Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents

Réseaux locaux sans fil « WiFi »

Catherine Grenet et Marie-Claude Quidoz

Meudon, 11 et 12 mai 2006

2Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

Remerciements

Ces transparents sont extraits du tutoriel« Architecture des réseaux sans fil » donné par Daniel Azuelos aux JRES 2005http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf


Plan (1/2)

Introduction

Aspects théoriques• Normalisation 802.11

• Couche physique

• Composants et architecture

• Protocole

• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i


Plan (2/2)

Architecture de réseau• Réseau sans fil isolé du réseau filaire

• Portail web d’accès

• Affectation dynamique de VLAN

• Points d’accès virtuels

• Commutateur sans fil

• Passerelle de sécurité

• Choix de mise en œuvre

Déploiement du réseau radio

Outils


Pourquoi déployer un réseau sans fil aujourd'hui ?

Pour faciliter la connexion des utilisateurs itinérants, en particulier dans les espaces collectifs

Pour connecter des locaux impossibles ou trop coûteux à câbler (amiante, monument historique)

Pour mettre en place une connexion provisoire (travaux)

Pour occuper l'espace : offrir le service pour éviter les installations pirates

Le sans fil n'est pas destiné à remplacer intégralement le câblage filaire (fiabilité, débit)Il n’est pas fait pour connecter des serveurs !


Les différents types de réseau sans fil

900 / 1800 MHz1900 / 2200 MHz

2 – 11 GHz2,4 / 5 GHz2,4 GHzBande defréquence

ITUIEEE 802.16

IEEE 802.11

IEEE 802.15Norme

Téléphonieet données

AccèsRéseau local

Connexionpériphériques

Applications

9600 Kb/s-> 2 Mb/s

70 Mb/s54 Mb/s3 Mb/sDébit théorique

35 km50 km100 mqq mPortée

GSM, GPRS, UMTS

WiMaxWiFiBluetoothet autres

Nom commun

WWANWMANWLANWPAN


Plan (1/2)

Introduction

Aspects théoriquesNormalisation 802.11

• Couche physique


• Protocole



Normalisation 802.11

« Wi-Fi » est un label d'interopérabilité délivré par la Wi-Fi alliance :groupement de constructeurs qui publie des listes de produits certifiés (http://www.wi-fi.org/)

802.11 (1997) : jusqu’à 2 Mb/s

802.11 (1999) : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications

802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplément à802.11)

802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplément à802.11)

802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement à802.11)

• compatible avec 802.11b


Normalisation (suite)

802.11f (2003) : Inter Access Point Protocol (IAPP)gestion de la mobilité

802.11h (2003) : pour l'utilisation de 802.11a en Europesélection dynamique de canal et gestion de la puissance d'émission

802.11i (2004) : sécurité

802.11e (2005) : qualité de service

Travaux en cours :• 802.11k : mesure de la qualité de la liaison radio

• 802.11n : débit > 100 Mb/s

• 802.11r : transfert rapide de connexion entre bornes

• 802.11s : réseaux maillés


Plan (1/2)

Introduction


Couche physique


• Protocole



Onde électromagnétique


Spectre électromagnétique


Emission / réception radio

F (Hz)

P (W)

Fporteuse

Principe : transmission de l'information par modulation d'une porteuse

Le signal transmis est caractérisé par son spectre

En radio, la puissance est souvent exprimée en dBm (décibels « milliwatt »)

dBm = 10*log10(P/ 0.001)

0 dBm 1 mW


802.11b : modulation

DSSS : Direct Sequence Spread Spectrumétalement de spectre, séquence directe

Selon la vitesse de transmission

• codage de 1, 4 ou 8 bits simultanément

• puis modulation de phase à 2 ou 4 états

Données à transmettre

Séquence d’étalement(signal pseudo-aléatoire connu de tous)

+

Signal à transmettre


802.11 b : canaux

• Bande 2,4 GHz • 14 canaux de 22 MHz• seulement trois canaux

disjoints


802.11a

GHz5,155,825

20 MHz

12 canaux disjointsdivisés en 52 sous-porteuses

48 sous-canaux de données4 sous-canauxpour correctiond’erreur

OFDM : Orthogonal Frequency Division Multiplexing


802.11g

Bande 2,4 GHz

Transmission DSSS pour les débits ≤ 11 M/s (1, 2, 5.5, 11)=> compatible avec 802.11b

Transmission OFDM pour les débits supérieurs

La compatibilité 802.11b ne ralentit pas le débit des trames de données des stations 802.11g, mais certaines trames de gestion (balise) et de contrôle (trames de protection) doivent être émises à des débits compatibles avec le 802.11b


802.11n

Groupe d’étude n du 802.11 (TGn)

draft 1.0 approuvé en mars 2006• n’a pas passé l’étape suivante => draft 2.0 (au moins !)

normalisation en 2007 ?

