Wi-Fi Tuyêt Trâm DANG NGOC. Université de Cergy-Pontoise. Tuyêt Trâm DANG NGOC Wi-Fi / 60

Transcription

1 Wi-Fi Réseaux Tuyêt Trâm DANG NGOC Université de Cergy-Pontoise Tuyêt Trâm DANG NGOC Wi-Fi / 60

2 Plan 1 Déploiement Wi-Fi 2 Routage dans les réseaux Wi-Fi Controleur Wifi 3 Sécurité WEP Wi-Fi Protected Access (WPA) Tuyêt Trâm DANG NGOC Wi-Fi / 60

3 802.11b Bande 2.4GHz Débits variables : 1 Mbps, 2 Mbps, 5.5 Mbps, 11 Mbps Modulation HR/DSSS (High Rate / Direct Sequence ) Trame MAC : taille max 4095 octets 13 canaux avec recouvrement maximum, 4 canaux non superposés ( ). au Tuyêt Trâm DANG NGOC Wi-Fi / 60

4 Canaux sur Bande 2,4 GHz Tableau des fréquences par zones géographiques : Canal Fréquence (GHz) Pays Note 1 2,412 Japon, Europe ETSI, États-Unis FCC 4 2,427 Japon, Europe ETSI, États-Unis FCC 5 2,432 Japon, Europe ETSI, États-Unis FCC 6 2,437 Japon, Europe ETSI, États-Unis FCC 7 2,442 Japon, Europe ETSI, États-Unis FCC 8 2,447 Japon, Europe ETSI, États-Unis FCC 9 2,452 Japon, Europe ETSI, États-Unis FCC 10 2,457 Japon, Europe ETSI, États-Unis FCC * 11 2,462 Japon, Europe ETSI, États-Unis FCC * 12 2,467 Japon, Europe ETSI * 13 2,472 Japon, Europe ETSI * 14 2,484 Japon * Ancien plan de bande en France Tuyêt Trâm DANG NGOC Wi-Fi / 60

5 et les autres réseaux locaux Tuyêt Trâm DANG NGOC Wi-Fi / 60

6 CSMA/CD (Carrier Sense Multiple Access / Collision Detection On émet et écoute le support pour voir s il y a eu une collision. s il y a eu collision, on tire aléatoirement un certain temps t au bout duquel on re-émet. Tuyêt Trâm DANG NGOC Wi-Fi / 60

7 CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance On ne peut pas transmettre et écouter en même temps. Plutôt que d envoyer et de détecter s il y a eu collision, on va essayer d éviter les collisions. station 1 Le temps est divisé en slots. Une station voulant émettre écoute le support un certain temps t. Si personne ne se manifeste sur ce slot, il émet, sinon, il retente au slot suivant. DIFS DIFS DIFS DIFS DIFS station 2 station 3 station 4 Tuyêt Trâm DANG NGOC Wi-Fi / 60

8 Norme Nom a Wi-Fi 5 52 canaux de sous-porteuses radio dans la bande de fréquences des 5 GHz. haut débit (dans un rayon de 10 mètres : 54 Mbit/s théoriques, 27 Mbit/s réels) b Wi-Fi débit théorique de 11 Mbit/s (6 Mbit/s réels) avec une portée pouvant aller jusqu à 300 mètres (en théorie) dans un environnement dégagé. La plage de fréquences utilisée est la bande des 2,4 GHz c Pontage vers 802.1d d Internationalisation e Amélioration de la qualité de service f Itinérance ((en)roaming) g la plus répandue dans le commerce actuellement. Elle offre un haut débit (54 Mbit/s théoriques, 25 Mbit/s réels) sur la bande de fréquences des 2,4 GHz h règlementation européenne i sécurité des transmissions IR signaux infra-rouge j règlementation japonaise n WWiSE (World-Wide Spectrum Efficiency) ou TGn Sync s Réseau Mesh Tuyêt Trâm DANG NGOC Wi-Fi / 60

