architecture d’un réseau 802 - iut de...
Post on 15-May-2018
221 Views
Preview:
TRANSCRIPT
Objectifs
� Localiser un réseau wireless (scanning)
� Authentification & Association� Architecture et Services Sets� Économie d’énergie (Power Management)
Localiser un réseau wireless
� Comment découvre-t-on la présence d’un réseau wireless ?
� des trames balises (beacons) de signalisation vont permettre � aux points d’accès de s’annoncer� et aux stations mobiles de rester synchronisées
Balises ou Beacons(Beacon Management Frame)
�Les trames balises � sont périodiquement émises
�par les points d’accès en mode infrastructure�par des stations en mode ad-hoc
� contiennent des caractéristiques du réseau wireless écouté
Beacons(Beacon Management Frame)
� Les trames balises contiennent le� Service Set Identifier (SSID)
� Nom du réseau (unique, case sensitive)� Valeur alphanumérique (2�32 caractères) unique� Renseignée par l’administrateur� Doit être identique sur le client et le point d’accès� Identique dans un groupe de points d’accès si on veut de la mobilité (roaming)
� Valeur spéciale “any“� Valeurs initiales connues chez certains constructeurs(Cisco�tsunami)
� Sont envoyés dans les beacons, probe requests, probe responses, …
� NB: l’administrateur pourra décider de le masquer pour des raisons de sécurité
Balises ou Beacons(Beacon Management Frame)
�Les trames balises contiennent des informations de synchronisation de temps�Time Synchronisation
�Physical timestamp�Permet à tous les clients de synchroniser leur horloge sur celle du point d’accès
�Important pour les séquences de saut de fréquence par exemple
�Beacon interval : quand s’attendre au prochain beacon
Balises ou Beacons(Beacon Management Frame)
�Les trames balises contiennent un�Ensemble de paramètres DS ou FH
�FH �Hopping Dwell time�Hop sequence
�DS�Chanel (canal)
Balises ou Beacons(Beacon Management Frame)
�Les trames balises contiennent un�Traffic Information Map (TIM)
�pour « power saving »�quand des paquets sont en attente dans la queue du point d’accès
�la station s’éveillera pour écouter le TIM puis se remet en sommeil si elle n’est pas listée
Balises ou Beacons(Beacon Management Frame)
�Les trames balises contiennent� la liste des débits/vitesses supportés
�11, 5.5, 2, 1 par exemple pour du 802.11b
Les Beacons � scanning
� permettront aussi l’écoute du support passive
� attente d’une trame balise� en boucle sur chaque canal
� active� envoi d’une trame de requête (Probe Request Frame) � Avec le SSID du réseau recherché� Avec un broadcast SSID
� et attente de la réponse contenant les caractéristiques du point d’accès
Sélection du point d’accès pour rejoindre le réseau
� Écoute des trames balises� Choix du point d’accès :
� puissance du signal, � taux d’erreur (BER), � (charge, débits supportés, …)
� Le client utilise l’adresse MAC de la trame balise du point d’accès qu’il a sélectionné pour envoyer une trame d’authentification dans l’espoir de s’associer avec ce point d’accès
� … continuera à écouter s’il peut obtenir une meilleure liaison sur un autre point d’accès… � overlapping des zones de couverture radio (20-30%) pour un roaming"naturel"
Qu’est-ce que l’association ?
� Association: le fait que le point d’accès et la carte réseau dialoguent pour s’identifier mutuellement et fixer les paramètres de leurs échanges. Le client règle alors sa fréquence sur celui du point d’accès
� Le client régulièrement scrutera les 14 canaux pour vérifier si un autre point d’accès est disponible avec des paramètres plus avantageux ( bande passante et tauxd’erreur)
� En cas de points d’accès multiples, le client pourra:- s’associer au plus performant- s’associer à celui assigné par l’administrateur
Les différents états d’« autentification & association »
� 1-Autentification� première étape obligatoire� plusieurs mécanismes� Accomplie dans le point d’accès ou à l’extérieur sur un serveur d’autentification centralisée (RADIUS)
� 2-Association� Quand associé, le client est « connecté » sur le réseau et peut commencer à émettre des données
� États possibles� « unauthenticated & unassociated »� « authenticated & unassociated »� « authenticated & associated »
Authentification : deux mécanismes
� open system authentication� mode par défaut � ne constitue pas un réelle authentification
� shared key authentication� véritable mécanisme d’authentification, � repose sur le WEP (Wired Equivalent Privacy)� mais repose sur une clef secrète partagée donc peu « sécurisé”
open system authentication
� Le plus simple : comportement par défaut � Plus sécurisé que « shared key »…� Peut s’utiliser avec du WEP mais la clé ne sert alors qu’à l’encryption
shared key authentication
� Attention : la clé WEP sert à la fois à l’encryption du challenge d’autentification… mais aussi à l’encryption des données…
� Ce mode est donc déconseillé
