Passeport pour des rseaux Wi-Fi

hautement scuriss et administrables

Wi-Fi scuris ou prvention d'intrusion
ARUBA a cr les solutions

ARUBA Wireless Networks

France, Europe du Sud, Afrique:
120, avenue Charles de Gaulle
92522 Neuilly sur Seine Cedex, France
Tl : +33 (0) 1 72 92 05 56
Fax : +33 (0) 1 72 92 05 57
info-emea@arubanetworks.com
www.arubanetworks.com
"People Move. Networks must follow."

Table des Matires

4
5

Introduction ............................................................................................................................... 3
1.1
Contexte ............................................................................................................................ 3
1.1.1
Marchs..................................................................................................................... 3
1.2
Spcifications .................................................................................................................... 4
1.3
Rgulation ......................................................................................................................... 8
1.4
Futur .................................................................................................................................. 9
La problmatique des rseaux Wi-Fi ...................................................................................... 10
2.1
Complexit ...................................................................................................................... 10
2.2
Scurit ........................................................................................................................... 10
2.2.1
Risques ................................................................................................................... 10
2.2.2
Attaques & Intrusions .............................................................................................. 10
2.3
Cots ............................................................................................................................... 12
2.4
Mise en uvre ................................................................................................................ 12
La rponse et les solutions Aruba........................................................................................... 13
3.1
Architecture gnrale ...................................................................................................... 13
3.1.1
Commutateur WLAN ............................................................................................... 14
3.1.2
Virtual WLAN ........................................................................................................... 15
3.2
Scurit ........................................................................................................................... 15
3.2.1
Attachement ............................................................................................................ 16
3.2.2
Authentification utilisateur ....................................................................................... 16
3.2.3
Communication ....................................................................................................... 17
3.2.4
Layer 2 - Layer 3 ..................................................................................................... 18
3.3
Monitoring........................................................................................................................ 19
3.4
Mise en uvre et maintenance....................................................................................... 19
3.4.1
Ingnierie................................................................................................................. 19
3.4.2
Installation ............................................................................................................... 22
3.4.3
Performance............................................................................................................ 22
3.4.4
Intgration ............................................................................................................... 23
3.4.5
Exploitation.............................................................................................................. 24
3.5
ROI & TCO ...................................................................................................................... 25
3.6
Rsilience........................................................................................................................ 25
3.7
Supervision...................................................................................................................... 27
Conclusion .............................................................................................................................. 28
Annexes .................................................................................................................................. 29
5.1
Livres............................................................................................................................... 29
5.2
Sites web......................................................................................................................... 29
5.3
Tableau des Supplments............................................................................................... 30
5.4
Acronymes ...................................................................................................................... 31

1 Introduction
Le prsent document a pour vocation de prsenter, dans une premire partie, la problmatique
associe aux rseaux Wi-Fi (Wireless Fidelity), puis dans une seconde partie les rponses
qu'apportent la solution Aruba, tant au niveau technique, que logistique ou oprationnel.
Nous aborderons ainsi successivement la rgulation, les problmes de scurit, la complexit de
l'ingnierie, et les spcificits de la gestion inhrentes aux transmissions radio.
Mais nous profiterons aussi de ce rcapitulatif pour dcrire les produits volus, leur architecture
et les fonctionnalits avances qu'ils offrent aujourd'hui pour constituer une solution complte,
mature, fiable et scurise.
Enfin, en annexe, on retrouvera une liste de quelques livres et sites intressants, un tableau
rcapitulatif, et les principaux acronymes connatre (auxquels on peut aussi se rfrer au cours
de la lecture).

1.1 Contexte
Le Wi-Fi, en tant que solution de transmission de donne par voie hertzienne de type WLAN
(Wireless Local Area Network), se trouve entour par des technologies complmentaires, non
concurrentes, et peu prs de mme gnration.
WPAN
Ainsi Bluetooth (IEEE 802.15.1) est la solution WPAN (Wireless Personal Area Network) la plus
rpandue, pour des besoins trs courte porte (de l'ordre d'une dizaine de mtres) et bas dbit, a
priori entre les quipements voix et/ou donnes d'un mme utilisateur (typiquement tlphone
GSM <-> PDA ou PC ; tlphone GSM <-> couteur sans-fil).
WMAN
A l'autre extrmit des besoins gographiques, on trouve la BLR (Boucle Locale Radio, WLL :
Wireless Local Loop en anglais) qui rpond aux besoins de type WMAN (Wireless Metropolitan
Area Network), et apparat comme technologie d'accs radio des oprateurs, pour une desserte
sans fil, mais gnralement fixe, offrant une porte de plusieurs kilomtres.
Plus rcemment les spcifications en cours de WiMax (IEEE 802.16 et ETSI HiperMAN) cherchent
dfinir une technologie standard pour le monde de la BLR (ou BWA : Broadband Wireless
Access) en topologie PMP (Point to MultiPoint), fonctionnant dans les bandes de frquences de 211 et de 10-66 GHz, avec une meilleure efficacit spectrale.

1.1.1 Marchs
Le Wi-Fi, intermdiaire en terme de couverture, et plus labor par certains aspects que les WPAN
et WMAN (support de la mobilit, voire du roaming) a, quant lui, la particularit d'adresser 3
typologies de marchs gnralement indpendantes, comme nous allons le dtailler ci-dessous.
Entreprise
En entreprise, le rseau Wi-Fi tant une extension du rseau LAN, il apporte un plus en terme de
flexibilit (mobilit, rapidit de dploiement, installation temporaire, cblage difficile, etc.). Le Wi-Fi
rpond aussi des besoins spcifiques, en tant que forme de connectivit slective, par exemple
dans les salles de runions, permettant aux visiteurs d'avoir un accs ais l'Internet, et
concurremment aux employs d'avoir accs leur intranet. C'est aussi une solution duale qui
permet l'utilisateur d'un PC portable d'exploiter la mme technologie (mais des rseaux distincts)
pour se connecter son VLAN dans son entreprise et son rseau ADSL domicile.
Domestique
La connectivit rsidentielle, permettant aux clients d'une liaison Interne haut dbit (ADSL,
CableModem) de relier leurs diffrents ordinateurs au routeur Wi-Fi, lequel est connect au
modem. Les postes pouvant exploiter ce type de liaison sont aussi bien les PC (portables ou non),

quel que soit leur Systme d'Exploitation (Windows, Mac, Unix) que les PDA, ou les priphriques
(imprimantes, serveurs de fichiers, voire crans). L'objectif est ici principalement de supprimer les
invitables cbles qui circulaient jusqu'alors d'une machine l'autre travers l'appartement.
Hot Spot
Les oprateurs, dsireux de dployer des hot spot, lieux donnant accs l'Internet, moyennant un
abonnement pralable ou un mode de facturation en pr pay (comparable, voire en concurrence
avec la connexion "data" en GSM et GPRS). Les zones quipes en hot spot tant typiquement
des lieux de passage pour hommes d'affaires (htel, aroport, salon d'exposition/de confrence). Il
s'agit d'un mode de connectivit intrinsquement nomade, et qui peut logiquement tre combin
un abonnement GSM.
Le Wi-Fi a cependant une histoire trs particulire en terme de dveloppement de march. En
effet, ses premires applications ont eu lieu dans le monde de l'entreprise ds la fin des annes
90. Les standards et produits d'alors permettaient un dbit de 1, 2 (voire 3) Mb/s nominal par
cellule, sans beaucoup de scurit, ni de moyens de gestion de la performance radio.
Probablement d ses lacunes, le Wi-Fi n'a pas connu un dveloppement aussi rapide que prvu,
mais les prix ont cependant continu baisser, permettant au march rsidentiel de prendre le
relais.
Nous sommes aujourd'hui dans une phase o les 3 marchs cits ci-dessus sont en forte
croissance, chacun avec sa propre dynamique, et son approche particulire.
En ce qui concerne l'entreprise, comme pour les oprateurs, c'est la maturit des solutions
rcentes riches et compltes, qui permet d'envisager aujourd'hui des installations professionnelles,
sures et performantes.

1.2 Spcifications
Les premiers dveloppements de technologies de transmission Radio pour de relativement courte
porte (typiquement de l'ordre d'une centaine de mtres), fonctionnant dans la bande de frquence
ISM (Industry, Scientific, Medical) aux alentours de 2,4 GHz, datent des annes 1990.

