Vous êtes sur la page 1sur 52

Pourquoi utiliser un réseau sans fil ?

Technologie sans fil


Quatre normes de communications de données courantes s’appliquent aux supports sans fil :
• Norme IEEE 802.11 : la technologie de réseau local sans fil (WLAN), couramment appelée Wi-Fi, utilise un
système non déterministe basé sur un processus d’accès au support par accès multiple.
• Norme IEEE 802.15 : la norme de réseau personnel sans fil (PAN), couramment appelée Bluetooth, utilise un
processus de jumelage de périphériques pour communiquer sur des distances de 1 à 100 mètres.
• Norme IEEE 802.16 : la technologie d’accès couramment appelée WiMAX (Worldwide Interoperability for
Microwave Access) utilise une topologie point-à-multipoint pour fournir un accès à large bande sans fil.
• Système mondial de communication avec les mobiles (GSM)
Pourquoi utiliser un réseau sans fil ?
Technologie sans fil
Pourquoi utiliser un réseau sans fil ?
Réseau local sans fil
le réseau local sans fil est une extension du réseau local Ethernet. Le réseau local a évolué pour
devenir mobile.

Client

Périphérique sans fil


(point d’accès)

Normes IEEE : Ethernet 802.3 et sans fil IEEE 802.11


Pourquoi utiliser un réseau sans fil ?
Comparaison entre un réseau local sans fil et un réseau local filaire

Caractéristique Réseau local sans fil 802.11 Réseaux locaux Ethernet 802.3

Couche physique Radiofréquence (RF) Câble

Accès aux supports Évitement de collision Détection de collisions

Disponibilité Quiconque équipé d’une carte réseau radio dans la portée Connexion par câble requise
d’émission d’un point d’accès
Signaux parasites Oui Sans conséquence

Réglementation Autres réglementations édictées par les autorités locales Norme IEEE

Les réseaux locaux sans fil utilisent un format de trame différent de celui des réseaux locaux
Ethernet filaires. Les réseaux locaux sans fil ont besoin d’informations supplémentaires au niveau
de l’en-tête de couche 2 de la trame.

Les réseaux locaux sans fil posent davantage de problèmes en matière de confidentialité dans la
mesure où les fréquences radio peuvent atteindre l’extérieur.
Normes des réseaux locaux sans fil
Certification Wi-Fi

Les normes assurent une interopérabilité entre les périphériques produits par différents fabricants.
Sur le plan international, les trois organismes ayant le plus de poids au niveau des normes des
réseaux locaux sans fil sont les suivants :

• ITU-R : régit l’attribution des bandes RF.


• IEEE : spécifie la façon dont les radiofréquences sont modulées.
• Wi-Fi Alliance : s’assure que les fournisseurs fabriquent des périphériques interopérables.
Normes des réseaux locaux sans fil
Normes IEEE 802.11

Taux de Taux de Portée


Date de Portée
Normes Fréquences transfert transfert moyenne caractéristiques
normalisation (extérieur)
(Typ) (Max) (intérieur)
Rapidité, moins sujette aux
5,7 interférences
802.11a 1999 25 Mbit/s 54 Mbit/s ~25 m ~75 m
Jusqu’à 23 canaux Coût plus élevé, portée
inférieure
Faible coût, bonne portée
2,4
802.11b 1999 6,5 Mbit/s 11 Mbit/s ~35 m ~100 m Lenteur, sujette aux
3 canaux
interférences
Rapidité, bonne portée, peu
sensible aux obstacles
2,4
802.11g 2003 25 Mbit/s 54 Mbit/s ~25 m ~75 m Sujette aux interférences
3 canaux
des appareils utilisant la
bande 2,4 GHz
2,4 GHz et/ou 5 Excellents débits de
802.11n 2009 200 Mbit/s 450 Mbit/s ~50 m ~125 m
GHz données, portée accrue
5,15-5,35 GHz 1300
802.11ac jan. 2014 433 Mbit/s ~20 m ~50 m
5,47-5,875 GHz Mbit/s
Composants d’une infrastructure sans fil
Support (physique) Sans Fil
Les supports sans fil transportent des signaux électromagnétiques à des fréquences radio et micro-ondes qui
représentent les chiffres binaires des communications de données.
Les technologies de communication de données sans fil fonctionnent bien dans les environnements ouverts.
Cependant, certains matériaux de construction utilisés dans les bâtiments, limitent la couverture effective.