9 Mode Services de base : Authentification de la station transport des données sécurité minimum (WEP) Deux modes d architecture : Mode Ad-Hoc : Mode Infrastructure (Managed) : Mode Point d accès : Tuyêt Trâm DANG NGOC Wi-Fi / 60

10 Mode Ad-Hoc Réseaux ad-hoc Les réseaux ad hoc sont des réseaux sans fil capables de s organiser sans infrastructure définie préalablement. Les réseaux ad-hoc, dans leur configuration mobile, sont connus sous le nom de MANet (Mobile Ad-hoc NETworks). Tuyêt Trâm DANG NGOC Wi-Fi / 60

11 Mode Ad-Hoc Fonctionnement totalement distribué pas d élément structurant hiérarchiquement la cellule chaque station joue le rôle d un routeur communication entre eux machines sans infrastructure les stations se trouvant à portée de radio forment un IBSS (Independant Basic Service Set) Utilisé pour les réseaux de terrain IBSS Stations sans fil Stations sans fil Services de base (authentification, transport, sécurité) Stations sans fil Tuyêt Trâm DANG NGOC Wi-Fi / 60

12 Mode Infrastructure station spéciale appelée Point d accès (PA) Un point d accès est un périphérique sans fil qui permet à un ou plusieurs clients sans fils d utiliser ce périphérique comme un hub. deux stations wifi se connectent entre eux via leur PA commun une station se connecte au réseau via le PA. les stations se trouvant à portée radio du PA forment un BSS (Basic Service Set). Chaque BSS est identifié par un BSSID de 6 octets correspondant à l adresse MAC du PA. En plus des services de base : BSS Stations sans fil Point d acces (PA) Systeme de distribution (DS) Stations sans fil Stations sans fil association-désassociation : d une station à un PA distribution : véhicule une trame vers destination finale via PA intégration : fait communiquer deux PA au travers d un DS Tuyêt Trâm DANG NGOC Wi-Fi / 60

13 Interconnexion On peut composer un réseau avec plusieurs BSS et IBSS. Ceux-ci sont reliés entre eux par un système de distribution (DS) reliant leurs PA. DS : en général le réseau ethernet (mais peut être un autre réseau , FDDI, token-ring, etc.) les différents (I)BSS reliés par un DS forment un ESS (Extended Service Set) Chaque ESS est identifié par un ESSID (Abrev. SSID) de 32 octets correspondant au nom du réseau. Systeme de distribution (DS) IBSS Point d acces (PA) Stations sans fil BSS Point d acces (PA) BSS Point d acces (PA) Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Tuyêt Trâm DANG NGOC Wi-Fi / 60

14 Routeur, Passerelle, Pont-Routeur Passerelle (gateway) : interconnexion de réseaux. Tuyêt Trâm DANG NGOC Wi-Fi / 60

15 Routeur, Passerelle, Pont-Routeur Passerelle (gateway) : interconnexion de réseaux. Repeteur (repeater) : Passe le signal d un segment à un autre sans traitement autre qu une regénération du signal. Un hub est un répeteur. Tuyêt Trâm DANG NGOC Wi-Fi / 60

16 Routeur, Passerelle, Pont-Routeur Passerelle (gateway) : interconnexion de réseaux. Repeteur (repeater) : Passe le signal d un segment à un autre sans traitement autre qu une regénération du signal. Un hub est un répeteur. Pont (bridge) : joindre deux segments d un même LAN avec eventuellement filtrage (MAC par exemple). Les deux segments peuvent éventuellement ne pas être de même protocole. Dans ce cas, le pont réalise la conversion. Un switch est un pont filtrant.... IP (reseau 1) ethernet Filaire Filaire Wifi IP (reseau 1) ethernet Wifi Tuyêt Trâm DANG NGOC Wi-Fi / 60