802.11 Activities - MAC & Others (source IEEE 802.11)

Quelques constructeurs innovants du monde radio et/ou data ayant abord ce sujet avec diverses
solutions propritaires, l'IEEE (Institute of Eletrical and Eletronics Engineers) pris le premier la
responsabilit de standardiser ce type de solutions avec le sous-comit 802.11, dont les premires
spcifications furent publies en 1997.
Les premires spcifications de l'IEEE 802.11, ciblrent une mthode d'accs distribue de type
CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance), qui correspond une lgre
amlioration par rapport la mthode CSMA/CD d'Ethernet.
La fonction de coordination est gnralement de type distribue (DCF), sachant que la
coordination centralise (PCF : Point Coordinated Function) est une capacit de QoS optionnelle,
rarement implmente aujourd'hui, qui sera significativement amlior par le futur supplment
802.11 e, et permettra un meilleur support de la voix ou de la vido au niveau Mthode d'Accs
Wi-Fi.
Ces spcifications, dsirant prendre en considration les diffrentes tudes et travaux en cours
des constructeurs, dfinissaient trois modes de transmission, un en infrarouge, un en radio avec
un codage de type FHSS, et un dernier aussi en radio avec un codage de type DSSS. Ces trois
modes offraient 1 ou 2 Mb/s de dbit nominal partager entre tous les utilisateurs prsents dans la
cellule (dite BSS : Basic Service Set).
Deux modes de communication ont t dfinit :
Ad Hoc
Une forme de point point o chaque quipement terminal (STA, pour Station) peut communiquer
directement avec un quipement voisin (IBSS : Independent BSS, dit couramment rseau Ad Hoc)
moyennant une configuration pralable. Ce mode basique n'est utile que pour des configurations
rduites, par exemple la maison.
Infrastructure
Un mode dit Infrastructure, o les STA sont relies entre elles par un quipement responsable
d'"animer" une cellule (cette antenne "intelligente" est dite AP : Access Point). L'AP est au centre
de la cellule est gre l'accs la cellule, puis l'change de tous les paquets. C'est le mode de
fonctionnement le plus courant, qui vite aussi le problme du nud cach (hidden node) d la
non transitivit des communications avec des liaisons Ad Hoc.
Quand plusieurs AP sont connects ensemble au niveau 2 (MAC) par un LAN, les BSS
correspondants sont ainsi runis en un ESS (Extended Service Set).
Par la suite, l'IEEE amliora le dbit avec le supplment b qui ne retint que le code DSSS, avec
une modulation plus volue, et qui tout en tant compatible avec les prcdents dbits, pouvait
aussi supporter 5,5 et 11 Mb/s (selon la distance ou la puissance du signal).
En 1999, l'IEEE 802.11 publia aussi le supplment a, qui dcrit un fonctionnement dans la bande
des 5 GHz, permet un dbit nominal de 54 Mb/s, et autorise un plus grand nombre de bandes de
frquence (correspondant autant de cellules potentiellement voisines). Ce supplment est
couramment nomm Wi-Fi5.
Enfin, en terme de dbit, en 2003, l'IEEE a ajout le supplment g qui dfinit le fonctionnement
54 Mb/s maximum (comme en a) mais toujours dans la bande des 2,4 GHz, et en compatibilit et
continuit avec le supplment b.
La bande des 5 GHz a l'avantage de subir moins d'interfrence ou de bruit que la bande 2,4 GHz.
Les performances radio sont cependant lgrement moins bonnes dans la bande des 5 GHz que
dans la bande des 2,4 GHz, la puissance radio autorise tant identique. La couverture d'une
cellule, un dbit donn, est cependant trs comparable entre les supplments a et g.

Max thru.
bi-std product

54 Mbit/s

802.11g

23 Mbit/s

11 Mbit/s

is

pa

o
rt

802.11a
coexistence

HiperLAN2

fg

HiperLAN

802.11b
bi-std product

2 Mbit/s

IEEE 802.11
OFDM
IR

FHSS

BCH

DSSS
2,4 GHz - ISM

5,5 GHz - UNII

22

Notez aussi que les produits Wi-Fi multifrquences rcents peuvent proposer une compatibilit
avec les 3 supplments a, b, et g. Les interfaces pour poste client choisissent le mode, et la
frquence de fonctionnement, soit automatiquement, soit grce une interaction avec l'utilisateur.
Les AP volus quant eux peuvent avoir un fonctionnement double, 2,4 et 5 GHz, comme
deux AP indpendants, travaillant sur un seul canal de frquence dans chaque bande un
moment donn.

802.11 Activities - PHY (source IEEE 802.11)

Les quipements Wi-Fi modernes ayant des capacits de scurit volues (WPA, VPN, etc.), et
intgrant des fonctionnalits riches, ils font appel des technologies complmentaires, tel le
cryptage, ou la communication avec des serveurs d'authentifications.

Outre les standards de l'IEEE 802.11, ces quipements se conforment donc aux standards LAN
connexes, et aux spcifications de l'IETF (VPN IPsec, EAP, Radius, LDAP) que nous ne
rappellerons ici que trs brivement.
A titre indicatif, les quipements WLAN Aruba mettent en uvre les protocoles et spcifications
suivantes :
- Ethernet 10/100 & GigaEthernet (IEEE 802.3, i, u, z, ab), POE (IEEE 802.3af); Tagging VLAN
(IEEE 802.1Q), Queues de priorit (IEEE 802.1p), Access Control (IEEE 802.1X)
- IP (RFC 791, 1812), SNMP (RFC 1155-58), Telnet (RFC 854), HTTP (RFC 2616), TFTP (RFC
1350), DHCP (RFC 2131); GRE (RFC 2784), PPTP (RFC 2637), L2TP (RFC 2661), IPsec (RFC
2401-2), SSH, SSL, TLS (RFC 2246), EAP-TLS (RFC 2716).
De plus, pour la gestion de l'authentification, les quipements doivent aussi savoir se mettre en
relation avec un ou des serveurs AAA (Administration, Authorization & Authentication) en utilisant
typiquement le protocole Radius (RFC 2865), ou LDAP (RFC 2251).
HiperLAN & IsWAN
On notera enfin qu'il existe des alternatives marginales aux spcifications de l'IEEE sur les
rseaux locaux sans-fil.
D'une part, l'ETSI qui avait standardis une premire solution de WLAN : HiperLAN en 1996-98, a
dfini HiperLAN/2 plus rcemment, en concurrence assez directe avec l'IEEE 802.11a. Mais la
diffrence des travaux de l'IEEE, ceux de l'ETSI ne sont cependant pas trs suivis par les
constructeurs d'quipements rseau.
D'autre part, au Japon, MMAC (Multimedia Mobile Access Communication systems) a standardis
l'IsWAN, une solution de transmission comparable l'IEEE 802.11a, dont l'influence sur notre
march n'est pas trs significative non plus actuellement.
IEEE
ETSI
802.11b
802.11g
802.11a
HiperLAN
2
1
Wi-Fi
Wi-Fi5
Std Date
1997
1999
2003
1999
1996-8
Frequ range GHz 850-950 nm
2,4
5
# channels
13 in Europe ; 11 aux USA
dizaines
# non-overlapping
3
8 ou 12
Coding
IR
FHSS
DSSS
DSSS/OFDM
OFDM
BCH
BPSK/
... + /
QPSK/
FSK /
... + OFDM/
2GFSK/ DBPSK/
DQPSKCCK
Modulation
4 PPM
16QAM/
GMSK
OFDM-CCK
4GFSK DQPSK
CCK
64QAM
Baud Rate
MAC

unit

802.11

Mb/s

1/2

1... 5,5 / 11 1...48 / 54 6 / 9 /...54

CSMA/CA distribu

54
1,47 / 23,53
TDMA/
TDD
EY-NPMA
centralis

IEEE 802.1X
Un des standards complmentaires particulirement important dans le monde Wi-Fi est l'IEEE
802.1X, qui dfinit une mthode d'authentification scurise de niveau 2 en environnement LAN.
L'IEEE 802.1X spcifie comment le poste client (supplicant) requiert une connexion LAN au switch
(authenticator) lequel va typiquement se rfrer un serveur d'authentification externe en utilisant
un protocole EAP (driv de PPP) sur le rseau cbl. En fait, l'authentification est mutuelle,
permettant donc de se protger contre les risques de type Man in the Middle.
Le serveur (Radius a priori) permettra ou non l'accs au rseau, et pourra aussi prciser le VLAN
en retour. L'adresse IP qui est assigne au client suite son authentification positive sera
automatiquement slectionne dans le pool correspondant.

1.3 Rgulation
Le Wi-Fi fonctionnant avec des missions radio, sa mise en place n'est jamais totalement du
domaine priv, et doit se conformer certaines rgles, dictes par les organismes nationaux de
rgulations de tlcoms (en France, l'ART (Autorit de Rgulation des Tlcommunications) cre
en 1997, gre depuis l'allocation des bandes de frquences aux oprateurs).
Les spcificits de puissance par frquence sont connues des quipements volus, qui, une fois
le paramtre "country" dfinit (France dans notre cas), gre automatiquement l'attribution des
frquences selon les plages autorises.
En France, les conditions d'utilisation des bandes ISM du 2,4 et 5 GHz ont t modifies puis
publies pour la dernire fois en juillet 2003 (voir ci-dessous les dtails).

Frquences
en MHz
2400
2454
...
2483,5

Intrieur

Extrieur
100 mW

frquences
en MHz
Intrieur Extrieur
200
mW
impossible
5150
5250
...
200 mW avec
impossible
DFS/TPC ou
quivalent

100 mW
10 mW

ou 100mW
5350
5470
5725

avec DFS
uniquement

impossible

impossible

Puissances maximales autorises pour la PIRE dans la bande 2,4 GHz & 5 GHz,
pour les dpartements mtropolitains (source ART)
Chaque pays possde son propre organisme charg d'dicter les rgles prcises qui dfinissent
les frquences ouvertes l'utilisation en intrieur ou extrieur, avec les puissances maximales
associes. A titre d'exemple, nous prsentons ci-dessous la rpartition des frquences par pays,
la date de novembre 2001 (donc bien avant les dernires rgulations, en ce qui concerne la
France).
Le niveau de puissance par canal peut tre diffrent pour chaque organisme de rgulation.
Channel ID
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Frequ. (MHz) 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472 2484
FCC / IC
ETSI
France
Espagne
Japan
MPHPT

High Rate PHY Frequency channel plan (IEEE 802.11b Cor 1 - 2001)
Le problme principal des outils d'aide l'administration rseau consiste dfinir les frquences
des diffrentes cellules de manire ce que les cellules voisines travaillent sur des bandes
suffisamment loignes pour limiter au maximum les interfrences. Ainsi, il est gnralement
conseill de laisser 4 bandes inutilises entre les frquences de chaque cellule limitrophe pour
qu'il n'y ait effectivement aucune interfrence. Gnralement on choisit les trois canaux 1, 6 et 11
pour composer le dallage des cellules qui constitueront la couverture Wi-Fi.

