Cours.06.Sansfil.2 Theorie

Rseaux locaux sans fil WiFi
Catherine Grenet et Marie-Claude Quidoz Meudon, 11 et 12 mai 2006
Remerciements
Ces transparents sont extraits du tutoriel Architecture des rseaux sans fil donn par Daniel Azuelos aux JRES 2005 http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006
Plan (1/2)
Introduction Aspects thoriques
Normalisation 802.11 Couche physique Composants et architecture Protocole Scurit
WEP 802.1X et WEP dynamique WPA et 802.11i
Plan (2/2)
Architecture de rseau
Rseau sans fil isol du rseau filaire Portail web daccs Affectation dynamique de VLAN Points daccs virtuels Commutateur sans fil Passerelle de scurit Choix de mise en uvre
Dploiement du rseau radio Outils
Pourquoi dployer un rseau sans fil aujourd'hui ?

Pour faciliter la connexion des utilisateurs itinrants, en particulier dans les espaces collectifs Pour connecter des locaux impossibles ou trop coteux cbler (amiante, monument historique) Pour mettre en place une connexion provisoire (travaux) Pour occuper l'espace : offrir le service pour viter les installations pirates Le sans fil n'est pas destin remplacer intgralement le cblage filaire (fiabilit, dbit) Il nest pas fait pour connecter des serveurs !
Les diffrents types de rseau sans fil

WPAN Nom commun Bande de frquence Porte Dbit thorique Bluetooth et autres 2,4 GHz qq m 3 Mb/s WLAN WiFi WMAN WiMax WWAN GSM, GPRS, UMTS
2,4 / 5 GHz 2 11 GHz 900 / 1800 MHz 1900 / 2200 MHz 100 m 54 Mb/s 50 km 70 Mb/s Accs IEEE 802.16 35 km 9600 Kb/s -> 2 Mb/s Tlphonie et donnes ITU
Applications Connexion Rseau priphriques local Norme IEEE 802.15 IEEE 802.11
Plan (1/2)
Normalisation 802.11
Couche physique Composants et architecture Protocole Scurit
Wi-Fi est un label d'interoprabilit dlivr par la Wi-Fi alliance : groupement de constructeurs qui publie des listes de produits certifis (http://www.wi-fi.org/) 802.11 (1997) : jusqu 2 Mb/s 802.11 (1999) : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications 802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplment 802.11) 802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplment 802.11) 802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement 802.11)
compatible avec 802.11b
Catherine Grenet & Marie-Claude Quidoz Rseaux locaux sans fil WIFI Mai 2006 8
Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP) gestion de la mobilit 802.11h (2003) : pour l'utilisation de 802.11a en Europe slection dynamique de canal et gestion de la puissance d'mission 802.11i (2004) : scurit 802.11e (2005) : qualit de service Travaux en cours :
802.11k : mesure de la qualit de la liaison radio 802.11n : dbit > 100 Mb/s 802.11r : transfert rapide de connexion entre bornes 802.11s : rseaux maills
Plan (1/2)
Couche physique
Composants et architecture Protocole Scurit
10
Onde lectromagntique
11
Spectre lectromagntique
12
Emission / rception radio

Principe : transmission de l'information par modulation d'une porteuse Le signal transmis est caractris par son spectre
P (W) F (Hz) F porteuse En radio, la puissance est souvent exprime en dBm (dcibels milliwatt )
dBm = 10*log10(P/ 0.001) 0 dBm 1 mW
13
802.11b : modulation
DSSS : Direct Sequence Spread Spectrum talement de spectre, squence directe Donnes transmettre Signal transmettre +
Squence dtalement (signal pseudo-alatoire connu de tous) Selon la vitesse de transmission

codage de 1, 4 ou 8 bits simultanment puis modulation de phase 2 ou 4 tats
802.11 b : canaux
Bande 2,4 GHz 14 canaux de 22 MHz seulement trois canaux disjoints
15
802.11a
OFDM : Orthogonal Frequency Division Multiplexing
20 MHz
5,15
GHz 12 canaux disjoints diviss en 52 sous-porteuses 5,825
48 sous-canaux de donnes
4 sous-canaux pour correction derreur

16
802.11g
Bande 2,4 GHz Transmission DSSS pour les dbits 11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b Transmission OFDM pour les dbits suprieurs La compatibilit 802.11b ne ralentit pas le dbit des trames de donnes des stations 802.11g, mais certaines trames de gestion (balise) et de contrle (trames de protection) doivent tre mises des dbits compatibles avec le 802.11b
17
802.11n
Groupe dtude n du 802.11 (TGn) draft 1.0 approuv en mars 2006
na pas pass ltape suivante => draft 2.0 (au moins !)
normalisation en 2007 ? Dbits annoncs jusqu 600 Mb/s MIMO : Multiple Input Multiple Output
plusieurs antennes / metteurs / rcepteurs radios transmission des donnes en parallle sur le mme canal en utilisant les
trajets multiples
18
Rglementation (ARCEP ex-ART)

