Upload
mabrouk
View
398
Download
6
Embed Size (px)
DESCRIPTION
Cours WLAN 802.11
Citation preview
16/12/2010
1
Wireless Networks
2010‐2011
Objectif et déroulement du cours
Présenter les principaux réseaux sans fils:•Les réseaux personnels : Bluetooth, UWB, Zigbee, etc.•Les réseaux locaux : WIFI, etc.Les réseaux locaux : WIFI, etc.•Les réseaux métropolitains : WiMAX, UMA.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 2
6 Cours1 TP1 DS
16/12/2010
2
Plan
Introduction
802 11802.11
802.15
802.16
UMA
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 3
Introduction: Pourquoi le sans fil?
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 4
Réseau traditionnel
16/12/2010
3
Introduction: Pourquoi le sans fil?
• Le sans‐fil! Pourquoi?
P f ilit l i d tili t– Pour faciliter la connexion des utilisateurs itinérants, en particulier dans les espaces collectifs
– Pour connecter des locaux impossibles ou trop coûteux à câbler (amiante, monument historique) [exp: e‐blink]
– Pour mettre en place une connexion provisoire (travaux, événementiel)
– Pour offrir le service internet (Cyber…)– Le sans fil n'est pas destiné à remplacer
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 5
Le sans fil n est pas destiné à remplacer intégralement le câblage filaire (fiabilité, débit)
Il n’est pas fait pour connecter des serveurs !
Introduction: Le monde sans fil
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 6
16/12/2010
4
Introduction: Le monde sans fil
MBWAWimax
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 7
Principales normes des réseaux sans‐fil
Introduction: Le monde sans fil
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 8
Catégories des réseaux sans fil
16/12/2010
5
Introduction: Le monde sans fil
• Aucune technologie sans fils n’est parfaite : c’est toujours un équilibre entre différents facteurs (portée, débit, etc.).
• Augmentation constante des performances grâce à la recherche .
• Des performances accrues permettront de nouveaux usages.
Shannon 1949C=B x log (1+SNR)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 9
• Technologies sans-fil gourmandes en terme de bande passante
nécessité de partager « judicieusement» ce média
ÉLES BANDES DE FRÉQUENCES
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 10
16/12/2010
6
Les bandes de fréquences
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 11
Les bandes de fréquences
Deux groupes sont représentés
• les technologies pour les téléphones portables (de 824 à 2170 MHz)
• les technologies utilisées pour l'informatique.– pour les WPAN et les WLAN, fonctionnent sur deux bandes :
• la bande ISM (Industrial Scientific Medical) de 2400 à 2500 MHz• la bande U‐NII (Unlicensed‐National Information Infrastructure) de 5150 à5720
MHz.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 12
16/12/2010
7
Les bandes de fréquences
• Bande ISM :‐La bande ISM correspond à trois sous bandes (902‐928 MHz, 2.400‐2.4835 GHz, 5.725‐5.850 GHz).
‐ la bande de 2.400‐2.4835 GHz, avec une bande passante de 83,5 MHz, est utilisée par la norme 802.11.‐ La sous‐bande 2.400‐2.4835 GHz, est fortement utilisée par différents standards et perturbée par des appareils (four à micro ondes, clavier et souris sans fil…) fonctionnant dans ces fréquences.
• Bande U‐NII :La bande U‐NII (5 .15‐5.35 GHz, 5.725‐5.825 GHz) offre une bande passante totale de 300MHz, chacune utilisant une puissance de signal différente.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 13
Les bandes de fréquences
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 14
16/12/2010
8
NORMALISATION 802.11
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 15
Normalisation 802.11
« Wi‐Fi » est un label d'interopérabilité délivré par la Wi‐Fialliance : groupement de constructeurs qui publie des listes d d i ifiéde produits certifiés
(http://www.wi‐fi.org/)• 802.11 (1997) : jusqu’à 2 Mb/s• 802.11 (1999) : Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) Specifications• 802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz
(supplément à 802 11)(supplément à 802.11)• 802.11a (1999) : 54 Mb/s dans la bande des 5 GHz
(supplément à 802.11)• 802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz
(amendement à 802.11) compatible avec 802.11b
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 16
16/12/2010
9
Normalisation 802.11
• 802.11f (2003) : Inter Access Point Protocol (IAPP) gestion de la mobilité802 11h (2003) l' ili i d 802 11 E él i• 802.11h (2003) : pour l'utilisation de 802.11a en Europe, sélection dynamique de canal et gestion de la puissance d'émission
• 802.11i (2004) : sécurité• 802.11e (2005) : qualité de service• Travaux en cours :
– 802.11k : mesure de la qualité de la liaison radio– 802.11n : débit > 100 Mb/s– 802 11r : transfert rapide de connexion entre bornes– 802.11r : transfert rapide de connexion entre bornes– 802.11s : réseaux maillés
• 802.11n (2009) Draft: 270 Mbits/s ou 300 Mbits/s (2,4GHz/5GHz ) (amélioration à 802.11a)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 17
COMPOSANTS ET ARCHITECTURE 802.11
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 18
16/12/2010
10
Architectures
Deux possibilités:
– Mode “infrastructure” classique• Similaire au téléphone cellulaire• Basé sur des cellules au milieu desquelles se trouve un point d’accès• En général antenne omnidirectionnelle
– Mode “Ad Hoc” : mode point à point (ordinateur à ordinateur)• sans points d’accès (configuration particulière de la carte WIFI)p ( g p )• Possibilité d’antennes directionnelles pour le mode Ad Hoc
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 19
Architecture: Mode infrastructure
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 20
16/12/2010
11
• BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent encommunication
Architecture: Mode infrastructure
communication
• ESS (Extended Service Set):ensemble de BSS interconnectés par un systèmede distribution
• DS (Distribution System) : réseau de connexion de points d’accès– peut être filaire (par exemple Ethernet)– Sans ‐fil: on parle de WDS (Wireless DS)
• ESSID (ESS Identifier) défini un ESS (32 caractères en ASCII): nom du réseau– C’est celui qui apparaît dans la liste des réseaux wifi présents (souvent
abrégé SSID)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 21
Architecture: Mode infrastructure
• Les cellules se recouvrant utilisent des plages de fréquence différentes
• Si les cellules se recouvrent : possibilités de changer de cellule sans perte de connexion
S i d’i i é R i• Service d’itinérance Roaming
• Mécanisme pour implémenter ce service: le “handover”(Norme 802.11f)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 22
16/12/2010
12
Architecture: le mode Ad‐Hoc
• Les machines utilisateurs servent de routeurs entre elles
• Infrastructure du réseau dynamiquey q
• On parle de IBSS: Independent Basic Service Set
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 23
Architecture: le mode Ad‐Hoc
• Une station peut partager un accès à Internet: le réseau fonctionne comme un BSS
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 24
16/12/2010
13
ARCHITECTURE EN COUCHES 802.11
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 25
Architecture en couches 802.11
• La norme IEEE 802.11 définit les deux premières couches du modèle OSI:La couche physique et la couche liaison de donnéesLa couche physique et la couche liaison de données.
• La couche liaison de données est subdivisée en deux sous‐couches, lasous‐couche LLC (Logical Link Control) et la couche MAC (Medium AccessControl).
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 26
16/12/2010
14
Couche PHY
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 27
Couche PHY
Emission / réception radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 28
16/12/2010
15
Couche PHY: 802.11 FHSS• FHSS (Frequency Hopping Spread Spectrum)
désigne une technique d'étalement de bande fondée sur le saut de fréquence.• la bande ISM des 2.4 GHz est divisée en 79 canaux ayant chacun 1 MHz de largeur
de bande. • Pour transmettre des données, l'émetteur et le récepteur s'accordent sur une
séquence de sauts précise qui sera effectuée sur ces 79 sous‐canaux.séquence de sauts précise qui sera effectuée sur ces 79 sous canaux.