De plus, la transmission sans fil est


sensible aux interférences et peut être
perturbée par des appareils aussi
courants que les téléphones fixes sans fil,
certains types d’éclairages fluorescents,
les fours à micro-ondes et d’autres
communications sans fil.
En outre, des périphériques et
utilisateurs non autorisés à accéder au
réseau peuvent accéder à la transmission.
Composants d’une infrastructure sans fil
Périphériques réseau Sans Fil
Un réseau local sans fil exige généralement les périphériques réseau suivants :
• Point d’accès sans fil : concentre les signaux sans fil des utilisateurs et se connecte, en général via un câble
en cuivre, à l’infrastructure réseau en cuivre existante telle qu’Ethernet.
• Adaptateurs de carte réseau sans fil : fournissent à chaque hôte du réseau la possibilité de communiquer
sans fil.
Composants d’une infrastructure sans fil
Points d’accès sans fil

Un point d’accès est un périphérique de couche 2 qui fonctionne comme un concentrateur Ethernet 802.3. Les
radiofréquences constituent un support partagé et les points d’accès sont à l’écoute de l’ensemble du trafic radio.
Composants d’une infrastructure sans fil
Routeurs sans fil

Dans les petites entreprises et chez les particuliers, les routeurs sans fil jouent le rôle de
point d'accès, de commutateur Ethernet et de routeur.
Composants d’une infrastructure sans fil
CSMA/CA : Problème du nœuds cachés
Dans un réseau local Ethernet classique, la méthode d'accès utilisée par les machines est le CSMA/CD (Carrier
Sense Multiple Access with Collision Detect), pour lequel chaque machine est libre de communiquer à n'importe
quel moment.
Chaque machine envoyant un message vérifie qu'aucun autre message n'a été envoyé en même temps par une
autre machine. Si c'est le cas, les deux machines patientent pendant un temps aléatoire avant de recommencer à
émettre.
Dans un environnement sans fil ce procédé n'est pas possible dans la mesure où deux stations communiquant
avec un point d’accès ne s'entendent pas forcément mutuellement en raison de leur rayon de portée.

PC1 et PC2 ne peuvent pas se


détecter mutuellement

Problème du nœud caché :


• PC1 et PC2 accèdent à Comm3 SF
• PC1 et PC2 ne peuvent pas s'atteindre mutuellement
• PC1 ne détecte pas l'activité de PC2 sur le canal PC2 et PC3 se détectent
• PC1 envoie des données pendant que PC2 en transmet mutuellement
• Une collision se produit
PC3 étant détecté à la fois par PC1 et PC2,
aucune collision n'implique PC3.

PC1 et PC2 se détectent


mutuellement
Composants d’une infrastructure sans fil
CSMA/CA : Carrier Sense Multiple Access with Collision Avoidance
La norme 802.11 propose un protocole similaire à CSMA/CD appelé CSMA/CA (accès multiple avec écoute de
porteuse avec évitement de collision). Les points d’accès supervisent cette fonction de coordination répartie

La station voulant émettre écoute le réseau. Si le réseau est encombré, la transmission est différée.
Dans le cas contraire, si le média est libre pendant un temps donné, alors la station peut émettre.
• La station transmet un message appelé Request To Send (noté RTS signifiant Demande pour émettre)
contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission.
• Le point d'accès répond un Clear To Send (CTS, signifiant Le champ est libre pour émettre).
• La station peut commencer l'émission des données.
• A réception de toutes les données émises par la station, le point d'accès envoie un accusé de réception (ACK).
Lorsque la transmission est terminée, les autres stations
peuvent demander le canal de la même façon.

RTS
CTS

DATA

ACK
Fonctionnement sans fil
Modes
Le protocole 802.11g étant compatible en amont avec 802.11b, les points d’accès prennent en charge les deux
normes. Les clients se connectent à un point d’accès conformément à la norme 802.11g bénéficient tous des
meilleurs débits de données disponibles.
Lorsque des clients 802.11b s’associent au point d’accès, tous les clients rapides qui rivalisent pour obtenir le
canal doivent attendre que les clients 802.11b aient libéré le canal avant de transmettre.

