Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Le Wi-Fi Les rseaux sans fils

Dans la famille es rseau! "Wireless"# ceu! $ui sont construits selon la famille e normes %&'.(( connaissent un norme )eloppement. Leurs champs *application les plus communs sont :

en milieu personnel# le ploiement *un petit rseau# principalement estin + parta,er une conne!ion internet haut -it# en entreprise# pour permettre la conne!ion facile e stations e tra)ail noma es .porta-les/ au rseau ou + une partie u rseau e l*entreprise# ans les 0ones rurales# pour istri-uer au! a ministrs un acc1s internet o-tenu le plus sou2 )ent par une solution satellite# ans les lieu! pu-lics "hi-tech"# pour proposer au! clients munis e porta-les un acc1s nu2 mri$ue...

De)ant la multitu e e solutions proposes# il est pro-a-lement ncessaire e faire le point sur cette technolo,ie $ui ispose certes *a)anta,es incontesta-les# mais $ui n*est pas e!empte *incon2 )nients. 3ous allons essa4er e faire le point sur le Wi-Fi# sans entrer trop ans les tails u protocole ans les ni)eau! ( et '# .les couches ph4si$ue et liaison e onnes# $ui sont e l*or re e la manipula2 tion *on es porteuses/# ni sur les autres couches *ailleurs# puis$u*+ partir u ni)eau 5 tout se passe e la m6me mani1re $ue sur un rseau filaire# mais plut7t sur les contraintes e topolo,ie et e scu2 rit ont il faut a-solument tenir compte.

8a,e ( sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Plan du chapitre
Les rseau! sans fils............................................................................................................................. ( 9appels................................................................................................................................................. 5 ?a )a mieu! en le isant.................................................................................................................. 5 8rio e# fr$uence# lon,ueur *on e................................................................................................5 Les on es et les o-stacles................................................................................................................ @ Les "chos"...................................................................................................................................... @ Les canau! *mission..................................................................................................................... ; Et la $ualit u matriel A................................................................................................................ B Architectures : les i)ers mo es e fonctionnement............................................................................ C Le mo e "a hoc".............................................................................................................................C Le mo e "infrastructure"..................................................................................................................C Mais *a-or # sa)oir oD l*on )a........................................................................................................... (& Les ris$ues sanitaires..................................................................................................................... (& Le )oca-ulaire................................................................................................................................(& Le matriel..........................................................................................................................................(5 Le rseau filaire............................................................................................................................. (5 Confi, simple..................................................................................................................................... (C >o4ons in,nus.............................................................................................................................. (C Eui mais.................................................................................................................................... (% Et alors A....................................................................................................................................'& Donc...............................................................................................................................................'& Confi, a)ance................................................................................................................................... '( 9en re le >>FD "in)isi-le"............................................................................................................ '( 3*autoriser $ue les a resses MAC connues................................................................................... '; Gne pince e chiffrement : le WE8.................................................................................................. 'B 8rati$uement.................................................................................................................................. '% Le "social en,ineerin,"............................................................................................................. '% La cr4ptanal4se......................................................................................................................... '% Finalement..................................................................................................................................... '% Conclusions........................................................................................................................................ 5& Alors# on fait comment A................................................................................................................5& Et MFME A.....................................................................................................................................5&

8a,e ' sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Rappels
a va mieux en le disant...
Fl n*est pro-a-lement pas inutile e commencer par $uel$ues rappels sur les on es lectroma,n2 ti$ues.

Priode, frquence, longueur d'onde...

La "lon,ueur *on e" fait inter)enir une imension spatiale. Les on es ra io .lectroma,nti$ues/ se propa,ent ans le )i e .et ans l*air# a)ec une erreur n,li,ea-le/ + la )itesse e 5&& &&& Hm/s .5 ! (&% m/s/. Dans le cas $ui nous intresse# la fr$uence est e l*or re e '#; Ih0 pour les normes %&'.((- et %&'.((,# les plus utilises actuellement# ce $ui nous onne une prio e e @ ! (&-(& s. La lon,ueur *on e est la istance parcourue par l*on e pen ant une prio e# elle est onc ici e l*or re e (' cm .5 ! (&% ! @ ! (&-(& J (' ! (&-'/. En a mettra $u*un o-:et peut constituer un o-stacle + la propa,a2 tion *une on e lors$ue cet o-stacle atteint une imension sup2 rieure ou ,ale + la lon,ueur e l*on e.

8a,e 5 sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Les ondes et les obstacles

Lors$u*une on e rencontre un o-stacle# sauf si cet o-stacle ispose e caractristi$ues tr1s particuli1res# cette on e est en partie rflchie .ren)o4e par l*o-stacle ans une autre irection/# rfracte .une partie e l*on e tra)erse l*o-stacle/ et a-sor-e .l*o-stacle a-sor-e une partie e l*ner,ie e l*on e/. Les cas particuliers sont :

l*o-stacle rflchissant# $ui fait $ue la $uasi totalit e l*on e inci ente est rflchie# l*o-stacle a-sor-ant# $ui fait $ue la $uasi totalit e l*ner,ie e l*on e est a-sor-e.

Fl est asse0 facile *o-ser)er ces phnom1nes ans le omaine acousti$ue. Les on es ne sont plus lectroma,nti$ues# mais su-issent tout e m6me les effets e rfraction# e rfle!ion et *a-sorption. 3ous )errons plus loin ce $ue Ka onne ans une enceinte close.

Les "chos"
En atmosph1re li-re .sans o-stacles/# il n*4 a ,nralement pas e pro-l1mes encore $u*une atmo2 sph1re li-re n*est $ue thori$ue# sauf )entuellement ans l*espace. En effet# sur terre# nous a)ons au moins le sol $ui constitue un o-stacle. Inralement# le Wi-Fi s*utilise ans es murs et l+# il 4 a plein *o-stacles.

8a,e @ sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/ Fma,inons un metteur et un rcepteur placs ans es salles conti,uLs. L*metteur met ans toutes les irections# si -ien $u*il 4 aura une multitu e *on es rfl2 chies# ont certaines attein ront le rcepteur. Dans l*e!emple# l*on e ( atteint irectement le rcepteur# en tra)ersant la cloison# l*on e ' l*atteint apr1s une rfle!ion# l*on e 5 apr1s 5 rfle!ions... Clairement# il 4 en aura -eaucoup plus# a)ec es chemins iffrents .plus ou moins lon,s/ et a)ec es attnuations plus ou moins impor2 tantes. 8our une seule source *mission# le rcepteur )a rece)oir plusieurs fois la m6me information# plus ou moins attnue et plus ou moins cale ans le temps. En acousti$ue# le pro-l1me est -ien connu sous le nom e "r)er2 -ration" .-eaucoup *chos# a)ec es cala,es temporels tr1s pe2 tits/.

