Prconisations nomadisme et dploiement de rseaux locaux sans fil

Universits de lacadmie de Grenoble Version 4.02

1/12/2003

Draft

Page 1 sur 29

Nomadisme et Wifi

Universits de Grenoble

1. 2. 3.

Prambule _________________________________________________________ 3 Participants ________________________________________________________ 3 Principes gnraux __________________________________________________ 3

3.1. 3.2. Les bornes sans fil ____________________________________________________ 3 Vulnrabilits_________________________________________________________ 7
Brouillage__________________________________________________________________ 7 ARP Poisoning______________________________________________________________ 7 Le SSID : Service Set Identifier _________________________________________________ 7 Protocole WEP : (Wired Equivalent Privacy) _______________________________________ 8 Filtrage par adresse MAC _____________________________________________________ 8 Solution de type 802.1x/EAP ___________________________________________________ 9 Solution de type 802.11i ______________________________________________________ 9 Solution de type VPN IPSec __________________________________________________ 10 Solution de type SSL ________________________________________________________ 10

3.2.1. 3.2.2.

3.3.

Lidentification/authentification/cryptage __________________________________ 7

3.3.1. 3.3.2. 3.3.3. 3.3.4. 3.3.5. 3.3.6. 3.3.7.

4.

Solution retenue par les tablissements Grenoblois _____________________ 11

4.1. 4.2. 4.3. 4.4. Linfrastructure rseau sans fil : un rseau par Etablissement _______________ 11 Lidentification / authentification : mise en place dune solution base de VPN_ 12 Autres sites _________________________________________________________ 13 Dploiement des serveurs _____________________________________________ 13
Serveurs radius ____________________________________________________________ 13 Serveurs DHCP ____________________________________________________________ 14 Serveurs HTTP et FTP ______________________________________________________ 14 War driving________________________________________________________________ 14 Maintenance du rseau ______________________________________________________ 14 Scurit et VPN ____________________________________________________________ 14

4.4.1. 4.4.2. 4.4.3.

4.5.

Gestion du rseau Wifi ________________________________________________ 14

4.5.1. 4.5.2. 4.5.3.

5.

Les Matriels tests ________________________________________________ 14

5.1. 5.2. 5.3. 5.4. 5.5. Les points daccs ___________________________________________________ 14 Les dispositifs didentification / authentification / cryptage__________________ 15
Les solutions VPN __________________________________________________________ 15

5.2.1.

Les solutions SSL ____________________________________________________ 16 Les solutions de type Firewall __________________________________________ 17 Les commutateurs la norme 802.3af ___________________________________ 17

Preconisations-wifi-v4.doc

Nomadisme et Wifi

Universits de Grenoble

1. PREAMBULE
Nous abordons ici la prise en charge du nomadisme par deux aspects qui sont loin de rpondre une problmatique gnrale. Le document a t fait lorigine par un groupe de travail devant laborer des prconisations. Le document rpond une demande prcise dans un contexte dutilisation donn : il sattache donner un cadre pour le dploiement de rseaux sans fil sur les campus Grenoblois, le but tant galement de limiter tout dploiement sauvage sur les campus. Nous traitons donc de la problmatique des points daccs base de cette dernire technologie et de la problmatique large sur tout ce qui touche la confidentialit savoir : lidentification, lauthentification et le cryptage.

2. PARTICIPANTS
Ce document a t labor partir des travaux effectus par les diffrents tablissements Grenoblois. Les principaux contributeurs sont : Gilles Bruno, Philippe Boucard, Jacques Eudes, Jrme Le Tanou (Grenoble1). Lionel Billiet, Vincent Loupien, Pascal Praly et Stephane Rongiere (Grenoble2). Ramon Alvarez, Henri Naval (Grenoble3). Eric Jullien, Patrick Petit (Cicg). Gilles Berger-Sabbatel (LSR IMAG), Laurent Aublet-Cuveliet (IMAG).

3. PRINCIPES GENERAUX
3.1. Les bornes sans fil

Faisons une synthse rapide des proprits / contraintes / lgislation sur la technologie des rseaux sans fil.

Les normes de transmission

Les normes 802.11 propres aux rseau Ethernet sans fils sont dictes par l'IEEE (Institute of Electrical and Electronics Engineers). Ils autorisent des dbits thoriques maximum de 11 Mbps (802.11b) et 54 Mbps (802.11g valid le 12/06/2003) dans la bande des 2.4Ghz avec des puissances d'mission de 10 100 mw selon les canaux. 802.11a opre dans la bande des 5Ghz avec un dbit jusqu' 54 Mbps.

Preconisations-wifi-v4.doc

Nomadisme et Wifi

Universits de Grenoble

Tableau rcapitulatif des normes de transmission Frquence Bande frquences les dbits 11 Mbits/s thorique 54 Mbits/s thorique 54 Mbits/s thorique Nombre de bandes 13 13 19 de frquences (canaux) Le nombre de 3 3 8 bandes de frquences sans recouvrement Compatibilit Les lois de la radio Dbit plus grand Puissance dmission leve Frquences radio leves = Couverture plus faible = Couverture plus grande, mais dure de vie des batteries plus faible = Meilleur dbit, + sensible aux obstacles => couverture plus faible aucune 802.11 b aucune 802.11 b 2,4Ghz de 2,4-2,4835Ghz 802.11 g 2,4Ghz 2,4-2,4835Ghz 802.11 a 5Ghz 5,150-5,725Ghz

Recommandations Les bornes dployes devront tre compatibles avec les normes 802.11b ou 802.11g. Puissances et frquences (lgislation en vigueur au 5/11/2003) Ainsi, dans tous les dpartements mtropolitains, quil sagisse dusage priv ou public, il est dsormais possible d'utiliser les frquences RLAN dans les conditions donnes dans les tableaux rcapitulatifs sur les puissances autorises pour les rseaux locaux radiolectriques dans la bande 2,4 GHz depuis le 25 juillet 2003.ainsi que dans la bande 5 GHz. Les puissances sont exprimes en PIRE (Puissance Isotrope Rayonne Equivalente).

Preconisations-wifi-v4.doc

Nomadisme et Wifi

Universits de Grenoble

Frquences en MHz 2400

Intrieur

Extrieur

100 mW 2454 2483,5 Frquences en MHz 5150 5250 5350 5470 impossible 5725 DFS : dynamique des frquences Problme de performance Intrieur 200 mW

100 mW

10 mW Extrieur impossible

200 mW avec DFS/TPC ou quivalent impossible ou 100mW avec DFS uniquement

impossible

il faut savoir que, contrairement aux rseaux LAN Ethernet, la dtection des collisions est impossible sur les rseaux sans fil. En effet, pour dtecter une collision, une station doit tre capable de transmettre et dcouter en mme temps. Or, dans les systmes radio, il ne peut y avoir transmission et coute simultanes. Pour grer les collisions, on utilise donc le protocole CSMA/CA qui tente de les viter en imposant l'mission d'un accus de rception systmatique pour chaque paquet de donnes arriv intact. CSMA/CA permet donc de partager laccs aux ondes. Cette mthodologie garantit en outre un traitement galitaire pour tous les terminaux, de sorte que lorsqu'un terminal se connecte un dbit relativement faible, il pnalise tous les autres terminaux. Notons que le protocole CSMA/CA est commun aux trois normes 802.11a, 802.11b et 802.11g, Anomalies de performances des rseaux Wi-Fi : http://drakkar.imag.fr/news/perf.html Recommandations Preconisations-wifi-v4.doc 5

