tude de la solution sans fil

Cisco Aironet 1300

Un projet de

Aurlien BEAUVOIS & Thophile GURLIAT

Propos par

Laurent HUSSENET

2007

Avant-propos: Ces dernires annes ont vu apparatre lutilisation des technologies sans fil dans le monde du rseau avec lavnement du Wifi . Ce mode de transmission a su simposer dans le domaine grand public comme dans le monde de lentreprise. Pour rpondre a ce besoin de mobilit, Cisco a cr une gamme dquipements ddis la communication radio. La borne Cisco Aironet 1300 est un produit destin aux professionnels qui permet dassurer les fonctions de pont sans fil et de point daccs. Ces fonctions permettent dtablir des liaisons sans fil en vue de raccorder un mme rseau des entits mobiles ou situs sur des sites distants. La bonne comprhension des techniques de scurit mise en uvre sur cette borne ncessite quelques notions qui vont donc vous tre expliques dans un premier temps. Nous vous prsenterons ensuite la borne Cisco Aironet 1300 et les applications qui peuvent en tre faite. Pour apprendre utiliser les principales fonctions de la borne, nous vous proposons pour finir deffectuer une srie de travaux pratiques qui vous permettront une prise en main optimale et qui vous guideront dans la mise en place de systmes sans fils scuriss. Abstract: Last years the use of wireless systems came up into the network worlds with the increasing of Wifi. This communication means is today used for professional and public application. In order to answer to the mobility need, Cisco designed a range of dedicated radio communication equipments. Cisco Aironet 1300 is a product for professional which offer bridging function and can be set as an access point. These features allow wireless connections for networking mobiles terminals or far areas. For understanding security used by this device, you need to know some notions which are going to be explain in a first time. Then we introduce to you the Cisco Aironet 1300 and its applications. To learn how to use main functions of this device, we suggest to you some exercices to put them into practice. They let a quick and optimal handling.
2 Aurlien BEAUVOIS | Thophile GURLIAT

Sommaire

I.

Les rseaux sans fils Introduction au Wifi Chiffrement Authentification Intgrit

page 4 page 6 page 10 page 12

II.

Cisco Aironet 1300 Prsentation Interface web Fonctionnalits Mthodes dauthentifications Types de chiffrements
page 14 page 16 page 17 page 19 page 21

III.

Travaux pratiques Configuration dun point daccs sans fil Mise en place dun pont rseau sans fil Pont rseau sans fil pour LAN Virtuels Point daccs sans fil avec LAN Virtuels Authentification & chiffrement
page 24 page 26 page 27 page 28 page 30

Conclusion

page 35

3 Aurlien BEAUVOIS | Thophile GURLIAT

Introduction au Wifi
Le Wifi est une technologie de rseau sans fil mise en place pour fonctionner en rseau local. Il est bas sur la norme IEEE 802.11 qui est un standard international (ISO/CEI 880211) dcrivant les caractristiques d'un rseau local sans fil (ou WLAN). Le nom Wifi correspond la certification dlivre par la WECA (Wireless Ethernet Compatibility Alliance), l'organisme charg de maintenir l'interoprabilit entre les matriels rpondant la norme 802.11. Par abus de langage (et pour des raisons de marketing) le nom de la norme se confond aujourd'hui avec le nom de la certification. Ainsi un rseau Wifi est en ralit un rseau rpondant la norme 802.11. Grce au Wifi, il est possible de crer des rseaux locaux sans fil haut dbit. Dans la pratique, le Wifi permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA) ou mme des priphriques une liaison haut dbit (de 11 Mbit/s en 802.11b 54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mtres en intrieur. Dans un environnement ouvert la porte peut atteindre plusieurs centaines de mtres voire dans des conditions optimales plusieurs dizaines de kilomtres (avec des antennes directionnelles). Structure: La norme 802.11 s'attache dfinir les couches basses du modle OSI pour une liaison sans fil utilisant des ondes lectromagntiques, c'est--dire :

la couche physique proposant trois types de codage de l'information la couche liaison de donnes, constitue de deux sous-couches : o le contrle de la liaison logique (Logical Link Control, ou LLC) o le contrle d'accs au support (Media Access Control, ou MAC)

Le Wifi utilise une bande de frquence troite (dite ISM) de 2,4 2,4835 GHz. Modes de mise en rseau: Infrastructure Le mode Infrastructure est un mode de fonctionnement qui permet de connecter les ordinateurs quips d'une carte rseau Wifi entre eux via un ou plusieurs Point d'accs (AP) qui agissent comme des concentrateurs (Hub/Switch en rseau filaire). Ce mode est essentiellement utilis en entreprise. La mise en place d'un tel rseau oblige de poser intervalle rgulier des bornes (AP) dans la zone qui doit tre couverte par le rseau. Les bornes, ainsi que les machines, doivent tre configures avec le mme SSID (nom de rseau) afin de pouvoir communiquer. L'avantage de ce mode est de garantir un passage oblig par l'AP. Il est donc possible de vrifier qui entre sur le rseau.
Aurlien BEAUVOIS | Thophile GURLIAT

Ad-Hoc Le mode Ad-Hoc est un mode de fonctionnement qui permet de connecter directement les ordinateurs quips d'une carte rseau Wifi, sans utiliser un matriel tiers tel qu'un. Ce mode est idal pour interconnecter rapidement des machines entre elles sans matriel supplmentaire. L'avantage de ce mode est de s'affranchir de matriels tiers coteux et est plus facile mettre en uvre. Les normes: La norme IEEE 802.11 est en ralit la norme initiale offrant des dbits de 1 ou 2 Mbit/s. Des rvisions ont t apportes la norme originale afin d'optimiser le dbit (c'est le cas des normes 802.11a, 802.11b et 802.11g, appeles normes 802.11 physiques) ou bien prciser des lments afin d'assurer une meilleure scurit ou une meilleure interoprabilit. Vous trouverez un tableau rcapitulatif de ces normes en annexe. Scurit: De part les proprits des ondes radiolectriques, nimporte qui convenablement quip du matriel adquat peut dtecter la prsence dun rseau soit en utilisant le logiciel fournit par le fabricant de la carte ou encore pour plus defficacit en utilisant un scanner. Sans scurit, toute personne est potentiellement capable de sintroduire dans votre rseau. Dans certains cas, un hacker peut mme se contenter dcouter le trafic sur le rseau pour collecter des informations, do labsolue ncessit de scuriser la transmission des donnes. Pour cela un certains nombre de normes ont vues le jour, nous allons vous prsenter les principales de manire chronologiques en justifiant leur utilisation.

5 Aurlien BEAUVOIS | Thophile GURLIAT

Chiffrement
WEP
Le WEP (Wired Equivalent Privacy) est le protocole de chiffrement par dfaut introduit dans Wired Privacy) la 1re norme 802.11 datant de 1999. Il est charg du chiffrement des trames 802.11 utilisant lalgorithme symtrique RC4 avec des cls d'une longueur de 64 ou 128 bits. Le principe du WEP consiste dfinir dans un premier temps une cl secrte de 40 ou 128 bits. Cette cl secrte doit tre dclare au niveau du point d'accs et des clients. La cl sert crer un nombre pseudo-alatoire d'une longueur gale la longueur de la trame. Celle alatoire Celle-ci est combine un vecteur d'initialisation ( (Initialisation Vector ou IV) de 24 bits afin de ) chiffrer un message en clair M et sa somme de contrle ( (checksum) l'ICV ( (Integrity Check Value). Le message chiffr est alors dtermin comme ceci :

(O || reprsente l'oprateur de concatnation e + l'oprateur Ou Exclusif et Exclusif)

Chaque transmission de donne est ainsi chiffre en utilisant le nombre pseudo pseudo-alatoire comme masque grce un OU Exclusif entre le nombre pseudo alatoire et la trame. La cl de session partage par toutes les stati stations est statique, c'est--dire que pour dployer dire un grand nombre de stations Wifi, il est ncessaire de les configurer en utilisant la mme cl , de session. Ainsi la connaissance de la cl est suffisante pour dchiffrer les communications. De plus, 24 bits de la cl servent uniquement pour l'initialisation, ce qui signifie que seuls 40 bits de la cl de 64 bits servent rellement chiffrer et 104 bits pour la cl de 128 bits. Le vecteur d'initialisation (IV) est la cl de vote de la scurit du WEP, pour maintenir un niveau dcent de scurit et viter la fuite d'information l'IV doit tre incrment pour chaque paquet afin que le paquet suivant soit chiffr avec une cl diffrente. Malheureusement pour la scurit du protocole, l'IV est transmis en clair et le standard
6 Aurlien BEAUVOIS | Thophile GURLIAT

802.11 ne rend pas obligatoire l'incrmentation de l'IV laissant cette mesure de scurit au bon vouloir de lquipement sans fil. Une attaque par brute force peut amener le pirate trouver la cl de session. De plus, une faille dcele concernant la gnration de la chane pseudo-alatoire rend possible la dcouverte de la cl de session en stockant le trafic cr intentionnellement avec un logiciel appropri. Ainsi une dizaine de minutes suffisent pour capturer assez de trafic, et il nous aura fallu un peu moins de trois minutes pour casser la cl 128 bits, comme vous pouvez le voir ci-dessous.

