Administration d’un réseau WIFI BARBIER - GUEGAN

Le réseau sans fil WIFI Système de communication sans fil Mise en place des réseaux informatiques hertziens Couvre l'équivalent d'un réseau local d'entreprise Portée d'environ une centaine de mètres Standard international (Wireless Fidelity) 802.11 Protocole robuste, multiples fonctionnalités Minimiser les interférences Maximaliser la bande passante sur les canaux Peut travailler de manière transparente avec l’Ethernet à travers un pont, ou un point d’accès, de manière à ce que tous les éléments avec et sans fils puissent interagir.

PLAN Caractéristiques du WIFI Le WLAN Le fonctionnement La sécurité Conclusion

Différentes normes : IEEE 802.11 Fréquence Débit portée modulation Nb canaux 802.11a 5 GHz 54 Mbit/s 10 m OFDM 8 802.11b 2.4 GHz 11 Mbit/s 100 m DQPSK 3 802.11g 13 802.11a non compatible avec 802.11b/g  Nécessité d’une carte dual band

LAN sans fil = WLAN Deux éléments AP (Access Point) ou autre équipement commutateur ou routeur Station mobile équipé d’une interface sans fil BSSID (Basic Service Set Identification) Adresse du point d’accès Toutes les communications au sein d’un BSSID passent par l’AP

Le fonctionnement Deux modes opératoires :  Mode infrastrucuture : clients sans fil connectés à un point d'accès (mode par défaut des cartes WIFI)  Mode ad hoc : clients connectés les uns aux autres sans points d'accès

Le manque de sécurité du sans-fil Ondes radio-électriques Capacité à se propager dans toutes les direction Difficulté à confiner les émissions dans un périmètre restreint Facilité « d’écoute » du réseau L’interception de données Le détournement de connexion (accès à un réseau local ou à Internet) Le brouillage des transmissions (émission de signaux générant des interférences) Les dénis de service (surcharge des réseaux)

La sécurité Mécanisme de sécurité Client Considération WEP Supporté par les clients 802.11b/g Fournit une sécurité faible avec une clé partagée manuelle WEP sur 802.1x 802.1x supporté par les clients, natif Win XP Fournit une clé dynamique Requiert un serveur RADIUS 802.1x EAP requiert un certificat numérique pour clients et serveur Filtrage adresse MAC Utilise les adresse MAC des Clients sans-fil Fournit une authentification faible, peut être combiné avec d’autres méthodes (option : serveur RADIUS) WPA WPA supporté par les drivers des cartes réseaux, natif sur Win XP Sécurité robuste Serveur RADIUS requis 802.1x EAP certificat numérique WPA Pre-Share Key Bonne sécurité sur petits réseaux ou réseaux sans serveur RADIUS Clé partagé manuelle

Filtrage par @MAC N’autorise que certaines stations à pénétrer dans le réseau  Ne résoud pas le problème de confidentialité  Usurpation très facile suivant la carte : configuration avancé de la carte / changer @MAC

Chiffrement WEP (Wireless Equivalent Privacy) : 128 bits assure un niveau de confidentialité minimum évite de cette façon 90% des risques d'intrusion Chiffrement statique Nb bits Nb caractères 64 10 128 26 152 32

WPA Utilise TKIP (Temporal Key Integrity Protocol) :  s'adapte mieux au matériel existant  utilise RC4 comme algorithme de chiffrement  contrôle d'intégrité MIC  Introduit un mécanisme de gestion des clés (création de clés dynamiques à un intervalle de temps prédéfini)

WPA 2 (802.11i) Utilise CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)  Plus puissant que TKIP  Utilise AES comme algorithme de chiffrement  Solution semble se distinguer à long terme  Protocole incompatible avec le matériel actuel

Principe du chiffrement

Principe du déchiffrement

Politique de VLANs Sépare virtuellement les utilisateur de différents groupes de travail sur un même réseau physique Accès restrictif et personnalisé aux ressources Sous réseaux hermétiques 1 VLAN = 1 SSID = 1 sous réseau Possibilité de tout type de VLAN sur le switch Possibilité d’implémentation des différents types de chiffrement (WEP, WPA, …)

VLAN : Mise en place

L’authentification Solution alternative aux clés de chiffrement 802.1X Serveurs Radius Tunnels VPN

Authentification 802.1X Mécanisme de relais d’authentification de niveau 2 Besoin de s’authentifier dès l’accès physique au réseau (points d’accès WIFI) Norme 802.1x développée aussi pour les VLAN S’appuie également sur les normes de niveau 2 comme Ethernet Phase d’authentification, avant tout autre mécanisme d’auto-configuration (DHCP, par ex) Possibilité d’affectation dynamique des VLAN en fonction des caractéristiques de l’authentification. Nécessite l’association à un serveur d’authentification (Radius) ou système de clé pré-partagé

802.1X et Radius 802.1X basée sur le protocole EAP (PPP Extensible Authentication Protocol) extension du protocole PPP (défini dans la RFC 2284). EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius Pas une méthode de chiffrement Fournit un mécanisme d’initialisation des clés

Mécanisme

Sécurité maximale Possibilité de combiner tous les mécanismes de sécurité Filtrage par @MAC Chiffrement (WPA2) Authentification 802.1X + Radius Implémentation dans des VLANs Linux (!) Tous les équipements wireless doivent être compatibles !

VPN (Virtual Private Network) Sécuriser les échanges entre différentes entités sur Internet. Sécuriser les communications d’utilisateurs mobiles. Simple à mettre en oeuvre, Fiable et difficilement « cassable » Facilement conciliable avec les infrastructures en place dans les entreprises Complètement transparent pour l’utilisateur Composante nécessaire sur les réseaux WiFi publics.

VPN (Virtual Private Network) Repose sur un protocole de tunnelisation Données sécurisées par des algorithmes de chiffrement Mode client-serveur Différents protocoles PTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

CONCLUSION Bien placer les bornes (éviter d’émettre à des endroits inutiles) Utiliser des algorithmes de chiffrement efficaces (WPA) ou changer de clé WEP régulièrement Eviter les mots du dictionnaire éviter les valeurs par défaut  diffusion Broadcast du SSID  mot de passe administrateur  adresse IP de l’AP  serveur DHCP activé Combiner les différents mécanismes de sécurité

L’avenir 802.11n Un concurent : le Wimax ? + de 100 Mb/s, le nouvel Ethernet ? Un concurent : le Wimax ? 802.16 Portée : 50 km BF : entre 2 et 11 GHz 70 Mb/s relais Internet à des zones rurales non desservies par les réseaux standards, à la manière du satellite