Académique Documents
Professionnel Documents
Culture Documents
JRES 2005
2 D u 802.11 au 802.11n
Fonctionnement 5 Ondes lectro-magntiques 6 Spectre lectro-magntique 7 802.11b 8 802.11b : canaux 9 Connexion 10 Dbits 12 Types de rseaux 13 Mobilit 14 802.11a 15 802.11a : canaux 16 802.11a : avantages & inconvnients 17 802.11g 18 OFDM 19 802.11a ou 802.11g ? 20 Wi-Fi 21 Rglementation 22 Dploiement 23 Propagation 25 Transparence 26 Interfrences 27 Couverture 29 Antennes 30 Intgration dans lordinateur 32 Inadquation des batteries 33 Configuration client 34 Classes dusage 37 Architecture des rseaux sans l JRES 2005 Plan des frquences 39 Rglage des PA 40 Gestion des PA 42 802.3af 43 Scurit 44 Scurit des personnes 45 Scurit des rseaux 47 Contrle daccs 48 WEP : un extincteur vide 49 Extranet 50 Filtrage 51 Audit 52 Syndrome Maginot 55 Guerrier des ondes en dcapotable 57 Amliorer la scurit des rseaux 58 802.1X 60 802.11i 62 RADIUS : principe 64 RADIUS : installation 66 RADIUS : configuration 67 EAP 70 Portail web daccs 71 Utilisation dIPSEC 73 Nomadisme 74 Communication 75 Futur 76 volutions 77
3
Conseils pratiques 78 Annexes 79 Loi de Shannon 80 Rflexion, absorption 81 Diagramme de rayonnement 82 Glossaire 83 Scurit des personnes 85 Constructeurs 86 Listes de diffusion 87
JRES 2005
JRES 2005
Fonctionnement
Rseaux utilisant des ondes hertziennes pour tablir une liaison entre 2 quipements mobiles. Dnominations : WLAN RLAN RLR AirPort Wi-Fi : Wireless LAN ; : Radio LAN ; : Rseau Local Radio ; : Apple ; : (ouaille fat) label de qualit ; rseaux sans l ! Principe : onde hertzienne = porteuse + transport de donnes numriques / porteuse. Utilise pour les transmissions satellite.
Architecture des rseaux sans l JRES 2005
JRES 2005
1021
infra-rouge
ultra-violet visible
rayons X
rayons
10-12 10-9
Architecture des rseaux sans l
10-6
JRES 2005
10-3
FM 1 103
2 Mbit/s 11 Mbit/s
Standards spciant les mthodes daccs au medium physique permettant la construction de liaison. Medium physique = bande de frquence : 2,4 GHz. Utilisation du medium : DSSS. 14 canaux, 11 sont utilisables aux U.S.A., 13 en France : [1 ; 13]. Mthode daccs : CSMA/CA.
JRES 2005
France
Japon
14
GHz
10 C o n n ex io n Carte sans-l (ct 802.11) carte Ethernet (ct 802.3). Un quipement actif de rseau sans-l = quipement ayant au moins 2 interfaces. Pour les PDA, seule interface. Visibilit radio Dplacement tablissement dune liaison. variabilit du S/B rengociation de la vitesse utilisable.
loignement, obstacle perte de la liaison. Techniques dutilisation dune bande de frquence venant des techniques modem : QAM64, OFDM.
JRES 2005
54 22 5
PA Ethernet commutateur Ethernet vers pine dorsale 2 cartes AirPort ! liaison Ethernet.
12 D b its Variable : 11 Mbit/s ; 5,5 Mbit/s ; 2 Mbit/s ou 1 Mbit/s adapt automatiquement en fonction du rapport S/B. Dbit en ftp binaire 50 % dbit en bit/s. Mthode daccs CSMA/CA dbit divis par : - le partage du medium, - la diffusion, - les erreurs. Pourquoi CA et pas CD (comme Ethernet) ? Car les collisions peuvent tre caches. 1 PA de rseau sans l est un rpteur dbit monopolis par le plus lent (dnis de service).
