[Projet Wi-Fi] Etablir un cahier des charges ?

dans le cadre de la technologie wifi, il y a 2 choses a prendre en compte :
la sécurité et l'entendu

pour la sécurité, il s'agit de connaitre qu'elle type de cryptage tu vas utiliser ou pas
cryptage oui/non
comment se fait l'identification MAC
quelle sont les droit d'accés sur le reseau
le reseau s'etend t'il sur un autre reseau privé

pour l'entendu, tout depend de la configuration de la salle:
environnement electromagnétique
matériaux utiliser pour la construction du batiment


ensuite il s'agit de savoir a quoi vas servir de crée ce reseau et pour qui

pour la gestion du reseau, il faut savoir le comportement des usager
va t'il y avoir des connexion itinérante ?
s'identifie t'on sur un domaine ?
comment se presente le reseau post wifi si il éxiste ?


sans connaitre la fonctionnalité principal de cree une "salle wifi" , on ne peut pas vraiment en tirer un cahier des charge, si tu peut nous donner plus d'indications, celle ci pourrait nous aider pour ton probleme.

Merci pour ta réponse.

Je me rend compte que je vais surement devoir demander des compléments d'infos.


Il s'agit d'une salle de reunion. Les dirigeants en ont marre de se trimballer avec des fils.


On veut eviter de tout gérer par mac, donc on veut passer par un mot de passe.
quelle sont les droit d'accés sur le reseau? en fait tout ceux du domaine pourront y aller et seront dotés des droits invités réseau

Par contre, "comment se fait l'identifiation MAC", il va falloir que je demande. Je ne sais meme pas comment concretement cela se passe une identif mac...

au niveau securité, il ma parlé de mdp et de MAC. Donc je ne pense pas quil y ait de cryptage.



on s'identifie sur un domaine.
Le reseau post wifi nexiste pas.
une connexion itinerante correspond a une connexion sur un portable via pls sites distants c ca?


Alors la, on ne mas pas parlé des materiaux..serait etonnée qu'on ne puisse pas le faire a cause de ca. ilS ont du le prevoir. Je v qd meme demander.

Merci gnoup'!

pas de probleme, dés que tu a plus de donné, post les, on etudie le sujet ^^

tu a raison Ducktale, faisont remonté le post  

Par contre, je viens de regarder sur le net, et je lis que l'identification Mac s'effectue par la carte-reseau.
Donc des quelle est installée, le pc est identifié automatiquement?

Quelles peuvent etre les réponses possibles de ta question "comment seffectue l'identification MAC"

Enfin, pouvez mexpliquer la definition de "connexion à distance"?

merci

en ce qui concerne l'identification MAC, c'est tres simple:
un Adresse MAC, est une adresse physique censé etre unique a chaque materiel informatique je m'explique :
admetons ma carte reseau sur mon reseau local :

Carte Ethernet Connexion au réseau local:
Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
Adresse physique . . . . . . . . .: 00-11-D8-42-C1-58
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 192.168.0.2
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.0.1
Serveur DHCP. . . . . . . . . . . : 192.168.0.1
Serveurs DNS . . . . . . . . . . : 192.168.0.1
Bail obtenu . . . . . . . . . . . : dimanche 28 janvier 2007 21:44:54
Bail expirant . . . . . . . . . . : lundi 29 janvier 2007 21:44:54

mon adresse MAC correspond a l'adresse physique.
Adresse physique . . . . . . . . .: 00-11-D8-42-C1-58

si tu fait un identification par adresse MAC, cela veut dire que dans un fichier tu enregistre les carte reseau qui on le droit d'acces au reseau.
donc tout ordinateur dont la carte reseau a son adresse physique enregistrer dans ce fichier, se verra l'accés au reseau autorisé.

ce qui veut aussi dire que si tu prend la carte de l'ordinateur X qui est enregistrer dans le fichier, et que tu la met sur l'ordinateur Y, l'ordinateur Y aura donc l'acces au reseau.

