paul fonsny architecture réseau & sécurité institut pasteur
TRANSCRIPT
1
Architecture des réseaux sans fil
Paul FonsnyArchitecture réseau & sécurité
Institut Pasteur
05 septembre 2010
Architecture des réseaux sans fil PFO 2010
2Du 802.11 au 802.11n
Fonctionnement 5Ondes électro-magnétiques …………………… 6Spectre électro-magnétique…………………… 7802.11b ……………………………………… 8802.11b : canaux ……………………………… 9Connexion …………………………………… 10Débits ………………………………………… 12Types de réseaux ……………………………… 13Mobilité ……………………………………… 14802.11a ……………………………………… 15802.11a : canaux ……………………………… 16802.11a : avantages & inconvénients ………… 17802.11g ……………………………………… 18OFDM ………………………………………… 19802.11a ou 802.11g ? ………………………… 20Wi-Fi ………………………………………… 21Réglementation ……………………………… 22
Déploiement 23Propagation …………………………………… 25Transparence ………………………………… 26Interférences ………………………………… 27Couverture …………………………………… 29Antennes ……………………………………… 30Intégration dans l’ordinateur ………………… 32Inadéquation des batteries …………………… 33Configuration client…………………………… 34Classes d’usage ……………………………… 37
Architecture des réseaux sans fil PFO 2010
Plan des fréquences ……………………………39Réglage des PA ………………………………40Gestion des PA ………………………………42802.3af …………………………………………43
Sécurité 44Sécurité des personnes…………………………45Sécurité des réseaux……………………………47Contrôle d’accès ………………………………48WEP : un extincteur vide………………………49Extranet ………………………………………50Filtrage…………………………………………51Audit …………………………………………52Syndrome Maginot ……………………………55Guerrier des ondes en décapotable ……………57Améliorer la sécurité des réseaux ……………58802.1X …………………………………………60802.11i …………………………………………62RADIUS : principe ……………………………64RADIUS : installation …………………………66RADIUS : configuration ………………………67EAP ……………………………………………70Portail web d’accès ……………………………71Utilisation d’IPSEC ……………………………73Nomadisme ……………………………………74Communication ………………………………75
Futur 76Évolutions ……………………………………77
3Conseils pratiques …………………………… 78
Annexes 79Loi de Shannon ……………………………… 80Réflexion, absorption ………………………… 81Diagramme de rayonnement ………………… 82Glossaire ……………………………………… 83Sécurité des personnes………………………… 85Constructeurs ………………………………… 86Listes de diffusion …………………………… 87
Architecture des réseaux sans fil PFO 2010
4La norme 802.11 s’attache à définir les couches basses du modèle OSI pour une liaison sans fil utilisant des ondes électromagnétiques, c’est-à-dire :
• la couche physique (notée parfois couche PHY), proposant trois types de codage de l’information ; • la couche liaison de données, constituée de deux sous-couches :
• le contrôle de la liaison logique (Logical Link Control, ou LLC) ; • le contrôle d’accès au support (Media Access Control, ou MAC).
La couche physique définit la modulation des ondes radioélectriques et les caractéristiques de la signalisation pour la transmission de données, tandis que la couche liaison de données définit l’interface entre le bus de la machine et la couche physique, notamment une méthode d’accès proche de celle utilisée dans le standard Ethernet et les règles de communication entre les différentes stations. La norme 802.11 propose donc en réalité trois couches (une couche physique appelée PHY et deux sous-couches relatives à la couche liaison de données du modèle OSI), définissant des modes de transmission alternatifs que l'on peut représenter de la manière suivante:
Couche Liaison dedonnées
802.2 (LLC)802.8 (MAC)
Couche Physique(PHY) DSSS FHSS Infrarouges
Il est possible d’utiliser n’importe quel protocole de transport sur un réseau 802.11 au même titre que sur un réseau ethernet.
Architecture des réseaux sans fil PFO 2010
5
FonctionnementRéseaux utilisant des ondes hertziennes pour établir une liaison
entre 2 équipements mobiles.Dénominations :
WLAN : Wireless LAN ;RLAN : Radio LAN ;RLR : Réseau Local Radio ;AirPort : Apple ;Wi-Fi : (ouaille fat) label de qualité ;
→ réseaux sans fil!Principe : onde hertzienne = porteuse
+ transport de données numériques / porteuse.Utilisée pour les transmissions satellite.
Architecture des réseaux sans fil PFO 2010
6
Ondes électro-magnétiquesOndes radios, infra-rouge, visible, ultra-violet, X, γ…
λ× f = c ≈ 3 × 108m ⁄s
E ΑH
Architecture des réseaux sans fil
x
λ
PFO 2010
f (GHz) λ (cm)0,9 33,31,8 16,52,4 12,55,5 5,5
7
Spectre électro-magnétique
g802.11 b DCS
a GSM1021 1018 1015 1012 109 106 Hz
10-12 10-9 10-6 10-3 1 103 m
Architecture des réseaux sans fil PFO 2010
8
Les différentes normes Wi-Fi [modifier]La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbit/s (Wi-Fi est un nom commercial, et c’est par abus de langage que l’on parle de « normes » Wi-Fi). Des révisions ont été apportées à la norme originale afin d’améliorer le débit (c’est le cas des normes 802.11a, 802.11b, 802.11g et 802.11n, appelées normes 802.11 physiques) ou de spécifier des détails de sécurité ou d’interopérabilité. Voici un tableau présentant les différentes révisions de la norme 802.11 et leur signification :
Norme Nom Description
802.11a Wi-Fi 5La norme 802.11a (baptisée Wi-Fi 5) permet d’obtenir un haut débit (dans un rayon de 10 mètres : 54 Mbit/s théoriques, 27 Mbit/s réels). La norme 802.11a spécifie 52 canaux de sous-porteuses radio dans la bande de fréquences des 5 GHz (bande U-NII = Unlicensed '- National Information Infrastructure), huit combinaisons, non superposées sont utilisables pour le canal principal.
802.11b Wi-Fi
La norme 802.11b est la norme la plus répandue en base installée actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s réels) avec une portée pouvant aller jusqu’à 300 mètres (en théorie) dans un environnement dégagé. La plage de fréquences utilisée est la bande des 2,4 GHz (Bande ISM = Industrial Scientific Medical) avec, en France, 13 canaux radio disponibles dont 3 au maximum non superposés (1 - 6 - 11, 2 - 7 - 12, ...).
