Professional Documents
Culture Documents
1/12/2003
Draft
Page 1 sur 29
Nomadisme et Wifi
Universits de Grenoble
1. 2. 3.
3.2.1. 3.2.2.
3.3.
Lidentification/authentification/cryptage __________________________________ 7
4.
4.5.
5.
5.2.1.
Les solutions SSL ____________________________________________________ 16 Les solutions de type Firewall __________________________________________ 17 Les commutateurs la norme 802.3af ___________________________________ 17
Preconisations-wifi-v4.doc
Nomadisme et Wifi
Universits de Grenoble
1. PREAMBULE
Nous abordons ici la prise en charge du nomadisme par deux aspects qui sont loin de rpondre une problmatique gnrale. Le document a t fait lorigine par un groupe de travail devant laborer des prconisations. Le document rpond une demande prcise dans un contexte dutilisation donn : il sattache donner un cadre pour le dploiement de rseaux sans fil sur les campus Grenoblois, le but tant galement de limiter tout dploiement sauvage sur les campus. Nous traitons donc de la problmatique des points daccs base de cette dernire technologie et de la problmatique large sur tout ce qui touche la confidentialit savoir : lidentification, lauthentification et le cryptage.
2. PARTICIPANTS
Ce document a t labor partir des travaux effectus par les diffrents tablissements Grenoblois. Les principaux contributeurs sont : Gilles Bruno, Philippe Boucard, Jacques Eudes, Jrme Le Tanou (Grenoble1). Lionel Billiet, Vincent Loupien, Pascal Praly et Stephane Rongiere (Grenoble2). Ramon Alvarez, Henri Naval (Grenoble3). Eric Jullien, Patrick Petit (Cicg). Gilles Berger-Sabbatel (LSR IMAG), Laurent Aublet-Cuveliet (IMAG).
3. PRINCIPES GENERAUX
3.1. Les bornes sans fil
Faisons une synthse rapide des proprits / contraintes / lgislation sur la technologie des rseaux sans fil.
Preconisations-wifi-v4.doc
Nomadisme et Wifi
Universits de Grenoble
Tableau rcapitulatif des normes de transmission Frquence Bande frquences les dbits 11 Mbits/s thorique 54 Mbits/s thorique 54 Mbits/s thorique Nombre de bandes 13 13 19 de frquences (canaux) Le nombre de 3 3 8 bandes de frquences sans recouvrement Compatibilit Les lois de la radio Dbit plus grand Puissance dmission leve Frquences radio leves = Couverture plus faible = Couverture plus grande, mais dure de vie des batteries plus faible = Meilleur dbit, + sensible aux obstacles => couverture plus faible aucune 802.11 b aucune 802.11 b 2,4Ghz de 2,4-2,4835Ghz 802.11 g 2,4Ghz 2,4-2,4835Ghz 802.11 a 5Ghz 5,150-5,725Ghz
Recommandations Les bornes dployes devront tre compatibles avec les normes 802.11b ou 802.11g. Puissances et frquences (lgislation en vigueur au 5/11/2003) Ainsi, dans tous les dpartements mtropolitains, quil sagisse dusage priv ou public, il est dsormais possible d'utiliser les frquences RLAN dans les conditions donnes dans les tableaux rcapitulatifs sur les puissances autorises pour les rseaux locaux radiolectriques dans la bande 2,4 GHz depuis le 25 juillet 2003.ainsi que dans la bande 5 GHz. Les puissances sont exprimes en PIRE (Puissance Isotrope Rayonne Equivalente).
