Вы находитесь на странице: 1из 173

bases thoriques et pratiques

Wi-Fi

Patrick VINCENT pvincent@erasme.org

PLAN

Partie 1 - Les rseaux sans Fil Partie 2 - La norme Wi-Fi (802.11) Partie 3 - Configurer un rseau Wi-Fi : TCP-IP Partie 4 - Matriel : Porte, dbit et puissance Partie 5 - Scurit Partie 6 - Dploiement d'un rseau Partie 7 - largissement et TPs la demande

Objectifs

Matriser les aspects thoriques de la norme WiFi et les notions de propagation radio tre capable de configurer un rseau sans fil local simple : aspects rseau (IP) et radio (WiFi) tre capable d'analyser une problmatique de desserte sans fil et de dimensionner une solution Matriser les aspects lis la scurit des configurations

Partie 1 Les rseaux sans fil

Le sans fil omniprsent ?

Source : anonyme sur

Dfinition

Des protocoles sans fils connus... et inconnus :

IR, Bluetooth, RFID, Zigbee GPS, GPRS, UMTS (3G), Satellite WiFi, Wimax

Dfinition d'un rseau sans fil :

rseau o au moins deux terminaux se connectent et communiquent entre eux par voie hertzienne, directement ou indirectement

Equipements identiques ou de nature diffrente : -PC, laptop, serveur -PDA, tlp one porta!le, P"# -$!%et communi&uant...

rseau o au moins deux terminaux se connectent et communiquent entre eux par voie hertzienne, directement ou indirectement

1. Phase de dialogue et de ngociation -Protocole, '!it, puissance... -Aut enti(ication, cr)ptage... -* si conne+ion possi!le , 2. Phase d'change de donnes

rseau o au moins deux terminaux se connectent et communiquent entre eux par voie hertzienne, directement ou indirectement

-Connexion directe : I-, .luetoot ... ou -Utilisation d'une orne de connexion intermdiaire : /"0, 1i2i ...

rseau o au moins deux terminaux se connectent et communiquent entre eux par voie hertzienne, directement ou indirectement

-!ans "il # $ireless -!ignal radiolectrique en propagation li!re 'ans l3air -"rquence et t%pe de modulation de donnes variables : I-, 1i2i...

rseau o au moins deux terminaux se connectent et communiquent entre eux par voie hertzienne, hertzienne, directement ou indirectement

&istinction rcente pour caractriser une liaison selon : -la vitesse 'e 'placement -la 4one 'e couverture

rseau o au moins deux terminaux se connectent et communiquent entre eux par voie hertzienne, hertzienne, directement ou indirectement... indirectement... en permettant un dplacement du terminal

Critres de classification

Radio : frquence, modulation et puissance Protocole de communication et de scurit Terminaux supports Architecture (topologie) du rseau Dbit Porte Cot

Les catgories de rseau sans fil

source : Jean Franois Pilou

5$'()6

7m

78m

788m

78km

788 km

4one 'e couverture

Intrt du sans fil


9 Facilit de dploiement 9 Interoprabilit avec les rseaux filaires 9 Dbits adapts un usage professionnel 9 Grande souplesse et faiblement structurant (chantier, exposition, locaux temporaires) 9 Non destructif (monuments historiques, sites classs) 9 Grande mobilit 9 Cot

... et contraintes

Limites des ondes radio

sensibles aux interfrences (micro-ondes, autre rseau...) occupation progressive des bandes de frquence : autorgulation

Scurit : donnes circulant librement

ncessite de dployer des solutions de scurit adaptes

Rglementation

frquences et puissances d'mission contrles par l'Etat

Dbit : mutualis et variable

Partag entre les utilisateurs et dpendant des conditions d'usage Globalement dix fois infrieur au filaire

Aspects sanitaires

Notions de propagation radio

Les ondes radio se propagent en ligne droite dans plusieurs directions depuis leur source d'mission Leur vitesse dans le vide est de 3.108 m/s Lorsqu'elle rencontre un obstacle, l'onde est divise et son nergie est rpartie :

on'e inci'ente

r(lc ie nergie a!sor!e

r(racte

Gain et attnuation

Attnuation

Lorsqu'elle traverse un obstacle, une partie de l'nergie de l'onde est absorbe Lorsqu'il est capt par une antenne, la puissance du signal de l'onde est amplifi

Amplification

L'attnuation (ou le gain) est le rapport entre la puissance du signal avant et aprs modification (ttnuation *d+, # *1-, . log *!2/!1,

Absorption des ondes

L'nergie d'une onde lectromagntique est progressivement dgrade au cours de sa propagation dans l'air

L'onde lectromagntique qui voyage rencontre des lectrons qu'elle va exciter. Ceux-ci vont r mettre leur tour du rayonnement ce qui perturbera le signal et donc l'attnuera.

Les signaux se dgradent avec la distance et avec les obstacles, limitant ainsi la porte et le dbit de la liaison
puissance

distance 0 la source

Cas perturbants lis au WiFi

Frquence

La frquence moyenne de la porteuse du WiFi est de 2,437 Ghz La frquence de rsonance de l'eau est de 2,45 Ghz La longueur d'onde du WiFi est de 12,31 cm Le quart d'onde (taille des objets absobant l'nergie de cette onde) est de 3,05 cm

Longeur d'onde

Les lments contenant de l'eau et / ou de taille proches de 3 cm absorbent facilement l'nergie du signal du Wi-Fi (feuilles par exemple)

Ondes, frquences et couverture

Plus la frquence est leve plus le phnomne d'absorption est lev, donc plus la distance de couverture est faible.

C'est pour cela que les communications radio se font sur des frquences d'une centaine de MHz. Pour le WiFi, par exemple on peut difficilement faire plus de 10km avec du matriel classique .

Plus la frquence est leve, plus le dbit de de donnes peut tre important mais plus la couverture est faible. Puissance leve : couverture plus grande mais dure

Chemins multiples (multipath)

Par rflexions successives, une onde peut atteindre une station en empruntant des chemins multiples et gnrer des interfrences La prsence de deux antennes sur un point d'accs permets de contrler et de sparer les signaux

source : Jean Franois Pilou

En fonction du milieu travers


(ffai lissement pour le 2.5 678
1atriaux (ir +ois Plastique 2erre 2erre teint Eau Etres 3i3ants +riques Pl4tre Cramique Papier +ton 2erre lind 1tal (ffai lissement Ngligea!le 2ai!le 2ai!le 2ai!le 0o)en 0o)en 0o)en 0o)en 0o)en Elev Elev Elev Elev Tr:s lev Exemples C amp li!re Porte, planc er, cloison Cloison Vitres non teintes Vitres teintes A&uarium, (ontaine 2oule, animau+, umains, vgtation 0urs Cloisons Carrelage -ouleau+ 'e papier 0urs porteurs, tages, piliers Vitres pare-!alles .ton arm, miroirs, armoire mtalli&ue, cage '3ascenseur

9fraction pour le 2.5 678

Partie 2 La norme 802.11 (IEEE)

Prsentation du Wi-Fi

Dfinition

Le Wi-Fi

permets des quipements informatiques de se connecter et d'changer des donnes par voie radio s'intgre dans la pile IP (sous-couche)
Donnes radio

Donnes IP

Donnes IP

Un WLAN

est un rseau sans fil local. Il regroupe les quipements associs entre eux utilisant le mme nom de rseau fonctionne en architecture cellulaire : chaque cellule possde sa zone de couverture et ses caractristiques d'association

Des possibilits varies

Source : Centre Erasme

Usages

Partager des ressources

Source : Centre Erasme

Usages

tendre un rseau existant

Source : Centre Erasme

Usages du Wi-Fi

tendre un rseau existant

Pont WiFi

Partager une ressource

Switch / Accs Internet, Imprimante, serveur

Raliser un portail d'accs authentifi

Hot-Spot

Utiliser des objets communiquants

Lecteur de flux RSS, Nazbatag, localisation

Accder une ressource en mobilit

Hopitaux

Dployer un rseau urbain alternatif aux oprateurs

Les villes Internet

Quelques donnes
&

it , Association 'e 7 ; <= 0!ps. <8 > 'e '!it e((ecti(.

