Академический Документы
Профессиональный Документы
Культура Документы
D'autres bandes sans fil sont souvent utilisées par les WISP pour les
liaisons backhaul point à point entre les bâtiments ou les tours. Ces
réseaux fonctionnent à différentes fréquences qui ne nécessitent pas de
licence comme 900MHz, 24GHz ou 60 GHz. Pour les besoins du MTCNA,
seules les bandes ISM et U-NII sont importantes.
NOTE
Pour détecter les canaux qui sont utilisés dans votre environnement,
servez-vous de l’outil Wireless Snooper sur votre équipement
MikroTik.
Figure-5.3 : Outil ‘’Wireless Snooper’’
1.2.7. Outil ‘’Wireless Scanner’’
●
RouterOS comprend un outil d'analyse sans-fil (Wireless scanner)
qui peut montrer quels points d'accès et clients se trouvent dans la
zone et quelles fréquences sont utilisées.
●
Savoir quelles parties du spectre disponible sont encombrées peut
vous aider à maximiser les performances sans fil.
●
Récemment, une nouvelle fonctionnalité a été introduite dans RouterOS
qui permet une analyse sans-fil pendant que les clients restent
connectés à un point d'accès.
●
L’analyse sans-fil à la volée pour le dépannage et l'optimisation est
désormais beaucoup plus facile. La figure-5.4 de la page suivante
montre le scanner sans-fil fonctionnant avec l'option «background =
yes»:
[admin@MikroTik]> /interface wireless scan wlan1 background=yes
Flags: A - active, P - privacy, R - routeros-network, N - nstreme, T - tdma,
W - wds, B - bridge
ADDRESS SSID CHANNEL SIG NF SNR RADIO-NAME ROUTERO...
A R W 68:72:51:56:C8:32 SHIELD-NET 2412/20... -76 NSTA-M2... 2.9.31
A R W FC:EC:DA:DA:3C:FD SHIELD-NET 2412/20... -78 NSTA-M2... 2.9.31
A R W 18:E8:29:7A:3A:F6 SHIELD-NET 2437/20... -63 AP-M2-F... 2.9.31
A 08:10:76:01:87:51 SHIELD-NET 2462/20... -90
A 50:D4:F7:92:D2:AC SHIELD-NET 2412/20... -83
A 18:E8:29:FE:E1:D3 TAOFIK ... 2462/20... -87
A 50:D4:F7:92:D0:96 SHIELD-NET 2412/20... -92
-- [Q quit|D dump|C-z pause]
●
Le même outil est disponible dans Winbox avec la possibilité de trier
les valeurs dans les différentes colonnes.
●
Cliquez sur Wireless > WLAN Interface > Scan pour accéder à l'outil
graphique. La figure-5.5 sur la page suivante montre l'outil Wireless
Scanner en cours d'exécution dans Winbox:
Figure-5.5 : Exécution de l’outil ‘’Wireless Scanner’’ via WinBox
1.2.8. Débits de Données (Data Rates)
●
Les normes sans fil 802.11 tolèrent assez bien les interférences
produites par d'autres appareils, murs, meubles et l'environnement
naturel. Cela dit, il est parfois nécessaire de réduire les débits de
données afin de maintenir la connectivité dans un environnement
«bruyant». La plupart des appareils sans-fil «retomberont» à des débits
plus lents pour maintenir la connectivité jusqu'à ce qu'il ne reste plus de
débits plus lents.
●
Dans RouterOS, les débits de base sont les vitesses que les clients
sans fil utiliseront si possible. Les débits de base sont des vitesses de
transmission auxquelles les périphériques s’associent au point d'accès
et envoient la multidiffusion. Ce sont également les vitesses les plus
basses qu'un appareil peut utiliser avant de devoir se déconnecter du
réseau sans-fil. Un exemple par défaut de débits de données
configurables est illustré à la Figure-5.6 :
Figure-5.6 : les débits de données sans-fil
1.2.9. Multiplexage
●
Le multiplexage est la façon dont plusieurs appareils communiquent
simultanément sur un support partagé comme la radiofréquence
(RF). Il existe de nombreux types de multiplexage, mais seuls
quelques-uns sont utilisés en réseau. Pour les objectifs de l’examen
MTCNA, vous n’avez pas besoin de connaître en profondeur le
multiplexage, mais sachez que le 802.11 repose sur le multiplexage
par répartition en fréquence (FDM- Frequency Division
Multiplexing) et le multiplexage par répartition dans le temps
(TDM – Time Division Multiplexing).