Exemple: 3 stationssur 7 intervalles detempsEmission simultanée
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 29
mais pas sur le mêmecanal
Couche PHY: 802.11 DSSS
DSSS (Direct Sequence Spread Spectrum)‐ Technique plus répandu dans la 802.11b‐14 canaux de 20 MHzLa largeur de la bande ISM étant égale à 83 5 MHz il est impossible d'y‐La largeur de la bande ISM étant égale à 83.5 MHz, il est impossible d'yplacer 14 canaux adjacents de 20 MHz.‐Les canaux se recouvrent donc, comme illustré à la figure suivante.Fréquence crête espacées de 5MHzcanal 1 = 2,412 GHZ; canal 14 =2,477GHZ
Décomposition de la bande ISM en sous canaux de 20 MHz
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 30
16/12/2010
16
Couche PHY: 802.11DSSS
• Canaux recouvrant: inexploitables simultanément
• Interférence entre 2 canaux se recouvrant: au maximum 4 canaux nonrecouvrant simultanément
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 31
Couche PHY: IEEE.802.11b (WiFi)
• En 1999, une nouvelle couche physique, 802.11b, plus communément appelée Wi‐Fi, a été ajoutée
• Fonctionnant toujours dans la bande ISM, cette couche physique utilise une extension du DSSS, appelée HR/DSSS (High Rate DSSS).
• Le HR/DSSS utilise le même système de canaux que le DSSS. Le problème du choix d'un canal permettant la colocalisation de différents réseaux reste donc entier.
• Le HR/DSSS possède une meilleure efficacité spectrale que le DSSS et il permet d'offrir deux débits : 5.5 Mbit/s ou 11 Mbit/s.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 32
16/12/2010
17
Couche PHY: IEEE.802.11b (WiFi)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 33
Débit/porté
Couche PHY: Wi‐Fi5 (IEEE.802.11a)
• Contrairement à Wi‐Fi, Wi‐Fi5 n'utilise pas la bande ISM mais la bande U‐NII située autour de 5 GHz. Cette bande offre une largeur égale à 300 MHz (au lieu des 83.5 MHz de la bande ISM).
• La forme d'onde utilisée en IEEE 802.11a est similaire à une norme ETSI appelée HiperlanII.
• Utilisation d’une approche OFDM
• La norme 802.11a permet d'obtenir un haut débit (54 Mbit/s théoriques).
• La norme 802.11a spécifie 8 canaux radio dans la bande de fréquence des 5 GHz.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 34
16/12/2010
18
Couche PHY: Wi‐Fi5 (IEEE.802.11a)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 35
Couche PHY : IEEE 802.11g
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 36
16/12/2010
19
Couche PHY: IEEE 802.11n
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 37
• Normalisation en 2009
Couche PHY
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 38
16/12/2010
20
Couche PHY : MIMO
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 39
Couche PHY
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 40
16/12/2010
21
La couche liaison de données
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 41
La couche liaison de données: la couche MAC
• la sous‐couche MAC est redéfinie par la norme 802.11 .
• Elle caractérise l'accès au média de façon commune aux différentes normes 802.11 physiques
• Elle est équivalente à la norme 802 3 Ethernet avec des fonctionnalités• Elle est équivalente à la norme 802.3 Ethernet avec des fonctionnalités nécessaires aux transmissions radio : la fragmentation, le contrôle d'erreur (CRC), les retransmissions de paquet et les accusés de réception…
• La couche MAC définit deux méthodes d'accès différentes:
‐DCF(Distributed Coordination Function ) appelée aussi mode d'accès à compétition
‐ PCF ( Point Coordination Function ) appelée mode d'accès contrôlé.
• La méthode DCF est utilisée par les modes architecturaux Ad‐Hoc et infrastructure, tandis que la méthode PCF n'est utilisée que par le mode infrastructure.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 42
16/12/2010
22
DCF( Distributed Coordination Function )
DCF• méthode d'accès générale pour le transfert de données asynchrones, sans g p y ,
gestion de priorité• repose sur le CSMA/CA
Le CSMA/CACarrier Sense Multiple Acces/Collision Avoidance
• Accès aléatoire avec écoute de la porteuse: évite plusieurs transmissions simultanées, réduit le nombre de collisions
• impossible de détecter les collisions: il faut les éviter
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 43
impossible de détecter les collisions: il faut les éviter– écoute du support– back‐off– réservation – trame d'acquittement positif
DCF( Distributed Coordination Function )
L‘ écoute du support:• Couche PHY: Physical Carrier Sense (PCS)• Couche PHY: Physical Carrier Sense (PCS)
– détecte et analyse les trames– fait appel au PLCP (Physical Layer Convergence Protocol)
• Couche MAC: Virtual Carrier Sense (VCS)– réserve le support via le PCS– deux types de mécanismes:
• réservation par trames RTS/CTS
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 44
réservation par trames RTS/CTS• utilisation d'un timer (NAV: Network Allocation Vector) calculé par toutes les stations à l‘écoute
– utilisation optionnelle: trames RTS/CTS à 1Mbits/s, font chuter le débit moyen de 11Mbits/s à 6Mbits/s.
Request to Send and Clear to Send
16/12/2010
23
DCF( Distributed Coordination Function )
• Le back‐off– Fenêtre de contention CW et un timer Tb k ff= random (0 CW) x timeslotFenêtre de contention CW, et un timer Tbackoff random (0,CW) x timeslot
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 45
DCF( Distributed Coordination Function )
L’ accès au support• Mécanisme d’espacement entre deux trames: IFS
• 4 types d’Inter‐Frame Spacing:– SIFS: Short IFS: sépare les différentes trames d’un même dialogue (données et ACK, RTS et CTS, différents fragment
d’une trame segmentée, trame de polling en mode PCF )
– PIFS: PCF IFS = SIFS + 1 timeslot: accès prioritaire, mode PCF
– DIFS: DCF IFS = SIFS +2 timeslots: mode DCF
– EIFS: Extended IFS: le plus long, uniquement en mode DCF, lorsqu’une trame de donnée est erronée attente de l’acquittement
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 46
16/12/2010
24
DCF( Distributed Coordination Function )
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 47
DCF( Distributed Coordination Function )
• Exemple de transmission
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 48
16/12/2010
25
PCF ( Point Coordination Function )
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 49
DTIM: Delivery Traffic Indication Message
Durée définie par L’AP
Network Allocation Vector
La couche liaison de données: la couche LLC
• Définie par le standard IEEE802.2
• Permet une compatibilité avec n'importe quel autre réseau 802.xp p q
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 50
16/12/2010
26
TRAME 802.11
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 51
Trame 802.11
• La norme 802. 11 dispose de 3 types de trames:T d i (MMPDU MAC M– Trame de gestion(MMPDU: MAC Management Protocol Data Unit)
• Permet de créer :– l’architecture du réseau (accrochage d’une station à un point d’accès, authentification, publication des fonctions supportés dans le réseaux et des vitesses de transmissions)
Trame de contrôle– Trame de contrôle• Gestion de l’accès au medium de communication
– Trame de donnée (MSDU: MAC Service Data Unit)• Porte l’information échangée (Payload)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 52
16/12/2010
27
Trame de Gestion
Il existe quatre familles (‘types ’) de trames de gestion :
• Trames liées aux fonctions d’association‐désassociation
• Trames d’interrogation du voisinage radio
• Trames liées aux fonctions d’authentification
• Trames balises, utilisées par le point d’accès pour diffuser des informations dans le BSS, gestion du mode économie d’énergie grâce aux balises TIM et DTIM.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 53
Trame de Contrôle
• Les trames de contrôle permettent l’accès au support et ont pour fonction d’envoyer les commandes et informations de supervision aux éléments du réseauaux éléments du réseau.