De plus# en un point onn# eu! on es peu)ent par)enir en opposition e phase. Elles n*auront pro2 -a-lement pas la m6me amplitu e# mais leur somme mathmati$ue aura ten ance + onner un rsultat nul# ce $ui con uira + une perte e la porteuse# en ce point prcis. Le traitement e la r)er-ration est une chose comple!e + tu ier# mais empiri$uement# l*on sait -ien $ue :us$u*+ un certain point# ce n*est ,u1re ,6nant pour rcuprer l*information# )oire m6me# ce peut 6tre -nfi$ue. En re)anche# si le "tau! e r)er-ration" e)ient trop ,ran # le si,nal e)ient ine!ploita-le .effet "cath rale"/. 8our les on es lectroma,nti$ues $ue nous utilisons pour le Wi-Fi# il en )a e m6me. Ceci pour e!pli$uer une fai-lesse ma:eure u s4st1me : ans un -Mtiment# il est tr1s ifficile# )oir impossi-le e pr)oir la position optimale u ou es metteurs en fonction es points *coute souhaits. Dans la plupart es cas# il fau ra proc er + es tests pour o-tenir la cou)erture sire. Et pour $ue les choses soient tout + fait claires# a4e0 prsent + l*esprit $ue les rseau! Wi-Fi permettent le passa,e e onnes ans les eu! sens. Autrement it# ici# cha$ue point est + la fois metteur et rcepteur# $u*il s*a,isse *une -orne *acc1s ou *un poste u rseau.

Les canaux d'mission

3ous )errons pour$uoi plus tar # les normes %&'.((!! utilisent es -an es e fr$uences i)ises 8a,e ; sur 5( 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

en plusieurs canau!. Cha$ue canal correspon + une fr$uence e porteuse -ien finie et cha$ue canal est loi,n e ses )oisins par un cart constant en fr$uence. 8ar e!emple# ans les normes %&'.((- et %&'.((,# il 4 a en France (5 canau! possi-les# e '#@(' IN0 + '#@C' IN0# espacs les uns es autres e ; MN0. Cha$ue canal utilise une certaine -an e e fr$uence .lar,eur u canal# ue + la mo ulation e la porteuse/. La lar,eur e cha$ue canal est e '' MN0# si -ien $ue les canau! se recou)rent. 3ous )errons $ue ceci aura une ,ran e importance ans la suite. anal !"#.$$b ou g ( ' 5 @ ; B C % P (& (( (' (5 %rquence centrale '.@(' IN0 '.@(C IN0 '.@'' IN0 '.@'C IN0 '.@5' IN0 '.@5C IN0 '.@@' IN0 '.@@C IN0 '.@;' IN0 '.@;C IN0 '.@B' IN0 '.@BC IN0 '.@C' IN0 Plage de frquence &$$ '() '.@&( O '.@'5 IN0 '.@&B O '.@'% IN0 '.@(( O '.@55IN0 '.@(B O '.@5% IN0 '.@'( O '.@@5 IN0 '.@'B O '.@@% IN0 '.@5( O '.@;5 IN0 '.@5B O '.@;% IN0 '.@@( O '.@B5 IN0 '.@@B O '.@B% IN0 '.@;( O '.@C5 IN0 '.@;B O '.@C% IN0 '.@B( O '.@%5 IN0

*t la qualit du matriel +
Elle a -ien enten u son importance. 8ar e!emple# nous sa)ons tous $u*a)ec eu! oreilles# on enten mieu! $u*a)ec une seule. 8as seulement ,rMce au repra,e spatial $ue l*coute -inaurale permet# mais aussi parce $ue le cer)eau met en oeu)re es techni$ues e corrlations entre les si,nau! reKus par cha$ue oreille# $ui permettent *liminer# :us$u*+ un certain point# les pertur-ations apportes par la r)er-ration et le -ruit. Les s4st1mes Wi-Fi peu)ent 6tre $uips e techni$ues similaires# $ui permettent plus ou moins ef2 ficacement e traiter un si,nal entach e r)er-ration. 3ous n*entrerons pas *a)anta,e ans la finition es normes %&'.((!!# e toutes faKons# il n*est pas possi-le *a,ir sur le protocole# e m6me $u*il n*est pas possi-le *a,ir au ni)eau ( *un rseau Ethernet. Ce $u*il est important e compren re ici# c*est $ue les pro-l1mes e propa,ation sont importants et peu)ent consi ra-lement influer sur le rsultat o-tenu.

8a,e B sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

,rchitectures - les divers modes de fonctionne. ment

Fl 4 a fon amentalement eu! faKons e faire fonctionner un rseau Wi-Fi# sui)ant ce $ue l*on sou2 haite faire.

Le mode "ad hoc"

Fl n*4 a pas ans le rseau e point met2 teur/rcepteur a4ant un r7le particulier. C*est t42 pi$uement le mo e $ue l*on choisira si l*on sou2 haite :uste faire communi$uer entre elles eu! ou trois machines isposant chacune *une interface Wi-Fi. C*est un mo e e fonctionnement ru i2 mentaire# $ui peut rapi ement e)enir compli$u si le nom-re e machines en rseau au,mente. Cha$ue station ne peut communi$uer $u*a)ec les stations $ui sont + porte. Dans l*e!emple :

la station C peut communi$uer a)ec toutes les autres stations# les stations A# < et C peu)ent communi2 $uer entre elles# la station D ne peut communi$uer $u*a)ec la station C.

En aucun cas# la station C ne pourra ser)ir e re2 lais pour $ue# par e!emple# D puisse communi2 $uer a)ec A. Cet e!emple le montre clairement# ce t4pe e r2 seau n*a *intr6t $ue pour permettre + es ma2 chines proches .et peu nom-reuses/ e communi2 $uer entre elles en ehors e toute structure.