Architecture des rseaux sans l JRES 2005
13 Ty p e s d e r seaux Multi-point cble Ethernet crois. On peut tre plus de 2 sur le mme support (runion des portes des diffrentes cartes participant).
Rseau dinfrastructure : mme nom de rseau (SSID), plusieurs PA (points daccs), canaux distincts accs / grand espace & nombreux utilisateurs mobilit.
JRES 2005
14 Mo b ilit La nature de la liaison permet naturellement la mobilit lintrieur du champ dune antenne. Au del, un portable peut passer de lune lautre : intersection de champs sans interfrence (p. 27).
c-9
c-13
c-9
rseau laire
c-13
c-9
JRES 2005
15 8 0 2 .1 1 a Bande de frquence 5 GHz : [5,15 GHz ; 5,825 GHz], divise en : - 3 bandes de frquence de 100 MHz ; - 12 canaux spars de 20 MHz. Technique de modulation : OFDM (Orthogonal Frequency Division Multiplexing), sur 52 porteuses distinctes (utilise en xDSL). Dbit : 6 54 Mbit/s. Mthode daccs : CSMA/CA.
JRES 2005
10 5,1 5,5 5,9 GHz Bande UNII (Unlicensed National Information Infrastructure).
Architecture des rseaux sans l JRES 2005
1 2 3 4
100 50
17 8 0 2 .1 1 a : avantag es & inconvnie nts Bande de frquence libre problmes de cohabitation venir. Plages de frquences et puissances difcult dutilisation pour les voyageurs. Frquence leve E = h f : nergie transporte leve ; nergie consomme leve (inadapt au portable) ; absorption leve ( n PA 2 sur une dimension !) ; puissance rayonne + leve. Canaux spars possibilit de les utiliser tous en un mme point ; dbit & nombre dutilisateurs levs ; puissance rayonne + leve.
Architecture des rseaux sans l JRES 2005
18 8 0 2 .1 1 g Bande de frquence 2,4 GHz : [2,4 GHz ; 2,4835 GHz], divise en 3 canaux spars de 30MHz. Technique de modulation : - CCK ; - OFDM ; - en option CCK/OFDM ou bien PBCC. Dbit : 1 54 Mbit/s. Mthode daccs : CSMA/CA. 802.11g est compatible avec le 802.11b. Gabarit dattnuation plus faible quen 802.11b chevauchements proscrire. En mode compatible utiliser une distance de canaux = 5.
Architecture des rseaux sans l JRES 2005
19 OF D M 20MHz
... frquence 52 porteuses espaces : f = n 312,5 kHz nuds de toutes les porteuses concident ninterfrent pas entre-elles. Dbit sur chaque porteuse plus bas BER + bas.
Architecture des rseaux sans l JRES 2005
20 8 0 2 .1 1 a o u 802.11g ? Les utilisateurs qui tirent le sans-l sont les utilisateurs nomades besoin de compatibilit : canaux identiques dans le monde, 802.11g ! En rseau dentreprise : 802.11a n PA 8 ! 802.11b d < 5 Mbit/s 802.11g ! 802.11g !
JRES 2005
21 W i-F i Wi-Fi ou Wireless Fidelity = dlit sans-l terme commercial dni par la WECA : Wireless Ethernet Compatibility Alliance qui a pour objectif de promouvoir lusage de WLAN bass sur le standard IEEE 802.11 . Elle na fait que ce label de certication Wi-Fi Alliance. Wi-Fi nest ni un protocole rseau, ni un standard rseau, ni une technique de rseau, ni une architecture de rseau, cest juste une marque dpose
Architecture des rseaux sans l JRES 2005
22 R g le m e n tation LARCEP (Autorit de Rgulation des Communications lectroniques et des Postes ex. ART) dnit les limites dutilisation des frquences pour des RLAN : arrt du 25/07/2003 : http://www.arcep.fr/ dossiers/rlan/menu-gal.htm - utilisation lintrieur des btiments : libre, PIRE <100mW ; - utilisation lextrieur : 1-7 < 100 mW, 8-13 < 10 mW Utilisation la maison : libre ( lintrieur des btiments) attention aux voisins (perturbation, coute) ! [2400 - 2483,5] MHz libre partout (en Europe) 01/2011 ? !