Preconisations-wifi-v4.doc
Nomadisme et Wifi
Universits de Grenoble
Intrieur
Extrieur
100 mW 2454 2483,5 Frquences en MHz 5150 5250 5350 5470 impossible 5725 DFS : dynamique des frquences Problme de performance Intrieur 200 mW
100 mW
10 mW Extrieur impossible
impossible
il faut savoir que, contrairement aux rseaux LAN Ethernet, la dtection des collisions est impossible sur les rseaux sans fil. En effet, pour dtecter une collision, une station doit tre capable de transmettre et dcouter en mme temps. Or, dans les systmes radio, il ne peut y avoir transmission et coute simultanes. Pour grer les collisions, on utilise donc le protocole CSMA/CA qui tente de les viter en imposant l'mission d'un accus de rception systmatique pour chaque paquet de donnes arriv intact. CSMA/CA permet donc de partager laccs aux ondes. Cette mthodologie garantit en outre un traitement galitaire pour tous les terminaux, de sorte que lorsqu'un terminal se connecte un dbit relativement faible, il pnalise tous les autres terminaux. Notons que le protocole CSMA/CA est commun aux trois normes 802.11a, 802.11b et 802.11g, Anomalies de performances des rseaux Wi-Fi : http://drakkar.imag.fr/news/perf.html Recommandations Preconisations-wifi-v4.doc 5
Nomadisme et Wifi
Universits de Grenoble
En ce qui concerne les normes de transmission, les standards 802.11b et 802.11G sont ceux qui rpondent au mieux notre problmatique de dploiement sur un campus comportant des lieux intra et extra-muros. Pour la puissance mise par les bornes, il est prfrable quelle soit rglable et rponde aux normes franaises en vigueur. Voir les recommandations de lART : www.art-telecom.fr Le POE 802.3af Avec le standard 802.3af Power Over Ethernet, les commutateurs devraient dsormais alimenter en lectricit des tlphones IP, des points d'accs (AP) sans fil ou des camras de vidosurveillance, le tout via le cblage cuivre existant catgorie 3, 5, 5e ou 6 sur une distance maximale de 100 m. Les applications sont multiples, comme le fait d'utiliser un seul UPS pour protger les quipements aliments via les commutateurs 802.3af ou de faciliter l'installation des AP sans fil souvent situs dans des endroits peu pratiques d'accs. Apparemment l'lectricit pourrait monter 48 volts et jusqu' 12 watts de puissance... (Le paragraphe ci-dessus provient dun larticle du magazine Rseaux & Tlcoms mis en ligne le 11/04/2003 par Alain COFFRE) Recommandations A terme, le point daccs doit pouvoir tre aliment selon le protocole IEEE 802.3af (Power Over Ethernet). Dans le cas o ltablissement ne dispose pas de commutateurs rpondant cette norme, des dispositifs existent et peuvent tre insrs entre le point daccs et le commutateur pour permettre lalimentation lectrique via la connexion filaire. Remarque : Dans la norme 802.3af, il est propos une fonction de dconnexion (DC) permettant de suspendre lenvoi de courant quand il ny a plus personne en ligne. Apparemment Cisco na pas ratifi cette fonction (dixit F. Hadj lors de sa dernire visite) car ce point a t brevet par un cabinet dassurance pour pouvoir demander des royalties. Cisco invoque cette raison pour proposer sa propre fonction de dconnexion (AC). Celle-ci nest bien entendu pas (encore ?) normalise suivre. Cisco nest donc pas 802.3af, mais les autres constructeurs non plus semble-t-il (cf chapitre sur les quipements ci-dessous) Scurit Recommandations Inclure une fonctionnalit permettant dinterdire les communications entre les clients connects au point daccs (fonction "Public Secure Packet Forwarding" chez Cisco, Fonction "Local Bridge Filter" chez Nortel Networks, "Station to station bridging" chez Extreme Networks). Preconisations-wifi-v4.doc 6
Nomadisme et Wifi
Universits de Grenoble
En complment de cette fonctionnalit, prvoir le mme type de fonction sur les commutateurs concentrant les bornes (private vlan par exemple, toujours chez Cisco).
3.2.
Vulnrabilits
3.2.1. Brouillage
Le 802.11 nintgre pas de mcanisme de gestion des interfrences radio, c'est la raison pour laquelle un signal peut facilement tre brouill par une mission radio ayant une frquence proche de celle utilise dans le rseau sans fil. A lheure actuelle, il est difficile de se prmunir dune attaque de type dni de service laide de dispositifs lectroniques de brouillage. Surtout en sachant quun simple four micro-onde en fonctionnement peut-tre suffisant pour perturber un rseau sans fil.
3.3.
Lidentification/authentification/cryptage
Nomadisme et Wifi
Universits de Grenoble
Preconisations-wifi-v4.doc
Nomadisme et Wifi
Universits de Grenoble
les adresses MAC des clients potentiels). Ce qui en fait une mthode rserve sur des petits rseaux. Comme sur nimporte quel rseau Ethernet ce filtrage trs facile contourner, il suffit pour cela de modifier logiciellement ladresse MAC renvoye par lquipement. o Exemple de changement de ladresse MAC sous linux : Ifconfig eth0 hw ether 00:20:af:88:09:9f o SMAC : MAC Address Modifying Utility for Windows 2000 and XP systems http://www.klcconsulting.net/smac/ Ne rsout pas le problme de la confidentialit des changes.
Avantages et Inconvnients dans notre contexte Authentification avant accs au rseau (mais il faut installer un client 802.1x sur chaque poste), Gnralisable pour tout accs un rseau Ethernet, mais pas gnralisable pour les nomades distants (de type adsl, etc.), Sans fonctionnalit de cryptage des changes utilisateurs, difficile de lutiliser pour une problmatique de type rseaux sans fil.
Nomadisme et Wifi
Universits de Grenoble
Nomadisme et Wifi
Universits de Grenoble
Avantages et Inconvnients pour nous Aucun tlchargement ni installation pralable de client nest ncessaire. Les fonctions sont disponibles sur le poste ds que lon dispose dun client http. A la diffrence dun client VPN-ipsec, tous les services ne sont pas disponibles. Le gros problme de cette solution cest son arrive trs rcente sur le march donc trs peu mature.