Pour permettre à un point d’accès de


prendre en charge 802.11a, ainsi que
802.11b et g, il doit disposer d’une
seconde radio pour fonctionner dans
l’autre bande RF.
Fonctionnement sans fil
Service set identifier (SSID)
Un identificateur d’ensemble de services partagé (SSID) est un
identificateur unique qu’utilisent les périphériques client pour
distinguer plusieurs réseaux sans fil dans un même voisinage.
Un SSID peut être partagé par plusieurs points d’accès sur un même
réseau.
La figure illustre un exemple de SSID permettant de distinguer
plusieurs réseaux locaux sans fil. Les SSID peuvent correspondre à
une entrée alphanumérique, sensible à la casse, constituée de 2 à
32 caractères.
Fonctionnement sans fil
Les canaux de transmission
On appelle canal de transmission une bande étroite de fréquence utilisable pour une communication.

Dans chaque pays, le gouvernement est en général le régulateur de l'utilisation des bandes de fréquences, car il est
souvent le principal consommateur pour des usages militaires.

Toutefois les gouvernements proposent des bandes de fréquence pour une utilisation libre, c'est-à-dire ne
nécessitant pas de licence de radiocommunication.

En 1985 les Etats-Unis ont libéré trois bandes de fréquence à destination de l'Industrie, de la Science et de la
Médecine. Ces bandes de fréquence, baptisées ISM (Industrial, Scientific, and Medical), sont les bandes 902-928
MHz, 2.400-2.4835 GHz, 5.725-5.850 GHz.

En Europe la bande s'étalant de 890 à 915 MHz est utilisée pour les communications mobiles (GSM), ainsi seules
les bandes 2.400 à 2.4835 GHz et 5.725 à 5.850 GHz sont disponibles pour une utilisation radioamateur.
Fonctionnement sans fil
Système de distribution commun (Roaming)

Le Roaming, décrit par la norme 802.11f, permet à un utilisateur itinérant de changer de point d’accès de façon
transparente lors d’un déplacement.
Il permet à plusieurs points d’accès au sein d’un ensemble de services étendus d’apparaître en tant qu’ensemble
de services de base unique.
En règle générale, un ensemble de services étendus comprend un SSID commun qui permet à un utilisateur de
passer d’un point d’accès à un autre (« itinérance » ou « roaming »).
Fonctionnement sans fil
Chevauchement des canaux de transmission
La bande 2,4 GHz est découpée en 11 canaux pour l’Amérique du Nord et en 13 canaux pour l’Europe. La fréquence
centrale de ces canaux est séparée de seulement 5 MHz et leur bande passante globale (ou occupation de
fréquence) est de 22 MHz.
Une bande passante de canal de 22 MHz combinée à une séparation de 5 MHz entre les fréquences centrales
signifie qu’il existe un chevauchement entre les canaux successifs.
Ainsi, si deux points d'accès utilisant des canaux qui se chevauchent ont des zones d'émission qui se recoupent,
des distorsions du signal risquent de perturber la transmission.
Or, dans le cas des réseaux locaux sans fil qui nécessitent plusieurs points d’accès (Roaming), les méthodes
recommandées préconisent l’utilisation de canaux sans chevauchement pour éviter toute interférence .
S’il existe trois points d’accès adjacents, utilisez les canaux 1, 6 et 11. S’il n’en existe que deux, sélectionnez-en
deux qui soient séparés de cinq canaux (p. ex., les canaux 5 et 10).
Fonctionnement sans fil
Chevauchement des canaux de transmission
Donc pour éviter le chevauchement, les canaux 1, 6 et 11 distants les uns des autres de 25MHz sont généralement
utilisés.

