WIFI (WIreless FIdelity) 1. Théorie et architectures 2. Démarche d un déploiement (WLAN Bluesocket/Cisco) 3. Maquettage Ph. Tourron 1
PLAN Théorie et architecture Les types de réseaux sans fil Normes autour du WLAN Les dates clefs du 802.11 Les composants Méthode d accès au support Les risques Les parades (sécurité) Règles de sécurité et méthodologie Les questions pour le déploiement Problèmes, évolutions et enjeux Architecture de WLAN 2
Les types de réseaux sans fil WWAN : GSM, UMTS, GPRS WMAN : 802.16 (BLR/WiMax) 70Mb/s, 2,4Ghz WLAN : 802.11 (a, bgn, i, ) WPAN : 802.15 (Bluetooth, ZigBee) WIFI : label de conformité au profil fonctionnel définit par la Wifi-alliance sur la base des normes 802.11 3
Normes autour du WLAN Norme de base 802.11 et dérivés Des bandes de fréquences et des débits : Bande des 2,4 Ghz 13 canaux (1,6,11 disjoints) à charge nulle débit effectif = 55% débit négocié 802.11b 11 Mb/s (+ débits de repli) 802.11g 54 Mb/s (+ débits de repli) 802.11n 100 Mb/s et + Bande des 5 Ghz à charge nulle débit effectif = 65% débit négocié 802.11a 54 Mb/s Un client à 1Mb/s occupe le réseau à 1 Mb/s pour tous les clients La sécurité : 802.11i La QOS : 802.11e Protocole inter-ap(roaming) : 802.11f Mais aussi c, d, h 4
Les dates clefs du 802.11 1990 Début 802.11 (IEEE) 1994 1ers produits 2,4 Ghz 1997 1er std 802.11 1998-99 1ers produits Std 802.11 1999 802.11a et b 1999 WECA (puis WIFI) 07/2003 libéralisation canaux en France 5
Les composants Interface Radio /client Pci, pcmcia, integré chipset, usb Bornes (AP) Pont wifi (Bridge) Antennes externes Logicels (Drivers, clients ) Boîtier de gestion sécurité (FW, VPN, Portail captif, ) Boîtiers WLAN dédiés Outils de Gestion des bornes Logiciel de gestion des configurations des boîtiers WLAN Gestion de l espace radio : configuration (calibrage) et Exploitation (adaptation : panne borne, répartition charge) Sonde sécurité Systèmes de contrôle de l espace radio IDS/IPS 6
Méthode d accès au support CSMA/CA : Carrier Sense Multiple Access with Collision Avoidance ou méthode d accès multiple à détection de porteuse et évitement de collision (difficulté à détecter les collisions car pb des stations cachées) 7
Les risques Piratage Ecoute du trafic Brouillage ou altération Déni de service Vol de trafic : attaque de l homme du milieu, Porte dissimulée (point d accès «félon» rogue AP) Inconscience/négligence : Déploiement sauvage Paramétrage par défaut constructeur ou best effort (SSID, Puissance maxi, mode et compte d administration par défaut, ) 8
Les parades techniques 2 niveaux d action : Authentification Chiffrement 2 natures : Spécifiques au sans fil Standards 9
Les parades de sécurité liées au WIFI SSID : Service Set ID non diffusé ACL (adresse Mac) Clé WEP : chiffrement symétrique par flot Taille de clé 64 ou 128 bits dont IV séquence pseudo-aléatoire de 24 bit (algo RC4 : XOR ) WPA : intègre TKIP avec chiffrement par paquet et changement automatique des clés de 128 bits 2 modes : PSK mode (secret partagé) ou Entreprise (Radius/802.1x) WPA2 (802.11i) propose algo AES (+robuste) 10
Les parades de sécurité standards 802.1x (et bdd ldap, ) https et LDAP VPN : PPTP, L2TP, IPSEC 11
Règles de sécurité et méthodologie Sur les bornes : Changer les users/pass par défaut Interdire les services d administration autre que ssh (et uniquement en filaire) Adapter les puissance Changer les SSID par défaut Mettre à jour les firmwares et patch Interdire aux postes de se «voir» via les bornes Avant le déploiement : Définir une stratégie de sécurité par population et par services/accès souhaités Intégrer la gestion des vlan pour segmenter les trafics Intégrer la sécurité du wlan à celle du lan 12
Les questions pour le déploiement Quand utiliser du wifi? Contrainte de mobilité (nomades) Difficulté de câblage Quels inconvénients? Débit Sécurité Quelles approches? Zone Infrastructure de bâtiment Quel déploiement? Simple des bornes et un organe de sécurité en «coupure» Complexe : infrastructure dédiée et répartie 13
Problèmes, évolutions et enjeux Maîtriser les clients Conjonction de 2 mondes : Telecom et réseau «filaire» Bataille : Débit, Consommation Coût Complexité de mise en œuvre Sécurité : harmonisation avec le filaire 14
Achitectures de WLAN Quelle architecture : mono-site ou multi-sites? Dans le cas d une architecture multi-sites, un site ou un «central» pourra jouer un rôle de concentration des fonctions d administration 15
Evolution de l architecture WLAN Mobile IP, IPSec, Certs 802.1x, 802.11i, 802.11e, 802.11f, 802.11h 802.11 a/b/g Antenne User Access Air Monitor 802.11 a/b/g Antenne Protection contre points d accès intrus Calibration sur site Firewall par utilisateur Auto régénérant Gestion des fréquences Mobile IP, IPSec, Certs Encryptage programmable sur le SWITCH WLAN 802.1x, 802.11i, 802.11e, 802.11f, 802.11h Réseau d entreprise AP lourd--léger Réseau d entreprise 16
Architecture type WLAN Access Remote RF interface (antenna) MAC Layer Encryption Ethernet Switch LAN WLAN Controller (Switch/Appliance) Traffic Forwarding Management/Control Security Policies QoS Policies RF Management Mobility 802.11 translation Packet Forwarding Router WAN 17
Architecture type intégration au LAN LAN UFR/Camp us/labo Intranet Utilisateurs type 1 SSID privé RJ45 VLAN 1 VLAN 2 Serveurs internes (mail, etc..) Zone de type Labo utilisateurs type 2 Organe de Sécurité WLAN SSID privé Visiteur SSID Diffusé Zone à usage partagée Politique Politique de de contrôle contrôle des des flux flux Gestion Gestion Formation dynamique dynamique SIARS - WIFI du du du firewall firewall 05/04/2005 Gestion Gestion dynamique dynamique - Philippe Tourron de de Vlan Vlan Internet 18
Bibliographie http://www.cru.fr/nomadisme-sans-fil/ risques wifi : http://oasi.ac-aixmarseille.fr/article136.html ; solution : www.bluesocket.com Livre : Sécurité Wi-fi Guy Pujolle ed. Eyrolles Recommandations du CERTA http://www.certa.ssi.gouv.fr/site/certa-2002- REC-002/index.html Techniques de l ingénieur, traité Telecom (standard pour les réseaux sans fil : 802.11 19