Wlan Esigetel Km 2010 2011

16/12/2010

1

Wireless Networks

[email protected]

2010‐2011

Objectif et déroulement du cours

Présenter les principaux réseaux sans fils:•Les réseaux personnels : Bluetooth, UWB, Zigbee, etc.•Les réseaux locaux : WIFI, etc.Les réseaux locaux : WIFI, etc.•Les réseaux métropolitains : WiMAX, UMA.

16/12/2010 K.MABROUK ESIGETEL Wireless Networks 2

6 Cours1 TP1 DS

16/12/2010

2

Plan

Introduction

802 11802.11

802.15

802.16

UMA


Introduction: Pourquoi le sans fil?


Réseau traditionnel

16/12/2010

3

Introduction: Pourquoi le sans fil?

• Le sans‐fil! Pourquoi?

P f ilit l i d tili t– Pour faciliter la connexion des utilisateurs itinérants, en particulier dans les espaces collectifs

– Pour connecter des locaux impossibles ou trop coûteux à câbler (amiante, monument historique) [exp: e‐blink]

– Pour mettre en place une connexion provisoire (travaux, événementiel)

– Pour offrir le service internet (Cyber…)– Le sans fil n'est pas destiné à remplacer


Le sans fil n est pas destiné à remplacer intégralement le câblage filaire (fiabilité, débit)

Il n’est pas fait pour connecter des serveurs !

Introduction: Le monde sans fil


16/12/2010

4


MBWAWimax


Principales normes des réseaux sans‐fil



Catégories des réseaux sans fil

16/12/2010

5


• Aucune technologie sans fils n’est parfaite : c’est toujours un équilibre entre différents facteurs (portée, débit, etc.).

• Augmentation constante des performances grâce à la recherche .

• Des performances accrues permettront de nouveaux usages.

Shannon 1949C=B x log (1+SNR)


• Technologies sans-fil gourmandes en terme de bande passante

nécessité de partager « judicieusement» ce média

ÉLES BANDES DE FRÉQUENCES


16/12/2010

6

Les bandes de fréquences



Deux groupes sont représentés

• les technologies pour les téléphones portables (de 824 à 2170 MHz)

• les technologies utilisées pour l'informatique.– pour les WPAN et les WLAN, fonctionnent sur deux bandes :

• la bande ISM (Industrial Scientific Medical) de 2400 à 2500 MHz• la bande U‐NII (Unlicensed‐National Information Infrastructure) de 5150 à5720

MHz.


16/12/2010

7


• Bande ISM :‐La bande ISM correspond à trois sous bandes (902‐928 MHz, 2.400‐2.4835 GHz, 5.725‐5.850 GHz).

‐ la bande de 2.400‐2.4835 GHz, avec une bande passante de 83,5 MHz, est utilisée par la norme 802.11.‐ La sous‐bande 2.400‐2.4835 GHz, est fortement utilisée par différents standards et perturbée par des appareils (four à micro ondes, clavier et souris sans fil…) fonctionnant dans ces fréquences.

• Bande U‐NII :La bande U‐NII (5 .15‐5.35 GHz, 5.725‐5.825 GHz) offre une bande passante totale de 300MHz, chacune utilisant une puissance de signal différente.




16/12/2010

8

NORMALISATION 802.11


Normalisation 802.11

« Wi‐Fi » est un label d'interopérabilité délivré par la Wi‐Fialliance : groupement de constructeurs qui publie des listes d d i ifiéde produits certifiés

(http://www.wi‐fi.org/)• 802.11 (1997) : jusqu’à 2 Mb/s• 802.11 (1999) : Wireless LAN Medium Access Control

(MAC) and Physical Layer (PHY) Specifications• 802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz

(supplément à 802 11)(supplément à 802.11)• 802.11a (1999) : 54 Mb/s dans la bande des 5 GHz

(supplément à 802.11)• 802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz

(amendement à 802.11) compatible avec 802.11b


16/12/2010

9

Normalisation 802.11

• 802.11f (2003) : Inter Access Point Protocol (IAPP) gestion de la mobilité802 11h (2003) l' ili i d 802 11 E él i• 802.11h (2003) : pour l'utilisation de 802.11a en Europe, sélection dynamique de canal et gestion de la puissance d'émission

• 802.11i (2004) : sécurité• 802.11e (2005) : qualité de service• Travaux en cours :

– 802.11k : mesure de la qualité de la liaison radio– 802.11n : débit > 100 Mb/s– 802 11r : transfert rapide de connexion entre bornes– 802.11r : transfert rapide de connexion entre bornes– 802.11s : réseaux maillés

• 802.11n (2009) Draft: 270 Mbits/s ou 300 Mbits/s (2,4GHz/5GHz ) (amélioration à 802.11a)


COMPOSANTS ET ARCHITECTURE 802.11


16/12/2010

10

Architectures

Deux possibilités:

– Mode “infrastructure” classique• Similaire au téléphone cellulaire• Basé sur des cellules au milieu desquelles se trouve un point d’accès• En général antenne omnidirectionnelle

– Mode “Ad Hoc” : mode point à point (ordinateur à ordinateur)• sans points d’accès (configuration particulière de la carte WIFI)p ( g p )• Possibilité d’antennes directionnelles pour le mode Ad Hoc


Architecture: Mode infrastructure


16/12/2010

11

• BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent encommunication


communication

• ESS (Extended Service Set):ensemble de BSS interconnectés par un systèmede distribution

• DS (Distribution System) : réseau de connexion de points d’accès– peut être filaire (par exemple Ethernet)– Sans ‐fil: on parle de WDS (Wireless DS)

• ESSID (ESS Identifier) défini un ESS (32 caractères en ASCII): nom du réseau– C’est celui qui apparaît dans la liste des réseaux wifi présents (souvent

abrégé SSID)



• Les cellules se recouvrant utilisent des plages de fréquence différentes

• Si les cellules se recouvrent : possibilités de changer de cellule sans perte de connexion

S i d’i i é R i• Service d’itinérance Roaming

• Mécanisme pour implémenter ce service: le “handover”(Norme 802.11f)


16/12/2010

12

Architecture: le mode Ad‐Hoc

• Les machines utilisateurs servent de routeurs entre elles

• Infrastructure du réseau dynamiquey q

• On parle de IBSS: Independent Basic Service Set


Architecture: le mode Ad‐Hoc

• Une station peut partager un accès à Internet: le réseau fonctionne comme un BSS


16/12/2010

13

ARCHITECTURE EN COUCHES 802.11


Architecture en couches 802.11

• La norme IEEE 802.11 définit les deux premières couches du modèle OSI:La couche physique et la couche liaison de donnéesLa couche physique et la couche liaison de données.

• La couche liaison de données est subdivisée en deux sous‐couches, lasous‐couche LLC (Logical Link Control) et la couche MAC (Medium AccessControl).