11

1
1
6

11
6
11
1
Fonctionnement sans fil
Topologies 802.11 : Ad Hoc
Dans la description de ces topologies, la pierre angulaire de l’architecture de réseau locaux sans fil IEEE 802.11 est
l’ensemble de services de base (BSS : Basic Service Set). La norme définit l’ensemble de services de base comme
un groupe de stations qui communiquent entre elles.
Les réseaux sans fil peuvent fonctionner sans points d’accès ; il s’agit dans ce cas d’une topologie ad hoc.
Les stations client configurées pour fonctionner en mode ad hoc se configurent entre elles les paramètres sans fil.
La norme IEEE 802.11 désigne un réseau ad hoc sous le nom IBSS (Independent BSS, ensemble de services de base
indépendant).
Fonctionnement sans fil
Topologies 802.11 : basic service set (BSS)
Les points d’accès procurent une infrastructure qui ajoute des services et améliore la portée des clients. Un seul
point d’accès en mode infrastructure permet de gérer les paramètres sans fil et la topologie consiste simplement
en un ensemble de services de base. La zone de couverture d’un IBSS et d’un BSS est appelée basic service area
(BSA).
Fonctionnement sans fil
Topologies 802.11 : extended service set (ESS)
Lorsqu’un ensemble de services de base n’assure pas une couverture en radiofréquences suffisante, un ou
plusieurs ensembles de ce type peuvent être joints par le biais d’un système de distribution commun de manière à
former un éventail de services étendu (ESS).
La zone de couverture est la zone de services étendue (Extended Service Area, ESA).
Fonctionnement sans fil
Topologies 802.11

Périphériques sans fil Mode Topologie Base de la topologie Zone de couverture


Aucun point d’accès Ad hoc Ensemble de services de base Zone de service de base (BSA)
indépendants (IBSS)
Un point d’accès Infrastructure Ensemble de services de base (BSS) Zone de service de base (BSA)
Plusieurs points Infrastructure Ensemble de services étendus (ESS) Zone de service étendue (ESA)
d’accès
Fonctionnement sans fil
Association du client au point d’accès

Point
d'accès
Le point d'accès émet périodiquement une
trame Beacon :
• SSID
• Débits pris en charge
• Mise en œuvre de la sécurité (p.ex., WPA2)
Les clients équipés d'une carte réseau radio
«entendent» la trame Beacon
Fonctionnement sans fil
Association du client au point d’accès
Étape 1 – Analyse 802.11
Si le client du réseau local sans fil tente
simplement de découvrir les réseaux locaux
sans fil disponibles, il peut envoyer une
requête d’analyse sans SSID. Auquel cas,
tous les points d’accès configurés pour
répondre à ce type de requête émettent
une réponse.
Pour rechercher un réseau spécifique, les
clients envoient une requête d’analyse sur
plusieurs canaux. La requête d’analyse
spécifie le nom du réseau (SSID) et les Le client envoie une requête d'analyse :
débits. • SSID
• Débits pris en charge

Le point d'accès envoie une réponse à la


requête d'analyse :
• SSID
• Débits pris en charge
• Mise en œuvre de la sécurité
Fonctionnement sans fil
Association du client au point d’accès
Étape 2 – Authentification 802.11
À l’origine, la norme 802.11 fut développée
avec deux mécanismes d’authentification.
Le premier, appelé authentification
ouverte, consiste essentiellement en une
authentification NULL où le client émet le
message « authentifie-moi », auquel le
point d’accès répond « oui ».
Le second mécanisme d’authentification est
basé sur une clé partagée entre la station
client et le point d’accès appelée clé WEP
(Wired Equivalency Protection). Demande d’authentification ouverte
Le principe de la clé WEP partagée est • Type (clé ouverte, partagée)
qu’elle confère à une liaison sans fil un • Clé (si le type est clé partagée)
niveau de confidentialité équivalent à celui
d’une liaison filaire. Or, la mise en œuvre
initiale de cette méthode d’authentification
était défectueuse. Pour être conformes aux Réponse d’authentification
normes, les mises en œuvre de clients et de • Type
points d’accès doivent intégrer • Clé
l’authentification par clé partagée. • « Réussite » ou « Échec »
Toutefois, elle n’est ni utilisée, ni
recommandée.
Fonctionnement sans fil
Association du client au point d’accès
Étape 3 – Association 802.11
Cette étape vise à valider les options de
sécurité et de débit et à établir la liaison de
données entre le client de réseau local sans
fil et le point d’accès.
Au cours de cette étape, le client apprend
le BSSID, qui correspond à l’adresse MAC du
point d’accès, lequel mappe un port logique
connu en tant qu’identificateur
d’association (Association Identifier, AID)
sur le client de réseau local sans fil. L’AID
équivaut à un port de commutateur. Demande d’association
Le processus d’association permet au • Adresse MAC du client
commutateur de l’infrastructure d’effectuer • Adresse MAC du point d’accès (BSSID)
le suivi des trames destinées au client • Identificateur ESS (ESSID)
WLAN pour qu’elles puissent être
réacheminées.
Dès lors qu’un client WLAN est associé à un Réponse à la demande d’association :
point d’accès, un échange de trafic peut • « Réussite » ou « Échec »
alors avoir lieu entre ces deux • Identificateur d’association (AID) si
périphériques. l’association réussit
Planification du réseau local sans fil
Plan
L’auditorium ouvert (bâtiment de type
entrepôt/fabrication) illustré dans cette figure
représente une surface approximative de 1 900
mètres carrés, environ 20 450 pieds carrée (ft²).