Porte , 'e &uel&ues centaines 'e m:tres ; plusieurs km.

Ce rsultat sera (onction 'e , la puissanceem , couples AP ? antennes c oisis la sensi ilitrec , inv proportionnelle au '!it c oisi affai lissementligne , mas&ues ra'io et inter(rences
Puissance autorise par l:(9; , 788 m1 en sortie '@antenne pour les rseau+ privs et in'pen'ants. !ant , ra)onnement 78 (ois in(rieur ; celui '@un tlp one porta!le.

Le matriel employ

Points d:acc<s *eq. s=itch, Cartes clientes *q. carte rseau, (ntennes et connectiques 1atriel Ethernet

Etat des autorisations en France


7Cration ou e+tension '@un rseau pri3 par tec nologie 1i2i #.= / 4 li!re 'ans le - Cne 'epuis le mois 'e Danvier #88B. rseau priv 5ou in'pen'ant6 E pas 'e vocation ; commercialiser un service 'e tlcommunication ou activit pas assimile ; celle '@un oprateur. Ftilisation 'u 1i2i 'ans le !ut 'e fournir un acc<s >nternet pa%ant 0 un tiers , 'eman'e 'e licence e+primentale aupr:s 'e l@A-T.

#-

Ces deux procdures sont soumises au respect de normes europennes et franaises dutilisation des frquences et des puissances mises (ETSI) :

"rquences en 178

>ntrieur

Extrieur

#=88 #=<= #=AB,<

1-- m$

1-- m$

1- m$ et 1-- m$ a3ec accord &fense sur proprits pri3es

Une architecture cellulaire


Cellule *8one de cou3erture,
-ID - Dbit - Canal utilis - Mode dencryption

%n 'uipement i-Fi ( ) inter*aces

Point daccs
module iFi ! module Et$ernet

Adaptateur WiFi
module iFi ! module PCI" PCMCI#" CompactFlas$ ou %S&

Topologies

Topologie ad-hoc

s as

io t a ci

association

>+!! Internet
Ensemble de ser+ices de base indpendant

... quivalent un cble crois en Ethernet

-D=< crois

Topologie ad-hoc

Des stations quipes d'adaptateurs WiFi en mode ad-hoc forment un rseau Mesh (ad-hoc)

Chaque adaptateur joue successivement le rle d'AP et de client. Les machines communiquent ensemble en point point (peer to peer). Ce systme n'intgre pas nativement de protocole de routage. Une norme IEEE en tude le prvoit. La porte du rseau est limit aux portes de chaque paire.

Cet ensemble de services de base indpendants (IBSS) est adapt aux rseaux temporaires lorsqu'aucun AP n'est disponible

Topologie Infrastructure
rn t e E eau s et

acc:s au rseau (ilaire

association

c ange voisinage rseau

+!!
,ensemble de ser+ices de base.""ID E @0ac 'u point '3acc:s

... quivalent un hub en Ethernet


rn t e E eau s et

acc:s au rseau (ilaire

c ange voisinage rseau


-D=<

-D=<

Topologie infrastructure

Chaque station se connecte un point d'accs qui lui offre un ensemble de services de base (BSS)

association et ev. authentification connexion la ressource Ethernet (bridge IP) communication avec les autres stations (IP) BSS caractris par son BSSID = @Mac du point d'accs

A un point d'accs peuvent tre associes jusqu' 100 stations Le support de transmission est partag entre les stations, de mme que le dbit radio Le point d'accs est mode AP (parent) et les stations en mode client (enfant)

Topologie infrastructure tendue

'e 6 e " t:m ")s ution 5D ri! t s i '

change e 3oisinag rseau

+!!

+!!

E!!
,ensemble de ser+ices tenduE""ID E i'enti(iant A"CII

Topologie infrastructure tendue

En reliant plusieurs points d'accs par un service de distribution (DS) on obtient un ensemble de services tendu (ESS)

le ESS est repr par un (E)SSID = identifiant 32 caractres au format ASCII ncessaire pour s'y associer tous les AP du rseau doivent utiliser le mme SSID les cellules de l'ESS peuvent tre disjointes ou se recouvrir pour offrir un service de mobilit (802.11f)

Le service de distribution est la dorsale ou le backbone du rseau

rseau Ethernet pont WiFi

Mobilit : notion de Roaming

En fonction de l'organisation spatiale des canaux, on pourra offrir un service continu en mobilit : c'est le roaming (802.11f). Ex : flux stream non coup en rception Lors de la configuration, il faudra tre vigilant quant au recouvrement des canaux

Association et transfert de donnes

Les modes d'association

Le mode d'association configur sur un module WiFi dtermine ses possibilits de connexion avec les autres :

mode AP (access point) : fonction d'association parent (diffuse un SSID, fonction switch et rpartition de charge, gre la scurit) mode client ou managed : fonction d'association enfant mode ad-hoc et mode bridge : pont rseau mode repeater : rmission des trames mode monitor : coute et enregistrement des trames

1ode 1atriel Point d'acc<s (daptateur $i"i

(P *parent, G

client *enfant, G G

(d-7oc

+ridge G

9pteur G

1onitor 5G6 5G6

Mcanisme d'association (1)

Le point d'accs

diffuse rgulirement (0,1s) une trame balise (beacon) avec

son BSSID (ex : 00:16:41:9B:DA:93 ) ses caractristiques radio (ex : canal 2 / 54 Mbps / ENC ) optionellement son ESSID en clair (ex : tsunami )

L'adaptateur client

lorsqu'il dtecte son entre dans une cellule, il diffuse une requte de sondage (probe request) avec

l'ESSID sur lequel il est configur (ex : tsunami ) ses caractristiques radio (ex : 11 Mbps ) il coute le rseau la recherche d'un ESSID en clair

autrement, ou si aucun ESSID n'est configur

Mcanisme d'association (2)

Le point d'accs

lorsqu'il reoit une requte de sondage (probe request) vrifie

le ESSID les caractristiques radio proposes

si les donnes sont compatibles, il envoie une rponse avec

les informations sur sa charge des donnes de synchronisation (puissance / dbit)

