P. 1
Cours.06.Sansfil.2 Theorie

Cours.06.Sansfil.2 Theorie

|Views: 19|Likes:
Published by Lily Babou
ƒ Introduction ƒ Aspects théoriques • Normalisation 802.11 • Couche physique • Composants et architecture Protocole
ƒ Introduction ƒ Aspects théoriques • Normalisation 802.11 • Couche physique • Composants et architecture Protocole

More info:

Published by: Lily Babou on Jun 10, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

02/10/2014

pdf

text

original

Sections

Réseaux locaux sans fil « WiFi »

Catherine Grenet et Marie-Claude Quidoz Meudon, 11 et 12 mai 2006

Remerciements
Ces transparents sont extraits du tutoriel « Architecture des réseaux sans fil » donné par Daniel Azuelos aux JRES 2005 http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

2

Plan (1/2)
Introduction Aspects théoriques
• Normalisation 802.11 • Couche physique • Composants et architecture • Protocole • Sécurité
• WEP • 802.1X et WEP dynamique • WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

3

Plan (2/2)
Architecture de réseau
• Réseau sans fil isolé du réseau filaire • Portail web d’accès • Affectation dynamique de VLAN • Points d’accès virtuels • Commutateur sans fil • Passerelle de sécurité • Choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

4

Pourquoi déployer un réseau sans fil aujourd'hui ?
Pour faciliter la connexion des utilisateurs itinérants, en particulier dans les espaces collectifs Pour connecter des locaux impossibles ou trop coûteux à câbler (amiante, monument historique) Pour mettre en place une connexion provisoire (travaux) Pour occuper l'espace : offrir le service pour éviter les installations pirates Le sans fil n'est pas destiné à remplacer intégralement le câblage filaire (fiabilité, débit) Il n’est pas fait pour connecter des serveurs !

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

5

Les différents types de réseau sans fil
WPAN Nom commun Bande de fréquence Portée Débit théorique Bluetooth et autres 2,4 GHz qq m 3 Mb/s WLAN WiFi WMAN WiMax WWAN GSM, GPRS, UMTS

2,4 / 5 GHz 2 – 11 GHz 900 / 1800 MHz 1900 / 2200 MHz 100 m 54 Mb/s 50 km 70 Mb/s Accès IEEE 802.16 35 km 9600 Kb/s -> 2 Mb/s Téléphonie et données ITU

Applications Connexion Réseau périphériques local Norme IEEE 802.15 IEEE 802.11

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

6

Plan (1/2)
Introduction Aspects théoriques
Normalisation 802.11
• Couche physique • Composants et architecture • Protocole • Sécurité
• WEP • 802.1X et WEP dynamique • WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

7

Normalisation 802.11
« Wi-Fi » est un label d'interopérabilité délivré par la Wi-Fi alliance : groupement de constructeurs qui publie des listes de produits certifiés (http://www.wi-fi.org/) 802.11 (1997) : jusqu’à 2 Mb/s 802.11 (1999) : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications 802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplément à 802.11) 802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplément à 802.11) 802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement à 802.11)
• compatible avec 802.11b
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 8

Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP) gestion de la mobilité 802.11h (2003) : pour l'utilisation de 802.11a en Europe sélection dynamique de canal et gestion de la puissance d'émission 802.11i (2004) : sécurité 802.11e (2005) : qualité de service Travaux en cours :
• 802.11k : mesure de la qualité de la liaison radio • 802.11n : débit > 100 Mb/s • 802.11r : transfert rapide de connexion entre bornes • 802.11s : réseaux maillés

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

9

Plan (1/2)
Introduction Aspects théoriques
• Normalisation 802.11

Couche physique
• Composants et architecture • Protocole • Sécurité
• WEP • 802.1X et WEP dynamique • WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

10

Onde électromagnétique

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

11

Spectre électromagnétique

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

12

Emission / réception radio
Principe : transmission de l'information par modulation d'une porteuse Le signal transmis est caractérisé par son spectre

P (W) F (Hz) F porteuse En radio, la puissance est souvent exprimée en dBm (décibels « milliwatt »)
dBm = 10*log10(P/ 0.001) 0 dBm 1 mW
13

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

802.11b : modulation
DSSS : Direct Sequence Spread Spectrum étalement de spectre, séquence directe Données à transmettre Signal à transmettre +

Séquence d’étalement (signal pseudo-aléatoire connu de tous) Selon la vitesse de transmission
• codage de 1, 4 ou 8 bits simultanément • puis modulation de phase à 2 ou 4 états
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 14

802.11 b : canaux

• Bande 2,4 GHz • 14 canaux de 22 MHz • seulement trois canaux disjoints

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

15

802.11a
OFDM : Orthogonal Frequency Division Multiplexing
20 MHz

5,15

GHz 12 canaux disjoints divisés en 52 sous-porteuses 5,825

48 sous-canaux de données

4 sous-canaux pour correction d’erreur
16

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

802.11g
Bande 2,4 GHz Transmission DSSS pour les débits ≤ 11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b Transmission OFDM pour les débits supérieurs La compatibilité 802.11b ne ralentit pas le débit des trames de données des stations 802.11g, mais certaines trames de gestion (balise) et de contrôle (trames de protection) doivent être émises à des débits compatibles avec le 802.11b