●
C'est là que plusieurs clients utilisent différentes parties d'une
fréquence ou des intervalles de temps différents pour diffuser leur
signal RF.
●
Les nouvelles normes sans-fil telles que 802.11n et 802.11ac
comportent également la technologie MIMO (Multiple Input Multiple
Output - plusieurs entrées, sorties multiples). Cela permet aux
appareils conformes aux nouvelles normes d'utiliser plusieurs
antennes pour la transmission et la réception.
Standards Technologie de multiplexage
802.11a Orthogonal Frequency Division Multiplexing (OFDM)
802.11b Discret Sequence Spread Spectrum (DSSS)
802.11g OFDM
802.11n MIMO-OFDM
802.11ac MIMO-OFDM
Une marge de bruit de -105 dBm est assez bonne, ce qui indique que
l’environnement n’est pas très bruyant. Cependant, de nombreux endroits
n’ont pas cette chance et le changement de canaux ou même de
bandes de fréquences entières (par exemple, 802.11b/g à 802.11n/ac)
peut être nécessaire. Si un emplacement est très bruyant, il est
préférable de changer de canal de fréquence ; puis observez la valeur
du bruit de fond. Continuez à changer et à observer jusqu'à ce que vous
trouviez la partie la moins bruyante du spectre sans fil et utilisez-la.
1.2.11. Configuration de Liaison Sans-fil
●
Les appareils MikroTik sans-fil peuvent fonctionner dans un certain
nombre de modes.
●
L’examen MTCNA couvre les modes Access Point et Station, et les
sujets de l’examen MTCWE(MikroTik Certified Wireless Engineer)
couvrent les modes restants. La Figure-5.10 montre les modes dans
lesquels une interface sans fil peut fonctionner.
●
Ces mêmes modes sont disponibles dans un menu déroulant pour
chaque interface sans-fil dans Winbox et Webfig. La figure-5.12 montre
les modes disponibles dans Winbox:
Figure-5.12 : Afichage des modes de fonctionnement sans-fil via WinBox
●
Les modes sans-fil WDS(Wireless Distribution System) créent des
liens entre deux points d'accès. Ceci est souvent utilisé pour relier deux
réseaux de manière transparente.
●
La norme WDS est utilisée dans l'industrie pour vous permettre de relier
une unité MikroTik avec un point d'accès d'un autre fabricant comme
Ubiquiti.
Les ordinateurs portables sont des clients sans-fil qui font partie du
même domaine de diffusions une fois qu'ils ont rejoint le réseau. Ce
domaine de diffusion peut être étendu aux réseaux câblés à l'aide de la
configuration pontée par défaut.
Même sans les paramètres par défaut, la connexion aux réseaux sans fil et
filaires ne nécessite que quelques étapes:
●
(1) Création d’une interface pontée.
●
(2) Affecter les interfaces ethernet et sans-fil au pont.
●
(3) Vérifier la connectivité.
Dans l’exemple ci-après, allons ponter l’interface ether2 et les interfaces
sans-fil wlan1 et wlan2 :
/interface bridge
add name=wlan_br comment="Wireless bridge" fast-forward=yes
status: running-ap
channel: 2412/20/g(21dBm)
wireless-protocol: 802.11
noise-floor: -104dBm
overall-tx-ccq: 60%
registered-clients: 1
authenticated-clients: 1
current-distance: 1
current-tx-
powers:1Mbps:17(17/20),2Mbps:17(17/20),5.5Mbps:17(17/20),11Mbps:17(17/20),
6Mbps:17(17/20),9Mbps:17(17/20),12Mbps:17(17/20),18Mbps:17(17/20),
24Mbps:17(17/20),36Mbps:17(17/20),48Mbps:16(16/19),54Mbps:15(15/18)
notify-external-fdb: no
2. Sécurité d’un Réseau Sans-Fil
Les réseaux sans-fil sont essentiels dans un monde axé sur le mobile,
mais la commodité doit être équilibrée avec la sécurité. Les listes
d'accès, le cryptage et les contrôles de transfert peuvent tous être
combinés pour créer un réseau sans-fil sécurisé.