Le mode "infrastructure"
Dans ce mo e# il 4 a au moins un metteur/rcepteur Wi-Fi $ui :oue un r7le particulier# celui e point *acc1s .Access 8oint/. C*est t4pi$uement le mo e utilis lors$ue l*on souhaite ten re un r2 seau cM-l# ,enre Ethernet# a)ec une cou)erture Wi-Fi pour les porta-les# ou pour les machines $ue l*on ne souhaite pas cM-ler. Les "mo ems Wi-Fi"# enten e0 par l+ les mo ems AD>L ou cM-le# $ui proposent une connecti)it Wi-Fi fonctionnent ,nralement ans ce mo e. C*est ce mo e $ue nous tu ierons plus en tail. En )oici une reprsentation t4pi$ue : 8a,e C sur 5( 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Fci# toutes les fonctions sont istinctes# mais rien n*inter it $ue les fonctions mo em# routeur 3AQ et 8oint *acc1s soient concentres ans le m6me -oRtier. Dans un tel cas# les stations fi!es et mo2 -iles pourront communi$uer entre elles car nous pourrons faire en sorte $u*elles soient sur le m6me rseau F8 .a)ec tous les ris$ues $ue Ka comporte au ni)eau e la scurit/. Le point *acc1s a,it un peu comme un NG< pour les stations mo-iles. Inralement ce point *ac2 c1s .$ue nous appellerons par la suite A8# pour repren re la terminolo,ie courante/ ispose luim6me *une a resse F8# $ui permet e l*a ministrer + istance par i)ers mo4ens .telnet# mini ser2 )eur http# application ie/. Fci# l*A8 sert e relais non seulement entre les stations mo-iles# mais aussi entre les stations mo-iles et les stations fi!es. 8our une station mo-ile# tout se passe comme si elle tait connecte au rseau local par un fil. >*il 4 a un ser)eur DNC8 sur le LA3# les stations mo-iles peu)ent m6me rece)oir leur confi,uration F8 e faKon automati$ue. Sous l*aure0 compris# le mo e "a -hoc" n*a *intr6t $u*occasionnellement# en ehors e toute structure. >i l*on souhaite o-tenir une cou)erture con)e2 na-le sur un site onn# il sera pro-a-lement nces2 saire e placer plusieurs points *acc1s. Dans un tel cas# les 0ones e cou)er2 ture e plusieurs points *acc1s )ien ront pro-a2 -lement se recou)rir par2 tiellement. Dans l*e!emple onn# A8(# A8' et A85 se recou)rent partiellement. A8' et A85 ,alement. >i l*on )eut )iter es interfrences ans ces 0ones e recou)rement# il fau ra pren re $uel$ues prcautions. <ien enten u# A8( A8' et A85 ne e)ront pas utiliser le m6me canal. Mais rappele0 )ous aussi $ue les canau! se recou)rent partiellement. 3on seulement il fau ra utiliser es canau! iffrents# mais en plus# il fau ra $ue ces canau! ne se recou)rent pas. ?a laisse finalement tr1s peu e choi!# reporte0-)ous au ta-leau )u plus haut# et )ous constatere0 $u*il n*est matriellement pas 8a,e % sur 5( 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

possi-le e placer $uatre points *acc1s se recou)rant partiellement# a)ec les canau! autoriss en France. En re)anche# A85# $ui ne recou)re $ue A8'# pourra utiliser le m6me canal $u*A8( ou A8@.

8a,e P sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

'ais d'abord, savoir o/ l'on va...

Les risques sanitaires
3ous allons mettre en oeu)re un rseau sans fils# $ui )a utiliser es on es ra io. Les on es ra io# nous l*a)ons )u# sont capricieuses et peu)ent :

ne pas passer l+ ou l*on )ou rait $u*elles passent# ce $ui peut con uire + multiplier les A8 et# accessoirement# la facture .financi1re/ e l*installation# passer l+ oD l*on ne )ou rait pas $u*elles passent# et c*est sans oute ce cas le plus an,ereu!.

En effet# pour fi!er les esprits# )ous 6tes che0 )ous et )ous monte0 )otre rseau Wi-Fi# $ui )a permettre + toutes )os machines e communi$uer entre elles et *acc er + l*Fnternet par le truche2 ment e )otre AD>L'T super rapi e et tout# sans a)oir + tirer le moin re cM-le# 7 com-ien inesth2 ti$ue. Eui# mais $u*est-ce $ui )a emp6cher :

)otre .)os/ )oisin.s/ e profiter non seulement e )otre acc1s internet super tr1s haut -it# mais aussi es ressources $ue )ous parta,e0 sur )otre rseau local A les ",eeUs" $ui# ans leur )oiture# passent leur temps + reprer les A8 + porte e rue pour en e!traire le ma!imum A

3ous )errons $u*il 4 a es mo4ens e se prot,er# et aussi# hlas# es mo4ens e passer outre ces protections... Cepen ant# il faut -ien l*a mettre# lors$ue l*on utilise un porta-le# le Wi-Fi# c*est -ien prati$ue.

Le vocabulaire
8our -ien faire u Wi-Fi# il faut :+ maRtriser le )oca-ulaire $ui )a a)ec. 3e )ous 4 trompe0 pas# monter un rseau Wi-Fi# + moins $ue )ous n*a4e0 une chance pas possi-le# ne se fera pas sans mal. La loi e Murph4( et ses innom-ra-les corollaires feront $ue )ous e)re0 )ous -attre implaca-le2 ment a)ec ce s4st1me. Les ocumentations# sou)ent en an,lais# usent et a-usent e surcroRt *une panoplie *acron4mes in2 comprhensi-les par le non initi. Gn petit e!emple A 0ireless CommenKons par $uel$ue chose e simple# c*est :uste un mot an,lais $ui si,nifie : sans fils. 0L,1 Comme Wireless LA3 : rseau local sans fils.

