Reseaux Sans Fil - Livre

1 A rch ite c tu r e des r seaux sans l Daniel AZUELOS Architecture rseau & scurit Institut Pasteur 05 dcembre 2005
Architecture des rseaux sans l
JRES 2005
2 D u 802.11 au 802.11n
Fonctionnement 5 Ondes lectro-magntiques 6 Spectre lectro-magntique 7 802.11b 8 802.11b : canaux 9 Connexion 10 Dbits 12 Types de rseaux 13 Mobilit 14 802.11a 15 802.11a : canaux 16 802.11a : avantages & inconvnients 17 802.11g 18 OFDM 19 802.11a ou 802.11g ? 20 Wi-Fi 21 Rglementation 22 Dploiement 23 Propagation 25 Transparence 26 Interfrences 27 Couverture 29 Antennes 30 Intgration dans lordinateur 32 Inadquation des batteries 33 Configuration client 34 Classes dusage 37 Architecture des rseaux sans l JRES 2005 Plan des frquences 39 Rglage des PA 40 Gestion des PA 42 802.3af 43 Scurit 44 Scurit des personnes 45 Scurit des rseaux 47 Contrle daccs 48 WEP : un extincteur vide 49 Extranet 50 Filtrage 51 Audit 52 Syndrome Maginot 55 Guerrier des ondes en dcapotable 57 Amliorer la scurit des rseaux 58 802.1X 60 802.11i 62 RADIUS : principe 64 RADIUS : installation 66 RADIUS : configuration 67 EAP 70 Portail web daccs 71 Utilisation dIPSEC 73 Nomadisme 74 Communication 75 Futur 76 volutions 77
3
Conseils pratiques 78 Annexes 79 Loi de Shannon 80 Rflexion, absorption 81 Diagramme de rayonnement 82 Glossaire 83 Scurit des personnes 85 Constructeurs 86 Listes de diffusion 87
JRES 2005
JRES 2005
Fonctionnement
Rseaux utilisant des ondes hertziennes pour tablir une liaison entre 2 quipements mobiles. Dnominations : WLAN RLAN RLR AirPort Wi-Fi : Wireless LAN ; : Radio LAN ; : Rseau Local Radio ; : Apple ; : (ouaille fat) label de qualit ; rseaux sans l ! Principe : onde hertzienne = porteuse + transport de donnes numriques / porteuse. Utilise pour les transmissions satellite.
Architecture des rseaux sans l JRES 2005
6 On d e s le c tro-m agntiques Ondes radios, infra-rouge, visible, ultra-violet, X, f = c 3 10 m s .

8
(cm) 33,3 16,5 12,5 5,5
f (GHz) 0,9 1,8 2,4 5,5
JRES 2005
7 S p e c tr e le ctro-m agntique g 802.11 b a 1018 1015 1012
DCS GSM 109 VHF 106 Hz
1021
infra-rouge
ultra-violet visible
rayons X
rayons
10-12 10-9
10-6
JRES 2005
10-3
FM 1 103
8 8 0 2 .1 1 b IEEE : 1997 802.11 1999 802.11b 2000 802.11a 2003 802.11g
2 Mbit/s 11 Mbit/s
Standards spciant les mthodes daccs au medium physique permettant la construction de liaison. Medium physique = bande de frquence : 2,4 GHz. Utilisation du medium : DSSS. 14 canaux, 11 sont utilisables aux U.S.A., 13 en France : [1 ; 13]. Mthode daccs : CSMA/CA.
JRES 2005
9 8 0 2 .1 1 b : c anaux 22MHz depuis le 25/07/2003 Europe tats-Unis, Canada

1 2 3 4 5 6 7 8 9 10 11 12 13
France
Japon
14
2,4 2,45 2,48 Bande ISM (Industrial, Scientic, and Medical).

GHz
10 C o n n ex io n Carte sans-l (ct 802.11) carte Ethernet (ct 802.3). Un quipement actif de rseau sans-l = quipement ayant au moins 2 interfaces. Pour les PDA, seule interface. Visibilit radio Dplacement tablissement dune liaison. variabilit du S/B rengociation de la vitesse utilisable.
loignement, obstacle perte de la liaison. Techniques dutilisation dune bande de frquence venant des techniques modem : QAM64, OFDM.
JRES 2005
11 Po in t d a c c s < 50m AirPort
54 22 5
PA Ethernet commutateur Ethernet vers pine dorsale 2 cartes AirPort ! liaison Ethernet.
dbit en Mbit/s Une liaison sans l Raccordement au reste du rseau