Self-Calibrating Wi-Fi
Real-time
calibration
characterizes
the indoor
propagation to
determine the
actual channel
and transmit
power settings
of each AP
Auto-RRA looks
for better
channels in quiet
channel periods.
Copes with
Interference

1.4 Futur
Des solutions propritaires permettent ds prsent d'enrichir lgrement le fonctionnement des
technologies Wi-Fi. Par exemple, le mode Turbo ou le mode Nitro permettent d'augmenter trs
significativement le dbit nominal en b ou en g. Cette capacit tant lie un ensemble de
constructeurs (soit grce au codage de modulation ou au chip qu'ils utilisent, Intersil / Prism en
l'occurrence pour Nitro), elle n'est cependant pas supporte ou annonce de manire gnrale par
tous les constructeurs. Les dbits standards tant toujours le plus grand dnominateur commun.
L'IEEE s'emploie actuellement finaliser les standards relatifs aux complments de scurit des
solutions Wi-Fi (802.11i), et dvelopper de nouvelles spcifications relatives la mobilit, de
plus hauts dbits, une gestion de la qualit de service, tel que le tableau rcapitulatif le prsente
en annexe 5.3.
Prcisment, l'IEEE 802.11i, correspondant WPA 2.0, et dont la ratification est attendue pour
2004, apportera un cryptage de type AES (plus puissant que 3DES), et la protection des trames
d'administration (authentication, Association, Beacon, etc).
Tandis que la version interim WPA 1.0 (Wi-Fi Protected Access) offre pour le moment :
- l'authentification scurise et crypte au niveau 2 avec 802.1X (propagation des informations
vers le serveur avec EAP),
- cls TKIP (Temporal Key Integrity Protocol) grant le cryptage au niveau 2 des donnes
transmises,
- le contrle de l'intgrit des donnes : MIC (Message Integrity Check).
Par ailleurs, il semble que la technologie Wi-Fi puisse aussi trouver prochainement des
applications multiples et diversifies, puisque l'on parle de tlphones Wi-Fi, qui pourraient terme
dtrner les tlphones DECT, que ce soit en entreprise ou sur le march rsidentiel (en
prolongeant naturellement les dveloppements de la voix sur IP (VoIP)).
De mme, il est probable qu' la maison les solutions de Media Center exploiteront intensivement
ce mode de transmission performant, rpandu et surtout trs pratique (aspects Plug & Play trs
satisfaisants).

2 La problmatique des rseaux Wi-Fi

Nous allons brivement voquer ci-dessous les spcificits des rseaux locaux sans-fil.

2.1 Complexit
Le premier problme auquel l'administrateur rseau est confront est la diversit des comptences
ncessaires la mise en uvre d'un rseau Wi-Fi. Il faut prendre en considration les problmes
de transmission radio, un ventuel audit du site, l'intgration de l'existant (rseau cbl, mais peut
tre aussi de quelques lots Wi-Fi dj en place), le respect de la rgulation, le support effectif des
standards actuels et venir, l'administration de ce futur rseau, le monitoring du trafic, etc.

2.2 Scurit
La scurit est une proccupation critique d'un administrateur rseau confront au Wi-Fi, d'une
part parce que les faiblesses des technologies ont t trs largement traites dans la presse,
d'autre part parce qu'il s'agit d'une approche effectivement nouvelle du sujet, et qui prsente une
grande diversit.

2.2.1 Risques
Du fait des faiblesses des solutions standards, de nombreux risques existent en Wi-Fi, dont
typiquement les Fake AP, Rogue AP, Honey Pot, Man in the Middle, dont on parle le plus souvent.
Fake AP
L'AP faux n'est pas un vritable AP. Des logiciels permettent de faire apparatre l'interface Wi-Fi
d'un poste client (gnralement sous Linux) comme un AP, et de configurer son ESSID et BSSID
dans un objectif d'impersonation (voir ci-dessous 2.2.2).
Rogue AP
La faille de scurit dite Rogue AP est la plus redoute en entreprise (nous traduirons Rogue par
indsirable ici). Elle survient quand un utilisateur du rseau, par commodit au niveau de ses
bureaux par exemple, connecte un AP sur la prise Ethernet murale, lui permettant d'avoir une
certaine mobilit avec son ordinateur l'intrieur de la cellule ainsi cre. Ces installations pirates,
pas ncessairement malveillantes, sont particulirement dangereuses parce qu'elles ouvrent le
rseau de l'entreprise au monde Wi-Fi, gnralement avec un niveau de scurit extrmement
minime (authentification rduite de type WEP avec une cl de 40 bits, pas de Firewall, pas d'IDS,
pas de dtection de tentative d'attaques, etc.). Au pire cas, l'ordinateur peut fonctionner comme un
pont, crant un Wireless Bridge : un lien "ouvert" entre le rseau Wi-Fi et le rseau local cbl.
Honey Pot
Le pot de miel est un AP qui cherche apparatre comme faisant partie intgrante du rseau de la
socit pour attirer les postes clients (utilisation du mme ESSID), et les laisser se connecter (au
niveau WLAN). De cette faon l'Honey Pot espre pouvoir espionner la phase de connexion, pour
en dduire les paramtres utiles, quitte effectivement reproduire simultanment la phase de
connexion vers le rseau rel (cas du Man in the Middle).

2.2.2 Attaques & Intrusions

Les intrusions dans l'environnement sans-fil peuvent tre classifies selon 5 catgories :
Probing & Dcouverte rseau
Bien que la dcouverte du rseau soit une des fonctions initiales normales de Wi-Fi, c'est aussi
une des premires tapes qu'un intrus doit accomplir, et au cours de laquelle on doit essayer de le
dtecter, mme s'il est assez peu "bavard".
Aruba est capable de dtecter l'emploi des applications de "war driving" les plus rpandues :
Netstumbler et Wellenreiter, grce leur "signature" spcifique, et d'envoyer un message

10

d'avertissement l'administrateur. A ce stade aucune agression n'a encore t mene contre le

rseau, mais il est indispensable de savoir qu'il est sous "observation" extrieure.
Attaque DoS
Les attaques DoS, qui ne sont pas propres au sans-fil, consistent bloquer, par un trafic ou des
connexions malveillantes en rafale (trames d'authentification/association), l'accs au rseau, en
dgradant trs significativement la qualit des communications, ou en gnrant une charge de
traitement sur les quipements rseau ou client (requtes de probe). Aruba dtecte ce genre de
flux, gnre un avertissement, et aide l'administrateur localiser la source de l'attaque. A noter
que pour certaines attaques, comme la simple gnration de fortes interfrences radio (RF
Jamming), il n'existe pas de moyen de s'en protger, et l'administrateur est contraint de se
dplacer et d'agir sur place, aid des outils de localisation du systme WLAN volu.
Surveillance
La surveillance consiste observer et dcoder le trafic effectif du rseau. Comme voqu
prcdemment, certains modes de cryptage possdent des faiblesses intrinsques qui autorisent
de "craquer" le codage (le temps de traitement est inversement proportionnel la quantit de trafic
espionn). La principale protection tant l'emploi d'un cryptage fort (celui de WEP, bas sur RC4,
n'est pas trs robuste avec les cls de 40 ou 104 bits), donc plutt WPA/TKIP au niveau 2, ou
IPsec au niveau 3.
Un autre moyen plus pernicieux consiste forcer la dconnexion abusive d'un client pour pouvoir
dduire la cl de l'observation de la phase de reconnexion qui s'en suit (LEAP est typiquement
vulnrable ce genre d'attaque).
Impersonation
Ce type d'attaque consiste prendre la place d'un client ou d'un AP valide en utilisant son adresse
(BSSID (adresse MAC de l'AP) et ESSID (nom symbolique du WLAN) pour un AP), dans l'objectif
d'accder au rseau ou aux services. Dans le pire des cas, les lments du rseau n'tant pas
aisment localisables en transmission radio, un AP frauduleux peut inviter un client se connecter
au rseau par son accs, et en dduire les lments d'authentification du client. Le mode de
protection le plus efficace consiste observer continuellement tout le trafic Wi-Fi, tout le trafic sur
le rseau, et de pouvoir dtecter tout client ou AP incohrent (il s'agit de dtecter l'apparition d'un
lment inconnu (Client ou AP), la "duplication" du client ou de l'AP, le "dplacement" d'un AP. Un
moyen de surveillance est, par exemple, de vrifier que le trafic des Clients Wi-Fi connus et
dtects passe bien par les LAN appropris. Un autre consiste associer une "signature"
chaque client, qui est drive de la puissance du signal mis. Si pour la mme adresse MAC, deux
signatures diffrentes sont perues un moment donn, les 2 Clients sont mis en quarantaine, et
un avertissement est envoy vers l'administrateur.
Les quipements Aruba qui grent/analysent continuellement les diffrents flux de communication,
s'assurent que les communications provenant des AP ne parviennent pas directement au cur du
rseau (par un circuit illicite : Rogue AP typiquement), et l'inverse, que ces communications radio
sont effectivement visibles sur le rseau cbls aprs passage par le switch (et non pas
dtournes vers un rseau pirate via un Fake AP).
Un type de protection assez gnrique contre les AP frauduleuses (Fake AP), positionnes par
exemple l'extrieur du btiment (et donc avec une puissance radio faible), consiste interdire
aux Clients de se connecter avec un dbit trop bas (1 ou 2 Mb/s), car inappropri la topologie de
disposition des AP officiels.
Intrusion Client
Une attaque de ce genre consiste exploiter une vulnrabilit du client pour accder au rseau.
Comme pour le monde des rseaux cbls, la meilleure protection tant la mise en place d'un
Firewall, situ en l'occurrence au cur du switch WLAN, entre la partie WLAN et le reste de
l'infrastructure rseau. Idalement, ce Firewall devra mettre en uvre des protections de niveau 2
et 3, savoir grer des filtres, ainsi que suivre les connexions dans le temps (capacit dite stateful),
garantissant un niveau de scurit au moins gal celui de l'environnement cbl.
11

Intrusion Rseau
C'est une des attaques les plus critiques. Une intrusion rseau vise prendre le contrle des
ressources rseau d'une entreprise. Les protections contre ce risque tant les systmes IDS
ddis au Wi-Fi, qui vont chercher corrler plusieurs vnements douteux pour dterminer si le
rseau ou un systme particulier est en train de subir une intrusion

Classification
RF Lock en fonctionnement

Socit voisine ou
Hotspot public

Valide
Interfrant
BACKBONE

Rogue

Parking

La protection la plus courante consiste forcer systmatiquement le d-attachement du client en

cause (trame deauthenticate), ou de tous les clients connus qui se seraient attachs un AP
frauduleux. De cette faon le rseau Wi-Fi apparat inaccessible ces postes de travail qui ne
parviennent pas tablir une connexion complte.
Cette capacit apporte une protection forte, elle ncessite cependant de rgler dfinitivement le
problme par une intervention physique, permettant, grce aux fonctionnalits de localisation, de
mettre la main sur le poste client ou l'AP la source du danger.

