Wlan Esigetel Km 2010 2011

16/12/2010

Wireless Networks

kais.mabrouk@esigetel.fr

2010‐2011

Objectif et déroulement du cours
Présenter les principaux réseaux sans fils:
•Les réseaux personnels : Bluetooth, UWB, Zigbee, etc.
•Les réseaux locaux : WIFI, etc.
Les réseaux locaux : WIFI, etc.
•Les réseaux métropolitains : WiMAX, UMA.

6 Cours
1 TP
1 DS

16/12/2010 K.MABROUK ESIGETEL Wireless Networks 2

1

16/12/2010

Plan

Introduction
802.11
802 11
802.15
802.16
UMA


Introduction: Pourquoi le sans fil?

Réseau traditionnel


2

16/12/2010

Introduction: Pourquoi le sans fil?

• Le sans‐fil! Pourquoi?

– P
Pour faciliter la connexion des utilisateurs
f ilit l i d tili t
itinérants, en particulier dans les espaces
collectifs
– Pour connecter des locaux impossibles ou
trop coûteux à câbler (amiante,
monument historique) [exp: e‐blink]
– Pour mettre en place une connexion
provisoire (travaux, événementiel)
– Pour offrir le service  internet (Cyber…)
– Le sans fil n'est pas destiné à remplacer
Le sans fil n est pas destiné à remplacer
intégralement le câblage filaire (fiabilité,
débit)
Il n’est pas fait pour connecter des
serveurs !


Introduction: Le monde sans fil


3

16/12/2010


Wimax
MBWA

Principales normes des réseaux sans‐fil


Catégories des réseaux sans fil


4

16/12/2010


• Aucune technologie sans fils n’est parfaite :
c’est toujours un équilibre entre différents
facteurs (portée, débit, etc.).

• Augmentation constante des performances
grâce à la recherche .

• Des performances accrues permettront de
nouveaux usages.

Shannon 1949
C=B x log (1+SNR)

• Technologies sans-fil gourmandes en terme de
bande passante

nécessité de partager « judicieusement» ce
média


LES BANDES DE FRÉQUENCES
É


5

16/12/2010

Les bandes de fréquences



Deux groupes sont représentés

• les technologies pour les téléphones portables (de
824 à 2170 MHz)

• les technologies utilisées pour l'informatique.
– pour les WPAN et les WLAN, fonctionnent sur deux bandes :
• la bande ISM (Industrial Scientific Medical) de 2400 à 2500 MHz
• la bande U‐NII (Unlicensed‐National Information Infrastructure) de 5150 à5720
MHz.


6

16/12/2010


• Bande ISM :
‐La bande ISM correspond à trois sous bandes (902‐928 MHz, 2.400‐
2.4835 GHz, 5.725‐5.850 GHz).
‐ la bande de 2.400‐2.4835 GHz, avec une bande passante de 83,5 MHz,
est utilisée par la norme 802.11.
‐ La sous‐bande 2.400‐2.4835 GHz, est fortement utilisée par différents
standards et perturbée par des appareils (four à micro ondes, clavier et
souris sans fil…) fonctionnant dans ces fréquences.

• Bande U‐NII :
La bande U‐NII (5 .15‐5.35 GHz, 5.725‐5.825 GHz) offre une bande
passante totale de 300MHz, chacune utilisant une puissance de signal
différente.




7

16/12/2010

NORMALISATION 802.11


Normalisation 802.11

« Wi‐Fi » est un label d'interopérabilité délivré par la Wi‐Fi
alliance : groupement de constructeurs qui publie des listes
de produits certifiés
d d i ifié
(http://www.wi‐fi.org/)
• 802.11 (1997) : jusqu’à 2 Mb/s
• 802.11 (1999) : Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) Specifications
• 802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz
(supplément à 802.11)
(supplément à 802 11)
• 802.11a (1999) : 54 Mb/s dans la bande des 5 GHz
(supplément à 802.11)
• 802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz
(amendement à 802.11) compatible avec 802.11b


8

16/12/2010

Normalisation 802.11

• 802.11f (2003) : Inter Access Point Protocol (IAPP) gestion de la
mobilité
• 802 11h (2003)
802.11h (2003) : pour l'utilisation de 802.11a en Europe, sélection
l' ili i d 802 11 E él i
dynamique de canal et gestion de la puissance d'émission
• 802.11i (2004) : sécurité
• 802.11e (2005) : qualité de service
• Travaux en cours :
– 802.11k : mesure de la qualité de la liaison radio
– 802.11n : débit > 100 Mb/s
– 802.11r : transfert rapide de connexion entre bornes
802 11r : transfert rapide de connexion entre bornes
– 802.11s : réseaux maillés
• 802.11n (2009) Draft: 270 Mbits/s ou 300 Mbits/s (2,4GHz/5GHz )
(amélioration à 802.11a)


COMPOSANTS ET ARCHITECTURE
802.11


9

16/12/2010

Architectures

Deux possibilités:

– Mode “infrastructure” classique
• Similaire au téléphone cellulaire
• Basé sur des cellules au milieu desquelles se trouve un point d’accès
• En général antenne omnidirectionnelle

– Mode “Ad Hoc” : mode point à point (ordinateur à ordinateur)
p ( g p )
• sans points d’accès (configuration particulière de la carte WIFI)
• Possibilité d’antennes directionnelles pour le mode Ad Hoc


Architecture: Mode infrastructure


10

16/12/2010


• BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent en
communication

• ESS (Extended Service Set):ensemble de BSS interconnectés par un système
de distribution

• DS (Distribution System) : réseau de connexion de points d’accès
– peut être filaire (par exemple Ethernet)
– Sans ‐fil: on parle de WDS (Wireless DS)

