Léa-Linux & amis :   LinuxFR   GCU-Squad   Zarb.Org   GNU
Hardware-hard net-wifi


Configuration Wifi

Par Stéphane

Configuration Wifi... ou votre manchot sans fil à la patte.

Cette page est considérée comme étant obsolète.

C'est à dire que les informations qu'elle contient ne sont plus du tout à jour par rapport aux évolutions de GNU/Linux et des autres logiciels libres. Il peut même s'avérer risqué d'essayer de suivre les recommandations de cette page. Cette page n'est donc conservée que pour des raisons historiques ou les gens qui utiliseraient de vieilles distributions GNU/Linux.

Une documentation à jour est disponible ici.

Présentation

Introduction

Tout d'abord, que veut dire Wifi ? Wifi est la contraction de Wireless Fidelity soit " Fidélité Sans Fil " en français (mais, cela ne veut franchement rien dire). En fait, Wifi est le nom commercial de la norme Ethernet sans fil 802.11. Airport est un synonyme de Wifi pour les Mac.

Wifi permet donc de créer un réseau local Ethernet sans fil.

Les équipements Wifi les plus répandus à l'heure actuelle sont répartis en deux familles :

  • Wifi b ou 802.11b pour un débit théorique de 11Mb/s.
  • Wifi g ou 802.11g pour un débit théorique de 56Mb/s qui sont légèrement plus chers que les précédents, mais restent compatibles.

Tous les mécanismes que vous auriez pu lire sur le réseau local filaire restent valables :

  • identification de la machine par son adresse IP sur le réseau
  • se connecter à Internet à l'aide d'une passerelle (ou gateway)
  • configurer un serveur DHCP...

Les principaux équipements Wifi sont :

  • carte Wifi permet à une machine de se connecter à un réseau local Wifi. Ces cartes existent en différents formats (PCI, PCMCIA ou USB).
  • point d'accès Wifi (ou AP pour Access Point) permet à plusieurs machines équipées d'une carte Wifi de s"intégrer à un réseau local pouvant comporter à la fois des machines Wifi et des machines filaires. Si ce réseau local possède une passerelle vers Internet (ou Gateway en anglais), alors votre machine Wifi pourra s"y connecter.

Tout comme le réseau filaire, il existe des équipements " tout intégré " qui remplissent les fonctions de modem ADSL, routeur et point d'accès Wifi.

Certains de ces équipements " tout intégré " fonctionnent d'ailleurs sous Gnu/Linux. En revanche, vérifiez que le constructeur ne viole pas la licence GPL en ne fournissant pas les sources des différents logiciels sous cette licence. Je ne donnerai aucune liste de constructeurs étant donné que diverses pressions vers ceux-ci peuvent changer leur comportement. Par exemple, vous pouvez (ou devez) refuser l'achat de leurs produits quels qu"ils soient. Un truc pour connaître ces bandits, un tour sur www.google.fr et cherchez-y "router GPL violation'.

En revanche, je peux fournir une liste de constructeur respectueux de la licence :

Cette liste pourra être mise à jour, je ne connais pas toutes les marques.

Fonctionnement

Les signaux utilisés pour les connexions Wifi sont des signaux radioélectriques basés sur une technologie mise au point par les militaires (troll detected :-)). Ces signaux sont situés dans une bande de fréquence autour de 2.4 GHz. A titre de comparaison, les téléphones mobiles GSM utilisent les fréquences 0,9 GHz et 1,8 GHz, les futurs téléphones mobiles UMTS utiliseront des fréquences autour de 2 Ghz.

Les signaux Wifi sont classés en 14 canaux numérotés de 1 à 14. A chacun des canaux est associé une fréquence unique et différente des autres. En France, seul certains canaux sont autorisés, les autres canaux sont toujours utilisés par les militaires. Pour connaître la liste des fréquences légales, consultez le site de l'Autorité de Régulation des Télécommunications (http://www.art-telecom.fr/).

Plusieurs points d'accès connectés au même réseau peuvent être utilisés pour couvrir une surface importante découpée en cellules comportant chacune au moins un point d'accès. Ainsi, les utilisateurs pourront se déplacer de cellule en cellule et garder la connexion avec le réseau sans déconnexion (système de roaming) : similaire au principe des cellules des téléphones GSM.