2.3 Cots
L'installation d'un rseau Wi-Fi en entreprise ncessite de complter les quipements de
transmission par des lments d'optimisation des communications radio, des briques renforant la
scurit sur les transmissions radio, ou aux points de connexion avec le rseau cbl, des
appareils de mesures du trafic et de diagnostic spcifiques WLAN.
De mme, une phase pralable d'audit du spectre radio et de mesure des paramtres de
propagation du site, des phases optionnelles de mesures et de contrles a posteriori, sont
prendre en considration.
Tout cela semble s'ajouter au cot de la solution matrielle.
On notera cependant que les systmes volus intgrent une majeure partie des besoins cits
prcdemment pour constituer une vritable solution complte, comme nous le verrons au
paragraphe 3.5.

2.4 Mise en uvre

L'installation et la gestion d'un rseau Wi-Fi posent leurs dfis particuliers, dont l'installation,
l'alimentation et la mise jour des AP en faux-plafond, le suivi des performances radio, le
monitoring du trafic, le contrle de la topologie des diffrentes cellules, etc. Bien heureusement,
les solutions volues apportent une aide prcieuse pour accomplir ces diffrentes taches.
12

3 La rponse et les solutions Aruba

Comme nous allons le voir ci-dessous, Aruba apporte aujourd'hui une rponse globale et intgre
toutes les questions que se pose l'administrateur rseau devant grer au mieux la mise en place
d'un rseau Wi-Fi.

3.1 Architecture gnrale

Aruba Wireless Networks, constructeur spcialis dans les technologies Wi-Fi a adopt une
architecture stratifie et centralise qui dcoupe l'ensemble des fonctionnalits mises en uvre
entre les AP et un "concentrateur" spcialis, dit switch ou commutateur WLAN (systmes 800,
2400, 5000).
L'objectif est double, d'une part :
- l'AP devient plus simple, interchangeable (la majorit des paramtres sont stocks sur le switch,
et rcuprs au moment du boot de l'AP), facile d'installation (car focalise sur la partie radio),
tandis que le switch regroupe toutes les fonctions ncessitant une capacit de processing,
conjointement une redondance de ces fonctions. De plus en centralisant les changes, le switch
peut avoir une vue complte indispensable ses fonctions de scurit (authentification et
cryptage), d'administration et de statistiques, et enfin de reconfiguration automatique
et d'autre part :
- les quipements sont d'autant plus flexibles, les AP, trs spcialises sur la partie radio, pouvant
tre upgrades pour supporter de nouvelles spcifications ou fonctionnalits par simple
tlchargement. Le switch quant lui possde une architecture interne (ASIC & FPGA) qui lui
permet de mettre en uvre de nouveaux algorithmes de cryptage sans impacter la fluidit des
communications.
Cette stratification complmentaire qui correspond une spcialisation de chaque type
quipement est un lment rvlateur de la maturit du domaine, et qui s'est dj produit dans de
nombreux secteurs techniques (spcialisation du type de mmoire des ordinateurs en fonction des
contraintes de taille et de temps d'accs, d corrlation des fonctions de routage/commutation de
paquets, de celle de calcul de routes, pour les routeurs, etc.).
Les AP Aruba fonctionnent dans les bandes 2,4 GHz et 5 GHz simultanment, indpendamment.
Chacune des 2 bandes correspondant une AP quasi-autonome (Clients, dbit, ESSID, cryptage,
WLAN virtuels, etc.).

Evolution des Architectures

Hier
Mobilit IP, IPSec, Certs
802.1x, 802.11i,
802.11e, 802.11f, 802.11h

Access Point Air Monitor

802.11 a/b/g

802.11 a/b/g

Antenne

Antenne

Destruction des Rogue AP

Firewall stateful
Calibrage Temps Rel
Autocorrection
Analyse et dpannage RF
Mobilit IP, IPSec, Certs
Encryptage programmable sur
le SWITCH WLAN

Backbone

AP lourdLger
TraditionnelLger
Fat--Thin

802.1x, 802.11i,
802.11e, 802.11f, 802.11h

Backbone

13

Noter enfin que dans la littrature anglo-saxonne, les AP simplifies sont dnommes Thin-AP,
opposes aux Fat-AP plus anciennes, qui intgrent les capacits de scurits (cryptage,
authentification, etc.) localement.
Dans le cas des quipements Aruba, l'ensemble du trafic peru par les AP est dirig vers le switch
l'intrieur d'un tunnel IP (en utilisant la technologie GRE). Ceci permet d'avoir une totale
tanchit entre les trafics Wi-Fi et LAN, les communications Wi-Fi devant passer par le
commutateur et y subir les contrles ncessaires (authentification, Firewall, IDS).
La seule contrainte sur l'architecture LAN ventuellement prsente entre les AP et le switch, tant
que celle-ci autorise le numro de port TCP correspondant pour ne pas empcher l'tablissement
du tunnel.

3.1.1 Commutateur WLAN

Les commutateurs Aruba 800, 2400 5000 contrlent les AP, les alimentent, commutent le trafic
(switch de niveau 2-MAC et 3-IP), mais ils sont aussi capables de terminer les VPN, de recopier le
trafic en vue d'un dcodage, dtre Firewal et IDS (donc de mettre en uvre toutes les fonctions
de protection : d-attachement forc de Clients risque), et enfin d'administration ncessaires
(configuration des AP, modification de leur mode de fonctionnement, calibrage, localisation des
clients, etc).
Par ailleurs, il est aussi possible de crer une arborescence de switch ou certains sont locaux
(connects directement aux AP), et l'un, plus central, est matre (ventuellement second de son
back-up). C'est le modle dit Direct-Attach, opposer au modle dit Overlay, o les AP ne sont
pas connects directement au commutateur (voir illustration au paragraphe 3.4.4).
Les switch locaux font fonction de concentrateur, agrgeant le trafic de plusieurs AP sur un seul
tunnel GRE vers le switch matre. Naturellement ces switch secondaires peuvent grer
l'alimentation lectrique des AP, et dcharger le commutateur central d'une partie du processing.
On retrouvera aussi le modle Direct pour les rseaux comportant plusieurs sites, mais pour
lesquels l'ensemble des rseaux Wi-Fi est gr par une administration unique et centrale.
identique (authentification, cryptage, Firewall, IDS).
Une problmatique importante est aussi
la prise en considration de l'existant,
quand l'administrateur rseau a dj
dploy quelques AP d'une autre
marque, et que l'on doit intgrer dans
l'infrastructure Wi-Fi d'Aruba. Les
commutateurs permettent de faire cela
avec un mode dit Mux (de multiplexage,
ou concentration) des AP, Aruba et
autres, sur un tunnel GRE vers le switch
matre.
Naturellement, il n'est pas possible de
disposer de toutes les fonctionnalits
proposes par les AP Aruba avec des
AP htrognes, mais le rseau gagne
cependant fortement en scurit car le
trafic de l'ensemble des AP est
encapsul
et
redirig
vers
le
commutateur central, pour un traitement

14

Aruba propose une gamme de 3 commutateurs Wi-Fi, possdant un ensemble de fonctionnalits

identiques, avec des puissances tages, adressant donc des besoins diffrents, soit en taille de
rseau, soit en position dans l'architecture. Ainsi le modle 800 peut tre positionn en central
pour un rseau de taille moyenne (jusqu' 256 clients sans-fil) ou bien encore en priphrie dans
une architecture arborescente possdant un switch plus puissant en central (voir diagramme au
paragraphe 3.4.4)

Dploiement
Taille
Access Points
Muxes
Utilisateurs
Sans cryptage
Avec cryptage

5000
Campus
3U
128
32
4096
4 Gb/s
2 Gb/s

2400
Building
1U
48
12
512
2 Gb/s
400 Mb/s

800
Filiale
1U
16
4
256
1 Gb/s
100 Mb/s

3.1.2 Virtual WLAN

En permettant d'avoir plusieurs ESSID pour une mme AP (mais obligatoirement un mme canal
par bande de frquences), Aruba transpose la notion de rseaux virtuels l'intrieur de chaque
cellule. Ces VLAN Wi-Fi pouvant tout naturellement tre mis en correspondance avec leurs
quivalents en LAN en utilisant le tagging IEE 802.1Q.
Par ailleurs, chaque ESSID peut aussi tre associ une mthode d'authentification et de
cryptage diffrente, correspondant divers niveaux de scurit.
Outre la diffrentiation des utilisateurs en plusieurs ensembles ou catgories, cette fonctionnalit
apporte aussi un plus en terme de dploiement en permettant de migrer progressivement les
utilisateurs (au fil des upgrade des postes de travail) vers des ESSID ncessitant une mode de
scurit plus volu et plus exigeant, que leur NIC ou leur OS ne supportait pas l'instant t.

