Exemples de solutions d`administration d`un réseau sans fil
Transcription
Exemples de solutions d`administration d`un réseau sans fil
Journée sans fil ENSAM, Paris, 13 octobre 2004 Exemples de solutions d’administration d’un réseau sans fil Sylvie Dupuy (CCR), Catherine Grenet (CNRS/UREC) IRSF : Infrastructures Réseaux Sans Fil QoS, Bandwith Management IPSec, FW, IDS 802.1X Espace Radio (Rogue AP …) Modèle de référence OSI-like A A A Solutions d’administration d’un réseau sans-fil : critères de choix ? Centralisée ou Répartie : • « intelligence » dans les PA • « commutateur wifi », autre … ? Propriétaire : • support de protocoles normalisés ( WEP dynamique, WPA, IEEE 802.11x), méthodes d’authentification 802.1X (EAP/TLS, TTLS, …) • intégration de PA multi-constructeurs Critères de choix (suite) • Intégration des PA dans l’infrastructure filaire : support des VLAN • Supervision de l’espace radio : - Détection, localisation, neutralisation de Rogue AP - Détection d’attaques (mac spoofing, DoS …) • Supervision du trafic : SNMP • Ergonomie, fonctionnalités de la plateforme (matérielle ou logicielle) pour administrer les AP • Evolutivité nouveaux usages (Fast roaming VoWLAN) • Performances Critères de choix (suite) • Gestion des profils utilisateurs : - authentification (annuaire local ou distant , portail ..) - privilèges d’accès aux ressources ( rôle, access list, tag de VLAN, SSO ..) • Infrastructure de Gestion de Clés • Gestion des logs de connexion « Commutateurs » WiFi Principe : – un certain nombre de fonctions habituellement gérées dans les points d’accès sont déportées sur le commutateur • association • chiffrement • interconnexion avec le réseau filaire – établissement d’un tunnel (niveau 2 ou 3) entre chaque point d’accès et le commutateur Interconnexion physique Tunnels Points d’accès Commutateurs Ethernet Commutateur WiFi Intégration dans le réseau filaire Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux points d’accès Réseau sans fil SSID 1 Réseau filaire Commutateur WiFi SSID 2 Points d’accès VLAN 1 SSID 1 VLAN 2 Tunnels SSID 2 Tag 802.1Q Gestion de l’espace radio • Ajustement dynamique de la puissance et du canal de chaque point d’accès Ö autocalibration du réseau radio ? • Détection des interférences • Détection / neutralisation des points d’accès sauvages • Détection des réseaux ad hoc • Détection d’attaques 802.11 classiques • Localisation géographique des points d’accès et des clients Gestion de l’espace radio • Les points d’accès peuvent ou non fonctionner simultanément en mode sonde • Gestion de la bande passante par utilisateur(s), par application, par VLAN • Possibilité d’interdire les communications directes entre clients • Equilibrage de charge entre points d’accès adjacents • Possibilité d’affecter des priorités aux différents flux • Gestion du handover (VoWLAN) Authentification et contrôle d’accès • • • • • Portail 802.1X, EAP, TLS, TTLS… VPN IPsec et SSL Base interne / externe (LDAP, AD…) Fonctions de contrôle d’accès + ou - sophistiquées : – filtrage IP – pare-feu stateful – par utilisateur, groupe d’utilisateurs, VLAN • Système de détection d’intrusion embarqué Administration et supervision • Gestion centralisée des points d’accès – configurations – mises à jour logicielles • Détection et configuration automatique des points d’accès • Tableau de bord, statistiques (par station, par point d’accès, globales…) • Plan de site avec localisation des points d’accès Exemples de produits • Airespace : 4024 – ? points d’accès, 13 k€ – point d’accès : 600 € • Aruba – – – – 800 : 16 points d’accès, 256 utilisateurs, 14 k€ 2400 : 48 points d’accès, 26 k€ 5000 : 128 points d’accès, 55 k€ point d’accès : 700 € • Symbol : WS 5000 – 30 points d’accès, 6300 € – 6 points d’accès, 1600 – point d’accès : 320 € Inconvénients • Solution propriétaire : commutateurs et points d’accès doivent être du même constructeur • Possibilité de gérer des points d’accès d’autres constructeurs avec perte de fonctionnalités • Un commutateur est limité à la gestion d’un certain nombre de points d’accès • Centralisation Öpoint de défaillance unique Solution centralisée de niveau 3 : Bluesocket - AP multi constructeurs - Passerelle d’interconnexion WLAN/LAN via tunnels IPSec ou L2TP - Authentification 802.1X, LDAP, Active Directory, SSO => Peut être déployée pour sécuriser l’accés à des ressources communes au niveau d’un campus en raison de la problématique d’adressage des ressources à l’échelle des laboratoires. Solution répartie : Cisco SWAN (Structured Wireless Aware Network) WDS (Wireless Domain System) - AP « intelligents » (chiffrement, support WDS) - Appliance WLSE (Wireless Lan Solution Engine) : administration centralisée des AP (SNMP,ssh) gestion de l’espace radio (AP et cartes clientes Cisco) - Catalyst 6500 WLSM (module) : agrégation des infos SNMP pour le WLSE, mobilité (fastroaming), terminaison de tunnels mGRE support de 300 AP, 6000 clients, 16 groupes mobilité + fonctionnalités en option du catalyst (IDS, …) - Authentification : Cisco secure ACS (LEAP pour les AP), CCKM pour Fast Roaming, RADIUS pour les clients