Vous êtes sur la page 1sur 126

Rseaux locaux sans fil WiFi

Catherine Grenet et Marie-Claude Quidoz


Meudon, 11 et 12 mai 2006

Remerciements
Ces transparents sont extraits du tutoriel
Architecture des rseaux sans fil donn par
Daniel Azuelos aux JRES 2005
http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Plan (2/2)
Architecture de rseau
Rseau sans fil isol du rseau filaire
Portail web daccs
Affectation dynamique de VLAN
Points daccs virtuels
Commutateur sans fil
Passerelle de scurit
Choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Pourquoi dployer un rseau sans fil


aujourd'hui ?
Pour faciliter la connexion des utilisateurs itinrants, en particulier dans

les espaces collectifs


Pour connecter des locaux impossibles ou trop coteux cbler

(amiante, monument historique)


Pour mettre en place une connexion provisoire (travaux)
Pour occuper l'espace : offrir le service pour viter les installations pirates

Le sans fil n'est pas destin remplacer intgralement le cblage filaire


(fiabilit, dbit)
Il nest pas fait pour connecter des serveurs !

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Les diffrents types de rseau sans fil


WPAN

WLAN

WMAN

WWAN

Nom
commun

Bluetooth
et autres

WiFi

WiMax

GSM, GPRS,
UMTS

Bande de
frquence

2,4 GHz

2,4 / 5 GHz 2 11 GHz 900 / 1800 MHz


1900 / 2200 MHz

Porte

qq m

100 m

50 km

35 km

Dbit
thorique

3 Mb/s

54 Mb/s

70 Mb/s

9600 Kb/s
-> 2 Mb/s

Applications Connexion
Rseau
priphriques local

Accs

Tlphonie
et donnes

Norme

IEEE
802.16

ITU

IEEE 802.15

IEEE
802.11

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Normalisation 802.11
Wi-Fi est un label d'interoprabilit dlivr par la Wi-Fi alliance :
groupement de constructeurs qui publie des listes de produits certifis
(http://www.wi-fi.org/)
802.11 (1997) : jusqu 2 Mb/s
802.11 (1999) : Wireless LAN Medium Access Control (MAC) and

Physical Layer (PHY) Specifications


802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplment

802.11)
802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplment

802.11)
802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement

802.11)
compatible avec 802.11b
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP)

gestion de la mobilit
802.11h (2003) : pour l'utilisation de 802.11a en Europe

slection dynamique de canal et gestion de la puissance d'mission


802.11i (2004) : scurit
802.11e (2005) : qualit de service
Travaux en cours :
802.11k : mesure de la qualit de la liaison radio
802.11n : dbit > 100 Mb/s
802.11r : transfert rapide de connexion entre bornes
802.11s : rseaux maills

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

10

Onde lectromagntique

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

11

Spectre lectromagntique

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

12

Emission / rception radio


Principe : transmission de l'information par modulation d'une porteuse
Le signal transmis est caractris par son spectre

P (W)
F (Hz)
Fporteuse
En radio, la puissance est souvent exprime en dBm

(dcibels milliwatt )
dBm = 10*log10(P/ 0.001)
0 dBm 1 mW
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

13

802.11b : modulation
DSSS : Direct Sequence Spread Spectrum
talement de spectre, squence directe
Donnes transmettre
Signal transmettre
+

Squence dtalement
(signal pseudo-alatoire connu de tous)
Selon la vitesse de transmission
codage de 1, 4 ou 8 bits simultanment
puis modulation de phase 2 ou 4 tats
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

14

802.11 b : canaux

Bande 2,4 GHz


14 canaux de 22 MHz
seulement trois canaux
disjoints

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

15

802.11a
OFDM : Orthogonal Frequency Division Multiplexing
20 MHz

5,15

GHz
12 canaux disjoints
diviss en 52 sous-porteuses

48 sous-canaux de donnes

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

5,825

4 sous-canaux
pour correction
derreur
16

802.11g
Bande 2,4 GHz
Transmission DSSS pour les dbits 11 M/s (1, 2, 5.5, 11)

=> compatible avec 802.11b


Transmission OFDM pour les dbits suprieurs
La compatibilit 802.11b ne ralentit pas le dbit des trames de donnes

des stations 802.11g, mais certaines trames de gestion (balise) et de


contrle (trames de protection) doivent tre mises des dbits
compatibles avec le 802.11b

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

17

802.11n
Groupe dtude n du 802.11 (TGn)
draft 1.0 approuv en mars 2006
na pas pass ltape suivante => draft 2.0 (au moins !)

normalisation en 2007 ?
Dbits annoncs jusqu 600 Mb/s
MIMO : Multiple Input Multiple Output
plusieurs antennes / metteurs / rcepteurs radios
transmission des donnes en parallle sur le mme canal en utilisant les

trajets multiples

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

18

Rglementation (ARCEP ex-ART)


Puissances autorises depuis juillet 2003 (exprimes en PIRE :

Puissance Isotrope Rayonne Equivalente)


Frquences (MHz) Canaux

Intrieur

Extrieur

2400 - 2454

1-8

100 mW

100 mW

2454 -2483,5

9-13

100 mW

10 mW

Les usages privs (rseaux indpendants, usages particuliers) ne

ncessitent pas de dmarche auprs de lART.

