La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès.

Présentations similaires


Présentation au sujet: "1 Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès."— Transcription de la présentation:

1 1 Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès est une station qui fournit l'accès au DS (Le mode Infrastructure) L'ensemble formé par le point d'accès et les stations situées dans sa zone de couverture est appelé BSS pour « Basic Service Set » et constitue une cellule. ESS (Extended Service Set) : ensemble de BSS interconnectés par un système de distribution Les stations peuvent communiquer entre elles et passer d'un BSS à l'autre à l'intérieur d'un même ESS

2 2

3 3 Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il s'agit généralement du mode par défaut des cartes b. Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format AZSCII) servant de nom pour le réseau. L'ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu'une station se connecte au réseau étendu. Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ESS, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais handover).

4 4 Contrôle de laccès au support de transmission. Fragmentation et réassemblage des trames de données. Contrôle derreur. Gestion de la mobilité (Handover). Sécurité et qualité de service. Gestion de lénergie des stations mobiles. adressage des paquets ; formatage des trames ; 7. Fonctionnalités de la couche MAC deux méthodes daccès : DCF (Distributed Coordination Function (ad-hoc, IS)) : similaire à ethernet, support de données asynchrones ; chances égales daccès au support pas de priorité; collisions possibles. PCF (Point Coordination Function (mode IS, optionnelle)) : pas de collisions ; transmission de données isochrones (applications temps-réel, voix, vidéo) Les méthodes daccès au support

5 5 Implémentation du protocole CSMA/CA. (Écoute du support avant transmission ): Le CSMA/CA évite les collisions en utilisant des trames dacquittement, ou ACK (Acknowledgement). Un ACK est envoyé par la station destination pour confirmer que les données sont reçues de manière intacte. Laccès au support est contrôlé par lutilisation despaces intertrames. accès aléatoire avec écoute de la porteuse : évite plusieurs transmissions simultanées, réduit le nombre de collisions impossible de détecter les collisions : il faut les éviter écoute du support back-off réservation trames dacquittement positif La méthode daccès DCF

6 6 couche physique: PCS ( Physical Carrier Sense) Écoute au niveau de la couche physique par lanalyse des trames,puissance relative du signal émis par les stations. couche MAC: VCS (Virtual Carrier Sense ) réserve le support via le PCS deux types de mécanismes : réservation par trames RTS/CTS utilisation dun timer (NAV : Network Allocation Vector) calculé par toutes les stations à lécoute Mécanismes découte du support

7 7 collision Cellule 1 Cellule 2 Données A B C Problème de la station cachée

8 8 Cellule 1 Cellule 2 A B C RTS CTS Résolution du problème par le mécanisme de réservation VCS

9 9 Mécanisme de réservation(VCS) DIFS: Distributed InterFrame Spacing (DIFS= SIFS+ 2 * Slot Time) SIFS: Short InterFrame Spacing(La valeur de SIFS est fixée par la couche physique et est calculée de telle façon que la station émettrice sera capable de commuter en mode réception pour pouvoir décoder le paquet entrant). Slot Time: durée minimale pour déterminer l'état du canal + temps aller-retour + temps de propagation. ACK: Acknowledgement RTS: Demande démission (request to send) CTS: Prêt à émettre (clear to send) NAV : Network Allocation Vector

10 10 Protocole : CSMA/CA Le protocole CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) tente déviter au maximum les collisions (deux trames émises quasi simultanément qui se percutent) en imposant un accusé de réception systématique des paquets (ACK). Ainsi un paquet ACK est émis par la station de réception pour chaque paquet de données arrivé correctement. Le fonctionnement du protocole CSMA/CA est décrit ci-dessous. La station voulant émettre écoute le réseau. Si le réseau est encombré, la transmission est retardée. Si le réseau est libre pendant un temps donné (appelé DIFS pour Distributed Inter Frame Space), alors la station commence lémission. La station transmet un message appelé RTS (Ready To Send) contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission. Le récepteur (un AP dans le mode Infrastructure) répond un CTS (Clear To Send) et la station commence l'émission des données.