L'adaptateur client

value la qualit du signal mis et la distance du PA choisit le PA avec le meilleur dbit et la plus faible charge en cas de propositions multiples envoie une demande d'association au PA choisi

Beacon

Probe Request

Mcanisme d'association
!tation Point d:acc<s +eacons
-.""ID --a'io 5canal, '!it, puiss6 -5E""ID6 -E""ID -D!it -D!it -C arge

+roadcast

&cou3erte du rseau

Pro e 9equest

Pro e 9esponse

(uthentification

-Cle(s

(uthentification

--ponse 'u processus '3aut enti(ication

(ssociation

(ssociation 9equest

(ssociation 9esponse

Mcanisme de roaming
!tation Point d:acc<s *nou3eau, Point d:acc<s *ancien,

9e-association 9equest

7ando3er

7ando3er 9equest

7ando3er 9esponse

(uthentification

(uthentification

(ssociation
9e-association 9esponse

Inspir du CSMA/CD de l'Ethernet

Mcanisme de transfert de donnes


Carrier Sense Multiple Access with Collision Detect
Chaque machine est libre de communiquer n'importe quel moment. Elle vrifie qu'aucun autre message n'a t envoy en mme temps par une autre machine. Autrement elles patientent pendant un temps alatoire avant de recommencer mettre.

Mais en WiFi, deux stations communiquant avec le mme rcepteur ne s'entendent pas forcment pour savoir si le media est libre (porte).
Carrier Sense Multiple Access with Collision Avoidance incluse dans la fonction DCF (Distributed Coordination Function) de la couche MAC du 802.11 Utilise un mcanisme d'esquive de collision bas sur l'accus de rceptions rciproques entre l'metteur et le rcepteur.

CSMA/CA

CSMA/CA

La station voulant mettre coute le rseau. Si le rseau est encombr, la transmission est diffre. Si le mdia est libre, la station transmet un message RTS (Ready To Send) avec les informations sur le volume de donnes et sa vitesse de transmission.

Le rcepteur rpond par un message CTS (Clear To Send) que reoivent toutes les stations. La station effectue l'mission des donnes. A rception de toutes les donnes, le rcepteur envoie un ACK (accus de rception). Toutes les stations voisines patientent alors pendant le temps calcul partir du CTS

Source : Jean Franois Pilou

Transfert de donnes
!tation *1, Point d:acc<s !tation *2,

Ecoute

silence 5DIFS6

Prmission

9ead% ;o !end

Clear ;o !end *!1,

Clear ;o !end *!1,

&onnes

&onnes

silence

(ccus de rception ...

(C? *!1,

(C? *!1,

DIFS
9ead% ;o !end

Paramtres radio avancs (BSS)

Beacon Interval : 0 - 3000; default 100 (ms)

Intervalle de temps entre deux transmissions d'une trame balise pour les stations cherchant s'associer (Beacon). Zone de dcompte informant les clients WiFi associs en veille (pour l'conomie d'nergie) quand se rveiller pour la diffusion suivante des messages Broadcast et Multicast de l'AP (Delivery Traffic Indication Message). Option longue ou courte du preambule. Choisir court si le rseau est charg.

DTIM Interval : 1 255; default 100 (ms)

Preamble Type : Long / Short


Paramtres radio avancs (BSS)

Fragmentation Threshold : 256 - 2346; default 2346 (octets)

Seuil au-dessus duquel les paquets seront fragments. Plus le seuil est lev, plus les consquences d'une mauvaise rception de ce paquet seront importantes car il faut le retransmettre en entier. Taille d'un paquet de donnes partir de laquelle l'metteur va faire une demande de droit de parole afin qu'aucun autre metteur ne fasse d'mission au mme moment. Cette valeur est diminuer dans le cadre d'un rseau avec beaucoup de trafic afin d'viter les collisions et l'croulement des dbits.

RTS Threshold : 0 - 3000 ; default 2432 (octets)

Gamme de frquence et canaux

Les canaux de transmission

Un canal de transmission est une bande de frquence troite utilisable pour une communication La largeur du canal (bande passante) est en gnral proportionnelle au dbit de la communication Des canaux peuvent se recouvrir en partie gnrant une dgradation de la qualit du signal et du dbit

Source : Jean Franois Pilou

La bande ISM

Dans chaque pays le gouvernement est le rgulateur de l'utilisation des bandes de frquence

ETSI en Europe FCC aux Etats-Unis

En 1985, les Etats-Unis ont libr trois bandes de frquence destination de l'Industrie, de la Science et de la Mdecine (ISM)

902 928 Mhz 2.4 2.483 Ghz


H- @-2.11 et g

5.725 5.850 Ghz H- @-2.11a

En Europe, la premire bande est utilise par le GSM, seules les deux autres sont disponibles

Les canaux du 802.11b et g


La bande de frquence du WiFi (802.11b et g) est divise en 13 canaux se recouvrant partiellement

Chaque BSS communique sur un canal fix lors de la

configuration de l'AP (Infrastructure) ou de l'adaptateur (ad-hoc) Trois canaux seulement sont utilisables simultanment et proximit : 1, 6 et 11

Les canaux bas sont rputs plus stables

Source : Cisco

Affectation des canaux

Affectation de trois canaux qui ne se perturbent pas (cas limite - interfrences et rflexions) :
11 1 A

11 1

11

Affectation des canaux

Affectation de trois canaux qui ne se perturbent pas (cas obligatoire) :

77 7 I 77 7 77 7

Choix de la topologie
les cellules sont disjointes

faible nombre de canaux pas dinterfrence pas de mobilit

les cellules sont jointes

service de mobilit exploitation de lespace ev gestion des canaux q rseaux sans fils

les cellules se recouvrent

densification : nombre important dutilisateurs gestion des canaux gestion de l'affectation

Normes et standards

La norme IEEE 802.11

802.11

Norme technique du IEEE dcrivant les caractristiques d'un rseau local sans Fil (WLAN) Dfinit le fonctionnement des couches basses d'une liaison WiFi : couche physique et couche liaison de donnes Organisation professionnelle but non lucratif regroupant 360 000 membres scientifiques de 175 pays. Organise la publication de normes dans le domaine de l'ingnierie lectrique :

IEEE (Institute of Electrical and Electronics Engineers / www.ieee.org)

IEEE 802.3 : Fonctionnement d'Ethernet IEEE 1394 : Fonctionnement du Bus srie (FireWire) IEEE 1284 : Port parallle

Le label Wi-Fi

Le label Wi-Fi (Wireless-Fidelity)

Certification d'un consortium industriel (WiFi Alliance) attestant de la conformit des produits au standard 802.11 et de leur interoprabilit Label industriel et commercial Les produits bnficiant de la certification peuvent appliquer le logo WiFi (Wireless Fidelity) Regroupe 260 entreprises : http://www.wifialliance.com/our_members.php Proposent des labels complmentaires marquant les volutions techniques de scurit : WEP, WPA2

La Wi-Fi Alliance

Le standard 802.11
& it thorique maximum +ande de frquence Porte maximale B ser3ations

@-2.11

77 0!ps

#,= /J4

intrieur , <8 m e+trieur , #88 m 577 0!ps6

sensi!le au+ inter(rences 5!luetoot , tlp one sans (il, (our micro-on'es...6 (ai!le coKt 5rpan'ue6 non rglemente 57LLL6 !onne pntration pour la ma%orit 'es matriau+

@-2.11a

<= 0!ps

< /J4

intrieur , #8 m

rglemente (r&uences ra'io leves 5couverture plus (ai!le tri!utaire 'es o!stacles6 plus c :re pas '@inter(rence avec les appareils lectroni&ues

@-2.11g

<= 0!ps

#,= /J4

intrieur , #8 m e+trieur , <8 m 5<= 0!ps6

- compati!le avec A8#.77! - s3imposera 'evant le A8#.77!

