Module 12: Concepts WLAN

BALLA NGA JOSE

Instructeur Cisco
Certifié CCNP Enterprise, CCNA, CCNA security,
CyberOps Associate, HCIA, MTCNA, PCNSA, NSE4

Helios High Tech Academy

Email: [Link]@[Link] Tel : +237 694167003
Objectifs de ce module
Titre du module: Concepts WLAN

Objectif du module: expliquer comment les réseaux locaux sans fil permettent la
connectivité réseau..
Titre du Rubrique Objectif du rubrique
Introduction au sans-fil Décrire la technologie et les normes WLAN.
Composants d'un réseau
Décrire les composants d'une infrastructure WLAN.
WLAN
Fonctionnement d'un réseau Expliquer comment la technologie sans fil permet le
WLAN fonctionnement du réseau WLAN.
Fonctionnement du protocole Expliquer comment un contrôleur sans fil utilise CAPWAP
CAPWAP pour gérer plusieurs points d'accès.
Gestion des canaux Décrire la gestion des canaux dans un réseau WLAN.
Menaces visant le réseau
Décrire les menaces visant les réseaux WLAN.
WLAN
WLAN sécurisés Décrire les mécanismes de sécurité WLAN.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 12
12.1 Présentation de la
technologie sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 13
Présentation de la technologie sans fil

12.1.1 Avantages du sans fil

• Un réseau local sans fil (WLAN) est un type

de réseau sans fil couramment utilisé dans
les maisons, les bureaux et les campus.
• Les WLAN rendent la mobilité possible dans
les environnements domestiques et
professionnels.
• Les infrastructures sans fil s'adaptent aux
besoins et aux technologies en évolution
rapide.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 14
Présentation de la technologie sans fil

12.1.2 Types de réseaux sans fil

• Réseau personnel sans fil (WPAN) - Faible consommation et courte portée (20-
30 pieds ou 6-9 mètres). Basé sur la norme IEEE 802.15 et la fréquence 2,4 GHz.
Bluetooth et Zigbee sont des exemples WPAN.

• LAN sans fil (WLAN) - Réseaux de taille moyenne jusqu'à environ 300 pieds.
Basé sur la norme IEEE 802.11 et la fréquence 2,4 ou 5,0 GHz.

• MAN sans fil (WMAN) - Grande zone géographique telle que ville ou quartier.
Utilise des fréquences sous licence spécifiques.

• WAN sans fil (WWAN) - Zone géographique étendue pour les communications
nationales ou mondiales. Utilise des fréquences sous licence spécifiques.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 15
Présentation de la technologie sans fil

12.1.3 Technologies sans fil

Bluetooth - Norme IEEE WPAN utilisée

pour l'appariement d'appareils jusqu'à une
distance de 100 mètres.
• Bluetooth Low Energy (BLE) - Prend en
charge la topologie maillée pour les
périphériques réseau à grande échelle.

• Débit de base Bluetooth / Débit amélioré (BR

/ EDR) - Prend en charge les topologies point
à point et est optimisé pour le streaming
audio.

WiMAX (Worldwide Interoperability for

Microwave Access) - Connexions Internet
filaires à large bande alternatives. Norme
WLAN IEEE 802.16 jusqu'à 30 miles (50
km).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 16
Présentation de la technologie sans fil

12.1.3 Technologies sans fil (suite)

Cellulaire large bande - Transportez à la

fois la voix et les données. Utilisé par les
téléphones, les automobiles, les tablettes et
les ordinateurs portables.
• Global System of Mobile (GSM) - Reconnu
internationalement

• CDMA (Code Division Multiple Access) - Utilisé

principalement aux États-Unis.

Satellite large bande - Utilise une antenne

parabolique directionnelle alignée sur un
satellite en orbite géostationnaire. Besoin
d'une ligne de site claire. Généralement
utilisé dans les zones rurales où le câble et
la DSL ne sont pas disponibles.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 17
Présentation de la technologie sans fil

12.1.4 Normes du 802.11

Les normes 802.11 WLAN définissent comment les fréquences radio sont utilisées pour les liaisons sans fil.

