Davy Gigan ([email protected])
Transcription
Davy Gigan ([email protected])
Le réseau WiFi au GREYC Université et au Département Informatique Davy Gigan ([email protected]) 2005-11-18 Sommaire Les Besoins du Laboratoire et du Département. Déploiement Configuration Évolutions À Suivre Les besoins Historiquement : conférence IPv6 en Juin 2003. Multiplication des portables personnels Raréfaction des prises réseau Les intervenants extérieurs Collaborateurs du laboratoire Enseignants extérieurs Les étudiants Déploiement Un VLAN particulier pour séparer le réseau WiFi du reste de nos machines 5 bornes réparties sur 3 étages Le couloir principal du laboratoire : x2 Salles de cours avec video-projecteur : x2 Salles de libre service : x1 Une partie des bureaux n’est pas encore couverte Matériel Utilisé 5 bornes WiFi Aironet 1200 (radio MP20B : 802.11/ab uniquement) Nous avons changé les radios des bornes pour des MP21G (802.11/g) Une des bornes est équipée d’une antenne plus performante AIR-ANT 2506 moins de problème d’interférences plus de portée Les bornes sont alimentées par les commutateurs Contrôle d’accès / Sécurité Le réseau WiFi est séparé du reste Nous le considérons comme « hostile » Aucun contrôle d’accès pour se connecter au réseau WiFi Le réseau WiFi ne dispose que de quelques accès vers le réseau principal Pas de cryptage (ni WEP ni WPA) Contrôle d’accès / Sécurité Toute personne se connectant au réseau WiFi le fait à ses risques et périls virii pour certains attaques diverses et variées pour tous Le service est fourni sans aucune garantie Ça marche : tant mieux. Ça marche pas : on voit si on a le temps. En pratique nous avons eu peu de soucis jusqu’à présent. Les bornes Les bornes ne sont pas accessibles depuis le réseau WiFi La configuration réseau est fournie par un serveur dhcp indépendant. Les noms des machines sont stockées dans une zone DNS dynamique. Le mot de passe par défaut a évidemment été changé Les bornes ont une IP statique Configuration réseau 2 sous-réseaux privés 1 réseau libre d’accès 1 réseau IPSec avec PSK (peu utilisé) Distincts des autres réseaux utilisés en filaire Routage/Filtrage avec un Linux Réseau libre d’accès accès aux services mail SSL uniquement. pops/ imaps / smtps (+AUTH pour ce dernier) accès par proxy transparent au http accès direct au proxy (pour le ftp) ssh vers le monde entier Requêtes DNS évidemment et ICMP (echo-reply) Réseau libre d’accès Accès à certains de nos services pages web personnelles Serveur mail (SSL seulement) ssh vers 1 machine Accès depuis le réseau vers les machines WiFi ssh uniquement Autoriser ssh permet aux utilisateurs avancés de tuneliser tout ce qu’ils veulent de manière sécurisée Réseau IPSec Utilisation d’un secret partagé (PSK = Pre Shared Key) Autant de restrictions que pour le réseau libre Possibilité d’activer des protocoles non sécurisés Peu de machines Journalisation des connexions Toutes les communications sont journalisées dans le réseau "libre" Rien n’empêche un utilisateur mal intentionné de se servir du réseau, mais il devra rentrer dans le bâtiment pour accéder à nos bornes Pour IPSec, il y a correspondance entre une PSK et un utilisateur Problèmes rencontrés Problème de portée au travers de certains murs du bâtiment. Déplacement de la borne Achat d’une antenne supplémentaire Problème de négociation de canal entre une carte WiFi et une borne Blocage de la borne sur un canal particulier. Problème avec les PDA Windows pocket (pas de dhcp) Désactivation de l’option domain-name multiple car non supportée par cet OS. Évolutions À Suivre Borne(s) là où on ne capte pas encore 4 bureaux sont hors d’atteinte Migration à faire vers OpenVPN Ne plus dépendre des implémentations d’IPSec Utilisation de certificats+login/passwd LDAP Sécurisation des accès pour tous à l’aide d’accès login/passwd à usage unique. Éventuellement regroupement avec les bornes de l’université mais nous n’avons pas les mêmes besoins. Évolutions À Suivre Services "réclamés" nécessitant un meilleur suivi des connexions Accès aux imprimantes. Accès aux données (NFS/Samba) Mettre IPv6 sur le réseau WiFi Mobilité Aucune configuration côté client