Journée sans fil ENSAM, Paris, 13 octobre 2004 Exemples de solutions d administration d un réseau sans fil Sylvie Dupuy (CCR), Catherine Grenet (CNRS/UREC)
IRSF : Infrastructures Réseaux Sans Fil QoS, Bandwith Management IPSec, FW, IDS 802.1X Espace Radio (Rogue AP ) A A A Modèle de référence OSI-like
Solutions d administration d un réseau sans-fil : critères de choix? Centralisée ou Répartie : «intelligence» dans les PA «commutateur wifi», autre? Propriétaire : support de protocoles normalisés ( WEP dynamique, WPA, IEEE 802.11x), méthodes d authentification 802.1X (EAP/TLS, TTLS, ) intégration de PA multi-constructeurs
Critères de choix (suite) Intégration des PA dans l infrastructure filaire : support des VLAN Supervision de l espace radio : - Détection, localisation, neutralisation de Rogue AP - Détection d attaques (mac spoofing, DoS ) Supervision du trafic : SNMP Ergonomie, fonctionnalités de la plateforme (matérielle ou logicielle) pour administrer les AP Evolutivité nouveaux usages (Fast roaming VoWLAN) Performances
Critères de choix (suite) Gestion des profils utilisateurs : - authentification (annuaire local ou distant, portail..) - privilèges d accès aux ressources ( rôle, access list, tag de VLAN, SSO..) Infrastructure de Gestion de Clés Gestion des logs de connexion
«Commutateurs» WiFi Principe : un certain nombre de fonctions habituellement gérées dans les points d accès sont déportées sur le commutateur association chiffrement interconnexion avec le réseau filaire établissement d un tunnel (niveau 2 ou 3) entre chaque point d accès et le commutateur
Interconnexion physique Tunnels Points d accès Commutateurs Ethernet Commutateur WiFi
Intégration dans le réseau filaire Les VLAN sont propagés jusqu au commutateur et non jusqu aux points d accès SSID 1 Réseau sans fil Réseau filaire SSID 2 SSID 1 SSID 2 Points d accès Commutateur WiFi Tunnels VLAN 1 VLAN 2 Tag 802.1Q
Gestion de l espace radio Ajustement dynamique de la puissance et du canal de chaque point d accès autocalibration du réseau radio? Détection des interférences Détection / neutralisation des points d accès sauvages Détection des réseaux ad hoc Détection d attaques 802.11 classiques Localisation géographique des points d accès et des clients
Gestion de l espace radio Les points d accès peuvent ou non fonctionner simultanément en mode sonde Gestion de la bande passante par utilisateur(s), par application, par VLAN Possibilité d interdire les communications directes entre clients Equilibrage de charge entre points d accès adjacents Possibilité d affecter des priorités aux différents flux Gestion du handover (VoWLAN)
Authentification et contrôle d accès Portail 802.1X, EAP, TLS, TTLS VPN IPsec et SSL Base interne / externe (LDAP, AD ) Fonctions de contrôle d accès + ou - sophistiquées : filtrage IP pare-feu stateful par utilisateur, groupe d utilisateurs, VLAN Système de détection d intrusion embarqué
Administration et supervision Gestion centralisée des points d accès configurations mises à jour logicielles Détection et configuration automatique des points d accès Tableau de bord, statistiques (par station, par point d accès, globales ) Plan de site avec localisation des points d accès
Exemples de produits Airespace : 4024? points d accès, 13 k point d accès : 600 Aruba 800 : 16 points d accès, 256 utilisateurs, 14 k 2400 : 48 points d accès, 26 k 5000 : 128 points d accès, 55 k point d accès : 700 Symbol : WS 5000 30 points d accès, 6300 6 points d accès, 1600 point d accès : 320
Inconvénients Solution propriétaire : commutateurs et points d accès doivent être du même constructeur Possibilité de gérer des points d accès d autres constructeurs avec perte de fonctionnalités Un commutateur est limité à la gestion d un certain nombre de points d accès Centralisation point de défaillance unique
Solution centralisée de niveau 3 : Bluesocket - AP multi constructeurs - Passerelle d interconnexion WLAN/LAN via tunnels IPSec ou L2TP - Authentification 802.1X, LDAP, Active Directory, SSO => Peut être déployée pour sécuriser l accés à des ressources communes au niveau d un campus en raison de la problématique d adressage des ressources à l échelle des laboratoires.
Solution répartie : Cisco SWAN (Structured Wireless Aware Network) WDS (Wireless Domain System) - AP «intelligents» (chiffrement, support WDS) - Appliance WLSE (Wireless Lan Solution Engine) : administration centralisée des AP (SNMP,ssh) gestion de l espace radio (AP et cartes clientes Cisco) - Catalyst 6500 WLSM (module) : agrégation des infos SNMP pour le WLSE, mobilité (fastroaming), terminaison de tunnels mgre support de 300 AP, 6000 clients, 16 groupes mobilité + fonctionnalités en option du catalyst (IDS, ) - Authentification : Cisco secure ACS (LEAP pour les AP), CCKM pour Fast Roaming, RADIUS pour les clients