Module: Concepts WLAN

,
Objectifs de ce module
Titre du module: Concepts WLAN

Objectif du module: expliquer comment les réseaux locaux sans fil permettent
la connectivité réseau..
Titre du Rubrique Objectif du rubrique
Introduction au sans-fil Décrire la technologie et les normes WLAN.
Composants d'un réseau
WLAN Décrire les composants d'une infrastructure WLAN.

Fonctionnement d'un réseau Expliquer comment la technologie sans fil permet le

WLAN fonctionnement du réseau WLAN.
Fonctionnement du Expliquer comment un contrôleur sans fil utilise
protocole CAPWAP CAPWAP pour gérer plusieurs points d'accès.
Gestion des canaux Décrire la gestion des canaux dans un réseau WLAN.
Menaces visant le réseau
WLAN Décrire les menaces visant les réseaux WLAN.

WLAN sécurisés Décrire les mécanismes de sécurité WLAN.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 12
12.1 Présentation de la
technologie sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 13
Présentation de la technologie sans fil

12.1.1 Avantages du sans fil

• Un réseau local sans fil (WLAN) est un type de réseau

sans fil couramment utilisé dans les maisons, les
bureaux et les campus.
• Les WLAN rendent la mobilité possible dans les
environnements domestiques et professionnels.
• Les infrastructures sans fil s'adaptent aux besoins et
aux technologies en évolution rapide.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 14
Présentation de la technologie sans fil

12.1.2 Types de réseaux sans fil

• Réseau personnel sans fil (WPAN) - Faible consommation et courte portée

(2030 pieds ou 6-9 mètres). Basé sur la norme IEEE 802.15 et la fréquence 2,4
GHz. Bluetooth et Zigbee sont des exemples WPAN.

• LAN sans fil (WLAN) - Réseaux de taille moyenne jusqu'à environ 300 pieds.
Basé sur la norme IEEE 802.11 et la fréquence 2,4 ou 5,0 GHz.

• MAN sans fil (WMAN) - Grande zone géographique telle que ville ou quartier.
Utilise des fréquences sous licence spécifiques.

• WAN sans fil (WWAN) - Zone géographique étendue pour les communications
nationales ou mondiales. Utilise des fréquences sous licence spécifiques.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 15
Présentation de la technologie sans fil

12.1.3 Technologies sans fil

Bluetooth - Norme IEEE WPAN utilisée pour

l'appariement d'appareils jusqu'à une distance de 100
mètres.
• Bluetooth Low Energy (BLE) - Prend en charge la
topologie maillée pour les périphériques réseau à grande
échelle.

• Débit de base Bluetooth / Débit amélioré (BR / EDR) -

Prend en charge les topologies point à point et est optimisé
pour le streaming audio.

WiMAX (Worldwide Interoperability for Microwave

Access) - Connexions Internet filaires à large bande
alternatives. Norme WLAN IEEE 802.16 jusqu'à 30 miles
(50 km).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 16
Présentation de la technologie sans fil

12.1.3 Technologies sans fil (suite)

Cellulaire large bande - Transportez à la fois la voix et

les données. Utilisé par les téléphones, les automobiles,
les tablettes et les ordinateurs portables.
• Global System of Mobile (GSM) - Reconnu
internationalement

• CDMA (Code Division Multiple Access) - Utilisé

principalement aux États-Unis.

Satellite large bande - Utilise une antenne

parabolique directionnelle alignée sur un satellite en
orbite géostationnaire. Besoin d'une ligne de site
claire. Généralement utilisé dans les zones rurales où
le câble et la DSL ne sont pas disponibles.
Présentation de la technologie sans fil
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 17
12.1.4 Normes du 802.11

Les normes 802.11 WLAN définissent comment les fréquences radio sont utilisées pour les liaisons sans fil.
Norme IEEE Radiofréquence Description

