PROJET RT2 CISCO AIRONET 1300 - gurliat.comgurliat.com/projets/aironet/Cisco Aironet 1300.pdf ·...
Transcript of PROJET RT2 CISCO AIRONET 1300 - gurliat.comgurliat.com/projets/aironet/Cisco Aironet 1300.pdf ·...
ÉÉttuuddee ddee llaa ssoolluuttiioonn ssaannss ffiill
CCiissccoo AAiirroonneett 11330000
UUnn pprroojjeett ddee
AAuurréélliieenn BBEEAAUUVVOOIISS && TThhééoopphhiillee GGUURRLLIIAATT
PPrrooppoosséé ppaarr
LLaauurreenntt HHUUSSSSEENNEETT
22000077
Aurélien BEAUVOIS | Théophile GURLIAT
2
Avant-propos:
Ces dernières années ont vu apparaître l’utilisation des technologies sans fil
dans le monde du réseau avec l’avènement du « Wifi ».
Ce mode de transmission a su s’imposer dans le domaine grand public comme
dans le monde de l’entreprise. Pour répondre a ce besoin de mobilité, Cisco a
créé une gamme d’équipements dédiés à la communication radio.
La borne Cisco Aironet 1300 est un produit destiné aux professionnels qui
permet d’assurer les fonctions de pont sans fil et de point d’accès.
Ces fonctions permettent d’établir des liaisons sans fil en vue de raccorder à un
même réseau des entités mobiles ou situés sur des sites distants.
La bonne compréhension des techniques de sécurité mise en œuvre sur cette
borne nécessite quelques notions qui vont donc vous être expliquées dans un
premier temps. Nous vous présenterons ensuite la borne Cisco Aironet 1300 et
les applications qui peuvent en être faite.
Pour apprendre à utiliser les principales fonctions de la borne, nous vous
proposons pour finir d’effectuer une série de travaux pratiques qui vous
permettront une prise en main optimale et qui vous guideront dans la mise en
place de systèmes sans fils sécurisés.
Abstract:
Last years the use of wireless systems came up into the network world’s with
the increasing of “Wifi”. This communication means is today used for
professional and public application. In order to answer to the mobility need,
Cisco designed a range of dedicated radio communication equipments.
Cisco Aironet 1300 is a product for professional which offer bridging function
and can be set as an access point. These features allow wireless connections
for networking mobiles’ terminals or far areas.
For understanding security used by this device, you need to know some
notions which are going to be explain in a first time.
Then we introduce to you the Cisco Aironet 1300 and its applications. To learn
how to use main functions of this device, we suggest to you some exercices to
put them into practice. They let a quick and optimal handling.
Aurélien BEAUVOIS | Théophile GURLIAT
3
Sommaire
I. Les réseaux sans fils
� Introduction au Wifi page 4
� Chiffrement page 6
� Authentification page 10
� Intégrité page 12
II. Cisco Aironet 1300
� Présentation page 14
� Interface web page 16
� Fonctionnalités page 17
� Méthodes d’authentifications page 19
� Types de chiffrements page 21
III. Travaux pratiques
� Configuration d’un point d’accès sans fil page 24
� Mise en place d’un pont réseau sans fil page 26
� Pont réseau sans fil pour LAN Virtuels page 27
� Point d’accès sans fil avec LAN Virtuels page 28
� Authentification & chiffrement page 30
Conclusion page 35
Aurélien BEAUVOIS | Théophile GURLIAT
4
Introduction au Wifi
Le Wifi est une technologie de réseau sans fil mise en place pour fonctionner en réseau
local. Il est basé sur la norme IEEE 802.11 qui est un standard international (ISO/CEI 8802-
11) décrivant les caractéristiques d'un réseau local sans fil (ou WLAN). Le nom Wifi
correspond à la certification délivrée par la WECA (Wireless Ethernet Compatibility Alliance),
l'organisme chargé de maintenir l'interopérabilité entre les matériels répondant à la norme
802.11. Par abus de langage (et pour des raisons de marketing) le nom de la norme se
confond aujourd'hui avec le nom de la certification. Ainsi un réseau Wifi est en réalité un
réseau répondant à la norme 802.11.
Grâce au Wifi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la
pratique, le Wifi permet de relier des ordinateurs portables, des machines de bureau, des
assistants personnels (PDA) ou même des périphériques à une liaison haut débit (de 11
Mbit/s en 802.11b à 54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mètres
en intérieur. Dans un environnement ouvert la portée peut atteindre plusieurs centaines de
mètres voire dans des conditions optimales plusieurs dizaines de kilomètres (avec des
antennes directionnelles).
Structure:
La norme 802.11 s'attache à définir les couches basses du modèle OSI pour une liaison sans
fil utilisant des ondes électromagnétiques, c'est-à-dire :
• la couche physique proposant trois types de codage de l'information
• la couche liaison de données, constituée de deux sous-couches :
o le contrôle de la liaison logique (Logical Link Control, ou LLC)
o le contrôle d'accès au support (Media Access Control, ou MAC)
Le Wifi utilise une bande de fréquence étroite (dite ISM) de 2,4 à 2,4835 GHz.
Modes de mise en réseau:
� Infrastructure
Le mode Infrastructure est un mode de fonctionnement qui permet de connecter les
ordinateurs équipés d'une carte réseau Wifi entre eux via un ou plusieurs Point d'accès (AP)
qui agissent comme des concentrateurs (Hub/Switch en réseau filaire). Ce mode est
essentiellement utilisé en entreprise. La mise en place d'un tel réseau oblige de poser à
intervalle régulier des bornes (AP) dans la zone qui doit être couverte par le réseau. Les
bornes, ainsi que les machines, doivent être configurées avec le même SSID (nom de réseau)
afin de pouvoir communiquer. L'avantage de ce mode est de garantir un passage obligé par
l'AP. Il est donc possible de vérifier qui entre sur le réseau.
Aurélien BEAUVOIS | Théophile GURLIAT
5
� Ad-Hoc
Le mode « Ad-Hoc » est un mode de fonctionnement qui permet de connecter directement
les ordinateurs équipés d'une carte réseau Wifi, sans utiliser un matériel tiers tel qu'un. Ce
mode est idéal pour interconnecter rapidement des machines entre elles sans matériel
supplémentaire. L'avantage de ce mode est de s'affranchir de matériels tiers coûteux et est
plus facile à mettre en œuvre.
Les normes:
La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbit/s. Des
révisions ont été apportées à la norme originale afin d'optimiser le débit (c'est le cas des
normes 802.11a, 802.11b et 802.11g, appelées normes 802.11 physiques) ou bien préciser
des éléments afin d'assurer une meilleure sécurité ou une meilleure interopérabilité.
Vous trouverez un tableau récapitulatif de ces normes en annexe.
Sécurité:
De part les propriétés des ondes radioélectriques, n’importe qui convenablement équipé du
matériel adéquat peut détecter la présence d’un réseau soit en utilisant le logiciel fournit
par le fabricant de la carte ou encore pour plus d’efficacité en utilisant un scanner.
Sans sécurité, toute personne est potentiellement capable de s’introduire dans votre
réseau. Dans certains cas, un hacker peut même se contenter « d’écouter » le trafic sur le
réseau pour collecter des informations, d’où l’absolue nécessité de sécuriser la
transmission des données. Pour cela un certains nombre de normes ont vues le jour, nous
allons vous présenter les principales de manière chronologiques en justifiant leur utilisation.
Aurélien BEAUVOIS | Théophile GURLIAT
WEP
Le WEP (Wired Equivalent Privacy
la 1ère norme 802.11 datant de 1999. Il est chargé du chiffrement des trames 802.11
utilisant l’algorithme symétrique RC4 avec des clés d'une longueur de 64 ou 128 bits. Le
principe du WEP consiste à définir dans un premier temps une clé
Cette clé secrète doit être déclarée au niveau du point d'accès et des clients. La clé sert à
créer un nombre pseudo-aléatoire d'une longueur égale à la longueur de la trame. Celle
est combinée à un vecteur d'initialisation (
chiffrer un message en clair M et sa somme de contrôle (
Value).
Le message chiffré est alors déterminé comme ceci
(Où « || » représente l'opérateur de concaténation e
Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo
comme masque grâce à un « OU Exclusif
La clé de session partagée par toutes les stati
un grand nombre de stations
de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.
De plus, 24 bits de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40
bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits.
Le vecteur d'initialisation (IV) est la clé de voûte de la sécurité du WEP, pour
niveau décent de sécurité et éviter la fuite d'information l'IV doit être incrémenté pour
chaque paquet afin que le paquet suivant soit chiffré avec une clé différente.
Malheureusement pour la sécurité du protocole, l'IV est transmis en clair
Aurélien BEAUVOIS | Théophile GURLIAT
Chiffrement
Wired Equivalent Privacy) est le protocole de chiffrement par défaut
norme 802.11 datant de 1999. Il est chargé du chiffrement des trames 802.11
utilisant l’algorithme symétrique RC4 avec des clés d'une longueur de 64 ou 128 bits. Le
principe du WEP consiste à définir dans un premier temps une clé secrète de 40 ou 128 bits.
Cette clé secrète doit être déclarée au niveau du point d'accès et des clients. La clé sert à
aléatoire d'une longueur égale à la longueur de la trame. Celle
est combinée à un vecteur d'initialisation (Initialisation Vector ou IV) de 24 bits afin de
chiffrer un message en clair M et sa somme de contrôle (checksum) – l'ICV (
Le message chiffré est alors déterminé comme ceci :
représente l'opérateur de concaténation et « + » l'opérateur Ou Exclusif
Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo
OU Exclusif » entre le nombre pseudo aléatoire et la trame.
La clé de session partagée par toutes les stations est statique, c'est-à-dire que pour déployer
un grand nombre de stations Wifi, il est nécessaire de les configurer en utilisant la même clé
de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.
de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40
bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits.
Le vecteur d'initialisation (IV) est la clé de voûte de la sécurité du WEP, pour
niveau décent de sécurité et éviter la fuite d'information l'IV doit être incrémenté pour
chaque paquet afin que le paquet suivant soit chiffré avec une clé différente.