PAR
LES
ETABLISSEMENTS
Chaque tablissement a en charge le dploiement dans ses btiments de son propre rseau sans fil la norme 802.11b et 802.11g. Le CICG a en charge le dploiement dans les espaces communs et lieux de vie. Les rseaux sans fil sont dploys en parallle des rseaux filaires existants. Les commutateurs et fibres utiliss actuellement par les tablissements/entits peuvent tre utiliss pour desservir les bornes, mais dans un (des) VLAN(s) spar(s). Un utilisateur du Campus peut se connecter sur nimporte lequel des rseaux sans fil mis en place par tous les tablissements. Une fois connect, il ne peut cependant rien faire tant quil ne sera pas identifi/authentifi par son tablissement dorigine. Chaque tablissement/entit dispose dune plage dadresses de la classe A prive 10.0.0.0/8 pour ce dploiement : GRENOBLE1 10.1.0.0/16 GRENOBLE2 10.2.0.0/16 GRENOBLE3 10.3.0.0/16 INPG 10.4.0.0/16 CICG 10.5.0.0/16 IMAG 10.6.0.0/16 Chaque tablissement/entit est ainsi libre de crer en interne un ou plusieurs Vlan avec ses adresses prives. Laffectation des adresses se fait de manire dynamique via un serveur dhcp (mis en place dans chaque tablissement). Ainsi tout utilisateur peut librement se connecter sur le campus un rseau sans fil et se voir attribuer une adresse prive quelque soit le lieu et son tablissement dappartenance. Techniquement rien nest mis en uvre au niveau du rseau sans fil pour garantir la scurit des changes (pas de Wep, pas de filtrage par adresse mac, ). En consquence, le/les SSID (Service Set IDentifier) peuvent tre choisis et diffuss librement par chaque tablissement. Seule contrainte, la normalisation des chanes de caractres utilises pour le SSID : U1-* U2-* U3-* Preconisations-wifi-v4.doc 11
Nomadisme et Wifi
Universits de Grenoble
Nomadisme et Wifi
Universits de Grenoble
Serveur DHCP
Wifi
4.3.
Autres sites
Le principe retenu sur le campus est reproductible sur les autres campus universitaires. En fonction des besoins et contraintes de dploiement, plusieurs options techniques sont envisageables : Chaque tablissement dploie une infrastructure locale qui lui est propre (son botier VPN, serveur dhcp, etc). Les tablissements mutualisent les quipements (un botier VPN unique pour plusieurs tablissements, ainsi quun serveur dhcp, ). Un routage dadresses prives est mis en place pour traitement des demandes sur un site distant. En pr requis : bilan (et raffectation ?) des adresses prives utilises sur tous les campus, mais aussi validation du routage des adresses prives sur le rseau mtropolitain avec les autres acteurs (CNRS, etc.) et enfin choix du traitement des requtes dhcp (local, utilisation du dhcp-relay).
4.4.
Chaque tablissement est videmment libre de choisir ce quil dsire pour rpondre la demande des services identifis ci-dessous.
Nomadisme et Wifi
Universits de Grenoble
Dans un premier temps, ce serveur sera celui utilis pour identifier les utilisateurs du CICG.
4.5.
Preconisations-wifi-v4.doc
14
Nomadisme et Wifi
Universits de Grenoble
Globalement toutes les bornes 802.11b semblent passer les tests de base en utilisation de type hotspot (cf message de jerome le tanou dans la liste ip). Aucun cas rapport de borne ne fonctionnant pas avec telle ou telle carte cliente. Deux bornes ont t utilises pour un congrs sur Grenoble cet t (une de type netgear et une de type Linksys). Aucun test de performance na t ralis mais les bornes ont fonctionn pendant plusieurs jours la grande satisfaction des utilisateurs (Petit test unitaire sur le coin dune table ralis entre une borne linksys 802.11G draft et une carte linksys 802.11G seule abonne la borne : Ftp 10 Mb/s sans utilisation de VPN pour un niveau de signal gal 100%, Ftp 7 Mb/s avec utilisation de VPN (cryptage AES 128 bits) pour un niveau de signal de 100%, Ftp 1,5 Mb/s sans utilisation de VPN pour un niveau de signal gal 20 %) On semble se diriger vers deux types effectifs de bornes : - les bornes bas prix pour les utilisations de type hot-spot, - les bornes plus onreuses capables de fonctionnalits plus avances. Dans le cadre dun dploiement de celui qui est envisag actuellement sur le campus, le second type est bien entendu conseill avec comme fonctionnalit essentielle linterdiction des communications entres les clients d'une mme borne (fonction "Public Secure Packet Forwarding" chez Cisco, Fonction "Local Bridge Filter" chez Nortel Networks, "Station to station bridging" chez Extreme Networks). Chez Nortel Network il y a galement une fonction "AP management Filter" sur les bornes qui interdit tout accs au management de la borne depuis un client Wireless. En ce qui concerne le tests de ces fonctions volues et trs rcentes (filtrage des communications, alimentation POE, vlan, etc), pas de remontes effectives de tests jusqu ce jour.