• ESSID (ESS Identifier) défini un ESS (32 caractères en ASCII): nom du réseau
– C’est celui qui apparaît dans la liste des réseaux wifi présents (souvent
abrégé SSID)


• Les cellules se recouvrant utilisent des plages de fréquence différentes
• Si les cellules se recouvrent : possibilités de changer de cellule sans perte de
connexion
• Service d’itinérance Roaming
S i d’i i é R i
• Mécanisme pour implémenter ce service: le “handover”(Norme 802.11f)


11

16/12/2010

Architecture: le mode Ad‐Hoc

• Les machines utilisateurs servent de routeurs entre elles
• Infrastructure du réseau dynamique
y q
• On parle de IBSS: Independent Basic Service Set


Architecture: le mode Ad‐Hoc

• Une station peut partager un accès à Internet: le réseau fonctionne
comme un BSS


12

16/12/2010

ARCHITECTURE  EN COUCHES
802.11


Architecture en couches 802.11

• La norme IEEE 802.11 définit les deux premières couches du modèle OSI:
La couche physique et la couche liaison de données
données.
• La couche liaison de données est subdivisée en deux sous‐couches, la
sous‐couche LLC (Logical Link Control) et la couche MAC (Medium Access
Control).


13

16/12/2010

Couche PHY


Couche PHY
Emission / réception radio


14

16/12/2010

Couche PHY: 802.11 FHSS
• FHSS (Frequency Hopping Spread Spectrum)
désigne une technique d'étalement de bande fondée sur le saut de fréquence.
• la bande ISM des 2.4 GHz est divisée en 79 canaux ayant chacun 1 MHz de largeur
de bande.
• Pour transmettre des données, l'émetteur et le récepteur s'accordent sur une
séquence de sauts précise qui sera effectuée sur ces 79 sous canaux.
séquence de sauts précise qui sera effectuée sur ces 79 sous‐canaux.

Exemple: 3 stations
sur 7 intervalles de
temps
Emission simultanée
mais pas sur le même
canal


Couche PHY: 802.11 DSSS

DSSS (Direct Sequence Spread Spectrum)
‐ Technique plus répandu dans la 802.11b
‐14 canaux de 20 MHz
‐La largeur de la bande ISM étant égale à 83 5 MHz il est impossible d'y
La 83.5 MHz,
placer 14 canaux adjacents de 20 MHz.
‐Les canaux se recouvrent donc, comme illustré à la figure suivante.
Fréquence crête espacées de 5MHz
canal 1 = 2,412 GHZ; canal 14 =2,477GHZ

Décomposition de la bande ISM en sous canaux de 20 MHz


15

16/12/2010

Couche PHY: 802.11DSSS

• Canaux recouvrant: inexploitables simultanément
• Interférence entre 2 canaux se recouvrant: au maximum 4 canaux non
recouvrant simultanément


Couche PHY: IEEE.802.11b (WiFi)

• En 1999, une nouvelle couche physique, 802.11b, plus communément
appelée Wi‐Fi, a été ajoutée
• Fonctionnant toujours dans la bande ISM, cette couche physique utilise
une extension du DSSS, appelée HR/DSSS (High Rate DSSS).
• Le HR/DSSS utilise le même système de canaux que le DSSS. Le problème
du choix d'un canal permettant la colocalisation de différents réseaux
reste donc entier.
• Le HR/DSSS possède une meilleure efficacité spectrale que le DSSS et il
permet d'offrir deux débits : 5.5 Mbit/s ou 11 Mbit/s.


16

16/12/2010

Couche PHY: IEEE.802.11b (WiFi)

Débit/porté


Couche PHY: Wi‐Fi5 (IEEE.802.11a)

• Contrairement à Wi‐Fi, Wi‐Fi5 n'utilise pas la bande ISM mais la bande U‐
NII située autour de 5 GHz. Cette bande offre une largeur égale à 300 MHz
(au lieu des 83.5 MHz de la bande ISM).
• La forme d'onde utilisée en IEEE 802.11a est similaire à une norme ETSI
appelée HiperlanII.
• Utilisation d’une approche OFDM
• La norme 802.11a permet d'obtenir un haut débit (54 Mbit/s théoriques).
• La norme 802.11a spécifie 8 canaux radio dans la bande de fréquence des
5 GHz.


17

16/12/2010

Couche PHY: Wi‐Fi5 (IEEE.802.11a)


Couche PHY : IEEE 802.11g


18

16/12/2010

Couche PHY: IEEE 802.11n

• Normalisation en 2009


Couche PHY


19

16/12/2010

Couche PHY : MIMO


Couche PHY


20

16/12/2010

La couche liaison de données


La couche liaison de données: la couche MAC
• la sous‐couche MAC est redéfinie par la norme 802.11 .
• Elle caractérise l'accès au média de façon commune aux différentes
normes 802.11 physiques
• Elle est équivalente à la norme 802 3 Ethernet avec des fonctionnalités
Elle est équivalente à la norme 802.3 Ethernet avec des fonctionnalités
nécessaires aux transmissions radio : la fragmentation, le contrôle d'erreur
(CRC), les retransmissions de paquet et les accusés de réception…
• La couche MAC définit deux méthodes d'accès différentes:
‐DCF(Distributed Coordination Function ) appelée aussi mode d'accès à
compétition
‐ PCF ( Point Coordination Function ) appelée mode d'accès contrôlé.

• La méthode DCF est utilisée par les modes architecturaux Ad‐Hoc et
infrastructure, tandis que la méthode PCF n'est utilisée que par le mode
infrastructure.


