Architecture d’un réseau802.11

stephane.frati@unice.fr

Objectifs

� Localiser un réseau wireless (scanning)

� Authentification & Association� Architecture et Services Sets� Économie d’énergie (Power Management)

Localiser un réseau wireless

� Comment découvre-t-on la présence d’un réseau wireless ?

� des trames balises (beacons) de signalisation vont permettre � aux points d’accès de s’annoncer� et aux stations mobiles de rester synchronisées

Balises ou Beacons(Beacon Management Frame)

�Les trames balises � sont périodiquement émises

�par les points d’accès en mode infrastructure�par des stations en mode ad-hoc

� contiennent des caractéristiques du réseau wireless écouté

Beacons(Beacon Management Frame)

� Les trames balises contiennent le� Service Set Identifier (SSID)

� Nom du réseau (unique, case sensitive)� Valeur alphanumérique (2�32 caractères) unique� Renseignée par l’administrateur� Doit être identique sur le client et le point d’accès� Identique dans un groupe de points d’accès si on veut de la mobilité (roaming)

� Valeur spéciale “any“� Valeurs initiales connues chez certains constructeurs(Cisco�tsunami)

� Sont envoyés dans les beacons, probe requests, probe responses, …

� NB: l’administrateur pourra décider de le masquer pour des raisons de sécurité

Balises ou Beacons(Beacon Management Frame)

�Les trames balises contiennent des informations de synchronisation de temps�Time Synchronisation

�Physical timestamp�Permet à tous les clients de synchroniser leur horloge sur celle du point d’accès

�Important pour les séquences de saut de fréquence par exemple

�Beacon interval : quand s’attendre au prochain beacon

Balises ou Beacons(Beacon Management Frame)

�Les trames balises contiennent un�Ensemble de paramètres DS ou FH

�FH �Hopping Dwell time�Hop sequence

�DS�Chanel (canal)

Balises ou Beacons(Beacon Management Frame)

�Les trames balises contiennent un�Traffic Information Map (TIM)

�pour « power saving »�quand des paquets sont en attente dans la queue du point d’accès

�la station s’éveillera pour écouter le TIM puis se remet en sommeil si elle n’est pas listée

Balises ou Beacons(Beacon Management Frame)

�Les trames balises contiennent� la liste des débits/vitesses supportés

�11, 5.5, 2, 1 par exemple pour du 802.11b

Les Beacons � scanning

� permettront aussi l’écoute du support passive

� attente d’une trame balise� en boucle sur chaque canal

� active� envoi d’une trame de requête (Probe Request Frame) � Avec le SSID du réseau recherché� Avec un broadcast SSID

� et attente de la réponse contenant les caractéristiques du point d’accès

Sélection du point d’accès pour rejoindre le réseau

� Écoute des trames balises� Choix du point d’accès :

� puissance du signal, � taux d’erreur (BER), � (charge, débits supportés, …)

� Le client utilise l’adresse MAC de la trame balise du point d’accès qu’il a sélectionné pour envoyer une trame d’authentification dans l’espoir de s’associer avec ce point d’accès

� … continuera à écouter s’il peut obtenir une meilleure liaison sur un autre point d’accès… � overlapping des zones de couverture radio (20-30%) pour un roaming"naturel"

Qu’est-ce que l’association ?

� Association: le fait que le point d’accès et la carte réseau dialoguent pour s’identifier mutuellement et fixer les paramètres de leurs échanges. Le client règle alors sa fréquence sur celui du point d’accès

� Le client régulièrement scrutera les 14 canaux pour vérifier si un autre point d’accès est disponible avec des paramètres plus avantageux ( bande passante et tauxd’erreur)

� En cas de points d’accès multiples, le client pourra:- s’associer au plus performant- s’associer à celui assigné par l’administrateur

Les différents états d’« autentification & association »

� 1-Autentification� première étape obligatoire� plusieurs mécanismes� Accomplie dans le point d’accès ou à l’extérieur sur un serveur d’autentification centralisée (RADIUS)

� 2-Association� Quand associé, le client est « connecté » sur le réseau et peut commencer à émettre des données

� États possibles� « unauthenticated & unassociated »� « authenticated & unassociated »� « authenticated & associated »

Authentification : deux mécanismes

� open system authentication� mode par défaut � ne constitue pas un réelle authentification

� shared key authentication� véritable mécanisme d’authentification, � repose sur le WEP (Wired Equivalent Privacy)� mais repose sur une clef secrète partagée donc peu « sécurisé”

open system authentication

� Le plus simple : comportement par défaut � Plus sécurisé que « shared key »…� Peut s’utiliser avec du WEP mais la clé ne sert alors qu’à l’encryption

shared key authentication

� Attention : la clé WEP sert à la fois à l’encryption du challenge d’autentification… mais aussi à l’encryption des données…

� Ce mode est donc déconseillé

Associations & Réassociations

� Gestion de la mobilité� Le client passe

� D’un point d’accès à un autre� � d’une cellule à une autre

� Communication entre les points d’accès via canal de distribution (DS)