Débits annoncés jusqu’à 600 Mb/s

MIMO : Multiple Input Multiple Output• plusieurs antennes / émetteurs / récepteurs radios

• transmission des données en parallèle sur le même canal en utilisant les trajets multiples


Puissances autorisées depuis juillet 2003 (exprimées en PIRE : Puissance Isotrope Rayonnée Equivalente)

Les usages privés (réseaux indépendants, usages particuliers) ne nécessitent pas de démarche auprès de l’ART.

Réglementation (ARCEP ex-ART)

10 mW100 mW9-132454 -2483,5

100 mW100 mW1-82400 - 2454

ExtérieurIntérieurCanauxFréquences (MHz)


Plan (1/2)

Introduction


• Couche physique

Composants et architecture

• Protocole



Caractérisques induites par le support

Support partagé par tous

Pas de limite franche ni visible au delà de laquelle la réception est impossible

Le signal peut être brouillé par une source extérieure

Le support de transmission est beaucoup moins fiable qu'en réseau filaire, et non maîtrisé

Les stations ne sont pas fixes, mais portables, voire mobiles

Certaines stations peuvent être cachées les unes aux autres

Les vitesses de propagation peuvent varier dans le temps et être asymétriques


Architecture 802.11

Station : toute machine équipée d’une interface 802.11

BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent en communication

BSS indépendants = réseaux « ad hoc »

STA 1

STA 2

BSS 1

STA 3

STA 4

BSS 2


Architecture 802.11 (suite)

Les BSS peuvent être interconnectés par un « système de distribution »(DS, Distribution System) : le plus souvent un réseau Ethernet

Un point d'accès est une station qui fournit l'accès au DS

Réseaud'infrastructure

STA 1

STA 2

BSS 1

STA 3

STA 4

BSS 2PA

PASystème dedistribution (DS)


Architecture 802.11 (suite)

ESS (Extended Service Set) : ensemble de BSS interconnectés par un système de distribution

Les stations peuvent communiquer entre elles et passer d'un BSS àl'autre à l'intérieur d'un même ESS

ESSSTA 1

STA 2

BSS 1

STA 3

STA 4

BSS 2PA

PASystème dedistribution (DS)


Protocole : accès au média

Média partagé => 802.11 définit deux méthodes d'accèsDCF (Distributed Coordination Function)

• Dans toutes les stations, sur réseau ad hoc et d'infrastructure• CSMA/CA Carrier Sense Multiple Access Collision Avoidance• Principe : la station écoute le média pour vérifier qu'il est libre avant d'émettre

(idem CSMA/CD)

• Mais elle ne peut pas détecter les collisions• parce qu'elle n'entend pas nécessairement toutes les stations• parce que la liaison radio est half duplex

• Avoidance => la station réceptrice émet un ACK qui indique que la trame a été correctement reçue et qu'il n'y a pas eu de collision

• Mécanisme supplémentaire : émetteur et récepteur échangent un RTS/CTS avant d'émettre les donnéescontrôlé par le paramètre dot11RTSThreshold

PCF (Point Coordination Function)• Uniquement dans les points d’accès, peu implémentée• Le PA contrôle l’accès au média (par interrogation des stations)


Protocole : types de trames

Trames de gestion• balise (beacon)

• Probe Request / Response

• authentification

• association

Trames de contrôle• contribuent au bon acheminement des trames de données

• exemple : ACK, RTS/CTS

Trames de données


Protocole : découverte des réseaux

Le point d'accès émet à intervalles réguliers (~ 100 ms) des trames balise (beacon) qui contiennent :

• SSID Service Set Identifier : chaîne de caractères identifiant le réseau sans filLes points d’accès d’un même ESS émettent le même SSID

• Débits supportés

La station peut émettre des trames Probe Request pour identifier les réseaux sans fil disponibles sur différents canaux

Le point d'accès lui renvoie une trame Probe Response (mêmes infos que dans la balise)

Pour utiliser le réseau sans fil, la station doit s'authentifier et s'associer


Authentification et association

non authentifié,non associé

authentifié,non associé

authentifié,associé

Authentificationréussie

Association ouréassociationréussie

Désassociation

Dé-authentification

Dé-authentification


Authentification

Deux modes d'authentification :• ouvert (open system)• partagé (shared key)

STA PADemanded'authentification

Succès

STA PADemanded'authentification

Challenge

Challenge chiffré

Succès

Mode d’authentification

Open System Shared key


Association – réassociation

La station envoie au PA une demande d'association

Si la station est déjà authentifiée le PA accepte la demande et retourne un identificateur d'association (Association ID)

