WIFI Professionnel La norme 802.11, le déploiement, la sécurité - 3ème Edition

WiFiProFessionnella norme 802.11, le dploiement, la scuritAurlien GronPrface de Marc Taieb

rseaux

tlcom

3e dition

ISBN 978-2-10-054183-6

Prface

Svrement touche par laventure UMTS, lEurope a cherch des solutions conomiques la transmission de donnes sans l. Elle a su trouver une voie honorable en proposant des services sur la norme Wireless-Fidelity. Les usages ont t dclins la maison, au bureau, dans la rue et dans les zones blanches . Les constructeurs y ont dcel un relais de croissance et les oprateurs, gnralement frileux, ont ni par leur emboter le pas. En 2002 la technologie tait condentielle, aujourdhui la France compte des milliers de points daccs. La presse, friande de sujets leur rappelant la grande poque de la bulle , ne tarit pas dloge pour cette forme de cabine tlphonique daccs haut dbit. Certains ont mme imagin une France couverte en WiFi. Les technologies sans l existent depuis des dizaines dannes, avec des dbits croissants et des bandes de frquences de plus en plus rares. Les normes ont donc volu pour optimiser et simplier les plages. Si le GSM a t capable de transporter de la voix pour 75 % des habitants (moyenne europenne), les transmissions de donnes gnrent moins de 10 % des revenus et doivent sadosser dautres normes comme la 3G et le WiFi. lheure o la 4G pointe son nez, nous savons que le WiFi ne sera pas une parenthse de lhistoire de la haute technologie. En dpit des rumeurs des plus acides qui ironisaient sur le dbit et la scurit des rseaux sans l le standard 802.11 a surpris par sa stabilit et sa simplicit. Le livre dAurlien G RON cristallise, dans une dmarche pdagogique, la diffrence entre le WiFi et la perception que lon peut en avoir. Peu douvrages ont su dcrire avec autant de prcision ltat rel de cette technologie. Il tait ncessaire dinscrire la norme dans une photo plus grande qui la positionnait face aux autres normes sans l et qui lgitimait sa prdominance. Cette tche a t acquitte sans quitter du regard les problmatiques de scurit. Je tiens enn saluer la rigueur de louvrage et de son auteur, que je connais personnellement et qui je voue une grande admiration, tant pour ses qualits de travail que pour sa crativit. Marc TAIEB Cofondateur et directeur de la socit Wirst

Table des matires

Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

III XV

Premire partie Comprendre le WiFiChapitre 1 Contexte et applications du WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Un boom retardement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 1.1.2 1.1.3 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.3.1 1.3.2 1.3.3 De lhistoire ancienne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les raisons du retard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le boom du WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les rseaux et les protocoles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les couches de protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le modle OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La typologie des rseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les standards de lIEEE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lextension du rseau dentreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WiFi domicile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les hotspots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 3 4 6 8 8 8 10 11 12 14 15 15 15 16

1.2 Quelques rappels sur les rseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.3 Les applications du WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VI

WiFi Professionnel

1.3.4 1.3.5 1.3.6 1.4.1 1.4.2 1.4.3 1.4.4 1.4.5 1.4.6 1.4.7

Le WiFi communautaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le point point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WiFi dans lindustrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LEthernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le CPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Linfrarouge et le laser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La data mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autres technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La place du WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19 21 21 23 23 23 24 25 25 26 27 29 29 30 30 30 31 31 33 38 38 40 44 45 47 49 55 55 57 58 59 59 59

1.4 Les technologies alternatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 2 La norme 802.11 : couches physiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Une vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.1.2 2.1.3 Trois couches physiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Une couche MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les volutions du 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les grandeurs physiques des ondes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les rgles de la transmission radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les modulations fondamentales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les modulations numriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le FHSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le DSSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LOFDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Techniques multi-antennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les canaux 2,4 GHz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les canaux 5 GHz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regroupement de canaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La structure dune trame . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le prambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.2 Quelques rappels sur les ondes radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 2.2.2 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6

2.3 Les modulations radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.4 Les canaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 2.4.2 2.4.3 2.5.1 2.5.2

2.5 Les trames 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Table des matires

VII

2.5.3 2.6.1 2.6.2 2.6.3

Len-tte PLCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La norme 802.11n et ses drafts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Un meilleur dbit et une plus grande porte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les principales amliorations du 802.11n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

60 61 61 61 62 65 65 65 66 67 69 73 73 75 77 80 81 82 82 85 85 85 86 88 88 89 89 89 90 90 91 92 92

2.6 La norme 802.11n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 3 La norme 802.11 : couche MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Tour dhorizon de la couche MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 3.1.2 3.1.3 3.1.4 3.2.1 3.2.2 3.2.3 3.2.4 3.3.1 3.3.2 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.5.1 3.5.2 3.5.3 3.5.4 3.6.1 Les couches LLC et MAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les fonctions de la couche MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les volutions de la couche MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Un rappel sur lEthernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mode DCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mode PCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les amliorations du 802.11e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le paramtrage et la compatibilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mode Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mode Ad Hoc et les rseaux maills . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les trames balises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dtecter les rseaux prsents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lassociation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La rassociation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Et en mode Ad Hoc ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Masquer le SSID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtrage par adresse MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le 802.11i et le WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le contrle derreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.2 Le partage des ondes en WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.3 Le rseau Ad Hoc ou Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.4 Le processus dassociation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.5 Les mcanismes de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.6 Les autres fonctions MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VIII

WiFi Professionnel

3.6.2 3.6.3 3.6.4 3.6.5 3.7.1 3.7.2 3.7.3 3.8.1 3.8.2

La fragmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lacheminement des paquets et le WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lconomie dnergie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WMM-PS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La structure des paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les types de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les couches suprieures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lagrgation de trames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Acquittements groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

92 93 95 98 99 99 101 103 104 104 105

3.7 Les paquets WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.8 Les amliorations du 802.11n. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Deuxime partie DploiementChapitre 4 Le matriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Les adaptateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 4.1.2 4.1.3 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.3.1 4.3.2 4.3.3 4.3.4 4.4.1 Le rle de ladaptateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La connectique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pont vers un rseau laire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le point daccs rptiteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les rseaux multiples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le routeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le hotspot et le contrleur daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La conguration dun AP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comment choisir un AP ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les priphriques de bureautique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les outils danalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les priphriques industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La tlphonie sur WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comprendre les antennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 109 109 110 112 114 114 117 121 125 126 132 132 135 135 137 139 140 141 141

4.2 Le point daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.3 Les priphriques WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.4 Les antennes WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Table des matires

IX

4.4.2 4.4.3

Les formats dantennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les cbles et les connecteurs dantennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le PoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le CPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les ltres passe-bande et les attnuateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

145 147 147 147 149 149 153 153 153 156 157 161 161 163 165 166 168 171 174 175 175 176 179 183 190

4.5 Le matriel pour le dploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1 4.5.2 4.5.3

Chapitre 5 La couverture radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Le bilan radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.1 5.1.2 5.1.3 Un schma gnral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Un exemple de point point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comment amliorer le bilan radio ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le bruit et les interfrences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Labsorption et la rexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La polarisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La diffraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les chemins multiples (multipath) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les zones de Fresnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La disponibilit dune liaison point point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La densit dAP et le dbit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Limiter les interfrences entre AP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les rseaux sans l haute capacit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Laudit de site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Linstallation des AP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.2 Les perturbations radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7

5.3 Dployer de multiples AP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.1 5.3.2 5.3.3 5.3.4 5.3.5

Troisime partie ScuritChapitre 6 La scurit sans l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Introduction la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 6.1.2 6.1.3 Dnir la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Une politique globale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La compartimentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 195 195 197 198

X

WiFi Professionnel

6.1.4 6.1.5

La connexion Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lvolution de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le wardriving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lespionnage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le dni de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La modication des messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Limiter les dbordements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viter les AP pirates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La supervision radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Masquer le SSID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le ltrage par adresse MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cryptage WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Isoler le rseau sans l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les rseaux privs virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La mort du WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le LEAP et les solutions propritaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le 802.11i (WPA2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