( Loi e Murph4 : http://www.courtois.cc/murph4/murph4.html

8a,e (& sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

0i2%i Le nom 0i2%i .contraction e Wireless Fidelity# parfois note + tort Wi-Fi/ cor2 respon initialement au nom onne + la certification li)re par la Wi-Fi Alliance'# anciennement WECA .Wireless Ethernet Compatibility Alliance/# l*or,anisme char, e maintenir l*interopra-ilit entre les matriels rpon ant + la norme %&'.((. 8ar a-us e lan,a,e .et pour es raisons e marUetin,/ le nom e la norme se confon au2 :our *hui a)ec le nom e la certification. Ainsi un rseau Wi-Fi est en ralit un r2 seau rpon ant + la norme %&'.((. (Dfinition tire de l'excellent site CCM3 (ot 3pot Vone pu-li$ue cou)erte par un rseau sans fils .,ares ferro)iaires# aroports# h7tels.../. 0, Comme Wireless A apter. Comprene0 : interface rseau sans fils. ,P En l*a :+ )u : Access 8oint. 8oint *acc1s en mo e "infrastructure". 433 Comme "<asic >er)ice >et". Ensem-le e ser)ices e -ase. Ensem-le form *un point *acc1s et es stations $ui 4 sont connectes. Aussi appel "Cellule". 43356 F entifiant *un <>>. A-solument fon amental# comme nous le )errons plus loin# c*est en ralit l*a resse MAC u point *acc1s. *33 Comme nous l*a)ons )u# ans un rseau e t4pe "infrastructure"# il se fera sou)ent $u*un seul A8 ne suffise pas + assurer la cou)erture souhaite. Dans ce cas# il fau ra a:outer *autres points *acc1s# en prenant soin $u*ils puissent tra)ailler en -onne intelli,ence. >i l*on 4 arri)e# on aura alors cr un E>> : E!ten e >er)ice >et# $ui n*est finalement $u*un ensem-le homo,1ne e <>>. Cet ensem-le# par e!tension# si :e puis ire# peut se rapporter + un seul point *acc1s# *3356 F entifiant e l*E>>. Fl s*a,it *un nom $ue l*a ministrateur )a onner au.!/ point.s/ *acc1s $ui constitue.nt/ l*E>>. Dans le cas particulier oD l*E>> est constitu *un seul <>># on pourra aussi parler e >>FD .)o4e0 comme Ka e)ient )ite amusant# e parler le Wi-Fi/. 63 Distri-ution >4stem. >4st1me e istri-ution $ui est l+ pour connecter entre eu! plu2 sieurs A8 afin $u*ils puissent constituer un E>>. 5433 Fn epen ant <>>. M6me chose $u*un <>># mais sans A8. Autrement it# c*est un en2 sem-le e stations connectes en mo e "a -hoc". Gn F<>> oit isposer *un >>FD uni$ue.

' Wi-Fi Alliance : http://www.wi-fi.or,/ 5 CCM : http://www.commentcamarche.net/

8a,e (( sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

0*P Wire E$ui)alent 8ri)ac4. >4st1me e chiffrement u rseau .au ni)eau liaison# c*est+- ire au ni)eau '/ ont l*am-itieu! o-:ectif est e ren re un rseau sans fils aussi sWr $u*un rseau filaire. Su u c7t utilisateur# WE8 se rsume + une cl e chiffrement $u*il fau ra parta,er entre les partenaires *un m6me E>>. 0P, Wi-Fi 8rotecte Access. Comme WE8 n*a pas )raiment con)aincu tout le mon e# la "Wi-Fi Alliance" .pas -esoin e tra uire# :e pense/# a ci e normaliser un nou2 )eau s4st1me e scurit. Xe ne rsiste pas au plaisir e citer un fra,ment *article paru sur :ournal unet.com : Absente d! WE"# l'a!thentification fait son apparition a! sein de W"A$ %e protocole pr&oit de!x modes d'a!thentification ' !n mode (entreprise( - )!i impli)!e d'instal* ler !n ser&e!r central (de type +adi!s par exemple po!r identifier to!te personne so!haitant se connecter - et !n mode (personnel($ W"A s'app!ie s!r la famille ,-.$/x et le protocole EA" (Extensible A!thentification "rotocol # extension d! protocole """ ("oint-to-"oint "rotocol # )!i pe!t s!pporter de nombre!x mcanismes d0a!* thentification tels )!e des cartes 1 2eton# des mots de passe 1 !sa3e !ni)!e et l'a!* thentification par cl p!bli)!e !tilisant des cartes 1 p!ce$ Sous le )o4e0# c*est tr1s facile et + la porte u non initi. Mais nous aurons l*occasion *en reparler. '5'7 Multiple-Fnput Multiple-Eutput# encore appel "multipath". C*est une technolo,ie tr1s comple!e# utilisant plusieurs antennes pour iffuser les on es ra io. 8rati$uement# l*o-:ectif est *amliorer les performances en corri,eant autant $ue possi-le les pro-2 l1mes *interfrences. Le rsultat annonc est une minimisation es points *om-re et une au,mentation e la porte. E!iste pour %&'.((- et %&'.((, et e)rait 6tre normali2 s ans %&'.((n. Xe n*ai pas pu tester cette technolo,ie# mais en fonction e ce $ui en est it Ka et l+# il sem-lerait )i)ement conseill e l*utiliser tant $u*elle ne sera pas normalise.

Ce petit le!i$ue e)rait nous permettre# u moins ans un premier temps# *aller un peu plus loin ans la cou)erte *un rseau Wi-Fi.

8a,e (' sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Le matriel
8our poursui)re cet e!pos# nous allons nous appu4er sur un minimum e matriel. En principe# le choi! u matriel n*a pas une importance capitale pour la mise en oeu)re es concepts# encore $ue cha$ue constructeur peut a:outer ses petits "T" + la norme. Mfie0-)ous e ces petits "T" $ui# s*ils sont utiliss# ris$uent e pro)o$uer es incompati-ilits entre matriels e mar$ues iffrentes.

Le rseau filaire
3ous isposons *un rseau filaire Ethernet# nous utilisons -ien enten u QC8/F8# le rseau utilise la pla,e F8 (C'.(B.&.&/(B. Gne passerelle )ers l*Fnternet est prsente .machine Linu! a)ec F8ta-les/# il 4 a sur ce rseau un ser2 )eur DNC8 $ui permet e confi,urer automati$uement les h7tes u rseau. Qout ceci fonctionne parfaitement# et nous )oulons maintenant ten re ce rseau a)ec un acc1s Wi-Fi pour $ue les sta2 tions porta-les puissent acc er simplement + ce rseau.

3ous allons onc a:outer un A8 .8oint *acc1s/ $ui ne sera la -orne DWL-'(&&A8. >o4ons -ien clair tout e suite# il n*est a-so2 lument pas $uestion e faire e la pu-licit pour cette mar$ue# ni pour ce mo 1le .ni e la contre-pu-licit# *ailleurs/. C*est le mat2 riel ont :e ispose# )oil+ tout.