21

16/12/2010

DCF( Distributed Coordination Function )

DCF
• méthode d'accès générale pour le transfert de données asynchrones, sans
g p y ,
gestion de priorité
• repose sur le CSMA/CA
Le CSMA/CA
Carrier Sense Multiple Acces/Collision Avoidance

• Accès aléatoire avec écoute de la porteuse: évite plusieurs transmissions
simultanées, réduit le nombre de collisions
• impossible de détecter les collisions: il faut les éviter
impossible de détecter les collisions: il faut les éviter
– écoute du support
– back‐off
– réservation
– trame d'acquittement positif



L‘ écoute du support:
• Couche PHY: Physical Carrier Sense (PCS)
Couche PHY: Physical Carrier Sense
– détecte et analyse les trames
– fait appel au PLCP (Physical Layer Convergence Protocol)
• Couche MAC: Virtual Carrier Sense (VCS)
– réserve le support via le PCS
– deux types de mécanismes:
• réservation par trames RTS/CTS
réservation par trames RTS/CTS
• utilisation d'un timer (NAV: Network Allocation Vector) calculé par
toutes les stations à l‘écoute
– utilisation optionnelle: trames RTS/CTS à 1Mbits/s, font
chuter le débit moyen de 11Mbits/s à 6Mbits/s.
Request to Send and Clear to Send


22

16/12/2010


• Le back‐off
– Fenêtre de contention CW et un timer Tb k ff= random (0 CW) x timeslot
Fenêtre de contention CW, et un timer backoff random (0,CW) x timeslot



L’ accès au support
• Mécanisme d’espacement entre deux trames: IFS
• 4 types d’Inter‐Frame Spacing:
– SIFS: Short IFS: sépare les différentes trames d’un même dialogue (données et ACK, RTS et CTS, différents fragment
d’une trame segmentée, trame de polling en mode PCF )
– PIFS: PCF IFS = SIFS + 1 timeslot: accès prioritaire, mode PCF
– DIFS: DCF IFS = SIFS +2 timeslots: mode DCF
– EIFS: Extended IFS: le plus long, uniquement en mode DCF, lorsqu’une trame de donnée est erronée attente de
l’acquittement


23

16/12/2010



• Exemple de transmission


24

16/12/2010

PCF ( Point Coordination Function )

Durée définie par
L’AP

Network Allocation Vector DTIM: Delivery Traffic Indication Message


La couche liaison de données: la couche LLC

• Définie par le standard IEEE802.2
• Permet une compatibilité avec n'importe quel autre réseau 802.x
p p q


25

16/12/2010

TRAME 802.11


Trame 802.11

• La norme 802. 11 dispose de 3 types de trames:
–T
Trame de gestion(MMPDU: MAC Management
d i (MMPDU MAC M
Protocol Data Unit)
• Permet de créer :
– l’architecture du réseau (accrochage d’une station à un point
d’accès, authentification, publication des fonctions supportés
dans le réseaux et des vitesses de transmissions)
– Trame de contrôle
Trame de contrôle
• Gestion de l’accès au medium de communication
– Trame de donnée (MSDU: MAC  Service Data Unit)
• Porte l’information échangée (Payload)


26

16/12/2010

Trame de Gestion

Il existe quatre familles (‘types ’) de trames de gestion :

• Trames liées aux fonctions d’association‐désassociation

• Trames d’interrogation du voisinage radio

• Trames liées aux fonctions d’authentification

• Trames balises, utilisées par le point d’accès pour diffuser des
informations dans le BSS, gestion du mode économie d’énergie grâce aux
balises TIM et DTIM.


Trame de Contrôle

• Les trames de contrôle permettent l’accès au support et ont pour
fonction d’envoyer les commandes et informations de supervision
aux éléments du réseau.
aux éléments du réseau

Trames principales :

• RTS (Request to send) est utilisé pour réclamer le droit de
transmettre une trame de données.

• CTS (Clear To Send) correspond à la réservation du canal pour
CTS (Clear To Send) correspond à la réservation du canal pour
émettre une trame de données

• ACK permet l’acquittement des trames de données


27

16/12/2010

Format général de trame 802.11

Structure de la trame MAC

Addr 1 Addr 2 Addr 3 Addr 4 MAC payload CRC
(optional)

Champ de durée (contient Numéro de séquence
la valeur du NAV )
Network Allocation Vector
Network Allocation Vector
Un byte (8 bits)
Champ de contrôle (type de trame & different bits de flag)


Trame de contrôle

Contenue de champ de contrôle

un bit
un bit
Protocol Type … Subt. of frame 1 2 3 4 5 6 7 8

Protocol: Indique IEEE 802.11 MAC
Type: 00 (Management frames)
01 (Control frames)
10 (Data frames)

Subtype of frame: Décrit le type de gestion, contrôle, ou donnée de
trame avec plus de détails (exp. ACK => 1101)


28

16/12/2010

Trame 802.11

Flags dans le champ de contrôle

1 bit
1 bit
Protocol Type … Subt. of frame 1 2 3 4 5 6 7 8

1: Bit is set if frame is sent to AP
2: Bit is set if frame is sent from AP
3: Used in fragmentation
4: Bit is set if frame is retransmitted
5: Power management bit (power saving operation)
g (p g p )
6: More data bit (power‐saving operation)
7: Bit is set if WEP is used
8: Strict ordering of frames is required


Trame 802.11

Utilisation des champs d’adresses dans la trame MAC

Addr 1 Addr 2 Addr 3 Addr 4

Adresse 1: Récepteur (Wireless station ou AP)
Adresse 2: Emetteur (Wireless station ou AP)
Adresse 3: Principale source/destination (routeur dans le DS)
Adresse 3: Principale source/destination (routeur dans le DS)
Adresse 4: Seulement utilisée dans des solutions de ”Wireless Bridge”