Malheureusement pour la sécurité du protocole, l'IV est transmis en clair
6
) est le protocole de chiffrement par défaut introduit dans
norme 802.11 datant de 1999. Il est chargé du chiffrement des trames 802.11
utilisant l’algorithme symétrique RC4 avec des clés d'une longueur de 64 ou 128 bits. Le
secrète de 40 ou 128 bits.
Cette clé secrète doit être déclarée au niveau du point d'accès et des clients. La clé sert à
aléatoire d'une longueur égale à la longueur de la trame. Celle-ci
) de 24 bits afin de
l'ICV (Integrity Check
Ou Exclusif)
Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo-aléatoire
entre le nombre pseudo aléatoire et la trame.
dire que pour déployer
, il est nécessaire de les configurer en utilisant la même clé
de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.
de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40
bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits.
Le vecteur d'initialisation (IV) est la clé de voûte de la sécurité du WEP, pour maintenir un
niveau décent de sécurité et éviter la fuite d'information l'IV doit être incrémenté pour
chaque paquet afin que le paquet suivant soit chiffré avec une clé différente.
et le standard
Aurélien BEAUVOIS | Théophile GURLIAT
7
802.11 ne rend pas obligatoire l'incrémentation de l'IV laissant cette mesure de sécurité au
bon vouloir de l’équipement sans fil.
Une attaque par brute force peut amener le pirate à trouver la clé de session.
De plus, une faille décelée concernant la génération de la chaîne pseudo-aléatoire rend
possible la découverte de la clé de session en stockant le trafic créé intentionnellement avec
un logiciel approprié. Ainsi une dizaine de minutes suffisent pour capturer assez de trafic, et
il nous aura fallu un peu moins de trois minutes pour casser la clé 128 bits, comme vous
pouvez le voir ci-dessous.
Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données et
ceci pour deux raisons principales :
• L'utilisation d'algorithmes cryptographiques peu développés (RC4) l'a rendu très
vulnérable.
Il suffit de quelques minutes à un éventuel pirate pour casser les clés utilisées et ceci
avec n’importe quel ordinateur grand public.
• L'impossibilité d'authentifier un ordinateur ou un utilisateur qui se connecte au
réseau.
Pour plus d’informations sur le WEP et ses faiblesses : http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_FR.pdf
Aurélien BEAUVOIS | Théophile GURLIAT
8
WPA : VERS LE 802.11i
En janvier 2001, le groupe de travail ‘i’ fut crée à l'IEEE pour améliorer l'authentification et le
chiffrement des données au sein des réseaux 802.11.
WPA (WiFi protected Access) est une solution intermédiaire de sécurisation de réseau WiFi
proposé afin de combler les lacunes du WEP. Contrairement a celui-ci, le WPA n’est pas
qu’une méthode de chiffrement mais inclus également un service d’authentification.
Le WPA est une préversion du protocole 802.11i, reposant sur des protocoles
d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity
Protocol), qui échange de manière dynamique les clés lors de l'utilisation du système. Ce
protocole, associé au vecteur d'initialisation beaucoup plus grand que dans le WEP,
empêche certaines attaques sur WEP aujourd'hui bien connues.
Le protocole TKIP permet la génération aléatoire de clés et offre la possibilité de modifier la
clé de chiffrement plusieurs fois par secondes, pour plus de sécurité (contrairement au
WEP).
Le fonctionnement de WPA repose sur la mise en œuvre d'un serveur d'authentification (la
plupart du temps un serveur RADIUS), permettant d'identifier les utilisateurs sur le réseau et
de définir leurs droits d'accès. Néanmoins, il est possible pour les petits réseaux de mettre
en œuvre une version restreinte du WPA, appelée WPA-PSK, en déployant une même clé de
chiffrement dans l'ensemble des équipements, ce qui évite la mise en place d'un serveur
RADIUS. Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur
prédéfinie. En effet, le WPA permet de saisir une « passphrase » (phrase secrète), traduite
en PSK par un algorithme de hachage.
Bien que cette solution de cryptage soit bien plus forte, elle n’est pas exempte de faille et il
existe comme pour le WEP, une possibilité de « casser » cette solution. En effet, une simple
attaque par dictionnaire hors ligne peut s’avérer fatale pour la version PSK dans le cas ou
une clé trop simple aurait été choisit.
Néanmoins dans le cadre d’un usage privé cette solution se montre très acceptable.
Aurélien BEAUVOIS | Théophile GURLIAT
9
802.11i (WPA2)
Le 802.11i a été ratifié le 24 juin 2004, afin de fournir une solution de sécurisation poussée
des réseaux WiFi, Ce standard reprend la grande majorité des principes et protocoles
apportés par WPA, avec une différence notoire dans le cas du chiffrement : l'intégration de
l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement
WEP et TKIP sont toujours présents. Deux autres méthodes de chiffrement sont aussi
incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP :
- WRAP (Wireless Robust Authenticated Protocol) : s'appuyant sur le mode opératoire OCB
(Offset Codebook) d’AES ;
- CCMP (Counter Mode with CBC MAC Protocol) : s'appuyant sur le mode opératoire CCM
(Counter with CBC-MAC) d’AES ;
Contrairement à WPA, le WPA2 permet de sécuriser aussi bien les réseaux sans fil en mode
infrastructure que les réseaux en mode ad hoc.
Comme pour le WPA, la norme IEEE 802.11i définit deux modes de fonctionnement :
� WPA Personnel : le mode personnel permet de mettre en œuvre une infrastructure
sécurisée basée sur le WPA sans mettre en œuvre de serveur d'authentification.
Le WPA personnel repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-
shared Key, renseignée dans le point d'accès ainsi que dans les postes clients.
� WPA Entreprise : le mode entreprise impose l'utilisation d'une infrastructure
d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification,
généralement un serveur RADIUS (Remote Authentication Dial-in User Service) et d'un
contrôleur réseau (le point d'accès).
Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE en juin 2001,
permettant d'authentifier un utilisateur souhaitant accéder à un réseau (filaire ou non)
grâce à un serveur d'authentification.
Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol), défini par l'IETF,
dont le rôle est de transporter les informations d'identification des utilisateurs.
Aurélien BEAUVOIS | Théophile GURLIAT
10
Authentification
802.1x
La plupart des équipements donnent la possibilité de filtrer les adresses MAC ayant le droit
de s'associer avec le point d'accès. Cette technique est la façon la plus simple pour effectuer
une authentification, mais cette liste doit être reproduite sur chaque point d'accès du
réseau sans fil si l'on désire garder toute la mobilité du réseau. De plus, ce seul mécanisme
d'authentification s'avère souvent inefficace. En effet, il est toujours possible pour un
utilisateur mal intentionné de changer son adresse MAC afin d'usurper l'identité d'un client
valide. L'adresse MAC est censée servir d'identifiant unique au niveau de la couche 2,
cependant tous les systèmes d'exploitation actuels permettent à un utilisateur mal
intentionné de modifier cette donnée très facilement.
La norme 802.11 initiale spécifie deux modes d'authentification : ouvert ou partagé (open
ou shared). L'authentification ouverte signifie l'absence d'authentification et
l'authentification partagée signifie l'utilisation d'un secret partagé, en l'occurrence une clef
WEP dans un mécanisme challenge/réponse. Il est vite apparu que ce mode
d'authentification était très largement insuffisant, induisant même une dégradation du
chiffrement par l'intermédiaire du challenge/réponse donnant de la matière à des attaques
cryptographiques. La solution utilisée par WPA pour fournir une authentification est basée
sur l’utilisation du protocole EAP (Extensible Authentification Protocol).
EAP
Le fonctionnement du protocole EAP repose sur l'utilisation d'un contrôleur d'accès chargé
d'établir ou non l'accès au réseau pour un utilisateur. Le contrôleur d'accès est un simple
garde-barrière servant d'intermédiaire entre l'utilisateur et un serveur d'authentification, il
ne nécessite que très peu de ressources pour fonctionner. Dans le cas d'un réseau sans fil,
c'est le point d'accès qui joue le rôle de contrôleur d'accès. (Appelé NAS, pour Network
Authentification Service)
Le serveur d'authentification permet de valider l'identité de l'utilisateur transmis par le
contrôleur réseau (fonction d’authentification), et de lui renvoyer les droits associés en
fonction des informations d'identification fournies (fonction d’autorisation). De plus, un tel
serveur permet de stocker et de comptabiliser des informations concernant les utilisateurs
afin, par exemple, de pouvoir les facturer à la durée ou au volume (fonction de
comptabilisation)
La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote
Authentication Dial In User Service), mais tout autre service d'authentification peut être
utilisé. Le serveur d’authentification est donc la base de toute la sécurité, c’est pourquoi il
Aurélien BEAUVOIS | Théophile GURLIAT
11
est évident que les recommandations de sécurité portent également sur celui-ci qui devra
être à jour en ce qui concerne les vulnérabilités.
Ainsi, le schéma global suivant récapitule le fonctionnement global d'un réseau sécurisé
avec le standard 802.1x :
C’est le contrôleur d’accès qui gère la session et qui relaye les requêtes entre le serveur
d’authentification et le client. Le dialogue entre le NAS et le serveur d’authentification
nécessite l’existence d’un secret partagé que les deux entités possèdent, et qui permet de
chiffrer et de contrôler l’intégrité des messages transmis par le serveur d’authentification.
EAP réalise donc le lien entre le client et le serveur d’authentification. Il assure
l’authentification du client permet aussi la distribution dynamique des clés de chiffrements :
son rôle est donc essentiel.
Dans le cadre de l'authentification en environnement sans fil basée sur le protocole 802.1X,
différentes variantes d’EAP sont disponibles aujourd'hui :
� Protocole EAP-MD5 (EAP - Message Digest 5)
� protocole LEAP (Lightweight EAP) developpé par Cisco ;
� protocole EAP-TLS (EAP - Transport Layer Security) crée par Microsoft
� protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developpé par Funk
Software et Certicom ;
� protocole PEAP (Protected EAP) developpé par Microsoft, Cisco et RSA Security
Aurélien BEAUVOIS | Théophile GURLIAT
12
Certaines de ces variantes se sont révélées trop faible pour prendre en charge une
authentification de qualité satisfaisante. Ainsi EAP-MD5 et LEAP sont peu à peu abandonnés
car ils sont sujet à des attaques par dictionnaire et des attaques de type homme du milieu
(man-in-the-middle).
