Introduction - univ-reims.frlsteffenel/cours/Master1/RCRSF/2008/RC… · Sans le routage inter-VLAN...

LA Stefenel Master 1 Informatique - RCRSF – 2008-2009 1

Les Vi r t ual LAN

Introduction


Ar chi t ect ur e d' un r és eau

● Pour séparer, sur un réseau global, les rôles de chacun

– Solution classique : utilisation de sous-réseaux différents


Pr obl ème !

● Et si nous devons attribuer les mêmes rôles à des utilisateurs, mais répartie sur des bâtiments différents ?

– Obligation de faire de multiples sous-réseaux !


Une s ol ut i on : Les Rés eaux Locaux Vi r t uel s ( VLAN)

● Objectifs des VLAN

– Avoir des fonctions de la couche 3 avec la vitesse de la couche 2

– Faciliter la gestion de la mobilité des postes

– Supprimer la possibilité de communication entre certaines parties du réseau, sécuriser des domaines

– Pouvoir facilement attribuer des autorisations différentes, en fonction des droits et rôles de chaque groupe de personnes


Exempl e


Les VLAN I Ds

● Les identifiants des VLAN font parti de 2 plages

– Les normal-range ID

– Les extended-range ID

● Les normal-range ID

– De 1 à 1005

– Utilisé dans les réseaux des petites et moyennes entreprises

– Les identifiants 1002 à 1005 sont réservés aux protocoles Token Ring et FDDI

– Les VLAN 1, 1002 et 1005 sont créés par défaut, ils ne peuvent être supprimés

– Les configurations des VLAN sont stockées dans un fichier, appelé vlan.dat en mémoire flash du switch


Les VLAN I Ds

● Les extended VLANs

– Plage comprise entre 1006 et 4094

– Supporte moins de fonctionnalité que le normal range VLAN

● Les switch Catalyst 2950 et 2960 supportent un maximum de 255 VLAN normaux et étendus, simultanément

● Par contre, l'augmentation du nombre de VLAN sur un switch dégrade les performances de celui-ci


Dé f ni t i ons

● Un réseau local (LAN)

– est défini par un domaine de diffusion

– Limité par des équipements fonctionnant au niveau 3 du modèle OSI : la couche réseau

● Un réseau local virtuel (VLAN) est un LAN distribué sur des équipements fonctionnant au niveau 2 du modèle OSI : la couche liaison (Ethernet)

● A priori, nous n'avons plus besoin d'avoir recours à un équipement de niveau 3 pour délimiter le LAN

● Les VLAN sont distribués sur différents équipements via des liaisons dédiées appelées trunk

– Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs réseaux virtuels


Les t ypes de VLAN

● Actuellement, sur un réseau, plusieurs VLAN sont distingués

– Les Data VLAN

● Ne véhiculent que des données utilisateurs– Le Default VLAN

● Le VLAN « de base » dans lequel un switch est livré● Chez Cisco, c'est le VLAN 1 et il ne peut pas être changé

– Le Native VLAN

● VLAN associé au port trunk qui a la capacité de véhiculer les données marquées ou pas par un identifiant de VLAN

– Le Management VLAN

● C'est le VLAN qui est utilisé pour configurer les switchs.● Maintenant, il existe le Voice VLAN


Le Voi ce VLAN

● La VoIP nécessite des impératifs afin de pouvoir assurer une qualité suffisante sur le trafic vocal

– Garantir une bande passante suffisante

– Transmettre en priorité ces flux

– Etre capable de router ces flux vers des zones congestionnées du réseau

– Avoir un délai inférieur à 150 ms à travers le réseau


Les di f f ér ent s modes

● A un VLAN est associé un ID

● Chaque port d'un switch appartient à un VLAN

● Cette affectation peut être

– Statique

● Configuration faite par l'administrateur– Dynamique (peu utilisé)

● L'affectation à un VLAN se fait en fonction de l'adresse MAC d'une machine selon une base de données

● Dans le cas d'un Voice VLAN, il ne faut pas oublier que tout le réseau doit le supporter