12 D b its Variable : 11 Mbit/s ; 5,5 Mbit/s ; 2 Mbit/s ou 1 Mbit/s adapt automatiquement en fonction du rapport S/B. Dbit en ftp binaire 50 % dbit en bit/s. Mthode daccs CSMA/CA dbit divis par : - le partage du medium, - la diffusion, - les erreurs. Pourquoi CA et pas CD (comme Ethernet) ? Car les collisions peuvent tre caches. 1 PA de rseau sans l est un rpteur dbit monopolis par le plus lent (dnis de service).
13 Ty p e s d e r seaux Multi-point cble Ethernet crois. On peut tre plus de 2 sur le mme support (runion des portes des diffrentes cartes participant).
Rseau dinfrastructure : mme nom de rseau (SSID), plusieurs PA (points daccs), canaux distincts accs / grand espace & nombreux utilisateurs mobilit.
JRES 2005
14 Mo b ilit La nature de la liaison permet naturellement la mobilit lintrieur du champ dune antenne. Au del, un portable peut passer de lune lautre : intersection de champs sans interfrence (p. 27).
c-9
c-13
c-9
rseau laire
c-13
c-9
JRES 2005
15 8 0 2 .1 1 a Bande de frquence 5 GHz : [5,15 GHz ; 5,825 GHz], divise en : - 3 bandes de frquence de 100 MHz ; - 12 canaux spars de 20 MHz. Technique de modulation : OFDM (Orthogonal Frequency Division Multiplexing), sur 52 porteuses distinctes (utilise en xDSL). Dbit : 6 54 Mbit/s. Mthode daccs : CSMA/CA.
JRES 2005
16 8 0 2 .1 1 a : c anaux mW 1000 500 20MHz France 200mW

5 6 7 8 9 10 11 12
10 5,1 5,5 5,9 GHz Bande UNII (Unlicensed National Information Infrastructure).
1 2 3 4
100 50
17 8 0 2 .1 1 a : avantag es & inconvnie nts Bande de frquence libre problmes de cohabitation venir. Plages de frquences et puissances difcult dutilisation pour les voyageurs. Frquence leve E = h f : nergie transporte leve ; nergie consomme leve (inadapt au portable) ; absorption leve ( n PA 2 sur une dimension !) ; puissance rayonne + leve. Canaux spars possibilit de les utiliser tous en un mme point ; dbit & nombre dutilisateurs levs ; puissance rayonne + leve.
18 8 0 2 .1 1 g Bande de frquence 2,4 GHz : [2,4 GHz ; 2,4835 GHz], divise en 3 canaux spars de 30MHz. Technique de modulation : - CCK ; - OFDM ; - en option CCK/OFDM ou bien PBCC. Dbit : 1 54 Mbit/s. Mthode daccs : CSMA/CA. 802.11g est compatible avec le 802.11b. Gabarit dattnuation plus faible quen 802.11b chevauchements proscrire. En mode compatible utiliser une distance de canaux = 5.
19 OF D M 20MHz
... frquence 52 porteuses espaces : f = n 312,5 kHz nuds de toutes les porteuses concident ninterfrent pas entre-elles. Dbit sur chaque porteuse plus bas BER + bas.
20 8 0 2 .1 1 a o u 802.11g ? Les utilisateurs qui tirent le sans-l sont les utilisateurs nomades besoin de compatibilit : canaux identiques dans le monde, 802.11g ! En rseau dentreprise : 802.11a n PA 8 ! 802.11b d < 5 Mbit/s 802.11g ! 802.11g !
JRES 2005
21 W i-F i Wi-Fi ou Wireless Fidelity = dlit sans-l terme commercial dni par la WECA : Wireless Ethernet Compatibility Alliance qui a pour objectif de promouvoir lusage de WLAN bass sur le standard IEEE 802.11 . Elle na fait que ce label de certication Wi-Fi Alliance. Wi-Fi nest ni un protocole rseau, ni un standard rseau, ni une technique de rseau, ni une architecture de rseau, cest juste une marque dpose
22 R g le m e n tation LARCEP (Autorit de Rgulation des Communications lectroniques et des Postes ex. ART) dnit les limites dutilisation des frquences pour des RLAN : arrt du 25/07/2003 : http://www.arcep.fr/ dossiers/rlan/menu-gal.htm - utilisation lintrieur des btiments : libre, PIRE <100mW ; - utilisation lextrieur : 1-7 < 100 mW, 8-13 < 10 mW Utilisation la maison : libre ( lintrieur des btiments) attention aux voisins (perturbation, coute) ! [2400 - 2483,5] MHz libre partout (en Europe) 01/2011 ? !
JRES 2005
23
Dploiement
Contraintes respecter : - spatiale : couverture maximale, interfrence minimale ; - scurit : des personnes, des donnes ; - matrielle : raccordement aux rseaux lectrique et Ethernet.
24 O d p loye r ? Un rseau sans l est un choix pertinent de construction daccs : - dans un grand espace ; - pour plusieurs portables qui partagent un mme espace mais moments ; - loin dune baie informatique (> 100m) ; - en des zones o le passage de cbles Ethernet nest pas envisageable (labo. + normes de scurit, btiment class). Nous construisons 2 types de rseaux sans l : - rseau interne en libre service bibliothques, salles de runion ou confrence ; - extensions de rseaux Ethernet en attente de rfection ou extension difcile.
25 P ro p ag a tio n Une onde lectro-magntique se propage en ligne droite, vitesse c 3 10 m s dans le vide. Dans tout autre milieu, elle peut tre : - rfracte ; - rchie ; - diffracte ; - absorbe. Une onde lectro-magntique est absorbe par un circuit rsonnant sa frquence : plomb, nos os, O2, latmosphre, H2O, la pluie, le maillage du bton arm. Elle interfre avec toute autre onde de frquence proche battement spatial & temporel.
26 Tr a n s p a r e n ce air bois air humide plastique, verre eau, vgtation animaux, nous : cloisons en pltre, brique bton verre blind mtal conducteur
JRES 2005
27 In te r f r e n c es S/B A c-13 x S/B A 13 9 c-13 c-9 x