EAP-TLS offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un
tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela
signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le
certificat client. Bien qu’EAP-TLS fournisse une excellente sécurité, l'obligation de disposer
d'un certificat client est peut-être sa faiblesse. En effet lorsque l'on dispose d'un grand parc
de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est
pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés.
PEAP ET EAP-TTLS sont très proches. EAP-TTLS est légèrement plus sure que PEAP car il ne
diffuse pas le nom de l’utilisateur en clair, mais il n’est pas présent par défaut sur les
systèmes Microsoft et Cisco.
D'autres mécanismes EAP peuvent être supportés par les clients et les serveurs 802.1X.
Cette certification est une tentative pour faire interopérer les mécanismes EAP les plus
courants. L'échec de la Wifi Alliance à réaliser cette interopérabilité est actuellement un des
problèmes majeurs empêchant le déploiement de solutions 802.1X au sein de réseaux
hétérogènes. La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE
802.11i).
Aurélien BEAUVOIS | Théophile GURLIAT
13
Intégrité
Le standard IEEE 802.11 définit un mécanisme sommaire d'intégrité des trames basé sur le
CRC (Control Redondancy Check). Cette valeur est appelée ICV (Integrity Check Value) et est
de longueur 4 octets. Les propriétés du CRC sont telles que le niveau de sécurité atteint est
très faible. Il est ainsi possible pour un utilisateur mal intentionné de modifier une trame
tout en mettant à jour le CRC afin de créer une trame modifiée valide.
Le standard WPA introduit un mécanisme d'intégrité beaucoup plus robuste appelé MIC
(Message Integrity Check - aussi appelé Michael dans le cadre du WPA et WPA2). Ce champ
a pour longueur 8 octets et permet de se prémunir contre le rejeu (qui consiste à réémettre
une trame interceptée de telle sorte qu'elle soit valide au sens cryptographique).
Le standard WPA2 ou IEEE 802.11i utilise également ce mécanisme d'intégrité.
L'utilisation de MIC est recommandée afin d'obtenir un niveau de sécurité plus élevé que
l'utilisation d'une simple valeur de type CRC, présentant des propriétés cryptographiques
trop faibles pour assurer l'intégrité des trames dans un réseau sans fil.
Vous possédez maintenant les connaissances nécessaires pour comprendre le
fonctionnement d’un matériel réseau sans fil. Nous allons à l’aide du chapitre suivant vous
présenter le produit Cisco Aironet 1300 et développer ses fonctionnalités.
Aurélien BEAUVOIS | Théophile GURLIAT
14
Cisco Aironet
La gamme Cisco Aironet regroupe un ensemble de points
d’accès et ponts destinés à répondre au besoin croissant de
mobilité. Voici un aperçu de ces solutions.
Cisco Aironet 1000
� point d’accès léger double bande (108Mbps), Gestion qualité
de service(QoS), IEEE 802.11a/b/g
Cisco Aironet 1100
� point d’accès évolutif : Gestion QoS, IEEE 802.11g, WCS,
Cisco Aironet 1130 AG � point d’accès double bande autonome ou Lightweight Access
Point Protocol (LWAPP) avec gestion QoS, IEEE 802.11a/b/g
et alimentation par Ethernet (POE)
Cisco Aironet 1200
� point d’accès simple bande autonome ou LWAPP avec
antennes double types pour environnement difficiles
point d’accès QoS, VLAN, 801.1x, POE, IEEE 802.11a/b/g
Cisco Aironet 1230 AG � point d’accès double bande de première génération
autonome ou Lightweight Access Point Protocol (LWAPP),
IEEE 802.11a/b/g
Cisco Aironet 1240 AG � point d’accès / pont large portée, double bande de seconde
génération, autonome ou Lightweight Access Point Protocol
(LWAPP) avec POE.
Cisco Aironet 1500 � point d’accès extérieur idéal pour les couvertures vastes,
spécialisé dans le roaming (WCS)
Aurélien BEAUVOIS | Théophile GURLIAT
15
Cisco Aironet 1300 Les ponts sans fil de la gamme Cisco Aironet 1300 sont conçus
pour créer des liaisons extérieures haut débit de longue portée
entre plusieurs bâtiments et permettent des installations isolées
dans des environnements difficiles.
Les ponts sans fil 802.11g (1) offrent un haut débit (54Mbps) et des performances optimales
pour les connexions de bâtiments qui échangent d'importants volumes de données (jusqu'à
32km grâce a une puissance 100 mW). Ils relient notamment des sites pour lesquels le
câblage est délicat, des étages non contigus, des agences satellites ou des installations de
campus d'entreprise ou scolaires, des réseaux provisoires et des entrepôts.
Ils peuvent être configurés pour des applications point à point ou point à multipoint et
permettent à plusieurs sites de partager une connexion haut débit à Internet unique. Pour
une plus grande souplesse de fonctionnement, les ponts sans fil
peuvent également être configurés comme des points d'accès.
Le pont sans fil Aironet 1300 est fournit avec un injecteur de
puissance qui supporte la connectique d’alimentation 230V et le
raccordement au réseau Ethernet. Cet injecteur est relié à la borne
via deux câbles coaxiaux, ce qui permet de placer l’injecteur a
l’intérieur et la borne a l’extérieur d’un bâtiment (jusqu'à 91m).
Une gamme complète d’antenne a été crée pour toutes les applications nécessaires.
La borne peut être configurée grâce au port console, via SSH ou Telnet ou alors grâce à
l’interface web offrant une configuration plus intuitive.
Nous nous intéresserons plus particulièrement à celle-ci, car elle sera utilisée dans la partie
pratique pour permettre une compréhension plus aisée et un fonctionnement plus souple.
1 Vous pouvez retrouver les caractéristiques concernant les débits, portées, protocoles et codages en annexe.
Aurélien BEAUVOIS | Théophile GURLIAT
16
Interface du serveur web
� HOME Résumé des associations, des adresse réseaux et interfaces, et des événements
� EXPRESS SET-UP Configuration rapide : nom d’hôte, adressage IP, mode de fonctionnement
� EXPRESS SECURITY Création rapide d’un SSID avec sécurité et gestion VLAN
� NETWORK MAP Offre une carte du réseau avec les adresses MAC, IP & version de l’IOS
� ASSOCIATION Visualisation des clients associés à la borne
� NETWORK INTERFACES Gestion des interfaces réseaux
� IP Address : permet de configurer l’adresse IP
� Fast-Ethernet : gestion de l’interface Ethernet
� Radio 802.11G : statistiques, test de détections de porteuses & choix du mode de l’interface (point
d’accès, répéteur, pont,…)
� SECURITY Mise en place des techniques de sécurité
� Admin Access : permet la gestion des accès à la console de configuration de la borne
� Encryption Manager : définit tous les paramètres de sécurité par SSID
� SSID Manager : permet de gérer des identifiants de réseaux sans fil (SSID)
� Server Manager : désigne les serveurs d’authentification (RADIUS ou TACAS+)
� AP Authentification : configuration de l’authentification entre points d’accès
� Intrusion Détection : offre la possibilité de détecter des clients non désirables
� Local RADIUS Server : créer une base de données locale pour l’authentification des clients
� Advanced Security : filtrage par adresse MAC, compteurs d’authentification.
� SERVICES Paramétrage des différents outils utilisés par la borne
� Telnet / SSH : gestion de la prise en main a distance de la borne
� Hot Standby : permet la redondance des informations de routage
� CDP : gestion du protocole CDP et configuration des compteurs
� DNS : fixe les serveurs de résolution de noms
� Filters : filtrage par adresse MAC, IP ou Ethertype sur trames Entrantes/Sortantes
� HTTP : gestion du serveur web intégré à la borne
� QoS : définition des priorités du trafic selon les applications
� STEAM : gestion de la qualité de service
� SNMP : permet la gestion administrative de la borne
� SNTP : per met de synchroniser la borne à un serveur de temps (NTP)
� VLAN : permet la création et la gestion des LAN Virtuels
� STP : configure le protocole de détection de boucle
� ARP caching : gestion du cache ARP
� WIRELESS SECURITY Paramétrage de la sécurité sans fil avancée
� SYSTEM SOFTWARE Permet la gestion de la configuration, et de l’IOS
� EVENT LOG Permet le suivi des opérations liées à la borne
Aurélien BEAUVOIS | Théophile GURLIAT
1) Modes de fonctionnements
Les ponts sans fil Cisco Aironet 1300
� Point d’accès (Acces point) Spécialisé dans le déploiement extérieur de par sa forte puissance,
1300 peut fonctionner comme un
Le Cisco Aironet 1300 est certifié point d’accès Wifi.
Il est compatible avec n’importe quel client wifi
� Pont (Bridge)
Le pont Cisco Aironet 1300 supporte
des utilisations mobile, temporaire ou permanente.
La borne peut cumuler les fonctions de point d’accès et de liaison de type pont
simultanément.
Compatible avec les séries Aironet 1300 et les série
� Pont groupe de travail ( WorkGroup Bridge)
Le mode pont groupe de travail permet de connecter rapidement un appareil utilisant
Ethernet à un réseau sans fil. La borne
Aironet ou un pont Cisco
En utilisant un switch ou un hub, il devient possible de raccorder jusqu'à 255 appareils à un
autre point d’accès ou pont via la borne
Le choix du mode s’effectue via le menu
Aurélien BEAUVOIS | Théophile GURLIAT
Fonctionnalités
fonctionnements Les ponts sans fil Cisco Aironet 1300 proposent plusieurs modes de fonctionnement
Point d’accès (Acces point)
Spécialisé dans le déploiement extérieur de par sa forte puissance, le pont sans fil Cisco
1300 peut fonctionner comme un point d’accès. Il peut également être utilisé en
Cisco Aironet 1300 est certifié point d’accès Wifi.
ompatible avec n’importe quel client wifi et avec les clients Cisco Aironet .