11 11 A la réception de toutes les données émises par la station, le récepteur envoie un accusé de réception (ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elle estime être nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée. Une fois que la trame ACK est reçue par lémetteur, la station réceptrice met un terme au processus. Si la trame ACK nest pas détectée par la station émettrice (parce que le paquet original ou le paquet ACK na pas été reçu intact, une collision est supposée et le paquet de données est retransmis après attente dun autre temps aléatoire.

12 12 Le DCF n'est pas valable si les stations sont nombreuses Point coordination function(La PCF est une méthode optionnelle et donc peu ou pas implémentée dans les matériels ) transfert temps-réel (voix, vidéo), services de priorité Le point d'accès (AP) distribue la parole aux stations. Il n'y a plus de collisions l'AP accorde un temps de parole à chaque station. Si cette dernière en a besoin, elle émet un acquittement puis ses données. Si elle n'a pas répondu dans un délai court, la parole est passée à une autre station PCF peu efficace si la plupart des stations sont silencieuses. En fait, on peut utiliser alternativement PCF / DCF La séquence PCF / DCF est initialisée par l'émission (par l'AP) d'une "balise". Cette dernière indique la durée de la phase PCF, qui peut éventuellement être raccourcie par l'émission d'un signal de fin de cette phase. La méthode daccès PCF

13 13 8.Les trames

14 14 Les trames de niveau physique Toutes les trames sont composées des composants suivants : préambule : détection du signal, synchronisation, détection du début de trame. Il contient les deux séquences suivantes : Synch, de 80 bits alternant 0 et 1, qui est utilisée par le circuit physique pour sélectionner lantenne à laquelle se raccorder. SFD (Start Frame Delimiter), une suite de 16 bits, , utilisée pour dénir le début de la trame. en-tête PLCP (Physical Layer Convergence Protocol) : est toujours transmis à 1 Mbps et contient des informations logiques utilisées par la couche physique pour décoder la trame, données : informations provenant de la couche MAC : MPDU (MAC Protocol Data Unit) Champ den-tête du contrôle derreur : champ de détection derreur CRC 32bits. Ces informations varient en fonction de linterface physique utilisée : FHSS, DSSS, IR, OFDM

15 15 Les trames MAC Trois types de trames MAC : trames de données : transmission des données trames de contrôle : contrôle de laccès au support (RTS, CTS, ACK, etc.) trames de gestion : association, réassociation, synchronisation, authentification

16 16 Fragmentation et réassemblage Taux derreur pour liaison sans fil très supérieur à celui des liaisons filaires : nécessité de transmettre de petits paquets Fragmentation dune : trame de donnée MSDU (MAC Service Data Unit) trame de gestion MMPDU (MAC Management Protocol Data Unit) en plusieurs trames MPDU (MAC Protocol Data Unit) Fragmentation si taille > valeur seuil (appelée fragment-Threshold) fragments envoyés de manière séquentielle destination acquitte de chaque fragment support libéré après transmission de tous les fragments Utilisation du RTS/CTS Seul le premier fragment utilise les trames RTS/CTS Le NAV doit être maintenu à jour lors à chaque nouveau fragment

17 17 Mécanisme démission dune trame fragmentée

18 18 Émission dune trame fragmentée avec réservation du support

19 19 Fragmentation et réassemblage Deux champs permettent le réassemblage des fragments par la station destination : Sequence control : permet le réassemblage de la trame grâce à Sequence number : chaque fragment issu dune même trame possède le même numéro de séquence Fragment number : chaque fragment dune même trame se voit attribuer un numéro de fragment, à partir de zéro, incrémenté pour chaque nouveau fragment More fragment : permet dindiquer si dautres fragments suivent ; égale zéro si le fragment en cours est le dernier fragment

