Upload
nguyenhuong
View
215
Download
0
Embed Size (px)
Citation preview
Réseaux locaux sans fil « WiFi »
Catherine Grenet et Marie-Claude Quidoz
Meudon, 11 et 12 mai 2006
2Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Remerciements
Ces transparents sont extraits du tutoriel« Architecture des réseaux sans fil » donné par Daniel Azuelos aux JRES 2005http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
3Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
4Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• Réseau sans fil isolé du réseau filaire
• Portail web d’accès
• Affectation dynamique de VLAN
• Points d’accès virtuels
• Commutateur sans fil
• Passerelle de sécurité
• Choix de mise en œuvre
Déploiement du réseau radio
Outils
5Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Pourquoi déployer un réseau sans fil aujourd'hui ?
Pour faciliter la connexion des utilisateurs itinérants, en particulier dans les espaces collectifs
Pour connecter des locaux impossibles ou trop coûteux à câbler (amiante, monument historique)
Pour mettre en place une connexion provisoire (travaux)
Pour occuper l'espace : offrir le service pour éviter les installations pirates
Le sans fil n'est pas destiné à remplacer intégralement le câblage filaire (fiabilité, débit)Il n’est pas fait pour connecter des serveurs !
6Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Les différents types de réseau sans fil
900 / 1800 MHz1900 / 2200 MHz
2 – 11 GHz2,4 / 5 GHz2,4 GHzBande defréquence
ITUIEEE 802.16
IEEE 802.11
IEEE 802.15Norme
Téléphonieet données
AccèsRéseau local
Connexionpériphériques
Applications
9600 Kb/s-> 2 Mb/s
70 Mb/s54 Mb/s3 Mb/sDébit théorique
35 km50 km100 mqq mPortée
GSM, GPRS, UMTS
WiMaxWiFiBluetoothet autres
Nom commun
WWANWMANWLANWPAN
7Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriquesNormalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
8Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Normalisation 802.11
« Wi-Fi » est un label d'interopérabilité délivré par la Wi-Fi alliance :groupement de constructeurs qui publie des listes de produits certifiés (http://www.wi-fi.org/)
802.11 (1997) : jusqu’à 2 Mb/s
802.11 (1999) : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications
802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplément à802.11)
802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplément à802.11)
802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement à802.11)
• compatible avec 802.11b
9Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP)gestion de la mobilité
802.11h (2003) : pour l'utilisation de 802.11a en Europesélection dynamique de canal et gestion de la puissance d'émission
802.11i (2004) : sécurité
802.11e (2005) : qualité de service
Travaux en cours :• 802.11k : mesure de la qualité de la liaison radio
• 802.11n : débit > 100 Mb/s
• 802.11r : transfert rapide de connexion entre bornes
• 802.11s : réseaux maillés
10Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
11Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Onde électromagnétique
12Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Spectre électromagnétique
13Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Emission / réception radio
F (Hz)
P (W)
Fporteuse
Principe : transmission de l'information par modulation d'une porteuse
Le signal transmis est caractérisé par son spectre
En radio, la puissance est souvent exprimée en dBm (décibels « milliwatt »)
dBm = 10*log10(P/ 0.001)
0 dBm 1 mW
14Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11b : modulation
DSSS : Direct Sequence Spread Spectrumétalement de spectre, séquence directe
Selon la vitesse de transmission
• codage de 1, 4 ou 8 bits simultanément
• puis modulation de phase à 2 ou 4 états
Données à transmettre
Séquence d’étalement(signal pseudo-aléatoire connu de tous)
+
Signal à transmettre
15Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11 b : canaux
• Bande 2,4 GHz • 14 canaux de 22 MHz• seulement trois canaux
disjoints
16Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11a
GHz5,155,825
20 MHz
12 canaux disjointsdivisés en 52 sous-porteuses
48 sous-canaux de données4 sous-canauxpour correctiond’erreur
OFDM : Orthogonal Frequency Division Multiplexing
17Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11g
Bande 2,4 GHz
Transmission DSSS pour les débits ≤ 11 M/s (1, 2, 5.5, 11)=> compatible avec 802.11b
Transmission OFDM pour les débits supérieurs
La compatibilité 802.11b ne ralentit pas le débit des trames de données des stations 802.11g, mais certaines trames de gestion (balise) et de contrôle (trames de protection) doivent être émises à des débits compatibles avec le 802.11b
18Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11n
Groupe d’étude n du 802.11 (TGn)
draft 1.0 approuvé en mars 2006• n’a pas passé l’étape suivante => draft 2.0 (au moins !)
normalisation en 2007 ?
