1

Installer une infrastructure Wifi

avec controle d'access

Introduction
Aujourd'hui il n'est pas rare de voir des gens surfer sur internet grce
leur PDA ou ordinateur portable en pleine rue gare ou aroport. Ceci est
possible grce au Wi-fi qui interconnecte les priphriques mais sans fil.
C'est une technologie en devenir favorisant la mobilit des cadres,
commerciaux ou autres; mais aussi une technologie "branche"
permettant aux "Geeks" (frus de nouvelles babioles technologiques) de
consult leurs mails partout.
Que ce soit chez soi ou dans une entreprise il est devenu simple de
monter un rseau sans fil.
Tout d'abord nous verrons comment fonctionne le Wi-fi, puis la mise en
place d'une architecture Wi-fi simplifie dans un cybercaf; et enfin la
gestion de ce rseau grace au logiciel Firstspot.
1 Rappel sur le Wi-fi
1.1 Qu'est ce que le Wi-fi
Le Wi-fi est un label d'interoprabilit entre quipements de rseaux
locaux sans fil dlivr par la Wi-fi alliance (WECA).
Reposant sur des protocoles bass sur le 802.11 (apparu en 1997), c'est
devenu aujourd'hui le standard des normes de communication par ondes
radio (aussi infra rouge).
Les deux couches les plus basses du modle OSI sont utilises en Wi-fi:
- La couche physique qui gre le type de modulation qui transporte des
informations sous formes de bits et des informations ncessaires la
communication.
- La couche de liaison qui utilise 2 sous couches : LLC (logical link control)
communiquant directement avec la couche suprieure (IP); et MAC
(media access control) qui gre les accs a la couche physique.
La couche physique permet dans le cas du Wi-fi d'tre au plus prt du
media c'est a dire de l'metteur radio. La couche physique assure
l'encodage des bits de donnes et la modulation de frquence des ondes
radios.
Selon les dclinaisons du 802.11 (a,b,g sont utiliss de nos jours en
attendant les futures volutions); les modulations diffrent: DSSS (Direct
Sequence Spread Spectrum) qui tale le spectre grce a une squence

2
directe pour 802.11b ou 802.11g et OFDM (Orthogonal Frequency Division
Multiplexing) pour 802.11g et 802.11a.
Cette couche communique aussi directement avec la couche MAC pour
envoyer les trames au moment voulu. Enfin la couche physique contient
les informations relatives au meilleur point d'accs, le dbit, la longueur
de la trame.
La couche MAC envoie des trames contenant la gestion de l'nergie, le
chiffrement, adresse MAC de metteur/rcepteur et du point d'accs
intervenant dans la communication, le mode d'accs (ad hoc ou
infrastructure). Des mcanismes d'accs la bande passante et un
contrle d'erreurs et de conflits peuvent tre utilis selon le mode choisi.
La couche MAC en Wi-fi est base sur un systme d'vitement de collision.
Voici les 3 dclinaisons bases sur ces principes du Wi-fi actuel:
- 802.11b : apparu en 1999 ce standard met dans la bande des 2,4 GHz,
utilisant DSSS pour sa couche physique et pour sa couche MAC CSMA-CA.
Le dbit thorique du 802.11b est de 11Mbits/s mais en ralit il atteint
6Mbits/s.
- 802.11a : apparu aussi en 99 ce standard met dans la bande des
5,5Ghz ce qui le rend incompatible avec le 802.11b. De plus il utilise
OFDM pour la modulation au niveau de la couche physique (plus
performant que DSSS). Le dbit thorique est de 54Mbits/s.
- 802.11g : apparu en 2003 ce standard met sur les 2,4GHz et utilise
DSSS ou OFDM ce qui le rend compatible avec 802.11b. Les dbits varient
selon si il est associ a du b ou du g.
1.2 Fonctionnement du Wi-fi
Cette partie explique le fonctionnement thorique du Wi-fi car la mise en
place d'un rseau Wi-fi sera aborde dans la seconde partie de cet article.
Le Wi-fi c'est d'abord une histoire de canal. Les canaux reprsentent la
longueur d'onde et la largeur de bande. Il faut savoir que la loi franaise
autorise l'mission d'ondes radio sur la bande des 2,4GHz l'intrieur et
extrieur des btiments. Il n'y a donc aucun problme pour le b et le g, en
revanche le a est autoris seulement intrieur des btiments tant
donne sa plage de frquence leve (5GHz).
Pour le b, les routeurs ou autres priphriques disposent de 83,5MHz
(2400 a 2483,5) a repartir sur 13 canaux spars par 5MHz. Mais afin de
bnficier d'une largeur de bande plus grande et accrotre la vitesse de
transmission des donnes; un canal peut dborder sur la frquence
voisine. En ralit les canaux couvrent 20MHz et gnrent des
interfrences entre eux.
Pour le a, seulement 8 canaux sont utiliss d'une largeur de 20MHz
chacun ce qui vitent le dbordement donc le parasitage entre eux.