20 20 Fonctionnalités

21 21 Gestion de la mobilité Possible uniquement si le réseau est en mode infrastructure. Protocole IAPP ( Inter-Access Point Protocol ) normalisée dans f. Association-réassociation Quand ? Lors de lentrée dans une cellule ou la mise sous tension. Principe. 1. Écoute du support: les balises donnent des infos: Bssid, débits disponibles, éventuellement essid. passive : La station écoute sur tous les canaux de transmission et attend de recevoir une trame balise du point daccès.. active : Sur chaque canal de transmission, la station envoie une trame de requête (Probe Request Frame) et attend une réponse. Dès quun ou plusieurs points daccès lui répond, elle enregistre les caractéristiques de ce dernier. 2. Authentification (après avoir trouvé le meilleur point daccès). deux mécanismes open system authentication : mode par défaut ; ne constitue pas une réelle authentification shared key authentication : véritable mécanisme dauthentification, repose sur le WEP (Wired Equivalent Privacy) ; repose sur une clef secrète partagée 3. Association réelle avec le point daccès. utilisation dun identifiant : SSID (Service Set ID) qui définit le réseau SSID émis régulièrement en clair par lAP dans une trame balise : constitue une faille de sécurité

22 22 Point daccès Station Probe Request Probe Response Ecoute (phase 1) Mécanisme dauthenfication Authenticication ( phase 2) Association Request Association Response Association (phase 3) Réassociation : lorsqu'une station se déplace d'un BSS à l'autre

23 23 Les handovers mécanisme permettant à un dispositif mobile de changer de cellule sans que la transmission en cours ne soit interrompue possible que si les cellules voisines se recouvrent non défini dans la norme IEEE ni b (WiFi) Protocole IAPP : Inter-Access Point Protocol (IEEE f) IAPP fait communiquer les différents points daccès dun même réseau de façon à permettre à un utilisateur mobile de passer dune cellule à une autre sans perte de connexion. Le seul lien entre les points daccès du réseau étant le système de distribution (DS), cest à ce niveau quest utilisé IAPP.

24 24 protocole de niveau transport (couche 4) qui se place au-dessus de UDP (User Datagram Protocol) : protocole sans connexion utilise le protocole RADIUS pour permettre des handovers sécurisés (RADIUS : Remote Authentication Dial-In User Server) serveur centralisé ayant une vue globale du réseau : il connaît la correspondance entre adresses IP et MAC Une caractéristique dIAPP est quil définit lutilisation du protocole client-serveur dauthentification RADIUS (Remote Authentication Dial-In User Server) afin doffrir des handovers sécurisés. Lutilisation de ce protocole demande la présence dun serveur centralisé ayant une vue globale du réseau. Le serveur RADIUS connaît la correspondance dadresse entre ladresse MAC des points daccès et leur adresse IP. Par ailleurs, ce protocole permet de distribuer des clés de chiffrement entre points daccès.

25 25

26 26 Économies dénergie Les réseaux sans fil peuvent être composés de stations fixes ou mobiles. Les stations fixes nont aucun problème déconomie dénergie puisquelles sont directement reliées au réseau électrique. Les stations mobiles sont alimentées par des batteries, qui nont généralement quune faible autonomie (quelques heures selon lutilisation). Pour utiliser au mieux ces stations mobiles, le standard définit deux modes dénergie, Continuous Aware Mode et Power Save Polling Mode : Continuous Aware Mode. Cest le mode de fonctionnement par défaut. Linterface Wi-Fi est tout le temps allumée et écoute constamment le support. Il ne sagit donc pas dun mode déconomie dénergie. Power Save Polling Mode. Cest le mode déconomie dénergie. Dans ce mode, le point daccès tient à jour un enregistrement de toutes les stations qui sont en mode déconomie dénergie et stocke les données qui leur sont adressées dans un élément appelé TIM (Traffic Information Map).

27 27 Les stations en veille sactivent à des périodes de temps régulières pour recevoir une trame balise contenant le TIM envoyé en broadcast par le point daccès. Entre les trames balises, les stations retournent en mode veille. Du fait de la synchronisation, une trame balise est envoyée toutes les 32 μs. Toutes les stations partagent le même intervalle de temps pour recevoir les TIM et sactivent de la sorte au même moment pour les recevoir. Les TIM indiquent aux stations si elles ont ou non des données stockées dans le point daccès. Lorsquune station sactive pour recevoir un TIM et quelle saperçoit que le point daccès contient des données qui lui sont destinées, elle lui envoie une trame de requête (PS-Poll) pour mettre en place le transfert des données. Une fois le transfert terminé, la station retourne en mode veille jusquà réception de la prochaine trame balise contenant un nouveau TIM. Consommation dénergie La consommation dune carte Wi-Fi b est de 30 mA en réception et de 200 mA en transmission pour le mode normal et de 10 mA pour le mode veille. La consommation dune carte a est beaucoup plus importante : 300 mA en réception, 500 mA en transmission et 15 mA en mode veille.

