Davy Gigan ([email protected])

Le réseau WiFi
au GREYC Université et
au Département Informatique
Davy Gigan ([email protected])
2005-11-18
Sommaire
Les Besoins du Laboratoire et du Département.
Déploiement
Configuration
Évolutions À Suivre
Les besoins
Historiquement : conférence IPv6 en Juin 2003.
Multiplication des portables personnels
Raréfaction des prises réseau
Les intervenants extérieurs
Collaborateurs du laboratoire
Enseignants extérieurs
Les étudiants
Déploiement
Un VLAN particulier pour séparer le réseau WiFi du reste de nos
machines
5 bornes réparties sur 3 étages
Le couloir principal du laboratoire : x2
Salles de cours avec video-projecteur : x2
Salles de libre service : x1
Une partie des bureaux n’est pas encore couverte
Matériel Utilisé
5 bornes WiFi Aironet 1200 (radio MP20B : 802.11/ab
uniquement)
Nous avons changé les radios des bornes pour des MP21G
(802.11/g)
Une des bornes est équipée d’une antenne plus performante
AIR-ANT 2506
moins de problème d’interférences
plus de portée
Les bornes sont alimentées par les commutateurs
Contrôle d’accès / Sécurité
Le réseau WiFi est séparé du reste
Nous le considérons comme « hostile »
Aucun contrôle d’accès pour se connecter au réseau WiFi
Le réseau WiFi ne dispose que de quelques accès vers le réseau
principal
Pas de cryptage (ni WEP ni WPA)
Contrôle d’accès / Sécurité
Toute personne se connectant au réseau WiFi le fait à ses
risques et périls
virii pour certains
attaques diverses et variées pour tous
Le service est fourni sans aucune garantie
Ça marche : tant mieux.
Ça marche pas : on voit si on a le temps.
En pratique nous avons eu peu de soucis jusqu’à présent.
Les bornes
Les bornes ne sont pas accessibles depuis le réseau WiFi
La configuration réseau est fournie par un serveur dhcp
indépendant.
Les noms des machines sont stockées dans une zone DNS
dynamique.
Le mot de passe par défaut a évidemment été changé
Les bornes ont une IP statique
Configuration réseau
2 sous-réseaux privés
1 réseau libre d’accès
1 réseau IPSec avec PSK (peu utilisé)
Distincts des autres réseaux utilisés en filaire
Routage/Filtrage avec un Linux
Réseau libre d’accès
accès aux services mail SSL uniquement.
pops/ imaps / smtps (+AUTH pour ce dernier)
accès par proxy transparent au http
accès direct au proxy (pour le ftp)
ssh vers le monde entier
Requêtes DNS évidemment et ICMP (echo-reply)
Réseau libre d’accès
Accès à certains de nos services
pages web personnelles
Serveur mail (SSL seulement)
ssh vers 1 machine
Accès depuis le réseau vers les machines WiFi
ssh uniquement
Autoriser ssh permet aux utilisateurs avancés de tuneliser tout ce
qu’ils veulent de manière sécurisée
Réseau IPSec
Utilisation d’un secret partagé
(PSK = Pre Shared Key)
Autant de restrictions que pour le réseau libre
Possibilité d’activer des protocoles non sécurisés
Peu de machines
Journalisation des connexions
Toutes les communications sont journalisées dans le réseau
"libre"
Rien n’empêche un utilisateur mal intentionné de se servir du
réseau, mais il devra rentrer dans le bâtiment pour accéder à nos
bornes
Pour IPSec, il y a correspondance entre une PSK et un utilisateur
Problèmes rencontrés
Problème de portée au travers de certains murs du bâtiment.
Déplacement de la borne
Achat d’une antenne supplémentaire
Problème de négociation de canal entre une carte WiFi et une
borne
Blocage de la borne sur un canal particulier.
Problème avec les PDA Windows pocket (pas de dhcp)
Désactivation de l’option domain-name multiple car non supportée par cet OS.
Évolutions À Suivre
Borne(s) là où on ne capte pas encore
4 bureaux sont hors d’atteinte
Migration à faire vers OpenVPN
Ne plus dépendre des implémentations d’IPSec
Utilisation de certificats+login/passwd LDAP
Sécurisation des accès pour tous à l’aide d’accès login/passwd à
usage unique.
Éventuellement regroupement avec les bornes de l’université
mais nous n’avons pas les mêmes besoins.
Évolutions À Suivre
Services "réclamés" nécessitant un meilleur suivi des connexions
Accès aux imprimantes.
Accès aux données (NFS/Samba)
Mettre IPv6 sur le réseau WiFi
Mobilité
Aucune configuration côté client