Journe sans fil ENSAM, Paris, 13 octobre 2004

Exemples de solutions dadministration dun rseau sans fil

Sylvie Dupuy (CCR), Catherine Grenet (CNRS/UREC)

IRSF : Infrastructures Rseaux Sans Fil

QoS, Bandwith Management IPSec, FW, IDS 802.1X Espace Radio (Rogue AP ) Modle de rfrence OSI-like A A A

Solutions dadministration dun rseau sans-fil : critres de choix

? Centralise ou Rpartie :
intelligence dans les PA commutateur wifi , autre

? Propritaire :
support de protocoles normaliss ( WEP dynamique, WPA, IEEE 802.11x), mthodes dauthentification 802.1X (EAP/TLS, TTLS, ) intgration de PA multi-constructeurs

Critres de choix (suite)

Intgration des PA dans linfrastructure filaire : support des VLAN Supervision de lespace radio : - Dtection, localisation, neutralisation de Rogue AP - Dtection dattaques (mac spoofing, DoS ) Supervision du trafic : SNMP Ergonomie, fonctionnalits de la plateforme (matrielle ou logicielle) pour administrer les AP Evolutivit nouveaux usages (Fast roaming VoWLAN) Performances

Critres de choix (suite)

Gestion des profils utilisateurs : - authentification (annuaire local ou distant , portail ..) - privilges daccs aux ressources ( rle, access list, tag de VLAN, SSO ..)

Infrastructure de Gestion de Cls Gestion des logs de connexion

 Commutateurs WiFi

Principe :
un certain nombre de fonctions habituellement gres dans les points daccs sont dportes sur le commutateur
association chiffrement interconnexion avec le rseau filaire

tablissement dun tunnel (niveau 2 ou 3) entre chaque point daccs et le commutateur

Interconnexion physique

Tunnels

Points daccs

Commutateurs Ethernet

Commutateur WiFi

Intgration dans le rseau filaire

Les VLAN sont propags jusquau commutateur et non jusquaux points daccs
SSID 1 Rseau sans fil Rseau filaire

SSID 2 Points daccs SSID 1

Commutateur WiFi VLAN 1

VLAN 2 Tunnels SSID 2 Tag 802.1Q

Gestion de lespace radio

Ajustement dynamique de la puissance et du canal de chaque point daccs autocalibration du rseau radio ? Dtection des interfrences Dtection / neutralisation des points daccs sauvages Dtection des rseaux ad hoc Dtection dattaques 802.11 classiques Localisation gographique des points daccs et des clients

Gestion de lespace radio

Les points daccs peuvent ou non fonctionner simultanment en mode sonde Gestion de la bande passante par utilisateur(s), par application, par VLAN Possibilit dinterdire les communications directes entre clients Equilibrage de charge entre points daccs adjacents Possibilit daffecter des priorits aux diffrents flux Gestion du handover (VoWLAN)

Authentification et contrle daccs

Portail 802.1X, EAP, TLS, TTLS VPN IPsec et SSL Base interne / externe (LDAP, AD) Fonctions de contrle daccs + ou - sophistiques :
filtrage IP pare-feu stateful par utilisateur, groupe dutilisateurs, VLAN

Systme de dtection dintrusion embarqu

Administration et supervision
Gestion centralise des points daccs
configurations mises jour logicielles

Dtection et configuration automatique des points daccs Tableau de bord, statistiques (par station, par point daccs, globales) Plan de site avec localisation des points daccs

Exemples de produits
Airespace : 4024
? points daccs, 13 k point daccs : 600

Aruba
800 : 16 points daccs, 256 utilisateurs, 14 k 2400 : 48 points daccs, 26 k 5000 : 128 points daccs, 55 k point daccs : 700

Symbol : WS 5000
30 points daccs, 6300 6 points daccs, 1600 point daccs : 320

Inconvnients
Solution propritaire : commutateurs et points daccs doivent tre du mme constructeur Possibilit de grer des points daccs dautres constructeurs avec perte de fonctionnalits Un commutateur est limit la gestion dun certain nombre de points daccs Centralisation point de dfaillance unique

Solution centralise de niveau 3 : Bluesocket

- AP multi constructeurs - Passerelle dinterconnexion WLAN/LAN via tunnels IPSec ou L2TP - Authentification 802.1X, LDAP, Active Directory, SSO => Peut tre dploye pour scuriser laccs des ressources communes au niveau dun campus en raison de la problmatique dadressage des ressources lchelle des laboratoires.

Solution rpartie : Cisco SWAN

(Structured Wireless Aware Network)
WDS (Wireless Domain System) - AP intelligents (chiffrement, support WDS) - Appliance WLSE (Wireless Lan Solution Engine) : administration centralise des AP (SNMP,ssh) gestion de lespace radio (AP et cartes clientes Cisco) - Catalyst 6500 WLSM (module) : agrgation des infos SNMP pour le WLSE, mobilit (fastroaming), terminaison de tunnels mGRE support de 300 AP, 6000 clients, 16 groupes mobilit + fonctionnalits en option du catalyst (IDS, ) - Authentification : Cisco secure ACS (LEAP pour les AP), CCKM pour Fast Roaming, RADIUS pour les clients