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

19

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

20

Caractrisques induites par le support


Support partag par tous
Pas de limite franche ni visible au del de laquelle la rception est

impossible

Le signal peut tre brouill par une source extrieure


Le support de transmission est beaucoup moins fiable qu'en rseau

filaire, et non matris

Les stations ne sont pas fixes, mais portables, voire mobiles


Certaines stations peuvent tre caches les unes aux autres
Les vitesses de propagation peuvent varier dans le temps et tre

asymtriques

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

21

Architecture 802.11
Station : toute machine quipe dune interface 802.11
BSS (Basic Service Set) : zone l'intrieur de laquelle les stations

restent en communication
BSS indpendants = rseaux ad hoc

STA 1
STA 2
BSS 2
BSS 1
STA 3
STA 4

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

22

Architecture 802.11 (suite)


Les BSS peuvent tre interconnects par un systme de distribution

(DS, Distribution System) : le plus souvent un rseau Ethernet

Un point d'accs est une station qui fournit l'accs au DS

Rseau
d'infrastructure

STA 1
STA 2
BSS 1

PA
Systme de
distribution (DS)

PA

BSS 2

STA 3
STA 4

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

23

Architecture 802.11 (suite)


ESS (Extended Service Set) : ensemble de BSS interconnects par un

systme de distribution
Les stations peuvent communiquer entre elles et passer d'un BSS

l'autre l'intrieur d'un mme ESS


ESS
STA 1
STA 2
BSS 1

PA
Systme de
distribution (DS)

PA

BSS 2

STA 3
STA 4

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

24

Protocole : accs au mdia


Mdia partag => 802.11 dfinit deux mthodes d'accs
DCF (Distributed Coordination Function)
Dans toutes les stations, sur rseau ad hoc et d'infrastructure
CSMA/CA Carrier Sense Multiple Access Collision Avoidance
Principe : la station coute le mdia pour vrifier qu'il est libre avant d'mettre

(idem CSMA/CD)

Mais elle ne peut pas dtecter les collisions


parce qu'elle n'entend pas ncessairement toutes les stations
parce que la liaison radio est half duplex
Avoidance => la station rceptrice met un ACK qui indique que la trame a

t correctement reue et qu'il n'y a pas eu de collision

Mcanisme supplmentaire : metteur et rcepteur changent un RTS/CTS

avant d'mettre les donnes


contrl par le paramtre dot11RTSThreshold

PCF (Point Coordination Function)


Uniquement dans les points daccs, peu implmente
Le PA contrle laccs au mdia (par interrogation des stations)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

25

Protocole : types de trames


Trames de gestion
balise (beacon)
Probe Request / Response
authentification
association

Trames de contrle
contribuent au bon acheminement des trames de donnes
exemple : ACK, RTS/CTS

Trames de donnes

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

26

Protocole : dcouverte des rseaux


Le point d'accs met intervalles rguliers (~ 100 ms) des trames

balise (beacon) qui contiennent :


SSID Service Set Identifier : chane de caractres identifiant le rseau sans fil

Les points daccs dun mme ESS mettent le mme SSID


Dbits supports

La station peut mettre des trames Probe Request pour identifier les

rseaux sans fil disponibles sur diffrents canaux


Le point d'accs lui renvoie une trame Probe Response (mmes infos

que dans la balise)


Pour utiliser le rseau sans fil, la station doit s'authentifier et s'associer

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

27

Authentification et association
non authentifi,
non associ
Authentification
russie

D-authentification

authentifi,
non associ
Association ou
rassociation
russie

D-authentification
Dsassociation

authentifi,
associ

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

28

Authentification
Deux modes d'authentification :
ouvert (open system)
partag (shared key)

Mode dauthentification
Open System

STA

Demande
d'authentification PA

Shared key

STA

Succs

Demande
d'authentification PA
Challenge
Challenge chiffr
Succs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

29

Association rassociation
La station envoie au PA une demande d'association
Si la station est dj authentifie le PA accepte la demande et retourne

un identificateur d'association (Association ID)

La station peut alors changer des trames de donnes avec les autres

stations de l'ESS

Rassociation : lorsqu'une station se dplace d'un BSS l'autre

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

30

Protocole : adressage
Adresses sur 48 bits, mme format qu'une adresse Ethernet
Une trame 802.11 contient 4 champs adresse, dont la signification varie

en fonction du type de trame


Contrle Dure/ID Adr 1 Adr 2 Adr 3

Contrle
Adr 4 Donnes CRC
de sq.