Le WEP n'est donc pas suffisant pour garantir une relle confidentialit des donnes et ceci pour deux raisons principales : L'utilisation d'algorithmes cryptographiques peu dvelopps (RC4) l'a rendu trs vulnrable. Il suffit de quelques minutes un ventuel pirate pour casser les cls utilises et ceci avec nimporte quel ordinateur grand public. L'impossibilit d'authentifier un ordinateur ou un utilisateur qui se connecte au rseau.

Pour plus dinformations sur le WEP et ses faiblesses :

http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_FR.pdf

7 Aurlien BEAUVOIS | Thophile GURLIAT

WPA : VERS LE 802.11i

En janvier 2001, le groupe de travail i fut cre l'IEEE pour amliorer l'authentification et le chiffrement des donnes au sein des rseaux 802.11. WPA (WiFi protected Access) est une solution intermdiaire de scurisation de rseau WiFi propos afin de combler les lacunes du WEP. Contrairement a celui-ci, le WPA nest pas quune mthode de chiffrement mais inclus galement un service dauthentification. Le WPA est une prversion du protocole 802.11i, reposant sur des protocoles d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity Protocol), qui change de manire dynamique les cls lors de l'utilisation du systme. Ce protocole, associ au vecteur d'initialisation beaucoup plus grand que dans le WEP, empche certaines attaques sur WEP aujourd'hui bien connues. Le protocole TKIP permet la gnration alatoire de cls et offre la possibilit de modifier la cl de chiffrement plusieurs fois par secondes, pour plus de scurit (contrairement au WEP). Le fonctionnement de WPA repose sur la mise en uvre d'un serveur d'authentification (la plupart du temps un serveur RADIUS), permettant d'identifier les utilisateurs sur le rseau et de dfinir leurs droits d'accs. Nanmoins, il est possible pour les petits rseaux de mettre en uvre une version restreinte du WPA, appele WPA-PSK, en dployant une mme cl de chiffrement dans l'ensemble des quipements, ce qui vite la mise en place d'un serveur RADIUS. Contrairement au WEP, il n'est pas ncessaire de saisir une cl de longueur prdfinie. En effet, le WPA permet de saisir une passphrase (phrase secrte), traduite en PSK par un algorithme de hachage. Bien que cette solution de cryptage soit bien plus forte, elle nest pas exempte de faille et il existe comme pour le WEP, une possibilit de casser cette solution. En effet, une simple attaque par dictionnaire hors ligne peut savrer fatale pour la version PSK dans le cas ou une cl trop simple aurait t choisit. Nanmoins dans le cadre dun usage priv cette solution se montre trs acceptable.

8 Aurlien BEAUVOIS | Thophile GURLIAT

802.11i (WPA2)
Le 802.11i a t ratifi le 24 juin 2004, afin de fournir une solution de scurisation pousse des rseaux WiFi, Ce standard reprend la grande majorit des principes et protocoles apports par WPA, avec une diffrence notoire dans le cas du chiffrement : l'intgration de l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement WEP et TKIP sont toujours prsents. Deux autres mthodes de chiffrement sont aussi incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP : - WRAP (Wireless Robust Authenticated Protocol) : s'appuyant sur le mode opratoire OCB (Offset Codebook) dAES ; - CCMP (Counter Mode with CBC MAC Protocol) : s'appuyant sur le mode opratoire CCM (Counter with CBC-MAC) dAES ; Contrairement WPA, le WPA2 permet de scuriser aussi bien les rseaux sans fil en mode infrastructure que les rseaux en mode ad hoc. Comme pour le WPA, la norme IEEE 802.11i dfinit deux modes de fonctionnement : WPA Personnel : le mode personnel permet de mettre en uvre une infrastructure scurise base sur le WPA sans mettre en uvre de serveur d'authentification. Le WPA personnel repose sur l'utilisation d'une cl partage, appeles PSK pour Preshared Key, renseigne dans le point d'accs ainsi que dans les postes clients. WPA Entreprise : le mode entreprise impose l'utilisation d'une infrastructure d'authentification 802.1x base sur l'utilisation d'un serveur d'authentification, gnralement un serveur RADIUS (Remote Authentication Dial-in User Service) et d'un contrleur rseau (le point d'accs). Le standard 802.1x est une solution de scurisation, mise au point par l'IEEE en juin 2001, permettant d'authentifier un utilisateur souhaitant accder un rseau (filaire ou non) grce un serveur d'authentification. Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol), dfini par l'IETF, dont le rle est de transporter les informations d'identification des utilisateurs.

9 Aurlien BEAUVOIS | Thophile GURLIAT

Authentification
802.1x
La plupart des quipements donnent la possibilit de filtrer les adresses MAC ayant le droit de s'associer avec le point d'accs. Cette technique est la faon la plus simple pour effectuer une authentification, mais cette liste doit tre reproduite sur chaque point d'accs du rseau sans fil si l'on dsire garder toute la mobilit du rseau. De plus, ce seul mcanisme d'authentification s'avre souvent inefficace. En effet, il est toujours possible pour un utilisateur mal intentionn de changer son adresse MAC afin d'usurper l'identit d'un client valide. L'adresse MAC est cense servir d'identifiant unique au niveau de la couche 2, cependant tous les systmes d'exploitation actuels permettent un utilisateur mal intentionn de modifier cette donne trs facilement. La norme 802.11 initiale spcifie deux modes d'authentification : ouvert ou partag (open ou shared). L'authentification ouverte signifie l'absence d'authentification et l'authentification partage signifie l'utilisation d'un secret partag, en l'occurrence une clef WEP dans un mcanisme challenge/rponse. Il est vite apparu que ce mode d'authentification tait trs largement insuffisant, induisant mme une dgradation du chiffrement par l'intermdiaire du challenge/rponse donnant de la matire des attaques cryptographiques. La solution utilise par WPA pour fournir une authentification est base sur lutilisation du protocole EAP (Extensible Authentification Protocol).

EAP
Le fonctionnement du protocole EAP repose sur l'utilisation d'un contrleur d'accs charg d'tablir ou non l'accs au rseau pour un utilisateur. Le contrleur d'accs est un simple garde-barrire servant d'intermdiaire entre l'utilisateur et un serveur d'authentification, il ne ncessite que trs peu de ressources pour fonctionner. Dans le cas d'un rseau sans fil, c'est le point d'accs qui joue le rle de contrleur d'accs. (Appel NAS, pour Network Authentification Service) Le serveur d'authentification permet de valider l'identit de l'utilisateur transmis par le contrleur rseau (fonction dauthentification), et de lui renvoyer les droits associs en fonction des informations d'identification fournies (fonction dautorisation). De plus, un tel serveur permet de stocker et de comptabiliser des informations concernant les utilisateurs afin, par exemple, de pouvoir les facturer la dure ou au volume (fonction de comptabilisation) La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote Authentication Dial In User Service), mais tout autre service d'authentification peut tre utilis. Le serveur dauthentification est donc la base de toute la scurit, cest pourquoi il
10 Aurlien BEAUVOIS | Thophile GURLIAT

est vident que les recommandations de scurit portent galement sur celui-ci qui devra tre jour en ce qui concerne les vulnrabilits. Ainsi, le schma global suivant rcapitule le fonctionnement global d'un rseau scuris avec le standard 802.1x :

Cest le contrleur daccs qui gre la session et qui relaye les requtes entre le serveur dauthentification et le client. Le dialogue entre le NAS et le serveur dauthentification ncessite lexistence dun secret partag que les deux entits possdent, et qui permet de chiffrer et de contrler lintgrit des messages transmis par le serveur dauthentification. EAP ralise donc le lien entre le client et le serveur dauthentification. Il assure lauthentification du client permet aussi la distribution dynamique des cls de chiffrements : son rle est donc essentiel. Dans le cadre de l'authentification en environnement sans fil base sur le protocole 802.1X, diffrentes variantes dEAP sont disponibles aujourd'hui : Protocole EAP-MD5 (EAP - Message Digest 5) protocole LEAP (Lightweight EAP) developp par Cisco ; protocole EAP-TLS (EAP - Transport Layer Security) cre par Microsoft protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developp par Funk Software et Certicom ; protocole PEAP (Protected EAP) developp par Microsoft, Cisco et RSA Security
Aurlien BEAUVOIS | Thophile GURLIAT

