Conception et gestion d une infrastructure Wireless LAN. francois.buntschu@eif.ch

Transcription

1 Conception et gestion d une infrastructure Wireless LAN francois.buntschu@eif.ch

2 Agenda Introduction Standards wireless LAN Concevoir un réseau wireless LAN Equipements Sécurité Gestion d une infrastructure wireless LAN Réseau wireless LAN à l EIA-FR 2

3 Introduction Quel est l intérêt du wireless? moins de câble flexibilité mobilité 3

4 Introduction (con t) Accès aux informations PDAs Network computers Small messages/ paging Web Audio et video Jeux 4

5 Standards wireless LAN 5

6 Technologies Wireless Source: cisco.com 6

7 Standards Specification of WLAN MAC and PHY layers (IR, FH and DSSS at 2.4 GHz), ratified in 1997/ a PHY layer at 5 GHz (54 Mbps DSSS), ratified in b 11 Mbps DSSS at 2.4 GHz, ratified in c Improvements of the MAC layer (Internal Sub-Layer Service) d Update (frequency spectrum regulations) e Improvements of the MAC layer (Quality of Service) f Inter-Access Point Protocol (IAPP) g Higher Data rate (>20 Mbps) at 2.4 GHz h Dynamic Channel Selection and Transmit Power Control mechanisms i Authentication and Security k Radio Resources Measurement and control n Draft, wifi througput over 100 Mb/s 7

8 ISM Unlicensed Frequency Band Source: cisco.com 8

9 IEEE a Modulation: Orthogonal Frequency Division Multiplexing (OFDM) Débits supportés: 54, 48, 36, 24, 12 et 6 Mbps Disponible aux USA et au Japon Disponible dans certain pays d Europe selon les normes de régulations locales. Bande des 5 GHz a plus de canaux que la bande des 2.4 GHz UNII-1 + UNII-2 = 8 non-overlapping channels vs. 3 canaux pour 2.4 GHz 20 MHz carrier bandwidth 9

10 802.11a en Suisse UNII-1 & 2 autorisé ( GHz), 8 canaux Utilisation uniquement en «indoor» Maximum 200 mw avec le support de TPC (Transmit Power Control ) et de DFS (Dynamic Frequency Selection) -> h unterseite6/index.html (11 juin 2003) 10

11 IEEE a (con t) Source: cisco.com 11

12 IEEE b IEEE DSSS Frequency Channel Plan 13 canaux en Europe (ETSI) de 2412 MHz à 2472 MHz, espacé de 5 MHz. Seul les 11 premiers canaux sont disponible aux USA. 22 MHz carrier bandwidth. Seulement 3-4 non-overlapping channels (USA: 1,6,11 / ETSI: 1,5,9,13). Recommandation OFCOM : canaux 1,7,13 en Suisse 12

13 IEEE g Débits de 54, 48, 36, 24, 12 et 6 Mbps à 2.4 GHz Compatible avec b (11 Mbps) Modulation OFDM (comme a) Ratifié le 12 juin

14 802.11e 14

15 802.11k Les clients Wireless donnent un feedback aux AP s ou switches Mesures: Roaming decisions RF channel knowledge Hidden nodes Client statistics Transmit Power Control (TCP) 15

16 ( WiMAX) WiMAX (Worldwide interoperability for Microwave Access ) up to 155MBits/s in 28MHz channels simultaneous support for IPv4, IPv6, ATM etc. support for bandwidth on demand range up to 50km Point-to-Point e incluera le roaming 16

17 ( MBWA) MBWA (Mobile Broadband Wireless Access) Draft Remplaçant radio des mobiles de 3G? Débit inférieur au Support de terminaux se deplaçant a 250 km/h 17

18 Architecture Wireless Station (STA) Canal 1 Wireless Station (STA) Wireless Station (STA) Idependent Basic Service Set (IBSS) Opère en mode ad-hoc controllé par les stations (STA) pour créer des réseaux peer-to-peer 18

19 Architecture Wireless Station (STA) Canal 1 Wireless Station (STA) Access Point (AP) Wired LAN Basic Service Set (BSS) Opère en mode infrastructure controllé par les Access Points (AP s) 19

