Download - Cisco Aironet 1300

Transcript
Page 1: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 1/41

ÉÉttuuddee ddee llaa ssoolluuttiioonn ssaannss f f iill 

CCiissccoo AAiirroonneett 11330000 

UUnn pprroo j jeett ddee 

AAuurréélliieenn BBEEAAUUVVOOIISS && TThhééoopphhiillee GGUURRLLIIAATT 

PPrrooppoosséé ppaarr 

LLaauurreenntt HHUUSSSSEENNEETT 

22000077 

Page 2: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 2/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

2

Avant-propos:

Ces dernières années ont vu apparaître l’utilisation des technologies sans fil

dans le monde du réseau avec l’avènement du « Wifi ».

Ce mode de transmission a su s’imposer dans le domaine grand public comme

dans le monde de l’entreprise. Pour répondre a ce besoin de mobilité, Cisco a

créé une gamme d’équipements dédiés à la communication radio.

La borne Cisco Aironet 1300 est un produit destiné aux professionnels qui

permet d’assurer les fonctions de pont sans fil et de point d’accès.

Ces fonctions permettent d’établir des liaisons sans fil en vue de raccorder à un

même réseau des entités mobiles ou situés sur des sites distants.La bonne compréhension des techniques de sécurité mise en œuvre sur cette

borne nécessite quelques notions qui vont donc vous être expliquées dans un

premier temps. Nous vous présenterons ensuite la borne Cisco Aironet 1300 et

les applications qui peuvent en être faite.

Pour apprendre à utiliser les principales fonctions de la borne, nous vous

proposons pour finir d’effectuer une série de travaux pratiques qui vous

permettront une prise en main optimale et qui vous guideront dans la mise en

place de systèmes sans fils sécurisés.

Abstract:

Last years the use of wireless systems came up into the network world’s with

the increasing of “Wifi”. This communication means is today used for

professional and public application. In order to answer to the mobility need,

Cisco designed a range of dedicated radio communication equipments.

Cisco Aironet 1300 is a product for professional which offer bridging function

and can be set as an access point. These features allow wireless connections

for networking mobiles’ terminals or far areas.

For understanding security used by this device, you need to know some

notions which are going to be explain in a first time.

Then we introduce to you the Cisco Aironet 1300 and its applications. To learn

how to use main functions of this device, we suggest to you some exercices to

put them into practice. They let a quick and optimal handling.

Page 3: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 3/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

3

Sommaire

I.  Les réseaux sans fils

  Introduction au Wifi page 4

  Chiffrement page 6

  Authentification page 10

  Intégrité page 12

II.  Cisco Aironet 1300

  Présentation page 14

  Interface web page 16

  Fonctionnalités page 17

  Méthodes d’authentifications page 19

  Types de chiffrements page 21

III.  Travaux pratiques

  Configuration d’un point d’accès sans fil page 24 

  Mise en place d’un pont réseau sans fil page 26 

  Pont réseau sans fil pour LAN Virtuels page 27

  Point d’accès sans fil avec LAN Virtuels page 28

  Authentification & chiffrement page 30

Conclusion  page 35

Page 4: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 4/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

4

Introduction au Wifi

Le Wifi est une technologie de réseau sans fil mise en place pour fonctionner en réseau

local. Il est basé sur la norme IEEE 802.11 qui est un standard international (ISO/CEI 8802-11) décrivant les caractéristiques d'un réseau local sans fil (ou WLAN). Le nom Wifi 

correspond à la certification délivrée par la WECA (Wireless Ethernet Compatibility Alliance),

l'organisme chargé de maintenir l'interopérabilité entre les matériels répondant à la norme

802.11. Par abus de langage (et pour des raisons de marketing) le nom de la norme se

confond aujourd'hui avec le nom de la certification. Ainsi un réseau Wifi est en réalité un

réseau répondant à la norme 802.11.

Grâce au Wifi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la

pratique, le Wifi permet de relier des ordinateurs portables, des machines de bureau, desassistants personnels (PDA) ou même des périphériques à une liaison haut débit (de 11

Mbit/s en 802.11b à 54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mètres

en intérieur. Dans un environnement ouvert la portée peut atteindre plusieurs centaines de

mètres voire dans des conditions optimales plusieurs dizaines de kilomètres (avec des

antennes directionnelles).

Structure:

La norme 802.11 s'attache à définir les couches basses du modèle OSI pour une liaison sans

fil utilisant des ondes électromagnétiques, c'est-à-dire :

•  la couche physique proposant trois types de codage de l'information

•  la couche liaison de données, constituée de deux sous-couches :

o  le contrôle de la liaison logique (Logical Link Control, ou LLC)

o  le contrôle d'accès au support (Media Access Control, ou MAC)

Le Wifi utilise une bande de fréquence étroite (dite ISM) de 2,4 à 2,4835 GHz.

Modes de mise en réseau:

  Infrastructure

Le mode Infrastructure est un mode de fonctionnement qui permet de connecter les

ordinateurs équipés d'une carte réseau Wifi entre eux via un ou plusieurs Point d'accès (AP)

qui agissent comme des concentrateurs (Hub/Switch en réseau filaire). Ce mode est

essentiellement utilisé en entreprise. La mise en place d'un tel réseau oblige de poser à

intervalle régulier des bornes (AP) dans la zone qui doit être couverte par le réseau. Les

bornes, ainsi que les machines, doivent être configurées avec le même SSID (nom de réseau)

afin de pouvoir communiquer. L'avantage de ce mode est de garantir un passage obligé par

l'AP. Il est donc possible de vérifier qui entre sur le réseau.

Page 5: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 5/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

5

  Ad-Hoc

Le mode « Ad-Hoc » est un mode de fonctionnement qui permet de connecter directement

les ordinateurs équipés d'une carte réseau Wifi, sans utiliser un matériel tiers tel qu'un. Ce

mode est idéal pour interconnecter rapidement des machines entre elles sans matériel

supplémentaire. L'avantage de ce mode est de s'affranchir de matériels tiers coûteux et est

plus facile à mettre en œuvre.

Les normes:

La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbit/s. Des

révisions ont été apportées à la norme originale afin d'optimiser le débit (c'est le cas des

normes 802.11a, 802.11b et 802.11g, appelées normes 802.11 physiques) ou bien préciser

des éléments afin d'assurer une meilleure sécurité ou une meilleure interopérabilité.

Vous trouverez un tableau récapitulatif de ces normes en annexe.

Sécurité:

De part les propriétés des ondes radioélectriques, n’importe qui convenablement équipé du

matériel adéquat peut détecter la présence d’un réseau soit en utilisant le logiciel fournit

par le fabricant de la carte ou encore pour plus d’efficacité en utilisant un scanner.

Sans sécurité, toute personne est potentiellement capable de s’introduire dans votre

réseau. Dans certains cas, un hacker peut même se contenter « d’écouter » le trafic sur le

réseau pour collecter des informations, d’où l’absolue nécessité de sécuriser la

transmission des données. Pour cela un certains nombre de normes ont vues le jour, nous

allons vous présenter les principales de manière chronologiques en justifiant leur utilisation.

Page 6: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 6/41

 

Aurélien BEAUVOIS | Théophile

WEP

Le WEP (Wired Equivalent Pri 

la 1ère norme 802.11 datant

utilisant l’algorithme symétri

principe du WEP consiste à d

Cette clé secrète doit être dé

créer un nombre pseudo-aléa

est combinée à un vecteur d'i

chiffrer un message en clair

Value).

Le message chiffré est alors d

(Où « || » représente l'opérate

Chaque transmission de donn

comme masque grâce à un «

La clé de session partagée pa

un grand nombre de stations

de session. Ainsi la connaissa

De plus, 24 bits de la clé serv

bits de la clé de 64 bits serve

Le vecteur d'initialisation (IV)

niveau décent de sécurité et

chaque paquet afin que le pa

Malheureusement pour la sé

GURLIAT

Chiffrement

acy ) est le protocole de chiffrement par dé

e 1999. Il est chargé du chiffrement des tra

ue RC4 avec des clés d'une longueur de 64

finir dans un premier temps une clé secrète

larée au niveau du point d'accès et des clie

toire d'une longueur égale à la longueur de

nitialisation (Initialisation Vector ou IV ) de 2

et sa somme de contrôle (checksum) – l'IC

éterminé comme ceci :

r de concaténation et « + » l'opérateur Ou Excl

ée est ainsi chiffrée en utilisant le nombre p

OU Exclusif » entre le nombre pseudo aléat

toutes les stations est statique, c'est-à-dire

Wifi, il est nécessaire de les configurer en ut

ce de la clé est suffisante pour déchiffrer le

nt uniquement pour l'initialisation, ce qui si

t réellement à chiffrer et 104 bits pour la cl

est la clé de voûte de la sécurité du WEP, p

viter la fuite d'information l'IV doit être incr

uet suivant soit chiffré avec une clé différe

urité du protocole, l'IV est transmis en clair

6

aut introduit dans

mes 802.11

u 128 bits. Le

de 40 ou 128 bits.

ts. La clé sert à

la trame. Celle-ci

bits afin de

(Integrity Check 

sif)

seudo-aléatoire

ire et la trame.

que pour déployer

ilisant la même clé

s communications.

gnifie que seuls 40

de 128 bits.

ur maintenir un

émenté pour

te.

et le standard

Page 7: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 7/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

7

802.11 ne rend pas obligatoire l'incrémentation de l'IV laissant cette mesure de sécurité au

bon vouloir de l’équipement sans fil.