Trames principales :
• RTS (Request to send) est utilisé pour réclamer le droit de transmettre une trame de données.
• CTS (Clear To Send) correspond à la réservation du canal pourCTS (Clear To Send) correspond à la réservation du canal pour émettre une trame de données
• ACK permet l’acquittement des trames de données
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 54
16/12/2010
28
Format général de trame 802.11
Structure de la trame MAC
MAC payloadAddr 1 Addr 2 Addr 3 Addr 4 (optional)
CRC
Champ de durée (contient la valeur du NAV )
Numéro de séquence
Network Allocation Vector
K.MABROUK ESIGETEL Wireless Networks 55
Champ de contrôle (type de trame & different bits de flag)
Un byte (8 bits)
16/12/2010
Network Allocation Vector
Trame de contrôle
Contenue de champ de contrôle
un bitun bit
1 2 3 4 5 6 7 8Protocol Subt. of frameType …
Protocol: Indique IEEE 802.11 MAC
Type: 00 (Management frames) 01 (Control frames)10 (Data frames)
K.MABROUK ESIGETEL Wireless Networks 56
Subtype of frame: Décrit le type de gestion, contrôle, ou donnée de trame avec plus de détails (exp. ACK => 1101)
16/12/2010
16/12/2010
29
Trame 802.11
Flags dans le champ de contrôle
1 bit1 bit
1 2 3 4 5 6 7 8Protocol Subt. of frameType …
1: Bit is set if frame is sent to AP2: Bit is set if frame is sent from AP3: Used in fragmentation4: Bit is set if frame is retransmitted5: Power management bit (power saving operation)
K.MABROUK ESIGETEL Wireless Networks 57
g (p g p )6: More data bit (power‐saving operation)7: Bit is set if WEP is used8: Strict ordering of frames is required
16/12/2010
Trame 802.11
Utilisation des champs d’adresses dans la trame MAC
Addr 1 Addr 2 Addr 3 Addr 4
Adresse 1: Récepteur (Wireless station ou AP)
Adresse 2: Emetteur (Wireless station ou AP)
Adresse 3: Principale source/destination (routeur dans le DS)
K.MABROUK ESIGETEL Wireless Networks 58
Adresse 3: Principale source/destination (routeur dans le DS)
Adresse 4: Seulement utilisée dans des solutions de ”Wireless Bridge”
LANLAN LANLANAP AP
16/12/2010
16/12/2010
30
Trame 802.11
Direction: AP => wireless station
Addr 1 Addr 2 Addr 3
Addr 1: Recepteur (wireless station)
Addr 2: Transmetteur= BSSID (AP)
Addr 3: source principale (routeur)
Routeur
23
K.MABROUK ESIGETEL Wireless Networks 59
APBSSID: MAC address of AP
SSID:Nom Alphanumeric de l’ AP (or BSS)1
16/12/2010
ÉFONCTIONNALITÉS
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 60
16/12/2010
31
Fonctionnalités
1. Fragmentation et réassemblage
2. Variation du débit
3. Gestion de la mobilité
4. Economie d'énergie
5. Qualité de service
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 61
Fragmentation et réassemblage
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 62
16/12/2010
32
Fragmentation et réassemblage
Mécanisme d'émission d'une trame fragmentée
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 63
Fragmentation et réassemblageEmission d'une trame fragmentée avec réservation du support
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 64
16/12/2010
33
Fragmentation et réassemblage
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 65
Variation du débit
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 66
16/12/2010
34
Variation du débit
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 67
Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 68
16/12/2010
35
Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 69
Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 70
16/12/2010
36
Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 71
Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 72
16/12/2010
37
Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 73
Économie d’énergie
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 74
16/12/2010
38
• Qualité de service?
• Les 3 axes principaux de la QoS sont:
Qualité de service
• En effet le but de le la QoS sont:• En effet, le but de le la QoS sont:
– Optimiser les ressources du réseau– Garantir un degré de performances aux applications– Offrir aux utilisateurs des débits importants et des temps de réponse rapides
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 75
Qualité de service
• Méthode PCF jamais utilisée car technique non adoptée par les constructeurs.
• EDCF: évolution du DCF introduite dans IEEE802.11e
Gestion des priorités: accès EDCF (Extendend DCF)
• Accès au support selon le niveau de priorité de la trame
• 8 niveau de priorité: 8 files d’attente de transmission
• Mécanisme TxOP : Transmissions opportunities
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 76
16/12/2010
39
Qualité de service
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 77
Qualité de service
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 78
16/12/2010
40
É ÉSÉCURITÉ
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 79
Sécurité
• Média partagé => les écoutes sont possibles
• Pas de limite franche ni visible au delà de laquelle la
Risques liés aux réseaux sans fil
• Pas de limite franche ni visible au delà de laquelle la réception est impossible, donc en l'absence de mécanismes appropriés n'importe qui peut :– écouter le réseau
– se connecter au réseau
• Le signal peut être brouillé par une source extérieure
• Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 80
16/12/2010
41
Sécurité
• 1999 : WEP (802.11)• 2001 : 802 1X
Historique et terminologie
• 2001 : 802.1X=> authentification 802.1X + chiffrement WEP dynamique=> Il permet de contrôler l'accès aux équipements d'infrastructures réseau
• 2003 : WPA (Wi‐Fi Protected Access) :spécification publiée par la Wi‐Fi Alliance, et reprenant une bonne partie du draft 3 0 de 802 11i en attendant la ratification de la normedu draft 3.0 de 802.11i en attendant la ratification de la norme
• 2004 : 802.11i Amd n°6 MAC Security Enhancements
• WPA2 : label de la Wi‐Fi Alliance pour 802.11i
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 81
Sécurité
• Wireless Equivalent Privacy• Intégré à la norme 802 11 de 1999
WEP
• Intégré à la norme 802.11 de 1999• Principes :
– clé secrète (40 ou 104 bits) partagée par toutes les stations– authentification par défi / réponse– confidentialité par chiffrement symétrique
• Problèmes et limitations– la clé peut être découverte par simple écoute du réseau avec des logiciels du domaine public (AirSnort, Aircrack…)
– pas de mécanisme de distribution des clés
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 82
16/12/2010
42
Sécurité
• 802.1X permet une authentification « sérieuse » des utilisateurs avant connexion au réseau
802.1X + WEP dynamique
• Les clés sont générées à l’aide de protocoles de chiffrement et distribuées sous forme chiffrée sur le réseau sans fil
• Une clé WEP par utilisateur et par session• Clé commune pour les trames multicast• Renouvelée suffisamment souvent dans le courant de la
session pour qu’elle ne puisse pas être découverte (~ quelques minutes)quelques minutes)
• Avantages :– empêche la découverte des clés– distribution automatique des clés
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 83
Sécurité
Port‐Based Network Access Control (2001, révision 2004)• Protocole permettant de n'autoriser l'accès à un port réseau
' è h ifi i
802.1 X
qu'après authentification• Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802• port réseau = port de commutateur (802.3)
association (802.11)• Composants :
– système à authentifier (supplicant ) : qui demande l'accès au réseau– système authentifiant ou relais d’authentification (authenticator ) :
t ôl l’ è é• contrôle l’accès au réseau• ne fait que relayer les échanges d’authentification avec le serveur
– serveur d'authentification : détermine si le système à authentifier est autorisé à accéder au(x) service(s) dont l'accès est contrôlé par le relais
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 84
16/12/2010
43
Sécurité
802.1X : port contrôlé et port non contrôlé