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

17

802.11n
Groupe d’étude n du 802.11 (TGn) draft 1.0 approuvé en mars 2006
• n’a pas passé l’étape suivante => draft 2.0 (au moins !)

normalisation en 2007 ? Débits annoncés jusqu’à 600 Mb/s MIMO : Multiple Input Multiple Output
• plusieurs antennes / émetteurs / récepteurs radios • transmission des données en parallèle sur le même canal en utilisant les

trajets multiples

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

18

Réglementation (ARCEP ex-ART)
Puissances autorisées depuis juillet 2003 (exprimées en PIRE : Puissance Isotrope Rayonnée Equivalente)
Fréquences (MHz) Canaux 2400 - 2454 2454 -2483,5 1-8 9-13 Intérieur 100 mW 100 mW Extérieur 100 mW 10 mW

Les usages privés (réseaux indépendants, usages particuliers) ne nécessitent pas de démarche auprès de l’ART.

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

19

Plan (1/2)
Introduction Aspects théoriques
• Normalisation 802.11 • Couche physique

Composants et architecture
• Protocole • Sécurité
• WEP • 802.1X et WEP dynamique • WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

20

Caractérisques induites par le support
Support partagé par tous Pas de limite franche ni visible au delà de laquelle la réception est impossible Le signal peut être brouillé par une source extérieure Le support de transmission est beaucoup moins fiable qu'en réseau filaire, et non maîtrisé Les stations ne sont pas fixes, mais portables, voire mobiles Certaines stations peuvent être cachées les unes aux autres Les vitesses de propagation peuvent varier dans le temps et être asymétriques

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

21

Architecture 802.11
Station : toute machine équipée d’une interface 802.11 BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent en communication BSS indépendants = réseaux « ad hoc »

STA 1 STA 2 BSS 2 BSS 1 STA 3 STA 4

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

22

Architecture 802.11 (suite)
Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès est une station qui fournit l'accès au DS Réseau d'infrastructure
STA 2 BSS 1

STA 1

PA Système de distribution (DS) PA
STA 3 STA 4 BSS 2

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

23

Architecture 802.11 (suite)
ESS (Extended Service Set) : ensemble de BSS interconnectés par un système de distribution Les stations peuvent communiquer entre elles et passer d'un BSS à l'autre à l'intérieur d'un même ESS ESS
STA 1 STA 2 BSS 1

PA Système de distribution (DS) PA
STA 3 STA 4 BSS 2

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

24

Protocole : accès au média
Média partagé => 802.11 définit deux méthodes d'accès DCF (Distributed Coordination Function)
• Dans toutes les stations, sur réseau ad hoc et d'infrastructure • CSMA/CA Carrier Sense Multiple Access Collision Avoidance • Principe : la station écoute le média pour vérifier qu'il est libre avant d'émettre

(idem CSMA/CD)

• Mais elle ne peut pas détecter les collisions • parce qu'elle n'entend pas nécessairement toutes les stations • parce que la liaison radio est half duplex • Avoidance => la station réceptrice émet un ACK qui indique que la trame a

été correctement reçue et qu'il n'y a pas eu de collision avant d'émettre les données contrôlé par le paramètre dot11RTSThreshold

• Mécanisme supplémentaire : émetteur et récepteur échangent un RTS/CTS

PCF (Point Coordination Function)
• Uniquement dans les points d’accès, peu implémentée • Le PA contrôle l’accès au média (par interrogation des stations)
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 25

Protocole : types de trames
Trames de gestion
• balise (beacon) • Probe Request / Response • authentification • association

Trames de contrôle
• contribuent au bon acheminement des trames de données • exemple : ACK, RTS/CTS

Trames de données

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

26

Protocole : découverte des réseaux
Le point d'accès émet à intervalles réguliers (~ 100 ms) des trames balise (beacon) qui contiennent :
• SSID Service Set Identifier : chaîne de caractères identifiant le réseau sans fil

Les points d’accès d’un même ESS émettent le même SSID
• Débits supportés

La station peut émettre des trames Probe Request pour identifier les réseaux sans fil disponibles sur différents canaux Le point d'accès lui renvoie une trame Probe Response (mêmes infos que dans la balise) Pour utiliser le réseau sans fil, la station doit s'authentifier et s'associer

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

27

Authentification et association
non authentifié, non associé Authentification réussie authentifié, non associé Association ou réassociation réussie authentifié, associé Désassociation Dé-authentification

Dé-authentification

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

28

Authentification
Deux modes d'authentification :
• ouvert (open system) • partagé (shared key)