– Gestion de la priorité de ces flux sur les autres


Ut i l i s at i on des t r unks

● Les trunk peuvent être utilisés

– Entre 2 commutateurs

● C'est le mode de distribution des réseaux locaux le plus courant

– Entre un commutateur et un hôte

● Si un hôte supporte le trunking, il a la possibilité d'analyser le trafic de tous les réseaux locaux virtuels

– Entre un commutateur et un routeur

● Permet d'accéder aux fonctionnalités de routage entre des VLAN


Les Vi r t ual LAN

Les solutions classiques


VLAN par por t s

● Permet de faire une division d'un équipement de niveau 2 (un commutateur) en plusieurs domaines de diffusion

● Obligation de gérer manuellement sur chaque équipement la distribution des réseaux locaux

● Problème : une station ne peut pas changer de VLAN ou appartenir à plusieurs VLAN. Le commutateur assure une isolation complète entre la station et le VLAN auquel il appartient

VLAN1 VLAN2

VLAN1

VLAN3VLAN2VLAN2 VLAN3 VLAN1 VLAN3 VLAN1 VLAN1


VLAN t ype Ci s co I nt er - Swi t ch Li nk ( I SL VLAN)

● Technique développée pour les équipements Cisco. Chaque en-tête de trames est complétée de 30 octets répartis en 13 champs

● Solution utilisée dans certains équipements Voice over IP de Cisco

● Technique obsolète non compatible avec le standard IEEE 802.1q


VLAN I EEE 802. 1q

● Standard qui fournit un mécanisme d'encapsulation très répandu, implanté dans de nombreux équipements de marques différentes

● Comme dans l'encapsulation ISL, l'en-tête de la trame est complétée par une balise de 4 octets

VLAN1VLAN2 VLAN3


La t r ame I EEE 802. 1q

● 4 octets du 802.1q découpés de la façon suivante :– EtherType ou Tag Protocol IDentifier (TPID)

● 12 bits utilisés pour identifier le protocole de la balise insérée. Pour une balise 802.1q, la valeur est fixée à 0x8100

– Priority● 3 bits pour coder 8 niveaux de priorité entre les trames de certains

VLAN par rapport à d'autres– Canonical Format Identifier

● 1 bit pour la compatibilité entre les adresses MAC Ethernet et Token Ring.

– VLAN Identifier● 12 bits qui permettent de définir l'appartenance de la trame à un

VLAN, au maximum 4094 VLAN possibles

Préambule Adr. de dest.

Adr. source

Longueur Données FCS

8 6 6 2 0-1500 4

802.1q

4


Le t r ans por t des t r ames 802. 1q

● Interface réseau avec un VLAN défini

– Transport uniquement des trames taggés (802.1q) avec le VLANID qui correspond

– Dans le cas contraire, la trame est rejetée

● Interface en mode trunk (native VLAN)

– Ne transport aucune trame taggée (encapsulée dans 802.1q)

– Si la trame est tagée, la trame est rejetée

– C'est le rôle du switch d'extraire les tags avant d'envoyer les trames sur un port trunk


Le pr ot ocol e VTP

Le concept


Admi ni s t r at i on des VLAN ?

● Pour ajouter un VLAN sur un réseau

– L'administrateur doit l'ajouter sur chaque switch !

– Nécessite beaucoup de manipulation sur de grands réseaux

● Pour éviter cela, sur des switchs Cisco, la manipulation peut être faite sur un seul switch

– La modification sera alors diffusée sur les autres via le protocole VTP : VLAN Trunking Protocol

– Nous distinguons dans ce cas, des switchs VTP server et des VTP client

– La VTP server va diffuser la modification vers les autres switchs VTP client


Le v ocabul ai r e

● Le VTP domain – Tous les switchs appartenant au même VTP domain échangeront

leurs informations sur les VLAN● Les VTP Mode

– mode server– Le switch diffuse des informations VLAN à tous les autres switchs

appartement au même VTP domain. Le serveur peut créer, modifier ou détruire un VLAN du VTP domain

– mode client– stocke uniquement les informations sur les VLAN, transmises par le

switch en mode VTP server sur le même domaine.– mode transparent– repasse les informations VTP aux autres switchs mais ne les

traitent pas. Ces switchs sont autonomes et ne participent pas aux VTP


La conf gur at i on par déf aut

● Par défaut, un switch est en

– mode server

– le VTP domain name est égal à null

– Tous les ports sont dans le VLAN 1 (VLAN natif)

– Le numéro de révision de la configuration VTP est 1

– La version du protocole VTP est 1

● Il existe 3 versions. Pour un VTP domain, tous les switchs doivent être dans la même version

● La commande s how vt p s t a t us permet de visualiser la configuration d'un switch


La pr opagat i on du domai ne

● Les VTP Server propagent leur domaine VTP vers les autres switchs via des messages VTP advertisement

● Ces messages de type advertisement sont utilisés pour transporter

– les informations sur les domaines VTP

– les informations sur les modifications des VLAN

● Chaque message VTP est composé

– d'un VTP header et

– d'un VTP data field

● Chaque message VTP est inséré dans le champ de données des trames Ethernet qui sont elles-mêmes encapsulées dans une trame 802.1q trunk ou ISL.

● Chaque switch envoie périodiquement, par multicast, sur ses liens trunk des VTP advertisement.


VTP Pr uni ng

● Dans certain cas, il est inutile de propager les informations vers tous les switchs comme dans l'exemple suivant :

● Il est inutile de propager vers le switch S1 les informations du VLAN 10


Les VTP adv er t i s ement mes s ages


Les i nf or mat i ons d' un mes s age adv er t i s ement


Les VTP r ev i s i on number

● Codé sur 32 bit

● Par défaut, c'est la valeur 0

● A chaque ajout ou suppression d'un VLAN, ce nombre est incrémenté de 1 par le switch VTP server

● Au changement du nom du VTP domain, ce nombre est mis à 0

● Permet de connaître le message VTP le plus récent


Les Ri s ques

● Présence de plusieurs serveurs

– Tout le protocole est fondé sur le numéro de révision

– Un switch rajouté au réseau peut confondre le protocole

● Défaillance du serveur

– Les clients continuent leur opération

– Lors d'une panne de courant, ils redémarrent sans aucune configuration


En r és umé


Les Vi r t ual LAN

Le routage inter-VLAN


Sans l e r out age i nt er - VLAN

● Si A1 et A2 appartiennent à des VLANs différents,ils ne peuvent pas communiquer entre-eux

● Un switch n'est pas capable de faire du routage entre deux sous-réseaux (couche 2)

● Il faut passer par un routeur

Hôte A1 Hôte A2 Hôte B1 Hôte B2

switch A

switch B

RouteurRA

RB


Rout age I nt er - VLAN c l as s i que

● Utiliser un routeur pour relier les différents VLANs

● Chaque interface du routeur appartient à un VLAN

– Routage 'automatique' car lien local (directement connecté)

● Solution simple mais ...

– Utilisation de plusieursinterfaces sur le routeur

– Utilisation de plusieursinterfaces sur le switch

Hôte A1 Hôte A2

switch A

RA


Rout er i n a s t i ck

● Au lieu d'utiliser plusieurs interfaces, utilise le mode trunk

● Gestion optimisée des ports de commutation. Tous les VLAN peuvent être accessible sur n'importe quel port.

● Astuce : configurer des sous-interfaces virtuelles sur le routeur

VLAN2 VLAN3

trunk

VLAN1


La commut at i on ni veau 3 ?

● De plus en plus les architectures réseau utilisent des switchs

● Un routeur est contraignant car il « casse » un VLAN

– Impossible de passer 801.2q vers un autre switch

– Les routeurs sont réservés pour la sortie d'un réseau

● Ajout de fonctionnalités de couche 3 aux switchs

– Les switchs niveau 3 sont capables de faire du routage inter-vlan

– Possibilité d'établir de VLANs surun grand réseau


Le Wi r el es s

Introduction


Les r és eaux Wi r el es s ?