16/12/2010

14

Couche PHY


Couche PHY

Emission / réception radio


16/12/2010

15

Couche PHY: 802.11 FHSS• FHSS (Frequency Hopping Spread Spectrum)

désigne une technique d'étalement de bande fondée sur le saut de fréquence.• la bande ISM des 2.4 GHz est divisée en 79 canaux ayant chacun 1 MHz de largeur

de bande. • Pour transmettre des données, l'émetteur et le récepteur s'accordent sur une

séquence de sauts précise qui sera effectuée sur ces 79 sous‐canaux.séquence de sauts précise qui sera effectuée sur ces 79 sous canaux.

Exemple: 3 stationssur 7 intervalles detempsEmission simultanée


mais pas sur le mêmecanal

Couche PHY: 802.11 DSSS

DSSS (Direct Sequence Spread Spectrum)‐ Technique plus répandu dans la 802.11b‐14 canaux de 20 MHzLa largeur de la bande ISM étant égale à 83 5 MHz il est impossible d'y‐La largeur de la bande ISM étant égale à 83.5 MHz, il est impossible d'yplacer 14 canaux adjacents de 20 MHz.‐Les canaux se recouvrent donc, comme illustré à la figure suivante.Fréquence crête espacées de 5MHzcanal 1 = 2,412 GHZ; canal 14 =2,477GHZ

Décomposition de la bande ISM en sous canaux de 20 MHz


16/12/2010

16

Couche PHY: 802.11DSSS

• Canaux recouvrant: inexploitables simultanément

• Interférence entre 2 canaux se recouvrant: au maximum 4 canaux nonrecouvrant simultanément


Couche PHY: IEEE.802.11b (WiFi)

• En 1999, une nouvelle couche physique, 802.11b, plus communément appelée Wi‐Fi, a été ajoutée

• Fonctionnant toujours dans la bande ISM, cette couche physique utilise une extension du DSSS, appelée HR/DSSS (High Rate DSSS).

• Le HR/DSSS utilise le même système de canaux que le DSSS. Le problème du choix d'un canal permettant la colocalisation de différents réseaux reste donc entier.

• Le HR/DSSS possède une meilleure efficacité spectrale que le DSSS et il permet d'offrir deux débits : 5.5 Mbit/s ou 11 Mbit/s.


16/12/2010

17

Couche PHY: IEEE.802.11b (WiFi)


Débit/porté

Couche PHY: Wi‐Fi5 (IEEE.802.11a)

• Contrairement à Wi‐Fi, Wi‐Fi5 n'utilise pas la bande ISM mais la bande U‐NII située autour de 5 GHz. Cette bande offre une largeur égale à 300 MHz (au lieu des 83.5 MHz de la bande ISM).

• La forme d'onde utilisée en IEEE 802.11a est similaire à une norme ETSI appelée HiperlanII.

• Utilisation d’une approche OFDM

• La norme 802.11a permet d'obtenir un haut débit (54 Mbit/s théoriques).

• La norme 802.11a spécifie 8 canaux radio dans la bande de fréquence des 5 GHz.


16/12/2010

18

Couche PHY: Wi‐Fi5 (IEEE.802.11a)


Couche PHY : IEEE 802.11g


16/12/2010

19

Couche PHY: IEEE 802.11n


• Normalisation en 2009

Couche PHY


16/12/2010

20

Couche PHY : MIMO


Couche PHY


16/12/2010

21

La couche liaison de données


La couche liaison de données: la couche MAC

• la sous‐couche MAC est redéfinie par la norme 802.11 .

• Elle caractérise l'accès au média de façon commune aux différentes normes 802.11 physiques

• Elle est équivalente à la norme 802 3 Ethernet avec des fonctionnalités• Elle est équivalente à la norme 802.3 Ethernet avec des fonctionnalités nécessaires aux transmissions radio : la fragmentation, le contrôle d'erreur (CRC), les retransmissions de paquet et les accusés de réception…

• La couche MAC définit deux méthodes d'accès différentes:

‐DCF(Distributed Coordination Function ) appelée aussi mode d'accès à compétition

‐ PCF ( Point Coordination Function ) appelée mode d'accès contrôlé.

• La méthode DCF est utilisée par les modes architecturaux Ad‐Hoc et infrastructure, tandis que la méthode PCF n'est utilisée que par le mode infrastructure.


16/12/2010

22

DCF( Distributed Coordination Function )

DCF• méthode d'accès générale pour le transfert de données asynchrones, sans g p y ,

gestion de priorité• repose sur le CSMA/CA

Le CSMA/CACarrier Sense Multiple Acces/Collision Avoidance

• Accès aléatoire avec écoute de la porteuse: évite plusieurs transmissions simultanées, réduit le nombre de collisions

• impossible de détecter les collisions: il faut les éviter


impossible de détecter les collisions: il faut les éviter– écoute du support– back‐off– réservation – trame d'acquittement positif


L‘ écoute du support:• Couche PHY: Physical Carrier Sense (PCS)• Couche PHY: Physical Carrier Sense (PCS)

– détecte et analyse les trames– fait appel au PLCP (Physical Layer Convergence Protocol)

• Couche MAC: Virtual Carrier Sense (VCS)– réserve le support via le PCS– deux types de mécanismes:

• réservation par trames RTS/CTS


réservation par trames RTS/CTS• utilisation d'un timer (NAV: Network Allocation Vector) calculé par toutes les stations à l‘écoute

– utilisation optionnelle: trames RTS/CTS à 1Mbits/s, font chuter le débit moyen de 11Mbits/s à 6Mbits/s.

Request to Send and Clear to Send

16/12/2010

23


• Le back‐off– Fenêtre de contention CW et un timer Tb k ff= random (0 CW) x timeslotFenêtre de contention CW, et un timer Tbackoff random (0,CW) x timeslot



L’ accès au support• Mécanisme d’espacement entre deux trames: IFS

• 4 types d’Inter‐Frame Spacing:– SIFS: Short IFS: sépare les différentes trames d’un même dialogue (données et ACK, RTS et CTS, différents fragment

d’une trame segmentée, trame de polling en mode PCF )

– PIFS: PCF IFS = SIFS + 1 timeslot: accès prioritaire, mode PCF

– DIFS: DCF IFS = SIFS +2 timeslots: mode DCF

– EIFS: Extended IFS: le plus long, uniquement en mode DCF, lorsqu’une trame de donnée est erronée attente de l’acquittement


16/12/2010

24




• Exemple de transmission


16/12/2010

25

PCF ( Point Coordination Function )


DTIM: Delivery Traffic Indication Message

Durée définie par L’AP

Network Allocation Vector

La couche liaison de données: la couche LLC

• Définie par le standard IEEE802.2

• Permet une compatibilité avec n'importe quel autre réseau 802.xp p q


16/12/2010

26

TRAME 802.11


Trame 802.11

• La norme 802. 11 dispose de 3 types de trames:T d i (MMPDU MAC M– Trame de gestion(MMPDU: MAC Management Protocol Data Unit)

• Permet de créer :– l’architecture du réseau (accrochage d’une station à un point d’accès, authentification, publication des fonctions supportés dans le réseaux et des vitesses de transmissions)

Trame de contrôle– Trame de contrôle• Gestion de l’accès au medium de communication

– Trame de donnée (MSDU: MAC Service Data Unit)• Porte l’information échangée (Payload)


16/12/2010

27

Trame de Gestion

Il existe quatre familles (‘types ’) de trames de gestion :

• Trames liées aux fonctions d’association‐désassociation

• Trames d’interrogation du voisinage radio

• Trames liées aux fonctions d’authentification

• Trames balises, utilisées par le point d’accès pour diffuser des informations dans le BSS, gestion du mode économie d’énergie grâce aux balises TIM et DTIM.