17 Routeur, Passerelle, Pont-Routeur Passerelle (gateway) : interconnexion de réseaux. Repeteur (repeater) : Passe le signal d un segment à un autre sans traitement autre qu une regénération du signal. Un hub est un répeteur. Pont (bridge) : joindre deux segments d un même LAN avec eventuellement filtrage (MAC par exemple). Les deux segments peuvent éventuellement ne pas être de même protocole. Dans ce cas, le pont réalise la conversion. Un switch est un pont filtrant. Routeur : interconnexion de réseaux homogènes, tous les protocoles de la pile sont identiques.... IP (reseau 1) ethernet Filaire IP(reseau 1) IP (reseau 2) ethernet Filaire IP (reseau 2) ethernet Filaire Tuyêt Trâm DANG NGOC Wi-Fi / 60

18 Routeur, Passerelle, Pont-Routeur Passerelle (gateway) : interconnexion de réseaux. Repeteur (repeater) : Passe le signal d un segment à un autre sans traitement autre qu une regénération du signal. Un hub est un répeteur. Pont (bridge) : joindre deux segments d un même LAN avec eventuellement filtrage (MAC par exemple). Les deux segments peuvent éventuellement ne pas être de même protocole. Dans ce cas, le pont réalise la conversion. Un switch est un pont filtrant. Routeur : interconnexion de réseaux homogènes, tous les protocoles de la pile sont identiques. Pont-routeur (b-router) : un équipement hybride qui fait pont et routeur en même temps... IP (reseau 1) ethernet Filaire IP(reseau 1) IP (reseau 2) ethernet Filaire Wifi IP (reseau 2) ethernet Wifi Tuyêt Trâm DANG NGOC Wi-Fi / 60

19 Gestion du point d accès Extension d un (I)BSS pour un ESS : Systeme de distribution (DS) IBSS Point d acces (PA) Stations sans fil BSS Point d acces (PA) BSS Point d acces (PA) Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Stations sans fil Tuyêt Trâm DANG NGOC Wi-Fi / 60

20 Gestion du point d accès Extension d un (I)BSS pour un ESS : Répeteur : permet d étendre la zone de couverture du BSS, partage de la bande passante totale sur toute la zone Systeme de Distribution (DS) AP AP AP Canal 1 Canal 2 Canal 3 Tuyêt Trâm DANG NGOC Wi-Fi / 60

21 Gestion du point d accès Extension d un (I)BSS pour un ESS : Répeteur : permet d étendre la zone de couverture du BSS, partage de la bande passante totale sur toute la zone Partage de charge : les canaux recouvrent la même zone augmentant ainsi le débit. La station détermine le meilleur point d accès suivant le signal et la charge de l AP Systeme de Distribution (DS) Canal 3 AP AP AP Canal 1 Canal 2 Tuyêt Trâm DANG NGOC Wi-Fi / 60

22 Gestion du point d accès Extension d un (I)BSS pour un ESS : Répeteur : permet d étendre la zone de couverture du BSS, partage de la bande passante totale sur toute la zone Partage de charge : les canaux recouvrent la même zone augmentant ainsi le débit. La station détermine le meilleur point d accès suivant le signal et la charge de l AP Pont : Interconnexion à distance Tuyêt Trâm DANG NGOC Wi-Fi / 60

23 Trames de gestion Trame balise Trame de requête de sonde Trame de réponse de sonde Trame dauthentification Trame de désauthentification Trames d association Trames de réassociation (requête et réponse) Trame de désassociation Tuyêt Trâm DANG NGOC Wi-Fi / 60

24 Gestion des association Station entrant dans le champ radio d un PA : Ecoute du support : pour découvrir les PA Ecoute active : envoie une trame de requête (SSID, débit, etc.) sur chaque canal et choisit le PA offrant le meilleur compromis débit charge Ecoute passive : scanne tous les canaux en attendant de recevoir une trame balise (beacon frame) d un PA Tuyêt Trâm DANG NGOC Wi-Fi / 60

25 Trame Balise (beacon frame) Un point d accès envoie périodiquement des trames balises pour annoncer sa présence et annoncer les informations suivantes : timestamp l intervalle entre balises les informations de capacités fonctionnelles le SSID le paramètre de Frequency-hopping (FH) le paramètre de Direct-Sequence (DS) le paramètre de Contention-Free (CF) le IBSS le Traffic Indication Map (TIM). Les mobiles écoutent continuellement tous les canaux ainsi que les trames balises, qui sont à la base du choix du canal. Tuyêt Trâm DANG NGOC Wi-Fi / 60