Mode d’authentification Open System Demande d'authentification PA Succès Shared key Demande d'authentification PA Challenge Challenge chiffré Succès

STA

STA

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

29

Association – réassociation
La station envoie au PA une demande d'association Si la station est déjà authentifiée le PA accepte la demande et retourne un identificateur d'association (Association ID) La station peut alors échanger des trames de données avec les autres stations de l'ESS Réassociation : lorsqu'une station se déplace d'un BSS à l'autre

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

30

Protocole : adressage
Adresses sur 48 bits, même format qu'une adresse Ethernet Une trame 802.11 contient 4 champs adresse, dont la signification varie en fonction du type de trame
Contrôle Durée/ID Adr 1 Adr 2 Adr 3 Contrôle Adr 4 Données CRC de séq.

type de trame
• gestion • contrôle • données

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

31

Protocole : adressage
Les 4 champs adresse indiquent : Le BSSID : il identifie de manière unique un BSS
• mode infrastructure : adresse MAC du point d'accès • mode ad hoc : choisie de manière à être unique • à ne pas confondre avec le SSID (aussi appelé ESSID)

L’adresse de destination : adresse du destinataire final L’adresse source : adresse de la station qui a initialement émis la trame L’adresse du récepteur : adresse du destinataire immédiat L’adresse de l’émetteur : adresse de la station qui émet la trame

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

32

Protocole : adressage
Exemple : station 1 émettant une trame de données vers station 2
Réseau filaire STA1 PA1 PA2 STA2

PA1

STA1 STA2

_

STA2

PA2

STA1

_

La station lit le champ Adr 1 pour savoir si une trame lui est ou non adressée Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vérifie de plus que le BSSID est celui du PA auquel elle est associée

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

33

Mobilité
STA Nouveau PA PA courant

Authentification Demande de réassociation BSSID ancien PA STA était associée ? Oui Réassociation réussie Trames en tampon destinées à STA Fin association avec STA
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 34

Plan (1/2)
Introduction Aspects théoriques
• Normalisation 802.11 • Couche physique • Composants et architecture • Protocole

Sécurité
• WEP • 802.1X et WEP dynamique • WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

35

Risques liés aux réseaux sans fil
Média partagé => les écoutes sont possibles Pas de limite franche ni visible au delà de laquelle la réception est impossible, donc en l'absence de mécanismes appropriés n'importe qui peut :
• écouter le réseau • se connecter au réseau (et utiliser l'accès Renater de l'unité par exemple)

Le signal peut être brouillé par une source extérieure Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

36

Historique et terminologie
1999 : WEP (802.11) 2001 : 802.1X => authentification 802.1X + chiffrement WEP dynamique 2003 : WPA (Wi-Fi Protected Access) :
• spécification publiée par la Wi-Fi Alliance, et reprenant une bonne partie du

draft 3.0 de 802.11i en attendant la ratification de la norme

2004 : 802.11i MAC Security Enhancements WPA2 : label de la Wi-Fi Alliance pour 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

37

WEP
Wireless Equivalent Privacy Intégré à la norme 802.11 de 1999 Principes :
• clé secrète (40 ou 104 bits) partagée par toutes les stations • authentification par défi / réponse • confidentialité par chiffrement symétrique

Problèmes et limitations
• la clé peut être découverte par simple écoute du réseau avec des logiciels du

domaine public (AirSnort, Aircrack…)
• pas de mécanisme de distribution des clés

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

38

Plan (1/2)
Introduction Aspects théoriques
• Normalisation 802.11 • Couche physique • Composants et architecture • Protocole • Sécurité
• WEP

802.1X et WEP dynamique • WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

39

802.1X + WEP dynamique
802.1X permet une authentification « sérieuse » des utilisateurs avant connexion au réseau Les clés sont générées à l’aide de protocoles de chiffrement et distribuées sous forme chiffrée sur le réseau sans fil Une clé WEP par utilisateur et par session Clé commune pour les trames multicast Renouvelée suffisamment souvent dans le courant de la session pour qu’elle ne puisse pas être découverte (~ quelques minutes) Avantages :
• empêche la découverte des clés • distribution automatique des clés

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

40

802.1 X
Port-Based Network Access Control (2001, révision 2004) Protocole permettant de n'autoriser l'accès à un port réseau qu'après authentification Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802 port réseau = port de commutateur (802.3) association (802.11) Composants :
• système à authentifier (supplicant ) : qui demande l'accès au réseau • système authentifiant ou relais d’authentification (authenticator ) :
• contrôle l’accès au réseau • ne fait que relayer les échanges d’authentification avec le serveur

• serveur d'authentification : détermine si le système à authentifier est autorisé

à accéder au(x) service(s) dont l'accès est contrôlé par le relais
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 41

