réseaux locaux sans fil « wifi - aresu · transmission dsss pour les débits ≤11 m/s (1, 2,...
TRANSCRIPT
![Page 1: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/1.jpg)
Réseaux locaux sans fil « WiFi »
Catherine Grenet et Marie-Claude Quidoz
Meudon, 11 et 12 mai 2006
![Page 2: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/2.jpg)
2Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Remerciements
Ces transparents sont extraits du tutoriel« Architecture des réseaux sans fil » donné par Daniel Azuelos aux JRES 2005http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
![Page 3: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/3.jpg)
3Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
![Page 4: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/4.jpg)
4Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• Réseau sans fil isolé du réseau filaire
• Portail web d’accès
• Affectation dynamique de VLAN
• Points d’accès virtuels
• Commutateur sans fil
• Passerelle de sécurité
• Choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 5: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/5.jpg)
5Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Pourquoi déployer un réseau sans fil aujourd'hui ?
Pour faciliter la connexion des utilisateurs itinérants, en particulier dans les espaces collectifs
Pour connecter des locaux impossibles ou trop coûteux à câbler (amiante, monument historique)
Pour mettre en place une connexion provisoire (travaux)
Pour occuper l'espace : offrir le service pour éviter les installations pirates
Le sans fil n'est pas destiné à remplacer intégralement le câblage filaire (fiabilité, débit)Il n’est pas fait pour connecter des serveurs !
![Page 6: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/6.jpg)
6Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Les différents types de réseau sans fil
900 / 1800 MHz1900 / 2200 MHz
2 – 11 GHz2,4 / 5 GHz2,4 GHzBande defréquence
ITUIEEE 802.16
IEEE 802.11
IEEE 802.15Norme
Téléphonieet données
AccèsRéseau local
Connexionpériphériques
Applications
9600 Kb/s-> 2 Mb/s
70 Mb/s54 Mb/s3 Mb/sDébit théorique
35 km50 km100 mqq mPortée
GSM, GPRS, UMTS
WiMaxWiFiBluetoothet autres
Nom commun
WWANWMANWLANWPAN
![Page 7: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/7.jpg)
7Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriquesNormalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
![Page 8: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/8.jpg)
8Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Normalisation 802.11
« Wi-Fi » est un label d'interopérabilité délivré par la Wi-Fi alliance :groupement de constructeurs qui publie des listes de produits certifiés (http://www.wi-fi.org/)
802.11 (1997) : jusqu’à 2 Mb/s
802.11 (1999) : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications
802.11b (1999) : 11 Mb/s dans la bande des 2,4 GHz (supplément à802.11)
802.11a (1999) : 54 Mb/s dans la bande des 5 GHz (supplément à802.11)
802.11g (2003) : 54 Mb/s dans la bande des 2,4 GHz (amendement à802.11)
• compatible avec 802.11b
![Page 9: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/9.jpg)
9Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Normalisation (suite)
802.11f (2003) : Inter Access Point Protocol (IAPP)gestion de la mobilité
802.11h (2003) : pour l'utilisation de 802.11a en Europesélection dynamique de canal et gestion de la puissance d'émission
802.11i (2004) : sécurité
802.11e (2005) : qualité de service
Travaux en cours :• 802.11k : mesure de la qualité de la liaison radio
• 802.11n : débit > 100 Mb/s
• 802.11r : transfert rapide de connexion entre bornes
• 802.11s : réseaux maillés
![Page 10: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/10.jpg)
10Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
![Page 11: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/11.jpg)
11Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Onde électromagnétique
![Page 12: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/12.jpg)
12Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Spectre électromagnétique
![Page 13: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/13.jpg)
13Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Emission / réception radio
F (Hz)
P (W)
Fporteuse
Principe : transmission de l'information par modulation d'une porteuse
Le signal transmis est caractérisé par son spectre
En radio, la puissance est souvent exprimée en dBm (décibels « milliwatt »)
dBm = 10*log10(P/ 0.001)
0 dBm 1 mW
![Page 14: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/14.jpg)
14Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11b : modulation
DSSS : Direct Sequence Spread Spectrumétalement de spectre, séquence directe
Selon la vitesse de transmission
• codage de 1, 4 ou 8 bits simultanément
• puis modulation de phase à 2 ou 4 états
Données à transmettre
Séquence d’étalement(signal pseudo-aléatoire connu de tous)
+
Signal à transmettre
![Page 15: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/15.jpg)
15Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11 b : canaux
• Bande 2,4 GHz • 14 canaux de 22 MHz• seulement trois canaux
disjoints
![Page 16: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/16.jpg)
16Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11a
GHz5,155,825
20 MHz
12 canaux disjointsdivisés en 52 sous-porteuses
48 sous-canaux de données4 sous-canauxpour correctiond’erreur
OFDM : Orthogonal Frequency Division Multiplexing
![Page 17: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/17.jpg)
17Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11g
Bande 2,4 GHz
Transmission DSSS pour les débits ≤ 11 M/s (1, 2, 5.5, 11)=> compatible avec 802.11b
Transmission OFDM pour les débits supérieurs
La compatibilité 802.11b ne ralentit pas le débit des trames de données des stations 802.11g, mais certaines trames de gestion (balise) et de contrôle (trames de protection) doivent être émises à des débits compatibles avec le 802.11b
![Page 18: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/18.jpg)
18Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11n
Groupe d’étude n du 802.11 (TGn)
draft 1.0 approuvé en mars 2006• n’a pas passé l’étape suivante => draft 2.0 (au moins !)
normalisation en 2007 ?