Une attaque par brute force peut amener le pirate à trouver la clé de session.

De plus, une faille décelée concernant la génération de la chaîne pseudo-aléatoire rend

possible la découverte de la clé de session en stockant le trafic créé intentionnellement avec

un logiciel approprié. Ainsi une dizaine de minutes suffisent pour capturer assez de trafic, et

il nous aura fallu un peu moins de trois minutes pour casser la clé 128 bits, comme vous

pouvez le voir ci-dessous.

Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données et

ceci pour deux raisons principales :

•  L'utilisation d'algorithmes cryptographiques peu développés (RC4) l'a rendu très

vulnérable.

Il suffit de quelques minutes à un éventuel pirate pour casser les clés utilisées et ceci

avec n’importe quel ordinateur grand public.

•  L'impossibilité d'authentifier un ordinateur ou un utilisateur qui se connecte au

réseau.

Pour plus d’informations sur le WEP et ses faiblesses :

http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_FR.pdf  

Page 8: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 8/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

8

WPA : VERS LE 802.11i

En janvier 2001, le groupe de travail ‘i’ fut crée à l'IEEE pour améliorer l'authentification et le

chiffrement des données au sein des réseaux 802.11.

WPA (WiFi protected Access) est une solution intermédiaire de sécurisation de réseau WiFi

proposé afin de combler les lacunes du WEP. Contrairement a celui-ci, le WPA n’est pas

qu’une méthode de chiffrement mais inclus également un service d’authentification.

Le WPA est une préversion du protocole 802.11i, reposant sur des protocoles

d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity 

Protocol ), qui échange de manière dynamique les clés lors de l'utilisation du système. Ce

protocole, associé au vecteur d'initialisation beaucoup plus grand que dans le WEP,

empêche certaines attaques sur WEP aujourd'hui bien connues.Le protocole TKIP permet la génération aléatoire de clés et offre la possibilité de modifier la

clé de chiffrement plusieurs fois par secondes, pour plus de sécurité (contrairement au

WEP).

Le fonctionnement de WPA repose sur la mise en œuvre d'un serveur d'authentification (la

plupart du temps un serveur RADIUS), permettant d'identifier les utilisateurs sur le réseau et

de définir leurs droits d'accès. Néanmoins, il est possible pour les petits réseaux de mettre

en œuvre une version restreinte du WPA, appelée WPA-PSK, en déployant une même clé de

chiffrement dans l'ensemble des équipements, ce qui évite la mise en place d'un serveurRADIUS. Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur

prédéfinie. En effet, le WPA permet de saisir une « passphrase » ( phrase secrète), traduite

en PSK par un algorithme de hachage.

Bien que cette solution de cryptage soit bien plus forte, elle n’est pas exempte de faille et il

existe comme pour le WEP, une possibilité de « casser » cette solution. En effet, une simple

attaque par dictionnaire hors ligne peut s’avérer fatale pour la version PSK dans le cas ou

une clé trop simple aurait été choisit.

Néanmoins dans le cadre d’un usage privé cette solution se montre très acceptable.

Page 9: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 9/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

9

802.11i (WPA2)

Le 802.11i a été ratifié le 24 juin 2004, afin de fournir une solution de sécurisation poussée

des réseaux WiFi, Ce standard reprend la grande majorité des principes et protocoles

apportés par WPA, avec une différence notoire dans le cas du chiffrement : l'intégration de

l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement

WEP et TKIP sont toujours présents. Deux autres méthodes de chiffrement sont aussi

incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP :

- WRAP (Wireless Robust Authenticated Protocol ) : s'appuyant sur le mode opératoire OCB

(Offset Codebook) d’AES ;

- CCMP (Counter Mode with CBC MAC Protocol ) : s'appuyant sur le mode opératoire CCM

(Counter with CBC-MAC) d’AES ;

Contrairement à WPA, le WPA2 permet de sécuriser aussi bien les réseaux sans fil en mode

infrastructure que les réseaux en mode ad hoc.

Comme pour le WPA, la norme IEEE 802.11i définit deux modes de fonctionnement :

  WPA Personnel : le mode personnel permet de mettre en œuvre une infrastructure

sécurisée basée sur le WPA sans mettre en œuvre de serveur d'authentification.

Le WPA personnel repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-

shared Key , renseignée dans le point d'accès ainsi que dans les postes clients.  WPA Entreprise : le mode entreprise impose l'utilisation d'une infrastructure

d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification,

généralement un serveur RADIUS (Remote Authentication Dial-in User Service) et d'un

contrôleur réseau (le point d'accès).

Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE en juin 2001,

permettant d'authentifier un utilisateur souhaitant accéder à un réseau (filaire ou non)

grâce à un serveur d'authentification.

Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol ), défini par l'IETF,

dont le rôle est de transporter les informations d'identification des utilisateurs.

Page 10: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 10/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

10

Authentification

802.1x

La plupart des équipements donnent la possibilité de filtrer les adresses MAC ayant le droit

de s'associer avec le point d'accès. Cette technique est la façon la plus simple pour effectuer

une authentification, mais cette liste doit être reproduite sur chaque point d'accès du

réseau sans fil si l'on désire garder toute la mobilité du réseau. De plus, ce seul mécanisme

d'authentification s'avère souvent inefficace. En effet, il est toujours possible pour un

utilisateur mal intentionné de changer son adresse MAC afin d'usurper l'identité d'un client

valide. L'adresse MAC est censée servir d'identifiant unique au niveau de la couche 2,

cependant tous les systèmes d'exploitation actuels permettent à un utilisateur mal

intentionné de modifier cette donnée très facilement.

La norme 802.11 initiale spécifie deux modes d'authentification : ouvert ou partagé (open

ou shared ). L'authentification ouverte signifie l'absence d'authentification et

l'authentification partagée signifie l'utilisation d'un secret partagé, en l'occurrence une clef 

WEP dans un mécanisme challenge/réponse. Il est vite apparu que ce mode

d'authentification était très largement insuffisant, induisant même une dégradation du

chiffrement par l'intermédiaire du challenge/réponse donnant de la matière à des attaques

cryptographiques. La solution utilisée par WPA pour fournir une authentification est basée

sur l’utilisation du protocole EAP (Extensible Authentification Protocol ).

EAP

Le fonctionnement du protocole EAP repose sur l'utilisation d'un contrôleur d'accès chargé

d'établir ou non l'accès au réseau pour un utilisateur. Le contrôleur d'accès est un simple

garde-barrière servant d'intermédiaire entre l'utilisateur et un serveur d'authentification, il

ne nécessite que très peu de ressources pour fonctionner. Dans le cas d'un réseau sans fil,

c'est le point d'accès qui joue le rôle de contrôleur d'accès. (Appelé NAS, pour Network 

 Authentification Service)

Le serveur d'authentification permet de valider l'identité de l'utilisateur transmis par le

contrôleur réseau (fonction d’authentification), et de lui renvoyer les droits associés en

fonction des informations d'identification fournies (fonction d’autorisation). De plus, un tel

serveur permet de stocker et de comptabiliser des informations concernant les utilisateurs

afin, par exemple, de pouvoir les facturer à la durée ou au volume (fonction de

comptabilisation)

La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote

 Authentication Dial In User Service), mais tout autre service d'authentification peut êtreutilisé. Le serveur d’authentification est donc la base de toute la sécurité, c’est pourquoi il

Page 11: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 11/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

11

est évident que les recommandations de sécurité portent également sur celui-ci qui devra

être à jour en ce qui concerne les vulnérabilités.

Ainsi, le schéma global suivant récapitule le fonctionnement global d'un réseau sécurisé

avec le standard 802.1x :

C’est le contrôleur d’accès qui gère la session et qui relaye les requêtes entre le serveur

d’authentification et le client. Le dialogue entre le NAS et le serveur d’authentification

nécessite l’existence d’un secret partagé que les deux entités possèdent, et qui permet de

chiffrer et de contrôler l’intégrité des messages transmis par le serveur d’authentification.

EAP réalise donc le lien entre le client et le serveur d’authentification. Il assure

l’authentification du client permet aussi la distribution dynamique des clés de chiffrements :son rôle est donc essentiel.

Dans le cadre de l'authentification en environnement sans fil basée sur le protocole 802.1X,

différentes variantes d’EAP sont disponibles aujourd'hui :

  Protocole EAP-MD5 (EAP - Message Digest 5)

  protocole LEAP (Lightweight EAP) developpé par Cisco ;

  protocole EAP-TLS (EAP - Transport Layer Security) crée par Microsoft

  protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developpé par Funk

Software et Certicom ;  protocole PEAP (Protected EAP) developpé par Microsoft, Cisco et RSA Security

Page 12: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 12/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

12

Certaines de ces variantes se sont révélées trop faible pour prendre en charge une

authentification de qualité satisfaisante. Ainsi EAP-MD5 et LEAP sont peu à peu abandonnés

car ils sont sujet à des attaques par dictionnaire et des attaques de type homme du milieu

(man-in-the-middle).

