Paul Fonsny Architecture réseau & sécurité Institut Pasteur

1

Architecture des réseaux sans fil

Paul FonsnyArchitecture réseau & sécurité

Institut Pasteur

05 septembre 2010

Architecture des réseaux sans fil PFO 2010

2Du 802.11 au 802.11n

Fonctionnement 5Ondes électro-magnétiques …………………… 6Spectre électro-magnétique…………………… 7802.11b ……………………………………… 8802.11b : canaux ……………………………… 9Connexion …………………………………… 10Débits ………………………………………… 12Types de réseaux ……………………………… 13Mobilité ……………………………………… 14802.11a ……………………………………… 15802.11a : canaux ……………………………… 16802.11a : avantages & inconvénients ………… 17802.11g ……………………………………… 18OFDM ………………………………………… 19802.11a ou 802.11g ? ………………………… 20Wi-Fi ………………………………………… 21Réglementation ……………………………… 22

Déploiement 23Propagation …………………………………… 25Transparence ………………………………… 26Interférences ………………………………… 27Couverture …………………………………… 29Antennes ……………………………………… 30Intégration dans l’ordinateur ………………… 32Inadéquation des batteries …………………… 33Configuration client…………………………… 34Classes d’usage ……………………………… 37


Plan des fréquences ……………………………39Réglage des PA ………………………………40Gestion des PA ………………………………42802.3af …………………………………………43

Sécurité 44Sécurité des personnes…………………………45Sécurité des réseaux……………………………47Contrôle d’accès ………………………………48WEP : un extincteur vide………………………49Extranet ………………………………………50Filtrage…………………………………………51Audit …………………………………………52Syndrome Maginot ……………………………55Guerrier des ondes en décapotable ……………57Améliorer la sécurité des réseaux ……………58802.1X …………………………………………60802.11i …………………………………………62RADIUS : principe ……………………………64RADIUS : installation …………………………66RADIUS : configuration ………………………67EAP ……………………………………………70Portail web d’accès ……………………………71Utilisation d’IPSEC ……………………………73Nomadisme ……………………………………74Communication ………………………………75

Futur 76Évolutions ……………………………………77

3Conseils pratiques …………………………… 78

Annexes 79Loi de Shannon ……………………………… 80Réflexion, absorption ………………………… 81Diagramme de rayonnement ………………… 82Glossaire ……………………………………… 83Sécurité des personnes………………………… 85Constructeurs ………………………………… 86Listes de diffusion …………………………… 87


4La norme 802.11 s’attache à définir les couches basses du modèle OSI pour une liaison sans fil utilisant des ondes électromagnétiques, c’est-à-dire :

• la couche physique (notée parfois couche PHY), proposant trois types de codage de l’information ; • la couche liaison de données, constituée de deux sous-couches :

• le contrôle de la liaison logique (Logical Link Control, ou LLC) ; • le contrôle d’accès au support (Media Access Control, ou MAC).

La couche physique définit la modulation des ondes radioélectriques et les caractéristiques de la signalisation pour la transmission de données, tandis que la couche liaison de données définit l’interface entre le bus de la machine et la couche physique, notamment une méthode d’accès proche de celle utilisée dans le standard Ethernet et les règles de communication entre les différentes stations. La norme 802.11 propose donc en réalité trois couches (une couche physique appelée PHY et deux sous-couches relatives à la couche liaison de données du modèle OSI), définissant des modes de transmission alternatifs que l'on peut représenter de la manière suivante:

Couche Liaison dedonnées

802.2 (LLC)802.8 (MAC)

Couche Physique(PHY) DSSS FHSS Infrarouges

Il est possible d’utiliser n’importe quel protocole de transport sur un réseau 802.11 au même titre que sur un réseau ethernet.


http://fr.wikipedia.org/wiki/Mod%C3%A8le_OSI

http://fr.wikipedia.org/wiki/Infrarouge

http://fr.wikipedia.org/wiki/Frequency-hopping_spread_spectrum

http://fr.wikipedia.org/wiki/Direct_Sequence_Spread_Spectrum

http://fr.wikipedia.org/wiki/IEEE_802.2

http://fr.wikipedia.org/wiki/Ethernet

http://fr.wikipedia.org/wiki/Contr%C3%B4le_d'acc%C3%A8s_au_support

http://fr.wikipedia.org/wiki/Contr%C3%B4le_de_la_liaison_logique

http://fr.wikipedia.org/wiki/Couche_de_liaison

http://fr.wikipedia.org/wiki/Couche_physique

http://fr.wikipedia.org/wiki/Rayonnement_%C3%A9lectromagn%C3%A9tique

5

FonctionnementRéseaux utilisant des ondes hertziennes pour établir une liaison

entre 2 équipements mobiles.Dénominations :

WLAN : Wireless LAN ;RLAN : Radio LAN ;RLR : Réseau Local Radio ;AirPort : Apple ;Wi-Fi : (ouaille fat) label de qualité ;

→ réseaux sans fil!Principe : onde hertzienne = porteuse

+ transport de données numériques / porteuse.Utilisée pour les transmissions satellite.


6

Ondes électro-magnétiquesOndes radios, infra-rouge, visible, ultra-violet, X, γ…

λ× f = c ≈ 3 × 108m ⁄s

E ΑH

Architecture des réseaux sans fil

x

λ

PFO 2010

f (GHz) λ (cm)0,9 33,31,8 16,52,4 12,55,5 5,5

7

Spectre électro-magnétique

g802.11 b DCS

a GSM1021 1018 1015 1012 109 106 Hz

10-12 10-9 10-6 10-3 1 103 m


8

Les différentes normes Wi-Fi [modifier]La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbit/s (Wi-Fi est un nom commercial, et c’est par abus de langage que l’on parle de « normes » Wi-Fi). Des révisions ont été apportées à la norme originale afin d’améliorer le débit (c’est le cas des normes 802.11a, 802.11b, 802.11g et 802.11n, appelées normes 802.11 physiques) ou de spécifier des détails de sécurité ou d’interopérabilité. Voici un tableau présentant les différentes révisions de la norme 802.11 et leur signification :

Norme Nom Description

802.11a Wi-Fi 5La norme 802.11a (baptisée Wi-Fi 5) permet d’obtenir un haut débit (dans un rayon de 10 mètres : 54 Mbit/s théoriques, 27 Mbit/s réels). La norme 802.11a spécifie 52 canaux de sous-porteuses radio dans la bande de fréquences des 5 GHz (bande U-NII = Unlicensed '- National Information Infrastructure), huit combinaisons, non superposées sont utilisables pour le canal principal.