Nomadisme et Wifi

Universits de Grenoble

En ce qui concerne les normes de transmission, les standards 802.11b et 802.11G sont ceux qui rpondent au mieux notre problmatique de dploiement sur un campus comportant des lieux intra et extra-muros. Pour la puissance mise par les bornes, il est prfrable quelle soit rglable et rponde aux normes franaises en vigueur. Voir les recommandations de lART : www.art-telecom.fr Le POE 802.3af Avec le standard 802.3af Power Over Ethernet, les commutateurs devraient dsormais alimenter en lectricit des tlphones IP, des points d'accs (AP) sans fil ou des camras de vidosurveillance, le tout via le cblage cuivre existant catgorie 3, 5, 5e ou 6 sur une distance maximale de 100 m. Les applications sont multiples, comme le fait d'utiliser un seul UPS pour protger les quipements aliments via les commutateurs 802.3af ou de faciliter l'installation des AP sans fil souvent situs dans des endroits peu pratiques d'accs. Apparemment l'lectricit pourrait monter 48 volts et jusqu' 12 watts de puissance... (Le paragraphe ci-dessus provient dun larticle du magazine Rseaux & Tlcoms mis en ligne le 11/04/2003 par Alain COFFRE) Recommandations A terme, le point daccs doit pouvoir tre aliment selon le protocole IEEE 802.3af (Power Over Ethernet). Dans le cas o ltablissement ne dispose pas de commutateurs rpondant cette norme, des dispositifs existent et peuvent tre insrs entre le point daccs et le commutateur pour permettre lalimentation lectrique via la connexion filaire. Remarque : Dans la norme 802.3af, il est propos une fonction de dconnexion (DC) permettant de suspendre lenvoi de courant quand il ny a plus personne en ligne. Apparemment Cisco na pas ratifi cette fonction (dixit F. Hadj lors de sa dernire visite) car ce point a t brevet par un cabinet dassurance pour pouvoir demander des royalties. Cisco invoque cette raison pour proposer sa propre fonction de dconnexion (AC). Celle-ci nest bien entendu pas (encore ?) normalise suivre. Cisco nest donc pas 802.3af, mais les autres constructeurs non plus semble-t-il (cf chapitre sur les quipements ci-dessous) Scurit Recommandations Inclure une fonctionnalit permettant dinterdire les communications entre les clients connects au point daccs (fonction "Public Secure Packet Forwarding" chez Cisco, Fonction "Local Bridge Filter" chez Nortel Networks, "Station to station bridging" chez Extreme Networks). Preconisations-wifi-v4.doc 6

Nomadisme et Wifi

Universits de Grenoble

En complment de cette fonctionnalit, prvoir le mme type de fonction sur les commutateurs concentrant les bornes (private vlan par exemple, toujours chez Cisco).

3.2.

Vulnrabilits

3.2.1. Brouillage
Le 802.11 nintgre pas de mcanisme de gestion des interfrences radio, c'est la raison pour laquelle un signal peut facilement tre brouill par une mission radio ayant une frquence proche de celle utilise dans le rseau sans fil. A lheure actuelle, il est difficile de se prmunir dune attaque de type dni de service laide de dispositifs lectroniques de brouillage. Surtout en sachant quun simple four micro-onde en fonctionnement peut-tre suffisant pour perturber un rseau sans fil.

3.2.2. ARP Poisoning

Le rseau sans fil comme tout rseau Ethernet nest pas insensible aux attaques de type ARP Poisoning . Un document sur les attaques ARP dans le cadre d'un rseau sans fil est disponible sur le lien suivant : http://www.cigitallabs.com/resources/papers/download/arppoison.pdf

3.3.

Lidentification/authentification/cryptage

3.3.1. Le SSID : Service Set Identifier

Pour se connecter un point d'accs il est indispensable de connatre l'identifiant du rseau (SSID). Ainsi il peut tre recommand de modifier le SSID et dinterdire son annonce sur le rseau sans fil. Cependant, il faut savoir que cet identifiant peut facilement tre retrouv par une simple coute et ensuite utilis. Il est donc illusoire de se baser sur le SSID pour limiter laccs un rseau sans fil. Quelques SSID par dfaut des constructeurs : Constructeur Apple Cisco Aironet Agere (Lucent) Linksys Nokia Compaq Cabletron Z-Com Gemtek Preconisations-wifi-v4.doc SSID par dfaut Airport tsunami AirWave linksys Nokia WLAN Compaq RoamAbout ftw-mc-2 defaut 7

Nomadisme et Wifi

Universits de Grenoble

Leichu Lucent Technologies D-Link

WLAN WaveLAN Network default

3.3.2. Protocole WEP : (Wired Equivalent Privacy)

Le 802.11 intgre un protocole de scurit au niveau liaison appel WEP (Wired Equivalent Privacy). Le WEP utilise l'algorithme de chiffrement RC4. La clef rsultante de l'algorithme RC4 est d'une longueur de 64, 128 ou 256 bits, cette suite d'octets est compose d'un Vecteur d'Initialisation (IV) sur 24 bits et d'une clef sur 40, 104 ou 232 bits dpendante de ce vecteur d'initialisation et de la clef WEP initiale. Cette clef permet de gnrer un pseudo ala d'une longueur gale la taille maximale d'une trame. Le chiffrement est effectu par un OU EXCLUSIF (XOR) entre ce pseudo ala et le message transmis dcompos en blocs de longueur identique. Cependant le processus de gnration des clefs dcrit dans le protocole prsente quelques faiblesses : La premire vulnrabilit concerne la faible longueur des clefs, certains quipements ne proposant que clefs de 40 bits. Cette faible longueur de clef facilite une attaque par force brute et permet d'obtenir la clef WEP dans un dlai raisonnable. La seconde faiblesse de ce protocole a t identifie par Fluhrer, Mantin et Shamir. En raison de l'implmentation de l'algorithme de chiffrement RC4, ils ont mis en vidence de larges ensembles de clefs dites faibles . Plusieurs outils disponibles sur Internet permettent d'obtenir le pseudo ala gnr. Afin de contrer cette vulnrabilit, certains composants suppriment ces clefs dites faibles . Dans ce cas une simple analyse statistique suffit dcouvrir le pseudo ala gnr. Cette cl de session partag par toutes les stations est statique, c'est--dire que pour dployer un grand nombre de stations WiFi il est ncessaire de les configurer en utilisant la mme cl de session.

3.3.3. Filtrage par adresse MAC

Le filtrage par adresse MAC ne fait pas partie de la norme 802.11 mais cest une fonction que lon trouve sur la majorit des quipements rseau Ethernet. Voici son principe Chaque dispositif rseau dispose dune adresse physique unique reprsente par 12 chiffres hexadcimaux : ladresse MAC. Par exemple : 00:20:af:88:09:9f On peut donc demander un point daccs de limiter les accs une liste dadresses connues Lourd mettre en uvre si on a beaucoup de points daccs (il faut configurer tout les points daccs) ou si on a beaucoup de clients potentiels (il faut rentrer toutes 8

Preconisations-wifi-v4.doc

Nomadisme et Wifi

Universits de Grenoble

les adresses MAC des clients potentiels). Ce qui en fait une mthode rserve sur des petits rseaux. Comme sur nimporte quel rseau Ethernet ce filtrage trs facile contourner, il suffit pour cela de modifier logiciellement ladresse MAC renvoye par lquipement. o Exemple de changement de ladresse MAC sous linux : Ifconfig eth0 hw ether 00:20:af:88:09:9f o SMAC : MAC Address Modifying Utility for Windows 2000 and XP systems http://www.klcconsulting.net/smac/ Ne rsout pas le problme de la confidentialit des changes.

3.3.4. Solution de type 802.1x/EAP

802.1x : solution permettant didentifier/authentifier un utilisateur avant son accs physique au rseau (rseau de type 802.1 donc ethernet, token-ring, ). EAP : coupl 802.1x, permet dutiliser un serveur dauthentification de type kerberos ou radius pour lidentification/authentification dun utilisateur. Pour plus dinfo, lire :
http://www.urec.cnrs.fr/securite/CNRS/vCARS2003/DOCUMENTS/saccavini.pdf

Avantages et Inconvnients dans notre contexte Authentification avant accs au rseau (mais il faut installer un client 802.1x sur chaque poste), Gnralisable pour tout accs un rseau Ethernet, mais pas gnralisable pour les nomades distants (de type adsl, etc.), Sans fonctionnalit de cryptage des changes utilisateurs, difficile de lutiliser pour une problmatique de type rseaux sans fil.