26 Trame de requête de sonde (Probe request frame) Une station envoie une trame de demande de sonde quand elle a besoin d obtenir des informations d une autre station. Par exemple, un mobile envoie une demande de sonde pour déterminer quels sont les points d accès à sa portée. Tuyêt Trâm DANG NGOC Wi-Fi / 60

27 Trame de réponse de sonde (Probe response frame) Une station répond avec une trame de réponse de sonde, contenant des informations de capacités, débits supportés, etc., lorsqu elle reçoit une trame de demande de sonde. Tuyêt Trâm DANG NGOC Wi-Fi / 60

28 Trame d authentification (Authentication frame) processus par lequel le point d accès accepte ou rejette l identité d un mobile. système ouvert (par défaut) : le mobile envoie une trame d authentification L AP répond avec une trame d authentification indiquant l acceptation. clé partagée : envoi de 4 trames d authentification (WEP) le mobile envoie une première trame, L AP répond en joignant son texte de défi Le mobile renvoie une version chiffrée du texte de défi Le point d accès informe le mobile du résultat de l authentification. Tuyêt Trâm DANG NGOC Wi-Fi / 60

29 Trame de désauthentification (Deauthentication frame) Une station envoie une trame de désauthentification à une autre station si elle souhaite terminer ses communications. Tuyêt Trâm DANG NGOC Wi-Fi / 60

30 Trames d association (Association request frame) permet à l AP d allouer des ressources pour un mobile et de les synchroniser avec lui. Un mobile envoie une demande d association à un AP, qui contient les informations du mobile (par exemple, débits supportés) et le SSID du réseau avec qui il souhaite s associer. L AP s associe au mobile et (si admis) réserve l espace mémoire et établit une identification d association pour le mobile et répond en notifiant le mobile d informations telles que l identification d association et les débits supportés. La station règle son canal sur le PA. Tuyêt Trâm DANG NGOC Wi-Fi / 60

31 Trame de désassociation (Disassociation frame) Sert à une station à infomer une autre station quelle souhaite terminer l association. Le point d accès peut alors abandonner les allocations de mémoire et enlever le mobile de la table d association. Tuyêt Trâm DANG NGOC Wi-Fi / 60

32 Trames de réassociation (Association request/response frame) Servent lorsqu un mobile trouve un autre AP ayant un signal plus fort, le mobile enverra une trame de réassociation au nouveau point d accès. Tuyêt Trâm DANG NGOC Wi-Fi / 60

33 Mobilité avec IEEE Le standard définit 3 types de mobilité : No-transition : pas de mouvement, ou mouvement au sein du même BSS (local) BSS-transition : passage entre 2 BSS appartenant au même ESS ESS-transition : passage d un BSS dans un ESS à un BSS dans un autre ESS (le handover n est PAS supporté) BSS3 AP Systeme de distribution (DS 1) AP AP BSS1 BSS2 BSS1 AP Systeme de distribution (DS 2) AP BSS2 Tuyêt Trâm DANG NGOC Wi-Fi / 60

34 Mobilité avec IEEE Le standard définit 3 types de mobilité : No-transition : pas de mouvement, ou mouvement au sein du même BSS (local) BSS-transition : passage entre 2 BSS appartenant au même ESS ESS-transition : passage d un BSS dans un ESS à un BSS dans un autre ESS (le handover n est PAS supporté) BSS3 AP Systeme de distribution (DS 1) AP AP BSS1 BSS2 BSS1 AP Systeme de distribution (DS 2) AP BSS2 Tuyêt Trâm DANG NGOC Wi-Fi / 60

35 Economie d énergie Mobiles sur batterie : la transmission est coûteuse Solution Mise en veille de l interface réseau le plus souvent possible En mode infrastructure, l AP peut mémoriser les trames destinées à une station endormie Tuyêt Trâm DANG NGOC Wi-Fi / 60

36 Qualité de service En cours de réalisation dans le groupe de travail e Besoin important : téléphonie sur IP Tuyêt Trâm DANG NGOC Wi-Fi / 60