Norme IEEE Radiofréquence Description

802.11 2,4 GHz Débits de données jusqu'à 2 Mb / s
802.11a 5 GHz Débits de données jusqu'à 54 Mb / s
Non interopérable avec 802.11b ou 802.11g
802.11b 2,4 GHz Débits de données jusqu'à 11 Mb / s
Portée plus longue que 802.11a et mieux à pénétrer les structures
des bâtiments
802.11g 2,4 GHz Débits de données jusqu'à 54 Mb / s
Rétrocompatible avec 802.11b
802.11n 2,4 et 5 GHz Débits de données 150 - 600 Mb / s
Nécessite plusieurs antennes avec la technologie MIMO
802.11ac 5 GHz Débits de données 450 Mb/s – 1.3 Gb/s
Prend en charge jusqu'à huit antennes
802.11ax 2,4 et 5 GHz Sans fil haute efficacité (High-Efficiency Wireless) (HEW)
Capable d'utiliser des fréquences de 1 GHz et 7 GHz

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 18
Présentation de la technologie sans fil

12.1.5 Fréquences Radio

Tous les appareils sans fil fonctionnent dans la portée du spectre électromagnétique.
Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et la bande 5
GHz.
• 2,4 GHz (UHF) - 802.11b/g/n/ax
• 5 GHz (SHF) - 802.11a/n/ac/ax

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 19
Introduction au sans fil

12.1.6 Organismes de normalisation sans fil

Les normes garantissent l'interopérabilité entre les appareils fabriqués par différents
fabricants. Au niveau international, les trois organisations qui influencent les normes
WLAN:
• Union internationale des télécommunications (UIT) - Régule l'attribution du
spectre radioélectrique et des orbites de satellites.
• Institut des ingénieurs électriciens et électroniciens (IEEE) - Spécifie
comment une fréquence radio est modulée pour transporter des informations. Il
maintient les normes pour les réseaux locaux et métropolitains (MAN) avec la
famille de normes IEEE 802 LAN / MAN.
• Alliance Wi-Fi - Favorise la croissance et l'acceptation des WLAN. Il s'agit d'une
association de fournisseurs dont l'objectif est d'améliorer l'interopérabilité des
produits basés sur la norme 802.11 en certifiant la conformité des fournisseurs
aux normes de l'industrie et le respect des normes.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 20
Introduction au sans fil

12.1.7 Vérifiez votre compréhension - Introduction au sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 21
Introduction au sans fil

12.1.7 Vérifiez votre compréhension - Introduction au sans fil

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 22
12.2 Composants WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 23
12.2.1 Vidéo des composants WLAN - Composants WLAN

Cette vidéo couvre les points suivants :

• Antennes
• Routeur sans fil
• Port Internet
• Point d'accès sans fil
• Points d'accès autonomes et basés sur un contrôleur

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 24
Composants WLAN

12.2.2 NIC sans fil

Pour communiquer sans fil, les ordinateurs

portables, les tablettes, les téléphones
intelligents et même les dernières voitures
incluent des cartes réseau sans fil
intégrées qui incorporent un émetteur /
récepteur radio.

Cependant, si un périphérique ne possède

pas de carte réseau sans fil intégrée(NIC),
un adaptateur sans fil USB peut être
utilisé, comme illustré dans la figure.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 25
Composants WLAN

12.2.3 Routeur domestique sans fil

un utilisateur à domicile interconnecte

généralement des périphériques sans fil à
l'aide d'un petit routeur sans fil, comme
illustré dans la figure.

Les routeurs sans fil sont les suivants:

• Points d'accès – Pour fournir un accès aux
câbles

• Commutateur – Pour interconnecter des

appareils câblés

• Routeur - Pour fournir une passerelle par

défaut vers d'autres réseaux et Internet

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 26
Composants WLAN

12.2.4 Point d'accès sans fil

Les clients sans fil utilisent leur carte

réseau sans fil pour découvrir les points
d'accès (AP) à proximité.

Les clients tentent ensuite de s'associer et

de s'authentifier avec un AP.