802.11c Pontage 802.11 vers 802.1d
La norme 802.11c n’a pas d’intérêt pour le grand public. Il s’agit uniquement d’une modification de la norme 802.1d afin de pouvoir établir un pont avec les trames 802.11 (niveau liaison de données).
802.11d InternationalisationLa norme 802.11d est un supplément à la norme 802.11 dont le but est de permettre une utilisation internationale des réseaux locaux 802.11. Elle consiste à permettre aux différents équipements d’échanger des informations sur les plages de fréquences et les puissances autorisées dans le pays d’origine du matériel.
802.11e Amélioration de la qualité de service
La norme 802.11e vise à donner des possibilités en matière de qualité de service au niveau de la couche liaison de données. Ainsi, cette norme a pour but de définir les besoins des différents paquets en termes de bande passante et de délai de transmission de manière à permettre, notamment, une meilleure transmission de la voix et de la vidéo.
802.11f Itinérance ((en)roaming)
La norme 802.11f est une recommandation à l’intention des vendeurs de points d’accès pour une meilleure interopérabilité des produits.
Elle propose le protocole Inter-Access point roaming protocol permettant à un utilisateur itinérant de changer de point d’accès de façon transparente lors d’un déplacement, quelles que soient les marques des points d’accès présentes dans l’infrastructure réseau. Cette possibilité est appelée itinérance ((en)roaming).
802.11g La norme 802.11g est la plus répandue dans le commerce actuellement. Elle offre un haut débit (54 Mbit/s théoriques, 25 Mbit/s réels) sur la bande de fréquences des 2,4 GHz. La norme 802.11g a une compatibilité ascendante avec la norme 802.11b, ce qui signifie que des matériels conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cette aptitude permet aux nouveaux équipements de proposer le 802.11g tout en restant compatibles avec les réseaux existants qui sont souvent encore en 802.11b. Le principe est le même que celui de
la norme 802.11a puisqu'on utilise ici 52 canaux de sous-porteuses radio mais cette fois dans la bande de fréquences des 2,4 GHz. Ces sous-porteuses permettent une modulation OFDM autorisant de plus haut débit que les modulations classique BPSk, QPSK ou QAM utilisé par la norme 802.11g.
Cette modulation OFDM étant interne à l'une des 14 bandes 20 MHz possibles, il est donc toujours possible d'utiliser au maximum 3 de ces canaux non superposés (1 - 6 - 11, 2 - 7 - 12, ...) et ce, par exemple, pour des réseaux différents.
802.11h La norme 802.11h vise à rapprocher la norme 802.11 du standard Européen (Hiperlan 2, d’où le h de 802.11h) et être en conformité avec la réglementation européenne en matière de fréquences et d’économie d’énergie.
802.11i La norme 802.11i a pour but d’améliorer la sécurité des transmissions (gestion et distribution des clés, chiffrement et authentification). Cette norme s’appuie sur l’AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les standards 802.11a, 802.11b et 802.11g.
802.11IR La norme 802.11IR a été élaborée de manière à utiliser des signaux infra-rouges. Cette norme est désormais dépassée techniquement.802.11j La norme 802.11j est à la réglementation japonaise ce que le 802.11h est à la réglementation européenne.
802.11nWWiSE (World-Wide Spectrum Efficiency) ou TGn Sync
La norme 802.11n est disponible depuis le 11 septembre 2009. Le débit théorique atteint les 300 Mbit/s (débit réel de 100 Mbit/s dans un rayon de 100 mètres) grâce aux technologies MIMO (Multiple-Input Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing). En avril 2006, des périphériques à la norme 802.11n commencent à apparaître basés sur le Draft 1.0 (brouillon 1.0) ; le Draft 2.0 est sorti en mars 2007, les périphériques basés sur ce brouillon seraient compatibles avec la version finale du standard. Des équipements qualifiés de « pré-N » sont disponibles depuis 2006 : ce sont des équipements qui mettent en œuvre une technique MIMO d'une façon propriétaire, sans rapport avec la norme 802.11n.
Le 802.11n a été conçu pour pouvoir utiliser les fréquences 2,4 GHz ou 5 GHz. Les premiers adaptateurs 802.11n actuellement disponibles sont généralement simple-bande à 2,4 GHz, mais des adaptateurs double-bande (2,4 GHz ou 5 GHz, au choix) ou même double-radio (2,4 GHz et 5 GHz simultanément) sont également disponibles. Le 802.11n saura combiner jusqu’à 8 canaux non superposés, ce qui permettra en théorie d'atteindre une capacité totale effective de presque un gigabit par seconde.
802.11s Réseau MeshLa norme 802.11s est actuellement en cours d’élaboration. Le débit théorique atteint aujourd’hui 10 à 20 Mbit/s. Elle vise à implémenter la mobilité sur les réseaux de type Ad-Hoc. Tout point qui reçoit le signal est capable de le retransmettre. Elle constitue ainsi une toile au-dessus du réseau existant. Un des protocoles utilisé pour mettre en œuvre son routage est OLSR.
IEEE : 1997 → 802.11 2 Mbit/s1999 → 802.11b 11 Mbit/s2000 → 802.11a 54 Mbit/s théoriques, 27 Mbit/s réels2003 → 802.11g 54 Mbit/s théoriques, 25 Mbit/s réels2003 → 802.11h2003 → 802.11i
2009 → 802.11nStandards spécifiant les méthodes d’accès au medium physiquepermettant la construction de liaison.Medium physique = bande de fréquence : 2,4 GHzUtilisation du medium : DSSS.14 canaux, 11 sont utilisables aux U.S.A., 13 en France : [1 ; 13].Méthode d’accès : CSMA/CA.La méthode d'accès CSMA/CA
Dans un réseau local Ethernet classique, la méthode d'accès utilisée par les machines est le CSMA/CD (Carrier Sense Multiple Access with Collision Detection), pour lequel chaque machine est libre de communiquer à n'importe quel moment. Chaque machine envoyant un message vérifie qu'aucun autre message n'a été envoyé en même temps par une autre machine. Si c'est le cas, les deux machines patientent pendant un temps aléatoire avant de recommencer à émettre.
