Académique Documents
Professionnel Documents
Culture Documents
Lectures complémentaires
IEEE 802.11 est un standard pour les réseaux locaux sans fil. Les implémentations conformes aux normes interopérables sont
appelées Wi-Fi.
• La première norme 802.11 à être largement acceptée par l'industrie a été la norme 802.11b. Bien que les produits 802.11b
soient tous basés sur la même norme, on se demande toujours si les produits de différents fournisseurs réussiront à
interopérer avec succès.
• Le terme utilisé pour les produits certifiés 802.11b est Wi-Fi. La certification Wi-Fi a été étendue aux produits
802.11g,. La Wi-Fi Alliance a également développé un processus de certification pour les produits 802.11a,
appelé Wi-Fi5. La Wi-Fi Alliance s'intéresse à toute une série de secteurs du marché des réseaux locaux sans
fil, y compris les entreprises, les foyers et les points d'accès.
IEEE 802.11i spécifie les normes de sécurité pour les réseaux locaux IEEE 802.11, y compris l'authentification, l'intégrité des
données, la confidentialité des données et la gestion des clés. Les implémentations interopérables sont également appelées
Wi-Fi Protected Access (WPA).
Normes de sécurité IEEE 802.11, appelées Wi-Fi Protected Access (WPA). Le plus récent : WPA2. Il intègre
toutes les fonctionnalités de la spécification de sécurité WLAN IEEE 802.11i.
◆ Le protocole d'application sans fil (WAP) est une norme qui permet
aux utilisateurs mobiles de téléphones sans fil et d'autres terminaux sans
fil d'accéder aux services de téléphonie et d'information, y compris
Internet et le Web.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
2. Concepts (2)
Format général IEEE 802 MPDU MPDU MAC protocol data unit
(MPDU) Format
Les deux services impliqués dans la distribution des messages dans un DS sont la distribution et
l'intégration. La distribution est le principal service utilisé par les stations pour échanger des UDPM
lorsque les UDPM doivent
traverser le DS pour aller d'une station d'un SRS à une autre station d'un autre SRS. Par exemple, supposons
qu'une trame soit envoyée de la station 2 (STA 2) à la station 7 (STA 7) ; la trame est envoyée de la STA 2 à l'AP 1,
qui est l'AP pour ce BSS. Le PA donne le cadre au DS, qui a pour tâche de diriger le cadre vers le PA associé à la
STA 7 dans le BSS cible. AP 2 reçoit le cadre et le transmet à la STA 7.
Si les deux stations qui communiquent se trouvent dans le même SRS, le service de distribution passe logiquement
par le PA unique de ce SRS.
Le service d'intégration permet le transfert de données entre une station sur un LAN IEEE 802.11 et une station sur
un LAN IEEE 802.x intégré. Le terme intégré fait référence à un réseau local câblé qui est physiquement connecté
au DS et dont les stations peuvent être logiquement connectées à un réseau local IEEE 802.11 via le service
d'intégration. Le service d'intégration se charge de la traduction des adresses et de la logique de conversion des
médias nécessaires à l'échange des données.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
5. Architecture (3)
Services liés à l'association
• L'objectif principal de la couche MAC est de transférer les MSDU entre entités MAC ; cet objectif est
atteint par le service de distribution.
• Avant que le service de distribution puisse livrer des données à une station ou accepter des données d'une
station, cette station doit être associée.
• Quelques notions à connaître : Trois types de transition, basés sur la mobilité :
• Pas de transition : Une station de ce type est stationnaire ou ne se déplace que dans la portée de
communication directe des stations communicantes d'un seul SRS.
• Transition BSS : Il s'agit d'un mouvement de station d'un SRS vers un autre SRS au sein du même SSE.
Dans ce cas, la livraison des données à la station exige que la capacité d'adressage soit capable de
reconnaître le nouvel emplacement de la station.