Les diffrentes normes

Origine

802.11 : 2 Mbits/s (1997) 802.11b : 2,4 Ghz - 11 Mbits/s (bande ISM) - FSSS 802.11a : 5 Ghz - 54 Mbits/s (bande UN-II) - OFDM 802.11g : 2,4 Ghz - 54 Mbits/s (bande ISM) - OFDM 802.11e : Qualit de service 802.11f : Itinrance (roaming) 802.11h : Norme europenne pour les frquences et la gestion d'nergie 802.11i : Scurit - chiffrement et authentification AES 802.11n : WwiSE ou Super-WiFi - avril 2007 - 540 Mbps - technologie MIMO (multiple-input multiple-output) 802.11s : Rseau Mesh, en cours d'laboration. Mobilit sur les rseaux de type adhoc avec routage dynamique OLSR. Dbit de 2 Mbps.

Amendements

A venir

MIMO

Multiple In, Multiple Out = Multiples entres, Multiples sorties La technologie multiplie le nombre de canaux de transmission effectifs (dans un mme canal radio)

Les metteurs et les rcepteurs utilisent plusieurs antennes (de 2 8) On utilise chaque antenne comme un metteur diffrent A la rception, un algorithme exploite les interfrences lies la rflexion des ondes pour diffrencier les diffrents flux (utilisable en intrieur uniquement) des dbits de 576 Mbit/s (Fragmentation - Airgo) une porte de 120 mtres (Rplication - Athros)

Permets d'atteindre

mission

les signaux sont mis par trois antennes distinctes la propagation du signal dans l'air les multiplexe vers chacun des rcepteurs

Rception

l'algorithme de traitement de chaque rcepteur isole le signal d'un des metteurs en utilisant les rflexions le protocole dispose donc de trois canaux virtuels le dbit est multipli par trois

Sc$ma : ./ - In*ormati'ue

Fonctionnement Couche 802.11

Fonctionnement

Tous les quipements WiFi sont quips d'une antenne et d'un module charg de la commutation ondes radio <-> trames IP

on'es ra'io 1odule @-2.11

IP

or'inateur

(ntenne

1odule $i-"i

sMitc N routeur

Fonctionnement

on'es ra'io 1odule @-2.11

pa&uet IP

port PC0CIA

(ntenne

1odule $i-"i

Connexion PC1C>(

Fonctionnement

on'es ra'io 1odule @-2.11

pa&uet IP

port PCI

(ntenne

1odule $i-"i

Connexion PC>

Fonctionnement

on'es ra'io 1odule @-2.11

pa&uet IP 1odule @-2.C

trame Et ernet

ca!lage Et ernet

(ntenne

1odule dcapsulation $i-"i

1odule d'encapsulation Ethernet

sMitc N routeur

Le module WiFi

Modulation ondes radio <-> trames IP niveau 1 <-> niveau 3 de la couche OSI

on'es ra'io

signal analogi&ue

P7E Commutation ph%sique

signal numri&ue

1(C ContrDle d'acc<s au mdia


6<re l'acc<s au mdia et s3assure 'e la transmission 'es trames

pa&uet 1i2i vri(i

''C Couche de liaison logique

pa&uet IP

Con3ertit le signal 5gamme 'e (r&uence, puissance et mo'ulation6 et dcode l'information

- 0o'e '3association - Aut enti(ication et scurit - 2ragmentation - -oaming - Oconomie '3nergie

&!!! / "7!! / B&P1

C!1(/C(

'ien $i"i

Partie 3 Configuration d'un rseau Wi-Fi

Le modle OSI

Modle TCP/IP en couches


E&emples de donnes transportes '
JTTP "0TP 2TP ... TCP FDP

(pplication

Sam a !"ic#iers parta$s%

;ransport

Ports

Les rseaux sont gnralement organiss en "piles protocolaires" chaque couche de la pile offre un niveau d'abstraction supplmentaire la couche suprieure chaque couche offre un service supplmentaire par rapport la couche infrieure

IP IC0P

9seau
Et ernet 1i-2i 'inF PPP

@IP masque de sous rseau

&ata

@MAC SSID WEP / WPA

Couche Ph%sique

Frquence Modulation

Les couches 802.11


(pplication

;ransport

9seau

Couches $i-"i *@-2.11 @-2.2,


'ogical 'inF Control *''C, 1edium (cces Control *1(C, Couche Ph%sique *P7E, Couche de liaison logique lien 1i2i ContrDle d'acc<s au mdia C"0ANCA 5DC26 1odulation de donnes I- N D""" N 2J"" N $2D0

&ata 'inF

Couche Ph%sique

-mode ad-hoc -change de fichiers en voisinnage rseau

Communication entre deux stations


!tation 1

!tation 2

(ppli cation ;ransport

SM(

SM(

)CP IP

)CP IP

9seau

Couche 'ien

*+,-..
SM( )CP IP *+, *+,-..

*+,-..

Couche Ph%sique

*+,-..

*+,-..

pa&uet envo) sur le rseau 5poupe russe 'e tous les pa&uets6

Un dialogue transversal
!tation 1 !tation 2

C'est aussi un dialogue entre les couches (ppli cation ;ransport

/))P

/))P

)CP IP

)CP IP

9seau

Couche 'ien

*+,-..

*+,-..

Couche Ph%sique

*+,-..

*+,-..

Des services successifs


!tation 1 !tation 2

(ppli cation ;ransport

/))P

dialo$ue applicati"

/))P

)CP IP

adressa$e de ports et int$rit adressa$e et routa$e lien WiFi

)CP IP

9seau

Couche 'ien

*+,-..

-association -aut$enti*ication -contr0le des pa'uets

*+,-..

Couche Ph%sique

*+,-..

lien radio
-*r'uence -modulation

*+,-..

Des filtres successifs


!tation 1 !tation 2

(ppli cation ;ransport

/))P

dialo$ue applicati" 01

/))P

)CP IP

ports @IP masque de sous rseau @MAC SSID WEP / WPA Frquence Modulation

)CP IP

9seau

Couche 'ien

*+,-..

*+,-..

Couche Ph%sique

*+,-..

*+,-..

-Ne remonte pas jusqu' la couche IP

Mode Infrastructure
!tation 1 (P
inter(ace ra'io

-L'AP peut avoir une IP LAN qui n'est pas dans le subnet

!tation 2

(ppli cation ;ransport

SM(

SM( )CP IP

SM(

)CP IP

)CP IP

9seau

Couche 'ien

*+,-..

*+,-..

*+,-..

Couche Ph%sique

*+,-..

*+,-..

*+,-..

