Administration d’un Administration d’un réseau WIFIréseau WIFI
BARBIER - GUEGAN
Le réseau sans fil WIFILe réseau sans fil WIFI Système de communication sans fil Système de communication sans fil
Mise en place des réseaux informatiques hertziens Mise en place des réseaux informatiques hertziens
Couvre l'équivalent d'un réseau local d'entrepriseCouvre l'équivalent d'un réseau local d'entreprise Portée d'environ une centaine de mètres Portée d'environ une centaine de mètres
Standard international (Wireless Fidelity) 802.11Standard international (Wireless Fidelity) 802.11 Protocole robuste, multiples fonctionnalitésProtocole robuste, multiples fonctionnalités
Minimiser les interférencesMinimiser les interférences Maximaliser la bande passante sur les canauxMaximaliser la bande passante sur les canaux Peut travailler de manière transparente avec l’Ethernet Peut travailler de manière transparente avec l’Ethernet
à travers un pont, ou un point d’accès, de manière à ce que à travers un pont, ou un point d’accès, de manière à ce que tous les éléments avec et sans fils puissent interagir. tous les éléments avec et sans fils puissent interagir.
PLANPLAN
Caractéristiques du WIFICaractéristiques du WIFI
Le WLAN Le WLAN
Le fonctionnementLe fonctionnement
La sécuritéLa sécurité
ConclusionConclusion
Différentes normes : Différentes normes : IEEE 802.11IEEE 802.11
NormNormee
FréquenFréquencece
DébitDébit portéeportée modulatimodulationon
Nb Nb canauxcanaux
802.1802.11a1a
5 GHz5 GHz 54 54 Mbit/sMbit/s
10 m10 m OFDMOFDM 88
802.1802.11b1b
2.4 GHz2.4 GHz 11 11 Mbit/sMbit/s
100 m100 m DQPSDQPSKK
33
802.1802.11g1g
2.4 GHz2.4 GHz 54 54 Mbit/sMbit/s
100 m100 m OFDMOFDM 1313802.11a non compatible avec 802.11b/g
Nécessité d’une carte dual band
LAN sans fil = WLANLAN sans fil = WLAN
Deux élémentsDeux éléments AP (Access Point) ou autre AP (Access Point) ou autre
équipement commutateur ou routeuréquipement commutateur ou routeur Station mobile équipé d’une interface Station mobile équipé d’une interface
sans filsans fil BSSID (Basic Service Set BSSID (Basic Service Set
Identification)Identification) Adresse du point d’accèsAdresse du point d’accès
Toutes les communications au sein Toutes les communications au sein d’un BSSID passent par l’APd’un BSSID passent par l’AP
Le fonctionnementLe fonctionnement
Deux modes opératoires :Deux modes opératoires : Mode infrastrucuture : clients sans Mode infrastrucuture : clients sans
fil connectés à un point d'accès fil connectés à un point d'accès (mode par défaut des cartes WIFI)(mode par défaut des cartes WIFI)
Mode ad hoc : clients connectés les Mode ad hoc : clients connectés les uns aux autres sans points d'accèsuns aux autres sans points d'accès
Le manque de sécurité Le manque de sécurité du sans-fildu sans-fil
Ondes radio-électriques Ondes radio-électriques Capacité à se propager dans toutes les directionCapacité à se propager dans toutes les direction Difficulté à confiner les émissions dans un Difficulté à confiner les émissions dans un
périmètre restreint périmètre restreint Facilité « d’écoute » du réseauFacilité « d’écoute » du réseau
L’interception de donnéesL’interception de données Le détournement de connexion (accès à un Le détournement de connexion (accès à un
réseau local ou à Internet)réseau local ou à Internet) Le brouillage des transmissions (émission de Le brouillage des transmissions (émission de
signaux générant des interférences)signaux générant des interférences) Les dénis de service (surcharge des réseaux)Les dénis de service (surcharge des réseaux)
La sécuritéLa sécuritéMécanisme de Mécanisme de
sécurité sécurité ClientClient ConsidérationConsidération
WEPWEP Supporté par les clients Supporté par les clients 802.11b/g802.11b/g
Fournit une sécurité faible Fournit une sécurité faible
avec une clé partagée avec une clé partagée manuellemanuelle
WEP sur 802.1x WEP sur 802.1x 802.1x supporté par les 802.1x supporté par les clients, natif Win XPclients, natif Win XP
Fournit une clé dynamiqueFournit une clé dynamiqueRequiert un serveur RADIUSRequiert un serveur RADIUS
802.1x EAP requiert un 802.1x EAP requiert un certificat numérique pour certificat numérique pour
clients et serveurclients et serveur
Filtrage adresse Filtrage adresse MACMAC
Utilise les adresse MAC Utilise les adresse MAC des Clients sans-fildes Clients sans-fil
Fournit une authentification Fournit une authentification faible, peut être combiné avec faible, peut être combiné avec
d’autres méthodesd’autres méthodes
(option : serveur RADIUS)(option : serveur RADIUS)
WPAWPA WPA supporté par les WPA supporté par les drivers des cartes drivers des cartes
réseaux, natif sur Win réseaux, natif sur Win XPXP