Puissances autorises depuis juillet 2003 (exprimes en PIRE : Puissance Isotrope Rayonne Equivalente)
Frquences (MHz) Canaux 2400 - 2454 2454 -2483,5 1-8 9-13 Intrieur 100 mW 100 mW Extrieur 100 mW 10 mW
Les usages privs (rseaux indpendants, usages particuliers) ne ncessitent pas de dmarche auprs de lART.
19
Plan (1/2)
Normalisation 802.11 Couche physique
Composants et architecture
Protocole Scurit
20
Caractrisques induites par le support

Support partag par tous Pas de limite franche ni visible au del de laquelle la rception est impossible Le signal peut tre brouill par une source extrieure Le support de transmission est beaucoup moins fiable qu'en rseau filaire, et non matris Les stations ne sont pas fixes, mais portables, voire mobiles Certaines stations peuvent tre caches les unes aux autres Les vitesses de propagation peuvent varier dans le temps et tre asymtriques
21
Architecture 802.11
Station : toute machine quipe dune interface 802.11 BSS (Basic Service Set) : zone l'intrieur de laquelle les stations restent en communication BSS indpendants = rseaux ad hoc
STA 1 STA 2 BSS 2 BSS 1 STA 3 STA 4
22
Architecture 802.11 (suite)

Les BSS peuvent tre interconnects par un systme de distribution (DS, Distribution System) : le plus souvent un rseau Ethernet Un point d'accs est une station qui fournit l'accs au DS Rseau d'infrastructure
STA 2 BSS 1
STA 1
PA Systme de distribution (DS) PA

STA 3 STA 4 BSS 2
23
Architecture 802.11 (suite)

ESS (Extended Service Set) : ensemble de BSS interconnects par un systme de distribution Les stations peuvent communiquer entre elles et passer d'un BSS l'autre l'intrieur d'un mme ESS ESS
STA 1 STA 2 BSS 1
PA Systme de distribution (DS) PA

STA 3 STA 4 BSS 2
24
Protocole : accs au mdia

Mdia partag => 802.11 dfinit deux mthodes d'accs DCF (Distributed Coordination Function)
Dans toutes les stations, sur rseau ad hoc et d'infrastructure CSMA/CA Carrier Sense Multiple Access Collision Avoidance Principe : la station coute le mdia pour vrifier qu'il est libre avant d'mettre
(idem CSMA/CD)
Mais elle ne peut pas dtecter les collisions parce qu'elle n'entend pas ncessairement toutes les stations parce que la liaison radio est half duplex Avoidance => la station rceptrice met un ACK qui indique que la trame a
t correctement reue et qu'il n'y a pas eu de collision avant d'mettre les donnes contrl par le paramtre dot11RTSThreshold
Mcanisme supplmentaire : metteur et rcepteur changent un RTS/CTS
PCF (Point Coordination Function)

Uniquement dans les points daccs, peu implmente Le PA contrle laccs au mdia (par interrogation des stations)
Protocole : types de trames

Trames de gestion
balise (beacon) Probe Request / Response authentification association
Trames de contrle
contribuent au bon acheminement des trames de donnes exemple : ACK, RTS/CTS
Trames de donnes
26
Protocole : dcouverte des rseaux

Le point d'accs met intervalles rguliers (~ 100 ms) des trames balise (beacon) qui contiennent :
SSID Service Set Identifier : chane de caractres identifiant le rseau sans fil
Les points daccs dun mme ESS mettent le mme SSID

Dbits supports
La station peut mettre des trames Probe Request pour identifier les rseaux sans fil disponibles sur diffrents canaux Le point d'accs lui renvoie une trame Probe Response (mmes infos que dans la balise) Pour utiliser le rseau sans fil, la station doit s'authentifier et s'associer
27
Authentification et association
non authentifi, non associ Authentification russie authentifi, non associ Association ou rassociation russie authentifi, associ Dsassociation D-authentification
D-authentification
28
Authentification
Deux modes d'authentification :
ouvert (open system) partag (shared key)
Mode dauthentification Open System Demande d'authentification PA Succs Shared key Demande d'authentification PA Challenge Challenge chiffr Succs
STA
STA
29
Association rassociation
La station envoie au PA une demande d'association Si la station est dj authentifie le PA accepte la demande et retourne un identificateur d'association (Association ID) La station peut alors changer des trames de donnes avec les autres stations de l'ESS Rassociation : lorsqu'une station se dplace d'un BSS l'autre
30
Protocole : adressage
Adresses sur 48 bits, mme format qu'une adresse Ethernet Une trame 802.11 contient 4 champs adresse, dont la signification varie en fonction du type de trame
Contrle Dure/ID Adr 1 Adr 2 Adr 3 Contrle Adr 4 Donnes CRC de sq.
type de trame
gestion contrle donnes
31
Les 4 champs adresse indiquent : Le BSSID : il identifie de manire unique un BSS
mode infrastructure : adresse MAC du point d'accs mode ad hoc : choisie de manire tre unique ne pas confondre avec le SSID (aussi appel ESSID)
Ladresse de destination : adresse du destinataire final Ladresse source : adresse de la station qui a initialement mis la trame Ladresse du rcepteur : adresse du destinataire immdiat Ladresse de lmetteur : adresse de la station qui met la trame
32
Exemple : station 1 mettant une trame de donnes vers station 2
Rseau filaire STA1 PA1 PA2 STA2
PA1
STA1 STA2
STA2
PA2
STA1
La station lit le champ Adr 1 pour savoir si une trame lui est ou non adresse Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vrifie de plus que le BSSID est celui du PA auquel elle est associe
33
Mobilit
STA Nouveau PA PA courant
Authentification Demande de rassociation BSSID ancien PA STA tait associe ? Oui Rassociation russie Trames en tampon destines STA Fin association avec STA
Plan (1/2)
Normalisation 802.11 Couche physique Composants et architecture Protocole
Scurit
35
Risques lis aux rseaux sans fil