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 85
Sécurité
802.1X : authentification
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 86
16/12/2010
44
Sécurité
• EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
EAP
– développé à l'origine pour l’authentification des utilisateurs se connectant en PPP sur des serveurs d’accès distants
– permet d'encapsuler différents protocoles d'authentification et donc de ne pas les implémenter dans le serveur RAS, qui les relaie vers un serveur d'authentification
– l'authentification elle‐même repose sur des « méthodes » (protocoles) définies par ailleurs et encapsulées dans EAP
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 87
Sécurité
• LEAP, TLS, TTLS, PEAP, EAP‐FAST• LEAP (Lighweight EAP)
Méthodes EAP
– Propriété Cisco– Authentification mutuelle du client et du serveur par MS‐CHAPv1– Clés dynamiques dérivées des échanges MS‐CHAP– Problèmes de sécurité liés à l’utilisation de MS‐CHAPv1 => obsolète
• TLS– RFC 2716– Authentification mutuelle du client et du serveur par certificats X.509
Permet de dériver des clés de chiffrement– Permet de dériver des clés de chiffrement– Méthode d’authentification de facto pour 802.11i
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 88
16/12/2010
45
Sécurité
• TTLS– draft‐ietf‐pppext‐eap‐ttls‐05
Méthodes EAP
– Authentification du serveur par certificat X.509– Utilisation du tunnel chiffré TLS pour faire passer un autre protocole
d’authentification: PAP, CHAP, MD5, MS‐CHAP…– authentification interne par AVP (paires attribut‐valeur)
• PEAP (Protected EAP)– ≈ TTLS– Utilisation du tunnel chiffré TLS pour faire passer un autre échange
EAP (EAP over EAP)• Avantage / TLS : possibilité de réutiliser les systèmes
d’authentification existants (annuaire LDAP par exemple)• EAP‐FAST (Cisco) : fait pour accélérer la réauthentification lors d’un
handover
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 89
Sécurité
802.1X : protocoles
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 90
16/12/2010
46
Sécurité802.1X : EAPoL
• définition EAPoL : EAP over LAN encapsulation des paquets EAP sur les réseaux 802encapsulation des paquets EAP sur les réseaux 802– champ Type Ethernet = 0x888E
• 4 types de message :– EAP‐Start : envoyé au PA par la station qui veut démarrer l’authentification
– EAP‐Logoff : envoyé par la station, le port est remis dans l’état non autorisé par le PA
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 91
l’état non autorisé par le PA– EAP‐Packet : transporte les informations d’authentification– EAP‐Key : pour transmettre une clé entre le PA et la station
Sécurité
• Remote Authentication Dial In User Service
• originellement (RFC 2138 ‐> 2865) défini pour le transport d’informations
RADIUS
g ( ) p pd’authentification et de configuration entre un serveur d’accès distant et un serveur d’authentification
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 92
16/12/2010
47
Sécurité
• Utilise le port UDP 1812• repose sur un secret partagé entre le serveur et le client (ici le point
d’ è )
RADIUS
d’accès)• Les messages EAP sont encapsulés dans 4 types de trames :
– messages point d’accès ‐> serveur : Access Request– messages serveur ‐> point d’accès relayés vers la station : Access
Challenge– messages serveur ‐> point d’accès indiquant que l’authentification a
réussi : Access Accept– messages serveur ‐> point d’accès indiquant que l’ authentification a
é h ééchoué : Access Reject• RADIUS ‐> DIAMETER (RFC 3588 9/2003)
– site officiel & logiciel open source – http://www.opendiameter.org
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 93
Sécurité
802.1X : dialogue EAP
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 94
16/12/2010
48
Sécurité
802.1X : dialogue EAP‐ authentification• 4 types de paquets EAP :
Request, Response, Success, Failureq p
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 95
Sécurité
• Reposent également sur l’authentification 802.1X
WPA et 802.11i
• Deux modes :– « personnel » pour environnements SOHO
– « entreprise » pour les structures plus importantes
• Gestion et distribution des clés
• Deux nouveaux mécanismes de chiffrement :Deux nouveaux mécanismes de chiffrement :– TKIP Temporal Key Integrity Protocol (WPA)
– CCMP(Chaining Message Authentication Code Protocol) (802.11i)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 96
16/12/2010
49
Sécurité
• Authentification de la station par le serveur d’authentification avant que le point d’accès ne lui accorde l’ è é
WPA/802.11i : principe
l’accès au réseau=> dérivation d’une clé maîtresse connue du serveur et du
client (et d’eux seuls)• clé maîtresse => dérivation d’une clé maîtresse « pair à pair
» (PMK: Opportunistic Pairwise Master Key)– par la station– fournie par le serveur au point d’accèsp p
• PMK => dérivation des clés de session (unicast, multicast)• Authentification du serveur par la station
– important dans l’environnement sans fil (points d’accès sauvages)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 97
Sécurité
WPA/802.11i : fonctionnement
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 98
16/12/2010
50
Sécurité
• Mode d’authentification = ouvert• Le point d’accès annonce les politiques de sécurité
WPA/802.11i : phase 1
Le point d accès annonce les politiques de sécurité supportées dans les trames Beacon et Probe Response
• RSNA : Robust Security Network Association• Ajout d’un champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response
• Le champ RSN IE décrit :p– le type de chiffrement du trafic unicast et multicast :
• WEP‐40, WEP‐104, TKIP, CCMP (défaut)– la méthode d’authentification et de gestion des clés :
• 802.1X (défaut), clé pré‐partagée
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 99
Sécurité
WPA/802.11i : phase 1
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 100
16/12/2010
51
Sécurité
WPA/802.11i : phase 2 et 3
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 101
Sécurité
Génération des clés (suite) :
WPA/802.11i : phase 2 et 3
• procédure dite 4‐way handshake : échange de 4 messages EAPoL‐Key qui permettent de:– s’assurer que le client détient bien la PMK
– de dériver un ensemble de clés de chiffrement et d’intégritég
• à partir de la PMK, des adresses MAC du client et du point d’accès de deux nombres aléatoires
• de chiffrer le transport de la clé de groupe
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 102
16/12/2010
52
Sécurité
• destiné aux réseaux Adhoc et réseaux personnels (à domicile)
WPA/802.11i : mode « personnel »
(à domicile)• même mécanisme de découverte de la politique de sécurité
• pas d’authentification 802.1X• clé pré‐partagée est dérivée d’un mot de passe et sert directement de PMKsert directement de PMK
• même procédure de 4‐way handshake• mêmes techniques de chiffrement : TKIP CCMP
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 103
Sécurité
• Temporal Key Integrity Protocol• Amélioration de WEP
TKIP
• Chiffrement RC4 (pour pouvoir utiliser les mêmes puces)• Clé de chiffrement des trames est dérivée d’une clé
maîtresse (<> WEP où la clé maîtresse chiffre directement les trames)
• Une clé différente pour chaque trame• Ajout d’un numéro de séquence pour contrer les attaques
par rejeu (« replay attaque »)par rejeu (« replay attaque »)• Ajout d’une séquence de contrôle d’intégrité (y compris sur
adresse source)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 104
16/12/2010
53
Sécurité
• Chiffrement CCMP
802.11i : nouveautés par rapport à WPA
– Counter Mode with CBC‐MAC Protocol
– Sans souci de compatibilité avec WEP => nouvelles puces
– Chiffrement AES
• Pré‐authentification (pour le handover)Pré authentification (pour le handover)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 105
ÉARCHITECTURE DE RÉSEAU
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 106
16/12/2010
54
Architecture de réseau
• Spécifications du projet : un réseau sans fil…• où ça ?
