio ?
sonde
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
92
VLAN
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
93
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
94
Administration et supervision
Gestion centralise des points daccs
configurations
mises jour logicielles
Dtection et configuration automatique des points daccs
Tableau de bord, statistiques (par station, par point daccs,
globales)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
95
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
96
Passerelle de scurit
Constructeur : exemple Ucopia
Botier spcialis plac en coupure (logique) entre le rseau filaire et le
visiteurs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
97
passerelle
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
98
Rseau
filaire
Rseau
sans fil
SSID 1
VLAN 1
VLAN 3
SSID 2
Points daccs
VLAN 4
SSID 1
Passerelle
VLAN 2
SSID 2
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
99
serveur RADIUS)
Contrle daccs
fonction du profil de lutilisateur
par mise en place de filtres correspondant au profil de lutilisateur sur le
du contrleur
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
100
Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN)
Zro configuration : reconnaissance et redirection de certains flux
SMTP -> serveur de messagerie local
HTTP
impression : par lintermdiaire du serveur dimpression embarqu
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
101
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
102
contre :
il faut distribuer des certificats tous les utilisateurs
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
103
contre :
ncessite un client spcifique pour Windows
SecureW2 (http://www.securew2.com/)
PEAP
envisager dans un environnement tout Windows
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
104
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
105
Serveur dauthentification
Serveur RADIUS
de multiples implmentations commerciales
open source : FreeRadius
Microsoft IAS (Internet Authentication Server)
FreeRadius
http://www.freeradius.org/
liste de diffusion : freeradius-users@lists.freeradius.org (verbosit ++)
Linux, FreeBSD, NetBSD, Solaris
authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et dautres
autorisation : fichier local, LDAP (OpenLDAP), base SQL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
106
FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb
radiusd.conf, eap.conf, clients.conf et users
radiusd.conf : gnralits
adresse, port
logs
clients.conf :
client 194.57.138.2 {
secret = monalisa
shortname = bsf2
nastype = other
}
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
107
FreeRadius : configuration
eap.conf :
tls {
# private_key_password = whatever
private_key_file =
${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
certificate_file =
${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
CA_file = ${raddbdir}/certs/LOCAL/CA.pem
dh_file = ${raddbdir}/certs/LOCAL/dh
random_file = /dev/urandom
# fragment_size = 1024
# include_length = yes
# check_crl = yes
check_cert_cn = %{User-Name}
}
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
108
FreeRadius : configuration
users :
#
test : radiusd X
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
109
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
110
Propagation
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
111
Transparence
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
112
Interfrences
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
113
Interfrences
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
114
Couverture
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
115
Construction du rseau
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
116
Classes dusage
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
117
Classes dusage
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
118
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
119
Rglage des PA
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
120
802.3af
Power Over Ethernet (PoE)
permet de fournir une puissance infrieure 15 W sous 48 V en
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
121
802.3af
Cbles RJ-45
Point daccs
Commutateur
Commutateur
Injecteur
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
122
Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
123
Outils
Analyseur de spectre
Scanner actif
Netstumbler (Windows) : http://www.netstumbler.com/
iStumbler (Mac OS X) : http://istumbler.net/
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
124
Kismet : http://www.kismetwireless.net/
Linux
dtection des points daccs
capture du trafic
WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/
Ethereal sous Linux (pas de mode RFMON sous Windows)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
125
Bibliographie succinte
Daniel Azuelos, Architecture des rseaux sans fil, 2005,
http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Matthew Gast, 802.11 Rseaux sans fil, 2e dition, OReilly, 2005
Luc Saccavini, Le protocole IEEE 802.1X, 2003,
http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf
Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
126