Mdia partag => les coutes sont possibles Pas de limite franche ni visible au del de laquelle la rception est impossible, donc en l'absence de mcanismes appropris n'importe qui peut :
couter le rseau se connecter au rseau (et utiliser l'accs Renater de l'unit par exemple)
Le signal peut tre brouill par une source extrieure Les mmes risques existent sur un rseau filaire mais il faut pouvoir accder au matriel rseau (prises, cbles...)
36
Historique et terminologie
1999 : WEP (802.11) 2001 : 802.1X => authentification 802.1X + chiffrement WEP dynamique 2003 : WPA (Wi-Fi Protected Access) :
spcification publie par la Wi-Fi Alliance, et reprenant une bonne partie du
draft 3.0 de 802.11i en attendant la ratification de la norme
2004 : 802.11i MAC Security Enhancements WPA2 : label de la Wi-Fi Alliance pour 802.11i
37
WEP
Wireless Equivalent Privacy Intgr la norme 802.11 de 1999 Principes :
cl secrte (40 ou 104 bits) partage par toutes les stations authentification par dfi / rponse confidentialit par chiffrement symtrique
Problmes et limitations
la cl peut tre dcouverte par simple coute du rseau avec des logiciels du
domaine public (AirSnort, Aircrack)

pas de mcanisme de distribution des cls
38
Plan (1/2)
WEP
802.1X et WEP dynamique WPA et 802.11i
39
802.1X + WEP dynamique

802.1X permet une authentification srieuse des utilisateurs avant connexion au rseau Les cls sont gnres laide de protocoles de chiffrement et distribues sous forme chiffre sur le rseau sans fil Une cl WEP par utilisateur et par session Cl commune pour les trames multicast Renouvele suffisamment souvent dans le courant de la session pour quelle ne puisse pas tre dcouverte (~ quelques minutes) Avantages :
empche la dcouverte des cls distribution automatique des cls
40
802.1 X
Port-Based Network Access Control (2001, rvision 2004) Protocole permettant de n'autoriser l'accs un port rseau qu'aprs authentification Conu pour les rseaux filaires, s'applique aux rseaux IEEE 802 port rseau = port de commutateur (802.3) association (802.11) Composants :
systme authentifier (supplicant ) : qui demande l'accs au rseau systme authentifiant ou relais dauthentification (authenticator ) :
contrle laccs au rseau ne fait que relayer les changes dauthentification avec le serveur
serveur d'authentification : dtermine si le systme authentifier est autoris
accder au(x) service(s) dont l'accs est contrl par le relais

802.1X : port contrl et port non contrl
Port contrl Port non autoris
Port non contrl
Port contrl Port autoris
Port non contrl
Point dattachement
Point dattachement
Rseau local
Rseau local
42
802.1X : authentification
Port contrl
Port non contrl Autorisation Serveur dauthentification
Systme authentifier
Point dattachement
Point dattachement
EAP
Rseau local
EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
dvelopp l'origine pour lauthentification des utilisateurs se
connectant en PPP sur des serveurs daccs distants

permet d'encapsuler diffrents protocoles d'authentification et donc
de ne pas les implmenter dans le serveur RAS, qui les relaie vers un serveur d'authentification
l'authentification elle-mme repose sur des mthodes
(protocoles) dfinies par ailleurs et encapsules dans EAP
44
Mthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST LEAP (Lighweight EAP)
Proprit Cisco Authentification mutuelle du client et du serveur par MS-CHAPv1 Cls dynamiques drives des changes MS-CHAP Problmes de scurit lis lutilisation de MS-CHAPv1 => obsolte
TLS
RFC 2716 Authentification mutuelle du client et du serveur par certificats X.509 Permet de driver des cls de chiffrement Mthode dauthentification de facto pour 802.11i
45
Mthodes EAP (suite)

TTLS
draft-ietf-pppext-eap-ttls-05 Authentification du serveur par certificat X.509 Utilisation du tunnel chiffr TLS pour faire passer un autre protocole dauthentification
: PAP, CHAP, MD5, MS-CHAP

authentification interne par AVP (paires attribut-valeur)
PEAP (Protected EAP)