37 Déploiement Wi-Fi 1 Déploiement Wi-Fi 2 Routage dans les réseaux Wi-Fi 3 Sécurité Tuyêt Trâm DANG NGOC Wi-Fi / 60

38 Déploiement Wi-Fi Domaine très actif... convergence informatique mobile / téléphonie Principaux avantages de WLANs : Mobilité ( nomadisme ) Bandes sans licences (et sans coût) Facilité d installation (?) Coût d infrastructure (????) Popularité (surtout!!!!) Inconvénients : Sécurité Faible débit et portée Coût sécurité étude de couverture Radio-transmission (parasites, interférences, obstacle...) Tuyêt Trâm DANG NGOC Wi-Fi / 60

39 Déploiement Wi-Fi Planification d un réseau WLAN Objectifs Maximiser les performances avec des ressources limitées Principales caractéristiques couverture (portée) débit capacité (nombre de stations) interférences roaming sécurité Etapes Etude du site Identifier les compétences requises du personnel Disposition (utilisation d outils de planification réseau) Tests et mesures Appareil de mesure de champ PC portable + carte Wi-Fi Tuyêt Trâm DANG NGOC Wi-Fi / 60

40 Déploiement Wi-Fi IEEE 802.3af : Power Over Ethernet (POE) SmartBits 600 SmartBits 600 SmartBits 600 NetCom Systems NetCom Systems NetCom Systems Faire circuler le courant électrique dans un câble Ethernet. Réduire les coûts de déploiement de certaines infrastructures tels les réseaux Wi-Fi et de téléphonie IP. Utilise les paires non-utilisées pour les données pour faire circuler le courant nécessite un switch supportant le POE ou un injecteur. Switch ne supportant pas POE Injecteur Switch ne supportant pas POE Switch supportant POE Tuyêt Trâm DANG NGOC Wi-Fi / 60

41 Routage dans les réseaux Wi-Fi 1 Déploiement Wi-Fi 2 Routage dans les réseaux Wi-Fi Controleur Wifi 3 Sécurité Tuyêt Trâm DANG NGOC Wi-Fi / 60

42 Routage dans les réseaux Wi-Fi Routage dans les réseaux Wi-Fi : en mode infrastructure En mode infrastructure, tous les clients communiquent par l intermédiaire d un point d accès. Le PA est une sorte de hub reliant les clients entre eux. pour relier le réseau (filaire) au réseau (wifi) de protocole liaison différents, il s agit d avoir une passerelle (en général fait par le PA, mais peut être n importe quelle station du BSS). l adressage et le routage se fait ensuite comme dans n import quel LAN filaire classique vu auparavant. Tuyêt Trâm DANG NGOC Wi-Fi / 60

43 Routage dans les réseaux Wi-Fi Routage dans les réseaux Wi-Fi : en mode ad-hoc Chaque station communique directement avec ses voisins. Pour communiquer avec d autres noeuds, il lui est nécessaire de faire passer ses données de voisins en voisins qui se chargeront de les acheminer. Nécessité d un protocole de routage : les noeuds doivent se situer les unes par rapport aux autres les noeuds doivent construire des routes entre elles Tuyêt Trâm DANG NGOC Wi-Fi / 60

44 Routage dans les réseaux Wi-Fi Protocoles de routage ad-hoc Deux types de protocoles de routage : routage proactif : on construit par avance les tables de routage traffic important dû à l actualisation des tables de routage même pour des noeuds peu utilisés consommation excessive de batteries acheminement des données rapide (puisque la table de routage est déjà construite) OLSR, TBRPF, DSDV,... routage reactif : on découvre par innondation la route lorsqu il faut acheminer un paquet traffic seulement lorsqu il y a des données à acheminer. economie de batteries acheminement des données plus lente et découverte de chemin par innondation OLSR, TBRPF, DSDV,... AODV, DSR,... Tuyêt Trâm DANG NGOC Wi-Fi / 60