Débits annoncés jusqu’à 600 Mb/s
MIMO : Multiple Input Multiple Output• plusieurs antennes / émetteurs / récepteurs radios
• transmission des données en parallèle sur le même canal en utilisant les trajets multiples
19Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Puissances autorisées depuis juillet 2003 (exprimées en PIRE : Puissance Isotrope Rayonnée Equivalente)
Les usages privés (réseaux indépendants, usages particuliers) ne nécessitent pas de démarche auprès de l’ART.
Réglementation (ARCEP ex-ART)
10 mW100 mW9-132454 -2483,5
100 mW100 mW1-82400 - 2454
ExtérieurIntérieurCanauxFréquences (MHz)
20Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
21Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Caractérisques induites par le support
Support partagé par tous
Pas de limite franche ni visible au delà de laquelle la réception est impossible
Le signal peut être brouillé par une source extérieure
Le support de transmission est beaucoup moins fiable qu'en réseau filaire, et non maîtrisé
Les stations ne sont pas fixes, mais portables, voire mobiles
Certaines stations peuvent être cachées les unes aux autres
Les vitesses de propagation peuvent varier dans le temps et être asymétriques
22Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Architecture 802.11
Station : toute machine équipée d’une interface 802.11
BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent en communication
BSS indépendants = réseaux « ad hoc »
STA 1
STA 2
BSS 1
STA 3
STA 4
BSS 2
23Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Architecture 802.11 (suite)
Les BSS peuvent être interconnectés par un « système de distribution »(DS, Distribution System) : le plus souvent un réseau Ethernet
Un point d'accès est une station qui fournit l'accès au DS
Réseaud'infrastructure
STA 1
STA 2
BSS 1
STA 3
STA 4
BSS 2PA
PASystème dedistribution (DS)
24Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Architecture 802.11 (suite)
ESS (Extended Service Set) : ensemble de BSS interconnectés par un système de distribution
Les stations peuvent communiquer entre elles et passer d'un BSS àl'autre à l'intérieur d'un même ESS
ESSSTA 1
STA 2
BSS 1
STA 3
STA 4
BSS 2PA
PASystème dedistribution (DS)
25Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : accès au média
Média partagé => 802.11 définit deux méthodes d'accèsDCF (Distributed Coordination Function)
• Dans toutes les stations, sur réseau ad hoc et d'infrastructure• CSMA/CA Carrier Sense Multiple Access Collision Avoidance• Principe : la station écoute le média pour vérifier qu'il est libre avant d'émettre
(idem CSMA/CD)
• Mais elle ne peut pas détecter les collisions• parce qu'elle n'entend pas nécessairement toutes les stations• parce que la liaison radio est half duplex
• Avoidance => la station réceptrice émet un ACK qui indique que la trame a été correctement reçue et qu'il n'y a pas eu de collision
• Mécanisme supplémentaire : émetteur et récepteur échangent un RTS/CTS avant d'émettre les donnéescontrôlé par le paramètre dot11RTSThreshold
PCF (Point Coordination Function)• Uniquement dans les points d’accès, peu implémentée• Le PA contrôle l’accès au média (par interrogation des stations)
26Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : types de trames
Trames de gestion• balise (beacon)
• Probe Request / Response
• authentification
• association
Trames de contrôle• contribuent au bon acheminement des trames de données
• exemple : ACK, RTS/CTS
Trames de données
27Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : découverte des réseaux
Le point d'accès émet à intervalles réguliers (~ 100 ms) des trames balise (beacon) qui contiennent :
• SSID Service Set Identifier : chaîne de caractères identifiant le réseau sans filLes points d’accès d’un même ESS émettent le même SSID
• Débits supportés
La station peut émettre des trames Probe Request pour identifier les réseaux sans fil disponibles sur différents canaux
Le point d'accès lui renvoie une trame Probe Response (mêmes infos que dans la balise)
Pour utiliser le réseau sans fil, la station doit s'authentifier et s'associer
28Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Authentification et association
non authentifié,non associé
authentifié,non associé
authentifié,associé
Authentificationréussie
Association ouréassociationréussie
Désassociation
Dé-authentification
Dé-authentification
29Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Authentification
Deux modes d'authentification :• ouvert (open system)• partagé (shared key)
STA PADemanded'authentification
Succès
STA PADemanded'authentification
Challenge
Challenge chiffré
Succès
Mode d’authentification
Open System Shared key
30Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Association – réassociation
La station envoie au PA une demande d'association
Si la station est déjà authentifiée le PA accepte la demande et retourne un identificateur d'association (Association ID)