3.2 Scurit
Le mode de fonctionnement du Wi-Fi reposant sur une transmission radio, gnralement
omnidirectionnelle, il correspond une communication broadcast, (diffusion gnrale) o tout le
monde peut couter toutes les communications, voire transmettre des paquets en prtendant tre
un autre quipement (impersonation en Anglais).
En effet, la diffrence des rseaux locaux de ces dernires annes (avec le remplacement du
cble Ethernet par une arborescence de commutateurs), le WLAN est implicitement ouvert, et parl, prsente une forme de vulnrabilit spcifique.
Les constructeurs et organismes de standardisation se sont donc vertus dvelopper des
mthodes de protection capables de fournir un niveau de scurit comparables aux rseaux
cbls, voire dans certains cas, suprieures.
En effet, pour un administrateur rseau, le dveloppement d'un rseau Wi-Fi en extension de son
LAN, ne peut tre envisag s'il prsente une vulnrabilit suprieure l'architecture dj en place,
ou bien si le rseau Wi-Fi apparat comme un maillon faible, mettant en pril l'ensemble de
l'infrastructure (tel un cheval de Troie).
La connexion d'un poste client en entreprise au rseau Wi-Fi est considre comme la connexion
par le RTC au travers d'une infrastructure non sre. On applique donc des procds trs
comparables : authentification de la connexion (avec un protocole driv de PPP, propagation de
la requte sur l'identit de l'utilisateur vers un serveur Radius et/ou LDAP), cryptage ventuel des
communications par un tunnel VPN (L2 ou L3).
Un certain nombre de complments fondamentaux sont apports par la solution Aruba, comme les
filtres (ACL au niveau IP ou MAC), un Firewall stateful, un IDS, paralllement la dtection de tout
vnement pouvant tre la prmisse d'une attaque Wi-Fi.

15

Les procdures de scurisation des quipements Aruba reposent sur leur capacit suivre tous
les quipements actifs "visibles", tant AP que clients, et les classer selon le degr de risque qu'ils
peuvent prsenter (par exemple : Valid, Interfering, Rogue pour les AP). Ainsi un poste client qui
s'est dj authentifi dans le pass, est, lors d'une nouvelle connexion, considr diffremment
d'un poste nouvellement dcouvert. La classification permet au systme complet de pouvoir
dceler tout vnement alarmant et de ragir au mieux.
Dans ce paragraphe nous allons aborder ces fonctionnalits sous deux angles, l'tape ou la
fonction correspondant au complment de scurit, puis nous les rsumerons par niveau du
protocole de scurit dans la pile IP.

3.2.1 Attachement
Plusieurs mcanismes permettent d'amliorer significativement la scurit de la phase de
connexion.
Un premier niveau de protection consiste ne pas diffuser le nom du rseau (SSID). Dans ce cas
c'est au poste client de connatre ce nom pour s'attacher. Une autre technique similaire consiste
ne pas rpondre aux broadcast demandant quelles sont les ESSID disponibles ou visibles (Probe
Request Frame de la procdure DCF). Il s'agit cependant, d'une part, de protections trs limites,
car les ESSID peuvent tre dcouverts via les communications des autres STA observes, et
d'autre part parce qu'elles peuvent bloquer l'attachement de certains NIC dont les implmentations
ont besoin de ces tapes dans leur processus de connexion.

3.2.2 Authentification utilisateur

Pour l'authentification, plusieurs modes sont possibles. Le premier consiste ne rien demander au
niveau Wi-Fi (pas de cl), c'est le mode utilis en hot spot par exemple, puisque l'utilisateur lors de
sa connexion n'a aucune connaissance du rseau, et rciproquement. L'authentification se fera
alors sur un portail web.
Le mcanisme de scurit le plus courant pour l'attachement et le WEP (Wired Equivalent Privacy)
qui possde par dfaut une cl de 40 bits (plus un vecteur d'initialisation de 24 bits). Mais des
programmes existent maintenant dans le public pour casser ces cls. Des implmentations 128
(24+104) et 256 bits sont courantes, et plus robustes. Un autre moyen d'amliorer le WEP et de le
rendre dynamique en forant une modification priodique de la cl, et d'en allouer une par client
(Dynamic WEP).
Quoi qu'il en soit le WPA 1.0, en attendant la ratification du IEEE802.11i a apport un plus trs
significatif. Il fait usage du standard IEEE 802.1X pour faire rfrence un serveur
d'authentification, ce qui correspond considrer le switch WLAN comme un concentrateur de
modem (RAS ou BAS) dans une architecture de collecte traditionnelle.
Le protocole utilis entre le switch Aruba (authenticator) et le serveur pouvant tre une des
variantes d'EAP (Extensible Authentication Protocol) : EAP-TLS, EAP-TTLS, PEAP, LEAP .
WPA fait aussi usage de TPKI pour le cryptage des donnes (niveau 2 puisqu'il s'agit encore de
Wi-Fi) qui remplace avantageusement WEP.
Comme voqu ci-dessus, le dernier mode d'authentification par un serveur Web "forc" la
connexion, rpond au besoin de type hot spot pour les oprateurs, et est donc positionn au
niveau 7.
Il correspond effectuer l'authentification de l'utilisateur sur une page Web (le serveur Web
tournant dans le switch WLAN) par un ID + Password. La liaison entre le Client et le switch est
scurise grce SSL (https) et l'authentification peut tre ralise, comme prcdemment, grce
une base locale, ou en se rfrant un serveur AAA avec le protocole Radius ou LDAP.
En retour l'utilisateur est assign une catgorie (rle/profil) dfinissant son VLAN, ses droits, etc.
Par exemple si l'utilisateur est connu mais qu'il n'a plus de crdit, il peut tre redirig vers un VLAN
aboutissant une page particulire lui demandant de renouveler son abonnement.
Le serveur Web ne grant que la partie authentification, dans certains cas on demandera ensuite
au Client de tlcharger un Dialer VPN (Client VPN) pour pouvoir crypter les communications qui
s'en suivent.

16

3.2.3 Communication
Une fois l'utilisateur authentifi, et autoris, et donc associ une catgorie, ou rle, tous les
changes qu'il va avoir travers le switch WLAN seront encore soumis un niveau lev de
contrle et de surveillance.
Il s'agit d'une part de se protger contre les observations indlicates (eavesdropping), mais aussi
potentiellement des attaques vhicules par le trafic lui-mme.
La protection contre le premier risque consiste crypter les communications, celle contre le
second vrifier son contenu l'aide d'un Firewall et/ou d'un IDS (Intrusion Detection System)
orient wireless.
3.2.3.1 Cryptage
L'utilisation de rseau virtuel priv (VPN) gre la liaison entre le client et le switch (partie radio et
tunnel) comme une liaison RTC (liaison tlphonique commute, via modem). En effet, en partant
du principe que cette partie de la connexion est juge non fiable, on emploie un VPN pour le
cryptage (et l'authentification), protgeant tous les trafics de l'ordinateur client, jusqu'au
concentrateur de VPN (un commutateur Wi-Fi dans l'architecture Aruba). Ce dernier a la charge de
terminer les VPN de tous les clients (sans impact sur les performances), et de livrer un trafic "sain"
au rseau LAN auquel il est connect. Implicitement, ceci signifie que l'architecture matrielle du
switch lui permet d'effectuer la terminaison de grandes quantits de VPN (jusqu' quelques milliers
de clients dans la pratique).
Avec les quipements Aruba, diffrents types de VPN sont supports :
- L2TP
- L2TP over IPsec
- XAUTH
- PPTP
Les types de VPN : IPsec, Policy sub-mode, Dynamic Map sub-mode, L2TP, PPTP
Les protocoles d'authentification : PAP, CHAP, MSCHAP, MSCHAPv2, CacheSecureIDToken.
Les cryptages IKE : DES, 3DES (AES trs bientt)
Les algorithmes de Hash IKE : SHA ou MD5
L'authentification IKE : Signature RSA ou Preshared Key Password
Encryption
Protocol

Key Size

Encryption
Method

WEP

40, 128 bit

RC-4

40, 128 bit

RC-4

128 bit

RC-4

Dynamic
WEP
TKIP WPA 1.0

Vulnerabilities
No message integrity code makes it
open to packet injection and replay
attacks, weak initialization vectors
Open to packet injection, weak
initialization vector
Weak message integrity code,
packet injection

128, 168, 192

3DES, AES
or 256 bit
AES-CCMP - 128, 192 or
Message integrity code and
AES
IEEE 802.1i
256 bit
encryption keys are identical
IPsec

IPsec tant beaucoup plus robuste que PPTP, la combinaison la plus rpandue est gnralement
une authentification WEP associe un VPN de type L2TP/IPsec.
3.2.3.2 Firewall
Le Firewall intgr au switch Aruba est un switch hardware complet :
- stateful : il maintient une connaissance de l'tat des sessions / connexions
- dynamique : les informations concernant les adresses IP peuvent changer quand la rgle est
applique aux utilisateurs

17

- bidirectionnel, la diffrence de la plupart des ACL qui ne s'appliquent qu'au trafic entrant ou
bien sortant sur une interface
Il possde des ACL (cisco-like), par dfaut associes une interface physique, qui peuvent aussi
tre configures pour avoir des plages horaires de mise en uvre.
Ces filtres peuvent tre dfinis au niveau :
- Ethertype
- MAC
- Standard (adresse IP source)
- Extended (adresse IP source ou destination, port source ou destination, protocole IP)
Les actions possibles sont l'autorisation (permit), l'interdiction (deny), le choix de la queue de
priorit, ou le log. Notons effectivement que les switch possdent plusieurs queues (dont 2 sont
utilisables actuellement), permettant d'envisager la gestion de flux avec QoS (typiquement la VoIP
partir d'un ordinateur, et bientt avec des tlphones Wi-Fi : VoWLAN).
Des capacits NAT sont aussi accessibles avec le Firewall, pour la modification de l'adresse IP
destination, ou de l'adresse IP source.
3.2.3.3 IDS
Les capacits de l'IDS wireless intgres au switch Aruba consistent surveiller continuellement
les changes et les flux Wi-Fi pour dtecter au plus tt tout risque ou vnement anormal, informer
immdiatement l'administrateur et ragir en temps rel.
Comme nous l'avons vu prcdemment, les quipements Aruba savent reprer les cls Wep
faibles, Rogue AP, les ponts wireless (WBS), localiser les quipements responsables d'un DoS,
dtecter une impersonation ou une attaque ASLEAP. Ces capacits reposent sur la base de
connaissance (WMS Wireless Management System) que possde le switch central, et qu'il enrichit
au fil de l'eau lors de toute connexion, authentification, tout change, tout dplacement ou toute
modification des caractristiques d'un quipement.