Débits annoncés jusqu’à 600 Mb/s
MIMO : Multiple Input Multiple Output• plusieurs antennes / émetteurs / récepteurs radios
• transmission des données en parallèle sur le même canal en utilisant les trajets multiples
![Page 19: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/19.jpg)
19Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Puissances autorisées depuis juillet 2003 (exprimées en PIRE : Puissance Isotrope Rayonnée Equivalente)
Les usages privés (réseaux indépendants, usages particuliers) ne nécessitent pas de démarche auprès de l’ART.
Réglementation (ARCEP ex-ART)
10 mW100 mW9-132454 -2483,5
100 mW100 mW1-82400 - 2454
ExtérieurIntérieurCanauxFréquences (MHz)
![Page 20: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/20.jpg)
20Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
![Page 21: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/21.jpg)
21Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Caractérisques induites par le support
Support partagé par tous
Pas de limite franche ni visible au delà de laquelle la réception est impossible
Le signal peut être brouillé par une source extérieure
Le support de transmission est beaucoup moins fiable qu'en réseau filaire, et non maîtrisé
Les stations ne sont pas fixes, mais portables, voire mobiles
Certaines stations peuvent être cachées les unes aux autres
Les vitesses de propagation peuvent varier dans le temps et être asymétriques
![Page 22: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/22.jpg)
22Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Architecture 802.11
Station : toute machine équipée d’une interface 802.11
BSS (Basic Service Set) : zone à l'intérieur de laquelle les stations restent en communication
BSS indépendants = réseaux « ad hoc »
STA 1
STA 2
BSS 1
STA 3
STA 4
BSS 2
![Page 23: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/23.jpg)
23Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Architecture 802.11 (suite)
Les BSS peuvent être interconnectés par un « système de distribution »(DS, Distribution System) : le plus souvent un réseau Ethernet
Un point d'accès est une station qui fournit l'accès au DS
Réseaud'infrastructure
STA 1
STA 2
BSS 1
STA 3
STA 4
BSS 2PA
PASystème dedistribution (DS)
![Page 24: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/24.jpg)
24Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Architecture 802.11 (suite)
ESS (Extended Service Set) : ensemble de BSS interconnectés par un système de distribution
Les stations peuvent communiquer entre elles et passer d'un BSS àl'autre à l'intérieur d'un même ESS
ESSSTA 1
STA 2
BSS 1
STA 3
STA 4
BSS 2PA
PASystème dedistribution (DS)
![Page 25: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/25.jpg)
25Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : accès au média
Média partagé => 802.11 définit deux méthodes d'accèsDCF (Distributed Coordination Function)
• Dans toutes les stations, sur réseau ad hoc et d'infrastructure• CSMA/CA Carrier Sense Multiple Access Collision Avoidance• Principe : la station écoute le média pour vérifier qu'il est libre avant d'émettre
(idem CSMA/CD)
• Mais elle ne peut pas détecter les collisions• parce qu'elle n'entend pas nécessairement toutes les stations• parce que la liaison radio est half duplex
• Avoidance => la station réceptrice émet un ACK qui indique que la trame a été correctement reçue et qu'il n'y a pas eu de collision
• Mécanisme supplémentaire : émetteur et récepteur échangent un RTS/CTS avant d'émettre les donnéescontrôlé par le paramètre dot11RTSThreshold
PCF (Point Coordination Function)• Uniquement dans les points d’accès, peu implémentée• Le PA contrôle l’accès au média (par interrogation des stations)
![Page 26: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/26.jpg)
26Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : types de trames
Trames de gestion• balise (beacon)
• Probe Request / Response
• authentification
• association
Trames de contrôle• contribuent au bon acheminement des trames de données
• exemple : ACK, RTS/CTS
Trames de données
![Page 27: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/27.jpg)
27Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : découverte des réseaux
Le point d'accès émet à intervalles réguliers (~ 100 ms) des trames balise (beacon) qui contiennent :
• SSID Service Set Identifier : chaîne de caractères identifiant le réseau sans filLes points d’accès d’un même ESS émettent le même SSID
• Débits supportés
La station peut émettre des trames Probe Request pour identifier les réseaux sans fil disponibles sur différents canaux
Le point d'accès lui renvoie une trame Probe Response (mêmes infos que dans la balise)
Pour utiliser le réseau sans fil, la station doit s'authentifier et s'associer
![Page 28: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/28.jpg)
28Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Authentification et association
non authentifié,non associé
authentifié,non associé
authentifié,associé
Authentificationréussie
Association ouréassociationréussie
Désassociation
Dé-authentification
Dé-authentification
![Page 29: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/29.jpg)
29Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Authentification
Deux modes d'authentification :• ouvert (open system)• partagé (shared key)
STA PADemanded'authentification
Succès
STA PADemanded'authentification
Challenge
Challenge chiffré
Succès
Mode d’authentification
Open System Shared key
![Page 30: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/30.jpg)
30Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Association – réassociation
La station envoie au PA une demande d'association
Si la station est déjà authentifiée le PA accepte la demande et retourne un identificateur d'association (Association ID)
La station peut alors échanger des trames de données avec les autres stations de l'ESS
Réassociation : lorsqu'une station se déplace d'un BSS à l'autre
![Page 31: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/31.jpg)
31Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : adressage
Adresses sur 48 bits, même format qu'une adresse Ethernet
Une trame 802.11 contient 4 champs adresse, dont la signification varie en fonction du type de trame
type de trame
• gestion
• contrôle
• données
Contrôle Durée/ID Adr 1 Adr 2 Adr 3 Contrôlede séq. Adr 4 Données CRC
![Page 32: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/32.jpg)
32Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : adressage
Les 4 champs adresse indiquent :
Le BSSID : il identifie de manière unique un BSS• mode infrastructure : adresse MAC du point d'accès
• mode ad hoc : choisie de manière à être unique
• à ne pas confondre avec le SSID (aussi appelé ESSID)
L’adresse de destination : adresse du destinataire final
L’adresse source : adresse de la station qui a initialement émis la trame
L’adresse du récepteur : adresse du destinataire immédiat
L’adresse de l’émetteur : adresse de la station qui émet la trame
![Page 33: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/33.jpg)
33Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Protocole : adressage
Réseaufilaire
STA1 PA1 PA2 STA2
PA1 STA1 STA2 _ STA2 PA2 STA1 _
Exemple : station 1 émettant une trame de données vers station 2
La station lit le champ Adr 1 pour savoir si une trame lui est ou non adressée
Si Adr 1 est une adresse de groupe (broadcast/multicast), elle vérifie de plus que le BSSID est celui du PA auquel elle est associée
![Page 34: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/34.jpg)
34Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Mobilité
Authentification
Demande de réassociation
BSSID ancien PA STA était associée ?