3.3.5. Solution de type 802.11i

La norme 802.11i a pour but d'amliorer la scurit des transmissions (gestion et distribution des cls, chiffrement et authentification). Cette norme s'appuie sur deux existants intressants : l'AES (Advanced Encryption Standard) qui propose un chiffrement des communications pour les transmissions utilisant les technologies 802.11a, 802.11b et 802.11g. le WPA : une sorte de WEP (Wired Equivalent Privacy) amlior notamment en ce qui concerne lchange des clefs pour lidentification/authentification. Avantages et Inconvnients pour nous Apparemment WPA et AES pourraient tre un couple intressant dans un avenir proche mais pas encore mur pour un dploiement gnralis ds prsent (pas vu doffres compatibles 802.11i sur les bornes). Dautre part, l galement impossible dintgrer les Preconisations-wifi-v4.doc 9

Nomadisme et Wifi

Universits de Grenoble

nomades distants autres que ceux des rseaux sans fil.

3.3.6. Solution de type VPN IPSec

Les solutions de types VPN permettent didentifier/authentifier, daffecter une adresse IP et de crypter les communications. Les botiers VPN peuvent tre coupls un serveur didentification/authentification (kerberos, radius, LDAP et TACACS+). Ils offrent divers formats de cryptage DES, 3DES, AES, CAST, et Blowfish. Suivant le constructeur et les performances du botier, lencryptage peut tre fait sur un nombre de bits plus important. Le protocole IPSec implment dans les botiers VPN offre la possibilit de travailler aussi bien en UDP quen TCP au niveau de la couche transport. Avantages et Inconvnients pour nous Le cryptage et lauthentification ne sont pas faits au niveau des bornes mais un niveau plus lev. Tant que lon nest pas connect sur le botier VPN, dans le cadre dun rseau sans fil on peut circuler librement sur le rseau local sauf si lon sappuie sur deux fonctionnalits propritaires mais existant chez plusieurs fournisseurs (cf matriels tests) : La capacit des bornes empcher tout dialogue entre les diffrents utilisateurs des bornes. La capacit des commutateurs concentrant les bornes empcher galement tout dialogue entre les diffrents rpteurs hertziens. La solution est gnralisable lensemble des clients nomades hors problmatique rseau sans fil. Larchitecture utilise pour la mise en place de ce type de solution est gnrique quelque soit les produits VPN achets par tel ou tel tablissement. Pour avoir la totalit des fonctionnalits offertes par le constructeur il faut associer client et botier VPN du mme constructeur. 3.3.6.1. A completer ! 3.3.6.2. A completer ! Le protocole ESP Le protocole AH

3.3.7. Solution de type SSL

Assez proche dune solution de type VPN, elle permet une authentification et un cryptage des changes entre un client et un botier central. Accessible via un client http standard sur le poste, il est alors possible lutilisateur de bnficier de toute une panoplie de services travers cette connexion scurise (clients telnet/ssh, applicatifs de dports d'affichage ainsi que l'accs des services de fichier FTP, etc). Preconisations-wifi-v4.doc 10

Nomadisme et Wifi

Universits de Grenoble

Avantages et Inconvnients pour nous Aucun tlchargement ni installation pralable de client nest ncessaire. Les fonctions sont disponibles sur le poste ds que lon dispose dun client http. A la diffrence dun client VPN-ipsec, tous les services ne sont pas disponibles. Le gros problme de cette solution cest son arrive trs rcente sur le march donc trs peu mature.

4. SOLUTION RETENUE GRENOBLOIS

4.1.

PAR

LES

ETABLISSEMENTS

Linfrastructure rseau sans fil : un rseau par Etablissement

Chaque tablissement a en charge le dploiement dans ses btiments de son propre rseau sans fil la norme 802.11b et 802.11g. Le CICG a en charge le dploiement dans les espaces communs et lieux de vie. Les rseaux sans fil sont dploys en parallle des rseaux filaires existants. Les commutateurs et fibres utiliss actuellement par les tablissements/entits peuvent tre utiliss pour desservir les bornes, mais dans un (des) VLAN(s) spar(s). Un utilisateur du Campus peut se connecter sur nimporte lequel des rseaux sans fil mis en place par tous les tablissements. Une fois connect, il ne peut cependant rien faire tant quil ne sera pas identifi/authentifi par son tablissement dorigine. Chaque tablissement/entit dispose dune plage dadresses de la classe A prive 10.0.0.0/8 pour ce dploiement : GRENOBLE1 10.1.0.0/16 GRENOBLE2 10.2.0.0/16 GRENOBLE3 10.3.0.0/16 INPG 10.4.0.0/16 CICG 10.5.0.0/16 IMAG 10.6.0.0/16 Chaque tablissement/entit est ainsi libre de crer en interne un ou plusieurs Vlan avec ses adresses prives. Laffectation des adresses se fait de manire dynamique via un serveur dhcp (mis en place dans chaque tablissement). Ainsi tout utilisateur peut librement se connecter sur le campus un rseau sans fil et se voir attribuer une adresse prive quelque soit le lieu et son tablissement dappartenance. Techniquement rien nest mis en uvre au niveau du rseau sans fil pour garantir la scurit des changes (pas de Wep, pas de filtrage par adresse mac, ). En consquence, le/les SSID (Service Set IDentifier) peuvent tre choisis et diffuss librement par chaque tablissement. Seule contrainte, la normalisation des chanes de caractres utilises pour le SSID : U1-* U2-* U3-* Preconisations-wifi-v4.doc 11

Nomadisme et Wifi

Universits de Grenoble

INPG-* CICG-* IMAG-*

4.2. Lidentification / authentification : mise en place dune solution base de VPN

Rien ntant mis en uvre au niveau sans fil pour garantir la scurit, le problme est trait au niveau suprieur via une solution de type VPN (Virtual Private Network) avec comme protocole de tunneling IPSec pur. Chaque rseau sans fil est connect son tablissement dappartenance via un quipement ralisant du filtrage. Une fois lutilisateur connect au rseau priv (il dispose alors dune adresse prive), il ne peut pas sortir de ce rseau qui est entirement filtr hormis pour atteindre les quipements de type concentrateur VPN de chaque tablissement. Ainsi pour atteindre les ressources du rseau, il utilise un client VPN, se connecte son tablissement dorigine qui lidentifie/authentifie. Une fois cette opration ralise, un tunnel crypt est tabli entre son poste de travail et son tablissement dorigine. Chaque tablissement peut ainsi librement dfinir une politique daffectation des droits utilisateurs qui lui convient. Une base radius peut par exemple aider raliser cette opration didentification/authentification des utilisateurs en fonction de profils tels qutudiants, personnels, etc. Pour se faire : Les adresses prives des rseaux sans fil (10.x.y.z) sont routes sur le Campus entre tous les tablissements. Chaque rseau sans fil tablissement est connect un quipement de filtrage qui ne laisse communiquer les adresses prives du rseau sans fil quavec les botiers VPN identifis par chaque tablissement (le Cicg consolidera ce filtrage au niveau de linter-U). Chaque tablissement fourni ladresse publique de son (ses) concentrateur(s) de tunnels VPN pour la mise en place du filtrage. Avantages de la solution Chaque tablissement avance la vitesse qui lui convient sur le dploiement de la solution VPN. Chaque tablissement est libre de choisir sa solution VPN ainsi que sa politique dattribution des droits utilisateurs, (et ce indpendamment de la couverture du rseau sans fil mise en place sur tout le campus). La solution VPN permet didentifier/authentifier non seulement les utilisateurs du rseau sans fil mais galement des ventuels utilisateurs nomades autres. Aucun utilisateur du rseau sans fil ne peut se connecter une quelconque ressource du campus sans avoir t pralablement identifi/authentifi. Schma rcapitulatif Preconisations-wifi-v4.doc 12

Nomadisme et Wifi

Universits de Grenoble

Principe darchitecture Wifi campus

Serveur Radius Concentrateur VPN Routeur Etabliss. 1 Serveur DHCP Routeur Etabliss. 2 Routeur Etabliss. i Filtrage trafic Wifi/VPN Routeur inter-U Vers le reste du monde Concentrateur VPN

Filtrage trafic Wifi/VPN

Filtrage trafic Wifi/VPN

Serveur DHCP

Rseaux Etablissement 1 Rseaux Etablissement i VLAN Wifi Etablissement 1

Wifi

VLAN Wifi Etablissement i

4.3.