EAP-TLS offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un

tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela

signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le

certificat client. Bien qu’EAP-TLS fournisse une excellente sécurité, l'obligation de disposer

d'un certificat client est peut-être sa faiblesse. En effet lorsque l'on dispose d'un grand parc

de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est

pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés.

PEAP ET EAP-TTLS sont très proches. EAP-TTLS est légèrement plus sure que PEAP car il ne

diffuse pas le nom de l’utilisateur en clair, mais il n’est pas présent par défaut sur les

systèmes Microsoft et Cisco.

D'autres mécanismes EAP peuvent être supportés par les clients et les serveurs 802.1X.

Cette certification est une tentative pour faire interopérer les mécanismes EAP les plus

courants. L'échec de la Wifi Alliance à réaliser cette interopérabilité est actuellement un des

problèmes majeurs empêchant le déploiement de solutions 802.1X au sein de réseaux

hétérogènes. La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE

802.11i).

Page 13: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 13/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

13

Intégrité

Le standard IEEE 802.11 définit un mécanisme sommaire d'intégrité des trames basé sur le

CRC (Control Redondancy Check ). Cette valeur est appelée ICV (Integrity Check Value) et estde longueur 4 octets. Les propriétés du CRC sont telles que le niveau de sécurité atteint est

très faible. Il est ainsi possible pour un utilisateur mal intentionné de modifier une trame

tout en mettant à jour le CRC afin de créer une trame modifiée valide.

Le standard WPA introduit un mécanisme d'intégrité beaucoup plus robuste appelé MIC

(Message Integrity Check - aussi appelé Michael dans le cadre du WPA et WPA2). Ce champ

a pour longueur 8 octets et permet de se prémunir contre le rejeu (qui consiste à réémettre

une trame interceptée de telle sorte qu'elle soit valide au sens cryptographique).

Le standard WPA2 ou IEEE 802.11i utilise également ce mécanisme d'intégrité.

L'utilisation de MIC est recommandée afin d'obtenir un niveau de sécurité plus élevé que

l'utilisation d'une simple valeur de type CRC, présentant des propriétés cryptographiques

trop faibles pour assurer l'intégrité des trames dans un réseau sans fil.

Vous possédez maintenant les connaissances nécessaires pour comprendre le

fonctionnement d’un matériel réseau sans fil. Nous allons à l’aide du chapitre suivant vous

présenter le produit Cisco Aironet 1300 et développer ses fonctionnalités.

Page 14: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 14/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

14

Cisco Aironet

La gamme Cisco Aironet regroupe un ensemble de points

d’accès et ponts destinés à répondre au besoin croissant demobilité. Voici un aperçu de ces solutions.

Cisco Aironet 1000

  point d’accès léger double bande (108Mbps), Gestion qualité

de service(QoS), IEEE 802.11a/b/g

Cisco Aironet 1100

  point d’accès évolutif : Gestion QoS, IEEE 802.11g, WCS,

Cisco Aironet 1130 AG

  point d’accès double bande autonome ou Lightweight Access

Point Protocol (LWAPP) avec gestion QoS, IEEE 802.11a/b/g

et alimentation par Ethernet (POE) 

Cisco Aironet 1200

  point d’accès simple bande autonome ou LWAPP avecantennes double types pour environnement difficiles

point d’accès QoS, VLAN, 801.1x, POE, IEEE 802.11a/b/g

Cisco Aironet 1230 AG  point d’accès double bande de première génération

autonome ou Lightweight Access Point Protocol (LWAPP),

IEEE 802.11a/b/g

Cisco Aironet 1240 AG  point d’accès / pont large portée, double bande de seconde

génération, autonome ou Lightweight Access Point Protocol

(LWAPP) avec POE.

Cisco Aironet 1500 

 point d’accès extérieur idéal pour les couvertures vastes,

spécialisé dans le roaming (WCS)

Page 15: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 15/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

15

Cisco Aironet 1300

Les ponts sans fil de la gamme Cisco Aironet 1300 sont conçus

pour créer des liaisons extérieures haut débit de longue portée

entre plusieurs bâtiments et permettent des installations isolées

dans des environnements difficiles.

Les ponts sans fil 802.11g(1)

offrent un haut débit (54Mbps) et des performances optimales

pour les connexions de bâtiments qui échangent d'importants volumes de données (jusqu'à

32km grâce a une puissance 100 mW). Ils relient notamment des sites pour lesquels le

câblage est délicat, des étages non contigus, des agences satellites ou des installations de

campus d'entreprise ou scolaires, des réseaux provisoires et des entrepôts.

Ils peuvent être configurés pour des applications point à point ou point à multipoint et

permettent à plusieurs sites de partager une connexion haut débit à Internet unique. Pour

une plus grande souplesse de fonctionnement, les ponts sans fil

peuvent également être configurés comme des points d'accès.

Le pont sans fil Aironet 1300 est fournit avec un injecteur de

puissance qui supporte la connectique d’alimentation 230V et le

raccordement au réseau Ethernet. Cet injecteur est relié à la borne

via deux câbles coaxiaux, ce qui permet de placer l’injecteur a

l’intérieur et la borne a l’extérieur d’un bâtiment (jusqu'à 91m).

Une gamme complète d’antenne a été crée pour toutes les applications nécessaires.

La borne peut être configurée grâce au port console, via SSH ou Telnet ou alors grâce à

l’interface web offrant une configuration plus intuitive.

Nous nous intéresserons plus particulièrement à celle-ci, car elle sera utilisée dans la partie

pratique pour permettre une compréhension plus aisée et un fonctionnement plus souple.

1 Vous pouvez retrouver les caractéristiques concernant les débits, portées, protocoles et codages en annexe. 

Page 16: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 16/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

16

Interface du serveur web 

  HOME  Résumé des associations, des adresse réseaux et interfaces, et des événements

  EXPRESS SET-UP  Configuration rapide : nom d’hôte, adressage IP, mode de fonctionnement  

  EXPRESS SECURITY  Création rapide d’un SSID avec sécurité et gestion VLAN 

  NETWORK MAP  Offre une carte du réseau avec les adresses MAC, IP & version de l’IOS 

  ASSOCIATION  Visualisation des clients associés à la borne 

  NETWORK INTERFACES  Gestion des interfaces réseaux 

  IP Address : permet de configurer l’adresse IP

  Fast-Ethernet : gestion de l’interface Ethernet

  Radio 802.11G : statistiques, test de détections de porteuses & choix du mode de l’interface (point

d’accès, répéteur, pont,…)

  SECURITY Mise en place des techniques de sécurité 

  Admin Access : permet la gestion des accès à la console de configuration de la borne

  Encryption Manager : définit tous les paramètres de sécurité par SSID

  SSID Manager : permet de gérer des identifiants de réseaux sans fil (SSID)

  Server Manager : désigne les serveurs d’authentification (RADIUS ou TACAS+)

  AP Authentification : configuration de l’authentification entre points d’accès

  Intrusion Détection : offre la possibilité de détecter des clients non désirables

  Local RADIUS Server : créer une base de données locale pour l’authentification des clients

  Advanced Security : filtrage par adresse MAC, compteurs d’authentification.

  SERVICES Paramétrage des différents outils utilisés par la borne 

  Telnet / SSH : gestion de la prise en main a distance de la borne

  Hot Standby : permet la redondance des informations de routage

  CDP : gestion du protocole CDP et configuration des compteurs

  DNS : fixe les serveurs de résolution de noms

  Filters : filtrage par adresse MAC, IP ou Ethertype sur trames Entrantes/Sortantes

  HTTP : gestion du serveur web intégré à la borne

  QoS : définition des priorités du trafic selon les applications

  STEAM : gestion de la qualité de service

  SNMP : permet la gestion administrative de la borne

  SNTP : per met de synchroniser la borne à un serveur de temps (NTP)

  VLAN : permet la création et la gestion des LAN Virtuels

  STP : configure le protocole de détection de boucle

  ARP caching : gestion du cache ARP

  WIRELESS SECURITY Paramétrage de la sécurité sans fil avancée 

  SYSTEM SOFTWARE  Permet la gestion de la configuration, et de l’IOS 

  EVENT LOG Permet le suivi des opérations liées à la borne 

Page 17: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 17/41

 

Aurélien BEAUVOIS | Théophile

1) Modes de fonctionn

Les ponts sans fil Cisco Ai

  Point d’accès (Acces poi Spécialisé dans le déploi

1300 peut fonctionner c

Le Cisco Aironet 1300 e

Il est compatible avec n’

 Pont (Bridge)

Le pont Cisco Aironet 13

des utilisations mobile,

La borne peut cumuler l

simultanément.