802.11b Wi-Fi

La norme 802.11b est la norme la plus répandue en base installée actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s réels) avec une portée pouvant aller jusqu’à 300 mètres (en théorie) dans un environnement dégagé. La plage de fréquences utilisée est la bande des 2,4 GHz (Bande ISM = Industrial Scientific Medical) avec, en France, 13 canaux radio disponibles dont 3 au maximum non superposés (1 - 6 - 11, 2 - 7 - 12, ...).

802.11c Pontage 802.11 vers 802.1d

La norme 802.11c n’a pas d’intérêt pour le grand public. Il s’agit uniquement d’une modification de la norme 802.1d afin de pouvoir établir un pont avec les trames 802.11 (niveau liaison de données).

802.11d InternationalisationLa norme 802.11d est un supplément à la norme 802.11 dont le but est de permettre une utilisation internationale des réseaux locaux 802.11. Elle consiste à permettre aux différents équipements d’échanger des informations sur les plages de fréquences et les puissances autorisées dans le pays d’origine du matériel.

802.11e Amélioration de la qualité de service

La norme 802.11e vise à donner des possibilités en matière de qualité de service au niveau de la couche liaison de données. Ainsi, cette norme a pour but de définir les besoins des différents paquets en termes de bande passante et de délai de transmission de manière à permettre, notamment, une meilleure transmission de la voix et de la vidéo.

802.11f Itinérance ((en)roaming)

La norme 802.11f est une recommandation à l’intention des vendeurs de points d’accès pour une meilleure interopérabilité des produits.

Elle propose le protocole Inter-Access point roaming protocol permettant à un utilisateur itinérant de changer de point d’accès de façon transparente lors d’un déplacement, quelles que soient les marques des points d’accès présentes dans l’infrastructure réseau. Cette possibilité est appelée itinérance ((en)roaming).

802.11g La norme 802.11g est la plus répandue dans le commerce actuellement. Elle offre un haut débit (54 Mbit/s théoriques, 25 Mbit/s réels) sur la bande de fréquences des 2,4 GHz. La norme 802.11g a une compatibilité ascendante avec la norme 802.11b, ce qui signifie que des matériels conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cette aptitude permet aux nouveaux équipements de proposer le 802.11g tout en restant compatibles avec les réseaux existants qui sont souvent encore en 802.11b. Le principe est le même que celui de

http://fr.wikipedia.org/wiki/IEEE_802.11g

http://fr.wikipedia.org/wiki/IEEE_802.11e

http://fr.wikipedia.org/wiki/IEEE_802.11d

http://fr.wikipedia.org/wiki/IEEE_802.11b

http://fr.wikipedia.org/wiki/IEEE_802.11a

http://fr.wikipedia.org/w/index.php?title=Wi-Fi_(protocole_de_communication)&action=edit&section=8

la norme 802.11a puisqu'on utilise ici 52 canaux de sous-porteuses radio mais cette fois dans la bande de fréquences des 2,4 GHz. Ces sous-porteuses permettent une modulation OFDM autorisant de plus haut débit que les modulations classique BPSk, QPSK ou QAM utilisé par la norme 802.11g.

Cette modulation OFDM étant interne à l'une des 14 bandes 20 MHz possibles, il est donc toujours possible d'utiliser au maximum 3 de ces canaux non superposés (1 - 6 - 11, 2 - 7 - 12, ...) et ce, par exemple, pour des réseaux différents.

802.11h La norme 802.11h vise à rapprocher la norme 802.11 du standard Européen (Hiperlan 2, d’où le h de 802.11h) et être en conformité avec la réglementation européenne en matière de fréquences et d’économie d’énergie.

802.11i La norme 802.11i a pour but d’améliorer la sécurité des transmissions (gestion et distribution des clés, chiffrement et authentification). Cette norme s’appuie sur l’AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les standards 802.11a, 802.11b et 802.11g.

802.11IR La norme 802.11IR a été élaborée de manière à utiliser des signaux infra-rouges. Cette norme est désormais dépassée techniquement.802.11j La norme 802.11j est à la réglementation japonaise ce que le 802.11h est à la réglementation européenne.

802.11nWWiSE (World-Wide Spectrum Efficiency) ou TGn Sync

La norme 802.11n est disponible depuis le 11 septembre 2009. Le débit théorique atteint les 300 Mbit/s (débit réel de 100 Mbit/s dans un rayon de 100 mètres) grâce aux technologies MIMO (Multiple-Input Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing). En avril 2006, des périphériques à la norme 802.11n commencent à apparaître basés sur le Draft 1.0 (brouillon 1.0) ; le Draft 2.0 est sorti en mars 2007, les périphériques basés sur ce brouillon seraient compatibles avec la version finale du standard. Des équipements qualifiés de « pré-N » sont disponibles depuis 2006 : ce sont des équipements qui mettent en œuvre une technique MIMO d'une façon propriétaire, sans rapport avec la norme 802.11n.

Le 802.11n a été conçu pour pouvoir utiliser les fréquences 2,4 GHz ou 5 GHz. Les premiers adaptateurs 802.11n actuellement disponibles sont généralement simple-bande à 2,4 GHz, mais des adaptateurs double-bande (2,4 GHz ou 5 GHz, au choix) ou même double-radio (2,4 GHz et 5 GHz simultanément) sont également disponibles. Le 802.11n saura combiner jusqu’à 8 canaux non superposés, ce qui permettra en théorie d'atteindre une capacité totale effective de presque un gigabit par seconde.