JRES 2005
23
Dploiement
Contraintes respecter : - spatiale : couverture maximale, interfrence minimale ; - scurit : des personnes, des donnes ; - matrielle : raccordement aux rseaux lectrique et Ethernet.
Architecture des rseaux sans l JRES 2005
24 O d p loye r ? Un rseau sans l est un choix pertinent de construction daccs : - dans un grand espace ; - pour plusieurs portables qui partagent un mme espace mais moments ; - loin dune baie informatique (> 100m) ; - en des zones o le passage de cbles Ethernet nest pas envisageable (labo. + normes de scurit, btiment class). Nous construisons 2 types de rseaux sans l : - rseau interne en libre service bibliothques, salles de runion ou confrence ; - extensions de rseaux Ethernet en attente de rfection ou extension difcile.
Architecture des rseaux sans l JRES 2005
25 P ro p ag a tio n Une onde lectro-magntique se propage en ligne droite, vitesse c 3 10 m s dans le vide. Dans tout autre milieu, elle peut tre : - rfracte ; - rchie ; - diffracte ; - absorbe. Une onde lectro-magntique est absorbe par un circuit rsonnant sa frquence : plomb, nos os, O2, latmosphre, H2O, la pluie, le maillage du bton arm. Elle interfre avec toute autre onde de frquence proche battement spatial & temporel.
Architecture des rseaux sans l JRES 2005
26 Tr a n s p a r e n ce air bois air humide plastique, verre eau, vgtation animaux, nous : cloisons en pltre, brique bton verre blind mtal conducteur
JRES 2005
28 In te r f r e n c es
5 5 5 20 50 5 5
fuites
dbit en Mbit/s
Plus la distance un obstacle transparent est petite, plus la zone dinterfrence est grande, plus la zone de diffraction est grande et difforme. Problmatique dclairage.
Architecture des rseaux sans l JRES 2005
c-13 30 mW
c-9
JRES 2005
30 A n te n n e s Omni-directionnelles (isotrope) : les ondes lectro-magntiques vont dans toutes les directions ; et le rapport signal/bruit dcrot presque uniquement gomtriquement (i.e. en 1 r 2 ). Directionnelles : les ondes sont diriges par une ou plusieurs antennes selon une direction ou bien un secteur angulaire. placement prcis, et sensibilit aux rfractions. Analogie : clairer un auditorium avec des projecteurs de scne
! !
PA multiples
JRES 2005
32 In t g r a tio n dans lordinateur Les solutions base de carte PCMCIA ou de carte externe sur port USB sont mdiocres : la sensibilit maximale dune antenne diple repli 4 est dans le plan orthogonal son axe. Lintgration dans les portables est trs peu pense, sauf chez Apple qui tient en ce domaine 4 ans davance. Ils ont aussi intgr une antenne dans les ordinateurs xes, beaucoup mieux quune antenne externe colle la paroi mtallique arrire. Lintgration dans les S.E. est trs lie une fonction rendue vitale par le nomadisme : commutation de rseau et denvironnement.
JRES 2005
33 In a d q u a tion des batter ies Une connexion rseau sans l continue consomme de lnergie. Suivant les constructeurs, et la gestion de la batterie, autonomie : 1 h 5 h.
Course la frquence :
Intel a du revoir la baisse sa frnsie de GHz : rduction du risque de fonte du cur de processeur ; utilisabilit dcente dun portable en rseau sans l. unit de gestion de lnergie (PMU) !
JRES 2005
34 C o n g u r a tion client Objectifs : contrle daccs & impact minimum sur le parc. Chaque utilisateur souhaitant connecter un ordinateur nos rseaux doit : - nous communiquer ladresse MAC (Ethernet ou AirPort) ; - congurer TCP/IP via DHCP. Nous intgrons cette adresse MAC dans la cong. de notre serveur DHCP, puis en drivons (sed(1)) des ACL dans le cas dAirPort. Aucun tat local grer.