TTLS Utilisation du tunnel chiffr TLS pour faire passer un autre change EAP (EAP over
EAP)
Avantage / TLS : possibilit de rutiliser les systmes dauthentification existants (annuaire LDAP par exemple) EAP-FAST (Cisco) : fait pour acclrer la rauthentification lors dun handover
46
802.1X : protocoles
Station Station EAP over LAN
Point daccs Point daccs
Serveur dauthentification Serveur dauthentification EAP over RADIUS
EAP-TLS, EAP-TTLS... EAP RADIUS 802.1X (EAPoL) UDP / IP 802.11 802.3
47
802.1X : EAPoL
dfinit EAPoL : EAP over LAN encapsulation des paquets EAP sur les rseaux 802
champ Type Ethernet = 0x888E
4 types de message :
EAP-Start : envoy au PA par la station qui veut dmarrer lauthentification EAP-Logoff : envoy par la station, le port est remis dans ltat non autoris
par le PA
EAP-Packet : transporte les informations dauthentification EAP-Key : pour transmettre une cl entre le PA et la station
48
RADIUS
Remote Authentication Dial In User Service originellement (RFC 2138 -> 2865) dfini pour le transport dinformations dauthentification et de configuration entre un serveur daccs distant et un serveur dauthentification
49
RADIUS (suite)
Utilise le port UDP 1812 repose sur un secret partag entre le serveur et le client (ici le point daccs) Les messages EAP sont encapsuls dans 4 types de trames :
messages point daccs -> serveur : Access Request messages serveur -> point daccs relays vers la station : Acess Challenge messages serveur -> point daccs indiquant que lauthentication a russi : Access
Accept
messages serveur -> point daccs indiquant que lauthentication a
chou : Access Reject
RADIUS -> DIAMETER (RFC 3588 9/2003)

site officiel : http://www.diameter.org/ logiciel open source : http://www.opendiameter.org/
50
802.1X : dialogue EAP
Station
Point daccs EAP Request/Identity
Serveur dauthentification
EAP Response/Identity
Access Request - EAP Response/Identity
Authentification (dialogue EAP) Access Accept EAP Success EAPoL-Key
802.1X / EAPoL
RADIUS
51
802.1X : dialogue EAP- authentification

4 types de paquets EAP : Request, Response, Success, Failure
Station
Point daccs
Access Request - EAP Response/Identity EAP Request EAP Response Access Request - EAP Response 802.1X / EAPoL
Access Challenge - EAP Request
RADIUS
52
Plan (1/2)
WEP 802.1X et WEP dynamique
WPA et 802.11i
53
WPA et 802.11i
Reposent galement sur lauthentification 802.1X Deux modes :
personnel pour environnements SOHO entreprise pour les structures plus importantes
Gestion et distribution des cls Deux nouveaux mcanismes de chiffrement :

TKIP (WPA) CCMP (802.11i)
54
WPA/802.11i : principe
Authentification de la station par le serveur dauthentification avant que le point daccs ne lui accorde laccs au rseau
=> drivation dune cl matresse connue du serveur et du client (et deux seuls) cl matresse => drivation dune cl matresse pair pair (PMK)
par la station fournie par le serveur au point daccs
PMK => drivation des cls de session (unicast, multicast)
Authentification du serveur par la station

important dans lenvironnement sans fil (points daccs sauvages)
55
WPA/802.11i : fonctionnement
Station
Point daccs
Dcouverte de la politique de scurit Phase 1 Authentification 802.1X
Phase 2
Phase 3
Distribution cl (802.1X) Liaison chiffre tablie
Distribution cl (RADIUS)
Phase 4
56
WPA/802.11i : phase 1
Mode dauthentification = ouvert Le point daccs annonce les politiques de scurit supportes dans les trames Beacon et Probe Response RSNA : Robust Security Network Association Ajout dun champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response Le champ RSN IE dcrit :
le type de chiffrement du trafic unicast et multicast :
WEP-40, WEP-104, TKIP, CCMP (dfaut)
la mthode dauthentification et de gestion des cls :

802.1X (dfaut), cl pr-partage
57
WPA/802.11i : phase 1 (suite)
Probe Request Probe Response RSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X Authentification Open System Authentification Open System (succs) Association Request RSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X Association Response (succs)
58
WPA/802.11i : phases 2 et 3
Station
Point daccs EAP Request/Identity
EAP Response/Identity
Access Request - EAP Response/Identity
Authentification (dialogue EAP) Drivation de la cl matresse Drivation PMK Drivation PMK Access Accept (+ PMK) EAP Success Gnration cls de session 802.1X / EAPoL
RADIUS
59
WPA/802.11i : phases 2 et 3
Gnration des cls (suite) : procdure dite 4-way handshake : change de 4 messages EAPoL-Key qui permettent de:
sassurer que le client dtient bien la PMK de driver un ensemble de cls de chiffrement et dintgrit
partir de la PMK, des adresses MAC du client et du point daccs de deux
nombres alatoires de chiffer le transport de la cl de groupe
60
WPA/802.11i : mode personnel