type de trame
gestion
contrle
donnes

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

31

Protocole : adressage
Les 4 champs adresse indiquent :
Le BSSID : il identifie de manire unique un BSS
mode infrastructure : adresse MAC du point d'accs
mode ad hoc : choisie de manire tre unique
ne pas confondre avec le SSID (aussi appel ESSID)

Ladresse de destination : adresse du destinataire final


Ladresse source : adresse de la station qui a initialement mis la trame
Ladresse du rcepteur : adresse du destinataire immdiat
Ladresse de lmetteur : adresse de la station qui met la trame

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

32

Protocole : adressage
Exemple : station 1 mettant une trame de donnes vers station 2
Rseau
filaire
PA1

STA1

PA1

STA1 STA2

PA2

STA2

PA2

STA2

STA1

La station lit le champ Adr 1 pour savoir si une trame lui est ou non

adresse

Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vrifie de

plus que le BSSID est celui du PA auquel elle est associe

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

33

Mobilit
STA

Nouveau PA

PA courant

Authentification
Demande de rassociation
BSSID ancien PA

STA tait associe ?


Oui

Rassociation russie
Trames en tampon
destines STA
Fin association avec STA
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

34

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

35

Risques lis aux rseaux sans fil


Mdia partag => les coutes sont possibles
Pas de limite franche ni visible au del de laquelle la rception est

impossible, donc en l'absence de mcanismes appropris n'importe qui


peut :
couter le rseau
se connecter au rseau (et utiliser l'accs Renater de l'unit par exemple)

Le signal peut tre brouill par une source extrieure

Les mmes risques existent sur un rseau filaire mais il faut pouvoir
accder au matriel rseau (prises, cbles...)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

36

Historique et terminologie
1999 : WEP (802.11)
2001 : 802.1X

=> authentification 802.1X + chiffrement WEP dynamique


2003 : WPA (Wi-Fi Protected Access) :
spcification publie par la Wi-Fi Alliance, et reprenant une bonne partie du

draft 3.0 de 802.11i en attendant la ratification de la norme


2004 : 802.11i MAC Security Enhancements
WPA2 : label de la Wi-Fi Alliance pour 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

37

WEP
Wireless Equivalent Privacy
Intgr la norme 802.11 de 1999
Principes :
cl secrte (40 ou 104 bits) partage par toutes les stations
authentification par dfi / rponse
confidentialit par chiffrement symtrique
Problmes et limitations
la cl peut tre dcouverte par simple coute du rseau avec des logiciels du

domaine public (AirSnort, Aircrack)


pas de mcanisme de distribution des cls

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

38

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

39

802.1X + WEP dynamique


802.1X permet une authentification srieuse des utilisateurs avant

connexion au rseau
Les cls sont gnres laide de protocoles de chiffrement et

distribues sous forme chiffre sur le rseau sans fil


Une cl WEP par utilisateur et par session
Cl commune pour les trames multicast
Renouvele suffisamment souvent dans le courant de la session pour

quelle ne puisse pas tre dcouverte (~ quelques minutes)


Avantages :
empche la dcouverte des cls
distribution automatique des cls

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

40

802.1 X
Port-Based Network Access Control (2001, rvision 2004)
Protocole permettant de n'autoriser l'accs un port rseau qu'aprs

authentification
Conu pour les rseaux filaires, s'applique aux rseaux IEEE 802
port rseau = port de commutateur (802.3)

association (802.11)
Composants :
systme authentifier (supplicant ) : qui demande l'accs au rseau
systme authentifiant ou relais dauthentification (authenticator ) :
contrle laccs au rseau
ne fait que relayer les changes dauthentification avec le serveur

serveur d'authentification : dtermine si le systme authentifier est autoris

accder au(x) service(s) dont l'accs est contrl par le relais


Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

41

802.1X : port contrl et port non contrl

Port
contrl

Port non
contrl

Port non
autoris

Point
dattachement

Rseau local
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Port
contrl

Port non
contrl
Port
autoris

Point
dattachement

Rseau local
42

802.1X : authentification

Port
contrl

Port non
contrl
Autorisation

Serveur
dauthentification

Systme

authentifier

Point
dattachement

Point
dattachement

EAP

Rseau local
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

43

EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
dvelopp l'origine pour lauthentification des utilisateurs se

connectant en PPP sur des serveurs daccs distants


permet d'encapsuler diffrents protocoles d'authentification et donc

de ne pas les implmenter dans le serveur RAS, qui les relaie vers
un serveur d'authentification
l'authentification elle-mme repose sur des mthodes