Dans un environnement sans fil ce procédé n'est pas possible dans la mesure où deux stations communiquant avec un récepteur ne s'entendent pas forcément mutuellement en raison de leur rayon de portée. Ainsi la norme 802.11 propose un protocole similaire appelé CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance).
Le protocole CSMA/CA utilise un mécanisme d'esquive de collision basé sur un principe d'accusé de réception réciproque entre l'émetteur et le récepteur :
La station voulant émettre écoute le réseau. Si le réseau est encombré, la transmission est différée. Dans le cas contraire, si le média est libre pendant un temps donné (appelé DIFS pour Distributed Inter Frame Space), alors la station peut émettre. La station transmet un message appelé Ready To Send (ou Request To Send, noté RTS signifiant prêt à émettre) contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission. Le récepteur (généralement un point d'accès) répond un Clear To Send (CTS, signifiant Le champ est libre pour émettre), puis la station commence l'émission des données.
À réception de toutes les données émises par la station, le récepteur envoie un accusé de réception (ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elles considèrent être celui nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée.
Architecture des réseaux sans fil PFO 2010
9
802.11b : canaux22MHz
depuis le 25/07/2003 France
Europe
États-Unis, Canada Japon
2,4 2,45 2,48 GHzBande ISM (Industrial, Scientific, and Medical).
Architecture des réseaux sans fil PFO 2010
10
ConnexionCarte sans-fil (côté 802.11) ≈ carte Ethernet (côté 802.3).Un équipement actif de réseau sans-fil =
équipement ayant au moins 2 interfaces.Pour les PDA, seule interface.Visibilité radio établissement d’une liaison.⇒Déplacement variabilité du S/B⇒
renégociation de la vitesse utilisable.⇒Éloignement, obstacle perte de la liaison.⇒Techniques d’utilisation d’une bande de fréquence venant destechniques modem : QAM64, OFDM.
Architecture des réseaux sans fil PFO 2010
11
Point d’accès
< 50m
5422
5
AirPort
PAEthernet
commutateurEthernet
débit en Mbit/s vers épine dorsale
Une liaison sans fil 2 cartes AirPort !⇒Raccordement au reste du réseau liaison Ethernet.⇒
Architecture des réseaux sans fil PFO 2010
12
DébitsVariable : 11 Mbit/s ; 5,5 Mbit/s ; 2 Mbit/s ou 1 Mbit/s
adapté automatiquement en fonction du rapport S/B.Débit en ftp binaire ≈ 50 % débit en bit/s.Méthode d’accès CSMA/CA débit divisé par :⇒- le partage du medium,- la diffusion,- les erreurs.Pourquoi CA et pas CD (comme Ethernet) ?
Car les collisions peuvent être cachées.1 PA de réseau sans fil est un répéteur débit monopolisé par le⇒
plus lent (dénis de service).
Architecture des réseaux sans fil PFO 2010
13
Types de réseauxMulti-point ≈ câble Ethernet croisé.On peut être plus de 2 sur le même support (réunion des portées
des différentes cartes participant).
Réseau d’infrastructure : même nom de réseau (SSID),
plusieurs PA (points d’accès), canaux distincts
→ accès / grand espace & nombreux utilisateurs
mobilité.⇒
Architecture des réseaux sans fil PFO 2010
14
MobilitéLa nature de la liaison permet naturellement la mobilité à l’inté-rieur du champ d’une antenne.Au delà, un portable peut passer de l’une à l’autre :
intersection de champs sans interférence (p. 27).⇒
c-9 c-13 réseau filairec-9
c-13 c-9
Architecture des réseaux sans fil PFO 2010
15
802.11aBande de fréquence 5 GHz : [5,15 GHz ; 5,825 GHz],
divisée en :- 3 bandes de fréquence de 100 MHz ;- 12 canaux séparés de 20 MHz.
Technique de modulation :OFDM (Orthogonal Frequency Division Multiplexing),
sur 52 porteuses distinctes (utilisée en xDSL).Débit : 6 → 54 Mbit/s.Méthode d’accès : CSMA/CA.
Architecture des réseaux sans fil PFO 2010
16
802.11a : canaux
mW 20MHz1000500 Europe ≤ 200mW
10050
105,1 5,5 5,9 GHz
Bande UNII (Unlicensed National Information Infrastructure).
Architecture des réseaux sans fil PFO 2010
17
802.11a : avantages & inconvénientsBande de fréquence libre
problèmes de cohabitation à venir.⇒Plages de fréquences et puissances ≠
difficulté d’utilisation pour les voyageurs.⇒Fréquence élevée
⇒ E = h× f : énergie transportée élevée ; énergie consommée élevée (inadapté au portable) ;⇒ absorption élevée (⇒ ⇒ nPA × 2 sur une dimension !) ; puissance rayonnée + élevée.⇒
Canaux séparés possibilité de les utiliser tous en un même point ;⇒
débit & nombre d’utilisateurs élevés ;⇒
puissance rayonnée + élevée.⇒Architecture des réseaux sans fil PFO 2010
18
802.11gBande de fréquence 2,4 GHz : [2,4 GHz ; 2,4835 GHz],
divisée en 3 canaux séparés de 30MHz.Technique de modulation :- CCK ;- OFDM ;- en option CCK/OFDM ou bien PBCC.Débit : 1 → 54 Mbit/s.Méthode d’accès : CSMA/CA.802.11g est compatible avec le 802.11b. Gabarit d’atténuation
plus faible qu’en 802.11b chevauchements à proscrire.⇒En mode compatible utiliser une distance de canaux = 5.