11

Certaines de ces variantes se sont rvles trop faible pour prendre en charge une authentification de qualit satisfaisante. Ainsi EAP-MD5 et LEAP sont peu peu abandonns car ils sont sujet des attaques par dictionnaire et des attaques de type homme du milieu (man-in-the-middle). EAP-TLS offre une bonne scurit. En effet il utilise deux certificats pour la cration d'un tunnel scuris qui permettra ensuite l'identification : un ct serveur et un ct client. Cela signifie que mme si le mot de passe est dcouvert, il ne sera d'aucune utilit sans le certificat client. Bien quEAP-TLS fournisse une excellente scurit, l'obligation de disposer d'un certificat client est peut-tre sa faiblesse. En effet lorsque l'on dispose d'un grand parc de machines, il peut s'avrer difficile et coteux de grer un certificat par machine. C'est pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont t crs. PEAP ET EAP-TTLS sont trs proches. EAP-TTLS est lgrement plus sure que PEAP car il ne diffuse pas le nom de lutilisateur en clair, mais il nest pas prsent par dfaut sur les systmes Microsoft et Cisco. D'autres mcanismes EAP peuvent tre supports par les clients et les serveurs 802.1X. Cette certification est une tentative pour faire interoprer les mcanismes EAP les plus courants. L'chec de la Wifi Alliance raliser cette interoprabilit est actuellement un des problmes majeurs empchant le dploiement de solutions 802.1X au sein de rseaux htrognes. La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE 802.11i).

12 Aurlien BEAUVOIS | Thophile GURLIAT

Intgrit
Le standard IEEE 802.11 dfinit un mcanisme sommaire d'intgrit des trames bas sur le CRC (Control Redondancy Check). Cette valeur est appele ICV (Integrity Check Value) et est de longueur 4 octets. Les proprits du CRC sont telles que le niveau de scurit atteint est trs faible. Il est ainsi possible pour un utilisateur mal intentionn de modifier une trame tout en mettant jour le CRC afin de crer une trame modifie valide. Le standard WPA introduit un mcanisme d'intgrit beaucoup plus robuste appel MIC (Message Integrity Check - aussi appel Michael dans le cadre du WPA et WPA2). Ce champ a pour longueur 8 octets et permet de se prmunir contre le rejeu (qui consiste rmettre une trame intercepte de telle sorte qu'elle soit valide au sens cryptographique). Le standard WPA2 ou IEEE 802.11i utilise galement ce mcanisme d'intgrit. L'utilisation de MIC est recommande afin d'obtenir un niveau de scurit plus lev que l'utilisation d'une simple valeur de type CRC, prsentant des proprits cryptographiques trop faibles pour assurer l'intgrit des trames dans un rseau sans fil.

Vous possdez maintenant les connaissances ncessaires pour comprendre le fonctionnement dun matriel rseau sans fil. Nous allons laide du chapitre suivant vous prsenter le produit Cisco Aironet 1300 et dvelopper ses fonctionnalits.

13 Aurlien BEAUVOIS | Thophile GURLIAT

Cisco Aironet
La gamme Cisco Aironet regroupe un ensemble de points daccs et ponts destins rpondre au besoin croissant de mobilit. Voici un aperu de ces solutions.

Cisco Aironet 1000

point daccs lger double bande (108Mbps), Gestion qualit de service(QoS), IEEE 802.11a/b/g

Cisco Aironet 1100

point daccs volutif : Gestion QoS, IEEE 802.11g, WCS,

Cisco Aironet 1130 AG

point daccs double bande autonome ou Lightweight Access Point Protocol (LWAPP) avec gestion QoS, IEEE 802.11a/b/g et alimentation par Ethernet (POE)

Cisco Aironet 1200

point daccs simple bande autonome ou LWAPP avec antennes double types pour environnement difficiles point daccs QoS, VLAN, 801.1x, POE, IEEE 802.11a/b/g

Cisco Aironet 1230 AG

point daccs double bande de premire gnration autonome ou Lightweight Access Point Protocol (LWAPP), IEEE 802.11a/b/g

Cisco Aironet 1240 AG

point daccs / pont large porte, double bande de seconde gnration, autonome ou Lightweight Access Point Protocol (LWAPP) avec POE.

Cisco Aironet 1500

point daccs extrieur idal pour les couvertures vastes, spcialis dans le roaming (WCS)
14 Aurlien BEAUVOIS | Thophile GURLIAT

Cisco Aironet 1300

Les ponts sans fil de la gamme Cisco Aironet 1300 sont conus pour crer des liaisons extrieures haut dbit de longue porte entre plusieurs btiments et permettent des installations isoles dans des environnements difficiles. Les ponts sans fil 802.11g (1) offrent un haut dbit (54Mbps) et des performances optimales pour les connexions de btiments qui changent d'importants volumes de donnes (jusqu' 32km grce a une puissance 100 mW). Ils relient notamment des sites pour lesquels le cblage est dlicat, des tages non contigus, des agences satellites ou des installations de campus d'entreprise ou scolaires, des rseaux provisoires et des entrepts. Ils peuvent tre configurs pour des applications point point ou point multipoint et permettent plusieurs sites de partager une connexion haut dbit Internet unique. Pour une plus grande souplesse de fonctionnement, les ponts sans fil peuvent galement tre configurs comme des points d'accs. Le pont sans fil Aironet 1300 est fournit avec un injecteur de puissance qui supporte la connectique dalimentation 230V et le raccordement au rseau Ethernet. Cet injecteur est reli la borne via deux cbles coaxiaux, ce qui permet de placer linjecteur a lintrieur et la borne a lextrieur dun btiment (jusqu' 91m).

Une gamme complte dantenne a t cre pour toutes les applications ncessaires. La borne peut tre configure grce au port console, via SSH ou Telnet ou alors grce linterface web offrant une configuration plus intuitive. Nous nous intresserons plus particulirement celle-ci, car elle sera utilise dans la partie pratique pour permettre une comprhension plus aise et un fonctionnement plus souple.
1

Vous pouvez retrouver les caractristiques concernant les dbits, portes, protocoles et codages en annexe.

15

Aurlien BEAUVOIS | Thophile GURLIAT

Interface du serveur web

HOME EXPRESS SET-UP EXPRESS SECURITY NETWORK MAP ASSOCIATION Rsum des associations, des adresse rseaux et interfaces, et des vnements Configuration rapide : nom dhte, adressage IP, mode de fonctionnement Cration rapide dun SSID avec scurit et gestion VLAN Offre une carte du rseau avec les adresses MAC, IP & version de lIOS Visualisation des clients associs la borne

NETWORK INTERFACES Gestion des interfaces rseaux IP Address : Fast-Ethernet : Radio 802.11G : permet de configurer ladresse IP gestion de linterface Ethernet statistiques, test de dtections de porteuses & choix du mode de linterface (point daccs, rpteur, pont,) Mise en place des techniques de scurit

SECURITY

Admin Access : permet la gestion des accs la console de configuration de la borne Encryption Manager : dfinit tous les paramtres de scurit par SSID SSID Manager : permet de grer des identifiants de rseaux sans fil (SSID) Server Manager : dsigne les serveurs dauthentification (RADIUS ou TACAS+) AP Authentification : configuration de lauthentification entre points daccs Intrusion Dtection : offre la possibilit de dtecter des clients non dsirables Local RADIUS Server : crer une base de donnes locale pour lauthentification des clients Advanced Security : filtrage par adresse MAC, compteurs dauthentification. SERVICES Telnet / SSH : Hot Standby : CDP : DNS : Filters : HTTP : QoS : STEAM : SNMP : SNTP : VLAN : STP : ARP caching : WIRELESS SECURITY SYSTEM SOFTWARE EVENT LOG Paramtrage des diffrents outils utiliss par la borne gestion de la prise en main a distance de la borne permet la redondance des informations de routage gestion du protocole CDP et configuration des compteurs fixe les serveurs de rsolution de noms filtrage par adresse MAC, IP ou Ethertype sur trames Entrantes/Sortantes gestion du serveur web intgr la borne dfinition des priorits du trafic selon les applications gestion de la qualit de service permet la gestion administrative de la borne per met de synchroniser la borne un serveur de temps (NTP) permet la cration et la gestion des LAN Virtuels configure le protocole de dtection de boucle gestion du cache ARP Paramtrage de la scurit sans fil avance Permet la gestion de la configuration, et de lIOS Permet le suivi des oprations lies la borne

16 Aurlien BEAUVOIS | Thophile GURLIAT

Fonctionnalits
1) Modes de fonctionnements
Les ponts sans fil Cisco Aironet 1300 proposent plusieurs modes de fonctionnement : onctionnement
Point daccs (Acces point) Spcialis dans le dploiement extrieur de par sa forte puissance, le pont sans fil Cisco 1300 peut fonctionner comme un point daccs. Il peut galement tre utilis en intrieur. Le Cisco Aironet 1300 est certifi point daccs Wifi. Il est compatible avec nimporte quel client wifi et avec les clients Cisco Aironet . ompatible Pont (Bridge) Le pont Cisco Aironet 1300 supporte les connexions point a point et point a multipoints pour des utilisations mobile, temporaire ou permanente. La borne peut cumuler les fonctions de point daccs et de liaison de type pont simultanment. Compatible avec les sries Aironet 1300 et les srie pont sans fils 350 sries Pont groupe de travail ( WorkGroup Bridge) Le mode pont groupe de travail permet de connecter rapidement un appareil utilisant Ethernet un rseau sans fil. La borne utilisant ce mode se connecte a un point daccs e Aironet ou un pont Cisco tel un client ordinaire. t En utilisant un switch ou un hub, il devient possible de raccorder jusqu' 255 appareils un autre point daccs ou pont via la borne borne.