Le pont Cisco Aironet 1300 supporte les connexions point a point et point a multipoints pour
des utilisations mobile, temporaire ou permanente.
La borne peut cumuler les fonctions de point d’accès et de liaison de type pont
Compatible avec les séries Aironet 1300 et les séries pont sans fils 350
Pont groupe de travail ( WorkGroup Bridge)
Le mode pont groupe de travail permet de connecter rapidement un appareil utilisant
à un réseau sans fil. La borne utilisant ce mode se connecte a un point d’accès
t Cisco tel un client ordinaire.
En utilisant un switch ou un hub, il devient possible de raccorder jusqu'à 255 appareils à un
autre point d’accès ou pont via la borne.
Le choix du mode s’effectue via le menu « NETWORK INTERFACES »
Point d’accès
Pont
Pont sans fil
Mode d’installation (visualisation avec les LEDs) Pont groupe de travail
17
onctionnement :
le pont sans fil Cisco
peut également être utilisé en intérieur.
avec les clients Cisco Aironet .
les connexions point a point et point a multipoints pour
La borne peut cumuler les fonctions de point d’accès et de liaison de type pont
Le mode pont groupe de travail permet de connecter rapidement un appareil utilisant
e mode se connecte a un point d’accès
En utilisant un switch ou un hub, il devient possible de raccorder jusqu'à 255 appareils à un
Point d’accès sans fil
Pont
Pont sans fil + Point d’acces
Mode d’installation (visualisation avec les LEDs)
Pont groupe de travail
Aurélien BEAUVOIS | Théophile GURLIAT
2) Opérations de base Les adresses IP sont également configurables via le menu
La configuration du serveur Web, des accès Telnet/SSH et
Service.
Le menu System software permet la gestion de la configuration et du système
d’exploitation.
Par le menu Association et Event logl’activité de votre appareil.
3) Mise en production
Après avoir déterminé et configuré le mode de fonctionnement, certaines étapes
communes doivent être prises en compte dans la plupart des utilisation
� Création des identifiants de réseau
� Chiffrement des données via le menu
� Désignation du serveur d’authentification
4) Fonctionnalités avancées
La gamme Cisco Aironet 1300 offre des fonctionnalités
Roaming, qui optimise le passage d’un utilisateur d’une
qualité de service (QoS), le filtrage
Il est possible de créer un serveur RADIUS intégré
de l’authentification. Il est également possible d’activer un détecteur d’intrusion pour
prévenir du piratage.
Aurélien BEAUVOIS | Théophile GURLIAT
Les adresses IP sont également configurables via le menu Network InterfacesLa configuration du serveur Web, des accès Telnet/SSH et console s’effectue par le menu
permet la gestion de la configuration et du système
Event log vous pourrez surveiller les associations
Après avoir déterminé et configuré le mode de fonctionnement, certaines étapes
communes doivent être prises en compte dans la plupart des utilisations:
Création des identifiants de réseau sans fil via le menu Security > SSID ManagerChiffrement des données via le menu Security > Encryption Manager
authentification via le menu Security > Server Manager
avancées La gamme Cisco Aironet 1300 offre des fonctionnalités avancées telles que Fast Secure
Roaming, qui optimise le passage d’un utilisateur d’une borne à une autre, ou encore la
, le filtrage et le support des réseaux locaux virtuels (VLAN).
Il est possible de créer un serveur RADIUS intégré à la borne pour une gestion indépendante
Il est également possible d’activer un détecteur d’intrusion pour
18
Interfaces. s’effectue par le menu
permet la gestion de la configuration et du système
vous pourrez surveiller les associations et retracer
Après avoir déterminé et configuré le mode de fonctionnement, certaines étapes
SSID Manager
Server Manager
avancées telles que Fast Secure
borne à une autre, ou encore la
virtuels (VLAN).
la borne pour une gestion indépendante
Il est également possible d’activer un détecteur d’intrusion pour
Aurélien BEAUVOIS | Théophile GURLIAT
19
Authentification
Comprendre et différencier les différents types d’a uthentification �menu « Security : SSID Manager »
L’authentification est devenue une étape inévitable de la sécurité actuelle.
Avant de pouvoir communiquer, les différentes entités doivent s’assurer de l’identité de
leur correspondant. Le point d’accès utilise 4 types d’authentifications différentes.
• Authentification Ouverte : « Open Authentification »
L’authentification ouverte autorise n’importe quelle borne à authentifier et à communiquer
avec n’importe quelle autre borne, mais cela s’avère possible seulement si ses clés de
chiffrements des deux bornes sont identiques. Une borne qui n’utilise pas de clé de
chiffrement ne peut tenter de s’authentifier auprès d’une borne qui en utiliserait.
L’authentification ouverte ne nécessite pas l’utilisation d’un serveur d’authentification.
• Authentification Partagée : « Shared Authentification »
Une authentification partagée est disponible pour répondre aux exigences de la norme IEE
802.11b. Cependant, l’usage de cette technique est déconseillé.
En effet au cours du processus d’authentification partagée, la borne « root » envoie un
challenge non chiffré a une autre borne qui souhaite communiquer avec elle.
Cette dernière chiffre le challenge et le renvoie à la borne « root ». Si le challenge est
correctement chiffré, la borne « root » valide l’authentification. Ces deux échanges pouvant
être interceptés, la clé WEP peut être calculé en comparant le challenge chiffré et non
chiffré. A cause de cela, l’authentification partagée s’avère moins sécurisé que
l’authentification ouverte.
Comme l’authentification ouverte, l’authentification partagée ne requiert pas de serveur
d’authentification.
• Authentification EAP : « Open Authentification : with EAP » ou « Network EAP »
Ce type d’authentification offre le niveau de sécurité le plus élevé. En utilisant EAP avec un
serveur d’authentification, la borne « root » aide d’autres borne et le serveur
d’authentification à effectuer une authentification mutuelle et a générer une paire de clé
WEP dynamique. Le serveur envoi les clés a la borne « root », qui les utilise pour chiffrer et
déchiffrer tous les échanges avec une borne « non root ». La borne « root » chiffre
également aussi ses clés de broadcast WEP (entrées dans le menu encryption) et les
envoient aux bornes « non root ».
Aurélien BEAUVOIS | Théophile GURLIAT
• Authentification CCKM :
CCKM (Cisco Centralized Key Management) est un protocole propriétaire Cisco qui permet
l’authentification de clients mobiles.
En utilisant CCKM, une borne «
sans aucun délai perceptible de réassociation. Une borne «
domaine de services sans fil ou WDS (
clients disponibles sur le sous réseau.
borne non root » utilisant CCKM navigue entre deux bornes «
domaine de service sans fil transmet le certificat a la nouvelle borne «
de réassociation se résume a un échange de deux paquets, tellement rapide que même les
applications a communication vocale ne sont pas perturbés.
Vous trouverez en annexe une comparaison entre CCKM et les standards publiques WPA
Apercu du
Note : le mode « Network EAP
Aurélien BEAUVOIS | Théophile GURLIAT
CCKM (Cisco Centralized Key Management) est un protocole propriétaire Cisco qui permet
l’authentification de clients mobiles.
En utilisant CCKM, une borne « non root » peut naviguer d’une borne « root
sans aucun délai perceptible de réassociation. Une borne « root » ou un switch fournit un
domaine de services sans fil ou WDS (Wireless Domain Services) et crée un cache de tou
clients disponibles sur le sous réseau. Ce cache réduit le temps de réassociation quand une
» utilisant CCKM navigue entre deux bornes « root ». Car le serveur de
domaine de service sans fil transmet le certificat a la nouvelle borne « root
ésume a un échange de deux paquets, tellement rapide que même les
applications a communication vocale ne sont pas perturbés.
une comparaison entre CCKM et les standards publiques WPA
Apercu du menu « Security : SSID Manager »
Network EAP » utilise le protocole LEAP (pour matériel Cisco uniquement)
20
CCKM (Cisco Centralized Key Management) est un protocole propriétaire Cisco qui permet
root » à une autre
» ou un switch fournit un
Wireless Domain Services) et crée un cache de tous les
Ce cache réduit le temps de réassociation quand une
». Car le serveur de
root » et la procédure
ésume a un échange de deux paquets, tellement rapide que même les
une comparaison entre CCKM et les standards publiques WPA.
matériel Cisco uniquement)
Aurélien BEAUVOIS | Théophile GURLIAT
Comprendre et différencier les différents types � Menu « Security : Encryption
• « None » : réseau ouvert, n’importe quel client
• « WEP Encryption » : chiffrement WEP
� Optionnel ou obligatoire
� Option « Message Integrity Check
qui bloque les attaques par rejeux
� Option « Per-Packet Keying
chiffrement, ce qui évite l’utilisation d’une clé WEP Statique. Une bonne alternative
a TKIP si les clients ne supportent pas
Si vous utilisez ce mode, vous pouvez entrez jusqu'à quatres clés WEP dans les slots
définis a cet usage en bas de page, toutes ces clés seront utilisées pour déchiffrées
les données reçues. Cependant, seul une clé servira a chiffré les données envoyés,
vous devez la sélectionner a l’aide du bouton «
• « Cipher » : algorithme de chiffrement
� WEP 128/40 bit : c’est la seule option qui ne nécessite pas WPA ou CCKM
� TKIP « Temporal Key Integrity Protocol
utilise le "key mixing" pour chaque paquet, une vérification de l'intégrité des
messages (MIC) et un mécanisme de mise à jours de la clé (PPK), éliminant ainsi
d'autres problèmes de conception qui affectent WEP.
Aurélien BEAUVOIS | Théophile GURLIAT
Chiffrement Comprendre et différencier les différents types de chiffrement
»
importe quel client peut décoder les données
: chiffrement WEP
obligatoire
Message Integrity Check » (MIC) : vérification de l’intégrité du message
qui bloque les attaques par rejeux de paquets.
