1 Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès.

  • Published on
    03-Apr-2015

  • View
    104

  • Download
    2

Transcript

  • Page 1
  • 1 Les BSS peuvent tre interconnects par un systme de distribution (DS, Distribution System) : le plus souvent un rseau Ethernet Un point d'accs est une station qui fournit l'accs au DS (Le mode Infrastructure) L'ensemble form par le point d'accs et les stations situes dans sa zone de couverture est appel BSS pour Basic Service Set et constitue une cellule. ESS (Extended Service Set) : ensemble de BSS interconnects par un systme de distribution Les stations peuvent communiquer entre elles et passer d'un BSS l'autre l'intrieur d'un mme ESS
  • Page 2
  • 2
  • Page 3
  • 3 Chaque BSS est identifi par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond l'adresse MAC du point d'accs. Il s'agit gnralement du mode par dfaut des cartes 802.11b. Un ESS est repr par un ESSID (Service Set Identifier), c'est--dire un identifiant de 32 caractres de long (au format AZSCII) servant de nom pour le rseau. L'ESSID, souvent abrg en SSID, reprsente le nom du rseau et reprsente en quelque sort un premier niveau de scurit dans la mesure o la connaissance du SSID est ncessaire pour qu'une station se connecte au rseau tendu. Lorsqu'un utilisateur nomade passe d'un BSS un autre lors de son dplacement au sein de l'ESS, l'adaptateur rseau sans fil de sa machine est capable de changer de point d'accs selon la qualit de rception des signaux provenant des diffrents points d'accs. Les points d'accs communiquent entre eux grce au systme de distribution afin d'changer des informations sur les stations et permettre le cas chant de transmettre les donnes des stations mobiles. Cette caractristique permettant aux stations de "passer de faon transparente" d'un point d'accs un autre est appel itinrance (en anglais handover).
  • Page 4
  • 4 Contrle de laccs au support de transmission. Fragmentation et rassemblage des trames de donnes. Contrle derreur. Gestion de la mobilit (Handover). Scurit et qualit de service. Gestion de lnergie des stations mobiles. adressage des paquets ; formatage des trames ; 7. Fonctionnalits de la couche MAC deux mthodes daccs : DCF (Distributed Coordination Function (ad-hoc, IS)) : similaire ethernet, support de donnes asynchrones ; chances gales daccs au support pas de priorit; collisions possibles. PCF (Point Coordination Function (mode IS, optionnelle)) : pas de collisions ; transmission de donnes isochrones (applications temps-rel, voix, vido) Les mthodes daccs au support
  • Page 5
  • 5 Implmentation du protocole CSMA/CA. (coute du support avant transmission ): Le CSMA/CA vite les collisions en utilisant des trames dacquittement, ou ACK (Acknowledgement). Un ACK est envoy par la station destination pour confirmer que les donnes sont reues de manire intacte. Laccs au support est contrl par lutilisation despaces intertrames. accs alatoire avec coute de la porteuse : vite plusieurs transmissions simultanes, rduit le nombre de collisions impossible de dtecter les collisions : il faut les viter coute du support back-off rservation trames dacquittement positif La mthode daccs DCF
  • Page 6
  • 6 couche physique: PCS ( Physical Carrier Sense) coute au niveau de la couche physique par lanalyse des trames,puissance relative du signal mis par les stations. couche MAC: VCS (Virtual Carrier Sense ) rserve le support via le PCS deux types de mcanismes : rservation par trames RTS/CTS utilisation dun timer (NAV : Network Allocation Vector) calcul par toutes les stations lcoute Mcanismes dcoute du support
  • Page 7
  • 7 collision Cellule 1 Cellule 2 Donnes A B C Problme de la station cache
  • Page 8
  • 8 Cellule 1 Cellule 2 A B C RTS CTS Rsolution du problme par le mcanisme de rservation VCS
  • Page 9
  • 9 Mcanisme de rservation(VCS) DIFS: Distributed InterFrame Spacing (DIFS= SIFS+ 2 * Slot Time) SIFS: Short InterFrame Spacing(La valeur de SIFS est fixe par la couche physique et est calcule de telle faon que la station mettrice sera capable de commuter en mode rception pour pouvoir dcoder le paquet entrant). Slot Time: dure minimale pour dterminer l'tat du canal + temps aller-retour + temps de propagation. ACK: Acknowledgement RTS: Demande dmission (request to send) CTS: Prt mettre (clear to send) NAV : Network Allocation Vector
  • Page 10