200 200 201 201 203 203 207 209 212 212 212 212 213 213 213 214 215 216 217 217 218 218 218 221 221 221 223 224 227 227 227 229 230

6.2 Les attaques dun rseau WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.1 6.2.2 6.2.3 6.2.4 6.2.5

6.3 Les premires solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.1 6.3.2 6.3.3 6.3.4 6.3.5 6.3.6 6.3.7 6.3.8 6.3.9

6.4 Les nouvelles solutions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.1 6.4.2 6.4.3 6.4.4

Chapitre 7 Le WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1 La mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1.1 7.1.2 7.1.3 Dployer le WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La rotation des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les cls individuelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lalgorithme RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crypter avec RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viter la rptition de la cl RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le vecteur dinitialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.2 Les rouages du WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2.1 7.2.2 7.2.3 7.2.4

Table des matires

XI

7.2.5 7.2.6

Lauthentication WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le contrle dintgrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les failles du cryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les failles de lauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les failles du contrle dintgrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

231 231 233 233 237 238 241 242 242 242 243 245 245 249 251 253 253 253 253 254 255 255 257 259 260 260 262 263 263 263 264 266 269

7.3 Les failles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.1 7.3.2 7.3.3

Chapitre 8 Le 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1 Lorigine dEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1.1 8.1.2 8.1.3 LIETF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le protocole PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L authentication avec PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Larchitecture : trois acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les dialogues : quatre paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LEAP et le 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/MD5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/MS-CHAP-v2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/OTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/GTC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EAP/TTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PEAP ou TTLS ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8.2 Le fonctionnement dEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.1 8.2.2 8.2.3

8.3 Les mthodes EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.1 8.3.2 8.3.3 8.3.4 8.3.5 8.3.6 8.3.7 8.3.8 8.3.9

8.3.10 EAP/FAST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.11 Autres mthodes EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4 La scurit dEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4.1 8.4.2 8.4.3 8.4.4 8.4.5 Les failles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lattaque de la mthode EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lattaque de la session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les attaques MiM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Une bonne scurit avec le 802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

XII

WiFi Professionnel

Chapitre 9 Le WPA et le WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1 Dployer le WPA ou le WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1.1 9.1.2 9.1.3 Rappels et dnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WPA Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WPA Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Une connexion complte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La hirarchie des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Drivation de la cl temporaire PTK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La rotation de la cl de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le fonctionnement en mode Ad Hoc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prsentation gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cryptage TKIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empcher la relecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le contrle dintgrit Michael . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mode mixte : WEP et WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pourquoi AES ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le WPA/AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les modes de cryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le CCMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

271 271 271 272 274 276 276 279 281 284 284 287 287 288 291 291 296 297 297 297 299 302 307 307 307 311 312 315 315 317 318 320

9.2 La distribution des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5

9.3 La solution TKIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.1 9.3.2 9.3.3 9.3.4 9.3.5

9.4 La solution AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.1 9.4.2 9.4.3 9.4.4

Chapitre 10 Le RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1 Les fonctions du serveur RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.1 Lauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.2 Lautorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.3 La comptabilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Le protocole RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.1 Le RADIUS et lUDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.2 Les six types de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.3 Le format des paquets RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.4 Le 802.1x et le RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Table des matires

XIII

10.3 Questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.1 Le secret RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.2 Lauthenticator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.3 Lattribut Message-Authenticator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.4 Lattaque hors-ligne contre le secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.5 Le RADIUS sur Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.6 Les VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.7 Lchange de la cl PMK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 11 Les obligations lgales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Protger la vie prive des utilisateurs du rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Lutter contre la cybercriminalit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Permettre la cohabitation de services sans l voisins . . . . . . . . . . . . . . . . . . . . . . . . 11.3.1 Des bandes de frquences libres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2 Limites pour la bande des 2,4 GHz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.3 Limites pour la bande des 5 GHz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.4 Comment respecter ces limites ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4 Garantir la scurit sanitaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4.2 Les effets thermiques des ondes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4.3 Les effets non thermiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4.4 Un dbat passionn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Webographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

322 322 323 326 326 327 331 331 335 335 336 338 338 338 339 339 341 341 342 345 348 353 367 371

Avant-propos

La technologie WiFi fait parler delleLa promesse dun monde sans l est allchante : se connecter Internet sans le moindre cble, la maison, au bureau, voire mme dans des points daccs publics appels hotspots. Les rveurs y voient le nouveau boom des Technologies de lInformation et de la Communication (les TIC), la mesure du succs qua connue la tlphonie mobile grce la technologie GSM. Les sceptiques, rendus mants par le op des .com et la crise des tlcoms, ny voient quune mode qui doit passer aussi vite quelle est arrive, remplace rapidement par une autre technologie plus prometteuse, moins coteuse ou simplement mieux commercialise. Lgitimes dans un premier temps, on peut maintenant afrmer que ces craintes ne sont plus justies. En effet, au-del des rumeurs exaltes (le buzz ), le WiFi a rellement conquis le grand public. Les grands oprateurs proposent dornavant des abonnements ADSL avec des modems WiFi pour se connecter nimporte o la maison. Les fabricants dordinateurs portables ont franchi le pas et la grande majorit de leurs produits est dornavant compatible WiFi. Des gants se sont lancs corps perdu dans la bataille, limage dIntel qui a investi massivement dans la mobilit avec sa technologie Centrino, compatible WiFi.

Le WiFi pour lentrepriseLes entreprises, timides au dbut par crainte des nouveaux problmes de scurit que posent les rseaux sans l, ou attendant simplement la maturit de la technologie et des produits, sont maintenant en train de prendre la vague du sans l. Les intrts pour lentreprise sont en effet importants : les cots de cblage peuvent tre trs largement rduits ; les employs, quips dordinateurs portables compatibles WiFi, peuvent rester connects et productifs hors du bureau ; les runions sont plus faciles organiser car le rseau est disponible partout et pour tout le monde ; les ramnagements de bureaux sont nettement moins complexes grer ; les clients, fournisseurs et autres visiteurs peuvent se connecter facilement. Toutefois, concevoir et maintenir un rseau WiFi dentreprise, scuris, rapide, disponible dans tous les bureaux et bien administr, est une autre gageure que de connecter quelques ordinateurs un rseau WiFi familial et peut trs vite virer au cauchemar.

XVI

WiFi Professionnel

Objectif de ce livreComme son nom lindique, ce livre a pour but de prsenter le WiFi de faon aussi exhaustive que possible, pour les entreprises dsireuses de passer au WiFi, mais aussi pour le particulier passionn par les technologies ou le simple curieux. Autant les ouvrages ddis au grand public abondent, autant un responsable informatique ou un administrateur rseau est aujourdhui dmuni lorsquon lui demande de wiser son entreprise et quil cherche la littrature adapte (en franais, en tout cas). Dexcellents ouvrages dtaillent les rouages du protocole lui-mme. Dautres dcrivent les solutions de scurit en vigueur actuellement. Quelques-uns traitent de loptimisation de la couverture radio. Mais trs peu offrent une synthse pratique et complte. Cest cette lacune que cet ouvrage a pour but de combler.

Contenu des chapitresCe livre est compos de trois parties chacune centre sur un thme : Comprendre le WiFi : chapitres 1 3 Dployer votre rseau sans l : chapitres 4 et 5

Scuriser votre rseau sans l : chapitres 6 11

Premire partie : comprendre le WiFiLa premire partie a pour but de vous apporter une bonne comprhension du WiFi : vous saurez ce quest le WiFi et comprendrez les rouages de la norme 802.11. Le chapitre 1 prsente une vue densemble du WiFi, son contexte historique, technique et commercial et ses principales applications. Les chapitres 2 et 3 dtaillent la norme 802.11 sur laquelle repose le WiFi. Le chapitre 2 se concentre sur les couches physiques et prsente les variantes du WiFi : 802.11a, 802.11b, 802.11g et 802.11n. Le chapitre 3 prsente la couche MAC du protocole 802.11, cest--dire le cerveau du WiFi, qui offre de nombreuses fonctionnalits essentielles, telles que la scurit ou encore le partage des ondes.