45 Routage dans les réseaux Wi-Fi OLSR (Optimized Link State Routing Protocol) OLSR (Optimized Link State Routing Protocol) est un protocole de routage destiné aux réseaux mobiles. Le protocole est défini dans la RFC 3626 Le concept principal utilisé dans le protocole est celui des relais multipoint, (MPRs). Tuyêt Trâm DANG NGOC Wi-Fi / 60

46 Routage dans les réseaux Wi-Fi Tuyêt Trâm DANG NGOC Wi-Fi / 60

47 Routage dans les réseaux Wi-Fi AODV (Ad hoc On Demand Distance Vector) Lorsqu un noeud source demande une route, il crée les routes à la volée et les maintient tant que la source en a besoin. Pour les groupes multicast, AODV construit une arborescence. Tuyêt Trâm DANG NGOC Wi-Fi / 60

48 Routage dans les réseaux Wi-Fi réseaux Wi-Fi autonomes Controleur Wifi pas cher ( EUR) assez simple à mettre en oeuvre Mais dans le cadre d un déploiement massif : pas de gestion des interférences, force du signal, chevauchement des fréquences radio mise à jour de toutes les bornes fastidieuses politique de sécurité difficile à mettre en oeuvre vision et surveillance globale du réseau wifi difficile. Tuyêt Trâm DANG NGOC Wi-Fi / 60

49 Utilisation massive de bornes wifi autonomes difficile à gérer. Contrôleur Wifi pour piloter plusieurs points d accès à partir d un point central : facilite l administration du réseau sans fil mise à jour rapide du réseau simplifie le déploiement des points d accès réglage des paramètres radio automatique politique de sécurité globale : la gestion des droits d accès s effectue directement à partir du contrôleur Tuyêt Trâm DANG NGOC Wi-Fi / 60 Controleur Wi-Fi Routage dans les réseaux Wi-Fi Controleur Wifi But : regrouper toutes les bornes déployées dans un secteur autour d un même équipement : le contrôleur. Controleur Controleur

50 Sécurité 1 Déploiement Wi-Fi 2 Routage dans les réseaux Wi-Fi 3 Sécurité WEP Wi-Fi Protected Access (WPA) Tuyêt Trâm DANG NGOC Wi-Fi / 60

51 Sécurité Wi-Fi Sécurité Comme tous les flux sont envoyés dans l air ( = Broadcast), ils peuvent être capturés par un analyseur WiFi indétectable le chiffrement est obligatoire Types d attaques Espionnage Modification de messages contenu adresses IP man in the middle Déguisement (masquerading) Dénis de service (DoS) Très facile dans le cas de WiFi (brouillage, désassociation) Tuyêt Trâm DANG NGOC Wi-Fi / 60

52 Sécurité WEP Wired Equivalent Privacy (WEP) Le WEP utilise Confidentialité : l algorithme de chiffrement par flot RC4 (clef de 40, 154 ou 232 bits) Intégrité : la somme de contrôle CRC-32 Protocole de gestion des clefs : aucun clef RC4 (64 bits) Initialisation Vector (24 bits) Clef (40 bits = 10 x 4) Texte chiffre Texte en clair 24 bits de la clé servent uniquement pour l initialisation seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits. (40 bits : attaque par force brute possible) Tuyêt Trâm DANG NGOC Wi-Fi / 60

53 Sécurité WEP Wired Equivalent Privacy (WEP) Le WEP utilise Confidentialité : l algorithme de chiffrement par flot RC4 (clef de 40, 154 ou 232 bits) Intégrité : la somme de contrôle CRC-32 Protocole de gestion des clefs : aucun clef RC4 (128 bits) Initialisation Vector (24 bits) Clef (104 bits = 26 x 4) Texte chiffre Texte en clair 24 bits de la clé servent uniquement pour l initialisation seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits. (40 bits : attaque par force brute possible) Tuyêt Trâm DANG NGOC Wi-Fi / 60