– dans des zones précises : bibliothèque cafétéria
Avant de commencer
dans des zones précises : bibliothèque, cafétéria…– dans l’ensemble du/des bâtiments– et aussi dans le parc ?
• pour qui ? nombre et type d’utilisateurs– personnel permanent– invités (ayant à travailler avec le labo)– gens de passage : colloques, formations…
• pour quoi faire ?– au minimum : offrir un accès internet– un peu plus : accès à une imprimante locale
è à l’ bl d d é– au maximum : accès à l’ensemble des ressources du réseau– En général, tout ça en même temps pour différentes catégories d’utilisateurs
• avec quels équipements ?– type de plate‐forme : matériel, système d’exploitation
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 107
Architecture de réseau
réseau sans fil isolé du réseau filaire
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 108
16/12/2010
55
réseau sans fil isolé du réseau filaire
Architecture de réseau
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 109
DMZ: demilitarized zonePare‐feu
Architecture de réseau
Réseau sans‐fil isolé du réseau filaire
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 110
16/12/2010
56
Architecture de réseau
• accès aux équipements actifs :– autorisé depuis le réseau filaire
Réseau sans‐fil isolé du réseau filaire
p– interdit depuis le réseau sans fil
• accès autorisés du réseau sans fil vers le réseau filaire :– au serveur DHCP– aux serveurs DNS– aux services publics (web etc.)– aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS, SSH… (pour les utilisateurs internes)
• accès du sans fil vers le reste de l’internet– peut être limité à certains ports (sans être trop restrictif)– empêcher les connexions entrantes
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 111
Architecture de réseau
Réseau sans‐fil isolé du réseau filaire
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 112
16/12/2010
57
Architecture de réseau
• Solution (presque) idéale pour les petites structures• Inconvénient (de taille) : absence de contrôle d’accès au
Réseau sans‐fil isolé du réseau filaire + VPN
( )réseau sans fil– risque dépendant de l’environnement– possibilité d’utilisation illicite des réseaux– responsabilité vis‐à‐vis d’Internet en général
• Améliorations possibles :– WEP
• ≈ réseau ouvert réseau ouvert• mais personne ne peut s’y connecter par hasard
– panneau « Accès réservé »• OK pour une petite structure (quelques bornes), au‐delà problème de gestion des clés
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 113
Architecture de réseau
• Améliorations possibles (suite):– contrôle d’accès par adresse MAC
Réseau sans‐fil isolé du réseau filaire + VPN
p• peut être local à la borne• ou centralisé sur un serveur RADIUS
• Mise en œuvre avec un serveur RADIUS :– Le PA envoie une requête Access‐Request avec :User‐Name et User‐Password : adresse MAC de la station– Fichier users :00904b1d9fd8 A h T L l00904b1d9fd8 Auth‐Type:=Local, User‐Password ="00904b1d9fd8"
Avantage de ces solutions : fonctionnent avec tous les clients
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 114
16/12/2010
58
ÈArchitecture de réseau
PORTAIL WEB D’ACCÈS
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 115
Portail web d’accès
• « portail captif »
Portail web d’accès
• Logiciels libres :– NoCat (http://nocat.net/)
– NoCatAuth : version originale en Perl
– NoCatSplash : portage en C
– M0n0wall (http://m0n0 ch/wall/)– M0n0wall (http://m0n0.ch/wall/)
– talweg (http://sourcesup.cru.fr/talweg/)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 116
16/12/2010
59
Portail web d’accès
Portail web d’accès: fonctionnement
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 117
Portail web d’accès
• L’autorisation d’accès au réseau se fait par modification des règles de filtrage
Portail web d’accès: fonctionnement
• Fin d’autorisation d’accès ?– bouton « déconnexion » : pas forcément utilisé– par requêtes ARP ou ICMP périodiques
• Protection des échanges– les données d’authentification doivent être échangées en
HTTPS– le reste du trafic n’est pas protégé => recommandations aux p p g
utilisateurs• Solution satisfaisante
– pour l’accueil des visiteurs– parce qu’elle fonctionne avec tous les clients
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 118
16/12/2010
60
Architecture de réseau
AFFECTATION DYNAMIQUE DE VLAN
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 119
Affectation dynamique de VLAN
• La séparation réseau sans fil / réseau filaire– a été imposée par des contraintes de sécurité
Affectation dynamique de VLAN
– compte tenu des fonctionnalités des premiers matériels
• Aujourd’hui les réseaux filaires sont segmentés en VLAN– permet d’attribuer des droits différents à des groupes
d’utilisateurs différents– avec les limites du VLAN par port (VLAN visiteur )
• Affectation dynamique de VLAN– prolonger la structure du réseau filaire sur le réseau sans fil– avec des mécanismes adaptés aux réseaux sans fil
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 120
16/12/2010
61
Affectation dynamique de VLAN
Affectation dynamique de VLAN
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 121
Affectation dynamique de VLAN
• Repose sur l’authentification 802.1X
• le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le
Affectation dynamique de VLAN
• le numéro de VLAN est transmis par le serveur RADIUS au point d accès dans le message Access‐Accept
Tunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=<numéro de VLAN>
• Fonctionne sur le filaire comme sur le sans fil :
– un commutateur Ethernet affecte le port auquel est connecté le client dans le VLAN retourné par le serveur RADIUSp
– un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN correspondant à l’utilisateur
• Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès (nomadisme sur un campus)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 122
16/12/2010
62
Affectation dynamique de VLAN
Affectation dynamique de VLAN
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 123
Affectation dynamique de VLAN
• On peut avoir des fonctionnalités ~ équivalentes à celles des VLAN filaires sur le sans fil à deux
Affectation dynamique de VLAN
à celles des V AN filaires sur le sans fil à deuxconditions :
– un BSSID par VLAN : une station ne traite les trames adressées à des adresses de groupe que si le BSSID est celui du PA auquel elle est associée
– clés de groupe différentes pour chaque groupe d’utilisateurs : pour que les trames ne puissent pas être déchiffrées par toutes les stations
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 124
16/12/2010
63
ÈArchitecture de réseau
POINTS D’ACCÈS VIRTUELS
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 125
Points d’accès virtuels
• Chaque PA peut émettre plusieurs SSID• A chacun de ces SSID est associé :• A chacun de ces SSID est associé :
– un VLAN sur le réseau filaire– une méthode et un serveur d’authentification
• Permet de gérer plusieurs réseaux administrativement distincts sur la même infrastructure
d’ i SS• Permet d’avoir un BSSID par VLAN• Possibilité d’affecter ensuite dynamiquement le VLAN en 802.1X
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 126
16/12/2010
64
Points d’accès virtuels
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 127
Architecture de réseau
COMMUTATEURS SANS FIL
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 128
16/12/2010
65
Commutateur sans fil
• Aussi appelé « contrôleur »• Constructeurs (historiques) : Symbol, Trapeze, Aruba, ( q ) y , p , ,
Airespace (racheté par Cisco)• Boîtier spécialisé placé en coupure (logique) entre le réseau
filaire et le réseau sans fil• Un certain nombre de fonctions habituellement gérées
dans les points d’accès sont déportées sur le commutateur– authentification– associationassociation– chiffrement– interconnexion avec le réseau filaire
=> notion de point d’accès « léger »
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 129
Commutateur sans fil
• Fonctionnement : établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur
• La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser à l’IETF– LWAPP (Airespace/Cisco)– CAPWAP– SLAPP (Trapeze, Aruba)
• Solutions propriétaires :p p– fonctionnent avec les points d’accès fournis par le constructeur– même si acceptent généralement les PA d’autres constructeurs– perte de la plupart des fonctionnalités intéressantes
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 130