LAN AP AP LAN


29

16/12/2010

Trame 802.11

Direction: AP => wireless station

Addr 1 Addr 2 Addr 3

Addr 1: Recepteur (wireless station)
Addr 2: Transmetteur= BSSID (AP) Routeur
Addr 3: source principale (routeur) 3
2

BSSID: MAC address of AP AP
SSID:Nom Alphanumeric de l’ AP (or BSS)
1


FONCTIONNALITÉS
É


30

16/12/2010

Fonctionnalités

1. Fragmentation et réassemblage
2. Variation du débit
3. Gestion de la mobilité
4. Economie d'énergie
5. Qualité de service


Fragmentation et réassemblage


31

16/12/2010

Mécanisme d'émission d'une trame fragmentée


Emission d'une trame fragmentée avec réservation du support


32

16/12/2010



Variation du débit


33

16/12/2010

Variation du débit


Gestion de la mobilité


34

16/12/2010





35

16/12/2010





36

16/12/2010



Économie d’énergie


37

16/12/2010

Qualité de service
• Qualité de service?

• Les 3 axes principaux  de la QoS sont:

• En effet le but de le la QoS sont:
En effet, le but de le la QoS

– Optimiser les ressources du réseau
– Garantir un degré de performances aux applications
– Offrir aux utilisateurs des débits importants et des temps de réponse rapides


Qualité de service
Gestion des priorités: accès EDCF (Extendend DCF)
• Méthode PCF jamais utilisée car technique non adoptée par les constructeurs.
• EDCF: évolution du DCF introduite dans IEEE802.11e
• Accès au support selon le niveau de priorité de la trame
• 8 niveau de priorité: 8 files d’attente de transmission
• Mécanisme TxOP : Transmissions opportunities


38

16/12/2010

Qualité de service


Qualité de service


39

16/12/2010

SÉCURITÉ
É É


Sécurité
Risques liés aux réseaux sans fil
• Média partagé => les écoutes sont possibles
• Pas de limite franche ni visible au delà de laquelle la
Pas de limite franche ni visible au delà de laquelle la
réception est impossible, donc en l'absence de
mécanismes appropriés n'importe qui peut :
– écouter le réseau
– se connecter au réseau
• Le signal peut être brouillé par une source extérieure
• Les mêmes risques existent sur un réseau filaire mais il
faut pouvoir accéder au matériel réseau (prises, câbles...)


40

16/12/2010

Sécurité
Historique et terminologie

• 1999 : WEP (802.11)
• 2001 : 802 1X
2001 : 802.1X
=> authentification 802.1X + chiffrement WEP dynamique
=> Il permet de contrôler l'accès aux équipements
d'infrastructures réseau
• 2003 : WPA (Wi‐Fi Protected Access) :
spécification publiée par la Wi‐Fi Alliance, et reprenant une bonne partie
du draft 3.0 de 802.11i en attendant la ratification de la norme
du draft 3 0 de 802 11i en attendant la ratification de la norme
• 2004 : 802.11i Amd n°6 MAC Security
Enhancements
• WPA2 : label de la Wi‐Fi Alliance pour 802.11i


Sécurité
WEP
• Wireless Equivalent Privacy
• Intégré à la norme 802 11 de 1999
Intégré à la norme 802.11 de 1999
• Principes :
– clé secrète (40 ou 104 bits) partagée par toutes les stations
– authentification par défi / réponse
– confidentialité par chiffrement symétrique
• Problèmes et limitations
– la clé peut être découverte par simple écoute du réseau
avec des logiciels du domaine public (AirSnort, Aircrack…)
– pas de mécanisme de distribution des clés


41

16/12/2010

Sécurité
802.1X + WEP dynamique

• 802.1X permet une authentification « sérieuse » des
utilisateurs avant connexion au réseau
• Les clés sont générées à l’aide de protocoles de chiffrement
et distribuées sous forme chiffrée sur le réseau sans fil
• Une clé WEP par utilisateur et par session
• Clé commune pour les trames multicast
• Renouvelée suffisamment souvent dans le courant de la
session pour qu’elle ne puisse pas être découverte (~
quelques minutes)
quelques minutes)
• Avantages :
– empêche la découverte des clés
– distribution automatique des clés


Sécurité
802.1 X
Port‐Based Network Access Control (2001, révision 2004)
• Protocole permettant de n'autoriser l'accès à un port réseau
qu'après authentification
' è h ifi i
• Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802
• port réseau =  port de commutateur (802.3)
association (802.11)
• Composants :
– système à authentifier (supplicant ) : qui demande l'accès au réseau
– système authentifiant ou relais d’authentification (authenticator ) :
• contrôle l’accès au réseau
t ôl l’ è é
• ne fait que relayer les échanges d’authentification avec le serveur
– serveur d'authentification : détermine si le système à authentifier est
autorisé à accéder au(x) service(s) dont l'accès est contrôlé par le
relais


42

16/12/2010

Sécurité
802.1X : port contrôlé et port non contrôlé


Sécurité
802.1X : authentification


43

16/12/2010

Sécurité
EAP
• EAP : Extended Authentication Protocol (RFC 2284 puis
3748)
– développé à l'origine pour l’authentification des
utilisateurs se connectant en PPP sur des serveurs d’accès
distants

– permet d'encapsuler différents protocoles
d'authentification et donc de ne pas les implémenter dans
le serveur RAS, qui les relaie vers un serveur
d'authentification

– l'authentification elle‐même repose sur des « méthodes »
(protocoles) définies par ailleurs et encapsulées dans EAP