Packet Keying » (PPK) : permet une rotation des clés de
chiffrement, ce qui évite l’utilisation d’une clé WEP Statique. Une bonne alternative
ts ne supportent pas ce dernier.
Si vous utilisez ce mode, vous pouvez entrez jusqu'à quatres clés WEP dans les slots
définis a cet usage en bas de page, toutes ces clés seront utilisées pour déchiffrées
les données reçues. Cependant, seul une clé servira a chiffré les données envoyés,
us devez la sélectionner a l’aide du bouton « transmit key ».
: algorithme de chiffrement
: c’est la seule option qui ne nécessite pas WPA ou CCKM
Temporal Key Integrity Protocol » : suites d’algorithmes englobant WEP
utilise le "key mixing" pour chaque paquet, une vérification de l'intégrité des
messages (MIC) et un mécanisme de mise à jours de la clé (PPK), éliminant ainsi
d'autres problèmes de conception qui affectent WEP.
21
de chiffrement
les données qui y transitent.
: vérification de l’intégrité du message
: permet une rotation des clés de
chiffrement, ce qui évite l’utilisation d’une clé WEP Statique. Une bonne alternative
Si vous utilisez ce mode, vous pouvez entrez jusqu'à quatres clés WEP dans les slots
définis a cet usage en bas de page, toutes ces clés seront utilisées pour déchiffrées
les données reçues. Cependant, seul une clé servira a chiffré les données envoyés,
: c’est la seule option qui ne nécessite pas WPA ou CCKM
suites d’algorithmes englobant WEP, il
utilise le "key mixing" pour chaque paquet, une vérification de l'intégrité des
messages (MIC) et un mécanisme de mise à jours de la clé (PPK), éliminant ainsi
Aurélien BEAUVOIS | Théophile GURLIAT
22
� CKIP « Cisco Key Integrity Protocol » : protocole de permutation de clé
propriétaire Cisco
� CMIC « Cisco Message Integrity Check » : protocole de vérification d’intégrité
propriétaire Cisco (détecte les attaques par paquets forgés).
� CKIP+CMIC
� TKIP + WEP 128/40 bit : mode de « migration » à activer avec l’option WPA
optionnel
� AES CCMP « Counter-Mode/CBC-Mac protocol » : méthode de chiffrement
alternative considérée comme plus sûre que TKIP et reposant sur l’algorithme AES,
définie dans le standard IEEE 802.11i : elle est utilisée par WPA2.
� AES CCMP + TKIP : mode « mixte » WPA/WPA2
� AES CCMP + TKIP + WEP 128/40 : mode de « migration » permettant l’utilisation
de matériel de génération WEP tout en garantissant une sécurité accrue pour les
utilisateurs disposant d’un matériel compatible WPA/WPA2.
Rappel : Les algorithmes de chiffrements ou « cipher » sont la base de la sécurité : WEP,
TKIP, AES CCMP en sont des exemples. L’authentification est assurée par EAP. Les
algorithmes de chiffrements associés aux mécanismes d’authentification forment des suites
telles que WPA, WPA2 (802.11i) ou CCKM.
WPA & CCKM : LES OPTIONS COMPATIBLES
Authenticated Key Management Types Compatible Cipher Suites
CCKM • wep128
• wep40
• ckip
• cmic
• ckip-cmic
• tkip
• tkip wep128
• tkip wep40
• aes-ccm
WPA • tkip
• tkip wep128
• tkip wep40
• aes-ccm
• aes-ccm wep128
• aes-ccm wep40
• aes-ccm tkip
• aes-ccm tkip wep128
• aes-ccm tkip wep40
Les pages suivantes regroupent une série de Travaux Pratiques qui vous permettront d’apprendre
à mettre en place des configurations spécifiques à la borne Cisco Aironet 1300.
Aurélien BEAUVOIS | Théophile GURLIAT
23
Mise en place d’une solution Wifi Cisco Aironet 1300
Objectifs :
• Configurer une borne Wifi en point d’accès
• Mettre en place un pont Wifi
• Installer un pont Wifi pour LAN Virtuels
• Adapter le concept des LAN Virtuels sur un point d’accès
• Sécuriser une transmission sans fil (Chiffrement & Authentification)
• Se connecter à un point d’accès avec un terminal
• Déployer un serveur d’authentification RADIUS
Matériel mis à votre disposition :
• Une station de travail PC Windows 2000 équipée d’une carte wifi et d’un émulateur
VmWare avec un Xp Pro préinstallé. Le logiciel HyperTerminal (Hilgraeve) a été installé sur le
W2000. La station Xp Pro émulée sera utilisée si un changement d’adresse est nécessaire.
• Une borne wifi Cisco Aironet 1300 par binôme
• Un Switch Catalyst 2950
• La documentation de la borne
• L’annexe du TP (chiffrement, authentification)
Dans ce TP, vous devrez vous associer avec un autre binôme proche de vous pour effectuer les
différentes configurations demandées.
La borne dispose d’un serveur web intégré qui permet de configurer celle-ci de manière graphique.
Pour plus d’efficacité nous utiliserons cette interface. Pour accéder à celle-ci, vous utiliserez un
navigateur web, cependant pour cela, vous devrez toujours connaître l’adresse IP de la borne !
Une solution simple pour établir la configuration de départ et déterminer l’adresse de la borne
requière l’utilisation d’un câble console et d’un HyperTerminal.
Aurélien BEAUVOIS | Théophile GURLIAT
24
1. Configuration d’un point d’accès sans fil
Pré-requis :
� Branchez la borne sur le secteur pour l’alimenter et au port COM de votre pc via un câble console.
Utilisez l’HyperTerminal pour activer le mode privilégié (mot de passe : Cisco) et veuillez réinitialiser
votre borne en effaçant la configuration de démarrage pour éviter qu’une ancienne configuration ne
vienne perturber votre TP, puis relancez celle-ci.
� Avec l’HyperTerminal, passez en mode privilégié et vérifiez que votre version de d’IOS qui doit se
terminer par « …123-11.JA »
� Fixez l’adresse de la borne sur l’interface BVI 1 à 10.0.0.1/8.
(L’interface Fast-Ethernet n’est pas celle à utiliser !)
� Entrez la configuration IP suivante sur votre Windows XP :
o IP : 10.0.0.2
o Masque : 255.0.0.0
o Passerelle : Ø
� Connectez votre port Ethernet à celui de la borne via un câble droit.
Prise en main de l’interface web
� Connectez-vous a la borne a l’aide de votre navigateur.
Le nom d’utilisateur est « Admin » et le mot de passe « Cisco ».
� Le menu Express Security permet une mise en place rapide, créez un identifiant de réseau sans fil
(SSID) et diffusez-le (cochez « BroadCast »). Appliquez les changements.
� Allez dans le menu Interfaces > Radio0-802.11G > Settings puis activez l’interface .Validez.
Votre borne va agir en point d’accès.
� Dans Express Setup, modifiez la valeur « hostname » avec le nom de votre binôme et activez
l’adressage dynamique pour que la borne utilise des adresses attribuées par le serveur DHCP du
réseau de l’IUT.
Remarque : notez que toutes les modifications effectuées a l’aide de l’interface web doivent être
enregistrées systématiquement a l’aide du bouton « Apply ».
Aurélien BEAUVOIS | Théophile GURLIAT
25
Il n’y a plus d’affichage, expliquez les raisons de cette perte de connectivité:
……………………………………………………………………………………………………………………………………………………………
� Branchez maintenant la borne sur la prise Ethernet de la table.
Retournez dans l’HyperTerminal. Cherchez l’adresse attribuée à la borne par le serveur DHCP
(interface BVI1) et spécifiez la : ………………………………………………………………………..
Grâce à la précédente création de votre point d’accès, vous allez pouvoir vous connecter au réseau
de l’IUT en Wifi. Vous pouvez donc avoir accès a l’interface web de la borne en utilisant
indifféremment le port Ethernet ou le Wifi. Connectez-vous au réseau sans fil créé précédemment
en utilisant la carte sans fil qui équipe votre Windows 2000.
Vous utiliserez l’utilitaire Aironet Desktop Utility qui est disponible sur le bureau. (Fonction scan puis
activate). Notez l’adresse IP de votre carte sans fil : ……………………………
Comment se comporte la borne dans cette configuration en rapport au service DHCP ?
� Essayez de retourner sur l’interface Web de votre borne en utilisant le Wifi et l’adresse notée ci-
dessus. Pouvez-vous configurer votre borne via l’interface Radio ? Cela est il dangereux ?
� Essayez d’accéder au réseau IUT via le réseau Wifi de l’autre groupe.
Sécurité du point d’accès
Sauvegardez la configuration actuelle de votre borne en tant que configuration de démarrage.
Un simple redémarrage permettra alors de restaurer l’état actuel de votre borne.
Votre borne est donc accessible et se présente comme point d’accès, cependant elle n’est pas
sécurisée. Nous allons dans un premier temps mettre en place quelques techniques
conventionnelles de sécurité auxquelles vous avez forcément déjà été confronté.
L’activation de sécurité vous déconnectera si vous configurez votre borne via le Wifi.
Pour éviter cela, connectez votre machine au réseau Ethernet de l’IUT et accédez à l’interface de
configuration de votre borne Cisco Aironet 1300.
� WEP (Wired Equivalent Privacy) est le protocole de chiffrement par défaut, de moins en moins utilisé.
Pour mettre en place un chiffrement WEP static, rendez vous dans Security > Encryption puis
cochez « WEP Encryption (mandatory) » puis dans Encryption Keys, entrez 10 caractères
hexadécimaux pour une clé 40 de bits.
� WPA-PSK (WiFi protected Access Pre Shared Key) : mode « grand public » de la suite d’authentification
et de chiffrement WPA qui repose sur la connaissance d’une clé par utilisateur.
Security > encryption puis dans «cipher » sélectionnez le mode TKIP + WEP 40 bits puis allez
dans le menu SSID Manager (sélectionnez votre SSID) puis dans la rubrique « Client
Authenticated Key Management » sélectionnez « mandatory », cochez « WPA » et entrez votre clé
en ASCII (8 a 63 caractères).
