 Tout ce que vous avez toujours voulu savoir sur le wireless sans jamais avoir osé le demander…
Accueil > Articles > Matériels
|
|
Auteurs
|
|
 |
|
|
61984
39/155
|
Tout ce que vous avez toujours voulu savoir sur le Wireless
sans jamais avoir osé le demander…
C’est à peu près le titre de cette dernière session de la
journée (18h15-19h30) que j’ai décidé d’aller voir. Je suis allé à cette
session surtout pour voir si je n’avais pas fait trop de bêtises lorsque j’ai
installé mon réseau Wireless chez moi. Cela faisait un moment que j’en avais
envie et j’ai fini par craquer. Il faut dire que c’est tellement pratique de
pouvoir surfer vautré au fond de son canapé ou depuis sa cuisine pour
rechercher les bonnes recettes. Il faut juste penser à le faire avant de se
mettre à cuisiner : les claviers n’apprécient pas vraiment les aliments.
Pour palier à cela, je vous conseille un clavier étanche et fait pour les
conditions extrêmes. On le trouve à 29$ chez CompUSA. Plus d’infos sur ce
magnifique clavier à l’adresse suivante :
http://www.grandtec.com/vik.htm. Je
ne l’ai pas encore testé ; le premier qui le fait est prié d’en faire profiter
les autres !
J’arrête de vous raconter ma vie, continuons sur le sujet
initial. La conférence était intitulée « Deploying IEEE 802.11 using
Microsoft Windows XP & Windows 2000 in the Enterprise ». Le
conférencier, Issam Andoni, consultant chez Microsoft aux US, a un fort accent
du Moyen-Orient. Son anglais est parfaitement compréhensible pour les Français
que nous sommes, reposant et rigolo pour cette fin de journée. Je ne l’avais
encore jamais vu dans le circuit des conférences et j’ai été agréablement
surpris. Les explications étaient claires, synthétiques et précises. Il nous a
d’abord présenté l’ensemble des technos Wireless et sécurité qui y sont liées
puis a présenté ce que nous avons mis en place chez Microsoft. Il était donc en
plein dans le sujet.
Je vais essayer de vous redonner les points principaux de
son intervention et ajouter quelques précisions sur les technologies mais aussi
les points clés du déploiement de notre solution.
Les technos : 802.11, 802.11a, 802.11b, 802.1X,
SSID, WEP, TAGADA…
Le monde Wireless, comme le reste de l’informatique, est
plein d’acronymes incompréhensibles par le commun des mortels. Nous allons donc
les prendre un par un et les expliquer.
Commençons par 802.11 aussi appelé WLAN. Il
s’agit d’un standard de l’IEEE (Institute of Electrical and Electronics
Engineers, Inc.,
http://www.ieee.org). 802.11
définit les couches MAC et physique pour les réseaux locaux sans fils (Wireless
LAN). On compte trois types de codage de l’information dans la couche
physique :
·
Direct Sequence Spread Spectrum (DSSS)
·
Frequency Hopping Spread Spectrum
(FHSS)
·
Orthogonal Frequency Division
Multiplexing (OFDM)
802.11 définit également une couche MAC capable de partager
l’interface air en utilisant un protocole proche de celui qui est utilisé dans
les réseaux Ethernet, mais à la différence d’Ethernet où les collisions sont
détectées, dans 802.11 les collisions sont plutôt évitées. Cette technique est
appelée Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA). En
gros, ce standard définit un moyen d’éviter les collisions en se basant sur des
délais d’attentes aléatoires avant transmission. Le fonctionnement est complexe
et je ne vais pas rentrer dans les détails. Voir l’excellent cours de Farid
Naït à l’adresse
http://citi.insa-lyon.fr/~naf/DEA-MISI-2002-Part2.pdf.
On associe souvent Wireless avec 802.11b. Normal, c’est en
effet la version du standard aujourd’hui finalisée et commercialisée. Il s’agit
du protocole 802.11 fonctionnant sur la bande de fréquence 2.4 GHz avec le
transport DSSS permettant d’obtenir des débits maximum de 11Mb par seconde.
