UCL/SRI - Réseau sans fil pour l'UCL : préétude

Infrastructures des réseaux du système d'information

Réseau sans fil pour l'UCL

Pré-étude
13 septembre 2004

Introduction

Un groupe de travail a été mis en place par le Service général du système d'information (SGSI), dans le but de déterminer de quelles manières, avec quels niveaux de service et pour quels publics, un réseau de type sans fil (WiFi) pourra être déployé à l'UCL. Ce groupe de travail est composé de Hubert Broze (SISE), Luc De Beusscher (SGSI), Freddy Gridelet (SISY) et Jean-Pierre Kuypers (SRI).

Le groupe de travail a procédé à une pré-étude portant essentiellement sur les aspects suivants :

Identification des besoins
Analyse de l'expérience acquise
Niveaux de service envisagés
Niveau de confort acceptable
Aspects de sécurité

Le présent document présente la synthèse des travaux du groupe de travail.

Identification des besoins

La mise en place d'un réseau sans-fil n'est pas à considérer comme une fin en soi, mais doit constituer une réponse adéquate à un besoin exprimé. Afin d'identifier les besoins actuels, les Responsables sectoriels (RSI) ont été consultés. Sur base des réponses reçues, le besoin est perçu comme explicité ci-dessous.

Le besoin principal en matière de réseau sans fil se fait sentir dans les locaux qu'on qualifiera de communautaires. Cette catégorie de locaux comprend les salles de réunion, les locaux d'enseignement avec travaux collaboratifs, certains auditoires, les salles de lecture en bibliothèques. Dans ces locaux, des personnes, membres de l'Université ou non, peuvent être amenées à utiliser leur ordinateur portable, assistant numérique personnel ou tablette numérique, etc. pour établir des connexions réseau.

Le service demandé pour ces locaux porte sur l'accès à l'information tant dans l'UCL que dans le reste de l'Internet, l'envoi et la réception de courrier électronique, la possibilité de se connecter à des serveurs spécifiques (machines de laboratoire, banques de données...).

Dans le cadre de bureaux individuels, le réseau sans fil pourrait se concevoir comme une alternative au câblage fixe. Cependant l'étendue et l'intensité du câblage structuré UCL mènent à relativiser ce besoin dans l'immédiat, d'autant que les performances et le niveau de sécurité du réseau sans fil n'égalent pas ceux du réseau filaire.

Analyse de l'expérience acquise

Plusieurs expériences de réseau sans fil ont déjà été menées ci et là. Parmi celles-ci, le groupe de travail a pu analyser plus particulièrement celles menées en FSA et en INGI, ainsi que celles menées par le SRI à plusieurs endroits.