Compatible avec les séri

  Pont groupe de travail (

Le mode pont groupe d

Ethernet à un réseau sa

Aironet ou un pont Cisc

En utilisant un switch ou

autre point d’accès ou p

Le choix du mode s’effectue

GURLIAT

Fonctionnalités

ments

 ronet 1300 proposent plusieurs modes de f 

nt)

ement extérieur de par sa forte puissance, le po

omme un point d’accès. Il peut également être

t certifié point d’accès Wifi.

importe quel client wifi et avec les clients Cisco

00 supporte les connexions point a point et poi

emporaire ou permanente.

es fonctions de point d’accès et de liaison de typ

es Aironet 1300 et les séries pont sans fils 350

WorkGroup Bridge)

travail permet de connecter rapidement un ap

s fil. La borne utilisant ce mode se connecte a u

tel un client ordinaire.

un hub, il devient possible de raccorder jusqu'à

ont via la borne.

ia le menu « NETWORK INTERFACES » 

Po

Po

Po

Mo

(vi

Po

17

nctionnement :

nt sans fil Cisco

tilisé en intérieur.

ironet .

t a multipoints pour

e pont

areil utilisant

n point d’accès

255 appareils à un

int d’accès sans fil

nt

nt sans fil + Point d’acces

de d’installation

sualisation avec les LEDs)

nt groupe de travail

Page 18: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 18/41

 

Aurélien BEAUVOIS | Théophile

2) Opérations de base Les adresses IP sont égaleme

La configuration du serveur

Service.

Le menu System software pe

d’exploitation.

Par le menu Association et El’activité de votre appareil.

3) Mise en production

Après avoir déterminé et con

communes doivent être prise

  Création des identifiants d

  Chiffrement des données  Désignation du serveur d’a

 

4) Fonctionnalités ava

La gamme Cisco Aironet 1300

Roaming, qui optimise le pas

qualité de service (QoS), le fil

Il est possible de créer un ser

de l’authentification. Il est égprévenir du piratage.

GURLIAT

t configurables via le menu Network Interf eb, des accès Telnet/SSH et console s’effec

rmet la gestion de la configuration et du sys

 

ent log vous pourrez surveiller les associati

 

iguré le mode de fonctionnement, certaine

s en compte dans la plupart des utilisations:

e réseau sans fil via le menu Security > SSID

ia le menu Security > Encryption Manageruthentification via le menu Security > Serv

cées 

offre des fonctionnalités avancées telles qu

age d’un utilisateur d’une borne à une autre

rage et le support des réseaux locaux virtue

eur RADIUS intégré à la borne pour une ges

lement possible d’activer un détecteur d’in

18

ces.ue par le menu 

ème

ns et retracer

étapes

Manager 

r Manager 

e Fast Secure

, ou encore la

ls (VLAN).

tion indépendante

rusion pour

Page 19: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 19/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

19

Authentification

Comprendre et différencier les différents types d’authentification 

menu « Security : SSID Manager »

L’authentification est devenue une étape inévitable de la sécurité actuelle.

Avant de pouvoir communiquer, les différentes entités doivent s’assurer de l’identité de

leur correspondant. Le point d’accès utilise 4 types d’authentifications différentes.

•  Authentification Ouverte : « Open Authentification »

L’authentification ouverte autorise n’importe quelle borne à authentifier et à communiquer

avec n’importe quelle autre borne, mais cela s’avère possible seulement si ses clés de

chiffrements des deux bornes sont identiques. Une borne qui n’utilise pas de clé de

chiffrement ne peut tenter de s’authentifier auprès d’une borne qui en utiliserait.

L’authentification ouverte ne nécessite pas l’utilisation d’un serveur d’authentification.

•  Authentification Partagée : « Shared Authentification »

Une authentification partagée est disponible pour répondre aux exigences de la norme IEE

802.11b. Cependant, l’usage de cette technique est déconseillé.

En effet au cours du processus d’authentification partagée, la borne « root » envoie un

challenge non chiffré a une autre borne qui souhaite communiquer avec elle.Cette dernière chiffre le challenge et le renvoie à la borne « root ». Si le challenge est

correctement chiffré, la borne « root » valide l’authentification. Ces deux échanges pouvant

être interceptés, la clé WEP peut être calculé en comparant le challenge chiffré et non

chiffré. A cause de cela, l’authentification partagée s’avère moins sécurisé que

l’authentification ouverte.

Comme l’authentification ouverte, l’authentification partagée ne requiert pas de serveur

d’authentification.

•  Authentification EAP : « Open Authentification : with EAP » ou « Network EAP »

Ce type d’authentification offre le niveau de sécurité le plus élevé. En utilisant EAP avec un

serveur d’authentification, la borne « root » aide d’autres borne et le serveur

d’authentification à effectuer une authentification mutuelle et a générer une paire de clé

WEP dynamique. Le serveur envoi les clés a la borne « root », qui les utilise pour chiffrer et

déchiffrer tous les échanges avec une borne « non root ». La borne « root » chiffre

également aussi ses clés de broadcast WEP (entrées dans le menu encryption) et les

envoient aux bornes « non root ».

Page 20: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 20/41

 

Aurélien BEAUVOIS | Théophile

•  Authentification CCKM :

CCKM (Cisco Centralized Key

l’authentification de clients

En utilisant CCKM, une borne

sans aucun délai perceptible

domaine de services sans fil o

clients disponibles sur le sous

borne non root » utilisant CC

domaine de service sans fil tr

de réassociation se résume a

applications a communicatio

Vous trouverez en annexe un

Ape

Note : le mode « Network E

 

GURLIAT

Management) est un protocole propriétaire

obiles.

« non root » peut naviguer d’une borne « r

e réassociation. Une borne « root » ou un s

u WDS (Wireless Domain Services) et crée u

réseau. Ce cache réduit le temps de réassoc

M navigue entre deux bornes « root ». Car l

nsmet le certificat a la nouvelle borne « ro

un échange de deux paquets, tellement rapi

vocale ne sont pas perturbés.

e comparaison entre CCKM et les standards

rcu du menu « Security : SSID Manager »

P » utilise le protocole LEAP (pour matériel

20

Cisco qui permet

ot » à une autre

itch fournit un

n cache de tous les

iation quand une

e serveur de

t » et la procédure

de que même les

publiques WPA.

isco uniquement)

Page 21: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 21/41

 

Aurélien BEAUVOIS | Théophile

Comprendre et différMenu « Security : Encryption

•  « None » : réseau ouvert, n’i

•  « WEP Encryption » : chiffre

Optionnel ou oblig Option « Message

qui bloque les attaque

Option « Per-Pack

chiffrement, ce qui évi

a TKIP si les clients ne

Si vous utilisez ce mod

définis a cet usage en

les données reçues. C

vous devez la sélectio

•  « Cipher » : algorithme de chi

WEP 128/40 bit : c’

TKIP « Temporal Ke

utilise le "key mixing"

messages (MIC) et un

d'autres problèmes d

GURLIAT

Chiffrement

ncier les différents types de chi»

porte quel client peut décoder les données

ent WEP

atoireIntegrity Check » (MIC) : vérification de l’int

s par rejeux de paquets.

t Keying » (PPK) : permet une rotation des c

te l’utilisation d’une clé WEP Statique. Une

supportent pas ce dernier.

e, vous pouvez entrez jusqu'à quatres clés

as de page, toutes ces clés seront utilisées

pendant, seul une clé servira a chiffré les d

ner a l’aide du bouton « transmit key ».

ffrement

est la seule option qui ne nécessite pas WPA

y Integrity Protocol » : suites d’algorithmes

pour chaque paquet, une vérification de l'in

mécanisme de mise à jours de la clé (PPK), é

conception qui affectent WEP.

21

frement 

qui y transitent.

grité du message

lés de

onne alternative

EP dans les slots

our déchiffrées

nnées envoyés,

ou CCKM

nglobant WEP, il

égrité des

liminant ainsi

Page 22: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 22/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

22

CKIP « Cisco Key Integrity Protocol » : protocole de permutation de clé

propriétaire Cisco

CMIC « Cisco Message Integrity Check » : protocole de vérification d’intégrité

propriétaire Cisco (détecte les attaques par paquets forgés). CKIP+CMIC

TKIP + WEP 128/40 bit : mode de « migration » à activer avec l’option WPA

optionnel

AES CCMP « Counter-Mode/CBC-Mac protocol » : méthode de chiffrement

alternative considérée comme plus sûre que TKIP et reposant sur l’algorithme AES,

définie dans le standard IEEE 802.11i : elle est utilisée par WPA2.

AES CCMP + TKIP : mode « mixte » WPA/WPA2

AES CCMP + TKIP + WEP 128/40 : mode de « migration » permettant l’utilisation

de matériel de génération WEP tout en garantissant une sécurité accrue pour lesutilisateurs disposant d’un matériel compatible WPA/WPA2.

Rappel : Les algorithmes de chiffrements ou « cipher » sont la base de la sécurité : WEP,

TKIP, AES CCMP en sont des exemples. L’authentification est assurée par EAP. Les

algorithmes de chiffrements associés aux mécanismes d’authentification forment des suites

telles que WPA, WPA2 (802.11i) ou CCKM.

WPA & CCKM : LES OPTIONS COMPATIBLES

Authenticated Key Management Types Compatible Cipher Suites

CCKM • wep128

• wep40

• ckip

• cmic

• ckip-cmic

• tkip

• tkip wep128

• tkip wep40

• aes-ccm

WPA • tkip

• tkip wep128

• tkip wep40

• aes-ccm

• aes-ccm wep128

• aes-ccm wep40

• aes-ccm tkip

• aes-ccm tkip wep128

• aes-ccm tkip wep40

Les pages suivantes regroupent une série de Travaux Pratiques qui vous permettront d’apprendre

à mettre en place des configurations spécifiques à la borne Cisco Aironet 1300.