La station peut alors échanger des trames de données avec les autres stations de l'ESS

Réassociation : lorsqu'une station se déplace d'un BSS à l'autre


Protocole : adressage

Adresses sur 48 bits, même format qu'une adresse Ethernet

Une trame 802.11 contient 4 champs adresse, dont la signification varie en fonction du type de trame

type de trame

• gestion

• contrôle

• données

Contrôle Durée/ID Adr 1 Adr 2 Adr 3 Contrôlede séq. Adr 4 Données CRC



Les 4 champs adresse indiquent :

Le BSSID : il identifie de manière unique un BSS• mode infrastructure : adresse MAC du point d'accès

• mode ad hoc : choisie de manière à être unique

• à ne pas confondre avec le SSID (aussi appelé ESSID)

L’adresse de destination : adresse du destinataire final

L’adresse source : adresse de la station qui a initialement émis la trame

L’adresse du récepteur : adresse du destinataire immédiat

L’adresse de l’émetteur : adresse de la station qui émet la trame



Réseaufilaire

STA1 PA1 PA2 STA2

PA1 STA1 STA2 _ STA2 PA2 STA1 _

Exemple : station 1 émettant une trame de données vers station 2

La station lit le champ Adr 1 pour savoir si une trame lui est ou non adressée

Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vérifie de plus que le BSSID est celui du PA auquel elle est associée


Mobilité

Authentification

Demande de réassociation

BSSID ancien PA STA était associée ?

Oui

Réassociation réussieTrames en tampondestinées à STA

Fin association avec STA

STA Nouveau PA PA courant


Plan (1/2)

Introduction


• Couche physique


• Protocole

Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i


Risques liés aux réseaux sans fil

Média partagé => les écoutes sont possibles

Pas de limite franche ni visible au delà de laquelle la réception est impossible, donc en l'absence de mécanismes appropriés n'importe qui peut :

• écouter le réseau • se connecter au réseau (et utiliser l'accès Renater de l'unité par exemple)

Le signal peut être brouillé par une source extérieure

Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)


Historique et terminologie

1999 : WEP (802.11)

2001 : 802.1X=> authentification 802.1X + chiffrement WEP dynamique

2003 : WPA (Wi-Fi Protected Access) :

• spécification publiée par la Wi-Fi Alliance, et reprenant une bonne partie du draft 3.0 de 802.11i en attendant la ratification de la norme

2004 : 802.11i MAC Security Enhancements

WPA2 : label de la Wi-Fi Alliance pour 802.11i


WEP

Wireless Equivalent PrivacyIntégré à la norme 802.11 de 1999Principes :

• clé secrète (40 ou 104 bits) partagée par toutes les stations• authentification par défi / réponse• confidentialité par chiffrement symétrique

Problèmes et limitations• la clé peut être découverte par simple écoute du réseau avec des logiciels du

domaine public (AirSnort, Aircrack…)

• pas de mécanisme de distribution des clés


Plan (1/2)

Introduction


• Couche physique


• Protocole

• Sécurité• WEP

802.1X et WEP dynamique• WPA et 802.11i


802.1X + WEP dynamique

802.1X permet une authentification « sérieuse » des utilisateurs avant connexion au réseau

Les clés sont générées à l’aide de protocoles de chiffrement et distribuées sous forme chiffrée sur le réseau sans fil

Une clé WEP par utilisateur et par session

Clé commune pour les trames multicast

Renouvelée suffisamment souvent dans le courant de la session pour qu’elle ne puisse pas être découverte (~ quelques minutes)

Avantages :

• empêche la découverte des clés

• distribution automatique des clés


802.1 X

Port-Based Network Access Control (2001, révision 2004)

Protocole permettant de n'autoriser l'accès à un port réseau qu'après authentification

Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802

port réseau = port de commutateur (802.3)association (802.11)

Composants :• système à authentifier (supplicant ) : qui demande l'accès au réseau

• système authentifiant ou relais d’authentification (authenticator ) :• contrôle l’accès au réseau• ne fait que relayer les échanges d’authentification avec le serveur

• serveur d'authentification : détermine si le système à authentifier est autoriséà accéder au(x) service(s) dont l'accès est contrôlé par le relais


802.1X : port contrôlé et port non contrôlé

Réseau local

Portcontrôlé

Port noncontrôlé

Pointd’attachement

Port nonautorisé

Réseau local

Portcontrôlé

Port noncontrôlé


Port autorisé


802.1X : authentification

Portcontrôlé

Port noncontrôlé


Autorisation

Systèmeà

authentifier

Serveurd’authentification


Réseau local

EAP


EAP

EAP : Extended Authentication Protocol (RFC 2284 puis 3748)