Deuxime partie : dploiementLa seconde partie doit vous permettre de bien prparer et raliser le dploiement de votre rseau sans l. Le chapitre 4 prsente le matriel WiFi, des adaptateurs WiFi aux points daccs (les AP, cest--dire les bornes WiFi) en passant par les antennes et les tlphones WiFi. Des conseils pratiques sont proposs pour mieux choisir votre matriel. Le chapitre 5 traite de la couverture radio. Il permet de savoir comment dployer les AP et positionner les antennes pour obtenir un rseau performant en fonction du contexte : connexion de point point, rseau dentreprise simple, rseau haute capacit, etc.

Avant-propos

XVII

Troisime partie : scuritLa troisime partie prsente les solutions permettant de scuriser votre rseau WiFi. Le chapitre 6 offre une vue densemble de la problmatique de scurit dans un rseau sans l et prsente quelques-unes des solutions simples pour un niveau lmentaire de scurit. Le chapitre 7 prsente la solution WEP. Il sagit de la premire solution de scurit propose par le standard 802.11, malheureusement compltement insufsante. Toutefois, elle est encore trs rpandue et doit donc tre prsente. Le chapitre 8 dtaille le protocole 802.1x dont le rle est didentier les utilisateurs et de prparer une connexion scurise. Ce protocole simple et gnrique est la base de nombreuses solutions de scurit dont le WPA Enterprise. Le chapitre 9 prsente en profondeur le WPA, la solution miracle du WiFi, qui offre un niveau de scurit sans l exceptionnel. Les deux architectures possibles sont dtailles : le WPA Personal pour les particuliers ou les trs petits rseaux, et le WPA Enterprise pour les rseaux plus consquents. Le chapitre 10 prsente le protocole RADIUS et explique comment mettre en place et congurer un serveur RADIUS. Ce serveur est lun des composants des solutions de scurit bases sur le 802.1x, dont le WPA Enterprise. Le chapitre 11 aborde enn les obligations lgales que vous devrez respecter si vous dployez un rseau WiFi, notamment la protection de la vie prive des utilisateurs, la lutte anti-terrorisme et la scurit sanitaire (ce dernier point tant dtaill).

Les annexesCe livre comporte quatre annexes qui prsentent des sujets divers, utiles pour comprendre certaines parties de cet ouvrage, mais trop loigns du WiFi proprement dit pour gurer au sein dun chapitre, elles sont disponibles sur le Web (www.livrewi.com ou www.dunod.com) : Lannexe A dcrit les rseaux IP, ladressage, le routage et les principaux

protocoles. Cette annexe est importante pour toute personne qui ne serait pas dj familire avec ces notions. Si vous ne savez pas ce quest une adresse IP, un paquet TCP ou une requte ARP, cette annexe est faite pour vous. Lannexe B prsente lattaque ARP, qui est le point de dpart de plusieurs attaques permettant un pirate de compromettre la scurit de votre rseau. Elle illustre quel point les pirates sont cratifs et combien ils peuvent nuire. Lannexe C prsente les certicats lectroniques, le cryptage asymtrique et les protocoles TLS et SSL.

la n de ce livre, vous trouverez un glossaire et un index. La quantit astronomique de sigles et de termes techniques qui fourmillent dans les domaines de linformatique et des rseaux est telle que le glossaire, qui contient plus de 200 dnitions, sera sans doute utile assez frquemment. Chaque sigle est nanmoins dcrit dans le texte, lors de sa premire utilisation.

XVIII

WiFi Professionnel

Comment lire ce livre ?Ce livre peut tre lu comme un roman (bien quil ne prtende pas au prix Goncourt), cest--dire de la premire la dernire page. Toutefois, la plupart des chapitres sont conus pour pouvoir tre lus relativement indpendamment. Il est recommand de lire en premier le chapitre 1 : il offre une vision globale du WiFi. Les chapitres 2 et 3 prsentent la norme 802.11 en dtail, vous pouvez donc les survoler pour vous faire une ide gnrale de cette norme et y revenir si vous avez besoin de comprendre un point particulier. Dautre part, il est prfrable de lire les chapitres 8, 9 et 10 dans lordre, en prenant un bon caf avant de vous lancer. Tous les chapitres se terminent par un rsum dune ou deux pages, qui rappelle les points essentiels retenir. Si un chapitre vous ennuie, lisez simplement son rsum ! Par ailleurs, de petits encarts soulignent les points les plus importants au cours de chaque chapitre. Cet ouvrage sera je lespre la fois un guide pratique pour lentreprise ou le particulier souhaitant squiper dun rseau WiFi robuste et scuris, et un manuel sur ltat de lart de la technologie.Vous trouverez lensemble des annexes, les rfrences et les commentaires sur www.livrewifi.com.

RemerciementsJe tiens remercier vivement Emmanuelle Tessier, pour sa grande patience, son soutien, ses relectures attentives et ses conseils aviss. Merci galement ma famille et mes amis, que jespre voir davantage maintenant que ce livre est termin ! Je remercie lquipe Wirst, pour son extraordinaire nergie, sa bonne humeur et son efcacit. En particulier, un grand merci Marc Taieb, Leif Stevenin, Arnaud Puy et Arno Pical pour leur prcieux soutien pendant lcriture de cet ouvrage. Lil de lynx de Leif ma vit bien des coquilles ! Je tiens galement remercier lquipe des ditions Dunod, Jean-Luc Blanc, Carole Trochu et Sbastien Bago, pour leur dynamisme, leur gentillesse et la qualit de leurs relectures et commentaires. Un grand merci Michel Tessier qui ma aid ne pas aggraver les choses dans le match (hum...) entre le franais et langlais. Merci galement Emmanuel Curis qui a eu la gentillesse et la patience de relire et corriger lensemble de cet ouvrage avec une minutie rare : des virgules en trop aux questions de propagation des ondes radio, rien ne lui a chapp. Je lui en suis profondment reconnaissant. Les modulations radio nont aucun secret pour Adrien Demarez : jai eu la chance de pouvoir bncier de ses cours particuliers improviss qui navaient rien envier aux meilleurs cours magistraux. Il tait parfois relay par Michel Chevallier, qui ma apport une aide prcieuse pour le dernier chapitre en compilant une riche bibliographie sur les effets des ondes sur la sant. A tous les deux je tiens dire merci !

Avant-propos

XIX

Un clin dil Tristan Boureau, pour ses sessions de travail acharn, son optimisme et son esprit Mouduge . Pour nir, je remercie affectueusement mon frre Sylvain Gron qui ma propuls dans laventure du WiFi.

PREMIRE PARTIE

Comprendre le WiFiCes trois premiers chapitres ont pour but de vous apporter une bonne comprhension du WiFi : le chapitre 1 prsente le WiFi, son contexte historique, technique et commer-

cial, ses applications et les technologies alternatives ; le chapitre 2 prsente les couches physiques dnies par la norme 802.11 sur laquelle repose le WiFi. Les diffrentes variantes du WiFi (802.11a, 802.11b, 802.11g et 802.11n) sont abordes en dtail ; le chapitre 3 prsente la couche MAC dnie par la norme 802.11 : il sagit du cerveau du WiFi, qui lui apporte de nombreuses fonctionnalits.

1Contexte et applications du WiFi

ObjectifCe premier chapitre a pour but de prsenter brivement lhistoire de la technologie WiFi, son contexte technique, ses applications principales et les technologies concurrentes : le lecteur novice aura ainsi une vision densemble de la technologie et de sa nalit.

1.1 UN BOOM RETARDEMENT1.1.1 De lhistoire ancienneLa naissance des ondesLe sans l est la mode aujourdhui. Pourtant, cest dj de lhistoire ancienne. Cette histoire commence la n du XIXe sicle avec la dcouverte des ondes lectromagntiques par le physicien allemand Heinrich Hertz en 1888. Dix ans plus tard, le 5 novembre 1898, Eugne Ducretet, assist dErnest Roger, tablit la premire communication radio longue distance , sur 4 kilomtres, entre la Tour Eiffel et le Panthon : cest le dbut de la Tlgraphie sans l (TSF). En 1908, ces ondes radio transportent dj la voix et la musique, grce Lee de Forest ! Deux ans plus tard, celui-ci retransmet mme un opra donn au Metropolitan Opera House New York : cest lune des premires missions de radio. En 1924, John Loggie Baird retransmet sur les ondes des images dobjets en mouvement, la Royal Institution. Encore deux ans plus tard, il permet un visage humain de safcher pour la premire

4

Chapitre 1. Contexte et applications du WiFi

fois sur un cran de tlvision via les ondes radio : la tlvision hertzienne est ne. Les techniques se perfectionnent tout au long du sicle et en particulier pendant la deuxime guerre mondiale : certaines des techniques du WiFi sont dailleurs nes des recherches militaires.