802.11 2,4 GHz Débits de données jusqu'à 2 Mb / s

802.11a 5 GHz Débits de données jusqu'à 54 Mb / s
Non interopérable avec 802.11b ou 802.11g
802.11b 2,4 GHz Débits de données jusqu'à 11 Mb / s
Portée plus longue que 802.11a et mieux à pénétrer les structures
des bâtiments
802.11g 2,4 GHz Débits de données jusqu'à 54 Mb / s
Rétrocompatible avec 802.11b
802.11n 2,4 et 5 GHz Débits de données 150 - 600 Mb / s
Nécessite plusieurs antennes avec la technologie MIMO
802.11ac 5 GHz Débits de données 450 Mb/s – 1.3 Gb/s
Prend en charge jusqu'à huit antennes
802.11ax 2,4 et 5 GHz Sans fil haute efficacité (High-Efficiency Wireless) (HEW)
Capable d'utiliser des fréquences de 1 GHz et 7 GHz
Présentation de la technologie sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 18
 12.1.5 Fréquences Radio

Tous les appareils sans fil fonctionnent dans la portée du spectre électromagnétique.
Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et la bande 5
GHz.
• 2,4 GHz (UHF) - 802.11b/g/n/ax
• 5 GHz (SHF) - 802.11a/n/ac/ax

Introduction au sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 19
12.1.6 Organismes de normalisation sans fil

Les normes garantissent l'interopérabilité entre les appareils fabriqués par différents
fabricants. Au niveau international, les trois organisations qui influencent les normes
WLAN:
• Union internationale des télécommunications (UIT) - Régule l'attribution du
spectre radioélectrique et des orbites de satellites.
• Institut des ingénieurs électriciens et électroniciens (IEEE) - Spécifie comment
une fréquence radio est modulée pour transporter des informations. Il maintient les
normes pour les réseaux locaux et métropolitains (MAN) avec la famille de normes
IEEE 802 LAN / MAN.
• Alliance Wi-Fi - Favorise la croissance et l'acceptation des WLAN. Il s'agit d'une
association de fournisseurs dont l'objectif est d'améliorer l'interopérabilité des
produits basés sur la norme 802.11 en certifiant la conformité des fournisseurs aux
normes de l'industrie et le respect des normes.
Introduction au sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 20
12.1.7 Vérifiez votre compréhension - Introduction au sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 21
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 22
Introduction au sans fil

12.1.7 Vérifiez votre compréhension - Introduction au sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 23
12.2 Composants WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 24
12.2.1 Vidéo des composants WLAN - Composants WLAN

Cette vidéo couvre les points suivants :

• Antennes
• Routeur sans fil
• Port Internet
• Point d'accès sans fil
• Points d'accès autonomes et basés sur un contrôleur
Composants WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 25
12.2.2 NIC sans fil

Pour communiquer sans fil, les ordinateurs

portables, les tablettes, les téléphones intelligents
et même les dernières voitures incluent des
cartes réseau sans fil intégrées qui incorporent
un émetteur / récepteur radio.

Cependant, si un périphérique ne possède pas

de carte réseau sans fil intégrée(NIC), un
adaptateur sans fil USB peut être utilisé, comme
illustré dans la figure.
Composants WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 26
12.2.3 Routeur domestique sans fil

un utilisateur à domicile interconnecte généralement des périphériques sans fil à l'aide

d'un petit routeur sans fil, comme illustré dans la
figure.

Les routeurs sans fil sont les suivants:

• Points d'accès – Pour fournir un accès aux câbles

• Commutateur – Pour interconnecter des appareils

câblés

• Routeur - Pour fournir une passerelle par défaut

vers d'autres réseaux et Internet

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 27
12.2.4 Point d'accès sans fil

Les clients sans fil utilisent leur carte

réseau sans fil pour découvrir les points
d'accès (AP) à proximité.

Les clients tentent ensuite de s'associer

et de s'authentifier avec un AP.

Une fois authentifiés, les utilisateurs sans

fil ont accès aux ressources réseau.
Points d'accès Cisco
Meraki Go
Composants WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco
Composants WLAN
12.2.5 Catégories AP
Les points d'accès peuvent être classés comme
des points d'accès autonomes ou des points
d'accès basés sur un contrôleur.