Oui
Réassociation réussieTrames en tampondestinées à STA
Fin association avec STA
STA Nouveau PA PA courant
![Page 35: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/35.jpg)
35Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
Sécurité• WEP• 802.1X et WEP dynamique• WPA et 802.11i
![Page 36: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/36.jpg)
36Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Risques liés aux réseaux sans fil
Média partagé => les écoutes sont possibles
Pas de limite franche ni visible au delà de laquelle la réception est impossible, donc en l'absence de mécanismes appropriés n'importe qui peut :
• écouter le réseau • se connecter au réseau (et utiliser l'accès Renater de l'unité par exemple)
Le signal peut être brouillé par une source extérieure
Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)
![Page 37: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/37.jpg)
37Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Historique et terminologie
1999 : WEP (802.11)
2001 : 802.1X=> authentification 802.1X + chiffrement WEP dynamique
2003 : WPA (Wi-Fi Protected Access) :
• spécification publiée par la Wi-Fi Alliance, et reprenant une bonne partie du draft 3.0 de 802.11i en attendant la ratification de la norme
2004 : 802.11i MAC Security Enhancements
WPA2 : label de la Wi-Fi Alliance pour 802.11i
![Page 38: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/38.jpg)
38Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WEP
Wireless Equivalent PrivacyIntégré à la norme 802.11 de 1999Principes :
• clé secrète (40 ou 104 bits) partagée par toutes les stations• authentification par défi / réponse• confidentialité par chiffrement symétrique
Problèmes et limitations• la clé peut être découverte par simple écoute du réseau avec des logiciels du
domaine public (AirSnort, Aircrack…)
• pas de mécanisme de distribution des clés
![Page 39: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/39.jpg)
39Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP
802.1X et WEP dynamique• WPA et 802.11i
![Page 40: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/40.jpg)
40Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X + WEP dynamique
802.1X permet une authentification « sérieuse » des utilisateurs avant connexion au réseau
Les clés sont générées à l’aide de protocoles de chiffrement et distribuées sous forme chiffrée sur le réseau sans fil
Une clé WEP par utilisateur et par session
Clé commune pour les trames multicast
Renouvelée suffisamment souvent dans le courant de la session pour qu’elle ne puisse pas être découverte (~ quelques minutes)
Avantages :
• empêche la découverte des clés
• distribution automatique des clés
![Page 41: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/41.jpg)
41Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1 X
Port-Based Network Access Control (2001, révision 2004)
Protocole permettant de n'autoriser l'accès à un port réseau qu'après authentification
Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802
port réseau = port de commutateur (802.3)association (802.11)
Composants :• système à authentifier (supplicant ) : qui demande l'accès au réseau
• système authentifiant ou relais d’authentification (authenticator ) :• contrôle l’accès au réseau• ne fait que relayer les échanges d’authentification avec le serveur
• serveur d'authentification : détermine si le système à authentifier est autoriséà accéder au(x) service(s) dont l'accès est contrôlé par le relais
![Page 42: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/42.jpg)
42Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : port contrôlé et port non contrôlé
Réseau local
Portcontrôlé
Port noncontrôlé
Pointd’attachement
Port nonautorisé
Réseau local
Portcontrôlé
Port noncontrôlé
Pointd’attachement
Port autorisé
![Page 43: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/43.jpg)
43Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : authentification
Portcontrôlé
Port noncontrôlé
Pointd’attachement
Autorisation
Systèmeà
authentifier
Serveurd’authentification
Pointd’attachement
Réseau local
EAP
![Page 44: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/44.jpg)
44Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
EAP
EAP : Extended Authentication Protocol (RFC 2284 puis 3748)
• développé à l'origine pour l’authentification des utilisateurs se connectant en PPP sur des serveurs d’accès distants
• permet d'encapsuler différents protocoles d'authentification et donc de ne pas les implémenter dans le serveur RAS, qui les relaie vers un serveur d'authentification
• l'authentification elle-même repose sur des « méthodes »(protocoles) définies par ailleurs et encapsulées dans EAP
![Page 45: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/45.jpg)
45Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Méthodes EAP
LEAP, TLS, TTLS, PEAP, EAP-FAST
LEAP (Lighweight EAP)• Propriété Cisco
• Authentification mutuelle du client et du serveur par MS-CHAPv1
• Clés dynamiques dérivées des échanges MS-CHAP
• Problèmes de sécurité liés à l’utilisation de MS-CHAPv1 => obsolète
TLS• RFC 2716
• Authentification mutuelle du client et du serveur par certificats X.509
• Permet de dériver des clés de chiffrement
• Méthode d’authentification de facto pour 802.11i
![Page 46: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/46.jpg)
46Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Méthodes EAP (suite)
TTLS• draft-ietf-pppext-eap-ttls-05
• Authentification du serveur par certificat X.509
• Utilisation du tunnel chiffré TLS pour faire passer un autre protocole d’authentification : PAP, CHAP, MD5, MS-CHAP…
• authentification interne par AVP (paires attribut-valeur)
PEAP (Protected EAP)• ≈ TTLS
• Utilisation du tunnel chiffré TLS pour faire passer un autre échange EAP (EAP over EAP)
Avantage / TLS : possibilité de réutiliser les systèmes d’authentification existants (annuaire LDAP par exemple)
EAP-FAST (Cisco) : fait pour accélérer la réauthentification lors d’un handover
![Page 47: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/47.jpg)
47Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : protocoles
Station Point d’accèsServeur
d’authentification
EAP-TLS, EAP-TTLS...