Les rseaux sans filPuis vient lre du numrique. Le premier vritable rseau numrique sans l date de 1970 : cette anne-l, des chercheurs de luniversit de Hawa sous la direction de Norman Abramson runissent les technologies radio et les technologies numriques de communication par paquets de donnes. Il sagit du rseau sans l AlohaNet. Pour la premire fois, plusieurs ordinateurs sont relis entre eux grce aux ondes radio. Ce rseau sans l soffre mme le luxe dune connexion par satellite Arpanet, lanctre de lInternet cr en 1969 !

1.1.2 Les raisons du retardAlors si ces technologies sans l ne sont pas nes de la dernire pluie, pourquoi la vague du sans l ne dferle-t-elle sur nous quaujourdhui ? Les rponses sont multiples.

Faible dbitDune part, les dbits des connexions sans l ont toujours t loin derrire ceux des connexions laires (g. 1.1). Il a longtemps fallu se contenter de quelques kilobits par seconde (kb/s) ce qui ntait pas comparable aux dbits des rseaux laires o lon parle depuis longtemps en mgabits par seconde (Mb/s). Encore aujourdhui, le WiFi permet au mieux datteindre quelques centaines de mgabits par seconde, alors que le laire peut atteindre sans difcult le gigabit par seconde (Gb/s), voire mme le trabit par seconde (Tb/s)1 .

Solutions propritairesEn outre, les produits disponibles ntaient gnralement pas standardiss (on parle de solutions propritaires ) ce qui interdisait le plus souvent linteroprabilit entre les offres des diffrents fournisseurs. Cela signie quen choisissant une technologie donne, on tait dpendant dun constructeur unique, qui pouvait disparatre ou encore imposer des tarifs excessifs.

RglementationPar ailleurs, la rglementation sur les ondes radio a galement ralenti le dveloppement du sans l pour les rseaux dentreprise. Les ondes radio tant par nature une ressource limite, chaque pays dnit des rgles que les metteurs doivent respecter.1. Le dbit dun lien numrique se mesure en nombre de bits dinformation (0 ou 1) par seconde que lon peut changer : 1 kb/s = 1 024 b/s, 1 Mb/s = 1 024 kb/s, 1 Gb/s = 1 024 Mb/s, 1 Tb/s = 1 024 Gb/s.

1.1 Un boom retardement

5

Figure 1.1 Dbits des rseaux filaires et sans fil.

Malgr des efforts dhomognisation, ces rgles varient beaucoup dun pays lautre. Elles xent en gnral une puissance rayonne maximale, imposent parfois dacheter une licence pour avoir le droit dmettre, voire mme prcisent quelle technologie radio utiliser. Lintrt de ces rglementations est dviter que les missions des uns ne brouillent celles des autres, de permettre un partage quitable des ondes radio et de limiter limpact des ondes sur la sant. Des bandes de frquences sont donc dnies et rserves certains usages : tlvision, radio, communications militaires, etc. En France, cest lAutorit de Rgulation des Communications lectroniques et des Postes (ARCEP), anciennement appele lAutorit de Rgulation des Tlcommunications (ART), qui a la responsabilit de dnir ces rgles et lAgence Nationale des Frquences (ANF) a pour rle de les faire respecter, en effectuant des contrles rguliers et en distribuant des amendes dissuasives aux contrevenants. Seules quelques bandes de frquences assez limites sont libres pour tout usage et sans licence, en respectant tout de mme une limite de puissance1 . En France, ce nest que n 2002 que lARCEP a dcid de librer compltement la bande de frquences radio de 2,4 gigahertz (GHz) sur laquelle reposent les normes WiFi 802.11b et 802.11g (g. 1.2). Encore aujourdhui, il faut se contenter dune puissance dmission de 10 100 milliwatts (mW) ce qui limite fortement la porte des quipements2 . Le WiFi 802.11a, qui fonctionne sur la bande de frquences radio de 5 GHz, tait tout simplement interdit lextrieur et limit lintrieur 200 mW seulement jusquen janvier 2006. Il est maintenant autoris lextrieur sous certaines conditions, comme nous le verrons plus loin. Le 802.11n peut tre utilis sur les deux plages de frquence 2,4 GHz ou 5 GHz, mais de nombreux adaptateurs 802.11n ne grent que lune des deux frquences, le plus souvent le 2,4 GHz.

1. Voir les tableaux synthtiques concernant la lgislation au chapitre 11. 2. titre de comparaison, notons quun simple tlphone portable a en gnral une puissance suprieure 1 Watt, soit 1 000 mW, donc dix fois plus quun point daccs WiFi.

6


Le prixDernier frein du sans l et non des moindres : le cot des quipements tait trs lev, ce qui rendait prohibitif linstallation dun rseau sans l dans la majorit des contextes, en particulier pour les rseaux dentreprises. Labsence de standard explique en grande partie ce cot lev : si chaque constructeur utilise sa propre technologie, il doit utiliser des composants spcialiss produits uniquement pour lui, cest--dire en relativement faibles quantits, donc chers. Inversement, si tous les constructeurs appliquent le mme standard, les composants utiliss seront communs et bon march.Rsumons : faible dbit, cot lev, absence de standard, lgislation htrogne et contraignante... Bref, on comprend mieux pourquoi le sans fil a tant tard connatre le succs.

1.1.3 Le boom du WiFiMais mieux vaut tard que jamais : la n des annes 1990, la situation avait beaucoup volu. Lessor de la tlphonie mobile avait commenc sensibiliser le grand public aux technologies sans l. Les rglementations en matire dondes lectromagntiques commenaient sassouplir et, dans une certaine mesure, shomogniser dans le monde.

Un standardMais surtout, en 1997, lInstitute of Electrical and Electronics Engineers (IEEE) ratiait son premier standard 802.11 qui promettait des dbits thoriques1 de 1 2 Mb/s sur diffrents mdias : soit la lumire infrarouge2 , soit les ondes radio de frquence 2,4 GHz. Cette bande de frquences radio a lavantage dtre utilisable sans licence dans de trs nombreux pays et cest surtout pour cette raison quelle a t choisie. peine deux ans plus tard, en juillet 1999, lIEEE publia le 802.11b qui apportait une amlioration importante du dbit sur les ondes radio 2,4 GHz : on pouvait ds lors atteindre des dbits thoriques de 11 Mb/s, ce qui devenait tout fait comparable aux connexions laires. Ds la n 1999, les premiers produits respectant cette norme arrivaient sur le march, des prix relativement bas et qui allaient trs vite encore baisser.

1. Le dbit thorique est le nombre maximum de bits transmis par seconde au niveau physique (radio). Le dbit rel, toujours plus faible, est le dbit observ par lutilisateur. Avec la technologie WiFi, le dbit rel est environ gal la moiti du dbit thorique. Ceci est d aux erreurs de transmission, la redondance de certaines informations, aux silences entre lenvoi des paquets de donnes, etc. 2. Il nexiste pas ce jour de produits au standard 802.11 reposant sur la lumire infrarouge, aussi nous ne dtaillerons pas cet aspect du WiFi. En outre, lInfrared Data Association (IrDA) a dni des standards infrarouges plus performants et pour lesquels il existe de nombreux produits.

1.1 Un boom retardement

7

Figure 1.2 Le spectre lectromagntique : le WiFi repose sur les micro-ondes.