Sécurité
Méthodes EAP
• LEAP, TLS, TTLS, PEAP, EAP‐FAST
• LEAP (Lighweight EAP)
– Propriété Cisco
– Authentification mutuelle du client et du serveur par MS‐CHAPv1
– Clés dynamiques dérivées des échanges MS‐CHAP
– Problèmes de sécurité liés à l’utilisation de MS‐CHAPv1 => obsolète
• TLS
– RFC 2716
– Authentification mutuelle du client et du serveur par certificats X.509
– Permet de dériver des clés de chiffrement
Permet de dériver des clés de chiffrement
– Méthode d’authentification de facto pour 802.11i


44

16/12/2010

Sécurité
Méthodes EAP
• TTLS
– draft‐ietf‐pppext‐eap‐ttls‐05
– Authentification du serveur par certificat X.509
– Utilisation du tunnel chiffré TLS pour faire passer un autre protocole
d’authentification: PAP, CHAP, MD5, MS‐CHAP…
– authentification interne par AVP (paires attribut‐valeur)
• PEAP (Protected EAP)
– ≈ TTLS
– Utilisation du tunnel chiffré TLS pour faire passer un autre échange
EAP (EAP over EAP)
• Avantage / TLS : possibilité de réutiliser les systèmes
d’authentification existants (annuaire LDAP par exemple)
• EAP‐FAST (Cisco) : fait pour accélérer la réauthentification lors d’un
handover


Sécurité
802.1X : protocoles


45

16/12/2010

Sécurité
802.1X : EAPoL

• définition EAPoL : EAP over LAN
encapsulation des paquets EAP sur les réseaux 802
encapsulation des paquets EAP sur les réseaux 802
– champ Type Ethernet = 0x888E
• 4 types de message :
– EAP‐Start : envoyé au PA par la station qui veut démarrer
l’authentification
– EAP‐Logoff : envoyé par la station, le port est remis dans
l’état non autorisé par le PA
l’état non autorisé par le PA
– EAP‐Packet : transporte les informations d’authentification
– EAP‐Key : pour transmettre une clé entre le PA et la station


Sécurité
RADIUS
• Remote Authentication Dial In User Service
• originellement (RFC 2138 ‐> 2865) défini pour le transport d’informations
g ( ) p p
d’authentification et de configuration entre un serveur d’accès distant et
un serveur d’authentification


46

16/12/2010

Sécurité
RADIUS
• Utilise le port UDP 1812
• repose sur un secret partagé entre le serveur et le client (ici le point
d’accès)
d’ è )
• Les messages EAP sont encapsulés dans 4 types de trames :
– messages point d’accès ‐> serveur : Access Request
– messages serveur ‐> point d’accès relayés vers la station : Access
Challenge
– messages serveur ‐> point d’accès indiquant que l’authentification a
réussi : Access Accept
– messages serveur ‐> point d’accès indiquant que l’ authentification a
échoué : Access Reject
é h é
• RADIUS ‐> DIAMETER (RFC 3588 9/2003)
– site officiel & logiciel open source
– http://www.opendiameter.org


Sécurité

802.1X : dialogue EAP


47

16/12/2010

Sécurité

802.1X : dialogue EAP‐ authentification
• 4 types de paquets EAP :
Request, Response, Success, Failure
q p


Sécurité
WPA et 802.11i

• Reposent également sur l’authentification 802.1X
• Deux modes :
– « personnel » pour environnements SOHO
– « entreprise » pour les structures plus importantes
• Gestion et distribution des clés
• Deux nouveaux mécanismes de chiffrement :
Deux nouveaux mécanismes de chiffrement :
– TKIP Temporal Key Integrity Protocol (WPA)
– CCMP (Chaining Message Authentication Code Protocol) (802.11i)


48

16/12/2010

Sécurité
WPA/802.11i : principe

• Authentification de la station par le serveur
d’authentification avant que le point d’accès ne lui accorde
l’accès au réseau
l’ è é
=> dérivation d’une clé maîtresse connue du serveur et du
client (et d’eux seuls)
• clé maîtresse => dérivation d’une clé maîtresse « pair à pair
» (PMK: Opportunistic Pairwise Master Key)
– par la station
– fournie par le serveur au point d’accès
p p
• PMK => dérivation des clés de session (unicast, multicast)
• Authentification du serveur par la station
– important dans l’environnement sans fil (points d’accès
sauvages)


Sécurité
WPA/802.11i : fonctionnement


49

16/12/2010

Sécurité
WPA/802.11i : phase 1
• Mode d’authentification = ouvert
• Le point d’accès annonce les politiques de sécurité
Le point d accès annonce les politiques de sécurité
supportées dans les trames Beacon et Probe Response
• RSNA : Robust Security Network Association
• Ajout d’un champ RSN IE (Information Element) dans
les trames Beacon, Probe Response, Association
Request/Response
• Le champ RSN IE décrit :
p
– le type de chiffrement du trafic unicast et multicast :
• WEP‐40, WEP‐104, TKIP, CCMP (défaut)
– la méthode d’authentification et de gestion des clés :
• 802.1X (défaut), clé pré‐partagée


Sécurité
WPA/802.11i : phase 1


50

16/12/2010

Sécurité
WPA/802.11i : phase 2 et 3


Sécurité
WPA/802.11i : phase 2 et 3

Génération des clés (suite) :
• procédure dite 4‐way handshake : échange de
4 messages EAPoL‐Key qui permettent de:
– s’assurer que le client détient bien la PMK
– de dériver un ensemble de clés de chiffrement et
g
d’intégrité
• à partir de la PMK, des adresses MAC du client et du
point d’accès de deux nombres aléatoires
• de chiffrer le transport de la clé de groupe