Lorsque le signal est bon (portée d’une trentaine à une cinquantaine de mètres
en fonction des obstacles), le débit est de 11Mb. Dès que l’on s’éloigne de la
borne, pour peu que les obstacles se multiplient, le débit diminue à 6Mb puis
2Mb et enfin 1Mb (portée de 250 mètres environ). Imaginons que nos amis lofteurs
(pour les nurds, l’émission de M6, Loft Story) aient eu accès à des ordinateurs
portables étanches, une seule borne placée au milieu du loft aurait permis de
le couvrir entièrement avec un débit optimal et de l’ordre de 6 ou 2Mb au fond
du jardin. La densité de l’eau étant beaucoup plus importante que celle de
l’air, on peut imaginer que le débit devrait être de 1Mb ou nul au fond de la
piscine. De toute façon, M6 a eu raison de ne pas leur donner d’ordinateurs
portables, les lofteurs ne savent de toute façon pas à quoi cela peut bien
servir…
On entend de plus en plus parler de 802.11a. C’est la même
chose que 802.11b sauf que la bande de fréquence utilisée est dans les 5 GHz
avec le transport OFDM pour atteindre un débit maximum de 54Mb par seconde.
Pour le moment, cette technologie n’est pas répandue.
Et 802.1x, quésaquo ? Ce n’est pas le moyen de parler
de l’ensemble des standards 802.11 mais comme 802.11a et 802.11b, il s’agit
d’un nouveau standard de la famille 802.11 principalement dédié aux bases et
permettant de palier de nombreux problèmes existants. Nous y reviendrons.
Dans un réseaux Wireless, il y a deux types de
composants : les Stations et les Access Points. Les Stations sont les
clients, les ordinateurs portables ou fixes possédant une carte Wireless. Les Access
Points (AP) sont les bornes d’accès. Ces points d’accès permettent de faire le
lien entre les stations et le réseau filaire (pont).
La procédure de mise sur le réseau pour un client est
simple :
1. Recherche initiale d’AP et des autres stations présentes sur le réseau,
2. Choix d’un AP,
3. Association et authentification avec l’AP choisi,
4. Recherche en continu et réassociation si besoin.
Le choix de l’AP se fait en fonction de la force du signal
et du trafic sur la borne. C’est notamment pour cela que même lorsqu’un client
est associé à une borne, il continue de temps à temps à rechercher d’autres
bornes. L’autre intérêt est le Roaming. Le Roaming est la faculté de se
déplacer avec un client d’un AP à une autre. Par exemple, en se déplaçant avec
un ordinateur portable lors d’une conférence comme TechEd on reste connecté au
réseau. Les bornes sont placées un peu partout dans le centre de conférences et
l’on peut se déplacer avec l’ordinateur tout en surfant sur Internet. C’est
bien cela le Roaming. Technologiquement, le Roaming nécessite que les bornes
fassent partie du même sous-réseau. Cela permet de conserver son adresse IP (au
passage, je vous recommande d’utiliser DHCP pour l’allocation des adresses pour
les clients). Si deux bornes se trouvent dans des sous-réseaux différents,
alors au changement de borne, vous aurez un changement d’adresse IP et donc une
perte de vos connexions synchrones.
Le choix de l’AP se fait également à l’aide d’un Service Set
Identifier (SSID). Le SSID permet d’identifier le réseau Wireless auquel vous
vous rattachez. Cela vous permet d’avoir plusieurs réseaux en même temps au
même endroit. L’intérêt peut être d’avoir un réseau public ouvert à tous et un
autre privé et sécurisé.
Deux typologies de réseaux Wireless existent. Le mode Ad-Hoc
et le mode Infrastructure.
Le mode Ad-Hoc est un réseau peer à peer entre plusieurs
clients (au minimum deux). Il permet par exemple, lorsque vous vous trouvez
dans un aéroport et que vous attendez votre avion avec un collègue, de vous
créer un réseau entre vos deux machines. Cela vous permettra de lancer une
partie d’Age of Empires et jouer en réseau. Le SSID s’appelle alors Independent
Basic Service Set (IBSS) et évidemment le réseau ne nécessite pas d’AP.
La seconde partie de cet article vous montrera comment créer
et paramétrer ce type de réseau.
Le mode infrastructure est celui qui comprend au moins une
borne d’accès (AP) et au moins un client. Lorsqu’il n’y a qu’un seul AP, on
parle de Basic Service Set (BSS). Lorsqu’il y a au moins deux bornes, on parle
alors de Extended Service Set (ESS).