16/12/2010
66
Commutateur sans fil
Niveau physique
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 131
Commutateur sans fil
Niveau logique
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 132
16/12/2010
67
Commutateur sans fil
• Ajustement dynamique de la puissance et du canal de chaque point d’accès
Gestion de la radio
autocalibration du réseau radio
• Les points d’accès peuvent ou non fonctionner simultanément en mode sonde– Détection des interférences– Détection / neutralisation des points d’accès sauvages
• Détection des réseaux ad hoc– Détection d’attaques 802.11 classiques– Localisation géographique des points d’accès et des clients
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 133
Commutateur sans fil
• Gestion de la bande passante par utilisateur(s), par application par VLAN
Gestion de la radio
application, par VLAN
• Possibilité d’interdire les communications directes entre clients
• Equilibrage de charge entre points d’accès adjacents
• Possibilité d’affecter des priorités aux différents flux
• Gestion de la mobilité
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 134
16/12/2010
68
Commutateur sans fil
• Portail• 802 1X EAP TLS TTLS
Authentification et contrôle d’accès
• 802.1X, EAP, TLS, TTLS…• VPN IPsec et SSL• Base interne / externe (LDAP, AD…)• Fonctions de contrôle d’accès + ou ‐sophistiquées :– filtrage IPg– pare‐feu stateful– par utilisateur, groupe d’utilisateurs, VLAN
• Système de détection d’intrusion embarqué
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 135
Commutateur sans fil
• Gestion centralisée des points d’accèsfi ti– configurations
– mises à jour logicielles
• Détection et configuration automatique des points d’accès
• Tableau de bord, statistiques (par station, par point d’accès, globales…)
• Plan de site avec localisation des points d’accès
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 136
16/12/2010
69
É ÉArchitecture de réseau
PASSERELLE DE SÉCURITÉ
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 137
Passerelle de sécurité
• Constructeur : exemple Ucopia• Boîtier spécialisé placé en coupure (logique)• Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil
• solution non spécifique aux réseaux sans fil– fonctionne avec tous les PA– Commutateur sans fil traite les trames 802.11 émises par les stationsPasserelle traite les trames 802 3 émises par les points– Passerelle traite les trames 802.3 émises par les points d’accès
• agrégat de fonctions permettant de gérer les utilisateurs mobiles, visiteurs…
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 138
16/12/2010
70
Passerelle de sécurité
• logiciel sur PC/Linux équipé de 2 interfaces réseau, intégrant un certain nombre de briques
Passerelle : exemple Ucopia
réseau, intégrant un certain nombre de briques de logiciels libres se place en coupure de réseau– physique ou logique
• possibilité d’avoir plusieurs SSID par bornes (si elles le supportent) et d’y associer des méthodes d’authentification différentes
• chaque SSID est associé à un VLAN en sortie de la• chaque SSID est associé à un VLAN en sortie de la borne
• VLAN peut être redéfini en fonction du profil de l’utilisateur en sortie de la passerelle
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 139
Passerelle de sécurité
Passerelle : exemple Ucopia
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 140
16/12/2010
71
Passerelle de sécurité
• Authentification– par nom d’utilisateur et mot de passe en HTTPS
Passerelle Ucopia : authentification et contrôle d’accès
– 802.1X / EAP‐TLS, TTLS, PEAP– par carte à puce (EAP‐SHA1, développement propre)– serveur RADIUS embarqué (peut être configuré en proxy vers un
autre serveur RADIUS)• Contrôle d’accès
– fonction du profil de l’utilisateur– par mise en place de filtres correspondant au profil de p p p p
l’utilisateur sur le contrôleur pour la durée de la connexion (iptables)
– possibilité d’affecter un VLAN en fonction du profil de l’utilisateur en sortie du contrôleur
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 141
Passerelle de sécurité
• Serveur VPN IPsec (FreeS/WAN)• « Zéro configuration » reconnaissance et
Passerelle Ucopia
• « Zéro configuration » : reconnaissance et redirection de certains flux– SMTP ‐> serveur de messagerie local– HTTP– impression : par l’intermédiaire du serveur d’impression embarquép q
• Gestion des points d’accès : par SNMP– configuration– stockage et traitement des logs
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 142
16/12/2010
72
É ÉDÉPLOIEMENT DU RÉSEAU RADIO
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 143
• Une onde électro‐magnétique se propage en ligne droite, à une vitesse c=3 108m/s dans le vide.
Déploiement du réseau radio
• Dans tout autre milieu elle peut être:– Réfractée– Réfléchie– Diffractée– Absorbée
• Une onde électromagnétique est absorbée par un circuit qui résonne à sa fréquence: plomb nos os O2 l’ atmosphère H2O larésonne à sa fréquence: plomb, nos os, O2, l atmosphère, H2O, la pluie, le maillage de bêton armé.
• Elle interfère avec toute autre onde de fréquence prochebattement spatial et temporel.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 144
16/12/2010
73
Déploiement du réseau radio
• L'affaiblissement de la puissance du signal est en grande partie dûe aux propriétés des milieux traversés par l'onde.
Propriétés des milieux
• Voici un tableau donnant les niveaux d'atténuation pour différents matériaux :
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 145
• Interférences
Déploiement du réseau radio
• Plus la distance entre un AP et un obstacle est petite plus :plus :– Zone d’interférence est grande– Zone de diffraction est difforme
Problématique d’éclairage
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 146
16/12/2010
74
Déploiement du réseau radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 147
Déploiement du réseau radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 148
16/12/2010
75
Déploiement du réseau radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 149
Déploiement du réseau radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 150
16/12/2010
76
Déploiement du réseau radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 151
Déploiement du réseau radio
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 152
16/12/2010
77
802.3af
• permet de fournir une puissance inférieure à 15 W sous 48 V en courant continu sur le câble
Power Over Ethernet (PoE)
W sous 48 V en courant continu sur le câble Ethernet
• transporté– soit sur les deux paires qui transportent les données (1‐2 et 3‐6)
– soit sur les deux paires inutilisées (4‐5 et 7‐8)p ( )
• L’alimentation peut être fournie :– soit par le commutateur Ethernet– soit par un injecteur
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 153
802.3af
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 154
16/12/2010
78
Outils
• Analyseur de spectre
• Scanner actif– Netstumbler (Windows) : http://www.netstumbler.com/
– iStumbler (Mac OS X) : http://istumbler.net/
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 155
Outils
• Scanners passifs et analyseurs fonctionnent sur une carte réseau en mode RFMON– permet de capturer tous les paquets 802.11– ≈ mode « promiscuous » pour une carte Ethernet– RFMON = mode écoute seulement (<> Ethernet)
• Kismet : http://www.kismetwireless.net/– Linux– détection des points d’accès– capture du traficcapture du trafic
• WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/
• Ethereal sous Linux (pas de mode RFMON sous Windows)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 156
16/12/2010
79
WPAN IEEE 802.15
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 157
Introduction
• Les WPAN (Wireless Personal Area Network) regroupent des équipements contrôlés par un seul utilisateur
• Communication sur de faibles distances ( une dizaine de mètres)• Communication sur de faibles distances ( une dizaine de mètres)
• La norme 802.15 définit les PAN sans fil appelé WPAN (Wireless PAN) dont les technologies sont le Bluetooth, les normes IEEE 802.15.3 (WPAN haut débit) et IEEE 802.15.4 (WPAN faible débit, Zig‐Bee)
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 158
16/12/2010
80
WPAN IEEE 802.15
BLUETOOTH
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 159
Bluetooth: Introduction
• Norme mondiale de connectivité sans fil pour des usages à très courte portée à la maison ou au bureau.