5.2.
La prise en main est trs facile au travers de linterface Web. Le manuel daide intgr au serveur web dadministration du matriel est assez complet. Il permet davoir un complment dinformation sur les paramtres. Les protocoles et fonctionnalits proposes sont riches, les clients VPN cisco gratuits. A noter des problmes dintgration dun botier de type 3005 au sein de larchitecture ospf du campus (pb dintgration de routes host et rinjection via ospf). Un ticket dincident a t mis pour solutionner le problme. 5.2.1.2. Solution Nortel Contivity 15
Preconisations-wifi-v4.doc
Nomadisme et Wifi
Universits de Grenoble
Solution techniquement intressante mais ayant un inconvnient gnant pour nous : les clients sont payants 5.2.1.3. Solution HP VPN Hewlett-Packard ProCurve 760wl
Le HP ProCurve 760wl fait partie de la nouvelle gamme de produit HP ProCurve Secure Access 700wl compose - pour l'instant - des modles 720 (contrleur d'accs en priphrie) , 740 (gestionnaire d'administration central) et 760 ( la fois contrleur d'accs et gestionnaire d'administration). C'est une gamme de produits qui est commercialement trs orient sur le contrle et la scurisation des rseaux sans fils mais qui - notre avis peut trs bien tre utilis pour des rseaux filaires. Sa sortie commerciale en France est prvue officieusement - source provenant de la socit ARES/RCS - dbut Novembre 2003 (?), alors que le produit a t commercialis aux US depuis le printemps et partir de Juin en Europe (du moins en Allemagne, en Italie et au Royaume Uni). Ce produit fait partie d'une gamme aux profils techniques riches et intressants. Bien qu'il puisse apparatre comme tant relativement complexe de mise en oeuvre - support de nombreux protocoles - l'interface d'administration bien pense simplifie beaucoup les choses. La possibilit d'avoir plusieurs types de carte d'extension ainsi "qu'un appliance" volutif est galement signaler. Par contre, le manque de maturit de certains outils d'administration, les incompatibilits de connexion des clients VPN et d'authentification LDAP sont embarrassantes.
5.3.
Solution F5 FirePass 1030 Ce produit qui est relativement rcent dans la gamme des produits F5 Networks est issue du rachat en Juillet 2003 de la socit uRoam Inc. Il se prsente sous la forme d'un chassis rackable de 19" quip de 2 interfaces rseaux RJ-45 10/100 base-T. Il permet un accs scuris travers un navigateur Web, supportant le SSLv3 et la gestion des cookies aux applications "Webiss" sans aucune installation de logiciel sur le poste client. Il permet aussi travers l'interface de connections Web de l'utilisateur, la possibilit d'accder des clients telnet/ssh ou des applicatifs de dports d'affichage ICA, RDP, VNC et X-Windows ainsi que l'accs des services de fichier FTP, CIFS ou NFS. Ce produit nous a sembl manquer encore de maturit. Beaucoup des nombreuses fonctionnalits prsentes sont exploitables mais elles manquent encore de finitions ou d'amliorations. De plus travers certaines de ses fonctionnalits, c'est pour l'instant une solution trs orientes pour le monde Windows (utilisation des plugins ActiveX), des dveloppements futurs sont prvu pour les mondes Linux (Unix ?) et MacOS en Java. Un problme - plus francophone - existe aussi autour de la localisation du firmware (principalement sur les interfaces de connexion et d'aide utilisateurs). Preconisations-wifi-v4.doc 16
Nomadisme et Wifi
Universits de Grenoble
Le prix public est encore relativement important compar aux solutions plus traditionnelles de VPN. Avis sur les solutions VPN-SSL A noter dans le domaine des concentrateurs VPN-SSL, la mouvance de l'offre actuelle. De nombreuses "startups" ont t rachetes (uRoam par F5, Neoteris par NetScreen et WebSafe par Symantec) ou vont l'tre par des quipementiers ou des diteurs plus importants. A mon avis, le VPN-SSL est LA SOLUTION d'avenir pour l'tablissement de connections scurises mais ceux sont des produits qui manquent encore de maturit. Il est l aussi - un peu comme pour ipv6 mais pas pour les mmes raisons - urgent d'attendre.
5.4.
Les firewall permettent gnralement des filtrages plus volus que les concentrateurs VPN ddis. Cependant, part quelques solutions bases sur des acclrateurs hard, les firewall tant souvent bass sur des Os (sun, nokia, ) les performances sont moindres que sur des botiers VPN ddis. L encore, les clients sont divers : noter des solutions pour palms
5.5.