802.1X : port contrôlé et port non contrôlé

Port contrôlé Port non autorisé

Port non contrôlé

Port contrôlé Port autorisé

Port non contrôlé

Point d’attachement

Point d’attachement

Réseau local
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

Réseau local
42

802.1X : authentification

Port contrôlé

Port non contrôlé Autorisation Serveur d’authentification

Système à authentifier

Point d’attachement

Point d’attachement

EAP

Réseau local
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 43

EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
• développé à l'origine pour l’authentification des utilisateurs se

connectant en PPP sur des serveurs d’accès distants
• permet d'encapsuler différents protocoles d'authentification et donc

de ne pas les implémenter dans le serveur RAS, qui les relaie vers un serveur d'authentification
• l'authentification elle-même repose sur des « méthodes »

(protocoles) définies par ailleurs et encapsulées dans EAP

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

44

Méthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST LEAP (Lighweight EAP)
• Propriété Cisco • Authentification mutuelle du client et du serveur par MS-CHAPv1 • Clés dynamiques dérivées des échanges MS-CHAP • Problèmes de sécurité liés à l’utilisation de MS-CHAPv1 => obsolète

TLS
• RFC 2716 • Authentification mutuelle du client et du serveur par certificats X.509 • Permet de dériver des clés de chiffrement • Méthode d’authentification de facto pour 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

45

Méthodes EAP (suite)
TTLS
• draft-ietf-pppext-eap-ttls-05 • Authentification du serveur par certificat X.509 • Utilisation du tunnel chiffré TLS pour faire passer un autre protocole d’authentification

: PAP, CHAP, MD5, MS-CHAP…
• authentification interne par AVP (paires attribut-valeur)

PEAP (Protected EAP)
• ≈ TTLS • Utilisation du tunnel chiffré TLS pour faire passer un autre échange EAP (EAP over

EAP)

Avantage / TLS : possibilité de réutiliser les systèmes d’authentification existants (annuaire LDAP par exemple) EAP-FAST (Cisco) : fait pour accélérer la réauthentification lors d’un handover

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

46

802.1X : protocoles

Station Station EAP over LAN

Point d’accès Point d’accès

Serveur d’authentification Serveur d’authentification EAP over RADIUS

EAP-TLS, EAP-TTLS... EAP RADIUS 802.1X (EAPoL) UDP / IP 802.11 802.3

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

47

802.1X : EAPoL
définit EAPoL : EAP over LAN encapsulation des paquets EAP sur les réseaux 802
• champ Type Ethernet = 0x888E

4 types de message :
• EAP-Start : envoyé au PA par la station qui veut démarrer l’authentification • EAP-Logoff : envoyé par la station, le port est remis dans l’état non autorisé

par le PA
• EAP-Packet : transporte les informations d’authentification • EAP-Key : pour transmettre une clé entre le PA et la station

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

48

RADIUS
Remote Authentication Dial In User Service originellement (RFC 2138 -> 2865) défini pour le transport d’informations d’authentification et de configuration entre un serveur d’accès distant et un serveur d’authentification

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

49

RADIUS (suite)
Utilise le port UDP 1812 repose sur un secret partagé entre le serveur et le client (ici le point d’accès) Les messages EAP sont encapsulés dans 4 types de trames :
• messages point d’accès -> serveur : Access Request • messages serveur -> point d’accès relayés vers la station : Acess Challenge • messages serveur -> point d’accès indiquant que l’authentication a réussi : Access

Accept
• messages serveur -> point d’accès indiquant que l’authentication a

échoué : Access Reject

RADIUS -> DIAMETER (RFC 3588 9/2003)
• site officiel : http://www.diameter.org/ • logiciel open source : http://www.opendiameter.org/

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

50

802.1X : dialogue EAP

Station

Point d’accès EAP Request/Identity

Serveur d’authentification

EAP Response/Identity

Access Request - EAP Response/Identity

Authentification (dialogue EAP) Access Accept EAP Success EAPoL-Key

802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

RADIUS
51

802.1X : dialogue EAP- authentification
4 types de paquets EAP : Request, Response, Success, Failure

Station

Point d’accès

Serveur d’authentification

Access Request - EAP Response/Identity EAP Request EAP Response Access Request - EAP Response 802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

Access Challenge - EAP Request

RADIUS
52

Plan (1/2)
Introduction Aspects théoriques
• Normalisation 802.11 • Couche physique • Composants et architecture • Protocole • Sécurité
• WEP • 802.1X et WEP dynamique

WPA et 802.11i

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

53

WPA et 802.11i
Reposent également sur l’authentification 802.1X Deux modes :
• « personnel » pour environnements SOHO • « entreprise » pour les structures plus importantes

Gestion et distribution des clés Deux nouveaux mécanismes de chiffrement :
• TKIP (WPA) • CCMP (802.11i)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

54

WPA/802.11i : principe
Authentification de la station par le serveur d’authentification avant que le point d’accès ne lui accorde l’accès au réseau
=> dérivation d’une clé maîtresse connue du serveur et du client (et d’eux seuls) clé maîtresse => dérivation d’une clé maîtresse « pair à pair » (PMK)
• par la station • fournie par le serveur au point d’accès