8a,e (5 sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Fl s*a,it *un "simple" point *acc1s# au sens oD il n*4 a ni mo em ni routeur int,r ans ce -oRtier. Fl est t4pi$uement conKu pour 6tre connect + un rseau filaire e!istant

La face arri1re nous montre l*e!tr6me simplicit e ce ,enre *$uipement. De ,auche + roite :

l*antenne# la prise *alimentation# le -outon "reset"# la prise rseau 9X @;. 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

8a,e (@ sur 5(

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Fl suffit pres$ue e -rancher pour $ue Ka marche. 8res$ue# parce $ue# comme nous allons le )oir# cet A8 ispose *une a resse F8 par faut ,ale + (P'.(B%.&.;&. C*est -ien# mais Ka ne )a pas a)ec le plan *a ressa,e $ue nous a)ons ans l*e!emple. Fci# le seul fait e -rancher ne constitue $ue la premi1re tape# mais pour l*instant# la -orne emeure inutilisa-le. La -orne est fournie a)ec un utilitaire $ui oit 6tre capa-le e rsou re ce pro-l1me :

Gne fois le pro-l1me e l*a resse F8 rsolu# nous pourrons nous passer e cet utilitaire# le point *ac2 c1s em-ar$uant un mini ser)eur we- $ui nous permettra e le confi,urer. Est-ce un a)anta,e A Ce n*est pas si sWr. 8ar le fait# toute station connecte au rseau pourra acc er + ce ser)eur we-. <ien enten u# il 4 a tout e m6me une i entification ncessaire. 8ar faut# l*utilisateur s*appelle "a min" et le mot e passe est )i e. La premi1re chose + faire est onc e mo ifier tout Ka :

8a,e (; sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Gtilise0# si )otre matriel le permet# un nom *a ministrateur $ui sorte un peu e l*or inaire et sur2 tout# mette0 un mot e passe solide et m6me# pour$uoi pas un nom *utilisateur non tri)ial .on peut faire lar,ement moins tri)ial $ue ans l*e!emple/# lettres ma:uscules et minuscules# chiffres# s4m2 -oles et mal,r tout# pense0 $ue )ous 6tes en http et $ue le lo,in sera facilement rcupra-le a)ec un sniffeur sur le rseau. Sous me ire0 alors# "peut-6tre $u*il serait plus sWr *e!ploiter l*utilitaire )u plus haut A" A8 Mana,er utilise le protocole tftp il n*4 a pas e nom *utilisateur et le mot e passe circule l+ aussi en clair. La troisi1me solution# ce serait telnet# mais l+ encore# les informations sur le lo,in passent en clair... Sous le )o4e0# c7t rseau local# c*est :+ pas terri-le u c7t e la scurit. Lors$ue )ous 6tes sur )otre rseau omesti$ue# Ka peut encore passer# mais sur un rseau *entreprise# c*est -eaucoup plus licat. Du c7t es clients# :*ai utilis $uatre cartes Wi-Fi iffrentes :

une D-LinU DWL-IB;& %&'.((, .8CMCFA/# la seule es $uatre + supporter le s4st1me W8A une D-LinU DWL-B;& %&'.((-# la seule $ue :*ai pu faire fonctionner correctement sous Linu! a)ec les ri)ers Nostap une <eWA3 8CMCFA %&'.((une Mar)ell %&'.((, int,re + la carte m1re Asus 8;ID' 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

8a,e (B sur 5(

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

onfig simple
3o8ons ingnus
Dans le -ut e mettre en place une solution $ui fonctionne# nous n*allons pas nous poser trop e $uestions# u moins au -ut. 3ous supposons $ue notre point *acc1s est correctement confi,ur c7t rseau local# a)ec une a resse F8 accessi-le pour l*a ministration. Fl suffit alors e confi,urer la -orne en point *acc1s# e lui attri-uer un >>FD# )entuellement un canal. >i nous a)ons un ser)eur DNC8 sur le rseau local# il ne sera pas ncessaire e confi,urer celui $ui est prsent sur la -orne. >inon# ce sera plus simple pour les clients *utiliser le ser)eur DNC8 e la -orne# $u*il fau ra alors confi,urer. En l*a-sence e prcautions particuli1res# Ka e)rait fonctionner tout seul. Sous prene0 un porta-le $uip Wi-Fi# )ous faites une recherche es rseau! Wi-Fi isponi-les :

3ormalement# s*il est + porte e )otre -orne# il oit le trou)er facilement et )ous in i$uer le >>FD u rseau :

8a,e (C sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Fl )ous reste + )ous 4 connecter :

Et Ka e)rait fonctionner.

Oui mais...
>imple# n*est-ce pas A >eulement )oil+. 3*importe $ui peut faire Ka. 8ense0 $u*un rseau Wi-Fi passe l+ oD il )eut .et pas forcment oD )ous )oule0/. Soici un petit utilitaire ,raphi$ue# sous Linu!# $ui fait en ,ros la m6me chose :

8a,e (% sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Et# ans la foule# un autre utilitaire plus puissant# $ue nous retrou)erons *ailleurs un peu plus loin :

Sous en )oule0 *autres A Hismet :

Airo ump :

8a,e (P sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Ce ernier est pro-a-lement le plus intressant e tous. 3ous anticipons un peu sur la suite# la cap2 ture *cran est faite a)ec une protection WE8 mise en place# $ue nous )errons plus loin. Dans un cas comme ans l*autre# )ous )o4e0 $ue l*in iscret ispose e tous les lments ncessaires pour se connecter + )otre rseau Wi-Fi.

Et alors ?
Alors# rptons-le# n*importe $ui# + porte e )otre -orne# peut se connecter + )otre rseau Wi-Fi et peut par e!emple :

consommer )otre -an e passante# s*int,rer + )otre rseau local et profiter e )os ressources parta,es# pren re possession e )os machines pour 4 installer toutes sortes e choses $ui pourront lui ser)ir# par la suite# epuis l*Fnternet# utiliser )otre conne!ion internet pour se li)rer# sous )otre i entit# + toutes sortes *acti)its rprhensi-les.

Cette liste est -ien enten u nullement e!hausti)e.

6onc...
Fl n*est clairement pas pensa-le e rester ans cet tat. Fl )ous fau ra )errouiller $uel$ue peu )otre installation pour essa4er e limiter les ris$ues *intrusion.