Le choix du mode seffectue via le menu NETWORK INTERFACES

Point daccs sans fil

Pont

Pont sans fil + Point dacces

Mode dinstallation (visualisation avec les LEDs) Pont groupe de travail

17 Aurlien BEAUVOIS | Thophile GURLIAT

2) Oprations de base
Les adresses IP sont galement configurables via le menu Network Interfaces Interfaces. La configuration du serveur Web, des accs Telnet/SSH et console seffectue par le menu Service.

Le menu System software permet la gestion de la configuration et du systme dexploitation.

Par le menu Association et Event log vous pourrez surveiller les associations et retracer lactivit de votre appareil.

3) Mise en production
Aprs avoir dtermin et configur le mode de fonctionnement, certaines tapes communes doivent tre prises en compte dans la plupart des utilisation utilisations: Cration des identifiants de rseau sans fil via le menu Security > SSID Manager Chiffrement des donnes via le menu Security > Encryption Manager Dsignation du serveur dauthentification via le menu Security > Server Manager authentification

4) Fonctionnalits avances
La gamme Cisco Aironet 1300 offre des fonctionnalits avances telles que Fast Secure Roaming, qui optimise le passage dun utilisateur dune borne une autre, ou encore la qualit de service (QoS), le filtrage et le support des rseaux locaux virtuels (VLAN). , Il est possible de crer un serveur RADIUS intgr la borne pour une gestion indpendante de lauthentification. Il est galement possible dactiver un dtecteur dintrusion pour prvenir du piratage.
18 Aurlien BEAUVOIS | Thophile GURLIAT

Authentification
Comprendre et diffrencier les diffrents types dauthentification
menu Security : SSID Manager

Lauthentification est devenue une tape invitable de la scurit actuelle. Avant de pouvoir communiquer, les diffrentes entits doivent sassurer de lidentit de leur correspondant. Le point daccs utilise 4 types dauthentifications diffrentes. Authentification Ouverte : Open Authentification

Lauthentification ouverte autorise nimporte quelle borne authentifier et communiquer avec nimporte quelle autre borne, mais cela savre possible seulement si ses cls de chiffrements des deux bornes sont identiques. Une borne qui nutilise pas de cl de chiffrement ne peut tenter de sauthentifier auprs dune borne qui en utiliserait. Lauthentification ouverte ne ncessite pas lutilisation dun serveur dauthentification.

Authentification Partage : Shared Authentification

Une authentification partage est disponible pour rpondre aux exigences de la norme IEE 802.11b. Cependant, lusage de cette technique est dconseill. En effet au cours du processus dauthentification partage, la borne root envoie un challenge non chiffr a une autre borne qui souhaite communiquer avec elle. Cette dernire chiffre le challenge et le renvoie la borne root . Si le challenge est correctement chiffr, la borne root valide lauthentification. Ces deux changes pouvant tre intercepts, la cl WEP peut tre calcul en comparant le challenge chiffr et non chiffr. A cause de cela, lauthentification partage savre moins scuris que lauthentification ouverte. Comme lauthentification ouverte, lauthentification partage ne requiert pas de serveur dauthentification. Authentification EAP : Open Authentification : with EAP ou Network EAP

Ce type dauthentification offre le niveau de scurit le plus lev. En utilisant EAP avec un serveur dauthentification, la borne root aide dautres borne et le serveur dauthentification effectuer une authentification mutuelle et a gnrer une paire de cl WEP dynamique. Le serveur envoi les cls a la borne root , qui les utilise pour chiffrer et dchiffrer tous les changes avec une borne non root . La borne root chiffre galement aussi ses cls de broadcast WEP (entres dans le menu encryption) et les envoient aux bornes non root .

19 Aurlien BEAUVOIS | Thophile GURLIAT

Authentification CCKM :

CCKM (Cisco Centralized Key Management) est un protocole propritaire Cisco qui permet lauthentification de clients mobiles. En utilisant CCKM, une borne non root peut naviguer dune borne root une autre sans aucun dlai perceptible de rassociation. Une borne root ou un switch fournit un domaine de services sans fil ou WDS (Wireless Domain Services) et cre un cache de tou les (Wireless tous clients disponibles sur le sous rseau. Ce cache rduit le temps de rassociation quand une borne non root utilisant CCKM navigue entre deux bornes root . Car le serveur de domaine de service sans fil transmet le certificat a la nouvelle borne root et la procdure de rassociation se rsume a un change de deux paquets, tellement rapide que mme les sume applications a communication vocale ne sont pas perturbs. Vous trouverez en annexe une comparaison entre CCKM et les standards publiques WPA WPA.

Apercu du menu Security : SSID Manager

Note : le mode Network EAP utilise le protocole LEAP (pour matriel Cisco uniquement)

20 Aurlien BEAUVOIS | Thophile GURLIAT

Chiffrement
Comprendre et diffrencier les diffrents types de chiffrement
Menu Security : Encryption

None : rseau ouvert, nimporte quel client peut dcoder les donnes qui y transitent. importe WEP Encryption : chiffrement WEP Optionnel ou obligatoire Option Message Integrity Check (MIC) : vrification de lintgrit du message qui bloque les attaques par rejeux de paquets. Option Per-Packet Keying (PPK) : permet une rotation des cls de Packet chiffrement, ce qui vite lutilisation dune cl WEP Statique. Une bonne alternative a TKIP si les clients ne supportent pas ce dernier. ts Si vous utilisez ce mode, vous pouvez entrez jusqu' quatres cls WEP dans les slots dfinis a cet usage en bas de page, toutes ces cls seront utilises pour dchiffres les donnes reues. Cependant, seul une cl servira a chiffr les donnes envoys, vous devez la slectionner a laide du bouton transmit key . us

Cipher : algorithme de chiffrement WEP 128/40 bit : cest la seule option qui ne ncessite pas WPA ou CCKM TKIP Temporal Key Integrity Protocol : suites dalgorithmes englobant WEP il WEP, utilise le "key mixing" pour chaque paquet, une vrification de l'intgrit des messages (MIC) et un mcanisme de mise jours de la cl (PPK), liminant ainsi d'autres problmes de conception qui affectent WEP.
21 Aurlien BEAUVOIS | Thophile GURLIAT

CKIP Cisco Key Integrity Protocol : protocole de permutation de cl propritaire Cisco CMIC Cisco Message Integrity Check : protocole de vrification dintgrit propritaire Cisco (dtecte les attaques par paquets forgs). CKIP+CMIC TKIP + WEP 128/40 bit : mode de migration activer avec loption WPA optionnel AES CCMP Counter-Mode/CBC-Mac protocol : mthode de chiffrement alternative considre comme plus sre que TKIP et reposant sur lalgorithme AES, dfinie dans le standard IEEE 802.11i : elle est utilise par WPA2. AES CCMP + TKIP : mode mixte WPA/WPA2 AES CCMP + TKIP + WEP 128/40 : mode de migration permettant lutilisation de matriel de gnration WEP tout en garantissant une scurit accrue pour les utilisateurs disposant dun matriel compatible WPA/WPA2. Rappel : Les algorithmes de chiffrements ou cipher sont la base de la scurit : WEP, TKIP, AES CCMP en sont des exemples. Lauthentification est assure par EAP. Les algorithmes de chiffrements associs aux mcanismes dauthentification forment des suites telles que WPA, WPA2 (802.11i) ou CCKM.