Autres sites

Le principe retenu sur le campus est reproductible sur les autres campus universitaires. En fonction des besoins et contraintes de dploiement, plusieurs options techniques sont envisageables : Chaque tablissement dploie une infrastructure locale qui lui est propre (son botier VPN, serveur dhcp, etc). Les tablissements mutualisent les quipements (un botier VPN unique pour plusieurs tablissements, ainsi quun serveur dhcp, ). Un routage dadresses prives est mis en place pour traitement des demandes sur un site distant. En pr requis : bilan (et raffectation ?) des adresses prives utilises sur tous les campus, mais aussi validation du routage des adresses prives sur le rseau mtropolitain avec les autres acteurs (CNRS, etc.) et enfin choix du traitement des requtes dhcp (local, utilisation du dhcp-relay).

4.4.

Dploiement des serveurs

Chaque tablissement est videmment libre de choisir ce quil dsire pour rpondre la demande des services identifis ci-dessous.

4.4.1. Serveurs radius

4.4.1.1. Exemple du CICG Le Cicg utilise actuellement un serveur Radius (freeradius) pour les accs distants. La base utilisateurs comporte actuellement environ 400 comptes. Preconisations-wifi-v4.doc 13

Nomadisme et Wifi

Universits de Grenoble

Dans un premier temps, ce serveur sera celui utilis pour identifier les utilisateurs du CICG.

4.4.2. Serveurs DHCP

4.4.2.1. Exemple du CICG Actuellement est mis en uvre un petit service dhcp directement sur le routeur du Cicg. Ceci nest valable que temporairement mais ds la monte en charge de la demande inter-U (lieux de vie, cafeterias, ), un serveur ddi plus consquent sera dploy (pas encore choisi mais il tiendra compte de lexistant dans les tablissements). Pour ce qui est de sa localisation, il sera install dans la classe dadresse prive ddie au Wifi (cela permet de restreindre au maximum tout paquet ayant le droit de sortir du rseau logique wifi).

4.4.3. Serveurs HTTP et FTP

4.4.3.1. Exemple du CICG Pas encore davis technique sur ce point.

4.5.

Gestion du rseau Wifi

4.5.1. War driving

Prconisations matriel Solution 1 : Logiciel NetStumbler

4.5.2. Maintenance du rseau

Gestion dune cartographie de limplmentation de bornes et des frquences.

4.5.3. Scurit et VPN

A noter un point important : dans le contexte dutilisation dune solution base de VPN comme explicit ci-dessus, il est ncessaire que chaque tablissement permette tout client extrieur de venir se connecter sur le/les botiers VPN. Ce point semble tre un dtail, mais il impose de revoir les filtres sur chaque quipement dentre de tous les tablissements (routeur en gnral) pour permettre un nomade quelconque de se connecter sur le botier VPN de son tablissement dorigine : - Ouverture du filtrage pour les protocoles AH (51) et ESP (50), - Ouverture du filtrage pour les paquets UDP sur le port 500.

5. LES MATERIELS TESTES

5.1. Les points daccs

Preconisations-wifi-v4.doc

14

Nomadisme et Wifi

Universits de Grenoble

Globalement toutes les bornes 802.11b semblent passer les tests de base en utilisation de type hotspot (cf message de jerome le tanou dans la liste ip). Aucun cas rapport de borne ne fonctionnant pas avec telle ou telle carte cliente. Deux bornes ont t utilises pour un congrs sur Grenoble cet t (une de type netgear et une de type Linksys). Aucun test de performance na t ralis mais les bornes ont fonctionn pendant plusieurs jours la grande satisfaction des utilisateurs (Petit test unitaire sur le coin dune table ralis entre une borne linksys 802.11G draft et une carte linksys 802.11G seule abonne la borne : Ftp 10 Mb/s sans utilisation de VPN pour un niveau de signal gal 100%, Ftp 7 Mb/s avec utilisation de VPN (cryptage AES 128 bits) pour un niveau de signal de 100%, Ftp 1,5 Mb/s sans utilisation de VPN pour un niveau de signal gal 20 %) On semble se diriger vers deux types effectifs de bornes : - les bornes bas prix pour les utilisations de type hot-spot, - les bornes plus onreuses capables de fonctionnalits plus avances. Dans le cadre dun dploiement de celui qui est envisag actuellement sur le campus, le second type est bien entendu conseill avec comme fonctionnalit essentielle linterdiction des communications entres les clients d'une mme borne (fonction "Public Secure Packet Forwarding" chez Cisco, Fonction "Local Bridge Filter" chez Nortel Networks, "Station to station bridging" chez Extreme Networks). Chez Nortel Network il y a galement une fonction "AP management Filter" sur les bornes qui interdit tout accs au management de la borne depuis un client Wireless. En ce qui concerne le tests de ces fonctions volues et trs rcentes (filtrage des communications, alimentation POE, vlan, etc), pas de remontes effectives de tests jusqu ce jour.

5.2.

Les dispositifs didentification / authentification / cryptage

5.2.1. Les solutions VPN

5.2.1.1. Solution Cisco 3000

La prise en main est trs facile au travers de linterface Web. Le manuel daide intgr au serveur web dadministration du matriel est assez complet. Il permet davoir un complment dinformation sur les paramtres. Les protocoles et fonctionnalits proposes sont riches, les clients VPN cisco gratuits. A noter des problmes dintgration dun botier de type 3005 au sein de larchitecture ospf du campus (pb dintgration de routes host et rinjection via ospf). Un ticket dincident a t mis pour solutionner le problme. 5.2.1.2. Solution Nortel Contivity 15

Preconisations-wifi-v4.doc

Nomadisme et Wifi

Universits de Grenoble

Solution techniquement intressante mais ayant un inconvnient gnant pour nous : les clients sont payants 5.2.1.3. Solution HP VPN Hewlett-Packard ProCurve 760wl

Le HP ProCurve 760wl fait partie de la nouvelle gamme de produit HP ProCurve Secure Access 700wl compose - pour l'instant - des modles 720 (contrleur d'accs en priphrie) , 740 (gestionnaire d'administration central) et 760 ( la fois contrleur d'accs et gestionnaire d'administration). C'est une gamme de produits qui est commercialement trs orient sur le contrle et la scurisation des rseaux sans fils mais qui - notre avis peut trs bien tre utilis pour des rseaux filaires. Sa sortie commerciale en France est prvue officieusement - source provenant de la socit ARES/RCS - dbut Novembre 2003 (?), alors que le produit a t commercialis aux US depuis le printemps et partir de Juin en Europe (du moins en Allemagne, en Italie et au Royaume Uni). Ce produit fait partie d'une gamme aux profils techniques riches et intressants. Bien qu'il puisse apparatre comme tant relativement complexe de mise en oeuvre - support de nombreux protocoles - l'interface d'administration bien pense simplifie beaucoup les choses. La possibilit d'avoir plusieurs types de carte d'extension ainsi "qu'un appliance" volutif est galement signaler. Par contre, le manque de maturit de certains outils d'administration, les incompatibilits de connexion des clients VPN et d'authentification LDAP sont embarrassantes.