Ce second mode est celui que l’on utilise généralement. Nous
verrons dans la seconde partie de l’article comment le créer et le paramétrer.
Parlons maintenant de sécurité. Ce point comprend deux
notions : l’authentification sécurisée et l’échange de données sécurisé.
L’administrateur réseau est intéressé par le premier, l’utilisateur par le
second.
L’authentification en 802.11 est définie par deux
procédés : « Open System » et « Shared Key ». Comme
son nom l’indique, l’Open System est un système d’authentification non sécurisé
car ne nécessite pas un échange de clé. Ce mode n’est donc pas le plus
intéressant pour un administrateur systèmes dans une utilisation en entreprise.
Il est par contre utilisé pour les bornes d’accès publiques comme dans les
conférences.
Le système Shared Key paraît plus intéressant mais
malheureusement le standard 802.11 ne défini absolument pas comment échanger et
gérer ces clés. Le problème dans ce cas est l’échange des clés qui doivent être
connues du client et de la base. L’utilisation de la technologie Wired
Equivalent Privacy est nécessaire (cf paragraphe suivant pour les explicatins
détaillées).
Pour sécuriser un peu l’authentification, il est possible
dans la plupart des bornes d’utiliser le filtrage par adresse MAC. Intéressant
en première approche mais malheureusement pas suffisamment, il est en effet
assez facile de changer son adresse MAC pour se faire passer pour un autre
client.
La faculté à authentifier physiquement de façon fiable un
client est une des premières faiblesses de 802.11.
La sécurisation des données est assurée par le Wired
Equivalent Privacy (WEP). Le WEP a été crée pour les réseau filaires à
l’origine. Il s’agit d’un système utilisant deux clés. La première sert pour
les broadcast et multicast de la base vers les clients, la seconde pour les
communications du client vers la base et de la base vers les clients en unicast.
Le cryptage est malheureusement basé sur le RC4 qui est loin d’être le plus
solide. En WEP, on a la possibilité de crypter à l’aide d’une clé de 64 bits ou
de 128 bits. La clé se compose en fait de 24 bits servant de vecteur
d’initialisation et de la clé proprement dite. Ce qui nous donne au final une
clé à 40 bits et 104 bits. Celle à 40 bits n’apporte que peu de sécurité et je
vous conseille d’utiliser celle à 104 bits.
De même que pour l’authentification, le standard ne permet
pas de gérer les clés de cryptage. Il faut les rentrer à la main sur chaque
poste client. Pas très pratique et du coup moins sécurisé qu’avec un protocole
automatique.
Ce sont sur ces deux points que 802.1X va apporter le plus
d’améliorations avec notamment l’utilisation d’un nouveau protocole le
Extensible Authentication Protocol (EAP). Plus sécurisé et permettant
l’authentification.
Et Windows XP dans tout cela ? Windows XP supporte tout
ce dont nous avons parlé précédemment : 802.11, 802.11a, 802.11b, 802.1X,
en mode Ad-Hoc et Infrastructure, les authentification Open System et Shared
Key et le WEP. Nous n’aurons donc pas de problème de ce côté-là.
Dernier point sur la partie technos, la différence entre
Bluetooth et 802.11. Autant dire tout de suite que ce ne sont pas du tout les
mêmes technologies et qu’elles ne s’adressent pas du tout aux mêmes besoins. En
gros Bluetooth est là pour remplacer les ports infrarouges qui eux-mêmes
remplacent les ports séries. En gros Bluetooth est donc destiné à communiquer
en point à point avec des périphériques avec une portée et un débit limité
(jusqu’à 1Mbps). En aucun cas Bluetooth n’est destiné à créer des réseaux du
même type qu’Ethernet ou WLAN.
Pour résumer, nous avons fait le tour de l’ensemble des
acronymes liés aux réseaux Wireless 802.11. Cela nous donne dans l’ordre
d’apparaissions : 802.11, WLAN, DSSS, FHSS, OFDM, CSMA/CA, 802.11b,
802.11a, 802.1X, AP, SSID, IBSS, BSS, ESS, WEP et enfin EAP. Quant à TAGADA, ce
n’est pas un acronyme utilisé dans le Wireless mais vu le nombre, cela aurait
pu être le cas.
Retrouvez la Deuxième partie de cet article en suivant ce
lien :
|
|
|
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