20 Architecture Wireless Station (STA) Canal 1 Canal 1 «Wireless Repeater Cell» Wireless Station (STA) Access Point (AP) Wired LAN Access Point (AP) Wireless Station (STA) Wireless Repeater Opère en mode infrastructure controllé par les Access Points (AP s) 20

21 Architecture Wireless Station (STA) Wireless Station (STA) Canal 1 Canal 6 Access Point (AP) Access Point (AP) Wired LAN Extended Basic Service Set (EBSS) Opère en mode infrastructure controllé par les Access Points (AP s) 21

22 Compatibilité IEEE WECA (Wireless Ethernet Compatibility Alliance) 22

23 23

24 Concevoir une infrastructure wireless LAN 24

25 Propagation des ondes Diffraction Se produit quand un signal radio rencontre une frontière pointue entre la région par laquelle elle peut facilement passer (comme l'air) et une région d'obstruction réfléchissante (telle que le côté plat d'un bâtiment en métal). Le résultat est que le signal se?? plie?? et se diffuse. Réfraction La variation de la densité d'air le long du chemin dévie une partie du signal. Le signal subit un changement de vitesse et de direction. Réflexion Les surfaces douces telles que des lacs, des murs de construction, des rues ou des fenêtres en verre peuvent refléter le signal, pouvant causer une déformation, une atténuation ou encore une annulation du signal prévu. Absorption Un signal radio peut également être absorbé par une obstruction. Les arbres et la pluie peuvent absorber un pourcentage significatif de l'énergie de signal des radios 25

26 Qu est-ce qu un AP? MAC-1 Radio0 Eth0 MAC-2 Address Interface MAC-1 Radio0 MAC-2 Eth0 MAC-1 Eth1 Eth0 MAC-2 Address Interface MAC-1 Eth1 MAC-2 Eth0 26

27 Conception Design Bande passante par utilisateur Densité et localisation des utilisateurs Connectivité, couverture Sécurité Conditions spéciales (applications utilisées, contrôle d accès, ) Redondance 27

28 Conception (con t) Quelques «Règles» de design Compatible Wifi : tous les équipements doivent utiliser la même fréquence (2.4 GHz pour b/g) et le même type de modulation Par exemple: utilisateurs par AP Déterminer les antennes les plus appropriées Effectuer un «site survey» régulièrement 28

29 Conception (con t) 200 Utilisateurs sur le même étage Puissance d émission : 30 mw 3 Access-Points 67 utilisateurs en partage de bande passante sur chaque AP Utilisateurs sur le même étage Puissance d émission : 5 mw 18 Access-Points 11 utilisateurs en partage de bande passante sur chaque AP Source: cisco.com 29

30 Conception (con t) Autres conditions Support de VoIP Possibilités de filtrage Inclure la QoS Support des VLANs et du 802.1p/Q Roaming: multiple-building, multiple IP Subnet Sécurité (encryption, authentification, ) 30

31 Equipements wireless LAN 31

32 Eléments réseau Access Points: Bridge les clients wireless au réseau ethernet câblé Clients Gateway: Gestion des accès (ex. nocat, bluesocket) 32

33 Antennes Source: cisco.com 33

34 Antennes (con t) Antenne Fisko : Gain ~ 9dBi Antenne discone Antenne Ricoré Sardinecan Antenna 34

35 Sécurité 35

36 Wireless security - Agenda Service Set Identifier (SSID) Authentication (Open & MAC Address) 802.1x EAP/LEAP/PEAP Wired Equivalent Privacy (WEP) WiFi Protected Authentication (WPA) i VPN 36

37 SSID Séparation logique de réseaux wireless 32 caractères ASCII Wireless Station (STA) SSID=data-net SSID=lab-net Wireless Station (STA) Access Point (AP) Access Point (AP) 37

38 SSID (con t) 38

39 SSID : Vulnérabilités SSID n est PAS un mécanisme de sécurité Désactiver les SSID Broadcast ne suffit pas à prévenir un hacker de les découvrir Désactiver les SSID Broadcast peut influencer la compatibilité WiFi 39