Trame de Contrôle

• Les trames de contrôle permettent l’accès au support et ont pour fonction d’envoyer les commandes et informations de supervision aux éléments du réseauaux éléments du réseau.

Trames principales :

• RTS (Request to send) est utilisé pour réclamer le droit de transmettre une trame de données.

• CTS (Clear To Send) correspond à la réservation du canal pourCTS (Clear To Send) correspond à la réservation du canal pour émettre une trame de données

• ACK permet l’acquittement des trames de données


16/12/2010

28

Format général de trame 802.11

Structure de la trame MAC

MAC payloadAddr 1 Addr 2 Addr 3 Addr 4 (optional)

CRC

Champ de durée (contient la valeur du NAV )

Numéro de séquence


K.MABROUK ESIGETEL Wireless Networks 55

Champ de contrôle (type de trame & different bits de flag)

Un byte (8 bits)

16/12/2010


Trame de contrôle

Contenue de champ de contrôle

un bitun bit

1 2 3 4 5 6 7 8Protocol Subt. of frameType …

Protocol: Indique IEEE 802.11 MAC

Type: 00 (Management frames) 01 (Control frames)10 (Data frames)


Subtype of frame: Décrit le type de gestion, contrôle, ou donnée de trame avec plus de détails (exp. ACK => 1101)

16/12/2010

16/12/2010

29

Trame 802.11

Flags dans le champ de contrôle

1 bit1 bit

1 2 3 4 5 6 7 8Protocol Subt. of frameType …

1: Bit is set if frame is sent to AP2: Bit is set if frame is sent from AP3: Used in fragmentation4: Bit is set if frame is retransmitted5: Power management bit (power saving operation)


g (p g p )6: More data bit (power‐saving operation)7: Bit is set if WEP is used8: Strict ordering of frames is required

16/12/2010

Trame 802.11

Utilisation des champs d’adresses dans la trame MAC

Addr 1 Addr 2 Addr 3 Addr 4

Adresse 1: Récepteur (Wireless station ou AP)

Adresse 2: Emetteur (Wireless station ou AP)

Adresse 3: Principale source/destination (routeur dans le DS)


Adresse 3: Principale source/destination (routeur dans le DS)

Adresse 4: Seulement utilisée dans des solutions de ”Wireless Bridge”

LANLAN LANLANAP AP

16/12/2010

16/12/2010

30

Trame 802.11

Direction: AP => wireless station

Addr 1 Addr 2 Addr 3

Addr 1: Recepteur (wireless station)

Addr 2: Transmetteur= BSSID (AP)

Addr 3: source principale (routeur)

Routeur

23


APBSSID: MAC address of AP

SSID:Nom Alphanumeric de l’ AP (or BSS)1

16/12/2010

ÉFONCTIONNALITÉS


16/12/2010

31

Fonctionnalités

1. Fragmentation et réassemblage

2. Variation du débit

3. Gestion de la mobilité

4. Economie d'énergie

5. Qualité de service


Fragmentation et réassemblage


16/12/2010

32


Mécanisme d'émission d'une trame fragmentée


Fragmentation et réassemblageEmission d'une trame fragmentée avec réservation du support


16/12/2010

33



Variation du débit


16/12/2010

34

Variation du débit


Gestion de la mobilité


16/12/2010

35





16/12/2010

36





16/12/2010

37



Économie d’énergie


16/12/2010

38

• Qualité de service?

• Les 3 axes principaux de la QoS sont:

Qualité de service

• En effet le but de le la QoS sont:• En effet, le but de le la QoS sont:

– Optimiser les ressources du réseau– Garantir un degré de performances aux applications– Offrir aux utilisateurs des débits importants et des temps de réponse rapides


Qualité de service

• Méthode PCF jamais utilisée car technique non adoptée par les constructeurs.

• EDCF: évolution du DCF introduite dans IEEE802.11e

Gestion des priorités: accès EDCF (Extendend DCF)

• Accès au support selon le niveau de priorité de la trame

• 8 niveau de priorité: 8 files d’attente de transmission

• Mécanisme TxOP : Transmissions opportunities


16/12/2010

39

Qualité de service


Qualité de service


16/12/2010

40

É ÉSÉCURITÉ


Sécurité

• Média partagé => les écoutes sont possibles

• Pas de limite franche ni visible au delà de laquelle la

Risques liés aux réseaux sans fil

• Pas de limite franche ni visible au delà de laquelle la réception est impossible, donc en l'absence de mécanismes appropriés n'importe qui peut :– écouter le réseau

– se connecter au réseau

• Le signal peut être brouillé par une source extérieure

• Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)


16/12/2010

41

Sécurité

• 1999 : WEP (802.11)• 2001 : 802 1X

Historique et terminologie

• 2001 : 802.1X=> authentification 802.1X + chiffrement WEP dynamique=> Il permet de contrôler l'accès aux équipements d'infrastructures réseau

• 2003 : WPA (Wi‐Fi Protected Access) :spécification publiée par la Wi‐Fi Alliance, et reprenant une bonne partie du draft 3 0 de 802 11i en attendant la ratification de la normedu draft 3.0 de 802.11i en attendant la ratification de la norme

• 2004 : 802.11i Amd n°6 MAC Security Enhancements

• WPA2 : label de la Wi‐Fi Alliance pour 802.11i


Sécurité

• Wireless Equivalent Privacy• Intégré à la norme 802 11 de 1999

WEP

• Intégré à la norme 802.11 de 1999• Principes :

– clé secrète (40 ou 104 bits) partagée par toutes les stations– authentification par défi / réponse– confidentialité par chiffrement symétrique

• Problèmes et limitations– la clé peut être découverte par simple écoute du réseau avec des logiciels du domaine public (AirSnort, Aircrack…)

– pas de mécanisme de distribution des clés


16/12/2010

42

Sécurité

• 802.1X permet une authentification « sérieuse » des utilisateurs avant connexion au réseau

802.1X + WEP dynamique

• Les clés sont générées à l’aide de protocoles de chiffrement et distribuées sous forme chiffrée sur le réseau sans fil

• Une clé WEP par utilisateur et par session• Clé commune pour les trames multicast• Renouvelée suffisamment souvent dans le courant de la

session pour qu’elle ne puisse pas être découverte (~ quelques minutes)quelques minutes)

• Avantages :– empêche la découverte des clés– distribution automatique des clés


Sécurité

Port‐Based Network Access Control (2001, révision 2004)• Protocole permettant de n'autoriser l'accès à un port réseau

' è h ifi i

802.1 X

qu'après authentification• Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802• port réseau = port de commutateur (802.3)

association (802.11)• Composants :

– système à authentifier (supplicant ) : qui demande l'accès au réseau– système authentifiant ou relais d’authentification (authenticator ) :

t ôl l’ è é• contrôle l’accès au réseau• ne fait que relayer les échanges d’authentification avec le serveur