28 In te r f r e n c es
5 5 5 20 50 5 5
fuites
dbit en Mbit/s
Plus la distance un obstacle transparent est petite, plus la zone dinterfrence est grande, plus la zone de diffraction est grande et difforme. Problmatique dclairage.
29 C o u v e r tu r e 60 mW dfaut de : btiment c-9 couverture scurit
c-13 30 mW
c-9
JRES 2005
30 A n te n n e s Omni-directionnelles (isotrope) : les ondes lectro-magntiques vont dans toutes les directions ; et le rapport signal/bruit dcrot presque uniquement gomtriquement (i.e. en 1 r 2 ). Directionnelles : les ondes sont diriges par une ou plusieurs antennes selon une direction ou bien un secteur angulaire. placement prcis, et sensibilit aux rfractions. Analogie : clairer un auditorium avec des projecteurs de scne
! !
Fait vendre plus dantennes et les services dun installateur

31 A n te n n e s antennes multiples orientables
PA multiples
JRES 2005
32 In t g r a tio n dans lordinateur Les solutions base de carte PCMCIA ou de carte externe sur port USB sont mdiocres : la sensibilit maximale dune antenne diple repli 4 est dans le plan orthogonal son axe. Lintgration dans les portables est trs peu pense, sauf chez Apple qui tient en ce domaine 4 ans davance. Ils ont aussi intgr une antenne dans les ordinateurs xes, beaucoup mieux quune antenne externe colle la paroi mtallique arrire. Lintgration dans les S.E. est trs lie une fonction rendue vitale par le nomadisme : commutation de rseau et denvironnement.
JRES 2005
33 In a d q u a tion des batter ies Une connexion rseau sans l continue consomme de lnergie. Suivant les constructeurs, et la gestion de la batterie, autonomie : 1 h 5 h.
Course la frquence :
Intel a du revoir la baisse sa frnsie de GHz : rduction du risque de fonte du cur de processeur ; utilisabilit dcente dun portable en rseau sans l. unit de gestion de lnergie (PMU) !
JRES 2005
34 C o n g u r a tion client Objectifs : contrle daccs & impact minimum sur le parc. Chaque utilisateur souhaitant connecter un ordinateur nos rseaux doit : - nous communiquer ladresse MAC (Ethernet ou AirPort) ; - congurer TCP/IP via DHCP. Nous intgrons cette adresse MAC dans la cong. de notre serveur DHCP, puis en drivons (sed(1)) des ACL dans le cas dAirPort. Aucun tat local grer.
35 C o n g u r a tion client / MacO S X Adresse physique = adresse Ethernet. nous communiquer intgration sur notre serveur DHCP.
JRES 2005
36 C o n s tr u c tion du r seau - recherche des zones difciles de lespace couvrir ; - talonnage du PA dans une zone caractristique et dtermination dune couverture correcte pour le dbit vis ; - partir de plans masse de lespace couvrir dessiner les zones couvertes par les PA ; - en fonction de classes dusage dnir, ventuellement densier les PA partir de ce 1er plan ; - faire le plan des frquences ; - faire poser les prises RJ45 & secteur ou bien commutateurs 802.3af (p. 43) une hauteur denviron 2 m sans coller au plafond ; - rgler les PA en commenant par les plus difciles et en prsence de la population typique.
37 C la s s e s d usag e Amphi : 100 utilisateurs 128 kbit/s (max), quips : 50% (max) d max = 50 128 kbit/s = 5 Mbit/s d max n PA ( d ) = ---------------------- = 1 20 Mbit/s u max n PA ( u ) = ---------- = 5 10 do : n PA = max ( n PA ( u ), n PA ( d ) ) = 5 Contrle daccs : 0 condentialit : 0 connement en extranet (p. 50) !
38 C la s s e s d usag e Labo : 10 utilisateurs 1 Mbit/s, quips 70 % d max = 7 1 Mbit/s = 7 Mbit/s d max n PA ( d ) = ---------------------- = 1 20 Mbit/s u max n PA ( u ) = ---------- = 1 10 do : n PA = max ( n PA ( u ), n PA ( d ) ) = 1 Contrle daccs : MAC, 802.1X (p. 60) condentialit : 0 chiffrement de bout en bout !
39 P la n d e s fr quences cage dascenseur 2nd 13 05 09 01 05 09 canal
05 01 13 09
nPA=1 1er 09 13 01 05 01 13 nPA=5 05 amphi

