Administration d`un réseau WIFI

Download Report

Transcript Administration d`un réseau WIFI 

Administration d’un réseau WIFI
BARBIER - GUEGAN
Le réseau sans fil WIFI

Système de communication sans fil


Couvre l'équivalent d'un réseau local d'entreprise



Mise en place des réseaux informatiques hertziens
Portée d'environ une centaine de mètres
Standard international (Wireless Fidelity) 802.11
Protocole robuste, multiples fonctionnalités



Minimiser les interférences
Maximaliser la bande passante sur les canaux
Peut travailler de manière transparente avec l’Ethernet

à travers un pont, ou un point d’accès, de manière à ce que tous les
éléments avec et sans fils puissent interagir.
PLAN

Caractéristiques du WIFI

Le WLAN

Le fonctionnement

La sécurité
Conclusion
Différentes normes : IEEE 802.11
Norme
Fréquence Débit
802.11a 5 GHz
802.11b 2.4 GHz
802.11g 2.4 GHz
portée
54 Mbit/s 10 m
11 Mbit/s 100 m
54 Mbit/s 100 m
802.11a non compatible avec 802.11b/g
 Nécessité d’une carte dual band
modulation
Nb canaux
OFDM 8
DQPSK 3
OFDM 13
LAN sans fil = WLAN

Deux éléments



BSSID (Basic Service Set Identification)


AP (Access Point) ou autre équipement
commutateur ou routeur
Station mobile équipé d’une interface sans fil
Adresse du point d’accès
Toutes les communications au sein d’un
BSSID passent par l’AP
Le fonctionnement
Deux modes opératoires :
 Mode infrastrucuture : clients sans fil
connectés à un point d'accès (mode par défaut
des cartes WIFI)
 Mode ad hoc : clients connectés les uns aux
autres sans points d'accès

Le manque de sécurité du sans-fil

Ondes radio-électriques



Capacité à se propager dans toutes les direction
Difficulté à confiner les émissions dans un périmètre restreint
Facilité « d’écoute » du réseau




L’interception de données
Le détournement de connexion (accès à un réseau local ou à
Internet)
Le brouillage des transmissions (émission de signaux générant
des interférences)
Les dénis de service (surcharge des réseaux)
La sécurité
Mécanisme de
sécurité
Client
Considération
WEP
Supporté par les clients
802.11b/g
Fournit une sécurité faible
avec une clé partagée manuelle
WEP sur 802.1x
802.1x supporté par les
clients, natif Win XP
Fournit une clé dynamique
Requiert un serveur RADIUS
802.1x EAP requiert un certificat
numérique pour clients et serveur
Filtrage adresse MAC
Utilise les adresse MAC des
Clients sans-fil
Fournit une authentification faible,
peut être combiné avec d’autres
méthodes
(option : serveur RADIUS)
WPA
WPA supporté par les
drivers des cartes réseaux,
natif sur Win XP
Sécurité robuste
Serveur RADIUS requis
802.1x EAP certificat numérique
WPA Pre-Share Key
WPA supporté par les
drivers des cartes réseaux,
natif sur Win XP
Bonne sécurité sur petits réseaux ou
réseaux sans serveur RADIUS
Clé partagé manuelle
Filtrage par @MAC

N’autorise que certaines stations à pénétrer dans
le réseau
 Ne résoud pas le problème de confidentialité
 Usurpation très facile suivant la carte :
configuration avancé de la carte / changer @MAC
Chiffrement
WEP (Wireless Equivalent Privacy) :

128 bits assure un niveau de confidentialité minimum

évite de cette façon 90% des risques d'intrusion
Chiffrement statique
Nb bits
Nb caractères
64
10
128
26
152
32
WPA

Utilise TKIP (Temporal Key Integrity Protocol) :
 s'adapte mieux au matériel existant
 utilise RC4 comme algorithme de chiffrement
 contrôle d'intégrité MIC
 Introduit un mécanisme de gestion des clés
(création de clés dynamiques à un intervalle de temps prédéfini)
WPA 2 (802.11i)

Utilise CCMP (Counter Mode with Cipher Block
Chaining Message Authentication Code Protocol)
 Plus puissant que TKIP
 Utilise AES comme algorithme de chiffrement
 Solution semble se distinguer à long terme
 Protocole incompatible avec le matériel actuel
Principe du chiffrement
Principe du déchiffrement
Politique de VLANs






Sépare virtuellement les utilisateur de différents
groupes de travail sur un même réseau physique
Accès restrictif et personnalisé aux ressources
Sous réseaux hermétiques
1 VLAN = 1 SSID = 1 sous réseau
Possibilité de tout type de VLAN sur le switch
Possibilité d’implémentation des différents types
de chiffrement (WEP, WPA, …)
VLAN : Mise en place
L’authentification

Solution alternative aux clés de chiffrement
802.1X
 Serveurs Radius
 Tunnels VPN

Authentification 802.1X







Mécanisme de relais d’authentification de niveau 2
Besoin de s’authentifier dès l’accès physique au réseau (points
d’accès WIFI)
Norme 802.1x développée aussi pour les VLAN
S’appuie également sur les normes de niveau 2 comme Ethernet
Phase d’authentification, avant tout autre mécanisme d’autoconfiguration (DHCP, par ex)
Possibilité d’affectation dynamique des VLAN en fonction des
caractéristiques de l’authentification.
Nécessite l’association à un serveur d’authentification (Radius)
ou système de clé pré-partagé
802.1X et Radius




802.1X basée sur le protocole EAP (PPP
Extensible Authentication Protocol) extension
du protocole PPP (défini dans la RFC 2284).
EAP permet la négociation d’un protocole
d’authentification entre le client et un serveur
radius
Pas une méthode de chiffrement
Fournit un mécanisme d’initialisation des clés
Mécanisme
Sécurité maximale

Possibilité de combiner tous les mécanismes de
sécurité
Filtrage par @MAC
 Chiffrement (WPA2)
 Authentification 802.1X + Radius
 Implémentation dans des VLANs
 Linux (!)


Tous les équipements wireless doivent être
compatibles !
VPN (Virtual Private Network)







Sécuriser les échanges entre différentes entités sur
Internet.
Sécuriser les communications d’utilisateurs mobiles.
Simple à mettre en oeuvre,
Fiable et difficilement « cassable »
Facilement conciliable avec les infrastructures en place
dans les entreprises
Complètement transparent pour l’utilisateur
Composante nécessaire sur les réseaux WiFi publics.
VPN (Virtual Private Network)




Repose sur un protocole de tunnelisation
Données sécurisées par des algorithmes de chiffrement
Mode client-serveur
Différents protocoles




PTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2
développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par
Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de
l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et
L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
IPSec est un protocole de niveau 3, issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP.
CONCLUSION




Bien placer les bornes (éviter d’émettre à des endroits
inutiles)
Utiliser des algorithmes de chiffrement efficaces (WPA)
ou changer de clé WEP régulièrement
Eviter les mots du dictionnaire
éviter les valeurs par défaut





diffusion Broadcast du SSID
mot de passe administrateur
adresse IP de l’AP
serveur DHCP activé
Combiner les différents mécanismes de sécurité
L’avenir

802.11n


+ de 100 Mb/s, le nouvel Ethernet ?
Un concurent : le Wimax ?





802.16
Portée : 50 km
BF : entre 2 et 11 GHz
70 Mb/s
relais Internet à des zones rurales non desservies par les
réseaux standards, à la manière du satellite