Administration d’un Administration d’un réseau WIFIréseau WIFI

BARBIER - GUEGAN

Le réseau sans fil WIFILe réseau sans fil WIFI Système de communication sans fil Système de communication sans fil

Mise en place des réseaux informatiques hertziens Mise en place des réseaux informatiques hertziens

Couvre l'équivalent d'un réseau local d'entrepriseCouvre l'équivalent d'un réseau local d'entreprise Portée d'environ une centaine de mètres Portée d'environ une centaine de mètres

Standard international (Wireless Fidelity) 802.11Standard international (Wireless Fidelity) 802.11 Protocole robuste, multiples fonctionnalitésProtocole robuste, multiples fonctionnalités

Minimiser les interférencesMinimiser les interférences Maximaliser la bande passante sur les canauxMaximaliser la bande passante sur les canaux Peut travailler de manière transparente avec l’Ethernet Peut travailler de manière transparente avec l’Ethernet

à travers un pont, ou un point d’accès, de manière à ce que à travers un pont, ou un point d’accès, de manière à ce que tous les éléments avec et sans fils puissent interagir. tous les éléments avec et sans fils puissent interagir.

PLANPLAN

Caractéristiques du WIFICaractéristiques du WIFI

Le WLAN Le WLAN

Le fonctionnementLe fonctionnement

La sécuritéLa sécurité

ConclusionConclusion

Différentes normes : Différentes normes : IEEE 802.11IEEE 802.11

NormNormee

FréquenFréquencece

DébitDébit portéeportée modulatimodulationon

Nb Nb canauxcanaux

802.1802.11a1a

5 GHz5 GHz 54 54 Mbit/sMbit/s

10 m10 m OFDMOFDM 88

802.1802.11b1b

2.4 GHz2.4 GHz 11 11 Mbit/sMbit/s

100 m100 m DQPSDQPSKK

33

802.1802.11g1g

2.4 GHz2.4 GHz 54 54 Mbit/sMbit/s

100 m100 m OFDMOFDM 1313802.11a non compatible avec 802.11b/g

Nécessité d’une carte dual band

LAN sans fil = WLANLAN sans fil = WLAN

Deux élémentsDeux éléments AP (Access Point) ou autre AP (Access Point) ou autre

équipement commutateur ou routeuréquipement commutateur ou routeur Station mobile équipé d’une interface Station mobile équipé d’une interface

sans filsans fil BSSID (Basic Service Set BSSID (Basic Service Set

Identification)Identification) Adresse du point d’accèsAdresse du point d’accès

Toutes les communications au sein Toutes les communications au sein d’un BSSID passent par l’APd’un BSSID passent par l’AP

Le fonctionnementLe fonctionnement

Deux modes opératoires :Deux modes opératoires : Mode infrastrucuture : clients sans Mode infrastrucuture : clients sans

fil connectés à un point d'accès fil connectés à un point d'accès (mode par défaut des cartes WIFI)(mode par défaut des cartes WIFI)

Mode ad hoc : clients connectés les Mode ad hoc : clients connectés les uns aux autres sans points d'accèsuns aux autres sans points d'accès

Le manque de sécurité Le manque de sécurité du sans-fildu sans-fil

Ondes radio-électriques Ondes radio-électriques Capacité à se propager dans toutes les directionCapacité à se propager dans toutes les direction Difficulté à confiner les émissions dans un Difficulté à confiner les émissions dans un

périmètre restreint périmètre restreint Facilité « d’écoute » du réseauFacilité « d’écoute » du réseau

L’interception de donnéesL’interception de données Le détournement de connexion (accès à un Le détournement de connexion (accès à un

réseau local ou à Internet)réseau local ou à Internet) Le brouillage des transmissions (émission de Le brouillage des transmissions (émission de

signaux générant des interférences)signaux générant des interférences) Les dénis de service (surcharge des réseaux)Les dénis de service (surcharge des réseaux)

La sécuritéLa sécuritéMécanisme de Mécanisme de

sécurité sécurité ClientClient ConsidérationConsidération

WEPWEP Supporté par les clients Supporté par les clients 802.11b/g802.11b/g

Fournit une sécurité faible Fournit une sécurité faible

avec une clé partagée avec une clé partagée manuellemanuelle

WEP sur 802.1x WEP sur 802.1x 802.1x supporté par les 802.1x supporté par les clients, natif Win XPclients, natif Win XP

Fournit une clé dynamiqueFournit une clé dynamiqueRequiert un serveur RADIUSRequiert un serveur RADIUS

802.1x EAP requiert un 802.1x EAP requiert un certificat numérique pour certificat numérique pour

clients et serveurclients et serveur

Filtrage adresse Filtrage adresse MACMAC

Utilise les adresse MAC Utilise les adresse MAC des Clients sans-fildes Clients sans-fil