RdC
05 09
13
40 R g lag e d e s PA Placement : 1 ou 2 clients en position limite, mesure. initial (densit faible) 1/2 j ; densit leve 1 j. Absence de prise 1 prise secteur + 1 prise Ethernet ! ou bien 802.3af 15 j - 1 mois.
JRES 2005
41 R g lag e d e s PA
12
18
21m 1 m / 10 s mesure spatiale
JRES 2005
42 Ge s tio n d e s PA 3 approches possibles : - PA lourd : systme sophistiqu embarquant toutes les fonctions de contrle daccs, de routage = ceinture, bretelles, coquille + casque ; centraliser la gestion de ces PA / logiciel able / S.E. able ! - PA lger : simple rpteur Ethernet - sans-l congurable via un serveur de conguration = gestion centralise ; quipement serveur de conguration de PA. - PA quelconque + ensemble doutils dvelopps pour grer des quipements rseau.
43 8 0 2 .3 a f Installation d1 PA prise secteur temps, cot. Standard 802.3af (2003) : comment transporter lalimentation lectrique sur un cblage Ethernet. L < 100 m, V 48 V ([36, 57]), I < 400 mA, P < 12,95 W utilisation des paires 1-2, 3-6 ou bien 4-5, 7-8, compatible 10, 100baseT, et alternative A : 1000baseT. 2 techniques de mise en uvre : - directement depuis le commutateur rseau ; - depuis un injecteur prenant en entre un cble Ethernet standard, et sortant sur un cble Ethernet avec alimentation.
JRES 2005
44
Scurit
Pas de nouveau problme de scurit. Remise en exergue de problmes connus : - impact des rayonnements lectro-magntiques sur le vivant, sur la sant ; - matrise du primtre de scurit de lentreprise : syndrome Maginot ; - matrise des accs en libre service sur un medium partag, comme lEthernet partag ; - coute et brouillage des communications.
JRES 2005
45 S c u r it d es personnes Les normes internationales dutilisation des radio frquences spcient puissance rayonne < 100 mW. Apple a choisi dutiliser une puissance 30 mW ! champs rduits en puissance et porte ; facilit de couverture de volumes complexes. Depuis 2002, presque tous les constructeurs se sont rallis ce principe de prcaution. Lutilisation de radio-frquences suscite des interrogations lgitimes. consultation du CHSCT pour avis avant dploiement ; communication claire sur le risque.
46 S c u r it d es personnes Sant publique : nombreuses tudes en cours, surtout au sujet de lutilisation des tlphones mobiles (p. 85): GSM : DCS : Antennes GSM : four micro-ondes : metteur de la tour Eiffel : < 2W ; < 1W ; 20 50 W ; 1 kW ; 6 MW !
Tout champ lectro-magntique dcrot en 1 r 2 (en P). Lquivalent dun mobile (600 mW) loreille, avec des iBook quips dune carte AirPort cest : 10 sur la tte, 1 000 sur les genoux, 100 000 dans une classe.
47 S c u r it d es r seaux Transport de donnes champ lectro-magntique, sensibilit aux autres champs. Ces transports de donnes (sauf bre optique) peuvent tre facilement couts et brouills : - un cble Ethernet craint tubes uorescents et cbles lectriques, - un rseau sans l craint les fours micro-onde qui fuient et les tlphones DECT de mauvaise qualit. Rseaux sans l coute + simple que sur un rseau Ethernet : 0 prise ou plutt prise de 50 m de rayon. communication sur les risques ; contrle daccs, protection des donnes : condentialit.
48 C o n tr le d accs - spatial : mesures de contrle de porte, utilisation active des obstacles la diffusion ; matrise de toute faon ncessaire une mise en uvre de ce genre de rseau ; - par adresse : seules les adresses MAC enregistres peuvent se joindre un rseau (p. 34) ; - par WEP : Wired Equivalent Privacy ; - par architecture du rseau : les accs ce type de rseau dans des espaces o les contrles prcdents ne sont pas souhaits sont conns un extranet ; - par 802.1X (p. 60).
JRES 2005