3.2.4 Layer 2 - Layer 3

En reprenant les lments cits jusqu'ici, nous allons brivement rcapituler les diffrents
mcanismes de scurit qui sont offerts par la solution ARUBA, en les classant par niveau
d'opration : 2 - MAC, 3 - IP, et 7 - Web (nous conservons la numrotation du modle ISO, mais
applique la pile TCP/IP).
Au niveau 2
- WEP (statique,dynamique)
- WPA-PSK
- WPA (802.11i interim : 802.1X, TKIP)
Au niveau 3
- VPN IPsec
- VPN PPTP

Application Layer
Stateful Firewalls
Encryption Layer
WEP, Dynamic WEP, TKIP; AES, IPsec
Authentication Layer
IEEE 802.1X, IPsec, https
RF / Physical Layer
Wireless IDS, Rogue AP Protection

Au niveau 7
- Portail captif
Concernant le support du VPN, pour simplifier au plus l'utilisation de ce mode de scurit sur le
poste Client, le switch Aruba propose sur la page Web d'authentification le tlchargement d'un
Dialer VPN permettant tout PC d'tre dot des mmes capacits de cryptage, indpendamment
de sa configuration antrieure ou de ses drivers prcdents. C'est une rponse complte et sre,
qui garanti une gestion et une administration professionnelle du parc d'ordinateurs clients.

18

3.3 Monitoring
Le mode de fonctionnement de Wi-Fi veut que ds qu'un AP est associ une frquence (pour
chaque bande de frquence 2,4 et 5 GHz), il ne fonctionne que sur cette frquence, et mme si
celui-ci est capable, tout en grant les transmissions de surveiller aussi tout autre trafic dans cette
bande frquence, il n'a plus la possibilit de basculer sur les autres canaux pour surveiller ce qui
s'y passe. C'est donc tout naturellement le rle d'AP particuliers, dits AM (M pour Monitoring)
ddis l'coute, donc passifs, qui eux vont continuellement balayer les diffrents canaux (en 2,4
GHz et en 5 GHz simultanment) pour surveiller les flux des diffrentes cellules qu'ils reoivent,
mais aussi vrifier le bon fonctionnement des autres AP voisins.
Noter que les AP et les AM Aruba sont les mmes quipements, et que le switch peut commander
dynamiquement le basculement d'un mode de fonctionnement l'autre.
Tout le trafic de ces AM tant remont vers le switch, celui-ci pourra de cette faon enrichir sa
base de connaissance, non seulement du trafic qu'il gre effectivement par ses propres AP, mais
s'assurer qu'aucun de ses clients connus ne se connecte un AP "non rfrenc".
Il est ainsi fortement recommand de faire arriver tous les VLAN du rseau sur le switch WLAN,
mme ceux qui ne feront transiter aucun trafic par le switch. Cela permet au switch, grce
l'coute des requtes DHCP en broadcast, de localiser tous les quipements, et de dtecter la
prsence anormale d'un flux ou d'un client sur un segment o il ne devrait pas figurer.
Les AM tant passifs, en mode d'coute ils peuvent dtecter et suivre des signaux relativement
faibles, provenant dquipements assez loigns. Par consquent, leur couverture est beaucoup
plus large que celle des AP. En considrant qu'un AM peut couvrir une superficie estime
grossirement 5 ou 6 fois celle d'un AP, l'on dduit une rgle d'ingnierie.
Cependant ce travail est grandement simplifi grce aux outils logiciels d'Aruba qui permettent de
travailler sur le plan des btiments et la position des AP et AM pour dterminer de manire
thorique les emplacements optimums.
Enfin, concernant les capacits de monitoring, il est intressant de noter qu'un
administrateur rseau peut envisager de se doter d'un systme Wi-Fi, non pas dans le but
d'tendre son rseau en Wi-Fi, mais dans le but premier de surveiller qu'aucune installation
pirate (Rogue AP) n'a effectivement t installe et connecte au rseau, mettant en pril
l'ensemble de l'infrastructure pas son manque de scurit. Ainsi, un switch WLAN
uniquement quip d'AM permet de surveiller quotidiennement l'apparition de
transmissions Wi-Fi, et ce, avant mme qu'une installation officielle ne soit dploye.

3.4 Mise en uvre et maintenance

La gnration moderne d'quipements Wi-Fi comme ARUBA a pris en considration les
problmatiques des administrateurs et des quipes de maintenance pour optimiser leur phase de
conception, simplifier les phases d'installation et de maintenance, et enfin pour enrichir au
maximum la connaissance du rseau et son suivi.
On a vu que le premier critre correspondant cette approche consiste regrouper un maximum
de fonctionnalits dans le commutateur, rendant l'AP aisment interchangeable, et garantissant les
performances.

3.4.1 Ingnierie
La mise en place d'un rseau Wi-Fi, assez simple en apparence, et ce d'autant plus que certains
utilisateurs l'ont dj expriment chez eux avant d'en aborder la problmatique en entreprise, fait
appel un type de comptence rarement prsent dans les quipes rseaux. En effet, le "lego"
Ethernet est beaucoup plus facile matriser, qu'une comptence globale en Wi-Fi. Et ceci parce
que Wi-Fi ne fait pas appel qu' des comptences "data" (connectique, mthode d'accs,
cryptage, change de cls) mais aussi une comprhension des phnomnes de propagation
hertzienne, et si possible la capacit de mesurer et contrler les transmissions radio, leur
couverture, leur attnuation, leurs interfrences, leur rflexion, etc.
L'installation d'un rseau Wi-Fi en entreprise ncessite donc une tude de site, mesure et
dfinition de l'emplacement des AP, calibrage des niveaux de puissance.
19

Les proprits de propagation du milieu, l'air en l'occurrence, sont non seulement complexes, mais
de plus, volutives.
En effet, 2,4 GHz, les rayonnements sont trs fortement attnus par l'eau (comme pour les
micro-ondes) et le mtal. A 5 GHz, le ciment, les briques, le bois et le mtal sont aussi des
matriaux bloquants.
Ce qui veut dire que l'ouverture d'une porte, le dplacement d'une armoire, voire d'un individu dans
le trajet des ondes peut modifier sensiblement leur propagation ou leur rflexion.
A noter que les AP Aruba possdent deux antennes, principalement pour crer un minimum de
diversit dans les trajets des ondes radios entre l'AP et chaque client, ce qui vite ou limite trs
significativement les problmes d'interfrences destructives qui peuvent survenir entre des
rayonnements cohrents en opposition de phase (aprs rflexion).

RFPlan simple
Nous dduisons de ce qui prcde qu'il n'est pas raliste de raliser une mesure des conditions de
propagation trop fine. Il est plutt recommand de se focaliser sur des mesures plus globales,
sachant que l'installation devra offrir une certaine marge de fonctionnement pour palier aux microchangements, ncessairement imprvisibles.
Les fonctions logicielles intgres la solution Aruba proposent ainsi d'accompagner
l'administrateur dans le positionnement des AP, pas seulement en fonction des aires couvrir,
mais en intgrant aussi des critres comme le nombre maximum de clients que l'on dsire voir se
connecter un AP, ou encore le niveau de redondance AP-AM que l'on souhaite. Cet outil est
gnralement trs suffisant pour dterminer la disposition des AP et la couverture qui s'en dduira
(voir figure ci-dessus).
Suite la phase de conception, une fois les AP (et AM) installs, le switch Aruba les tl contrle
pendant une phase de calibrage automatique, durant laquelle le canal de fonctionnement et le
niveau de puissance de chaque AP est dtermin grce aux mesures menes par chaque AP.
L'objectif de cette phase tant de minimiser les interfrences entre cellules (on a vu
prcdemment qu'il tait prfrable de laisser 4 canaux inutiliss entre chaque cellules voisines),
mais aussi d'optimiser le niveau de puissance de manire ne pas laisser de trou, tout en
conservant une marge de manuvre en cas de dfaillance d'un AP.
20

21

3.4.1.1 Interfrences
La bande de frquence des 2,4 GHz est relativement sujette aux interfrences, avec d'autres
rseaux Wi-Fi proches, avec le Bluetooth, mais aussi aux micro-onde, ou au DECT dans certains
pays.
Mme si le codage et la diversit des canaux permettent thoriquement de palier ce type de
difficult, il est important de mesurer ou de surveiller le spectre radio sur le site.
Un haut niveau d'interfrence pourra dgrader significativement les performances, voire empcher
le fonctionnement de certaines cellules.
La bande des 5 GHz est lgrement moins perturbe, mais la propagation y est lgrement moins
performante aussi.