28 28 LA SÉCURITÉ

29 29 Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples : – L'interception de données en écoutant les transmissions des différents utilisateurs du réseau sans fil – Le détournement de connexion dont le but est d'obtenir l'accès à un réseau local ou à internet – Le brouillage des transmissions en envoyant des signaux radio de telle manière à produire des interférences – Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)

30 30 Accès au réseau et chiffrement Deux règles de protection élémentaires : Cacher le nom du réseau: Si un attaquant écoute le réseau suffisamment longtemps, il finira bien par voir passer le nom du réseau puisquun utilisateur qui souhaite se connecter doit donner ce SSID. Nautoriser que les communications contrôlées par une liste dadresses MAC, ou ACL (Access Control List). Cela permet de ne fournir laccès quaux stations dont ladresse MAC est spécifiée dans la liste. WEP : Wired Equivalent Privacy Deux modes étaient prévus en : Système ouvert (Open system authentication) : lauthentification est explicite. Un terminal peut donc sassocier avec nimporte quel point daccès et écouter toutes les données qui transitent au sein du BSS. Authentification par clé partagée (Shared key authentication) (WEP, Wired Equivalent Privacy) utilise un mécanisme de clé secrète partagée.

31 31 Open system Authentication : mécanisme par défaut

32 32 Shared Key Authentication : Le mécanisme Shared Key Authentication se déroule en quatre étapes : 1. Une station voulant sassocier avec un point daccès lui envoie une trame dauthentification. 2. Lorsque le point daccès reçoit cette trame, il envoie à la station une trame contenant 128 bits dun texte aléatoire généré par lalgorithme WEP. 3. Après avoir reçu la trame contenant le texte, la station la copie dans une trame dauthentification et la chiffre avec la clé secrète partagée avant denvoyer le tout au point daccès. 4. Le point daccès déchiffre le texte chiffré à laide de la même clé secrète partagée et le compare avec celui qui a été envoyé plus tôt. Si le texte est identique, le point daccès lui confirme son authentification, sinon il envoie une trame dauthentification négative.

33 33 Les failles de sécurité WiFi comporte de nombreuses failles dans toutes ses composantes « sécurité » : SSID (Service Set ID) : transmis en clair par lAP le mécanisme closed network interdit sa transmission dans les balises en mode ad-hoc, le SSID est systématiquement transmis en clair même en mode fermé, le SSID est transmis en clair pendant lassociation utilisation du SSID par défaut, configuré par les constructeurs ACL optionnel, donc peu souvent utilisé repose sur lidentification de ladresse MAC simuler une adresse MAC décodée, si celui-ci se trouve dans le périmètre du réseau WEP la clé peut être découverte par simple écoute du réseau avec des logiciels du domaine public pas de mécanisme de distribution des clés

34 34 Les failles de sécurité Solutions actuelles 802.1X : Protocole permettant de n'autoriser l'accès à un port réseau qu'après authentification, Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802 port réseau = port de commutateur (802.3), association (802.11) WEP dynamique : Une clé WEP par utilisateur et par session, Clé commune pour les trames multicast Avantages : empêche la découverte des clés distribution automatique des clés EAP : Extended Authentication Protocol: développé à l'origine pour lauthentification des utilisateurs se connectant en PPP sur des serveurs daccès distants,l'authentification elle-même repose sur des « méthodes » (protocoles) définies par ailleurs et encapsulées dans EAP réseaux privés virtuels (VPN) RADIUS Remote Authentication Dial In User Service

35 35 WPA:(Wi-Fi Protected Access) Pour pallier les insuffisances du WEP, son fonctionnement repose sur un système d'échange de clés dynamiques, renouvelées tous les 10 ko de données Ce procédé, appelé TKIP (Temporal Key Integrity Protocol), protége mieux les clés du décryptage et devrait améliorer sensiblement la sécurité des réseaux sans fil.


Télécharger ppt "1 Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès."

Présentations similaires


Annonces Google