5.3.

Les solutions SSL

Solution F5 FirePass 1030 Ce produit qui est relativement rcent dans la gamme des produits F5 Networks est issue du rachat en Juillet 2003 de la socit uRoam Inc. Il se prsente sous la forme d'un chassis rackable de 19" quip de 2 interfaces rseaux RJ-45 10/100 base-T. Il permet un accs scuris travers un navigateur Web, supportant le SSLv3 et la gestion des cookies aux applications "Webiss" sans aucune installation de logiciel sur le poste client. Il permet aussi travers l'interface de connections Web de l'utilisateur, la possibilit d'accder des clients telnet/ssh ou des applicatifs de dports d'affichage ICA, RDP, VNC et X-Windows ainsi que l'accs des services de fichier FTP, CIFS ou NFS. Ce produit nous a sembl manquer encore de maturit. Beaucoup des nombreuses fonctionnalits prsentes sont exploitables mais elles manquent encore de finitions ou d'amliorations. De plus travers certaines de ses fonctionnalits, c'est pour l'instant une solution trs orientes pour le monde Windows (utilisation des plugins ActiveX), des dveloppements futurs sont prvu pour les mondes Linux (Unix ?) et MacOS en Java. Un problme - plus francophone - existe aussi autour de la localisation du firmware (principalement sur les interfaces de connexion et d'aide utilisateurs). Preconisations-wifi-v4.doc 16

Nomadisme et Wifi

Universits de Grenoble

Le prix public est encore relativement important compar aux solutions plus traditionnelles de VPN. Avis sur les solutions VPN-SSL A noter dans le domaine des concentrateurs VPN-SSL, la mouvance de l'offre actuelle. De nombreuses "startups" ont t rachetes (uRoam par F5, Neoteris par NetScreen et WebSafe par Symantec) ou vont l'tre par des quipementiers ou des diteurs plus importants. A mon avis, le VPN-SSL est LA SOLUTION d'avenir pour l'tablissement de connections scurises mais ceux sont des produits qui manquent encore de maturit. Il est l aussi - un peu comme pour ipv6 mais pas pour les mmes raisons - urgent d'attendre.

5.4.

Les solutions de type Firewall

Les firewall permettent gnralement des filtrages plus volus que les concentrateurs VPN ddis. Cependant, part quelques solutions bases sur des acclrateurs hard, les firewall tant souvent bass sur des Os (sun, nokia, ) les performances sont moindres que sur des botiers VPN ddis. L encore, les clients sont divers : noter des solutions pour palms

5.5.

Les commutateurs la norme 802.3af

Foundry et 3Com n'attendront pas la ratification du standard 802.3af pour commercialiser leurs produits PoE (Power over Ethernet). Ils ont profit du Cebit 2003 pour annoncer la disponibilit de produits compatibles 802.3af . 3Com, le plus ambitieux des deux quipementiers, a dvoil sa gamme de produits aliments via Ethernet compose d'un commutateur 24 ports 10/100 4400PWR, de trois points d'accs sans fil (8200, 8500, 8700) et des tlphones IP NBX2101 PE. De son ct, Foundry a prsent deux switchs de niveau 2/3, les Fast Iron Edge 2402 et 4802, dots respectivement de 24 et 48 ports 10/100 Mbit/s Ethernet. Les constructeurs insistent sur l'intrt d'une administration centralise de l'alimentation lectrique. Ainsi, les commutateurs 4400 PWR de 3Com sont dots de fonctionnalits de supervision et de contrle de l'alimentation, avec mission d'alarmes en cas de d'incidents. Ils peuvent mme garantir une alimentation lectrique sans coupure certains tlphones prioritaires, tels ceux d'une salle de classe. Quant aux commutateurs de Foundry, ils sont quips d'un mcanisme de dtection automatique des appareils utilisant l'alimentation lectrique via le LAN, et adaptent la puissance lectrique distribue en fonction des terminaux. Aujourd'hui, except 3Com et Foundry, d'autres quipementiers disposent de commutateurs compatibles 802.3af comme Nortel et son commutateur 24 ports 10/100 Baystack 460 PWR, lanc fin 2002, ou Avaya, avec son switch 24 ports 10/100 P333T PWR. Quant Cisco, comme nous lavons expliqu au chapitre prcdent, il a choisi de faire cavalier seul en dveloppant sa propre technologie Inline Power (disponible sur certains commutateurs Catalyst 3500, 4000 et 6500). (Le paragraphe ci-dessus provient dun larticle du magazine Rseaux & Tlcoms mis en ligne le 11/04/2003 par Alain COFFRE) Preconisations-wifi-v4.doc 17

Nomadisme et Wifi

Universits de Grenoble

Annexes
URLs
Dossier Les rseaux locaux radiolectriques ou RLAN / Wi-Fi de lART http://www.art-telecom.fr/dossiers/rlan/menu-gal.htm Recommandations pour le dploiement de rseaux sans fil sur le campus de Jussieu http://web.ccr.jussieu.fr/ccr/csr/reseaux_sans_fil/sansfil.htm SMAC : MAC Address Modifying Utility for Windows 2000 and XP systems http://www.klcconsulting.net/smac/ Anomalies de performances des rseaux Wi-Fi http://drakkar.imag.fr/news/perf.html Problme de performance dans les rseaux Wi-Fi (bas sur l'analyse prcdente) http://www.vnunet.fr/actu/article.htm?numero=11218 Scurit des rseaux sans fil 802.11b http://www.actuasite.com/spip/IMG/pdf/Securite_des_reseaux_802.11b.pdf http://ouah.kernsh.org/wlan-security.html EEE Wireless Standards Zone. http://standards.ieee.org/wireless/ http://standards.ieee.org/getieee802/download/802.11-1999.pdf Quelques recettes simples permettent de limiter les failles d'un rseau Wi-Fi http://www.01net.com/article/209432.html Les rseaux sans-fil en six points. http://solutions.journaldunet.com/0111/011115_faq_sansfil.shtml WARDRIVING http://reseaucitoyen.be/index.php?WarDriving http://www.securite.teamlog.com/publication/6/10/220/ La scurit des rseaux est-elle compromise avec larrive du sans-fil et des rseaux virtuels privs (VPN) http://www.viagenie.qc.ca/en/doc/cours/crim2002.pdf CERTA : Scurit des rseaux sans fil utilisant la norme 802.11b (Wi-Fi) http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/ Preconisations-wifi-v4.doc 18

Nomadisme et Wifi

Universits de Grenoble

Livre blanc sur lutilisation du Wifi http://www.cyber-networks.fr Dossier Terena sur le sujet de la mobilit http://www.terena.nl dossier Mobility Liste des compatibilits entre quipements VPN http://www.vpnc.org Secrtariat Gnral de la dfense nationale http://www.ssi.gouv.fr/fr/actualites/Rec_WIFI.pdf