en ce qui concerne la "connexion à distance", cela depend de beaucoup de chose.
il y a different type de connexion a distance:
les connexion terminal serveur.
les connexion VPN.
...
mais la principal chose a conprendre sur une connexion a distance, c'est qu'il s'agit de se connecter sur un ordinateur ou reseau distant par quelque moyen que ce soit.

merci pour cette reponse exhaustive...mais donc qd tu dis "comment" se fait l'identific Mac....je comprend pas. Soit c "oui" soit c "non", non?

lors de ta connexion sur un reseau, les different systeme ( routeur/switch ) on ce que l'on appel une table ARP ( c'est encore autre chose ^^ ). ces tables contiennent les adresse IP et MAC de l'ordinateur connecté, donc la reponse est tres simple:
lors de la connexion sur le reseau, le systeme d'identification des different ordinateur recupere l'adresse mac du PC, et la compare a celle inscrite donc son fichier, si il ne la trouve pas dans celui ci, il interdit l'acces au reseau a l'ordinateur, sinon, si celle ci y figure, dans ce cas la l'ordinateur est accepté sur le reseau.
en ce qui concerne exactement le systeme de fonctionnement de l'identification au niveau soft, je ne peut pas t'en dire plus, je ne connais que le principe d'acces et de vérification, mais je n'en sait pas plus sur le fonctionnement interne du point d'acces ou du routeur ^^

Donc, qd tu me demandes ds ton premier post" comment seffectue l'identification mac?": c au niveau software en fait ?

pfff moi qui doit rendre une premiere mouture de mon cahier des charges ds moins de 36h...suis mal! jai cherché sur le net des exemples de cahier des charges ds le domaine du reseau : je n'ai point trouvé.. cela concerne surtout le developpement d'applis :-(

merci gnoup'!

l'identification par adresse MAC se configure au niveau du point d'acces wifi

Il suffit de renseigne les adresse MAC que tu veux AUTORISER à se connecter au niveau du point d'acces, et c'est terminé.

PAr contre QQ1 d'exterieur qui voudrais se connecter dessus ne pourras pas, à moins de rajouter son adresse MAC à la liste

Premier point

Ensuite pour securiser d'avantage, tu as d'autres options :
- DHCP : tu peux le desactiver, et forcer un adresse IP fixe. En l'absence de DHCP, difficile de chopper la config du reseau wifi  

- broadcast SSID : diffusions du nom du reseau wifi pour qu'il apparaisse dans la liste des reseau sans fil detecté par un client wifi
Tu peux choisir de masquer le SSID, ce qui fait que seule une machine preconfigurée par tes soins, ayant deja le SSID configuré au niveau de sa gestion Wifi, sera en mesure de se connecter dessus

- cryptage : WPA minimum, WEP tu peux oublier, ca se casse en moins de 1 minutes avec n'importe quel soft dispo sur google. Si possible WPA2

- paranoia : rajouter un serveur d'authentification RADIUS, et configurer un intervalle de renouvellement des clés à quelques minutes, mais ca va generer du traffic reseau pour pas grand chose  

En fait, j'ai du confondre entre cahier des charges et "proposition". Le cahier inclut en fait ce "que l'on veut faire"? La proposition etant le document a etablir à partir de ce cahier, où l'on evoque ce que vous me dites ds ce post : securité, etendue . C bien ca ?

Merci Neo  . Cela me rassure, ce que tu dis correspond en partie à ce qu'un collegue ma conseillé. Notamment en ce qui concerne le fait de mettre la borne wi-fi en IP Fixe, c bien ce ke tu disais?

- par contre mon collegue me proposait le WEP. Wpa c plus cher niveau budget? Parce qu'on ma demandé un systeme le plus securisé et le plus light   facile non?
Donc tjs a cause du budget, je dois eviter le serveur radius justement non?