Une fois authentifiés, les utilisateurs sans

fil ont accès aux ressources réseau.

Points d'accès Cisco Meraki Go

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 27
Composants WLAN

12.2.5 Catégories AP
Les points d'accès peuvent être classés comme des
points d'accès autonomes ou des points d'accès basés
sur un contrôleur.

• AP autonomes - Périphériques autonomes

configurés via une interface de ligne de
commande ou une interface graphique. Chaque
AP autonome agit indépendamment des autres et
est configuré et géré manuellement par un
administrateur.

• AP basés sur contrôleur - Également appelés

AP légers (LAP). Utilisez le protocole de point
d'accès léger (LWAPP) pour communiquer avec
un contrôleur LWAN (WLC). Chaque LAP est
automatiquement configuré et géré par le WLC.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 28
Composants WLAN

12.2.6 Antennes sans fil

Types d'antennes externes:

• Omnidirectionnel - Fournit une

couverture à 360 degrés. Idéal dans les
maisons et les bureaux.

• Directionnel - Concentrez le signal radio

dans une direction spécifique. Les
exemples sont le Yagi et le plat
parabolique.

• Entrées multiples Sorties multiples

(MIMO) - Utilise plusieurs antennes
(jusqu'à huit) pour augmenter la bande
passante.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 29
Composants WLAN

12.2.7 Vérifiez votre compréhension - Composants de WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 30
Composants WLAN

12.2.7 Vérifiez votre compréhension - Composants de WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 31
12.3 Fonctionnement d'un
réseau WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 32
Fonctionnement du WLAN

12.3.1 Vidéo - Fonctionnement du WLAN

Cette vidéo couvre les points suivants :

• Mode d'infrastructure
• Mode ad hoc
• Mode modem
• Ensemble de services de base (BSS)
• Ensemble de service étendu (ESS)
• Structure de trame 802.11
• Protocole CSMA/CA (Carrier Sense Multiple Access with Collision
Avoidance)
• Association des points d'accès des clients sans fil
• Mode de découverte passif et actif

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 33
Fonctionnement du WLAN

12.3.2 Modes de topologie sans fil 802.11

Mode ad hoc - Utilisé pour connecter

les clients de manière poste à poste
sans point d'accès.

Mode infrastructure - Utilisé pour

connecter les clients au réseau à l'aide
d'un AP.

Partage de connexion - La variation

de la topologie ad hoc se produit
lorsqu'un téléphone intelligent ou une
tablette avec accès aux données
cellulaires est activé pour créer un point
d'accès personnel.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 34
Fonctionnement du WLAN

12.3.3 BSS et ESS

Le mode infrastructure définit deux

blocs de topologie:
Ensemble de services de base (BSS)
• Un BSS consiste en un seul AP
interconnectant tous les clients sans fil
associés.
• Les clients de différents BSS ne peuvent
pas communiquer.
Ensemble de service étendu (ESS)
• Union de deux ou plusieurs BSS
interconnectés par un système de
distribution câblé.
• Les clients de chaque BSS peuvent
communiquer via l'ESS.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 35
Fonctionnement du WLAN

12.3.4 Structure de trame 802.11

Le format de trame 802.11 est similaire au format de trame Ethernet, sauf

qu'il contient plus de champs.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 36
Fonctionnement du WLAN

12.3.5 CSMA/CA

Les WLAN sont semi-duplex et un client ne peut pas "entendre" pendant qu'il envoie, ce qui
rend impossible de détecter une collision.
Les WLAN utilisent l'accès multiple par détection de porteuse avec évitement de collision
(CSMA/CA) pour déterminer comment et quand envoyer des données. Un client sans fil effectue
les opérations suivantes:
1. Écoute le canal pour voir s'il est inactif, ce qui signifie qu'il détecte qu'aucun autre trafic
n'est actuellement sur le canal.
2. Envoie un message prêt à envoyer (RTS) à l'AP pour demander un accès dédié au réseau.
3. Reçoit un message clair à envoyer (CTS) de l'AP accordant l'accès à l'envoi.
4. Attend un laps de temps aléatoire avant de redémarrer le processus si aucun message
CTS n'est reçu.
5. Transmet les données.
6. Reconnaît toutes les transmissions. Si un client sans fil ne reçoit pas d'accusé de réception,
il suppose qu'une collision s'est produite et redémarre le processus.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 37
Fonctionnement du WLAN