49 W E P : u n extincteur vide WEP : Wired Equivalent Privacy. Comment casser WEP : http://airsnort.shmoo.com http://www.cr0.net:8040/ code/network/aircrack/ Ils ont grossi articiellement un faux problme : faiblesse du chiffrement (car il sagit de dfauts de mise en uvre dans WEP), et ils ont laiss dans lombre un vrai problme : absence dun protocole de gestion de cls sans tat local. WEP : jeter ! Coller des rustines sur WEP pour le rutiliser : pire
50 E x tr a n e t machines publiques coupe-feu Internet routeurs filtrants
intranet extranet
pine dorsale
JRES 2005
rseaux capillaires
51 F iltr ag e Aucun accs IP aux quipements actifs. DNS vers nos serveurs ; DHCP ( bootp) vers nos serveurs ; TCP vers le rseau des machines publiques . Aucun accs IP vers les autres rseaux capillaires. Tout autre accs IP (i.e. le reste de lInternet) autoris.
JRES 2005
52 Au d it Filtrage systmatique en scurit positive journalisation des tentatives dinsertion ou dattaque : scan en UDP/192, ICMP adresse de diffusion, scan depuis 10.0.1.x. Effets de bord de rseaux squatteurs : - adresses sources hors plan dadressage journalisation ; - dysfonctionnements des rseaux existants.
JRES 2005
53 Au d it Localisation sur le terrain : - dtection de rseaux pirates internes ; - dtection de rseaux de voisins dans lesquels nos utilisateurs nafs pourraient se connecter automatiquement ; - recherche de signal en bordure : http://istumbler.net/ ; - triangulation partir de 3 relevs de niveau de signal. Constat pragmatique : - couter un rseau sans l dans un environnement bien couvert entrer dans la zone de couverture (p. 39).
JRES 2005
54 Au d it
La nature a horreur du vide !
JRES 2005
55 S y n d ro m e Maginot Architecture rseau traditionnelle : intranet dlimit par un primtre de scurit et protg de lhorrible Internet par un failleur-waulle . Malheureusement, ce modle de primtre ne tient plus, il est franchi par : - le PC portable truff de vers attraps dans le rseau dun collgue ; - le PC portable dun collgue qui vient de lautre bout du monde ; - lordinateur du directeur qui doit partir en rparation ; - le tunnel chiffr connectant un ordinateur interne au rseau de lentreprise voisine ;
JRES 2005
56 S y n d ro m e Maginot - le PC avec carte Ethernet et carte Wi-Fi allume en permanence faisant pont entre la rue et le rseau interne ; - le rseau sans-l dun rsidant de lhtel voisin. chelle des risques : - risque dominant plutt du ct de la qualit dplorable de certains S.E. comme Windows ; - vient ensuite laccs la connexion Ethernet : tout accs une prise Ethernet est contrl : utopie ! Enn labsence de dploiement de rseaux sans l en interne est une source de risque : 0 audit, 0 communication sur ce problme, 0 comptence, intrusion des rseaux des voisins.
57 Gu e r r ie r d es ondes en dcapotable La connexion dun PC nid-de-vers Windows = risque (probabilit impact) : Rnidevers . Visite du guerrier des ondes en dcapotable dans le parking voisin avec une antenne d1 m ! = risque : Rguerrier .
R nidevers >> R guerrier
JRES 2005
58 A m lio r e r la scur it des r seaux Risques par ordre dcroissant matriser : - Qualit des S.E. : interdire les PC sous Windows ou bien engager clairement la responsabilit des utilisateurs dans le maintien de leur outil en bon tat : P.S.I., R.I., note de service. - Plateforme dadministration des rseaux invulnrable choix dun S.E. able, mise en place dACL le protgeant au niveau du systme et du rseau.
JRES 2005
59 A m lio r e r la scur it des r seaux - Raccordement de nimporte quoi au rseau : rpteur sauvage, borne AirPort pirate : mme remde : interdits communication, + contrle daccs (Ethernet & AirPort 802.1X) + dploiement de rseau sans-l (occuper lespace, dtecter les anomalies, acqurir la comptence). - Condentialit des communications : chiffrement au niveau 2 (802.11i) ou bien au niveau 3 (tunnel chiffr).
JRES 2005
60 8 0 2 .1 X Autorisation de laccs au rseau : client : (@MAC) 802.1X