(protocoles) dfinies par ailleurs et encapsules dans EAP

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

44

Mthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST
LEAP (Lighweight EAP)
Proprit Cisco
Authentification mutuelle du client et du serveur par MS-CHAPv1
Cls dynamiques drives des changes MS-CHAP
Problmes de scurit lis lutilisation de MS-CHAPv1 => obsolte

TLS
RFC 2716
Authentification mutuelle du client et du serveur par certificats X.509
Permet de driver des cls de chiffrement
Mthode dauthentification de facto pour 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

45

Mthodes EAP (suite)


TTLS
draft-ietf-pppext-eap-ttls-05
Authentification du serveur par certificat X.509
Utilisation du tunnel chiffr TLS pour faire passer un autre protocole dauthentification

: PAP, CHAP, MD5, MS-CHAP


authentification interne par AVP (paires attribut-valeur)

PEAP (Protected EAP)


TTLS
Utilisation du tunnel chiffr TLS pour faire passer un autre change EAP (EAP over

EAP)
Avantage / TLS : possibilit de rutiliser les systmes dauthentification

existants (annuaire LDAP par exemple)


EAP-FAST (Cisco) : fait pour acclrer la rauthentification lors dun handover

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

46

802.1X : protocoles

Station
Station

Point daccs
Point daccs

Serveur
dauthentification
Serveur
dauthentification
EAP over RADIUS

EAP over LAN

EAP-TLS, EAP-TTLS...
EAP
RADIUS
802.1X (EAPoL)
UDP / IP
802.11

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

802.3

47

802.1X : EAPoL
dfinit EAPoL : EAP over LAN

encapsulation des paquets EAP sur les rseaux 802


champ Type Ethernet = 0x888E

4 types de message :
EAP-Start : envoy au PA par la station qui veut dmarrer lauthentification
EAP-Logoff : envoy par la station, le port est remis dans ltat non autoris

par le PA
EAP-Packet : transporte les informations dauthentification
EAP-Key : pour transmettre une cl entre le PA et la station

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

48

RADIUS
Remote Authentication Dial In User Service
originellement (RFC 2138 -> 2865) dfini pour le transport

dinformations dauthentification et de configuration entre un serveur


daccs distant et un serveur dauthentification

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

49

RADIUS (suite)
Utilise le port UDP 1812
repose sur un secret partag entre le serveur et le client (ici le point daccs)
Les messages EAP sont encapsuls dans 4 types de trames :
messages point daccs -> serveur : Access Request
messages serveur -> point daccs relays vers la station : Acess Challenge
messages serveur -> point daccs indiquant que lauthentication a russi : Access

Accept
messages serveur -> point daccs indiquant que lauthentication a

chou : Access Reject


RADIUS -> DIAMETER (RFC 3588 9/2003)
site officiel : http://www.diameter.org/
logiciel open source : http://www.opendiameter.org/

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

50

802.1X : dialogue EAP

Station

Serveur
dauthentification

Point daccs
EAP Request/Identity

EAP Response/Identity

Access Request - EAP Response/Identity

Authentification (dialogue EAP)


Access Accept
EAP Success
EAPoL-Key

802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

RADIUS
51

802.1X : dialogue EAP- authentification


4 types de paquets EAP :

Request, Response, Success, Failure

Station

Point daccs

Serveur
dauthentification

Access Request - EAP Response/Identity


EAP Request

Access Challenge - EAP Request

EAP Response
Access Request - EAP Response
802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

RADIUS
52

Plan (1/2)
Introduction
Aspects thoriques
Normalisation 802.11
Couche physique
Composants et architecture
Protocole
Scurit
WEP
802.1X et WEP dynamique
WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

53

WPA et 802.11i
Reposent galement sur lauthentification 802.1X
Deux modes :
personnel pour environnements SOHO
entreprise pour les structures plus importantes

Gestion et distribution des cls


Deux nouveaux mcanismes de chiffrement :
TKIP (WPA)
CCMP (802.11i)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

54

WPA/802.11i : principe
Authentification de la station par le serveur dauthentification avant que

le point daccs ne lui accorde laccs au rseau


=> drivation dune cl matresse connue du serveur et du client (et deux
seuls)
cl matresse => drivation dune cl matresse pair pair (PMK)
par la station
fournie par le serveur au point daccs

PMK => drivation des cls de session (unicast, multicast)


Authentification du serveur par la station
important dans lenvironnement sans fil (points daccs sauvages)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

55

WPA/802.11i : fonctionnement

Station

Point daccs

Serveur
dauthentification

Dcouverte de la politique de scurit


Phase 1

Phase 2

Phase 3

Phase 4

Authentification 802.1X

Distribution cl (802.1X)

Distribution cl (RADIUS)