• Les dispositifs à la norme Bluetooth peuventcommuniquer les uns avec les autres, sans être ancré à un réseau.
• C’est un protocole de réseau s’organisant lui‐même. Les utilisateurs peuvent s’y joindre et en sortir de façon aléatoire.
• Il a été mis en place par un consortium de plus de 900 entreprises (SIG = Special Interest Group IG, il a été créé en mai 1998 par Ericsson, IBM, Intel, Nokia et Toshiba pour développer un standard de connectivité sans fil) afin d’inter‐relier de petits dispositifs électroniques en étroite proximité.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 160
16/12/2010
81
Applications
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 161
La technologie Bluetooth
Communications radio grands débits bidirectionnels à courte distance sur une seule puce :Fonctionne dans la zone libre de permis de 2.4 GHz sur la bande ISM
Les conditions d’utilisation des équipements d’après l’ART (l’Autorité de Régulation des télécommunications) :
‐ Conformément aux dispositions de l’article L.33‐3 du code des postes et télécommunications, ces installations sont établies librement : aucune licence n’est donc nécessaire pour les utiliser.
‐ Pour les installations radioélectriques de faible puissance et de faible portée fonctionnant dans la bande des 2.4 GHz, l’ART autorise la totalité de la bande 2400‐2483,5 Mhz, avec une puissance limitée à 10 mW à l’intérieur des bâtiments et 2,5 mW à l’extérieur des bâtiments.
Porté : 10 mètres ou moins, jusqu’à 100 mètres avec amplificateur de puissance
Vitesse de transmission des données : jusqu’à 720 Kbits/s (vitesse brute de transmission desVitesse de transmission des données : jusqu à 720 Kbits/s (vitesse brute de transmission des données, 1Mbit/s)
Faible consommation d’énergieDuplex à répartition dans le temps (DRT), modulation par déplacement de fréquences G‐FSKUtilise le spectre dispersé à saut de fréquences1600 sauts/s, 79 (ou 23) voies de radiofréquences
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 162
16/12/2010
82
Bluetooth: classes
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 163
Transmission de la voix et des données
• Autorise jusqu’à 7 liaisons simultanées (il y a partage de la vitesse maximale de transmission de données)• N’exige pas de liaison en visibilité directe (traverse les murs, les corps)• Communications sécuritaires• Liaison vocale
– Synchrone (ou SCO = Synchronous Connection‐Oriented link), avec correction d’erreurs sans circuit de retour– Encodage da la voix CVSD (modulation Delta à pente variable continue)– 64 Kbits/s par voie (deux voies pour les communications vocales en duplex intégral)
• Liaison informatique – Asynchrone (ou ACL = Asynchronous Connection‐Less link)– Vitesse maximale de transmission des données : 432 Kbits/s en mode symétrique, 721/57 Kbits/s en mode
asymétrique
• Pour répondre à ces objectifs des groupements industriels se sont mis en place tels Bluetooth et• Pour répondre à ces objectifs, des groupements industriels se sont mis en place, tels Bluetooth et HomeRF dans le but de réaliser une spécification ouverte de connexion sans fil entre équipements personnels.
• Bluetooth est fondé sur une communication en forme de liaison radio entre deux équipements. • HomeRF s’intéresse à la connexion des PC avec toutes les machines domestiques sur une portée de
50 mètres.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 164
16/12/2010
83
Schéma de connexion
• Réseau unique (dit aussi piconet) : prend en charge jusqu’à
8 terminaux, avec un maître (dont son but est de gérer ( g
les communications) et huit terminaux au statut d’esclave.
La communication entre 2 terminaux esclaves transite obligatoirement par le terminal maître.
Piconet
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 165
Maître
Esclave
Schéma de connexion
• Réseau interconnectant des piconets pour former un scatternet (en anglais
scattter = dispersion).
î d’ d l’ l d î d’‐ Le maître d’un piconet peut devenir l’esclave du maître d’un autre piconet.
‐ Un esclave peut être l’esclave de plusieurs maîtres.
‐ Un esclave peut se détacher provisoirement d’un maître pour se raccrocher à un autre piconet puis revenir vers le premier maître, une fois sa communication terminée avec le second.
Maître du
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 166
Maître du piconet 3 et Esclave du piconet 2
MaîtreEsclave du piconet 1 et du piconet 2
Piconet 1 Piconet 2
Piconet 3
16/12/2010
84
Bluetooth: communication
• Le temps est découpé en tranche, ou slots, à raison de 1600
slots par secondes. p
Un slot fait donc 625 µs de long.
Un terminal utilise une fréquence sur un slot puis, par un saut de fréquence (Frequency Hop), il change de fréquence sur la tranche de temps suivante, et ainsi de suite.
Maître
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 167
Esclave
Tranche de temps (slot) de 625 µs
Bluetooth: communication
• Un client Bluetooth utilise de façon cyclique toutes les bandes de fréquences.
• Les clients d’un même piconet possèdent la même suite de sauts de fréquence,
et lorsqu’un nouveau terminal veut se connecter il doit commencer par reconnaîtreet, lorsqu un nouveau terminal veut se connecter, il doit commencer par reconnaître
l’ensemble des sauts de fréquences pour pouvoir les respecter. Une communication s’exerce
par paquet.
En général, un paquet tient sur un slot, mais il peut s’étendre sur 3 ou 5 slots. Le saut de fréquence a lieu à la fin de la communication d’un paquet.
Maître
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 168
Esclave
Tranche de temps (slot) de 625 µs
16/12/2010
85
Les états de terminaux Bluetooth
Non connecté
Standby
Connecté
Actif
Inquiry Page
Transmit Connected
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 169
Economie
SniffHoldPark
Format d’un paquet Bluetooth
0 à 2745 bits54 bits72 bits
Code d’accès En‐tête Données
8 bits4 bits3 bits 1 bit
Adresse MAC Type HEC
Flot ARQNSEQN
• ARQN = Automatic Repeat reQuest sequence Number• HEC = Header Error Control• MAC = Medium Access Control• SEQN = SEQuence Number
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 170
16/12/2010
86
IEEE 802.15.4
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 171
IEEE 802.15.4
• Wireless à bas debit : LR‐WPAN• Faible consommation d‘ énergie: Cycles
Principales Caractéristiques
g yd'émissions/réceptions et connexions au réseau très rapides
• Principalement utilisée pour les réseaux domotiques• Allocation d'une adresse de 16 ou 64 bits• Deux types de dispositifs :
– FFD (Full Function Device) : coordonne l'ensemble du réseau coordinateur PAN routeur ou dispositif relié à un capteurcoordinateur PAN, routeur ou dispositif relié à un capteur
– RFD (Reduced Function Device) : conçue pour une application très simple (l’allumage d’une lumière par exemple) ne peut communiquer qu'avec un FFD
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 172
16/12/2010
87
IEEE 802.15.4
• Fréquences et débits :• 2400 ‐ 2483,5 Mhz : libre sur toute la planète >> 250 kbps, p p• 902 – 928 Mhz : libre aux Etats unis et aux Canada >> 40
kbps• 868 – 868,6 Mhz : libre en Europe >> 20 kbps• Signal robuste et résistant aux interférences (CSMA/CA).• Différentes topologies réseau (star, tree, mesh).• Sécurité : 128‐bit AES
Un exemple particulier => Zigbee
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 173
ZIGBEE
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 174
16/12/2010
88
ZIGBEE application
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 175
Zigbee couche réseau
• Basée sur la norme
IEEE 802.15.4 pour les 2 couches inférieurescouches inférieures.