  • 10 Protocole : CSMA/CA Le protocole CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) tente dviter au maximum les collisions (deux trames mises quasi simultanment qui se percutent) en imposant un accus de rception systmatique des paquets (ACK). Ainsi un paquet ACK est mis par la station de rception pour chaque paquet de donnes arriv correctement. Le fonctionnement du protocole CSMA/CA est dcrit ci-dessous. La station voulant mettre coute le rseau. Si le rseau est encombr, la transmission est retarde. Si le rseau est libre pendant un temps donn (appel DIFS pour Distributed Inter Frame Space), alors la station commence lmission. La station transmet un message appel RTS (Ready To Send) contenant des informations sur le volume des donnes qu'elle souhaite mettre et sa vitesse de transmission. Le rcepteur (un AP dans le mode Infrastructure) rpond un CTS (Clear To Send) et la station commence l'mission des donnes.
  • Page 11
  • 11 A la rception de toutes les donnes mises par la station, le rcepteur envoie un accus de rception (ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elle estime tre ncessaire la transmission du volume d'information mettre la vitesse annonce. Une fois que la trame ACK est reue par lmetteur, la station rceptrice met un terme au processus. Si la trame ACK nest pas dtecte par la station mettrice (parce que le paquet original ou le paquet ACK na pas t reu intact, une collision est suppose et le paquet de donnes est retransmis aprs attente dun autre temps alatoire.
  • Page 12
  • 12 Le DCF n'est pas valable si les stations sont nombreuses Point coordination function(La PCF est une mthode optionnelle et donc peu ou pas implmente dans les matriels 802.11) transfert temps-rel (voix, vido), services de priorit Le point d'accs (AP) distribue la parole aux stations. Il n'y a plus de collisions l'AP accorde un temps de parole chaque station. Si cette dernire en a besoin, elle met un acquittement puis ses donnes. Si elle n'a pas rpondu dans un dlai court, la parole est passe une autre station PCF peu efficace si la plupart des stations sont silencieuses. En fait, on peut utiliser alternativement PCF / DCF La squence PCF / DCF est initialise par l'mission (par l'AP) d'une "balise". Cette dernire indique la dure de la phase PCF, qui peut ventuellement tre raccourcie par l'mission d'un signal de fin de cette phase. La mthode daccs PCF
  • Page 13
  • 13 8.Les trames
  • Page 14
  • 14 Les trames de niveau physique Toutes les trames 802.11 sont composes des composants suivants : prambule : dtection du signal, synchronisation, dtection du dbut de trame. Il contient les deux squences suivantes : Synch, de 80 bits alternant 0 et 1, qui est utilise par le circuit physique pour slectionner lantenne laquelle se raccorder. SFD (Start Frame Delimiter), une suite de 16 bits, 0000 1100 1011 1101, utilise pour dnir le dbut de la trame. en-tte PLCP (Physical Layer Convergence Protocol) : est toujours transmis 1 Mbps et contient des informations logiques utilises par la couche physique pour dcoder la trame, donnes : informations provenant de la couche MAC : MPDU (MAC Protocol Data Unit) Champ den-tte du contrle derreur : champ de dtection derreur CRC 32bits. Ces informations varient en fonction de linterface physique utilise : FHSS, DSSS, IR, OFDM
  • Page 15
  • 15 Les trames MAC Trois types de trames MAC : trames de donnes : transmission des donnes trames de contrle : contrle de laccs au support (RTS, CTS, ACK, etc.) trames de gestion : association, rassociation, synchronisation, authentification
  • Page 16
  • 16 Fragmentation et rassemblage Taux derreur pour liaison sans fil trs suprieur celui des liaisons filaires : ncessit de transmettre de petits paquets Fragmentation dune : trame de donne MSDU (MAC Service Data Unit) trame de gestion MMPDU (MAC Management Protocol Data Unit) en plusieurs trames MPDU (MAC Protocol Data Unit) Fragmentation si taille > valeur seuil (appele fragment-Threshold) fragments envoys de manire squentielle destination acquitte de chaque fragment support libr aprs transmission de tous les fragments Utilisation du RTS/CTS Seul le premier fragment utilise les trames RTS/CTS Le NAV doit tre maintenu jour lors chaque nouveau fragment
  • Page 17
  • 17 Mcanisme dmission dune trame fragmente
  • Page 18
  • 18 mission dune trame fragmente avec rservation du support
  • Page 19
  • 19 Fragmentation et rassemblage Deux champs permettent le rassemblage des fragments par la station destination : Sequence control : permet le rassemblage de la trame grce Sequence number : chaque fragment issu dune mme trame possde le mme numro de squence Fragment number : chaque fragment dune mme trame se voit attribuer un numro de fragment, partir de zro, incrment pour chaque nouveau fragment More fragment : permet dindiquer si dautres fragments suivent ; gale zro si le fragment en cours est le dernier fragment
