La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le Wi.Fi. Yonel Grusson 2 Introduction Les réseaux locaux sans fil ( WLAN – Wireless Local Area Network ) sont décrits dans la norme IEEE 802.11 ( ISO/CEI.

Présentations similaires


Présentation au sujet: "Le Wi.Fi. Yonel Grusson 2 Introduction Les réseaux locaux sans fil ( WLAN – Wireless Local Area Network ) sont décrits dans la norme IEEE 802.11 ( ISO/CEI."— Transcription de la présentation:

1 Le Wi.Fi

2 Yonel Grusson 2 Introduction Les réseaux locaux sans fil ( WLAN – Wireless Local Area Network ) sont décrits dans la norme IEEE ( ISO/CEI ). Les RLAN ( Radioélectrique LAN ) permettent : aux entreprises de mettre en place ou d'étendre des réseaux informatiques sans infrastructure filaire, de faciliter le "nomadisme", utilisation de portable, hot spot ( point d'accès public ), etc.

3 Yonel Grusson 3 La WECA ( Wireless Ethernet Compatibility Alliance ) est l'organisme chargé d'étudier l'interopérabilité des matériels de la norme A l'origine le terme "WiFi" n'avait pas de signification. Il s'agissait d'un terme publicitaire. Par la suite ce terme a été justifié avec le slogan " The standard for Wireless Fidelity " Introduction Logo de la Weca utilisé pour certifier le matériel conforme aux normes Attention ce logo est protégé

4 Yonel Grusson 4 La normalisation Elle est assurée essentiellement par le groupe de l'I.E.E.E. La norme initiale a connu de nombreuses révisions notées a, b, g pour les principales. Ces révisions visent essentiellement : une amélioration du débit et/ou une amélioration de la sécurité.

5 Yonel Grusson a Cette norme : fixe un haut débit maximum à 54 Mbits/s théorique spécifie 8 canaux radio dans la bande de fréquence des 5 Ghz La normalisation Débit théorique (intérieur)Portée 54 Mbits/s10 m 48 Mbits/s17 m 36 Mbits/s25 m 24 Mbits/s30 m 12 Mbits/s50 m 6 Mbits/s70 m Extrait du site "Comment ça marche"

6 Yonel Grusson b Une des normes les plus répandues avec la g. Elle : fixe un débit moyen maximum à 11 Mbits/s théorique une portée pouvant aller à 300 mètres spécifie 3 canaux radio (1, 6 et 11) sur la bande de fréquence des 2,4 Ghz ( voir plus loin ). On trouve une norme propriétaire b+ qui améliore le débit La normalisation

7 Yonel Grusson 7 les normes a et b sont incompatibles. Néanmoins certains matériels offrent les 2 normes. La normalisation Débit théoriquePortée (en intérieur) Portée (en extérieur) 11 Mbits/s50 m200 m 5.5 Mbits/s75 m300 m 2 Mbits/s100 m400 m 1 Mbits/s150 m500 m Extrait du site "Comment ça marche" b

8 Yonel Grusson g Norme compatible avec la b qui offre un haut débit à 54 Mbits/s théoriques (30 Mbits/s réels). spécifie 3 canaux radio (1, 6 et 11) sur la bande de fréquence des 2,4 Ghz ( voir plus loin ). La normalisation

9 Yonel Grusson g La normalisation Débit théoriquePortée (en intérieur) Portée (en extérieur) 54 Mbits/s27 m75 m 48 Mbits/s29 m100 m 36 Mbits/s30 m120 m 24 Mbits/s42 m140 m 18 Mbits/s55 m180 m 12 Mbits/s64 m250 m 9 Mbits/s75 m350 m 6 Mbits/s90 m400 m Extrait du site "Comment ça marche"

10 Yonel Grusson 10 Les autres normes : d : Internationalisation de la norme afin de permettre au matériel d'échanger des informations sur les puissances et les bandes de fréquences définies par chaque pays c : modification de la norme d pour créer un pont de vers d. La normalisation

11 Yonel Grusson 11 Les autres normes : e : Pour améliorer la qualité du service afin dobtenir une meilleure utilisation de la bande passante pour transmettre de la voix et de la vidéo f : Elle définit l'interopérabilité des points d'accès (itinérance ou roaming) h : Rapproche la norme de la norme européenne HiperLAN2 afin d'être en conformité avec la réglementation européenne. La normalisation