Foundry et 3Com n'attendront pas la ratification du standard 802.3af pour commercialiser leurs produits PoE (Power over Ethernet). Ils ont profit du Cebit 2003 pour annoncer la disponibilit de produits compatibles 802.3af . 3Com, le plus ambitieux des deux quipementiers, a dvoil sa gamme de produits aliments via Ethernet compose d'un commutateur 24 ports 10/100 4400PWR, de trois points d'accs sans fil (8200, 8500, 8700) et des tlphones IP NBX2101 PE. De son ct, Foundry a prsent deux switchs de niveau 2/3, les Fast Iron Edge 2402 et 4802, dots respectivement de 24 et 48 ports 10/100 Mbit/s Ethernet. Les constructeurs insistent sur l'intrt d'une administration centralise de l'alimentation lectrique. Ainsi, les commutateurs 4400 PWR de 3Com sont dots de fonctionnalits de supervision et de contrle de l'alimentation, avec mission d'alarmes en cas de d'incidents. Ils peuvent mme garantir une alimentation lectrique sans coupure certains tlphones prioritaires, tels ceux d'une salle de classe. Quant aux commutateurs de Foundry, ils sont quips d'un mcanisme de dtection automatique des appareils utilisant l'alimentation lectrique via le LAN, et adaptent la puissance lectrique distribue en fonction des terminaux. Aujourd'hui, except 3Com et Foundry, d'autres quipementiers disposent de commutateurs compatibles 802.3af comme Nortel et son commutateur 24 ports 10/100 Baystack 460 PWR, lanc fin 2002, ou Avaya, avec son switch 24 ports 10/100 P333T PWR. Quant Cisco, comme nous lavons expliqu au chapitre prcdent, il a choisi de faire cavalier seul en dveloppant sa propre technologie Inline Power (disponible sur certains commutateurs Catalyst 3500, 4000 et 6500). (Le paragraphe ci-dessus provient dun larticle du magazine Rseaux & Tlcoms mis en ligne le 11/04/2003 par Alain COFFRE) Preconisations-wifi-v4.doc 17
Nomadisme et Wifi
Universits de Grenoble
Annexes
URLs
Dossier Les rseaux locaux radiolectriques ou RLAN / Wi-Fi de lART http://www.art-telecom.fr/dossiers/rlan/menu-gal.htm Recommandations pour le dploiement de rseaux sans fil sur le campus de Jussieu http://web.ccr.jussieu.fr/ccr/csr/reseaux_sans_fil/sansfil.htm SMAC : MAC Address Modifying Utility for Windows 2000 and XP systems http://www.klcconsulting.net/smac/ Anomalies de performances des rseaux Wi-Fi http://drakkar.imag.fr/news/perf.html Problme de performance dans les rseaux Wi-Fi (bas sur l'analyse prcdente) http://www.vnunet.fr/actu/article.htm?numero=11218 Scurit des rseaux sans fil 802.11b http://www.actuasite.com/spip/IMG/pdf/Securite_des_reseaux_802.11b.pdf http://ouah.kernsh.org/wlan-security.html EEE Wireless Standards Zone. http://standards.ieee.org/wireless/ http://standards.ieee.org/getieee802/download/802.11-1999.pdf Quelques recettes simples permettent de limiter les failles d'un rseau Wi-Fi http://www.01net.com/article/209432.html Les rseaux sans-fil en six points. http://solutions.journaldunet.com/0111/011115_faq_sansfil.shtml WARDRIVING http://reseaucitoyen.be/index.php?WarDriving http://www.securite.teamlog.com/publication/6/10/220/ La scurit des rseaux est-elle compromise avec larrive du sans-fil et des rseaux virtuels privs (VPN) http://www.viagenie.qc.ca/en/doc/cours/crim2002.pdf CERTA : Scurit des rseaux sans fil utilisant la norme 802.11b (Wi-Fi) http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/ Preconisations-wifi-v4.doc 18
Nomadisme et Wifi
Universits de Grenoble
Livre blanc sur lutilisation du Wifi http://www.cyber-networks.fr Dossier Terena sur le sujet de la mobilit http://www.terena.nl dossier Mobility Liste des compatibilits entre quipements VPN http://www.vpnc.org Secrtariat Gnral de la dfense nationale http://www.ssi.gouv.fr/fr/actualites/Rec_WIFI.pdf
Preconisations-wifi-v4.doc
19
Nomadisme et Wifi
Universits de Grenoble
Nomadisme et Wifi
Universits de Grenoble
SHA-1, Diffie-Hellman (groupes 1,2 et 5). plusieurs types de filtrage sont possible notamment au niveau Ethernet avec la possibilit d'importation d'une base d'adresse MAC depuis un annuaire LDAP, ainsi qu'au niveau VLAN, IP (TCP/UDP,ICMP), adressage et nommage IP. contrle d'accs gographique (par groupe d'utilisateurs, par point d'accs wifi, par vlan, par interface "de downlink", etc..) et temporel (en fonction de date, de l'heure, de minuterie d'inactivit ou de dur de session). usurpation d'adresses Ethernet (anti-MAC spoofing) et contrle du trafic de diffusion.
