La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Administration dun réseau WIFI BARBIER - GUEGAN. Le réseau sans fil WIFI Système de communication sans fil Système de communication sans fil Mise en place.

Présentations similaires


Présentation au sujet: "Administration dun réseau WIFI BARBIER - GUEGAN. Le réseau sans fil WIFI Système de communication sans fil Système de communication sans fil Mise en place."— Transcription de la présentation:

1 Administration dun réseau WIFI BARBIER - GUEGAN

2 Le réseau sans fil WIFI Système de communication sans fil Système de communication sans fil Mise en place des réseaux informatiques hertziens Mise en place des réseaux informatiques hertziens Couvre l'équivalent d'un réseau local d'entreprise Couvre l'équivalent d'un réseau local d'entreprise Portée d'environ une centaine de mètres Portée d'environ une centaine de mètres Standard international (Wireless Fidelity) Standard international (Wireless Fidelity) Protocole robuste, multiples fonctionnalités Protocole robuste, multiples fonctionnalités Minimiser les interférences Minimiser les interférences Maximaliser la bande passante sur les canaux Maximaliser la bande passante sur les canaux Peut travailler de manière transparente avec lEthernet Peut travailler de manière transparente avec lEthernet à travers un pont, ou un point daccès, de manière à ce que tous les éléments avec et sans fils puissent interagir. à travers un pont, ou un point daccès, de manière à ce que tous les éléments avec et sans fils puissent interagir.

3 PLAN Caractéristiques du WIFI Caractéristiques du WIFI Le WLAN Le WLAN Le fonctionnement Le fonctionnement La sécurité La sécuritéConclusion

4 Différentes normes : IEEE NormeFréquenceDébitportéemodulation Nb canaux a 5 GHz 54 Mbit/s 10 m OFDM b 2.4 GHz 11 Mbit/s 100 m DQPSK g 2.4 GHz 54 Mbit/s 100 m OFDM a non compatible avec b/g Nécessité dune carte dual band

5 LAN sans fil = WLAN Deux éléments Deux éléments AP (Access Point) ou autre équipement commutateur ou routeur AP (Access Point) ou autre équipement commutateur ou routeur Station mobile équipé dune interface sans fil Station mobile équipé dune interface sans fil BSSID (Basic Service Set Identification) BSSID (Basic Service Set Identification) Adresse du point daccès Adresse du point daccès Toutes les communications au sein dun BSSID passent par lAP Toutes les communications au sein dun BSSID passent par lAP

6 Le fonctionnement Deux modes opératoires : Deux modes opératoires : Mode infrastrucuture : clients sans fil connectés à un point d'accès (mode par défaut des cartes WIFI) Mode infrastrucuture : clients sans fil connectés à un point d'accès (mode par défaut des cartes WIFI) Mode ad hoc : clients connectés les uns aux autres sans points d'accès Mode ad hoc : clients connectés les uns aux autres sans points d'accès

7 Le manque de sécurité du sans-fil Ondes radio-électriques Ondes radio-électriques Capacité à se propager dans toutes les direction Capacité à se propager dans toutes les direction Difficulté à confiner les émissions dans un périmètre restreint Difficulté à confiner les émissions dans un périmètre restreint Facilité « découte » du réseau Facilité « découte » du réseau Linterception de données Linterception de données Le détournement de connexion (accès à un réseau local ou à Internet) Le détournement de connexion (accès à un réseau local ou à Internet) Le brouillage des transmissions (émission de signaux générant des interférences) Le brouillage des transmissions (émission de signaux générant des interférences) Les dénis de service (surcharge des réseaux) Les dénis de service (surcharge des réseaux)