EAP
802.1X (EAPoL)RADIUS
802.11
UDP / IP
802.3
Station Point d’accèsServeurd’authentificationEAP over LAN EAP over RADIUS
![Page 48: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/48.jpg)
48Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : EAPoL
définit EAPoL : EAP over LANencapsulation des paquets EAP sur les réseaux 802
• champ Type Ethernet = 0x888E
4 types de message :
• EAP-Start : envoyé au PA par la station qui veut démarrer l’authentification
• EAP-Logoff : envoyé par la station, le port est remis dans l’état non autorisépar le PA
• EAP-Packet : transporte les informations d’authentification
• EAP-Key : pour transmettre une clé entre le PA et la station
![Page 49: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/49.jpg)
49Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
RADIUS
Remote Authentication Dial In User Service
originellement (RFC 2138 -> 2865) défini pour le transport d’informations d’authentification et de configuration entre un serveur d’accès distant et un serveur d’authentification
![Page 50: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/50.jpg)
50Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
RADIUS (suite)
Utilise le port UDP 1812
repose sur un secret partagé entre le serveur et le client (ici le point d’accès)
Les messages EAP sont encapsulés dans 4 types de trames :• messages point d’accès -> serveur : Access Request
• messages serveur -> point d’accès relayés vers la station : Acess Challenge
• messages serveur -> point d’accès indiquant que l’authentication a réussi : Access Accept
• messages serveur -> point d’accès indiquant que l’authentication aéchoué : Access Reject
RADIUS -> DIAMETER (RFC 3588 9/2003)• site officiel : http://www.diameter.org/
• logiciel open source : http://www.opendiameter.org/
![Page 51: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/51.jpg)
51Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.1X : dialogue EAP
Station Point d’accès Serveurd’authentification
EAP Request/Identity
Access Accept
Access Request - EAP Response/Identity
Authentification (dialogue EAP)
EAP Response/Identity
EAP Success
802.1X / EAPoL RADIUS
EAPoL-Key
![Page 52: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/52.jpg)
52Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Station Point d’accès Serveurd’authentification
802.1X / EAPoL RADIUS
802.1X : dialogue EAP- authentification
4 types de paquets EAP :Request, Response, Success, Failure
Access Request - EAP Response/Identity
Access Challenge - EAP RequestEAP Request
EAP ResponseAccess Request - EAP Response
![Page 53: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/53.jpg)
53Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (1/2)
Introduction
Aspects théoriques• Normalisation 802.11
• Couche physique
• Composants et architecture
• Protocole
• Sécurité• WEP• 802.1X et WEP dynamique
WPA et 802.11i
![Page 54: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/54.jpg)
54Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA et 802.11i
Reposent également sur l’authentification 802.1X
Deux modes :• « personnel » pour environnements SOHO
• « entreprise » pour les structures plus importantes
Gestion et distribution des clés
Deux nouveaux mécanismes de chiffrement :• TKIP (WPA)
• CCMP (802.11i)
![Page 55: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/55.jpg)
55Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : principe
Authentification de la station par le serveur d’authentification avant que le point d’accès ne lui accorde l’accès au réseau
=> dérivation d’une clé maîtresse connue du serveur et du client (et d’euxseuls)
clé maîtresse => dérivation d’une clé maîtresse « pair à pair » (PMK)• par la station• fournie par le serveur au point d’accès
PMK => dérivation des clés de session (unicast, multicast)
Authentification du serveur par la station• important dans l’environnement sans fil (points d’accès sauvages)
![Page 56: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/56.jpg)
56Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : fonctionnement
Station Point d’accès Serveurd’authentification
Découverte de la politique de sécurité
Authentification 802.1X
Distribution clé (RADIUS)Distribution clé (802.1X)
Liaison chiffrée établie
Phase 1
Phase 2
Phase 3
Phase 4
![Page 57: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/57.jpg)
57Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phase 1
Mode d’authentification = ouvert
Le point d’accès annonce les politiques de sécurité supportées dans les trames Beacon et Probe Response
RSNA : Robust Security Network Association
Ajout d’un champ RSN IE (Information Element) dans les trames Beacon, Probe Response, Association Request/Response
Le champ RSN IE décrit :• le type de chiffrement du trafic unicast et multicast :
• WEP-40, WEP-104, TKIP, CCMP (défaut)
• la méthode d’authentification et de gestion des clés :• 802.1X (défaut), clé pré-partagée
![Page 58: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/58.jpg)
58Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phase 1 (suite)
Probe Request
Probe ResponseRSN IE : le PA supporte WEP-104 Mcast, TKIP Ucast, 802.1X
Authentification Open System
Authentification Open System (succès)
Association RequestRSN IE : la STA demande WEP-104 Mcast, TKIP Ucast, 802.1X
Association Response (succès)
![Page 59: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/59.jpg)
59Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phases 2 et 3
Station Point d’accès Serveurd’authentification
EAP Request/Identity
Access Accept (+ PMK)
Access Request - EAP Response/Identity
Authentification (dialogue EAP)Dérivation de la clé maîtresse
Dérivation PMK Dérivation PMK
EAP Response/Identity
EAP Success
802.1X / EAPoL RADIUS
Génération clés de session
![Page 60: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/60.jpg)
60Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : phases 2 et 3
Génération des clés (suite) :
procédure dite 4-way handshake : échange de 4 messages EAPoL-Key qui permettent de:
• s’assurer que le client détient bien la PMK
• de dériver un ensemble de clés de chiffrement et d’intégrité• à partir de la PMK, des adresses MAC du client et du point d’accès de deux