destin aux rseaux adhoc et rseaux personnels ( domicile) mme mcanisme de dcouverte de la politique de scurit pas dauthentification 802.1X cl pr-partage est drive dun mot de passe et sert directement de PMK mme procdure de 4-way handshake mmes techniques de chiffrement : TKIP CCMP
61
TKIP
Temporal Key Integrity Protocol Amlioration de WEP Chiffrement RC4 (pour pouvoir utiliser les mmes puces) Cl de chiffrement des trames est drive dune cl matresse (<> WEP o la cl matresse chiffre directement les trames) Une cl diffrente pour chaque trame Ajout dun numro de squence pour contrer les attaques par rejeu Ajout dune squence de contrle dintgrit (y compris sur adresse source)
62
802.11i : nouveauts par rapport WPA

Chiffrement CCMP
Counter Mode with CBC-MAC Protocol Sans souci de compatibilit avec WEP => nouvelles puces Chiffrement AES
Pr-authentification (pour le handover)
63
Plan (2/2)
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
64
Avant de commencer
Spcifications du projet : un rseau sans fil o a ?
dans des zones prcises : bibliothque, caftria dans lensemble du/des btiments et aussi dans le parc ?
pour qui ? nombre et type dutilisateurs

personnel permanent invits (ayant travailler avec le labo) gens de passage : colloques, formations
pour quoi faire ?

au minimum : offrir un accs internet un peu plus : accs une imprimante locale au maximum : accs lensemble des ressources du rseau
En gnral, tout a en mme temps pour diffrentes catgories dutilisateurs
avec quels quipements ?

type de plate-forme : matriel, systme dexploitation
65
Plan (2/2)
rseau sans fil isol du rseau filaire
portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
66
Rseau sans fil isol du rseau filaire

Rseau sans fil Rseau filaire Pare-feu Internet
Tous les PA dans le mme VLAN
Dispositif de contrle daccs
67
DMZ Rseau extrieur C-R DMZ Serveurs Clients Sans fil Sans fil Rseau extrieur DMZ GB C-R Serveurs Clients
68

Rseau local Rseau interne
Internet
Zone(s) semi-ouverte(s)
Rseau sans fil Accs client vers Internet Accs services externes : publics (DNS, HTTP) sur authentification (HTTPS, IMAPS, SMTPS)

accs aux quipements actifs :
autoris depuis le rseau filaire interdit depuis le rseau sans fil
accs autoriss du rseau sans fil vers le rseau filaire :

au serveur DHCP aux serveurs DNS aux services publics (web etc.) aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS,
SSH (pour les utilisateurs internes)
accs du sans fil vers le reste de linternet

peut tre limit certains ports (sans tre trop restrictif) empcher les connexions entrantes
70

Accs supplmentaires possibles pour les utilisateurs identifis via VPN
Internet Internet
Concentrateur VPN
Rseau du laboratoire
Rseau Rseau Sans fil Sans fil
71
Rseau sans fil isol du rseau filaire + VPN

Solution (presque) idale pour les petites structures Inconvnient (de taille) : absence de contrle daccs au rseau sans fil
risque dpendant de lenvironnement possibilit dutilisation illicite des rseaux de la recherche responsabilit vis--vis de Renater et dInternet en gnral
Amliorations possibles :
WEP rseau ouvert mais personne ne peut sy connecter par hasard panneau Accs rserv
OK pour une petite structure (quelques bornes), au-del problme de gestion
des cls
72
Rseau sans fil isol du rseau filaire + VPN

Amliorations possibles (suite):
contrle daccs par adresse MAC
peut tre local la borne ou centralis sur un serveur RADIUS
Mise en uvre avec un serveur RADIUS :

Le PA envoie une requte Access-Request avec :
User-Name et User-Password : adresse MAC de la station

Fichier users :
00904b1d9fd8 Auth-Type:=Local, User-Password="00904b1d9fd8"
Avantage de ces solutions : fonctionnent avec tous les clients
73
Plan (2/2)
rseau sans fil isol du rseau filaire
portail web daccs

affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
74
Portail web daccs

portail captif Logiciels libres :
NoCat (http://nocat.net/)
NoCatAuth : version originale en Perl NoCatSplash : portage en C
M0n0wall (http://m0n0.ch/wall/) talweg (http://sourcesup.cru.fr/talweg/)
75
Portail web daccs : fonctionnement

Rseau public Rseau dont on veut contrler laccs Routeur ou pont @ IP (DHCP) HTTP Login ? Passwd ? Authentification ? Nom dutilisateur et mot de passe Serveur dauthentification
Succs de lauthentification Autorisation daccs
76
Portail web daccs : fonctionnement

Lautorisation daccs au rseau se fait par modification des rgles de filtrage Fin dautorisation daccs ?
bouton dconnexion : pas forcment utilis par requtes ARP ou ICMP priodiques
Protection des changes

les donnes dauthentification doivent tre changes en HTTPS le reste du trafic nest pas protg => recommandations aux utilisateurs
Solution satisfaisante
pour laccueil des visiteurs parce quelle fonctionne avec tous les clients
Plan (2/2)
rseau sans fil isol du rseau filaire portail web daccs
affectation dynamique de VLAN

points daccs virtuels commutateur sans fil passerelle de scurit choix de mise en uvre
78
Affectation dynamique de VLAN