Une association de constructeursComme si tout cela ntait pas assez, la Wireless Ethernet Compatibility Alliance (WECA) vit le jour la mme anne. Il sagit dune association but non lucratif compose de plus de 200 acteurs du march du sans l et dont le but est de promouvoir les produits respectant les normes sans l de la srie 802.11. Connue aujourdhui sous le nom de WiFi Alliance, cette association a eu un rle majeur dans le succs actuel du WiFi (Wireless Fidelity1 ). Lune de ses premires actions a t de dnir un ensemble de contrles de qualit et des tests dinteroprabilit permettant de garantir quun produit respecte bien les normes de lIEEE et quil peut sinterconnecter avec des produits dautres fournisseurs. Un produit passant ces tests avec succs reoit le label WiFi qui est un gage de qualit et dinteroprabilit (g. 1.3). ce jour, plus de 5 000 produits ont reu ce label, ce qui dmontre la fois le succs du WiFi et celui de la WiFi Alliance. Notons qu lorigine, le terme WiFi dsignait uniquement le label de qualit, mais par extension, il est prsent employ pour dsigner la technologie elle-mme.LIEEE a cr le standard 802.11 pour les rseaux sans fil. La WiFi Alliance a cr le label WiFi pour les produits 802.11.

Grce en grande partie la WiFi Alliance, le WiFi est donc trs rapidement pass du papier la ralit et les produits ont vite gagn en stabilit et maturit. Lune des nombreuses raisons du succs du WiFi est en effet la qualit des produits : en bref, grce aux contrles quils doivent subir pour obtenir leur label de qualit, ils fonctionnent, dans lensemble, trs bien. Enn, une fois tous ces critres runis, prix, maturit, standard, dbit, lgislation et grce aussi une bonne couverture mdiatique, la masse critique a t dpasse, ce qui a entran et entrane encore aujourdhui et de plus en plus vite, leffet boulede-neige . Voyons donc maintenant plus prcisment en quoi consiste le WiFi.

1. Cest--dire dlit sans l . Il sagit dun jeu de mot en rfrence la qualit High-Fidelity ou Hi-Fi du monde audio.

8


Figure 1.3 Le logo de certification de la WiFi Alliance.

1.2 QUELQUES RAPPELS SUR LES RSEAUXComme dans tous les domaines des Technologies de lInformation et de la Communication (TIC), le WiFi croule sous un jargon opaque de sigles, de surnoms, dabrviations et de numros de versions. Ceci peut drouter nimporte qui. An de vous viter ces dboires, cette section se propose donc de clarier brivement les termes et les concepts fondamentaux des rseaux que nous allons utiliser tout au long de ce livre. Nous revenons ici sur des notions de base des rseaux telles que le modle OSI et les couches de protocoles. Si vous savez dj ce quest un protocole de niveau 2 ou 3 et ce que sont les PAN, LAN, MAN, WAN et les WLAN, alors vous pouvez allgrement passer au 1.2.5.

1.2.1 Les rseaux et les protocolesSelon la dnition du Petit Robert, un rseau est un ensemble de points communiquant entre eux . Dans le monde numrique, ces points ou nuds du rseau sont des quipements informatiques. Il peut sagir dordinateurs bien sr, mais aussi dimprimantes, de systmes de vidosurveillance, de tlphones portables ou de tout autre matriel lectronique. On parlera de priphrique , d hte ou de station pour dsigner ces quipements. La topologie du rseau reprsente lagencement des nuds entre eux : des rseaux peuvent tre organiss en boucle, en arborescence, en mailles, etc. An que ces stations puissent communiquer entre elles, il est ncessaire dune part quelles sachent exploiter un mdia de communication adapt (des cbles lectriques ou optiques, des ondes radio, la lumire infrarouge...), mais aussi et surtout quelles soient capables de se synchroniser et de se comprendre. Pour cela, des rgles de communication doivent tre dnies. Le rle dun standard rseau est donc de dnir des protocoles (cest--dire les modalits prcises) de communication entre les priphriques dun rseau : quand prendre la parole, comment dnir qui sadresse qui, etc.

1.2.2 Les couches de protocolesUne faon de concevoir les protocoles rseaux tels quils existent aujourdhui est de les comparer une socit trs hirarchise o chacun ne communique quavec des personnes dun rang directement suprieur ou infrieur. Par exemple, si le directeur

1.2 Quelques rappels sur les rseaux

9

souhaite envoyer un message au directeur dune autre socit, il le dictera sa secrtaire de direction, qui le tapera et le transmettra au stagiaire pour relecture, celui-ci vriera les ventuelles fautes dorthographe et transmettra la lettre laccueil, ce dernier mettra la lettre sous pli et la donnera au livreur qui effectuera enn la livraison. Bien sr, destination, on peut imaginer un processus identique pour rceptionner lenveloppe, la dcacheter, vrier son contenu et la fournir au directeur (g. 1.4). Comme on le constate, chaque niveau correspond une tche trs prcise, ce qui permet de limiter la complexit (donc le cot) de chaque composant individuel, daugmenter la abilit de lensemble et de garantir une certaine indpendance entre les composants.

Figure 1.4 Vision schmatique des couches de protocoles.

Cest ce type darchitecture par couches superposes (appeles layers en anglais) qui domine dans le monde des rseaux daujourdhui. Lutilisateur est au sommet de la pyramide (il correspond au directeur dans notre exemple prcdent). Il communique avec la couche rseau la plus haute , en gnral au travers dun logiciel (ou application ) tel quun navigateur Internet par exemple. Ces applications mettent en uvre la couche applicative . Celle-ci communique elle-mme avec une couche moins leve et ainsi de suite jusqu la couche la plus basse , savoir la couche physique, qui peut utiliser un cble de cuivre, une bre optique, de la lumire infrarouge ou encore des ondes radio. videmment, lanalogie sarrte l : le processus de livraison complet dans une telle socit pourrait prendre plusieurs heures, vu le nombre de personnes par lesquelles le message doit passer, alors que dans les rseaux informatiques, chaque intermdiaire est si rapide que les messages schangent en gnral en quelques millisecondes. Lorsque lon parle des performances dun rseau, il faut distinguer le dbit et le temps de latence : le dbit est la quantit dinformation pouvant tre transmise par seconde et le temps de latence est le temps ncessaire pour que cette information arrive destination. Sur une autoroute, il peut passer plusieurs milliers de voitures par

10


heure (cest le dbit), mais une voiture donne mettra plusieurs heures pour parcourir son trajet (cest le temps de latence).

1.2.3 Le modle OSIUn standard de lInternational Organisation for Standardization (ISO) a t publi en 1979 pour dnir comment les couches rseaux doivent tre organises et ce quelles doivent faire : il sagit du standard Open Systems Interconnection (OSI). Il propose sept couches : Niveau 7 : la couche applicative Il sagit du service rseau offert lutilisateur,

tel que lenvoi ou la rception de courrier lectronique ou la navigation web. Cette couche est mise en uvre par des logiciels. Niveau 6 : la couche de prsentation Elle se charge de coder les donnes envoyes par la couche applicative en un format indpendant de la machine. Niveau 5 : la couche de session Elle se charge de ngocier les conditions dune session de communication entre deux htes, de crer cette session et de la dtruire une fois que la communication est termine (sur demande de la couche de prsentation). Niveau 4 : la couche de transport Elle se charge de dcouper en petits paquets les donnes trop volumineuses et de rassembler ces paquets larrive (en les remettant au besoin dans le bon ordre). Un contrle des ventuelles erreurs de transmission peut avoir lieu ici. Niveau 3 : la couche rseau Elle soccupe dacheminer les paquets entre diffrents rseaux. On parle de routage des paquets. Niveau 2 : la couche de liaison de donnes Elle soccupe de dtails techniques tels que le contrle derreur et le partage du support de communication. Niveau 1 : la couche physique (note PHY) Elle soccupe de la transmission des donnes proprement dite. Elle prcise en particulier le type du mdia de communication, le format des ventuels connecteurs utiliser, la dnition exacte des paramtres physiques qui doivent tre interprts comme des 1 et des 0 : par exemple le voltage dune impulsion lectrique ou la frquence dun signal radio.