– serveur d'authentification : détermine si le système à authentifier est autorisé à accéder au(x) service(s) dont l'accès est contrôlé par le relais


16/12/2010

43

Sécurité

802.1X : port contrôlé et port non contrôlé


Sécurité

802.1X : authentification


16/12/2010

44

Sécurité

• EAP : Extended Authentication Protocol (RFC 2284 puis 3748)

EAP

– développé à l'origine pour l’authentification des utilisateurs se connectant en PPP sur des serveurs d’accès distants

– permet d'encapsuler différents protocoles d'authentification et donc de ne pas les implémenter dans le serveur RAS, qui les relaie vers un serveur d'authentification

– l'authentification elle‐même repose sur des « méthodes » (protocoles) définies par ailleurs et encapsulées dans EAP


Sécurité

• LEAP, TLS, TTLS, PEAP, EAP‐FAST• LEAP (Lighweight EAP)

Méthodes EAP

– Propriété Cisco– Authentification mutuelle du client et du serveur par MS‐CHAPv1– Clés dynamiques dérivées des échanges MS‐CHAP– Problèmes de sécurité liés à l’utilisation de MS‐CHAPv1 => obsolète

• TLS– RFC 2716– Authentification mutuelle du client et du serveur par certificats X.509

Permet de dériver des clés de chiffrement– Permet de dériver des clés de chiffrement– Méthode d’authentification de facto pour 802.11i


16/12/2010

45

Sécurité

• TTLS– draft‐ietf‐pppext‐eap‐ttls‐05

Méthodes EAP

– Authentification du serveur par certificat X.509– Utilisation du tunnel chiffré TLS pour faire passer un autre protocole

d’authentification: PAP, CHAP, MD5, MS‐CHAP…– authentification interne par AVP (paires attribut‐valeur)

• PEAP (Protected EAP)– ≈ TTLS– Utilisation du tunnel chiffré TLS pour faire passer un autre échange

EAP (EAP over EAP)• Avantage / TLS : possibilité de réutiliser les systèmes

d’authentification existants (annuaire LDAP par exemple)• EAP‐FAST (Cisco) : fait pour accélérer la réauthentification lors d’un

handover


Sécurité

802.1X : protocoles


16/12/2010

46

Sécurité802.1X : EAPoL

• définition EAPoL : EAP over LAN encapsulation des paquets EAP sur les réseaux 802encapsulation des paquets EAP sur les réseaux 802– champ Type Ethernet = 0x888E

• 4 types de message :– EAP‐Start : envoyé au PA par la station qui veut démarrer l’authentification

– EAP‐Logoff : envoyé par la station, le port est remis dans l’état non autorisé par le PA


l’état non autorisé par le PA– EAP‐Packet : transporte les informations d’authentification– EAP‐Key : pour transmettre une clé entre le PA et la station

Sécurité

• Remote Authentication Dial In User Service

• originellement (RFC 2138 ‐> 2865) défini pour le transport d’informations

RADIUS

g ( ) p pd’authentification et de configuration entre un serveur d’accès distant et un serveur d’authentification


16/12/2010

47

Sécurité

• Utilise le port UDP 1812• repose sur un secret partagé entre le serveur et le client (ici le point

d’ è )

RADIUS

d’accès)• Les messages EAP sont encapsulés dans 4 types de trames :

– messages point d’accès ‐> serveur : Access Request– messages serveur ‐> point d’accès relayés vers la station : Access

Challenge– messages serveur ‐> point d’accès indiquant que l’authentification a

réussi : Access Accept– messages serveur ‐> point d’accès indiquant que l’ authentification a

é h ééchoué : Access Reject• RADIUS ‐> DIAMETER (RFC 3588 9/2003)

– site officiel & logiciel open source – http://www.opendiameter.org


Sécurité

802.1X : dialogue EAP


16/12/2010

48

Sécurité

802.1X : dialogue EAP‐ authentification• 4 types de paquets EAP :

Request, Response, Success, Failureq p


Sécurité

• Reposent également sur l’authentification 802.1X

WPA et 802.11i

• Deux modes :– « personnel » pour environnements SOHO

– « entreprise » pour les structures plus importantes

• Gestion et distribution des clés

• Deux nouveaux mécanismes de chiffrement :Deux nouveaux mécanismes de chiffrement :– TKIP Temporal Key Integrity Protocol (WPA)

– CCMP(Chaining Message Authentication Code Protocol) (802.11i)


16/12/2010

49

Sécurité

• Authentification de la station par le serveur d’authentification avant que le point d’accès ne lui accorde l’ è é

WPA/802.11i : principe

l’accès au réseau=> dérivation d’une clé maîtresse connue du serveur et du

client (et d’eux seuls)• clé maîtresse => dérivation d’une clé maîtresse « pair à pair

» (PMK: Opportunistic Pairwise Master Key)– par la station– fournie par le serveur au point d’accèsp p

• PMK => dérivation des clés de session (unicast, multicast)• Authentification du serveur par la station

– important dans l’environnement sans fil (points d’accès sauvages)


Sécurité

WPA/802.11i : fonctionnement


16/12/2010

50

Sécurité

• Mode d’authentification = ouvert• Le point d’accès annonce les politiques de sécurité

WPA/802.11i : phase 1

Le point d accès annonce les politiques de sécurité supportées dans les trames Beacon et Probe Response

• RSNA : Robust Security Network Association• Ajout d’un champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response

• Le champ RSN IE décrit :p– le type de chiffrement du trafic unicast et multicast :

• WEP‐40, WEP‐104, TKIP, CCMP (défaut)– la méthode d’authentification et de gestion des clés :

• 802.1X (défaut), clé pré‐partagée


Sécurité

WPA/802.11i : phase 1


16/12/2010

51

Sécurité

WPA/802.11i : phase 2 et 3


Sécurité

Génération des clés (suite) :

WPA/802.11i : phase 2 et 3

• procédure dite 4‐way handshake : échange de 4 messages EAPoL‐Key qui permettent de:– s’assurer que le client détient bien la PMK

– de dériver un ensemble de clés de chiffrement et d’intégritég

• à partir de la PMK, des adresses MAC du client et du point d’accès de deux nombres aléatoires

• de chiffrer le transport de la clé de groupe


16/12/2010

52

Sécurité

• destiné aux réseaux Adhoc et réseaux personnels (à domicile)

WPA/802.11i : mode « personnel »

(à domicile)• même mécanisme de découverte de la politique de sécurité

• pas d’authentification 802.1X• clé pré‐partagée est dérivée d’un mot de passe et sert directement de PMKsert directement de PMK

• même procédure de 4‐way handshake• mêmes techniques de chiffrement : TKIP CCMP


Sécurité

• Temporal Key Integrity Protocol• Amélioration de WEP

TKIP

• Chiffrement RC4 (pour pouvoir utiliser les mêmes puces)• Clé de chiffrement des trames est dérivée d’une clé

maîtresse (<> WEP où la clé maîtresse chiffre directement les trames)

• Une clé différente pour chaque trame• Ajout d’un numéro de séquence pour contrer les attaques

par rejeu (« replay attaque »)par rejeu (« replay attaque »)• Ajout d’une séquence de contrôle d’intégrité (y compris sur

adresse source)


16/12/2010

53

Sécurité

• Chiffrement CCMP

802.11i : nouveautés par rapport à WPA

– Counter Mode with CBC‐MAC Protocol

– Sans souci de compatibilité avec WEP => nouvelles puces

– Chiffrement AES

• Pré‐authentification (pour le handover)Pré authentification (pour le handover)


ÉARCHITECTURE DE RÉSEAU


16/12/2010

54

Architecture de réseau

• Spécifications du projet : un réseau sans fil…• où ça ?