nombres aléatoires
• de chiffer le transport de la clé de groupe
![Page 61: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/61.jpg)
61Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
WPA/802.11i : mode « personnel »
destiné aux réseaux adhoc et réseaux personnels (à domicile)
même mécanisme de découverte de la politique de sécurité
pas d’authentification 802.1X
clé pré-partagée est dérivée d’un mot de passe et sert directement de PMK
même procédure de 4-way handshake
mêmes techniques de chiffrement : TKIP CCMP
![Page 62: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/62.jpg)
62Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
TKIP
Temporal Key Integrity Protocol
Amélioration de WEP
Chiffrement RC4 (pour pouvoir utiliser les mêmes puces)
Clé de chiffrement des trames est dérivée d’une clé maîtresse (<> WEP où la clé maîtresse chiffre directement les trames)
Une clé différente pour chaque trame
Ajout d’un numéro de séquence pour contrer les attaques par rejeu
Ajout d’une séquence de contrôle d’intégrité (y compris sur adresse source)
![Page 63: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/63.jpg)
63Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.11i : nouveautés par rapport à WPA
Chiffrement CCMP• Counter Mode with CBC-MAC Protocol
• Sans souci de compatibilité avec WEP => nouvelles puces
• Chiffrement AES
Pré-authentification (pour le handover)
![Page 64: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/64.jpg)
64Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 65: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/65.jpg)
65Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Avant de commencer
Spécifications du projet : un réseau sans fil…
où ça ?• dans des zones précises : bibliothèque, cafétéria…• dans l’ensemble du/des bâtiments• et aussi dans le parc ?
pour qui ? nombre et type d’utilisateurs• personnel permanent• invités (ayant à travailler avec le labo)• gens de passage : colloques, formations…
pour quoi faire ?• au minimum : offrir un accès internet• un peu plus : accès à une imprimante locale• au maximum : accès à l’ensemble des ressources du réseauEn général, tout ça en même temps pour différentes catégories d’utilisateurs
avec quels équipements ?• type de plate-forme : matériel, système d’exploitation
![Page 66: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/66.jpg)
66Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseauréseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 67: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/67.jpg)
67Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
Réseaufilaire
Réseausans fil
Pare-feu Internet
Dispositif decontrôle d’accès
Tous les PA dans le même VLAN
![Page 68: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/68.jpg)
68Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
C-R
DMZ
Serveurs
Clients
Réseauextérieur
Sans fil
C-R
DMZ
Serveurs
Clients
Réseauextérieur
GB
DMZ
Sans fil
![Page 69: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/69.jpg)
69Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
Zone(s)semi-ouverte(s)
Réseau interne
Réseau sans fil
Internet
Accès client vers InternetAccès services externes : publics (DNS, HTTP…)
sur authentification (HTTPS, IMAPS, SMTPS…)
Réseau local
![Page 70: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/70.jpg)
70Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
accès aux équipements actifs :• autorisé depuis le réseau filaire
• interdit depuis le réseau sans fil
accès autorisés du réseau sans fil vers le réseau filaire :• au serveur DHCP
• aux serveurs DNS
• aux services publics (web etc.)
• aux services accessibles sur authentification : HTTPS, IMAPS, SMTPS, SSH… (pour les utilisateurs internes)
accès du sans fil vers le reste de l’internet • peut être limité à certains ports (sans être trop restrictif)
• empêcher les connexions entrantes
![Page 71: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/71.jpg)
71Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire
Accès supplémentaires possibles pour les utilisateurs identifiés via VPN
RéseauSans fil
RéseauSans fil
InternetInternet
Réseau dulaboratoire
ConcentrateurVPN
![Page 72: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/72.jpg)
72Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire + VPN
Solution (presque) idéale pour les petites structures
Inconvénient (de taille) : absence de contrôle d’accès au réseau sans fil• risque dépendant de l’environnement• possibilité d’utilisation illicite des réseaux de la recherche• responsabilité vis-à-vis de Renater et d’Internet en général
Améliorations possibles :• WEP
• ≈ réseau ouvert• mais personne ne peut s’y connecter par hasard• panneau « Accès réservé »
• OK pour une petite structure (quelques bornes), au-delà problème de gestion des clés
![Page 73: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/73.jpg)
73Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réseau sans fil isolé du réseau filaire + VPN
Améliorations possibles (suite):• contrôle d’accès par adresse MAC
• peut être local à la borne• ou centralisé sur un serveur RADIUS
Mise en œuvre avec un serveur RADIUS :• Le PA envoie une requête Access-Request avec :
User-Name et User-Password : adresse MAC de la station
• Fichier users :00904b1d9fd8 Auth-Type:=Local,
User-Password="00904b1d9fd8"
Avantage de ces solutions : fonctionnent avec tous les clients
![Page 74: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/74.jpg)
74Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 75: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/75.jpg)
75Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Portail web d’accès
« portail captif »
Logiciels libres :• NoCat (http://nocat.net/)
• NoCatAuth : version originale en Perl• NoCatSplash : portage en C
• M0n0wall (http://m0n0.ch/wall/)
• talweg (http://sourcesup.cru.fr/talweg/)
![Page 76: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/76.jpg)
76Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Portail web d’accès : fonctionnementRéseau public Réseau dont
on veut contrôlerl’accès
@ IP (DHCP)
HTTP
Login ?Passwd ?