51

16/12/2010

Sécurité
WPA/802.11i : mode « personnel »
• destiné aux réseaux Adhoc et réseaux personnels
(à domicile)
(à domicile)
• même mécanisme de découverte de la politique
de sécurité
• pas d’authentification 802.1X
• clé pré‐partagée est dérivée d’un mot de passe et
sert directement de PMK
sert directement de PMK
• même procédure de 4‐way handshake
• mêmes techniques de chiffrement : TKIP CCMP


Sécurité
TKIP
• Temporal Key Integrity Protocol
• Amélioration de WEP
• Chiffrement RC4 (pour pouvoir utiliser les mêmes puces)
• Clé de chiffrement des trames est dérivée d’une clé
maîtresse (<> WEP où la clé maîtresse chiffre directement
les trames)
• Une clé différente pour chaque trame
• Ajout d’un numéro de séquence pour contrer les attaques
par rejeu
par rejeu (« replay attaque »)
• Ajout d’une séquence de contrôle d’intégrité (y compris sur
adresse source)


52

16/12/2010

Sécurité
802.11i : nouveautés par rapport à WPA

• Chiffrement CCMP
– Counter Mode with CBC‐MAC Protocol
– Sans souci de compatibilité avec WEP => nouvelles
puces
– Chiffrement AES
• Pré‐authentification (pour le handover)
Pré authentification (pour le handover)


ARCHITECTURE DE RÉSEAU
É


53

16/12/2010

Architecture de réseau
Avant de commencer
• Spécifications du projet : un réseau sans fil…
• où ça ?
– dans des zones précises : bibliothèque cafétéria
dans des zones précises : bibliothèque, cafétéria…
– dans l’ensemble du/des bâtiments
– et aussi dans le parc ?
• pour qui ? nombre et type d’utilisateurs
– personnel permanent
– invités (ayant à travailler avec le labo)
– gens de passage : colloques, formations…
• pour quoi faire ?
– au minimum : offrir un accès internet
– un peu plus : accès à une imprimante locale
– au maximum : accès à l’ensemble des ressources du réseau
è à l’ bl d d é
– En général, tout ça en même temps pour différentes catégories d’utilisateurs
• avec quels équipements ?
– type de plate‐forme : matériel, système d’exploitation


réseau sans fil isolé du réseau filaire


54

16/12/2010

réseau sans fil isolé du réseau filaire

DMZ: demilitarized zone
Pare‐feu


Réseau sans‐fil isolé du réseau filaire


55

16/12/2010

• accès aux équipements actifs :
– autorisé depuis le réseau filaire
p
– interdit depuis le réseau sans fil
• accès autorisés du réseau sans fil vers le réseau filaire :
– au serveur DHCP
– aux serveurs DNS
– aux services publics (web etc.)
– aux services accessibles sur authentification : HTTPS,
IMAPS, SMTPS, SSH… (pour les utilisateurs internes)
• accès du sans fil vers le reste de l’internet
– peut être limité à certains ports (sans être trop restrictif)
– empêcher les connexions entrantes




56

16/12/2010

Réseau sans‐fil isolé du réseau filaire + VPN
• Solution (presque) idéale pour les petites structures
• Inconvénient (de taille) : absence de contrôle d’accès au
( )
réseau sans fil
– risque dépendant de l’environnement
– possibilité d’utilisation illicite des réseaux
– responsabilité vis‐à‐vis d’Internet en général
• Améliorations possibles :
– WEP
• ≈ réseau ouvert
réseau ouvert
• mais personne ne peut s’y connecter par hasard
– panneau « Accès réservé »
• OK pour une petite structure (quelques bornes), au‐delà problème de
gestion des clés


Réseau sans‐fil isolé du réseau filaire + VPN
• Améliorations possibles (suite):
– contrôle d’accès par adresse MAC
p
• peut être local à la borne
• ou centralisé sur un serveur RADIUS
• Mise en œuvre avec un serveur RADIUS :
– Le PA envoie une requête Access‐Request avec :
User‐Name et User‐Password : adresse MAC de la station
– Fichier users :
00904b1d9fd8 Auth‐Type:=Local,
00904b1d9fd8 A h T L l
User‐Password ="00904b1d9fd8"
Avantage de ces solutions : fonctionnent avec tous les
clients


57

16/12/2010


PORTAIL WEB D’ACCÈS
È


Portail web d’accès
• « portail captif »
• Logiciels libres :
– NoCat (http://nocat.net/)
– NoCatAuth : version originale en Perl
– NoCatSplash : portage en C
– M0n0wall (http://m0n0 ch/wall/)
M0n0wall (http://m0n0.ch/wall/)
– talweg (http://sourcesup.cru.fr/talweg/)


58

16/12/2010

Portail web d’accès: fonctionnement


Portail web d’accès: fonctionnement
• L’autorisation d’accès au réseau se fait par modification des
règles de filtrage
• Fin d’autorisation d’accès ?
– bouton « déconnexion » : pas forcément utilisé
– par requêtes ARP ou ICMP périodiques
• Protection des échanges
– les données d’authentification doivent être échangées en
HTTPS
– le reste du trafic n’est pas protégé => recommandations aux
p p g
utilisateurs
• Solution satisfaisante
– pour l’accueil des visiteurs
– parce qu’elle fonctionne avec tous les clients


59

16/12/2010


AFFECTATION DYNAMIQUE DE
VLAN


Affectation dynamique de VLAN
• La séparation réseau sans fil / réseau filaire
– a été imposée par des contraintes de sécurité
– compte tenu des fonctionnalités des premiers matériels