12.3.6 Client sans fil et Association des point d'accès

Pour que les périphériques sans

fil puissent communiquer sur le
réseau, ils doivent tout d'abord
être associés à un point d'accès
ou à un routeur sans fil.
Les appareils sans fil effectuent
le processus en trois étapes
suivant:
• Découvrir de nouveaux points
d'accès sans fil
• S'authentifier auprès du point
d'accès
• S'associer au point d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 38
Fonctionnement du WLAN
12.3.6 Client sans fil et Association des point d'accès (suite)

Afin d'avoir une association réussie, un client sans fil et un AP doivent se

mettre d'accord sur des paramètres spécifiques.
• SSID – Le client doit connaître le nom du réseau pour se connecter.
• Mot de passe - Ceci est requis pour que le client s'authentifie auprès de l'AP.
• Mode réseau - La norme 802.11 utilisée.
• Mode de sécurité - Les réglages des paramètres de sécurité, c'est-à-dire WEP,
WPA ou WPA2.
• Paramètres des canaux - Les bandes de fréquences utilisées.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 39
Fonctionnement WLAN

12.3.7 Mode découverte passif et actif

Les clients sans fil se connectent à l'AP à

l'aide d'un processus de balayage
(sondage) passif ou actif.
• Mode passif - AP annonce Mode passif
ouvertement son service en
envoyant périodiquement des trames
de balise de diffusion contenant le
SSID, les normes prises en charge
et les paramètres de sécurité.
• Mode actif - Les clients sans fil
doivent connaître le nom du SSID.
mode actif
Le client sans fil lance le processus
en diffusant une trame de demande
d'enquête sur plusieurs canaux.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 40
Fonctionnement WLAN

12.3.8 Vérifiez votre compréhension - Fonctionnement du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 41
Fonctionnement WLAN

12.3.8 Vérifiez votre compréhension - Fonctionnement du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 42
12.4 Fonctionnement du
protocole CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 43
Fonctionnement du protocole CAPWAP

12.4.1 Vidéo – CAPWAP

Cette vidéo couvre les points suivants :

• Fonction de contrôle et d'approvisionnement des points d'accès sans fil
(CAPWAP)
• Architecture de contrôle d'accès aux médias divisés (MAC)
• Le chiffrement DTLS
• Points d'accès Flex Connect

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 44
Fonctionnement du CAPWAP

12.4.2 Introduction au CAPWAP

• CAPWAP est un protocole standard IEEE qui

permet à un WLC de gérer plusieurs AP et
WLAN.

• CAPWAP est basé sur LWAPP mais ajoute

une sécurité supplémentaire avec
Datagram Transport Layer Security
(DTLS).

• Encapsule et transfère le trafic client

WLAN entre un AP et un WLC sur des
tunnels en utilisant les ports UDP 5246 et
5247.

• Fonctionne sur IPv4 et IPv6. IPv4 utilise le

protocole IP 17 et IPv6 utilise le protocole
IP 136.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 45
Fonctionnement du CAPWAP

12.4.3 Architecture MAC divisée

Le concept de MAC divisé du CAPWAP Fonctions MAC AP Fonctions MAC WLC

remplit toutes les fonctions normalement Balises et réponses Authentification
remplies par les AP individuels et les des sondes
répartit entre deux composantes
Accusé de Association et
fonctionnelles :
réception et réassociation de
• Fonctions MAC AP retransmissions de clients itinérants
paquets
• Fonctions MAC WLC
Mise en file Traduction de trame
d'attente des trames vers d'autres
et priorisation des protocoles
paquets
Cryptage et Arrêt du trafic 802.11
décryptage des sur une interface filaire
données de la
couche MAC

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 46
Fonctionnement du CAPWAP

12.4.4 Cryptage DTLS

• DTLS assure la sécurité entre l'AP et le

WLC.