8 La sécurité Mécanisme de sécurité Mécanisme de sécurité ClientConsidération WEP Supporté par les clients b/g Fournit une sécurité faible avec une clé partagée manuelle WEP sur 802.1x WEP sur 802.1x 802.1x supporté par les clients, natif Win XP Fournit une clé dynamique Requiert un serveur RADIUS 802.1x EAP requiert un certificat numérique pour clients et serveur Filtrage adresse MAC Utilise les adresse MAC des Clients sans-fil Fournit une authentification faible, peut être combiné avec dautres méthodes (option : serveur RADIUS) (option : serveur RADIUS) WPA WPA supporté par les drivers des cartes réseaux, natif sur Win XP Sécurité robuste Serveur RADIUS requis 802.1x EAP certificat numérique WPA Pre-Share Key WPA supporté par les drivers des cartes réseaux, natif sur Win XP Bonne sécurité sur petits réseaux ou réseaux sans serveur RADIUS Clé partagé manuelle

9 Filtrage Nautorise que certaines stations à pénétrer dans le réseau Nautorise que certaines stations à pénétrer dans le réseau Ne résoud pas le problème de confidentialité Ne résoud pas le problème de confidentialité Usurpation très facile suivant la carte : Usurpation très facile suivant la carte : configuration avancé de la carte / configuration avancé de la carte /

10 Chiffrement WEP (Wireless Equivalent Privacy) : WEP (Wireless Equivalent Privacy) : 128 bits assure un niveau de confidentialité minimum 128 bits assure un niveau de confidentialité minimum évite de cette façon 90% des risques d'intrusion évite de cette façon 90% des risques d'intrusion Chiffrement statique Nb bits Nb caractères

11 WPA Utilise TKIP (Temporal Key Integrity Protocol) : Utilise TKIP (Temporal Key Integrity Protocol) : s'adapte mieux au matériel existant s'adapte mieux au matériel existant utilise RC4 comme algorithme de chiffrement utilise RC4 comme algorithme de chiffrement contrôle d'intégrité MIC contrôle d'intégrité MIC Introduit un mécanisme de gestion des clés Introduit un mécanisme de gestion des clés (création de clés dynamiques à un intervalle de temps prédéfini) (création de clés dynamiques à un intervalle de temps prédéfini)

12 WPA 2 (802.11i) Utilise CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) Utilise CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) Plus puissant que TKIP Plus puissant que TKIP Utilise AES comme algorithme de chiffrement Utilise AES comme algorithme de chiffrement Solution semble se distinguer à long terme Solution semble se distinguer à long terme Protocole incompatible avec le matériel actuel Protocole incompatible avec le matériel actuel

13 Principe du chiffrement

14 Principe du déchiffrement

15 Politique de VLANs Sépare virtuellement les utilisateur de différents groupes de travail sur un même réseau physique Sépare virtuellement les utilisateur de différents groupes de travail sur un même réseau physique Accès restrictif et personnalisé aux ressources Accès restrictif et personnalisé aux ressources Sous réseaux hermétiques Sous réseaux hermétiques 1 VLAN = 1 SSID = 1 sous réseau 1 VLAN = 1 SSID = 1 sous réseau Possibilité de tout type de VLAN sur le switch Possibilité de tout type de VLAN sur le switch Possibilité dimplémentation des différents types de chiffrement (WEP, WPA, …) Possibilité dimplémentation des différents types de chiffrement (WEP, WPA, …)

16 VLAN : Mise en place

17 Lauthentification Solution alternative aux clés de chiffrement Solution alternative aux clés de chiffrement 802.1X 802.1X Serveurs Radius Serveurs Radius Tunnels VPN Tunnels VPN