– dans des zones précises : bibliothèque cafétéria

Avant de commencer

dans des zones précises : bibliothèque, cafétéria…– dans l’ensemble du/des bâtiments– et aussi dans le parc ?

• pour qui ? nombre et type d’utilisateurs– personnel permanent– invités (ayant à travailler avec le labo)– gens de passage : colloques, formations…

• pour quoi faire ?– au minimum : offrir un accès internet– un peu plus : accès à une imprimante locale

è à l’ bl d d é– au maximum : accès à l’ensemble des ressources du réseau– En général, tout ça en même temps pour différentes catégories d’utilisateurs

• avec quels équipements ?– type de plate‐forme : matériel, système d’exploitation



réseau sans fil isolé du réseau filaire


16/12/2010

55

réseau sans fil isolé du réseau filaire



DMZ: demilitarized zonePare‐feu


Réseau sans‐fil isolé du réseau filaire


16/12/2010

56


• accès aux équipements actifs :– autorisé depuis le réseau filaire


p– interdit depuis le réseau sans fil

• accès autorisés du réseau sans fil vers le réseau filaire :– au serveur DHCP– aux serveurs DNS– aux services publics (web etc.)– aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS, SSH… (pour les utilisateurs internes)

• accès du sans fil vers le reste de l’internet– peut être limité à certains ports (sans être trop restrictif)– empêcher les connexions entrantes





16/12/2010

57


• Solution (presque) idéale pour les petites structures• Inconvénient (de taille) : absence de contrôle d’accès au

Réseau sans‐fil isolé du réseau filaire + VPN

( )réseau sans fil– risque dépendant de l’environnement– possibilité d’utilisation illicite des réseaux– responsabilité vis‐à‐vis d’Internet en général

• Améliorations possibles :– WEP

• ≈ réseau ouvert réseau ouvert• mais personne ne peut s’y connecter par hasard

– panneau « Accès réservé »• OK pour une petite structure (quelques bornes), au‐delà problème de gestion des clés



• Améliorations possibles (suite):– contrôle d’accès par adresse MAC

Réseau sans‐fil isolé du réseau filaire + VPN

p• peut être local à la borne• ou centralisé sur un serveur RADIUS

• Mise en œuvre avec un serveur RADIUS :– Le PA envoie une requête Access‐Request avec :User‐Name et User‐Password : adresse MAC de la station– Fichier users :00904b1d9fd8 A h T L l00904b1d9fd8 Auth‐Type:=Local, User‐Password ="00904b1d9fd8"

Avantage de ces solutions : fonctionnent avec tous les clients


16/12/2010

58

ÈArchitecture de réseau

PORTAIL WEB D’ACCÈS


Portail web d’accès

• « portail captif »


• Logiciels libres :– NoCat (http://nocat.net/)

– NoCatAuth : version originale en Perl

– NoCatSplash : portage en C

– M0n0wall (http://m0n0 ch/wall/)– M0n0wall (http://m0n0.ch/wall/)

– talweg (http://sourcesup.cru.fr/talweg/)


16/12/2010

59


Portail web d’accès: fonctionnement



• L’autorisation d’accès au réseau se fait par modification des règles de filtrage

Portail web d’accès: fonctionnement

• Fin d’autorisation d’accès ?– bouton « déconnexion » : pas forcément utilisé– par requêtes ARP ou ICMP périodiques

• Protection des échanges– les données d’authentification doivent être échangées en

HTTPS– le reste du trafic n’est pas protégé => recommandations aux p p g

utilisateurs• Solution satisfaisante

– pour l’accueil des visiteurs– parce qu’elle fonctionne avec tous les clients


16/12/2010

60


AFFECTATION DYNAMIQUE DE VLAN


Affectation dynamique de VLAN

• La séparation réseau sans fil / réseau filaire– a été imposée par des contraintes de sécurité


– compte tenu des fonctionnalités des premiers matériels

• Aujourd’hui les réseaux filaires sont segmentés en VLAN– permet d’attribuer des droits différents à des groupes

d’utilisateurs différents– avec les limites du VLAN par port (VLAN visiteur )

• Affectation dynamique de VLAN– prolonger la structure du réseau filaire sur le réseau sans fil– avec des mécanismes adaptés aux réseaux sans fil


16/12/2010

61





• Repose sur l’authentification 802.1X

• le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le


• le numéro de VLAN est transmis par le serveur RADIUS au point d accès dans le message Access‐Accept

Tunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=<numéro de VLAN>

• Fonctionne sur le filaire comme sur le sans fil :

– un commutateur Ethernet affecte le port auquel est connecté le client dans le VLAN retourné par le serveur RADIUSp

– un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN correspondant à l’utilisateur

• Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès (nomadisme sur un campus)


16/12/2010

62





• On peut avoir des fonctionnalités ~ équivalentes à celles des VLAN filaires sur le sans fil à deux


à celles des V AN filaires sur le sans fil à deuxconditions :

– un BSSID par VLAN : une station ne traite les trames adressées à des adresses de groupe que si le BSSID est celui du PA auquel elle est associée

– clés de groupe différentes pour chaque groupe d’utilisateurs : pour que les trames ne puissent pas être déchiffrées par toutes les stations


16/12/2010

63

ÈArchitecture de réseau

POINTS D’ACCÈS VIRTUELS


Points d’accès virtuels

• Chaque PA peut émettre plusieurs SSID• A chacun de ces SSID est associé :• A chacun de ces SSID est associé :

– un VLAN sur le réseau filaire– une méthode et un serveur d’authentification

• Permet de gérer plusieurs réseaux administrativement distincts sur la même infrastructure

d’ i SS• Permet d’avoir un BSSID par VLAN• Possibilité d’affecter ensuite dynamiquement le VLAN en 802.1X


16/12/2010

64

Points d’accès virtuels



COMMUTATEURS SANS FIL


16/12/2010

65

Commutateur sans fil

• Aussi appelé « contrôleur »• Constructeurs (historiques) : Symbol, Trapeze, Aruba, ( q ) y , p , ,

Airespace (racheté par Cisco)• Boîtier spécialisé placé en coupure (logique) entre le réseau

filaire et le réseau sans fil• Un certain nombre de fonctions habituellement gérées

dans les points d’accès sont déportées sur le commutateur– authentification– associationassociation– chiffrement– interconnexion avec le réseau filaire

=> notion de point d’accès « léger »



• Fonctionnement : établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur

• La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser à l’IETF– LWAPP (Airespace/Cisco)– CAPWAP– SLAPP (Trapeze, Aruba)