-Ne remonte pas jusqu' la couche IP

AP = Bridge de niveau 2
!tation 1 (P 9outeur

-L'AP peut avoir une IP LAN qui n'est pas dans le subnet
inter(ace ra'io inter(ace (ilaire

(ppli cation ;ransport

SM(

)CP IP IP
...

9seau

Couche 'ien

*+,-..

*+,-..

*+,-.. *+,

*+,

Couche Ph%sique

*+,-..

lien ra'io

*+,-..

*+,-.. *+,-2

lien (ilaire

*+,-2

Rseau TCP/IP - Encapsulation


&onnes utilisateur (pplication En-tGte applicatif &onnes utilisateur ;CP En-tGte ;CP &onnes applicati3es >P

segment TCP

En-tGte >P

En-tGte ;CP

&onnes applicati3es &ri3er Ethernet ;railer Ethernet

'atagramme IP

En-tGte En-tGte Ethernet >P

En-tGte ;CP

&onnes applicati3es

trame et ernet

Dmultiplexage
"erveur 1e!
'emultiple+age !as sur le numro 'e port 'estination

Client 2TP

Client -eal

"erveur T2TP

TCP I/0P IC0P


'emultiple+age !as sur le numro 'e protocole 'ans l3en-tPte IP 'estination

FDP

IP A-P -A-P
'emultiple+age !as sur le t)pe 'e trame 'ans l3en-tPte et ernet

Driver Et ernet

Ce qu'il faut retenir

La couche Wi-Fi (802.11) est indpendante de la couche IP. Elle est pralable son fonctionnement dans la communication rseau. Lors de la configuration du rseau, ces deux aspects sont traits sparment et ncessaires pour la communication entre les quipements :

paramtres radio paramtres rseau

Rseau TCP/IP

Les adresses IP

Dans un rseau, chaque machine est identifie par une adresse IP, qui doit tre unique l'intrieur du rseau (les rseaux tant dlimits par les routeurs). Ces adresses servent aux ordinateurs du rseau pour communiquer entre eux. Chaque machine ne dispose que d'une adresse par rseau, l'exception des machines passerelles (routeurs, proxy, gateway) qui possdent plusieurs interfaces. Ces adresses sont composes de 4 nombres entiers (4 octets) entre 0 et 255, notes : xxx.xxx.xxx.xxx

De 0.0.0.0 255.255.255.255 Par exemple : 194.153.205.26

Les adresses IP

Les 4,3 Milliards d'adresses sont subdivises en adresses prives et en adresses publiques. Les adresses prives

concernent les machines des rseaux locaux (LAN) elles se situent derrire au moins un routeur NAT elles sont d'usage libre / Intranet elles se divisent en trois catgories

classe A : 10.0.0.0 10.255.255.255 classe B : 172.16.0.0 172.31.255.255 classe C : 192.168.0.0 192.168.255.255

(16387064 @) (1032256 @) (64516 @)

Les adresses publiques


concernent les mac ines 'irectement relies ; l3Internet attri!ues et contrCles par l3ICANN

Les masques de sous rseau

Une adresse IP est constitue de deux parties :

A gauche, une partie dsigne le rseau (netID) A droite, une partie dsigne les ordinateurs (host-ID)

Le masque fixe la limite entre ces deux parties. Se prsente sous la mme forme: xxx.xxx.xxx.xxx ou /xx Les valeurs non nulles dsignent la partie rseau. La notation CIDR dsigne le nombre de bits du rseau : 24 -> 3 octets
rseau osts
5#<<6

adresse >P masque

1H2 . 1A@ . - . xxx 2II.2II.2II . - ou /25

Les masques de sous-rseau

Les quipements qui veulent communiquer entre eux, doivent utiliser la mme adresse rseau (masque) et une adresse d'ordinateur (host) (dresse >P de (dresse >P de 1asque de sous diff rente :
l'ordinateur 1 7L#.7IA.8.7 7L#.7IA.78.7 7L#.<I.QA.LA l'ordinateur 2 7L#.7IA.8.# 7L#.7IA.8.B A7.IB.Q<.7Q rseau #<<.#<<.#<<.8 #<<.#<<.8.8 8.8.8.8

1asque de sous rseau 2II.2II.2II.2I2 2II.2II.2II.25@ 2II.2II.2II.252II.2II.2II.225 2II.2II.2II.1H2 2II.2II.2II.12@ 2II.2II.2II.2II.2II.2I5.2II.2II.2I2.2II.2II.25@.2II.2II.25-.2II.2II.225.2II.2II.1H2.2II.2II.12@.2II.2II.-.2II.2I5.-.2II.2I2.-.2II.25@.-.2II.25-.-.2II.225.-.-

)otation )om re de machines C>&9 NB8 N#L N#A N#Q N#I N#< /25 N#B N## N#7 N#8 N7L N7A N7Q /1A N7< N7= N7B N7# N77 N78 # I 7= B8 I# 7#I 2I5 <78 78## #8=I =8L= A7L8 7IBA# B#QII AIIC5 7B78Q8 #I#7=# <#=#AI 78=A<Q= #8LQ7<8 =7L=B8#

Par '(aut, 'ans un rseau local, on utilisera ,

2II.1H2.-.-

1H2.1A@.-.xxx / 2II.2II.2II.- ,

#<= mac ines 5N#=6

Les masques de sous-rseau

Nombre de machines = 2(32-CIDR)-2 Les deux adresses en moins sont :

l'@ broadcast : dernire valeur de l'host-ID (ex : 192.168.0.255 / 24) l'@ rseau : premire valeur de l'host-ID (ex : 192.168.0.0 / 24)

Des @IP apparemment compatibles peuvent correspondre des rseaux diffrents (et donc tre non joignables) :

192.168.0.1 / 255.255.255.0 : 254 machines (/24) 192.168.0.2 / 255.255.255.240 : 15 machines (/28) 192.168.0.3 / 255.255.0.0 : 65534 machines (/16)

Configuration IP

mo'em

routeur
'()

sMitc

Internet

$()

@2.2CI.C@.15

1H2.1A@.-.1

1H2.1A@.-.1-1H2.1A@.-.1-1 1H2.1A@.-.1-2

$()

'()

Configuration IP
mo'em

routeur
'()

sMitc

Internet

$()

@2.2CI.C@.15

1H2.1A@.-.1

@2.2CI.C@.1H 1H2.1A@.-.1-1H2.1A@.-.1-1 1H2.1A@.-.1-2

>Ps pu liques >Ps pri3es

2-H.@I.1-I.HH

2-H.HH.1-I.1-5

Topologie Infrastructure
mo'em

routeur
$() '()

1H2.1A@.-.I-

Internet

@2.2CI.C@.15

1H2.1A@.-.1

1H2.1A@.-.1--

1H2.1A@.-.1-1

Topologie Infrastructure
mo'em

routeur
'()

sMitc AP

Internet

$()

@2.2CI.C@.15

1H2.1A@.-.1

1H2.1A@.-.I-

1H2.1A@.-.1-1

1H2.1A@.-.1--

1H2.1A@.-.1-C

1H2.1A@.-.1-5

= 3 en 1

routeur

sMitc
'()

Internet

$()