Les clients VPN support sont pour: MacOS 9: PGP PGPnet et LAN Builder (uniquement en PPTP), MacOS X (?) Unix: aucun .. none, nada, kedale .. ;-) Win9x et Winxx: Microsoft ( L2TP et PPTP), NetScreen, PGP PGPnet, SafeNet SoftRemote, SSH Sentinel. Pour les clients VPN IPSec "purs", 1 seul d'entre eux possde une version d'valuation ce qui n'a en rien facilit le droulement des tests. En rsum, aucun client VPN IPSec multi plateformes (MacOS, Unix et Windows) et encore moins gratuit. Pour information, je ne suis pas arriv faire fonctionner le client Cisco VPN (version Windows 4.02D) avec ce concentrateur. En terme de rseau, cet quipement supporte notamment les protocoles : DHCP: serveur configurable (en mode NAT) et relais (en mode IP natif). NAT/PAT avec plage personnalisable ou never-NAT. support de connexion cliente via un proxy HTTP/HTTPS. roaming des clients entre les sous-rseaux (continuit de session). noter le support des VLAN (802.1Q) avec fonctions de tagging, re-marquage et trunking automatique (non test) sur tous les ports. L'authentification des utilisateurs peut tre assure soit par la cration d'une base de donnes intgre (import XML possible), soit via une interface un annuaire LDAP v2/v3 (mode user ou non-user binding), une base Radius (non test), Kerberos (non test), XML-RPC (non test), un domaine NT ou Active Directory (non test), MS-CHAP v1/v2 (non test) ou 802.1X (non test). Les pages HTML (interception du 1er trafic HTTP en provenance d'un client) de (d)connexion sont personnalisables et contextuelles. L'authentification de groupes d'utilisateurs peut tre assur soit par une base de donns intgrs (import XML possible) ou soit via une interface un annuaire LDAP v2/v3 (non test). L'administration est assur via une interface Web scuris (HTTPS) ou via CLI mais Preconisations-wifi-v4.doc 21
Nomadisme et Wifi
Universits de Grenoble
uniquement accessible partir du port console (et ncessaire pour la configuration initiale). L'interface Web est relativement simple de prise en main, lgre et bien faite. Le systme de logs de type Unix est complet. De plus, il y a le support de client Syslog, de client NTP (v3) et des fuseaux horaires standards ainsi que d'un agent SNMP (compatible MIB2) mais en lecture seule. En terme d'utilitaires de dpannage, on trouve: au niveau 2 (Ethernet): des outils CLI de debug de trafic, le support du Cisco CDP, du Symbol Technologies WNMP (Wireless Network access Management Protocol), AppleTalk (bridging) et la possibilit de rajouter le support d'autres protocoles en utilisant l'utilitaire "tcpdump" (par ex pour IPX/SPX). au niveau 3 (IP): des outils CLI de debug TCP et les habituels "ping", "traceroute" et "nslookup" mais pas encore "dig" (!). au niveau applicatif, il est noter la prsence d'un utilitaire "Troubleshooting" (uniquement accessible via l'interface Web) de debuggage d'authentification utilisateur locale/LDAP/Radius/Kerberos/XML-RPC pratique et plutt bien fait. La mise jour du firmware est assur via du TFTP, FTP ou HTTP avec la possibilit d'utiliser une cl numrique et de conserver 2 versions diffrentes en local. La sauvegarde/restauration de la configuration et/ou de la base de donns intgrs est faite sous forme d'une image binaire (non exploitable) en local ou exportable/importable via du FTP. Pour de plus amples informations sur cette gamme de produit: http://www.hp.com/rnd/library/index.htm http://www.hp.com/rnd/support/index.htm Cet quipement nous a t prt par la socit ARES/RCS pendant une priode de 8 jours .. ouvrables .. ;-) .. avec la possibilit d'avoir un support technique auprs de HP France. Cette courte priode de prt est principalement du la toute rcente disponibilit de ce produit. Les tests partie des postes clients ont t ralis avec 3 PC sous Windows et Linux, dans un VLAN "client" indiffremment connects au rseau Ethernet en filaire ou en hertzien. Principaux problmes ou incidents rencontrs Authentification utilisateur impossible entre le 760 et un serveur OpenLDAP uniquement compatible avec la version 3 du protocole. Dans sa documentation, HP ne mentionne en effet que le support LDAP v3 pour MS-Active Directory ou Sun iPlanet, mais du LDAP v3 c'est normalement compatible avec du LDAP v3 (sauf pour MS-AD .. cela je le sais dj). Le problme est remont au support technique de HP Europe (HP France ne pouvant pas assurer le support sur ce problme l) -> pas de solution propos pour l'instant. A mon avis, le client LDAP du 760 n'met ses requtes qu'en LDAP v2 (problme identiquement rencontr sur un concentrateur VPN-SSL d'un autre constructeur). Le CDP n'a pas l'air de fonctionner correctement. Les interfaces du 760 taient connects sur des switchs Cisco Catalyst ayant le support du CDP activ, il a t impossible de le voir dans "le voisinage CDP" de ces switchs l ainsi qu'a partir du Preconisations-wifi-v4.doc 22
