Exemples de solutions d’administration d’un

réseau sans fil

Sylvie Dupuy (CCR), Catherine Grenet (CNRS/UREC)

Journée sans filENSAM, Paris, 13 octobre 2004

IRSF : Infrastructures Réseaux Sans Fil

Espace Radio (Rogue AP …)

802.1X

IPSec, FW, IDS

QoS, Bandwith Management

AAA

Modèle de référence OSI-like

Solutions d’administration d’un réseau sans-fil : critères de choix

? Centralisée ou Répartie :• « intelligence » dans les PA • « commutateur wifi », autre …

? Propriétaire : • support de protocoles normalisés ( WEP dynamique, WPA, IEEE 802.11x), méthodes d’authentification 802.1X (EAP/TLS, TTLS, …)• intégration de PA multi-constructeurs

• Intégration des PA dans l’infrastructure filaire : support des VLAN

• Supervision de l’espace radio :- Détection, localisation, neutralisation de Rogue AP- Détection d’attaques (mac spoofing, DoS …)

• Supervision du trafic : SNMP

• Ergonomie, fonctionnalités de la plateforme (matérielle ou logicielle) pour administrer les AP

• Evolutivité nouveaux usages (Fast roaming VoWLAN)

• Performances

Critères de choix (suite)

• Gestion des profils utilisateurs :

- authentification (annuaire local ou distant , portail ..)- privilèges d’accès aux ressources ( rôle, access list,tag de VLAN, SSO ..)

• Infrastructure de Gestion de Clés

• Gestion des logs de connexion

Critères de choix (suite)

« Commutateurs » WiFi

Principe : – un certain nombre de fonctions habituellement gérées dans

les points d’accès sont déportées sur le commutateur• association• chiffrement• interconnexion avec le réseau filaire

– établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur

Interconnexion physique

Points d’accès CommutateursEthernet Commutateur

WiFi

Tunnels

Intégration dans le réseau filaire

Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux points d’accès

Points d’accès

SSID 1

SSID 2

SSID 1

SSID 2

VLAN 1

VLAN 2

CommutateurWiFi

Tag 802.1Q

Réseaufilaire

Tunnels

Réseausans fil

Gestion de l’espace radio

• Ajustement dynamique de la puissance et du canal de chaque point d’accès

autocalibration du réseau radio ?• Détection des interférences• Détection / neutralisation des points d’accès

sauvages• Détection des réseaux ad hoc• Détection d’attaques 802.11 classiques• Localisation géographique des points d’accès et des

clients

Gestion de l’espace radio

• Les points d’accès peuvent ou non fonctionner simultanément en mode sonde

• Gestion de la bande passante par utilisateur(s), par application, par VLAN

• Possibilité d’interdire les communications directes entre clients

• Equilibrage de charge entre points d’accès adjacents• Possibilité d’affecter des priorités aux différents flux• Gestion du handover (VoWLAN)

Authentification et contrôle d’accès

• Portail• 802.1X, EAP, TLS, TTLS…• VPN IPsec et SSL• Base interne / externe (LDAP, AD…)• Fonctions de contrôle d’accès + ou - sophistiquées :

– filtrage IP– pare-feu stateful– par utilisateur, groupe d’utilisateurs, VLAN

• Système de détection d’intrusion embarqué

Administration et supervision

• Gestion centralisée des points d’accès– configurations– mises à jour logicielles

• Détection et configuration automatique des points d’accès

• Tableau de bord, statistiques (par station, par point d’accès, globales…)

• Plan de site avec localisation des points d’accès

Exemples de produits

• Airespace : 4024– ? points d’accès, 13 k€– point d’accès : 600 €

• Aruba – 800 : 16 points d’accès, 256 utilisateurs, 14 k€– 2400 : 48 points d’accès, 26 k€– 5000 : 128 points d’accès, 55 k€– point d’accès : 700 €

• Symbol : WS 5000– 30 points d’accès, 6300 €– 6 points d’accès, 1600 – point d’accès : 320 €

Inconvénients

• Solution propriétaire : commutateurs et points d’accès doivent être du même constructeur

• Possibilité de gérer des points d’accès d’autres constructeurs avec perte de fonctionnalités

• Un commutateur est limité à la gestion d’un certain nombre de points d’accès

• Centralisation point de défaillance unique

Solution centralisée de niveau 3 : Bluesocket

- AP multi constructeurs- Passerelle d’interconnexion WLAN/LAN

via tunnels IPSec ou L2TP- Authentification 802.1X, LDAP, Active Directory, SSO=> Peut être déployée pour sécuriser l’accés à des

ressources communes au niveau d’un campus en raison de la problématique d’adressage des ressources à l’échelle des laboratoires.

Solution répartie : Cisco SWAN (Structured Wireless Aware Network)

WDS (Wireless Domain System)- AP « intelligents » (chiffrement, support WDS)- Appliance WLSE (Wireless Lan Solution Engine) :

administration centralisée des AP (SNMP,ssh)gestion de l’espace radio (AP et cartes clientes Cisco)

- Catalyst 6500 WLSM (module) :agrégation des infos SNMP pour le WLSE, mobilité (fast-

roaming), terminaison de tunnels mGREsupport de 300 AP, 6000 clients, 16 groupes mobilité + fonctionnalités en option du catalyst (IDS, …)

- Authentification : Cisco secure ACS (LEAP pour les AP), CCKM pour Fast Roaming, RADIUS pour les clients