• Il est activé par défaut pour sécuriser le

canal de contrôle CAPWAP et crypter
tout le trafic de gestion et de contrôle
entre AP et WLC.

• Le chiffrement des données est

désactivé par défaut et nécessite
qu'une licence DTLS soit installée sur
le WLC avant de pouvoir être activée
sur l'AP.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 47
Fonctionnement du CAPWAP

12.4.5 Flex Connect APs

FlexConnect permet la configuration et le contrôle d'Aps sur une liaison WAN.

Il existe deux modes d'option pour le FlexConnect AP:

• Mode connecté - Le WLC est accessible. Le FlexConnect AP a une connectivité CAPWAP avec le
WLC via le tunnel CAPWAP. Le WLC exécute toutes les fonctions CAPWAP.
• Mode autonome - Le WLC est inaccessible. Le FlexConnect AP a une connectivité CAPWAP avec le
WLC via le tunnel CAPWAP. Le FlexConnect AP peut assumer certaines des fonctions WLC telles
que la commutation locale du trafic de données client et l'exécution de l'authentification client
localement.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 48
Fonctionnement du CAPWAP

12.4.6 Vérifiez votre compréhension - Fonctionnement CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 49
Fonctionnement du CAPWAP

12.4.6 Vérifiez votre compréhension - Fonctionnement CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 50
Fonctionnement du CAPWAP

12.4.6 Vérifiez votre compréhension - Fonctionnement CAPWAP

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 51
12.5 Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 52
Gestion des canaux

12.5.1 Saturation des canaux de fréquences

Si la demande pour un canal sans fil spécifique est trop élevée, le canal peut devenir
sursaturé, dégradant la qualité de la communication.
La saturation des canaux peut être atténuée en utilisant des techniques qui utilisent les
canaux plus efficacement.
• Spectre à étalement de séquence directe (DSSS) - Une technique de modulation
conçue pour étaler un signal sur une bande de fréquences plus large. Le DSSS est utilisé
par les appareils 802.11b pour éviter les interférences d'autres appareils utilisant la même
fréquence 2,4 GHz.
• Spectre étalé à saut de fréquence (FHSS) - Transmet des signaux radio en commutant
rapidement un signal porteur parmi de nombreux canaux de fréquence. L'émetteur et le
récepteur doivent être synchronisés pour «savoir» sur quel canal passer. Utilisé par la
norme 802.11 d'origine.
• Multiplexage par répartition en fréquence orthogonale (OFDM) - Sous-ensemble de
multiplexage par répartition en fréquence dans lequel un seul canal utilise plusieurs sous-
canaux sur des fréquences adjacentes. L'OFDM est utilisé par un certain nombre de
systèmes de communication, notamment 802.11a / g / n / ac.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 53
Gestion des canaux

12.5.2 Sélection des canaux

• La bande de 2,4 GHz est subdivisée en plusieurs canaux, chacun ayant une largeur de
bande de 22 MHz et séparée du canal suivant par 5 MHz.
• Une meilleure pratique pour les WLAN 802.11b / g / n nécessitant plusieurs points
d'accès est d'utiliser des canaux sans chevauchement tels que 1, 6 et 11.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 54
Gestion des canaux

12.5.2 Sélection des canaux (suite)

• Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. Chaque canal est séparé
du canal suivant de 20 MHz.
• Les canaux qui ne se chevauchent pas sont 36, 48 et 60.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 55
Gestion des canaux

12.5.3 Planifier un déploiement WLAN

Le nombre d'utilisateurs pris en charge

par un WLAN dépend des éléments
suivants:
• La disposition géographique de
l'installation
• Le nombre de corps et d'appareils
pouvant tenir dans un espace
• Les débits de données attendus par
les utilisateurs
• L'utilisation de canaux sans
chevauchement par plusieurs points
d'accès et paramètres de puissance
de transmission
Lors de la planification de l'emplacement
des points d'accès, la zone de couverture
circulaire approximative est importante.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 56
Gestion des canaux