La sparation rseau sans fil / rseau filaire
a t impose par des contraintes de scurit compte tenu des fonctionnalits des premiers matriels
Aujourdhui les rseaux filaires sont segments en VLAN

permet dattribuer des droits diffrents des groupes dutilisateurs
diffrents
avec les limites du VLAN par port (VLAN visiteur ?)

prolonger la structure du rseau filaire sur le rseau sans fil avec des mcanismes adapts aux rseaux sans fil
79

Serveur dauthentification VLAN 1 Ex : visiteurs
Utilisateur 1 VLAN 1
Point daccs sans fil VLAN 1 VLAN 2
Commutateur Ethernet
Utilisateur 2 VLAN 2
Tag 802.1Q
VLAN 2 Ex : permanents
80

Repose sur lauthentification 802.1X le numro de VLAN est transmis par le serveur RADIUS au point daccs dans le message Access-Accept
Tunnel-Type=VLAN (13) Tunnel-Medium-Type=802 (6) Tunnel-Private-Group-ID=<numro de VLAN>
Fonctionne sur le filaire comme sur le sans fil :

un commutateur Ethernet affecte le port auquel est connect le client dans
le VLAN retourn par le serveur RADIUS

un point daccs sans fil tiquette chaque trame en sortie dans le VLAN
correspondant lutilisateur
Suppose de propager tous les VLAN ncessaires jusquaux points daccs (nomadisme sur un campus)
Portail daccs web Pas dauthentification 802.1X
VLAN par dfaut Parefeu
PA Authentification 802.1X
Rseau du labo Serveur dauthentification
82

On peut avoir des fonctionnalits ~ quivalentes celles des VLAN filaires sur le sans fil deux conditions :
un BSSID par VLAN : une station ne traite les trames adresses des
adresses de groupe que si le BSSID est celui du PA auquel elle est associe
cls de groupe diffrentes pour chaque groupe dutilisateurs : pour que les
trames ne puissent pas tre dchiffres par toutes les stations
83
Plan (2/2)
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN
points daccs virtuels

commutateur sans fil passerelle de scurit choix de mise en uvre
84
Points daccs virtuels

Chaque PA peut mettre plusieurs SSID A chacun de ces SSID est associ :
un VLAN sur le rseau filaire une mthode et un serveur dauthentification
Permet de grer plusieurs rseaux administrativement distincts sur la mme infrastructure Permet davoir un BSSID par VLAN Possibilit daffecter ensuite dynamiquement le VLAN en 802.1X ?
85
Points daccs virtuels
SSID 1
Point daccs sans fil VLAN 1
VLAN 1 Auth : portail daccs web
Commutateur Ethernet
SSID 2
VLAN 2 VLAN 2 Auth : MAC adresse
Tag 802.1Q
86
Plan (2/2)
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels
commutateur sans fil

passerelle de scurit choix de mise en uvre
87
Commutateur sans fil

Aussi appel contrleur Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace (rachet par Cisco) Botier spcialis plac en coupure (logique) entre le rseau filaire et le rseau sans fil Un certain nombre de fonctions habituellement gres dans les points daccs sont dportes sur le commutateur
authentification association chiffrement interconnexion avec le rseau filaire
=> notion de point daccs lger
88

Fonctionnement : tablissement dun tunnel (niveau 2 ou 3) entre chaque point daccs et le commutateur La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser lIETF
LWAPP (Airespace/Cisco) CAPWAP SLAPP (Trapeze, Aruba)
Solutions propritaires :
fonctionnent avec les points daccs fournis par le constructeur mme si acceptent gnralement les PA dautres constructeurs
perte de la plupart des fonctionnalits intressantes
89
Commutateur sans fil : niveau physique
Tunnels
Points daccs
Commutateurs Ethernet
90
Commutateur sans fil : niveau logique

Les VLAN sont propags jusquau commutateur et non jusquaux points daccs
Rseau sans fil Commutateur sans fil Points daccs SSID 1 VLAN 2 Tunnels SSID 2 Tag 802.1Q
91
SSID 1
Rseau filaire
SSID 2
VLAN 1
Commutateur sans fil : gestion de la radio

Ajustement dynamique de la puissance et du canal de chaque point daccs autocalibration du rseau radio ? Les points daccs peuvent ou non fonctionner simultanment en mode sonde
Dtection des interfrences Dtection / neutralisation des points daccs sauvages
Dtection des rseaux ad hoc

Dtection dattaques 802.11 classiques Localisation gographique des points daccs et des clients
92
Commutateur sans fil : gestion de la radio

Gestion de la bande passante par utilisateur(s), par application, par VLAN Possibilit dinterdire les communications directes entre clients
Equilibrage de charge entre points daccs adjacents
Possibilit daffecter des priorits aux diffrents flux Gestion de la mobilit
93
Authentification et contrle daccs