• Solutions propriétaires :p p– fonctionnent avec les points d’accès fournis par le constructeur– même si acceptent généralement les PA d’autres constructeurs– perte de la plupart des fonctionnalités intéressantes


16/12/2010

66


Niveau physique



Niveau logique


16/12/2010

67


• Ajustement dynamique de la puissance et du canal de chaque point d’accès

Gestion de la radio

autocalibration du réseau radio

• Les points d’accès peuvent ou non fonctionner simultanément en mode sonde– Détection des interférences– Détection / neutralisation des points d’accès sauvages

• Détection des réseaux ad hoc– Détection d’attaques 802.11 classiques– Localisation géographique des points d’accès et des clients



• Gestion de la bande passante par utilisateur(s), par application par VLAN

Gestion de la radio

application, par VLAN

• Possibilité d’interdire les communications directes entre clients

• Equilibrage de charge entre points d’accès adjacents

• Possibilité d’affecter des priorités aux différents flux

• Gestion de la mobilité


16/12/2010

68


• Portail• 802 1X EAP TLS TTLS

Authentification et contrôle d’accès

• 802.1X, EAP, TLS, TTLS…• VPN IPsec et SSL• Base interne / externe (LDAP, AD…)• Fonctions de contrôle d’accès + ou ‐sophistiquées :– filtrage IPg– pare‐feu stateful– par utilisateur, groupe d’utilisateurs, VLAN

• Système de détection d’intrusion embarqué



• Gestion centralisée des points d’accèsfi ti– configurations

– mises à jour logicielles

• Détection et configuration automatique des points d’accès

• Tableau de bord, statistiques (par station, par point d’accès, globales…)

• Plan de site avec localisation des points d’accès


16/12/2010

69

É ÉArchitecture de réseau

PASSERELLE DE SÉCURITÉ


Passerelle de sécurité

• Constructeur : exemple Ucopia• Boîtier spécialisé placé en coupure (logique)• Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil

• solution non spécifique aux réseaux sans fil– fonctionne avec tous les PA– Commutateur sans fil traite les trames 802.11 émises par les stationsPasserelle traite les trames 802 3 émises par les points– Passerelle traite les trames 802.3 émises par les points d’accès

• agrégat de fonctions permettant de gérer les utilisateurs mobiles, visiteurs…


16/12/2010

70


• logiciel sur PC/Linux équipé de 2 interfaces réseau, intégrant un certain nombre de briques

Passerelle : exemple Ucopia

réseau, intégrant un certain nombre de briques de logiciels libres se place en coupure de réseau– physique ou logique

• possibilité d’avoir plusieurs SSID par bornes (si elles le supportent) et d’y associer des méthodes d’authentification différentes

• chaque SSID est associé à un VLAN en sortie de la• chaque SSID est associé à un VLAN en sortie de la borne

• VLAN peut être redéfini en fonction du profil de l’utilisateur en sortie de la passerelle



Passerelle : exemple Ucopia


16/12/2010

71


• Authentification– par nom d’utilisateur et mot de passe en HTTPS

Passerelle Ucopia : authentification et contrôle d’accès

– 802.1X / EAP‐TLS, TTLS, PEAP– par carte à puce (EAP‐SHA1, développement propre)– serveur RADIUS embarqué (peut être configuré en proxy vers un

autre serveur RADIUS)• Contrôle d’accès

– fonction du profil de l’utilisateur– par mise en place de filtres correspondant au profil de p p p p

l’utilisateur sur le contrôleur pour la durée de la connexion (iptables)

– possibilité d’affecter un VLAN en fonction du profil de l’utilisateur en sortie du contrôleur



• Serveur VPN IPsec (FreeS/WAN)• « Zéro configuration » reconnaissance et

Passerelle Ucopia

• « Zéro configuration » : reconnaissance et redirection de certains flux– SMTP ‐> serveur de messagerie local– HTTP– impression : par l’intermédiaire du serveur d’impression embarquép q

• Gestion des points d’accès : par SNMP– configuration– stockage et traitement des logs


16/12/2010

72

É ÉDÉPLOIEMENT DU RÉSEAU RADIO


• Une onde électro‐magnétique se propage en ligne droite, à une vitesse c=3 108m/s dans le vide.

Déploiement du réseau radio

• Dans tout autre milieu elle peut être:– Réfractée– Réfléchie– Diffractée– Absorbée

• Une onde électromagnétique est absorbée par un circuit qui résonne à sa fréquence: plomb nos os O2 l’ atmosphère H2O larésonne à sa fréquence: plomb, nos os, O2, l atmosphère, H2O, la pluie, le maillage de bêton armé.

• Elle interfère avec toute autre onde de fréquence prochebattement spatial et temporel.


16/12/2010

73


• L'affaiblissement de la puissance du signal est en grande partie dûe aux propriétés des milieux traversés par l'onde.

Propriétés des milieux

• Voici un tableau donnant les niveaux d'atténuation pour différents matériaux :


• Interférences


• Plus la distance entre un AP et un obstacle est petite plus :plus :– Zone d’interférence est grande– Zone de diffraction est difforme

Problématique d’éclairage


16/12/2010

74





16/12/2010

75





16/12/2010

76





16/12/2010

77

802.3af

• permet de fournir une puissance inférieure à 15 W sous 48 V en courant continu sur le câble

Power Over Ethernet (PoE)

W sous 48 V en courant continu sur le câble Ethernet

• transporté– soit sur les deux paires qui transportent les données (1‐2 et 3‐6)

– soit sur les deux paires inutilisées (4‐5 et 7‐8)p ( )

• L’alimentation peut être fournie :– soit par le commutateur Ethernet– soit par un injecteur


802.3af


16/12/2010

78

Outils

• Analyseur de spectre

• Scanner actif– Netstumbler (Windows) : http://www.netstumbler.com/

– iStumbler (Mac OS X) : http://istumbler.net/


Outils

• Scanners passifs et analyseurs fonctionnent sur une carte réseau en mode RFMON– permet de capturer tous les paquets 802.11– ≈ mode « promiscuous » pour une carte Ethernet– RFMON = mode écoute seulement (<> Ethernet)

• Kismet : http://www.kismetwireless.net/– Linux– détection des points d’accès– capture du traficcapture du trafic

• WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/

• Ethereal sous Linux (pas de mode RFMON sous Windows)


16/12/2010

79

WPAN IEEE 802.15


Introduction

• Les WPAN (Wireless Personal Area Network) regroupent des équipements contrôlés par un seul utilisateur

• Communication sur de faibles distances ( une dizaine de mètres)• Communication sur de faibles distances ( une dizaine de mètres)

• La norme 802.15 définit les PAN sans fil appelé WPAN (Wireless PAN) dont les technologies sont le Bluetooth, les normes IEEE 802.15.3 (WPAN haut débit) et IEEE 802.15.4 (WPAN faible débit, Zig‐Bee)


16/12/2010

80

WPAN IEEE 802.15

BLUETOOTH


Bluetooth: Introduction

• Norme mondiale de connectivité sans fil pour des usages à très courte portée à la maison ou au bureau.

• Les dispositifs à la norme Bluetooth peuventcommuniquer les uns avec les autres, sans être ancré à un réseau.