12.5.4 Vérifiez votre compréhension - Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 57
Gestion des canaux

12.5.4 Vérifiez votre compréhension - Gestion des canaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 58
12.6 Menaces visant le réseau
WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 59
Menaces visant le réseau WLAN

12.6.1 Vidéo – Menaces WLAN

Cette vidéo présentera les points suivants :

• Interception de données
• Intrus sans fil
• Attaques par déni de service (DoS)
• Points d'accès escrocs

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 60
Menaces visant le réseau WLAN

12.6.2 Présentation de la sécurité sans fil

Un WLAN est ouvert à toute personne à portée d'un point d'accès et aux informations
d'identification appropriées à lui associer.
Les attaques peuvent être générées par des étrangers, des employés mécontents et
même involontairement par des employés. Les réseaux sans fil sont particulièrement
sensibles à plusieurs menaces, notamment:
• Interception de données
• Intrus sans fil
• Attaques par déni de service (DoS)
• Points d'accès escrocs

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 61
Menaces visant le réseau WLAN

12.6.3 les Attaques DoS

Les attaques DoS sans fil peuvent être le résultat de ce qui suit:
• Périphériques mal configurés
• Un utilisateur malveillant interférant intentionnellement avec la communication
sans fil
• Interférence accidentelle
Pour minimiser le risque d'une attaque DoS en raison d'appareils mal configurés et
d'attaques malveillantes, renforcez tous les appareils, sécurisez les mots de passe,
créez des sauvegardes et assurez-vous que toutes les modifications de configuration
sont intégrées en dehors des heures d'ouverture.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 62
Menaces visant le réseau WLAN

12.6.4 Les Points d'Accès Non Autorisés

• Un point d'accès non autorisé est un point d'accès ou un routeur sans fil qui a été
connecté à un réseau d'entreprise sans autorisation explicite et conformément à
la politique de l'entreprise.
• Une fois connecté, l'escroc AP peut être utilisé par un attaquant pour capturer des
adresses MAC, capturer des paquets de données, accéder à des ressources
réseau ou lancer une attaque de type homme-au-milieu.
• Un point d'accès au réseau personnel pourrait également être utilisé comme point
d'accès non autorisé. Par exemple, un utilisateur avec un accès réseau sécurisé
permet à son hôte Windows autorisé de devenir un point d'accès Wi-Fi.
• Pour empêcher l'installation de points d'accès non autorisés, les organisations
doivent configurer les WLC avec des stratégies de points d'accès malveillants et
utiliser un logiciel de surveillance pour surveiller activement le spectre
radioélectrique des points d'accès non autorisés.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 63
Menaces visant le réseau WLAN

12.6.5 Attaque d'Homme-au-Milieu

Dans une attaque d'homme-au-milieu (MITM), le pirate est positionné entre deux
entités légitimes afin de lire ou de modifier les données qui transitent entre les deux
parties. Une attaque «evil twin AP» est une attaque MITM sans fil populaire où un
attaquant introduit un AP escroc et le configure avec le même SSID qu'un AP
légitime

Le processus commence par l'identification des périphériques légitimes sur le WLAN.

Pour ce faire, les utilisateurs doivent être authentifiés. Une fois que tous les
périphériques légitimes sont connus, le réseau peut être surveillé pour détecter les
périphériques ou le trafic anormaux.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 64
Menaces visant le réseau WLAN

12.6.6 Vérifiez votre compréhension - Menaces du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 65
12.7 WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 66
WLAN sécurisés

12.7.1 Vidéo – WLAN sécurisés

Cette vidéo présentera les points suivants :

• Masquage SSID
• Filtrage d'adresses MAC
• Systèmes d'authentification et de cryptage (authentification ouverte et
authentification à clé partagée)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 67
WLAN sécurisés

12.7.2 Masquage SSID et filtrage des adresses MAC

Pour faire face aux menaces de garder les intrus sans fil à l'extérieur et de protéger
les données, deux premières fonctions de sécurité ont été utilisées et sont toujours
disponibles sur la plupart des routeurs et des points d'accès:
Masquage SSID
• Les points d'accès et certains routeurs sans fil permettent de désactiver la trame
de balise SSID. Les clients sans fil doivent être configurés manuellement avec le
SSID pour se connecter au réseau.