AP

@2.2CI.C@.15

1H2.1A@.-.1

1H2.1A@.-.1-1

1H2.1A@.-.1--

1H2.1A@.-.1-C

1H2.1A@.-.1-5

Topologie ad-hoc

1H2.1A@.-.I

1H2.1A@.-.1-

1H2.1A@.-.1

1H2.1A@.-.2-

@2.2CI.C@.15

Internet

Etendre un rseau existant


mo'em routeur
'()

sMitc

Internet

$()

@2.2CI.C@.15

1H2.1A@.-.1

DN" DJCP Pro+)


1H2.1A@.-.A1H2.1A@.-.I1H2.1A@.-.1-2

liaison point ; point %us&u3; Bkm

1H2.1A@.-.1-C 1H2.1A@.-.1-5

Configurations ncessaires

Pour communiquer dans le cadre du LAN (*) les machines ont besoin de :

une adresse IP + un masque de sous-rseau

Pour sortir sur Internet une machine a besoin de :

une adresse IP + un masque de sous-rseau une passerelle (Gateway) un serveur de rsolution de nom (DNS)

* : change de fichiers (SMB), ping (ICMP), FTP, Pages Web (HTTP)...

Serveur DHCP

Distribue dynamiquement aux machines en effectuant la requte

une adresse IP + plage de sous rseau la passerelle de sortie une adresse de DNS -> configure automatiquement la couche IP du rseau

Cette configuration dynamique est particulirement adapte aux rseaux de type Infrastructure. La plupart des AP - routeurs intgrent cette option. Faiblesse scurit : paramtres IP connus.

Les routeurs

Possdent deux interfaces. Ils transmettent leurs paquets IP d'une interface l'autre. Routage NAT

Permets une translation d'adresse : une @IP publique <-> n * @IP prives Le rseau public (WAN) est visible depuis le rseau priv (LAN) mais pas l'inverse.
NAT
'() $()

NAT
-IP

$()

'()

1H2.1A@.-.1--

@2.2CI.C@.12

3oit ne 3oit pas


2-H.@I.1-I.HH

Le serveur DNS

Un DNS (Domain Name System) effectue la corrlation entre une @IP et un nom de domaine associ

ex : 209.85.135.99 <-> google.fr

Le serveur qui effectue la rsolution de nom est en gnral hberg au niveau du FAI et son adresse est rcupre dynamiquement en mme temps que l'IP publique (routeur, PC).

Configuration du rseau Wi-Fi

Configuration Radio

Rglages Radio de l'AP

Nom (E)SSID Canal d'mission SSID Broadcast Topologie : AP, Client, Bridge, Repeater...

Configuration Radio avance

Puissance d'mission Chiffrement et authentification : WEP / WPA Filtrage des adresses MAC Radio : Dbits, DTIM, Fragmentation, Beacon...

Rglages TCP/IP de l'AP

@IP WAN (interface Ethernet)

@IP / Masque Passerelle DNS attribution en DHCP

ou

@IP LAN (interface Radio et Switch)

Activation DHCP - Plage

Rglages radio de l'adaptateur Wi-Fi

Configuration Radio

CRYPTAGE -> AUTHENTIFICATION Ouverte Partage WPA-PSK WPA-EAP (802.1x)

Pas de Cryptage X (X)

WEP (X) X

TKIP

TKIP

(E)SSID Topologie : Infrastructure ou ad-hoc Cryptage et authentification :

X X

Rglages TCP/IP de l'adaptateur Wi-Fi

DHCP
BU

Valeurs fixes

@IP / masque Passerelle DNS

Diagnostics d'association (AP)

Diagnostics en mobilit (client)

Butil "a ricant *&linF, -Puissance 'u signal -Rualit 'u signal

Butil gnrique *$indo=s, -Puissance 'u signal

Dtection des rseaux (client)

Butil "a ricant *&linF, -""ID -.""ID -Puissance 'u "ignal

Butil gnrique *$indo=s, -""ID -Puissance 'u signal

Outils gnriques (client)

)et!tum ler -t)pe '3encr)ption -""ID -rapport "N. -.""ID -Puissance 'u "ignal

Mesure de dbit

!uperCopier 51in'oMs6

>perf 51in'oMs6 en ligne 'e comman'e

Ecoute et enregistrement de trafic

$ire!harF J $inPcap 51in'oMs6

Pour le $i"i aKouter (irpcap

Airpcap permet l3mulation 'u mo'e monitor sur l3inter(ace ra'io 'es a'aptateurs F". 51in'oMs6

Partie 4 Matriel -

Liens entre porte, dbit et puissance

Chipsets et Fabricants

Quelques fabricants de Chipsets recouvrent la quasi totalit des cartes

Prism (Interstil) : Dlink, Linksys, Netgear Texas Instrument : Dlink, US-Robotics Hermes : Onorico, Buffalo Atheros et Broadcom: dernirres versions 54Mbps

Certains Chipsets ne sont pas utilisables en coute Le label Wi-Fi garantit l'interroprabilit du matriel et des normes vues jusque-l.

En cas de mlange des normes, le dbit maximal sera le plus faible savoir celui de la norme 802.11b Quelques normes propritaires rares (Dlink : 802.11+ ; Cisco : TKIP...)

Points d'accs

Points d:acc<s *eq. s=itch,


"ensi!ilit en rception et puissance 'e sortie. Topologies supportes 5AP, .ri'ge, AP Client, repteurS6 "ervices supplmentaires 5DJCP, routage, (iltrage 'es clients, A8#.7+, A8#.7&6 E+emple 'u Cisco et 'u Dlink

Adaptateurs WiFi

Cartes clientes *q. carte rseau,


Tous t)pes '@a'aptation , PC0CIA, PCI, F"., C2 T Trois t)pes 'e rception , 'irecte, patc ou avec antenne e+trieure T .onne interopra!ilit
T

Antennes

Ue gain '3une antenne est e+prim en d+i


B '. H-* multiplication par # V I par = V L par A

$n note la rpartition spatiale 'e ce gain sur un 'iagramme Ue c oi+ '3une antenne 'oit se (aire sur le compromis compromis , ou3erture angulaire/porte 5et pri+6

Antennes
6ain &irectionelle !ectorielle Bmnidirectionelle 9icore 1ini-omni 7# ; 7L '.i L ; 7# '.i Q ; L '.i A '.i # '.i Bu3erture =< ; I8 W 7#8 W BI8 W <8 W BI8 W CoLt B8 ; I8 euros I8 ; 788 euros 788 ; 7<8 euros 78 euros Pringles )om Xagi T /ri's Patc

Les connectiques

Type N

La connectique d'antenne standard Utilise par les constructeurs Cisco et Linksys Rpandue sur les cartes PCI et le matriel Dlink Ddies aux sorties mini-PCMCIA

Type TNC-RP

Type SMA

Type MMCX

Dbit d'association

Variable : 54 - 48 - 36 - 24 - 12 - 11 - 5,5 - 2 - 1 Mbit/s Adapt automatiquement en fonction

de la puissance reue par l'appareil (distance) du rapport Signal/Bruit (qualit du signal)


70!ps #0!ps <0!ps

@-2.11

@-2.11g

I 0!ps L 0!ps 7#0!ps #=0!ps BI0!ps =A0!ps

770!ps

<=0!ps

'!its in'oor '3association

<8 m

#8 m

788 m

788 m

Dbits effectifs

Dbit en ftp binaire 50 % du dbit annonc.