Nomadisme et Wifi
Universits de Grenoble
logiciel Cisco CWSI (NMS utilisant la dcouverte SNMP/CDP) -> ce problme n'a pas t remont au support technique HP. Il faudrait avoir une liste des clients VPN rellement supports, il semble que ce concentrateur VPN souffre lui aussi d'incompatibilits avec certains logiciels clients VPN -> pas de rponse propos pour l'instant. Il faudrait rcuprer les performances et le nombre de clients simultans supports en IPSec "pur" avec et sans carte d'acclration -> pas de rponse pour l'instant. Son Prix (et oui cela fait aussi partie des problmes): rponse d'ARES/RCS du 8/9/03: Comme suite notre conversation tlphonique, vous trouverez ci-dessous vos prix remis concernant l'acquisition d'Access Controler HP. Le 720: 3.308 Euros H.T Le 740: 5.004 Euros H.T Le 760: 6.658 Euros H.T Conclusions Ce produit fait partie d'une gamme aux profils techniques riches et intressants. Bien qu'il puisse apparatre comme tant relativement complexe de mise en oeuvre - support de nombreux protocoles - l'interface d'administration bien pense simplifie beaucoup les choses. La possibilit d'avoir plusieurs types de carte d'extension ainsi "qu'un appliance" volutif est galement signaler. D'autres part, le rapport fonctionnalit/prix est intressant compar aux solutions VPN Cisco ou Nortel par exemple (x2/x3). Par contre, le manque de maturit de certains outils d'administration, les incompatibilits de connexion des clients VPN et d'authentification LDAP et le manque de ractivit actuel du support technique HP France (ou Europe) sont vraiment embarrassantes. NB: Cette gamme de produit ressemble comme 2 gouttes d'eau aux offres AM/CS 6500 de Vernier Networks (http://www.verniernetworks.com/).
Preconisations-wifi-v4.doc
23
Nomadisme et Wifi
Universits de Grenoble
Nomadisme et Wifi
Universits de Grenoble
droits du client il peut lactiver ou le dsactiver. Problmes rencontrs : Sous windows NT le mode dmarrage du client louverture de la session avec le client VPN 4.0.3 ne fonctionne pas. Le problme a t rsolu en installant le client VPN 3.6.6. Pour passer du client VPN 4.0.3 au client 3.6.6, il faut supprimer le fichier /winnt/system32/CSgina.dll. Windows 95 est compatible uniquement avec la version 3.6 du client VPN cisco. Difficults utiliser ospf pour un botier VPN 3005 dans une area fille (pb dexport des routes en /32 pour une utilisation radius avec affectation dadresse par utilisateur). A noter une version ssl existante en beta, (pas encore teste) mais qui dans les documents constructeur divise par 4 les performances par rapport une utilisation de type VPN.
Preconisations-wifi-v4.doc
25
Nomadisme et Wifi
Universits de Grenoble
Nomadisme et Wifi
Universits de Grenoble
La mise jour du firmware ainsi que la notification automatique de nouvelles versions se font partir de l'interface Web. Il n'est pas possible de disposer de plusieurs versions de firmware sur le mme FirePass et il est fortement dconseill "de downgrader" une version. Le FirePass est initialement dploy avec un certificat pr-install (utilisation en autocertification) qui peut tre - qui doit l'tre en exploitation - remplac par un certificat valide. Les listes de rvocations (CRL) sont galement supportes. Parmi certaines fonctionnalits, a noter les possibilits: - de monter des tunnels VPN IPSec entre le FirePass et d'autres serveurs ou rseaux - de rajouter l'utilisation de routes statiques (avec prioritisation) - d'accorder une partie ou la totalit des privilges d'administration d'autres utilisateurs autre que l'administrateur - de dfinir le comportement (images, colorisations, etc...) des navigateurs clients en fonction de l'entte HTTP d'identification UserAgent - de paramtrer le comportement du cache des navigateurs clients - de forcer le vidage du cache des navigateurs clients la dconnexion (mais en ActiveX !) - de compresser (en gzip) le trafic entre le FirePass et ses navigateurs clients. A noter galement, la prsence "d'une backdoor" SSH ncessaire au support technique pour (re)prendre la main sur le FirePass. L'authentification des utilisateurs peut tre assur soit par une base de donne locale au FirePass (cration manuelle) ou bien depuis l'importation d'un fichier texte au format CSV, d'un annuaire LDAP ou bien du PDC d'un Domaine Windows (NT ou AD). Il existe galement la possibilit de rediriger les authentifications auprs de serveurs HTTP, LDAP, RADIUS et Domaine Windows (NTLM ou NetLogon). Dans ce cas l, le compte de utilisateur est cr automatiquement sur le FirePass lors de sa 1er connexion. A noter