Conception et gestion d une infrastructure Wireless LAN francois.buntschu@eif.ch
Agenda Introduction Standards wireless LAN Concevoir un réseau wireless LAN Equipements Sécurité Gestion d une infrastructure wireless LAN Réseau wireless LAN à l EIA-FR 2
Introduction Quel est l intérêt du wireless? moins de câble flexibilité mobilité 3
Introduction (con t) Accès aux informations PDAs Network computers Small messages/ paging Web Audio et video Jeux 4
Standards wireless LAN 5
Technologies Wireless Source: cisco.com 6
Standards 802.11 802.11 Specification of WLAN MAC and PHY layers (IR, FH and DSSS at 2.4 GHz), ratified in 1997/1999 802.11a PHY layer at 5 GHz (54 Mbps DSSS), ratified in 1999 802.11b 11 Mbps DSSS at 2.4 GHz, ratified in 1999 802.11c Improvements of the MAC layer (Internal Sub-Layer Service) 802.11d Update (frequency spectrum regulations) 802.11e Improvements of the MAC layer (Quality of Service) 802.11f Inter-Access Point Protocol (IAPP) 802.11g Higher Data rate (>20 Mbps) at 2.4 GHz 802.11h Dynamic Channel Selection and Transmit Power Control mechanisms 802.11i Authentication and Security 802.11k Radio Resources Measurement and control 802.11n Draft, wifi througput over 100 Mb/s 7
ISM Unlicensed Frequency Band Source: cisco.com 8
IEEE 802.11a Modulation: Orthogonal Frequency Division Multiplexing (OFDM) Débits supportés: 54, 48, 36, 24, 12 et 6 Mbps Disponible aux USA et au Japon Disponible dans certain pays d Europe selon les normes de régulations locales. Bande des 5 GHz a plus de canaux que la bande des 2.4 GHz UNII-1 + UNII-2 = 8 non-overlapping channels vs. 3 canaux pour 2.4 GHz 20 MHz carrier bandwidth 9
802.11a en Suisse UNII-1 & 2 autorisé (5.15 5.35 GHz), 8 canaux Utilisation uniquement en «indoor» Maximum 200 mw avec le support de TPC (Transmit Power Control ) et de DFS (Dynamic Frequency Selection) -> 802.11h http:// www.ofcom.ch/fr/geraete/anwendungen/radio/ unterseite6/index.html (11 juin 2003) 10
IEEE 802.11a (con t) Source: cisco.com 11
IEEE 802.11b IEEE 802.11 DSSS Frequency Channel Plan 13 canaux en Europe (ETSI) de 2412 MHz à 2472 MHz, espacé de 5 MHz. Seul les 11 premiers canaux sont disponible aux USA. 22 MHz carrier bandwidth. Seulement 3-4 non-overlapping channels (USA: 1,6,11 / ETSI: 1,5,9,13). Recommandation OFCOM : canaux 1,7,13 en Suisse 12
IEEE 802.11g Débits de 54, 48, 36, 24, 12 et 6 Mbps à 2.4 GHz Compatible avec 802.11b (11 Mbps) Modulation OFDM (comme 802.11a) Ratifié le 12 juin 2003 http://standards.ieee.org/announcements/80211gfinal.html 13
802.11e 14
802.11k Les clients Wireless donnent un feedback aux AP s ou switches Mesures: Roaming decisions RF channel knowledge Hidden nodes Client statistics Transmit Power Control (TCP) 15
802.16 ( WiMAX) WiMAX (Worldwide interoperability for Microwave Access ) up to 155MBits/s in 28MHz channels simultaneous support for IPv4, IPv6, ATM etc. support for bandwidth on demand range up to 50km Point-to-Point 802.16e incluera le roaming 16
802.20 ( MBWA) MBWA (Mobile Broadband Wireless Access) Draft Remplaçant radio des mobiles de 3G? Débit inférieur au 802.16 Support de terminaux se deplaçant a 250 km/h 17
Architecture 802.11 Wireless Station (STA) Canal 1 Wireless Station (STA) Wireless Station (STA) Idependent Basic Service Set (IBSS) Opère en mode ad-hoc controllé par les stations (STA) pour créer des réseaux peer-to-peer 18
Architecture 802.11 Wireless Station (STA) Canal 1 Wireless Station (STA) Access Point (AP) Wired LAN Basic Service Set (BSS) Opère en mode infrastructure controllé par les Access Points (AP s) 19
Architecture 802.11 Wireless Station (STA) Canal 1 Canal 1 «Wireless Repeater Cell» Wireless Station (STA) Access Point (AP) Wired LAN Access Point (AP) Wireless Station (STA) Wireless Repeater Opère en mode infrastructure controllé par les Access Points (AP s) 20