Portail 802.1X, EAP, TLS, TTLS VPN IPsec et SSL Base interne / externe (LDAP, AD) Fonctions de contrle daccs + ou - sophistiques :
filtrage IP pare-feu stateful par utilisateur, groupe dutilisateurs, VLAN
Systme de dtection dintrusion embarqu
94
Administration et supervision
Gestion centralise des points daccs
configurations mises jour logicielles
Dtection et configuration automatique des points daccs Tableau de bord, statistiques (par station, par point daccs, globales) Plan de site avec localisation des points daccs
95
Plan (2/2)
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil
passerelle de scurit
choix de mise en uvre
96
Passerelle de scurit
Constructeur : exemple Ucopia Botier spcialis plac en coupure (logique) entre le rseau filaire et le rseau sans fil solution non spcifique aux rseaux sans fil
fonctionne avec tous les PA Commutateur sans fil traite les trames 802.11 mises par les stations Passerelle traite les trames 802.3 mises par les points daccs
agrgat de fonctions permettant de grer les utilisateurs mobiles, visiteurs
97
Passerelle : exemple Ucopia

logiciel sur PC/Linux quip de 2 interfaces rseau, intgrant un certain nombre de briques de logiciels libres se place en coupure de rseau
physique ou logique
possibilit davoir plusieurs SSID par bornes (si elles le supportent)

et dy associer des mthodes dauthentification diffrentes chaque SSID est associ un VLAN en sortie de la borne VLAN peut tre redfini en fonction du profil de lutilisateur en sortie de la
passerelle
98
Passerelle : exemple Ucopia
Rseau sans fil SSID 1 VLAN 1 SSID 2 Points daccs SSID 1
Rseau filaire
VLAN 3
VLAN 4 Passerelle VLAN 2
SSID 2
99
Passerelle Ucopia : authentification et contrle daccs

Authentification
par nom dutilisateur et mot de passe en HTTPS 802.1X / EAP-TLS, TTLS, PEAP par carte puce (EAP-SHA1, dveloppement propre) serveur RADIUS embarqu (peut tre configur en proxy vers un autre
serveur RADIUS)
Contrle daccs
fonction du profil de lutilisateur par mise en place de filtres correspondant au profil de lutilisateur sur le
contrleur pour la dure de la connexion (iptables)

possibilit daffecter un VLAN en fonction du profil de lutilisateur en sortie
du contrleur
100
Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN) Zro configuration : reconnaissance et redirection de certains flux
SMTP -> serveur de messagerie local HTTP impression : par lintermdiaire du serveur dimpression embarqu
Gestion des points daccs : par SNMP

configuration stockage et traitement des logs
101
Plan (2/2)
rseau sans fil isol du rseau filaire portail web daccs affectation dynamique de VLAN points daccs virtuels commutateur sans fil passerelle de scurit
choix de mise en uvre
102
Choix de la mthode EAP

mthode EAP fonde sur TLS pour :
authentification du serveur par le client protection des informations didentit de lutilisateur la gnration de cls de session robustes
=> EAP-TLS, EAP-TTLS, PEAP
EAP-TLS
pour :
le plus largement support client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3 le CNRS dispose dune IGC
contre :
il faut distribuer des certificats tous les utilisateurs
103
Choix de la mthode EAP

EAP-TTLS
pour :
permet de rutiliser les bases dauthentification existantes (LDAP, AD)
contre :
ncessite un client spcifique pour Windows SecureW2 (http://www.securew2.com/)
PEAP
envisager dans un environnement tout Windows
104
Choix de la mthode de chiffrement

Ne pas tre maximaliste WEP dynamique : raisonnable TKIP : si on peut le faire, tant mieux CCMP : prmatur
105
Serveur RADIUS
de multiples implmentations commerciales open source : FreeRadius Microsoft IAS (Internet Authentication Server)
FreeRadius
http://www.freeradius.org/ liste de diffusion : freeradius-users@lists.freeradius.org (verbosit ++) Linux, FreeBSD, NetBSD, Solaris authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et dautres autorisation : fichier local, LDAP (OpenLDAP), base SQL
106
FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb radiusd.conf, eap.conf, clients.conf et users radiusd.conf : gnralits
adresse, port logs
clients.conf :
client 194.57.138.2 { secret = monalisa shortname = bsf2 nastype = other }
107
eap.conf :
tls { # private_key_password = whatever private_key_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem certificate_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem CA_file = ${raddbdir}/certs/LOCAL/CA.pem dh_file = ${raddbdir}/certs/LOCAL/dh random_file = /dev/urandom # fragment_size = 1024 # include_length = yes # check_crl = yes check_cert_cn = %{User-Name} }
108
users :
#
# CN des utilisateurs autorises a se connecter avec certificat # 'Catherine Grenet' Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 12 # # La ligne suivante permet de refuser l'acces aux utilisateurs # qui ne sont pas dans la liste ci-dessus # DEFAULT Auth-Type := Reject
test : radiusd X
109
Plan (2/2)
110
Propagation
111
Transparence
112
Interfrences
113
Interfrences
114
Couverture
115
Construction du rseau
116
Classes dusage
117
Classes dusage
118
Plan des frquences
119
Rglage des PA
120
802.3af
Power Over Ethernet (PoE) permet de fournir une puissance infrieure 15 W sous 48 V en courant continu sur le cble Ethernet transport
soit sur les deux paires qui transportent les donnes (1-2 et 3-6) soit sur les deux paires inutilises (4-5 et 7-8)
Lalimentation peut tre fournie :