Page 23: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 23/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

23

Mise en place d’une solution Wifi Cisco Aironet 1300 

Objectifs :

•  Configurer une borne Wifi en point d’accès

•  Mettre en place un pont Wifi

•  Installer un pont Wifi pour LAN Virtuels

•  Adapter le concept des LAN Virtuels sur un point d’accès

  Sécuriser une transmission sans fil (Chiffrement & Authentification)•  Se connecter à un point d’accès avec un terminal

•  Déployer un serveur d’authentification RADIUS

Matériel mis à votre disposition :

•  Une station de travail PC Windows 2000 équipée d’une carte wifi et d’un émulateur

VmWare avec un Xp Pro préinstallé. Le logiciel HyperTerminal (Hilgraeve) a été installé sur le

W2000. La station Xp Pro émulée sera utilisée si un changement d’adresse est nécessaire.

•  Une borne wifi Cisco Aironet 1300 par binôme

•  Un Switch Catalyst 2950

•  La documentation de la borne

•  L’annexe du TP (chiffrement, authentification)

Dans ce TP, vous devrez vous associer avec un autre binôme proche de vous pour effectuer les

différentes configurations demandées.

La borne dispose d’un serveur web intégré qui permet de configurer celle-ci de manière graphique.

Pour plus d’efficacité nous utiliserons cette interface. Pour accéder à celle-ci, vous utiliserez unnavigateur web, cependant pour cela, vous devrez toujours connaître l’adresse IP de la borne !

Une solution simple pour établir la configuration de départ et déterminer l’adresse de la borne

requière l’utilisation d’un câble console et d’un HyperTerminal.

Page 24: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 24/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

24

1. Configuration d’un point d’accès sans fil

Pré-requis :

  Branchez la borne sur le secteur pour l’alimenter et au port COM de votre pc via un câble console.

Utilisez l’HyperTerminal pour activer le mode privilégié (mot de passe : Cisco) et veuillez réinitialiser

votre borne en effaçant la configuration de démarrage pour éviter qu’une ancienne configuration ne

vienne perturber votre TP, puis relancez celle-ci.

  Avec l’HyperTerminal, passez en mode privilégié et vérifiez que votre version de d’IOS qui doit se

terminer par « …123-11.JA »

  Fixez l’adresse de la borne sur l’interface BVI 1 à 10.0.0.1/8.

(L’interface Fast-Ethernet n’est pas celle à utiliser !)

  Entrez la configuration IP suivante sur votre Windows XP :

o  IP : 10.0.0.2

o  Masque : 255.0.0.0o  Passerelle : Ø

  Connectez votre port Ethernet à celui de la borne via un câble droit.

Prise en main de l’interface web 

  Connectez-vous a la borne a l’aide de votre navigateur.

Le nom d’utilisateur est « Admin » et le mot de passe « Cisco ».

  Le menu Express Security permet une mise en place rapide, créez un identifiant de réseau sans fil

(SSID) et diffusez-le (cochez « BroadCast »). Appliquez les changements.

  Allez dans le menu Interfaces > Radio0-802.11G > Settings puis activez l’interface .Validez.

Votre borne va agir en point d’accès.

  Dans Express Setup, modifiez la valeur « hostname » avec le nom de votre binôme et activez

l’adressage dynamique pour que la borne utilise des adresses attribuées par le serveur DHCP du

réseau de l’IUT.

Remarque : notez que toutes les modifications effectuées a l’aide de l’interface web doivent être

enregistrées systématiquement a l’aide du bouton « Apply ».

Page 25: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 25/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

25

Il n’y a plus d’affichage, expliquez les raisons de cette perte de connectivité:

……………………………………………………………………………………………………………………………………………………………

  Branchez maintenant la borne sur la prise Ethernet de la table.

Retournez dans l’HyperTerminal. Cherchez l’adresse attribuée à la borne par le serveur DHCP

(interface BVI1) et spécifiez la : ………………………………………………………………………..

Grâce à la précédente création de votre point d’accès, vous allez pouvoir vous connecter au réseau

de l’IUT en Wifi. Vous pouvez donc avoir accès a l’interface web de la borne en utilisant

indifféremment le port Ethernet ou le Wifi. Connectez-vous au réseau sans fil créé précédemment

en utilisant la carte sans fil qui équipe votre Windows 2000.

Vous utiliserez l’utilitaire Aironet Desktop Utility qui est disponible sur le bureau. (Fonction scan puis

activate). Notez l’adresse IP de votre carte sans fil : ……………………………

Comment se comporte la borne dans cette configuration en rapport au service DHCP ?

  Essayez de retourner sur l’interface Web de votre borne en utilisant le Wifi et l’adresse notée ci-

dessus. Pouvez-vous configurer votre borne via l’interface Radio ? Cela est il dangereux ?

  Essayez d’accéder au réseau IUT via le réseau Wifi de l’autre groupe.

Sécurité du point d’accès

Sauvegardez la configuration actuelle de votre borne en tant que configuration de démarrage.

Un simple redémarrage permettra alors de restaurer l’état actuel de votre borne.

Votre borne est donc accessible et se présente comme point d’accès, cependant elle n’est pas

sécurisée. Nous allons dans un premier temps mettre en place quelques techniques

conventionnelles de sécurité auxquelles vous avez forcément déjà été confronté.

L’activation de sécurité vous déconnectera si vous configurez votre borne via le Wifi.

Pour éviter cela, connectez votre machine au réseau Ethernet de l’IUT et accédez à l’interface de

configuration de votre borne Cisco Aironet 1300.

  WEP (Wired Equivalent Privacy ) est le protocole de chiffrement par défaut, de moins en moins utilisé.

Pour mettre en place un chiffrement WEP static, rendez vous dans Security > Encryption  puis

cochez « WEP Encryption (mandatory) » puis dans Encryption Keys, entrez 10 caractères

hexadécimaux pour une clé 40 de bits. 

  WPA-PSK (WiFi protected Access Pre Shared Key) : mode « grand public » de la suite d’authentification

et de chiffrement WPA qui repose sur la connaissance d’une clé par utilisateur.

Security > encryption puis dans «cipher » sélectionnez le mode TKIP + WEP 40 bits puis allez

dans le menu SSID Manager (sélectionnez votre SSID) puis dans la rubrique « Client

Authenticated Key Management » sélectionnez « mandatory », cochez « WPA » et entrez votre clé

en ASCII (8 a 63 caractères). 

Page 26: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 26/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

26

Remarque :

WPA-PSK = TKIP (pré-version 802.11i)

WPA2-PSK = AES CCMP (802.11i)

Pour plus de détails sur les types de chiffrements disponibles, reportez vous à l’annexe. Notez, par

exemple qu’il est essentiel de savoir différencier chiffrement et authentification !

Testez ces procédés de sécurisation et vérifiez leur bon fonctionnement à l’aide de votre carte WiFi.

Nous reviendrons plus tard sur la sécurité des réseaux sans fil.

2. Configuration d’un pont réseau sans fil

Vous allez collaborer avec un autre binôme.

Nous allons commencer par créer un pont qui reliera uniquement vos deux PC.

Avant toute chose déconnectez la borne du réseau IUT, et réinitialisez le complètement via

l’HyperTerminal.

  Définissez le groupe « Root » qui configurera la borne principale et le groupe « Non-Root » qui

configurera la borne secondaire. Définissez ensemble le SSID que vous devrez avoir en commun

et notez-le ici : …………………………………………………

  Adressez votre borne comme l’indique le schéma (HyperTerminal) puis pour la relier à votre PC

(Donnez à votre PC une adresse en 10.0.0.x/8). Vous pouvez de nouveau accéder à l’interface de

configuration de la borne via votre navigateur et la nouvelle adresse de celle ci.

  Dans Security > SSID Manager créez votre SSID et activez l’interface radio. Validez

En bas de page dans « Set Infrastructure SSID », sélectionner votre SSID. Validez

  Dans Network Interfaces  > Radio > Settings, sélectionnez « Enable » et

« Root Bridge » ou « Non-Root Bridge » en fonction de votre position. Patientez quelques

secondes.

Dans Association vous devez voir l’autre groupe s’afficher.

Effectuez un Ping depuis votre Pc vers le Pc du groupe distant.

Vous venez d’établir un pont (ou « bridge ») qui permet de relier des sites et distants d’une trentaine

de kilomètres avec l’utilisation d’antenne directive (en champs ouvert).

Page 27: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 27/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

27

Nous allons maintenant brancher la borne principale sur le réseau de l’IUT pour créer un pont qui

simulera un raccordement de site distant afin de fournir l’accès internet au groupe Non-Root.

  Mettre les bornes en mode DHCP (Utilisez l’interface Web ou l’HyperTerminal a l’aide de la

commande « IP address DHCP » sur l’interface BVI 1 ).

  Remettre IP automatique sur vos PC

  Branchez la borne Root sur le réseau (câble croisé vers prise de table !)

Grace au serveur DHCP, vos équipements se verront attribués une adresse et le groupe Non-Rootpourra accéder au réseau de l’IUT et a internet via le pont réalisé.

