Академический Документы
Профессиональный Документы
Культура Документы
Historique
Lide de transmettre des donnes informatiques par ondes lectromagntique est ne dans les
universits de Seattle, o les tudiants dsiraient changer des donnes par ce mode de
transmission. La technologie est connue grce ladoption du standard IEEE (Institute of
Electrical and ElectronicEngineers) 802.11 en juin 1997 par WECA (Wireless Ethernet
Compatibility Alliance).
Le Wifi (Wireless Fidelity) est un ensemble de frquences radio standardis qui permet de
partager une connexion Internet et dchanger de donnes entre plusieurs postes.
Un rseau sans fil (en anglais wireless network) est un rseau dans lequel au moins deux
terminaux peuvent communiquer sans liaison filaire.
Les rseaux sans fil sont bass sur une liaison utilisant des ondes radiolectriques (radio et
infrarouges) la place des cbles habituels. Il existe plusieurs technologies se distinguant par la
frquence d'mission utilise ainsi que par le dbit et la porte des transmissions.
Grce au Wi-Fi, il est possible de crer des rseaux locaux sans fil haut dbit. Dans la pratique,
le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants
personnels (PDA) ou mme des priphriques une liaison haut dbit (de 11 Mbit/s en 802.11b
54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mtres en intrieur.
Gnralement, la moyenne se situe entre une vingtaine et une cinquantaine de mtres. Dans un
environnement ouvert, la porte peut atteindre plusieurs centaines de mtres voire, dans des
conditions optimales, plusieurs dizaines de kilomtres pour la 'variante' WIMAX ou avec des
antennes directionnelles.
Architecture
La structure du standard 802.11 sappuie sur le model OSI pour dfinir les deux couches
basses :
La couche physique (note parfois couche PHY), proposant trois types de codage de
l'information.
La couche liaison de donnes est constitue de deux sous-couches : le contrle de la liaison
logique (Logical Link Control, ou LLC) et le contrle d'accs au support (Media Access Control, ou
MAC).
Le protocole 802.11 couvre les couches MAC et physique. Le standard dfinit actuellement une
seule couche MAC qui interagit avec trois couches physiques, fonctionnant toutes les trois 1 et
2 Mbps :
802.2(LLC)
Liaison de donnes
802.11(MAC)
FHSS
DSSS
IR
Physique
WIFI
Page 1/13
Il est possible d'utiliser n'importe quel protocole sur un rseau sans fil Wi-Fi au mme titre que
sur un rseau Ethernet.
Normes
La norme IEEE 802.11 est la norme initiale en 1997. Le tableau ci-dessous prsente les diffrentes
rvisions de la norme 802.11 valides ou en cours de validation par IEEE.
Tableau 1 - Normes
Norme
802.11
a
802.11
b
802.11
e
Nom
Wi-Fi 5
Wi-Fi
Description
La norme 802.11a (baptis Wi-Fi 5) permet d'obtenir un haut dbit (dans un rayon
de 10mtres: 54 Mbit/s thoriques, 30 Mbit/s rels). La norme 802.11a spcifie 8
canaux radio dans la bande de frquences des 5 GHz.
Elle propose un dbit thorique de 11 Mbit/s (6 Mbit/s rels) avec une porte
pouvant aller jusqu' 300 mtres dans un environnement dgag. La plage de
frquences utilise est la bande des 2,4 GHz avec, en France, 13 canaux radio
disponibles.
Amlioration La norme 802.11e vise donner des possibilits en matire de qualit de service au
de laqualit niveau de la couche liaison de donnes. Ainsi cette norme a pour but de dfinir les
de service besoins des diffrents paquets en termes de bande passante et de dlai de
transmission de telle manire permettre notamment une meilleure transmission de
la voix et de la vido.
(QoS)
802.11
Itinrance
(roaming)
802.11
g
802.11
h
802.11
i
802.1
WWiSE
1n
(World-
WIFI
Page 2/13
Spectrum
Efficiency) nombreux.
ouTGn Sync
Mode de fonctionnement:
Modes opratoires
Deux modes de fonctionnement existent, le mode ad doc est pour les particuliers tandis que le mode
infrastructure est plutt pour les entreprises.
a) Mode Ad hoc
Les rseaux ad hoc sont des rseaux sans fil capables de s'organiser sans infrastructure dfinie
pralablement.
Chaque entit communique directement avec sa voisine. Pour communiquer avec d'autres entits, il
est ncessaire de faire passer ses donnes par d'autres qui se chargeront de les acheminer. Pour cela,
il est d'abord primordial que les entits se situent les unes par rapport aux autres, et soient capables
de construire des routes entre elles. Les rseaux ad hoc s'organisent d'eux mmes et chaque entit
peut jouer diffrents rles.
WIFI
Page 3/13
infrastructure, le BSSID correspond l'adresse MAC du point d'accs. Il est possible de relier plusieurs
points d'accs entre eux (ou plus exactement plusieurs BSS) par une liaison appele systme de
distribution (note DS pour Distribution System) afin de constituer un ensemble de services tendu
(Extended Service Set ou ESS). Le systme de distribution (DS) peut tre aussi bien un rseau filaire,
qu'un cble entre deux points d'accs ou bien mme un rseau sans fil. Un ESS est repr par un
ESSID (Service SetIdentifier), c'est--dire un identifiant de 32 caractres de long (au format ASCII)
servant de nom pour le rseau. L'ESSID, souvent abrg en SSID, Il porte le nom du rseau et
reprsente un premier niveau de scurit dans la mesure o la connaissance du SSID est ncessaire
pour qu'une station se connecte au rseau tendu.