• développé à l'origine pour l’authentification des utilisateurs se connectant en PPP sur des serveurs d’accès distants

• permet d'encapsuler différents protocoles d'authentification et donc de ne pas les implémenter dans le serveur RAS, qui les relaie vers un serveur d'authentification

• l'authentification elle-même repose sur des « méthodes »(protocoles) définies par ailleurs et encapsulées dans EAP


Méthodes EAP

LEAP, TLS, TTLS, PEAP, EAP-FAST

LEAP (Lighweight EAP)• Propriété Cisco

• Authentification mutuelle du client et du serveur par MS-CHAPv1

• Clés dynamiques dérivées des échanges MS-CHAP

• Problèmes de sécurité liés à l’utilisation de MS-CHAPv1 => obsolète

TLS• RFC 2716

• Authentification mutuelle du client et du serveur par certificats X.509

• Permet de dériver des clés de chiffrement

• Méthode d’authentification de facto pour 802.11i


Méthodes EAP (suite)

TTLS• draft-ietf-pppext-eap-ttls-05

• Authentification du serveur par certificat X.509

• Utilisation du tunnel chiffré TLS pour faire passer un autre protocole d’authentification : PAP, CHAP, MD5, MS-CHAP…

• authentification interne par AVP (paires attribut-valeur)

PEAP (Protected EAP)• ≈ TTLS

• Utilisation du tunnel chiffré TLS pour faire passer un autre échange EAP (EAP over EAP)

Avantage / TLS : possibilité de réutiliser les systèmes d’authentification existants (annuaire LDAP par exemple)

EAP-FAST (Cisco) : fait pour accélérer la réauthentification lors d’un handover


802.1X : protocoles

Station Point d’accèsServeur

d’authentification

EAP-TLS, EAP-TTLS...

EAP

802.1X (EAPoL)RADIUS

802.11

UDP / IP

802.3

Station Point d’accèsServeurd’authentificationEAP over LAN EAP over RADIUS


802.1X : EAPoL

définit EAPoL : EAP over LANencapsulation des paquets EAP sur les réseaux 802

• champ Type Ethernet = 0x888E

4 types de message :

• EAP-Start : envoyé au PA par la station qui veut démarrer l’authentification

• EAP-Logoff : envoyé par la station, le port est remis dans l’état non autorisépar le PA

• EAP-Packet : transporte les informations d’authentification

• EAP-Key : pour transmettre une clé entre le PA et la station


RADIUS

Remote Authentication Dial In User Service

originellement (RFC 2138 -> 2865) défini pour le transport d’informations d’authentification et de configuration entre un serveur d’accès distant et un serveur d’authentification


RADIUS (suite)

Utilise le port UDP 1812

repose sur un secret partagé entre le serveur et le client (ici le point d’accès)

Les messages EAP sont encapsulés dans 4 types de trames :• messages point d’accès -> serveur : Access Request

• messages serveur -> point d’accès relayés vers la station : Acess Challenge

• messages serveur -> point d’accès indiquant que l’authentication a réussi : Access Accept

• messages serveur -> point d’accès indiquant que l’authentication aéchoué : Access Reject

RADIUS -> DIAMETER (RFC 3588 9/2003)• site officiel : http://www.diameter.org/

• logiciel open source : http://www.opendiameter.org/


802.1X : dialogue EAP

Station Point d’accès Serveurd’authentification

EAP Request/Identity

Access Accept

Access Request - EAP Response/Identity

Authentification (dialogue EAP)

EAP Response/Identity

EAP Success

802.1X / EAPoL RADIUS

EAPoL-Key




802.1X : dialogue EAP- authentification

4 types de paquets EAP :Request, Response, Success, Failure


Access Challenge - EAP RequestEAP Request

EAP ResponseAccess Request - EAP Response


Plan (1/2)

Introduction


• Couche physique


• Protocole

• Sécurité• WEP• 802.1X et WEP dynamique

WPA et 802.11i


WPA et 802.11i

Reposent également sur l’authentification 802.1X

Deux modes :• « personnel » pour environnements SOHO

• « entreprise » pour les structures plus importantes

Gestion et distribution des clés

Deux nouveaux mécanismes de chiffrement :• TKIP (WPA)

• CCMP (802.11i)


WPA/802.11i : principe

Authentification de la station par le serveur d’authentification avant que le point d’accès ne lui accorde l’accès au réseau

=> dérivation d’une clé maîtresse connue du serveur et du client (et d’euxseuls)

clé maîtresse => dérivation d’une clé maîtresse « pair à pair » (PMK)• par la station• fournie par le serveur au point d’accès

PMK => dérivation des clés de session (unicast, multicast)