Testez l’accès a internet depuis la station de travail du groupe Non-Root

Vous pouvez sécuriser votre pont avec les mêmes procédés que ceux vu pour le point d’accès.

3. Configuration d’un pont sans fil VLAN

Simulation d’un réseau VLAN :

Pour permettre de créer un environnement VLAN, vous utiliserez un Switch Catalyst 2950.

Port 1 : VLAN 1 : réseau IUT Port 2 : VLAN 1 : réseau IUT 

Port 3 : VLAN 10 : 192.168.0.0 / 24

Port 4 : VLAN 20 : 192.168.0.0 / 24

Port 5 : TRUNK  

Les ports 1 & 2 vous serviront pour connecter le réseau du département et votre machine.

Pensez à utiliser la commande « spanning-tree portfast » sur les interfaces si vous utilisez le DHCP

 pour désactiver la détection de boucles spanning-tree. 

Page 28: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 28/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

28

  Connectez vos deux Switch par un lien trunk (pensez à croiser !) et testez l’étanchéité des VLAN en

plaçant vos Pc sur des VLAN identiques puis différents tout en effectuant des Pings.

Configuration de la borne :

La borne AIRONET 1300 peut être utilisé en tant que pont multi vlan (lien « trunk »). 

Réinitialisez la borne. Connectez-la sur le port 5 du Switch. Via l’HyperTerminal, appliquez la

commande « ip adress dhcp » sur l’interface bvi 1 de la borne pour obtenir une adresse automatique

que vous déterminerez. Connectez-vous sur l’interface web de celle-ci.

Vous devez d’abord créer chacun des VLAN qui transitera sur le lien.

Allez dans le menu Services > Vlan (Le VLAN 1 est le VLAN natif)

exemple : pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.

Attention: l’activation du mode VLAN peut provoquer un changement d’adresse IP !! 

  Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez créer un seul SSID qui

correspondra au lien multi-vlan, ce dernier sera associé au vlan natif.

Ce SSID doit être commun aux deux bornes !

Vous devrez cocher le mode radio 802.11G. Notez que par défaut l’identifiant du réseau sans fil

(SSID) ne sera pas diffusé, cela ne présentant aucun intérêt dans le cas d’une liaison point à point !

Valider la configuration.

Remarque: un identifiant diffusé (« broadcasté ») est visible par tous les clients effectuant une

recherche de points de connexion. A l’inverse, si vous ne diffusez pas le SSID, seules les entités

connaissant l’existence du réseau pourront s’y connecter.

Sur la borne Aironet 1300, la diffusion est possible au travers de l’option « guest mode » ou

mode invité.

Dans la partie inférieure de la page, vous trouverez l’option permettant de diffuser le SSID «Set

Single Guest Mode SSID » et le choix du type de mode.

Nous utiliserons le mode infrastructure associé au VLAN natif, qui indique au « non-root bridge »

avec quel SSID il doit s’associer.

  Dans le menu Interfaces, sélectionnez l’interface « radio », puis « settings ».

Un groupe se placera en mode « root bridge », l’autre en mode « non root bridge ».

Test de connectivité :

Vous allez vérifier le bon fonctionnement de votre configuration a l’aide d’un autre binôme.

Vérifiez dans le menu Association que vos deux bornes sont bien connectés puis placez votre station

de travail sur le port associé au VLAN 10, et donnez lui une adresse IP statique.

Effectuez un Ping sur la machine de votre binôme voisin.

Page 29: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 29/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

29

Comme toute liaison WiFi conventionnelle, la liaison multi-vlan peut être sécurisée via différente

méthode d’authentification et de chiffrement. En voici des exemples : 

  WEP (statique) : allez dans Security > Encryption manager,

selectionnez « WEP encryption : mandatory ». Entrez la clé (10 ou 26 caractères).   WPA PSK: rendez vous dans Security > Encryption manager, sélectionnez « cipher mode :

AES CCMP + TKIP ». Puis SSID manager, sélectionnez votre SSID, puis Client Authenticated

Key Management choisissez « mandatory » dans « key management » puis cochez WPA et

entrez une clé entre 8 et 63 caractères commune aux deux binômes. 

4. Configuration d’un point d’accès Multi Vlan

La borne Cisco Aironet 1300 permet d’intégrer une architecture VLAN au travers d’identifiants de

réseaux sans fil différents (Service Set Id entifier ou SSID). Nous allons configurer les bornes de façon

à les faire fonctionner dans un environnement VLAN.

Vous utiliserez la configuration VLAN précédemment mise en place.

Configuration de la borne d’accès :

La borne AIRONET 1300 sera configurée en tant que point d’accès multi-VLAN.

Réinitialisez la borne a l’aide du menu System software > System configuration : « Reset to defaults

(except IP) »

  Vous devez d’abord créer chaque VLAN. Connectez-vous sur la borne et allez dans le menu

Services > Vlan. Le VLAN 1 sera le VLAN natif vers lequel seront redirigés les trames non taguées. 

 pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez. 

  Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez créer un SSID pour

chaque VLAN. Aucun chiffrement n’est requis dans un premier temps. Vous devrez cocher le

mode radio 802.11G et penser à diffuser le SSID (cochez « Guest Mode » dans les options propres

au SSID, et non en bas de page comme dans la configuration précédente).

  Pour finir, il suffit d’activer le mode « BSSID Multiple » dans la même page en bas et d’activer

l’interface Radio dans Network Interfaces > Radio 802.11g > Settings.

Test de connectivité :

Vous allez vérifier le bon fonctionnement de votre configuration à l’aide d’un autre binôme.

Vous connecterez une machine en WIFI sur le SSID associé au VLAN1 et une autre sur le port 3 du

Switch. Vérifiez que le service DHCP fonctionne et que vous pouvez accéder à l’autre machine.

Chaque SSID peut être sécurisé de manière différente. (Authentification par adresse MAC, EAP,

chiffrement,…).

Page 30: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 30/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

30

5. Authentification

Jusqu'à maintenant, vous avez chiffré les données et utilisé un système de clé pré-partagée (WPA-

PSK) mais vous n’avez pas encore mis en place de système d’authentification.La solution d’authentification la plus simple repose sur le contrôle de l’adresse MAC.

  Filtrage par adresse MAC : elle permet d’authentifier le client par son adresse physique.

Elle offre une première sécurité dissuasive et simple.

La procédure de mise en place est commune à toutes les configurations :

Security : Advanced security puis ajoutez une adresse mac sous la forme HHHH.HHHH.HHHH

Dans Security : SSID manager choisir « MAC authentification » dans Client Authentication

Settings. (Conserver le mode d’authentification ouvert)

Cependant, cette technique est très facile à détourner.

EAP (Extensible Authentication Protocol) est un mécanisme d'identification universel, fréquemment

utilisé dans les réseaux sans fil et les liaisons Point-A-Point.

En plus de permettre l’authentification, ce procédé offre une gestion dynamique des clés de

chiffrements pour une sécurité optimale (clé unique par client et renouvelable a intervalle régulier).

Pour une sécurité conséquente, les modes « entreprise » des standards WPA et WPA2 ont

officiellement adopté 5 types d’EAP comme mécanismes officiels d’identification :

•  EAP-TLS

•  EAP-TTLS : MSCHAPv2

•  PEAP v0 : EAP-MSCHAPv2

•  PEAP v1 : EAP-GTC

•  EAP-SIM

Ces solutions reposent sur la mise en place d’un serveur d’authentification (généralement un

serveur RADIUS) qui contrôle l’identité de l’utilisateur et distribue les clés de chiffrement. Plus

aucune clé commune n’est à posséder, un certificat ou un simple couple login/motdepasse suffit à

authentifier le client et à chiffrer la communication. Dans ces configurations, la borne est appelée

« NAS » pour Network Authentification Service et sert uniquement à relayer les messages du client

au serveur.

Pour en savoir plus, reportez vous à l’annexe.

Page 31: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 31/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

31

1. Serveur Radius Intégré

La borne Cisco Aironet 1300 intègre un serveur radius qui évite le déploiement d’une entité dédiée.

Votre carte Wifi étant un matériel Cisco, dans un premier temps, nous utiliserons le protocole LEAP(propriétaire Cisco) pour mettre en place un service d’authentification.

Supprimez tous les vlan et recréez un nouveau SSID.

  LEAP & WEP 

Configuration de la borne d’accès :

a)  Mise en place de votre serveur RADIUS local :

Security > Local Radius Server > Generals Setup: cochez LEAP. Validez. Entrez l’adresse de votre

borne et un mot de passe. Validez. Créer un utilisateur et un mot de passe associé. Validez

b)  Sélection du serveur RADIUS :

Security > Server manager entrez l’adresse IP de votre propre borne et le secret partagé que

vous choisirez avec le port 1812 et 1813. Puis dans « EAP authentification priority »,

sélectionnez le serveur précédemment crée.

c)  Choix du chiffrement et du type d’authentification :

Security > Encryption choisir « WEP Encryption : mandatory »

Security > SSID manager dans « Client Authentication Settings » selectionnez « open : with

EAP ». Cochez « Network EAP ».

Test d’authentification :

Utilisez le logiciel Cisco Aironet disponible sous Windows 2000 pour vous connectez a votre borne.