40 Authentification 1. Probe Request 2. Probe Response 3. Authentication Request 4. Authentication Response 5. Association Request 6. Association Response Wired LAN Le client recherche un AP Le client requiert une authentification Le client demande à être associé Le client peut démarrer l échange des données 40

41 Authentification : Open Authentification orientée équipement Sans authentification, toutes les requêtes sont acceptées Sans WEP, l accès est ouvert à tous Avec WEP, les pre-shared key s sont une authentification indirecte 41

42 Authentification : MAC Ne fais pas partie des spécifications Implémentations spécifiques aux constructeurs Utilisé pour augmenter la sécurité des authentifications ouvertes ou par preshared key (WEP) 42

43 EAP Extensible Authentication Protocol (RFC 2284) Extension de l authentification dans PPP Supporte plusieurs méthodes d authentification: Token Card, Certificat, Kerberos, one time password, 43

44 EAP (con t) MD5 TLS Kerberos IKE LEAP EAP PEAP Other PPP 802.1x (Ethernet) (Token-Ring) (wlan) 44

45 EAP-TLS EAP-TLS authentification mutuelle, le client et le serveur prouvent leur identité. Nécessite une PKI (Certificats) Basé sur TLS v1.0 (SSL Standardisé) 45

46 802.1x EAP PEAP Other Algorithme d authentification 802.1x Protocole L2 pour le transport de protocole d authentification (Ethernet) (Token-Ring) (wlan) Méthode d accès Ratifier en décembre 2001 Framework : Contrôle d accès par port Décrit un protocol couche 2 qui transporte des message d authentification 46

47 802.1x (con t) Supplicant Authenticator Authentication server (ex: RADIUS) EAP/Request identity EAP/Response identity Challenge encapsulated in EAP EAP/Challenge Response EAP Success/Fail Data Response Identity Challenge Challenge Response Fail/Success + parameter for Authenticator EAP-MD x Radius 47

48 LEAP Lightweight Extensible Authentication Protocol Basé sur 802.1x Authentification mutuelle avec Radius Génération dynamique des clefs pour WEP Propriétaire Cisco! 48

49 Encryption 49

50 WEP encryption Wired Equivalent Privacy Basé sur l algorithme d encryption symétrique RC4 Clefs statiques de 40, 104 bits ou dynamiques sur les clients et l Access Point 50

51 WEP (Con t) Mécanisme d authentification n est pas explicitement défini dans la norme Vecteur d initialisation de RC4 trop petit (24 bits) et transmis en clair 50% chance de collision après 4800 paquets Airsnort Utilisation de CRC pour le contrôle d intégrité: CRC(x+y) = CRC(x) + CRC(y) 51

52 WEP (Con t) 52

53 WPA WiFi Protected Access En attendant i Incompatible avec WEP Basé sur l authentification 802.1x Utilise TKIP (Temporal Key Integrity Protocol) 53

54 802.11i ratifié le 25 juin 2004 Compatible avec le WPA Basé sur l authentification 802.1x Utilise l encryption AES (Nécessite un coprocesseur dans les APs) 54

55 VPN Lieux publics Entreprise Firewall Hôtel / Aéroport Wireless Internet Accès sécurisé au travers d une Liaison VPN 55

56 VPN (con t) Liaison encryptée par IPSec (3DES) entre le client et le serveur Authentification de l équipement et de l utilisateur L utilisation d IPSec est indépendant des applications sur le client Possibilités de faire du WebVPN (au travers de SSL, indépendant des applications) 56

57 Sécurisation Ne pas émettre le SSID Changer le mot de passe par défaut sur les AP et limiter l accès à ceux-ci Filtrer les adresses MAC Implémenter 802.1x, EAP et RADIUS Utiliser «dynamic WEP» et modifier les clefs WEP régulièrement 57

58 Sécurisation (con t) Utiliser des switches pour interconnecter les AP s Contrôler régulièrement la présence d AP s pirates ou non autorisés Contrôler les interférences Mettre à jour régulièrement le firmware et le software Utiliser des niveaux supplémentaires de sécurité (VPN, DMZ, ) 58

