COMMENT DEPLOYER UN LIEN WIFI LONGUE DISTANCE ?

COMMENT DEPLOYER UN LIEN WIFI
LONGUE DISTANCE ?
Table des matières
1) Présentation
1. utilités du Wifi
2. Technologies analogues
1. Bluetooth
2. Wimax
3. Matériels
1. Cartes
2. AP
3. Pigtails
4. Antennes
4. Modes de fonctionnements
1. Infrastructure
2. Ad-hoc
5. La législation
2) Couche Physique
1. Caractéristiques de l'onde WiFi
2. Phénomènes electromagnétiques
1. Atténuation
2. Absorbtion
3. Réfraction
4. Réflexion
5. Diffraction
3) Securisation
1. SSID Broadcast
2. Protection physique
3. Filtrage des adresses MAC
4. Protection par clés
1. Wep
2. Wpa
1. TKIP
2. 802.1x
5. Serveurs d'authentification
6. Les VPN
Les Caractéristiques de l'onde WiFi
Ici, nous n'étudirons que le cas du Wifi respectant la norme 802.11b/g. Nous ne ferons que des
comparaisons au 802.11a (pour rappel, la fréqunce utilisée pour le 802.11a n'est pas la même : 5
Ghz au lieu de la bande des 2.4 Ghz).
Le canal utilisé sera ici le canal 11, choisi pour son indépendance et ses performances avec les
antennes que nous avons choisis (Nous verons ce point plus en détail plus loin).
Tout d'abord la vitesse de cette onde est celle de la lumiere: 299 792 458 m/s
La fréquence du canal 11 est de 2,462Ghz. Nous pouvons ainsi en déduire la longueur d'onde :
lamba = C / F
lamba la longueur d'onde en metres
C la célérité de l'onde en metres par secondes
F la fréquence de l'onde en Hertz
Nous avons donc (oujouts pour le canal 11):
lamba = 299792458 / 2462000000
= 0,121769 m
= 12,18 cm
A longueur d'onde de 12,18cm, notre onde est donc invisible, et le WiFi peut etre dit fonctionant a
hyperfréquence. En 802.11a, la longueur d'onde aurait été de 6cm, elle est aussi invisible.
Cependant, cet onde a une célérité de 299 792 458 m/s dans le vide.
Dans les autres milieux, la vitesse diminue et le signal s'affaiblit du à la reflexion, la réfraction, la
diffraction et l'absorption.
Les phénomènes électromagnétiques
L'attenuation
La lumiere ayant un caractère ondulatoire, on peut comparer celle ci aux onde Wifi. Par analogie a
des phares de voitures, la lumiere ne va pas au bout du monde... Les ondes Wifi non plus et donc la
puissance s'atténue avec la distance. C'est le phenomene de dispertion spatiale. Cette dispertion en
espace libre est calculé en Bels mais plus couramment en déciBels (dB) par la formule de Friis:
Perte = 32,45 + 20 * log (Fréquence) + 20 * log (distance)
Perte en dB, Fréquence en Mhz et distance entre les deux antennes en km. On remarque alors que la
courbe issue de cette formule a une croissance logarythmique:
A 1km la perte par dispertion spatiale atteint -100dB
phénomène d'atténuation
La difference de perte entre un lien a 9km et un lien a 10km (soit 1km de difference) est alors de
1dB. On remarquera alors qu'il est concevable, (mais en ne respectant plus la législation) d'effectuer
un lien a plusieurs dizaines de kilomètres assez facilement pour peu qu'il n'y ai pas d'obstacles.
On peut également noter qu'un lien exploitant la bande des 5Ghz aurait une plus grande perte,
-106dB pour 1km.
L'absorption
Toute onde électromagnétique excite des éléctrons lorsqu'elle en rencontre. C'est le phénomene
utilisé pour le four à micro-onde. Cependant, dans l'air cet éléctron cherchera a se désexciter en
eméttant un rayonnement. Ce rayonnement va alors perturber l'onde et le signal s'en retrouvera
atténué. Il est important de dire que ce phénomene s'accentue avec la fréquences. Un lien à 5Ghz est
donc beaucoup plus sensible a ce phénomene. Pour cette raison, les liaisons radio se font a basse
fréquence.