• AP autonomes - Périphériques autonomes

configurés via une interface de ligne de
commande ou une interface graphique.
Chaque AP autonome agit
indépendamment des autres et est
configuré et géré manuellement par un
administrateur.

• AP basés sur contrôleur - Également

appelés AP légers (LAP). Utilisez le
protocole de point d'accès léger (LWAPP)
pour communiquer avec un contrôleur

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco
 LWAN (WLC). Chaque LAP est
automatiquement configuré et géré par le
WLC.

12.2.6
Antennes sans
fil
Types d'antennes
externes:
• Omnidirectionnel - Fournit une
couverture à 360 degrés. Idéal dans les
maisons et les bureaux.

• Directionnel - Concentrez le signal

radio dans une direction spécifique.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco
Composants WLAN
Les exemples sont le Yagi et le plat
parabolique.

• Entrées multiples Sorties multiples

(MIMO) - Utilise plusieurs antennes
(jusqu'à huit) pour augmenter la bande
passante.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco
Composants WLAN

12.2.7 Vérifiez votre compréhension - Composants de WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 32
Composants WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 33
12.2.7 Vérifiez votre compréhension - Composants de WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 34
Composants WLAN

12.3 Fonctionnement d'un

réseau WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 35
Fonctionnement du WLAN

12.3.1 Vidéo - Fonctionnement du WLAN

Cette vidéo couvre les points suivants :

• Mode d'infrastructure
• Mode ad hoc
• Mode modem
• Ensemble de services de base (BSS)
• Ensemble de service étendu (ESS)
• Structure de trame 802.11

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco36
 • Protocole CSMA/CA (Carrier Sense Multiple Access with Collision
Avoidance)
• Association des points d'accès des clients sans fil
• Mode de découverte passif et actif
Fonctionnement du WLAN

12.3.2 Modes de topologie sans fil 802.11

Mode ad hoc - Utilisé pour connecter les clients

de manière poste à poste sans point d'accès.

Mode infrastructure - Utilisé pour connecter les

clients au réseau à l'aide d'un AP.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco37
 Partage de connexion - La variation de la topologie ad hoc se produit
lorsqu'un téléphone intelligent ou une tablette avec accès aux données
cellulaires est activé pour créer un point d'accès personnel.
Fonctionnement du WLAN

12.3.3 BSS et ESS

Le mode infrastructure définit deux

blocs de topologie:
Ensemble de services de base (BSS)
• Un BSS consiste en un seul AP
interconnectant tous les clients sans fil
associés.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco38
 • Les clients de différents BSS ne peuvent pas communiquer.
Ensemble de service étendu (ESS)
• Union de deux ou plusieurs BSS interconnectés par un système de distribution câblé.
• Les clients de chaque BSS peuvent communiquer via l'ESS.
Fonctionnement du WLAN

12.3.4 Structure de trame 802.11

Le format de trame 802.11 est similaire au format de trame Ethernet,

sauf qu'il contient plus de champs.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco39
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco40
Fonctionnement du WLAN

12.3.5 CSMA/CA

Les WLAN sont semi-duplex et un client ne peut pas "entendre" pendant qu'il envoie, ce qui rend
impossible de détecter une collision.
Les WLAN utilisent l'accès multiple par détection de porteuse avec évitement de collision
(CSMA/CA) pour déterminer comment et quand envoyer des données. Un client sans fil effectue
les opérations suivantes:
1. Écoute le canal pour voir s'il est inactif, ce qui signifie qu'il détecte qu'aucun autre trafic n'est
actuellement sur le canal.
2. Envoie un message prêt à envoyer (RTS) à l'AP pour demander un accès dédié au réseau.
3. Reçoit un message clair à envoyer (CTS) de l'AP accordant l'accès à l'envoi.
4. Attend un laps de temps aléatoire avant de redémarrer le processus si aucun message CTS
n'est reçu.
5. Transmet les données.
6. Reconnaît toutes les transmissions. Si un client sans fil ne reçoit pas d'accusé de réception,
il suppose qu'une collision s'est produite et redémarre le processus.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 41
Fonctionnement du WLAN