Authentification du serveur par la station• important dans l’environnement sans fil (points d’accès sauvages)


WPA/802.11i : fonctionnement


Découverte de la politique de sécurité

Authentification 802.1X

Distribution clé (RADIUS)Distribution clé (802.1X)

Liaison chiffrée établie

Phase 1

Phase 2

Phase 3

Phase 4


WPA/802.11i : phase 1

Mode d’authentification = ouvert

Le point d’accès annonce les politiques de sécurité supportées dans les trames Beacon et Probe Response

RSNA : Robust Security Network Association

Ajout d’un champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response

Le champ RSN IE décrit :• le type de chiffrement du trafic unicast et multicast :

• WEP-40, WEP-104, TKIP, CCMP (défaut)

• la méthode d’authentification et de gestion des clés :• 802.1X (défaut), clé pré-partagée


WPA/802.11i : phase 1 (suite)

Probe Request

Probe ResponseRSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X

Authentification Open System

Authentification Open System (succès)

Association RequestRSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X

Association Response (succès)


WPA/802.11i : phases 2 et 3


EAP Request/Identity

Access Accept (+ PMK)


Authentification (dialogue EAP)Dérivation de la clé maîtresse

Dérivation PMK Dérivation PMK

EAP Response/Identity

EAP Success


Génération clés de session


WPA/802.11i : phases 2 et 3

Génération des clés (suite) :

procédure dite 4-way handshake : échange de 4 messages EAPoL-Key qui permettent de:

• s’assurer que le client détient bien la PMK

• de dériver un ensemble de clés de chiffrement et d’intégrité• à partir de la PMK, des adresses MAC du client et du point d’accès de deux

nombres aléatoires

• de chiffer le transport de la clé de groupe


WPA/802.11i : mode « personnel »

destiné aux réseaux adhoc et réseaux personnels (à domicile)

même mécanisme de découverte de la politique de sécurité

pas d’authentification 802.1X

clé pré-partagée est dérivée d’un mot de passe et sert directement de PMK

même procédure de 4-way handshake

mêmes techniques de chiffrement : TKIP CCMP


TKIP

Temporal Key Integrity Protocol

Amélioration de WEP

Chiffrement RC4 (pour pouvoir utiliser les mêmes puces)

Clé de chiffrement des trames est dérivée d’une clé maîtresse (<> WEP où la clé maîtresse chiffre directement les trames)

Une clé différente pour chaque trame

Ajout d’un numéro de séquence pour contrer les attaques par rejeu

Ajout d’une séquence de contrôle d’intégrité (y compris sur adresse source)


802.11i : nouveautés par rapport à WPA

Chiffrement CCMP• Counter Mode with CBC-MAC Protocol

• Sans souci de compatibilité avec WEP => nouvelles puces

• Chiffrement AES

Pré-authentification (pour le handover)


Plan (2/2)

Architecture de réseau• réseau sans fil isolé du réseau filaire

• portail web d’accès

• affectation dynamique de VLAN

• points d’accès virtuels

• commutateur sans fil

• passerelle de sécurité

• choix de mise en œuvre


Outils


Avant de commencer

Spécifications du projet : un réseau sans fil…

où ça ?• dans des zones précises : bibliothèque, cafétéria…• dans l’ensemble du/des bâtiments• et aussi dans le parc ?

pour qui ? nombre et type d’utilisateurs• personnel permanent• invités (ayant à travailler avec le labo)• gens de passage : colloques, formations…

pour quoi faire ?• au minimum : offrir un accès internet• un peu plus : accès à une imprimante locale• au maximum : accès à l’ensemble des ressources du réseauEn général, tout ça en même temps pour différentes catégories d’utilisateurs

avec quels équipements ?• type de plate-forme : matériel, système d’exploitation


Plan (2/2)

Architecture de réseauréseau sans fil isolé du réseau filaire








Outils


Réseau sans fil isolé du réseau filaire

Réseaufilaire

Réseausans fil

Pare-feu Internet

Dispositif decontrôle d’accès

Tous les PA dans le même VLAN



C-R

DMZ

Serveurs

Clients

Réseauextérieur

Sans fil

C-R

DMZ

Serveurs

Clients

Réseauextérieur

GB

DMZ

Sans fil



Zone(s)semi-ouverte(s)

Réseau interne

Réseau sans fil

Internet

Accès client vers InternetAccès services externes : publics (DNS, HTTP…)

sur authentification (HTTPS, IMAPS, SMTPS…)

Réseau local



accès aux équipements actifs :• autorisé depuis le réseau filaire

• interdit depuis le réseau sans fil

accès autorisés du réseau sans fil vers le réseau filaire :• au serveur DHCP

• aux serveurs DNS

• aux services publics (web etc.)

• aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS, SSH… (pour les utilisateurs internes)

accès du sans fil vers le reste de l’internet • peut être limité à certains ports (sans être trop restrictif)

• empêcher les connexions entrantes



Accès supplémentaires possibles pour les utilisateurs identifiés via VPN

RéseauSans fil

RéseauSans fil

InternetInternet

Réseau dulaboratoire

ConcentrateurVPN


Réseau sans fil isolé du réseau filaire + VPN

Solution (presque) idéale pour les petites structures

Inconvénient (de taille) : absence de contrôle d’accès au réseau sans fil• risque dépendant de l’environnement• possibilité d’utilisation illicite des réseaux de la recherche• responsabilité vis-à-vis de Renater et d’Internet en général

Améliorations possibles :• WEP

• ≈ réseau ouvert• mais personne ne peut s’y connecter par hasard• panneau « Accès réservé »

• OK pour une petite structure (quelques bornes), au-delà problème de gestion des clés


Réseau sans fil isolé du réseau filaire + VPN

Améliorations possibles (suite):• contrôle d’accès par adresse MAC

• peut être local à la borne• ou centralisé sur un serveur RADIUS

Mise en œuvre avec un serveur RADIUS :• Le PA envoie une requête Access-Request avec :

User-Name et User-Password : adresse MAC de la station

• Fichier users :00904b1d9fd8 Auth-Type:=Local,

User-Password="00904b1d9fd8"

Avantage de ces solutions : fonctionnent avec tous les clients


Plan (2/2)


portail web d’accès







Outils


Portail web d’accès

« portail captif »

Logiciels libres :• NoCat (http://nocat.net/)

• NoCatAuth : version originale en Perl• NoCatSplash : portage en C

• M0n0wall (http://m0n0.ch/wall/)

• talweg (http://sourcesup.cru.fr/talweg/)


Portail web d’accès : fonctionnementRéseau public Réseau dont

on veut contrôlerl’accès

@ IP (DHCP)

HTTP

Login ?Passwd ?

Authentification ?

Nom d’utilisateur et mot de passe


Succès de l’authentification

Autorisationd’accès

Routeur ou pont


Portail web d’accès : fonctionnement

L’autorisation d’accès au réseau se fait par modification des règles de filtrage

Fin d’autorisation d’accès ?

• bouton « déconnexion » : pas forcément utilisé

• par requêtes ARP ou ICMP périodiques

Protection des échanges

• les données d’authentification doivent être échangées en HTTPS

• le reste du trafic n’est pas protégé => recommandations aux utilisateurs

Solution satisfaisante

• pour l’accueil des visiteurs

• parce qu’elle fonctionne avec tous les clients


Plan (2/2)



affectation dynamique de VLAN






Outils


Affectation dynamique de VLAN

La séparation réseau sans fil / réseau filaire• a été imposée par des contraintes de sécurité

• compte tenu des fonctionnalités des premiers matériels

Aujourd’hui les réseaux filaires sont segmentés en VLAN• permet d’attribuer des droits différents à des groupes d’utilisateurs

différents

• avec les limites du VLAN par port (VLAN visiteur ?)

Affectation dynamique de VLAN• prolonger la structure du réseau filaire sur le réseau sans fil

• avec des mécanismes adaptés aux réseaux sans fil



VLAN 1Ex : visiteurs

VLAN 2Ex : permanentsTag 802.1Q

VLAN 1

VLAN 2

Point d’accèssans fil

CommutateurEthernet


Utilisateur 1VLAN 1

Utilisateur 2VLAN 2



Repose sur l’authentification 802.1X

le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le message Access-Accept

Tunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=<numéro de VLAN>

Fonctionne sur le filaire comme sur le sans fil :

• un commutateur Ethernet affecte le port auquel est connecté le client dans le VLAN retourné par le serveur RADIUS

• un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN correspondant à l’utilisateur

Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès (nomadisme sur un campus)



Réseaudu labo

VLAN par défaut

PA


Authentification802.1X

Pare-feu

Portail d’accèsweb

Pas d’authentification802.1X



On peut avoir des fonctionnalités ~ équivalentes à celles des VLAN filaires sur le sans fil à deux conditions :

• un BSSID par VLAN : une station ne traite les trames adressées à des adresses de groupe que si le BSSID est celui du PA auquel elle est associée

• clés de groupe différentes pour chaque groupe d’utilisateurs : pour que les trames ne puissent pas être déchiffrées par toutes les stations


Plan (2/2)




points d’accès virtuels





Outils


Points d’accès virtuels

Chaque PA peut émettre plusieurs SSID

A chacun de ces SSID est associé :• un VLAN sur le réseau filaire

• une méthode et un serveur d’authentification

Permet de gérer plusieurs réseaux administrativement distincts sur la même infrastructure

Permet d’avoir un BSSID par VLAN

Possibilité d’affecter ensuite dynamiquement le VLAN en 802.1X ?