PMK => dérivation des clés de session (unicast, multicast)

Authentification du serveur par la station
• important dans l’environnement sans fil (points d’accès sauvages)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

55

WPA/802.11i : fonctionnement

Station

Point d’accès

Serveur d’authentification

Découverte de la politique de sécurité Phase 1 Authentification 802.1X

Phase 2

Phase 3

Distribution clé (802.1X) Liaison chiffrée établie

Distribution clé (RADIUS)

Phase 4

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

56

WPA/802.11i : phase 1
Mode d’authentification = ouvert Le point d’accès annonce les politiques de sécurité supportées dans les trames Beacon et Probe Response RSNA : Robust Security Network Association Ajout d’un champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response Le champ RSN IE décrit :
• le type de chiffrement du trafic unicast et multicast :
• WEP-40, WEP-104, TKIP, CCMP (défaut)

• la méthode d’authentification et de gestion des clés :
• 802.1X (défaut), clé pré-partagée

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

57

WPA/802.11i : phase 1 (suite)

Probe Request Probe Response RSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X Authentification Open System Authentification Open System (succès) Association Request RSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X Association Response (succès)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

58

WPA/802.11i : phases 2 et 3

Station

Point d’accès EAP Request/Identity

Serveur d’authentification

EAP Response/Identity

Access Request - EAP Response/Identity

Authentification (dialogue EAP) Dérivation de la clé maîtresse Dérivation PMK Dérivation PMK Access Accept (+ PMK) EAP Success Génération clés de session 802.1X / EAPoL
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

RADIUS
59

WPA/802.11i : phases 2 et 3
Génération des clés (suite) : procédure dite 4-way handshake : échange de 4 messages EAPoL-Key qui permettent de:
• s’assurer que le client détient bien la PMK • de dériver un ensemble de clés de chiffrement et d’intégrité
• à partir de la PMK, des adresses MAC du client et du point d’accès de deux

nombres aléatoires • de chiffer le transport de la clé de groupe

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

60

WPA/802.11i : mode « personnel »
destiné aux réseaux adhoc et réseaux personnels (à domicile) même mécanisme de découverte de la politique de sécurité pas d’authentification 802.1X clé pré-partagée est dérivée d’un mot de passe et sert directement de PMK même procédure de 4-way handshake mêmes techniques de chiffrement : TKIP CCMP

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

61

TKIP
Temporal Key Integrity Protocol Amélioration de WEP Chiffrement RC4 (pour pouvoir utiliser les mêmes puces) Clé de chiffrement des trames est dérivée d’une clé maîtresse (<> WEP où la clé maîtresse chiffre directement les trames) Une clé différente pour chaque trame Ajout d’un numéro de séquence pour contrer les attaques par rejeu Ajout d’une séquence de contrôle d’intégrité (y compris sur adresse source)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

62

802.11i : nouveautés par rapport à WPA
Chiffrement CCMP
• Counter Mode with CBC-MAC Protocol • Sans souci de compatibilité avec WEP => nouvelles puces • Chiffrement AES

Pré-authentification (pour le handover)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

63

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

64

Avant de commencer
Spécifications du projet : un réseau sans fil… où ça ?
• dans des zones précises : bibliothèque, cafétéria… • dans l’ensemble du/des bâtiments • et aussi dans le parc ?

pour qui ? nombre et type d’utilisateurs
• personnel permanent • invités (ayant à travailler avec le labo) • gens de passage : colloques, formations…

pour quoi faire ?
• au minimum : offrir un accès internet • un peu plus : accès à une imprimante locale • au maximum : accès à l’ensemble des ressources du réseau

En général, tout ça en même temps pour différentes catégories d’utilisateurs

avec quels équipements ?
• type de plate-forme : matériel, système d’exploitation

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

65

Plan (2/2)
Architecture de réseau
réseau sans fil isolé du réseau filaire
• portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

66

Réseau sans fil isolé du réseau filaire
Réseau sans fil Réseau filaire Pare-feu Internet

Tous les PA dans le même VLAN

Dispositif de contrôle d’accès

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

67

Réseau sans fil isolé du réseau filaire

DMZ Réseau extérieur C-R DMZ Serveurs Clients Sans fil Sans fil Réseau extérieur DMZ GB C-R Serveurs Clients

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

68

Réseau sans fil isolé du réseau filaire
Réseau local Réseau interne

Internet

Zone(s) semi-ouverte(s)

Réseau sans fil Accès client vers Internet Accès services externes : publics (DNS, HTTP…) sur authentification (HTTPS, IMAPS, SMTPS…)
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 69

Réseau sans fil isolé du réseau filaire
accès aux équipements actifs :
• autorisé depuis le réseau filaire • interdit depuis le réseau sans fil

accès autorisés du réseau sans fil vers le réseau filaire :
• au serveur DHCP • aux serveurs DNS • aux services publics (web etc.) • aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS,