54 Sécurité WEP Wired Equivalent Privacy (WEP) Le WEP utilise Confidentialité : l algorithme de chiffrement par flot RC4 (clef de 40, 154 ou 232 bits) Intégrité : la somme de contrôle CRC-32 Protocole de gestion des clefs : aucun clef RC4 (256 bits) Initialisation Vector (24 bits) Clef (232 bits = 58 x 4) Texte chiffre Texte en clair 24 bits de la clé servent uniquement pour l initialisation seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits. (40 bits : attaque par force brute possible) Tuyêt Trâm DANG NGOC Wi-Fi / 60

55 WEP Sécurité WEP La clef RC4 est symétrique. Dans WEP : pas de protocole de gestion des clés : une unique clé partagée entre tous les utilisateurs. Distribution manuelle de la clef Changement de clef (ex. départ d un collaborateur) Tuyêt Trâm DANG NGOC Wi-Fi / 60

56 Authentification Sécurité WEP Deux méthodes : Ouvert : pas de clef demandée. Association faite par le serveur à une requête du client. Les messages peuvent ensuite éventuellement être chiffrés avec la clef WEP. À clef partagé : 1 le client envoie une requête d authentification au point d accès (AP) 2 le point d accès envoi un texte en clair pour un challenge 3 le client doit chiffrer le texte en clair en utilisant la clef WEP et la renvoyer à l AP. 4 le point d accès déchiffre le texte et le compare au texte en clair envoyé et renvoie une réponse positive ou négative 5 Après authentification et association, WEP peut être utilisé pour chiffrer les données. Tuyêt Trâm DANG NGOC Wi-Fi / 60

57 Failles de WEP Sécurité WEP il est possible d altérer les données et de mettre à jour le CRC du message sans connaître la clé WEP. pas de compteur de trame attaque par rejeu En 2001 : analyse cryptologique [ Fluhrer et al.] sur l algorithme RC4 et l IV dans WEP montre qu une attaque passive permet de retrouver la clé RC4 après une écoute clandestine du réseau pendant quelques heures. En 2005 : FBI montre qu il est possible de pénétrer un réseau protégé par du WEP en 3 minutes en utilisant des outils disponibles publiquement. Depuis juillet 2006 : il est possible de pénétrer les réseaux protégés par WEP en quelques secondes seulement, en tirant parti de la fragmentation des paquets pour accélérer le cassage de la clé. Tuyêt Trâm DANG NGOC Wi-Fi / 60

58 Portail captif (CP) Sécurité WEP Le ESSID en mode OPEN (la plupart du temps) Serveur DHCP attribue une adresse IP Toute première requête HTTP est interceptée par le CP qui via une interface web demande une authentification (mot de passe, htaccess, RADIUS, LDAP, etc.) la vérifie l associe à l adresse IP donnée (et MAC) les datagrammes suivants sont ensuite filtrés (Firewall) : l IP a le droit de sortir ou non, vers quels services... possibilité de VPN Attention : Tout passe en clair!!! ( préférer les services chiffrés (ssh, ssl, vpn, etc.) Tuyêt Trâm DANG NGOC Wi-Fi / 60

59 Sécurité Wi-Fi Protected Access (WPA) Wi-Fi Protected Access (WPA) Norme à 2 volets La nouvelle norme de sécurité IEEE i : VOLET 1 : Solution de transition compatible avec le matériel existant (WPA) : WPA Perso Rotation de clés - TKIP WPA Pre-Shared Key (Temporel Key Integrity Protocol) + algorithme de WPA Entreprise cryptage RC x + EAP VOLET 2 : Solution définitive incompatible avec le matériel existant : WPA2 Perso WPA Pre-Shared Key WPA2 Entreprise 802.1x + EAP Nouveau cryptage AES (Advanced Encryption Standard) en remplacement de RC4 Tuyêt Trâm DANG NGOC Wi-Fi / 60

60 Sécurité Wi-Fi Protected Access (WPA) Wi-Fi Protected Access (WPA) WPA-1 ( IEEE i) utilise Confidentialité : l algorithme de chiffrement par flot RC4 avec une clef de 154 bits (128 bits + 48 bits IV) Intégrité : la somme de contrôle MIC (Message Integrity Code - Michael dérivé de MAC) plus sécurisé que CRC32 + compteur de trame pour empêcher les attaques par rejeu. Protocole de gestion des clefs : protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique les clés lors de l utilisation du système. Tuyêt Trâm DANG NGOC Wi-Fi / 60