Sécurité robusteSécurité robusteServeur RADIUS requisServeur RADIUS requis802.1x EAP certificat 802.1x EAP certificat
numériquenumérique
WPA Pre-Share KeyWPA Pre-Share Key WPA supporté par les WPA supporté par les drivers des cartes drivers des cartes
réseaux, natif sur Win réseaux, natif sur Win XPXP
Bonne sécurité sur petits Bonne sécurité sur petits réseaux ou réseaux sans réseaux ou réseaux sans
serveur RADIUSserveur RADIUSClé partagé manuelleClé partagé manuelle
Filtrage par @MACFiltrage par @MAC
N’autorise que certaines stations à N’autorise que certaines stations à pénétrer dans le réseau pénétrer dans le réseau
Ne résoud pas le problème de Ne résoud pas le problème de confidentialitéconfidentialité
Usurpation très facile suivant la Usurpation très facile suivant la carte :carte :
configuration avancé de la carte / changer @MACconfiguration avancé de la carte / changer @MAC
Chiffrement Chiffrement
WEP WEP (Wireless Equivalent Privacy) (Wireless Equivalent Privacy) :: 128 bits assure un niveau de confidentialité 128 bits assure un niveau de confidentialité
minimumminimum évite de cette façon 90% des risques évite de cette façon 90% des risques
d'intrusiond'intrusion
Chiffrement statiqueChiffrement statiqueNb bitsNb bits Nb Nb caractèrescaractères
6464 1010
128128 2626
152152 3232
WPAWPA
Utilise TKIP (Utilise TKIP (Temporal Key Integrity Temporal Key Integrity ProtocolProtocol) : ) :
s'adapte mieux au matériel existants'adapte mieux au matériel existant
utilise RC4 comme algorithme de utilise RC4 comme algorithme de chiffrementchiffrement
contrôle d'intégrité MICcontrôle d'intégrité MIC
Introduit un mécanisme de gestion des clés Introduit un mécanisme de gestion des clés
(création de clés dynamiques à un intervalle de temps (création de clés dynamiques à un intervalle de temps
prédéfini)prédéfini)
WPA 2 (802.11i)WPA 2 (802.11i) Utilise CCMP (Utilise CCMP (Counter Mode with Cipher Counter Mode with Cipher
Block Chaining Message Authentication Block Chaining Message Authentication Code ProtocolCode Protocol) )
Plus puissant que TKIPPlus puissant que TKIP
Utilise AES comme algorithme de Utilise AES comme algorithme de chiffrement chiffrement
Solution semble se distinguer à long termeSolution semble se distinguer à long terme
Protocole incompatible avec le matériel Protocole incompatible avec le matériel actuelactuel
Principe du chiffrementPrincipe du chiffrement
Principe du Principe du déchiffrementdéchiffrement
Politique de VLANsPolitique de VLANs
Sépare virtuellement les utilisateur de Sépare virtuellement les utilisateur de différents groupes de travail sur un même différents groupes de travail sur un même réseau physiqueréseau physique
Accès restrictif et personnalisé aux ressourcesAccès restrictif et personnalisé aux ressources Sous réseaux hermétiquesSous réseaux hermétiques 1 VLAN = 1 SSID = 1 sous réseau1 VLAN = 1 SSID = 1 sous réseau Possibilité de tout type de VLAN sur le switchPossibilité de tout type de VLAN sur le switch Possibilité d’implémentation des différents Possibilité d’implémentation des différents
types de chiffrement (WEP, WPA, …)types de chiffrement (WEP, WPA, …)
VLAN : Mise en placeVLAN : Mise en place
L’authentificationL’authentification
Solution alternative aux clés de Solution alternative aux clés de chiffrementchiffrement 802.1X802.1X Serveurs RadiusServeurs Radius Tunnels VPNTunnels VPN
Authentification 802.1XAuthentification 802.1X Mécanisme de relais d’authentification de niveau 2 Mécanisme de relais d’authentification de niveau 2 Besoin de s’authentifier dès l’accès physique au Besoin de s’authentifier dès l’accès physique au
réseau (points d’accès WIFI)réseau (points d’accès WIFI) Norme 802.1x développée aussi pour les VLAN Norme 802.1x développée aussi pour les VLAN S’appuie également sur les normes de niveau 2 S’appuie également sur les normes de niveau 2
comme Ethernetcomme Ethernet Phase d’authentification, avant tout autre Phase d’authentification, avant tout autre
mécanisme d’auto-configuration (DHCP, par ex)mécanisme d’auto-configuration (DHCP, par ex) Possibilité d’affectation dynamique des VLAN en Possibilité d’affectation dynamique des VLAN en
fonction des caractéristiques de l’authentification. fonction des caractéristiques de l’authentification. Nécessite l’association à un serveur Nécessite l’association à un serveur
d’authentification (Radius) ou système de clé pré-d’authentification (Radius) ou système de clé pré-partagépartagé
802.1X et Radius802.1X et Radius
802.1X basée sur le protocole EAP (PPP 802.1X basée sur le protocole EAP (PPP Extensible Authentication Protocol) Extensible Authentication Protocol) extension du protocole PPP (défini dans extension du protocole PPP (défini dans la RFC 2284). la RFC 2284).
EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius
Pas une méthode de chiffrement Fournit un mécanisme d’initialisation des
clés
MécanismeMécanisme
Sécurité maximaleSécurité maximale
Possibilité de combiner tous les Possibilité de combiner tous les mécanismes de sécuritémécanismes de sécurité
Filtrage par @MACFiltrage par @MAC Chiffrement (WPA2)Chiffrement (WPA2) Authentification 802.1X + Radius Authentification 802.1X + Radius Implémentation dans des VLANsImplémentation dans des VLANs Linux (!)Linux (!)
Tous les équipements wireless Tous les équipements wireless doivent être compatibles !doivent être compatibles !
VPN (Virtual Private VPN (Virtual Private Network)Network)
Sécuriser les échanges entre différentes entités sur Internet.
Sécuriser les communications d’utilisateurs mobiles.
Simple à mettre en oeuvre, Fiable et difficilement « cassable » Facilement conciliable avec les infrastructures en
place dans les entreprises Complètement transparent pour l’utilisateur Composante nécessaire sur les réseaux WiFi
publics.
VPN (Virtual Private VPN (Virtual Private Network)Network)
Repose sur un Repose sur un protocole de tunnelisationprotocole de tunnelisation Données sécurisées par des algorithmes de Données sécurisées par des algorithmes de
chiffrementchiffrement Mode client-serveurMode client-serveur Différents protocolesDifférents protocoles
PTP (PTP (Point-to-Point Tunneling ProtocolPoint-to-Point Tunneling Protocol) est un protocole de ) est un protocole de niveau 2niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. Telematics.
L2F (L2F (Layer Two ForwardingLayer Two Forwarding) est un protocole de ) est un protocole de niveau 2niveau 2 développé développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète
L2TP (L2TP (Layer Two Tunneling ProtocolLayer Two Tunneling Protocol) est l'aboutissement des travaux ) est l'aboutissement des travaux de l'de l'IETFIETF ( (RFC 2661RFC 2661) pour faire converger les fonctionnalités de ) pour faire converger les fonctionnalités de PPTPPPTP et et L2FL2F. Il s'agit ainsi d'un protocole de . Il s'agit ainsi d'un protocole de niveau 2niveau 2 s'appuyant sur s'appuyant sur PPPPPP. .
IPSecIPSec est un protocole de est un protocole de niveau 3niveau 3, issu des travaux de l', issu des travaux de l'IETFIETF, , permettant de transporter des données chiffrées pour les réseaux IP. permettant de transporter des données chiffrées pour les réseaux IP.
CONCLUSIONCONCLUSION Bien placer les bornes (éviter d’émettre à des Bien placer les bornes (éviter d’émettre à des
endroits inutiles)endroits inutiles) Utiliser des algorithmes de chiffrement efficaces Utiliser des algorithmes de chiffrement efficaces
(WPA) ou changer de clé WEP régulièrement (WPA) ou changer de clé WEP régulièrement Eviter les mots du dictionnaireEviter les mots du dictionnaire éviter les valeurs par défaut éviter les valeurs par défaut
diffusion Broadcast du SSIDdiffusion Broadcast du SSID mot de passe administrateurmot de passe administrateur adresse IP de l’APadresse IP de l’AP serveur DHCP activéserveur DHCP activé
Combiner les différents mécanismes de sécuritéCombiner les différents mécanismes de sécurité
L’avenirL’avenir
802.11n802.11n + de 100 Mb/s, le nouvel Ethernet ?+ de 100 Mb/s, le nouvel Ethernet ?
Un concurent : le Wimax ?Un concurent : le Wimax ? 802.16802.16 Portée : 50 kmPortée : 50 km BF : entre 2 et 11 GHzBF : entre 2 et 11 GHz 70 Mb/s70 Mb/s relais Internet à des zones rurales non relais Internet à des zones rurales non
desservies par les réseaux standards, à la desservies par les réseaux standards, à la manière du satellite manière du satellite
Top Related