Aurélien BEAUVOIS | Théophile GURLIAT
26
Remarque :
WPA-PSK = TKIP (pré-version 802.11i)
WPA2-PSK = AES CCMP (802.11i)
Pour plus de détails sur les types de chiffrements disponibles, reportez vous à l’annexe. Notez, par
exemple qu’il est essentiel de savoir différencier chiffrement et authentification !
Testez ces procédés de sécurisation et vérifiez leur bon fonctionnement à l’aide de votre carte WiFi.
Nous reviendrons plus tard sur la sécurité des réseaux sans fil.
2. Configuration d’un pont réseau sans fil
Vous allez collaborer avec un autre binôme.
Nous allons commencer par créer un pont qui reliera uniquement vos deux PC.
Avant toute chose déconnectez la borne du réseau IUT, et réinitialisez le complètement via
l’HyperTerminal.
� Définissez le groupe « Root » qui configurera la borne principale et le groupe « Non-Root » qui
configurera la borne secondaire. Définissez ensemble le SSID que vous devrez avoir en commun
et notez-le ici : …………………………………………………
� Adressez votre borne comme l’indique le schéma (HyperTerminal) puis pour la relier à votre PC
(Donnez à votre PC une adresse en 10.0.0.x/8). Vous pouvez de nouveau accéder à l’interface de
configuration de la borne via votre navigateur et la nouvelle adresse de celle ci.
� Dans Security > SSID Manager créez votre SSID et activez l’interface radio. Validez
En bas de page dans « Set Infrastructure SSID », sélectionner votre SSID. Validez
� Dans Network Interfaces > Radio > Settings, sélectionnez « Enable » et
« Root Bridge » ou « Non-Root Bridge » en fonction de votre position. Patientez quelques
secondes.
Dans Association vous devez voir l’autre groupe s’afficher.
Effectuez un Ping depuis votre Pc vers le Pc du groupe distant.
Vous venez d’établir un pont (ou « bridge ») qui permet de relier des sites et distants d’une trentaine
de kilomètres avec l’utilisation d’antenne directive (en champs ouvert).
Aurélien BEAUVOIS | Théophile GURLIAT
27
Nous allons maintenant brancher la borne principale sur le réseau de l’IUT pour créer un pont qui
simulera un raccordement de site distant afin de fournir l’accès internet au groupe Non-Root.
� Mettre les bornes en mode DHCP (Utilisez l’interface Web ou l’HyperTerminal a l’aide de la
commande « IP address DHCP » sur l’interface BVI 1 ).
� Remettre IP automatique sur vos PC
� Branchez la borne Root sur le réseau (câble croisé vers prise de table !)
Grace au serveur DHCP, vos équipements se verront attribués une adresse et le groupe Non-Root
pourra accéder au réseau de l’IUT et a internet via le pont réalisé.
Testez l’accès a internet depuis la station de travail du groupe Non-Root
Vous pouvez sécuriser votre pont avec les mêmes procédés que ceux vu pour le point d’accès.
3. Configuration d’un pont sans fil VLAN
Simulation d’un réseau VLAN :
Pour permettre de créer un environnement VLAN, vous utiliserez un Switch Catalyst 2950.
Port 1 : VLAN 1 : réseau IUT
Port 2 : VLAN 1 : réseau IUT
Port 3 : VLAN 10 : 192.168.0.0 / 24
Port 4 : VLAN 20 : 192.168.0.0 / 24
Port 5 : TRUNK
Les ports 1 & 2 vous serviront pour connecter le réseau du département et votre machine.
Pensez à utiliser la commande « spanning-tree portfast » sur les interfaces si vous utilisez le DHCP
pour désactiver la détection de boucles spanning-tree.
Aurélien BEAUVOIS | Théophile GURLIAT
28
� Connectez vos deux Switch par un lien trunk (pensez à croiser !) et testez l’étanchéité des VLAN en
plaçant vos Pc sur des VLAN identiques puis différents tout en effectuant des Pings.
Configuration de la borne :
La borne AIRONET 1300 peut être utilisé en tant que pont multi vlan (lien « trunk »).
Réinitialisez la borne. Connectez-la sur le port 5 du Switch. Via l’HyperTerminal, appliquez la
commande « ip adress dhcp » sur l’interface bvi 1 de la borne pour obtenir une adresse automatique
que vous déterminerez. Connectez-vous sur l’interface web de celle-ci.
Vous devez d’abord créer chacun des VLAN qui transitera sur le lien.
Allez dans le menu Services > Vlan (Le VLAN 1 est le VLAN natif)
exemple : pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.
Attention: l’activation du mode VLAN peut provoquer un changement d’adresse IP !!
� Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez créer un seul SSID qui
correspondra au lien multi-vlan, ce dernier sera associé au vlan natif.
Ce SSID doit être commun aux deux bornes !
Vous devrez cocher le mode radio 802.11G. Notez que par défaut l’identifiant du réseau sans fil
(SSID) ne sera pas diffusé, cela ne présentant aucun intérêt dans le cas d’une liaison point à point !
Valider la configuration.
Remarque: un identifiant diffusé (« broadcasté ») est visible par tous les clients effectuant une
recherche de points de connexion. A l’inverse, si vous ne diffusez pas le SSID, seules les entités
connaissant l’existence du réseau pourront s’y connecter.
Sur la borne Aironet 1300, la diffusion est possible au travers de l’option « guest mode » ou
mode invité.
Dans la partie inférieure de la page, vous trouverez l’option permettant de diffuser le SSID «Set
Single Guest Mode SSID » et le choix du type de mode.
Nous utiliserons le mode infrastructure associé au VLAN natif, qui indique au « non-root bridge »
avec quel SSID il doit s’associer.
� Dans le menu Interfaces, sélectionnez l’interface « radio », puis « settings ».
Un groupe se placera en mode « root bridge », l’autre en mode « non root bridge ».
Test de connectivité :
Vous allez vérifier le bon fonctionnement de votre configuration a l’aide d’un autre binôme.
Vérifiez dans le menu Association que vos deux bornes sont bien connectés puis placez votre station
de travail sur le port associé au VLAN 10, et donnez lui une adresse IP statique.
Effectuez un Ping sur la machine de votre binôme voisin.
Aurélien BEAUVOIS | Théophile GURLIAT
29
Comme toute liaison WiFi conventionnelle, la liaison multi-vlan peut être sécurisée via différente
méthode d’authentification et de chiffrement. En voici des exemples :
� WEP (statique) : allez dans Security > Encryption manager,
selectionnez « WEP encryption : mandatory ». Entrez la clé (10 ou 26 caractères). � WPA PSK: rendez vous dans Security > Encryption manager, sélectionnez « cipher mode :
AES CCMP + TKIP ». Puis SSID manager, sélectionnez votre SSID, puis Client Authenticated
Key Management choisissez « mandatory » dans « key management » puis cochez WPA et
entrez une clé entre 8 et 63 caractères commune aux deux binômes.
4. Configuration d’un point d’accès Multi Vlan
La borne Cisco Aironet 1300 permet d’intégrer une architecture VLAN au travers d’identifiants de
réseaux sans fil différents (Service Set Identifier ou SSID). Nous allons configurer les bornes de façon
à les faire fonctionner dans un environnement VLAN.
Vous utiliserez la configuration VLAN précédemment mise en place.
Configuration de la borne d’accès :
La borne AIRONET 1300 sera configurée en tant que point d’accès multi-VLAN.
Réinitialisez la borne a l’aide du menu System software > System configuration : « Reset to defaults
(except IP) »
� Vous devez d’abord créer chaque VLAN. Connectez-vous sur la borne et allez dans le menu
Services > Vlan. Le VLAN 1 sera le VLAN natif vers lequel seront redirigés les trames non taguées.
pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.
� Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez créer un SSID pour
chaque VLAN. Aucun chiffrement n’est requis dans un premier temps. Vous devrez cocher le
mode radio 802.11G et penser à diffuser le SSID (cochez « Guest Mode » dans les options propres
au SSID, et non en bas de page comme dans la configuration précédente).
� Pour finir, il suffit d’activer le mode « BSSID Multiple » dans la même page en bas et d’activer
l’interface Radio dans Network Interfaces > Radio 802.11g > Settings.
Test de connectivité :
Vous allez vérifier le bon fonctionnement de votre configuration à l’aide d’un autre binôme.
Vous connecterez une machine en WIFI sur le SSID associé au VLAN1 et une autre sur le port 3 du
Switch. Vérifiez que le service DHCP fonctionne et que vous pouvez accéder à l’autre machine.
Chaque SSID peut être sécurisé de manière différente. (Authentification par adresse MAC, EAP,
chiffrement,…).
Aurélien BEAUVOIS | Théophile GURLIAT
30
5. Authentification
Jusqu'à maintenant, vous avez chiffré les données et utilisé un système de clé pré-partagée (WPA-
PSK) mais vous n’avez pas encore mis en place de système d’authentification.
La solution d’authentification la plus simple repose sur le contrôle de l’adresse MAC.
� Filtrage par adresse MAC : elle permet d’authentifier le client par son adresse physique.
Elle offre une première sécurité dissuasive et simple.
La procédure de mise en place est commune à toutes les configurations :
Security : Advanced security puis ajoutez une adresse mac sous la forme HHHH.HHHH.HHHH
Dans Security : SSID manager choisir « MAC authentification » dans Client Authentication
Settings. (Conserver le mode d’authentification ouvert)
Cependant, cette technique est très facile à détourner.
EAP (Extensible Authentication Protocol) est un mécanisme d'identification universel, fréquemment
utilisé dans les réseaux sans fil et les liaisons Point-A-Point.
En plus de permettre l’authentification, ce procédé offre une gestion dynamique des clés de
chiffrements pour une sécurité optimale (clé unique par client et renouvelable a intervalle régulier).