Architecture 802.11 Wireless Station (STA) Wireless Station (STA) Canal 1 Canal 6 Access Point (AP) Access Point (AP) Wired LAN Extended Basic Service Set (EBSS) Opère en mode infrastructure controllé par les Access Points (AP s) 21
Compatibilité IEEE 802.11 http://www.wi-fi.org http://www.wi-fizone.org WECA (Wireless Ethernet Compatibility Alliance) 22
23
Concevoir une infrastructure wireless LAN 24
Propagation des ondes Diffraction Se produit quand un signal radio rencontre une frontière pointue entre la région par laquelle elle peut facilement passer (comme l'air) et une région d'obstruction réfléchissante (telle que le côté plat d'un bâtiment en métal). Le résultat est que le signal se?? plie?? et se diffuse. Réfraction La variation de la densité d'air le long du chemin dévie une partie du signal. Le signal subit un changement de vitesse et de direction. Réflexion Les surfaces douces telles que des lacs, des murs de construction, des rues ou des fenêtres en verre peuvent refléter le signal, pouvant causer une déformation, une atténuation ou encore une annulation du signal prévu. Absorption Un signal radio peut également être absorbé par une obstruction. Les arbres et la pluie peuvent absorber un pourcentage significatif de l'énergie de signal des radios 25
Qu est-ce qu un AP? MAC-1 Radio0 Eth0 MAC-2 Address Interface MAC-1 Radio0 MAC-2 Eth0 MAC-1 Eth1 Eth0 MAC-2 Address Interface MAC-1 Eth1 MAC-2 Eth0 26
Conception Design Bande passante par utilisateur Densité et localisation des utilisateurs Connectivité, couverture Sécurité Conditions spéciales (applications utilisées, contrôle d accès, ) Redondance 27
Conception (con t) Quelques «Règles» de design Compatible Wifi : tous les équipements doivent utiliser la même fréquence (2.4 GHz pour 802.11b/g) et le même type de modulation Par exemple: 20-25 utilisateurs par AP Déterminer les antennes les plus appropriées Effectuer un «site survey» régulièrement 28
Conception (con t) 200 Utilisateurs sur le même étage Puissance d émission : 30 mw 3 Access-Points 67 utilisateurs en partage de bande passante sur chaque AP 1 6 11 200 Utilisateurs sur le même étage Puissance d émission : 5 mw 18 Access-Points 11 utilisateurs en partage de bande passante sur chaque AP 1 6 11 11 6 1 11 6 1 11 6 1 11 6 1 11 6 1 Source: cisco.com 29
Conception (con t) Autres conditions Support de VoIP Possibilités de filtrage Inclure la QoS Support des VLANs et du 802.1p/Q Roaming: multiple-building, multiple IP Subnet Sécurité (encryption, authentification, ) 30
Equipements wireless LAN 31
Eléments réseau Access Points: Bridge les clients wireless au réseau ethernet câblé Clients Gateway: Gestion des accès (ex. nocat, bluesocket) 32
Antennes Source: cisco.com 33
Antennes (con t) Antenne Fisko : Gain ~ 9dBi Antenne discone http://www.myotis.ch http://www.wlan.org.uk/antenna-page.html Antenne Ricoré Sardinecan Antenna 34
Sécurité 35
Wireless security - Agenda Service Set Identifier (SSID) Authentication (Open & MAC Address) 802.1x EAP/LEAP/PEAP Wired Equivalent Privacy (WEP) WiFi Protected Authentication (WPA) 802.11i VPN 36
802.11 SSID Séparation logique de réseaux wireless 32 caractères ASCII Wireless Station (STA) SSID=data-net SSID=lab-net Wireless Station (STA) Access Point (AP) Access Point (AP) 37
802.11 SSID (con t) 38
802.11 SSID : Vulnérabilités SSID n est PAS un mécanisme de sécurité Désactiver les SSID Broadcast ne suffit pas à prévenir un hacker de les découvrir Désactiver les SSID Broadcast peut influencer la compatibilité WiFi 39