� Protocole IAPP : Inter-Access Point Protocol(IEEE 802.11f)

Gestion de la mobilité

� Association� utilisation d’un identifiant : SSID (Service Set ID) qui définit le réseau

� Le SSID émis régulièrement en clair par l’AP dans une trame balise (constitue une faille de sécurité)

� Réassociation� similaire à l’association, effectuée lors de changements des caractéristiques de l’environnement (déplacement, trafic élevé)

Écoute (1)

Authentification (2)

Association (3)

Probe request

Probe response

Mécanisme

d’authentification

Association request

Association response

Les « handovers »

� mécanisme permettant à un dispositif mobile de changer de cellule sans que la transmission en cours ne soit interrompue

� possible que si les cellules voisines se recouvrent� non défini dans la norme IEEE 802.11 ni 802.11b (WiFi)

Rupture detransmission

Service demobilité

Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f)

�défini à l’origine par Lucent puis intégré à la norme 802.11f� protocole de niveau transport (couche 4) qui se place au-dessus de UDP (User DatagramProtocol) : protocole sans connexion

� utilise le protocole RADIUS pour permettre des handovers sécurisés (RADIUS : RemoteAuthentication Dial-In User Service)

� serveur centralisé ayant une vue globale du réseau : il connaît la correspondance entre adresses IP et MAC

BSS BSS

Internet

ESS

DS

station

stationstation

station

station

passerelle

serveurRADIUS

clientRADIUS client

RADIUS

Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f)

Gestion de la mobilité

serveurRADIUS

Étape 3 : Handover

Étape 2 :Authentification

Étape 1 :réassociation

pointd’accès

pointd’accès

Scénario de « Handover »

Réassociation (1)

Authentification (2)

Handover (3)

Reassociationrequest

Reassociation

Authentication request

Handoverrequest Handover

response

Authentication accept

Architecture

� architecture cellulaire� similaire à la téléphonie mobile : téléphones + stations

� un ou plusieurs points d’accès : unifier le réseau et servir de pont

� deux types de topologies�mode infrastructure

�BSS : Basic Service Set�ESS : Extended Service Set

� mode ad-hoc� IBSS: Independent Basic Service Set

Le mode infrastructure : BSSLe mode infrastructure désigne un réseau composéd’une infrastructure permettant l’échange d’informations entre les stations L’infrastructure est représentée par le point d’accès

1 cellule = 1Basic Service Set (BSS) = 1 point d’accès10 stations : support partagéentre toutes les stations, ainsi que le débit (11 Mbits/s)

BSS

Le mode infrastructure : ESS

Extended Service Set : plusieurs points d’accès (BSS) connectés entre eux par un système de distribution (DS)DS : Ethernet ou un autre réseau WLANFourniture d’accès vers un autre réseau : Internet

BSS BSS

Internet

ESS

DS

Le mode infrastructure : ESSTopologie ESS variable : cellules recouvrantes ou nonles cellules recouvrantes permettent d’offrir un service de mobilité (IEEE 802.11f) : pas de perte de la connexionplus grand nombre d’utilisateurs possibles sans une dégradation trop importante des performances

Rupture detransmission

Service demobilité

Réseau ambiantpermet de se connecter à Internet de partoutconstitué de nombreuses cellules qui possèdent chacune un point d’accès (attention aux interférences et recouvrements de canaux…)les points d’accès sont reliés entre eux par un réseau d’infrastructure (Ethernet, GigE, IEEE 802.17, etc.)

Le mode ad-hoc : IBSSIndependent Basic Service Set : mode point-à-pointPermet l’échange d’informations lorsque aucun point d’accès n’est disponible

IBSS

Le mode ad-hoc3 stations en mode ad-hoc : différent d’un réseau ad-hoc de trois stationsIl n’y a pas de protocole de routage : A ne peut pas envoyer de données à C car B ne peut effectuer le routage

A

B

C

3 stations en mode ad-hoc

impossible

Le mode ad-hocune station peut partager un accès à Internet : le réseau fonctionne comme un BSSC.F. fonctionnement de notre passerelle durant le TP

IBSS

Internet

Connexion partagée

Économie d’énergie Challenge pour les stations mobiles

� Modes pour optimiser l’utilisation de l’énergie disponible :� continuous aware mode (CAM): mode par défaut, pas d’économie d’énergie

� power save polling mode (PSP): mode économie d’énergie (en réseau BSS ou IBSS)�Le point d’accès tient une liste de toutes les stations en mode économie d’énergie,

�il stocke toutes les données qui leur sont adressées,�régulièrement, les stations s’éveillent pour recevoir une trame balise (avec TIM ou ATIM) indiquant si des données leur sont adressées,

�si oui, les stations récupèrent leurs données puis retournent en mode veille jusqu’à la prochaine balise.

Illustration du mode PSP dans le cadre d’un réseau en BSS