Propagation des ondes en indoor

- r(le+ions multiples - 'i((ractions multiples - gomtrie BD - in(luence 'e la polarisation


1*rences : Jo$n C2 Stein

Propagation des ondes en milieu urbain

1*rences : Jo$n C2 Stein

Calcul de la PIRE

La PIRE est la puissance effective rayonne en sortie d'antenne Elle est limite 100 mW l'extrieur (et l'intrieur) en France. 100 mW = 20 dBm Compter 1 dB par mtre en moyenne pour les pertes

PIRE (dBm) = puissance en sortie AP (dBm) pertes cbles (dB) + gain dantenne (dBi)

Thorie de porte radio

"+# P+#
5'.m6

5'.i6 /#

T+# 5'.m6 PU -+# 5'.m6

-+7 5'.m6

/7 5'.i6 P+7

5'.m6

5'.m6

T+7 5'.m6 U7 5'.6

"+7

5'.m6

U# 5'.6

P$INT #

P$INT 7

Le champ doit tre exempt de masque (btiment, arbres...) et doit respecter la zone de Fresnel. Les rsultats sont trs dpendants des sensibilit de rception des appareils. Avec 10 mW en sortie d'AP, 3m de cble et 2 Yagis 14 dBi on peut obtenir sur un lien de 2 3 km.

Calcul de porte d'un lien

Outils de calcul

http://reseau.erasme.org/article.php3?id_article=10 http://www.swisswireless.org/wlan_calc_fr.html http://www.temcom.com/pages/dBCalc_fr.html

A retenir : le meilleur rsultat de porte est obtenu avec l'utilisation de matriel aux caractristiques symtriques de part et d'autre

AP (sensibilit de rception et puissance mission) Antennes (Gain) Connectiques et cbles (Pertes en ligne)

Partie 5 Scurit

Les risques

Un manque de scurit intrinsque

Propagation des ondes vaste et peu matrise

Rseau sans fil quivalent des cbles RJ45 qui pendent aux fentres ;) AP souvent vendus et installs sans scurit par dfault AP temporaires laisss en marche l'insu des resp. IF Un reprage des rseaux urbains accessibles :

Problmes d'usage

Le War-Driving

Voir : http://www.nantes-wireless.org/pages/wiki/index.php?pagename=WarDriving

Attaques possibles

L'coute des donnes L'intrusion et le dtournement de connexion L'occupation de la Bande Passante Le brouillage des transmissions Le dnis de service

L'coute des donnes


!olution efficace : le c i((rement 5ou cr)ptage6 'es 'onnes

&onnes

Internet

L'intrusion et le dtournement de connexion

!olution efficace : -restrein're l3acc:s ra'io -restrein're l3acc:s rseau -aut enti(ier la personne

)cessite : -une con(iguration ra'io -""ID... -une con(iguration rseau -@IPNpasserelleNDN" compati les

2isite de la machine

ss ( ia oc n tio

!urf sur >nternet et attaques

Internet

L'occupation de la bande passante


Ec ange 'e (ic iers lour's !lo&uant la !an'e passante 'e l3utilisateur principal. 5importante 'e l3uploa'6

Prrequis et solutions : i'enti&ues.

&onnes

es n on &

Internet

Le brouillage de transmission
Pro3enance : tlp ones DETC, (ours ; micro-on'es

!olution efficace : couper la source ou s3loigner

Y Internet

Le dnis de service
Ftilise la connaissance 'u protocole C"0ANCA pour occuper le PA ou lui envo)er 'es pa&uets c i((rs pour la mettre J"

!olution efficace : -1PA

s et qu pa @11 2.

Y Internet

Les solutions

Une configuration radio adapte


En fonction de la zone effective couvrir :

Positionner les points d'accs de manire optimale Diminuer la puissance d'mission du PA

Faire des tests en situation

Ne pas Broadcaster le SSID

Le SSID ne sera pas visible par dfaut par les nouveaux utilisateurs. Les personnes utilisant des outils d'coute pourront le dtecter. Si le rseau n'a pas vocation accueillir de nouveaux utilisateurs rgulirement, mettre en place.

Modifier les valeurs par dfault

Modifier le mot de passe d'administration Changer le SSID et le nom de l'AP par dfault

donne des indications sur le modle

Changer l'adressage IP par dfault

Filtrer les @MAC

Possibilit de lister les @Mac des stations autorises ou interdites @MAC = identifiant unique de chaque interface rseau 802 (WiFi, Ethernet) : 01:23:F5:67:29:A1

attribue par le fabriquant et l'IEEE (plaque d'immatriculation) mais peut tre falsifie

Chiffrer les donnes : WEP

WEP = Wired Equivalent Privacy Protocole de chiffrement utilisant une clef secrte statique de 64 ou 128 bits
Fiabilit

Une clef de 128 bits couvre 3/4 des risques pour un particulier Une attaque de force brute permets de casser une clef de 64 bits Une capture d'un million de paquets permets de casser une clef de 64 ou 128 bits (faille algorithmique)

Ncessite d'tre configure sur l'AP et toutes les stations

Dsactiver le serveur DHCP

Une configuration rseau n'tant pas attribue automatiquement rend la prospective plus dissuasive Nanmoins le gain de scurit est faible et fait perdre la souplesse d'administration du DHCP

-> solution rserve aux besoins spcifiques

WPA : authentification + chiffrement

Wi-Fi Protected Access (WPA et WPA2)

comble les lacunes du WEP rcent donc pas implment sur tous les matriels (voir maj firmware) respecte la norme 802.11i (2004) Temporal Key Integrity Protocol Vecteurs d'initialisation tournants et vrification d'intgrit personnel : WPA - PSK entreprise : 802.1/x - EAP avec serveur Radius

Chiffrement : TKIP

Authentification

WPA PSK (personnel)

Ncessite une Pass-Phrase devant tre saisie sur l'AP et le client Cette clef sert la fois l'authentification (PreShared-Key) et au chiffrement (TKIP)

WPA EAP / 802.1x (entreprise)

Utilise un serveur Radius centralis pour grer l'authentification : robuste mais compliqu Cette clef sert la fois l'authentification (PreShared-Key) et au chiffrement (TKIP)

WPA (suite et fin)

Faiblesses

L'utilisation de Pass-Phrase trop courtes voire trop communes pouvant tre brute-forces. La possibilit de gnrer des trames "DISASSOCIATE" et cela relancera ainsi le procssus d'identification du WPA. http://fr.wikipedia.org/wiki/Wi-Fi_Protected_Access http://reseau.erasme.org/rubrique.php3?id_rubrique=15 http://www.freeradius.org/

Pour en savoir plus


Une exemple de scurisation complet

Synthse

Rsum des solutions


Interception de donnes Rglage de la puissance Ne pas broadcaster le SSID
Wi-FI

Intrusion + + + + ++ + +

Occupation de BP + + + + + + -

Brouillage des transmissions -

D nis de service + + + + + -

+ ++ +++ +++

Limitation des @Mac Clef WEP WPA @IP fixes

IP

Tunnel VPN

- , ne (onctionne pas ? , (onctionne mais peu (ia!le ?? , recomman' ??? , meilleure solution