Architecture des rseaux sans l JRES 2005
35 C o n g u r a tion client / MacO S X Adresse physique = adresse Ethernet. nous communiquer intgration sur notre serveur DHCP.
JRES 2005
36 C o n s tr u c tion du r seau - recherche des zones difciles de lespace couvrir ; - talonnage du PA dans une zone caractristique et dtermination dune couverture correcte pour le dbit vis ; - partir de plans masse de lespace couvrir dessiner les zones couvertes par les PA ; - en fonction de classes dusage dnir, ventuellement densier les PA partir de ce 1er plan ; - faire le plan des frquences ; - faire poser les prises RJ45 & secteur ou bien commutateurs 802.3af (p. 43) une hauteur denviron 2 m sans coller au plafond ; - rgler les PA en commenant par les plus difciles et en prsence de la population typique.
Architecture des rseaux sans l JRES 2005
37 C la s s e s d usag e Amphi : 100 utilisateurs 128 kbit/s (max), quips : 50% (max) d max = 50 128 kbit/s = 5 Mbit/s d max n PA ( d ) = ---------------------- = 1 20 Mbit/s u max n PA ( u ) = ---------- = 5 10 do : n PA = max ( n PA ( u ), n PA ( d ) ) = 5 Contrle daccs : 0 condentialit : 0 connement en extranet (p. 50) !
Architecture des rseaux sans l JRES 2005
38 C la s s e s d usag e Labo : 10 utilisateurs 1 Mbit/s, quips 70 % d max = 7 1 Mbit/s = 7 Mbit/s d max n PA ( d ) = ---------------------- = 1 20 Mbit/s u max n PA ( u ) = ---------- = 1 10 do : n PA = max ( n PA ( u ), n PA ( d ) ) = 1 Contrle daccs : MAC, 802.1X (p. 60) condentialit : 0 chiffrement de bout en bout !
Architecture des rseaux sans l JRES 2005
05 01 13 09
RdC
05 09
13
40 R g lag e d e s PA Placement : 1 ou 2 clients en position limite, mesure. initial (densit faible) 1/2 j ; densit leve 1 j. Absence de prise 1 prise secteur + 1 prise Ethernet ! ou bien 802.3af 15 j - 1 mois.
JRES 2005
41 R g lag e d e s PA
12
18
JRES 2005
42 Ge s tio n d e s PA 3 approches possibles : - PA lourd : systme sophistiqu embarquant toutes les fonctions de contrle daccs, de routage = ceinture, bretelles, coquille + casque ; centraliser la gestion de ces PA / logiciel able / S.E. able ! - PA lger : simple rpteur Ethernet - sans-l congurable via un serveur de conguration = gestion centralise ; quipement serveur de conguration de PA. - PA quelconque + ensemble doutils dvelopps pour grer des quipements rseau.
Architecture des rseaux sans l JRES 2005
43 8 0 2 .3 a f Installation d1 PA prise secteur temps, cot. Standard 802.3af (2003) : comment transporter lalimentation lectrique sur un cblage Ethernet. L < 100 m, V 48 V ([36, 57]), I < 400 mA, P < 12,95 W utilisation des paires 1-2, 3-6 ou bien 4-5, 7-8, compatible 10, 100baseT, et alternative A : 1000baseT. 2 techniques de mise en uvre : - directement depuis le commutateur rseau ; - depuis un injecteur prenant en entre un cble Ethernet standard, et sortant sur un cble Ethernet avec alimentation.
JRES 2005
44
Scurit
Pas de nouveau problme de scurit. Remise en exergue de problmes connus : - impact des rayonnements lectro-magntiques sur le vivant, sur la sant ; - matrise du primtre de scurit de lentreprise : syndrome Maginot ; - matrise des accs en libre service sur un medium partag, comme lEthernet partag ; - coute et brouillage des communications.
