WIFI et Scurit

Dcembre 2004 Dcembre 2007

Sommaire
Besoins
Data, Voix, Autres

Point clefs
Architecture Lgre et Bornes Lourdes Couverture et dbit Qualit et continuit de service

Scurit
Encryption Authentification Dtection

Acteurs du march

Administration

Besoins
Voix : Projet Remplacement des IBPX (solution Aastra - Matra)
Remplacement de la Technologie DECT (Tlphone sans fil numrique). 500 tlphones Wifi. Dveloppement de la VoIP ; Objectif : 1500 tlphones IP. Installations de 14 nouveaux IPBX et 7 Callserver.

Data : PPSI : Prescriptions et Plan de Soins Informatiss

En production : 21 services couverts par le Wifi. 350 lits.

Autre :
Monitoring / Tlmtrie Go localisation

Le Futur Rseau (Man) du Chu

Pellegrin Htel Saint Marc

H
1 Giga Xavier Arnozan 1 Giga

H
1 Giga

CMLS Lormont

H
1 Giga

H
1 Giga Haut Lvque

10 Giga

H
1 Giga

Saint Andr

1 Giga

1 Giga

H
1 Giga

Direction Gnrale

Centre Jean Abadie

UCSA
(Maison darrt de Gradignan)

Fibres optiques loues Neuf-Cegetel Inolia (Cub) IRU sur 15 ans 67 km de FO

Points clefs Bornes Lourdes et Architecture Lgre

LAN
Gestion vlans Gestion Wifi Gestion de lenvironnement sans-fil limit. Borne vol est rutilisable, contient la configuration du rseau. Remplacement dune borne ncessite un technicien rseau Gestion Vlans Borne intelligente besoin de configuration borne borne du wifi et des rseaux (vlans, SSID.), transport des vlans jusquaux bornes.

Gestion Wifi

LAN

Intelligence sur le contrleur, configuration centralise, gestion et redondance plus simple. Gestion de lenvironnement sans-fil cohrente. Borne vol non inutilisable. Remplacement dune borne par inter

Conclusion: une architecture de bornes lourdes nest pas envisageable sur un projet denvergure Et la criticit des donnes transportes a renforce notre choix vers les architectures lgres.

Points clefs
Couverture et dbit 802.11a
5GHertz 54 Mbps

802.11 b/g
2,4GHertz 11 / 54 Mbps

Les normes 802.11b et g utilisent la BF 2,4 GHz tant historiquement trs utilise en France elle est soumise a plus dinterfrence. Ces normes noffre que 3 canaux utilisables (recouvrement d au DSSS)

Le 802.11 a utilisant la bande des 5 GHz tend devenir un standard. Utilise la technologie OFDM, il est moins soumis aux interfrences. Il dispose de 8 canaux distincts. Il est encore peut dvelopp sur les terminaux tlphonique, et reprsente un investissement plus important.

Dans notre projet nous avons utilis ces 2 possibilits pour pouvoir dispatcher les rseaux (SSID) sur des Vlans diffrents mais aussi des bande Frquences diffrentes. Nos bornes seront donc A,B/G.

Trouver le juste milieu entre un niveau de scurit acceptable et une facilit de connexion et dadministration.

Points clefs
Dbit et Qualit de service
QOS
Roaming Handover WMM / 802.11e CAPWAP Changement de borne, Dplacement en VOIP norme dfinie espre (QOS client / controller standardis) base retenue LWAPP Cisco
STANDARD PROPRIETAIRE STANDARD

exemple cisco

Radio QoS 802.11e

EDCA Enhanced Distributed Channel Access U-APSD Unscheduled Automatic Power Save Delivery WiFi WMM Label WiFi WMM-PS

+ TSPEC faire le lien entre la QOS sans fil et filaire niveau mac.

Scurit
802.11i : norme prenant en charge le chiffrement TKIP et lAES (Advanced Encryption Standard). WPA2
WEP = obsolte crackable via un client linux : monitor / scan du rseau / outils Airodump (capturer) + Airplay (injecter) + Aircrack (casser)

802.1x :

scuriser le niveau 2 de la connexion, par certificat (mac) et/ou authentification (user) sur un serveur Radius

Mode personnel : gestion de clef partage (PSK) rfrencer sur le contrleur / la borne et le client.