1
serveur RADIUS
3
EAP-???
P.A.
RADIUS
2
rseau rseau laire IP
association @MAC - point daccs : trac autoris.

61 8 0 2 .1 X 802.1X ne peut sufre identier, ni authentier un ordinateur ou un utilisateur appel un serveur daccs, typiquement un serveur RADIUS. EAPOL RADIUS = Extended Authentication Protocol Over LAN = Remote Authentication Dial-In User Service.
802.1X est strile si il peut tre cout et rejou utilisation dun protocole de chiffrement et de gestion de cls.
JRES 2005
62 8 0 2 .1 1 i WEP est mort : mort-n + mises en uvre mdiocres. 802.11i (n 2003) dnit 2 techniques de chiffrement : - TKIP = Temporal Key Integrity Protocol : |v| = 48 bits ; MIC = Message Integrity Code / 64 bits ; - CCMP = Counter mode with CBC-MAC Protocol : |v| = 48 bits ; AES en mode chan sur blocs de 128 bits puissance de calcul. Ethertype = 0x88C7.
JRES 2005
63 8 0 2 .1 1 i Versions de la Wi-Fi Alliance : WPA = Wi-Fi Protected Access (dni par la Wi-Fi Alliance) : version intrimaire de 802.11i base sur WEP & TKIP. utiliser WEP : mauvais dpart ? WPA est vulnrable et offre des modes dutilisations trs dgrads, encore un extincteur vide : http://wifinetnews.com archives/002453.html WPA2 = Wi-Fi Protected Access y compris pour un rseau multi-point, bas sur TKIP ou bien CCMP.
JRES 2005
64 R A D IU S : p r incipe
Nom supplicant NAS = Network Access Server AS = Authentication Server traduction pnitent client serveur daccs fonction client identi comme machine ou utilisateur ouvre laccs rseau si accord de lAS
serveur dauthentication vrie lautorisation daccs
Utilise 1812/UDP = radius, 1813/UDP = radacct. Peut aussi utiliser 1814/UDP pour des relais. Met en uvre le RFC 2865 3579.
JRES 2005
65 R A D IU S : p r incipe Un serveur RADIUS va aussi mettre en uvre EAP (p. 70), et des extensions dauthentication (sur EAP). client serveur daccs
serveur dauthentication
EAP RADIUS UDP/IP 802.1X 802.11g 802.3
JRES 2005
66 R A D IU S : installation ftp://ftp.freeradius.org/pub/ radius/freeradius-1.0.4.tar.gz

$ ./configure --prefix=/local --localstatedir=/var --disable-shared [...plein de lignes ...] $ make [...] $ /usr/bin/sudo /bin/zsh # make install [...] #
Sur FreeBSD, utilisation des portages FreeBSD :

# mv freeradius-1.0.4.tar.gz /usr/ports/distfiles # chown root:wheel /usr/ports/distfiles/freeradius-1.0.4.tar.gz # cd /usr/ports/net/freeradius # make PREFIX=/local ; make install PREFIX=/local [...] #
a marche !
67 R A D IU S : c ongur ation Tests :

# vi /local/etc/raddb/clients.conf client 127.0.0.1 { secret = testing123 shortname = localhost nastype = other } # radiusd -X [...] $ radtest test_user test_pass localhost 0 testing123 Sending Access-Request of id 100 to 127.0.0.1:1812 User-Name = "test_user" User-Password = "test_pass" NAS-IP-Address = comte.sis.pasteur.fr NAS-Port = 0 rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=100, length=20 $
a marche !
JRES 2005
68 R A D IU S : c ongur ation Ouvrir les ACL vers le serveur :

access-list <n> permit udp <sous_rseau_PA> eq 1812 host <serveur> eq 1812 access-list <n> permit udp <sous_rseau_PA> eq 1813 host <serveur> eq 1813
ouvrir les rgles de ltrage du serveur :

# vi /etc/ipf.rules pass in on sk0 proto udp from <sous_rseau_PA> to any port = radius \ keep state keep frags pass in on sk0 proto udp from <sous_rseau_PA> to any port = radacct \ keep state keep frags # ipf -Fa -f /etc/ipf.rules
dnir un nouveau serveur daccs = client pour RADIUS :

# vi /local/etc/raddb/clients.conf client 15a7.net.pasteur.fr { secret = errare humanum est shortname = 15a7.net nastype = other }
JRES 2005
69 R A D IU S : c ongur ation Congurer ce client pour faire du contrle daccs bas sur RADIUS.
dnir un nouvel utilisateur identi par son adresse MAC :