JRES 2005
45 S c u r it d es personnes Les normes internationales dutilisation des radio frquences spcient puissance rayonne < 100 mW. Apple a choisi dutiliser une puissance 30 mW ! champs rduits en puissance et porte ; facilit de couverture de volumes complexes. Depuis 2002, presque tous les constructeurs se sont rallis ce principe de prcaution. Lutilisation de radio-frquences suscite des interrogations lgitimes. consultation du CHSCT pour avis avant dploiement ; communication claire sur le risque.
Architecture des rseaux sans l JRES 2005
46 S c u r it d es personnes Sant publique : nombreuses tudes en cours, surtout au sujet de lutilisation des tlphones mobiles (p. 85): GSM : DCS : Antennes GSM : four micro-ondes : metteur de la tour Eiffel : < 2W ; < 1W ; 20 50 W ; 1 kW ; 6 MW !
Tout champ lectro-magntique dcrot en 1 r 2 (en P). Lquivalent dun mobile (600 mW) loreille, avec des iBook quips dune carte AirPort cest : 10 sur la tte, 1 000 sur les genoux, 100 000 dans une classe.
Architecture des rseaux sans l JRES 2005
47 S c u r it d es r seaux Transport de donnes champ lectro-magntique, sensibilit aux autres champs. Ces transports de donnes (sauf bre optique) peuvent tre facilement couts et brouills : - un cble Ethernet craint tubes uorescents et cbles lectriques, - un rseau sans l craint les fours micro-onde qui fuient et les tlphones DECT de mauvaise qualit. Rseaux sans l coute + simple que sur un rseau Ethernet : 0 prise ou plutt prise de 50 m de rayon. communication sur les risques ; contrle daccs, protection des donnes : condentialit.
Architecture des rseaux sans l JRES 2005
48 C o n tr le d accs - spatial : mesures de contrle de porte, utilisation active des obstacles la diffusion ; matrise de toute faon ncessaire une mise en uvre de ce genre de rseau ; - par adresse : seules les adresses MAC enregistres peuvent se joindre un rseau (p. 34) ; - par WEP : Wired Equivalent Privacy ; - par architecture du rseau : les accs ce type de rseau dans des espaces o les contrles prcdents ne sont pas souhaits sont conns un extranet ; - par 802.1X (p. 60).
JRES 2005
49 W E P : u n extincteur vide WEP : Wired Equivalent Privacy. Comment casser WEP : http://airsnort.shmoo.com http://www.cr0.net:8040/ code/network/aircrack/ Ils ont grossi articiellement un faux problme : faiblesse du chiffrement (car il sagit de dfauts de mise en uvre dans WEP), et ils ont laiss dans lombre un vrai problme : absence dun protocole de gestion de cls sans tat local. WEP : jeter ! Coller des rustines sur WEP pour le rutiliser : pire
Architecture des rseaux sans l JRES 2005
intranet extranet
pine dorsale
JRES 2005
rseaux capillaires
51 F iltr ag e Aucun accs IP aux quipements actifs. DNS vers nos serveurs ; DHCP ( bootp) vers nos serveurs ; TCP vers le rseau des machines publiques . Aucun accs IP vers les autres rseaux capillaires. Tout autre accs IP (i.e. le reste de lInternet) autoris.
JRES 2005
52 Au d it Filtrage systmatique en scurit positive journalisation des tentatives dinsertion ou dattaque : scan en UDP/192, ICMP adresse de diffusion, scan depuis 10.0.1.x. Effets de bord de rseaux squatteurs : - adresses sources hors plan dadressage journalisation ; - dysfonctionnements des rseaux existants.
JRES 2005
53 Au d it Localisation sur le terrain : - dtection de rseaux pirates internes ; - dtection de rseaux de voisins dans lesquels nos utilisateurs nafs pourraient se connecter automatiquement ; - recherche de signal en bordure : http://istumbler.net/ ; - triangulation partir de 3 relevs de niveau de signal. Constat pragmatique : - couter un rseau sans l dans un environnement bien couvert entrer dans la zone de couverture (p. 39).