Ce modle semble assez gnrique et lgant et il a donn lespoir de voir un monde des rseaux simple et uni. On pensait que tous les constructeurs allaient vite adhrer ce modle, mais cela na pas t le cas. En partie pour des raisons doptimisation des communications et en partie par manque de prcision dans la dnition des couches OSI (vous laurez sans doute remarqu !), les couches des protocoles rseaux actuels ne correspondent quapproximativement au modle OSI. Certaines couches sont coupes en deux, dautres sont regroupes, dautres se chevauchent. En outre, certaines fonctions comme la scurit ou le contrle derreur sont mises en uvre par plusieurs couches la fois. Le modle OSI est donc aujourdhui essentiellement employ des ns pdagogiques : il aide comprendre comment les rseaux sont organiss et classier les protocoles, mais il nest pas rigoureusement mis en pratique.


11

En ce qui nous concerne, le plus important est de savoir que le WiFi ne concerne que les couches 1 et 2 du modle OSI. Il dnit donc prcisment quel mdia utiliser (couche 1) et comment des paquets de donnes doivent tre changs au sein dun mme rseau (couche 2), mais il ne soccupe pas du routage des paquets entre diffrents rseaux, par exemple. De mme que le livreur ne se proccupe pas du contenu des paquets quil livre, le protocole WiFi peut transporter nimporte quelles donnes correspondant des protocoles de niveau suprieur ou gal 3 dans le modle OSI. Cest le cas en particulier du protocole Internet (Internet Protocol, IP) qui est de niveau 3.La norme 802.11 dfinit uniquement les couches 1 et 2 du modle OSI : la couche physique et la couche de liaison de donnes.

1.2.4 La typologie des rseauxLes rseaux sont classis en fonction de leur tendue. Cela va de linterconnexion entre quelques quipements situs quelques centimtres les uns des autres un rseau dchelle plantaire comme lInternet. Un exemple de protocole rseaux trs rpandu est lEthernet. On le trouve maintenant dans presque tous les rseaux dentreprise. Il se situe au mme niveau que le WiFi (couches 1 et 2 du modle OSI) et est galement standardis par lIEEE (sous le numro 802.3). Il permet des stations de communiquer entre elles par le biais de cbles en cuivre (les cbles rseau les plus communs) ou en bre optique des dbits pouvant aller jusqu 10 Gb/s ! La longueur de ces cbles peut aller de quelques mtres plusieurs dizaines de kilomtres (grce la bre optique), mais le plus souvent, tous les lments dun mme rseau Ethernet se situent dans un espace de moins de 200 mtres de diamtre, suite des contraintes techniques lies au protocole Ethernet lui-mme (voir le chapitre 3, 3.1.4). Plus gnralement, les rseaux Ethernet ne sont pas conus pour grer des milliers dutilisateurs sur des distances importantes et cest pourquoi lon parle de rseaux locaux ou Local Area Networks (LAN). Plusieurs rseaux locaux peuvent toutefois tre relis entre eux grce diverses technologies pour former un rseau de plus grande taille. lchelle dune mtropole, on parle de Metropolitan Area Network (MAN). On les trouve par exemple dans des campus universitaires o ils regroupent les LAN des diffrents btiments, ou encore entre les stations de mtros dune ville comme Paris. Dans ce cas, dautres protocoles que lEthernet, tels que lAsynchronous Transfer Mode (ATM), sont souvent employs pour relier les LAN entre eux1 . En allant encore plus loin, on atteint des rseaux qualis de larges ou Wide Area Networks (WAN). Le plus connu est bien sr lInternet qui relie entre eux une grande partie des rseaux du monde entier. Autre exemple, lorsquune socit internationale relie ses bureaux entre eux, en passant ou non par Internet, on parle galement de WAN.1. Le Gigabit-Ethernet sur bre optique est galement souvent utilis lchelle dun MAN.

12


Figure 1.5 Rseaux locaux (LAN) et rseau mtropolitains (MAN).

cette chelle, les chemins possibles pour aller dun point un autre sont souvent multiples. Lorsquun paquet de donnes est mis en un point, il est donc ncessaire dappliquer des rgles de routage pour lacheminer bon port. Cest le rle dun protocole de niveau 3 dans la couche OSI et le plus souvent, on choisit IP. loppos des WAN, linterconnexion entre quelques quipements trs proches les uns des autres, comme par exemple un clavier sans l et un ordinateur, constitue un Personal Area Network (PAN). Lespace occup par un PAN, souvent centr sur lutilisateur, est parfois appel le Personal Operating Space (POS).Les rseaux sont classs par leur taille : PAN < LAN < MAN < WAN

1.2.5 Les WLANPour sa part, le WiFi a t conu, comme Ethernet dont il sest inspir, pour mettre en uvre des rseaux locaux, mais, bien entendu, en saffranchissant des ls grce la magie des ondes lectromagntiques. On parle donc de Wireless LAN (WLAN), cest--dire LAN sans l , ne pas confondre avec WAN bien sr. On parle aussi de Radio LAN (RLAN) si le support de communication est la radio (et non la lumire infrarouge par exemple). Les stations du rseau sans l peuvent communiquer directement entre elles, on parle alors de rseau de type Ad Hoc, ou par le biais de bornes relais appeles des points daccs (Access Points, AP) : il sagit alors dun rseau de type Infrastructure. Le second type est de loin le plus frquent en entreprise.Il existe deux types de rseaux WiFi : les rseaux de type Ad Hoc, o les stations communiquent directement entre elles ; les rseaux de type Infrastructure, o les stations communiquent par le biais de points daccs.

Pour communiquer, chaque station doit bien sr tre quipe dun adaptateur WiFi et dune antenne radio (souvent intgre dans ladaptateur). De plus en plus


13

dquipements informatiques sont vendus avec un adaptateur WiFi intgr. Si ce nest pas le cas, il faut en acheter un et le connecter la station. La connectique est trs varie : il existe des adaptateurs WiFi USB, PCMCIA, PCI, etc. Il existe plusieurs variantes du WiFi, sur lesquelles nous reviendrons en dtail au cours du chapitre 2. En deux mots, le 802.11b et le 802.11g sont compatibles entre eux et fonctionnent tous deux avec les ondes radio dune frquence de 2,4 GHz. Le 802.11b atteint un dbit de 11 Mb/s et le 802.11g monte 54 Mb/s. Le 802.11a nest pas compatible avec le 802.11b et le 802.11g, car il fonctionne avec les ondes radio dune frquence de 5 GHz. Il permet datteindre 54 Mb/s. Le 802.11n permet datteindre un dbit rel suprieur 100 Mb/s. Il est capable de fonctionner 2,4 GHz ou 5 GHz et est compatible avec le 802.11b/g et le 802.11a. Malheureusement, la plupart des quipements 802.11n disponibles aujourdhui nutilisent que la bande de frquences de 2,4 GHz (et ne sont donc pas compatibles avec le 802.11a). Aujourdhui la variante du WiFi de la loin la plus utilise est le 802.11g. Elle devrait tre rapidement rattrape par le 802.11n.Variante 802.11a 802.11a 802.11b 802.11g 802.11n Dbit Max. 2 Mb/s 54 Mb/s 11 Mb/s 54 Mb/s > 100 Mb/s Frquence 2,4 GHz 5 GHz 2,4 GHz 2,4 GHz 2,4 GHz ou 5 GHz 3 19 3 3 3 ou 19 Canaux Modulation radio FHSS ou DSSS OFDM DSSS ou HR-DSSS DSSS ou HR-DSSS ou OFDM DSSS ou HR-DSSS ou OFDM avec MIMO

a. Le 802.11 tout court dsigne ici la premire version du standard, parue en 1997.

Le fait que le WiFi soit conu lorigine pour raliser des WLAN ne lempche pas dtre galement utilisable dans dautres contextes. Par exemple, une myriade de produits, tels que des agendas lectroniques (organiseurs) ou Personal Data Assistant (PDA), des imprimantes, des crans dordinateurs, des magntoscopes ou encore des chanes Hi-Fi, sont maintenant pourvus de connexions WiFi leur permettant dtre relis entre eux sans le moindre l. Dans ce cas, le WiFi est employ pour raliser un WPAN. linverse, de nombreuses collectivits locales nayant pas accs au haut dbit (lADSL ntant pas encore disponible partout) se tournent vers le WiFi pour couvrir toute une commune voire plusieurs communes avec un mme rseau sans l. On peut alors parler de Wireless MAN (WMAN). Pour nir, des socits dploient actuellement des rseaux WiFi, appels des hotspots1 , qui permettent nimporte qui de se connecter Internet sans l un peu partout en France et dans le monde entier. On voit donc apparatre actuellement1. Hotspot signie point chaud en anglais.