Architecture des réseaux sans fil PFO 2010
19
OFDM
20MHz
fréquence
52 porteuses espacées : f = n × 312,5 kHz nœuds de toutes les porteuses coïncident⇒
n’interfèrent pas entre-elles.⇒Débit sur chaque porteuse plus bas
BER + bas.⇒
Architecture des réseaux sans fil PFO 2010
20
802.11a ou 802.11g ?Les utilisateurs qui tirent le sans-fil sont les utilisateurs nomades
besoin de compatibilité : canaux identiques dans le monde,⇒
802.11g !⇒
En réseau d’entreprise :802.11a → nPA× 8 !802.11b → d < 5 Mbit/s
802.11g !⇒
802.11g !⇒
Architecture des réseaux sans fil PFO 2010
21
Wi-FiWi-Fi ou Wireless Fidelity = fidélité sans-filterme commercial défini par la WECA :
Wireless Ethernet Compatibility Alliance
qui« a pour objectif de promouvoir l’usage de WLAN
basés sur le standard IEEE 802.11 ».Elle n’a fait que ce label de certification
Wi-Fi Alliance.⇒Wi-Fi n’est ni un protocole réseau, ni un standard réseau,
ni une technique de réseau, ni une architecture de réseau,
c’est juste… une marque déposée
Architecture des réseaux sans fil PFO 2010
22
RéglementationL’ARCEP (Autorité de Régulation des Communications Électro-niques et des Postes ex. ART) définit les limites d’utilisation des
fréquences pour des RLAN :arrêté du 25/07/2003 :http://www.arcep.fr/↵
dossiers/rlan/menu-gal.htm- utilisation à l’intérieur des bâtiments : libre, PIRE <100mW ;- utilisation à l’extérieur : 1-7 < 100 mW, 8-13 < 10 mW !Utilisation à la maison : libre (à l’intérieur des bâtiments)
attention aux voisins (perturbation, écoute) !⇒[2400 - 2483,5] MHz libre partout (en Europe) → 01/2011 ?
Architecture des réseaux sans fil PFO 2010
23
Déploiement
Contraintes à respecter :- spatiale : couverture maximale, interférence minimale ;- sécurité : des personnes, des données ;- matérielle : raccordement aux réseaux électrique et Ethernet.Architecture des réseaux sans fil PFO 2010
24
Où déployer ?Un réseau sans fil est un choix pertinent de construction d’accès :- dans un grand espace ;- pour plusieurs portables qui partagent un même espace
mais à ≠ moments ;- loin d’une baie informatique (> 100m) ;- en des zones où le passage de câbles Ethernet n’est pas envi-
sageable (labo. + normes de sécurité, bâtiment classé).Nous construisons 2 types de réseaux sans fil :- réseau interne en libre service
→ bibliothèques, salles de réunion ou conférence ;- extensions de réseaux Ethernet en attente de réfection
ou extension difficile.
Architecture des réseaux sans fil PFO 2010
25
PropagationUne onde électro-magnétique se propage en ligne droite, à
vitesse c ≈ 3 × 108 m s⁄peut être :- réfractée ;- réfléchie ;- diffractée ;- absorbée.
dans le vide. Dans tout autre milieu, elle
Une onde électro-magnétique est absorbée par un circuit réson-nant à sa fréquence : plomb, nos os, O2, l’atmosphère, H2O, lapluie, le maillage du béton armé.Elle interfère avec toute autre onde de fréquence proche
→ battement spatial & temporel.
Architecture des réseaux sans fil PFO 2010
26
Transparence
airboisair humideplastique, verre
eau, végétation
animaux, nous :cloisons en plâtre, brique
bétonverre blindémétal conducteur
Architecture des réseaux sans fil PFO 2010
27
InterférencesS/B
A
c-13x
S/B
A13 9
c-13 c-9x
Architecture des réseaux sans fil PFO 2010
28
Interférences
5 fuites5
5 20 50 5 5
débit en Mbit/s ∆x
Plus la distance à un obstacle ± transparent est petite,
plus la zone d’interférence est grande,plus la zone de diffraction est grande et difforme.
Problématique d’éclairage.
Architecture des réseaux sans fil PFO 2010
29
Couverture60 mW
défaut de : couverturesécurité
bâtimentc-9
c-13
30 mW
c-9
Architecture des réseaux sans fil PFO 2010
30
AntennesOmni-directionnelles (isotrope) :les ondes électro-magnétiques vont dans toutes les directions ;et le rapport signal/bruit décroît presque uniquement géométri-quement (i.e. en 1 ⁄ r2).Directionnelles :les ondes sont dirigées par une ou plusieurs antennes selon une
direction ou bien un secteur angulaire. placement précis, et sensibilité aux réfractions.⇒
Analogie :éclairer un auditorium avec des projecteurs de scène !
Fait vendre plus d’antennes et les services d’un installateur !
Architecture des réseaux sans fil PFO 2010
31
Antennesantennes multiples orientables
PA multiples
Architecture des réseaux sans fil PFO 2010
32
Intégration dans l’ordinateurLes solutions à base de carte PCMCIA ou de carte externe surport USB sont médiocres : la sensibilité maximale d’une an-tenne dipôle replié λ 4⁄ est dans le plan orthogonal à son axe.L’intégration dans les portables est très peu pensée,sauf chez Apple qui tient en ce domaine 4 ans d’avance.Ils ont aussi intégré une antenne dans les ordinateurs fixes,
beaucoup mieux qu’une antenne externecollée à la paroi métallique arrière.L’intégration dans les S.E. est très liée à une fonction rendue vi-tale par le nomadisme :
commutation de réseau et d’environnement.
Architecture des réseaux sans fil PFO 2010
33
Inadéquation des batteriesUne connexion réseau sans fil continue consomme de l’énergie.
Suivant les constructeurs, et la gestion de la batterie,
autonomie : 1 h à 5 h.
Course à la fréquence : !
Intel a du revoir à la baisse sa frénésie de GHz :→ réduction du risque de fonte du cœur de processeur ;
→ utilisabilité décente d’un portable en réseau sans fil.
unité de gestion de l’énergie (PMU) !⇒
Architecture des réseaux sans fil PFO 2010
34
Configuration clientObjectifs : contrôle d’accès & impact minimum sur le parc.
Chaque utilisateur souhaitant connecter un ordinateur à nos ré-seaux doit :- nous communiquer l’adresse MAC (Ethernet ou AirPort) ;- configurer TCP/IP via DHCP.
Nous intégrons cette adresse MAC dans la config. de notre ser-veur DHCP,puis en dérivons (sed(1)) des ACL dans le cas d’AirPort.