Authentification ?
Nom d’utilisateur et mot de passe
Serveurd’authentification
Succès de l’authentification
Autorisationd’accès
Routeur ou pont
![Page 77: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/77.jpg)
77Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Portail web d’accès : fonctionnement
L’autorisation d’accès au réseau se fait par modification des règles de filtrage
Fin d’autorisation d’accès ?
• bouton « déconnexion » : pas forcément utilisé
• par requêtes ARP ou ICMP périodiques
Protection des échanges
• les données d’authentification doivent être échangées en HTTPS
• le reste du trafic n’est pas protégé => recommandations aux utilisateurs
Solution satisfaisante
• pour l’accueil des visiteurs
• parce qu’elle fonctionne avec tous les clients
![Page 78: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/78.jpg)
78Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 79: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/79.jpg)
79Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
La séparation réseau sans fil / réseau filaire• a été imposée par des contraintes de sécurité
• compte tenu des fonctionnalités des premiers matériels
Aujourd’hui les réseaux filaires sont segmentés en VLAN• permet d’attribuer des droits différents à des groupes d’utilisateurs
différents
• avec les limites du VLAN par port (VLAN visiteur ?)
Affectation dynamique de VLAN• prolonger la structure du réseau filaire sur le réseau sans fil
• avec des mécanismes adaptés aux réseaux sans fil
![Page 80: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/80.jpg)
80Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
VLAN 1Ex : visiteurs
VLAN 2Ex : permanentsTag 802.1Q
VLAN 1
VLAN 2
Point d’accèssans fil
CommutateurEthernet
Serveurd’authentification
Utilisateur 1VLAN 1
Utilisateur 2VLAN 2
![Page 81: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/81.jpg)
81Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
Repose sur l’authentification 802.1X
le numéro de VLAN est transmis par le serveur RADIUS au point d’accès dans le message Access-Accept
Tunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=<numéro de VLAN>
Fonctionne sur le filaire comme sur le sans fil :
• un commutateur Ethernet affecte le port auquel est connecté le client dans le VLAN retourné par le serveur RADIUS
• un point d’accès sans fil étiquette chaque trame en sortie dans le VLAN correspondant à l’utilisateur
Suppose de propager tous les VLAN nécessaires jusqu’aux points d’accès (nomadisme sur un campus)
![Page 82: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/82.jpg)
82Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
Réseaudu labo
VLAN par défaut
PA
Serveurd’authentification
Authentification802.1X
Pare-feu
Portail d’accèsweb
Pas d’authentification802.1X
![Page 83: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/83.jpg)
83Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Affectation dynamique de VLAN
On peut avoir des fonctionnalités ~ équivalentes à celles des VLAN filaires sur le sans fil à deux conditions :
• un BSSID par VLAN : une station ne traite les trames adressées à des adresses de groupe que si le BSSID est celui du PA auquel elle est associée
• clés de groupe différentes pour chaque groupe d’utilisateurs : pour que les trames ne puissent pas être déchiffrées par toutes les stations
![Page 84: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/84.jpg)
84Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 85: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/85.jpg)
85Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Points d’accès virtuels
Chaque PA peut émettre plusieurs SSID
A chacun de ces SSID est associé :• un VLAN sur le réseau filaire
• une méthode et un serveur d’authentification
Permet de gérer plusieurs réseaux administrativement distincts sur la même infrastructure
Permet d’avoir un BSSID par VLAN
Possibilité d’affecter ensuite dynamiquement le VLAN en 802.1X ?
![Page 86: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/86.jpg)
86Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Points d’accès virtuels
SSID 1
SSID 2
Point d’accèssans fil
VLAN 1Auth : portaild’accès web
VLAN 2Auth : MAC adresseTag 802.1Q
VLAN 1
VLAN 2
CommutateurEthernet
![Page 87: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/87.jpg)
87Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 88: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/88.jpg)
88Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil
Aussi appelé « contrôleur »
Constructeurs (historiques) : Symbol, Trapeze, Aruba, Airespace (racheté par Cisco)
Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil
Un certain nombre de fonctions habituellement gérées dans les points d’accès sont déportées sur le commutateur
• authentification
• association
• chiffrement
• interconnexion avec le réseau filaire
=> notion de point d’accès « léger »
![Page 89: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/89.jpg)
89Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil
Fonctionnement : établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur
La communication entre le PA et le commutateur repose sur un protocole que chaque constructeur essaie de normaliser à l’IETF
• LWAPP (Airespace/Cisco)
• CAPWAP
• SLAPP (Trapeze, Aruba)
Solutions propriétaires :• fonctionnent avec les points d’accès fournis par le constructeur
• même si acceptent généralement les PA d’autres constructeurs• perte de la plupart des fonctionnalités intéressantes
![Page 90: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/90.jpg)
90Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : niveau physique
Points d’accès CommutateursEthernet Commutateur
sans fil
Tunnels
![Page 91: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/91.jpg)
91Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : niveau logique
Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux points d’accès
Points d’accès
SSID 1
SSID 2
SSID 1
SSID 2
VLAN 1
VLAN 2
Commutateursans fil
Tag 802.1Q
Réseaufilaire
Tunnels
Réseausans fil
![Page 92: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/92.jpg)
92Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : gestion de la radio
Ajustement dynamique de la puissance et du canal de chaque pointd’accès
autocalibration du réseau radio ?