# vi /local/etc/raddb/users 001124-275c32 Auth-Type := Local, User-Password == "errare humanum est"
a marche !
70 EAP Extensible Authentication Protocol : RFC 3748, = protocole de construction dune mthode dauthentication, protocole dauthentication. Conu pour utiliser le niveau liaison (PPP, IEEE 802). 2 protocoles mettent en uvre EAP : - RADIUS : - Diameter : RFC 3579, http://www.freeradius.org/ ; RFC 4072, http://www.opendiameter.org/ .
JRES 2005
71 Po r ta il we b daccs En mauvais anglais : captive portal . Fonctionnement : redirection du trac HTTP vers un serveur web ddi lautorisation daccs. client : (compte, mot de passe) HTTP
1
serveur web daccs
P.A.
HTTPS
2
rseau rseau laire IP
JRES 2005
72 Po r ta il we b daccs Ralisation au moyen de matriel : PA, routeurs ou serveurs daccs, + serveur web qui peut tre embarqu ( PA lourd). Versions base de logiciel libre : NoCatAuth : talweg : m0n0wall : Avantage : inconvnient : http://nocat.net, http://sourcesup.cru.fr/talweg/, http://m0n0.ch/wall/ pas de logiciel client ; tout dans le navigateur web, IP HTML ?
JRES 2005
73 U tilis a tio n dIP S EC 2 approches possibles : - certicats utilisateurs ; - authenticateurs utilisateurs externes. IGC ou gestion dun parc dauthenticateurs (SecurID). Rgle bien le problme de condentialit. Ne rgle pas le problme daccs diffrents au rseau sans l (typiquement public, administratif, labo.) en un mme point. Attention, mal utilis IPSEC peut dmolir le concept de primtre de scurit parler de tunnel chiffr non de VPN.
74 N o m a d is m e Condentialit & contrle daccs peuvent tre obtenus dans un rseau dinfrastructure. Le nomade peut rechercher ces 2 garanties hors de ce rseau : - se ramener au cas du rseau dinfrastructure : construire un tunnel chiffr, depuis un systme able, et empchant tout autre accs du rseau local ; - utiliser des moyens locaux : construire un rseau sans l multi-point partir dun systme able quip dun coupe-feu + utilisation de chiffrement applicatif. Nous recherchons des techniques de mise en uvre de la 1re : simples & visibles pour lutilisateur, tout-terrain, et grables grande chelle.
75 C o m mu n ic ation Fixer des rgles dutilisation des rseaux sans l : - hors du campus : interdit ; - sur le campus : autoris dans les zones couvertes ; - interdiction de raccorder nimporte quoi au rseau. Communiquer clairement sur les risques rels : - 1 mobile >> 100 000 carte 802.11g ; - 1 PC sous Windows > 10 h / an en dgts, 10 rseaux sans l raccordant 100 ordinateurs < 20 h / an ! - faire du chiffrement able sur un S.E. able !
JRES 2005
76
Futur
1999 : 2000 : 2003 : 2004 : 802.11b ; label de qualit Wi-Fi ; 802.11a : 54 Mbit/s / 5 GHz ; !). 802.11g : 54 Mbit/s / 2,4 GHz ; Centrino (802.11b : 4 ans de retard 802.11i : 802.1X : 802.16 ? 802.20 ?
chiffrement AES / 802.11? ; authentication daccs au rseau ; WMAN (xe), WMAN (mobile).
2005 ?
802.11n : 540 Mbit/s / B = 40 MHz @ 2,4 GHz, 135 Mbit/s / B = 20 MHz @ 2,4 GHz
JRES 2005
77 vo lu tio n s Des dbits : s loi de Shannon : d = B log 2 1 + - b 20 Mhz, 20dB : 130 Mbit/s 40 Mhz, 30dB : 400 Mbit/s Des PA : taille & consommation en baisse rgulire ; le PA sera intgr dans la prise RJ45, puis la remplacera. De la gestion des PA : le commutateur 10baseT va voluer vers un commutateur de PA.
JRES 2005
78 C o n s e ils p r atiques Choix techniques ayant un avenir : 802.11g, 802.3af, 802.1X : viter des techniques en retard de 4 ans (Centrino) ; viter tout ce qui est bas sur WEP ; viter les PA en botiers mtalliques ; viter les antennes externes ; viter les protocoles propritaires dune complexit que seul le commercial peut certier.
Couvrir pour viter lapparition de rseaux pirates internes et les conits avec les rseaux des voisins. Veiller ce que la plateforme dadministration ne soit pas le point le plus faible de larchitecture.
79
Annexes
mW 1000 500
100 50
10 10 20 30 dBm
JRES 2005
80 L o i d e S h a nnon Mbit/s 1000 500 80MHz 40MHz 20MHz
100 50
10 10
20
JRES 2005
30
40
dB
81 R ex io n , absor ption onde rchie attnuation A y Exemple : amplitude du signal au voisinage dun mur en bton. x Borne proche du mur align sur laxe des y. pour traverser les murs il faut attaquer 90 !
JRES 2005
82 D iag r a m m e de r ayonnem ent diple z polarisation x E y x y x x multi-brin z
JRES 2005
83 Glo s s a ir e BER Bit Error Rate taux de bits en erreur CCK Complementary Code Keying technique de codage utilisant 64 (sur 256) mots de 8 bits pour leur facilit didentication en prsence de bruit Direct Sequence Spread Spectrum talement de spectre Extended Authentication Protocol Over LAN European Telecommunications Standards Institute Federal Communications Commission Orthogonal Frequency Division Multiplexing
JRES 2005
DSSS EAPOL ETSI FCC OFDM
84 PA PBCC PIRE PSI QAM Point dAccs (p. 11) Packet Binary Convolution Coding Puissance Isotrope Rayonne quivalente Politique de Scurit Informatique Quadratic Amplitude Modulation technique de modulation en amplitude et phase dnissant 16 ou 64 symboles par Hz Remote Authentication Dial-In User Service (p. 64) Service Set Identier nom de rseau sans l = chane de caractre Temporal Key Integrity Protocol (p. 63) Wireless Ethernet Compatibility Alliance
JRES 2005
RADIUS SSID TKIP WECA
85 S c u r it d es personnes Organismes et programmes de recherche : OMS : international EMF project : http://www.who.int/ peh-emf/project/fr/index.html ministre de la sant : http://www.sante.gouv.fr/htm/dossiers/ telephon_mobil/sommaire.htm ICNIRP : International Commission on Non-Ionizing Radiation Protection http://www.icnirp.de/ AFSSE : Agence Franaise de Scurit Sanitaire Environnementale http://www.afsse.fr/
86 C o n s tr u c te urs Apple : http://www.apple.com/airportexpress/ Aruba : http://www.arubanetworks.com/ Broadcom : http://www.broadcom.com/ Linksys (en cours dingestion par Cisco) : http://www.linksys.com/ Proxim (ex. Orinoco, ex. Lucent) : http://www.proxim.com/ Trapeze : http://www.trapezenetworks.com/
87 L is te s d e d iffusion http://listes.cru.fr/sympa/info/sans-fil
JRES 2005