  • Page 20
  • 20 Fonctionnalits
  • Page 21
  • 21 Gestion de la mobilit Possible uniquement si le rseau est en mode infrastructure. Protocole IAPP ( Inter-Access Point Protocol ) normalise dans 802.11f. Association-rassociation Quand ? Lors de lentre dans une cellule ou la mise sous tension. Principe. 1. coute du support: les balises donnent des infos: Bssid, dbits disponibles, ventuellement essid. passive : La station coute sur tous les canaux de transmission et attend de recevoir une trame balise du point daccs.. active : Sur chaque canal de transmission, la station envoie une trame de requte (Probe Request Frame) et attend une rponse. Ds quun ou plusieurs points daccs lui rpond, elle enregistre les caractristiques de ce dernier. 2. Authentification (aprs avoir trouv le meilleur point daccs). deux mcanismes open system authentication : mode par dfaut ; ne constitue pas une relle authentification shared key authentication : vritable mcanisme dauthentification, repose sur le WEP (Wired Equivalent Privacy) ; repose sur une clef secrte partage 3. Association relle avec le point daccs. utilisation dun identifiant : SSID (Service Set ID) qui dfinit le rseau SSID mis rgulirement en clair par lAP dans une trame balise : constitue une faille de scurit
  • Page 22
  • 22 Point daccs Station Probe Request Probe Response Ecoute (phase 1) Mcanisme dauthenfication Authenticication ( phase 2) Association Request Association Response Association (phase 3) Rassociation : lorsqu'une station se dplace d'un BSS l'autre
  • Page 23
  • 23 Les handovers mcanisme permettant un dispositif mobile de changer de cellule sans que la transmission en cours ne soit interrompue possible que si les cellules voisines se recouvrent non dfini dans la norme IEEE 802.11 ni 802.11b (WiFi) Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f) IAPP fait communiquer les diffrents points daccs dun mme rseau de faon permettre un utilisateur mobile de passer dune cellule une autre sans perte de connexion. Le seul lien entre les points daccs du rseau tant le systme de distribution (DS), cest ce niveau quest utilis IAPP.
  • Page 24
  • 24 protocole de niveau transport (couche 4) qui se place au-dessus de UDP (User Datagram Protocol) : protocole sans connexion utilise le protocole RADIUS pour permettre des handovers scuriss (RADIUS : Remote Authentication Dial-In User Server) serveur centralis ayant une vue globale du rseau : il connat la correspondance entre adresses IP et MAC Une caractristique dIAPP est quil dfinit lutilisation du protocole client-serveur dauthentification RADIUS (Remote Authentication Dial-In User Server) afin doffrir des handovers scuriss. Lutilisation de ce protocole demande la prsence dun serveur centralis ayant une vue globale du rseau. Le serveur RADIUS connat la correspondance dadresse entre ladresse MAC des points daccs et leur adresse IP. Par ailleurs, ce protocole permet de distribuer des cls de chiffrement entre points daccs.
  • Page 25
  • 25
  • Page 26
  • 26 conomies dnergie Les rseaux sans fil peuvent tre composs de stations fixes ou mobiles. Les stations fixes nont aucun problme dconomie dnergie puisquelles sont directement relies au rseau lectrique. Les stations mobiles sont alimentes par des batteries, qui nont gnralement quune faible autonomie (quelques heures selon lutilisation). Pour utiliser au mieux ces stations mobiles, le standard dfinit deux modes dnergie, Continuous Aware Mode et Power Save Polling Mode : Continuous Aware Mode. Cest le mode de fonctionnement par dfaut. Linterface Wi-Fi est tout le temps allume et coute constamment le support. Il ne sagit donc pas dun mode dconomie dnergie. Power Save Polling Mode. Cest le mode dconomie dnergie. Dans ce mode, le point daccs tient jour un enregistrement de toutes les stations qui sont en mode dconomie dnergie et stocke les donnes qui leur sont adresses dans un lment appel TIM (Traffic Information Map).
  • Page 27
  • 27 Les stations en veille sactivent des priodes de temps rgulires pour recevoir une trame balise contenant le TIM envoy en broadcast par le point daccs. Entre les trames balises, les stations retournent en mode veille. Du fait de la synchronisation, une trame balise est envoye toutes les 32 s. Toutes les stations partagent le mme intervalle de temps pour recevoir les TIM et sactivent de la sorte au mme moment pour les recevoir. Les TIM indiquent aux stations si elles ont ou non des donnes stockes dans le point daccs. Lorsquune station sactive pour recevoir un TIM et quelle saperoit que le point daccs contient des donnes qui lui sont destines, elle lui envoie une trame de requte (PS-Poll) pour mettre en place le transfert des donnes. Une fois le transfert termin, la station retourne en mode veille jusqu rception de la prochaine trame balise contenant un nouveau TIM. Consommation dnergie La consommation dune carte Wi-Fi 802.11b est de 30 mA en rception et de 200 mA en transmission pour le mode normal et de 10 mA pour le mode veille. La consommation dune carte 802.11a est beaucoup plus importante : 300 mA en rception, 500 mA en transmission et 15 mA en mode veille.