Les points d’accès peuvent ou non fonctionner simultanément en mode sonde
• Détection des interférences
• Détection / neutralisation des points d’accès sauvages
Détection des réseaux ad hoc
• Détection d’attaques 802.11 classiques
• Localisation géographique des points d’accès et des clients
![Page 93: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/93.jpg)
93Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Commutateur sans fil : gestion de la radio
Gestion de la bande passante par utilisateur(s), par application, par VLAN
Possibilité d’interdire les communications directes entre clients
• Equilibrage de charge entre points d’accès adjacents
Possibilité d’affecter des priorités aux différents flux
Gestion de la mobilité
![Page 94: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/94.jpg)
94Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Authentification et contrôle d’accès
Portail
802.1X, EAP, TLS, TTLS…
VPN IPsec et SSL
Base interne / externe (LDAP, AD…)
Fonctions de contrôle d’accès + ou - sophistiquées :• filtrage IP• pare-feu stateful• par utilisateur, groupe d’utilisateurs, VLAN
Système de détection d’intrusion embarqué
![Page 95: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/95.jpg)
95Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Administration et supervision
Gestion centralisée des points d’accès• configurations• mises à jour logicielles
Détection et configuration automatique des points d’accès
Tableau de bord, statistiques (par station, par point d’accès, globales…)
Plan de site avec localisation des points d’accès
![Page 96: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/96.jpg)
96Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 97: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/97.jpg)
97Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle de sécurité
Constructeur : exemple Ucopia
Boîtier spécialisé placé en coupure (logique) entre le réseau filaire et le réseau sans fil
solution non spécifique aux réseaux sans fil
• fonctionne avec tous les PA
• Commutateur sans fil traite les trames 802.11 émises par les stations
• Passerelle traite les trames 802.3 émises par les points d’accès
agrégat de fonctions permettant de gérer les utilisateurs mobiles, visiteurs…
![Page 98: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/98.jpg)
98Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle : exemple Ucopia
logiciel sur PC/Linux équipé de 2 interfaces réseau, intégrant un certain nombre de briques de logiciels libres
se place en coupure de réseau • physique ou logique
possibilité d’avoir plusieurs SSID par bornes (si elles le supportent)• et d’y associer des méthodes d’authentification différentes
• chaque SSID est associé à un VLAN en sortie de la borne
• VLAN peut être redéfini en fonction du profil de l’utilisateur en sortie de la passerelle
![Page 99: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/99.jpg)
99Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle : exemple Ucopia
Points d’accès
SSID 1
SSID 2
SSID 1
SSID 2
VLAN 1
VLAN 2
Réseaufilaire
Réseausans fil
Passerelle
VLAN 3
VLAN 4
![Page 100: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/100.jpg)
100Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle Ucopia : authentification et contrôle d’accès
Authentification• par nom d’utilisateur et mot de passe en HTTPS
• 802.1X / EAP-TLS, TTLS, PEAP
• par carte à puce (EAP-SHA1, développement propre)
• serveur RADIUS embarqué (peut être configuré en proxy vers un autre serveur RADIUS)
Contrôle d’accès• fonction du profil de l’utilisateur
• par mise en place de filtres correspondant au profil de l’utilisateur sur le contrôleur pour la durée de la connexion (iptables)
• possibilité d’affecter un VLAN en fonction du profil de l’utilisateur en sortie du contrôleur
![Page 101: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/101.jpg)
101Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Passerelle Ucopia
Serveur VPN IPsec (FreeS/WAN)
« Zéro configuration » : reconnaissance et redirection de certains flux• SMTP -> serveur de messagerie local• HTTP • impression : par l’intermédiaire du serveur d’impression embarqué
Gestion des points d’accès : par SNMP• configuration• stockage et traitement des logs
![Page 102: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/102.jpg)
102Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 103: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/103.jpg)
103Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Choix de la méthode EAP
méthode EAP fondée sur TLS pour :• authentification du serveur par le client
• protection des informations d’identité de l’utilisateur
• la génération de clés de session robustes
=> EAP-TLS, EAP-TTLS, PEAP
EAP-TLS• pour :
• le plus largement supporté• client natif dans Windows 2000 SP4, Windows XP et Mac OS X 10.3• le CNRS dispose d’une IGC
• contre :• il faut distribuer des certificats à tous les utilisateurs
![Page 104: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/104.jpg)
104Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Choix de la méthode EAP
EAP-TTLS• pour :
• permet de réutiliser les bases d’authentification existantes (LDAP, AD…)
• contre :• nécessite un client spécifique pour Windows
• SecureW2 (http://www.securew2.com/)
PEAP• à envisager dans un environnement « tout Windows »
![Page 105: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/105.jpg)
105Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Choix de la méthode de chiffrement
Ne pas être maximaliste
WEP dynamique : raisonnable
TKIP : si on peut le faire, tant mieux
CCMP : prématuré
![Page 106: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/106.jpg)
106Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Serveur d’authentification
Serveur RADIUS • de multiples implémentations commerciales
• open source : FreeRadius
• Microsoft IAS (Internet Authentication Server)
FreeRadius• http://www.freeradius.org/