12.3.6 Client sans fil et Association des point d'accès

Pour que les périphériques sans fil puissent communiquer sur le réseau, ils
doivent tout d'abord être associés à un point d'accès ou à un routeur sans
fil.
Les appareils sans fil
effectuent le processus en trois
étapes suivant:
• Découvrir de nouveaux points
d'accès sans fil
• S'authentifier auprès du point
d'accès
• S'associer au point d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 42
Fonctionnement du WLAN

12.3.6 Client sans fil et Association des point d'accès

(suite)

Afin d'avoir une association réussie, un client sans fil et un AP doivent se

mettre d'accord sur des paramètres spécifiques.
• SSID – Le client doit connaître le nom du réseau pour se connecter.
• Mot de passe - Ceci est requis pour que le client s'authentifie auprès de l'AP.
• Mode réseau - La norme 802.11 utilisée.
• Mode de sécurité - Les réglages des paramètres de sécurité, c'est-à-dire WEP,
WPA ou WPA2.
• Paramètres des canaux - Les bandes de fréquences utilisées.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 43
Fonctionnement WLAN

12.3.7 Mode découverte passif et actif

Les clients sans fil se connectent à l'AP à

l'aide d'un processus de balayage (sondage)
passif ou actif.
• Mode passif - AP annonce Mode passif
ouvertement son service en envoyant
périodiquement des trames de balise de
diffusion contenant le SSID, les normes prises
en charge et les paramètres de sécurité.
• Mode actif - Les clients sans fil doivent
connaître le nom du SSID.
Le client sans fil lance le processus mode actif en
diffusant une trame de demande
d'enquête sur plusieurs canaux.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 44
Fonctionnement WLAN

12.3.8 Vérifiez votre compréhension - Fonctionnement du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 45
Fonctionnement WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 46
Fonctionnement WLAN

12.3.8 Vérifiez votre compréhension - Fonctionnement du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 47
12.4 Fonctionnement du
protocole CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 48
Fonctionnement du protocole CAPWAP

12.4.1 Vidéo – CAPWAP

Cette vidéo couvre les points suivants :

• Fonction de contrôle et d'approvisionnement des points d'accès sans fil
(CAPWAP)
• Architecture de contrôle d'accès aux médias divisés (MAC)
• Le chiffrement DTLS
• Points d'accès Flex Connect
Fonctionnement du CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 49
12.4.2 Introduction au CAPWAP

• CAPWAP est un protocole standard IEEE

qui permet à un WLC de gérer plusieurs AP
et
WLAN.

• CAPWAP est basé sur LWAPP mais

ajoute une sécurité supplémentaire avec
Datagram Transport Layer Security
(DTLS).

• Encapsule et transfère le trafic client

WLAN entre un AP et un WLC sur des
tunnels en utilisant les ports UDP 5246 et 5247.

• Fonctionne sur IPv4 et IPv6. IPv4 utilise le protocole IP 17 et IPv6 utilise le

protocole IP 136.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 50
 Fonctionnement du CAPWAP

12.4.3 Architecture MAC divisée

Le concept de MAC divisé du CAPWAP remplit Fonctions MAC AP Fonctions MAC WLC
toutes les fonctions normalement remplies par
les AP individuels et les répartit entre deux Balises et réponses Authentification
des sondes
composantes fonctionnelles :
Accusé de réception Association et
• Fonctions MAC AP et retransmissions réassociation de clients
• Fonctions MAC WLC de paquets itinérants

Fonctionnement du CAPWAP
Mise en file d'attente Traduction de trame
des trames vers d'autres protocoles
et priorisation des
paquets
Cryptage et Arrêt du trafic 802.11
décryptage des sur une interface filaire
données de la
couche MAC © 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 51
 12.4.4 Cryptage DTLS

• DTLS assure la sécurité entre l'AP et le

WLC.