Edit : PAr contre QQ1 d'exterieur qui voudrais se connecter dessus ne pourras pas, à moins de rajouter son adresse MAC à la liste
euh c un systeme à 100% sûr? je ne comprends pas pkoi on parle souvent de piratage avec le wifi, sil suffit dinclure les adresses macs autorisées ds la borne wifi pour etre certain que personne ne se connecte?


En fait, jai demandé des renseignements et apparemment on se propose a ce que les secretaires donnent un "ticket" : identif + mdp qui resterait valide 10h par ex.

Par contre, j'hesite si je dois filer un identif seulement au personnel exterieur ou alors à tout le monde.
Je sais pas si le personnel ds nimporte kel boite dispose des "droits invités réseau"? car on me demande de les mettre pour ceux qui iront en salle wi fi

merci

oops encore moi, je viens de me rapeller quil mavait dis qu'il ne voulait pas "gerer tous les jours par l'adresse mac"...
parce que le prob est que qd tu as du personnel exterieur qui vient, il faut que qqun de qualifié ajoute ladresse ds la borne non?

Neo, concernant la diffusion du SSID :
La diffusion du SSID

Ce sujet fait véritablement l'objet d'énormément de controverses...

Certains pensent que ne pas diffuser le SSID est une bonne chose, arguant que cela limite en amont les risques de wardriving et de tentative d'écoute de votre réseau wifi.

D'autres pensent que l'augmentation exponentielle des échanges de synchronisation du SSID avec les clients Wifi générée par la non diffusion de celui-ci est un risque supplémentaire permettant de faciliter le travail de décryptage des packets. Cet inconvénient est de plus ajouté au coté inconfortable de cette solution et des mauvaises impacts sur les performances d'un SSID non diffusé,comme l'obligation de créer des profils sur chaque client...

merci

LE WEP oublie tout de suite, c'est crackable en moins de 1 heure par le premier PC venu
http://www.google.fr/search?hl=fr&q=crack+wep&btnG=Rech...

Concernant le WPA, c'est intégré en standard sur la plupart des AP recent, voire meme le WPA2 ( evolution de la norme ), donc l'argument du prix ne se justifie pas

Concernant le SSID broadcast, ca augemente un peu la charge reseau, mais pas des masses. Ca permet de "camoufler" la diffusion d'un reseau Wifi. Ou alors il faut donner un SSID tres peu explicite

Exemple : tu diffuse un SSID "SALLE DE REUNION", ca va interesser le premier qui captera le signal
Si en revanche tu met un truc à la con genre "BAT1ETG2SAL3" pour batiment 1 etage 2 salle 3, faut deja connaitre le batiment pour comprendre ou se situe le reseau wifi, et ca ne donne aucun info sur ce qui peut transiter dessus

Concernant le filtrage par adresse MAC, c'est tres efficace, l'adresse MAC etant ecapsulée dans les paquets. Elle est necessaire à l'etablissement du la session Wifi. Si ton adresse MAC n'est pas dans la liste, pas moyen de se connecter. La seule solution serait de reussir à faire une ecoute du reseau, casser la clé WEP ou WPA pour reussir à identifier une adresse MAC valide sur le reseau, puis ensuite de spoofer cette adresse MAC depuis un poste client pour reussir à penetrer le reseau => hors de portée du pirate amateur.

Ou alors une autre solution consiste à etablir en plus un tunnel VPN entre le poste client et l'AP wifi, si tu ne veut pas t'enfoncer dans une gestion complete des adresses MAC. Mais cela necessitera un AP wifi plus haut de gamme, capable de gerer du VPN hardware en multiple instance. PAr exemple il en existe de tres sympa chez Zyxel

Merci Neo.