8a,e '& sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

onfig avance
Rendre le 3356 "invisible"
8ar faut# un point *acc1s Wi-Fi pu-lie son >>FD .en <roa cast/. C*est ncessaire pour la cou2 )erte e rseau! Wi-Fi accessi-les. Mais est-ce )raiment ncessaire# :ustement A >ur un "hot spot" pu-lic .il fau rait ire : 0one A>FF/# c*est pro-a-lement ncessaire# puis$ue l*ac2 c1s est )olontairement pu-lic. >ur )otre installation personnelle# c*est compl1tement inutile# il suffit en effet e l*in i$uer + )os utilisateurs. Qous les points *acc1s ne sa)ent pas forcment inhi-er cette fonction e pu-lication. C*est cepen2 ant le cas sur la -orne $ue nous utilisons pour cet e!pos :

Fl suffit e passer ce param1tre + "Disa-le" .Sous isie0 "parlons franKais" A/ >eulement )oil+. >i maintenant# nous essa4ons *actualiser la liste es rseau! sans fils# il se pro uit ceci : 8a,e '( sur 5( 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Et l+# comment faire A L*un es mo4ens les plus simples# consiste : Y cli$uer sur "Mo ifier l*or re es rseau! prf2 8uis e faire " a:outer" : rs" :

8a,e '' sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi Sous in i$ue0 alors le nom u rseau .>>FD/# pour l*instant# nous n*a)ons ni authentification u rseau# ni chiffrement es onnes. Faites "EH"# et )os rseau! fa)oris seront alors + :our.

Christian CALECA http://christian.caleca.free.fr/wifi/

Sous e)rie0 maintenant pou)oir )ous connecter au rseau sans fils. So4ons ce $ue isent Airfart et Airsnort :

Chouette Z le >>FD n*apparaRt plus. >*il n*apparaRt plus# le pirate ne pourra plus se connecter sur le rseau Wi-Fi. C*est a)ec ce ,enre e raisonnement $ue l*on se retrou)e )ite + poil .sauf le respect $ue :e )ous ois/. Airsnort ou Airo ump# sa)ent enre,istrer leurs lo,s au format "pcap" .m6me format $u*Ethereal# $ue )ous e)e0 commencer + connaRtre/. 3ous n*allons pas -aller tout un lo,# mais :uste une ou 8a,e '5 sur 5( 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

eu! trames captures# lors$u*un client "officiel" se connecte au rseau Wi-Fi :

Frame 158 (49 bytes on wire, 49 bytes captured) ... IEEE 802.11 wire ess !"# mana$ement %rame ... &a$$ed parameters (25 bytes) &a$ #umber' 0 (((I) parameter set) &a$ en$t*' + Tag interpretation: epikoi &a$ #umber' 1 ((upported ,ates) &a$ en$t*' 4 &a$ interpretation' (upported rates' 1,0(-) 2,0(-) 5,5(-) 11,0(-) ./bit0sec1 &a$ #umber' 50 (E2tended (upported ,ates) &a$ en$t*' 8 &a$ interpretation' (upported rates' 3,0 9,0 12,0 18,0 24,0 +3,0 48,0 54,0 ./bit0sec1 &a$ #umber' 255 (,eser4ed ta$ number) &a$ en$t*' 255 ./a %ormed 5ac6et' IEEE 802.111 #o. &ime 130 14.124925 (ource )7!in68ab'33'e8 )estination 192.13.0.2 5rotoco In%o IEEE 802.11 5robe ,esponse./a %ormed 5ac6et1

Frame 130 (95 bytes on wire, 95 bytes captured) ... IEEE 802.11 wire ess !"# mana$ement %rame ... &a$$ed parameters (+9 bytes) &a$ #umber' 0 (((I) parameter set) &a$ en$t*' + Tag interpretation: epikoi &a$ #umber' 1 ((upported ,ates) &a$ en$t*' 8 &a$ interpretation' (upported rates' 1,0(-) 2,0(-) 5,5(-) 11,0(-) 3,0 12,0 24,0 +3,0 ./bit0sec1 &a$ #umber' + ()( 5arameter set) &a$ en$t*' 1 &a$ interpretation' :urrent :*anne ' 10 &a$ #umber' 9 (:ountry In%ormation) &a$ en$t*' 3 &a$ interpretation' :ountry :ode' ;-, "ny En4ironment, (tart :*anne ' 1, :*anne s' 1+, /a2 &< 5ower' 20 d-m &a$ #umber' 42 (E,5 In%ormation) &a$ en$t*' 1 &a$ interpretation' E,5 in%o' 024 (no #on7E,5 (&"s, do not use protection, s*ort or on$ preamb es) &a$ #umber' 50 (E2tended (upported ,ates) &a$ en$t*' 4 &a$ interpretation' (upported rates' 9,0 18,0 48,0 54,0 ./bit0sec1 &a$ #umber' 255 (,eser4ed ta$ number) &a$ en$t*' 255 ...

8eu importent les autres param1tres .$ue :*ai laiss parce $u*ils ne sont pas totalement inintres2 sants/# ce $ui compte ici# c*est $ue l*on peut mal,r tout parfaitement capturer le >>FD u rseau Wi-Fi. D*ailleurs# en laissant tourner Airsnort ou Airo ump# sit7t $u*un client )ien ra se connecter au r2 seau Wi-Fi# le >>FD apparaRtra. Cette prcaution n*arr6tera onc $ue les parfaits profanes $ui ne sa)ent pas aller au el+ e la cou2 )erte *un >>FD ans les trames e -roa cast. C*est onc une protection finalement asse0 illusoire.

8a,e '@ sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

1'autoriser que les adresses ', connues

La plupart es points *acc1s permet e n*autoriser la conne!ion Wi-Fi $u*+ une liste *a resses MAC connues. Gne a resse MAC# c*est pen ant u har ware e l*interface. Sous connaisse0 )os interfaces et )ous n*autorise0 $u*elles. L*in iscret# $ui arri)era a)ec son porta-le + porte e )otre rseau# m6me s*il arri)e + cou)rir )otre >>FD# ne sera pas accept parce $ue son a resse MAC ne fi,urera pas ans la liste es a resses connues. >oit# mais :

cette liste est ifficilement ,ra-le lors$u*elle e)ient un peu lon,ue# la plupart es linu!iens le sait -ien# une a resse MAC# Ka peut se chan,er.

3otre pirate sniffe )otre rseau. <ien enten u# lors$u*un client "connu" se connecte# il e)ient alors tr1s facile e lire son a resse MAC :
Frame 158 (49 bytes on wire, 49 bytes captured) "rri4a &ime' /ay 11, 2005 13'00'29.143581000 ... IEEE 802.11 &ype0(ubtype' 5robe ,e=uest (4) Frame :ontro ' 020040 (#orma ) )uration' 0 )estination address' %%'%%'%%'%%'%%'%% (-roadcast) Source address: 00:11:2f:41:cd:a1 (172.16.0.2) -(( Id' %%'%%'%%'%%'%%'%% (-roadcast) ...