18 Authentification 802.1X Mécanisme de relais dauthentification de niveau 2 Mécanisme de relais dauthentification de niveau 2 Besoin de sauthentifier dès laccès physique au réseau (points daccès WIFI) Besoin de sauthentifier dès laccès physique au réseau (points daccès WIFI) Norme 802.1x développée aussi pour les VLAN Norme 802.1x développée aussi pour les VLAN Sappuie également sur les normes de niveau 2 comme Ethernet Sappuie également sur les normes de niveau 2 comme Ethernet Phase dauthentification, avant tout autre mécanisme dauto- configuration (DHCP, par ex) Phase dauthentification, avant tout autre mécanisme dauto- configuration (DHCP, par ex) Possibilité daffectation dynamique des VLAN en fonction des caractéristiques de lauthentification. Possibilité daffectation dynamique des VLAN en fonction des caractéristiques de lauthentification. Nécessite lassociation à un serveur dauthentification (Radius) ou système de clé pré-partagé Nécessite lassociation à un serveur dauthentification (Radius) ou système de clé pré-partagé

19 802.1X et Radius 802.1X basée sur le protocole EAP (PPP Extensible Authentication Protocol) extension du protocole PPP (défini dans la RFC 2284) X basée sur le protocole EAP (PPP Extensible Authentication Protocol) extension du protocole PPP (défini dans la RFC 2284). EAP permet la négociation dun protocole dauthentification entre le client et un serveur radius Pas une méthode de chiffrement Fournit un mécanisme dinitialisation des clés

20 Mécanisme

21 Sécurité maximale Possibilité de combiner tous les mécanismes de sécurité Possibilité de combiner tous les mécanismes de sécurité Filtrage Filtrage Chiffrement (WPA2) Chiffrement (WPA2) Authentification 802.1X + Radius Authentification 802.1X + Radius Implémentation dans des VLANs Implémentation dans des VLANs Linux (!) Linux (!) Tous les équipements wireless doivent être compatibles ! Tous les équipements wireless doivent être compatibles !

22 VPN (Virtual Private Network) Sécuriser les échanges entre différentes entités sur Internet. Sécuriser les communications dutilisateurs mobiles. Simple à mettre en oeuvre, Fiable et difficilement « cassable » Facilement conciliable avec les infrastructures en place dans les entreprises Complètement transparent pour lutilisateur Composante nécessaire sur les réseaux WiFi publics.

23 VPN (Virtual Private Network) Repose sur un protocole de tunnelisation Repose sur un protocole de tunnelisation Données sécurisées par des algorithmes de chiffrement Données sécurisées par des algorithmes de chiffrement Mode client-serveur Mode client-serveur Différents protocoles Différents protocoles PTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. PTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.niveau 2niveau 2 L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolèteniveau 2niveau 2 L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.RFC 2661niveau 2PPPRFC 2661niveau 2PPP IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.niveau 3IETFniveau 3IETF

24 CONCLUSION Bien placer les bornes (éviter démettre à des endroits inutiles) Bien placer les bornes (éviter démettre à des endroits inutiles) Utiliser des algorithmes de chiffrement efficaces (WPA) ou changer de clé WEP régulièrement Utiliser des algorithmes de chiffrement efficaces (WPA) ou changer de clé WEP régulièrement Eviter les mots du dictionnaire Eviter les mots du dictionnaire éviter les valeurs par défaut éviter les valeurs par défaut diffusion Broadcast du SSID diffusion Broadcast du SSID mot de passe administrateur mot de passe administrateur adresse IP de lAP adresse IP de lAP serveur DHCP activé serveur DHCP activé Combiner les différents mécanismes de sécurité Combiner les différents mécanismes de sécurité

25 Lavenir n n + de 100 Mb/s, le nouvel Ethernet ? + de 100 Mb/s, le nouvel Ethernet ? Un concurent : le Wimax ? Un concurent : le Wimax ? Portée : 50 km Portée : 50 km BF : entre 2 et 11 GHz BF : entre 2 et 11 GHz 70 Mb/s 70 Mb/s relais Internet à des zones rurales non desservies par les réseaux standards, à la manière du satellite relais Internet à des zones rurales non desservies par les réseaux standards, à la manière du satellite


Télécharger ppt "Administration dun réseau WIFI BARBIER - GUEGAN. Le réseau sans fil WIFI Système de communication sans fil Système de communication sans fil Mise en place."

Présentations similaires


Annonces Google