12 Yonel Grusson 12 Les autres normes : i : Elle améliore la sécurité (authentification, cryptage et distribution des clés) en s'appuyant sur la norme Advanced Encryption Standard (AES). Cette norme s'applique aux transmissions a, b et g i met en place le WPA2 (en 2004) La normalisation

13 Yonel Grusson 13 La gestion des ondes radios - Législation Les ondes radios sont légalement réparties selon leur utilisation : La normalisation AppellationFréquencesRemarque FMAutour de 100 MhzRadio VHF2 bandes, autour de 60 Mhz et autour de 200 MhzTélévision UHFEntre 400 et 800 MhzTélévision ISM (Industrial Scientific and Médical) 3 bandes, autour de 900 Mhz, autour de 2,4 Ghz et autour de 5,8 Ghz Téléphone sans fil, appareils médicaux, Wi-Fi, four à micro-ondes, etc. UNII (Unlicensed National Information Infrascruture) 2 bandes, la première autour de 5,2 Ghz, la seconde autour de 5,8 Ghz Réseaux sans fil

14 Yonel Grusson 14 La gestion des ondes radios - Législation La normalisation P.I.R.E (Puissance isotrope rayonnée équivalente) : Puissance rayonnée par l'antenne en tenant compte de son gain en dBi

15 Yonel Grusson 15 Le canal 11 est le canal utilisé par défaut pour le WiFi, en effet : Les canaux de 1 à 8 sont partagés avec les radioamateurs (ils sont prioritaires et utilisent des puissances plus élevées) Les canaux 1, 5, 9 et 13 sont utilisés par transmetteurs audio- vidéo domestique. La fréquence Ghz est celle utilisée par les micro-ondes. La normalisation Le spectre débute à MHz. Le spectre se termine à 2 483,5 MHz. Canal Fréquence en Ghz La bande commence à : 2,4 Ghz jusqu'à : 2,4835 Ghz. Le tableau donne la fréquence centrale. La largeur du canal et de 22 Mhz (11 Mhz de part et d'autre) On remarque que les canaux se recouvrent largement.

16 Yonel Grusson 16 Les composants Les 2 composants de base d'un réseau Wi-Fi sont Le point d'accès L'interface client. Le point d'accès Élément central d'un réseau Wi-Fi de type "infrastructure". Il peut être assimiler à un concentrateur filaire avec des fonctions supplémentaires.

17 Yonel Grusson 17 Le point d'accès Différentes fonctions : Gestion de l'émission radio Prise en charge de la norme avec un aspect sécuritaire (authentification et cryptage) qui n'existe pas avec un Switch. Logiciel de configuration sous la forme d'un serveur Web ou agent SNMP ( à travers le réseau et/ou prises USB ou série ) Les composants

18 Yonel Grusson 18 Le point d'accès Différentes fonctions : La gestion du réseau – Connexion au réseau filaire. Fonction "pont" Ethernet/ – Gestion des VLAN – Serveur DHCP Le point d'accès est un équipement de Niveau 2 Les composants

19 Yonel Grusson 19 Exemples : Les composants Aironet 1200 de Cisco Aironet 1100 de Cisco AP-5131 de Symbol

20 Yonel Grusson 20 Les composants ProSafe de NetGear

21 Yonel Grusson 21 Les composants ProSafe de NetGear (face arrière) Antenne Primaire Antenne Secondaire Connecteur Série pour une administration à partir d'une console Connexion au réseau filaire Ethernet Reset de la configuration Alimentation électrique ( si pas de POE )

22 Yonel Grusson 22 L'interface client Elle peut être : Intégrée sur la carte mère du poste (portable et de plus en plus sur les cartes mères des machines de bureau) Enfichable dans le poste client comme une interface réseau filaire. Un adaptateur pour les périphériques ne pouvant pas recevoir de carte (imprimante) Les composants

23 Yonel Grusson 23 Exemples Les composants Société D-Link DWL-G520+ Carte PCI Sans Fil g+ 11/22/54Mbps Société D-Link DWL-G650/FR Carte PC Cardbus Super G 108Mbps g

24 Yonel Grusson 24 Les composants Société NetGear WG311T Carte PC Cardbus 108Mbps Wireless PCI Adaptator g

25 Yonel Grusson 25 Exemples Société D-Link DP-G321 Serveur d'impression 3 ports sans fil Les composants

26 Yonel Grusson 26 Les topologies Les réseaux Wi-Fi Ad-Hoc Dans ce type d'infrastructure, les machines se connectent les unes aux autres dans une topologie point à point (peer to peer). Il s'agit d'un fonctionnement semblable au workgroup. Chaque machine joue à la fois les rôles de client et de point d'accès. Chaque station forme un ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS).