• Il est activé par défaut pour sécuriser le

canal de contrôle CAPWAP et crypter
tout le trafic de gestion et de contrôle
entre AP et WLC.

• Le chiffrement des données est

désactivé par défaut et nécessite
qu'une licence DTLS soit installée sur
le WLC avant de pouvoir être activée
sur l'AP.
Fonctionnement du CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 52
12.4.5 Flex Connect APs
FlexConnect permet la configuration et le contrôle d'Aps sur une liaison WAN.

Il existe deux modes d'option pour le FlexConnect AP:

• Mode connecté - Le WLC est accessible. Le FlexConnect AP a une connectivité CAPWAP avec le
WLC via le tunnel CAPWAP. Le WLC exécute toutes les fonctions CAPWAP.
• Mode autonome - Le WLC est inaccessible. Le FlexConnect AP a une connectivité CAPWAP avec le
WLC via le tunnel CAPWAP. Le FlexConnect AP peut assumer certaines des fonctions WLC telles
que la commutation locale du trafic de données client et l'exécution de l'authentification client
localement.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 53
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 54
Fonctionnement du CAPWAP

12.4.6 Vérifiez votre compréhension - Fonctionnement CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 55
Fonctionnement du CAPWAP

12.4.6 Vérifiez votre compréhension - Fonctionnement CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 56
Fonctionnement du CAPWAP

12.4.6 Vérifiez votre compréhension - Fonctionnement CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 57
12.5 Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 58
Gestion des canaux

12.5.1 Saturation des canaux de fréquences

Si la demande pour un canal sans fil spécifique est trop élevée, le canal peut devenir
sursaturé, dégradant la qualité de la communication.
La saturation des canaux peut être atténuée en utilisant des techniques qui utilisent les
canaux plus efficacement.
• Spectre à étalement de séquence directe (DSSS) - Une technique de modulation
conçue pour étaler un signal sur une bande de fréquences plus large. Le DSSS est
utilisé par les appareils 802.11b pour éviter les interférences d'autres appareils utilisant
la même fréquence 2,4 GHz.
• Spectre étalé à saut de fréquence (FHSS) - Transmet des signaux radio en commutant
rapidement un signal porteur parmi de nombreux canaux de fréquence. L'émetteur et le

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 59
 récepteur doivent être synchronisés pour «savoir» sur quel canal passer. Utilisé par la
norme 802.11 d'origine.
• Multiplexage par répartition en fréquence orthogonale (OFDM) - Sous-ensemble de
multiplexage par répartition en fréquence dans lequel un seul canal utilise plusieurs
souscanaux sur des fréquences adjacentes. L'OFDM est utilisé par un certain nombre de
systèmes de communication, notamment 802.11a / g / n / ac.
Gestion des canaux

12.5.2 Sélection des canaux

• La bande de 2,4 GHz est subdivisée en plusieurs canaux, chacun ayant une largeur de
bande de 22 MHz et séparée du canal suivant par 5 MHz.
• Une meilleure pratique pour les WLAN 802.11b / g / n nécessitant plusieurs points
d'accès est d'utiliser des canaux sans chevauchement tels que 1, 6 et 11.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 60
Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 61
12.5.2 Sélection des canaux (suite)

• Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. Chaque canal est séparé
du canal suivant de 20 MHz.
• Les canaux qui ne se chevauchent pas sont 36, 48 et 60.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 62
Gestion des canaux

12.5.3 Planifier un déploiement WLAN

Le nombre d'utilisateurs pris en charge par

un WLAN dépend des éléments suivants:
• La disposition géographique de
l'installation
• Le nombre de corps et d'appareils
pouvant tenir dans un espace
• Les débits de données attendus par
les utilisateurs
• L'utilisation de canaux sans
chevauchement par plusieurs points
d'accès et paramètres de puissance
de transmission

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 63
Gestion des canaux

Lors de la planification de l'emplacement

des points d'accès, la zone de couverture
circulaire approximative est importante.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 64
Gestion des canaux