FSA
Le réseau sans fil FSA est fourni par une trentaine de bornes de marque Intel et couvre les bâtiments Maxwell, Euler, Stévin, Vinci, Curie, BSE (partie), Mercator et auditoires Ste Barbe.
Le réseau aérien fourni est conforme au protocole IEEE 802.11b.
L'accès aux bornes est protégé par une clé WEP (Wired Equivalent Privacy) 128 bits.
Les adresses IP sont fournies aux machines clientes par DHCP (Dynamic Host Configuration Protocol). Le serveur contrôle les adresses MAC (Media Access Control) des cartes des utilisateurs. Deux gammes d'adresses sont réservées pour le réseau sans fil, au travers d'un maillage purement didactique IFSA, y compris dans les départements.
INGI
Le réseau sans fil du département INGI est fourni par 8 bornes de marques Intel et 3Com OfficeConnect Wireless11g.
Le réseau aérien fourni est conforme au protocole IEEE 802.11b.
L'accès aux bornes est protégé par une clé WEP 40 bits.
Les adresses IP sont fournies aux machines clientes par DHCP. Le serveur contrôle les adresses MAC des cartes des utilisateurs. Une gamme d'adresses est réservée pour les étudiants et est l'extension d'un réseau dédicacé aux machines pour étudiants. Une autre gamme d'adresses est réservée pour le personnel.
Il a été constaté que les étudiants s'échangent les clés WEP, malgré les consignes. Certains aussi forcent les adresses IP.
salle de lecture BSE
Depuis mai 2001, un réseau sans fil est disponible dans la salle de lecture BSE. Ce réseau est fourni par un équipement Apple AirPort Base Station. C'est appareil se comporte comme un routeur (niveau 3 du modèle OSI de l'ISO).
Le réseau aérien fourni est conforme au protocole IEEE 802.11b.
La borne AirPort est configurée pour fournir un intranet dont l'accès externe est assuré par NAT (Network Address Translation) vers une adresse du réseau BSE.
Les adresses IP sont fournies aux machines clientes par DHCP.
Il n'y a pas de dispositif de sécurisation informatique, pas de contrôle d'accès, pas de chiffrement. Le contrôle est assuré par les moyens habituels en bibliothèques. Aucun incident n'a jamais été signalé en 3 ans que dure l'expérience.
Autres localisations
Le réseau sans fil est disponible dans le bâtiment Dupriez depuis septembre 2003, les Halles universitaires depuis janvier 2004 et la BGSH depuis juillet 2004. Ces réseaux sont fournis par un équipement Cisco Aironet 1230. Ces appareils se comportent comme un commutateur (niveau 2 du modèle OSI de l'ISO). Le routage est assuré par le routeur de quartier, comme normalement dans le réseau UCL.
Le réseau aérien fourni est conforme au protocole IEEE 802.11g.
La borne Cisco est capable de révéler le SSID (Server Set IDentifier) d'un réseau aérien. Le réseau ainsi révélé est un des intranets de l'UCL. Il ne permet que des connexions à l'intérieur de l'UCL, où il est considéré comme non-UCL. Il ne donne donc pas accès à l'information à usage restreint. Le VPN UCL est disponible à partir de cet intranet, le cas échéant. L'accès au serveur mandaté des bibliothèques est normalement possible aussi à partir de cet intranet.
Au moins un autre réseau est disponible. Ce réseau est un des réseaux du réseau UCL [130.104.0.0/16]. Il n'est accessible qu'aux machines clientes qui en connaissent le SSID, pour lesquelles la borne a pu vérifier l'autorisation accordée à l'adresse MAC et qui utilisent la clé WEP 128 bits prévue.
L'autorisation sur base de l'adresse MAC est assurée par RADIUS (Remote Authentification Dial-In User Service), grâce aux serveurs RADIUS gérés par le SRI.
Les adresses IP sont fournies aux machines clientes par DHCP. L'attribution des adresses IP est enregistrée dans un journal de bord, en regard de l'adresse MAC de la machine.
La liste des adresses MAC autorisées est transmise par l'équipe informatique au SRI, via un fichier de format convenu et déposé à un endroit convenu où le SRI vient le chercher à intervalle prévu.
La clé WEP est transmise par courrier électronique entre le SRI et l'équipe locale.

Niveaux de service envisagés

Le groupe de travail a examiné plusieurs niveaux de service qui pourraient être fournis, chacun ayant des caractéristiques propres en matière de confort, fiabilité, confidentialité et sécurité. On est conscient que la généralisation du protocole IEEE 802.1x devrait permettre d'atteindre le niveau de fonctionnalité souhaité, et que les dispositifs imaginés à l'heure actuelle seront revus dans un avenir plus ou moins proche.

Intranet routé dans le réseau UCL
Ce niveau de service permet une connexion anonyme à un réseau intranet routé dans l'UCL. Il n'est pas possible d'établir des connexions depuis cet intranet vers l'Internet hors UCL. Les demandes de connexion en provenance de cet intranet sont considérées par les serveurs de l'UCL comme provenant de l'extérieur de l'UCL. À l'intérieur de ce réseau, le niveau de sécurité est au plus bas et les machines qui s'y connectent devront être prévues pour assumer les risques de ce genre de situation non contrôlée. L'accès au serveur VPN de l'UCL est possible.
Intranet routé dans le réseau UCL et accès à certains serveurs de l'UCL
Les utilisateurs de ce niveau de service seraient connectés à un réseau identifié comme tel et que les gestionnaires de serveurs de l'UCL pourraient considérer comme équivalent au réseau UCL [130.104.0.0/16]. L'accès à ce réseau devra être soumis à identification préalable.
Intranet routé dans le réseau UCL et accès à l'Internet (via NAT par exemple)
Ce niveau de service permet l'accès à l'Internet. Les actions de l'utilisateur pouvant avoir un impact sur l'image de marque de l'UCL, l'accès à ce réseau devra être soumis aux mêmes conditions que pour le reste du réseau UCL, notamment en matière d'identification, d'usage et de bonne conduite. Le filtrage en sortie sera à étudier, de même qu'éventuellement la limitation de l'accès à certains services de l'extérieur (courrier, Web, Usenet, VPN externe...).
Intégration dans le réseau UCL
Ce niveau de service permet de considérer une machine connectée au réseau sans fil comme toute autre connectée au réseau UCL. Pour avoir accès au niveau de confiance requis, l'utilisateur de la machine à connecter au réseau sans fil devra se conformer à toutes les conditions requises pour connecter une machine personnelle ailleurs sur le réseau UCL, et être dûment identifié personnellement.