Partie 6 Dployer un rseau sans fil

Mthodologie

Thorie Evaluation des besoins Etude de site Dimensionnement Scurit Documentation Fonctionnement, optimisation et maintenance

Analyse des besoins

Quel est le nombre des utilisateurs et leur perspective dvolution ? Quelle est la densit des utilisateurs et leur espacement ? Le profil des utilisateurs (accs restreint ou public)? Nature et importance des donnes qui transiteront ? Quelles sont les applications utilises actuellement, ou plus tard (dans 2 ans)? Quels sont les types de trafic (sporadique ou continu) et les volumes de trafic effectifs? Quels sont le besoin de dbit minimum des utilisateurs en accs sans fil? Types des stations qui seront connectes, leurs compatibilit ? Quel est la topologie et le plan d'adressage du rseau filaire amont ? Existe t il des services rseau : DHCP, DNS, Proxy ? Des restrictions ? Des filtrages ?

Etude de site

Objectif

Dterminer avec prcision des emplacements des APs Paramtrer la radio des APs et (puissance de transmission, couverture, canaux, type dantennes )

Procdure

Rassembler les plans des locaux. Y-indiquer lemplacement des prises LAN, secteur, coupe-feu, etc.) Localiser les ventuelles sources dinterfrences et valuer leur importance (cages d'ascenseur, lments en mouvement, rayonements...) Faire des tests avec un AP et un portable pour valuer la puissance et la qualit du signal Fixer lorientation des antennes et la puissance des APs Envisager des installations lectriques autonomes

Dimensionnement

Evaluer la capacit des Aps


Exemple de t%pe d:application
Consultation messagerie Navigation Internet Tlc argement 'e (ic ier peu volumineu+ Tlc argement 'e (ic ier volumineu+ VoIP, vi'ocon(renceS Tlc argement 'e (ic ier volumineu+ VoIP, vis

)om re utilisateurs
<8 #<

@-2.11

78

@-2.11a @-2.11g

<8

Effectuer le plan d'adressage rseau du site

Stratgie de scurit

Dimensionner des solutions de scurit adaptes

Wi-Fi

Rglage de la puissance Ne pas broadcaster le SSID Limitation des @Mac WPA dfaut Clef WEP @IP fixes Tunnel VPN

IP

En informer les utilisateurs

Faire des audits scurit rgulirement

notamment : log des utilisateurs et des @Mac au niveau AP( -> rediriger ventuellement dans un fichier de log ) ping de toutes les adresses IP du Subnet (attribues ou statiques) volution des dbits

Documentation

Documenter l'historique de l'installation

Guide dimplmentation et de mise en marche du rseau Historique des interventions


APs et identification Zone de couverture, canal, antennes, dbits Rglage de scurit

Produire un plan WiFi


Produire un plan du rseau

Schma IP des connexions et des quipements Plan d'adressage Distribution des adresses : DHCP, DNS, Proxy, ect Anticiper le manque d'adresses

Partie 7 Complments

Aspects juridiques

Aspects juridiques (radio)

%sa#e priv

Offre de services au public

Ex : Rseau dune entreprise, usage domesti ue

Raccordement direct des bornes un rseau public existant

Etablissement dun rseau pour relier les bornes R !"

Ex : Cybercaf, partage d accs icence exprimentale #ratuite Pas de licence ncessaire Conditions techniques des dcisions*, variables selon les dpartements Conditions techniques des dcisions* Conditions techniques dro#atoires ** variables selon les dpartements identiques dans tous les dpartements Examen au cas par cas par la $fense Ex : !mnagement dun centre d affaires Ex : Projet de dveloppement local

" dtailles dans le communi u de presse du # novembre $%%$ "" puissance rayonne &P'RE( de )%% m* en extrieur et en intrieur

Source : http://www.art-telecom.fr - 19/11/2002

Aspects juridiques (contenu)

La loi contre le terrorisme (LCT) du 29 octobre 2005 impose tous ceux qui proposent un accs Internet au public (particuliers, cybercafs ou des fournisseurs d'accs Internet) de conserver les donnes de connexion pendant 3 ans et les communiquer si ncessaire aux services de police. En pratique, le log des adresses MAC connectes suffit. Certains points d'accs embarquent des solutions d'enregistrement des logs. En cas d'utilisation de votre rseau votre insu vous tes responsable de ce qui est fait depuis votre connexion

Aspects sanitaires

Des lments concrets

Les normes europennes dutilisation des ondes WiFi spcifient une puissance rayonne < 100 mW. Le WiFi rayonne moins que la plupart des quipements quotidiens

Tlphone GSM : < 2W ; Tlphone DTEC : < 500 mW ; Antennes GSM : 20 50 W ; four micro-ondes : 1 kW ; metteur de la tour Eiffel : 6 MW

La puissance d'un champ lectro-magntique dcrot avec le carr de la distance. Un lment radio WiFi 1 mtre revient poser un tlphone portable en marche 3 mtres.

... mais des questions subsistent

Lutilisation de radio-frquences suscite des interrogations. Les nombreuses tudes en cours, surtout au sujet de lutilisation des tlphones mobiles, sont globalement rassurantes. Nanmoins l'accumulation des ondes et l'inconnu des effets long terme incitent au principe de prcaution. Depuis 2002, presque tous les constructeurs se sont rallis des utilisations de l'ordre de 30 mW en sortie d'antenne WiFi.
Voir : http://reseau.erasme.org/article.php3?id_article=29

TPs la demande

Liste des TPs

Configurer un client en mode infrastructure Dimensionner un WLAN : mesure de dbit / qualit / porte / QOS Configurer un point d'accs : configuration WiFi basique Configurer un point d'accs : routage / DHCP / DNS Configurer un point d'accs : scurit Configurer un rseau ad-Hoc Configurer un pont WiFi : antennes / tests / qualit Ecouter un rseau sans fil / craquer une clef WEP Manipuler des objets communicants : Nabaztag

Remerciements

Sources et rfrences

Merci aux auteurs de ces contributions :

http://fr.wikipedia.org/wiki/Wi-Fi http://www.canardwifi.com/ http://reseau.erasme.org/rubrique.php3?id_rubrique=38 http://www.commentcamarche.net/wifi/ (Jean Franois Pilou) http://www.swisswireless.org/wlan_calc_fr.html http://www.topachat.com/comprendre/wifi.php http://www.ebg.net/evenements/pdf/EBG_LBwifi.pdf http://www.journaldunet.com/wifi/localisation/36661/rhone.shtml

Un remerciement particulier Michel Blanc pour son excellent cours sur Linux

http://reseau.erasme.org/article.php3?id_article=1160

Crdits

Contenu

non garanti exempt d'erreurs sous licence Creative Commons

Paternit Pas d'Utilisation Commerciale Partage des Conditions Initiales l'Identique

http://creativecommons.org/licenses/by-nc-sa/2.0/fr/

Pour toute question ou contact : pvincent@erasme.org Merci !