3
Le Wi-fi n'accepte que 2 types de connection : infrastructure o ad hoc. Le
mode infrastructure permet plusieurs clients de se connecter un seul
et mme point d'accs et le mode ad hoc relie les clients entre eux.
En mode infrastructure le point d'accs met toutes les 0,1 secondes une
trame sur chaque canal comportant des informations sur le SSID (Service
Set identifier) le dbit maximal support etc.
Le client qui possde le mme SSID et qui essaye de se connecter au
point d'accs est accept. Une rponse est envoy par le SSID sur sa
charge et si le client se trouve a la port de plusieurs points d'accs
possdant le mme SSID, il choisit celui offrant le meilleur dbit et la
meilleure charge.
La qualit d'une liaison Wlan dpend de plusieurs facteurs:
Puissance de metteur et gain de l'antenne (limite en France par la
lgislation 100mW), bande de frquence (moins de port sur 5GHz que
sur 2,4GHz), missions parasite d'autres appareils lectromagntiques,
murs, pluie, vgtation ou autre peuvent stopper, ralentir ou rflchir les
ondes Wi-fi. A l'air libre la porte est de 500m et de 50m a intrieur des
btiments pour le b/g.
1.3 Avenir du Wi-fi
Il est possible d'entendre parl aujourd'hui de Iburst et de Wimax.
L'Iburst est une technologie sans fil proche de l'UMTS sur Gsm au niveau
des dbits (1Mbit/s en DL et 345kbit/s en UP). Disposant d'un rayon
d'action de 10Km et d'une technologie de roaming (changement d'un point
d'accs un autre automatiquement avec transparence pour l'utilisateur)
sur la bande des 1,9GHz; l'Iburst est en vogue en Australie ou Afrique du
Sud.
Le Wimax reprsente l'avenir du Wi-fi et des FAI. Base sur une nouvelle
norme 802.16; les dbits annoncs sont optimistes : 75 Mbits/s sur un
rayon de 5OKm! Le wimax sera une BLR pour les zones non ligible
l'Adsl par exemple, sur une frquence comprise entre 2 et 11 GHz et
permettra des connexions hors de la ligne de vue de l'metteur. Pour le
moment, le wimax est implment seulement pour les connections fixes
mais les constructeurs travaillent l'intgration du wimax dans les
ordinateurs et tlphones portable (il sera possible d'utiliser le wimax en
complment du rseau Gsm en basculant de l'un a l'autre en toute
transparence pour l'utilisateur).
2 Implmentation d'une infrastructure Wi-fi.
2.1 Installation matrielle.
Afin de faire profiter du Wi-fi une vingtaine de client d'un cybercaf par
exemple, une refonte complte du rseau n'est pas ncessaire. Voici
grossirement l'architecture du site en question:

4


Afin de simplifier les choses, Il fut demander de sparer la liaison Wlan du
reste du rseau pour des raisons de scurit et de facturations entre
autres. Il fut alors choisit de crer un Hot spot grce a un routeur Wi-fi et
une ligne ddie entirement a cela. Afin d'obtenir grossirement ceci:


C'est le routeur Wi-fi qui recevra tout les paramtres de connection
Internet et qui grera les adresses IP des clients, la configuration du point
d'accs et la scurit.
Tout d'abord il faut se connecter au routeur une fois les branchements
effectus. Pour cela il suffit d'ouvrir un navigateur web et d'entrer

5
l'adresse du routeur (en gnral par dfaut 192.168.1.1 qu'il faut changer
aprs la 1ere connexion pour des raisons videntes de scurit) suivi du
login et mot de passe d'administration. Ces informations tant les
informations par dfaut il est ncessaire de les changer.
Il faut configurer sur le routeur la connexion Internet dans un premier
temps. Plusieurs cas de figure se prsentent:
- Si le FAI donne une IP dynamique, Il suffit de reli la ligne au port wan
du routeur et d'activer la configuration type DHCP pour la connexion
internet. La connexion se fera automatiquement.
-Si le FAI fournit un log/pass, il suffit d'activer PPPoE et de renseigner les
champs correspondants.
-Si le FAI fournit une adresse statique, il faut configurer le routeur en
mode ip statique ou over ATM.
Le routeur doit avoir une diode allume qui prcise qu'il est bien reli
Internet
2.2 Configuration rseau et du Wi-fi.