• C’est un protocole de réseau s’organisant lui‐même. Les utilisateurs peuvent s’y joindre et en sortir de façon aléatoire.

• Il a été mis en place par un consortium de plus de 900 entreprises (SIG = Special Interest Group IG, il a été créé en mai 1998 par Ericsson, IBM, Intel, Nokia et Toshiba pour développer un standard de connectivité sans fil) afin d’inter‐relier de petits dispositifs électroniques en étroite proximité.


16/12/2010

81

Applications


La technologie Bluetooth

Communications radio grands débits bidirectionnels à courte distance sur une seule puce :Fonctionne dans la zone libre de permis de 2.4 GHz sur la bande ISM

Les conditions d’utilisation des équipements d’après l’ART (l’Autorité de Régulation des télécommunications) :

‐ Conformément aux dispositions de l’article L.33‐3 du code des postes et télécommunications, ces installations sont établies librement : aucune licence n’est donc nécessaire pour les utiliser.

‐ Pour les installations radioélectriques de faible puissance et de faible portée fonctionnant dans la bande des 2.4 GHz, l’ART autorise la totalité de la bande 2400‐2483,5 Mhz, avec une puissance limitée à 10 mW à l’intérieur des bâtiments et 2,5 mW à l’extérieur des bâtiments.

Porté : 10 mètres ou moins, jusqu’à 100 mètres avec amplificateur de puissance

Vitesse de transmission des données : jusqu’à 720 Kbits/s (vitesse brute de transmission desVitesse de transmission des données : jusqu à 720 Kbits/s (vitesse brute de transmission des données, 1Mbit/s)

Faible consommation d’énergieDuplex à répartition dans le temps (DRT), modulation par déplacement de fréquences G‐FSKUtilise le spectre dispersé à saut de fréquences1600 sauts/s, 79 (ou 23) voies de radiofréquences


16/12/2010

82

Bluetooth: classes


Transmission de la voix et des données

• Autorise jusqu’à 7 liaisons simultanées (il y a partage de la vitesse maximale de transmission de données)• N’exige pas de liaison en visibilité directe (traverse les murs, les corps)• Communications sécuritaires• Liaison vocale

– Synchrone (ou SCO = Synchronous Connection‐Oriented link), avec correction d’erreurs sans circuit de retour– Encodage da la voix CVSD (modulation Delta à pente variable continue)– 64 Kbits/s par voie (deux voies pour les communications vocales en duplex intégral)

• Liaison informatique – Asynchrone (ou ACL = Asynchronous Connection‐Less link)– Vitesse maximale de transmission des données : 432 Kbits/s en mode symétrique, 721/57 Kbits/s en mode

asymétrique

• Pour répondre à ces objectifs des groupements industriels se sont mis en place tels Bluetooth et• Pour répondre à ces objectifs, des groupements industriels se sont mis en place, tels Bluetooth et HomeRF dans le but de réaliser une spécification ouverte de connexion sans fil entre équipements personnels.

• Bluetooth est fondé sur une communication en forme de liaison radio entre deux équipements. • HomeRF s’intéresse à la connexion des PC avec toutes les machines domestiques sur une portée de

50 mètres.


16/12/2010

83

Schéma de connexion

• Réseau unique (dit aussi piconet) : prend en charge jusqu’à

8 terminaux, avec un maître (dont son but est de gérer ( g

les communications) et huit terminaux au statut d’esclave.

La communication entre 2 terminaux esclaves transite obligatoirement par le terminal maître.

Piconet


Maître

Esclave

Schéma de connexion

• Réseau interconnectant des piconets pour former un scatternet (en anglais

scattter = dispersion).

î d’ d l’ l d î d’‐ Le maître d’un piconet peut devenir l’esclave du maître d’un autre piconet.

‐ Un esclave peut être l’esclave de plusieurs maîtres.

‐ Un esclave peut se détacher provisoirement d’un maître pour se raccrocher à un autre piconet puis revenir vers le premier maître, une fois sa communication terminée avec le second.

Maître du


Maître du piconet 3 et Esclave du piconet 2

MaîtreEsclave du piconet 1 et du piconet 2

Piconet 1 Piconet 2

Piconet 3

16/12/2010

84

Bluetooth: communication

• Le temps est découpé en tranche, ou slots, à raison de 1600

slots par secondes. p

Un slot fait donc 625 µs de long.

Un terminal utilise une fréquence sur un slot puis, par un saut de fréquence (Frequency Hop), il change de fréquence sur la tranche de temps suivante, et ainsi de suite.

Maître


Esclave

Tranche de temps (slot) de 625 µs

Bluetooth: communication

• Un client Bluetooth utilise de façon cyclique toutes les bandes de fréquences.

• Les clients d’un même piconet possèdent la même suite de sauts de fréquence,

et lorsqu’un nouveau terminal veut se connecter il doit commencer par reconnaîtreet, lorsqu un nouveau terminal veut se connecter, il doit commencer par reconnaître

l’ensemble des sauts de fréquences pour pouvoir les respecter. Une communication s’exerce

par paquet.

En général, un paquet tient sur un slot, mais il peut s’étendre sur 3 ou 5 slots. Le saut de fréquence a lieu à la fin de la communication d’un paquet.

Maître


Esclave

Tranche de temps (slot) de 625 µs

16/12/2010

85

Les états de terminaux Bluetooth

Non connecté

Standby

Connecté

Actif

Inquiry Page

Transmit Connected


Economie

SniffHoldPark

Format d’un paquet Bluetooth

0 à 2745 bits54 bits72 bits

Code d’accès En‐tête Données

8 bits4 bits3 bits 1 bit

Adresse MAC Type HEC

Flot ARQNSEQN

• ARQN = Automatic Repeat reQuest sequence Number• HEC = Header Error Control• MAC = Medium Access Control• SEQN = SEQuence Number


16/12/2010

86

IEEE 802.15.4


IEEE 802.15.4

• Wireless à bas debit : LR‐WPAN• Faible consommation d‘ énergie: Cycles

Principales Caractéristiques

g yd'émissions/réceptions et connexions au réseau très rapides

• Principalement utilisée pour les réseaux domotiques• Allocation d'une adresse de 16 ou 64 bits• Deux types de dispositifs :

– FFD (Full Function Device) : coordonne l'ensemble du réseau coordinateur PAN routeur ou dispositif relié à un capteurcoordinateur PAN, routeur ou dispositif relié à un capteur

– RFD (Reduced Function Device) : conçue pour une application très simple (l’allumage d’une lumière par exemple) ne peut communiquer qu'avec un FFD


16/12/2010

87

IEEE 802.15.4

• Fréquences et débits :• 2400 ‐ 2483,5 Mhz : libre sur toute la planète >> 250 kbps, p p• 902 – 928 Mhz : libre aux Etats unis et aux Canada >> 40

kbps• 868 – 868,6 Mhz : libre en Europe >> 20 kbps• Signal robuste et résistant aux interférences (CSMA/CA).• Différentes topologies réseau (star, tree, mesh).• Sécurité : 128‐bit AES

Un exemple particulier => Zigbee


ZIGBEE


16/12/2010

88

ZIGBEE application


Zigbee couche réseau

• Basée sur la norme

IEEE 802.15.4 pour les 2 couches inférieurescouches inférieures.