- Sais tu sil est necessaire de limiter le nombre d utilisateurs qui se connectent en meme tps? Je crois que mon collegue m'a dis oui mais je ne sais plus pkoi.
- Dans mon cahier des charges, je veux preciser que les utilisateurs avec leur identifiant qu'ils utilisent lorsquils ouvrent windows. J'ai oublié comment on appelle cet identifiant? identifiant netbios user?

limiter le nb de users en Wifi ?
Tout depend de la capacité de l'AP à digerer un certain nb de client. D'ou l'importance de t'orienter sur un matos professionnel, genre Zyxel ( exemple : http://www.zyxel.fr/products.cfm?action=detail&lang=f&a... )
Ce genre de matos beneficie d'un bon support technique, d'un suivi des mises à jour du firmware, et d'une interface de configuration assez poussée dans le choix des options ( QoS, mode relay, administration web/telnet/ssh...)

ensuite la gestion de la connexion à l'AP
La encore, plusieurs possibilités :
- soit le poste ne se connecte QUE à cet AP, dans ce cas tu peux figer la configuration wifi en dur sur le poste
- soit ce poste est susceptible de se connecter à un autre environnement Wifi. Dans ce cas tu peux utiliser un gestionnaire de configuration reseau. PErso j'utilise NetSetMan ( www.netsetman.com ) sur chaque onglet, tu peux specifier une configuration differente, et choisir à quelle carte reseau fixe ou wifi elle s'applique. Comme ca ton user n'a qu'à lancer le logiciel, choisir le bon ongler, cliquer que Appliquer et toute le partie reseau est reconfigurer à la volée, meme pas besoin de rebooter.

En fait, je me suis renseigné : on ne veut pas de l'identification Mac. Car si on a un client de l'etranger qui arrive, on ne se voit pas lui demander son pc pour avoir le nom de l'adresse mac de sa bécane. Et ainsi de suite pour chacun.

Concernant le WPA, on se demandait si le mot de passe qu'on va entrer ne sera pas trop long ?

j'ai peut etre une idee qui pourrait vous interesser, je vais la mettre au clair et la deploiyer sur le forum apres ^^

c gentil merci

la clé WPA est paramétrable, perso la mienne faiT 10 caractere, et inclus minuscules/majuscules/chiffres

tu peux donc configurer le mpd afin qu'il fasse moins de 10 caract?

http://fr.wikipedia.org/wiki/WPA


Apres les modalités de definition de la clé sont à prendre en consideration dans le niveau de securité du reseau Wifi

une clé AZERTYUIOP sera vite cassé par une attaque basée sur un dictionnaire, tout comme AZERTY12345

PAr contre une clé simple comme "Societe-2007" ou "Acces_WIFI-2007" conteitn des caracteres minuscule/majscules/chiffres, sans etre trop complexe à retenir  

j'ai trouver une solution peut couteuse materielement, mais d'un point de vue programation, c'est autre chose, faisable, mais dur ^^

l'image que j'ai poster ci dessous resume le reseau
lexique :
PAAN : Point d'Accès d'Authentification et de Navigation
SRV/A/DHCP : SeRVeur d'Authentification et DHCP
PC X: ordinateur du client X

spécification reseau
PAAN : point d'accès wifi ouvert sans cryptage ou filtrage.
SRV/A/DHCP : double serveur DHCP scripté avec un accès vers internet.


je resume l'idée du projet en imaginant une situation :

un client se presente a l'acceuil de l'entreprise et durant son attente, souhaite avoir un accés a internet.
l'hotesse d'acceuil, vas sur via le L1 (lien 1) sur l'interface WEB d'administration des accés F1 (figure 1).
elle selectionne le temps du bail d'acces autoriser a partir du moment ou elle le valide sur l'interface (donc si elle le valide a 14h30 pour 2heures, le bail sera actif jusqu'a 16h30 et sera desactiver au dela du temps limite ).
elle imprime ensuite le bon d'accès via l'interface F2 (figure 2) et le donne au client.
le client vas dns la salle équiper wifi et se connecte sur le point d'accès PAAN avec le PC X
dés qu'il tente d'aller sur internet, il est rediriger vers l'interface F3 (figure 3) pour y rentrer ses codes d'accés.
une fois rentrée, il a la confirmation de la validation de son accés avec l'heure de fin de celui ci.
2 heures aprés l'enregistrement, la session crée est détruite et l'accés est donc dévalider.