Preconisations-wifi-v4.doc

19

Nomadisme et Wifi

Universits de Grenoble

Dtails des tests effectus

Solution HP VPN Hewlett-Packard ProCurve 760wl
Le HP ProCurve 760wl fait partie de la nouvelle gamme de produit HP ProCurve Secure Access 700wl compose - pour l'instant - des modles 720 (contrleur d'accs en priphrie) , 740 (gestionnaire d'administration central) et 760 ( la fois contrleur d'accs et gestionnaire d'administration). C'est une gamme de produits qui est commercialement trs orient sur le contrle et la scurisation des rseaux sans fils mais qui - notre avis peut trs bien tre utilis pour des rseaux filaires. Sa sortie commerciale en France est prvue officieusement - source provenant de la socit ARES/RCS - dbut Novembre 2003 (?), alors que le produit a t commercialis aux US depuis le printemps et partir de Juin en Europe (du moins en Allemagne, en Italie et au Royaume Uni). Il se prsente sous la forme d'un serveur "appliance" rackable (2 U). Le chssis ne dispose que d'une seule alimentation lectrique de 460W (pas de redondance lectrique possible), il apparat relativement bien ventile et suffisamment silencieux pour une salle machine ou un local technique. La face avant est compos d'un cran LCD, des habituels boutons et diodes de contrle, d'un port "console" de connexion locale et de 2 interfaces rseaux. Ces interfaces sont composs d'un port RJ-45 10/100/1000Base-T pour uplink et d'un port RJ-45 10/100Base-T marqu "reserved" (volutivit future ou surplus ?). Il dispose de 3 slots pour les cartes d'extensions accueillant les ports descendants (carte 4 ports RJ-45 10/100Base-T - d'origine Vernier Networks, 1 port RJ45 10/100/1000BaseT, 1 port LC Giga-LX ou Giga-SX). Une carte d'acclration de cryptage (DES, 3DES, HMAC MD5 et SHA-1) peut galement tre install ainsi qu'une future carte Fiber Channel. Le modle test tait quip d'une carte "de downlink" de 4 ports RJ-45 10/100Base-T contrleur Ethernet d'origine Tyan - qui contrairement au port "d'uplink" ne dispose pas d'interface Auto-MDI (utilisation de cble crois). Je dispose de peu d'information sur "le hardware" du modle (CPU, RAM, etc..) si ce n'est que seul les modles 740/760 dispose d'un disque dur, le modle 720 tant quip d'une mmoire flash de 256 Ko. L'OS est un FreeBSD (4.3/4.4 ou 5.0 d'aprs la prise d'empreinte "Nmap") et les principaux services logiciels sont assurs par Apache, OpenSSL, GNU Portable Threads, IBM/Whistle Communications. La version du firmware utilis aprs une mise jours a t la 3.1.111 (3.1.105 la livraison). Performance de routage/communication annonc par HP: ~300 Mbps. En terme de scurit, j'ai utilis les protocoles suivants parmi de nombreux autres possible et disponible: tunnel IPSec en mode ESP avec authentification IKE (Internet Key Exchange) par partage de cls secrtes (support complet de gestion PKI galement disponible mais non test) et tunnel SSH v1 et v2. cryptage AES, DES et 3DES, Blowfish, CAST. authentification, change de cl et contrle d'intgrit MD5, SHA-1, HMAC MD5 et Preconisations-wifi-v4.doc 20

Nomadisme et Wifi

Universits de Grenoble

SHA-1, Diffie-Hellman (groupes 1,2 et 5). plusieurs types de filtrage sont possible notamment au niveau Ethernet avec la possibilit d'importation d'une base d'adresse MAC depuis un annuaire LDAP, ainsi qu'au niveau VLAN, IP (TCP/UDP,ICMP), adressage et nommage IP. contrle d'accs gographique (par groupe d'utilisateurs, par point d'accs wifi, par vlan, par interface "de downlink", etc..) et temporel (en fonction de date, de l'heure, de minuterie d'inactivit ou de dur de session). usurpation d'adresses Ethernet (anti-MAC spoofing) et contrle du trafic de diffusion.

Les clients VPN support sont pour: MacOS 9: PGP PGPnet et LAN Builder (uniquement en PPTP), MacOS X (?) Unix: aucun .. none, nada, kedale .. ;-) Win9x et Winxx: Microsoft ( L2TP et PPTP), NetScreen, PGP PGPnet, SafeNet SoftRemote, SSH Sentinel. Pour les clients VPN IPSec "purs", 1 seul d'entre eux possde une version d'valuation ce qui n'a en rien facilit le droulement des tests. En rsum, aucun client VPN IPSec multi plateformes (MacOS, Unix et Windows) et encore moins gratuit. Pour information, je ne suis pas arriv faire fonctionner le client Cisco VPN (version Windows 4.02D) avec ce concentrateur. En terme de rseau, cet quipement supporte notamment les protocoles : DHCP: serveur configurable (en mode NAT) et relais (en mode IP natif). NAT/PAT avec plage personnalisable ou never-NAT. support de connexion cliente via un proxy HTTP/HTTPS. roaming des clients entre les sous-rseaux (continuit de session). noter le support des VLAN (802.1Q) avec fonctions de tagging, re-marquage et trunking automatique (non test) sur tous les ports. L'authentification des utilisateurs peut tre assure soit par la cration d'une base de donnes intgre (import XML possible), soit via une interface un annuaire LDAP v2/v3 (mode user ou non-user binding), une base Radius (non test), Kerberos (non test), XML-RPC (non test), un domaine NT ou Active Directory (non test), MS-CHAP v1/v2 (non test) ou 802.1X (non test). Les pages HTML (interception du 1er trafic HTTP en provenance d'un client) de (d)connexion sont personnalisables et contextuelles. L'authentification de groupes d'utilisateurs peut tre assur soit par une base de donns intgrs (import XML possible) ou soit via une interface un annuaire LDAP v2/v3 (non test). L'administration est assur via une interface Web scuris (HTTPS) ou via CLI mais Preconisations-wifi-v4.doc 21

Nomadisme et Wifi

Universits de Grenoble

uniquement accessible partir du port console (et ncessaire pour la configuration initiale). L'interface Web est relativement simple de prise en main, lgre et bien faite. Le systme de logs de type Unix est complet. De plus, il y a le support de client Syslog, de client NTP (v3) et des fuseaux horaires standards ainsi que d'un agent SNMP (compatible MIB2) mais en lecture seule. En terme d'utilitaires de dpannage, on trouve: au niveau 2 (Ethernet): des outils CLI de debug de trafic, le support du Cisco CDP, du Symbol Technologies WNMP (Wireless Network access Management Protocol), AppleTalk (bridging) et la possibilit de rajouter le support d'autres protocoles en utilisant l'utilitaire "tcpdump" (par ex pour IPX/SPX). au niveau 3 (IP): des outils CLI de debug TCP et les habituels "ping", "traceroute" et "nslookup" mais pas encore "dig" (!). au niveau applicatif, il est noter la prsence d'un utilitaire "Troubleshooting" (uniquement accessible via l'interface Web) de debuggage d'authentification utilisateur locale/LDAP/Radius/Kerberos/XML-RPC pratique et plutt bien fait. La mise jour du firmware est assur via du TFTP, FTP ou HTTP avec la possibilit d'utiliser une cl numrique et de conserver 2 versions diffrentes en local. La sauvegarde/restauration de la configuration et/ou de la base de donns intgrs est faite sous forme d'une image binaire (non exploitable) en local ou exportable/importable via du FTP. Pour de plus amples informations sur cette gamme de produit: http://www.hp.com/rnd/library/index.htm http://www.hp.com/rnd/support/index.htm Cet quipement nous a t prt par la socit ARES/RCS pendant une priode de 8 jours .. ouvrables .. ;-) .. avec la possibilit d'avoir un support technique auprs de HP France. Cette courte priode de prt est principalement du la toute rcente disponibilit de ce produit. Les tests partie des postes clients ont t ralis avec 3 PC sous Windows et Linux, dans un VLAN "client" indiffremment connects au rseau Ethernet en filaire ou en hertzien. Principaux problmes ou incidents rencontrs Authentification utilisateur impossible entre le 760 et un serveur OpenLDAP uniquement compatible avec la version 3 du protocole. Dans sa documentation, HP ne mentionne en effet que le support LDAP v3 pour MS-Active Directory ou Sun iPlanet, mais du LDAP v3 c'est normalement compatible avec du LDAP v3 (sauf pour MS-AD .. cela je le sais dj). Le problme est remont au support technique de HP Europe (HP France ne pouvant pas assurer le support sur ce problme l) -> pas de solution propos pour l'instant. A mon avis, le client LDAP du 760 n'met ses requtes qu'en LDAP v2 (problme identiquement rencontr sur un concentrateur VPN-SSL d'un autre constructeur). Le CDP n'a pas l'air de fonctionner correctement. Les interfaces du 760 taient connects sur des switchs Cisco Catalyst ayant le support du CDP activ, il a t impossible de le voir dans "le voisinage CDP" de ces switchs l ainsi qu'a partir du Preconisations-wifi-v4.doc 22