27 Yonel Grusson 27 Les topologies

28 Yonel Grusson 28 Les réseaux Ad-Hoc s'appliquent au petites structures (réseau domestique par exemple). L'interconnexion des machines dépend : De leur éloignement les une par rapport aux autres. De la puissance de l'émission du signal radio. Des obstacles (cloisons, etc.) Les topologies

29 Yonel Grusson 29 Les réseaux Wi-Fi d'infrastructure Dans ce type de réseau chaque station Wi-Fi se connecte à un point d'accès qui lui même est généralement connecté à un réseau filaire. L'ensemble du point d'accès et des stations situées dans sa zone de couverture radio forme un ensemble de services de base (en anglais basic service set, noté BSS) appelé cellule. Le BSS est identifié par un BSSID. Les topologies

30 Yonel Grusson 30 Les topologies Point d'accès Réseau filaire Ethernet BSS

31 Yonel Grusson 31 Plusieurs points d'accès donc plusieurs BSS peuvent être reliés soit par un câble soit par une connexion Wi-Fi. Plusieurs BSS ainsi reliés forment un un ensemble de services étendu (Extended Service Set ou ESS). Un ESS est repéré par un ESSID souvent abrégé en SSID (Service Set Identifier), un identifiant de 32 caractères au format ASCII servant de nom pour le réseau. Les topologies

32 Yonel Grusson 32 Les topologies Point d'accès Réseau filaire Ethernet BSS Point d'accès BSS = ESS

33 Yonel Grusson 33 L'itinérance ou le roaming correspond au fait qu'un utilisateur nomade passe de façon transparente d'un BSS à l'autre. Les point d'accès communique entre eux grâce au système d'interconnexion. Les topologies

34 Yonel Grusson 34 Les réseaux WiFi sont comme pour Ethernet des réseaux utilisant le mode de propagation par diffusion. Mais la sécurité première du réseau filaire à savoir le raccordement physique de la machine sur le lien, n'existe pas. Donc les ondes émises par un point d'accès WiFi peuvent être captées par n'importe quelle machine située dans son rayon d'émission. Par contre, cette caractéristique est celle recherchée par les hotspots (points d'accès publics) La sécurité

35 Yonel Grusson 35 Ainsi dans le cadre d'une organisation, la sécurité est donc primordiale concerne : L'accès physique au réseau Les antennes La puissance du signal L'accès "logique" au réseau (couche 2) Filtrage des adresses MAC La confidentialité des échanges avec les technologies WEP, WPA et WPA2 La sécurité

36 Yonel Grusson 36 Les antennes Les caractéristiques d'une antenne sont la forme, la taille et le gain. Le gain Le gain d'antenne est normalement donné en décibels isotropiques [dBi]. C'est le gain de puissance par rapport à une antenne isotropique (antenne rayonnant avec la même puissance dans toutes les directions....une telle antenne n'existe pas dans la réalité !). La sécurité

37 Yonel Grusson 37 Les antennes Les caractéristiques d'une antenne sont la forme, la taille et le gain. On distingue les antennes : omnidirectionnelles (ou dipôle) semi-directionnelles hautement directionnelles La sécurité

38 Yonel Grusson 38 La puissance (P) d'un signal radio Elle est exprimée soit en Watts ou alors dans une unité relative en décibels par rapport au milliwatt (dBm). dBm= 10*log 10 (P/ 0.001) ( P en watt) Le gain Il s'exprime en décibel (db) Gain en db = 10*log 10 (P sortie / P entrée) avec P exprimé en mw La sécurité

39 Yonel Grusson 39 Le tableau donne le gain en fonction du rapport Coeff = (P sortie / P entrée) Le Gain d'une antenne Le gain d'antenne est normalement donné en décibels isotropiques [dBi]. C'est le gain de puissance par rapport à une antenne isotropique (antenne rayonnant avec la même puissance dans toutes les directions.... une telle antenne n'existe pas dans la réalité !). La sécurité

40 Yonel Grusson 40 Le Gain d'une antenne Plus une antenne a du gain plus elle est directive. Le gain d'une antenne est le même à la réception et à l'émission La sécurité

41 Yonel Grusson 41 Les antennes Les antennes omnidirectionnelles C'est la plus courante dans les réseaux Wifi La sécurité Exemple : Netgear Antenne omnidirectionnelle 9 dBi Gain

42 Yonel Grusson 42 Les antennes Les antennes omnidirectionnelles La sécurité Vue de dessusVue de profil

43 Yonel Grusson 43 La sécurité Dans une pièce – bonne position Les antennes Les antennes omnidirectionnelles Dans une pièce – à éviter

44 Yonel Grusson 44 Les antennes Les antennes semi-directionnelles La sécurité Antenne Patch Se présentent le plus souvent sous forme de panneau (Antenne NETGEAR 18 dBi Patch Panel Directional ) Antenne Yagi (utilisé plutôt en extérieur) ( Antenne Yagi D-Link extérieure à haut gain 12dBi )

45 Yonel Grusson 45 Les antennes Les antennes semi-directionnelles La sécurité Antenne Patch Antenne Yagi

46 Yonel Grusson 46 Les antennes Les antennes semi-directionnelles Elles couvrent une zone plus étendue du fait que leur puissance est plus importante. Elles sont adaptées à des locaux en longueur ou, placées en plafond, pour couvrir un local. La sécurité

47 Yonel Grusson 47 Les antennes Les antennes directionnelles La sécurité Sous la forme de paraboles pleines ou ajourées, ces antennes hautement directionnelles sont utilisées deux par deux dans un parfait alignement pour interconnecter des bâtiments. Leur gain est généralement élevé. Antenne directionnelle D-Link 21dBi

48 Yonel Grusson 48 La puissance En fonction de sa puissance, une onde s'atténue plus ou moins rapidement et sa zone de couverture sera plus faible. Il est donc possible de diminuer, dans certaines limites, cette puissance pour restreindre la zone de réception du signal. La sécurité

49 Yonel Grusson 49 La sécurité au niveau de la couche 2 Les points d'accès émettent de façon régulière (toutes les 0.1 secondes environ) des trames de balise (beacon) contenant entre autre le nom du réseau ( SSID - Service Set Identifier – sur 32 caractères ) Une station WiFi qui a déjà été connectée sur un point d'accès, essaie de se reconnecter avec les paramètres stockés (trame probe request). Le point d'accès lui répond avec une trame probe response. La sécurité

50 Yonel Grusson 50 Si le point d'accès ne répond pas, la station explore les différents canaux pour capter une ou plusieurs trames de balise. En général, la station montre la liste des SSID qu'elle reçoit. Le choix de l'utilisateur entraîne l'envoi d'une trame probe request vers le point d'accès choisi. Note : Dans un but de sécurité, il est possible de cacher le SSID dans les trames de balise envoyées par un point daccès. La sécurité

51 Yonel Grusson 51 Filtrage des adresses MAC Un premier niveau de sécurité se situe à ce niveau. Les points d'accès peuvent être configurés avec la liste des adresses MAC des interfaces Wifi pouvant se connecter. Il s'agit ici d'éviter les intrusions ( attention, il est possible de "couvrir" l'adresse MAC physique par une adresse MAC logique ). Ce filtrage est inenvisageable dans le cas d'un hotspot. La sécurité

52 Yonel Grusson 52 La sécurité L'authentification et la confidentialité (cryptage) des échanges sur un réseau WiFi a beaucoup évolué : La technique préconisée à l'origine par la norme est le WEP ( Wired Equivalent Privacy ). Plusieurs défauts et faiblesses ont été décelés dans cette technique. En 2003, apparition du WPA (WiFi Protected Access), amélioré… En 2004, avec le WPA2 (normalisé par i et certifié par la WiFi Alliance)

53 Yonel Grusson 53 Le WEP (Wired Equivalent Privacy) Bien qu'obsolète cette technique offre tout de même un niveau de sécurité qui peut être suffisant dans certaines organisations. Le WEP procède en 3 étapes : 1.Génération d'une clé pseudo aléatoire à partir dune clé partagée. 2.Génération d'un contrôle d'intégrité 3.Génération du message crypté qui est transmis La sécurité

54 Yonel Grusson 54 1.Génération d'un clé pseudo aléatoire Les deux partenaires (point d'accès et station) possède une clé privée de 40 ou 104 bits. Cette clé sera associée à un vecteur d'initialisation ( Initialisation Vector - IV ) généré aléatoirement. La sécurité Clé privée Vecteur d'initialisation 40 ou 104 bits 24 bits Clé privéeIV 64 ou 128 bits Clé de cryptage pseudo aléatoire Algorithme RC4

55 Yonel Grusson 55 2.Génération d'un contrôle d'intégrité Le contrôle d'intégrité (équivalent à un checksum) sera recalculé par le destinataire pour savoir si le message n'a pas subi de modification (intentionnelle ou non) La sécurité Message à envoyerCRC CRC32 Contrôle de Redondance Cyclique sur 32 bits Message à envoyer

56 Yonel Grusson 56 3.Génération du message crypté qui est transmis Le message transmis sera l'association du résultat d'un simple XOR entre les résultats des étapes 1 et 2 accompagné du vecteur d'initialisation (en clair) La sécurité Message à envoyerCRC Clé de cryptage XOR Message cryptéIV Vecteur d'initialisation

57 Yonel Grusson 57 On trouve des versions du WEP avec des clés à 256 bits ( ). Les failles : Il n'y pas de génération et de gestion de clés. La même clé est ici partagée par toutes les stations. La transmission du vecteur d'initialisation en clair permet après la capture de plusieurs trames de retrouver la clé privée (avec 2 24 possibilités le même vecteur d'initialisation revient assez rapidement – Par exemple avec 1000 trames par seconde le vecteur réapparaît environ au bout de 5 heures) La sécurité

58 Yonel Grusson 58 WPA et WPA2 (WiFi Protected Access) WPA doit être considéré comme une étape intermédiaire (amélioration de WEP) avant la mise en place de WPA2. Mais l'aspect innovant de WPA qui n'intègre pas la sécurité i est l'utilisation du protocole TKIP ( Temporal Key Integrity Protocol ) qui assure une modification dynamique de la clé de cryptage durant la session (tous les 10ko de données échangés). WPA2 préconise d'utiliser CCMP ( Counter- Mode/CBC-Mac protocol ) à la place de PKIP. La sécurité

59 Yonel Grusson 59 WPA et WPA2 (WiFi Protected Access) TKIP continue d'utiliser l'algorithme RC4 alors que CCMP utilise l'algorithme AES ( Extensible Authenfication Protocol ) TKIP utilise une clé de 128 bits et un vecteur d'initialisation de 48 bits ( au lieu des 24 bits dans WEP ) WPA et WPA2 utilisent un contrôle d'intégrité nommé MIC ( Message intégrity Code ) au lieu du CRC utilisé par le WEP ( MIC est prénommé Michael ) La sécurité

60 Yonel Grusson 60 WPA2 (WiFi Protected Access) WPA2 a deux modes de fonctionnement : Mode authentifié ( WPA2 Enterprise ). Conformément à la norme 802.1x ce mode utilise un serveur d'authentification (en général RADIUS) chargé de distribuer une clé à chaque utilisateur. Mode PSK pre-shared key ( WPA2 Personnal ) Sans serveur, les utilisateurs partagent la même clé (passphrase) comme avec le WEP. Mode orienté vers les PMI/PME. La sécurité

61 Yonel Grusson 61 Les phases de la norme 802.1x Les éléments de la négociation sont le supplicant (station), l'authenticator (point d'accès) et l'authenticator server (serveur Radius) Négociation de la politique de sécurité (EAP-TLS, EAP-TTLS, EAP-SIM, etc.…) Authentification 802.1x Échanges et dérivation des clés à l'aide de EAP Chiffrement des données La sécurité

62 Yonel Grusson 62 Les phases de la norme 802.1x La sécurité Station (Supplicant) Point d'accès (Authenticator) Serveur RADIUS (Authenticator Server) Négociation de la politique de sécurité (EAP-TLS, EAP-TTLS, EAP-SIM, etc.…) Échanges et dérivation des clés à l'aide de EAP Chiffrement des données Authentification 802.1x Chaque flèche se décompose elle-même en plusieurs phases.


Télécharger ppt "Le Wi.Fi. Yonel Grusson 2 Introduction Les réseaux locaux sans fil ( WLAN – Wireless Local Area Network ) sont décrits dans la norme IEEE 802.11 ( ISO/CEI."

Présentations similaires


Annonces Google