Filtrage d'adresses MAC

• Un administrateur peut autoriser ou refuser manuellement l'accès sans fil des
clients en fonction de leur adresse matérielle MAC physique. Dans la figure, le
routeur est configuré pour autoriser deux adresses MAC. Les appareils avec des
adresses MAC différentes ne pourront pas rejoindre le WLAN 2,4 GHz.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 68
WLANs sécurisés

12.7.3 Méthodes d'authentification d'origine du 802.11

La meilleure façon de sécuriser un réseau sans fil est d'utiliser des systèmes
d'authentification et de cryptage. Deux types d'authentification ont été introduits avec
la norme 802.11 d'origine:
L'authentification de système ouvert,
• Aucun mot de passe requis. Généralement utilisé pour fournir un accès Internet
gratuit dans les espaces publics comme les cafés, les aéroports et les hôtels.
• Le client est responsable d'assurer la sécurité, par exemple via un VPN.
Authentification par clé partagée
• Fournit des mécanismes, tels que WEP, WPA, WPA2 et WPA3 pour authentifier et
crypter les données entre un client sans fil et AP. Cependant, le mot de passe doit
être pré-partagé entre les deux parties pour se connecter.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 69
WLAN sécurisés

12.7.4 Méthodes d'authentification par clé partagée

Il existe quatre techniques d'authentification par clé partagée, comme décrit dans le tableau.

Méthode d'authentification Description

WEP (Wired Equivalent La spécification 802.11 originale conçue pour sécuriser les données à
Privacy) l'aide de la méthode de chiffrement Rivest Cipher 4 (RC4) avec une clé
statique. Le WEP n'est plus recommandé et ne doit jamais être utilisé.

Fonction WPA (Wi-Fi Une norme de l'Alliance Wi-Fi qui utilise le protocole WEP mais sécurise
Protected Access) les données grâce à l'algorithme de cryptage TKIP (Temporal Key
Integrity Protocol), beaucoup plus puissant. Le protocole TKIP modifie la
clé pour chaque paquet, rendant très difficile son piratage.

WPA2 Il utilise le standard de cryptage avancé (AES) pour le cryptage. Le

mode de chiffrement AES est actuellement considéré comme étant le
protocole de chiffrement le plus puissant.
WPA3 Il s'agit de la prochaine génération de sécurité Wi-Fi. Tous les appareils
compatibles WPA3 utilisent les dernières méthodes de sécurité,
interdisent les protocoles hérités obsolètes et nécessitent l'utilisation de
cadres de gestion protégés (PMF).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 70
WLAN sécurisés

12.7.5 Authentification d'un Utilisateur à Domicile

Les routeurs domestiques ont généralement deux

choix pour l'authentification: WPA et WPA2.
• Personnel - Destiné aux réseaux domestiques ou
de petites entreprises, les utilisateurs
s'authentifient à l'aide d'une clé pré-partagée
(PSK). Les clients sans fil s'authentifient auprès du
routeur sans fil à l'aide d'un mot de passe pré-
partagé. Aucun serveur d'authentification spécial
n'est requis.
• Entreprise - Destiné aux réseaux d'entreprise.
Nécessite un serveur d'authentification RADIUS
(Remote Authentication Dial-In User Service). Le
périphérique doit être authentifié par le serveur
RADIUS, puis les utilisateurs doivent s'authentifier
à l'aide de la norme 802.1X, qui utilise le protocole
EAP (Extensible Authentication Protocol) pour
l'authentification.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 71
WLAN sécurisés

12.7.6 Méthodes de Cryptage

WPA et WPA2 incluent deux protocoles de

chiffrement:
• Protocole d'Intégrité de Clé
Temporelle (TKIP) – Utilisé par WPA et
prend en charge les équipements
WLAN hérités. Utilise WEP mais chiffre
la charge utile de couche 2 à l'aide de
TKIP.
• Norme de Cryptage Avancée (AES) -
Utilisé par WPA2 et utilise le mode de
chiffrement du compteur avec le
protocole CCMP (Block Chaining
Message Authentication Code Protocol)
qui permet aux hôtes de destination de
reconnaître si les bits cryptés et non
cryptés ont été altérés.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 72
WLAN sécurisés