Nomadisme et Wifi

Universits de Grenoble

logiciel Cisco CWSI (NMS utilisant la dcouverte SNMP/CDP) -> ce problme n'a pas t remont au support technique HP. Il faudrait avoir une liste des clients VPN rellement supports, il semble que ce concentrateur VPN souffre lui aussi d'incompatibilits avec certains logiciels clients VPN -> pas de rponse propos pour l'instant. Il faudrait rcuprer les performances et le nombre de clients simultans supports en IPSec "pur" avec et sans carte d'acclration -> pas de rponse pour l'instant. Son Prix (et oui cela fait aussi partie des problmes): rponse d'ARES/RCS du 8/9/03: Comme suite notre conversation tlphonique, vous trouverez ci-dessous vos prix remis concernant l'acquisition d'Access Controler HP. Le 720: 3.308 Euros H.T Le 740: 5.004 Euros H.T Le 760: 6.658 Euros H.T Conclusions Ce produit fait partie d'une gamme aux profils techniques riches et intressants. Bien qu'il puisse apparatre comme tant relativement complexe de mise en oeuvre - support de nombreux protocoles - l'interface d'administration bien pense simplifie beaucoup les choses. La possibilit d'avoir plusieurs types de carte d'extension ainsi "qu'un appliance" volutif est galement signaler. D'autres part, le rapport fonctionnalit/prix est intressant compar aux solutions VPN Cisco ou Nortel par exemple (x2/x3). Par contre, le manque de maturit de certains outils d'administration, les incompatibilits de connexion des clients VPN et d'authentification LDAP et le manque de ractivit actuel du support technique HP France (ou Europe) sont vraiment embarrassantes. NB: Cette gamme de produit ressemble comme 2 gouttes d'eau aux offres AM/CS 6500 de Vernier Networks (http://www.verniernetworks.com/).

Preconisations-wifi-v4.doc

23

Nomadisme et Wifi

Universits de Grenoble

Solution Cisco 3000

La prise en main est trs facile au travers de linterface Web. Le manuel daide intgr au serveur web dadministration du matriel est assez complet. Il permet davoir un complment dinformation sur les paramtres. Suivi des connexions : Le suivi des connexions peut se faire en temps rel : trs utile pour dterminer le problme dune connexion. Les historiques des connexions peuvent tre renvoyes sur un serveur de log. Protocoles implments : Tunneling mode : IPSec, PPTP, L2TP, L2TP over IPSec Encryptions : DES, 3DES, AES Vis--vis de lencryption le protocole AES est le plus interessant : cest le plus rcent, il est plus robuste et le temps de cryptage est plus performant que le Triple DES. Cependant lencryption AES fonctionne uniquement avec les clients cisco pour linstant et uniquement en 128 bits (le protocole AES existe en 128, 192 et 256 bits). Dans le cas du dploiement wifi, si on utilise uniquement des clients VPN cisco on peut opter pour le protocole AES, si dautres clients doivent tre utiliss il faudra opter pour le protocole Triple DES. Authentification : CA, Radius, TACACS+ Fonctionnalits : Le split tunneling : Le split tunneling fonctionne uniquement avec les clients VPN cisco. Le nombre de tunnels donc de ressources aux niveaux VPN diminue si lon utilise ce procd. Le split tunneling est un mode qui ne sera pas utilis par les nomades wifi. Au niveau OSPF : Si lon utilise la fonctionnalit normalise des mots de passe MD 5 pour le protocole de routage OSPF, il faut savoir que pour linstant les VPN 3000 savent grer des mots de passe de 8 caractres au maximum. De mme, la valeur de la cl passe en paramtre ne peut-tre modifi, elle est fixe 1 : (ip ospf message-digest-key 1 md5 7 0700325C46441D17) Les clients VPN cisco : Ils sont gratuits et disponibles sur de nombreuses plates-formes : Win9x, NT, 2000, XP, Mac OS X, Linux kernel 2.2 et 2.4, Sparc Solaris Le client VPN cisco sous windows intgre un firewall de type Statefull Inspection (firewall dynamique). Il est trs efficace vis--vis dintrusions extrieures. Il peut-tre activ mme sans une connexion VPN. Cest une solution de scurit envisager pour protger les postes clients sans dgrader les performances du routeurs. Dautant plus que suivant les Preconisations-wifi-v4.doc 24

Nomadisme et Wifi

Universits de Grenoble

droits du client il peut lactiver ou le dsactiver. Problmes rencontrs : Sous windows NT le mode dmarrage du client louverture de la session avec le client VPN 4.0.3 ne fonctionne pas. Le problme a t rsolu en installant le client VPN 3.6.6. Pour passer du client VPN 4.0.3 au client 3.6.6, il faut supprimer le fichier /winnt/system32/CSgina.dll. Windows 95 est compatible uniquement avec la version 3.6 du client VPN cisco. Difficults utiliser ospf pour un botier VPN 3005 dans une area fille (pb dexport des routes en /32 pour une utilisation radius avec affectation dadresse par utilisateur). A noter une version ssl existante en beta, (pas encore teste) mais qui dans les documents constructeur divise par 4 les performances par rapport une utilisation de type VPN.

Preconisations-wifi-v4.doc

25

Nomadisme et Wifi

Universits de Grenoble

Solution F5 FirePass 1030

Le FirePass-1030 fait partie de la nouvelle gamme de concentrateur VPN-SSL de la socit F5 Networks issue du rachat de la socit uRoam en Juillet 2003. Il se prsente sous la forme d'un serveur "appliance" rackable 19" de 1U de hauteur. Le chssis ne dispose que d'une seule alimentation lectrique de 200W (pas de redondance lectrique possible), il est correctement ventil et suffisamment silencieux pour tre install dans une salle machine. La face avant est compos d'un cran LCD, des boutons et leds de contrle habituels, d'un port "console" et de 3 interfaces rseaux RJ-45 10/100Base-T. Seule 2 interfaces sont rellements utilisables, la troisime tant "un surplus" du constructeur du chssis qui - d'aprs les adresses Ethernets - semble tre Advantech. Cette srie de FirePass 1000 est prvu pour pouvoir supporter une centaine de connections clientes simultanes, un millier pour la srie FirePass 4000 avec en outre la possibilit de mettre en place une solution "de clustering" et d'quilibrage de charge pouvant supporter jusqu' 10000 connections. Il existe galement la possibilit de mettre en oeuvre une solution de "hot-statefull failover" entre 2 botiers - l'un tant actif et l'autre "en sommeil". Le firmware tourne sur un OS Linux (2.4.0 - 2.5.20 d'aprs la prise d'empreinte "Nmap"). Les principaux services sont assurs par des logiciels "libres" (Apache, OpenSSL ou OpenLDAP par ex). L'unique version du firmware utilise durant les tests a t la 4.0. La 4.0.1, contenant notamment la correction de certains bugs que nous avions remonts au support technique, arrivant trop tard dans le cadre de nos tests. Le dploiement du FirePass c'est effectu en quelques heures avec la prsence d'un ingnieur avant-vente de F5 Networks France et la configuration a put tre par la suite facilement modifi suivant nos besoins (utilisation d'une seule ou des deux interfaces ethernets, architecture rseau diffrente). La configuration initiale peut tre effectue soit en mode Terminal via le port console ou en mode Web via un navigateur (en utilisant la pr-configuration rseau fournit par F5). Les paramtres de configuration systme et rseaux (IP, NetBIOS, SNMP, proxy, etc...) sont standards. A noter l'importance d'avoir un nom DNS FQDN et rsolvable (utilisation des certificats X.509) et l'ajout obligatoire des licences d'utilisations des services que nous souhaitions tests (et de plus limit dans le temps). L'administration et la surveillance sont assurs travers l'interface Web (scurisation des accs l'aide de filtrage IP sur des adresses de machines ou de rseaux ) via de nombreux logs (exportables au format Microsoft XLS !), des graphes priodiques sur l'tat et l'activit des diffrents composants du systme, des statistiques sur les performances et les connections, de la capture du trafic IP avec un export possible au format "libpcap" (ethereal, tcpdump, etc...) et l'envoi de courriels vers un compte d'administration. La sauvegarde/restauration - partielle ou complte - de la configuration, de la base de donns intgrs et des logs mais pas de la configuration rseau (!) est faite sous forme d'une image binaire (zipp) sur la machine d'administration. Preconisations-wifi-v4.doc 26