Lorsqu'un utilisateur nomade passe d'un BSS un autre lors de son dplacement au sein de l'ESS,
l'adaptateur rseau sans fil de sa machine est capable de changer de point d'accs selon la qualit de
rception des signaux provenant des diffrents points d'accs. Les points d'accs communiquent entre
eux grce au systme de distribution afin d'changer des informations sur les stations et permettre le
cas chant de transmettre les donnes des stations mobiles.
Cette caractristique permettant aux stations de "passer de faon transparente" d'un point d'accs
un autre est appel itinrance (en anglais roaming). La gestion daccs se fait sur la borne.
10
11
12
13
14
Frquence (GHz) 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.484
Risques et solutions
Lutilisation du rseau sans fil comporte des risques car il expose des menaces dintrusion. Nous
allons les analyser en dtail et voir les solutions dencryptage sur le march afin de protger les
accs et les donnes.
WIFI
Page 4/13
Avantages et inconvnients
Avantages du Wifi :
WIFI
Page 5/13
Inconvnients du Wifi :
WIFI
Page 6/13
Introduction
En voici
les tapes :
WIFI
Page 7/13
Puis, dans la section Express Security, nous configurons un nouveau SSID sans activer la scurit.
WPA-PSK
Le WPA est une version allge du protocole 802.11i,
reposant sur des protocoles d'authentification et un algorithme
d'change de cl robuste : TKIP (Temporary Key Integrity
WIFI
Page 8/13
Protocol). Le protocole TKIP permet la gnration alatoire de cls et offre la possibilit de modifier la cl de
chiffrement plusieurs fois par secondes, pour plus de scurit.
Le fonctionnement de WPA repose normalement sur la mise en oeuvre d'un serveur d'authentification (la plupart
du temps un serveur RADIUS), permettant d'identifier les utilisateurs sur le rseau et de dfinir leurs droits
d'accs. Nanmoins, il est possible pour les petits rseaux de mettre en oeuvre une version restreinte du WPA,
appele WPA-PSK, en dployant une mme cl de chiffrement dans l'ensemble des quipements, ce qui vite la
mise en place d'un serveur RADIUS. C'est cette alternative que nous allons, dans un premier temps, mettre en
place.
Chiffrement
L'algorithme utilis par WPA est, comme pour WEP, le RC4. Ce dernier est dtaill dans le schma ci-aprs :
Le renouvellement rapide de la cl permet de pallier au problme majeur du WEP, c'est dire la redondance de la
cl et la transmission en clair du vecteur d'initialisation. Ainsi, il est beaucoup plus difficile de dcrypter les
messages car le nombre de paquets chiffrs avec une cl est beaucoup plus faible qu'avec le protocole WEP
(dans lequel la cl ne varie pas).
Voici une mthode simple utilisant linterface Web pour
configurer une borne Cisco Aironet 1100 en point daccs Wifi
WPA-PSK.
Tout dabord, dans Express Security, il faut entrer le SSID et
activer Broadcast SSID in Beacon. Choisir No Security.
Dans Security->SSID
Manager,
choisir Open
Authentication, Key Managment : Mandatory, cocherWPA et
entrer la cl WPA.
WIFI
Page 9/13
Tester.
WIFI et Radius
Le protocole RADIUS (RemoteAuthentication Dial-In User Service), mis au point
initialement par Livingston, est un protocole d'authentification standard, dfini par
un certain nombre de RFC.
Le fonctionnement de RADIUS est bas sur un systme client/serveur charg de dfinir les
accs d'utilisateurs distants un rseau. Il s'agit duprotocole de prdilection des
fournisseurs d'accs internet car il est relativement standard et propose des
fonctionnalits de comptabilit permettant aux FAI de facturer prcisment leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), reli une
base d'identification (base de donnes, annuaire LDAP, etc.) et un client RADIUS, appel NAS
(Network Access Server) ou AUTHENTICATOR ( ne pas confondre avec le client invoquant
lauthentification appeler le SUPPLICANT) , faisant office d'intermdiaire entre le client final
et le serveur (ou AUTHENTIFICATION SERVER). L'ensemble des transactions entre le
client RADIUS et le serveur RADIUS est chiffre et authentifie grce un secret
partag ou via TLS avec une PKI.
Il est noter que le serveur RADIUS peut faire office de proxy, c'est--dire transmettre les
requtes du client d'autres serveurs RADIUS.
WIFI
Page 10/13
Phase 1 : 1 3
Phase 2 : 4
8
WIFI
Page 11/13
ANNEXE
WPA - 802.1x Les types d'authentifications les plus connues
Authentification par mot de passe :
EAP-SIM (SubsciberIdentity Module), utilis pour les points d'accs public (hot spot),
utilise la carte puce SIM du GSM, permet la mise en place de facturation
EAP-TLS (Transport Layer Security), bas sur les mcanismes SSL (Secure Socket
Layer) est trs utilis : il utilise une infrastructure cl publique PKI qui gnre et distribue
des cls WEP dynamiques (par utilisateur, par session et par paquet). Ncessite un certificat
pour chaque client
Comparatif
Authentifications par noms dutilisateurs / mots de passe
Solution CISCO
Authentification de type challenge-response
base sur un serveur RADIUS
Authentification mutuelle (utilisateur point daccs)
Gestion de cls WEP dynamiques par session et par utilisateur
EAP-MD5
Authentification mutuelle
Utilisation serveur RADIUS supportant TLS
Authentification utilisateur par login/mot de passe
Gestion des cls WEP dynamiques
WIFI
Page 12/13
Authentification mutuelle
Bas sur SSL/TLS
Utilisation dun serveur de certificats
Implmentation de certificats pour les clients
Gestion des cls WEP dynamiques
WIFI
Page 13/13