14


ce que lon pourrait appeler des WWAN (Wireless Wide Area Networks) bass sur la technologie WiFi (la technologie WiFi elle-mme ne transporte cependant les donnes que sur de faibles distances). Nous y reviendrons dans les paragraphes suivants.

1.2.6 Les standards de lIEEEComme nous lavons vu, les produits WiFi reposent sur les protocoles WLAN publis partir de 1997 par lIEEE sous le nom de 802.11. LIEEE est lun des principaux instituts amricains de standardisation des technologies de communications. Il est issu de la fusion en 1963 entre lInstitute of Radio Engineers (IRE) et lAmerican Institute of Electrical Engineers (AIEE) dont les origines remontent la n du XIXe sicle ! De nombreux standards de lIEEE ont t ensuite ratis par lISO, ce qui leur confre une dimension mondiale. Cest le cas en particulier du standard Ethernet (802.3), et du WiFi (802.11). Le standard ISO correspondant au 802.11 est lISO/IEC 8802-11. Lquivalent europen de lIEEE est lEuropean Telecommunications Standards Institute (ETSI) qui propose sa propre technologie de rseau sans l, le High Performance Radio Local Area Network (HiperLAN). Elle est toutefois beaucoup moins rpandue aujourdhui que le WiFi. LIEEE est compos dun certain nombre de comits, eux-mmes subdiviss en groupes de travail. Les comits sont tout simplement numrots. Ainsi, le comit charg des rseaux LAN et MAN correspond au numro 802. Au sein de ce comit, les groupes de travail sont eux-mmes numrots et celui qui est charg de standardiser les rseaux locaux sans l porte le numro 11. On le note donc 802.11 et il a donn son nom la technologie. Avant le WiFi, le comit 802 avait dj dni une foule de standards pour les rseaux, dont le plus connu et le plus rpandu aujourdhui est lEthernet (802.3), comme nous lavons vu plus haut, qui permet de raliser des rseaux locaux grce des cbles rseaux en cuivre ou en bre optique. Voici quelques-uns des plus importants groupes de travail du comit 802 : 802.3 : LAN, standard driv dEthernet, initialement standardis par les

socits DEC, Intel et Xerox ;

802.5 : LAN, standard driv du Token Ring dIBM ; 802.11 : WLAN, le WiFi ; 802.15 : WPAN, plusieurs standards, dont un driv de Bluetooth ; 802.16 : WMAN, le standard 802.16, la base du WiMAX1 .

Maintenant que nous avons apport toutes ces prcisions sur lorigine du WiFi, voyons quelles en sont les principales applications.

1. Contrairement une ide reue, le WiMAX nest pas une nouvelle version du WiFi : malgr quelques similitudes, il sagit dun tout autre protocole, conu pour les WMAN et non les WLAN.

1.3 Les applications du WiFi

15

1.3 LES APPLICATIONS DU WIFI1.3.1 Lextension du rseau dentrepriseBien que lon trouve une multitude dapplications la technologie WiFi, il est clair que sa premire cible est le rseau dentreprise. Comme nous lavons vu, le WiFi a t conu pour tre une version sans l dEthernet et ce dernier se retrouve dans presque toutes les entreprises. Dans la grande majorit des cas, une entreprise qui dcide de squiper dun rseau WiFi possde dj un rseau laire Ethernet. Il sagit donc en rgle gnrale de btir une extension sans l pour un rseau laire existant.

Figure 1.6 Extension dun rseau filaire grce au WiFi.

Ceci pose un certain nombre de problmes dont le plus vident est la scurit. En effet, connecter une borne WiFi un rseau dentreprise sans se soucier de la scurit signie donner accs toutes les ressources de lentreprise au premier venu.

1.3.2 Le WiFi domicileLe WiFi a atteint le grand public et de plus en plus de particuliers squipent en WiFi pour construire un rseau familial. Le but est le plus souvent de permettre la connexion Internet depuis nimporte quel endroit du domicile, ainsi que de partager cette connexion entre les diffrents membres de la famille. Le plus souvent, une seule borne WiFi suft couvrir un domicile de moins de 100 m2 . En outre, la plupart des Fournisseurs daccs Internet (FAI) proposent loption WiFi depuis 2005 : le modem/routeur ADSL (la box ) sert alors galement de point daccs WiFi. Lautre motivation peut tre de relier entre eux des quipements, tels que des crans ou des imprimantes sans l. Le WiFi empite alors sur le domaine de prdilection de la technologie Bluetooth qui a t conue pour un tel usage.

16


Figure 1.7 Le WiFi domicile : mobilit et partage de la connexion Internet.

1.3.3 Les hotspotsPoints daccs sans fil InternetUn hotspot est un point daccs sans l Internet (ou plus gnralement des services web). Il sapparente donc un cybercaf, ceci prs que le client utilise pour se connecter son propre ordinateur quip de la technologie WiFi (ou son smartphone compatible WiFi, comme liPhone par exemple). Ceci lui permet de conserver, dun hotspot un autre, le mme environnement de travail : le sien. On trouve des hotspots dans de nombreux sites o transitent des hommes daffaires quips dordinateurs portables : des aroports, des gares, des htels, des centres de confrence, mais aussi des cafs, des restaurants, des universits et plus gnralement presque tout type de lieu public. On peut galement parfois les trouver dans des salles dattente ou de runion au sein de certaines entreprises soucieuses de fournir leurs clients ou fournisseurs de passage un lien Internet accessible et indpendant de leur propre rseau. Les hotspots ont vu le jour ds lan 2000, dabord aux tats-Unis, puis de faon virale un peu partout sur la plante et en particulier en Asie du Sud-Est o on les compte par milliers. Aux tats-Unis, la chane de cafs Starbucks a fait sensation lorsquelle a quip de hotspots lensemble de ses cafs. En France, les hotspots nont commenc apparatre que n 2002, lorsque la lgislation la permis. La socit Wirst (anciennement connue sous le nom de Wix) a t la premire dployer des hotspots sur le territoire franais (g. 1.8). Trs vite, elle a t rejointe par une multitude dautres start-ups, telles que Wispot, HotCaf ou encore Mtor Networks, puis par de gros acteurs tels quOrange, SFR, Aroports De Paris (ADP) Tlcom, ou encore Swisscom et British Telecom. Ces oprateurs tlcoms dun nouveau genre


17

sont appels les Wireless Internet Service Providers (WISP) cest--dire Fournisseurs dAccs Internet (FAI) sans l.

Litinrance (ou roaming)Avec lapparition rapide de nombreux WISP indpendants, on a assist un morcellement important des rseaux de hotspots. En clair, quand on achetait un coupon de connexion ou un abonnement auprs dun WISP donn, on navait en gnral accs quau rseau de ce WISP, cest--dire le plus souvent quelques dizaines ou centaines de hotspots. Cest pour rsoudre ce problme que les WISP signent des accords ditinrance (ou roaming) permettant aux abonns dun fournisseur donn de pouvoir surfer sur le rseau dun autre fournisseur.

Figure 1.8 Exemple de dploiement de hotspots dun WISP Paris.

Les trois oprateurs mobiles franais, Orange, SFR et Bouygues, qui ont dploy le plus de hotspots ce jour, ont ainsi cr une association appele Wireless Link (cest-dire lien sans l , not W-Link) pour dnir les modalits dinteroprabilit entre leurs rseaux. Dautres WISP les ont rejoints et si lon rajoute cela que de nombreux petits WISP disparaissent ou se font racheter, on peut penser que le morcellement des rseaux de hotspots va tendre sattnuer. terme, on pourra peut-tre se connecter nimporte quel hotspot en France en ne payant quun seul abonnement auprs du WISP de son choix, voire mme directement sur sa facture tlphonique si lon passe par lun des oprateurs mobiles.