soit par le commutateur Ethernet soit par un injecteur
121
802.3af
Cbles RJ-45 Commutateur Point daccs
Commutateur
Injecteur
122
Plan (2/2)
123
Outils
Analyseur de spectre Scanner actif
Netstumbler (Windows) : http://www.netstumbler.com/ iStumbler (Mac OS X) : http://istumbler.net/
124
Outils : scanners et analyseurs

Scanners passifs et analyseurs fonctionnent sur une carte rseau en mode RFMON
permet de capturer tous les paquets 802.11 mode promiscuous pour une carte Ethernet RFMON = mode coute seulement (<> Ethernet)
Kismet : http://www.kismetwireless.net/
Linux dtection des points daccs capture du trafic
WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/ Ethereal sous Linux (pas de mode RFMON sous Windows)
125
Bibliographie succinte
Daniel Azuelos, Architecture des rseaux sans fil, 2005, http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf Matthew Gast, 802.11 Rseaux sans fil, 2e dition, OReilly, 2005 Luc Saccavini, Le protocole IEEE 802.1X, 2003, http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE 802.11i Overview, 2002
126

Cours.06.Sansfil.2 Theorie

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours.06.Sansfil.2 Theorie

Uploaded by

Copyright:

Available Formats

Rseaux locaux sans fil WiFi

Catherine Grenet et Marie-Claude Quidoz Meudon, 11 et 12 mai 2006

Dploiement du rseau radio Outils

Pourquoi dployer un rseau sans fil aujourd'hui ?

Les diffrents types de rseau sans fil

Emission / rception radio

Squence dtalement (signal pseudo-alatoire connu de tous) Selon la vitesse de transmission

Bande 2,4 GHz 14 canaux de 22 MHz seulement trois canaux disjoints

GHz 12 canaux disjoints diviss en 52 sous-porteuses 5,825

4 sous-canaux pour correction derreur

Rglementation (ARCEP ex-ART)

Caractrisques induites par le support

STA 1 STA 2 BSS 2 BSS 1 STA 3 STA 4

Architecture 802.11 (suite)

PA Systme de distribution (DS) PA

Architecture 802.11 (suite)

PA Systme de distribution (DS) PA

Protocole : accs au mdia

Mcanisme supplmentaire : metteur et rcepteur changent un RTS/CTS

PCF (Point Coordination Function)

Protocole : types de trames

Protocole : dcouverte des rseaux

Les points daccs dun mme ESS mettent le mme SSID

Risques lis aux rseaux sans fil

draft 3.0 de 802.11i en attendant la ratification de la norme

domaine public (AirSnort, Aircrack)

802.1X et WEP dynamique WPA et 802.11i

802.1X + WEP dynamique

serveur d'authentification : dtermine si le systme authentifier est autoris

accder au(x) service(s) dont l'accs est contrl par le relais

802.1X : port contrl et port non contrl

Port contrl Port non autoris

Port non contrl

Port contrl Port autoris

Port non contrl

Port non contrl Autorisation Serveur dauthentification

connectant en PPP sur des serveurs daccs distants

(protocoles) dfinies par ailleurs et encapsules dans EAP

Mthodes EAP (suite)

: PAP, CHAP, MD5, MS-CHAP

PEAP (Protected EAP)

Station Station EAP over LAN

Point daccs Point daccs

Serveur dauthentification Serveur dauthentification EAP over RADIUS

EAP-TLS, EAP-TTLS... EAP RADIUS 802.1X (EAPoL) UDP / IP 802.11 802.3

chou : Access Reject

RADIUS -> DIAMETER (RFC 3588 9/2003)

802.1X : dialogue EAP

Point daccs EAP Request/Identity

Access Request - EAP Response/Identity

Authentification (dialogue EAP) Access Accept EAP Success EAPoL-Key

802.1X : dialogue EAP- authentification

Access Challenge - EAP Request

Gestion et distribution des cls Deux nouveaux mcanismes de chiffrement :

PMK => drivation des cls de session (unicast, multicast)

Authentification du serveur par la station

Dcouverte de la politique de scurit Phase 1 Authentification 802.1X

Distribution cl (802.1X) Liaison chiffre tablie

la mthode dauthentification et de gestion des cls :

WPA/802.11i : phase 1 (suite)

Point daccs EAP Request/Identity

Access Request - EAP Response/Identity

nombres alatoires de chiffer le transport de la cl de groupe

WPA/802.11i : mode personnel