À prendre en considération :
• Le nombre d’utilisateurs,
• la structure géographique de
l’installation,
• les débits de données
attendus par les utilisateurs,
• l’utilisation de canaux sans
chevauchement par les
multiples points d’accès.

Des recommandations au moment du placement des points d’accès :


• Placez les points d’accès au-dessus des obstacles.
• Positionnez les PA à la verticale près du plafond et au centre de chaque zone de couverture, si possible.
• Installez les PA à des endroits où les utilisateurs sont appelés à travailler. Par exemple, les salles de
conférence constituent généralement un emplacement plus approprié pour les PA que les couloirs.
Planification du réseau local sans fil
Zone de couverture
D’après les spécifications du réseau, chaque zone de service de base (BSA) dispose d’un débit 802.11b
de 48 Mbits/s.
Les points d’accès avec un débit de 48 Mbits/s permettent d’atteindre une couverture d’environ 580 m²

Le cahier des charges prévoit une zone de couverture A = 580 mètres carrés
Cherchez R sachant que A = Z²

Selon le théorème de Pythagore :


R2  R2  Z 2

Sortie :
R  Z2 / 2

R  580 / 2

R  290

R  17 Z  24

Remarque : la zone de couverture de 580 mètres carrés vaut pour un périmètre de forme carrée. Le
rayon de la zone de service de base part en diagonale du centre de ce carré.
Planification du réseau local sans fil
Alignement des zones de couverture
Sachant que l’installation représente une surface de 1 900 mètres carrés, si l’on divise cette surface par
480, qui représente la zone de couverture requise pour chaque point d’accès, le nombre de points
d’accès nécessaires pour l’auditorium est d’au moins quatre unités.

• Sur le planded’étage,
La zone disposez
couverture quatre
étant cercles
un carré de couverture
avec un côté « Zd’un rayon
», le de 17
cercle mètresà en
tangent sesfaisant
quatreenangles
sorte qu’ils
se chevauchent,
présente comme
un rayon illustré
de 17 danscomme
mètres, la figurelesuivante.
montrent les calculs.
• Une fois que les dimensions de la zone de couverture ont été déterminées, il convient de les
disposer de la même façon que dans la figure suivante.
Menaces de sécurité sur les réseaux locaux sans fil
Accès non autorisé
Les catégories de menace pouvant conduire à un accès non autorisé sont essentiellement au nombre de trois :

Pirates Wi-Fi Pirates informatiques Employés


Recherchent des réseaux Intrus malveillants qui s’introduisent dans Des employés qui installent des points
« ouverts » pour accéder les systèmes dans le but de s’emparer de d’accès non autorisé, la motivation de
gratuitement à Internet données ou d’endommager les systèmes. ces employés étant de profiter du
réseau d’entreprise à leur domicile.
Menaces de sécurité sur les réseaux locaux sans fil
Attaques de l’intercepteur (Man-in-the-Middle, ou MITM)
Étant donné que les points d’accès agissent comme des concentrateurs Ethernet, chaque carte réseau
au sein d’un ensemble de services de base entend tout le trafic.
Le périphérique ignore le trafic qui ne lui est pas adressé.

Les pirates peuvent modifier la carte


réseau de leur ordinateur portable à
l’aide d’un logiciel spécial de sorte qu’il
accepte tout le trafic. Une fois cette
modification effectuée, le pirate peut
lancer des attaques MITM sur le réseau
sans fil en utilisant la carte réseau de
l’ordinateur portable comme point
d’accès.

