Administration dun rseau WIFI BARBIER GUEGAN Le rseau
Administration d’un réseau WIFI BARBIER - GUEGAN
Le réseau sans fil WIFI n Système de communication sans fil n n Couvre l'équivalent d'un réseau local d'entreprise n n n Mise en place des réseaux informatiques hertziens Portée d'environ une centaine de mètres Standard international (Wireless Fidelity) 802. 11 Protocole robuste, multiples fonctionnalités n n n Minimiser les interférences Maximaliser la bande passante sur les canaux Peut travailler de manière transparente avec l’Ethernet n à travers un pont, ou un point d’accès, de manière à ce que tous les éléments avec et sans fils puissent interagir.
PLAN n Caractéristiques du WIFI n Le WLAN n Le fonctionnement n La sécurité Conclusion
Différentes normes : IEEE 802. 11 Norme Fréquence Débit portée modulation Nb canaux 802. 11 a 802. 11 b 802. 11 g 5 GHz 2. 4 GHz 10 m 100 m OFDM DQPSK OFDM 54 Mbit/s 11 Mbit/s 54 Mbit/s 802. 11 a non compatible avec 802. 11 b/g Nécessité d’une carte dual band 8 3 13
LAN sans fil = WLAN n Deux éléments n n n BSSID (Basic Service Set Identification) n n AP (Access Point) ou autre équipement commutateur ou routeur Station mobile équipé d’une interface sans fil Adresse du point d’accès Toutes les communications au sein d’un BSSID passent par l’AP
Le fonctionnement Deux modes opératoires : Mode infrastrucuture : clients sans fil connectés à un point d'accès (mode par défaut des cartes WIFI) Mode ad hoc : clients connectés les uns aux autres sans points d'accès n
Le manque de sécurité du sans-fil n Ondes radio-électriques n n n Capacité à se propager dans toutes les direction Difficulté à confiner les émissions dans un périmètre restreint Facilité « d’écoute » du réseau n n L’interception de données Le détournement de connexion (accès à un réseau local ou à Internet) Le brouillage des transmissions (émission de signaux générant des interférences) Les dénis de service (surcharge des réseaux)
La sécurité Mécanisme de sécurité Client Considération WEP Supporté par les clients 802. 11 b/g Fournit une sécurité faible avec une clé partagée manuelle WEP sur 802. 1 x supporté par les clients, natif Win XP Fournit une clé dynamique Requiert un serveur RADIUS 802. 1 x EAP requiert un certificat numérique pour clients et serveur Filtrage adresse MAC Utilise les adresse MAC des Clients sans-fil Fournit une authentification faible, peut être combiné avec d’autres méthodes (option : serveur RADIUS) WPA supporté par les drivers des cartes réseaux, natif sur Win XP Sécurité robuste Serveur RADIUS requis 802. 1 x EAP certificat numérique WPA Pre-Share Key WPA supporté par les drivers des cartes réseaux, natif sur Win XP Bonne sécurité sur petits réseaux ou réseaux sans serveur RADIUS Clé partagé manuelle
Filtrage par @MAC n N’autorise que certaines stations à pénétrer dans le réseau Ne résoud pas le problème de confidentialité Usurpation très facile suivant la carte : configuration avancé de la carte / changer @MAC
Chiffrement n WEP (Wireless Equivalent Privacy) : 128 bits assure un niveau de confidentialité minimum évite de cette façon 90% des risques d'intrusion Chiffrement statique Nb bits Nb caractères 64 10 128 26 152 32
WPA n Utilise TKIP (Temporal Key Integrity Protocol) : s'adapte mieux au matériel existant utilise RC 4 comme algorithme de chiffrement contrôle d'intégrité MIC Introduit un mécanisme de gestion des clés (création de clés dynamiques à un intervalle de temps prédéfini)
WPA 2 (802. 11 i) n Utilise CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) Plus puissant que TKIP Utilise AES comme algorithme de chiffrement Solution semble se distinguer à long terme
Principe du chiffrement
Principe du déchiffrement
Politique de VLANs Sépare virtuellement les utilisateur de différents groupes de travail sur un même réseau physique n Accès restrictif et personnalisé aux ressources n Sous réseaux hermétiques n 1 VLAN = 1 SSID = 1 sous réseau n Possibilité de tout type de VLAN sur le switch n Possibilité d’implémentation des différents types de chiffrement (WEP, WPA, …) n
VLAN : Mise en place
L’authentification n Solution alternative aux clés de chiffrement 802. 1 X n Serveurs Radius n Tunnels VPN n
Authentification 802. 1 X n n n n Mécanisme de relais d’authentification de niveau 2 Besoin de s’authentifier dès l’accès physique au réseau (points d’accès WIFI) Norme 802. 1 x développée aussi pour les VLAN S’appuie également sur les normes de niveau 2 comme Ethernet Phase d’authentification, avant tout autre mécanisme d’autoconfiguration (DHCP, par ex) Possibilité d’affectation dynamique des VLAN en fonction des caractéristiques de l’authentification. Nécessite l’association à un serveur d’authentification (Radius) ou système de clé pré-partagé
802. 1 X et Radius 802. 1 X basée sur le protocole EAP (PPP Extensible Authentication Protocol) extension du protocole PPP (défini dans la RFC 2284). n EAP permet la négociation d’un protocole d’authentification entre le client et un serveur radius n Pas une méthode de chiffrement n Fournit un mécanisme d’initialisation des clés n
Mécanisme
Sécurité maximale n Possibilité de combiner tous les mécanismes de sécurité n Filtrage par @MAC n Chiffrement (WPA 2) n Authentification 802. 1 X + Radius n Implémentation dans des VLANs n Linux (!) n Tous les équipements wireless doivent être compatibles !
VPN (Virtual Private Network) n n n n Sécuriser les échanges entre différentes entités sur Internet. Sécuriser les communications d’utilisateurs mobiles. Simple à mettre en oeuvre, Fiable et difficilement « cassable » Facilement conciliable avec les infrastructures en place dans les entreprises Complètement transparent pour l’utilisateur Composante nécessaire sur les réseaux Wi. Fi publics.
VPN (Virtual Private Network) n n Repose sur un protocole de tunnelisation Données sécurisées par des algorithmes de chiffrement Mode client-serveur Différents protocoles n n PTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3 Com, Ascend, US Robotics et ECI Telematics. L 2 F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète L 2 TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L 2 F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.
CONCLUSION n n Bien placer les bornes (éviter d’émettre à des endroits inutiles) Utiliser des algorithmes de chiffrement efficaces (WPA) ou changer de clé WEP régulièrement Eviter les mots du dictionnaire éviter les valeurs par défaut diffusion Broadcast du SSID mot de passe administrateur adresse IP de l’AP serveur DHCP activé n Combiner les différents mécanismes de sécurité
L’avenir n 802. 11 n n n + de 100 Mb/s, le nouvel Ethernet ? Un concurent : le Wimax ? n n n 802. 16 Portée : 50 km BF : entre 2 et 11 GHz 70 Mb/s relais Internet à des zones rurales non desservies par les réseaux standards, à la manière du satellite
- Slides: 25