SSH… (pour les utilisateurs internes)

accès du sans fil vers le reste de l’internet
• peut être limité à certains ports (sans être trop restrictif) • empêcher les connexions entrantes

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

70

Réseau sans fil isolé du réseau filaire
Accès supplémentaires possibles pour les utilisateurs identifiés via VPN

Internet Internet

Concentrateur VPN

Réseau du laboratoire

Réseau Réseau Sans fil Sans fil

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

71

Réseau sans fil isolé du réseau filaire + VPN
Solution (presque) idéale pour les petites structures Inconvénient (de taille) : absence de contrôle d’accès au réseau sans fil
• risque dépendant de l’environnement • possibilité d’utilisation illicite des réseaux de la recherche • responsabilité vis-à-vis de Renater et d’Internet en général

Améliorations possibles :
• WEP • ≈ réseau ouvert • mais personne ne peut s’y connecter par hasard • panneau « Accès réservé »
• OK pour une petite structure (quelques bornes), au-delà problème de gestion

des clés

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

72

Réseau sans fil isolé du réseau filaire + VPN
Améliorations possibles (suite):
• contrôle d’accès par adresse MAC
• peut être local à la borne • ou centralisé sur un serveur RADIUS

Mise en œuvre avec un serveur RADIUS :
• Le PA envoie une requête Access-Request avec :

User-Name et User-Password : adresse MAC de la station
• Fichier users :

00904b1d9fd8 Auth-Type:=Local, User-Password="00904b1d9fd8"

Avantage de ces solutions : fonctionnent avec tous les clients

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

73

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire

portail web d’accès
• affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

74

Portail web d’accès
« portail captif » Logiciels libres :
• NoCat (http://nocat.net/)
• NoCatAuth : version originale en Perl • NoCatSplash : portage en C

• M0n0wall (http://m0n0.ch/wall/) • talweg (http://sourcesup.cru.fr/talweg/)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

75

Portail web d’accès : fonctionnement
Réseau public Réseau dont on veut contrôler l’accès Routeur ou pont @ IP (DHCP) HTTP Login ? Passwd ? Authentification ? Nom d’utilisateur et mot de passe Serveur d’authentification

Succès de l’authentification Autorisation d’accès

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

76

Portail web d’accès : fonctionnement
L’autorisation d’accès au réseau se fait par modification des règles de filtrage Fin d’autorisation d’accès ?
• bouton « déconnexion » : pas forcément utilisé • par requêtes ARP ou ICMP périodiques

Protection des échanges
• les données d’authentification doivent être échangées en HTTPS • le reste du trafic n’est pas protégé => recommandations aux utilisateurs

Solution satisfaisante
• pour l’accueil des visiteurs • parce qu’elle fonctionne avec tous les clients
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 77

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès

affectation dynamique de VLAN
• points d’accès virtuels • commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

78

Affectation dynamique de VLAN
La séparation réseau sans fil / réseau filaire
• a été imposée par des contraintes de sécurité • compte tenu des fonctionnalités des premiers matériels

Aujourd’hui les réseaux filaires sont segmentés en VLAN
• permet d’attribuer des droits différents à des groupes d’utilisateurs

différents
• avec les limites du VLAN par port (VLAN visiteur ?)

Affectation dynamique de VLAN
• prolonger la structure du réseau filaire sur le réseau sans fil • avec des mécanismes adaptés aux réseaux sans fil

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

79

Affectation dynamique de VLAN
Serveur d’authentification VLAN 1 Ex : visiteurs

Utilisateur 1 VLAN 1

Point d’accès sans fil VLAN 1 VLAN 2

Commutateur Ethernet

Utilisateur 2 VLAN 2

Tag 802.1Q

VLAN 2 Ex : permanents

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

80

Affectation dynamique de VLAN
Repose sur l’authentification 802.1X le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le message Access-Accept
Tunnel-Type=VLAN (13) Tunnel-Medium-Type=802 (6) Tunnel-Private-Group-ID=<numéro de VLAN>

Fonctionne sur le filaire comme sur le sans fil :
• un commutateur Ethernet affecte le port auquel est connecté le client dans

le VLAN retourné par le serveur RADIUS
• un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN

correspondant à l’utilisateur

Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès (nomadisme sur un campus)
Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006 81

Affectation dynamique de VLAN

Portail d’accès web Pas d’authentification 802.1X

VLAN par défaut Parefeu

PA Authentification 802.1X

Réseau du labo Serveur d’authentification

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

82

Affectation dynamique de VLAN
On peut avoir des fonctionnalités ~ équivalentes à celles des VLAN filaires sur le sans fil à deux conditions :
• un BSSID par VLAN : une station ne traite les trames adressées à des

adresses de groupe que si le BSSID est celui du PA auquel elle est associée
• clés de groupe différentes pour chaque groupe d’utilisateurs : pour que les

trames ne puissent pas être déchiffrées par toutes les stations

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

83

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN

points d’accès virtuels
• commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

84

Points d’accès virtuels
Chaque PA peut émettre plusieurs SSID A chacun de ces SSID est associé :
• un VLAN sur le réseau filaire • une méthode et un serveur d’authentification

Permet de gérer plusieurs réseaux administrativement distincts sur la même infrastructure Permet d’avoir un BSSID par VLAN Possibilité d’affecter ensuite dynamiquement le VLAN en 802.1X ?