Aucun état local à gérer.⇒
Architecture des réseaux sans fil PFO 2010
35
Configuration client / MacOS XAdresse physique =adresse Ethernet.À nous communiquer
→ intégration sur no-tre serveur DHCP.
Architecture des réseaux sans fil PFO 2010
36
Construction du réseau- recherche des zones difficiles de l’espace à couvrir ;- étalonnage du PA dans une zone caractéristique et détermina-
tion d’une couverture correcte pour le débit visé ;- à partir de plans masse de l’espace à couvrir dessiner les zones
couvertes par les PA ;- en fonction de classes d’usageà définir, éventuellement den-
sifier les PA à partir de ce 1er plan ;- faire le plan des fréquences;- faire poser les prises RJ45 & secteur ou bien commutateurs
802.3af (p. 43) à une hauteur d’environ 2 m sans coller au
plafond ;- régler les PA en commençant par les plus difficiles et en pré-
sence de la population typique.
Architecture des réseaux sans fil PFO 2010
37
Classes d’usageAmphi :100 utilisateurs à 128 kbit/s (max), équipés à : 50% (max)dmax = 50 × 128 kbit/s =
dmax
5 Mbit/s ⇒
nPA(d) = = 120 Mbit/sumax
nPA(u) = = 510
d’où : nPA = max(nPA(u),nPA(d))= 5
Contrôle d’accès : 0confidentialité : 0
confinement en ⇒ extranet (p. 50) !
Architecture des réseaux sans fil PFO 2010
38
Classes d’usageLabo :10 utilisateurs à 1 Mbit/s, équipés à 70 %
dmax = 7 × 1 Mbit/s = 7 Mbit/s ⇒dmax
nPA(d) = = 120 Mbit/sumax
nPA(u) = = 110
d’où : nPA = max(nPA(u),nPA(d))= 1
Contrôle d’accès : MAC, 802.1X (p. 60)confidentialité : 0
⇒ chiffrement de bout en bout !
Architecture des réseaux sans fil PFO 2010
39
Plan des fréquencescage d’ascenseur
2nd
n =1PA
1er
RdC
1305 09 01
0913 01 05
05 09 13
0509
canal 05 0113 09
0113
n =5PA
05amphi
Architecture des réseaux sans fil PFO 2010
40
Réglage des PAPlacement : 1 ou 2 clients en position limite, mesure.
initial (densité faible)→ 1/2 j ;
densité élevée→ 1 j.
Absence de prise⇒ 1 prise secteur +
1 prise Ethernet !ou bien 802.3af→ 15 j - 1 mois.
Architecture des réseaux sans fil PFO 2010
41
Réglage des PA
0 6 12 18 21m1 m / 10 s→ mesurespatiale
Architecture des réseaux sans fil PFO 2010
42
Gestion des PA3 approches possibles :- PA lourd :
système sophistiqué embarquant toutes les fonctions de con-trôle d’accès, de routage…= ceinture, bretelles, coquille + casque ;
⇒ centraliser la gestion de ces PA
/ logiciel fiable / S.E. fiable !- PA léger :
simple répéteur Ethernet - sans-fil configurable via un serveur
de configuration= gestion centralisée ;⇒ équipement serveur de configuration de PA.
- PA quelconque + ensemble d’outils développés pour gérer deséquipements réseau.
Architecture des réseaux sans fil PFO 2010
43
802.3afInstallation d’1 PA ⇒ prise secteur⇒ temps, coût.Standard 802.3af (2003) : comment transporterl’alimentation électrique sur un câblage Ethernet.L < 100 m, V ≤ 48 V ([36, 57]), I < 400 mA, P < 12,95 Wutilisation des paires 1-2, 3-6 ou bien 4-5, 7-8,compatible 10, 100baseT, et alternative A : 1000baseT.2 techniques de mise en œuvre :- directement depuis le commutateur réseau ;- depuis un injecteur prenant en entrée un câble Ethernet stan-
dard, et sortant sur un câble Ethernet avec alimentation.
Architecture des réseaux sans fil PFO 2010
44
SécuritéPas de nouveau problème de sécurité.Remise en exergue de problèmes connus :
- impact des rayonnements électro-magnétiques sur le vivant,
sur la santé ;- maîtrise du périmètre de sécurité de l’entreprise :
syndrome Maginot ;- maîtrise des accès en libre service sur un medium partagé,
comme l’Ethernet partagé ;- écoute et brouillage des communications.
Architecture des réseaux sans fil PFO 2010
45
Sécurité des personnesLes normes internationales d’utilisation des radio fréquences
spécifient puissance rayonnée < 100 mW.Apple a choisi d’utiliser une puissance ≈ 30 mW !
champs réduits en puissance et portée ;⇒ facilité de couverture de volumes complexes.⇒
Depuis 2002, presque tous les constructeurs se sont ralliés à ce
principe de précaution.L’utilisation de radio-fréquences suscite des interrogations…
légitimes. consultation du CHSCT pour avis avant déploiement ;⇒
communication claire sur le risque.⇒Architecture des réseaux sans fil PFO 2010
46
Sécurité des personnesSanté publique : nombreuses études en cours, surtout au sujet de
l’utilisation des téléphones mobiles (p. 85):
GSM :DCS :Antennes GSM :four à micro-ondes :émetteur de la tour Eiffel :
< 2W ;< 1W ;20 à 50 W ;
1 kW ;6 MW !
Tout champ électro-magnétique décroît en 1 ⁄ r2 (en P).L’équivalent d’un mobile (600 mW) à l’oreille, avecdes iBook équipés d’une carte AirPort c’est :
10 sur la tête, 1 000 sur les genoux,
Architecture des réseaux sans fil PFO 2010
47
Sécurité des réseauxTransport de données champ électro-magnétique,⇒
sensibilité aux autres champs.⇒Ces transports de données (sauf fibre optique) peuvent être faci-lement écoutés et brouillés :- un câble Ethernet craint tubes fluorescents et câbles électri-
ques,- un réseau sans fil craint les fours à micro-onde qui fuient et les
téléphones DECT de mauvaise qualité.Réseaux sans fil écoute + simple que sur un réseau Ethernet :⇒
0 prise ou plutôt prise de 50 m de rayon. communication sur les risques ;⇒ contrôle d’accès, protection des données : confidentialité.⇒
Architecture des réseaux sans fil PFO 2010
48
Contrôle d’accès- spatial : mesures de contrôle de portée, utilisation active des
obstacles à la diffusion ;maîtrise de toute façon nécessaire à une mise en œuvre de ce
genre de réseau ;
- par adresse : seules les adresses MAC enregistrées peuvent se
joindre à un réseau (p. 34) ;- par WEP : Wired Equivalent Privacy ;- par architecture du réseau : les accès à ce type de réseau dans
des espaces où les contrôles précédents ne sont pas souhaités
sont confinés à un extranet ;- par 802.1X (p. 60).