WPA & CCKM : LES OPTIONS COMPATIBLES

Authenticated Key Management Types CCKM Compatible Cipher Suites wep128 wep40 ckip cmic ckip-cmic tkip tkip wep128 tkip wep40 aes-ccm tkip tkip wep128 tkip wep40 aes-ccm aes-ccm wep128 aes-ccm wep40 aes-ccm tkip aes-ccm tkip wep128 aes-ccm tkip wep40

WPA

Les pages suivantes regroupent une srie de Travaux Pratiques qui vous permettront dapprendre mettre en place des configurations spcifiques la borne Cisco Aironet 1300. 22 Aurlien BEAUVOIS | Thophile GURLIAT

Mise en place dune solution Wifi

Cisco Aironet 1300

Objectifs : Configurer une borne Wifi en point daccs Mettre en place un pont Wifi Installer un pont Wifi pour LAN Virtuels Adapter le concept des LAN Virtuels sur un point daccs Scuriser une transmission sans fil (Chiffrement & Authentification) Se connecter un point daccs avec un terminal Dployer un serveur dauthentification RADIUS

Matriel mis votre disposition : Une station de travail PC Windows 2000 quipe dune carte wifi et dun mulateur VmWare avec un Xp Pro prinstall. Le logiciel HyperTerminal (Hilgraeve) a t install sur le W2000. La station Xp Pro mule sera utilise si un changement dadresse est ncessaire. Une borne wifi Cisco Aironet 1300 par binme Un Switch Catalyst 2950 La documentation de la borne Lannexe du TP (chiffrement, authentification)

Dans ce TP, vous devrez vous associer avec un autre binme proche de vous pour effectuer les diffrentes configurations demandes. La borne dispose dun serveur web intgr qui permet de configurer celle-ci de manire graphique. Pour plus defficacit nous utiliserons cette interface. Pour accder celle-ci, vous utiliserez un navigateur web, cependant pour cela, vous devrez toujours connatre ladresse IP de la borne ! Une solution simple pour tablir la configuration de dpart et dterminer ladresse de la borne require lutilisation dun cble console et dun HyperTerminal.

23 Aurlien BEAUVOIS | Thophile GURLIAT

1. Configuration dun point daccs sans fil

Pr-requis :
Branchez la borne sur le secteur pour lalimenter et au port COM de votre pc via un cble console. Utilisez lHyperTerminal pour activer le mode privilgi (mot de passe : Cisco) et veuillez rinitialiser votre borne en effaant la configuration de dmarrage pour viter quune ancienne configuration ne vienne perturber votre TP, puis relancez celle-ci. Avec lHyperTerminal, passez en mode privilgi et vrifiez que votre version de dIOS qui doit se terminer par 123-11.JA Fixez ladresse de la borne sur linterface BVI 1 10.0.0.1/8. (Linterface Fast-Ethernet nest pas celle utiliser !) Entrez la configuration IP suivante sur votre Windows XP : o IP : 10.0.0.2 o Masque : 255.0.0.0 o Passerelle : Connectez votre port Ethernet celui de la borne via un cble droit.

Prise en main de linterface web

Connectez-vous a la borne a laide de votre navigateur. Le nom dutilisateur est Admin et le mot de passe Cisco . Le menu Express Security permet une mise en place rapide, crez un identifiant de rseau sans fil (SSID) et diffusez-le (cochez BroadCast ). Appliquez les changements. Allez dans le menu Interfaces > Radio0-802.11G > Settings puis activez linterface .Validez. Votre borne va agir en point daccs. Dans Express Setup, modifiez la valeur hostname avec le nom de votre binme et activez ladressage dynamique pour que la borne utilise des adresses attribues par le serveur DHCP du rseau de lIUT. Remarque : notez que toutes les modifications effectues a laide de linterface web doivent tre enregistres systmatiquement a laide du bouton Apply .

24 Aurlien BEAUVOIS | Thophile GURLIAT

Il ny a plus daffichage, expliquez les raisons de cette perte de connectivit: Branchez maintenant la borne sur la prise Ethernet de la table. Retournez dans lHyperTerminal. Cherchez ladresse attribue la borne par le serveur DHCP (interface BVI1) et spcifiez la : .. Grce la prcdente cration de votre point daccs, vous allez pouvoir vous connecter au rseau de lIUT en Wifi. Vous pouvez donc avoir accs a linterface web de la borne en utilisant indiffremment le port Ethernet ou le Wifi. Connectez-vous au rseau sans fil cr prcdemment en utilisant la carte sans fil qui quipe votre Windows 2000. Vous utiliserez lutilitaire Aironet Desktop Utility qui est disponible sur le bureau. (Fonction scan puis activate). Notez ladresse IP de votre carte sans fil : Comment se comporte la borne dans cette configuration en rapport au service DHCP ? Essayez de retourner sur linterface Web de votre borne en utilisant le Wifi et ladresse note cidessus. Pouvez-vous configurer votre borne via linterface Radio ? Cela est il dangereux ? Essayez daccder au rseau IUT via le rseau Wifi de lautre groupe.

Scurit du point daccs

Sauvegardez la configuration actuelle de votre borne en tant que configuration de dmarrage. Un simple redmarrage permettra alors de restaurer ltat actuel de votre borne. Votre borne est donc accessible et se prsente comme point daccs, cependant elle nest pas scurise. Nous allons dans un premier temps mettre en place quelques techniques conventionnelles de scurit auxquelles vous avez forcment dj t confront. Lactivation de scurit vous dconnectera si vous configurez votre borne via le Wifi. Pour viter cela, connectez votre machine au rseau Ethernet de lIUT et accdez linterface de configuration de votre borne Cisco Aironet 1300. WEP (Wired Equivalent Privacy) est le protocole de chiffrement par dfaut, de moins en moins utilis. Pour mettre en place un chiffrement WEP static, rendez vous dans Security > Encryption puis cochez WEP Encryption (mandatory) puis dans Encryption Keys, entrez 10 caractres
hexadcimaux pour une cl 40 de bits.

WPA-PSK (WiFi protected Access Pre Shared Key) : mode grand public de la suite dauthentification et de chiffrement WPA qui repose sur la connaissance dune cl par utilisateur. Security > encryption puis dans cipher slectionnez le mode TKIP + WEP 40 bits puis allez dans le menu SSID Manager (slectionnez votre SSID) puis dans la rubrique Client Authenticated Key Management slectionnez mandatory , cochez WPA et entrez votre cl
en ASCII (8 a 63 caractres).

25 Aurlien BEAUVOIS | Thophile GURLIAT

Remarque : WPA-PSK = TKIP (pr-version 802.11i) WPA2-PSK = AES CCMP (802.11i)

Pour plus de dtails sur les types de chiffrements disponibles, reportez vous lannexe. Notez, par exemple quil est essentiel de savoir diffrencier chiffrement et authentification ! Testez ces procds de scurisation et vrifiez leur bon fonctionnement laide de votre carte WiFi. Nous reviendrons plus tard sur la scurit des rseaux sans fil.

2. Configuration dun pont rseau sans fil

Vous allez collaborer avec un autre binme. Nous allons commencer par crer un pont qui reliera uniquement vos deux PC. Avant toute chose dconnectez la borne du rseau IUT, et rinitialisez le compltement via lHyperTerminal. Dfinissez le groupe Root qui configurera la borne principale et le groupe Non-Root qui configurera la borne secondaire. Dfinissez ensemble le SSID que vous devrez avoir en commun et notez-le ici : Adressez votre borne comme lindique le schma (HyperTerminal) puis pour la relier votre PC (Donnez votre PC une adresse en 10.0.0.x/8). Vous pouvez de nouveau accder linterface de configuration de la borne via votre navigateur et la nouvelle adresse de celle ci. Dans Security > SSID Manager crez votre SSID et activez linterface radio. Validez En bas de page dans Set Infrastructure SSID , slectionner votre SSID. Validez Dans Network Interfaces > Radio > Settings, slectionnez Enable et Root Bridge ou Non-Root Bridge en fonction de votre position. Patientez quelques secondes. Dans Association vous devez voir lautre groupe safficher. Effectuez un Ping depuis votre Pc vers le Pc du groupe distant. Vous venez dtablir un pont (ou bridge ) qui permet de relier des sites et distants dune trentaine de kilomtres avec lutilisation dantenne directive (en champs ouvert). 26 Aurlien BEAUVOIS | Thophile GURLIAT

Nous allons maintenant brancher la borne principale sur le rseau de lIUT pour crer un pont qui simulera un raccordement de site distant afin de fournir laccs internet au groupe Non-Root.

Mettre les bornes en mode DHCP (Utilisez linterface Web ou lHyperTerminal a laide de la commande IP address DHCP sur linterface BVI 1 ). Remettre IP automatique sur vos PC Branchez la borne Root sur le rseau (cble crois vers prise de table !) Grace au serveur DHCP, vos quipements se verront attribus une adresse et le groupe Non-Root pourra accder au rseau de lIUT et a internet via le pont ralis. Testez laccs a internet depuis la station de travail du groupe Non-Root Vous pouvez scuriser votre pont avec les mmes procds que ceux vu pour le point daccs.

