Exemples de solutions d`administration d`un réseau sans fil

Journée sans fil
ENSAM, Paris, 13 octobre 2004
Exemples de solutions
d’administration d’un
réseau sans fil
Sylvie Dupuy (CCR), Catherine Grenet (CNRS/UREC)
IRSF : Infrastructures Réseaux Sans Fil
QoS, Bandwith Management
IPSec, FW, IDS
802.1X
Espace Radio (Rogue AP …)
Modèle de référence OSI-like
A
A
A
Solutions d’administration d’un réseau
sans-fil : critères de choix
? Centralisée ou Répartie :
• « intelligence » dans les PA
• « commutateur wifi », autre …
? Propriétaire :
• support de protocoles normalisés ( WEP dynamique, WPA,
IEEE 802.11x), méthodes d’authentification 802.1X (EAP/TLS,
TTLS, …)
• intégration de PA multi-constructeurs
Critères de choix (suite)
•
Intégration des PA dans l’infrastructure filaire : support des VLAN
•
Supervision de l’espace radio :
- Détection, localisation, neutralisation de Rogue AP
- Détection d’attaques (mac spoofing, DoS …)
•
Supervision du trafic : SNMP
•
Ergonomie, fonctionnalités de la plateforme (matérielle ou logicielle)
pour administrer les AP
•
Evolutivité nouveaux usages (Fast roaming VoWLAN)
•
Performances
Critères de choix (suite)
•
Gestion des profils utilisateurs :
- authentification (annuaire local ou distant , portail ..)
- privilèges d’accès aux ressources ( rôle, access list,
tag de VLAN, SSO ..)
•
Infrastructure de Gestion de Clés
•
Gestion des logs de connexion
« Commutateurs » WiFi
Principe :
– un certain nombre de fonctions habituellement gérées dans
les points d’accès sont déportées sur le commutateur
• association
• chiffrement
• interconnexion avec le réseau filaire
– établissement d’un tunnel (niveau 2 ou 3) entre chaque
point d’accès et le commutateur
Interconnexion physique
Tunnels
Points d’accès
Commutateurs
Ethernet
Commutateur
WiFi
Intégration dans le réseau filaire
Les VLAN sont propagés jusqu’au commutateur et non jusqu’aux
points d’accès
Réseau
sans fil
SSID 1
Réseau
filaire
Commutateur
WiFi
SSID 2
Points d’accès
VLAN 1
SSID 1
VLAN 2
Tunnels
SSID 2
Tag 802.1Q
Gestion de l’espace radio
• Ajustement dynamique de la puissance et du canal
de chaque point d’accès
Ö autocalibration du réseau radio ?
• Détection des interférences
• Détection / neutralisation des points d’accès
sauvages
• Détection des réseaux ad hoc
• Détection d’attaques 802.11 classiques
• Localisation géographique des points d’accès et des
clients
Gestion de l’espace radio
• Les points d’accès peuvent ou non fonctionner
simultanément en mode sonde
• Gestion de la bande passante par utilisateur(s), par
application, par VLAN
• Possibilité d’interdire les communications directes
entre clients
• Equilibrage de charge entre points d’accès adjacents
• Possibilité d’affecter des priorités aux différents flux
• Gestion du handover (VoWLAN)
Authentification et contrôle d’accès
•
•
•
•
•
Portail
802.1X, EAP, TLS, TTLS…
VPN IPsec et SSL
Base interne / externe (LDAP, AD…)
Fonctions de contrôle d’accès + ou - sophistiquées :
– filtrage IP
– pare-feu stateful
– par utilisateur, groupe d’utilisateurs, VLAN
• Système de détection d’intrusion embarqué
Administration et supervision
• Gestion centralisée des points d’accès
– configurations
– mises à jour logicielles
• Détection et configuration automatique des points
d’accès
• Tableau de bord, statistiques (par station, par point
d’accès, globales…)
• Plan de site avec localisation des points d’accès
Exemples de produits
• Airespace : 4024
– ? points d’accès, 13 k€
– point d’accès : 600 €
• Aruba
–
–
–
–
800 : 16 points d’accès, 256 utilisateurs, 14 k€
2400 : 48 points d’accès, 26 k€
5000 : 128 points d’accès, 55 k€
point d’accès : 700 €
• Symbol : WS 5000
– 30 points d’accès, 6300 €
– 6 points d’accès, 1600
– point d’accès : 320 €
Inconvénients
• Solution propriétaire : commutateurs et points
d’accès doivent être du même constructeur
• Possibilité de gérer des points d’accès d’autres
constructeurs avec perte de fonctionnalités
• Un commutateur est limité à la gestion d’un certain
nombre de points d’accès
• Centralisation Öpoint de défaillance unique
Solution centralisée de niveau 3 :
Bluesocket
- AP multi constructeurs
- Passerelle d’interconnexion WLAN/LAN
via tunnels IPSec ou L2TP
- Authentification 802.1X, LDAP, Active Directory, SSO
=> Peut être déployée pour sécuriser l’accés à des
ressources communes au niveau d’un campus en
raison de la problématique d’adressage des
ressources à l’échelle des laboratoires.
Solution répartie : Cisco SWAN
(Structured Wireless Aware Network)
WDS (Wireless Domain System)
- AP « intelligents » (chiffrement, support WDS)
- Appliance WLSE (Wireless Lan Solution Engine) :
administration centralisée des AP (SNMP,ssh)
gestion de l’espace radio (AP et cartes clientes Cisco)
- Catalyst 6500 WLSM (module) :
agrégation des infos SNMP pour le WLSE, mobilité (fastroaming), terminaison de tunnels mGRE
support de 300 AP, 6000 clients, 16 groupes mobilité
+ fonctionnalités en option du catalyst (IDS, …)
- Authentification : Cisco secure ACS (LEAP pour les AP), CCKM
pour Fast Roaming, RADIUS pour les clients