802.11s Réseau MeshLa norme 802.11s est actuellement en cours d’élaboration. Le débit théorique atteint aujourd’hui 10 à 20 Mbit/s. Elle vise à implémenter la mobilité sur les réseaux de type Ad-Hoc. Tout point qui reçoit le signal est capable de le retransmettre. Elle constitue ainsi une toile au-dessus du réseau existant. Un des protocoles utilisé pour mettre en œuvre son routage est OLSR.

IEEE : 1997 → 802.11 2 Mbit/s1999 → 802.11b 11 Mbit/s2000 → 802.11a 54 Mbit/s théoriques, 27 Mbit/s réels2003 → 802.11g 54 Mbit/s théoriques, 25 Mbit/s réels2003 → 802.11h2003 → 802.11i

http://fr.wikipedia.org/wiki/Optimized_link_state_routing_protocol

http://fr.wikipedia.org/wiki/R%C3%A9seau_ad_hoc

http://fr.wikipedia.org/wiki/2007

http://fr.wikipedia.org/wiki/Mars_2007

http://www-fr.linksys.com/servlet/Satellite?c=L_News_C2&childpagename=FR%2FLayout&cid=1145389519039&pagename=Linksys%2FCommon%2FVisitorWrapper


http://fr.wikipedia.org/wiki/Avril_2006

http://fr.wikipedia.org/wiki/Orthogonal_Frequency_Division_Multiplexing

http://fr.wikipedia.org/wiki/Orthogonal_Frequency_Division_Multiplexing

http://fr.wikipedia.org/wiki/MIMO_(informatique)


http://fr.wikipedia.org/wiki/IEEE_802.11n

http://fr.wikipedia.org/wiki/Standard_de_chiffrement_avanc%C3%A9

http://fr.wikipedia.org/wiki/IEEE_802.11i

http://fr.wikipedia.org/wiki/HiperLAN

http://fr.wikipedia.org/wiki/IEEE_802.11h

2009 → 802.11nStandards spécifiant les méthodes d’accès au medium physiquepermettant la construction de liaison.Medium physique = bande de fréquence : 2,4 GHzUtilisation du medium : DSSS.14 canaux, 11 sont utilisables aux U.S.A., 13 en France : [1 ; 13].Méthode d’accès : CSMA/CA.La méthode d'accès CSMA/CA

Dans un réseau local Ethernet classique, la méthode d'accès utilisée par les machines est le CSMA/CD (Carrier Sense Multiple Access with Collision Detection), pour lequel chaque machine est libre de communiquer à n'importe quel moment. Chaque machine envoyant un message vérifie qu'aucun autre message n'a été envoyé en même temps par une autre machine. Si c'est le cas, les deux machines patientent pendant un temps aléatoire avant de recommencer à émettre.

Dans un environnement sans fil ce procédé n'est pas possible dans la mesure où deux stations communiquant avec un récepteur ne s'entendent pas forcément mutuellement en raison de leur rayon de portée. Ainsi la norme 802.11 propose un protocole similaire appelé CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance).

Le protocole CSMA/CA utilise un mécanisme d'esquive de collision basé sur un principe d'accusé de réception réciproque entre l'émetteur et le récepteur :

La station voulant émettre écoute le réseau. Si le réseau est encombré, la transmission est différée. Dans le cas contraire, si le média est libre pendant un temps donné (appelé DIFS pour Distributed Inter Frame Space), alors la station peut émettre. La station transmet un message appelé Ready To Send (ou Request To Send, noté RTS signifiant prêt à émettre) contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission. Le récepteur (généralement un point d'accès) répond un Clear To Send (CTS, signifiant Le champ est libre pour émettre), puis la station commence l'émission des données.

À réception de toutes les données émises par la station, le récepteur envoie un accusé de réception (ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elles considèrent être celui nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée.


http://fr.wikipedia.org/wiki/Acquittement_(logique)

http://fr.wikipedia.org/wiki/CSMA/CD

9

802.11b : canaux22MHz

depuis le 25/07/2003 France

Europe

États-Unis, Canada Japon

2,4 2,45 2,48 GHzBande ISM (Industrial, Scientific, and Medical).


10

ConnexionCarte sans-fil (côté 802.11) ≈ carte Ethernet (côté 802.3).Un équipement actif de réseau sans-fil =

équipement ayant au moins 2 interfaces.Pour les PDA, seule interface.Visibilité radio établissement d’une liaison.⇒Déplacement variabilité du S/B⇒

renégociation de la vitesse utilisable.⇒Éloignement, obstacle perte de la liaison.⇒Techniques d’utilisation d’une bande de fréquence venant destechniques modem : QAM64, OFDM.


11

Point d’accès

< 50m

5422

5

AirPort

PAEthernet

commutateurEthernet

débit en Mbit/s vers épine dorsale

Une liaison sans fil 2 cartes AirPort !⇒Raccordement au reste du réseau liaison Ethernet.⇒


12

DébitsVariable : 11 Mbit/s ; 5,5 Mbit/s ; 2 Mbit/s ou 1 Mbit/s

adapté automatiquement en fonction du rapport S/B.Débit en ftp binaire ≈ 50 % débit en bit/s.Méthode d’accès CSMA/CA débit divisé par :⇒- le partage du medium,- la diffusion,- les erreurs.Pourquoi CA et pas CD (comme Ethernet) ?

Car les collisions peuvent être cachées.1 PA de réseau sans fil est un répéteur débit monopolisé par le⇒

plus lent (dénis de service).


13

Types de réseauxMulti-point ≈ câble Ethernet croisé.On peut être plus de 2 sur le même support (réunion des portées

des différentes cartes participant).

Réseau d’infrastructure : même nom de réseau (SSID),

plusieurs PA (points d’accès), canaux distincts

→ accès / grand espace & nombreux utilisateurs

mobilité.⇒


14

MobilitéLa nature de la liaison permet naturellement la mobilité à l’inté-rieur du champ d’une antenne.Au delà, un portable peut passer de l’une à l’autre :

intersection de champs sans interférence (p. 27).⇒

c-9 c-13 réseau filairec-9

c-13 c-9


15

802.11aBande de fréquence 5 GHz : [5,15 GHz ; 5,825 GHz],

divisée en :- 3 bandes de fréquence de 100 MHz ;- 12 canaux séparés de 20 MHz.