Points d’accès virtuels

SSID 1

SSID 2

Point d’accèssans fil

VLAN 1Auth : portaild’accès web

VLAN 2Auth : MAC adresseTag 802.1Q

VLAN 1

VLAN 2

CommutateurEthernet


Plan (2/2)





commutateur sans fil




Outils


Commutateur sans fil

Aussi appelé « contrôleur »

Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace (racheté par Cisco)

Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil

Un certain nombre de fonctions habituellement gérées dans les points d’accès sont déportées sur le commutateur

• authentification

• association

• chiffrement

• interconnexion avec le réseau filaire

=> notion de point d’accès « léger »


Commutateur sans fil

Fonctionnement : établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur

La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser à l’IETF

• LWAPP (Airespace/Cisco)

• CAPWAP

• SLAPP (Trapeze, Aruba)

Solutions propriétaires :• fonctionnent avec les points d’accès fournis par le constructeur

• même si acceptent généralement les PA d’autres constructeurs• perte de la plupart des fonctionnalités intéressantes


Commutateur sans fil : niveau physique

Points d’accès CommutateursEthernet Commutateur

sans fil

Tunnels


Commutateur sans fil : niveau logique

Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux points d’accès

Points d’accès

SSID 1

SSID 2

SSID 1

SSID 2

VLAN 1

VLAN 2

Commutateursans fil

Tag 802.1Q

Réseaufilaire

Tunnels

Réseausans fil


Commutateur sans fil : gestion de la radio

Ajustement dynamique de la puissance et du canal de chaque pointd’accès

autocalibration du réseau radio ?

Les points d’accès peuvent ou non fonctionner simultanément en mode sonde

• Détection des interférences

• Détection / neutralisation des points d’accès sauvages

Détection des réseaux ad hoc

• Détection d’attaques 802.11 classiques

• Localisation géographique des points d’accès et des clients


Commutateur sans fil : gestion de la radio

Gestion de la bande passante par utilisateur(s), par application, par VLAN

Possibilité d’interdire les communications directes entre clients

• Equilibrage de charge entre points d’accès adjacents

Possibilité d’affecter des priorités aux différents flux

Gestion de la mobilité


Authentification et contrôle d’accès

Portail

802.1X, EAP, TLS, TTLS…

VPN IPsec et SSL

Base interne / externe (LDAP, AD…)

Fonctions de contrôle d’accès + ou - sophistiquées :• filtrage IP• pare-feu stateful• par utilisateur, groupe d’utilisateurs, VLAN

Système de détection d’intrusion embarqué


Administration et supervision

Gestion centralisée des points d’accès• configurations• mises à jour logicielles

Détection et configuration automatique des points d’accès

Tableau de bord, statistiques (par station, par point d’accès, globales…)

Plan de site avec localisation des points d’accès


Plan (2/2)






passerelle de sécurité



Outils


Passerelle de sécurité

Constructeur : exemple Ucopia

Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil

solution non spécifique aux réseaux sans fil

• fonctionne avec tous les PA

• Commutateur sans fil traite les trames 802.11 émises par les stations

• Passerelle traite les trames 802.3 émises par les points d’accès

agrégat de fonctions permettant de gérer les utilisateurs mobiles, visiteurs…


Passerelle : exemple Ucopia

logiciel sur PC/Linux équipé de 2 interfaces réseau, intégrant un certain nombre de briques de logiciels libres

se place en coupure de réseau • physique ou logique

possibilité d’avoir plusieurs SSID par bornes (si elles le supportent)• et d’y associer des méthodes d’authentification différentes

• chaque SSID est associé à un VLAN en sortie de la borne

• VLAN peut être redéfini en fonction du profil de l’utilisateur en sortie de la passerelle


Passerelle : exemple Ucopia

Points d’accès

SSID 1

SSID 2

SSID 1

SSID 2

VLAN 1

VLAN 2

Réseaufilaire

Réseausans fil

Passerelle

VLAN 3

VLAN 4


Passerelle Ucopia : authentification et contrôle d’accès

Authentification• par nom d’utilisateur et mot de passe en HTTPS

• 802.1X / EAP-TLS, TTLS, PEAP

• par carte à puce (EAP-SHA1, développement propre)

• serveur RADIUS embarqué (peut être configuré en proxy vers un autre serveur RADIUS)

Contrôle d’accès• fonction du profil de l’utilisateur

• par mise en place de filtres correspondant au profil de l’utilisateur sur le contrôleur pour la durée de la connexion (iptables)