18


Certains WISP ont dj dploy un important rseau international par le biais des accords de roaming. Cest le cas des WISP Boingo et FatPort, par exemple. Dautres WISP nont en ralit jamais dploy eux-mmes de hotspots, mais ont en revanche sign de nombreux accords de roaming lchelle internationale. On parle alors de WISP virtuels . On peut citer, parmi les plus importants, les socits GRIC Communications, iPass ou RoamPoint, par exemple. Est-il envisageable dimaginer terme un rseau mondial uni ? Il est bien sr encore trop tt pour lafrmer. Enn, une initiative originale mrite dtre mentionne : la socit Naxos, liale de la RATP, a dploy un rseau WiFi dans de nombreuses stations de mtro de Paris. Ce rseau couvre lextrieur des stations de mtro et permet donc de se connecter dans la rue ou la terrasse des cafs voisins. Loriginalit de ce projet, dnomm Wixos, rside dans le fait que Naxos a simplement dploy linfrastructure WiFi, mais quelle laisse la gestion des clients et du paiement aux WISP partenaires de ce projet.

Les box deviennent des hotspotsCertains Fournisseurs dAccs Internet ont ouvert les box de leurs abonns, les transformant en autant de hotspots. Un abonn de Free peut ainsi se connecter en WiFi nimporte quelle Freebox pour laquelle cette option a t active. Il na bien videmment accs qu Internet, et non au rseau de labonn dont il emprunte la connexion. De mme chez Neuf-SFR : loption y est mme active par dfaut. Le nombre dabonns de ces FAI tant trs important, lorsque lon est en ville, on ne se trouve jamais trs loin dune zone couverte par une box . Le WiFi est donc dj presque partout en ville.

Une couverture totale ?On peut comparer ce phnomne de hotspots ce qui sest pass pour la tlphonie mobile : dans un premier temps, seuls quelques sites taient couverts, puis les grandes villes ont t progressivement couvertes, puis les autoroutes, les petites villes et enn presque tout le territoire. Si le dveloppement des hotspots se poursuit au rythme actuel, il sera possible dici quelques annes de se connecter haut dbit Internet partout sur le territoire et mme dans de nombreux pays grce la technologie WiFi.

Autres technologiesDes technologies concurrentes conues spcialement pour la cible WMAN et WWAN, certaines plus rsistantes aux obstacles et mieux adaptes aux couvertures radio de grande envergure que le WiFi, se battent pour dominer le march. Cest le cas par exemple de la 2G (GPRS), de la 2,5G (EDGE), de la 3G (lUMTS), la 3G+ (HSDPA), ou encore de la 4G (Wimax, LTE). Nous y reviendrons au 1.4.

Et votre entreprise ?Aujourdhui, la majorit des ordinateurs portables professionnels sur le march est quipe de la technologie WiFi. Si les employs de votre entreprise possdent des ordinateurs portables rcents, il est fort probable quils soient dores et dj Wiss .


19

Figure 1.9 Exemple dinterface de connexion Internet et de gestion de compte.

Si vous installez un rseau WiFi dans votre entreprise, vous devrez quiper les ordinateurs les plus anciens dadpateurs WiFi. Vos collaborateurs prendront lhabitude de se connecter sans l. Tous les employs pourront alors se connecter Internet sur nimporte quel hotspot WiFi en France ou ltranger. Ils pourront tlcharger leurs e-mails au cours de leurs trajets, surfer sur Internet, se connecter votre entreprise distance via un Rseau Priv Virtuel (RPV), galement appel Virtual Private Network (VPN), etc. Bref, ils pourront rester productifs pendant leurs dplacements. Cest une des raisons de passer au WiFi dans votre entreprise. Il peut galement tre intressant de faire appel un WISP pour mettre en uvre un hotspot dans vos locaux, lusage de vos visiteurs, clients ou fournisseurs. Outre le service pour le visiteur et limage moderne que cela pourra donner votre socit, ceci permettra damliorer la scurit de votre rseau dentreprise en vitant que des visiteurs ne passent par celui-ci pour se connecter Internet. Vous pouvez bien sr dcider de mettre en uvre ce hotspot par vous-mme et ce livre peut vous aider le faire.

1.3.4 Le WiFi communautaireLa technologie WiFi doit une partie de son succs aux initiatives dassociations telles que Paris sans l (anciennement WiFi France) ou WiFi Montauban. Ces associations regroupent des passionns du sans l qui ont eu lide de conjuguer leurs efforts pour

20


tenter dobtenir une couverture WiFi importante sur des sites de plus ou moins grande envergure. Lavantage de ces rseaux sur les hotspots classiques est leur gratuit totale ! Chaque membre dispose chez lui dun petit rseau sans l, ouvert tous. Certaines associations ne font que fournir la liste des sites o lon peut se connecter ainsi gratuitement, dautres vont plus loin et relient entre eux les points daccs, ce maillage permettant ainsi de partager les connexions Internet. Ceci est particulirement intressant pour les habitants de communes o lADSL nest pas disponible : ainsi, une seule connexion Internet par satellite (assez coteuse) peut tre distribue sur toute une commune grce un maillage serr de points daccs WiFi (g. 1.10).

Figure 1.10 Le WiFi communautaire et les diffrents types de connexion Internet.

Lune des principales inquitudes concernant ce modle est sa lgalit : en effet, en France, le propritaire dune connexion Internet en est responsable. Si le rseau communautaire est ouvert tous, sans contrle didentit, alors une personne mal intentionne peut parfaitement abuser de la connexion Internet, dans lanonymat le plus complet. Elle pourra alors envoyer des milliers de-mails non sollicits (le spam), mettre des propos racistes ou diffamatoires, inciter la violence ou encore changer des chiers illgaux (images ou vidos illgales, produits commerciaux...). Dans ce cas, le propritaire de la connexion Internet peut tre mis en cause pour ne pas en avoir protg laccs.Le propritaire dune connexion Internet peut voir sa responsabilit engage en cas dabus : il ne doit donc pas laisser cette connexion libre daccs pour des utilisateurs anonymes.


21

1.3.5 Le point pointAvec le WiFi, il est possible de construire de simples liens sans l, dun point un autre, haut dbit. Ceci est utile pour relier entre eux deux sites difcilement joignables par voie laire, comme deux btiments dune entreprise. La distance maximale entre les deux btiments dpend du dbit que lon souhaite garantir (plus la distance sera grande, plus le dbit sera faible) et de la bande de frquence choisie, mais on peut atteindre plusieurs mgabits par seconde jusqu 2 3 kilomtres en vision directe, cest--dire sans obstacle sur laxe ou proche de laxe entre lmetteur et le rcepteur. Il existe depuis longtemps des solutions de point point bases sur dautres technologies, dont le laser et les Faisceaux hertziens (FH). Toutefois, le WiFi a deux atouts : son cot trs modeste : on peut raliser un point point de quelques centaines

de mtres pour moins de 500 euros de matriel ;

labsence de licence : condition de respecter les limites lgales de puissance1 ,

le WiFi ne requiert pas de licence en France, alors quavec de nombreuses technologies concurrentes, il est ncessaire de faire une demande auprs de lARCEP et de payer tous les mois un montant, parfois important. Toutefois, la contrepartie de cette absence de licence est que rien ninterdit votre voisin dmettre sur vos frquences et de gner ainsi votre communication !

Nous tudierons en dtail comment raliser un point point performant au cours du chapitre 5.

1.3.6 Le WiFi dans lindustrieUne des preuves de la maturit du WiFi est le fait quon lutilise pour faire davantage que de simples rseaux : lindustrie emploie de plus en plus dapplications varies qui reposent sur le WiFi. En voici quelques-unes des plus signicatives.

Les inventairesDes PDA, Smartphones ou Tablet PC sont quips dune connexion WiFi et permettent ainsi aux employs de raliser des inventaires qui sont enregistrs en temps rel dans la base de donnes de lentreprise. Ceci peut tre utile pour les inventaires dune grande surface, par exemple, pour gagner du temps. On trouve galement cet usage du WiFi pour les loueurs de voitures, qui peuvent ainsi saisir directement partir du parking les voitures qui partent et

WIFI Professionnel La norme 802.11, le déploiement, la sécurité - 3ème Edition

Documents

Transcript of WIFI Professionnel La norme 802.11, le déploiement, la sécurité - 3ème Edition