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

85

Points d’accès virtuels

SSID 1

Point d’accès sans fil VLAN 1

VLAN 1 Auth : portail d’accès web

Commutateur Ethernet

SSID 2

VLAN 2 VLAN 2 Auth : MAC adresse

Tag 802.1Q

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

86

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels

commutateur sans fil
• passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

87

Commutateur sans fil
Aussi appelé « contrôleur » Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace (racheté par Cisco) Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil Un certain nombre de fonctions habituellement gérées dans les points d’accès sont déportées sur le commutateur
• authentification • association • chiffrement • interconnexion avec le réseau filaire

=> notion de point d’accès « léger »

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

88

Commutateur sans fil
Fonctionnement : établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser à l’IETF
• LWAPP (Airespace/Cisco) • CAPWAP • SLAPP (Trapeze, Aruba)

Solutions propriétaires :
• fonctionnent avec les points d’accès fournis par le constructeur • même si acceptent généralement les PA d’autres constructeurs
• perte de la plupart des fonctionnalités intéressantes

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

89

Commutateur sans fil : niveau physique

Tunnels

Points d’accès

Commutateurs Ethernet

Commutateur sans fil

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

90

Commutateur sans fil : niveau logique
Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux points d’accès
Réseau sans fil Commutateur sans fil Points d’accès SSID 1 VLAN 2 Tunnels SSID 2 Tag 802.1Q
91

SSID 1

Réseau filaire

SSID 2

VLAN 1

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

Commutateur sans fil : gestion de la radio
Ajustement dynamique de la puissance et du canal de chaque point d’accès autocalibration du réseau radio ? Les points d’accès peuvent ou non fonctionner simultanément en mode sonde
• Détection des interférences • Détection / neutralisation des points d’accès sauvages

Détection des réseaux ad hoc
• Détection d’attaques 802.11 classiques • Localisation géographique des points d’accès et des clients

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

92

Commutateur sans fil : gestion de la radio
Gestion de la bande passante par utilisateur(s), par application, par VLAN Possibilité d’interdire les communications directes entre clients
• Equilibrage de charge entre points d’accès adjacents

Possibilité d’affecter des priorités aux différents flux Gestion de la mobilité

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

93

Authentification et contrôle d’accès
Portail 802.1X, EAP, TLS, TTLS… VPN IPsec et SSL Base interne / externe (LDAP, AD…) Fonctions de contrôle d’accès + ou - sophistiquées :
• filtrage IP • pare-feu stateful • par utilisateur, groupe d’utilisateurs, VLAN

Système de détection d’intrusion embarqué

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

94

Administration et supervision
Gestion centralisée des points d’accès
• configurations • mises à jour logicielles

Détection et configuration automatique des points d’accès Tableau de bord, statistiques (par station, par point d’accès, globales…) Plan de site avec localisation des points d’accès

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

95

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil

passerelle de sécurité
• choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

96

Passerelle de sécurité
Constructeur : exemple Ucopia Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil solution non spécifique aux réseaux sans fil
• fonctionne avec tous les PA • Commutateur sans fil traite les trames 802.11 émises par les stations • Passerelle traite les trames 802.3 émises par les points d’accès

agrégat de fonctions permettant de gérer les utilisateurs mobiles, visiteurs…

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

97

Passerelle : exemple Ucopia
logiciel sur PC/Linux équipé de 2 interfaces réseau, intégrant un certain nombre de briques de logiciels libres se place en coupure de réseau
• physique ou logique

possibilité d’avoir plusieurs SSID par bornes (si elles le supportent)
• et d’y associer des méthodes d’authentification différentes • chaque SSID est associé à un VLAN en sortie de la borne • VLAN peut être redéfini en fonction du profil de l’utilisateur en sortie de la

passerelle

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

98

Passerelle : exemple Ucopia

Réseau sans fil SSID 1 VLAN 1 SSID 2 Points d’accès SSID 1

Réseau filaire

VLAN 3

VLAN 4 Passerelle VLAN 2

SSID 2

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

99

Passerelle Ucopia : authentification et contrôle d’accès
Authentification
• par nom d’utilisateur et mot de passe en HTTPS • 802.1X / EAP-TLS, TTLS, PEAP • par carte à puce (EAP-SHA1, développement propre) • serveur RADIUS embarqué (peut être configuré en proxy vers un autre

serveur RADIUS)