Architecture des réseaux sans fil PFO 2010
49
WEP : un extincteur videWEP : Wired Equivalent Privacy.
Comment casser WEP :http://airsnort.shmoo.com
http://www.cr0.net:8040/↵
code/network/aircrack/Ils ont grossi artificiellement un faux problème :
faiblesse du chiffrement (car il s’agit de défauts de
mise en œuvre dans WEP),et ils ont laissé dans l’ombre un vrai problème :
absence d’un protocole de gestion de clés sans état local.
WEP : à jeter !⇒Coller des rustines sur WEP pour le réutiliser : pire !Architecture des réseaux sans fil PFO 2010
50
Extranetmachines
publiques
coupe-feu
Internet
routeurs
…
intranetfiltrants
extranetépine dorsale
Architecture des réseaux sans fil PFO 2010
51
FiltrageAucun accès IP aux équipements actifs.
DNS vers nos serveurs ;DHCP ( bootp) vers nos serveurs ;⇒TCP vers le réseau des « machines publiques ».
Aucun accès IP vers les autres réseaux capillaires.Tout autre accès IP (i.e. le reste de l’Internet) autorisé.
Architecture des réseaux sans fil PFO 2010
52
AuditFiltrage systématique en sécurité positive
journalisation des tentatives d’insertion ou d’attaque :⇒scan en UDP/192,ICMP → adresse de diffusion,
scan depuis 10.0.1.x.Effets de bord de réseaux squatteurs :- adresses sources hors plan d’adressage
journalisation ;⇒- dysfonctionnements des réseaux existants.
Architecture des réseaux sans fil PFO 2010
53
AuditLocalisation sur le terrain :- détection de réseaux pirates internes ;- détection de réseaux de voisins dans lesquels nos utilisateurs
naïfs pourraient se connecter automatiquement ;- recherche de signal en bordure :
http://istumbler.net/ ;- triangulation à partir de 3 relevés de niveau de signal.
Constat pragmatique :- écouter un réseau sans fil dans un environnement
bien couvert « entrer » dans la zone de couverture (p. 39).⇒
Architecture des réseaux sans fil PFO 2010
54
Audit
La nature a horreur du vide !
Architecture des réseaux sans fil PFO 2010
55
Syndrome MaginotArchitecture réseau traditionnelle :« intranet » délimité par un périmètre de sécurité et protégé de
l’horrible Internet par un « failleur-waulle ».Malheureusement, ce modèle de périmètre ne tient plus, il est
franchi par :- le PC portable truffé de vers attrapés dans le réseau d’un
collègue ;- le PC portable d’un collègue qui vient de l’autre bout du
monde ;- l’ordinateur du directeur qui doit partir en réparation ;- le tunnel chiffré connectant un ordinateur interne au réseau de
l’entreprise voisine ;
Architecture des réseaux sans fil PFO 2010
56
Syndrome Maginot- le PC avec carte Ethernet et carte Wi-Fi allumée en permanen-
ce faisant pont entre la rue et le réseau interne ;- le réseau sans-fil d’un résidant de l’hôtel voisin.Échelle des risques :- risque dominant plutôt du côté de la qualité déplorable de cer-
tains S.E. comme Windows ;- vient ensuite l’accès à la connexion Ethernet :
tout accès à une prise Ethernet est contrôlé : utopie !Enfin l’absence de déploiement de réseaux sans fil en interne est
une source de risque :0 audit, 0 communication sur ce problème, 0 compétence,
intrusion des réseaux des voisins.
Architecture des réseaux sans fil PFO 2010
57
Guerrier des ondes en décapotableLa connexion d’un PC « nid-de-vers » Windows
= risque (probabilité × impact) : Rnidevers .
Visite du « guerrier des ondes en décapotable »
dans le parking voisin avec une antenne d’1 m != risque : Rguerrier .
Rnidevers >> Rguerrier
Architecture des réseaux sans fil PFO 2010
58
Améliorer la sécurité des réseauxRisques par ordre décroissant à maîtriser :
- Qualité des S.E. : interdire les PC sous Windows ou bien en-gager clairement la responsabilité des utilisateurs dans le
maintien de leur outil en bon état : P.S.I., R.I., note de service.- Plateforme d’administration des réseaux invulnérable⇒ choix d’un S.E. fiable,mise en place d’ACL le protégeant au niveau
du système et du réseau.
Architecture des réseaux sans fil PFO 2010
59
Améliorer la sécurité des réseaux- Raccordement de n’importe quoi au réseau : répéteur sauvage,
borne AirPort pirate… :même remède : interdits
⇒ communication,+ contrôle d’accès (Ethernet & AirPort → 802.1X)+ déploiement de réseau sans-fil (occuper l’espace, détecterles anomalies, acquérir la compétence).
- Confidentialité des communications :chiffrement au niveau 2 (802.11i)ou bien au niveau 3 (tunnel chiffré).
Architecture des réseaux sans fil PFO 2010
60
802.1XAutorisation de l’accès au réseau :client : (@MAC…)
802.1X
1P.A.
serveurRADIUS
RADIUS
EAP-???
3
réseau2 réseau filaire
4
→ association @MAC - point d’accès : trafic autorisé.
Architecture des réseaux sans fil PFO 2010
IP
61
802.1X802.1X ne peut suffire à identifier, ni à authentifier un ordinateur
ou un utilisateur⇒ appel à un serveur d’accès, typiquement un serveur RADIUS.EAPOL = Extended Authentication Protocol Over LANRADIUS = Remote Authentication Dial-In User Service.
802.1X est stérile si il peut être écouté et rejoué⇒ utilisation d’un protocole de chiffrement et de gestion de clés.