2.1.3.Hide SSID
●
Cette option empêchera une interface exécutée en mode AP de diffuser
son nom ou SSID(Service Set IDentifier). Il s'agit d'une méthode très
simple pour cacher un réseau sans fil aux utilisateurs non techniques de
la région.
●
Un logiciel disponible gratuitement ou l'outil sans-fil ‘’Snooper’’
intégré affichera les SSID cachés, permettant à quiconque se trouvant
dans la zone locale de tenter une connexion. Bien que l'utilisation de
cette option puisse faire partie de votre plan de sécurité sans-fil global,
elle ne doit certainement pas être invoquée pour fournir une protection
robuste.
2.2. Listes d’Accès (Access Lists)
●
Les listes d'accès vous permettent de définir quels périphériques sont
autorisés à rejoindre un réseau sans-fil et de définir des options de
sécurité personnalisées pour chaque client.
●
Les entrées de périphérique incluent une adresse MAC, une clé pré-
partagée et des options de transfert.
●
Il est également possible de limiter l'accès en fonction du temps,
comme indiqué au bas de la sous-fenêtre "New AP Access Rule".
●
Pour que cela soit efficace à long terme, il est important que le point
d'accès dispose d'une bonne source de temps (par exemple NTP).
●
Un exemple d'entrée pour un périphérique sans-fil fictif avec une
adresse MAC de 00: 11: 22: 33: 44: 55 est illustré à la figure-5.19 à la
page suivante:
Figure-5.19 : Création d’une règle pour une liste d’accès à une interface sans-fil
●
Une limitation de cette fonctionnalité est qu'une liste d'accès sur un AP
ne s'applique pas aux autres point d’accès.
●
Pour une authentification centralisée des périphériques sans-fil sur
de nombreux points d'accès, une solution plus robuste comme le
gestionnaire de système de points d'accès contrôlés –
CAPsMAN(Controled Access Points MANager) est nécessaire. Le
système CAPsMAN est le nom donné au contrôleur WiFi sur les
équipements MikroTik.
●
S'il existe plusieurs règles de liste d'accès pour un appareil, seule la
première règle correspondante sera traitée.
2.3. Liste de Connexion (Connect List)
●
La liste de connexion (Connect List) contrôle les connexions des
stations distantes vers un point d'accès local.
●
L'ajout d'une entrée sur la liste de connexion d'un AP pour un autre
AP fonctionnant dans l'un des modes "station" lui permettra d'établir une
connexion point à point.
●
Cela peut être utilisé pour de nombreux scénarios sans-fil différents,
comme le pontage de réseaux locaux sur une liaison point à point
802.11 entre deux bâtiments. Si le point d'accès distant apparaît dans la
table d'enregistrement sans-fil locale, l'ajouter à la liste de connexion
est facile dans Winbox.
●
La Figure-5.20 montre comment ajouter dynamiquement un AP
connecté à la liste de connexion avec des informations d'adresse pré-
remplies.
Figure-5.20 : Création d’une règle pour une "liste de connexion" à une interface sans-fil
2.4. Le Chiffrement des Communications Sans-fil
Les communications sur tous les réseaux sans-fil doivent être chiffrés
pour garantir la confidentialité des données transmises et la
confidentialité des utilisateurs du réseau. Un certain nombre de
normes de chiffrement et de bonnes pratiques sont disponibles pour
sécuriser vos réseaux.
●
Pour un contrôle d'authentification plus centralisé, les propriétaires
de réseau doivent implémenter des profils de configuration
principale (Master Configuration Profiles) avec CAPsMAN ou utiliser
EAP et PEAP avec RADIUS.
2.6. WPS – WiFi Protected Setup
Le Wi-Fi Protected Setup (WPS) facilite la configuration sans-fil pour
les utilisateurs à domicile. Cette fonctionnalité simplifie le processus
d'ajout de périphériques supplémentaires à un réseau existant, mais un
réseau sécurisé doit déjà être disponible pour le rejoindre. Bien que
WPS soit pratique, il est également facilement exploitable par les
attaquants lorsqu'il n'est pas correctement mis en œuvre. Pour cette
raison, de nombreux administrateurs réseau laissent la fonctionnalité
désactivée ou ne l'utilisent que lorsque d'autres solutions ne sont pas
disponibles.
Figure-5.23 : Bouton
virtuel ‘’WPS Accept’’