Effectuez un scan, sélectionnez votre SSID et connectez-vous.

Vous utiliserez l’authentification 802.11x associé à LEAP. Dans avancé, vous sélectionnerez

« Manually Prompt for LEAP User name and Password ».

Puis vous decocherez « include Windows Logon Domain with user name ».

  LEAP utilisé par WPA 

Configuration de la borne d’accès :

Recommencez l’opération en utilisant WPA, pour cela utilisez « TKIP » dans la rubrique cipher dans

Security > Encryption , puis cochez WPA dans Security > SSID manager après avoir sélectionner

votre SSID.

Test d’authentification :

Modifiez votre ancien profil crée précédemment sous Cisco Aironet , utilisez alors WPA et LEAP pour

vous connectez à votre réseau sans fil.

Page 32: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 32/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

32

  LEAP utilisé par WPA2

Vous pourriez configurer votre borne pour utiliser AES CCMP. Mais vous ne pourriez pas l’essayer car

votre carte n’est pas compatible. Cependant, avec un mot de passe suffisamment complexe, cette

combinaison offre une très bonne sécurité.

Application :

Utilisez maintenant votre serveur RADIUS pour mettre en place une authentification LEAP entre

deux bornes dans le cas d’une liaison de type « pont ».

Aide : Une borne sera configurée en « Root bridge» et jouera le rôle de contrôleur d’accès (NAS).Elle

seule dialoguera avec le serveur radius. L’autre borne sera « non-root bridge » et considérée

comme client.

Dans un premier temps, vous laisserez les données circuler sans chiffrement (Security > Encryption :

None) puis vous vérifierez le bon fonctionnement en effectuant des pings via le pont avec les

algorithmes de chiffrement suivants :

•  WEP : mandatory avec clé statique (a entrer manuellement !)

•  TKIP + WEP 128 bits avec clé statique

•  AES CCMP + TKIP + WEP 128 bits avec clé statique

•  WPA (rappel : WPA = EAP+TKIP ; pensez à cocher ‘WPA’ dans SSID manager)

•  WPA 2 (rappel : WPA = EAP+AES CCMP ; pensez à cocher ‘WPA’ dans SSID manager)

La version entreprise de WPA utilise elle des clés statiques ou dynamiques ? Qui fournit ces clés ?

Quelle est l’avantage de ce type de clé ?

Page 33: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 33/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

33

2. Serveur Radius 

Nous allons conserver la configuration utilisée dans la partie « LEAP utilisé par WPA » qui utilisait

TKIP comme protocole de chiffrement. (Cependant tous les types de chiffrements pourraient être

utilisés dans cette partie). Vous allez maintenant mettre en place un serveur d’authentification

RADIUS.

Configuration de Free Radius

a)  Mise en place de votre serveur RADIUS :

De nombreux serveurs Radius sont disponibles, vous utiliserez FreeRadius qui existe à la fois sous

Windows et sous Unix, et qui est disponibles librement sur http://www.freeradius.net/

Téléchargez et Installez le logiciel sur votre XP PRO virtuel.

Via le menu démarrer / programmes, vous pouvez configurer et lancer le service.

Tout d’abord, éditez le fichier Clients.conf dans lequel vous avez juste à spécifier l’adresse de votre

borne (NAS) ainsi que votre secret partagé sous la forme : secret= votresecretpartagé

Ensuite, dans le fichier Users , vous pouvez spécifiez les utilisateurs et le mot de passe associé sous la

forme : votreUtilisateur User-Password == "MotDePasse"

Votre serveur est configuré ! Remarquez que malgré ses nombreuses options, FreeRadius reste

simple d’utilisation. Lancez le service en mode débogage pour suivre les requêtes.

Configuration de la borne

b)  Sélection du serveur RADIUS :

Rendez vous dans le menu Security > server manager et spécifiez l’adresse de votre XP PRO sur

lequel le service Radius est lancé. Entrez le secret partagé et conservez les ports 1812 et 1813.

Validez. Dans la même page, définissez l’adresse IP de votre XP PRO comme serveur prioritaire pour

l’authentification EAP.

c)  Choix du chiffrement et du type d’authentification : 

Dans le menu Security > SSID manager, sélectionnez votre SSID. Vérifiez que « Open

Authentification : with EAP » et « Network Authentification » sont toujours actif.

Remarque : vous pouvez forcer l’authentification à être renouvelée régulièrement grâce a la fonction

« timers » situé dans le menu Security > Advanced security .

Test d’authentification

Connectez-vous à votre borne en utilisant un profil WPA + LEAP. Surveillez la console de débogage.

Essayez d’autres types d’authentifications à partir de votre client. Des modifications sont elles

nécessaires sur le point d’accès ? Le point d’accès a il un rôle actif ou passif dans l’authentification ?

Page 34: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 34/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

34

Les types d’authentification :

Malgré tous les efforts réalisés par Cisco pour imposer son protocole, LEAP est aujourd’hui contesté

et déprécié, tout comme EAP-MD5 qui apparut comme trop vulnérable aux attaques par

dictionnaires. Ces solutions laissent place à d’autres extensions d’EAP telles qu’EAP-TLS, reposant surl’utilisation des certificats.

Les certificats permettent d’assurer une meilleure sécurité mais s’avère parfois complexe à mettre

en place à grande échelle. Les deux solutions optimales actuelles pour authentifier simplement et

surement sont EAP-TTLS et PEAP qui créent un tunnel chiffré TLS pour protéger l’authentification.

Toutes deux très proches, elles imposent un certificat uniquement du coté serveur. Cependant, seul

PEAP est présent nativement sur les matériels Cisco et Microsoft.

Tous ces types d’authentification EAP sont compatibles avec Free Radius, le client peut donc avoir le

choix entre plusieurs types d’authentification sans qu’aucune modification ne soit nécessaire.

Remarque : Si vous utilisez l’interface Wifi d’un client Windows XP, il faudra donc que votre serveur

RADIUS prenne en charge PEAP - MSCHAPV2.

Application :

Vous êtes chargé de mettre en place un système VLAN Wifi avec un seul SSID qui fait office de

« portail »pour l’authentification.

En pratique, tous les types d’utilisateurs se connecteront sur le VLAN natif associé au SSID « IUT » et

devront s’identifier (802.11x) grâce a un serveur RADIUS (FreeRadius).

Celui-ci renverra au point d’accès le VLAN d’appartenance du client authentifié et ce dernier se

trouvera alors automatiquement redirigé sur son VLAN.

•  Un seul SSID est donc nécessaire.

•  Les groupes de travails seront « étudiants » (VLAN10) et « professeurs » (VLAN20).

•  Le VLAN 1 sera le VLAN Natif et vous activerez l’option « Enable secure packet forwarding »

sur celui-ci pour empêcher le partage de données entre client lors de la phase

d’authentification sur le VLAN1.

•  Vous utiliserez WPA (EAP + TKIP).

Aide pour la configuration de Free Radius (Users) :

toto User-Password == "titi"

Tunnel-Type = "VLAN",

Tunnel-Medium-Type = "IEEE-802",

Tunnel-Private-Group-Id = "VOTREVLAN", //indique le VLAN client

Remarque : les VLAN étant étanches, vous devrez fixer manuellement les adresse de vos clients car le

serveur DHCP de l’IUT ne sera pas accessible. Utilisez des adresses d’une classe différente de celles

utilisées par les bornes. 

Page 35: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 35/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

35

Conclusion :

Le pont sans fil Cisco Aironet 1300 est donc un matériel haut de gamme idéal pour

réaliser des liaisons de types « pont » longue portée (jusqu'à 32 Km) permettant

d’interconnecter des sites distants ou des unités mobiles en point-a-point ou point-

a-multipoints. Il réalise également un excellent point d’accès a grande portée

extérieure ou intérieur.

L’interface Web intégrée permet une prise en main efficace et une configuration

complète et intuitive. Cet appareil prend en charge de nombreuses fonctionnalités

avancées (qualité de service, Lan Virtuels, roaming) et une sécurité complète

(filtrage, authentification et chiffrement de haut niveau).

La réalisation de cette étude nous a permis de découvrir en détails et de prendre

conscience des sécurités mise en œuvre pour assurer les fonctions de

confidentialité et d’intégrité des données et surtout d’authentification, un aspect

pourtant incontournable de la sécurité que nous avons découvert au travers de la

mise en place d’un serveur RADIUS.

Toute la partie axée autour des LAN Virtuels s’avère confirmer l’importance

croissante de cette technologie au travers de son intégration dans des applications

comme les communications sans fils.

La concrétisation de notre travail en une série de travaux pratiques apporte une

grande satisfaction et nous a permis d’apprendre à synthétiser les connaissances.

Ce fut donc un projet très intéressant et enrichissant puisque vraiment d’actualité

et qui offre des connaissances forcément utile à l’avenir. 