  • Page 28
  • 28 LA SCURIT
  • Page 29
  • 29 Les risques lis la mauvaise protection d'un rseau sans fil sont multiples : L'interception de donnes en coutant les transmissions des diffrents utilisateurs du rseau sans fil Le dtournement de connexion dont le but est d'obtenir l'accs un rseau local ou internet Le brouillage des transmissions en envoyant des signaux radio de telle manire produire des interfrences Les mmes risques existent sur un rseau filaire mais il faut pouvoir accder au matriel rseau (prises, cbles...)
  • Page 30
  • 30 Accs au rseau et chiffrement Deux rgles de protection lmentaires : Cacher le nom du rseau: Si un attaquant coute le rseau suffisamment longtemps, il finira bien par voir passer le nom du rseau puisquun utilisateur qui souhaite se connecter doit donner ce SSID. Nautoriser que les communications contrles par une liste dadresses MAC, ou ACL (Access Control List). Cela permet de ne fournir laccs quaux stations dont ladresse MAC est spcifie dans la liste. WEP : Wired Equivalent Privacy Deux modes taient prvus en 802.11 : Systme ouvert (Open system authentication) : lauthentification est explicite. Un terminal peut donc sassocier avec nimporte quel point daccs et couter toutes les donnes qui transitent au sein du BSS. Authentification par cl partage (Shared key authentication) (WEP, Wired Equivalent Privacy) utilise un mcanisme de cl secrte partage.
  • Page 31
  • 31 Open system Authentication : mcanisme par dfaut
  • Page 32
  • 32 Shared Key Authentication : Le mcanisme Shared Key Authentication se droule en quatre tapes : 1. Une station voulant sassocier avec un point daccs lui envoie une trame dauthentification. 2. Lorsque le point daccs reoit cette trame, il envoie la station une trame contenant 128 bits dun texte alatoire gnr par lalgorithme WEP. 3. Aprs avoir reu la trame contenant le texte, la station la copie dans une trame dauthentification et la chiffre avec la cl secrte partage avant denvoyer le tout au point daccs. 4. Le point daccs dchiffre le texte chiffr laide de la mme cl secrte partage et le compare avec celui qui a t envoy plus tt. Si le texte est identique, le point daccs lui confirme son authentification, sinon il envoie une trame dauthentification ngative.
  • Page 33
  • 33 Les failles de scurit WiFi comporte de nombreuses failles dans toutes ses composantes scurit : SSID (Service Set ID) : transmis en clair par lAP le mcanisme closed network interdit sa transmission dans les balises en mode ad-hoc, le SSID est systmatiquement transmis en clair mme en mode ferm, le SSID est transmis en clair pendant lassociation utilisation du SSID par dfaut, configur par les constructeurs ACL optionnel, donc peu souvent utilis repose sur lidentification de ladresse MAC simuler une adresse MAC dcode, si celui-ci se trouve dans le primtre du rseau WEP la cl peut tre dcouverte par simple coute du rseau avec des logiciels du domaine public pas de mcanisme de distribution des cls
  • Page 34
  • 34 Les failles de scurit Solutions actuelles 802.1X : Protocole permettant de n'autoriser l'accs un port rseau qu'aprs authentification, Conu pour les rseaux filaires, s'applique aux rseaux IEEE 802 port rseau = port de commutateur (802.3), association (802.11) WEP dynamique : Une cl WEP par utilisateur et par session, Cl commune pour les trames multicast Avantages : empche la dcouverte des cls distribution automatique des cls EAP : Extended Authentication Protocol: dvelopp l'origine pour lauthentification des utilisateurs se connectant en PPP sur des serveurs daccs distants,l'authentification elle-mme repose sur des mthodes (protocoles) dfinies par ailleurs et encapsules dans EAP rseaux privs virtuels (VPN) RADIUS Remote Authentication Dial In User Service
  • Page 35
  • 35 WPA:(Wi-Fi Protected Access) Pour pallier les insuffisances du WEP, son fonctionnement repose sur un systme d'change de cls dynamiques, renouveles tous les 10 ko de donnes Ce procd, appel TKIP (Temporal Key Integrity Protocol), protge mieux les cls du dcryptage et devrait amliorer sensiblement la scurit des rseaux sans fil.

Recommended

View more >