61 Faille de WPA Sécurité Wi-Fi Protected Access (WPA) protocole TKIP possible à contourner (mais cela nécessite beaucoup de temps : quelques minutes de capture de paquets et de l ordre de jours de calcul sur un Pentium IV cluster et calcul distribué) Tuyêt Trâm DANG NGOC Wi-Fi / 60

62 Versions de WPA Sécurité Wi-Fi Protected Access (WPA) WPA-Enterprise : : en collaboration avec un serveur d identification 802.1X chargé de distribuer les différentes clés à chaque utilisateur. WPA-Personal : : Mode moins sécurisé, appelé Pre-Shared Key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète. Tuyêt Trâm DANG NGOC Wi-Fi / 60

63 802.1X (IEEE 2001) Sécurité Wi-Fi Protected Access (WPA) permet d authentifier un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d authentification. Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol) dont le rôle est de transporter les informations d identification des utilisateurs. AP Client (Supplicant) Controleur d acces (Authentificator) Services offerts par l AP Authentifieur PAE Network Authentification Service (NAS) LAN Tuyêt Trâm DANG NGOC Wi-Fi / 60

64 Sécurité Wi-Fi Protected Access (WPA) Extensible Authentication Protocol (EAP) est un mécanisme d identification universel, fréquemment utilisé dans les réseaux sans fil et les liaisons Point-A-Point connect? Client (Supplicant) Id? Id challenge reponse Controleur d acces (Authentificator) AP Id challenge reponse Network Authentification Service (NAS) RADIUS le client peut se connecter au reseau via cet access point accepter ce client Tuyêt Trâm DANG NGOC Wi-Fi / 60

65 EAP Sécurité Wi-Fi Protected Access (WPA) LEAP (Cisco) : WEP dynamique, a été cassé EAP-TLS : basé sur SSL EAP-MD5 : peu utilisé EAP-PSK EAP-IKEv2 PEAP (Cisco, Microsoft et RSA Sec.) basé sur TLS, chiffre les échanges EAP PEAPv0/EAP-MSCHAPv2 PEAPv1/EAP-GTC EAP-FAST (Cisco) : utilise PSK. sensible au man-in-the-middle EAP-TTLS (Funk Software) similaire à PEAP EAP-SIM EAP-AKA Tuyêt Trâm DANG NGOC Wi-Fi / 60

66 Sécurité Wi-Fi Protected Access 2 (WPA2) Wi-Fi Protected Access (WPA) Confidentialité : chiffrement basé sur AES plutôt que sur RC4. Protocole de gestion des clefs : protocole CCMP Non cassable à ce jour!!! Tuyêt Trâm DANG NGOC Wi-Fi / 60

67 Sécurité Wi-Fi Protected Access (WPA) Tuyêt Trâm DANG NGOC Wi-Fi / 60

68 Authentification Sécurité Wi-Fi Protected Access (WPA) 1 Par adresse MAC : à n utiliser que si on n a pas le choix 2 Portail captif 3 VPN x Tuyêt Trâm DANG NGOC Wi-Fi / 60

69 Sécurité Problèmes de sécurité Wi-FI Wi-Fi Protected Access (WPA) scanners (passifs et actifs) brouilleur innondation de requêtes de désassociation, désauthentification (Airjack) faux PA (Man in the middle) spoofing IP... plus tous les problèmes de sécurité classique en réseau Tuyêt Trâm DANG NGOC Wi-Fi / 60

70 Références Sécurité Wi-Fi Protected Access (WPA) Documents ayant servi à la rédaction de ce support de cours Sécurité Wi-Fi de Guy Pujolle, ed. Eyrolles Wireless Network de Matthew S. Gast, ed. O Reilly de Didier Müller. Histoire des codes secrets - Simon Singh Le livre de poche Tuyêt Trâm DANG NGOC Wi-Fi / 60