La station peut alors échanger des trames de données avec les autres stations de l'ESS
Réassociation : lorsqu'une station se déplace d'un BSS à l'autre
31Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : adressage
Adresses sur 48 bits, même format qu'une adresse Ethernet
Une trame 802.11 contient 4 champs adresse, dont la signification varie en fonction du type de trame
type de trame
• gestion
• contrôle
• données
Contrôle Durée/ID Adr 1 Adr 2 Adr 3 Contrôlede séq. Adr 4 Données CRC
32Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : adressage
Les 4 champs adresse indiquent :
Le BSSID : il identifie de manière unique un BSS• mode infrastructure : adresse MAC du point d'accès
• mode ad hoc : choisie de manière à être unique
• à ne pas confondre avec le SSID (aussi appelé ESSID)
L’adresse de destination : adresse du destinataire final
L’adresse source : adresse de la station qui a initialement émis la trame
L’adresse du récepteur : adresse du destinataire immédiat
L’adresse de l’émetteur : adresse de la station qui émet la trame
33Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : adressage
Réseaufilaire
STA1 PA1 PA2 STA2
PA1 STA1 STA2 _ STA2 PA2 STA1 _
Exemple : station 1 émettant une trame de données vers station 2
La station lit le champ Adr 1 pour savoir si une trame lui est ou non adressée
Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vérifie de plus que le BSSID est celui du PA auquel elle est associée
34Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Mobilité
Authentification
Demande de réassociation
BSSID ancien PA STA était associée ?
Oui
Réassociation réussieTrames en tampondestinées à STA
Fin association avec STA
STA Nouveau PA PA courant
35Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
36Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Risques liés aux réseaux sans fil
Média partagé => les écoutes sont possibles
Pas de limite franche ni visible au delà de laquelle la réception est impossible, donc en l'absence de mécanismes appropriés n'importe qui peut :
• écouter le réseau • se connecter au réseau (et utiliser l'accès Renater de l'unité par exemple)
Le signal peut être brouillé par une source extérieure
Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)
37Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Historique et terminologie
1999 : WEP (802.11)
2001 : 802.1X=> authentification 802.1X + chiffrement WEP dynamique
2003 : WPA (Wi-Fi Protected Access) :
• spécification publiée par la Wi-Fi Alliance, et reprenant une bonne partie du draft 3.0 de 802.11i en attendant la ratification de la norme
2004 : 802.11i MAC Security Enhancements
WPA2 : label de la Wi-Fi Alliance pour 802.11i
38Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WEP
Wireless Equivalent PrivacyIntégré à la norme 802.11 de 1999Principes :
• clé secrète (40 ou 104 bits) partagée par toutes les stations• authentification par défi / réponse• confidentialité par chiffrement symétrique
Problèmes et limitations• la clé peut être découverte par simple écoute du réseau avec des logiciels du
domaine public (AirSnort, Aircrack…)
• pas de mécanisme de distribution des clés
39Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP
802.1X et WEP dynamique• WPA et 802.11i
40Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X + WEP dynamique
802.1X permet une authentification « sérieuse » des utilisateurs avant connexion au réseau
Les clés sont générées à l’aide de protocoles de chiffrement et distribuées sous forme chiffrée sur le réseau sans fil
Une clé WEP par utilisateur et par session
Clé commune pour les trames multicast
Renouvelée suffisamment souvent dans le courant de la session pour qu’elle ne puisse pas être découverte (~ quelques minutes)
Avantages :
• empêche la découverte des clés
• distribution automatique des clés
41Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1 X
Port-Based Network Access Control (2001, révision 2004)
Protocole permettant de n'autoriser l'accès à un port réseau qu'après authentification
Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802
port réseau = port de commutateur (802.3)association (802.11)
Composants :• système à authentifier (supplicant ) : qui demande l'accès au réseau
• système authentifiant ou relais d’authentification (authenticator ) :• contrôle l’accès au réseau• ne fait que relayer les échanges d’authentification avec le serveur
• serveur d'authentification : détermine si le système à authentifier est autoriséà accéder au(x) service(s) dont l'accès est contrôlé par le relais
42Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : port contrôlé et port non contrôlé
Réseau local
Portcontrôlé
Port noncontrôlé
Pointd’attachement
Port nonautorisé
Réseau local
Portcontrôlé
Port noncontrôlé
Pointd’attachement
Port autorisé
43Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : authentification
Portcontrôlé
Port noncontrôlé
Pointd’attachement
Autorisation
Systèmeà
