Pour la petite histoire, après avoir été un certain temps en full Wi-Fi chez moi, je suis repassé en filaire. J’ai terminé mes travaux de cablage il y a 2 semaines… ca fait du bien (d’avoir terminé, mais également de retrouver le confort du filaire, notamment côté débit et fiabilité).

J’ai toujours mes WRT54G, mais je m’en sers en coupant la radio (# wl radio off || wl down || ifconfig eth1 down), pour d’autres choses amusantes… enfin quand j’arrive à trouver du temps.

Mais l’obsolescence des matériels, et l’arrivée continuelle de nouvelles normes et évolutions est à prendre en compte impérativement lorsque l’on cable un bâtiment… d’autant plus que l’on cable souvent pour 10 ans d’utilisation ou plus ! A propos, mon dernier billet sur les MTP évoque également ce point.

Un RADIUS, des radis

WifiRadis est un service gratuit ouvert à tous qui offre l’accès à un serveur RADIUS visant à fournir une authentification PEAP-MS-CHAPv2. Chaque utilisateur du service peut déclarer un ou plusieurs points d’accès sur lesquels il pourra s’authentifier…

Un RADIUS, des radis

D’abord pour vous signaler cet excellent billet de Bruno sur le WiFi en entreprise. Bien que proposé comme une solution permettant de fournir mobilité et flexibilité à moindre coût, le WiFi et ses applications doivent tout de même faire face…

Un point à prendre en compte est l’obsolescence des matériels : que va dire un possesseur de portable Centrino ipw2100 (donc 802.11b only) alors que tout le monde est au 802.11g, voire au MiMo ? Je ne parle même pas des industriels qui ont déployé en 2Mb/s il y a 5 ou 6 ans …

Avec de la bonne vieille paire torsadée, du Gigabit passe sans problème. Au pire il suffit de racheter une carte Ethernet à 10 euros …

Maintenant, quelques petites remarques capillotractées sur cet excellent article :

Sur WPA/TKIP. L’algorithme, que j’ai décrit dans le numéro 12 de MISC, génère une clé de chiffrement différente par paquet (PPK, Per Packet Key) via une série de deux hashes. Si on schématise à l’extrèm, on peut voir TKIP comme un générateur de clés uniques pour WEP.

Concernant les authentification EAP. LEAP est à éviter, il est vulnérables aux attaques par dictionnaire de hashes MD4 précalculés, comme l’a montré Joshua Wright (asleap.sourceforge.net/ ). C’est ce qui a poussé Cisco à produire EAP-FAST, que je n’ai toujours pas étudié, mais dont les caractéristiques annoncées me semble bizarres à la vue des moyens utilisés, en particulier l’absence de certificats. Concernant le serveur d’authentification, il doit être un serveur RADIUS supportant EAP. AD possède ce support et peut donc agir en tant qu’authentificateur. Par contre d’autres serveurs d’authentification pourraient ne pas savoir le faire. Enfin, les attaques sur WPA portent le mode PSK, et ne sont pas applicables aux authentification EAP qu’on voudra utiliser en entreprise, ne serait-ce que pour des problèmes d’administration et de mise à l’échelle, genre ne pas avoir à redistribuer 250 fois la PSK dès que quelqu’un quitte l’entreprise ou perd son laptop

Concernant le débit. La bande passante théorique de 54Mbps comprend tout le traffic de contrôle (RTS, CTS, etc.) et signalisation (associations, probes, beacons, etc.), ce qui ampute d’autant la place disponible pour les données. En outre, si on regarde le fonctionnement de 802.11 sur le plan temporel, de nombreux temps d’attente sont prévus. Des études montrent que le début pratique d’un réseau WiFi serait en moyenne de 30Mbps (et dans de bonnes conditions). En outre, toute communication entre deux stations associées au même AP implique la répétition de la trame par l’AP, doublant les données échangées. Il faut donc parvenir à proscrire les communications intra-WiFi.

Vala, je crois que c’est tout