• Rajoute les couches de gestion du réseau, des objets, et applicatives.


16/12/2010

89

Zigbee: Caractéristiques Réseau


Zigbee en résumé

• Technologie sans fils gérée par la Zigbee alliance• développée sur une norme globale et ouverte afin de• développée sur une norme globale et ouverte afin de cibler les besoins de bas prix et faible consommation d'énergie des réseaux de capteurs sans fils.

• tire tous les avantages de la norme IEEE 802.15.4 et opère dans les bandes de fréquences mondiales non réservées (donc libres de licences).Zi b t t t d d é d• Zigbee est conçu pour transporter des données de manière fiable et sécurisée à travers l'environnement bruité des Radios Fréquences.


16/12/2010

90

802.16 WIMAX


UMA: UNLICENSED MOBILE ACCESS


16/12/2010

91

UMA: Unlicensed Mobile Access

A quoi correspond l'UMA ? Quel est son intérêt ?

• UMA signifie Unlicensed Mobile Access Cette norme de communication se veut• UMA signifie Unlicensed Mobile Access. Cette norme de communication se veut être la passerelle entre le monde de la téléphonie mobile et celui des réseaux mobiles IP.

• Concrètement, l'UMA assure la transmission des communications (roaming) entre un réseau 2,5G , 3G ou 4G vers un réseau local sans fil tel le WiFi ou le Bluetooth. Ainsi, un employé quittant le réseau local de l'entreprise peut poursuivre sa communication, auparavant en voix sur IP, sur un réseau de téléphonie traditionnel.

• l'UMA fonctionne également dans le sens inverse. Il s'agit alors d'offrir aux collaborateurs les mêmes applications métiers en dehors du réseau de l'entreprise.

fi l à i d' élé h bi d l' ili d i i éd à• Au final, à partir d'un téléphone bimode, l'utilisateur doit pouvoir accéder à l'ensemble de ses services voix/données quel que soit le réseau emprunté.

• Cette technologie, encore jeune, convient aux entreprises tournées à la fois vers des systèmes de téléphonie sur IP et des applications mobiles.

• La première version de cette norme a été finalisée en septembre 2004.




16/12/2010

92


Comment fonctionne cette technologie ?

• Dès qu'un téléphone portable établit une communication dans la zone de• Dès qu un téléphone portable établit une communication dans la zone de couverture d'un point d'accès WiFi, celui‐ci est automatiquement rattaché à la base radio pour émettre ces informations.

• Un logiciel client installé sur le téléphone encapsule dans les paquets IP émis, les données nécessaires aux réseaux GPRS ou UMTS comme la localisation ou la voix.

• Ces paquets sont ensuite transmis via le réseau IP de l'entreprise jusqu'au contrôleur UMA, nommé UNC pour UMA Network Controller.

• Ce point central du réseau se charge de transmettre aux réseaux des opérateurs, les informations nécessaires. Il réoriente les paquets IP et les communications UMTS ou GPRS en fonction des informations de localisations dont il dispose et l l i d' è d dé l d l' ili i i lalerte les points d'accès des déplacements de l'utilisateur, assurant ainsi la continuité des communications.

• Enfin, la passerelle UNC authentifie l'utilisateur avant sa connexion au réseau cellulaire.



• Quels en sont les avantages et les inconvénients ?– réduction des coûts A travers la technologie de voix sur IPréduction des coûts. A travers la technologie de voix sur IP, seuls les communications émanant de la passerelle UNC vers les réseaux cellulaires seront facturés.

– l'UMA étend la disponibilité des applications IP à l'extérieur de l'entreprise par une liaison sécurisée en VPN.

– Pour les opérateurs mobiles, l'UMA couvre à moindre frais des zones où la réception cellulaire n'atteint pas un niveau suffisant

– l'inconvénient de la technologie reste les vulnérabilités qu'offrent les protocoles de voix sur IP tels SIP ou H.323 à l'intérieur de l'entreprise.


16/12/2010

93


Où en est l'adoption de cette norme ?

• le 3GPP, organisme en charge du développement des réseaux GSM/UMTS, intègre l'UMA depuis la version 6 de la 3G, soit depuis le mois de mars 2005.

• Entre les mains du 3GPP, l'UMA a été renommé GAAI pour Generic Access to A/Gb Interface.



16/12/2010

94

[1] Daniel Azuelos, Architecture des réseaux sans fil, 2005,

[2] Matthew Gast 802 11 Réseaux sans fil 2e

Références bibliographiques

[2] Matthew Gast, 802.11 Réseaux sans fil, 2e édition, O’Reilly, 2005

[3] L.Saccavini, Le protocole IEEE 802.1X, 2003,[4] N.Cam-Winget, Tim Moore, Dorothy Stanley, Jesse

Walker, IEEE 802.11i Overview, 2002[5] C.Duvallet, Les réseaux sans fils CNAM SMB 214-

215 Université du Havre[6] C.DIOU - LICM - Université de Metz - Cours Wifi[7] G PUJOLLE les réseaux éditions 2008[7] G.PUJOLLE, les réseaux éditions 2008[8] P.MUHLETHALER, « Wifi et les réseaux 802.11 »,

2002[9] A.TANENBAUM, « Réseaux », 4éme édition 2008


ANNEXES


16/12/2010

95

VLAN


Introduction aux VLAN

• Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique.

• En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique (contraintes géographiques, contraintesphysique (contraintes géographiques, contraintes d'adressage, ...) en définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à des critères (adresses MAC, numéros de port, protocole, etc.).


16/12/2010

96

Typologie de VLAN

Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau auquel il s'effectue :

• Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port‐Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur;

• Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address‐Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station ;

• Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 : – Le VLAN par sous‐réseau (en anglais Network Address‐Based VLAN) associe des sous‐réseaux selon l'adresse

IP source des datagrammes. Ce type de solution apporte une grande souplesse dans la mesure où la configuration des commutateurs se modifient automatiquement en cas de déplacement d'une station. En contrepartie une légère dégradation de performances peut se faire sentir dans la mesure où les p g g p pinformations contenues dans les paquets doivent être analysées plus finement.

– Le VLAN par protocole (en anglais Protocol‐Based VLAN) permet de créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même protocole au sein d'un même réseau.


Les avantages du VLAN

• Le VLAN permet de définir un nouveau réseau au‐dessus du réseau physique et à ce titre offre les dessus du réseau physique et à ce titre offre lesavantages suivants :

• Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs

• Gain en sécurité car les informations sont• Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées

• Réduction de la diffusion du traffic sur le réseau


16/12/2010

97

Plus d'informations sur le VLAN

• Les VLAN sont définis par les standards IEEE 802 1D 802 1 802 1Q t 802 10 P l802.1D, 802.1p, 802.1Q et 802.10. Pour plus d'information il est donc conseillé de se reporter aux documents suivants :

• IEEE 802.1D

• IEEE 802 1QIEEE 802.1Q

• IEEE 802.10


Documents

Wlan Esigetel Km 2010 2011