Technique de modulation :OFDM (Orthogonal Frequency Division Multiplexing),

sur 52 porteuses distinctes (utilisée en xDSL).Débit : 6 → 54 Mbit/s.Méthode d’accès : CSMA/CA.


16

802.11a : canaux

mW 20MHz1000500 Europe ≤ 200mW

10050

105,1 5,5 5,9 GHz

Bande UNII (Unlicensed National Information Infrastructure).


17

802.11a : avantages & inconvénientsBande de fréquence libre

problèmes de cohabitation à venir.⇒Plages de fréquences et puissances ≠

difficulté d’utilisation pour les voyageurs.⇒Fréquence élevée

⇒ E = h× f : énergie transportée élevée ; énergie consommée élevée (inadapté au portable) ;⇒ absorption élevée (⇒ ⇒ nPA × 2 sur une dimension !) ; puissance rayonnée + élevée.⇒

Canaux séparés possibilité de les utiliser tous en un même point ;⇒

débit & nombre d’utilisateurs élevés ;⇒

puissance rayonnée + élevée.⇒Architecture des réseaux sans fil PFO 2010

18

802.11gBande de fréquence 2,4 GHz : [2,4 GHz ; 2,4835 GHz],

divisée en 3 canaux séparés de 30MHz.Technique de modulation :- CCK ;- OFDM ;- en option CCK/OFDM ou bien PBCC.Débit : 1 → 54 Mbit/s.Méthode d’accès : CSMA/CA.802.11g est compatible avec le 802.11b. Gabarit d’atténuation

plus faible qu’en 802.11b chevauchements à proscrire.⇒En mode compatible utiliser une distance de canaux = 5.


19

OFDM

20MHz

fréquence

52 porteuses espacées : f = n × 312,5 kHz nœuds de toutes les porteuses coïncident⇒

n’interfèrent pas entre-elles.⇒Débit sur chaque porteuse plus bas

BER + bas.⇒


20

802.11a ou 802.11g ?Les utilisateurs qui tirent le sans-fil sont les utilisateurs nomades

besoin de compatibilité : canaux identiques dans le monde,⇒

802.11g !⇒

En réseau d’entreprise :802.11a → nPA× 8 !802.11b → d < 5 Mbit/s

802.11g !⇒

802.11g !⇒


21

Wi-FiWi-Fi ou Wireless Fidelity = fidélité sans-filterme commercial défini par la WECA :

Wireless Ethernet Compatibility Alliance

qui« a pour objectif de promouvoir l’usage de WLAN

basés sur le standard IEEE 802.11 ».Elle n’a fait que ce label de certification

Wi-Fi Alliance.⇒Wi-Fi n’est ni un protocole réseau, ni un standard réseau,

ni une technique de réseau, ni une architecture de réseau,

c’est juste… une marque déposée


22

RéglementationL’ARCEP (Autorité de Régulation des Communications Électro-niques et des Postes ex. ART) définit les limites d’utilisation des

fréquences pour des RLAN :arrêté du 25/07/2003 :http://www.arcep.fr/↵

dossiers/rlan/menu-gal.htm- utilisation à l’intérieur des bâtiments : libre, PIRE <100mW ;- utilisation à l’extérieur : 1-7 < 100 mW, 8-13 < 10 mW !Utilisation à la maison : libre (à l’intérieur des bâtiments)

attention aux voisins (perturbation, écoute) !⇒[2400 - 2483,5] MHz libre partout (en Europe) → 01/2011 ?


23

Déploiement

Contraintes à respecter :- spatiale : couverture maximale, interférence minimale ;- sécurité : des personnes, des données ;- matérielle : raccordement aux réseaux électrique et Ethernet.Architecture des réseaux sans fil PFO 2010

24

Où déployer ?Un réseau sans fil est un choix pertinent de construction d’accès :- dans un grand espace ;- pour plusieurs portables qui partagent un même espace

mais à ≠ moments ;- loin d’une baie informatique (> 100m) ;- en des zones où le passage de câbles Ethernet n’est pas envi-

sageable (labo. + normes de sécurité, bâtiment classé).Nous construisons 2 types de réseaux sans fil :- réseau interne en libre service

→ bibliothèques, salles de réunion ou conférence ;- extensions de réseaux Ethernet en attente de réfection

ou extension difficile.


25

PropagationUne onde électro-magnétique se propage en ligne droite, à

vitesse c ≈ 3 × 108 m s⁄peut être :- réfractée ;- réfléchie ;- diffractée ;- absorbée.

dans le vide. Dans tout autre milieu, elle

Une onde électro-magnétique est absorbée par un circuit réson-nant à sa fréquence : plomb, nos os, O2, l’atmosphère, H2O, lapluie, le maillage du béton armé.Elle interfère avec toute autre onde de fréquence proche

→ battement spatial & temporel.


26

Transparence

airboisair humideplastique, verre

eau, végétation

animaux, nous :cloisons en plâtre, brique

bétonverre blindémétal conducteur


27

InterférencesS/B

A

c-13x

S/B

A13 9

c-13 c-9x


28

Interférences

5 fuites5

5 20 50 5 5

débit en Mbit/s ∆x

Plus la distance à un obstacle ± transparent est petite,

plus la zone d’interférence est grande,plus la zone de diffraction est grande et difforme.

Problématique d’éclairage.


29

Couverture60 mW

défaut de : couverturesécurité

bâtimentc-9

c-13

30 mW

c-9


30

AntennesOmni-directionnelles (isotrope) :les ondes électro-magnétiques vont dans toutes les directions ;et le rapport signal/bruit décroît presque uniquement géométri-quement (i.e. en 1 ⁄ r2).Directionnelles :les ondes sont dirigées par une ou plusieurs antennes selon une

direction ou bien un secteur angulaire. placement précis, et sensibilité aux réfractions.⇒

Analogie :éclairer un auditorium avec des projecteurs de scène !