Fournit une authentification Fournit une authentification faible, peut être combiné avec faible, peut être combiné avec

d’autres méthodesd’autres méthodes

(option : serveur RADIUS)(option : serveur RADIUS)

WPAWPA WPA supporté par les WPA supporté par les drivers des cartes drivers des cartes

réseaux, natif sur Win réseaux, natif sur Win XPXP

Sécurité robusteSécurité robusteServeur RADIUS requisServeur RADIUS requis802.1x EAP certificat 802.1x EAP certificat

numériquenumérique

WPA Pre-Share KeyWPA Pre-Share Key WPA supporté par les WPA supporté par les drivers des cartes drivers des cartes

réseaux, natif sur Win réseaux, natif sur Win XPXP

Bonne sécurité sur petits Bonne sécurité sur petits réseaux ou réseaux sans réseaux ou réseaux sans

serveur RADIUSserveur RADIUSClé partagé manuelleClé partagé manuelle

Filtrage par @MACFiltrage par @MAC

N’autorise que certaines stations à N’autorise que certaines stations à pénétrer dans le réseau pénétrer dans le réseau

Ne résoud pas le problème de Ne résoud pas le problème de confidentialitéconfidentialité

Usurpation très facile suivant la Usurpation très facile suivant la carte :carte :

configuration avancé de la carte / changer @MACconfiguration avancé de la carte / changer @MAC

Chiffrement Chiffrement

WEP WEP (Wireless Equivalent Privacy) (Wireless Equivalent Privacy) :: 128 bits assure un niveau de confidentialité 128 bits assure un niveau de confidentialité

minimumminimum évite de cette façon 90% des risques évite de cette façon 90% des risques

d'intrusiond'intrusion

Chiffrement statiqueChiffrement statiqueNb bitsNb bits Nb Nb caractèrescaractères

6464 1010

128128 2626

152152 3232

WPAWPA

Utilise TKIP (Utilise TKIP (Temporal Key Integrity Temporal Key Integrity ProtocolProtocol) : ) :

s'adapte mieux au matériel existants'adapte mieux au matériel existant

utilise RC4 comme algorithme de utilise RC4 comme algorithme de chiffrementchiffrement

contrôle d'intégrité MICcontrôle d'intégrité MIC

Introduit un mécanisme de gestion des clés Introduit un mécanisme de gestion des clés

(création de clés dynamiques à un intervalle de temps (création de clés dynamiques à un intervalle de temps

prédéfini)prédéfini)

WPA 2 (802.11i)WPA 2 (802.11i) Utilise CCMP (Utilise CCMP (Counter Mode with Cipher Counter Mode with Cipher

Block Chaining Message Authentication Block Chaining Message Authentication Code ProtocolCode Protocol) )

Plus puissant que TKIPPlus puissant que TKIP

Utilise AES comme algorithme de Utilise AES comme algorithme de chiffrement chiffrement

Solution semble se distinguer à long termeSolution semble se distinguer à long terme

Protocole incompatible avec le matériel Protocole incompatible avec le matériel actuelactuel

Principe du chiffrementPrincipe du chiffrement

Principe du Principe du déchiffrementdéchiffrement

Politique de VLANsPolitique de VLANs

Sépare virtuellement les utilisateur de Sépare virtuellement les utilisateur de différents groupes de travail sur un même différents groupes de travail sur un même réseau physiqueréseau physique

Accès restrictif et personnalisé aux ressourcesAccès restrictif et personnalisé aux ressources Sous réseaux hermétiquesSous réseaux hermétiques 1 VLAN = 1 SSID = 1 sous réseau1 VLAN = 1 SSID = 1 sous réseau Possibilité de tout type de VLAN sur le switchPossibilité de tout type de VLAN sur le switch Possibilité d’implémentation des différents Possibilité d’implémentation des différents

types de chiffrement (WEP, WPA, …)types de chiffrement (WEP, WPA, …)

VLAN : Mise en placeVLAN : Mise en place

L’authentificationL’authentification

Solution alternative aux clés de Solution alternative aux clés de chiffrementchiffrement 802.1X802.1X Serveurs RadiusServeurs Radius Tunnels VPNTunnels VPN

Authentification 802.1XAuthentification 802.1X Mécanisme de relais d’authentification de niveau 2 Mécanisme de relais d’authentification de niveau 2 Besoin de s’authentifier dès l’accès physique au Besoin de s’authentifier dès l’accès physique au

réseau (points d’accès WIFI)réseau (points d’accès WIFI) Norme 802.1x développée aussi pour les VLAN Norme 802.1x développée aussi pour les VLAN S’appuie également sur les normes de niveau 2 S’appuie également sur les normes de niveau 2

comme Ethernetcomme Ethernet Phase d’authentification, avant tout autre Phase d’authentification, avant tout autre

mécanisme d’auto-configuration (DHCP, par ex)mécanisme d’auto-configuration (DHCP, par ex) Possibilité d’affectation dynamique des VLAN en Possibilité d’affectation dynamique des VLAN en

fonction des caractéristiques de l’authentification. fonction des caractéristiques de l’authentification. Nécessite l’association à un serveur Nécessite l’association à un serveur

d’authentification (Radius) ou système de clé pré-d’authentification (Radius) ou système de clé pré-partagépartagé