• Aujourd’hui les réseaux filaires sont segmentés en VLAN
– permet d’attribuer des droits différents à des groupes
d’utilisateurs différents
– avec les limites du VLAN par port (VLAN visiteur )

• Affectation dynamique de VLAN
– prolonger la structure du réseau filaire sur le réseau sans fil
– avec des mécanismes adaptés aux réseaux sans fil


60

16/12/2010



• Repose sur l’authentification 802.1X

• le numéro de VLAN est transmis par le serveur RADIUS au point d accès dans le
le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le
message Access‐Accept

Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802 (6)
Tunnel-Private-Group-ID=<numéro de VLAN>

• Fonctionne sur le filaire comme sur le sans fil :

– un commutateur Ethernet affecte le port auquel est connecté le client dans le VLAN retourné
p
par le serveur RADIUS
– un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN correspondant à
l’utilisateur

• Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès
(nomadisme sur un campus)


61

16/12/2010



• On peut avoir des fonctionnalités ~ équivalentes
à celles des V AN filaires sur le sans fil à deux
à celles des VLAN filaires sur le sans fil à deux
conditions :

– un BSSID par VLAN : une station ne traite les trames
adressées à des adresses de groupe que si le BSSID est
celui du PA auquel elle est associée

– clés de groupe différentes pour chaque groupe
d’utilisateurs : pour que les trames ne puissent pas
être déchiffrées par toutes les stations


62

16/12/2010


POINTS D’ACCÈS VIRTUELS
È


Points d’accès virtuels

• Chaque PA peut émettre plusieurs SSID
• A chacun de ces SSID est associé :
A chacun de ces SSID est associé :
– un VLAN sur le réseau filaire
– une méthode et un serveur d’authentification
• Permet de gérer plusieurs réseaux
administrativement distincts sur la même
infrastructure
• Permet d’avoir un BSSID par VLAN
d’ i SS
• Possibilité d’affecter ensuite dynamiquement le
VLAN en 802.1X


63

16/12/2010

Points d’accès virtuels



COMMUTATEURS SANS FIL


64

16/12/2010

Commutateur sans fil

• Aussi appelé « contrôleur »
• Constructeurs (historiques) : Symbol, Trapeze, Aruba,
( q ) y , p , ,
Airespace (racheté par Cisco)
• Boîtier spécialisé placé en coupure (logique) entre le réseau
filaire et le réseau sans fil
• Un certain nombre de fonctions habituellement gérées
dans les points d’accès sont déportées sur le commutateur
– authentification
– association
– chiffrement
– interconnexion avec le réseau filaire
=> notion de point d’accès « léger »



• Fonctionnement : établissement d’un tunnel (niveau 2 ou
3) entre chaque point d’accès et le commutateur
• La communication entre le PA et le commutateur repose
sur un protocole que chaque constructeur essaie de
normaliser à l’IETF
– LWAPP (Airespace/Cisco)
– CAPWAP
– SLAPP (Trapeze, Aruba)
• Solutions propriétaires :
p p
– fonctionnent avec les points d’accès fournis par le constructeur
– même si acceptent généralement les PA d’autres constructeurs
– perte de la plupart des fonctionnalités intéressantes


65

16/12/2010

Niveau physique


Niveau logique


66

16/12/2010

Gestion de la radio
• Ajustement dynamique de la puissance et du canal de
chaque point d’accès
autocalibration du réseau radio

• Les points d’accès peuvent ou non fonctionner
simultanément en mode sonde
– Détection des interférences
– Détection / neutralisation des points d’accès sauvages

• Détection des réseaux ad hoc
– Détection d’attaques 802.11 classiques
– Localisation géographique des points d’accès et des clients


Gestion de la radio

• Gestion de la bande passante par utilisateur(s), par
application, par VLAN
application par VLAN
• Possibilité d’interdire les communications directes
entre clients
• Equilibrage de charge entre points d’accès adjacents
• Possibilité d’affecter des priorités aux différents flux
• Gestion de la mobilité


67

16/12/2010

Authentification et contrôle d’accès
• Portail
• 802.1X, EAP, TLS, TTLS…
802 1X EAP TLS TTLS
• VPN IPsec et SSL
• Base interne / externe (LDAP, AD…)
• Fonctions de contrôle d’accès + ou ‐
sophistiquées :
– filtrage IP
g
– pare‐feu stateful
– par utilisateur, groupe d’utilisateurs, VLAN
• Système de détection d’intrusion embarqué



• Gestion centralisée des points d’accès
– configurations
fi ti
– mises à jour logicielles
• Détection et configuration automatique des
points d’accès
• Tableau de bord, statistiques (par station, par
point d’accès, globales…)
• Plan de site avec localisation des points
d’accès


68

16/12/2010


PASSERELLE DE SÉCURITÉ
É É


Passerelle de sécurité

• Constructeur : exemple Ucopia
• Boîtier spécialisé placé en coupure (logique)
Boîtier spécialisé placé en coupure (logique)
entre le réseau filaire et le réseau sans fil
• solution non spécifique aux réseaux sans fil
– fonctionne avec tous les PA
– Commutateur sans fil traite les trames 802.11 émises
par les stations
– Passerelle traite les trames 802 3 émises par les points
Passerelle traite les trames 802.3 émises par les points
d’accès
• agrégat de fonctions permettant de gérer les
utilisateurs mobiles, visiteurs…