12.7.7 Authentification dans l'Entreprise

Le choix du mode de sécurité

d'entreprise nécessite un serveur
RADIUS d'authentification, d'autorisation
et de comptabilité (AAA).
Des informations sont nécessaires:
• Adresse IP du serveur RADIUS -
Adresse IP du serveur.
• Numéros de port UDP - Ports UDP
1812 pour l'authentification RADIUS
et 1813 pour la comptabilité RADIUS,
mais peuvent également fonctionner à
l'aide des ports UDP 1645 et 1646. Remarque: l'authentification et l'autorisation
des utilisateurs sont gérées par la norme
• Clé partagée - Utilisée pour 802.1X, qui fournit une authentification
authentifier l'AP avec le serveur centralisée sur serveur des utilisateurs finaux.
RADIUS.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 73
WLAN sécurisés

12.7.8 WPA 3

Parce que WPA2 n'est plus considéré comme sécurisé, WPA3 est recommandé
lorsqu'il est disponible. WPA3 comprend quatre fonctionnalités:
• WPA3 - Personnel: Déjoue les attaques par force brute en utilisant
l'authentification simultanée des égaux (SAE).
• WPA3 - Entreprise: Utilise l'authentification 802.1X / EAP. Cependant, il
nécessite l'utilisation d'une suite cryptographique 192 bits et élimine le mélange
des protocoles de sécurité pour les normes 802.11 précédentes.
• Réseaux ouverts: N'utilise aucune authentification. Cependant, ils utilisent le
chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic sans fil.
• IoT Onboarding: Utilise le protocole DPP (Device Provisioning Protocol) pour
intégrer rapidement les appareils IoT.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 74
WLAN sécurisés

12.7.9 Vérifiez votre compréhension - WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 75
WLAN sécurisés

12.7.9 Vérifiez votre compréhension - WLAN sécurisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 76
12.8 Module pratique et
questionnaire

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 77
Module pratique et questionnaire

Qu'est-ce que j'ai appris dans ce module?

• Les réseaux locaux sans fil (WLAN) sont basés sur les normes IEEE et peuvent être classés en quatre types
principaux: WPAN, WLAN, WMAN et WWAN.
• La technologie sans fil utilise le spectre radio disponible pour envoyer et recevoir des données. Bluetooth,
WiMAX, Cellular Broadband et Satellite Broadband sont des exemples de cette technologie.
• Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et la bande 5 GHz.
• Les trois organisations qui influencent les normes WLAN sont l'UIT-R, l'IEEE et la Wi-Fi Alliance.
• CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et WLAN.
• DTLS est un protocole qui assure la sécurité entre l'AP et le WLC.
• Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences spécifiques d'ondes
radio pour communiquer. Les portées sont ensuite divisées en plages plus petites appelées canaux: DSSS, FHSS
et OFDM.
• Les normes 802.11b / g / n fonctionnent dans le spectre 2,4 GHz à 2,5 GHz. La bande 2,4 GHz est subdivisée
en plusieurs canaux. Chaque canal se voit attribuer une bande passante de 22 MHz et est séparé du canal suivant
par 5 MHz.
• Les réseaux sans fil sont sensibles aux menaces, notamment l'interception de données, les intrus sans fil, les
attaques DoS et les points d'accès malveillants.
• Pour éloigner les intrus sans fil et protéger les données, deux premières fonctions de sécurité sont toujours
disponibles sur la plupart des routeurs et des points d'accès: le masquage SSID et le filtrage des adresses MAC.
• Il existe quatre techniques d'authentification par clé partagée: WEP, WPA, WPA2 et WPA3.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 78
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 79
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 80
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 81
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 82
WLAN sécurisés

Module Questionnaire - Concepts du WLAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 83