Gne fois $ue l*on ispose *une a resse MAC )ali e et u >>FD# :e )ous laisse chercher sur les sites spcialiss# $uelles sont les multiples faKons e s*intro uire $uan m6me sur )otre rseau "prot,". 8our l*instant# nous n*a)ons pas russi + mettre en place es protections -ien efficaces. De plus# les conne!ions n*tant pas chiffres# m6me sans se connecter + )otre rseau# es "sniffeurs" Wi-Fi permettront aisment e )oir )os mots e passe $ui circulent en clair .8E8# FMA8# FQ8.../# et m6me# sui)ant le cas# es onnes $ue )ous aimerie0 -ien pou)oir ,ar er pour )ous.

8a,e '; sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

9ne pince de chiffrement - le 0*P

3ous allons a)oir recours au! -onnes )ieilles techni$ues e chiffrement es onnes# pour essa4er e scuriser un peu plus notre rseau sans fils. WE8 utilise le protocole e chiffrement 9C@ et une cl e chiffrement s4mtri$ue et stati$ue. 3ous n*entrerons pas ans les tails e 9C@# ce $ui est u ressort es spcialistes e la cr4pto,raphie# i2 sons simplement $u*il a t montr $ue ce protocole comportait $uel$ues fai-lesses ,ra)es. La cl stati$ue# oit 6tre istri-ue manuellement sur le ou les points *acc1s ainsi $ue sur tous les clients u rseau sans fils. 3ous sa)ons $u*un secret parta, ne reste :amais secret -ien lon,temps# et plus il est parta,# plus son temps e )ie est court. 3ous n*a)ons pas encore commenc# $ue :+# trois ,rosses fai-lesses sont i entifies ans le s4s2 t1me WE8 :

le fait $ue le secret est parta,# ce $ui intro uit une fai-lesse u it secret# le mo e e istri-ution e la cl stati$ue .$ui n*est renou)ele $ue par le -on )ouloir e l*a 2 ministrateur u rseau/# le protocole e chiffrement lui-m6me# $ui est rput fai-le.

8a,e 'B sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi Le secon point est sou2 )ent renforc par les $uipementiers en pro2 posant *intro uire non pas une seule cl# mais plusieurs# en in i$uant simplement l*in e! e la cl actuellement utili2 se. Autrement it# l*a 2 ministrateur pourra con2 fi,urer les iffrents noeu s u rseau a)ec un ensem-le e plu2 sieurs cls .@ ans le cas u point *acc1s utilis ici/ en in i$uant $uelle est actuellement la cl utilise. C*est un com2 plment e protection $ue ne )aut $ue si la cl acti)e est sou)ent chan2 ,e# et e faKon ala2 toire# autant $ue pos2 si-le. Mais cette proc2 ure e chan,ement e cl acti)e reste ma2 nuelle et oit 6tre e!cute sur tous les noeu s u rseau.

Christian CALECA http://christian.caleca.free.fr/wifi/

La lon,ueur e la cl peut actuellement 6tre e B@ -its ou e ('% -its# ce $ui est + la fois )rai et fau!. 9C@ ncessite un ")ecteur *initialisation" e '@ -its# $ui est ,nr par 9C@ lui-m6me# si -ien $ue la cl finie par l*a ministrateur ne fera en ralit $ue @& ou (&' -its La cl parta,e peut ,alement ser)ir + faire une pseu o authentification es noeu s sur le rseau. >i l*on choisit l*authentification nomme "share -Ue4"# lors$u*un client )a essa4er e se connecter sur un point *acc1s# ce ernier lui en)erra un te!te en clair# $ue le client chiffrera et ren)erra au point *acc1s. Ainsi# le point *acc1s pourra )rifier $ue le client ispose -ien e la cl et le client# s*il est accept par le point *acc1s en uira $ue l*A8 ispose e la m6me cl $ue lui. Ainsi ,alement# tout in iscret $ui re,ar e ce $u*il se passe sur )otre rseau pourra isposer *un te!te en clair et e son $ui)alent chiffr# ce $ui est une information e premier or re pour cou2 )rir la fameuse cl. Fl faut onc )iter *utiliser cette mtho e *authentification. 8our le reste# 9C@ )a faire son tra)ail et )a chiffrer les trames $ui circulent sur le rseau sans fil# au ni)eau ' .transport/.

8a,e 'C sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

Pratiquement...
Gn intrus# m6me s*il cou)re )otre E>>FD# m6me s*il usurpe une e )os a resses MAC autorises# ne pourra pas se connecter + )otre rseau tant $u*il ne isposera pas e la cl parta,e. Donc# nous a)ons rsolu le pro-l1me# mais + certaines con itions. En effet# $uels sont les mo4ens ont le pirate ispose# pour s*emparer e la fameuse cl A

Le "social engineering"
Comme son nom l*in i$ue# cette mtho e est purement "sociale". Elle consiste + o-tenir l*informa2 tion par un mem-re $uelcon$ue e l*or,anisation# $ui parta,e le secret. Gn e!emple A Gn ami# une relation# un colla-orateur occasionnel a eu -esoin *utiliser )otre rseau Wi-Fi une fois et )ous lui a)e0 communi$u la cl.

La cryptanalyse
Fci# nous entrons ans le omaine informati$ue. L*in iscret se poste en un point oD il peut capturer les trames e )otre rseau. Fl )a alors enre,istrer sur sa machine tout ce $u*il capte# pour 4 cou)rir les points fai-les u s4st1me 9C@ appli$u + la norme %&'.((. Gn outil comme Airo ump fait Ka tr1s -ien# et in i$uera en temps rel le nom-re e )ecteurs *initialisation .FS/ suscepti-les *ai er un autre outil .AircracU/ + cou)rir )otre cl. En estime $ue pour une cl e B@ -its .@& en ralit/# un chantillon e '&& &&& trames reprsentati)es permet e uire la cl en seulement $uel$ues minutes. 9cuprer l*chantillon reprsentatif peut pren re un "certain temps"# $ui pen principalement u trafic ,nr sur )otre rseau. La techni$ue tant .pour l*instant/ purement passi)e# si )otre rseau est peu utilis .cas par e!emple *un rseau sans fils personnel# $ui ne sert $u*+ parta,er une conne!ion internet pour eu! ou trois clients/# l*opration peut urer plusieurs semaines. Dans le cas *un rseau *entreprise# Ka pourra aller naturellement plus )ite. >i notre pirate est press# il peut isposer *outils $ui )ont artificiellement ,nrer u trafic sur )otre rseau sans fils. La techni$ue n*est plus seulement passi)e et onc plus facilement repra-le# encore faut-il $ue l*a ministrateur reste tr1s attentif pour la tecter. Dans un tel cas# $uel $ue soit le trafic "naturel" ,nr sur )otre rseau# le pirate russira pro-a-lement + rcuprer son chantillon re2 prsentatif en une ou eu! :ournes tout au plus.