Le routeur va grer l'attribution d'adresses aux clients qui vont s'y
connecter. Hormis un dysfonctionnement ou cas particulier, il est
prfrable de configurer le routeur en mode DHCP afin qu'il attribue des
adresses IP automatiquement aux clients; nanmoins il est possible de
configurer un pool d'adresses (de 192.168.1.1 1.40 par exemple) afin de
s'y retrouver.
Le routeur est prt recevoir des clients. La dernire tape consiste
configurer le Wi-fi.
Tout d'abord le mode utiliser : a, b ou g. Aujourd'hui la majorit des
routeurs ont un mode dit mixte qui permet d'accepter tous les clients.
Ensuite il faut nommer le rseau Wi-fi (SSID). Le nom doit tre explicite
(dans le cas de plusieurs hotspot dans la zone) et afin de protger le
rseau des pirates il est prfrable de ne pas diffuser (broadcast) le nom
du SSID. Reste a choisir parmi les 13 canaux : si le hotspot est le seul
n'importe quel canal fera l'affaire, en revanche si plusieurs hotspots sont
prsent il faut espacer les canaux afin d'viter les interfrences.

2.3 Laspect scurit.
Hormis cach les SSID, les rseaux Wi-fi doivent tre protger car il peut
tre facile pour un pirate de s'y connecter. Ici seront abords les scurits
les plus simples mais il existe bien d'autres moyens de scuriser le rseau
compltement
Les routeurs actuels peuvent crypt les liaisons en WEP ou WPA (voire
WPA2).

6
WEP est le 1er systme de chiffrement crer pour le Wi-fi. Ce systme
n'est pas infaillible. La cl est fixe, chiffr sur 40 ou 104 bits et est trs
facilement cassable.
Le WPA est un systme de chiffrement plus performant que WEP sur 128
bits qui gnre une cl dynamique.
Enfin le filtrage par adresses MAC o il faut rentrer les adresses MAC des
clients autoriss directement dans le routeur afin d'interdire tout client
non reconnu sur le rseau.
De base il est prfrable d'opter pour une combinaison WPA filtrage MAC
afin d'obtenir une bonne scurit.
Il existe d'autres moyens de scuriser un rseau Wi-fi comme une
combinaison de WPA et Radius que nous verrons grce au logiciel
Firstspot.
3 Firstspot
Voici le cas d'tude d'un cybercaf o il est demand d'installer un point
d'accs Wi-fi simple d'utilisation pour les clients (transparence et facilit
d'utilisation) et les vendeurs (facilit de configuration ou d'administration).
Il faut intgrer ce rseau sans modifier l'architecture dja en place
(environnement Microsoft) et devra utilis le mme systme de
facturation (ticket dlivr par une borne automatique connecte une
base de donne SQL server).

3.1 Qu'est ce que Firstspot
Firstspot est le 1er logiciel pour Windows compatible avec la majorit des
matriels wi-fi du march permettant une gestion complte et
personnalis du point accs Il centralise en un point l'aspect rseau,
l'aspect scurit et la gestion des cots du hotspot. De plus les machines
clientes n'ont aucune modification faire ou de logiciel tiers installer car
elles peuvent rejoindre le point d'accs grce a un simple navigateur web.
Firstspot peut aussi autoriser l'accs certain site librement (sans
authentification mais choisis par l'administrateur si le grant par exemple
dcide d'offrir la consultation de certains sites gratuitement); il permet de
faire de la rpartition de bande passante; il supporte ODBC et RADIUS
(Microsoft IAS) pour toute la gestion du AAA (authentication,
authorization, accounting), des logins/passwords et facturation (carte de
crdit ou paypal/worldpay).
Compatible avec la majorit des points d'accs sur le march; Firstspot
est simple, peu coteux et est donc orient pour les structures voulant
offrir leurs clients un accs Internet sans fil payant.
3.2 Installation de Firstspot

7
Les prs requis sont:
- Un Pc avec 2 cartes rseaux (ou une carte rseau plus Microsoft
Loopback adapter pour les tests)
-Windows 2000 Pro ou Serveur (SP4), Windows Xp (SP2) ou Windows
Server 2003
Le logiciel doit tre install sur une machine place entre Internet et le
point accs
Voici quoi ressemblera l'architecture:


Il faut dsactiver le serveur DHCP et DNS du point accs ainsi que WEP.
En effet comme il sera vu, Firstspot gre ceci automatiquement.
3.3 Configuration de Firstspot
Tout d'abord il faut tester si le logiciel fonctionne (Internet et le Wlan ne
sont pas ncessaire a ce moment).
Il faut relier un pc sur la carte du rseau priv afin de jouer le rle de
client. Firstspot faisant office de DHCP, il faut s'assurer que le client soit
configur pour obtenir une adresse Ip automatiquement.
Dans Dmarrer -> Programmes -> Firstspot -> Configuration Manager.
Cette fentre devrait apparatre:

8


Par dfaut le login est "firstspot" et le mot de passe est "password". Aprs
cette tape le mot Started devrait apparatre et le client devrait avoir une
adresse IP. Sur la machine cliente il faut lancer un navigateur et taper
nimporte quelle url. Si tout fonctionne la machine cliente sera redirig sur
cette page :



9

Par dfaut un compte de test est cre avec le login sample et le mot de
passe password. Un cran confirme le bon fonctionnement de la
configuration.
Ensuite voici comment se prsente l'interface web de configuration:


Voici la description des menus les plus importants.
- Menu dispatcher
Dispatcher service listen port : port d'coute du service par dfaut 5786
Connection idle timeout (minutes) : temps avant la deconnection d'un
utilisateur inactif
Private network interface IP : adresse du rseau priv sur eth1 par dfaut
10.20.7.1 . Il ne faut pas passer par l'utilitaire de configuration IP de
Windows.
NAT : afin d'activer le NAT via Firstspot il faut activer cette option.
Public network interface IP : adresse du rseau publique qui doit tre
configur via Windows
DNS server IP : adresse IP du serveur DNS, par dfaut 0.0.0.0 permet a
Firstspot de faire ses requtes DNS via le DNS de eth0 (publique).
Bandwidth throttling (global) : contrle de bande passante; il est possible

10
de rgler les cotas de bande passantes par utilisateurs ou des adresses
(mme plage) IP.
- Menu Authentication Server
Authentication server port : port coute du serveur d'authentification.
Authentication server page name : nom de la page qui s'affichera sur le
navigateur lors d'une tentative de connection
Maximum number of failed login attempts allowed : nombre de tentative
de connection avant dsactivation du compte
SSL-enabled login pages : page de login avec SSL
Use 3rd party SSL certificate : par dfaut Firstspot est fourni avec son
propre certificat mais il est possible d'en utiliser un autre (Verisign par
exemple)
Authentication Mode : ODBC ou Radius
Initial air time : rglage du crdit temps, par dfaut 0 veut dire que
l'utilisateur doit recharger son compte (carte ou paypal).
- Menu Configuration Manager
Ici se trouve tous les paramtres du configuration manager comme les
changements de mot de passe pour l'administration, l'autorisation de
l'administration distance et la gestion des droits d'utilisateurs sur le
logiciel Firstspot (Admin, Operator...).
- Menu Exception free websites
Permet de dfinir l'accs gratuit certain site sans authentification
- Menu Instant Keyword
Firstspot permet la mise en place de mots cls. Par exemple pour se
deconnecter du point accs, un utilisateur aura juste a taper le mot logout
si ce mot est dfini dans cette liste. Ce qui peut tre utile pour certain
priphrique tel les PDA.
- Menu Status
C'est une page de monitoring relevant adresses IP, MAC, nom d'utilisateur
connect, temps et cot de chaque utilisateur...
3.4 Architecture de Firstspot

11
Voici un schma de l'architecture de Firstspot.


3.5 Utilisation de ODBC avec Firstspot
Afin de grer les utilisateurs (login, password...) Firstspot doit se
connecter une base de donne soit Radius soit ODBC
L'infrastructure contenant dj une base de donne SQL Server, seul
l'aspect ODBC sera abord. La base de donne en place est une base qui
cre un compte utilisateur lorsque un client arrive dans le cybercaf et
achte un forfait sur une des bornes automatique. Cette base gre aussi la
facturation.
Firstspot y accde a distance mais il est possible d'hberger ces bases sur
la mme machine o Firstspot est install. Un driver appel MySQL ODBC
driver doit tre install et avec lequel il faut cre un fichier DSN (Outils
d'administration de Windows).
Une fois ce fichier crer il faut aller dans le Configuration Manager de
Firstspot partie authentication server; activer ODBC et mettre le chemin
de ce fichier. Ensuite les tables fsusr, fsplans, fsusrlog et fsinst seront
crer par dfaut Ne pas oublier de partager et d'autoriser ces tables pour
toutes les instances de Firstspot.

12
Conclusion
Le Wi-fi est donc une technologie en devenir. Un jour il sera surment
possible comme l'a ralis le Wi-fi Shootout Contest de maintenir une
liaison de 11 Mbps sur 200km pendant 3h. La convergence (voix audio
video ou pc pda telephone) permettra de faire voluer cette technologie.
Toutes les fonctionnalit du logiciel n'ont pas t abordes car elle je ne
les ai pas toutes exploits. C'est un excellent rapport qualit prix (les
liscence vont de 100 a 1000 euros selon les versions) pour toute personne
voulant exploiter un point d'acces wi-fi pour qu'il lui soit rentable.
De plus il fut interessant d'intgrer un outil comme Firstspot pour sa
simplicit d'utilisation et de configuration.