Hi s t or i que

● 1er norme publiée en 1997

– Débit <= 2 Mb/s

● En 1998, norme 802.11b, commercialement appelée WiFi (Wireless Fidelity)

– Débit jusqu'à 11Mb/s

● En 2001, norme 802.11g

– Débit jusqu'à 54 Mb/s

● Début 2006, version draft 1 de la 802.11n

– Débit maximum pouvant aller à 600 Mb/s

– 1er norme intégrant le MIMO : Multiple Output, Multiple Input

– incompatible 802.11b/g


Les Di f f ér ent es Nor mes

● 802.11a (ou WiFi 5) – Bande de fréquences utilisées : 5 Ghz – Débit max. théorique : 54 Mb/s

● 802.11b (ou WiFi) – Bande de fréquences utilisées : 2,4 Ghz – Débit max. théorique : 11 Mb/s – Portée max. théorique : 300 m

● 802.11g : Physical Layer Update – Débit max. de 54 Mb/s sur du 802.11b

● 802.11i : MAC Enhancements for Enhanced Security – Amélioration de la sécurité des protocoles utilisés en 802.11b

● 802.11n : Débit max de 600 Mbit/s


Les nor mes

● Pour le 802.11n, incompatibilité avec le 802.11b/g, version draft 3.0 en cours et certains annoncent la publication pour 2009 !


Avant ages do Wi Fi

● Norme internationale maintenue par l'IEEE et indépendante d'un constructeur en particulier

● Fonctionnement similaire à Ethernet – Évite le développement de nouvelles couches réseau spécifiques

● Rayon d'action important (jusque 300m, en champ libre), pouvant atteindre le km suivant les puissances d'émission

● Débit acceptable ● Mise en oeuvre facile ● Pas de travaux, pas de nouveau câblage ● Pas de déclaration préalable dans la plupart des pays ● Pas de licence radio à acheter ● Coût d'une installation inférieure à 100 Euros par poste


WLAN et LAN ?

● Un réseau sans fil ne peut pas fonctionner correctement avec le même mécanisme des réseaux Ethernet

– distance entre les stations

● Au lieu d'utiliser le mécanisme CSMA/CD, le WiFi utilise le CSMA/CA (Collision Avoidance)


CSMA/ CA ?

● Carrier Sense Multiple Access with Collision Avoidance

● Fonction du Request To Send/Clear To Send (RTS/CTS) pour résoudre le problème de la station cachée


Les Fr équences Ut i l i s ées

● En 802.11b, 14 canaux sont disponibles dans la bande des 2.4Ghz, différence de 5 Mhz entre chaque canal

● Canal 1 : 2,412 Ghz

● Canal 2 : 2,417 Ghz

● Canal 3 : 2,422 Ghz

● Canal 4 : 2,427 Ghz

● Canal 5 : 2,432 Ghz

● ...

● Canal 13 : 2,472 Ghz

● Canal 14 : 2,484 Ghz


Les Li mi t es Légal es

● Comme le WiFi utilise des bandes de radiofréquence publiques, son utilisation dépende d'autorisations des autorités locales

● USA : 102.11a

– 102.11b/g/n Canal 1 à 11, puissance max. 1000 mW

● Europe : uniquement 102.11b/g/n

– en France Canal 1 à 13, 100mW au maximum

● Japon : Canal 1 à 14

● Russie : utilisation fortement contrôlée, il faut enregistrer son dispositif pour avoir l'autorisation (10 jours d'attente)

– 802.11a est aussi interdit


Les I nt er f ér ences

● Chaque fréquence pour un canal est la fréquence médiane d'un canal de 22 Mhz

● Donc seuls 3 canaux sont utilisables simultanément, par des réseaux proches, afin d'avoir les performances optimales

● Si deux réseaux utilisent des canaux avec des fréquences qui se superposent l'un va détecter que les signaux de l'autre sont des interférences, et réciproquement

2,4 GHz 2,4835 GHz

Canal 1 Canal 7 Canal 13

83,5 MHz



● Le 802.11b/g est souvent victime de sa popularité et de son faible nombre de canaux

– Le voisinage peut influencer beaucoup sur la qualité d'un réseau

– Configuration automatique : canaux 1, 6 et 11

– La configuration manuelle permet d'établir une zone « calme »



● La bande des 2.4 GHz est utilisée par d'autres dispositifs

● Microondes, téléphones sans fil, jouets, etc.