Fait vendre plus d’antennes et les services d’un installateur !


31

Antennesantennes multiples orientables

PA multiples


32

Intégration dans l’ordinateurLes solutions à base de carte PCMCIA ou de carte externe surport USB sont médiocres : la sensibilité maximale d’une an-tenne dipôle replié λ 4⁄ est dans le plan orthogonal à son axe.L’intégration dans les portables est très peu pensée,sauf chez Apple qui tient en ce domaine 4 ans d’avance.Ils ont aussi intégré une antenne dans les ordinateurs fixes,

beaucoup mieux qu’une antenne externecollée à la paroi métallique arrière.L’intégration dans les S.E. est très liée à une fonction rendue vi-tale par le nomadisme :

commutation de réseau et d’environnement.


33

Inadéquation des batteriesUne connexion réseau sans fil continue consomme de l’énergie.

Suivant les constructeurs, et la gestion de la batterie,

autonomie : 1 h à 5 h.

Course à la fréquence : !

Intel a du revoir à la baisse sa frénésie de GHz :→ réduction du risque de fonte du cœur de processeur ;

→ utilisabilité décente d’un portable en réseau sans fil.

unité de gestion de l’énergie (PMU) !⇒


34

Configuration clientObjectifs : contrôle d’accès & impact minimum sur le parc.

Chaque utilisateur souhaitant connecter un ordinateur à nos ré-seaux doit :- nous communiquer l’adresse MAC (Ethernet ou AirPort) ;- configurer TCP/IP via DHCP.

Nous intégrons cette adresse MAC dans la config. de notre ser-veur DHCP,puis en dérivons (sed(1)) des ACL dans le cas d’AirPort.

Aucun état local à gérer.⇒


35

Configuration client / MacOS XAdresse physique =adresse Ethernet.À nous communiquer

→ intégration sur no-tre serveur DHCP.


36

Construction du réseau- recherche des zones difficiles de l’espace à couvrir ;- étalonnage du PA dans une zone caractéristique et détermina-

tion d’une couverture correcte pour le débit visé ;- à partir de plans masse de l’espace à couvrir dessiner les zones

couvertes par les PA ;- en fonction de classes d’usageà définir, éventuellement den-

sifier les PA à partir de ce 1er plan ;- faire le plan des fréquences;- faire poser les prises RJ45 & secteur ou bien commutateurs

802.3af (p. 43) à une hauteur d’environ 2 m sans coller au

plafond ;- régler les PA en commençant par les plus difficiles et en pré-

sence de la population typique.


37

Classes d’usageAmphi :100 utilisateurs à 128 kbit/s (max), équipés à : 50% (max)dmax = 50 × 128 kbit/s =

dmax

5 Mbit/s ⇒

nPA(d) = = 120 Mbit/sumax

nPA(u) = = 510

d’où : nPA = max(nPA(u),nPA(d))= 5

Contrôle d’accès : 0confidentialité : 0

confinement en ⇒ extranet (p. 50) !


38

Classes d’usageLabo :10 utilisateurs à 1 Mbit/s, équipés à 70 %

dmax = 7 × 1 Mbit/s = 7 Mbit/s ⇒dmax

nPA(d) = = 120 Mbit/sumax

nPA(u) = = 110

d’où : nPA = max(nPA(u),nPA(d))= 1

Contrôle d’accès : MAC, 802.1X (p. 60)confidentialité : 0

⇒ chiffrement de bout en bout !


39

Plan des fréquencescage d’ascenseur

2nd

n =1PA

1er

RdC

1305 09 01

0913 01 05

05 09 13

0509

canal 05 0113 09

0113

n =5PA

05amphi


40

Réglage des PAPlacement : 1 ou 2 clients en position limite, mesure.

initial (densité faible)→ 1/2 j ;

densité élevée→ 1 j.

Absence de prise⇒ 1 prise secteur +

1 prise Ethernet !ou bien 802.3af→ 15 j - 1 mois.


41

Réglage des PA

0 6 12 18 21m1 m / 10 s→ mesurespatiale


42

Gestion des PA3 approches possibles :- PA lourd :

système sophistiqué embarquant toutes les fonctions de con-trôle d’accès, de routage…= ceinture, bretelles, coquille + casque ;

⇒ centraliser la gestion de ces PA

/ logiciel fiable / S.E. fiable !- PA léger :

simple répéteur Ethernet - sans-fil configurable via un serveur

de configuration= gestion centralisée ;⇒ équipement serveur de configuration de PA.

- PA quelconque + ensemble d’outils développés pour gérer deséquipements réseau.


43

802.3afInstallation d’1 PA ⇒ prise secteur⇒ temps, coût.Standard 802.3af (2003) : comment transporterl’alimentation électrique sur un câblage Ethernet.L < 100 m, V ≤ 48 V ([36, 57]), I < 400 mA, P < 12,95 Wutilisation des paires 1-2, 3-6 ou bien 4-5, 7-8,compatible 10, 100baseT, et alternative A : 1000baseT.2 techniques de mise en œuvre :- directement depuis le commutateur réseau ;- depuis un injecteur prenant en entrée un câble Ethernet stan-

dard, et sortant sur un câble Ethernet avec alimentation.


44

SécuritéPas de nouveau problème de sécurité.Remise en exergue de problèmes connus :

- impact des rayonnements électro-magnétiques sur le vivant,

sur la santé ;- maîtrise du périmètre de sécurité de l’entreprise :

syndrome Maginot ;- maîtrise des accès en libre service sur un medium partagé,

comme l’Ethernet partagé ;- écoute et brouillage des communications.


45

Sécurité des personnesLes normes internationales d’utilisation des radio fréquences

spécifient puissance rayonnée < 100 mW.Apple a choisi d’utiliser une puissance ≈ 30 mW !

champs réduits en puissance et portée ;⇒ facilité de couverture de volumes complexes.⇒

Depuis 2002, presque tous les constructeurs se sont ralliés à ce

principe de précaution.L’utilisation de radio-fréquences suscite des interrogations…

légitimes. consultation du CHSCT pour avis avant déploiement ;⇒

communication claire sur le risque.⇒Architecture des réseaux sans fil PFO 2010

46

Sécurité des personnesSanté publique : nombreuses études en cours, surtout au sujet de

l’utilisation des téléphones mobiles (p. 85):

GSM :DCS :Antennes GSM :four à micro-ondes :émetteur de la tour Eiffel :

< 2W ;< 1W ;20 à 50 W ;

1 kW ;6 MW !