12.5.4 Vérifiez votre compréhension - Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 65
Gestion des canaux

12.5.4 Vérifiez votre compréhension - Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 66
12.6Menaces visant le réseau
WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 67
Menaces visant le réseau WLAN

12.6.1 Vidéo – Menaces WLAN

Cette vidéo présentera les points suivants :

• Interception de données
• Intrus sans fil
• Attaques par déni de service (DoS)
• Points d'accès escrocs
Menaces visant le réseau WLAN

12.6.2 Présentation de la sécurité sans fil

Un WLAN est ouvert à toute personne à portée d'un point d'accès et aux informations
d'identification appropriées à lui associer.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 68
 Les attaques peuvent être générées par des étrangers, des employés mécontents et
même involontairement par des employés. Les réseaux sans fil sont particulièrement
sensibles à plusieurs menaces, notamment:
• Interception de données
• Intrus sans fil
• Attaques par déni de service (DoS)
• Points d'accès escrocs
Menaces visant le réseau WLAN

12.6.3 les Attaques DoS

Les attaques DoS sans fil peuvent être le résultat de ce qui suit:
• Périphériques mal configurés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 69
 • Un utilisateur malveillant interférant intentionnellement avec la communication
sans fil
• Interférence accidentelle
Pour minimiser le risque d'une attaque DoS en raison d'appareils mal configurés et
d'attaques malveillantes, renforcez tous les appareils, sécurisez les mots de passe,
créez des sauvegardes et assurez-vous que toutes les modifications de configuration
sont intégrées en dehors des heures d'ouverture.
Menaces visant le réseau WLAN

12.6.4 Les Points d'Accès Non Autorisés

• Un point d'accès non autorisé est un point d'accès ou un routeur sans fil qui a été
connecté à un réseau d'entreprise sans autorisation explicite et conformément à
la politique de l'entreprise.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 70
 • Une fois connecté, l'escroc AP peut être utilisé par un attaquant pour capturer des
adresses MAC, capturer des paquets de données, accéder à des ressources
réseau ou lancer une attaque de type homme-au-milieu.
• Un point d'accès au réseau personnel pourrait également être utilisé comme point
d'accès non autorisé. Par exemple, un utilisateur avec un accès réseau sécurisé
permet à son hôte Windows autorisé de devenir un point d'accès Wi-Fi.
• Pour empêcher l'installation de points d'accès non autorisés, les organisations
doivent configurer les WLC avec des stratégies de points d'accès malveillants et
utiliser un logiciel de surveillance pour surveiller activement le spectre
radioélectrique des points d'accès non autorisés.
Menaces visant le réseau WLAN

12.6.5 Attaque d'Homme-au-Milieu

Dans une attaque d'homme-au-milieu (MITM), le pirate est positionné entre deux
entités légitimes afin de lire ou de modifier les données qui transitent entre les deux
parties. Une attaque «evil twin AP» est une attaque MITM sans fil populaire où un
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 71
 attaquant introduit un AP escroc et le configure avec le même SSID qu'un AP
légitime

Le processus commence par l'identification des périphériques légitimes sur le WLAN.

Pour ce faire, les utilisateurs doivent être authentifiés. Une fois que tous les
périphériques légitimes sont connus, le réseau peut être surveillé pour détecter les
périphériques ou le trafic anormaux.

Menaces visant le réseau WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 72
12.6.6 Vérifiez votre compréhension - Menaces du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 73
12.7 WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 74
WLAN sécurisés

12.7.1 Vidéo – WLAN sécurisés

Cette vidéo présentera les points suivants :

• Masquage SSID
• Filtrage d'adresses MAC
• Systèmes d'authentification et de cryptage (authentification ouverte et
authentification à clé partagée)
WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 75
12.7.2 Masquage SSID et filtrage des adresses MAC

Pour faire face aux menaces de garder les intrus sans fil à l'extérieur et de protéger
les données, deux premières fonctions de sécurité ont été utilisées et sont toujours
disponibles sur la plupart des routeurs et des points d'accès:
Masquage SSID
• Les points d'accès et certains routeurs sans fil permettent de désactiver la trame
de balise SSID. Les clients sans fil doivent être configurés manuellement avec le
SSID pour se connecter au réseau.