Les Ant ennes

● Antenne di-pôle (omnidirectionnelle)

– Très utilisée

– Émission en forme d'anneau autour de l'antenne

– Le cas des McDo


Les Ant ennes

● Antenne directionnelle

– Moins commune mais bien plus intéressante

– Émission dans une direction précise


La f ami l l e 802. 11

● Couche Physique● 802.11b (1999) - Vitesse jusqu’à 11 Mbit/s (bande 2.4 GHz)● 802.11a (2001) - Vitesse jusqu’à 54 Mbit/s (bande 5 GHz)● 802.11g (2003) - Vitesse jusqu’à 54 Mbit/s (bande 2.4 GHz) ● 802.11n (2009?) - Vitesse jusqu’à 320 Mbit/s (2.4 ou 5 GHz)

● Couche Liaison de données● 802.11e (2004) - Qualité de service ● 802.11f (2004) – Gestion de compatibilité entre les fabricants● 802.11i (2004) - Amélioration de la sécurité


Tr ans mi s s i on : Pr i nc i pes de Fonct i onnement

● Basé sur une technologie militaire – Objectif : limiter la détection des stations en émission – L'émission s'effectue sous le niveau de bruit et nécessite la

connaissance de l'algorithme de modulation pour être détecté ● Utilisation d'un spectre étalée

– Plage de fréquences relativement large pour les émetteurs – Moins sensible aux interférences qu'en spectre étroit

● Malheureusement, toutes les cartes du marché connaissent l'algorithme de modulation et peuvent détecter les émetteurs

● Plusieurs types de modulations utilisés – DSSS (Direct-Sequence Spread Spectrum) – FHSS (Frequency-Hopping Spread Spectrum) – Orthogonal Frequency Division Multiplexing (OFDM) et MIMO


Fr equency- Hoppi ng Spr ead Spect r um ( FHSS)

● Utilisation d'une modulation à saut de fréquence– Divise le signal radio en « petit » segments

● Saut d'une fréquence à une autre, plusieurs fois par seconde pour l'émission des segments – L'émetteur et le récepteur définissent l'ordre dans lequel ils vont

utiliser les fréquences ● Faibles interférences entre les différents couples émetteur-

récepteurs car faibles probabilités d'émission sur le même sous-canal à un même instant – Dans la bande des 2.4Ghz sans licence, 75 sous-canaux de 1

Mhz chacun – Mais transmission relativement lente


Di r ect - Sequence Spr ead Spect r um ( DSSS)

● Étale le signal sur un même canal de 22 Mhz sans changement de fréquence

● Découpe chaque bit du flot de données en une série de combinaisons redondantes de bits, dites chips, puis les transmet

● Avantages

– Comme les interférences utilisent en principe une bande plus étroite qu'un signal DSSS, le récepteur peut les identifier avant de reconstruire le signal émis

– Utilisation de messages de négociation pour s'assurer que le récepteur peut comprendre les paquets émis

– Si la qualité du signal se dégrade : décalage dynamique de débit


Exempl e DSSS


Nor mes act uel l es – OFDM et MI MO

● Si DSSS est encore supporté par les normes actuelles (pour des raisons de compatibilité entre 802.11b et 802.11g) la tendance est l'association entre l'OFDM et le MIMO

● Orthogonal Frequency Division Multiplexing (OFDM)

– Un canal est sous-divisé en sous-canaux qui envoient des données en parallèle



● Orthogonal Frequency Division Multiplexing (OFDM)



● MIMO (Multiple Input/Multiple Output)

● Établissement de flux simultanés entre différentes antennes

– Utilisé par 802.11n et par certaines versions pré-n

● (freebox HD en est un exemple)


La connexi on ?