3. Configuration dun pont sans fil VLAN

Simulation dun rseau VLAN : Pour permettre de crer un environnement VLAN, vous utiliserez un Switch Catalyst 2950.
Port 1 : VLAN 1 : rseau IUT Port 2 : VLAN 1 : rseau IUT Port 3 : VLAN 10 : 192.168.0.0 / 24 Port 4 : VLAN 20 : 192.168.0.0 / 24 Port 5 : TRUNK

Les ports 1 & 2 vous serviront pour connecter le rseau du dpartement et votre machine. Pensez utiliser la commande spanning-tree portfast sur les interfaces si vous utilisez le DHCP pour dsactiver la dtection de boucles spanning-tree.

27 Aurlien BEAUVOIS | Thophile GURLIAT

Connectez vos deux Switch par un lien trunk (pensez croiser !) et testez ltanchit des VLAN en plaant vos Pc sur des VLAN identiques puis diffrents tout en effectuant des Pings. Configuration de la borne : La borne AIRONET 1300 peut tre utilis en tant que pont multi vlan (lien trunk ). Rinitialisez la borne. Connectez-la sur le port 5 du Switch. Via lHyperTerminal, appliquez la commande ip adress dhcp sur linterface bvi 1 de la borne pour obtenir une adresse automatique que vous dterminerez. Connectez-vous sur linterface web de celle-ci. Vous devez dabord crer chacun des VLAN qui transitera sur le lien. Allez dans le menu Services > Vlan (Le VLAN 1 est le VLAN natif)
exemple : pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.

Attention: lactivation du mode VLAN peut provoquer un changement dadresse IP !! Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez crer un seul SSID qui correspondra au lien multi-vlan, ce dernier sera associ au vlan natif. Ce SSID doit tre commun aux deux bornes ! Vous devrez cocher le mode radio 802.11G. Notez que par dfaut lidentifiant du rseau sans fil (SSID) ne sera pas diffus, cela ne prsentant aucun intrt dans le cas dune liaison point point ! Valider la configuration. Remarque: un identifiant diffus ( broadcast ) est visible par tous les clients effectuant une recherche de points de connexion. A linverse, si vous ne diffusez pas le SSID, seules les entits connaissant lexistence du rseau pourront sy connecter. Sur la borne Aironet 1300, la diffusion est possible au travers de loption guest mode ou mode invit. Dans la partie infrieure de la page, vous trouverez loption permettant de diffuser le SSID Set Single Guest Mode SSID et le choix du type de mode. Nous utiliserons le mode infrastructure associ au VLAN natif, qui indique au non-root bridge avec quel SSID il doit sassocier. Dans le menu Interfaces, slectionnez linterface radio , puis settings . Un groupe se placera en mode root bridge , lautre en mode non root bridge . Test de connectivit : Vous allez vrifier le bon fonctionnement de votre configuration a laide dun autre binme. Vrifiez dans le menu Association que vos deux bornes sont bien connects puis placez votre station de travail sur le port associ au VLAN 10, et donnez lui une adresse IP statique. Effectuez un Ping sur la machine de votre binme voisin.

28 Aurlien BEAUVOIS | Thophile GURLIAT

Comme toute liaison WiFi conventionnelle, la liaison multi-vlan peut tre scurise via diffrente mthode dauthentification et de chiffrement. En voici des exemples : WEP (statique) : allez dans Security > Encryption manager, selectionnez WEP encryption : mandatory . Entrez la cl (10 ou 26 caractres). WPA PSK: rendez vous dans Security > Encryption manager, slectionnez cipher mode : AES CCMP + TKIP . Puis SSID manager, slectionnez votre SSID, puis Client Authenticated Key Management choisissez mandatory dans key management puis cochez WPA et entrez une cl entre 8 et 63 caractres commune aux deux binmes.

4. Configuration dun point daccs Multi Vlan

La borne Cisco Aironet 1300 permet dintgrer une architecture VLAN au travers didentifiants de rseaux sans fil diffrents (Service Set Identifier ou SSID). Nous allons configurer les bornes de faon les faire fonctionner dans un environnement VLAN. Vous utiliserez la configuration VLAN prcdemment mise en place. Configuration de la borne daccs : La borne AIRONET 1300 sera configure en tant que point daccs multi-VLAN. Rinitialisez la borne a laide du menu System software > System configuration : Reset to defaults (except IP) Vous devez dabord crer chaque VLAN. Connectez-vous sur la borne et allez dans le menu Services > Vlan. Le VLAN 1 sera le VLAN natif vers lequel seront redirigs les trames non tagues.
pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.

Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez crer un SSID pour chaque VLAN. Aucun chiffrement nest requis dans un premier temps. Vous devrez cocher le mode radio 802.11G et penser diffuser le SSID (cochez Guest Mode dans les options propres
au SSID, et non en bas de page comme dans la configuration prcdente).

Pour finir, il suffit dactiver le mode BSSID Multiple dans la mme page en bas et dactiver linterface Radio dans Network Interfaces > Radio 802.11g > Settings. Test de connectivit : Vous allez vrifier le bon fonctionnement de votre configuration laide dun autre binme. Vous connecterez une machine en WIFI sur le SSID associ au VLAN1 et une autre sur le port 3 du Switch. Vrifiez que le service DHCP fonctionne et que vous pouvez accder lautre machine. Chaque SSID peut tre scuris de manire diffrente. (Authentification par adresse MAC, EAP, chiffrement,). 29 Aurlien BEAUVOIS | Thophile GURLIAT

5. Authentification
Jusqu' maintenant, vous avez chiffr les donnes et utilis un systme de cl pr-partage (WPAPSK) mais vous navez pas encore mis en place de systme dauthentification. La solution dauthentification la plus simple repose sur le contrle de ladresse MAC. Filtrage par adresse MAC : elle permet dauthentifier le client par son adresse physique. Elle offre une premire scurit dissuasive et simple. La procdure de mise en place est commune toutes les configurations : Security : Advanced security puis ajoutez une adresse mac sous la forme HHHH.HHHH.HHHH Dans Security : SSID manager choisir MAC authentification dans Client Authentication Settings. (Conserver le mode dauthentification ouvert) Cependant, cette technique est trs facile dtourner. EAP (Extensible Authentication Protocol) est un mcanisme d'identification universel, frquemment utilis dans les rseaux sans fil et les liaisons Point-A-Point. En plus de permettre lauthentification, ce procd offre une gestion dynamique des cls de chiffrements pour une scurit optimale (cl unique par client et renouvelable a intervalle rgulier). Pour une scurit consquente, les modes entreprise des standards WPA et WPA2 ont officiellement adopt 5 types dEAP comme mcanismes officiels didentification :

EAP-TLS EAP-TTLS : MSCHAPv2 PEAP v0 : EAP-MSCHAPv2 PEAP v1 : EAP-GTC EAP-SIM

Ces solutions reposent sur la mise en place dun serveur dauthentification (gnralement un serveur RADIUS) qui contrle lidentit de lutilisateur et distribue les cls de chiffrement. Plus aucune cl commune nest possder, un certificat ou un simple couple login/motdepasse suffit authentifier le client et chiffrer la communication. Dans ces configurations, la borne est appele NAS pour Network Authentification Service et sert uniquement relayer les messages du client au serveur.

Pour en savoir plus, reportez vous lannexe.

30 Aurlien BEAUVOIS | Thophile GURLIAT

1. Serveur Radius Intgr

La borne Cisco Aironet 1300 intgre un serveur radius qui vite le dploiement dune entit ddie. Votre carte Wifi tant un matriel Cisco, dans un premier temps, nous utiliserons le protocole LEAP (propritaire Cisco) pour mettre en place un service dauthentification. Supprimez tous les vlan et recrez un nouveau SSID.

LEAP & WEP

Configuration de la borne daccs : a) Mise en place de votre serveur RADIUS local : Security > Local Radius Server > Generals Setup: cochez LEAP. Validez. Entrez ladresse de votre borne et un mot de passe. Validez. Crer un utilisateur et un mot de passe associ. Validez b) Slection du serveur RADIUS : Security > Server manager entrez ladresse IP de votre propre borne et le secret partag que vous choisirez avec le port 1812 et 1813. Puis dans EAP authentification priority , slectionnez le serveur prcdemment cre. c) Choix du chiffrement et du type dauthentification : Security > Encryption choisir WEP Encryption : mandatory Security > SSID manager dans Client Authentication Settings selectionnez open : with EAP . Cochez Network EAP . Test dauthentification : Utilisez le logiciel Cisco Aironet disponible sous Windows 2000 pour vous connectez a votre borne. Effectuez un scan, slectionnez votre SSID et connectez-vous. Vous utiliserez lauthentification 802.11x associ LEAP. Dans avanc, vous slectionnerez Manually Prompt for LEAP User name and Password . Puis vous decocherez include Windows Logon Domain with user name .