Les cartes Wifi supportent deux modes de connexion :

  • mode Ad-hoc : connexion au sein d'un réseau d'une seule cellule sans point d'accès entre équipements. Cette méthode ne nécessite pas l'achat de point d'accès
  • mode Infrastructure : connexion au sein d'un réseau d'une ou plusieurs cellules via un ou plusieurs points d'accès qui font office de hub. Cette méthode nécessite soit l'achat d'un ou plusieurs points d'accès, soit la configuration d'un ou plusieurs postes munis d'une carte Wifi configurée en mode Master

Les cartes Wifi peuvent être configurés dans divers modes :

  • Ad-hoc : la carte peut se connecter à un réseau d'une seule cellule sans point d'accès
  • Managed : la carte peut se connecter à un réseau d'une ou plusieurs cellules avec point d'accès
  • Master : la carte joue le rôle d'un point d'accès maître
  • Repeater : la carte joue le rôle d'un répéteur entre différents noeuds. Cette méthode peut être utilisée pour transmettre une connexion Wifi sur de longues distances
  • Secondary : la carte joue le rôle d'un backup pour Master ou Repeater
  • Monitor : la carte est passive et ne fait que recevoir les messages

Pour se connecter à un réseau Wifi, les cartes Wifi doivent connaître en plus du canal choisi, le nom du réseau ou SSID (pour Service Set Identifier). Le SSID est une chaîne de alphanumérique de 32 caractères maximum dépendante de la casse.

Il y a deux méthodes pour récupérer le SSID d'un réseau Wifi :

  • le point d'accès diffuse périodiquement le SSID, n'importe qui peut le récupérer. Ce message particulier s"appelle beacon frame.
  • le point d'accès ne diffuse pas le SSID, tous les utilisateurs doivent le connaître.

Plusieurs niveaux de sécurité, plus ou moins efficaces (voir Sécurité sous Wifi), sont disponible en Wifi :

  • Contrôle par adresse MAC : une liste d'adresse MAC d'équipements autorisés ou refusés à se connecter peut être configurée sur le point d'accès
  • Chiffrement des messages via une clé WEP' ('Wired Equivalent Piracy). Cette clé de 128 bits maximum doit être connue de tous les utilisateurs Wifi du réseau. Ce chiffrement peut être configuré soit en mode open (ouvert = non obligatoire) ou en mode restricted (restreint = obligatoire). En mode restricted, l'équipement n'accepte que les messages chiffrés, alors qu"en mode open, l'équipement accepte les messages en clairs et chiffrés

Le chiffrement par clé WEP n'est malheureusement pas très sécurisé. En effet, un simple "script kiddy" peut casser la clé WEP en 10 minutes.

Pour renforcer la sécurité du Wifi, un remplaçant au WEP a été trouvé : WPA (Wifi Protected Access). Malheureusement, comme le WPA est une extension de la norme Wifi, celui-ci n'est pas (ou pas encore) intégré dans tous les équipements et/ou drivers.

Le WPA se décline en deux modes :

  • mode WPA PSK (Pre-Shared Key) : les messages sont chiffrés avec une clé WPA. Cette clé doit être connue de tous les utilisateurs Wifi du réseau. Cette méthode est similaire au mode WEP restricted, mais nettement plus sécurisé
  • mode WPA Enterprise : la connexion au réseau est précédée d'une authentification sur un serveur de type Radius. Après cette authentification, le fonctionnement est identique au mode WPA PSK.

Installation d'une carte Wifi

Les cartes Wifi compatibles avec Linux dépendent du chipset intégré à celles-ci. Les projets suivants permettent d'obtenir les drivers associés :

  • Linux-Wlan pour les cartes 802.11b à base de chipset Prism2/2.5/3
  • Prism54 pour les cartes 802.11g à base de chipset Prism GT/Duette/Indigo
  • MadWifi pour les cartes à base de chipset Atheros
  • rt2x00 pour les cartes à base de chipsets Ralink
  • ipw2100 ou ipw2200 pour les centrino
  • ...à compléter

Pour les cartes non supportées par les projets précédents, il existe 2 méthodes pour utiliser les drivers de Windows.

Dommage, Stallman a inventé la GPL lorsqu'il s'est aperçu que le driver de son imprimante fraîchement achetée était propriétaire et à décider d'écrire un driver libre pour cette dernière sous GPL. A vous de choisir en consommateur averti, privilégiez dans la mesure du possible des cartes ayant des drivers libres.

  • DriverLoader de Linuxant (http://www.linuxant.com/driverloader/) est un chargeur de drivers capable de le charger à partir des drivers Windows. Ce produit est payant et non libre.
  • NdisWrapper (http://ndiswrapper.sourceforge.net/) est, tout comme DriverLoader, un chargeur de drivers capable de le charger à partir des drivers Windows. Ce produit est quant à lui libre.

Installation d'une carte à base de chipset Prism GT/Duette/Indigo

Installation du module

Le module prism54 a été intégré dans le code officiel du noyau à partir du noyau 2.6.5 (version 1.1 des drivers). En revanche, les distributions récentes n'utilisant pas encore cette version de kernel (comme la Mandrake 10.0) intègrent ce module avec les patchs associés.