Mode entreprise: par lintermdiaire dune infrastructure 802.1x bas sur un serveur dauthentification..

ok

Scurit
Serveur dAuthentification : RADIUS (exemple free radius Linux) comme en mode filaire, par lintermdiaire du 802.1x sinterface avec les annuaires du site : LDAP, AD. 802.1x initi par lintermdiaire du protocole dauthentification EAP (Extensible Authentication Protocole) Type principaux: EAP-TLS Certificat Clients et Serveur ncessite un systme de gestion de clefs publics PKI. EAP-TTLS Certificat Serveur gestion de clefs plus aises. PEAP Proche TTLS mais standard Cisco et Microsoft

Scurit
IDS :scan et dtection de perturbation ou dattaque sur le Wireless, utilise une base de connaissance qui doit tre jour.

involontaire
attaquant

attaquant SSID ouvert broadcast

malveillance

Scurit
IDS :scan et dtection de perturbation ou dattaque sur le Wireless, utilise une base de connaissance qui doit tre jour.

attaquant

Dtecter Localiser Alerter Verrouiller Bloquer ?

involontaire Dtecter

Localiser Changer la topologie (canal)

(poste)

(signal)

attaquant SSID ouvert broadcast

malveillance

Scurit en rsum
ER 802.11i : nouvelle norme prenant en charge le chiffrement TKIP et lAES (Advanced Encryption Standard). YPT ONNES R Connue sous le nom WPA2 (Wifi Protected Access). D ENC ES
ER L TEG PRO

802.1x : comme en mode filaire, possibilit de scuris le niveau 2 de la connexion, scurisation par certificat, et/ou authentification sur un serveur Radius

Mode personnel : gestion de clef partage (PSK) rfrence sur le contrleur / la borne et le client.
eur) ilisat e / ut hin (mac

IER EAU NTIFER LE RES HE AUT PROTEG bas sur un serveur dauthentification.. Mode entreprise: par lintermdiaire dune infrastructure 802.1x

Scurit en rsum
IDS :scan et dtection de perturbation ou dattaque sur le Wireless, utilise une base de connaissance qui doit tre jour.

attaquant

Dtecter Dtecter Localiser ) ateur utilis / involontaire Alerter R (machine R Localiser LAI CTE
E DET ROTEGER P P

Verrouiller
Ex: conf wifi du poste via GPO

Changer la topologie (canal)

attaquant SSID ouvert broadcast

malveillance

Acteurs du march

Acteurs du march

Acteurs du march

LWAPP retenu comme standard pour CAPWAP (et futur 802.11v)

Solution modulaire (chssis 2800, 3800, 6500) si Infra Cisco existante

Acteurs du march

INTRANET
Internet

Firewall

Firewall statefull : Scurit renforc et gestion applicative Borne nomade : extension du rseau data et voix

Acteurs du march

Edge to Edge : Flux sensibles borne a borne possible (Voip) Borne double attachement possible, look dtecteur de fum

Acteurs du march

AP 1250

AP 124

Prt pour le

(802.11n draft 2)

Les constructeurs ne sont pas d'accord sur les volutions hardware ou non vers la ratification.

MP-432

Administration et supervision
Administration centralise des configuration Visualisation temps rel de la couverture Diagnostique de zone en cas de problme (capture ou autre) Localiser ladresse mac dun client (Borne ou il est connect). Intgrer des plans si possible au format Autocad (mis jour par les services techniques) Fournir un outil simplifier de gestion de compte temporaire pour les Hot spot,

Futur : Attente du standard 802.11v, pour l aussi sortir du

mode mono constructeur.

Remarques

Prvoir la problmatique dalimentation des bornes.

La fourniture du POE (802.11 af) via les Switch ou des patch panel. Une Borne requiert 15w (12w rel). Pour le n, 30 w ncessaire. Diffrence suivant les constructeur.

Prvoir la disponibilit en ports commuts. Si VoIP, voir si la solution fournit des outils de mesure autre que le dbit.
La latence (dlai de transmission) La gigue (jitter) : variance du dlai de transmission Le MOS (Mean Opinion Score) : niveau de qualit sonore.

Gestion de la couverture a prendre en comte. Mme dans le cas darchitecture lgre. Attention au gestion dynamique (recalcul du plan radio = coupure).

Wifi et Sant
Puissance Max par type de dmetteur

Satellite : 1 000 watts Relais de tlvision : 1 000 watts Emetteur radio FM : 1 000 watts Four micro-ondes : 1 000 watts Emetteur Wimax : 200 1 000 watts Antenne-relais GSM : 100 watts Rcepteur Wimax : 20 watts Tlphone portable GSM : 2 watts Routeur Wi-Fi : 0,1 watt