3.4.2 Installation
Une technologie rpandue qui permet de simplifier l'installation des AP consiste utiliser
l'alimentation par le cble Ethernet. En effet l'IEEE 802.3af dfinit un mode d'alimentation en
48 Volt qui utilise le cblage Ethernet standard (POE Power Over Ethernet), et permet typiquement
d'alimenter des AP qui, couramment situs dans les faux plafonds, ne sont pas ncessairement
proches d'une source de courant ou d'une prise lectrique.
A noter que les AP Aruba peuvent aussi avoir recours une source d'alimentation standard par un
connecteur ddi.
Le mode de fonctionnement POE ncessite cependant une connexion directe entre le switch et
l'AP (modle Direct, diagramme du paragraphe 3.4.4), ou alors l'emploi de switch ou de
concentrateurs intermdiaires supportant aussi le POE.
En reprenant ce principe, Aruba permet aussi de se connecter aux AP en mode srie par le cble
Ethernet ( condition que celui-ci ait 4 paires), comme par un port srie DB9.
A noter que le switch est un concentrateur de terminaux, et que les ports RJ-45 du switch intgrent
l'quivalent d'un petit "splitter" Ethernet + Srie. Comme pour le POE, cette capacit ncessite que
les AP soient connects en direct sur le switch Aruba.
Ces deux facilits sont particulirement intressantes en terme de dploiement, puisque le
cblage ncessaire la mise en place d'un AP n'est que d'un seul cble, tout en conservant les 3
fonctions : alimentation lectrique, trafic utile sur Ethernet, port srie pour la console, et donc en
conservant tous les moyens de contrle de l'quipement une fois le faux-plafond referm.
On notera qu'il est possible de ne donner l'AP que son identificateur de position (# de site, # de
btiment, # d'emplacement) pour lui permettre de s'auto configurer via le switch central, donc
quasiment en Plug & Play.
Un dernier point important concernant l'installation des AP ARUBA en faux plafond, donc hors des
locaux techniques, est que la configuration locale de l'AP ne possde aucun paramtre critique
pouvant tre utilis pour perptrer une attaque sur l'infrastructure Wi-Fi. En effet, les AP sont plus
vulnrables des actes malveillants que les autres lments rseau, puisque qu'ils peuvent tre
soumis des risques physiques supplmentaires : Dconnexion, destruction, etc. Cependant,
l'extrme, le fait de voler un AP ne donne au malfaiteur accs aucun code, cl, paramtrage
radio ou autre, toutes les informations vitales tant stockes sur le switch. Seule la position
"logique" de l'AP, et ventuellement quelques adresses IP sont sauvegardes sur la mmoire
locale.
Naturellement, le remplacement de l'lment drob est par consquent trs ais, puisqu'il suffit
de remplacer l'AP par un autre, configur avec le mme # de position, pour permettre sa
rintgration immdiate au rseau.

3.4.3 Performance
Les rseaux Wi-Fi nous rappellent aussi une faon de considrer la performance, que nous avions
oubli depuis que nous sommes habitus l'Ethernet 10/100 Mb/s commut, avec lequel la bande
passante est ddie par port. En effet, une cellule propose un dbit nominal de 11 ou 54 Mb/s
partag entre tous les clients attachs, et entre tous les WLAN virtuels grs par l'AP (et bien sr
implicitement en half-duplex). Ce qui plus est, ce dbit est rellement nominal (de par la mthode
22

d'accs CSMA/CA, et les dlais consacrs aux IFS Inter Frame Space, Backoff et Contention
Windows, Network Allocation Vector, Ack), la limite effective tant trs sensiblement infrieure
(selon les cas, de 30 50 %).
Noter au passage que la mise en uvre simultane d'mission/rception en technologie b et g
(donc dans la bande 2,4 GHz), rduit aussi lgrement la performance des transmissions.
Ceci veut dire que, d'une part, il n'est pas raisonnable d'avoir plusieurs dizaines d'utilisateurs actifs
par cellule, et que d'autre part, il faut aussi en bannir les machines exagrment exigeantes
(serveur, station de traitement graphique, unit de stockage, etc.), pour lesquelles les technologies
WLAN ne sont pas adaptes aujourd'hui.
Par contre, une cellule comportant au plus une vingtaine d'utilisateurs leur offrira un potentiel de
confort tout fait satisfaisant pour une utilisation bureautique gnrique. On peut effectivement
considrer qu'un utilisateur standard a gnralement besoin de moins d'1 Mb/s en moyenne.
Aruba propose cependant certains fonctionnalits permettant d'amliorer la situation, en surveillant
prcisant le nombre de stations connectes chaque AP, et dans chaque WLAN virtuel, et en
basculant ventuellement un utilisateur d'un AP encombr vers un autre automatiquement.
Cette fonction nomme Load Balancing permet d'optimiser le trafic global au bnfice de chaque
utilisateur, sans ncessairement faire intervenir l'administrateur systmatiquement.

3.4.4 Intgration
La plupart des installations de rseaux Wi-Fi se fait en excroissance d'un rseau prexistant. Pour
l'administrateur rseau, cette installation doit donc tre pense pour s'intgrer d'une manire aussi
aise que possible.
Pour cela les WLAN reconnaissent les VLAN existants sur le rseau (grce au Tagging 802.1Q),
et peuvent les prolonger sans difficult sur la partie sans-fil, tout en conservant, grce leurs
diffrents mcanismes de scurit un niveau de confidentialit identique, voire suprieur.
Mais la question devient plus complique quand il s'agit de dployer un rseau Wi-Fi global sur
une infrastructure qui comporte dj quelques lots sans-fil. La reprise de l'existant est cependant
tout fait possible, en sachant que les AP d'autres marques peuvent tre relis aux switch Aruba
(typiquement en mode local) pour rapatrier l'ensemble du trafic Wi-Fi sur le commutateur central
par un tunnel GRE.
Cette agrgation est indispensable pour garantir la scurit en n'ayant qu'un seul point de passage
et de contrle entre le WLAN et le "Wired".

Direct vs. Overlay

FLOOR 1

FLOOR 1

10/100 Mbps

10/100 Mbps

FLOOR 2

FLOOR 2

Overlay model

10/100 Mbps

10/100 Mbps

10/100 Mbps

DATA CENTER

10/100 Mbps

DATA CENTER

BACKBONE

Direct-attach
model

BACKBONE

23

Cependant, les AP autres, n'ayant pas toutes les fonctionnalits des AP Aruba, certaines fonctions
ne seront pas disponibles (WLAN virtuel, rglage de la puissance, auto calibrage).
A noter que les interventions de l'IDS (trame deauthenticate) en cas de danger, sont de la
responsabilit des AM, les AP autres sont aussi protges par ce mcanisme Aruba.

3.4.5 Exploitation
Pour l'administrateur rseau, le Wi-Fi correspond une approche renouvele de la problmatique
de maintenance et d'exploitation. En effet, d'une part les quipements rseau ne sont pas tous
dans les locaux techniques, d'autre part, il s'agit d'un domaine encore trs dynamique, dans lequel
de nouvelles fonctionnalits viennent priodiquement complter les technologies en place.
L'architecture qui consiste concentrer l'intelligence du rseau Wi-Fi dans le switch WLAN, permet
de simplifier au plus l'AP (Thin-AP), et de centraliser le traitement, et donc de limiter au strict
minimum le nombre des quipements qu'il faut upgrader pour ajouter de nouvelles fonctionnalits
et lvolution des standards. De mme, tout le trafic circulant par le switch WLAN, il est possible de
surveiller en un point central l'ensemble des communications. Ce qui est un avantage dcisif, que
ce soit pour le monitoring et les statistiques, ou pour la dtection de toute intrusion ou anomalie
dans le cheminement des paquets (par exemple pour la dtection des AP Rogues).
Ce qui plus est, l'architecture matrielle des switch WLAN Aruba est suffisamment flexible pour
permettre de rajouter d'ventuels futurs mcanismes de cryptage ou d'authentification sans
impacter les performances, et avec une mise jour centralise, et donc unique.
Comme vu prcdemment, cette architecture permet une coopration intelligente entre les AP,
que ce soit pour le choix du canal de frquence, pour le niveau de puissance optimum pour
minimiser les interfrences, et viter les "trous", ou pour la rpartition du nombre de clients par AP.
Enfin, cette gestion centralise permet aussi au parc d'AP d'offrir un certain niveau de Self-healing,
par exemple, en augmentant automatiquement la couverture des AP voisines, lors de la dtection
d'une dfaillance sur un AP.
Dans le mme esprit, la possibilit de demander aux AM de remonter un trafic particulier en vue
d'un dcodage dtaill permet de raliser des manipulations de mesure et en vitant tout
dplacement, et toute installation physique d'un analyseur ou autre sonde.

Analyse Remote AiroPeek

24

Dcodage avec Ethereal

3.5 ROI & TCO

La solution Aruba est compose de commutateurs Wi-Fi associs de multiples Thin-AP.
Mais le switch hberge aussi un grand nombre de fonctionnalits complmentaires :
- un concentrateur POE
- un concentrateur de terminaux srie
- un terminateur de VPN extrmement performant
- un Firewall hardware stateful
- un IDS (Intrusion Detection System) wireless
- une base de donnes des utilisateurs, de leurs paramtres et historique d'authentification
- une capacit de capture de trafic globale, comparable un analyseur distribu
- une capacit de monitoring radio sur tout le site, permettant la localisation
A travers la richesse de l'offre, elle apporte une solution complte et autonome, et vite l'achat
ventuel d'quipements complmentaires, tout en offrant une administration centralise et unifie
de ces diffrentes briques. La solution intgre tant indiscutablement plus sre, plus performante
et trs significativement moins chre.
Enfin, la gestion des extensions du parc de postes clients d'un rseau sans-fil ne ncessitant
aucune intervention physique sur le rseau, une conomie d'chelle trs significative peut tre
ralise de cette manire (pas de modification du cblage, pas de jarretire dfectueuse, etc.).

3.6 Rsilience
La solution WLAN faisant dornavant partie intgrante du rseau de l'entreprise, elle doit rpondre
aux mme exigences concernant les niveaux de disponibilit, ou les caractristiques de
redondance.

25

Modle de dploiement centralis

BUILDING 1

BUILDING 2

BUILDING 3

BUILDING 4

Campus
Backbone
DATA CENTER

VRRP

Les solutions Aruba rpondent aisment ce cadre avec une approche duale : d'une part des
quipements centraux entirement redondants, et d'autre part une architecture de dploiement qui
scurise chaque lment.
Le commutateur Aruba 5000 possde une structure qui offre la redondance des modules de
connectique, des alimentations (2+1), des ventilateurs, des ports up-link (GigaEthernet), et du
module CPU : Traitement, scurit et supervision (administration, authentification, cryptage,
statistiques). Les modules de connectiques 10/100 et de supervision (CPU) sont aussi hotswappables, permettant des interventions de maintenance en minimisant l'impact oprationnel.