Les chances de déjouer une attaque de type MITM passent par :


• Le recensement des périphériques légitimes du réseau local sans fil,
• L’authentification des utilisateurs du réseau LAN sans fil,
• La sophistication de l’ infrastructure du réseau LAN sans fil, (des dispositifs d’analyse, qui identifient
les points d’accès non autorisés et les réseaux ad hoc),
• Surveiller l’activité et la charge des points d’accès en analysant la bande RF (un point d’accès plus
actif que la normale peut être un signe qu’il existe du trafic non autorisé).
Menaces de sécurité sur les réseaux locaux sans fil
Déni de service (DoS)
Les réseaux locaux sans fil de type 802.11b et g utilisent la bande ISM 2,4 GHz sans licence. Il s’agit de
la même bande que celle utilisée par la plupart des produits sans fil grand public, comme les
interphones bébé, les téléphones sans fil et les fours à micro-ondes.
Face à l’encombrement de la bande RF par tous ces appareils, les pirates peuvent créer du bruit sur
tous les canaux de la bande à l’aide de périphériques communs.
Menaces de sécurité sur les réseaux locaux sans fil
Déni de service (DoS) 2
En utilisant un PC comme point d’accès, le pirate peut inonder l’ensemble de services de base de
messages prêts à émettre (CTS) afin de neutraliser la fonction CSMA/CA utilisée par les stations. À leur
tour, les points d’accès inondent l’ensemble de services de base de trafic simultané, ce qui provoque un
flux constant de collisions.

L’autre moyen dont dispose un pirate pour lancer une attaque DoS dans un ensemble de services de
base est d’envoyer une série de commandes de dissociation pour provoquer la déconnexion de toutes
les stations dans l’ensemble de services de base. Après avoir été déconnectées, les stations tentent
aussitôt de se réassocier, ce qui provoque une augmentation soudaine du trafic. Le pirate envoie une
autre commande de dissociation et le cycle se répète.
Protocoles de sécurité sans fil
Vue d’ensemble
Accès ouvert Chiffrement de Provisoire Présent
première génération
SSID WEP WPA 802.11i/WPA2
• Aucun chiffrement • Authentification • Standardisé • Chiffrement AES
• Authentification de non efficace • Chiffrement amélioré • Authentification : 802.1X
base • Clés statiques, • Authentification • Gestion des clés dynamiques
• N’est pas un cassables utilisateur efficace (p.ex., • WPA2 correspond à la mise en
dispositif de sécurité • Non évolutif LEAP, PEAP, EAP-FAST) œuvre de la norme 802.11i par la
Wi-Fi Alliance

Dans un réseau ouvert, tel qu’un réseau domestique, les conditions d’octroi d’un accès client aux périphériques et
aux services d’un réseau local peuvent se limiter à une simple association. Dans les réseaux où les exigences de
sécurité sont plus strictes, l’octroi d’un tel accès
Dans les réseaux où les exigences de sécurité sont plus strictes, l’octroi d’un tel accès aux clients passe par une
authentification supplémentaire ou un ID de connexion. Ce processus de connexion est géré par le protocole EAP
(Extensible Authentication Protocol).
EAP est un protocole d’authentification de l’accès réseau. L’IEEE a développé la norme 802.11i pour
l’authentification WLAN et l’autorisation d’utiliser la norme IEEE 802.1x.
Protocoles de sécurité sans fil
IEEE 802.11i