• possibilité d’affecter un VLAN en fonction du profil de l’utilisateur en sortie du contrôleur


Passerelle Ucopia

Serveur VPN IPsec (FreeS/WAN)

« Zéro configuration » : reconnaissance et redirection de certains flux• SMTP -> serveur de messagerie local• HTTP • impression : par l’intermédiaire du serveur d’impression embarqué

Gestion des points d’accès : par SNMP• configuration• stockage et traitement des logs


Plan (2/2)







choix de mise en œuvre


Outils


Choix de la méthode EAP

méthode EAP fondée sur TLS pour :• authentification du serveur par le client

• protection des informations d’identité de l’utilisateur

• la génération de clés de session robustes

=> EAP-TLS, EAP-TTLS, PEAP

EAP-TLS• pour :

• le plus largement supporté• client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3• le CNRS dispose d’une IGC

• contre :• il faut distribuer des certificats à tous les utilisateurs


Choix de la méthode EAP

EAP-TTLS• pour :

• permet de réutiliser les bases d’authentification existantes (LDAP, AD…)

• contre :• nécessite un client spécifique pour Windows

• SecureW2 (http://www.securew2.com/)

PEAP• à envisager dans un environnement « tout Windows »


Choix de la méthode de chiffrement

Ne pas être maximaliste

WEP dynamique : raisonnable

TKIP : si on peut le faire, tant mieux

CCMP : prématuré


Serveur d’authentification

Serveur RADIUS • de multiples implémentations commerciales

• open source : FreeRadius

• Microsoft IAS (Internet Authentication Server)

FreeRadius• http://www.freeradius.org/

• liste de diffusion : [email protected] (verbosité ++)

• Linux, FreeBSD, NetBSD, Solaris

• authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et d’autres

• autorisation : fichier local, LDAP (OpenLDAP), base SQL


FreeRadius : configuration

Fichiers de configuration : $INSTALL_DIR/etc/raddb

radiusd.conf, eap.conf, clients.conf et users

radiusd.conf : généralités• adresse, port

• logs

clients.conf :client 194.57.138.2 {

secret = monalisashortname = bsf2nastype = other

}



eap.conf :tls {# private_key_password = whatever

private_key_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem

certificate_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem

CA_file = ${raddbdir}/certs/LOCAL/CA.pemdh_file = ${raddbdir}/certs/LOCAL/dhrandom_file = /dev/urandom

# fragment_size = 1024# include_length = yes# check_crl = yes

check_cert_cn = %{User-Name}}



users :• ## CN des utilisateurs autorises a se connecter avec certificat#'Catherine Grenet'

Tunnel-Type = 13,Tunnel-Medium-Type = 6,Tunnel-Private-Group-Id = 12

## La ligne suivante permet de refuser l'acces aux utilisateurs# qui ne sont pas dans la liste ci-dessus#DEFAULT Auth-Type := Reject

test : radiusd –X


Plan (2/2)









Outils


Propagation


Transparence


Interférences


Interférences


Couverture


Construction du réseau


Classes d’usage


Classes d’usage


Plan des fréquences


Réglage des PA


802.3af

Power Over Ethernet (PoE)

permet de fournir une puissance inférieure à 15 W sous 48 V en courant continu sur le câble Ethernet

transporté

• soit sur les deux paires qui transportent les données (1-2 et 3-6)

• soit sur les deux paires inutilisées (4-5 et 7-8)

L’alimentation peut être fournie :

• soit par le commutateur Ethernet

• soit par un injecteur


802.3af

Commutateur

Commutateur Injecteur

Point d’accèsCâbles RJ-45


Plan (2/2)









Outils


Outils

Analyseur de spectre

Scanner actif• Netstumbler (Windows) : http://www.netstumbler.com/

• iStumbler (Mac OS X) : http://istumbler.net/


Outils : scanners et analyseurs

Scanners passifs et analyseurs fonctionnent sur une carte réseau en mode RFMON

• permet de capturer tous les paquets 802.11 • ≈ mode « promiscuous » pour une carte Ethernet

• RFMON = mode écoute seulement (<> Ethernet)

Kismet : http://www.kismetwireless.net/• Linux

• détection des points d’accès

• capture du trafic

WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/

Ethereal sous Linux (pas de mode RFMON sous Windows)


Bibliographie succinte

Daniel Azuelos, Architecture des réseaux sans fil, 2005, http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf

Matthew Gast, 802.11 Réseaux sans fil, 2e édition, O’Reilly, 2005

Luc Saccavini, Le protocole IEEE 802.1X, 2003,http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf

Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE 802.11i Overview, 2002

Documents

Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents