Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès.

Slides:



Advertisements
Présentations similaires
Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé
Advertisements

Module Systèmes d’exploitation
Les protocoles réseau.
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Couche liaison de données
Client Mac dans un réseau Wifi d’entreprise sécurisé
1 Chapitre V Wifi (802.11). 2 Sommaire I.Introduction II.Pourquoi déployer un réseau sans fil aujourd'hui ? III.Les catégories de réseaux sans fils.
Protocole PPP* *Point-to-Point Protocol.
- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
IPv6 et la Mobilité DESS Réseaux 1-INTRODUCTION
Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux
Réseaux Privés Virtuels
Réseaux sans fils : norme IEEE
Cours Présenté par …………..
Le Bus CAN CAN est un véritable réseau qui respecte le modèle OSI
Généralités sur les réseaux sans fil
Protocole IEEE f Naitbelle Lahoucine Estevao Emile Option RIO TTN09
Administration d’un réseau WIFI
Introduction aux réseaux
SECURITE DU SYSTEME D’INFORMATION (SSI)
Le modèle O.S.I..
Damier Alexandre & Lebrun Bastien
Architecture Réseau Modèle OSI et TCP.
JST 2008 Michel Boisgontier CETMEF/DSANM/GRB Ministère de l'Écologie, de l'Énergie, du Développement durable et de l'Aménagement.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Serveurs Partagés Oracle
TRANSMISSION DES DONNEES.
Fonction COMMUNIQUER les liaisons série
Virtual Local Area Network
Chapitre 4.
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
Les relations clients - serveurs
Protocole 802.1x serveur radius
L’IEEE
Le ou Wi-Fi
Les pointeurs Modes d’adressage de variables. Définition d’un pointeur. Opérateurs de base. Opérations élémentaires. Pointeurs et tableaux. Pointeurs et.
Le déploiement d’une solution sous la norme
802.1x Audric PODMILSAK 13 janvier 2009.
Notification de mobilité dans les réseaux hybrides sans fil
Le Modele OSI.
La sécurité dans les réseaux mobiles Ad hoc
SECURITE DES RESEAUX WIFI
Cours 5 Le modèle de référence.
Les réseaux locaux virtuels : VLAN
Couche Transport (4) Routeur Messages entre A et B
OSI et TCP/IP CNAM
Le partage de la ligne.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Architecture ISEP 2007– A3 Partie 2.
Présentation sous titre : LA TECHNOLOGIE WIFI
Wireless Local Area Network
Les réseaux sans fils Elaboré par: Encadré par: Lemniai Abdelhak
UE3-1 RESEAU Introduction
L’authentification Kerberos
Les Normes La sécurité et ses failles Quelques attaques simples
Réseaux locaux Rappels sur Ethernet et Token Ring Spanning Tree VLANs.
Les fonctionnalités de base des réseaux
Architecture Client/Serveur
 Sécurité Réalisé par : Encadré par : KADDOURI Arafa
Les réseaux locaux (Ethernet)
La sécurité du Wifi Le WEP Le WPA Le 802.1X.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
M2.22 Réseaux et Services sur réseaux
1 P ROTOCOLE DHCP Dynamic Host Configuration Protocol.
Le WiFi [Présentation] [Sujet du cours : WiFi, et réseaux sans fils]
Transcription de la présentation:

Les BSS peuvent être interconnectés par un « système de distribution » (DS, Distribution System) : le plus souvent un réseau Ethernet Un point d'accès est une station qui fournit l'accès au DS (Le mode Infrastructure) L'ensemble formé par le point d'accès et les stations situées dans sa zone de couverture est appelé BSS pour « Basic Service Set » et constitue une cellule. ESS (Extended Service Set) : ensemble de BSS interconnectés par un système de distribution Les stations peuvent communiquer entre elles et passer d'un BSS à l'autre à l'intérieur d'un même ESS

Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il s'agit généralement du mode par défaut des cartes 802.11b. Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format AZSCII) servant de nom pour le réseau. L'ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu'une station se connecte au réseau étendu. Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ESS, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais handover).

7. Fonctionnalités de la couche MAC Contrôle de l’accès au support de transmission. Fragmentation et réassemblage des trames de données. Contrôle d’erreur. Gestion de la mobilité (Handover). Sécurité et qualité de service. Gestion de l’énergie des stations mobiles. adressage des paquets ; formatage des trames ; Les méthodes d’accès au support deux méthodes d’accès : DCF (Distributed Coordination Function (ad-hoc, IS)) : similaire à ethernet, support de données asynchrones ; chances égales d’accès au support pas de priorité; collisions possibles. PCF (Point Coordination Function (mode IS , optionnelle)) : pas de collisions ; transmission de données isochrones (applications temps-réel, voix, vidéo)

La méthode d’accès DCF Implémentation du protocole CSMA/CA. (Écoute du support avant transmission ): Le CSMA/CA évite les collisions en utilisant des trames d’acquittement, ou ACK (Acknowledgement). Un ACK est envoyé par la station destination pour confirmer que les données sont reçues de manière intacte. L’accès au support est contrôlé par l’utilisation d’espaces intertrames. accès aléatoire avec écoute de la porteuse : évite plusieurs transmissions simultanées, réduit le nombre de collisions impossible de détecter les collisions : il faut les éviter écoute du support back-off réservation trames d’acquittement positif

Mécanismes d’écoute du support couche physique: PCS ( Physical Carrier Sense) Écoute au niveau de la couche physique par l’analyse des trames,puissance relative du signal émis par les stations. couche MAC: VCS (Virtual Carrier Sense ) réserve le support via le PCS deux types de mécanismes : • réservation par trames RTS/CTS • utilisation d’un timer (NAV : Network Allocation Vector) calculé par toutes les stations à l’écoute

Cellule 2 Cellule 1 Données Données Problème de la station cachée B collision Données A C

Résolution du problème par le mécanisme de réservation VCS Cellule 2 Cellule 1 RTS B CTS CTS C A

Mécanisme de réservation(VCS) DIFS: Distributed InterFrame Spacing (DIFS= SIFS+ 2 * Slot Time) SIFS: Short InterFrame Spacing(La valeur de SIFS est fixée par la couche physique et est calculée de telle façon que la station émettrice sera capable de commuter en mode réception pour pouvoir décoder le paquet entrant). Slot Time: durée minimale pour déterminer l'état du canal + temps aller-retour + temps de propagation . ACK: Acknowledgement RTS: Demande d’émission (request to send) CTS: Prêt à émettre (clear to send) NAV : Network Allocation Vector

Protocole : CSMA/CA Le protocole CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) tente d’éviter au maximum les collisions (deux trames émises quasi simultanément qui se percutent) en imposant un accusé de réception systématique des paquets (ACK). Ainsi un paquet ACK est émis par la station de réception pour chaque paquet de données arrivé correctement. Le fonctionnement du protocole CSMA/CA est décrit ci-dessous. La station voulant émettre écoute le réseau. Si le réseau est encombré, la transmission est retardée. Si le réseau est libre pendant un temps donné (appelé DIFS pour Distributed Inter Frame Space), alors la station commence l’émission. La station transmet un message appelé RTS (Ready To Send) contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission. Le récepteur (un AP dans le mode Infrastructure) répond un CTS (Clear To Send) et la station commence l'émission des données.

A la réception de toutes les données émises par la station, le récepteur envoie un accusé de réception (ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elle estime être nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée. Une fois que la trame ACK est reçue par l’émetteur, la station réceptrice met un terme au processus. Si la trame ACK n’est pas détectée par la station émettrice (parce que le paquet original ou le paquet ACK n’a pas été reçu intact, une collision est supposée et le paquet de données est retransmis après attente d’un autre temps aléatoire.

Le DCF n'est pas valable si les stations sont nombreuses La méthode d’accès PCF Le DCF n'est pas valable si les stations sont nombreuses Point coordination function(La PCF est une méthode optionnelle et donc peu ou pas implémentée dans les matériels 802.11) transfert temps-réel (voix, vidéo), services de priorité Le point d'accès (AP) distribue la parole aux stations. Il n'y a plus de collisions l'AP accorde un temps de parole à chaque station. Si cette dernière en a besoin, elle émet un acquittement puis ses données. Si elle n'a pas répondu dans un délai court, la parole est passée à une autre station PCF peu efficace si la plupart des stations sont silencieuses. En fait, on peut utiliser alternativement PCF / DCF La séquence PCF / DCF est initialisée par l'émission (par l'AP) d'une "balise". Cette dernière indique la durée de la phase PCF, qui peut éventuellement être raccourcie par l'émission d'un signal de fin de cette phase.

8.Les trames

Les trames de niveau physique Toutes les trames 802.11 sont composées des composants suivants : préambule : détection du signal, synchronisation, détection du début de trame. Il contient les deux séquences suivantes : • Synch, de 80 bits alternant 0 et 1, qui est utilisée par le circuit physique pour sélectionner l’antenne à laquelle se raccorder. • SFD (Start Frame Delimiter), une suite de 16 bits, 0000 1100 1011 1101, utilisée pour définir le début de la trame. en-tête PLCP (Physical Layer Convergence Protocol) : est toujours transmis à 1 Mbps et contient des informations logiques utilisées par la couche physique pour décoder la trame, données : informations provenant de la couche MAC : MPDU (MAC Protocol Data Unit) Champ d’en-tête du contrôle d’erreur : champ de détection d’erreur CRC 32bits. Ces informations varient en fonction de l’interface physique utilisée : FHSS, DSSS, IR, OFDM

Les trames MAC Trois types de trames MAC : trames de données : transmission des données trames de contrôle : contrôle de l’accès au support (RTS, CTS, ACK, etc.) trames de gestion : association, réassociation, synchronisation, authentification

Fragmentation et réassemblage Taux d’erreur pour liaison sans fil très supérieur à celui des liaisons filaires : nécessité de transmettre de petits paquets Fragmentation d’une : trame de donnée MSDU (MAC Service Data Unit) trame de gestion MMPDU (MAC Management Protocol Data Unit) en plusieurs trames MPDU (MAC Protocol Data Unit) Fragmentation si taille > valeur seuil (appelée fragment-Threshold) fragments envoyés de manière séquentielle destination acquitte de chaque fragment support libéré après transmission de tous les fragments Utilisation du RTS/CTS Seul le premier fragment utilise les trames RTS/CTS Le NAV doit être maintenu à jour lors à chaque nouveau fragment

Mécanisme d’émission d’une trame fragmentée

Émission d’une trame fragmentée avec réservation du support

Fragmentation et réassemblage Deux champs permettent le réassemblage des fragments par la station destination : Sequence control : permet le réassemblage de la trame grâce à Sequence number : chaque fragment issu d’une même trame possède le même numéro de séquence Fragment number : chaque fragment d’une même trame se voit attribuer un numéro de fragment, à partir de zéro, incrémenté pour chaque nouveau fragment More fragment : permet d’indiquer si d’autres fragments suivent ; égale zéro si le fragment en cours est le dernier fragment

Fonctionnalités

Gestion de la mobilité Possible uniquement si le réseau est en mode infrastructure. Protocole IAPP ( Inter-Access Point Protocol ) normalisée dans 802.11f. Association-réassociation Quand ? Lors de l’entrée dans une cellule ou la mise sous tension. Principe. 1. Écoute du support: les balises donnent des infos: Bssid, débits disponibles, éventuellement essid. passive : La station écoute sur tous les canaux de transmission et attend de recevoir une trame balise du point d’accès.. active : Sur chaque canal de transmission, la station envoie une trame de requête (Probe Request Frame) et attend une réponse. Dès qu’un ou plusieurs points d’accès lui répond, elle enregistre les caractéristiques de ce dernier. 2. Authentification (après avoir trouvé le meilleur point d’accès). deux mécanismes open system authentication : mode par défaut ; ne constitue pas une réelle authentification shared key authentication : véritable mécanisme d’authentification, repose sur le WEP (Wired Equivalent Privacy) ; repose sur une clef secrète partagée 3. Association réelle avec le point d’accès. utilisation d’un identifiant : SSID (Service Set ID) qui définit le réseau SSID émis régulièrement en clair par l’AP dans une trame balise : constitue une faille de sécurité

Réassociation : lorsqu'une station se déplace d'un BSS à l'autre Point d’accès Station Probe Request Ecoute (phase 1) Probe Response Authenticication ( phase 2) Mécanisme d’authenfication Association Request Association (phase 3) Association Response Réassociation : lorsqu'une station se déplace d'un BSS à l'autre

Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f) Les handovers mécanisme permettant à un dispositif mobile de changer de cellule sans que la transmission en cours ne soit interrompue possible que si les cellules voisines se recouvrent non défini dans la norme IEEE 802.11 ni 802.11b (WiFi) Protocole IAPP : Inter-Access Point Protocol (IEEE 802.11f) IAPP fait communiquer les différents points d’accès d’un même réseau de façon à permettre à un utilisateur mobile de passer d’une cellule à une autre sans perte de connexion. Le seul lien entre les points d’accès du réseau étant le système de distribution (DS), c’est à ce niveau qu’est utilisé IAPP.

protocole de niveau transport (couche 4) qui se place au-dessus de UDP (User Datagram Protocol) : protocole sans connexion utilise le protocole RADIUS pour permettre des handovers sécurisés (RADIUS : Remote Authentication Dial-In User Server) serveur centralisé ayant une vue globale du réseau : il connaît la correspondance entre adresses IP et MAC Une caractéristique d’IAPP est qu’il définit l’utilisation du protocole client-serveur d’authentification RADIUS (Remote Authentication Dial-In User Server) afin d’offrir des handovers sécurisés. L’utilisation de ce protocole demande la présence d’un serveur centralisé ayant une vue globale du réseau. Le serveur RADIUS connaît la correspondance d’adresse entre l’adresse MAC des points d’accès et leur adresse IP. Par ailleurs, ce protocole permet de distribuer des clés de chiffrement entre points d’accès.

Économies d’énergie Les réseaux sans fil peuvent être composés de stations fixes ou mobiles. Les stations fixes n’ont aucun problème d’économie d’énergie puisqu’elles sont directement reliées au réseau électrique. Les stations mobiles sont alimentées par des batteries, qui n’ont généralement qu’une faible autonomie (quelques heures selon l’utilisation). Pour utiliser au mieux ces stations mobiles, le standard définit deux modes d’énergie, Continuous Aware Mode et Power Save Polling Mode : Continuous Aware Mode. C’est le mode de fonctionnement par défaut. L’interface Wi-Fi est tout le temps allumée et écoute constamment le support. Il ne s’agit donc pas d’un mode d’économie d’énergie. Power Save Polling Mode. C’est le mode d’économie d’énergie. Dans ce mode, le point d’accès tient à jour un enregistrement de toutes les stations qui sont en mode d’économie d’énergie et stocke les données qui leur sont adressées dans un élément appelé TIM (Traffic Information Map).

Les stations en veille s’activent à des périodes de temps régulières pour recevoir une trame balise contenant le TIM envoyé en broadcast par le point d’accès. Entre les trames balises, les stations retournent en mode veille. Du fait de la synchronisation, une trame balise est envoyée toutes les 32 μs. Toutes les stations partagent le même intervalle de temps pour recevoir les TIM et s’activent de la sorte au même moment pour les recevoir. Les TIM indiquent aux stations si elles ont ou non des données stockées dans le point d’accès. Lorsqu’une station s’active pour recevoir un TIM et qu’elle s’aperçoit que le point d’accès contient des données qui lui sont destinées, elle lui envoie une trame de requête (PS-Poll) pour mettre en place le transfert des données. Une fois le transfert terminé, la station retourne en mode veille jusqu’à réception de la prochaine trame balise contenant un nouveau TIM. Consommation d’énergie La consommation d’une carte Wi-Fi 802.11b est de 30 mA en réception et de 200 mA en transmission pour le mode normal et de 10 mA pour le mode veille. La consommation d’une carte 802.11a est beaucoup plus importante : 300 mA en réception, 500 mA en transmission et 15 mA en mode veille.

LA SÉCURITÉ

• Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples : – L'interception de données en écoutant les transmissions des différents utilisateurs du réseau sans fil – Le détournement de connexion dont le but est d'obtenir l'accès à un réseau local ou à internet – Le brouillage des transmissions en envoyant des signaux radio de telle manière à produire des interférences – Les mêmes risques existent sur un réseau filaire mais il faut pouvoir accéder au matériel réseau (prises, câbles...)

Accès au réseau et chiffrement Deux règles de protection élémentaires : Cacher le nom du réseau: Si un attaquant écoute le réseau suffisamment longtemps, il finira bien par voir passer le nom du réseau puisqu’un utilisateur qui souhaite se connecter doit donner ce SSID. N’autoriser que les communications contrôlées par une liste d’adresses MAC, ou ACL (Access Control List). Cela permet de ne fournir l’accès qu’aux stations dont l’adresse MAC est spécifiée dans la liste. WEP : Wired Equivalent Privacy Deux modes étaient prévus en 802.11 : Système ouvert (“Open system authentication”) : l’authentification est explicite. Un terminal peut donc s’associer avec n’importe quel point d’accès et écouter toutes les données qui transitent au sein du BSS. Authentification par clé partagée (“Shared key authentication”) (WEP, Wired Equivalent Privacy) utilise un mécanisme de clé secrète partagée.

Open system Authentication : mécanisme par défaut

Shared Key Authentication : Le mécanisme Shared Key Authentication se déroule en quatre étapes : 1. Une station voulant s’associer avec un point d’accès lui envoie une trame d’authentification. 2. Lorsque le point d’accès reçoit cette trame, il envoie à la station une trame contenant 128 bits d’un texte aléatoire généré par l’algorithme WEP. 3. Après avoir reçu la trame contenant le texte, la station la copie dans une trame d’authentification et la chiffre avec la clé secrète partagée avant d’envoyer le tout au point d’accès. 4. Le point d’accès déchiffre le texte chiffré à l’aide de la même clé secrète partagée et le compare avec celui qui a été envoyé plus tôt. Si le texte est identique, le point d’accès lui confirme son authentification, sinon il envoie une trame d’authentification négative.

Les failles de sécurité WiFi comporte de nombreuses failles dans toutes ses composantes « sécurité » : SSID (Service Set ID) : transmis en clair par l’AP le mécanisme closed network interdit sa transmission dans les balises en mode ad-hoc, le SSID est systématiquement transmis en clair même en mode fermé, le SSID est transmis en clair pendant l’association utilisation du SSID par défaut, configuré par les constructeurs ACL optionnel, donc peu souvent utilisé repose sur l’identification de l’adresse MAC simuler une adresse MAC décodée, si celui-ci se trouve dans le périmètre du réseau WEP la clé peut être découverte par simple écoute du réseau avec des logiciels du domaine public pas de mécanisme de distribution des clés

Les failles de sécurité Solutions actuelles 802.1X : Protocole permettant de n'autoriser l'accès à un port réseau qu'après authentification, Conçu pour les réseaux filaires, s'applique aux réseaux IEEE 802 port réseau = port de commutateur (802.3), association (802.11) WEP dynamique : Une clé WEP par utilisateur et par session, Clé commune pour les trames multicast Avantages : • empêche la découverte des clés • distribution automatique des clés EAP : Extended Authentication Protocol: développé à l'origine pour l’authentification des utilisateurs se connectant en PPP sur des serveurs d’accès distants ,l'authentification elle-même repose sur des « méthodes » (protocoles) définies par ailleurs et encapsulées dans EAP réseaux privés virtuels (VPN) RADIUS Remote Authentication Dial In User Service

WPA:(Wi-Fi Protected Access) Pour pallier les insuffisances du WEP, son fonctionnement repose sur un système d'échange de clés dynamiques, renouvelées tous les 10 ko de données Ce procédé, appelé TKIP (Temporal Key Integrity Protocol), protége mieux les clés du décryptage et devrait améliorer sensiblement la sécurité des réseaux sans fil.