802.11 Authentification 1. Probe Request 2. Probe Response 3. Authentication Request 4. Authentication Response 5. Association Request 6. Association Response Wired LAN Le client recherche un AP Le client requiert une authentification Le client demande à être associé Le client peut démarrer l échange des données 40
802.11 Authentification : Open Authentification orientée équipement Sans authentification, toutes les requêtes sont acceptées Sans WEP, l accès est ouvert à tous Avec WEP, les pre-shared key s sont une authentification indirecte 41
802.11 Authentification : MAC Ne fais pas partie des spécifications 802.11 Implémentations spécifiques aux constructeurs Utilisé pour augmenter la sécurité des authentifications ouvertes ou par preshared key (WEP) 42
EAP Extensible Authentication Protocol (RFC 2284) Extension de l authentification dans PPP Supporte plusieurs méthodes d authentification: Token Card, Certificat, Kerberos, one time password, 43
EAP (con t) MD5 TLS Kerberos IKE LEAP EAP PEAP Other PPP 802.1x 802.3 (Ethernet) 802.5 (Token-Ring) 802.11 (wlan) 44
EAP-TLS EAP-TLS authentification mutuelle, le client et le serveur prouvent leur identité. Nécessite une PKI (Certificats) Basé sur TLS v1.0 (SSL Standardisé) 45
802.1x EAP PEAP Other Algorithme d authentification 802.1x Protocole L2 pour le transport de protocole d authentification 802.3 (Ethernet) 802.5 (Token-Ring) 802.11 (wlan) Méthode d accès Ratifier en décembre 2001 Framework : Contrôle d accès par port Décrit un protocol couche 2 qui transporte des message d authentification 46
802.1x (con t) Supplicant Authenticator Authentication server (ex: RADIUS) EAP/Request identity EAP/Response identity Challenge encapsulated in EAP EAP/Challenge Response EAP Success/Fail Data Response Identity Challenge Challenge Response Fail/Success + parameter for Authenticator EAP-MD5 802.1x Radius 47
LEAP Lightweight Extensible Authentication Protocol Basé sur 802.1x Authentification mutuelle avec Radius Génération dynamique des clefs pour WEP Propriétaire Cisco! 48
Encryption 49
802.11 WEP encryption Wired Equivalent Privacy Basé sur l algorithme d encryption symétrique RC4 http://www.rsasecurity.com/rsalabs/faq/3-6-3.html Clefs statiques de 40, 104 bits ou dynamiques sur les clients et l Access Point 50
802.11 WEP (Con t) Mécanisme d authentification n est pas explicitement défini dans la norme Vecteur d initialisation de RC4 trop petit (24 bits) et transmis en clair 50% chance de collision après 4800 paquets Airsnort Utilisation de CRC pour le contrôle d intégrité: CRC(x+y) = CRC(x) + CRC(y) 51
802.11 WEP (Con t) http://airsnort.shmoo.com/ 52
WPA WiFi Protected Access En attendant 802.11i Incompatible avec WEP Basé sur l authentification 802.1x Utilise TKIP (Temporal Key Integrity Protocol) 53
802.11i ratifié le 25 juin 2004 Compatible avec le WPA Basé sur l authentification 802.1x Utilise l encryption AES (Nécessite un coprocesseur dans les APs) 54
VPN Lieux publics Entreprise Firewall Hôtel / Aéroport Wireless Internet Accès sécurisé au travers d une Liaison VPN 55
VPN (con t) Liaison encryptée par IPSec (3DES) entre le client et le serveur Authentification de l équipement et de l utilisateur L utilisation d IPSec est indépendant des applications sur le client Possibilités de faire du WebVPN (au travers de SSL, indépendant des applications) 56
Sécurisation Ne pas émettre le SSID Changer le mot de passe par défaut sur les AP et limiter l accès à ceux-ci Filtrer les adresses MAC Implémenter 802.1x, EAP et RADIUS Utiliser «dynamic WEP» et modifier les clefs WEP régulièrement 57
Sécurisation (con t) Utiliser des switches pour interconnecter les AP s Contrôler régulièrement la présence d AP s pirates ou non autorisés Contrôler les interférences Mettre à jour régulièrement le firmware et le software Utiliser des niveaux supplémentaires de sécurité (VPN, DMZ, ) 58
