WIFI et Sécurité

Décembre 2004 Décembre 2007

Sommaire
Besoins
Data, Voix, Autres

Point clefs
Architecture Légère et Bornes Lourdes Couverture et débit Qualité et continuité de service

Sécurité
Encryption Authentification Détection

Acteurs du marché

Administration

Besoins Voix : Projet Remplacement des IBPX (solution Aastra . 500 téléphones Wifi. Data : PPSI : Prescriptions et Plan de Soins Informatisés En production : 21 services couverts par le Wifi. 350 lits. Autre : Monitoring / Télémétrie Géo localisation . Développement de la VoIP . Installations de 14 nouveaux IPBX et 7 Callserver.Matra) Remplacement de la Technologie DECT (Téléphone sans fil numérique). Objectif : 1500 téléphones IP.

Le Futur Réseau (Man) du Chu Pellegrin Hôtel Saint Marc H 1 Giga Xavier Arnozan 1 Giga H 1 Giga CMLS Lormont H 1 Giga H 1 Giga Haut Lévêque 10 Giga H 1 Giga Saint André 1 Giga H 1 Giga H 1 Giga Direction Générale H Centre Jean Abadie UCSA (Maison d’arrêt de Gradignan) H Fibres optiques louées – Neuf-Cegetel – Inolia (Cub) IRU sur 15 ans – 67 km de FO .

transport des vlans jusqu’aux bornes. Borne volé est réutilisable. configuration centralisée. Remplacement d’une borne nécessite un technicien réseau Gestion Vlans Borne « intelligente » besoin de configuration borne à borne du wifi et des réseaux (vlans. Borne volé non inutilisable. contient la configuration du réseau. gestion et redondance plus simple. Gestion Wifi LAN Intelligence sur le contrôleur. Gestion de l’environnement sans-fil cohérente.Points clefs Bornes Lourdes et Architecture Légère LAN Gestion vlans Gestion Wifi Gestion de l’environnement sans-fil limité. SSID…. .). Remplacement d’une borne par inter Conclusion: une architecture de bornes lourdes n’est pas envisageable sur un projet d’envergure Et la criticité des données transportées a renforcée notre choix vers les architectures légères.

11b et g utilisent la BF 2.4 GHz étant historiquement très utilisée en France elle est soumise a plus d’interférence. et représente un investissement plus important. » . il est moins soumis aux interférences. Dans notre projet nous avons utilisé ces 2 possibilités pour pouvoir dispatcher les réseaux (SSID) sur des Vlans différents mais aussi des bande Fréquences différentes. Il est encore peut développé sur les terminaux téléphonique.4GHertz 11 / 54 Mbps Les normes 802. Ces normes n’offre que 3 canaux utilisables (recouvrement dû au DSSS) Le 802. Utilise la technologie OFDM.B/G.11 b/g 2.11 a utilisant la bande des 5 GHz tend à devenir un standard. Il dispose de 8 canaux distincts.Points clefs Couverture et débit 802. Nos bornes seront donc A. « Trouver le juste milieu entre un niveau de sécurité acceptable et une facilité de connexion et d’administration.11a 5GHertz 54 Mbps 802.

Déplacement en VOIP norme définie espérée (QOS client / controller standardisé) – base retenue LWAPP Cisco STANDARD PROPRIETAIRE STANDARD exemple cisco Radio QoS 802.11e CAPWAP Changement de borne. .Points clefs Débit et Qualité de service QOS Roaming Handover WMM / 802.11e • EDCA – Enhanced Distributed Channel Access • U-APSD – Unscheduled Automatic Power Save Delivery WiFi WMM Label WiFi WMM-PS + TSPEC faire le lien entre la QOS sans fil et « filaire » niveau mac.

par certificat (mac) et/ou authentification (user) sur un serveur Radius Mode personnel : gestion de clef partagée (PSK) à référencer sur le contrôleur / la borne et le client.1x basé sur un serveur d’authentification..11i : norme prenant en charge le chiffrement TKIP et l’AES (Advanced Encryption Standard). WPA2 WEP = obsolète crackable via un client linux : monitor / scan du réseau / outils Airodump (capturer) + Airplay (injecter) + Aircrack (casser) 802.Sécurité 802.1x : sécuriser le niveau 2 de la connexion. Mode entreprise: par l’intermédiaire d’une infrastructure 802. ? ok ? .

par l’intermédiaire du 802.Sécurité Serveur d’Authentification : RADIUS (exemple free radius Linux) comme en mode filaire.1x initié par l’intermédiaire du protocole d’authentification EAP (Extensible Authentication Protocole) Type principaux: EAP-TLS Certificat Clients et Serveur nécessite un système de gestion de clefs publics PKI. AD. … 802.1x s’interface avec les annuaires du site : LDAP. PEAP Proche TTLS mais standard Cisco et Microsoft . EAP-TTLS Certificat Serveur gestion de clefs plus aisées.