JRES 2005
54 Au d it
JRES 2005
55 S y n d ro m e Maginot Architecture rseau traditionnelle : intranet dlimit par un primtre de scurit et protg de lhorrible Internet par un failleur-waulle . Malheureusement, ce modle de primtre ne tient plus, il est franchi par : - le PC portable truff de vers attraps dans le rseau dun collgue ; - le PC portable dun collgue qui vient de lautre bout du monde ; - lordinateur du directeur qui doit partir en rparation ; - le tunnel chiffr connectant un ordinateur interne au rseau de lentreprise voisine ;
JRES 2005
56 S y n d ro m e Maginot - le PC avec carte Ethernet et carte Wi-Fi allume en permanence faisant pont entre la rue et le rseau interne ; - le rseau sans-l dun rsidant de lhtel voisin. chelle des risques : - risque dominant plutt du ct de la qualit dplorable de certains S.E. comme Windows ; - vient ensuite laccs la connexion Ethernet : tout accs une prise Ethernet est contrl : utopie ! Enn labsence de dploiement de rseaux sans l en interne est une source de risque : 0 audit, 0 communication sur ce problme, 0 comptence, intrusion des rseaux des voisins.
Architecture des rseaux sans l JRES 2005
57 Gu e r r ie r d es ondes en dcapotable La connexion dun PC nid-de-vers Windows = risque (probabilit impact) : Rnidevers . Visite du guerrier des ondes en dcapotable dans le parking voisin avec une antenne d1 m ! = risque : Rguerrier .
JRES 2005
58 A m lio r e r la scur it des r seaux Risques par ordre dcroissant matriser : - Qualit des S.E. : interdire les PC sous Windows ou bien engager clairement la responsabilit des utilisateurs dans le maintien de leur outil en bon tat : P.S.I., R.I., note de service. - Plateforme dadministration des rseaux invulnrable choix dun S.E. able, mise en place dACL le protgeant au niveau du systme et du rseau.
JRES 2005
59 A m lio r e r la scur it des r seaux - Raccordement de nimporte quoi au rseau : rpteur sauvage, borne AirPort pirate : mme remde : interdits communication, + contrle daccs (Ethernet & AirPort 802.1X) + dploiement de rseau sans-l (occuper lespace, dtecter les anomalies, acqurir la comptence). - Condentialit des communications : chiffrement au niveau 2 (802.11i) ou bien au niveau 3 (tunnel chiffr).
JRES 2005
serveur RADIUS
3
EAP-???
P.A.
RADIUS
2
61 8 0 2 .1 X 802.1X ne peut sufre identier, ni authentier un ordinateur ou un utilisateur appel un serveur daccs, typiquement un serveur RADIUS. EAPOL RADIUS = Extended Authentication Protocol Over LAN = Remote Authentication Dial-In User Service.
802.1X est strile si il peut tre cout et rejou utilisation dun protocole de chiffrement et de gestion de cls.
JRES 2005
62 8 0 2 .1 1 i WEP est mort : mort-n + mises en uvre mdiocres. 802.11i (n 2003) dnit 2 techniques de chiffrement : - TKIP = Temporal Key Integrity Protocol : |v| = 48 bits ; MIC = Message Integrity Code / 64 bits ; - CCMP = Counter mode with CBC-MAC Protocol : |v| = 48 bits ; AES en mode chan sur blocs de 128 bits puissance de calcul. Ethertype = 0x88C7.
JRES 2005
63 8 0 2 .1 1 i Versions de la Wi-Fi Alliance : WPA = Wi-Fi Protected Access (dni par la Wi-Fi Alliance) : version intrimaire de 802.11i base sur WEP & TKIP. utiliser WEP : mauvais dpart ? WPA est vulnrable et offre des modes dutilisations trs dgrads, encore un extincteur vide : http://wifinetnews.com archives/002453.html WPA2 = Wi-Fi Protected Access y compris pour un rseau multi-point, bas sur TKIP ou bien CCMP.