802.1X et Radius802.1X et Radius

802.1X basée sur le protocole EAP (PPP 802.1X basée sur le protocole EAP (PPP Extensible Authentication Protocol) Extensible Authentication Protocol) extension du protocole PPP (défini dans extension du protocole PPP (défini dans la RFC 2284). la RFC 2284).

EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius

Pas une méthode de chiffrement Fournit un mécanisme d’initialisation des

clés

MécanismeMécanisme

Sécurité maximaleSécurité maximale

Possibilité de combiner tous les Possibilité de combiner tous les mécanismes de sécuritémécanismes de sécurité

Filtrage par @MACFiltrage par @MAC Chiffrement (WPA2)Chiffrement (WPA2) Authentification 802.1X + Radius Authentification 802.1X + Radius Implémentation dans des VLANsImplémentation dans des VLANs Linux (!)Linux (!)

Tous les équipements wireless Tous les équipements wireless doivent être compatibles !doivent être compatibles !

VPN (Virtual Private VPN (Virtual Private Network)Network)

Sécuriser les échanges entre différentes entités sur Internet.

Sécuriser les communications d’utilisateurs mobiles.

Simple à mettre en oeuvre, Fiable et difficilement « cassable » Facilement conciliable avec les infrastructures en

place dans les entreprises Complètement transparent pour l’utilisateur Composante nécessaire sur les réseaux WiFi

publics.

VPN (Virtual Private VPN (Virtual Private Network)Network)

Repose sur un Repose sur un protocole de tunnelisationprotocole de tunnelisation Données sécurisées par des algorithmes de Données sécurisées par des algorithmes de

chiffrementchiffrement Mode client-serveurMode client-serveur Différents protocolesDifférents protocoles

PTP (PTP (Point-to-Point Tunneling ProtocolPoint-to-Point Tunneling Protocol) est un protocole de ) est un protocole de niveau 2niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. Telematics.

L2F (L2F (Layer Two ForwardingLayer Two Forwarding) est un protocole de ) est un protocole de niveau 2niveau 2 développé développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète

L2TP (L2TP (Layer Two Tunneling ProtocolLayer Two Tunneling Protocol) est l'aboutissement des travaux ) est l'aboutissement des travaux de l'de l'IETFIETF ( (RFC 2661RFC 2661) pour faire converger les fonctionnalités de ) pour faire converger les fonctionnalités de PPTPPPTP et et L2FL2F. Il s'agit ainsi d'un protocole de . Il s'agit ainsi d'un protocole de niveau 2niveau 2 s'appuyant sur s'appuyant sur PPPPPP. .

IPSecIPSec est un protocole de est un protocole de niveau 3niveau 3, issu des travaux de l', issu des travaux de l'IETFIETF, , permettant de transporter des données chiffrées pour les réseaux IP. permettant de transporter des données chiffrées pour les réseaux IP.

CONCLUSIONCONCLUSION Bien placer les bornes (éviter d’émettre à des Bien placer les bornes (éviter d’émettre à des

endroits inutiles)endroits inutiles) Utiliser des algorithmes de chiffrement efficaces Utiliser des algorithmes de chiffrement efficaces

(WPA) ou changer de clé WEP régulièrement (WPA) ou changer de clé WEP régulièrement Eviter les mots du dictionnaireEviter les mots du dictionnaire éviter les valeurs par défaut éviter les valeurs par défaut

diffusion Broadcast du SSIDdiffusion Broadcast du SSID mot de passe administrateurmot de passe administrateur adresse IP de l’APadresse IP de l’AP serveur DHCP activéserveur DHCP activé

Combiner les différents mécanismes de sécuritéCombiner les différents mécanismes de sécurité

L’avenirL’avenir

802.11n802.11n + de 100 Mb/s, le nouvel Ethernet ?+ de 100 Mb/s, le nouvel Ethernet ?

Un concurent : le Wimax ?Un concurent : le Wimax ? 802.16802.16 Portée : 50 kmPortée : 50 km BF : entre 2 et 11 GHzBF : entre 2 et 11 GHz 70 Mb/s70 Mb/s relais Internet à des zones rurales non relais Internet à des zones rurales non

desservies par les réseaux standards, à la desservies par les réseaux standards, à la manière du satellite manière du satellite