Liaison chiffre tablie

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

56

WPA/802.11i : phase 1
Mode dauthentification = ouvert
Le point daccs annonce les politiques de scurit supportes dans

les trames Beacon et Probe Response

RSNA : Robust Security Network Association


Ajout dun champ RSN IE (Information Element) dans les trames

Beacon, Probe Response, Association Request/Response

Le champ RSN IE dcrit :


le type de chiffrement du trafic unicast et multicast :
WEP-40, WEP-104, TKIP, CCMP (dfaut)

la mthode dauthentification et de gestion des cls :


802.1X (dfaut), cl pr-partage

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

57

WPA/802.11i : phase 1 (suite)

Probe Request
Probe Response
RSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X
Authentification Open System
Authentification Open System (succs)
Association Request
RSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X
Association Response (succs)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

58

WPA/802.11i : phases 2 et 3

Station

Serveur
dauthentification

Point daccs
EAP Request/Identity

EAP Response/Identity

Access Request - EAP Response/Identity

Authentification (dialogue EAP)


Drivation de la cl matresse
Drivation PMK

Drivation PMK
Access Accept (+ PMK)

EAP Success
Gnration cls de session
802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

RADIUS
59

WPA/802.11i : phases 2 et 3
Gnration des cls (suite) :
procdure dite 4-way handshake : change de 4 messages EAPoL-Key

qui permettent de:


sassurer que le client dtient bien la PMK
de driver un ensemble de cls de chiffrement et dintgrit
partir de la PMK, des adresses MAC du client et du point daccs de deux

nombres alatoires
de chiffer le transport de la cl de groupe

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

60

WPA/802.11i : mode personnel


destin aux rseaux adhoc et rseaux personnels ( domicile)
mme mcanisme de dcouverte de la politique de scurit
pas dauthentification 802.1X
cl pr-partage est drive dun mot de passe et sert directement de

PMK
mme procdure de 4-way handshake
mmes techniques de chiffrement : TKIP CCMP

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

61

TKIP
Temporal Key Integrity Protocol
Amlioration de WEP
Chiffrement RC4 (pour pouvoir utiliser les mmes puces)
Cl de chiffrement des trames est drive dune cl matresse (<>

WEP o la cl matresse chiffre directement les trames)


Une cl diffrente pour chaque trame
Ajout dun numro de squence pour contrer les attaques par rejeu
Ajout dune squence de contrle dintgrit (y compris sur adresse

source)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

62

802.11i : nouveauts par rapport WPA


Chiffrement CCMP
Counter Mode with CBC-MAC Protocol
Sans souci de compatibilit avec WEP => nouvelles puces
Chiffrement AES

Pr-authentification (pour le handover)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

63

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

64

Avant de commencer
Spcifications du projet : un rseau sans fil
o a ?
dans des zones prcises : bibliothque, caftria
dans lensemble du/des btiments
et aussi dans le parc ?
pour qui ? nombre et type dutilisateurs
personnel permanent
invits (ayant travailler avec le labo)
gens de passage : colloques, formations
pour quoi faire ?
au minimum : offrir un accs internet
un peu plus : accs une imprimante locale
au maximum : accs lensemble des ressources du rseau
En gnral, tout a en mme temps pour diffrentes catgories dutilisateurs
avec quels quipements ?
type de plate-forme : matriel, systme dexploitation

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

65

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

66

Rseau sans fil isol du rseau filaire


Rseau
sans fil

Rseau
filaire
Pare-feu

Tous les PA dans le mme VLAN

Internet

Dispositif de
contrle daccs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

67

Rseau sans fil isol du rseau filaire

DMZ
DMZ

Rseau
extrieur

Serveurs
C-R

Rseau
extrieur

Clients

DMZ
GB

C-R

Serveurs
Clients

Sans fil
Sans fil

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

68

Rseau sans fil isol du rseau filaire


Rseau local
Rseau interne

Internet

Zone(s)
semi-ouverte(s)

Rseau sans fil


Accs client vers Internet
Accs services externes : publics (DNS, HTTP)
sur authentification (HTTPS, IMAPS, SMTPS)
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

69

Rseau sans fil isol du rseau filaire


accs aux quipements actifs :
autoris depuis le rseau filaire
interdit depuis le rseau sans fil

accs autoriss du rseau sans fil vers le rseau filaire :


au serveur DHCP
aux serveurs DNS
aux services publics (web etc.)
aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS,

SSH (pour les utilisateurs internes)


accs du sans fil vers le reste de linternet
peut tre limit certains ports (sans tre trop restrictif)
empcher les connexions entrantes

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

70

Rseau sans fil isol du rseau filaire


Accs supplmentaires possibles pour les utilisateurs identifis via VPN

Internet
Internet

Concentrateur
VPN

Rseau du
laboratoire

Rseau
Rseau
Sans
Sansfil
fil

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

71

Rseau sans fil isol du rseau filaire + VPN


Solution (presque) idale pour les petites structures
Inconvnient (de taille) : absence de contrle daccs au rseau sans fil
risque dpendant de lenvironnement
possibilit dutilisation illicite des rseaux de la recherche
responsabilit vis--vis de Renater et dInternet en gnral