%inalement...
WE8 ne peut raisonna-lement 6tre utilis $ue contraintes a ministrati)es :

ans

es cas tr1s limitatifs et a)ec

e fortes

l*intrusion u rseau ne oit prsenter $ue peu *intr6t# c*est un lment important $ui 2 termine la moti)ation e l*intrus. Sotre rseau omesti$ue ne sera pro-a-lement pas la proie la plus intressante# ce $ui sera certainement moins )rai pour )otre rseau *entreprise# le trafic ,nr naturellement oit 6tre le plus fai-le possi-le# il )aut mieu! s*assurer r,uli1rement $ue le trafic reste conforme + l*utilisation $ue )ous a)e0 e )otre rseau# 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

8a,e '% sur 5(

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

la cl parta,e oit 6tre mo ifie le plus sou)ent possi-le# puis$ue ans le pire es cas# on peut estimer $ue la ure e )ie *une cl + B@ -its n*est $ue *en)iron une :ourne. Gtilise0 onc e prfrence une cl + ('% -its# $ui ncessitera un plus ,ros chantillon reprsentatif# ce $ui allon,era .un peu/ sa ure e )ie# le nom-re e noeu s oit 6tre le plus fai-le possi-le .moins un secret est parta,# moins il ris$ue e fuir/.

Sous l*a)e0 compris# WE8 est + proscrire en entreprise et n*est utilisa-le# a)ec prcautions# $u*en en)ironnement omesti$ue.

8a,e 'P sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi

Christian CALECA http://christian.caleca.free.fr/wifi/

onclusions
,lors, on fait comment +
A l*heure oD ces li,nes sont crites# il e!iste plusieurs clinaisons e la norme %&'.((. 8armi les plus courantes :

%&'.((-. Comme son nom ne l*in i$ue pas# elle est la plus ancienne et la plus courante# c*est celle $ui a t utilise pour cet e!pos# elle offre un -it thori$ue e (( M-it/s et utilise la -an e e fr$uences es '#@ IN0# %&'.((a. 8lus rapi e . -it thori$ue e ;@ M-it/s/# elle utilise la -an e es ; IN0 et n*est pas compati-le a)ec la norme %&'.((-# %&'.((,. Elle propose ,alement un -it thori$ue e ;@ M-it/s# mais ans la -an e es '#@ IN0# ce $ui lui permet e rester compati-le a)ec les $uipements %&'.((-.

Qoutes ces normes incluent le s4st1me e protection WE8# ont on a )u les limites. De)ant les ris$ues encourus# il a t )elopp un s4st1me e chiffrement plus fort# le W8A# $ui e2 )rait 6tre inclus ans la norme %&'.((i. W8A est plus "soli e" $ue WE8# mais ncessite pour 6tre le plus efficace une infrastructure lour e# incluant un ser)eur *authentification comme un ser)eur 9ADFG> .utilis sur les conne!ions e t4pe 888/. C*est cepen ant un mo4en ncessaire pour o-tenir une scurit accepta-le en milieu pro2 fessionnel. 8our un milieu personnel# W8A peut tout e m6me 6tre mis en oeu)re sans la prsence *un ser)eur *authentification. En se ram1ne alors + un s4st1me proche . ans sa mise en oeu)re/ u WE8# mais a)ec un s4st1me e chiffrement plus ro-uste. W8A est inclus sur les $uipements rcents + la norme %&'.((,# mais pourrait 6tre a:out aussi au! normes %&'.((a et %&'.((-. 8our la petite histoire# W8A en est :+ + sa secon e )ersion# la premi1re a4ant t montre trop peu fia-le $uel$ues :ours seulement apr1s son annonce. Finalement# en milieu professionnel# il est ncessaire *a opter la mtho e la plus efficace# + sa)oir W8A# a)ec un ser)eur *authentification# ce $ui permettra *authentifier non seulement le poste $ui se connecte# mais ,alement la personne $ui s*en sert .ce $ue WE8 ne sait pas faire/# et permettra un chiffrement ifficile + casser. En milieu personnel# on pourra utiliser u W8A sans ser)eur *authentification# a)ec une "pass phrase" .sorte e mot e passe -eaucoup plus lon, $u*un mot e passe ha-ituel/ si tout l*$uipement ont on ispose supporte cette mtho e# sinon# il fau ra se ra-attre sur WE8# a)ec une cl la plus lon,ue possi-le# et $u*il fau ra penser + chan,er asse0 r,uli1rement. Fl est trop ris$u# m6me pour un usa,e omesti$ue# e mettre en place un rseau Wi-Fi sans chiffrement.

*t '5'7 +
?a n*a rien + )oir a)ec la scurit# mais cette techni$ue $ui utilise# rappelons-le# plusieurs antennes et plusieurs missions .sur le m6me canal ou non# sui)ant les implmentations/# ans le -ut e ,rer au mieu! les pro-l1mes lis au! rfle!ions et au! a-sorptions es on es par es o-stacles sem-le 8a,e 5& sur 5( 9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E

Monter un rseau Wi-Fi tr1s prometteuse# + en croire les i)ers tests pu-lis sur ce su:et.

Christian CALECA http://christian.caleca.free.fr/wifi/

L*incon)nient ma:eur# + l*heure oD ces li,nes sont crites# est $ue le proc n*est pas enti1rement normalis et $ue les solutions proposes par les i)ers constructeurs ne sont pas forcment compa2 ti-les entre elles# pire# elle peu)ent m6me 6tre parfaitement incompati-les. A moins e s*astrein re + n*utiliser les ser)ices $ue *un seul constructeur# il sem-le onc prfra-le *atten re une plus ,ran e maturit e cette technolo,ie $ui e)rait 6tre incluse ans la norme %&'.((n

8a,e 5( sur 5(

9alis + partir es pa,es u site# u % :uillet '&&; par Laurent <A=>>E