Aruba 5000
24 ports 10/100
PoE
Chassis modulaire
3U rackable

Ventilateurs
Hot-swappable
Module de supervision
redondant avec
encryptage HW

Commutateur 4 slots

Uplink de 2 Gbps
(GBICs)

LEDs pour Point daccs (AP) et

Air moniteur (AM)

Management Ethernet Alimentation

redondante 2+1
Out-of-band
Slot PCMCIA
pour image et
configuration redondante

Utilisation de
la CPU
Port console

Chssis Aruba 5000 , 2 modules CPU (actif+redondant) & 2 modules de 24 ports 10/100 Mb/s
(48 ports physiques, mais gre jusqu' 128 AP )
26

Par ailleurs le dploiement de 2 switch WLAN centraux en redondance actif/passif permet d'ajouter
encore un niveau suprieur de garantie de disponibilit, parfaitement compatible avec les
exigences leves des administrateurs rseau, et totalement transparent grce au protocole
VRRP.
Enfin, en ce qui concerne les AP, deux mcanismes peuvent tre employs.
D'une part la phase de calibrage paramtre les AP de manire a ce qu'ils ne fonctionnent pas
pleine puissance en situation normale (toujours selon le niveau autoris par la rgulation, 100 mW
typiquement), laissant une marge qui servira augmenter la taille de la cellule si un des AP voisins
venait tomber en panne. Le Switch pouvant commander automatiquement d'augmenter la
puissance du signal pour couvrir le trou laiss par l'quipement dfaillant.
D'autre par le dploiement d'AM (par exemple avec un ratio de 1 AM pour 5 AP) permet aussi de
subvenir immdiatement et automatiquement au trou ventuel que pourrait provoquer la
dfaillance d'une AP, en attendant le remplacement de l'lment en panne.
Le service de connexion Wi-Fi tant par consquent scuris par ces 2 formes de redondance
dites aussi self-healing, au niveau des AP.

3.7 Supervision
Les outils centraux de supervision de la solution Aruba (RFDirector) offrent une vue complte et
unifie l'administrateur rseau.
Celui-ci dispose de statistiques centralises et riches, au format RMON, des logs de toutes les
vnements au niveau Wi-Fi, comme au niveau du Firewall ou de l'IDS.

Statistiques RMON
La fonction de port mirroring est reproduite au niveau de chaque AP, puisque l'on peut, sans
impacter le fonctionnement, configurer la recopie du trafic d'un AP, ou d'un poste client en

27

particulier, et le rediriger vers un ordinateur quip d'un logiciel de dcodage AiroPeek ou Ethereal
par exemple.
L'administrateur bnficie de plus d'un outil de localisation qui permet de situer tout quipement
WLAN sur la topologie des cellules, ce qui est indispensable pour pouvoir trouver efficacement
l'quipement physique dans les locaux en un temps limit.
Enfin, le commutateur propose des logs extrmement complets de l'activit, permettant
l'administrateur de retracer l'historique des vnements, leur enchanement, et/ou les modifications
ayant eu lieu.

4 Conclusion
Nous avons vu dans ce document comment les technologies s'taient enrichies au cours du temps
pour rpondre au besoin de plus en plus important de la connexion data nomade, au bureau, dans
la rue ou chez soi.
Et nous avons identifi aussi les rponses des solutions modernes qui adressent tous les aspects
critiques de l'administrateur rseau, qu'il s'agisse des phases d'ingnierie, d'installation, de
gestion, de supervision et de maintenance, ou des approches critiques concernant la scurit, la
fiabilit et le niveau de disponibilit.
Enfin, nous avons aussi voqu comment ces quipements volus, intelligents sont dores et dj
prts pour les volutions prvues court et long terme, qu'il s'agisse de complments de
scurit,standards ou de qualit de service pour le support de nouveaux flux et de nouvelles
applications.

28

5 Annexes
5.1 Livres
802.11 Wireless Networks: The Definitive Guide, Creating and Administrering Wireless Networks
Matthew Gast - O'Reilly - ISBN: 0-596-00183-5
Wireless Communications, Principles and Practice (2nd Edition)
Theodore S. Rappaport - Prentice Hall - ISBN: 0-13-042232-0

5.2 Sites web

Aruba :

http://www.arubanetworks.com

ART

http://www.art-telecom.fr/

WECA :

http://www.weca.net/OpenSection/index.asp

WLANA :

http://www.wlana.org/index.html

IEEE 802.11 :

http://grouper.ieee.org/groups/802/11/

Wi-Fi Planet :

http://www.wi-fiplanet.com/

Wi-Fi Networking News :

http://wifinetnews.com/

UnStrung :

http://www.unstrung.com/

Microsoft Technology Center :

http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
O'Reilly - comparaison technique de TTLS et PEAP
http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html
IEC - Tutoriel EAP pour 802.1X
http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf

29

5.3 Tableau des Supplments

Work Group, Task Groupe et Study Group de l'IEEE 802.11.
http://grouper.ieee.org/groups/802/11/ puis WG info, puis 802.11 QuickGuide
WG
MAC/PHY
TG a
TG b
TG c

Published as IEEE Std.

Common MAC for WLANs applications, 3 PHY's for WLANs applications,
802.11-1997
(8802-11:
using IR, 2.4 GHz FHSS, and 2.4 GHz DSSS
1999)
Develop a PHY to operate in the newly allocated UNII band (54 Mb/s in 5 Published as IEEE Std.
GHz band, with OFDM)
802.11a-1999
Published as IEEE Std.
Higher rate PHY in the 2.4GHz band (11 Mb/s, with DSSS)
802.11b-1999
Support of the Internal Sub-Layer Service by specific MAC Procedures to Part of the ISO/IEC 10038
cover bridge operation with IEEE 802.11 MAC
(IEEE 802.1D) Standard

TG d

Physical layer requirements (channelization, hopping patterns, new

Published as IEEE Std.
values for current MIB attributes, and other requirements to extend the
802.11d 2001
operation of 802.11 WLANs to new regulatory domains (countries)

TG e

Enhance MAC to improve and manage QoS, provide CoS, and enhanced
security and authentication mechanisms. Consider efficiency
On going
enhancements in the areas of the Distributed Coordination Function
(DCF) and Point Coordination Function (PCF)
Develop recommended practices for an Inter-Access Point Protocol
(IAPP) which provides the necessary capabilities to achieve multi-vendor
Access Point interoperability across a Distribution System supporting
IEEE P802.11 Wireless LAN Links. This IAPP will be developed for the
Approved, and part of Std
following environment(s): 1) A Distribution System consisting of IEEE
802 LAN components supporting an IETF IP environment. 2) Others as
deemed appropriate This Recommended Practices Document shall
support the IEEE P802.11standard revision(s)
Higher speed(s) PHY extension to the 802.11b standard. Compatible with
the 802.11 MAC. Max PHY data rate targeted by this project > 20 Mbit/s.
Approved June 2003
New extension shall implement all mandatory portions of 802.11b PHY
standard (54 Mb/s in 2.4 GHz, with OFDM).
Enhance MAC standard and 802.11a High Speed PHY in the 5 GHz
Band supplement to the standard; to add indoor and outdoor channel
selection for 5 GHz license exempt bands in Europe; and to enhance
channel energy measurement and reporting mechanisms to improve On going
spectrum and transmit power management (per CEPT and subsequent
EU committee or body ruling incorporating CEPT Recommendation ERC
99/23)
Enhance MAC to enhance security and authentication mechanisms
On going
Enhance the 802.11 standard and amendments, to add channel selection
for 4.9 GHz and 5 GHz in Japan to additionally conform to the Japanese On going
rules for radio operation

TG f

TG g

TG h

TG i
TG j

TG k
TG m
SG
5GSG
HT SG

define Radio Resource Measurement enhancements to

interfaces to higher layers for radio and network measurements
Maintenance of the IEEE 802.11-1999 (reaff. 2003) standard

provide

Investigated the globalization and harmonization of the 5GHz band jointly

Closed
with ETSI-BRAN, and MMAC
Investigating the possibility of improvements to the 802.11 standard to
provide high throughput (380 Mb/s ?)

30

5.4 Acronymes
AP
BLR
BPSK
BSS
CCK
DSSS
EAP
ESS
ETSI
FHSS
IBSS
IDS
IEEE
IKE
LAN
LEAP
L2TP
OFDM
PAN
PEAP
PIRE
PPTP
QAM
QPSK
RADIUS
RLAN
SSID
STA
TKIP
TLS
TTLS
VPN
WECA
WEP
Wi-Fi
WISP
WLAN
WLL
WMAN
VoWLAN
WPA
WPAN

Access Point
Boucle Locale Radio
Binary Phase Shift Keying
Basic Service Set
Complementary Code Keying
Direct Sequence Spread Spectrum
Extensible Authentication Protocol
Extended Service Set
European Telecommunications Standard Institute
Frequency Hopping Spread Spectrum
Independent BSS
Intrusion Detection System
Institute of Electrical & Electronic Engineers
Internet Key Exchange
Local Area Network
Lightweight EAP
Layer 2 Tunneling Protocol
Orthogonal Frequency Division Multiplexing
Personnal Area Network
Protected EAP
Puissance Isotrope Rayonne Equivalente
Point-to-Point Tunneling Protocol
Quadrature Amplitude Modulation
Quadrature Phase Shift Keying
Remote Authentication Dial-In User Service
Radio LAN
Service Set Identification
Station
Temporal Key Integrity Protocol
Transport Layer Security
Tunneled TLS
Virtual Private Network
Wireless Ethernet Compatibility Alliance
Wired Equivalent Privacy
Wireless Fidelity
Wireless ISP
Wireless LAN
Wireless Local Loop
Wireless MAN
Voice over WLAN
Wi-Fi Protected Access
Wireless PAN
ARUBA Wireless Networks
France, Europe du Sud, Afrique:
120, avenue Charles de Gaulle
92522 Neuilly sur Seine Cedex, France
Tl : +33 (0) 1 72 92 05 56
Fax : +33 (0) 1 72 92 05 57
info-emea@arubanetworks.com
www.arubanetworks.com
"People Move. Networks must follow."
31