• Rajoute les couches de gestion du réseau, des objets, et applicatives.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 176
16/12/2010
89
Zigbee: Caractéristiques Réseau
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 177
Zigbee en résumé
• Technologie sans fils gérée par la Zigbee alliance• développée sur une norme globale et ouverte afin de• développée sur une norme globale et ouverte afin de cibler les besoins de bas prix et faible consommation d'énergie des réseaux de capteurs sans fils.
• tire tous les avantages de la norme IEEE 802.15.4 et opère dans les bandes de fréquences mondiales non réservées (donc libres de licences).Zi b t t t d d é d• Zigbee est conçu pour transporter des données de manière fiable et sécurisée à travers l'environnement bruité des Radios Fréquences.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 178
16/12/2010
90
802.16 WIMAX
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 179
UMA: UNLICENSED MOBILE ACCESS
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 180
16/12/2010
91
UMA: Unlicensed Mobile Access
A quoi correspond l'UMA ? Quel est son intérêt ?
• UMA signifie Unlicensed Mobile Access Cette norme de communication se veut• UMA signifie Unlicensed Mobile Access. Cette norme de communication se veut être la passerelle entre le monde de la téléphonie mobile et celui des réseaux mobiles IP.
• Concrètement, l'UMA assure la transmission des communications (roaming) entre un réseau 2,5G , 3G ou 4G vers un réseau local sans fil tel le WiFi ou le Bluetooth. Ainsi, un employé quittant le réseau local de l'entreprise peut poursuivre sa communication, auparavant en voix sur IP, sur un réseau de téléphonie traditionnel.
• l'UMA fonctionne également dans le sens inverse. Il s'agit alors d'offrir aux collaborateurs les mêmes applications métiers en dehors du réseau de l'entreprise.
fi l à i d' élé h bi d l' ili d i i éd à• Au final, à partir d'un téléphone bimode, l'utilisateur doit pouvoir accéder à l'ensemble de ses services voix/données quel que soit le réseau emprunté.
• Cette technologie, encore jeune, convient aux entreprises tournées à la fois vers des systèmes de téléphonie sur IP et des applications mobiles.
• La première version de cette norme a été finalisée en septembre 2004.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 181
UMA: Unlicensed Mobile Access
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 182
16/12/2010
92
UMA: Unlicensed Mobile Access
Comment fonctionne cette technologie ?
• Dès qu'un téléphone portable établit une communication dans la zone de• Dès qu un téléphone portable établit une communication dans la zone de couverture d'un point d'accès WiFi, celui‐ci est automatiquement rattaché à la base radio pour émettre ces informations.
• Un logiciel client installé sur le téléphone encapsule dans les paquets IP émis, les données nécessaires aux réseaux GPRS ou UMTS comme la localisation ou la voix.
• Ces paquets sont ensuite transmis via le réseau IP de l'entreprise jusqu'au contrôleur UMA, nommé UNC pour UMA Network Controller.
• Ce point central du réseau se charge de transmettre aux réseaux des opérateurs, les informations nécessaires. Il réoriente les paquets IP et les communications UMTS ou GPRS en fonction des informations de localisations dont il dispose et l l i d' è d dé l d l' ili i i lalerte les points d'accès des déplacements de l'utilisateur, assurant ainsi la continuité des communications.
• Enfin, la passerelle UNC authentifie l'utilisateur avant sa connexion au réseau cellulaire.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 183
UMA: Unlicensed Mobile Access
• Quels en sont les avantages et les inconvénients ?– réduction des coûts A travers la technologie de voix sur IPréduction des coûts. A travers la technologie de voix sur IP, seuls les communications émanant de la passerelle UNC vers les réseaux cellulaires seront facturés.
– l'UMA étend la disponibilité des applications IP à l'extérieur de l'entreprise par une liaison sécurisée en VPN.
– Pour les opérateurs mobiles, l'UMA couvre à moindre frais des zones où la réception cellulaire n'atteint pas un niveau suffisant
– l'inconvénient de la technologie reste les vulnérabilités qu'offrent les protocoles de voix sur IP tels SIP ou H.323 à l'intérieur de l'entreprise.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 184
16/12/2010
93
UMA: Unlicensed Mobile Access
Où en est l'adoption de cette norme ?
• le 3GPP, organisme en charge du développement des réseaux GSM/UMTS, intègre l'UMA depuis la version 6 de la 3G, soit depuis le mois de mars 2005.
• Entre les mains du 3GPP, l'UMA a été renommé GAAI pour Generic Access to A/Gb Interface.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 185
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 186
16/12/2010
94
[1] Daniel Azuelos, Architecture des réseaux sans fil, 2005,
[2] Matthew Gast 802 11 Réseaux sans fil 2e
Références bibliographiques
[2] Matthew Gast, 802.11 Réseaux sans fil, 2e édition, O’Reilly, 2005
[3] L.Saccavini, Le protocole IEEE 802.1X, 2003,[4] N.Cam-Winget, Tim Moore, Dorothy Stanley, Jesse
Walker, IEEE 802.11i Overview, 2002[5] C.Duvallet, Les réseaux sans fils CNAM SMB 214-
215 Université du Havre[6] C.DIOU - LICM - Université de Metz - Cours Wifi[7] G PUJOLLE les réseaux éditions 2008[7] G.PUJOLLE, les réseaux éditions 2008[8] P.MUHLETHALER, « Wifi et les réseaux 802.11 »,
2002[9] A.TANENBAUM, « Réseaux », 4éme édition 2008
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 187
ANNEXES
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 188
16/12/2010
95
VLAN
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 189
Introduction aux VLAN
• Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique.
• En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique (contraintes géographiques, contraintesphysique (contraintes géographiques, contraintes d'adressage, ...) en définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à des critères (adresses MAC, numéros de port, protocole, etc.).
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 190
16/12/2010
96
Typologie de VLAN
Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau auquel il s'effectue :
• Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port‐Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur;
• Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address‐Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station ;
• Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 : – Le VLAN par sous‐réseau (en anglais Network Address‐Based VLAN) associe des sous‐réseaux selon l'adresse
IP source des datagrammes. Ce type de solution apporte une grande souplesse dans la mesure où la configuration des commutateurs se modifient automatiquement en cas de déplacement d'une station. En contrepartie une légère dégradation de performances peut se faire sentir dans la mesure où les p g g p pinformations contenues dans les paquets doivent être analysées plus finement.
– Le VLAN par protocole (en anglais Protocol‐Based VLAN) permet de créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même protocole au sein d'un même réseau.
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 191
Les avantages du VLAN
• Le VLAN permet de définir un nouveau réseau au‐dessus du réseau physique et à ce titre offre les dessus du réseau physique et à ce titre offre lesavantages suivants :
• Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs
• Gain en sécurité car les informations sont• Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées
• Réduction de la diffusion du traffic sur le réseau
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 192
16/12/2010
97
Plus d'informations sur le VLAN
• Les VLAN sont définis par les standards IEEE 802 1D 802 1 802 1Q t 802 10 P l802.1D, 802.1p, 802.1Q et 802.10. Pour plus d'information il est donc conseillé de se reporter aux documents suivants :
• IEEE 802.1D
• IEEE 802 1QIEEE 802.1Q
• IEEE 802.10
16/12/2010 K.MABROUK ESIGETEL Wireless Networks 193