Amliorations possibles :
WEP
rseau ouvert
mais personne ne peut sy connecter par hasard
panneau Accs rserv
OK pour une petite structure (quelques bornes), au-del problme de gestion

des cls

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

72

Rseau sans fil isol du rseau filaire + VPN


Amliorations possibles (suite):
contrle daccs par adresse MAC
peut tre local la borne
ou centralis sur un serveur RADIUS

Mise en uvre avec un serveur RADIUS :


Le PA envoie une requte Access-Request avec :

User-Name et User-Password : adresse MAC de la station


Fichier users :

00904b1d9fd8 Auth-Type:=Local,
User-Password="00904b1d9fd8"

Avantage de ces solutions : fonctionnent avec tous les clients

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

73

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

74

Portail web daccs


portail captif
Logiciels libres :
NoCat (http://nocat.net/)
NoCatAuth : version originale en Perl
NoCatSplash : portage en C

M0n0wall (http://m0n0.ch/wall/)
talweg (http://sourcesup.cru.fr/talweg/)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

75

Portail web daccs : fonctionnement


Rseau public

Rseau dont
on veut contrler
laccs
Routeur ou pont

@ IP (DHCP)
HTTP
Login ?
Passwd ?

Authentification ?
Nom dutilisateur et mot de passe

Serveur
dauthentification

Succs de lauthentification
Autorisation
daccs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

76

Portail web daccs : fonctionnement


Lautorisation daccs au rseau se fait par modification des rgles de

filtrage
Fin dautorisation daccs ?
bouton dconnexion : pas forcment utilis
par requtes ARP ou ICMP priodiques

Protection des changes


les donnes dauthentification doivent tre changes en HTTPS
le reste du trafic nest pas protg => recommandations aux utilisateurs

Solution satisfaisante
pour laccueil des visiteurs
parce quelle fonctionne avec tous les clients
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

77

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

78

Affectation dynamique de VLAN


La sparation rseau sans fil / rseau filaire
a t impose par des contraintes de scurit
compte tenu des fonctionnalits des premiers matriels

Aujourdhui les rseaux filaires sont segments en VLAN


permet dattribuer des droits diffrents des groupes dutilisateurs

diffrents
avec les limites du VLAN par port (VLAN visiteur ?)

Affectation dynamique de VLAN


prolonger la structure du rseau filaire sur le rseau sans fil
avec des mcanismes adapts aux rseaux sans fil

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

79

Affectation dynamique de VLAN


Serveur
dauthentification

Utilisateur 1
VLAN 1

VLAN 1
Ex : visiteurs

Point daccs
sans fil
VLAN 1

Commutateur
Ethernet

VLAN 2

Utilisateur 2
VLAN 2

Tag 802.1Q

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

VLAN 2
Ex : permanents

80

Affectation dynamique de VLAN


Repose sur lauthentification 802.1X
le numro de VLAN est transmis par le serveur RADIUS au point

daccs dans le message Access-Accept


Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802 (6)
Tunnel-Private-Group-ID=<numro de VLAN>
Fonctionne sur le filaire comme sur le sans fil :
un commutateur Ethernet affecte le port auquel est connect le client dans

le VLAN retourn par le serveur RADIUS


un point daccs sans fil tiquette chaque trame en sortie dans le VLAN

correspondant lutilisateur
Suppose de propager tous les VLAN ncessaires jusquaux points

daccs (nomadisme sur un campus)


Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

81

Affectation dynamique de VLAN

Portail daccs
web
Pas dauthentification
802.1X

VLAN par dfaut


Parefeu

PA
Authentification
802.1X

Rseau
du labo
Serveur
dauthentification

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

82

Affectation dynamique de VLAN


On peut avoir des fonctionnalits ~ quivalentes celles des VLAN

filaires sur le sans fil deux conditions :


un BSSID par VLAN : une station ne traite les trames adresses des

adresses de groupe que si le BSSID est celui du PA auquel elle est


associe
cls de groupe diffrentes pour chaque groupe dutilisateurs : pour que les

trames ne puissent pas tre dchiffres par toutes les stations

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

83

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

84

Points daccs virtuels


Chaque PA peut mettre plusieurs SSID
A chacun de ces SSID est associ :
un VLAN sur le rseau filaire
une mthode et un serveur dauthentification

Permet de grer plusieurs rseaux administrativement distincts sur la

mme infrastructure
Permet davoir un BSSID par VLAN
Possibilit daffecter ensuite dynamiquement le VLAN en 802.1X ?