authentifier
Serveurd’authentification
Pointd’attachement
Réseau local
EAP
44Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
• développé à l'origine pour l’authentification des utilisateurs se connectant en PPP sur des serveurs d’accès distants
• permet d'encapsuler différents protocoles d'authentification et donc de ne pas les implémenter dans le serveur RAS, qui les relaie vers un serveur d'authentification
• l'authentification elle-même repose sur des « méthodes »(protocoles) définies par ailleurs et encapsulées dans EAP
45Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Méthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST
LEAP (Lighweight EAP)• Propriété Cisco
• Authentification mutuelle du client et du serveur par MS-CHAPv1
• Clés dynamiques dérivées des échanges MS-CHAP
• Problèmes de sécurité liés à l’utilisation de MS-CHAPv1 => obsolète
TLS• RFC 2716
• Authentification mutuelle du client et du serveur par certificats X.509
• Permet de dériver des clés de chiffrement
• Méthode d’authentification de facto pour 802.11i
46Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Méthodes EAP (suite)
TTLS• draft-ietf-pppext-eap-ttls-05
• Authentification du serveur par certificat X.509
• Utilisation du tunnel chiffré TLS pour faire passer un autre protocole d’authentification : PAP, CHAP, MD5, MS-CHAP…
• authentification interne par AVP (paires attribut-valeur)
PEAP (Protected EAP)• ≈ TTLS
• Utilisation du tunnel chiffré TLS pour faire passer un autre échange EAP (EAP over EAP)
Avantage / TLS : possibilité de réutiliser les systèmes d’authentification existants (annuaire LDAP par exemple)
EAP-FAST (Cisco) : fait pour accélérer la réauthentification lors d’un handover
47Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : protocoles
Station Point d’accèsServeur
d’authentification
EAP-TLS, EAP-TTLS...
EAP
802.1X (EAPoL)RADIUS
802.11
UDP / IP
802.3
Station Point d’accèsServeurd’authentificationEAP over LAN EAP over RADIUS
48Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : EAPoL
définit EAPoL : EAP over LANencapsulation des paquets EAP sur les réseaux 802
• champ Type Ethernet = 0x888E
4 types de message :
• EAP-Start : envoyé au PA par la station qui veut démarrer l’authentification
• EAP-Logoff : envoyé par la station, le port est remis dans l’état non autorisépar le PA
• EAP-Packet : transporte les informations d’authentification
• EAP-Key : pour transmettre une clé entre le PA et la station
49Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
RADIUS
Remote Authentication Dial In User Service
originellement (RFC 2138 -> 2865) défini pour le transport d’informations d’authentification et de configuration entre un serveur d’accès distant et un serveur d’authentification
50Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
RADIUS (suite)
Utilise le port UDP 1812
repose sur un secret partagé entre le serveur et le client (ici le point d’accès)
Les messages EAP sont encapsulés dans 4 types de trames :• messages point d’accès -> serveur : Access Request
• messages serveur -> point d’accès relayés vers la station : Acess Challenge
• messages serveur -> point d’accès indiquant que l’authentication a réussi : Access Accept
• messages serveur -> point d’accès indiquant que l’authentication aéchoué : Access Reject
RADIUS -> DIAMETER (RFC 3588 9/2003)• site officiel : http://www.diameter.org/
• logiciel open source : http://www.opendiameter.org/
51Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : dialogue EAP
Station Point d’accès Serveurd’authentification
EAP Request/Identity
Access Accept
Access Request - EAP Response/Identity
Authentification (dialogue EAP)
EAP Response/Identity
EAP Success
802.1X / EAPoL RADIUS
EAPoL-Key
52Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Station Point d’accès Serveurd’authentification
802.1X / EAPoL RADIUS
802.1X : dialogue EAP- authentification
4 types de paquets EAP :Request, Response, Success, Failure
Access Request - EAP Response/Identity
Access Challenge - EAP RequestEAP Request
EAP ResponseAccess Request - EAP Response
53Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique
WPA et 802.11i
54Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA et 802.11i
Reposent également sur l’authentification 802.1X
Deux modes :• « personnel » pour environnements SOHO
• « entreprise » pour les structures plus importantes
Gestion et distribution des clés
Deux nouveaux mécanismes de chiffrement :• TKIP (WPA)
• CCMP (802.11i)
55Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : principe
Authentification de la station par le serveur d’authentification avant que le point d’accès ne lui accorde l’accès au réseau
=> dérivation d’une clé maîtresse connue du serveur et du client (et d’euxseuls)
clé maîtresse => dérivation d’une clé maîtresse « pair à pair » (PMK)• par la station• fournie par le serveur au point d’accès
PMK => dérivation des clés de session (unicast, multicast)