Architecture des réseaux sans fil PFO 2010
62
802.11iWEP est mort : mort-né + mises en œuvre médiocres.
802.11i (fin 2003) définit 2 techniques de chiffrement :- TKIP
- CCMP
Ethertype =
= Temporal Key Integrity Protocol :|v| = 48 bits ;MIC = Message Integrity Code / 64 bits ;
= Counter mode with CBC-MAC Protocol :|v| = 48 bits ;AES en mode chaîné sur blocs de 128 bits
⇒ puissance de calcul.
0x88C7.
Architecture des réseaux sans fil PFO 2010
63
802.11iVersions de la Wi-Fi Alliance :
WPA = Wi-Fi Protected Access (défini par la Wi-Fi Alliance) :
version intérimaire de 802.11i basée sur WEP & TKIP.utiliser WEP : mauvais départ ?WPA est vulnérable et offre des modes d’utilisations
très dégradés, encore un extincteur vide :
http://wifinetnews.com↵
archives/002453.htmlWPA2 = Wi-Fi Protected Access y compris pour un réseau
multi-point,basé sur TKIP ou bien CCMP.
Architecture des réseaux sans fil PFO 2010
64
RADIUS : principeNom traduction fonction
supplicant pénitent client client identifié commemachine ou utilisateur
NAS = serveur d’accès ouvre l’accès réseauNetwork Access Server si accord de l’ASAS = serveur d’authentification vérifie l’autorisationAuthentication Server d’accès
Utilise 1812/UDP = radius, 1813/UDP = radacct.Peut aussi utiliser 1814/UDP pour des relais.
Met en œuvre le RFC 2865 3579.
Architecture des réseaux sans fil PFO 2010
65
RADIUS : principeUn serveur RADIUS va aussi mettre en œuvre EAP (p. 70),
et des extensions d’authentification (sur EAP).client serveur serveur
d’accès d’authentification
EAPRADIUSUDP/IP
802.1X802.11g 802.3
Architecture des réseaux sans fil PFO 2010
66
RADIUS : installationftp://ftp.freeradius.org/pub/↵
radius/freeradius-1.0.4.tar.gz$ ./configure --prefix=/local --localstatedir=/var --disable-shared [...plein de lignes ...]$ make[...]$ /usr/bin/sudo /bin/zsh # make install[...]#
Sur FreeBSD, utilisation des portages FreeBSD :# mv freeradius-1.0.4.tar.gz /usr/ports/distfiles# chown root:wheel /usr/ports/distfiles/freeradius-1.0.4.tar.gz # cd /usr/ports/net/freeradius# make PREFIX=/local ; make install PREFIX=/local [...]#
ça marche !⇒
Architecture des réseaux sans fil PFO 2010
67
RADIUS : configurationTests :# vi /local/etc/raddb/clients.conf client 127.0.0.1 {
secret = testing123shortname = localhost nastype = other
}# radiusd -X [...]$ radtest test_user test_pass localhost 0 testing123 Sending Access-Request of id 100 to 127.0.0.1:1812
User-Name = "test_user"User-Password = "test_pass"NAS-IP-Address = comte.sis.pasteur.fr NAS-Port = 0
rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=100, length=20 $
ça marche !⇒
Architecture des réseaux sans fil PFO 2010
68
RADIUS : configurationOuvrir les ACL vers le serveur :access-list <n> permit udp <sous_réseau_PA> eq 1812 host <serveur> eq 1812 access-list <n> permit udp <sous_réseau_PA> eq 1813 host <serveur> eq 1813
ouvrir les règles de filtrage du serveur :# vi /etc/ipf.rulespass in on sk0 proto udp from <sous_réseau_PA> to any port = radius \ keep state keep fragspass in on sk0 proto udp from <sous_réseau_PA> to any port = radacct \ keep state keep frags# ipf -Fa -f /etc/ipf.rules
définir un nouveau serveur d’accès = client pour RADIUS :# vi /local/etc/raddb/clients.confclient 15a7.net.pasteur.fr {
secret = errare humanum estshortname = 15a7.netnastype = other
}
Architecture des réseaux sans fil PFO 2010
69
RADIUS : configurationConfigurer ce client pour fai-re du contrôle d’accès basé
sur RADIUS.
définir un nouvel utilisateur identifié par son adresse MAC :# vi /local/etc/raddb/users001124-275c32 Auth-Type := Local, User-Password == "errare humanum est"
ça marche !⇒Architecture des réseaux sans fil PFO 2010
70
EAPExtensible Authentication Protocol : RFC 3748,= protocole de construction d’une méthode d’authentification,
≠ protocole d’authentification.Conçu pour utiliser le niveau liaison (PPP, IEEE 802).
2 protocoles mettent en œuvre EAP :- RADIUS : RFC 3579,
http://www.freeradius.org/ ;- Diameter : RFC 4072,
http://www.opendiameter.org/ .
Architecture des réseaux sans fil PFO 2010
71
Portail web d’accèsEn mauvais anglais : « captive portal ».Fonctionnement : redirection du trafic HTTP vers un ser-veur web dédié à l’autorisation d’accès.client : (compte, mot de passe)
HTTP
1P.A.
HTTPS
23
Architecture des réseaux sans fil PFO 2010
serveurweb d’accès
réseau
réseau filaire
IP
72
Portail web d’accèsRéalisation au moyen de matériel :
PA, routeurs ou serveurs d’accès,+ serveur web qui peut être embarqué ( PA lourd).⇒Versions à base de logiciel libre :NoCatAuth : http://nocat.net,talweg : http://sourcesup.cru.fr/talweg/,m0n0wall : http://m0n0.ch/wall/
Avantage : pas de logiciel client ;inconvénient : tout dans le navigateur web, IP → HTML ?
Architecture des réseaux sans fil PFO 2010
73
Utilisation d’IPSEC2 approches possibles :- certificats utilisateurs ;- authentificateurs utilisateurs externes.
IGC ou gestion d’un parc d’authentificateurs (SecurID…).⇒
Règle « bien » le problème de confidentialité.Ne règle pas le problème d’accès différents au réseau sans fil
(typiquement public, administratif, labo.)en un même point.Attention, mal utilisé IPSEC peut démolir le concept de
périmètre de sécurité parler de « ⇒ tunnel chiffré » non de VPN.