• Transition du SST : Il s'agit d'un mouvement de station d'un SRS d'un SRS dans un SST à un SRS dans un
autre SST. Ce cas n'est pris en charge que dans le sens où la station peut se déplacer. Le maintien des
connexions de la couche supérieure supportées par la norme 802.11 ne peut être garanti. En fait, il est
probable que le service soit perturbé.
Pour transmettre un message dans une DS, le service de distribution doit savoir où se trouve la station de
destination. Plus précisément, le DS doit connaître l'identité du point d'accès auquel le message doit être livré pour
que ce message puisse atteindre la station de destination. Pour satisfaire à cette exigence, une station doit
maintenir une association avec le PA dans son SRS actuel.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
6. Architecture (4)
Réassociation : Permet de transférer une association établie d'un point d'accès à un autre, ce qui permet à une
station mobile de passer d'un SRS à un autre.
Dissociation : Une notification d'une station ou d'un point d'accès qu'une association existante est résiliée. Une
station devrait donner cet avis avant de quitter un SSU ou de fermer ses portes. Cependant, la fonction de gestion
MAC se protège contre les stations qui disparaissent sans notification.
Il y a deux caractéristiques d'un réseau local câblé qui ne sont pas inhérentes à un réseau local sans fil.
1. Pour transmettre sur un réseau local câblé, une station doit être physiquement connectée au réseau local.
D'autre part, avec un réseau local sans fil, n'importe quelle station dans la portée radio des autres
appareils sur le réseau local peut transmettre. Dans un sens, il existe une forme d'authentification avec
un réseau local câblé en ce sens qu'elle nécessite une action positive et vraisemblablement observable
pour connecter une station à un réseau local câblé.
2. De même, pour recevoir une transmission d'une station qui fait partie d'un réseau local câblé, la station de
réception doit également être reliée au réseau local câblé. D'un autre côté, avec un réseau local sans fil,
n'importe quelle station à portée radio peut recevoir. Ainsi, un réseau local câblé offre un certain degré
de confidentialité, limitant la réception des données aux stations connectées au réseau local.
Ces différences entre les réseaux locaux câblés et sans fil suggèrent le besoin accru de services et de
mécanismes de sécurité robustes pour les réseaux locaux sans fil.
• La spécification originale 802.11 comprenait un ensemble de caractéristiques de sécurité pour la
confidentialité et l'authentification qui étaient assez faibles. Pour la protection de la vie privée, l'article
802.11 définit l'algorithme WEP (Wired Equivalent Privacy).
• Wi-Fi Alliance a promulgué l'accès protégé Wi-Fi (WPA) comme norme Wi-Fi.
• La forme finale de la norme 802.11i est appelée Réseau de sécurité robuste (RSN). La Wi-Fi Alliance
certifie les fournisseurs conformément à la spécification 802.11i complète dans le cadre du programme
WPA2.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
8. 802.11i Réseau de sécurité robuste
Authentification : Un protocole est utilisé pour définir un échange entre un utilisateur et un AS qui fournit
une authentification mutuelle et génère des clés temporaires à utiliser entre le client et l'AP sur la liaison
sans fil. Contrôle d'accès : Cette fonction renforce l'utilisation de la fonction d'authentification, achemine
correctement les messages et facilite l'échange de clés. Il peut fonctionner avec une variété de protocoles
d'authentification
Confidentialité et intégrité du message : Les données de niveau MAC (par exemple, une unité PDU LLC)
sont cryptées avec un code d'intégrité de message qui garantit que les données n'ont pas été modifiées.
CBC-MAC = Code d'authentification des messages enchaînés par blocs de chiffrement (MAC)
CCM = Mode compteur avec code d'authentification des messages enchaînés par blocs de chiffrement
CCMP = Mode compteur avec protocole MAC de chaînage de blocs de chiffrement
TKIP = Temporal Key Integrity Protocol (protocole d'intégrité de la clé temporelle)
Le fonctionnement d'un RSN IEEE 802.11i peut être divisé en cinq phases distinctes.