JRES 2005
64 R A D IU S : p r incipe
Nom supplicant NAS = Network Access Server AS = Authentication Server traduction pnitent client serveur daccs fonction client identi comme machine ou utilisateur ouvre laccs rseau si accord de lAS
Utilise 1812/UDP = radius, 1813/UDP = radacct. Peut aussi utiliser 1814/UDP pour des relais. Met en uvre le RFC 2865 3579.
JRES 2005
65 R A D IU S : p r incipe Un serveur RADIUS va aussi mettre en uvre EAP (p. 70), et des extensions dauthentication (sur EAP). client serveur daccs
serveur dauthentication
JRES 2005
a marche !
Architecture des rseaux sans l JRES 2005
a marche !
JRES 2005
JRES 2005
69 R A D IU S : c ongur ation Congurer ce client pour faire du contrle daccs bas sur RADIUS.
a marche !
Architecture des rseaux sans l JRES 2005
70 EAP Extensible Authentication Protocol : RFC 3748, = protocole de construction dune mthode dauthentication, protocole dauthentication. Conu pour utiliser le niveau liaison (PPP, IEEE 802). 2 protocoles mettent en uvre EAP : - RADIUS : - Diameter : RFC 3579, http://www.freeradius.org/ ; RFC 4072, http://www.opendiameter.org/ .
JRES 2005
71 Po r ta il we b daccs En mauvais anglais : captive portal . Fonctionnement : redirection du trac HTTP vers un serveur web ddi lautorisation daccs. client : (compte, mot de passe) HTTP
1
P.A.
HTTPS
2
JRES 2005
72 Po r ta il we b daccs Ralisation au moyen de matriel : PA, routeurs ou serveurs daccs, + serveur web qui peut tre embarqu ( PA lourd). Versions base de logiciel libre : NoCatAuth : talweg : m0n0wall : Avantage : inconvnient : http://nocat.net, http://sourcesup.cru.fr/talweg/, http://m0n0.ch/wall/ pas de logiciel client ; tout dans le navigateur web, IP HTML ?
JRES 2005
73 U tilis a tio n dIP S EC 2 approches possibles : - certicats utilisateurs ; - authenticateurs utilisateurs externes. IGC ou gestion dun parc dauthenticateurs (SecurID). Rgle bien le problme de condentialit. Ne rgle pas le problme daccs diffrents au rseau sans l (typiquement public, administratif, labo.) en un mme point. Attention, mal utilis IPSEC peut dmolir le concept de primtre de scurit parler de tunnel chiffr non de VPN.
Architecture des rseaux sans l JRES 2005
74 N o m a d is m e Condentialit & contrle daccs peuvent tre obtenus dans un rseau dinfrastructure. Le nomade peut rechercher ces 2 garanties hors de ce rseau : - se ramener au cas du rseau dinfrastructure : construire un tunnel chiffr, depuis un systme able, et empchant tout autre accs du rseau local ; - utiliser des moyens locaux : construire un rseau sans l multi-point partir dun systme able quip dun coupe-feu + utilisation de chiffrement applicatif. Nous recherchons des techniques de mise en uvre de la 1re : simples & visibles pour lutilisateur, tout-terrain, et grables grande chelle.
Architecture des rseaux sans l JRES 2005
75 C o m mu n ic ation Fixer des rgles dutilisation des rseaux sans l : - hors du campus : interdit ; - sur le campus : autoris dans les zones couvertes ; - interdiction de raccorder nimporte quoi au rseau. Communiquer clairement sur les risques rels : - 1 mobile >> 100 000 carte 802.11g ; - 1 PC sous Windows > 10 h / an en dgts, 10 rseaux sans l raccordant 100 ordinateurs < 20 h / an ! - faire du chiffrement able sur un S.E. able !