59 Gestion de réseau 59

60 Gestion de réseau C est quoi? Superviser le fonctionnement et l état des éléments réseau tels que routeurs, switches, access-points Centraliser les méthodes de supervision (statistiques, alarmes, software, configuration..) Générer des rapports Etre proactif plutôt que réactif 60

61 Gestion de réseau (con t) Fault Management Change Management Performance Management Service Management 61

62 Etat des équipements Accessibilité des équipements Fonctionnement des services 62

63 Etat du réseau Vue d ensemble du réseau 63

64 Accès aux équipements MIB Database Network Management Station (NMS) SNMP IP Network SNMP SNMP (get, set, trap) Accès au MIB s PING Traceroute 64

65 Accès aux équipements (con t) 65

66 Accès aux équipements (con t) WLSE (Wireless LAN Solution Engine) de Cisco Gestion des Firmwares Gestion des configurations 66

67 Rapport d associations Combien de clients sont associés avec un AP? Quel AP a le plus d associations de clients? 67

68 Gestion de trafic Est-ce que nous avons suffisamment de bande passante àdisposition? 68

69 Gestion du spectre RF Parce que la couverture RF n est pas prédictible! 69

70 Gestion du spectre RF (con t) WLSE (Wireless LAN Solution Engine) de Cisco 70

71 Gestion du spectre RF (con t) Site survey ou wardriving? 71

72 Gestion du spectre RF (con t) 72

73 Gestion du spectre RF (con t) Sniffer Pro wireless 73

74 Rapport Rapport sur l état de santé du réseau 74

75 Rapport (con t) Quant est-ce que le réseau était «down»? Combien de temps? Quel services? 75

76 Réseau Wireless LAN à l Ecole d Ingénieurs et d Architectes de Fribourg 76

77 EIA-FR Wireless LAN Phase pilote au département TIC 20 AP s en service > 60 Wireless Card en prêt > 100 utilisateurs ~ 30 connexions VPN simultanées en moyenne 50 à 70 stations associées en moyenne Pic de trafic à 6 Mb/s 77

78 EIA-FR Wireless LAN : Phase 1 78

79 EIA-FR Wireless LAN : Phase 2 Public user Internal user Internal user WLAN Management Internal user WLAN VLAN 1 WLAN VLAN n WLAN VoIP WLAN VLAN "Classe pilote portable" Serveur d'accès "Bluesocket" Internet Firewall Concentrateur VPN IDS DMZ Extranet DMZ public Intranet EIA-FR extreme AAA Server - Authentification des stations WLAN (public et interne) - Accounting web, mail servers AD ou NDS Légende: Connexion encryptée (Tunnel IPSec) Remarques: HEG est considéré comme un des WLAN VLAN File servers DHCP Server 79

80 EIA-FR Wireless LAN 80

81 EIA-FR Wireless LAN 81

82 EIA-FR Wireless LAN 82

83 EIA-FR Wireless LAN 83

84 Supervision WLSE (Wireless LAN Solution Engine) Gestion des AP (config, firmware, connexions, ) RME (Ressource Management Engine) Gestion des fréquences radios et performances d accès (développement EIA-FR) ACS Projet semestre/diplôme 84

85 SWITCHMobile SWITCHmobile permet aux étudiants et professeurs des universités suisse de "roamer" avec leur laptops ou pda sur les différents campus universitaires. En tant qu'université visitée, l'eia-fr donne accès à: Internet Aux ressources de l'université d'origine (tel que , electronic agenda, fileservers, databases, etc.). 85

86 EIA-FR Wireless LAN : Extension 2004 Déploiement dans l ensemble du bâtiment 54 AP s > 500 utilisateurs 100 connexions VPN simultanées en moyenne Connexion VPN depuis Internet Support de VoIP Support de IPv6 86

87 EIA-FR Wireless LAN : Informations Transparents disponibles dans l Extranet (username=wlan, password = w1an 87

88 88

89 merci pour votre attention! HES-SO / EIA-FR Version 1.2