1. Deux stations sans fil dans le même SRS communiquant via le point d'accès (AP) de ce SRS.
2. Deux stations sans fil (STA) dans le même IBSS ad hoc communiquant directement l'une avec l'autre.
3. Deux stations sans fil dans des SRS différents communiquant via leurs Aps respectifs à travers un système de
distribution.
4. Station sans fil communiquant avec une station terminale sur un réseau câblé via son point d'accès et le
système de distribution.
La sécurité IEEE 802.11i ne concerne que la communication sécurisée entre le STA et son PA.
Cas 1 : la communication sécurisée est assurée si chaque STA établit des communications sécurisées avec le
PA.
Cas 2 : similaire, avec la fonctionnalité AP résidant dans la STA
Cas 3 : la sécurité n'est pas assurée dans l'ensemble du système de distribution au niveau IEEE 802.11,
mais uniquement au sein de chaque BSS. La sécurité de bout en bout (si nécessaire) doit être assurée à un
niveau supérieur Cas 4 : De même, la sécurité n'est assurée qu'entre la STA et son PA.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
10. IEEE 802.11i Phases de fonctionnement (2)
AS : Serveur d'authentification
Découverte : Un PA utilise des messages appelés Beacons and Probe Responses pour annoncer sa politique
de sécurité IEEE 802.11i. La STA les utilise pour identifier un AP pour un WLAN avec lequel elle souhaite
communiquer. Le STA s'associe au PA, qu'il utilise pour sélectionner la suite de chiffrement et le mécanisme
d'authentification lorsque les balises et les réponses de sonde présentent un choix.
Authentification : Au cours de cette phase, le STA et l'AS se prouvent mutuellement leur identité. Le PA
bloque le trafic de non-authentification entre le STA et le SA jusqu'à ce que la transaction d'authentification soit
réussie. Le PA ne participe pas à la transaction d'authentification autre que l'acheminement du trafic entre la
STA et le SA.
Génération et distribution de clés : L'AP et le STA effectuent plusieurs opérations qui provoquent la génération et
la mise en place de clés cryptographiques sur l'AP et le STA. Les trames sont échangées entre le AP et le STA
uniquement.
Transfert de données protégé : Les trames sont échangées entre la STA et la station terminale par
l'intermédiaire du PA. Comme indiqué par l'ombrage et l'icône du module de cryptage, le transfert sécurisé des
données s'effectue uniquement entre le STA et le PA ; la sécurité n'est pas assurée de bout en bout.
Terminaison de connexion : Les cadres d'échange AP et STA. Pendant cette phase, la connexion sécurisée
est détruite et la connexion est rétablie dans son état d'origine.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
12. Exercices (1)
1 Dans IEEE 802.11, l'authentification système ouverte consiste simplement en deux communications. Une
authentification est demandée par le client, qui contient l'ID de la station (généralement l'adresse MAC). Il est
suivi d'une réponse d'authentification de l'AP/routeur contenant un message de succès ou d'échec.
Un exemple de cas où une panne peut se produire est si l'adresse MAC du client est explicitement exclue
dans la configuration de l'AP/routeur.
a. Quels sont les avantages de ce système d'authentification ?
b. Quelles sont les vulnérabilités de sécurité de ce schéma d'authentification ?
2 Avant l'introduction de la norme IEEE 802.11i, le schéma de sécurité de la norme IEEE 802.11 était le WEP
(Wired Equivalent Privacy). WEP a supposé que tous les périphériques du réseau partagent une clé secrète.
L'objectif du scénario d'authentification est que la STA prouve qu'elle possède la clé secrète. Procédure
d'authentification
comme le montre la figure de la nouvelle diapositive. Le STA envoie un message à l'AP demandant
l'authentification. L'AP émet un défi, qui est une séquence de 128 octets aléatoires envoyés sous forme de
texte en clair. La STA crypte le défi avec la clé partagée et le renvoie à l'AP. L'AP décrypte la valeur entrante
et la compare au défi qu'il a envoyé. S'il y a une correspondance, le PA confirme que l'authentification a
réussi.
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
13. Exercices (2)
Authentification WEP