Authentification du serveur par la station• important dans l’environnement sans fil (points d’accès sauvages)
56Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : fonctionnement
Station Point d’accès Serveurd’authentification
Découverte de la politique de sécurité
Authentification 802.1X
Distribution clé (RADIUS)Distribution clé (802.1X)
Liaison chiffrée établie
Phase 1
Phase 2
Phase 3
Phase 4
57Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phase 1
Mode d’authentification = ouvert
Le point d’accès annonce les politiques de sécurité supportées dans les trames Beacon et Probe Response
RSNA : Robust Security Network Association
Ajout d’un champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response
Le champ RSN IE décrit :• le type de chiffrement du trafic unicast et multicast :
• WEP-40, WEP-104, TKIP, CCMP (défaut)
• la méthode d’authentification et de gestion des clés :• 802.1X (défaut), clé pré-partagée
58Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phase 1 (suite)
Probe Request
Probe ResponseRSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X
Authentification Open System
Authentification Open System (succès)
Association RequestRSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X
Association Response (succès)
59Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phases 2 et 3
Station Point d’accès Serveurd’authentification
EAP Request/Identity
Access Accept (+ PMK)
Access Request - EAP Response/Identity
Authentification (dialogue EAP)Dérivation de la clé maîtresse
Dérivation PMK Dérivation PMK
EAP Response/Identity
EAP Success
802.1X / EAPoL RADIUS
Génération clés de session
60Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phases 2 et 3
Génération des clés (suite) :
procédure dite 4-way handshake : échange de 4 messages EAPoL-Key qui permettent de:
• s’assurer que le client détient bien la PMK
• de dériver un ensemble de clés de chiffrement et d’intégrité• à partir de la PMK, des adresses MAC du client et du point d’accès de deux
nombres aléatoires
• de chiffer le transport de la clé de groupe
61Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : mode « personnel »
destiné aux réseaux adhoc et réseaux personnels (à domicile)
même mécanisme de découverte de la politique de sécurité
pas d’authentification 802.1X
clé pré-partagée est dérivée d’un mot de passe et sert directement de PMK
même procédure de 4-way handshake
mêmes techniques de chiffrement : TKIP CCMP
62Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
TKIP
Temporal Key Integrity Protocol
Amélioration de WEP
Chiffrement RC4 (pour pouvoir utiliser les mêmes puces)
Clé de chiffrement des trames est dérivée d’une clé maîtresse (<> WEP où la clé maîtresse chiffre directement les trames)
Une clé différente pour chaque trame
Ajout d’un numéro de séquence pour contrer les attaques par rejeu
Ajout d’une séquence de contrôle d’intégrité (y compris sur adresse source)
63Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11i : nouveautés par rapport à WPA
Chiffrement CCMP• Counter Mode with CBC-MAC Protocol
• Sans souci de compatibilité avec WEP => nouvelles puces
• Chiffrement AES
Pré-authentification (pour le handover)
64Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
65Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Avant de commencer
Spécifications du projet : un réseau sans fil…
où ça ?• dans des zones précises : bibliothèque, cafétéria…• dans l’ensemble du/des bâtiments• et aussi dans le parc ?
pour qui ? nombre et type d’utilisateurs• personnel permanent• invités (ayant à travailler avec le labo)• gens de passage : colloques, formations…
pour quoi faire ?• au minimum : offrir un accès internet• un peu plus : accès à une imprimante locale• au maximum : accès à l’ensemble des ressources du réseauEn général, tout ça en même temps pour différentes catégories d’utilisateurs
avec quels équipements ?• type de plate-forme : matériel, système d’exploitation
66Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseauréseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
67Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
Réseaufilaire
Réseausans fil
Pare-feu Internet
Dispositif decontrôle d’accès
Tous les PA dans le même VLAN
68Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
C-R
DMZ
Serveurs
Clients
Réseauextérieur
Sans fil
C-R
DMZ
Serveurs
Clients
Réseauextérieur
GB
DMZ
Sans fil
69Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
Zone(s)semi-ouverte(s)
Réseau interne
Réseau sans fil
Internet
Accès client vers InternetAccès services externes : publics (DNS, HTTP…)
sur authentification (HTTPS, IMAPS, SMTPS…)
Réseau local
70Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
accès aux équipements actifs :• autorisé depuis le réseau filaire
• interdit depuis le réseau sans fil
accès autorisés du réseau sans fil vers le réseau filaire :• au serveur DHCP
• aux serveurs DNS
• aux services publics (web etc.)
• aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS, SSH… (pour les utilisateurs internes)
accès du sans fil vers le reste de l’internet • peut être limité à certains ports (sans être trop restrictif)
• empêcher les connexions entrantes
71Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
Accès supplémentaires possibles pour les utilisateurs identifiés via VPN
RéseauSans fil
RéseauSans fil
InternetInternet
Réseau dulaboratoire
ConcentrateurVPN
72Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire + VPN
Solution (presque) idéale pour les petites structures
Inconvénient (de taille) : absence de contrôle d’accès au réseau sans fil• risque dépendant de l’environnement• possibilité d’utilisation illicite des réseaux de la recherche• responsabilité vis-à-vis de Renater et d’Internet en général
Améliorations possibles :• WEP
• ≈ réseau ouvert• mais personne ne peut s’y connecter par hasard• panneau « Accès réservé »
• OK pour une petite structure (quelques bornes), au-delà problème de gestion des clés
73Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire + VPN
Améliorations possibles (suite):• contrôle d’accès par adresse MAC
• peut être local à la borne• ou centralisé sur un serveur RADIUS
Mise en œuvre avec un serveur RADIUS :• Le PA envoie une requête Access-Request avec :
User-Name et User-Password : adresse MAC de la station
• Fichier users :00904b1d9fd8 Auth-Type:=Local,
User-Password="00904b1d9fd8"
Avantage de ces solutions : fonctionnent avec tous les clients
74Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
75Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Portail web d’accès
« portail captif »
Logiciels libres :• NoCat (http://nocat.net/)
• NoCatAuth : version originale en Perl• NoCatSplash : portage en C
• M0n0wall (http://m0n0.ch/wall/)
• talweg (http://sourcesup.cru.fr/talweg/)
76Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Portail web d’accès : fonctionnementRéseau public Réseau dont
on veut contrôlerl’accès
@ IP (DHCP)
HTTP
Login ?Passwd ?
Authentification ?
Nom d’utilisateur et mot de passe
Serveurd’authentification
Succès de l’authentification
Autorisationd’accès
Routeur ou pont
77Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Portail web d’accès : fonctionnement
L’autorisation d’accès au réseau se fait par modification des règles de filtrage
Fin d’autorisation d’accès ?
• bouton « déconnexion » : pas forcément utilisé
• par requêtes ARP ou ICMP périodiques
Protection des échanges
• les données d’authentification doivent être échangées en HTTPS
• le reste du trafic n’est pas protégé => recommandations aux utilisateurs
Solution satisfaisante
• pour l’accueil des visiteurs
• parce qu’elle fonctionne avec tous les clients
78Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
79Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
La séparation réseau sans fil / réseau filaire• a été imposée par des contraintes de sécurité
• compte tenu des fonctionnalités des premiers matériels
Aujourd’hui les réseaux filaires sont segmentés en VLAN• permet d’attribuer des droits différents à des groupes d’utilisateurs
différents
• avec les limites du VLAN par port (VLAN visiteur ?)
Affectation dynamique de VLAN• prolonger la structure du réseau filaire sur le réseau sans fil
• avec des mécanismes adaptés aux réseaux sans fil
80Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
VLAN 1Ex : visiteurs
VLAN 2Ex : permanentsTag 802.1Q
VLAN 1
VLAN 2
Point d’accèssans fil
CommutateurEthernet
Serveurd’authentification
Utilisateur 1VLAN 1
Utilisateur 2VLAN 2
81Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
Repose sur l’authentification 802.1X
le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le message Access-Accept
Tunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=<numéro de VLAN>
Fonctionne sur le filaire comme sur le sans fil :
• un commutateur Ethernet affecte le port auquel est connecté le client dans le VLAN retourné par le serveur RADIUS
• un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN correspondant à l’utilisateur
Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès (nomadisme sur un campus)
82Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
Réseaudu labo
VLAN par défaut
PA
Serveurd’authentification
Authentification802.1X
Pare-feu
Portail d’accèsweb
Pas d’authentification802.1X
83Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
On peut avoir des fonctionnalités ~ équivalentes à celles des VLAN filaires sur le sans fil à deux conditions :
• un BSSID par VLAN : une station ne traite les trames adressées à des adresses de groupe que si le BSSID est celui du PA auquel elle est associée
• clés de groupe différentes pour chaque groupe d’utilisateurs : pour que les trames ne puissent pas être déchiffrées par toutes les stations
84Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
85Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Points d’accès virtuels
Chaque PA peut émettre plusieurs SSID
A chacun de ces SSID est associé :• un VLAN sur le réseau filaire
• une méthode et un serveur d’authentification
Permet de gérer plusieurs réseaux administrativement distincts sur la même infrastructure
Permet d’avoir un BSSID par VLAN
Possibilité d’affecter ensuite dynamiquement le VLAN en 802.1X ?
86Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Points d’accès virtuels
SSID 1
SSID 2
Point d’accèssans fil
VLAN 1Auth : portaild’accès web
VLAN 2Auth : MAC adresseTag 802.1Q
VLAN 1
VLAN 2
CommutateurEthernet
87Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
88Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil
Aussi appelé « contrôleur »
Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace (racheté par Cisco)
Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil
Un certain nombre de fonctions habituellement gérées dans les points d’accès sont déportées sur le commutateur
• authentification
• association
• chiffrement
• interconnexion avec le réseau filaire
=> notion de point d’accès « léger »
89Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil
Fonctionnement : établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur
La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser à l’IETF
• LWAPP (Airespace/Cisco)
• CAPWAP
• SLAPP (Trapeze, Aruba)
Solutions propriétaires :• fonctionnent avec les points d’accès fournis par le constructeur
• même si acceptent généralement les PA d’autres constructeurs• perte de la plupart des fonctionnalités intéressantes
90Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : niveau physique
Points d’accès CommutateursEthernet Commutateur
sans fil
Tunnels
91Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : niveau logique
Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux points d’accès
Points d’accès
SSID 1
SSID 2
SSID 1
SSID 2
VLAN 1
VLAN 2
Commutateursans fil
Tag 802.1Q
Réseaufilaire
Tunnels
Réseausans fil
92Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : gestion de la radio
Ajustement dynamique de la puissance et du canal de chaque pointd’accès
autocalibration du réseau radio ?
Les points d’accès peuvent ou non fonctionner simultanément en mode sonde
• Détection des interférences
• Détection / neutralisation des points d’accès sauvages
Détection des réseaux ad hoc
• Détection d’attaques 802.11 classiques
• Localisation géographique des points d’accès et des clients
93Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : gestion de la radio
Gestion de la bande passante par utilisateur(s), par application, par VLAN
Possibilité d’interdire les communications directes entre clients
• Equilibrage de charge entre points d’accès adjacents
Possibilité d’affecter des priorités aux différents flux
Gestion de la mobilité
94Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Authentification et contrôle d’accès
Portail
802.1X, EAP, TLS, TTLS…
VPN IPsec et SSL
Base interne / externe (LDAP, AD…)
Fonctions de contrôle d’accès + ou - sophistiquées :• filtrage IP• pare-feu stateful• par utilisateur, groupe d’utilisateurs, VLAN
Système de détection d’intrusion embarqué
95Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Administration et supervision
Gestion centralisée des points d’accès• configurations• mises à jour logicielles
Détection et configuration automatique des points d’accès
Tableau de bord, statistiques (par station, par point d’accès, globales…)
Plan de site avec localisation des points d’accès
96Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
97Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle de sécurité
Constructeur : exemple Ucopia
Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil
solution non spécifique aux réseaux sans fil
• fonctionne avec tous les PA
• Commutateur sans fil traite les trames 802.11 émises par les stations
• Passerelle traite les trames 802.3 émises par les points d’accès
agrégat de fonctions permettant de gérer les utilisateurs mobiles, visiteurs…
98Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle : exemple Ucopia
logiciel sur PC/Linux équipé de 2 interfaces réseau, intégrant un certain nombre de briques de logiciels libres
se place en coupure de réseau • physique ou logique
possibilité d’avoir plusieurs SSID par bornes (si elles le supportent)• et d’y associer des méthodes d’authentification différentes
• chaque SSID est associé à un VLAN en sortie de la borne
• VLAN peut être redéfini en fonction du profil de l’utilisateur en sortie de la passerelle
99Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle : exemple Ucopia
Points d’accès
SSID 1
SSID 2
SSID 1
SSID 2
VLAN 1
VLAN 2
Réseaufilaire
Réseausans fil
Passerelle
VLAN 3
VLAN 4
100Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle Ucopia : authentification et contrôle d’accès
Authentification• par nom d’utilisateur et mot de passe en HTTPS
• 802.1X / EAP-TLS, TTLS, PEAP
• par carte à puce (EAP-SHA1, développement propre)
• serveur RADIUS embarqué (peut être configuré en proxy vers un autre serveur RADIUS)
Contrôle d’accès• fonction du profil de l’utilisateur
• par mise en place de filtres correspondant au profil de l’utilisateur sur le contrôleur pour la durée de la connexion (iptables)
• possibilité d’affecter un VLAN en fonction du profil de l’utilisateur en sortie du contrôleur
101Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN)
« Zéro configuration » : reconnaissance et redirection de certains flux• SMTP -> serveur de messagerie local• HTTP • impression : par l’intermédiaire du serveur d’impression embarqué
Gestion des points d’accès : par SNMP• configuration• stockage et traitement des logs
102Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
choix de mise en œuvre
Déploiement du réseau radio
Outils
103Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Choix de la méthode EAP
méthode EAP fondée sur TLS pour :• authentification du serveur par le client
• protection des informations d’identité de l’utilisateur
• la génération de clés de session robustes
=> EAP-TLS, EAP-TTLS, PEAP
EAP-TLS• pour :
• le plus largement supporté• client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3• le CNRS dispose d’une IGC
• contre :• il faut distribuer des certificats à tous les utilisateurs
104Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Choix de la méthode EAP
EAP-TTLS• pour :
• permet de réutiliser les bases d’authentification existantes (LDAP, AD…)
• contre :• nécessite un client spécifique pour Windows
• SecureW2 (http://www.securew2.com/)
PEAP• à envisager dans un environnement « tout Windows »
105Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Choix de la méthode de chiffrement
Ne pas être maximaliste
WEP dynamique : raisonnable
TKIP : si on peut le faire, tant mieux
CCMP : prématuré
106Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Serveur d’authentification
Serveur RADIUS • de multiples implémentations commerciales
• open source : FreeRadius
• Microsoft IAS (Internet Authentication Server)
FreeRadius• http://www.freeradius.org/
• liste de diffusion : [email protected] (verbosité ++)
• Linux, FreeBSD, NetBSD, Solaris
• authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et d’autres
• autorisation : fichier local, LDAP (OpenLDAP), base SQL
107Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb
radiusd.conf, eap.conf, clients.conf et users
radiusd.conf : généralités• adresse, port
• logs
clients.conf :client 194.57.138.2 {
secret = monalisashortname = bsf2nastype = other
}
108Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
FreeRadius : configuration
eap.conf :tls {# private_key_password = whatever
private_key_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
certificate_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
CA_file = ${raddbdir}/certs/LOCAL/CA.pemdh_file = ${raddbdir}/certs/LOCAL/dhrandom_file = /dev/urandom
# fragment_size = 1024# include_length = yes# check_crl = yes
check_cert_cn = %{User-Name}}
109Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
FreeRadius : configuration
users :• ## CN des utilisateurs autorises a se connecter avec certificat#'Catherine Grenet'
Tunnel-Type = 13,Tunnel-Medium-Type = 6,Tunnel-Private-Group-Id = 12
## La ligne suivante permet de refuser l'acces aux utilisateurs# qui ne sont pas dans la liste ci-dessus#DEFAULT Auth-Type := Reject
test : radiusd –X
110Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
111Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Propagation
112Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Transparence
113Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Interférences
114Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Interférences
115Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Couverture
116Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Construction du réseau
117Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Classes d’usage
118Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Classes d’usage
119Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan des fréquences
120Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réglage des PA
121Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.3af
Power Over Ethernet (PoE)
permet de fournir une puissance inférieure à 15 W sous 48 V en courant continu sur le câble Ethernet
transporté
• soit sur les deux paires qui transportent les données (1-2 et 3-6)
• soit sur les deux paires inutilisées (4-5 et 7-8)
L’alimentation peut être fournie :
• soit par le commutateur Ethernet
• soit par un injecteur
122Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.3af
Commutateur
Commutateur Injecteur
Point d’accèsCâbles RJ-45
123Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
124Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Outils
Analyseur de spectre
Scanner actif• Netstumbler (Windows) : http://www.netstumbler.com/
• iStumbler (Mac OS X) : http://istumbler.net/
125Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Outils : scanners et analyseurs
Scanners passifs et analyseurs fonctionnent sur une carte réseau en mode RFMON
• permet de capturer tous les paquets 802.11 • ≈ mode « promiscuous » pour une carte Ethernet
• RFMON = mode écoute seulement (<> Ethernet)
Kismet : http://www.kismetwireless.net/• Linux
• détection des points d’accès
• capture du trafic
WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/
Ethereal sous Linux (pas de mode RFMON sous Windows)
126Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Bibliographie succinte
Daniel Azuelos, Architecture des réseaux sans fil, 2005, http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Matthew Gast, 802.11 Réseaux sans fil, 2e édition, O’Reilly, 2005
Luc Saccavini, Le protocole IEEE 802.1X, 2003,http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf
Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE 802.11i Overview, 2002