● En Wifi, 3 étapes

– La recherche du point d'accès

– L'authentification

● En clair● Avec clé partagé

– L'association

● Même si le chiffrage des données est couramment établi en même temps que l'authentification, ce sont deux choses différentes


Recher che d' un Poi nt d' Accès

● Les réseaux 802.11 peuvent s'utiliser en mode :

● Infrastructure : Basic Service Set (BSS) associé à un Basic Service Set ID (BSSID)

– Le BSSID est un identifiant de 6 octets. En mode infrastructure, c'est à dire avec des Access Point (AP), c'est l'adresse MAC

– Extended Service Set (ESS) associé à un ESSID, également appelé SSID (le nom du réseau)

● Ad-hoc : Independant Basic Service Set (IBSS)

– Utilisé pour les réseaux ad-hoc (sans AP)

● La découverte se fait par écoute des beacons qui annoncent les SSIDs des réseaux

– Bloquer les beacons n'empêche pas la découverte d'un réseau


La s écur i t é ?

● Transmission sans fil

– Tout le monde peut intercepter les informations

● Un individu malveillant peut esayer d'attaquer un réseau

– Ecoute passive

– Installation d'une borne « pirate »

● Capture sur celle-ci des adresses MAC des clients et/ou paramètres de sécurité ...


La s écur i t é ?

● Denial of service

– Par appareil parasitant le signal

– En diffusant

● des trames CTS, ainsi chaque station émet des trames et donc entre en collision

● des trames de déassociation faisant ainsi générer une réassociation des stations, ...


Les pr ot ocol es pour l a s écur i t é


Le WEP

● Séquence de données en clair concaténée avec une valeur de checksum sans clé de 32 bits (CRC-32)

● Utilisation de l'algo de chiffrement RC4 (algo symétrique) pour générer une suite pseudo-aléatoire (initialisé avec une clé (appelée graine))

● Clé 64 ou 128 bits en export USA sinon jusqu'à 2048 bits

● Pour fabriquer cette clé, le WEP utilise

– un vecteur d'initialisation de 24 bits généré pour chaque nouvelle séquence WEP soit nombre aléatoire, soit issu de la simple incrémentation d'un compteur !!

– et une clé secrète de 40 ou 104 bits partagée par tous les équipements du réseau mobile


Cas s er l a c l é WEP

● Fiabilité de la clé – Clé de 40 bits (soit 5 caractères)

● nombre de combinaison peu important – Clé de 104 bits

● La force brute n'est plus envisageable ! – Mais ...

● Le vecteur d'initialisation est envoyé en clair sur le réseau ● Et entre 2 paquets codant 2 messages identiques seul le

vecteur d'initialisation change ● Or quand une collision survient, il faut ré-émettre le message

– Attendre les collisions permet d'avoir des informations sur la clé● Outils tel que aircrack-ng permettent de casser une clé WEP

voir même WPA (à l'aide d'un dictionnaire)


La cr ypt ogr aphi e dans WPA et WPA2

● TKIP et AES sont des algorithmes cryptographiques recommandés dans la norme 802.11i

● TKIP est certifié pour WPA et AES pour WPA2

● A la place de WPA ou WPA2, il est possible de rencontrer PSK ou PSK2 pour Pre-Shared Key

– PSK ou PSK2 avec TKIP est équivalent à WPA

– PSK ou PSK2 avec AES est équivalent à WPA2

– PSK2, sans cryptographie est équivalent à WPA2

Introduction - univ-reims.frlsteffenel/cours/Master1/RCRSF/2008/RC… · Sans le routage inter-VLAN...

Documents

Transcript of Introduction - univ-reims.frlsteffenel/cours/Master1/RCRSF/2008/RC… · Sans le routage inter-VLAN...