LEAP utilis par WPA

Configuration de la borne daccs : Recommencez lopration en utilisant WPA, pour cela utilisez TKIP dans la rubrique cipher dans Security > Encryption , puis cochez WPA dans Security > SSID manager aprs avoir slectionner votre SSID. Test dauthentification : Modifiez votre ancien profil cre prcdemment sous Cisco Aironet , utilisez alors WPA et LEAP pour vous connectez votre rseau sans fil. 31 Aurlien BEAUVOIS | Thophile GURLIAT

LEAP utilis par WPA2

Vous pourriez configurer votre borne pour utiliser AES CCMP. Mais vous ne pourriez pas lessayer car votre carte nest pas compatible. Cependant, avec un mot de passe suffisamment complexe, cette combinaison offre une trs bonne scurit.

Application :
Utilisez maintenant votre serveur RADIUS pour mettre en place une authentification LEAP entre deux bornes dans le cas dune liaison de type pont .

Aide : Une borne sera configure en Root bridge et jouera le rle de contrleur daccs (NAS).Elle seule dialoguera avec le serveur radius. Lautre borne sera non-root bridge et considre comme client. Dans un premier temps, vous laisserez les donnes circuler sans chiffrement (Security > Encryption : None) puis vous vrifierez le bon fonctionnement en effectuant des pings via le pont avec les algorithmes de chiffrement suivants : WEP : mandatory avec cl statique (a entrer manuellement !) TKIP + WEP 128 bits avec cl statique AES CCMP + TKIP + WEP 128 bits avec cl statique WPA (rappel : WPA = EAP+TKIP ; pensez cocher WPA dans SSID manager) WPA 2 (rappel : WPA = EAP+AES CCMP ; pensez cocher WPA dans SSID manager)

La version entreprise de WPA utilise elle des cls statiques ou dynamiques ? Qui fournit ces cls ? Quelle est lavantage de ce type de cl ?

32 Aurlien BEAUVOIS | Thophile GURLIAT

2. Serveur Radius
Nous allons conserver la configuration utilise dans la partie LEAP utilis par WPA qui utilisait TKIP comme protocole de chiffrement. (Cependant tous les types de chiffrements pourraient tre utiliss dans cette partie). Vous allez maintenant mettre en place un serveur dauthentification RADIUS. Configuration de Free Radius a) Mise en place de votre serveur RADIUS : De nombreux serveurs Radius sont disponibles, vous utiliserez FreeRadius qui existe la fois sous Windows et sous Unix, et qui est disponibles librement sur http://www.freeradius.net/ Tlchargez et Installez le logiciel sur votre XP PRO virtuel. Via le menu dmarrer / programmes, vous pouvez configurer et lancer le service. Tout dabord, ditez le fichier Clients.conf dans lequel vous avez juste spcifier ladresse de votre borne (NAS) ainsi que votre secret partag sous la forme : secret= votresecretpartag Ensuite, dans le fichier Users , vous pouvez spcifiez les utilisateurs et le mot de passe associ sous la forme : votreUtilisateur User-Password == "MotDePasse" Votre serveur est configur ! Remarquez que malgr ses nombreuses options, FreeRadius reste simple dutilisation. Lancez le service en mode dbogage pour suivre les requtes. Configuration de la borne b) Slection du serveur RADIUS : Rendez vous dans le menu Security > server manager et spcifiez ladresse de votre XP PRO sur lequel le service Radius est lanc. Entrez le secret partag et conservez les ports 1812 et 1813. Validez. Dans la mme page, dfinissez ladresse IP de votre XP PRO comme serveur prioritaire pour lauthentification EAP. c) Choix du chiffrement et du type dauthentification : Dans le menu Security > SSID manager, slectionnez votre SSID. Vrifiez que Open Authentification : with EAP et Network Authentification sont toujours actif. Remarque : vous pouvez forcer lauthentification tre renouvele rgulirement grce a la fonction timers situ dans le menu Security > Advanced security.

Test dauthentification Connectez-vous votre borne en utilisant un profil WPA + LEAP. Surveillez la console de dbogage. Essayez dautres types dauthentifications partir de votre client. Des modifications sont elles ncessaires sur le point daccs ? Le point daccs a il un rle actif ou passif dans lauthentification ? 33 Aurlien BEAUVOIS | Thophile GURLIAT

Les types dauthentification :

Malgr tous les efforts raliss par Cisco pour imposer son protocole, LEAP est aujourdhui contest et dprci, tout comme EAP-MD5 qui apparut comme trop vulnrable aux attaques par dictionnaires. Ces solutions laissent place dautres extensions dEAP telles quEAP-TLS, reposant sur lutilisation des certificats. Les certificats permettent dassurer une meilleure scurit mais savre parfois complexe mettre en place grande chelle. Les deux solutions optimales actuelles pour authentifier simplement et surement sont EAP-TTLS et PEAP qui crent un tunnel chiffr TLS pour protger lauthentification. Toutes deux trs proches, elles imposent un certificat uniquement du cot serveur. Cependant, seul PEAP est prsent nativement sur les matriels Cisco et Microsoft. Tous ces types dauthentification EAP sont compatibles avec Free Radius, le client peut donc avoir le choix entre plusieurs types dauthentification sans quaucune modification ne soit ncessaire. Remarque : Si vous utilisez linterface Wifi dun client Windows XP, il faudra donc que votre serveur RADIUS prenne en charge PEAP - MSCHAPV2.

Application :
Vous tes charg de mettre en place un systme VLAN Wifi avec un seul SSID qui fait office de portail pour lauthentification. En pratique, tous les types dutilisateurs se connecteront sur le VLAN natif associ au SSID IUT et devront sidentifier (802.11x) grce a un serveur RADIUS (FreeRadius). Celui-ci renverra au point daccs le VLAN dappartenance du client authentifi et ce dernier se trouvera alors automatiquement redirig sur son VLAN. Un seul SSID est donc ncessaire. Les groupes de travails seront tudiants (VLAN10) et professeurs (VLAN20). Le VLAN 1 sera le VLAN Natif et vous activerez loption Enable secure packet forwarding sur celui-ci pour empcher le partage de donnes entre client lors de la phase dauthentification sur le VLAN1. Vous utiliserez WPA (EAP + TKIP).

Aide pour la configuration de Free Radius (Users) :

toto User-Password == "titi" Tunnel-Type = "VLAN", Tunnel-Medium-Type = "IEEE-802", Tunnel-Private-Group-Id = "VOTREVLAN", //indique le VLAN client

Remarque : les VLAN tant tanches, vous devrez fixer manuellement les adresse de vos clients car le serveur DHCP de lIUT ne sera pas accessible. Utilisez des adresses dune classe diffrente de celles utilises par les bornes.

34 Aurlien BEAUVOIS | Thophile GURLIAT

Conclusion :
Le pont sans fil Cisco Aironet 1300 est donc un matriel haut de gamme idal pour raliser des liaisons de types pont longue porte (jusqu' 32 Km) permettant dinterconnecter des sites distants ou des units mobiles en point-a-point ou pointa-multipoints. Il ralise galement un excellent point daccs a grande porte extrieure ou intrieur. Linterface Web intgre permet une prise en main efficace et une configuration complte et intuitive. Cet appareil prend en charge de nombreuses fonctionnalits avances (qualit de service, Lan Virtuels, roaming) et une scurit complte (filtrage, authentification et chiffrement de haut niveau). La ralisation de cette tude nous a permis de dcouvrir en dtails et de prendre conscience des scurits mise en uvre pour assurer les fonctions de confidentialit et dintgrit des donnes et surtout dauthentification, un aspect pourtant incontournable de la scurit que nous avons dcouvert au travers de la mise en place dun serveur RADIUS. Toute la partie axe autour des LAN Virtuels savre confirmer limportance croissante de cette technologie au travers de son intgration dans des applications comme les communications sans fils. La concrtisation de notre travail en une srie de travaux pratiques apporte une grande satisfaction et nous a permis dapprendre synthtiser les connaissances. Ce fut donc un projet trs intressant et enrichissant puisque vraiment dactualit et qui offre des connaissances forcment utile lavenir.