Filtrage d'adresses MAC

• Un administrateur peut autoriser ou refuser manuellement l'accès sans fil des
clients en fonction de leur adresse matérielle MAC physique. Dans la figure, le
routeur est configuré pour autoriser deux adresses MAC. Les appareils avec des
adresses MAC différentes ne pourront pas rejoindre le WLAN 2,4 GHz.
WLANs sécurisés
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 76
12.7.3 Méthodes d'authentification d'origine du 802.11

La meilleure façon de sécuriser un réseau sans fil est d'utiliser des systèmes
d'authentification et de cryptage. Deux types d'authentification ont été introduits avec
la norme 802.11 d'origine:
L'authentification de système ouvert,
• Aucun mot de passe requis. Généralement utilisé pour fournir un accès Internet
gratuit dans les espaces publics comme les cafés, les aéroports et les hôtels.
• Le client est responsable d'assurer la sécurité, par exemple via un VPN.
Authentification par clé partagée
• Fournit des mécanismes, tels que WEP, WPA, WPA2 et WPA3 pour authentifier
et crypter les données entre un client sans fil et AP. Cependant, le mot de passe
doit être pré-partagé entre les deux parties pour se connecter.
WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 77
12.7.4 Méthodes d'authentification par clé partagée
Il existe quatre techniques d'authentification par clé partagée, comme décrit dans le tableau.

Méthode d'authentification Description

WEP (Wired Equivalent La spécification 802.11 originale conçue pour sécuriser les données à
Privacy) l'aide de la méthode de chiffrement Rivest Cipher 4 (RC4) avec une clé
statique. Le WEP n'est plus recommandé et ne doit jamais être utilisé.

Fonction WPA (Wi-Fi Une norme de l'Alliance Wi-Fi qui utilise le protocole WEP mais sécurise
Protected Access) les données grâce à l'algorithme de cryptage TKIP (Temporal Key
Integrity Protocol), beaucoup plus puissant. Le protocole TKIP modifie la
clé pour chaque paquet, rendant très difficile son piratage.

WPA2 Il utilise le standard de cryptage avancé (AES) pour le cryptage. Le

mode de chiffrement AES est actuellement considéré comme étant le
protocole de chiffrement le plus puissant.
WPA3 Il s'agit de la prochaine génération de sécurité Wi-Fi. Tous les appareils
compatibles WPA3 utilisent les dernières méthodes de sécurité,
interdisent les protocoles hérités obsolètes et nécessitent l'utilisation de
cadres de gestion protégés (PMF).
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 78
WLAN sécurisés

12.7.5 Authentification d'un Utilisateur à Domicile

Les routeurs domestiques ont généralement deux choix

pour l'authentification: WPA et WPA2.
• Personnel - Destiné aux réseaux domestiques ou
de petites entreprises, les utilisateurs s'authentifient
à l'aide d'une clé pré-partagée (PSK). Les clients
sans fil s'authentifient auprès du routeur sans fil à
l'aide d'un mot de passe prépartagé. Aucun serveur
d'authentification spécial n'est requis.
• Entreprise - Destiné aux réseaux d'entreprise.
Nécessite un serveur d'authentification RADIUS
(Remote Authentication Dial-In User Service). Le
périphérique doit être authentifié par le serveur RADIUS, puis les utilisateurs doivent s'authentifier
à l'aide de la norme 802.1X, qui utilise le protocole EAP (Extensible Authentication Protocol) pour
l'authentification.
WLAN sécurisés
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 79
12.7.6 Méthodes de Cryptage