la possibilit d'authentification double par "des tokens" RSA SecurID ou via un serveur VASCO Digipass. Chaque utilisateur doit tre associ au minimum un groupe pour pouvoir tre authentifi. Ces groupes sont soit crs manuellement, ceci permettant d'avoir diffrents profils "aux besoins" ou bien import depuis "un mapping" partir d'un annuaire LDAP, d'une base RADIUS ou d'un Domaine Windows. Il est possible de customiser une partie (texte, couleur, icne et logo) de l'interface standard de connexion de l'utilisateur, qui pour le moment n'est disponible qu'en Anglais, une version "francophone" tant prvue pour la version 4.1 (2004Q1). Pour une customisation plus approfondie, notamment pour rsoudre les problmes de localisation, on peut rediriger, aprs authentification et suivant son groupe d'appartenance, l'utilisateur vers un autre site Web qui lui sert ce moment l d'interface de connexion. Une fois authentifi, le FirePass permet l'utilisateur une connexion scuris travers un navigateur ayant un support - correct ! - du SSL v2/v3 (au mieux support du 3DES, pas encore celui de l'AES) et de la gestion des cookies. Preconisations-wifi-v4.doc 27
Nomadisme et Wifi
Universits de Grenoble
Les tests ct postes clients ont t ralis partir de diffrents LAN (IMAG, UPMF), OS (Linux, MacOS X, Windows) et navigateurs (Konqueror, Internet Explorer, Mozilla). Pour de plus amples informations sur cette gamme de produit: http://www.f5.com/f5products/FirePass/ http://tech.f5.com/home/firepass/ Principaux problmes ou incidents rencontrs durant les tests: - lors d'une authentification utilisateur externe au Firepass (LDAP, RADIUS, etc..), il est cr en local un compte qui ne peut tre modifi ou dtruit que manuellement par l'administrateur (pas de destruction automatique la dconnexion de l'utilisateur) - erreur d'excution de certains scripts PHP dans l'interface d'administration empchant la configuration ou l'utilisation de certaines fonctionnalits "Network Packet Dump", "Telnet Access", etc... -> corrig dans la version 4.0.1 - perte de la mtrologie existante lors d'un redmarrage des services suite la modification du paramtrage des fuseaux horaires - nombreuses remontes d'alarme sur des lectures errones de basses tensions d'alimentation de la carte mre -> corrig dans la version 4.0.1 - de nombreux problmes pour l'tablissement de connexions FTP (en mode actif, pas en mode passif) principalement partir des clients FTP intgres aux diffrents navigateurs Web (souvent non paramtrable) - authentifications LDAP en v2 mais pas en v3 -> corrig dans la version 4.0.1 - l'envoi de courriels SMTP vers un compte d'administration n'a jamais put fonctionner malgr de nombreux tests ! - mise en place de certificat X.509 valide. Tous les tests ont du se drouler avec le certificat pr-install par F5 Networks (auto-certification et FQDN invalide), Il nous a t impossible de mettre en place un certificat personnel (via l'Infrastructure de Gestion de Cls du CNRS). - multiple login simultan administrateur (ou quivalent) possible -> le dernier des login "admin" qui sur les mmes paramtres valide quelques choses raison ! - l'utilisation de certaines fonctionnalits (par ex AppTunnels ou SSL VPN) partir d'un navigateur client provoque l'apparition de mini-fentre Web "Pop-up" de session en plus de la fentre Web support de la fonction. Tant que ces mini-fentres ne sont pas fermes, elles assurent la continuit de cette session ... indifiniment ! -> corrig dans la version 4.0.1. Conclusion Ce produit qui est relativement rcent dans la gamme des produits de F5 Networks, n'est pas encore compltement "F5-is" (connaissance et matrise par le support technique, incorporation des technologies "maisons"). Il nous a sembl encore manquer de maturit. De nombreuses fonctionnalits prsentes sont exploitables mais elles manquent de finitions ou d'amliorations. Le support des applicatifs IP est loin d'tre complets, par ex pour les clients de messagerie mais sont promis des ameliorations (payantes pour certaines). De plus, travers certaines de ses fonctionnalits avances, c'est pour l'instant une solution trs orients pour le monde Windows (utilisation de plugins ActiveX, de tunnels MS-PPTP), des dveloppements futurs sont prvus pour les mondes Linux (Unix ?) et MacOS-X base de Java. Il est noter que ce produit n'est pas uniquement orient Preconisations-wifi-v4.doc 28
Nomadisme et Wifi
Universits de Grenoble
travers son utilisation pour des navigateurs Web de PC mais aussi vers ceux des Mobiles (PDA, WAP, iMode). Le prix public est encore relativement important compar aux solutions plus traditionnelle de VPN, il faut compter un prix d'achat multipli par 4 ou 5.
Preconisations-wifi-v4.doc
29