Si le module est présent dans votre distribution, il doit se situer sous :

/lib/modules/<version>/kernel/3rdparty/prism54
/lib/modules/<version>/kernel/net/wireless/prism54

Si vous n'avez pas trouver ce module ou que vous voulez mettre à jour vos drivers, suivez la procédure présentée dans le fichier README du tarball du site http://www.prism54.org, sinon passez directement à l'installation du firmware.

Installation du firmware

Ce module nécessite un firmware (i.e. un binaire directement chargé par le système dans la carte). Sous Gnu/Linux, ce chargement est effectué par le logiciel hotplug.

Le constructeur du chipset Prism GT est GlobespanVirata (racheté par Conexant http://www.conexant.com/). Ce firmware est propriétaire et n'est distribué que dans les drivers Windows : utilisez le fichier *.arm inclus. En effet, l'équipe de http://www.prism54.org/ n'a pas reçu l'autorisation de Conexant de redistribuer ce firmware même pour un usage non commercial.

Récupérez donc le firmware dans les drivers Windows et copiez ce firmware dans le répertoire /usr/lib/hotplug/firmware. Ensuite, renommez ou mieux créez un lien symbolique vers ce fichier.

Pour connaître le nom exact du fichier, tapez
dmesg
et repérer les lignes suivantes :

NET: Registered protocol family 17
ethX: islpci_open()
ethX: resetting device...
ethX: uploading firmware...
prism54: request_firmware() failed for "isl3890"
ethX: could not upload firmware ("isl3890")

Pour créer un lien symbolique, entrez les commandes suivantes :

cd /usr/lib/hotplug/firmware

ln -s <fichier arm> isl3890

Installation d'une carte à base de chipset Atheros

Ajout de Dimitri CLATOT

Installation des modules

Les modules madwifi est encore en version beta mais fonctionnent sans problème. Si les modules sont présents dans votre distribution, ils doivent se situer sous :

/lib/modules/<version>/net/ath_pci.ko

/lib/modules/<version>/net/ath_hal.ko

/lib/modules/<version>/net/wlan.ko

Sinon, il existe sous forme de package (ici et ici pour Fedora) mais l'on peut utiliser la dernière version CVS. Pour cela, entrez les commandes suivantes :

cvs -z3 -d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/madwifi co madwifi

cd madwifi

make

make install

Puis il faut rendre executable les modules ainsi créés:

chmod +x /lib/modules/<version>/net/ath_pci.ko

chmod +x /lib/modules/<version>/net/ath_hal.ko

chmod +x /lib/modules/<version>/net/wlan.ko

Pour une Fedora, si vous utilisez un noyau non compilé par vos soins, il faut au préalable un fichier .config, voici comment j'ai procédé :

ln -s /usr/src/linux-2.X/configs/kernel-<version>.config /lib/modules/<version>/build/.config

ainsi qu'installer le package sharutils :

yum install sharutils

On peut l'activer en utilisant la commande suivante :

modprobe ath_pci

Les fichiers de configuration détaillés par la suite sont identiques à l'exception de remplacer ethX par athX

Configuration d'une carte Wifi

D'abord, installez les paquetages suivants :

  • wireless-tools
  • pump

Configuration " simple "

Cette configuration est déconseillée pour un usage privé (voir le paragraphe Sécurité sous Wifi), mais est très souvent la configuration par défaut des points d'accès.

En revanche, cette configuration est la plus simple et conviendra parfaitement à des manifestation publique comme des Install-Parties. Elle pourra aussi avantageusement être utilisée pour tester et se familiariser avec la configuration de vos matériels.

d'abord, configurez votre point d'accès avec les paramètres suivants (consultez la notice de votre équipement) :

  • diffusion du SSID
  • serveur DHCP activé
  • option de sécurité désactivée (i.e. ni de WEP ni de WPA)
Ensuite, tapez la commande
iwconfig
pour connaître le nom de votre interface Wifi :

lo no wireless extensions.