Reseaux Sans Fil - Livre

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Reseaux Sans Fil - Livre

Transféré par

Droits d'auteur :

Formats disponibles

1 A rch ite c tu r e des r seaux sans l Daniel AZUELOS Architecture rseau & scurit Institut Pasteur 05 dcembre 2005

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

6 On d e s le c tro-m agntiques Ondes radios, infra-rouge, visible, ultra-violet, X, f = c 3 10 m s .

(cm) 33,3 16,5 12,5 5,5

f (GHz) 0,9 1,8 2,4 5,5

Architecture des rseaux sans l

7 S p e c tr e le ctro-m agntique g 802.11 b a 1018 1015 1012

DCS GSM 109 VHF 106 Hz

8 8 0 2 .1 1 b IEEE : 1997 802.11 1999 802.11b 2000 802.11a 2003 802.11g

Architecture des rseaux sans l

9 8 0 2 .1 1 b : c anaux 22MHz depuis le 25/07/2003 Europe tats-Unis, Canada

2,4 2,45 2,48 Bande ISM (Industrial, Scientic, and Medical).

Architecture des rseaux sans l

11 Po in t d a c c s < 50m AirPort

dbit en Mbit/s Une liaison sans l Raccordement au reste du rseau

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

16 8 0 2 .1 1 a : c anaux mW 1000 500 20MHz France 200mW

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

27 In te r f r e n c es S/B A c-13 x S/B A 13 9 c-13 c-9 x

29 C o u v e r tu r e 60 mW dfaut de : btiment c-9 couverture scurit

Architecture des rseaux sans l

Fait vendre plus dantennes et les services dun installateur

31 A n te n n e s antennes multiples orientables

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

39 P la n d e s fr quences cage dascenseur 2nd 13 05 09 01 05 09 canal

nPA=1 1er 09 13 01 05 01 13 nPA=5 05 amphi

Architecture des rseaux sans l

21m 1 m / 10 s mesure spatiale

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

50 E x tr a n e t machines publiques coupe-feu Internet routeurs filtrants

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

La nature a horreur du vide !

Architecture des rseaux sans l

Architecture des rseaux sans l

R nidevers >> R guerrier

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

60 8 0 2 .1 X Autorisation de laccs au rseau : client : (@MAC) 802.1X

rseau rseau laire IP

association @MAC - point daccs : trac autoris.

Architecture des rseaux sans l

Architecture des rseaux sans l

Architecture des rseaux sans l

serveur dauthentication vrie lautorisation daccs

Architecture des rseaux sans l

EAP RADIUS UDP/IP 802.1X 802.11g 802.3

Architecture des rseaux sans l