Le milieu le plus absorbant est l'eau. Quand il pleut, le signal est donc davantage atténué. Ce
phénomene est observable par exemple par ceux qui profitent de la télévision par satellite. Lorsqu'il
pleut, l'image se retrouve détériorée, alors que si vous écoutez la radio, vous ne ressentirez
quasiment aucun changement. Par un exemple concrêt, cela se retrouve : MTV, sur le satellite
Astra, émet sur la fréquence de 11322 Mhz et est ainsi facilement détériorable alors que Nostalgie
émet à 93,7 Mhz et conserve toujours la meme qualité. Cependant l'image de MTV doit en ce cas
traverser les nuages. On pourra bientot donner un exemple plus significatif avec la TNT.
La réfraction
L'une des premières particularités du caractère ondulatoire de la lumière étudiée au lycée est la
réfraction de la lumiere. Ce phénomene s'applique aussi aux ondes des réseaux WiFi. Quand l'onde
change de milieu, la direction de l'onde change également.
Réfraction en fonction des milieux
La réflexion
La seconde propriété est la réflexion de la lumiere. Une onde “rebondit” sur un obstacle mais elle y
laisse un peu d'energie pour etre reflechie. L'angle incident est alors égal a l'angle reflechi par
rapport a la surface de reflexion. L'energie perdue est proportionnelle a la frequence de l'onde. Ce
phénomène est donc peu exploité, (et même évité car a 2,462Ghz, l'obstacle absorberait plus
d'énergie qu'il n'en réfléchirait).
La Diffraction
Il s'agit de zones d'interférences entre l'onde directe d'une source et l'onde dont la direction est
modifiée par un obstacle. Ces deux ondes, de la même source, interfèrent entre elles. Nous avons à
faire à la modification du trajet d'une onde lorsqu'elle passe à proximité d'un obstacle. Par exemple,
dans un milieu homogène, la lumière se propage en ligne droite. Après traversée d'une ouverture,
cette onde plane ne se propage plus selon la même direction. La diffraction, qui existe pour toutes
les ondes électromagnétiques, s'observe dans les cas où les dimensions de l'ouverture sont petites
devant la longueur d'onde
SECURISATION
Il est primordial de penser à l'aspect sécuritaire d'un réseau sans fil. Alors que dans le cas du réseau
filaire, le pirate devait systématiquement accéder physiquement a un cable, le cas du réseau sans fil
est tout autre puisque le pirate peut très bien agir tout en étant à plusieurs centaines de mètres à
l'extérieur...
Ainsi, des dispositifs de sécurité inadaptés mettent en péril le système d'information.
SSID Broadcast
Rappel : le SSID est le « nom » du réseau sans fil. Connaître le nom d'un réseau est indispensable
pour pouvoir s'y connecter.
Le SSID Broadcast, traduisez par « Diffusion du SSID », peut être activé ou non selon l'utilisation
du réseau. Les utilitaires de connexions automatiques à un réseau sans fil comme celui intégré dans
Windows cherchent les réseaux dont la diffusion du SSID est activé puis tente de s'y connecter. En
désactivant le SSID Broadcast, on définit ainsi une première règle de sécurité, puisque le réseau ne
sera plus directement visible par les outils classiques... Seules les personnes ayant connaissance du
SSID pourront accéder au réseau.
Connexion automatique sous windows à un réseau WiFi dont la diffusion du SSID est activée.
Activation / désactivation du SSID Broadcast d'un point d'accès.
Protection physique
Un point auquel on est souvent amené à ne pas penser, c'est assurer physiquement une protection
optimale. En effet, contrairement à un réseau filaire, le WiFi étant un réseau d'onde, il est tout à fait
possible de pirater un tel réseau depuis l'extérieur ! Une peinture spéciale a d'ailleurs été conçue afin
d'éviter que les ondes sortent au delà des murs de l'entreprise. Il peut donc être important de
respecter certaines règles :
–
bien placer les points d'accès (plutôt au centre des bâtiments)
–
s'assurer que personne ne puisse accéder aux point d'accès (un reset effacerai les
paramètres).
–
Contrôler la portée des ondes.
Filtrage par adresse Mac
Nous avons vu plus haut que chaque matériel peut être identifié grâce à son adresse Mac. Et bien il
est possible de se servir de ces adresses afin de définir des règles de sécurité. On peut ainsi
n'autoriser que les postes étant identifiés avec certaines adresses Mac à se connecter. Toutes les
autres tentatives seront vaines.
Configuration du filtrage par adresse Mac.