Niveau de confort acceptable

Un élément important du confort est la réactivité du dispositif et cela comprend la bonne performance du réseau. Le protocole IEEE 802.11b est prévu pour 11 Mbps, tandis que le 802.11g permet une bande passante 54 Mbps. Le réseau sans fil étant prévu pour des locaux communautaires où les utilisateurs peuvent être amenés à établir des connexions simultanées, il sera opportun de prévoir la meilleure capacité disponible à coût raisonnable.

L'attribution automatique des paramètres réseau semble incontournable. Outre qu'il serait difficile de publier largement et confidentiellement tous les paramètres utiles pour tous les réseaux, il est peu réaliste de demander à l'utilisateur de reconfigurer manuellement son ordinateur chaque fois qu'il se connecte à un autre réseau sans fil. Le service DHCP permet de répondre à ces exigences.

Il est estimé souhaitable qu'un poste de travail connecté au réseau sans fil dans un endroit donné, puis qui se déplace dans un environnement voisin, puisse conserver les mêmes paramètres réseau (adresse IP...) d'un endroit à l'autre.

Le niveau de sécurité auquel on devra prétendre pour assurer un niveau de confort lors de l'utilisation normale du réseau aérien, va imposer un certains nombre de contraintes pour écarter les intrus et prévenir les attaques, notamment en provenance des autres machines connectées sur le même réseau sans fil.

Aspects de sécurité

Les aspects de sécurité à prendre en compte concernent au moins la légitimité de ceux qui se connectent, la confidentialité des données transmises, la sécurité des postes de travail connectés. Dans l'état actuel de la technologie du réseau sans fil, ces conditions sont rencontrées de manière très variée et pas toujours satisfaisante.

La généralisation du protocole 802.1x devrait apporter de bonnes garanties que le niveau de sécurité souhaité pour chacun de ces aspects sera effectivement atteint. Associé au protocole TLS (Transport Layer Security - RFC 2246) et aux certificats Internet, ce protocole permet de vérifier le statut de la personne qui se présente et de chiffrer les données transmises de manière spécifique à chaque connexion.

Dans une phase intermédiaire, la vérification de la machine qui se connecte pourra se faire sur base de l'adresse MAC. Celle-ci devra avoir été enregistrée au préalable.

La confidentialité des données peut être protégée par une clé WEP. Cette clé étant commune à un groupe donné, elle ne protège pas les membres du groupe d'une analyse indiscrète faite par l'un de ceux-ci.

En matière de virus et autres attaques menées directement à partir du réseau, le réseau aérien présente un risque partagé entre ceux qui sont connectés ensemble à un moment donné. Une protection individuelle reste nécessaire à ce stade.

Pour l'intranet routé dans le réseau UCL (cf. ci-dessus), on considère déjà qu'il sera nécessaire de lui appliquer les mêmes mesures de sécurité (coupe-feu...) que celles appliquées entre le réseau UCL et le reste de l'Internet. Le niveau de confiance vis-à-vis de cet intranet ne dépasse pas celui envers l'Internet hors UCL.

[UCL] [LS] [SGSI] [SRI] [Pointeurs utiles]

Dernière mise à jour : 11 décembre 2004 - Responsable : Jean-Pierre Kuypers