• liste de diffusion : [email protected] (verbosité ++)
• Linux, FreeBSD, NetBSD, Solaris
• authentification EAP : EAP-TLS, EAP-TTLS, EAP-PEAP et d’autres
• autorisation : fichier local, LDAP (OpenLDAP), base SQL
![Page 107: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/107.jpg)
107Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
FreeRadius : configuration
Fichiers de configuration : $INSTALL_DIR/etc/raddb
radiusd.conf, eap.conf, clients.conf et users
radiusd.conf : généralités• adresse, port
• logs
clients.conf :client 194.57.138.2 {
secret = monalisashortname = bsf2nastype = other
}
![Page 108: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/108.jpg)
108Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
FreeRadius : configuration
eap.conf :tls {# private_key_password = whatever
private_key_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
certificate_file = ${raddbdir}/certs/LOCAL/imaps.paris.urec.cnrs.fr.pem
CA_file = ${raddbdir}/certs/LOCAL/CA.pemdh_file = ${raddbdir}/certs/LOCAL/dhrandom_file = /dev/urandom
# fragment_size = 1024# include_length = yes# check_crl = yes
check_cert_cn = %{User-Name}}
![Page 109: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/109.jpg)
109Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
FreeRadius : configuration
users :• ## CN des utilisateurs autorises a se connecter avec certificat#'Catherine Grenet'
Tunnel-Type = 13,Tunnel-Medium-Type = 6,Tunnel-Private-Group-Id = 12
## La ligne suivante permet de refuser l'acces aux utilisateurs# qui ne sont pas dans la liste ci-dessus#DEFAULT Auth-Type := Reject
test : radiusd –X
![Page 110: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/110.jpg)
110Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 111: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/111.jpg)
111Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Propagation
![Page 112: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/112.jpg)
112Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Transparence
![Page 113: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/113.jpg)
113Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Interférences
![Page 114: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/114.jpg)
114Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Interférences
![Page 115: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/115.jpg)
115Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Couverture
![Page 116: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/116.jpg)
116Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Construction du réseau
![Page 117: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/117.jpg)
117Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Classes d’usage
![Page 118: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/118.jpg)
118Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Classes d’usage
![Page 119: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/119.jpg)
119Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan des fréquences
![Page 120: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/120.jpg)
120Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Réglage des PA
![Page 121: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/121.jpg)
121Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.3af
Power Over Ethernet (PoE)
permet de fournir une puissance inférieure à 15 W sous 48 V en courant continu sur le câble Ethernet
transporté
• soit sur les deux paires qui transportent les données (1-2 et 3-6)
• soit sur les deux paires inutilisées (4-5 et 7-8)
L’alimentation peut être fournie :
• soit par le commutateur Ethernet
• soit par un injecteur
![Page 122: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/122.jpg)
122Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
802.3af
Commutateur
Commutateur Injecteur
Point d’accèsCâbles RJ-45
![Page 123: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/123.jpg)
123Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Plan (2/2)
Architecture de réseau• réseau sans fil isolé du réseau filaire
• portail web d’accès
• affectation dynamique de VLAN
• points d’accès virtuels
• commutateur sans fil
• passerelle de sécurité
• choix de mise en œuvre
Déploiement du réseau radio
Outils
![Page 124: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/124.jpg)
124Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Outils
Analyseur de spectre
Scanner actif• Netstumbler (Windows) : http://www.netstumbler.com/
• iStumbler (Mac OS X) : http://istumbler.net/
![Page 125: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/125.jpg)
125Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Outils : scanners et analyseurs
Scanners passifs et analyseurs fonctionnent sur une carte réseau en mode RFMON
• permet de capturer tous les paquets 802.11 • ≈ mode « promiscuous » pour une carte Ethernet
• RFMON = mode écoute seulement (<> Ethernet)
Kismet : http://www.kismetwireless.net/• Linux
• détection des points d’accès
• capture du trafic
WiFiScanner : http://www.hsc.fr/ressources/outils/wifiscanner/
Ethereal sous Linux (pas de mode RFMON sous Windows)
![Page 126: Réseaux locaux sans fil « WiFi - ARESU · Transmission DSSS pour les débits ≤11 M/s (1, 2, 5.5, 11) => compatible avec 802.11b ... réseaux sans fil disponibles sur différents](https://reader030.vdocuments.mx/reader030/viewer/2022032614/5b96e46909d3f2d0248c3d87/html5/thumbnails/126.jpg)
126Catherine Grenet & Marie-Claude Quidoz – Réseaux locaux sans fil “WIFI” – Mai 2006
Bibliographie succinte
Daniel Azuelos, Architecture des réseaux sans fil, 2005, http://2005.jres.org/tutoriel/Reseaux_sans_fil.livre.pdf
Matthew Gast, 802.11 Réseaux sans fil, 2e édition, O’Reilly, 2005
Luc Saccavini, Le protocole IEEE 802.1X, 2003,http://www.urec.cnrs.fr/IMG/pdf/secu.CNRS.vCARS2003.saccavini.pdf
Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker, IEEE 802.11i Overview, 2002