Cependant, il faut savoir que les adresses Mac, réputées à l'origine pour être inviolables, sont
maintenant modifiables à volonté. Un pirate peut donc usurper une adresse Mac pour s'infiltrer sur
le réseau, mais il lui aura fallu au préalable étudier le réseau afin de déterminer quelles adresses
Mac sont autorisées, chose très facile à réaliser grâce à de simple logiciels comme kismet.
Kismet en action.
Une fois que le pirate s'est attribué l'adresse Mac qu'il souhaitait, il peut aisément intercepter des
données en pratiquant une attaque classique que l'on dénomme par « Man In The Middle ». Le pirate
se fait passer pour le point d'accès, toutes les données envoyées par les postes clients passeront alors
par le poste du pirate.
Protection par clés
WEP : basé sur RC4
Lorsque la protection par une clé WEP ou WEP2 est activée, la clé est alors demandée à toute
personne souhaitant se connecter au réseau. Cette clé sera alors utilisée pour décrypter toutes les
données, transmises après avoir été encryptées. Toujours depuis cette clé, un nombre pseudo
aléatoire (appellé IV, vecteur d'initialisation) est généré d'une longueur égale à celle de la trame
transmise.
Chaque trame de donnée est alors encryptée en réalisant une opération de masquage « OU
exclusif » entre ce nombre pseudo aléatoire et la trame.
Dans le cas du WEP, K est l'application de l'algorithme RC4 à :
–
k, qui est une clé fixe et définie.
–
IV, vecteur d'initialisation variable de 24 bits
Cela donne donc 224 IV possible, les collisions (retour a un IV déjà utilisé) sont donc fréquentes. Sur
un réseau fonctionnant à 11 Mbps, 5 heures maximum suffisent avant une collision.
Il existe de nombreux outils dédiés au cassage de clés WEP. Ces outils commencent tout d'abord par
collecter un certain nombre de trames et d'IV,
WPA (Wi-Fi Protected Access)
Le WPA a vu le jour afin de parer les faiblesses du WEP. Le WPA a de plus été conçu dans
l'optique d'être compatible avec la future norme de sécurité 802.11i. Le WPA est composé de deux
éléments :
TKIP (Temporal Key Integrity Protocol)
Il s'agit d'un protocole qui permet le cryptage et le contrôle d'intégrité des données.
Ce protocole utilise, tout comme le WEP, l'algorithme RC4 avec une clé de 128 bits, par contre l'IV
(vecteur d'initialisation) passe à 48 bits (contre 24 pour le WEP). De plus il y a maintenant une clé
propre à chaque poste (et non une pour tout le réseau comme avec WEP), cette clé est générée et
changée automatiquement de façon périodique.
802.1x :
Ce n'est pas un procédé de cryptage mais un protocole permettant l'authentification utilisé depuis
2001. Ce protocole vise à standardiser un système d'authentification bien défini (aussi bien pour un
réseau filaire que sans fil) et à contrôler ensuite l'accès aux ressources.
Serveurs d'authentification
Une des solution la plus fiable en matière de sécurité afin de restreindre l'accès à un réseau Wifi est
sans aucun doute la mise en place d'un serveur d'authentification, comme Radius. Le déployement
d'une telle solution nécessite 3 parties :
–
Serveur Radius (sous Linux)
–
Base de données des utilisateurs (comme MySQL)
–
Un client Radius (= NAS Radius)
Le serveur Radius reçoit les informations de connexion lorsqu'un client tente de se connecter. Ces
informations sont alors comparées à celles enregistrées dans la base de données. Si les informations
correspondent, le client débloque alors l'accès vers le réseau.
Les VPN
VPN = Virtual Private Network
Le concept du VPN est simple : relier différents réseaux, qui peuvent se situer de part et d'autre du
globe, de manière totalement transparente, comme si les postes de chacun des 2 réseaux
appartenaient à un même réseau dit « privé ».
On parle alors de tunnel VPN. La seule condition pour pouvoir mettre en place un tunnel VPN est
l'existence d'un media commun entre ces 2 réseaux (Internet, WiFi, etc...)
Une fois le tunnel VPN en place, on peut faire appel à différentes techniques de chiffrements afin de
sécuriser le transfert des informations circulant via ce tunnel. (PPTP, pour Point to Point Tunneling
Protocol, développé par Microsoft, L2F, pour Layer To Forward, mis au moins par Cisco, et IPSec,
solution plus complexe à mettre en place mais sans doute la plus efficace : elle sécurise le transfert
des paquets directement au niveau de la couche IP (c'est en fait une extensions de sécurité au
protocole Internet IPv4, extension qui sera requises pour l'IPv6)