explication des spécification du projet au niveau reseau et programmation en coincidence avec la situation precedente:

lors de la création du bail par l'hotesse d'acceuil celui ci est enregistrer par le serveur qui la valide pour les 2 heures a suivre.
lorsque le client se connecte au point d'accés, celui ci demande au serveur DHCP une adresse, le serveur DHCP lit l'adresse mac du PC X.
si celle ci ne se trouve pas dans les accés répertorié comme ayant le droit d'accéder a internet, celui ci redirige automatiquement toute page demander vers l'interface F3.
une fois l'accés valider par le PC X, le serveur enregistre dans une table temporaire l'adresse MAC de l'ordinateur PC X et lui attribut une adresse IP sur le reseau ayant accés a internet.
dés que le bail arrive a terme, le serveur DHCP dévalide l'accés du PC X et efface l'adresse MAC de celui ci de ses base de donnée, l'obligeant a se réidentifier.


niveau sécurité :

le bail temporaire attribuer par le serveur DHCP pour l'authentification n'est valable que 10 Minutes apres la premiere connexion, une fois ce delai depassé, l'adresse MAC est interdite d'accés au reseau temporaire d'identification comme de navigation pour 24 heure, seule l'hotesse d'acceuil ou un administrateur peut débloquer l'adresse MAC du client dans les base de donnée.
ceci permet d'éviter qu'une personne essai de se connecter au serveur et de le cracké si sont bail est illimité (24 heure par defaut sur la plupart des DHCP).

Ca alors, merci bcp gnoup'!!!!!c un super boulot...suis genée de t'avoir fait autant travaillé  

en fait, on va juste legerement changer nos plans :
- on utilisera ladresse mac pour les résidents
- et un mdp pour les personnes de l'exterieur.

Par contre, on vient de recevoir une information concernant une solution tout en un :
http://www.es-france.com/produit2750/product_info.html

Qqun connait il ce genre de produits, si oui est ce qquechose d'interessant ?

Edit : je viens de connaitre le prix (1349 euros ) de ce kit, on va donc surement laisser tomber...

Gnoup, Qd tu dis, que ca etre compliqué niveau prog', c au sujet des sessions d'authentification (php)?

Merci à Nero aussi   pour ses precisions

bah disont que cree un double serveur DHCP + un systeme de bail, c'est pas facile, le script risque d'etre un peu complexe ^^
je trouve mon idée relativement correcte, mais dur a réaliser (dumoin pour un programmeur de mon niveau ^^)

ah ben moi aussi, je ne connais que le php ...

au fait, peux tu me dire quel logiciel tu as utilisé pour faire ton joli dessin?
me doute que tu as trouvé tes photos sur de la pub : je reconnais lensemble pc+meuble, vu dans une pub pour conforama  

google image / paint / paint shop pro ^^

Bluffant, je viens de trouver une demo flash qui colle parfaitement à notre cahier des charges. C 'est assez incroyable, on dirait que ce produit a ete fait pour nous. On a les meme besoins: salle de reunion, site distant, delegation à l'hotesse d'accueil en ce qui concerne la gestion de la salle etc..

http://www.ucopia.com/images/DemosFlash/etape1.html

En fait, d'une manière générale, on a deux options ?:
- soit acheter un point d'acces et les adaptateurs wifi pour les portables
- soit ce procurer ce genre de bijou cité plus haut (ucopia)...le probleme se situant surement au niveau du prix.

On se limite à ces deux options, nest ce pas ?

Merci

Encore moi..comment puis je gerer l'impression des bons? La aussi, il faut developper soi meme une applic'?

merci

Sinon il te suffit de to'rienter sur une systeme de gestion de hotspot Wifi :
http://www.hflan.com/index.html?c99.html

Plus d'infos : http://www.google.fr/search?hl=fr&q=gestion+hotspot&btn...

en effet, une solution toute faite c'est plus simple ^^