69

16/12/2010

Passerelle : exemple Ucopia
• logiciel sur PC/Linux équipé de 2 interfaces
réseau, intégrant un certain nombre de briques
de logiciels libres se place en coupure de réseau
– physique ou logique
• possibilité d’avoir plusieurs SSID par bornes (si
elles le supportent) et d’y associer des méthodes
d’authentification différentes
• chaque SSID est associé à un VLAN en sortie de la
chaque SSID est associé à un VLAN en sortie de la
borne
• VLAN peut être redéfini en fonction du profil de
l’utilisateur en sortie de la passerelle


Passerelle : exemple Ucopia


70

16/12/2010

Passerelle Ucopia : authentification et contrôle d’accès
• Authentification
– par nom d’utilisateur et mot de passe en HTTPS
– 802.1X / EAP‐TLS, TTLS, PEAP
– par carte à puce (EAP‐SHA1, développement propre)
– serveur RADIUS embarqué (peut être configuré en proxy vers un
autre serveur RADIUS)
• Contrôle d’accès
– fonction du profil de l’utilisateur
– par mise en place de filtres correspondant au profil de
p p p p
l’utilisateur sur le contrôleur pour la durée de la connexion
(iptables)
– possibilité d’affecter un VLAN en fonction du profil de
l’utilisateur en sortie du contrôleur


Passerelle Ucopia

• Serveur VPN IPsec (FreeS/WAN)
• « Zéro configuration » reconnaissance et
« Zéro configuration » : reconnaissance et
redirection de certains flux
– SMTP ‐> serveur de messagerie local
– HTTP
– impression : par l’intermédiaire du serveur
p
d’impression embarquéq
• Gestion des points d’accès : par SNMP
– configuration
– stockage et traitement des logs


71

16/12/2010

DÉPLOIEMENT DU RÉSEAU RADIO
É É


Déploiement du réseau radio

• Une onde électro‐ magnétique se propage en ligne droite,  à une
vitesse c=3 108m/s dans le vide.

• Dans tout autre milieu elle peut être:
– Réfractée
– Réfléchie
– Diffractée
– Absorbée
• Une onde électromagnétique est absorbée par un circuit qui
résonne à sa fréquence: plomb, nos os, O2, l atmosphère, H2O, la
résonne à sa fréquence: plomb nos os O l’ atmosphère H O la
pluie, le maillage de bêton armé.

• Elle interfère avec toute autre onde de fréquence proche
battement spatial et temporel.


72

16/12/2010

Propriétés des milieux

• L'affaiblissement de la puissance du signal est en grande partie dûe aux propriétés
des milieux traversés par l'onde.
• Voici un tableau donnant les niveaux d'atténuation pour différents matériaux :


• Interférences

• Plus la distance entre un AP et un obstacle est petite
plus :
plus :
– Zone d’interférence est grande
– Zone de diffraction est difforme
Problématique d’éclairage


73

16/12/2010





74

16/12/2010





75

16/12/2010





76

16/12/2010

802.3af
Power Over Ethernet (PoE)
• permet de fournir une puissance inférieure à 15
W sous 48 V en courant continu sur le câble
W sous 48 V en courant continu sur le câble
Ethernet
• transporté
– soit sur les deux paires qui transportent les données
(1‐2 et 3‐6)
– soit sur les deux paires inutilisées (4‐5 et 7‐8)
p ( )
• L’alimentation peut être fournie :
– soit par le commutateur Ethernet
– soit par un injecteur


802.3af


77

16/12/2010

Outils

• Analyseur de spectre
• Scanner actif
– Netstumbler (Windows) :
http://www.netstumbler.com/
– iStumbler (Mac OS X) : http://istumbler.net/


Outils

• Scanners passifs et analyseurs fonctionnent sur une carte
réseau en mode RFMON
– permet de capturer tous les paquets 802.11
– ≈ mode « promiscuous » pour une carte Ethernet
– RFMON = mode écoute seulement (<> Ethernet)
• Kismet : http://www.kismetwireless.net/
– Linux
– détection des points d’accès
– capture du trafic
capture du trafic
• WiFiScanner :
http://www.hsc.fr/ressources/outils/wifiscanner/
• Ethereal sous Linux (pas de mode RFMON sous Windows)


78

16/12/2010

WPAN IEEE 802.15


Introduction

• Les WPAN (Wireless Personal Area Network) regroupent des équipements contrôlés par un
seul utilisateur
• Communication sur de faibles distances ( une dizaine de mètres)
Communication sur de faibles distances ( une dizaine de mètres)
• La norme 802.15 définit les PAN sans fil appelé WPAN (Wireless PAN) dont les technologies
sont le Bluetooth, les normes IEEE 802.15.3 (WPAN haut débit) et IEEE 802.15.4 (WPAN faible
débit, Zig‐Bee)


79

16/12/2010

WPAN IEEE 802.15

BLUETOOTH


Bluetooth: Introduction

• Norme mondiale de connectivité sans fil
pour des usages à très courte portée à la maison ou au bureau.

• Les dispositifs à la norme Bluetooth peuvent
communiquer les uns avec les autres, sans être ancré à un réseau.

• C’est un protocole de réseau s’organisant lui‐même. Les utilisateurs
peuvent s’y joindre et en sortir de façon aléatoire.

• Il a été mis en place par un consortium de plus de 900 entreprises
(SIG = Special Interest Group IG, il a été créé en mai 1998 par
Ericsson, IBM, Intel, Nokia et Toshiba pour développer un standard
de connectivité sans fil) afin d’inter‐relier de petits dispositifs
électroniques en étroite proximité.


80

Wlan Esigetel Km 2010 2011

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (17)

En vedette

En vedette (10)

Similaire à Wlan Esigetel Km 2010 2011

Similaire à Wlan Esigetel Km 2010 2011 (20)

Wlan Esigetel Km 2010 2011