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

85

Points daccs virtuels

SSID 1

VLAN 1
Auth : portail
daccs web

Point daccs
sans fil
VLAN 1

SSID 2

Commutateur
Ethernet

VLAN 2

Tag 802.1Q

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

VLAN 2
Auth : MAC adresse

86

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

87

Commutateur sans fil


Aussi appel contrleur
Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace

(rachet par Cisco)


Botier spcialis plac en coupure (logique) entre le rseau filaire et le

rseau sans fil


Un certain nombre de fonctions habituellement gres dans les points

daccs sont dportes sur le commutateur


authentification
association
chiffrement
interconnexion avec le rseau filaire

=> notion de point daccs lger

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

88

Commutateur sans fil


Fonctionnement : tablissement dun tunnel (niveau 2 ou 3) entre

chaque point daccs et le commutateur


La communication entre le PA et le commutateur repose sur un

protocole que chaque constructeur essaie de normaliser lIETF


LWAPP (Airespace/Cisco)
CAPWAP
SLAPP (Trapeze, Aruba)

Solutions propritaires :
fonctionnent avec les points daccs fournis par le constructeur
mme si acceptent gnralement les PA dautres constructeurs
perte de la plupart des fonctionnalits intressantes

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

89

Commutateur sans fil : niveau physique

Tunnels

Points daccs

Commutateurs
Ethernet

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Commutateur
sans fil

90

Commutateur sans fil : niveau logique


Les VLAN sont propags jusquau commutateur et non jusquaux points
daccs
Rseau
sans fil

SSID 1

Rseau
filaire

Commutateur
sans fil

SSID 2
Points daccs

VLAN 1

SSID 1
VLAN 2
Tunnels
SSID 2

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

Tag 802.1Q
91

Commutateur sans fil : gestion de la radio


Ajustement dynamique de la puissance et du canal de chaque point

daccs
autocalibration du rseau radio ?

Les points daccs peuvent ou non fonctionner simultanment en mode

sonde

Dtection des interfrences


Dtection / neutralisation des points daccs sauvages
Dtection des rseaux ad hoc
Dtection dattaques 802.11 classiques
Localisation gographique des points daccs et des clients

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

92

Commutateur sans fil : gestion de la radio


Gestion de la bande passante par utilisateur(s), par application, par

VLAN

Possibilit dinterdire les communications directes entre clients


Equilibrage de charge entre points daccs adjacents
Possibilit daffecter des priorits aux diffrents flux
Gestion de la mobilit

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

93

Authentification et contrle daccs


Portail
802.1X, EAP, TLS, TTLS
VPN IPsec et SSL
Base interne / externe (LDAP, AD)
Fonctions de contrle daccs + ou - sophistiques :
filtrage IP
pare-feu stateful
par utilisateur, groupe dutilisateurs, VLAN
Systme de dtection dintrusion embarqu

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

94

Administration et supervision
Gestion centralise des points daccs
configurations
mises jour logicielles
Dtection et configuration automatique des points daccs
Tableau de bord, statistiques (par station, par point daccs,

globales)

Plan de site avec localisation des points daccs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

95

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

96

Passerelle de scurit
Constructeur : exemple Ucopia
Botier spcialis plac en coupure (logique) entre le rseau filaire et le

rseau sans fil


solution non spcifique aux rseaux sans fil
fonctionne avec tous les PA
Commutateur sans fil traite les trames 802.11 mises par les stations
Passerelle traite les trames 802.3 mises par les points daccs

agrgat de fonctions permettant de grer les utilisateurs mobiles,

visiteurs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

97

Passerelle : exemple Ucopia


logiciel sur PC/Linux quip de 2 interfaces rseau, intgrant un certain

nombre de briques de logiciels libres


se place en coupure de rseau
physique ou logique

possibilit davoir plusieurs SSID par bornes (si elles le supportent)


et dy associer des mthodes dauthentification diffrentes
chaque SSID est associ un VLAN en sortie de la borne
VLAN peut tre redfini en fonction du profil de lutilisateur en sortie de la

passerelle

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

98

Passerelle : exemple Ucopia

Rseau
filaire

Rseau
sans fil
SSID 1
VLAN 1

VLAN 3

SSID 2
Points daccs

VLAN 4

SSID 1
Passerelle
VLAN 2
SSID 2

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

99

Passerelle Ucopia : authentification et contrle


daccs
Authentification
par nom dutilisateur et mot de passe en HTTPS
802.1X / EAP-TLS, TTLS, PEAP
par carte puce (EAP-SHA1, dveloppement propre)
serveur RADIUS embarqu (peut tre configur en proxy vers un autre

serveur RADIUS)
Contrle daccs
fonction du profil de lutilisateur
par mise en place de filtres correspondant au profil de lutilisateur sur le

contrleur pour la dure de la connexion (iptables)


possibilit daffecter un VLAN en fonction du profil de lutilisateur en sortie

du contrleur

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

100

Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN)
Zro configuration : reconnaissance et redirection de certains flux
SMTP -> serveur de messagerie local
HTTP
impression : par lintermdiaire du serveur dimpression embarqu