Architecture des réseaux sans fil PFO 2010
74
NomadismeConfidentialité & contrôle d’accès peuvent être obtenus dans un
réseau d’infrastructure.Le nomade peut rechercher ces 2 garanties hors de ce réseau :- se ramener au cas du réseau d’infrastructure :
construire un tunnel chiffré, depuis un système fiable,
et empêchant tout autre accès du réseau local ;- utiliser des moyens locaux :
construire un réseau sans fil multi-point à partir d’un système
fiable équipé d’un coupe-feu+ utilisation de chiffrement applicatif.
Nous recherchons des techniques de mise en œuvre de la 1re :
simples & visibles pour l’utilisateur, tout-terrain,
et gérables à grande échelle.
Architecture des réseaux sans fil PFO 2010
75
CommunicationFixer des règles d’utilisation des réseaux sans fil :- hors du campus : interdit ;- sur le campus : autorisé dans les zones couvertes ;- interdiction de raccorder n’importe quoi au réseau.
Communiquer clairement sur les risques réels :- 1 mobile >> 100 000 carte 802.11g ;- 1 PC sous Windows > 10 h / an en dégâts, 10 réseaux sans fil
raccordant 100 ordinateurs < 20 h / an !- faire du chiffrement fiable sur un S.E. fiable !
Architecture des réseaux sans fil PFO 2010
76
Futur1999 : 802.11b ; label de qualité Wi-Fi ;2000 : 802.11a : 54 Mbit/s / 5 GHz ;2003 : 802.11g : 54 Mbit/s / 2,4 GHz ;
Centrino (802.11b : 4 ans de retard !).2004 : 802.11i: chiffrement AES / 802.11? ;
802.1X : authentification d’accès au réseau ;802.16 ? WMAN (fixe),802.20 ? WMAN (mobile).
2005 ? 802.11n : 540 Mbit/s / B = 40 MHz @ 2,4 GHz,135 Mbit/s / B = 20 MHz @ 2,4 GHz…
Architecture des réseaux sans fil PFO 2010
77
ÉvolutionsDes débits :
loi de Shannon : s d = B× log21 + --
b 20 Mhz, 20dB :⇒ 130 Mbit/s 40 Mhz, 30dB :⇒ 400 Mbit/s
Des PA :taille & consommation en baisse régulière ;le PA sera intégré dans la prise RJ45, puis la remplacera.De la gestion des PA :le commutateur 10baseT va évoluer vers un commutateur de PA.
Architecture des réseaux sans fil PFO 2010
78
Conseils pratiquesChoix techniques ayant un avenir :- 802.11g, 802.3a, 802.1X :- éviter des techniques en retard de 4 ans (Centrino) ;- éviter tout ce qui est basé sur WEP ;- éviter les PA en boîtiers métalliques ;- éviter les antennes externes ;- éviter les protocoles propriétaires d’une complexité que seul
le commercial peut certifier.Couvrir pour éviter l’apparition de réseaux pirates internes
et les conflits avec les réseaux des voisins.Veiller à ce que la plateforme d’administration ne soit pas le
point le plus faible de l’architecture.
Architecture des réseaux sans fil PFO 2010
79
Annexes
mW1000500
100
50
1010 20 30 dBm
Architecture des réseaux sans fil PFO 2010
80
Loi de Shannon
Mbit/s
1000 80MHz500 40MHz
20MHz10050
1010 20 30 40 dB
Architecture des réseaux sans fil PFO 2010
81
Réflexion, absorptiononde réfléchie atténuation⇒
Ay
Architecture des réseaux sans fil PFO 2010
Exemple :amplitude du signal
au voisinage d’un
mur en béton.Borne proche du
x mur aligné sur l’axedes y.
pour traverser⇒
les murs il faut atta-quer à 90º !
82
Diagramme de rayonnementdipôle multi-brin
z zpolarisation
x xE
y y
x x
Architecture des réseaux sans fil PFO 2010
83
GlossaireBER Bit Error Rate
taux de bits en erreurCCK Complementary Code Keying
technique de codage utilisant 64 (sur 256) mots de 8bits pour leur facilité d’identification en présence debruit
DSSS Direct Sequence Spread Spectrumétalement de spectre
EAPOL Extended Authentication Protocol Over LANETSI European Telecommunications Standards InstituteFCC Federal Communications CommissionOFDM Orthogonal Frequency Division Multiplexing
Architecture des réseaux sans fil PFO 2010
84
PA Point d’Accès (p. 11)PBCC Packet Binary Convolution CodingPIRE Puissance Isotrope Rayonnée ÉquivalentePSI Politique de Sécurité InformatiqueQAM Quadratic Amplitude Modulation
technique de modulation en amplitude et phase
définissant 16 ou 64 symboles ≠ par HzRADIUS Remote Authentication Dial-In User Service (p. 64)SSID Service Set Identifier
nom de réseau sans fil = chaîne de caractèreTKIP Temporal Key Integrity Protocol (p. 63)WECA Wireless Ethernet Compatibility Alliance
Architecture des réseaux sans fil PFO 2010
85
Sécurité des personnesOrganismes et programmes de recherche :
OMS : international EMF project :
http://www.who.int/↵peh-emf/project/fr/index.html
ministère de la santé :http://www.sante.gouv.fr/htm/dossiers/↵
telephon_mobil/sommaire.htmICNIRP : International Commission on Non-Ionizing Radiation
Protectionhttp://www.icnirp.de/
AFSSE : Agence Française de Sécurité Sanitaire Environnemen-tale
http://www.afsse.fr/Architecture des réseaux sans fil PFO 2010
86
ConstructeursApple :
http://www.apple.com/airportexpress/Aruba :
http://www.arubanetworks.com/Broadcom :
http://www.broadcom.com/Linksys (en cours d’ingestion par Cisco) :
http://www.linksys.com/Proxim (ex. Orinoco, ex. Lucent) :
http://www.proxim.com/Trapeze :
http://www.trapezenetworks.com/
Architecture des réseaux sans fil PFO 2010
87
Listes de diffusionhttp://listes.cru.fr/sympa/info/sans-fil
Architecture des réseaux sans fil PFO 2010