Contrôle d’accès
• fonction du profil de l’utilisateur • par mise en place de filtres correspondant au profil de l’utilisateur sur le

contrôleur pour la durée de la connexion (iptables)
• possibilité d’affecter un VLAN en fonction du profil de l’utilisateur en sortie

du contrôleur

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

100

Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN) « Zéro configuration » : reconnaissance et redirection de certains flux
• SMTP -> serveur de messagerie local • HTTP • impression : par l’intermédiaire du serveur d’impression embarqué

Gestion des points d’accès : par SNMP
• configuration • stockage et traitement des logs

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

101

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil • passerelle de sécurité

choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

102

Choix de la méthode EAP
méthode EAP fondée sur TLS pour :
• authentification du serveur par le client • protection des informations d’identité de l’utilisateur • la génération de clés de session robustes

=> EAP-TLS, EAP-TTLS, PEAP

EAP-TLS
• pour :
• le plus largement supporté • client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3 • le CNRS dispose d’une IGC

• contre :
• il faut distribuer des certificats à tous les utilisateurs

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

103

Choix de la méthode EAP
EAP-TTLS
• pour :
• permet de réutiliser les bases d’authentification existantes (LDAP, AD…)

• contre :
• nécessite un client spécifique pour Windows • SecureW2 (http://www.securew2.com/)

PEAP
• à envisager dans un environnement « tout Windows »

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

104

Choix de la méthode de chiffrement
Ne pas être maximaliste WEP dynamique : raisonnable TKIP : si on peut le faire, tant mieux CCMP : prématuré

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

105

Serveur d’authentification
Serveur RADIUS
• de multiples implémentations commerciales • open source : FreeRadius • Microsoft IAS (Internet Authentication Server)

FreeRadius
• http://www.freeradius.org/ • liste de diffusion : freeradius-users@lists.freeradius.org (verbosité ++) • Linux, FreeBSD, NetBSD, Solaris • authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et d’autres • autorisation : fichier local, LDAP (OpenLDAP), base SQL

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

106

FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb radiusd.conf, eap.conf, clients.conf et users radiusd.conf : généralités
• adresse, port • logs

clients.conf :
client 194.57.138.2 { secret = monalisa shortname = bsf2 nastype = other }

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

107

FreeRadius : configuration
eap.conf :
tls { # private_key_password = whatever private_key_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem certificate_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem CA_file = ${raddbdir}/certs/LOCAL/CA.pem dh_file = ${raddbdir}/certs/LOCAL/dh random_file = /dev/urandom # fragment_size = 1024 # include_length = yes # check_crl = yes check_cert_cn = %{User-Name} }

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

108

FreeRadius : configuration
users :
• #

# CN des utilisateurs autorises a se connecter avec certificat # 'Catherine Grenet' Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 12 # # La ligne suivante permet de refuser l'acces aux utilisateurs # qui ne sont pas dans la liste ci-dessus # DEFAULT Auth-Type := Reject

test : radiusd –X

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

109

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

110

Propagation

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

111

Transparence

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

112

Interférences

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

113

Interférences

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

114

Couverture

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

115

Construction du réseau

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

116

Classes d’usage

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

117

Classes d’usage

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

118

Plan des fréquences

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

119

Réglage des PA

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

120

802.3af
Power Over Ethernet (PoE) permet de fournir une puissance inférieure à 15 W sous 48 V en courant continu sur le câble Ethernet transporté
• soit sur les deux paires qui transportent les données (1-2 et 3-6) • soit sur les deux paires inutilisées (4-5 et 7-8)

L’alimentation peut être fournie :
• soit par le commutateur Ethernet • soit par un injecteur

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

121

802.3af
Câbles RJ-45 Commutateur Point d’accès

Commutateur

Injecteur

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

122

Plan (2/2)
Architecture de réseau
• réseau sans fil isolé du réseau filaire • portail web d’accès • affectation dynamique de VLAN • points d’accès virtuels • commutateur sans fil • passerelle de sécurité • choix de mise en œuvre

Déploiement du réseau radio Outils

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

123

Outils
Analyseur de spectre Scanner actif
• Netstumbler (Windows) : http://www.netstumbler.com/ • iStumbler (Mac OS X) : http://istumbler.net/

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

124

Outils : scanners et analyseurs
Scanners passifs et analyseurs fonctionnent sur une carte réseau en mode RFMON
• permet de capturer tous les paquets 802.11 • ≈ mode « promiscuous » pour une carte Ethernet • RFMON = mode écoute seulement (<> Ethernet)

Kismet : http://www.kismetwireless.net/
• Linux • détection des points d’accès • capture du trafic

WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/ Ethereal sous Linux (pas de mode RFMON sous Windows)

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

125

Bibliographie succinte
Daniel Azuelos, Architecture des réseaux sans fil, 2005, http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf Matthew Gast, 802.11 Réseaux sans fil, 2e édition, O’Reilly, 2005 Luc Saccavini, Le protocole IEEE 802.1X, 2003, http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE 802.11i Overview, 2002

Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006

126

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->