JRES 2005
76
Futur
1999 : 2000 : 2003 : 2004 : 802.11b ; label de qualit Wi-Fi ; 802.11a : 54 Mbit/s / 5 GHz ; !). 802.11g : 54 Mbit/s / 2,4 GHz ; Centrino (802.11b : 4 ans de retard 802.11i : 802.1X : 802.16 ? 802.20 ?
chiffrement AES / 802.11? ; authentication daccs au rseau ; WMAN (xe), WMAN (mobile).
2005 ?
802.11n : 540 Mbit/s / B = 40 MHz @ 2,4 GHz, 135 Mbit/s / B = 20 MHz @ 2,4 GHz
JRES 2005
77 vo lu tio n s Des dbits : s loi de Shannon : d = B log 2 1 + - b 20 Mhz, 20dB : 130 Mbit/s 40 Mhz, 30dB : 400 Mbit/s Des PA : taille & consommation en baisse rgulire ; le PA sera intgr dans la prise RJ45, puis la remplacera. De la gestion des PA : le commutateur 10baseT va voluer vers un commutateur de PA.
JRES 2005
78 C o n s e ils p r atiques Choix techniques ayant un avenir : 802.11g, 802.3af, 802.1X : viter des techniques en retard de 4 ans (Centrino) ; viter tout ce qui est bas sur WEP ; viter les PA en botiers mtalliques ; viter les antennes externes ; viter les protocoles propritaires dune complexit que seul le commercial peut certier.
Couvrir pour viter lapparition de rseaux pirates internes et les conits avec les rseaux des voisins. Veiller ce que la plateforme dadministration ne soit pas le point le plus faible de larchitecture.
Architecture des rseaux sans l JRES 2005
79
Annexes
mW 1000 500
100 50
10 10 20 30 dBm
JRES 2005
100 50
10 10
Architecture des rseaux sans l
20
JRES 2005
30
40
dB
81 R ex io n , absor ption onde rchie attnuation A y Exemple : amplitude du signal au voisinage dun mur en bton. x Borne proche du mur align sur laxe des y. pour traverser les murs il faut attaquer 90 !
JRES 2005
JRES 2005
83 Glo s s a ir e BER Bit Error Rate taux de bits en erreur CCK Complementary Code Keying technique de codage utilisant 64 (sur 256) mots de 8 bits pour leur facilit didentication en prsence de bruit Direct Sequence Spread Spectrum talement de spectre Extended Authentication Protocol Over LAN European Telecommunications Standards Institute Federal Communications Commission Orthogonal Frequency Division Multiplexing
JRES 2005
84 PA PBCC PIRE PSI QAM Point dAccs (p. 11) Packet Binary Convolution Coding Puissance Isotrope Rayonne quivalente Politique de Scurit Informatique Quadratic Amplitude Modulation technique de modulation en amplitude et phase dnissant 16 ou 64 symboles par Hz Remote Authentication Dial-In User Service (p. 64) Service Set Identier nom de rseau sans l = chane de caractre Temporal Key Integrity Protocol (p. 63) Wireless Ethernet Compatibility Alliance
JRES 2005
85 S c u r it d es personnes Organismes et programmes de recherche : OMS : international EMF project : http://www.who.int/ peh-emf/project/fr/index.html ministre de la sant : http://www.sante.gouv.fr/htm/dossiers/ telephon_mobil/sommaire.htm ICNIRP : International Commission on Non-Ionizing Radiation Protection http://www.icnirp.de/ AFSSE : Agence Franaise de Scurit Sanitaire Environnementale http://www.afsse.fr/
Architecture des rseaux sans l JRES 2005
86 C o n s tr u c te urs Apple : http://www.apple.com/airportexpress/ Aruba : http://www.arubanetworks.com/ Broadcom : http://www.broadcom.com/ Linksys (en cours dingestion par Cisco) : http://www.linksys.com/ Proxim (ex. Orinoco, ex. Lucent) : http://www.proxim.com/ Trapeze : http://www.trapezenetworks.com/
Architecture des rseaux sans l JRES 2005
87 L is te s d e d iffusion http://listes.cru.fr/sympa/info/sans-fil
JRES 2005