Tout champ électro-magnétique décroît en 1 ⁄ r2 (en P).L’équivalent d’un mobile (600 mW) à l’oreille, avecdes iBook équipés d’une carte AirPort c’est :

10 sur la tête, 1 000 sur les genoux,


47

Sécurité des réseauxTransport de données champ électro-magnétique,⇒

sensibilité aux autres champs.⇒Ces transports de données (sauf fibre optique) peuvent être faci-lement écoutés et brouillés :- un câble Ethernet craint tubes fluorescents et câbles électri-

ques,- un réseau sans fil craint les fours à micro-onde qui fuient et les

téléphones DECT de mauvaise qualité.Réseaux sans fil écoute + simple que sur un réseau Ethernet :⇒

0 prise ou plutôt prise de 50 m de rayon. communication sur les risques ;⇒ contrôle d’accès, protection des données : confidentialité.⇒


48

Contrôle d’accès- spatial : mesures de contrôle de portée, utilisation active des

obstacles à la diffusion ;maîtrise de toute façon nécessaire à une mise en œuvre de ce

genre de réseau ;

- par adresse : seules les adresses MAC enregistrées peuvent se

joindre à un réseau (p. 34) ;- par WEP : Wired Equivalent Privacy ;- par architecture du réseau : les accès à ce type de réseau dans

des espaces où les contrôles précédents ne sont pas souhaités

sont confinés à un extranet ;- par 802.1X (p. 60).


49

WEP : un extincteur videWEP : Wired Equivalent Privacy.

Comment casser WEP :http://airsnort.shmoo.com

http://www.cr0.net:8040/↵

code/network/aircrack/Ils ont grossi artificiellement un faux problème :

faiblesse du chiffrement (car il s’agit de défauts de

mise en œuvre dans WEP),et ils ont laissé dans l’ombre un vrai problème :

absence d’un protocole de gestion de clés sans état local.

WEP : à jeter !⇒Coller des rustines sur WEP pour le réutiliser : pire !Architecture des réseaux sans fil PFO 2010

50

Extranetmachines

publiques

coupe-feu

Internet

routeurs

…

intranetfiltrants

extranetépine dorsale


51

FiltrageAucun accès IP aux équipements actifs.

DNS vers nos serveurs ;DHCP ( bootp) vers nos serveurs ;⇒TCP vers le réseau des « machines publiques ».

Aucun accès IP vers les autres réseaux capillaires.Tout autre accès IP (i.e. le reste de l’Internet) autorisé.


52

AuditFiltrage systématique en sécurité positive

journalisation des tentatives d’insertion ou d’attaque :⇒scan en UDP/192,ICMP → adresse de diffusion,

scan depuis 10.0.1.x.Effets de bord de réseaux squatteurs :- adresses sources hors plan d’adressage

journalisation ;⇒- dysfonctionnements des réseaux existants.


53

AuditLocalisation sur le terrain :- détection de réseaux pirates internes ;- détection de réseaux de voisins dans lesquels nos utilisateurs

naïfs pourraient se connecter automatiquement ;- recherche de signal en bordure :

http://istumbler.net/ ;- triangulation à partir de 3 relevés de niveau de signal.

Constat pragmatique :- écouter un réseau sans fil dans un environnement

bien couvert « entrer » dans la zone de couverture (p. 39).⇒


54

Audit

La nature a horreur du vide !


55

Syndrome MaginotArchitecture réseau traditionnelle :« intranet » délimité par un périmètre de sécurité et protégé de

l’horrible Internet par un « failleur-waulle ».Malheureusement, ce modèle de périmètre ne tient plus, il est

franchi par :- le PC portable truffé de vers attrapés dans le réseau d’un

collègue ;- le PC portable d’un collègue qui vient de l’autre bout du

monde ;- l’ordinateur du directeur qui doit partir en réparation ;- le tunnel chiffré connectant un ordinateur interne au réseau de

l’entreprise voisine ;


56

Syndrome Maginot- le PC avec carte Ethernet et carte Wi-Fi allumée en permanen-

ce faisant pont entre la rue et le réseau interne ;- le réseau sans-fil d’un résidant de l’hôtel voisin.Échelle des risques :- risque dominant plutôt du côté de la qualité déplorable de cer-

tains S.E. comme Windows ;- vient ensuite l’accès à la connexion Ethernet :

tout accès à une prise Ethernet est contrôlé : utopie !Enfin l’absence de déploiement de réseaux sans fil en interne est

une source de risque :0 audit, 0 communication sur ce problème, 0 compétence,

intrusion des réseaux des voisins.


57

Guerrier des ondes en décapotableLa connexion d’un PC « nid-de-vers » Windows

= risque (probabilité × impact) : Rnidevers .

Visite du « guerrier des ondes en décapotable »

dans le parking voisin avec une antenne d’1 m != risque : Rguerrier .

Rnidevers >> Rguerrier


58

Améliorer la sécurité des réseauxRisques par ordre décroissant à maîtriser :

- Qualité des S.E. : interdire les PC sous Windows ou bien en-gager clairement la responsabilité des utilisateurs dans le

maintien de leur outil en bon état : P.S.I., R.I., note de service.- Plateforme d’administration des réseaux invulnérable⇒ choix d’un S.E. fiable,mise en place d’ACL le protégeant au niveau

du système et du réseau.


59

Améliorer la sécurité des réseaux- Raccordement de n’importe quoi au réseau : répéteur sauvage,

borne AirPort pirate… :même remède : interdits

⇒ communication,+ contrôle d’accès (Ethernet & AirPort → 802.1X)+ déploiement de réseau sans-fil (occuper l’espace, détecterles anomalies, acquérir la compétence).