Gestion des points daccs : par SNMP


configuration
stockage et traitement des logs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

101

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

102

Choix de la mthode EAP


mthode EAP fonde sur TLS pour :
authentification du serveur par le client
protection des informations didentit de lutilisateur
la gnration de cls de session robustes

=> EAP-TLS, EAP-TTLS, PEAP


EAP-TLS
pour :
le plus largement support
client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3
le CNRS dispose dune IGC

contre :
il faut distribuer des certificats tous les utilisateurs

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

103

Choix de la mthode EAP


EAP-TTLS
pour :
permet de rutiliser les bases dauthentification existantes (LDAP, AD)

contre :
ncessite un client spcifique pour Windows
SecureW2 (http://www.securew2.com/)

PEAP
envisager dans un environnement tout Windows

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

104

Choix de la mthode de chiffrement


Ne pas tre maximaliste
WEP dynamique : raisonnable
TKIP : si on peut le faire, tant mieux
CCMP : prmatur

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

105

Serveur dauthentification
Serveur RADIUS
de multiples implmentations commerciales
open source : FreeRadius
Microsoft IAS (Internet Authentication Server)

FreeRadius
http://www.freeradius.org/
liste de diffusion : freeradius-users@lists.freeradius.org (verbosit ++)
Linux, FreeBSD, NetBSD, Solaris
authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et dautres
autorisation : fichier local, LDAP (OpenLDAP), base SQL

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

106

FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb
radiusd.conf, eap.conf, clients.conf et users
radiusd.conf : gnralits
adresse, port
logs

clients.conf :
client 194.57.138.2 {
secret = monalisa
shortname = bsf2
nastype = other
}

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

107

FreeRadius : configuration
eap.conf :
tls {
# private_key_password = whatever
private_key_file =
${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
certificate_file =
${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
CA_file = ${raddbdir}/certs/LOCAL/CA.pem
dh_file = ${raddbdir}/certs/LOCAL/dh
random_file = /dev/urandom
# fragment_size = 1024
# include_length = yes
# check_crl = yes
check_cert_cn = %{User-Name}
}

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

108

FreeRadius : configuration
users :
#

# CN des utilisateurs autorises a se connecter avec certificat


#
'Catherine Grenet'
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 12
#
# La ligne suivante permet de refuser l'acces aux utilisateurs
# qui ne sont pas dans la liste ci-dessus
#
DEFAULT Auth-Type := Reject

test : radiusd X

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

109

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

110

Propagation

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

111

Transparence

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

112

Interfrences

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

113

Interfrences

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

114

Couverture

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

115

Construction du rseau

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

116

Classes dusage

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

117

Classes dusage

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

118

Plan des frquences

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

119

Rglage des PA

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

120

802.3af
Power Over Ethernet (PoE)
permet de fournir une puissance infrieure 15 W sous 48 V en

courant continu sur le cble Ethernet


transport
soit sur les deux paires qui transportent les donnes (1-2 et 3-6)
soit sur les deux paires inutilises (4-5 et 7-8)

Lalimentation peut tre fournie :


soit par le commutateur Ethernet
soit par un injecteur

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

121

802.3af
Cbles RJ-45

Point daccs

Commutateur

Commutateur

Injecteur

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

122

Plan (2/2)
Architecture de rseau
rseau sans fil isol du rseau filaire
portail web daccs
affectation dynamique de VLAN
points daccs virtuels
commutateur sans fil
passerelle de scurit
choix de mise en uvre

Dploiement du rseau radio


Outils

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

123

Outils
Analyseur de spectre
Scanner actif
Netstumbler (Windows) : http://www.netstumbler.com/
iStumbler (Mac OS X) : http://istumbler.net/

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

124

Outils : scanners et analyseurs


Scanners passifs et analyseurs fonctionnent sur une carte rseau en
mode RFMON
permet de capturer tous les paquets 802.11
mode promiscuous pour une carte Ethernet
RFMON = mode coute seulement (<> Ethernet)

Kismet : http://www.kismetwireless.net/
Linux
dtection des points daccs
capture du trafic

WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/
Ethereal sous Linux (pas de mode RFMON sous Windows)

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

125

Bibliographie succinte
Daniel Azuelos, Architecture des rseaux sans fil, 2005,

http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Matthew Gast, 802.11 Rseaux sans fil, 2e dition, OReilly, 2005
Luc Saccavini, Le protocole IEEE 802.1X, 2003,

http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf
Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE

802.11i Overview, 2002

Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006

126