IEEE 802.11i est un amendement plus connu sous le vocable de WPA2 (nom donné par la Wi-Fi Alliance pour les
matériels gérant cet amendement). Il traite du renforcement de la sécurité des échanges au niveau des réseaux
informatiques locaux utilisant une liaison sans fil.
Dans le cas du Wifi, une station (STA) cherchant à obtenir un accès à l'Internet auprès d'un point d'accès (PA). 802.11i
ratifie deux méthodes d'authentification :
• PSK : Cette authentification se base sur un secret partagé entre la STA et le PA. Tous deux sont en possession d'une
clé symétrique appelée PSK (Pre-Shared Key).
• 802.1X : Ici l'authentificator (PA) va simplement servir de relais entre la STA et un serveur d'authentification (AS) en
utilisant par exemple le protocole RADIUS (également appelé AAA).
Dans les deux cas, l'authentification se fait au moyen du protocole EAP (Extensible Authentication Protocol).
À l'issue de l'authentification, si cette dernière est un succès, la STA et l'AP sont tous deux en possession d'une clef
appelée PMK (Pairwise Master Key). Cette PMK est soit la PSK soit les 256 premiers bits de la clef AAA (le cas 802.1X).
La phase suivant l'authentification est appelé le 4-Way Handshake, elle consiste à la dérivation et à l'échange des clefs
unicast/multicast à partir de la clef PMK.
Le 4-Way Handshake permet également de sélectionner le protocole de chiffrement pour sécuriser les communications
Protocoles de sécurité sans fil
Authentification de l’accès au réseau local sans fil
Le processus d’association 802.11 crée un port virtuel pour chaque client du réseau local sans fil au niveau du PA.
Le point d’accès bloque toutes les trames de données, à l’exception du trafic 802.1x.
Protocoles de sécurité sans fil
Authentification de l’accès au réseau local sans fil
Les trames 802.1x acheminent via le PA les paquets d’authentification EAP vers un serveur. Il s’agit d’un serveur
d’authentification, d’autorisation et de comptabilisation (ou AAA) utilisant un protocole RADIUS.
Si l’authentification EAP aboutit, le serveur AAA envoie un message de réussite EAP au point d’accès, lequel autorise
alors le trafic de données en provenance du client WLAN à transiter par le port virtuel.
Avant d’ouvrir le port virtuel, le chiffrement de la liaison de données entre le client WLAN et le point d’accès est établi
pour garantir qu’aucun autre client WLAN ne peut accéder au port qui a été créé pour un client authentifié déterminé.
Protocoles de sécurité sans fil
chiffrement

TKIP – Temporal Key Integrity Key AES – Advanced Encryption Standard


• Chiffrement par l’ajout de codage de bits de plus en • Nouvel algorithme de chiffrement utilisé dans 802.11i
plus complexe à chaque paquet • Basé sur TKIP avec des fonctionnalités
• Basé sur le même algorithme de chiffrement (RC4) supplémentaires qui améliorent le niveau de sécurité
que WEP offert
Sécurisation d'un réseau local sans fil
Contrôle d’accès au réseau local sans fil
Avant que la norme WPA2 ou même WPA ne soit utilisée, certaines sociétés essayèrent de sécuriser leurs réseaux
locaux sans fil en filtrant les adresses MAC et en ne diffusant pas de SSID. De nos jours, certains logiciels permettent de
modifier facilement les adresses MAC associées aux cartes.
Même si aucun SSID n’est diffusé par un PA, le trafic échangé entre le client et le point d’accès finit par révéler le SSID. Si
un pirate surveille la bande RF, le SSID peut être sniffé dans l’une de ces transactions, car il est envoyé en texte clair.
Cela ne veut pas dire pour autant que vous ne devez pas y recourir, mais si vous employez cette méthode, vous devez
l’accompagner d’autres mesures de sécurité, tels que WPA2.

Assurez-vous que votre


PC est connecté au
point d’accès via une
connexion filaire, puis
accédez à l’utilitaire
Web à l’aide d’un
navigateur Web
L’adresse IP par défaut
du WRT300N
(192.168.1.1.
Un écran apparaît.
Entrez admin dans le
champ Password (mot
de passe). Il s’agit des
paramètres par défaut
du Linksys WRT300N
Configuration de l'accès à un réseau local sans fil
Configuration

Assurez-vous que votre PC


est connecté au point
d’accès via une connexion
filaire, puis accédez à
l’utilitaire Web à l’aide
d’un navigateur Web
L’adresse IP par défaut du
WRT300N (192.168.1.1.
Un écran apparaît. Entrez
admin dans les champs
Username et Password
(mot de passe). Il s’agit des
paramètres par défaut du
Linksys WRT300N
Configuration de l'accès à un réseau local sans fil
Gestion
Cliquez sur l’onglet Administration et sélectionnez l’écran Management.
Le mot de passe par défaut est admin. Pour sécuriser le point d’accès, modifiez la valeur par défaut du mot de
passe.
Configuration de l'accès à un réseau local sans fil
Sans fil
Modifiez le SSID par défaut sous l’onglet Basic Wireless Settings. Sélectionnez le niveau de sécurité sous l’onglet
Wireless Security et complétez les options en fonction du mode de sécurité choisi puis cliquez sur le bouton Save
Settings
Configuration de l'accès à un réseau local sans fil
Configuration des paramètres sans fil de base : Mode
Modifiez le SSID par défaut sous l’onglet Basic Wireless Settings. Sélectionnez le niveau de sécurité sous l’onglet
Wireless Security et complétez les options en fonction du mode de sécurité choisi puiscliquez sur le bouton Save
Settings