- Confidentialité des communications :chiffrement au niveau 2 (802.11i)ou bien au niveau 3 (tunnel chiffré).


60

802.1XAutorisation de l’accès au réseau :client : (@MAC…)

802.1X

1P.A.

serveurRADIUS

RADIUS

EAP-???

3

réseau2 réseau filaire

4

→ association @MAC - point d’accès : trafic autorisé.


IP

61

802.1X802.1X ne peut suffire à identifier, ni à authentifier un ordinateur

ou un utilisateur⇒ appel à un serveur d’accès, typiquement un serveur RADIUS.EAPOL = Extended Authentication Protocol Over LANRADIUS = Remote Authentication Dial-In User Service.

802.1X est stérile si il peut être écouté et rejoué⇒ utilisation d’un protocole de chiffrement et de gestion de clés.


62

802.11iWEP est mort : mort-né + mises en œuvre médiocres.

802.11i (fin 2003) définit 2 techniques de chiffrement :- TKIP

- CCMP

Ethertype =

= Temporal Key Integrity Protocol :|v| = 48 bits ;MIC = Message Integrity Code / 64 bits ;

= Counter mode with CBC-MAC Protocol :|v| = 48 bits ;AES en mode chaîné sur blocs de 128 bits

⇒ puissance de calcul.

0x88C7.


63

802.11iVersions de la Wi-Fi Alliance :

WPA = Wi-Fi Protected Access (défini par la Wi-Fi Alliance) :

version intérimaire de 802.11i basée sur WEP & TKIP.utiliser WEP : mauvais départ ?WPA est vulnérable et offre des modes d’utilisations

très dégradés, encore un extincteur vide :

http://wifinetnews.com↵

archives/002453.htmlWPA2 = Wi-Fi Protected Access y compris pour un réseau

multi-point,basé sur TKIP ou bien CCMP.


64

RADIUS : principeNom traduction fonction

supplicant pénitent client client identifié commemachine ou utilisateur

NAS = serveur d’accès ouvre l’accès réseauNetwork Access Server si accord de l’ASAS = serveur d’authentification vérifie l’autorisationAuthentication Server d’accès

Utilise 1812/UDP = radius, 1813/UDP = radacct.Peut aussi utiliser 1814/UDP pour des relais.

Met en œuvre le RFC 2865 3579.


65

RADIUS : principeUn serveur RADIUS va aussi mettre en œuvre EAP (p. 70),

et des extensions d’authentification (sur EAP).client serveur serveur

d’accès d’authentification

EAPRADIUSUDP/IP

802.1X802.11g 802.3


66

RADIUS : installationftp://ftp.freeradius.org/pub/↵

radius/freeradius-1.0.4.tar.gz$ ./configure --prefix=/local --localstatedir=/var --disable-shared [...plein de lignes ...]$ make[...]$ /usr/bin/sudo /bin/zsh # make install[...]#

Sur FreeBSD, utilisation des portages FreeBSD :# mv freeradius-1.0.4.tar.gz /usr/ports/distfiles# chown root:wheel /usr/ports/distfiles/freeradius-1.0.4.tar.gz # cd /usr/ports/net/freeradius# make PREFIX=/local ; make install PREFIX=/local [...]#

ça marche !⇒


67

RADIUS : configurationTests :# vi /local/etc/raddb/clients.conf client 127.0.0.1 {

secret = testing123shortname = localhost nastype = other

}# radiusd -X [...]$ radtest test_user test_pass localhost 0 testing123 Sending Access-Request of id 100 to 127.0.0.1:1812

User-Name = "test_user"User-Password = "test_pass"NAS-IP-Address = comte.sis.pasteur.fr NAS-Port = 0

rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=100, length=20 $

ça marche !⇒


68

RADIUS : configurationOuvrir les ACL vers le serveur :access-list <n> permit udp <sous_réseau_PA> eq 1812 host <serveur> eq 1812 access-list <n> permit udp <sous_réseau_PA> eq 1813 host <serveur> eq 1813

ouvrir les règles de filtrage du serveur :# vi /etc/ipf.rulespass in on sk0 proto udp from <sous_réseau_PA> to any port = radius \ keep state keep fragspass in on sk0 proto udp from <sous_réseau_PA> to any port = radacct \ keep state keep frags# ipf -Fa -f /etc/ipf.rules

définir un nouveau serveur d’accès = client pour RADIUS :# vi /local/etc/raddb/clients.confclient 15a7.net.pasteur.fr {

secret = errare humanum estshortname = 15a7.netnastype = other

}


69

RADIUS : configurationConfigurer ce client pour fai-re du contrôle d’accès basé

sur RADIUS.

définir un nouvel utilisateur identifié par son adresse MAC :# vi /local/etc/raddb/users001124-275c32 Auth-Type := Local, User-Password == "errare humanum est"

ça marche !⇒Architecture des réseaux sans fil PFO 2010

70

EAPExtensible Authentication Protocol : RFC 3748,= protocole de construction d’une méthode d’authentification,

≠ protocole d’authentification.Conçu pour utiliser le niveau liaison (PPP, IEEE 802).

2 protocoles mettent en œuvre EAP :- RADIUS : RFC 3579,

http://www.freeradius.org/ ;- Diameter : RFC 4072,

http://www.opendiameter.org/ .


71

Portail web d’accèsEn mauvais anglais : « captive portal ».Fonctionnement : redirection du trafic HTTP vers un ser-veur web dédié à l’autorisation d’accès.client : (compte, mot de passe)

HTTP

1P.A.

HTTPS

23


serveurweb d’accès

réseau

réseau filaire

IP

72

Portail web d’accèsRéalisation au moyen de matériel :

PA, routeurs ou serveurs d’accès,+ serveur web qui peut être embarqué ( PA lourd).⇒Versions à base de logiciel libre :NoCatAuth : http://nocat.net,talweg : http://sourcesup.cru.fr/talweg/,m0n0wall : http://m0n0.ch/wall/

Avantage : pas de logiciel client ;inconvénient : tout dans le navigateur web, IP → HTML ?