Sécurité IDS :scan et détection de perturbation ou d’attaque sur le Wireless. utilise une base de connaissance qui doit être à jour. involontaire attaquant attaquant SSID ouvert broadcasté malveillance .

Sécurité IDS :scan et détection de perturbation ou d’attaque sur le Wireless. attaquant Détecter Localiser Alerter Verrouiller Bloquer ? involontaire Détecter Localiser Changer la topologie (canal) (poste) (signal) attaquant SSID ouvert broadcasté malveillance . utilise une base de connaissance qui doit être à jour.

Mode entreprise: par l’intermédiaire d’une infrastructure 802.1x ? . et/ou authentification sur un serveur Radius Mode personnel : gestion de clef partagée (PSK) à référencée sur le contrôleur / la borne et le client.11i : nouvelle norme prenant en charge le chiffrement TKIP et l’AES (Advanced Encryption Standard).1x : comme en mode filaire.Sécurité en résumé ER 802.. D ENC ES ER L TEG PRO 802. sécurisation par certificat. eur) ilisat e / ut hin (mac IER EAU NTIFER LE RES HE AUT PROTEG basé sur un serveur d’authentification. YPT ONNES R Connue sous le nom WPA2 (Wifi Protected Access). possibilité de sécurisé le niveau 2 de la connexion.

attaquant Détecter Détecter Localiser ) ateur utilis / involontaire Alerter R (machine R » Localiser L’AI CTE « E DET ROTEGER P P Verrouiller Ex: conf wifi du poste via GPO Changer la topologie (canal) attaquant SSID ouvert broadcasté malveillance . utilise une base de connaissance qui doit être à jour.Sécurité en résumé IDS :scan et détection de perturbation ou d’attaque sur le Wireless.

Acteurs du marché .

Acteurs du marché .

3800. 6500) si Infra Cisco existante .11v) Solution modulaire (châssis 2800.Acteurs du marché LWAPP retenu comme standard pour CAPWAP (et futur 802.

Acteurs du marché INTRANET Internet Firewall Firewall statefull : Sécurité renforcé et gestion applicative Borne nomade : extension du réseau data et voix .

Acteurs du marché Edge to Edge : Flux sensibles borne a borne possible (Voip) Borne double attachement possible. look «détecteur de fumé» .

Acteurs du marché AP 1250 AP 124 Prêt pour le n (802.11n draft 2) Les constructeurs ne sont pas d'accord sur les évolutions hardware ou non vers la ratification. MP-432 .

pour là aussi sortir du mode mono constructeur. . Intégrer des plans si possible au format Autocad (mis à jour par les services techniques) Fournir un outil simplifier de gestion de compte temporaire pour les Hot spot.11v. Futur : Attente du standard 802.Administration et supervision Administration centralisée des configuration Visualisation « temps réel » de la couverture Diagnostique de zone en cas de problème (capture ou autre) Localiser l’adresse mac d’un client (Borne ou il est connecté).

Gestion de la couverture a prendre en comte. voir si la solution fournit des outils de mesure autre que le débit. Une Borne requiert 15w (12w réel). . Attention au gestion dynamique (recalcul du plan radio = coupure). Même dans le cas d’architecture légère. Différence suivant les constructeur. Si VoIP. Pour le n.Remarques Prévoir la problématique d’alimentation des bornes. Prévoir la disponibilité en ports commutés. La latence (délai de transmission) La gigue (jitter) : variance du délai de transmission Le MOS (Mean Opinion Score) : niveau de qualité sonore.11 af) via les Switch ou des patch panel. La fourniture du POE (802. 30 w nécessaire.

Wifi et Santé Puissance Max par type de d’Émetteur Satellite : 1 000 watts Relais de télévision : 1 000 watts Emetteur radio FM : 1 000 watts Four à micro-ondes : 1 000 watts Emetteur Wimax : 200 à 1 000 watts Antenne-relais GSM : 100 watts Récepteur Wimax : 20 watts Téléphone portable GSM : 2 watts Routeur Wi-Fi : 0.1 watt .

Sign up to vote on this title
UsefulNot useful