ethX NOT READY! ESSID:off/any
Mode:Managed Channel:6 Access Point: 00:00:00:00:00:00
Tx-Power=31 dBm Sensitivity=0/200
Retry min limit:0 RTS thr=0 B Fragment thr=0 B
Encryption key:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Ici, l'interface Wifi est ethX. Pour demander une adresse IP au serveur DHCP, tapez la commande
pump ethX
Enfin, vérifiez les paramètres Wifi et IP de votre interface à l'aide des commandes
iwconfig ethX
et
ifconfig ethX
. Trouvez ci-desssous le résultat de la commande
iwconfig ethX

ethX IEEE 802.11b/g ESSID:"MY-SSID" Nickname:"bart"
Mode:Managed Channel:11 Access Point: XX:YY:ZZ:XX:YY:ZZ
Bit Rate:54Mb/s Tx-Power=31 dBm Sensitivity=20/200
Retry min limit:8 RTS thr:2347 B Fragment thr:2346 B
Encryption key:off
Link Quality:179 Signal level:0 Noise level:66
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Trouvez ci-dessous le résultat de la commande
ifconfig ethX

ethX Lien encap:Ethernet HWaddr XX:YY:ZZ:XX:YY:ZZ
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::209:5bff:fec8:d260/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1431 errors:0 dropped:0 overruns:0 frame:0
TX packets:361 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:218359 (213.2 Kb) TX bytes:49173 (48.0 Kb)
Interruption:9

Vous êtes maintenant connecté au réseau Wifi.

Configuration "personnalisée "

Configurez le mode de fonctionnement

iwconfig ethX mode <mode>

où mode est égal à : ad-hoc, managed

Configurez, éventuellement, le canal utilisé

iwconfig ethX channel <channel>

où channel est égal à la valeur du canal utilisé

Configurez, éventuellement, la clé WEP et le mode de connexion WEP

iwconfig ethX key <key> <mode_de_connexion>

où key est égal à la valeur de la clé choisie sur le point d'accès

mode est la valeur du mode de connexion WEP : open ou restricted

Configurez le SSID du réseau

iwconfig ethX essid <SSID>

où SSID est le nom du réseau

Ces différents paramètres peuvent être renseignés dans le fichier
/etc/sysconfig/network-scripts/ifcfg-ethX

DEVICE=eth0
BOOTPROTO=static
IPADDR=192.168.0.3
NETMASK=255.255.255.0
NETWORK=192.168.0.0
BROADCAST=192.168.0.255
ONBOOT=yes
MII_NOT_SUPPORTED=yes

# Wifif
MODE=managed
ESSID=MY-SSID
CHANNEL=11
KEY=XXYYZZ

Ensuite, entrez la commande
ifup ethX
pour vérifier votre paramétrage.

Sécurité sous Wifi

Le réseau Wifi est un réseau sans fil dont la portée dépasse l'environnement dans lequel vous allez vous en servir : le Wifi, tout comme le réseau Internet, doit être considéré comme un milieu hostile.

Les simples recommandations suivantes pourront sécuriser à un niveau acceptable pour la majorité des réseaux privés Wifi :

  • lors du paramétrage de vos équipements Wifi, faites le sans utiliser le lien Wifi : privilégiez les liens filaires tels que le câble série ou le câble réseau (ceci dépend de votre matériel)
  • ne pas diffusez le SSID et trouvez un nom assez complexe pour éviter les attaques à base de dictionnaires
  • activez le contrôle par adresse MAC
  • activez le chiffrement WEP en mode restricted uniquement : choisissez une longueur maximale de clé de 128 bits
  • si vous optez pour une configuration à base de fichiers n'oubliez pas de fixer la permission 500 sur vos fichiers
  • ajoutez un firewall entre votre réseau Wifi et votre réseau filaire

Selon votre matériel et le niveau de sécurité désiré. vous pouvez suivre les recommandations suivantes, dans l'ordre croissant de sécurité (mais aussi de prix) :

  • activez le chiffrement en mode WPA PSK : ce mode est plus sécurisé que le chiffrement WEP, mais tout comme ce dernier, la sécurité repose sur le secret de ce code. En revanche, il ne nécessite aucun serveur d'authentification
  • activez le chiffrement en mode WPA Entreprise avec authentification Radius : ce mode implique l'installation d'un serveur Radius : il existe des implémentations de serveur Radius sous Gnu/Linux
  • activez le chiffrement WPA2 : ce mode est plus sécurisé que le chiffrement WPA (algorithme AES au lieu de RC4). En revanche, ce mode nécessite une puissance CPU nettement plus importante



@ Retour à la rubrique Réseau et sécurité
@ Retour à la rubrique Matériel


Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par ST le 12/06/2004.

Copyright

© 12/06/2004 Stéphane Éste-Gracias

Creative Commons License
Creative Commons Attribution iconCreative Commons Share Alike iconCreative Commons Noncommercial
Ce document est publié sous licence Creative Commons
Attribution, Partage à l'identique, Contexte non commercial 2.0 :
http://creativecommons.org/licenses/by-nc-sa/2.0/fr/
Affichages
Outils personnels

Serveur hébergé par ST-Hebergement et Lost-Oasis / IRC hébergé par FreeNode / NS secondaire hébergé par XName
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons CC-BY-SA