35 Aurlien BEAUVOIS | Thophile GURLIAT

Sources :
www.cisco.com www.wifialliance.com www.microsoft.com www.wikipedia.org www.commentcamarche.net www.hsc.fr www.tribecaexpress.com www.certa.ssi.gouv.fr www.lsr.imag.fr www.freeradius.net www.generation-nt.com www.laboratoire-microsoft.org www.enterprisenetworkingplanet.com

36 Aurlien BEAUVOIS | Thophile GURLIAT

ANNEXE : LES NORMES WIFI

Norme Nom Description La norme 802.11a (baptise Wifi 5) permet d'obtenir un haut dbit (dans un rayon de 10mtres: 54 Mbit/s thoriques, 30 Mbit/s rels). La norme 802.11a spcifie 52 canaux de sous-porteuses radio dans la bande de frquences des 5 GHz, huit combinaisons, non superposs sont utilisables pour le canal principal. La norme 802.11b est la norme la plus rpandue en base installe actuellement. Elle propose un dbit thorique de 11 Mbit/s (6 Mbit/s rels) avec une porte pouvant aller jusqu' 300 mtres dans un environnement dgag. La plage de frquences utilise est la bande des 2,4 GHz avec, en France, 13 canaux radio disponibles dont 3 au maximum non superposs. La norme 802.11c n'a pas d'intrt pour le grand public. Il s'agit uniquement d'une modification de la norme 802.1d afin de pouvoir tablir un pont avec les trames 802.11 (niveau liaison de donnes). La norme 802.11d est un supplment la norme 802.11 dont le but est de permettre une utilisation internationale des rseaux locaux 802.11. Elle consiste permettre aux diffrents quipements d'changer des informations sur les plages de frquences et les puissances autorises dans le pays d'origine du matriel. La norme 802.11e vise donner des possibilits en matire de qualit de service au niveau de la couche liaison de donnes. Ainsi, cette norme a pour but de dfinir les besoins des diffrents paquets en terme de bande passante et de dlai de transmission de manire permettre, notamment, une meilleure transmission de la voix et de la vido. La norme 802.11f est une recommandation l'intention des vendeurs de points d'accs pour une meilleure interoprabilit des produits. 802.11f Itinrance (roaming) Elle propose le protocole Inter-Access point roaming protocol permettant un utilisateur itinrant de changer de point d'accs de faon transparente lors d'un dplacement, quelles que soient les marques des points d'accs prsentes dans l'infrastructure rseau. Cette possibilit est appele itinrance (ou roaming en anglais) La norme 802.11g est la plus rpandue dans le commerce actuellement. Elle offre un haut dbit (54 Mbit/s thoriques, 26 Mbit/s rels) sur la bande de frquences des 2,4 GHz. La norme 802.11g a une compatibilit descendante avec la norme 802.11b, ce qui signifie que des matriels conformes la norme 802.11g peuvent fonctionner en 802.11b. Cette aptitude permet aux nouveaux quipements de proposer le 802.11g tout

802.11a Wifi 5

802.11b Wifi

Pontage 802.11 vers 802.11c 802.1d

802.11d Internationalisation

802.11e

Amlioration de la qualit de service

802.11g

37 Aurlien BEAUVOIS | Thophile GURLIAT

en restant compatibles avec les rseaux existants qui sont souvent encore en 802.11b. Il est possible d'utiliser, au maximum, 3 canaux non superposs. La norme 802.11h vise rapprocher la norme 802.11 du standard Europen (Hiperlan 2, d'o le h de 802.11h) et tre en conformit avec la rglementation europenne en matire de frquences et d'conomie d'nergie. La norme 802.11i a pour but d'amliorer la scurit des transmissions (gestion et distribution des cls, chiffrement et authentification). Cette norme s'appuie sur l'AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les technologies 802.11a, 802.11b et 802.11g. La norme 802.11IR a t labore de manire utiliser des signaux infrarouges. Cette norme est dsormais dpasse techniquement. La norme 802.11j est la rglementation japonaise ce que le 802.11h est la rglementation europenne. La norme 802.11n est attendue pour avril 2007. Le dbit thorique atteint les 540 Mbit/s (dbit rel de 100 Mbit/s dans un rayon de 90 mtres) grce aux technologies MIMO (multiple-input multiple-output) et OFDM (Orthogonal Frequency Division Multiplexing). En avril 2006, des priphriques la norme 802.11n commencent apparatre mais il s'agit d'un 802.11 N draft (brouillon) ou plutt provisoire en attendant la norme dfinitive. Le 802.11n utilisera simultanment les frquences 2,4 et 5GHz. Il saura combiner jusqu'a 8 canaux non superposs. La norme 802.11s est actuellement en cours d'laboration. Le dbit thorique atteint aujourd'hui 1 2 Mbit/s. Elle vise implmenter la mobilit sur les rseaux de type adhoc. Tout point qui reoit le signal est capable de le retransmettre. Elle constitue ainsi une toile au dessus du rseau existant. Un des protocoles utilis pour mettre en uvre son routage est OLSR.

802.11h

802.11i

802.11IR

802.11j

WWiSE (World-Wide 802.11n Spectrum Efficiency) ou TGn Sync

802.11s Rseau Mesh

38 Aurlien BEAUVOIS | Thophile GURLIAT

ANNEXE : CARACTERISTIQUES CISCO AIRONET 1300

Caractristique Dbits supports Pont sans fil de la gamme Cisco Aironet 350 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 et 54 Mbits/s

Bande de frquences 2.412 2.472 GHz (ETSI et TELEC), 2.412 2.462 GHz (FCC) Support sans fil DSSS (Direct Sequence Spread Spectrum), OFDM (Orthogonal Frequency Division Multiplexing)

Protocole d'accs au CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) support DSSS : DBPSK 1 Mbit/s ; DQPSK 2 Mbits/s ; CCK 5,5 et 11 Mbits/s OFDM : BPSK 6 et 9 Mbits/s, QPSK 12 et 18 Mbits/s, 16QAM 24 et 36 Mbits/s, 64-QAM 48 et 54 Mbits/s Amrique du Nord : 11 ; ETSI : 13 ; Japon : 13 3 1 Mbits/s : -94 dBm 2 Mbits/s : -91 dBm 5.5 Mbits/s : -89 dBm 11 Mbits/s : -85 dBm 6 Mbits/s : -90 dBm 9 Mbits/s : -89 dBm 12 Mbits/s : -86 dBm 18 Mbits/s : -84 dBm 24 Mbits/s : -81 dBm 36 Mbits/s : -77 dBm 48 Mbits/s : -73 dBm 54 Mbits/s : -72 dBm

Modulation

Canaux utiliss Canaux sans chevauchement

Sensibilit de rception

CCK : 100 mW (20 dBm), 50 mW (17 dBm), 30 mW (15 dBm), 20 mW (13 dBm), 10 mW (10 dBm), 5 mW (7 dBm) Paramtres de OFDM : 30 mW (15 dBm), 20 mW (13 dBm), 10 mW (10 dBm), 5 puissance en mW (7 dBm), 1 mW (0 dBm) mission disponibles La puissance maximale varie en fonction des rglementations en vigueur dans chaque pays Porte (typique, fonction de l'antenne slectionne) Homologations

0.36 km 54 Mbps

Fonctionne sans licence conformment la recommandation FCC Part 15 et respecte les spcifications d'quipement de Class B ;
39

Aurlien BEAUVOIS | Thophile GURLIAT

conforme aux rglementations DOC ; conforme aux normes ETS 300.328, FTZ 2100 et MPT 1349 ; conforme la norme UL 2043 (L'utilisation de cet quipement sur un systme fonctionnant partiellement ou totalement en extrieur peut ncessiter l'obtention d'une licence pour le systme, conformment la rglementation canadienne.Pour plus de dtails, contactez votre agence commerciale Cisco au Canada.) Conformit SNMP Antenne Longueur de cl de cryptage MIB I et MIB II Deux connecteurs RP-TNC (antennes en option non fournies avec l'unit) 128 bits Cisco Wireless Security Suite, dont: Authentification 802.1X dont LEAP : cls d'encryptions mutuelles et dynamiques par utilisateur et par session Encryption Cisco TKIP; key hashing (per-packet keying) et MIC (Message Integrity Check) AES-ready Quatre tmoins sur le panneau avant fournissent des indications sur l'tat de l'association, le fonctionnement, les erreurs/avertissements, les mises niveau du microcode et l'tat de la configuration, du rseau/modem et de la radio BOOTP et DHCP

Scurit

Tmoins d'tat

Support de la configuration automatique Support de la configuration distance

Telnet, HTTP, FTP, TFTP, SNMP

Configuration locale Port console directement reli (avec cble srie fourni) Protocole de pont Dimensions Poids Environnement Botier Spanning Tree 20.3 cm x 20.57 cm x 7.87 cm 1,25 kg Temprature : 30 55 C 0 100 % (sans condensation) Botier mtallique (pour l'isolation) ; certifi NEMA 4; IP56; UL2083

40 Aurlien BEAUVOIS | Thophile GURLIAT

ANNEXE : CCKM

41 Aurlien BEAUVOIS | Thophile GURLIAT