Page 36: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 36/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

36

Sources :

www.cisco.com 

www.wifialliance.com  

www.microsoft.com 

www.wikipedia.org 

www.commentcamarche.net 

www.hsc.fr 

www.tribecaexpress.com 

www.certa.ssi.gouv.fr 

www.lsr.imag.fr 

www.freeradius.net 

www.generation-nt.com 

www.laboratoire-microsoft.org 

www.enterprisenetworkingplanet.com 

Page 37: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 37/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

37

ANNEXE : LES NORMES WIFI

Norme Nom Description

802.11a Wifi 5

La norme 802.11a (baptisée Wifi 5) permet d'obtenir un haut débit (dans

un rayon de 10mètres: 54 Mbit/s théoriques, 30 Mbit/s réels). La norme

802.11a spécifie 52 canaux de sous-porteuses radio dans la bande de

fréquences des 5 GHz, huit combinaisons, non superposés sont utilisables

pour le canal principal.

802.11b Wifi

La norme 802.11b est la norme la plus répandue en base installée

actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s

réels) avec une portée pouvant aller jusqu'à 300 mètres dans un

environnement dégagé. La plage de fréquences utilisée est la bande des

2,4 GHz avec, en France, 13 canaux radio disponibles dont 3 au maximum

non superposés.

802.11c Pontage 802.11 vers

802.1d

La norme 802.11c n'a pas d'intérêt pour le grand public. Il s'agit

uniquement d'une modification de la norme 802.1d afin de pouvoir établir

un pont avec les trames 802.11 (niveau liaison de données).

802.11d Internationalisation

La norme 802.11d est un supplément à la norme 802.11 dont le but est de

permettre une utilisation internationale des réseaux locaux 802.11. Elle

consiste à permettre aux différents équipements d'échanger des

informations sur les plages de fréquences et les puissances autoriséesdans le pays d'origine du matériel.

802.11e Amélioration de la

qualité de service

La norme 802.11e vise à donner des possibilités en matière de qualité de

service au niveau de la couche liaison de données. Ainsi, cette norme a

pour but de définir les besoins des différents paquets en terme de bande

passante et de délai de transmission de manière à permettre, notamment,

une meilleure transmission de la voix et de la vidéo.

802.11f  Itinérance (roaming)

La norme 802.11f est une recommandation à l'intention des vendeurs de

points d'accès pour une meilleure interopérabilité des produits.

Elle propose le protocole Inter-Access point roaming protocol permettant

à un utilisateur itinérant de changer de point d'accès de façon

transparente lors d'un déplacement, quelles que soient les marques des

points d'accès présentes dans l'infrastructure réseau. Cette possibilité est

appelée itinérance (ou roaming en anglais)

802.11g 

La norme 802.11g est la plus répandue dans le commerce actuellement.

Elle offre un haut débit (54 Mbit/s théoriques, 26 Mbit/s réels) sur la

bande de fréquences des 2,4 GHz. La norme 802.11g a une compatibilité

descendante avec la norme 802.11b, ce qui signifie que des matériels

conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cetteaptitude permet aux nouveaux équipements de proposer le 802.11g tout

Page 38: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 38/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

38

en restant compatibles avec les réseaux existants qui sont souvent encore

en 802.11b.

Il est possible d'utiliser, au maximum, 3 canaux non superposés.

802.11h 

La norme 802.11h vise à rapprocher la norme 802.11 du standard

Européen (Hiperlan 2, d'où le h de 802.11h) et être en conformité avec la

réglementation européenne en matière de fréquences et d'économie

d'énergie.

802.11i 

La norme 802.11i a pour but d'améliorer la sécurité des transmissions

(gestion et distribution des clés, chiffrement et authentification). Cette

norme s'appuie sur l'AES ( Advanced Encryption Standard ) et propose un

chiffrement des communications pour les transmissions utilisant les

technologies 802.11a, 802.11b et 802.11g.

802.11IR La norme 802.11IR a été élaborée de manière à utiliser des signaux infra-

rouges. Cette norme est désormais dépassée techniquement.

802.11j La norme 802.11j est à la réglementation japonaise ce que le 802.11h est à

la réglementation européenne.

802.11n WWiSE (World-WideSpectrum Efficiency) ou

TGn Sync

La norme 802.11n est attendue pour avril 2007. Le débit théorique atteint

les 540 Mbit/s (débit réel de 100 Mbit/s dans un rayon de 90 mètres)

grâce aux technologies MIMO (multiple-input multiple-output) et OFDM

(Orthogonal Frequency Division Multiplexing). En avril 2006, despériphériques à la norme 802.11n commencent à apparaître mais il s'agit

d'un 802.11 N draft (brouillon) ou plutôt provisoire en attendant la norme

définitive.

Le 802.11n utilisera simultanément les fréquences 2,4 et 5GHz. Il saura

combiner jusqu'a 8 canaux non superposés.

802.11s Réseau Mesh

La norme 802.11s est actuellement en cours d'élaboration. Le débit

théorique atteint aujourd'hui 1 à 2 Mbit/s. Elle vise à implémenter la

mobilité sur les réseaux de type adhoc. Tout point qui reçoit le signal est

capable de le retransmettre. Elle constitue ainsi une toile au dessus du

réseau existant. Un des protocoles utilisé pour mettre en œuvre son

routage est OLSR.

Page 39: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 39/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

39

ANNEXE : CARACTERISTIQUES CISCO AIRONET 1300

Caractéristique  Pont sans fil de la gamme Cisco Aironet 350 

Débits supportés  1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 et 54 Mbits/s

Bande de fréquences  2.412 à 2.472 GHz (ETSI et TELEC), 2.412 à 2.462 GHz (FCC)

Support sans fil DSSS (Direct Sequence Spread Spectrum), OFDM (Orthogonal

Frequency Division Multiplexing)

Protocole d'accès ausupport 

CSMA/CA (Carrier Sense Multiple Access with Collision

Avoidance)

Modulation 

DSSS : DBPSK à 1 Mbit/s ; DQPSK à 2 Mbits/s ; CCK à 5,5 et 11

Mbits/s

OFDM : BPSK à 6 et 9 Mbits/s, QPSK à 12 et 18 Mbits/s, 16-

QAM à 24 et 36 Mbits/s, 64-QAM à 48 et 54 Mbits/s

Canaux utilisés  Amérique du Nord : 11 ; ETSI : 13 ; Japon : 13

Canaux sans

chevauchement 3

Sensibilité deréception 

1 Mbits/s : -94 dBm

2 Mbits/s : -91 dBm

5.5 Mbits/s : -89 dBm

11 Mbits/s : -85 dBm6 Mbits/s : -90 dBm

9 Mbits/s : -89 dBm

12 Mbits/s : -86 dBm

18 Mbits/s : -84 dBm

24 Mbits/s : -81 dBm

36 Mbits/s : -77 dBm

48 Mbits/s : -73 dBm

54 Mbits/s : -72 dBm

Paramètres depuissance enémission disponibles 

CCK : 100 mW (20 dBm), 50 mW (17 dBm), 30 mW (15 dBm), 20

mW (13 dBm), 10 mW (10 dBm), 5 mW (7 dBm)OFDM : 30 mW (15 dBm), 20 mW (13 dBm), 10 mW (10 dBm), 5

mW (7 dBm), 1 mW (0 dBm)

La puissance maximale varie en fonction des réglementations en

vigueur dans chaque pays

Portée (typique,fonction de

l'antennesélectionnée) 

0.36 km à 54 Mbps

Homologations 

Fonctionne sans licence conformément à la recommandation FCC

Part 15 et respecte les spécifications d'équipement de Class B ;

Page 40: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 40/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

40

conforme aux réglementations DOC ; conforme aux normes

ETS 300.328, FTZ 2100 et MPT 1349 ; conforme à la norme

UL 2043 (L'utilisation de cet équipement sur un système

fonctionnant partiellement ou totalement en extérieur peut

nécessiter l'obtention d'une licence pour le système, conformément

à la réglementation canadienne.Pour plus de détails, contactez

votre agence commerciale Cisco au Canada.)

Conformité SNMP  MIB I et MIB II

Antenne Deux connecteurs RP-TNC (antennes en option non fournies avecl'unité)

Longueur de clé decryptage 

128 bits

Sécurité 

Cisco Wireless Security Suite, dont:Authentification

802.1X dont LEAP : clés d'encryptions mutuelles et dynamiques

par utilisateur et par session

Encryption

Cisco TKIP; key hashing (per-packet keying) et MIC (Message

Integrity Check)

AES-ready

Témoins d'état 

Quatre témoins sur le panneau avant fournissent des indications sur

l'état de l'association, le fonctionnement, les erreurs/avertissements,

les mises à niveau du microcode et l'état de la configuration, duréseau/modem et de la radio

Support de la

configurationautomatique 

BOOTP et DHCP

Support de la

configuration àdistance 

Telnet, HTTP, FTP, TFTP, SNMP

Configuration locale  Port console directement relié (avec câble série fourni)

Protocole de pont  Spanning Tree

Dimensions  20.3 cm x 20.57 cm x 7.87 cm

Poids  1,25 kg

Environnement Température : 30 à 55° C

0 à 100 % (sans condensation)

Boîtier Boîtier métallique (pour l'isolation) ; certifié NEMA 4; IP56;

UL2083

Page 41: Cisco Aironet 1300

5/11/2018 Cisco Aironet 1300 - slidepdf.com

http://slidepdf.com/reader/full/cisco-aironet-1300 41/41

 

Aurélien BEAUVOIS | Théophile GURLIAT

ANNEXE : CCKM

41