Pour une sécurité conséquente, les modes « entreprise » des standards WPA et WPA2 ont
officiellement adopté 5 types d’EAP comme mécanismes officiels d’identification :
• EAP-TLS
• EAP-TTLS : MSCHAPv2
• PEAP v0 : EAP-MSCHAPv2
• PEAP v1 : EAP-GTC
• EAP-SIM
Ces solutions reposent sur la mise en place d’un serveur d’authentification (généralement un
serveur RADIUS) qui contrôle l’identité de l’utilisateur et distribue les clés de chiffrement. Plus
aucune clé commune n’est à posséder, un certificat ou un simple couple login/motdepasse suffit à
authentifier le client et à chiffrer la communication. Dans ces configurations, la borne est appelée
« NAS » pour Network Authentification Service et sert uniquement à relayer les messages du client
au serveur.
Pour en savoir plus, reportez vous à l’annexe.
Aurélien BEAUVOIS | Théophile GURLIAT
31
1. Serveur Radius Intégré
La borne Cisco Aironet 1300 intègre un serveur radius qui évite le déploiement d’une entité dédiée.
Votre carte Wifi étant un matériel Cisco, dans un premier temps, nous utiliserons le protocole LEAP
(propriétaire Cisco) pour mettre en place un service d’authentification.
Supprimez tous les vlan et recréez un nouveau SSID.
� LEAP & WEP
Configuration de la borne d’accès :
a) Mise en place de votre serveur RADIUS local :
Security > Local Radius Server > Generals Setup: cochez LEAP. Validez. Entrez l’adresse de votre
borne et un mot de passe. Validez. Créer un utilisateur et un mot de passe associé. Validez
b) Sélection du serveur RADIUS :
Security > Server manager entrez l’adresse IP de votre propre borne et le secret partagé que
vous choisirez avec le port 1812 et 1813. Puis dans « EAP authentification priority »,
sélectionnez le serveur précédemment crée.
c) Choix du chiffrement et du type d’authentification :
Security > Encryption choisir « WEP Encryption : mandatory »
Security > SSID manager dans « Client Authentication Settings » selectionnez « open : with
EAP ». Cochez « Network EAP ».
Test d’authentification :
Utilisez le logiciel Cisco Aironet disponible sous Windows 2000 pour vous connectez a votre borne.
Effectuez un scan, sélectionnez votre SSID et connectez-vous.
Vous utiliserez l’authentification 802.11x associé à LEAP. Dans avancé, vous sélectionnerez
« Manually Prompt for LEAP User name and Password ».
Puis vous decocherez « include Windows Logon Domain with user name ».
� LEAP utilisé par WPA
Configuration de la borne d’accès :
Recommencez l’opération en utilisant WPA, pour cela utilisez « TKIP » dans la rubrique cipher dans
Security > Encryption , puis cochez WPA dans Security > SSID manager après avoir sélectionner
votre SSID.
Test d’authentification :
Modifiez votre ancien profil crée précédemment sous Cisco Aironet , utilisez alors WPA et LEAP pour
vous connectez à votre réseau sans fil.
Aurélien BEAUVOIS | Théophile GURLIAT
32
� LEAP utilisé par WPA2
Vous pourriez configurer votre borne pour utiliser AES CCMP. Mais vous ne pourriez pas l’essayer car
votre carte n’est pas compatible. Cependant, avec un mot de passe suffisamment complexe, cette
combinaison offre une très bonne sécurité.
Application :
Utilisez maintenant votre serveur RADIUS pour mettre en place une authentification LEAP entre
deux bornes dans le cas d’une liaison de type « pont ».
Aide : Une borne sera configurée en « Root bridge» et jouera le rôle de contrôleur d’accès (NAS).Elle
seule dialoguera avec le serveur radius. L’autre borne sera « non-root bridge » et considérée
comme client.
Dans un premier temps, vous laisserez les données circuler sans chiffrement (Security > Encryption :
None) puis vous vérifierez le bon fonctionnement en effectuant des pings via le pont avec les
algorithmes de chiffrement suivants :
• WEP : mandatory avec clé statique (a entrer manuellement !)
• TKIP + WEP 128 bits avec clé statique
• AES CCMP + TKIP + WEP 128 bits avec clé statique
• WPA (rappel : WPA = EAP+TKIP ; pensez à cocher ‘WPA’ dans SSID manager)
• WPA 2 (rappel : WPA = EAP+AES CCMP ; pensez à cocher ‘WPA’ dans SSID manager)
La version entreprise de WPA utilise elle des clés statiques ou dynamiques ? Qui fournit ces clés ?
Quelle est l’avantage de ce type de clé ?
Aurélien BEAUVOIS | Théophile GURLIAT
33
2. Serveur Radius
Nous allons conserver la configuration utilisée dans la partie « LEAP utilisé par WPA » qui utilisait
TKIP comme protocole de chiffrement. (Cependant tous les types de chiffrements pourraient être
utilisés dans cette partie). Vous allez maintenant mettre en place un serveur d’authentification
RADIUS.
Configuration de Free Radius
a) Mise en place de votre serveur RADIUS :
De nombreux serveurs Radius sont disponibles, vous utiliserez FreeRadius qui existe à la fois sous
Windows et sous Unix, et qui est disponibles librement sur http://www.freeradius.net/
Téléchargez et Installez le logiciel sur votre XP PRO virtuel.
Via le menu démarrer / programmes, vous pouvez configurer et lancer le service.
Tout d’abord, éditez le fichier Clients.conf dans lequel vous avez juste à spécifier l’adresse de votre
borne (NAS) ainsi que votre secret partagé sous la forme : secret= votresecretpartagé
Ensuite, dans le fichier Users , vous pouvez spécifiez les utilisateurs et le mot de passe associé sous la
forme : votreUtilisateur User-Password == "MotDePasse"
Votre serveur est configuré ! Remarquez que malgré ses nombreuses options, FreeRadius reste
simple d’utilisation. Lancez le service en mode débogage pour suivre les requêtes.
Configuration de la borne
b) Sélection du serveur RADIUS :
Rendez vous dans le menu Security > server manager et spécifiez l’adresse de votre XP PRO sur
lequel le service Radius est lancé. Entrez le secret partagé et conservez les ports 1812 et 1813.
Validez. Dans la même page, définissez l’adresse IP de votre XP PRO comme serveur prioritaire pour
l’authentification EAP.
c) Choix du chiffrement et du type d’authentification :
Dans le menu Security > SSID manager, sélectionnez votre SSID. Vérifiez que « Open
Authentification : with EAP » et « Network Authentification » sont toujours actif.
Remarque : vous pouvez forcer l’authentification à être renouvelée régulièrement grâce a la fonction
« timers » situé dans le menu Security > Advanced security.
Test d’authentification
Connectez-vous à votre borne en utilisant un profil WPA + LEAP. Surveillez la console de débogage.
Essayez d’autres types d’authentifications à partir de votre client. Des modifications sont elles
nécessaires sur le point d’accès ? Le point d’accès a il un rôle actif ou passif dans l’authentification ?
Aurélien BEAUVOIS | Théophile GURLIAT
34
Les types d’authentification :
Malgré tous les efforts réalisés par Cisco pour imposer son protocole, LEAP est aujourd’hui contesté
et déprécié, tout comme EAP-MD5 qui apparut comme trop vulnérable aux attaques par
dictionnaires. Ces solutions laissent place à d’autres extensions d’EAP telles qu’EAP-TLS, reposant sur
l’utilisation des certificats.
Les certificats permettent d’assurer une meilleure sécurité mais s’avère parfois complexe à mettre
en place à grande échelle. Les deux solutions optimales actuelles pour authentifier simplement et
surement sont EAP-TTLS et PEAP qui créent un tunnel chiffré TLS pour protéger l’authentification.
Toutes deux très proches, elles imposent un certificat uniquement du coté serveur. Cependant, seul
PEAP est présent nativement sur les matériels Cisco et Microsoft.
Tous ces types d’authentification EAP sont compatibles avec Free Radius, le client peut donc avoir le
choix entre plusieurs types d’authentification sans qu’aucune modification ne soit nécessaire.
Remarque : Si vous utilisez l’interface Wifi d’un client Windows XP, il faudra donc que votre serveur
RADIUS prenne en charge PEAP - MSCHAPV2.
Application :
Vous êtes chargé de mettre en place un système VLAN Wifi avec un seul SSID qui fait office de
« portail »pour l’authentification.
En pratique, tous les types d’utilisateurs se connecteront sur le VLAN natif associé au SSID « IUT » et
devront s’identifier (802.11x) grâce a un serveur RADIUS (FreeRadius).
Celui-ci renverra au point d’accès le VLAN d’appartenance du client authentifié et ce dernier se
trouvera alors automatiquement redirigé sur son VLAN.
• Un seul SSID est donc nécessaire.
• Les groupes de travails seront « étudiants » (VLAN10) et « professeurs » (VLAN20).
• Le VLAN 1 sera le VLAN Natif et vous activerez l’option « Enable secure packet forwarding »
sur celui-ci pour empêcher le partage de données entre client lors de la phase
d’authentification sur le VLAN1.
• Vous utiliserez WPA (EAP + TKIP).
Aide pour la configuration de Free Radius (Users) :
toto User-Password == "titi" Tunnel-Type = "VLAN", Tunnel-Medium-Type = "IEEE-802", Tunnel-Private-Group-Id = "VOTREVLAN", //indique le VLAN client
Remarque : les VLAN étant étanches, vous devrez fixer manuellement les adresse de vos clients car le
serveur DHCP de l’IUT ne sera pas accessible. Utilisez des adresses d’une classe différente de celles
utilisées par les bornes.
Aurélien BEAUVOIS | Théophile GURLIAT
35
Conclusion :
Le pont sans fil Cisco Aironet 1300 est donc un matériel haut de gamme idéal pour
réaliser des liaisons de types « pont » longue portée (jusqu'à 32 Km) permettant
d’interconnecter des sites distants ou des unités mobiles en point-a-point ou point-
a-multipoints. Il réalise également un excellent point d’accès a grande portée
extérieure ou intérieur.
L’interface Web intégrée permet une prise en main efficace et une configuration
complète et intuitive. Cet appareil prend en charge de nombreuses fonctionnalités
avancées (qualité de service, Lan Virtuels, roaming) et une sécurité complète
(filtrage, authentification et chiffrement de haut niveau).