Gestion de réseau 59
Gestion de réseau C est quoi? Superviser le fonctionnement et l état des éléments réseau tels que routeurs, switches, access-points Centraliser les méthodes de supervision (statistiques, alarmes, software, configuration..) Générer des rapports Etre proactif plutôt que réactif 60
Gestion de réseau (con t) Fault Management Change Management Performance Management Service Management 61
Etat des équipements Accessibilité des équipements Fonctionnement des services http://www.bb4.com 62
Etat du réseau Vue d ensemble du réseau http://www.ipswitch.com 63
Accès aux équipements MIB Database Network Management Station (NMS) SNMP IP Network SNMP SNMP (get, set, trap) Accès au MIB s PING Traceroute 64
Accès aux équipements (con t) 65
Accès aux équipements (con t) WLSE (Wireless LAN Solution Engine) de Cisco Gestion des Firmwares Gestion des configurations 66
Rapport d associations Combien de clients sont associés avec un AP? Quel AP a le plus d associations de clients? 67
Gestion de trafic Est-ce que nous avons suffisamment de bande passante àdisposition? 68
Gestion du spectre RF Parce que la couverture RF n est pas prédictible! 69
Gestion du spectre RF (con t) WLSE (Wireless LAN Solution Engine) de Cisco 70
Gestion du spectre RF (con t) Site survey ou wardriving? 71
Gestion du spectre RF (con t) http://www.stumbler.net/ 72
Gestion du spectre RF (con t) Sniffer Pro wireless 73
Rapport Rapport sur l état de santé du réseau http://www.bb4.com 74
Rapport (con t) Quant est-ce que le réseau était «down»? Combien de temps? Quel services? http://www.bb4.com 75
Réseau Wireless LAN à l Ecole d Ingénieurs et d Architectes de Fribourg 76
EIA-FR Wireless LAN Phase pilote au département TIC 20 AP s en service > 60 Wireless Card en prêt > 100 utilisateurs ~ 30 connexions VPN simultanées en moyenne 50 à 70 stations associées en moyenne Pic de trafic à 6 Mb/s 77
EIA-FR Wireless LAN : Phase 1 78
EIA-FR Wireless LAN : Phase 2 Public user Internal user Internal user...... WLAN Management Internal user WLAN VLAN 1 WLAN VLAN n WLAN VoIP WLAN VLAN "Classe pilote portable" Serveur d'accès "Bluesocket" Internet Firewall Concentrateur VPN IDS DMZ Extranet DMZ public Intranet EIA-FR extreme AAA Server - Authentification des stations WLAN (public et interne) - Accounting web, mail servers AD ou NDS Légende: Connexion encryptée (Tunnel IPSec) Remarques: HEG est considéré comme un des WLAN VLAN File servers DHCP Server 79
EIA-FR Wireless LAN 80
EIA-FR Wireless LAN 81
EIA-FR Wireless LAN 82
EIA-FR Wireless LAN 83
Supervision WLSE (Wireless LAN Solution Engine) Gestion des AP (config, firmware, connexions, ) RME (Ressource Management Engine) Gestion des fréquences radios et performances d accès (développement EIA-FR) ACS Projet semestre/diplôme 84
SWITCHMobile SWITCHmobile permet aux étudiants et professeurs des universités suisse de "roamer" avec leur laptops ou pda sur les différents campus universitaires. En tant qu'université visitée, l'eia-fr donne accès à: Internet Aux ressources de l'université d'origine (tel que e-mail, electronic agenda, fileservers, databases, etc.). 85
EIA-FR Wireless LAN : Extension 2004 Déploiement dans l ensemble du bâtiment 54 AP s > 500 utilisateurs 100 connexions VPN simultanées en moyenne Connexion VPN depuis Internet Support de VoIP Support de IPv6 86
EIA-FR Wireless LAN : Informations http://www.eif.ch/~buntschu/presentations Transparents disponibles dans l Extranet (username=wlan, password = w1an 87
88
merci pour votre attention! francois.buntschu@eif.ch HES-SO / EIA-FR Version 1.2