Nomadisme et Wifi

Universits de Grenoble

La mise jour du firmware ainsi que la notification automatique de nouvelles versions se font partir de l'interface Web. Il n'est pas possible de disposer de plusieurs versions de firmware sur le mme FirePass et il est fortement dconseill "de downgrader" une version. Le FirePass est initialement dploy avec un certificat pr-install (utilisation en autocertification) qui peut tre - qui doit l'tre en exploitation - remplac par un certificat valide. Les listes de rvocations (CRL) sont galement supportes. Parmi certaines fonctionnalits, a noter les possibilits: - de monter des tunnels VPN IPSec entre le FirePass et d'autres serveurs ou rseaux - de rajouter l'utilisation de routes statiques (avec prioritisation) - d'accorder une partie ou la totalit des privilges d'administration d'autres utilisateurs autre que l'administrateur - de dfinir le comportement (images, colorisations, etc...) des navigateurs clients en fonction de l'entte HTTP d'identification UserAgent - de paramtrer le comportement du cache des navigateurs clients - de forcer le vidage du cache des navigateurs clients la dconnexion (mais en ActiveX !) - de compresser (en gzip) le trafic entre le FirePass et ses navigateurs clients. A noter galement, la prsence "d'une backdoor" SSH ncessaire au support technique pour (re)prendre la main sur le FirePass. L'authentification des utilisateurs peut tre assur soit par une base de donne locale au FirePass (cration manuelle) ou bien depuis l'importation d'un fichier texte au format CSV, d'un annuaire LDAP ou bien du PDC d'un Domaine Windows (NT ou AD). Il existe galement la possibilit de rediriger les authentifications auprs de serveurs HTTP, LDAP, RADIUS et Domaine Windows (NTLM ou NetLogon). Dans ce cas l, le compte de utilisateur est cr automatiquement sur le FirePass lors de sa 1er connexion. A noter la possibilit d'authentification double par "des tokens" RSA SecurID ou via un serveur VASCO Digipass. Chaque utilisateur doit tre associ au minimum un groupe pour pouvoir tre authentifi. Ces groupes sont soit crs manuellement, ceci permettant d'avoir diffrents profils "aux besoins" ou bien import depuis "un mapping" partir d'un annuaire LDAP, d'une base RADIUS ou d'un Domaine Windows. Il est possible de customiser une partie (texte, couleur, icne et logo) de l'interface standard de connexion de l'utilisateur, qui pour le moment n'est disponible qu'en Anglais, une version "francophone" tant prvue pour la version 4.1 (2004Q1). Pour une customisation plus approfondie, notamment pour rsoudre les problmes de localisation, on peut rediriger, aprs authentification et suivant son groupe d'appartenance, l'utilisateur vers un autre site Web qui lui sert ce moment l d'interface de connexion. Une fois authentifi, le FirePass permet l'utilisateur une connexion scuris travers un navigateur ayant un support - correct ! - du SSL v2/v3 (au mieux support du 3DES, pas encore celui de l'AES) et de la gestion des cookies. Preconisations-wifi-v4.doc 27

Nomadisme et Wifi

Universits de Grenoble

Les tests ct postes clients ont t ralis partir de diffrents LAN (IMAG, UPMF), OS (Linux, MacOS X, Windows) et navigateurs (Konqueror, Internet Explorer, Mozilla). Pour de plus amples informations sur cette gamme de produit: http://www.f5.com/f5products/FirePass/ http://tech.f5.com/home/firepass/ Principaux problmes ou incidents rencontrs durant les tests: - lors d'une authentification utilisateur externe au Firepass (LDAP, RADIUS, etc..), il est cr en local un compte qui ne peut tre modifi ou dtruit que manuellement par l'administrateur (pas de destruction automatique la dconnexion de l'utilisateur) - erreur d'excution de certains scripts PHP dans l'interface d'administration empchant la configuration ou l'utilisation de certaines fonctionnalits "Network Packet Dump", "Telnet Access", etc... -> corrig dans la version 4.0.1 - perte de la mtrologie existante lors d'un redmarrage des services suite la modification du paramtrage des fuseaux horaires - nombreuses remontes d'alarme sur des lectures errones de basses tensions d'alimentation de la carte mre -> corrig dans la version 4.0.1 - de nombreux problmes pour l'tablissement de connexions FTP (en mode actif, pas en mode passif) principalement partir des clients FTP intgres aux diffrents navigateurs Web (souvent non paramtrable) - authentifications LDAP en v2 mais pas en v3 -> corrig dans la version 4.0.1 - l'envoi de courriels SMTP vers un compte d'administration n'a jamais put fonctionner malgr de nombreux tests ! - mise en place de certificat X.509 valide. Tous les tests ont du se drouler avec le certificat pr-install par F5 Networks (auto-certification et FQDN invalide), Il nous a t impossible de mettre en place un certificat personnel (via l'Infrastructure de Gestion de Cls du CNRS). - multiple login simultan administrateur (ou quivalent) possible -> le dernier des login "admin" qui sur les mmes paramtres valide quelques choses raison ! - l'utilisation de certaines fonctionnalits (par ex AppTunnels ou SSL VPN) partir d'un navigateur client provoque l'apparition de mini-fentre Web "Pop-up" de session en plus de la fentre Web support de la fonction. Tant que ces mini-fentres ne sont pas fermes, elles assurent la continuit de cette session ... indifiniment ! -> corrig dans la version 4.0.1. Conclusion Ce produit qui est relativement rcent dans la gamme des produits de F5 Networks, n'est pas encore compltement "F5-is" (connaissance et matrise par le support technique, incorporation des technologies "maisons"). Il nous a sembl encore manquer de maturit. De nombreuses fonctionnalits prsentes sont exploitables mais elles manquent de finitions ou d'amliorations. Le support des applicatifs IP est loin d'tre complets, par ex pour les clients de messagerie mais sont promis des ameliorations (payantes pour certaines). De plus, travers certaines de ses fonctionnalits avances, c'est pour l'instant une solution trs orients pour le monde Windows (utilisation de plugins ActiveX, de tunnels MS-PPTP), des dveloppements futurs sont prvus pour les mondes Linux (Unix ?) et MacOS-X base de Java. Il est noter que ce produit n'est pas uniquement orient Preconisations-wifi-v4.doc 28

Nomadisme et Wifi

Universits de Grenoble

travers son utilisation pour des navigateurs Web de PC mais aussi vers ceux des Mobiles (PDA, WAP, iMode). Le prix public est encore relativement important compar aux solutions plus traditionnelle de VPN, il faut compter un prix d'achat multipli par 4 ou 5.

Preconisations-wifi-v4.doc

29