La réalisation de cette étude nous a permis de découvrir en détails et de prendre
conscience des sécurités mise en œuvre pour assurer les fonctions de
confidentialité et d’intégrité des données et surtout d’authentification, un aspect
pourtant incontournable de la sécurité que nous avons découvert au travers de la
mise en place d’un serveur RADIUS.
Toute la partie axée autour des LAN Virtuels s’avère confirmer l’importance
croissante de cette technologie au travers de son intégration dans des applications
comme les communications sans fils.
La concrétisation de notre travail en une série de travaux pratiques apporte une
grande satisfaction et nous a permis d’apprendre à synthétiser les connaissances.
Ce fut donc un projet très intéressant et enrichissant puisque vraiment d’actualité
et qui offre des connaissances forcément utile à l’avenir.
Aurélien BEAUVOIS | Théophile GURLIAT
36
Sources :
www.cisco.com
www.wifialliance.com
www.microsoft.com
www.wikipedia.org
www.commentcamarche.net
www.hsc.fr
www.tribecaexpress.com
www.certa.ssi.gouv.fr
www.lsr.imag.fr
www.freeradius.net
www.generation-nt.com
www.laboratoire-microsoft.org
www.enterprisenetworkingplanet.com
Aurélien BEAUVOIS | Théophile GURLIAT
37
ANNEXE : LES NORMES WIFI
Norme Nom Description
802.11a Wifi 5
La norme 802.11a (baptisée Wifi 5) permet d'obtenir un haut débit (dans
un rayon de 10mètres: 54 Mbit/s théoriques, 30 Mbit/s réels). La norme
802.11a spécifie 52 canaux de sous-porteuses radio dans la bande de
fréquences des 5 GHz, huit combinaisons, non superposés sont utilisables
pour le canal principal.
802.11b Wifi
La norme 802.11b est la norme la plus répandue en base installée
actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s
réels) avec une portée pouvant aller jusqu'à 300 mètres dans un
environnement dégagé. La plage de fréquences utilisée est la bande des
2,4 GHz avec, en France, 13 canaux radio disponibles dont 3 au maximum
non superposés.
802.11c Pontage 802.11 vers
802.1d
La norme 802.11c n'a pas d'intérêt pour le grand public. Il s'agit
uniquement d'une modification de la norme 802.1d afin de pouvoir établir
un pont avec les trames 802.11 (niveau liaison de données).
802.11d Internationalisation
La norme 802.11d est un supplément à la norme 802.11 dont le but est de
permettre une utilisation internationale des réseaux locaux 802.11. Elle
consiste à permettre aux différents équipements d'échanger des
informations sur les plages de fréquences et les puissances autorisées
dans le pays d'origine du matériel.
802.11e Amélioration de la
qualité de service
La norme 802.11e vise à donner des possibilités en matière de qualité de
service au niveau de la couche liaison de données. Ainsi, cette norme a
pour but de définir les besoins des différents paquets en terme de bande
passante et de délai de transmission de manière à permettre, notamment,
une meilleure transmission de la voix et de la vidéo.
802.11f Itinérance (roaming)
La norme 802.11f est une recommandation à l'intention des vendeurs de
points d'accès pour une meilleure interopérabilité des produits.
Elle propose le protocole Inter-Access point roaming protocol permettant
à un utilisateur itinérant de changer de point d'accès de façon
transparente lors d'un déplacement, quelles que soient les marques des
points d'accès présentes dans l'infrastructure réseau. Cette possibilité est
appelée itinérance (ou roaming en anglais)
802.11g
La norme 802.11g est la plus répandue dans le commerce actuellement.
Elle offre un haut débit (54 Mbit/s théoriques, 26 Mbit/s réels) sur la
bande de fréquences des 2,4 GHz. La norme 802.11g a une compatibilité
descendante avec la norme 802.11b, ce qui signifie que des matériels
conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cette
aptitude permet aux nouveaux équipements de proposer le 802.11g tout
Aurélien BEAUVOIS | Théophile GURLIAT
38
en restant compatibles avec les réseaux existants qui sont souvent encore
en 802.11b.
Il est possible d'utiliser, au maximum, 3 canaux non superposés.
802.11h
La norme 802.11h vise à rapprocher la norme 802.11 du standard
Européen (Hiperlan 2, d'où le h de 802.11h) et être en conformité avec la
réglementation européenne en matière de fréquences et d'économie
d'énergie.
802.11i
La norme 802.11i a pour but d'améliorer la sécurité des transmissions
(gestion et distribution des clés, chiffrement et authentification). Cette
norme s'appuie sur l'AES (Advanced Encryption Standard) et propose un
chiffrement des communications pour les transmissions utilisant les
technologies 802.11a, 802.11b et 802.11g.
802.11IR La norme 802.11IR a été élaborée de manière à utiliser des signaux infra-
rouges. Cette norme est désormais dépassée techniquement.
802.11j La norme 802.11j est à la réglementation japonaise ce que le 802.11h est à
la réglementation européenne.
802.11n
WWiSE (World-Wide
Spectrum Efficiency) ou
TGn Sync
La norme 802.11n est attendue pour avril 2007. Le débit théorique atteint
les 540 Mbit/s (débit réel de 100 Mbit/s dans un rayon de 90 mètres)
grâce aux technologies MIMO (multiple-input multiple-output) et OFDM
(Orthogonal Frequency Division Multiplexing). En avril 2006, des
périphériques à la norme 802.11n commencent à apparaître mais il s'agit
d'un 802.11 N draft (brouillon) ou plutôt provisoire en attendant la norme
définitive.
Le 802.11n utilisera simultanément les fréquences 2,4 et 5GHz. Il saura
combiner jusqu'a 8 canaux non superposés.
802.11s Réseau Mesh
La norme 802.11s est actuellement en cours d'élaboration. Le débit
théorique atteint aujourd'hui 1 à 2 Mbit/s. Elle vise à implémenter la
mobilité sur les réseaux de type adhoc. Tout point qui reçoit le signal est
capable de le retransmettre. Elle constitue ainsi une toile au dessus du
réseau existant. Un des protocoles utilisé pour mettre en œuvre son
routage est OLSR.
Aurélien BEAUVOIS | Théophile GURLIAT
39
ANNEXE : CARACTERISTIQUES CISCO AIRONET 1300
Caractéristique Pont sans fil de la gamme Cisco Aironet 350
Débits supportés 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 et 54 Mbits/s
Bande de fréquences 2.412 à 2.472 GHz (ETSI et TELEC), 2.412 à 2.462 GHz (FCC)
Support sans fil DSSS (Direct Sequence Spread Spectrum), OFDM (Orthogonal Frequency Division Multiplexing)
Protocole d'accès au support
CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)
Modulation
DSSS : DBPSK à 1 Mbit/s ; DQPSK à 2 Mbits/s ; CCK à 5,5 et 11 Mbits/s OFDM : BPSK à 6 et 9 Mbits/s, QPSK à 12 et 18 Mbits/s, 16-QAM à 24 et 36 Mbits/s, 64-QAM à 48 et 54 Mbits/s
Canaux utilisés Amérique du Nord : 11 ; ETSI : 13 ; Japon : 13
Canaux sans chevauchement
3
Sensibilité de réception
1 Mbits/s : -94 dBm 2 Mbits/s : -91 dBm 5.5 Mbits/s : -89 dBm 11 Mbits/s : -85 dBm 6 Mbits/s : -90 dBm 9 Mbits/s : -89 dBm 12 Mbits/s : -86 dBm 18 Mbits/s : -84 dBm 24 Mbits/s : -81 dBm 36 Mbits/s : -77 dBm 48 Mbits/s : -73 dBm 54 Mbits/s : -72 dBm
Paramètres de puissance en émission disponibles
CCK : 100 mW (20 dBm), 50 mW (17 dBm), 30 mW (15 dBm), 20 mW (13 dBm), 10 mW (10 dBm), 5 mW (7 dBm) OFDM : 30 mW (15 dBm), 20 mW (13 dBm), 10 mW (10 dBm), 5 mW (7 dBm), 1 mW (0 dBm) La puissance maximale varie en fonction des réglementations en vigueur dans chaque pays
Portée (typique, fonction de l'antenne sélectionnée)
0.36 km à 54 Mbps
Homologations Fonctionne sans licence conformément à la recommandation FCC Part 15 et respecte les spécifications d'équipement de Class B ;
Aurélien BEAUVOIS | Théophile GURLIAT
40
conforme aux réglementations DOC ; conforme aux normes ETS 300.328, FTZ 2100 et MPT 1349 ; conforme à la norme UL 2043 (L'utilisation de cet équipement sur un système fonctionnant partiellement ou totalement en extérieur peut nécessiter l'obtention d'une licence pour le système, conformément à la réglementation canadienne.Pour plus de détails, contactez votre agence commerciale Cisco au Canada.)
Conformité SNMP MIB I et MIB II
Antenne Deux connecteurs RP-TNC (antennes en option non fournies avec l'unité)
Longueur de clé de cryptage
128 bits
Sécurité
Cisco Wireless Security Suite, dont: Authentification 802.1X dont LEAP : clés d'encryptions mutuelles et dynamiques par utilisateur et par session Encryption Cisco TKIP; key hashing (per-packet keying) et MIC (Message Integrity Check) AES-ready
Témoins d'état
Quatre témoins sur le panneau avant fournissent des indications sur l'état de l'association, le fonctionnement, les erreurs/avertissements, les mises à niveau du microcode et l'état de la configuration, du réseau/modem et de la radio
Support de la configuration automatique
BOOTP et DHCP
Support de la configuration à distance
Telnet, HTTP, FTP, TFTP, SNMP
Configuration locale Port console directement relié (avec câble série fourni)
Protocole de pont Spanning Tree
Dimensions 20.3 cm x 20.57 cm x 7.87 cm
Poids 1,25 kg
Environnement Température : 30 à 55° C 0 à 100 % (sans condensation)
Boîtier Boîtier métallique (pour l'isolation) ; certifié NEMA 4; IP56; UL2083