Sélectionnez le mode qui convient


à tous les périphériques du réseau
local sans fil.
 Mixed
 BG-Mixed
 Wireless-B Only
 Wireless-G Only
 Wireless-N Only
 Disabled
La valeur par défaut est Mixed
Configuration de l'accès à un réseau local sans fil
Configuration des paramètres sans fil de base : SSID
Le SSID correspond au nom de réseau partagé par tous les points d’un réseau sans fil. Il doit être identique pour
tous les périphériques du réseau sans fil. Il est sensible à la casse et ne doit pas dépasser 32 caractères (vous
pouvez utiliser n’importe quels caractères du clavier). Pour une sécurité accrue, vous avez tout intérêt à remplacer
le SSID par défaut (linksys) par un nom unique.
SSID Broadcast - Lorsque les clients sans fil recherchent sur le réseau local les réseaux sans fil auxquels s’associer,
ils détectent la diffusion du SSID par le point d’accès. Pour diffuser le SSID, conservez le paramètre par défaut,
Enabled. Si vous ne voulez pas diffuser le SSID, sélectionnez Disabled.

Modifiez le SSID par défaut linksys


Configuration de l'accès à un réseau local sans fil
Configuration des paramètres sans fil de base : Bande radio
Pour optimiser les performances dans un réseau utilisant des périphériques sans fil N, G et B, conservez le
paramètre par défaut, Auto. Dans le cas des périphériques sans fil N uniquement, sélectionnez Wide - 40MHz
Channel. Pour la mise en réseau de périphériques sans fil G et B uniquement, sélectionnez Standard - 20MHz
Channel.

Sélectionnez Auto si des périphériques b, g


et n utilisent le point d’accès
Configuration de l'accès à un réseau local sans fil
Configuration des paramètres sans fil de base : Canal large (Wide Channel)
Si vous avez sélectionnez l’option Wide - 40MHz Channel pour le paramètre Radio Band, ce paramètre est
disponible pour votre canal sans fil N.
Configuration de l'accès à un réseau local sans fil
Configuration des paramètres sans fil de base : Canal standard (Standard Channel)

Lorsque le paramètre Network Mode n’est pas défini sur Wireless-N,


l’option par défaut du paramètre Radio Band est Standard

Pour les réseaux LAN sans fil équipés uniquement de périphériques b


ou g, définissez des canaux RF standard
Configuration de l'accès à un réseau local sans fil
Configuration de la sécurité
Ces paramètres permettent de configurer la sécurité de votre réseau sans fil. Le WTR300N prend en charge sept
modes de sécurité sans fil, ici répertoriés dans l’ordre de leur apparition dans l’interface graphique, du plus faible
au plus fort, hormis la dernière option (Disabled) :

Mode de sécurité désactivé par défaut (Disabled). Observez les options.


Configuration de l'accès à un réseau local sans fil
Paramètres de mode
Les modes PSK et PSK2 proposent chacun des paramètres que vous pouvez configurer. Si vous sélectionnez le
mode de sécurité PSK2-Enterprise, votre point d’accès doit être rattaché à un serveur RADIUS. Si vous avez opté
pour cette configuration, vous devez configurer le point d’accès de sorte qu’il pointe vers le serveur RADIUS.
Adresse IP du serveur RADIUS (Radius Server) - Entrez l’adresse IP du serveur RADIUS. Port du serveur RADIUS
(Radius Port) - Entrez le numéro de port utilisé par le serveur RADIUS. La valeur par défaut est de 1812.
Configuration de l'accès à un réseau local sans fil
Chiffrement (Encryption)
Sélectionnez l’algorithme que vous voulez utiliser : AES ou TKIP. (La méthode de chiffrement AES est plus fiable que
TKIP.)

Sélectionnez le chiffrement AES pour le mode


PSK2
Configuration de l'accès à un réseau local sans fil
Clé pré-partagée (Pre-shared Key)
Entrez la clé partagée par le routeur et les autres périphériques de votre réseau. Elle doit comporter entre 8 et
63 caractères. Renouvellement de clé (Key Renewal) - Entrez la période de renouvellement de clé pour indiquer au
routeur la fréquence de remplacement des clés de chiffrement.

Clé de 8 à 63 caractères

Vous aimerez peut-être aussi