Associations & Réassociations
� Gestion de la mobilité� Le client passe
� D’un point d’accès à un autre� � d’une cellule à une autre
� Communication entre les points d’accès via canal de distribution (DS)
� Protocole IAPP : Inter-Access Point Protocol(IEEE 802.11f)
Gestion de la mobilité
� Association� utilisation d’un identifiant : SSID (Service Set ID) qui définit le réseau
� Le SSID émis régulièrement en clair par l’AP dans une trame balise (constitue une faille de sécurité)
� Réassociation� similaire à l’association, effectuée lors de changements des caractéristiques de l’environnement (déplacement, trafic élevé)
Écoute (1)
Authentification (2)
Association (3)
Probe request
Probe response
Mécanisme
d’authentification
Association request
Association response
Les « handovers »
� mécanisme permettant à un dispositif mobile de changer de cellule sans que la transmission en cours ne soit interrompue
� possible que si les cellules voisines se recouvrent� non défini dans la norme IEEE 802.11 ni 802.11b (WiFi)
Rupture detransmission
Service demobilité
Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f)
�défini à l’origine par Lucent puis intégré à la norme 802.11f� protocole de niveau transport (couche 4) qui se place au-dessus de UDP (User DatagramProtocol) : protocole sans connexion
� utilise le protocole RADIUS pour permettre des handovers sécurisés (RADIUS : RemoteAuthentication Dial-In User Service)
� serveur centralisé ayant une vue globale du réseau : il connaît la correspondance entre adresses IP et MAC
BSS BSS
Internet
ESS
DS
station
stationstation
station
station
passerelle
serveurRADIUS
clientRADIUS client
RADIUS
Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f)
Gestion de la mobilité
serveurRADIUS
Étape 3 : Handover
Étape 2 :Authentification
Étape 1 :réassociation
pointd’accès
pointd’accès
Scénario de « Handover »
Réassociation (1)
Authentification (2)
Handover (3)
Reassociationrequest
Reassociation
Authentication request
Handoverrequest Handover
response
Authentication accept
Architecture
� architecture cellulaire� similaire à la téléphonie mobile : téléphones + stations
� un ou plusieurs points d’accès : unifier le réseau et servir de pont
� deux types de topologies�mode infrastructure
�BSS : Basic Service Set�ESS : Extended Service Set
� mode ad-hoc� IBSS: Independent Basic Service Set
Le mode infrastructure : BSSLe mode infrastructure désigne un réseau composéd’une infrastructure permettant l’échange d’informations entre les stations L’infrastructure est représentée par le point d’accès
1 cellule = 1Basic Service Set (BSS) = 1 point d’accès10 stations : support partagéentre toutes les stations, ainsi que le débit (11 Mbits/s)
BSS
Le mode infrastructure : ESS
Extended Service Set : plusieurs points d’accès (BSS) connectés entre eux par un système de distribution (DS)DS : Ethernet ou un autre réseau WLANFourniture d’accès vers un autre réseau : Internet
BSS BSS
Internet
ESS
DS
Le mode infrastructure : ESSTopologie ESS variable : cellules recouvrantes ou nonles cellules recouvrantes permettent d’offrir un service de mobilité (IEEE 802.11f) : pas de perte de la connexionplus grand nombre d’utilisateurs possibles sans une dégradation trop importante des performances
Rupture detransmission
Service demobilité
Réseau ambiantpermet de se connecter à Internet de partoutconstitué de nombreuses cellules qui possèdent chacune un point d’accès (attention aux interférences et recouvrements de canaux…)les points d’accès sont reliés entre eux par un réseau d’infrastructure (Ethernet, GigE, IEEE 802.17, etc.)
Le mode ad-hoc : IBSSIndependent Basic Service Set : mode point-à-pointPermet l’échange d’informations lorsque aucun point d’accès n’est disponible
IBSS
Le mode ad-hoc3 stations en mode ad-hoc : différent d’un réseau ad-hoc de trois stationsIl n’y a pas de protocole de routage : A ne peut pas envoyer de données à C car B ne peut effectuer le routage
A
B
C
3 stations en mode ad-hoc
impossible
Le mode ad-hocune station peut partager un accès à Internet : le réseau fonctionne comme un BSSC.F. fonctionnement de notre passerelle durant le TP
IBSS
Internet
Connexion partagée
Économie d’énergie Challenge pour les stations mobiles
� Modes pour optimiser l’utilisation de l’énergie disponible :� continuous aware mode (CAM): mode par défaut, pas d’économie d’énergie
� power save polling mode (PSP): mode économie d’énergie (en réseau BSS ou IBSS)�Le point d’accès tient une liste de toutes les stations en mode économie d’énergie,
�il stocke toutes les données qui leur sont adressées,�régulièrement, les stations s’éveillent pour recevoir une trame balise (avec TIM ou ATIM) indiquant si des données leur sont adressées,
�si oui, les stations récupèrent leurs données puis retournent en mode veille jusqu’à la prochaine balise.
top related