WPA et WPA2 incluent deux protocoles de

chiffrement:
• Protocole d'Intégrité de Clé Temporelle (TKIP)
– Utilisé par WPA et prend en charge les
équipements WLAN hérités. Utilise WEP mais
chiffre la charge utile de couche 2 à l'aide de
TKIP.
• Norme de Cryptage Avancée (AES) -
Utilisé par WPA2 et utilise le mode de
chiffrement du compteur avec le protocole CCMP (Block Chaining Message
Authentication Code Protocol) qui permet aux hôtes de destination de reconnaître
si les bits cryptés et non cryptés ont été altérés.
WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 80
 12.7.7 Authentification dans l'Entreprise
Le choix du mode de sécurité
d'entreprise nécessite un serveur
RADIUS d'authentification, d'autorisation
et de comptabilité (AAA). Des
informations sont nécessaires:
• Adresse IP du serveur RADIUS
Adresse IP du serveur.
• Numéros de port UDP - Ports UDP
1812 pour l'authentification RADIUS et
1813 pour la comptabilité RADIUS,
mais peuvent également fonctionner à
Remarque: l'authentification et l'autorisation des
l'aide des ports UDP 1645 et 1646. utilisateurs sont gérées par la norme 802.1X,
qui fournit une authentification centralisée sur
• Clé partagée - Utilisée pour serveur des utilisateurs finaux.
authentifier l'AP avec le serveur
RADIUS.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 81
WLAN sécurisés

12.7.8 WPA 3
Parce que WPA2 n'est plus considéré comme sécurisé, WPA3 est recommandé
lorsqu'il est disponible. WPA3 comprend quatre fonctionnalités:
• WPA3 - Personnel: Déjoue les attaques par force brute en utilisant
l'authentification simultanée des égaux (SAE).
• WPA3 - Entreprise: Utilise l'authentification 802.1X / EAP. Cependant, il
nécessite l'utilisation d'une suite cryptographique 192 bits et élimine le
mélange des protocoles de sécurité pour les normes 802.11 précédentes.
• Réseaux ouverts: N'utilise aucune authentification. Cependant, ils utilisent le
chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic sans fil.
• IoT Onboarding: Utilise le protocole DPP (Device Provisioning Protocol) pour
intégrer rapidement les appareils IoT.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco82
WLAN sécurisés

12.7.9 Vérifiez votre compréhension - WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco83
WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco84
WLAN sécurisés

12.7.9 Vérifiez votre compréhension - WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco85
12.8 Module pratique et
questionnaire

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 86
 WLAN sécurisés

Module Questionnaire - Concepts du WLAN

Module pratique et questionnaire

Qu'est-ce que j'ai appris dans ce module?

• Les réseaux locaux sans fil (WLAN) sont basés sur les normes IEEE et peuvent être classés en quatre types
principaux: WPAN, WLAN, WMAN et WWAN.
• La technologie sans fil utilise le spectre radio disponible pour envoyer et recevoir des données. Bluetooth, WiMAX,
Cellular Broadband et Satellite Broadband sont des exemples de cette technologie.
• Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et la bande 5 GHz.
• Les trois organisations qui influencent les normes WLAN sont l'UIT-R, l'IEEE et la Wi-Fi Alliance.
• CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et WLAN.
• DTLS est un protocole qui assure la sécurité entre l'AP et le WLC.
• Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences spécifiques d'ondes
radio pour communiquer. Les portées sont ensuite divisées en plages plus petites appelées canaux: DSSS, FHSS
et OFDM.
• Les normes 802.11b / g / n fonctionnent dans le spectre 2,4 GHz à 2,5 GHz. La bande 2,4 GHz est subdivisée en
plusieurs canaux. Chaque canal se voit attribuer une bande passante de 22 MHz et est séparé du canal suivant
par 5 MHz.
• Les réseaux sans fil sont sensibles aux menaces, notamment l'interception de données, les intrus sans fil, les
attaques DoS et les points d'accès malveillants.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 87
• Pour éloigner les intrus sans fil et protéger les données, deux premières fonctions de sécurité sont toujours
disponibles sur la plupart des routeurs et des points d'accès: le masquage SSID et le filtrage des adresses MAC.
• Il existe quatre techniques d'authentification par clé partagée: WEP, WPA, WPA2 et WPA3.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 88
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 89
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 90
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 91
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 92
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 93