73

Utilisation d’IPSEC2 approches possibles :- certificats utilisateurs ;- authentificateurs utilisateurs externes.

IGC ou gestion d’un parc d’authentificateurs (SecurID…).⇒

Règle « bien » le problème de confidentialité.Ne règle pas le problème d’accès différents au réseau sans fil

(typiquement public, administratif, labo.)en un même point.Attention, mal utilisé IPSEC peut démolir le concept de

périmètre de sécurité parler de « ⇒ tunnel chiffré » non de VPN.


74

NomadismeConfidentialité & contrôle d’accès peuvent être obtenus dans un

réseau d’infrastructure.Le nomade peut rechercher ces 2 garanties hors de ce réseau :- se ramener au cas du réseau d’infrastructure :

construire un tunnel chiffré, depuis un système fiable,

et empêchant tout autre accès du réseau local ;- utiliser des moyens locaux :

construire un réseau sans fil multi-point à partir d’un système

fiable équipé d’un coupe-feu+ utilisation de chiffrement applicatif.

Nous recherchons des techniques de mise en œuvre de la 1re :

simples & visibles pour l’utilisateur, tout-terrain,

et gérables à grande échelle.


75

CommunicationFixer des règles d’utilisation des réseaux sans fil :- hors du campus : interdit ;- sur le campus : autorisé dans les zones couvertes ;- interdiction de raccorder n’importe quoi au réseau.

Communiquer clairement sur les risques réels :- 1 mobile >> 100 000 carte 802.11g ;- 1 PC sous Windows > 10 h / an en dégâts, 10 réseaux sans fil

raccordant 100 ordinateurs < 20 h / an !- faire du chiffrement fiable sur un S.E. fiable !


76

Futur1999 : 802.11b ; label de qualité Wi-Fi ;2000 : 802.11a : 54 Mbit/s / 5 GHz ;2003 : 802.11g : 54 Mbit/s / 2,4 GHz ;

Centrino (802.11b : 4 ans de retard !).2004 : 802.11i: chiffrement AES / 802.11? ;

802.1X : authentification d’accès au réseau ;802.16 ? WMAN (fixe),802.20 ? WMAN (mobile).

2005 ? 802.11n : 540 Mbit/s / B = 40 MHz @ 2,4 GHz,135 Mbit/s / B = 20 MHz @ 2,4 GHz…


77

ÉvolutionsDes débits :

loi de Shannon : s d = B× log21 + --

b 20 Mhz, 20dB :⇒ 130 Mbit/s 40 Mhz, 30dB :⇒ 400 Mbit/s

Des PA :taille & consommation en baisse régulière ;le PA sera intégré dans la prise RJ45, puis la remplacera.De la gestion des PA :le commutateur 10baseT va évoluer vers un commutateur de PA.


78

Conseils pratiquesChoix techniques ayant un avenir :- 802.11g, 802.3a, 802.1X :- éviter des techniques en retard de 4 ans (Centrino) ;- éviter tout ce qui est basé sur WEP ;- éviter les PA en boîtiers métalliques ;- éviter les antennes externes ;- éviter les protocoles propriétaires d’une complexité que seul

le commercial peut certifier.Couvrir pour éviter l’apparition de réseaux pirates internes

et les conflits avec les réseaux des voisins.Veiller à ce que la plateforme d’administration ne soit pas le

point le plus faible de l’architecture.


79

Annexes

mW1000500

100

50

1010 20 30 dBm


80

Loi de Shannon

Mbit/s

1000 80MHz500 40MHz

20MHz10050

1010 20 30 40 dB


81

Réflexion, absorptiononde réfléchie atténuation⇒

Ay


Exemple :amplitude du signal

au voisinage d’un

mur en béton.Borne proche du

x mur aligné sur l’axedes y.

pour traverser⇒

les murs il faut atta-quer à 90º !

82

Diagramme de rayonnementdipôle multi-brin

z zpolarisation

x xE

y y

x x


83

GlossaireBER Bit Error Rate

taux de bits en erreurCCK Complementary Code Keying

technique de codage utilisant 64 (sur 256) mots de 8bits pour leur facilité d’identification en présence debruit

DSSS Direct Sequence Spread Spectrumétalement de spectre

EAPOL Extended Authentication Protocol Over LANETSI European Telecommunications Standards InstituteFCC Federal Communications CommissionOFDM Orthogonal Frequency Division Multiplexing


84

PA Point d’Accès (p. 11)PBCC Packet Binary Convolution CodingPIRE Puissance Isotrope Rayonnée ÉquivalentePSI Politique de Sécurité InformatiqueQAM Quadratic Amplitude Modulation

technique de modulation en amplitude et phase

définissant 16 ou 64 symboles ≠ par HzRADIUS Remote Authentication Dial-In User Service (p. 64)SSID Service Set Identifier

nom de réseau sans fil = chaîne de caractèreTKIP Temporal Key Integrity Protocol (p. 63)WECA Wireless Ethernet Compatibility Alliance


85

Sécurité des personnesOrganismes et programmes de recherche :

OMS : international EMF project :

http://www.who.int/↵peh-emf/project/fr/index.html

ministère de la santé :http://www.sante.gouv.fr/htm/dossiers/↵

telephon_mobil/sommaire.htmICNIRP : International Commission on Non-Ionizing Radiation

Protectionhttp://www.icnirp.de/

AFSSE : Agence Française de Sécurité Sanitaire Environnemen-tale

http://www.afsse.fr/Architecture des réseaux sans fil PFO 2010

86

ConstructeursApple :

http://www.apple.com/airportexpress/Aruba :

http://www.arubanetworks.com/Broadcom :

http://www.broadcom.com/Linksys (en cours d’ingestion par Cisco) :

http://www.linksys.com/Proxim (ex. Orinoco, ex. Lucent) :

http://www.proxim.com/Trapeze :

http://www.trapezenetworks.com/


87

Listes de diffusionhttp://listes.cru.fr/sympa/info/sans-fil


Paul Fonsny Architecture réseau & sécurité Institut Pasteur

Documents

Transcript of Paul Fonsny Architecture réseau & sécurité Institut Pasteur