Un bon réseau sans-fil est possible

par Randy Franklin Smith - Mis en ligne le 6/07/2005 - Publié en Juillet/Août 2004

Verrouillez les connexions en provenance de vos clients mobiles

Les réseaux sans fil peuvent être sécurisés si l'on utilise les bonnes technologies. Pour ajouter un réseau sans fil sûr à  un réseau Windows existant, il suffit d'installer un ou plusieurs AP (Access Points) sans fil conformes à  802.1x sur un ordinateur utilisant Windows Server 2003 ...Le serveur Windows 2003 facilitera l'authentification 802.1x entre les clients sans fil et le réseau Windows existant. Les utilisateurs pourront accéder au réseau sans fil simplement par leurs comptes utilisateur Windows existants.

Pour sécuriser le réseau sans fil, nous utiliserons 802.1x et le PEAP (Protected Extensible Authentication Protocol) associé. Ces deux produits sont la solution initiale de l'industrie du réseau sans fil aux problèmes de sécurité que pose le standard WEP (Wired Equivalent Privacy). Les principales faiblesses de WEP sont un médiocre traitement des clés de cryptage et un manque d'authentification et d'autorisation par utilisateur. Le standard 802.1x s'attaque à  ces problèmes en appliquant de meilleures méthodes de gestion des clés et en faisant bon usage des serveurs RADIUS (Remote Authentication Dial-In User Service) pour l'authentification, la comptabilité et l'autorisation.
WPA (Wi-Fi Protected Access) est un standard encore plus récent et sécurisé qui remplace complètement WEP. Et Microsoft offre des mises à  jour Windows qui prennent en charge WPA. Toutefois, au moment de l'écriture de cet article, on ne peut pas utiliser les stratégies de groupe pour déployer ou configurer la mise à  jour WPA; il faut procéder manuellement ou acheter une autre méthode de déploiement de logiciel automatisée. Pour plus d'informations sur WPA, voir l'encadré « L'alternative WPA ».
Le standard 802.1x supporte tout protocole d'authentification par le biais de l'utilisation de PEAP, un prolongement de EAP (Extensible Authentication Protocol) développé par Microsoft, Cisco Systems, et RSA Security. EAP facilite le choix des méthodes d'authentification mais ne les protège pas d'écoutes indiscrètes ou de modifications malveillantes. PEAP fournit un canal sécurisé basé sur SSL (Secure Sockets Layer) par lequel client et serveur peuvent conduire l'authentification par tout moyen : certificats, mots de passe, cartes intelligentes, et biométrie. Windows 2003 et Windows XP supportent les certificats, les mots de passe et les cartes intelligentes. Le Microsoft 802.1x Authentication Client (sur lequel je reviendrai dans l'article) donne le même support pour Windows 2000, Windows NT et Windows 98. Dans les trois cas, on a l'authentification mutuelle entre le serveur et le client, le contrôle d'intégrité et le cryptage pour contrecarrer les indiscrétions.
On peut utiliser soit PEAP EAP-Transport Layer Security (TLS) soit PEAP EAP-Microsoft Challenge Handshake Authentication Protocol (MSCHAP) v2 pour l'authentification vis-à -vis du LAN sans fil (WLAN). EAP-TLS accomplit l'authentification en utilisant les certificats client, qui peuvent être stockés sur des cartes intelligentes ou sur l'ordinateur local. Les cartes intelligentes fournissent le plus haut niveau de sécurité pour authentifier les clients sur un réseau sans fil mais exigent un investissement en cartes et en lecteurs et une infrastructure de déploiement et d'assistance. Les certificats client stockés sur la station de travail offrent le niveau de sécurité immédiatement supérieur, mais vous confient le soin de déployer les certificats client sur chaque station de travail client et de déployer et de gérer une PKI (public key infrastructure).
S'il est vrai qu'AD (Active Directory) et le support intégré des stratégies de groupe pour la gestion des certificats sont utiles pour gérer les certificats, certaines sociétés ont toujours besoin d'une alternative aux certificats client pour leurs réseaux sans fil - particulièrement les petites entreprises qui ne souhaitent pas déployer un PKI complet. C'est là  qu'intervient EAP-MSCHAP v2. Il utilise le protocole d'authentification Windows par mot de passe, bien connu, MSCHAP v2 à  l'intérieur de PEAP. EAP-MSCHAP v2 permet d'utiliser les comptes Windows existants pour contrôler l'accès au WLAN au lieu d'exiger un PKI complet pour déployer les certificats client sur chaque station de travail. Toutefois, il faut tenir compte d'une limitation quand on utilise EAP-MSCHAP v2. Comme EAP-MSCHAP v2 est basé sur le mot de passe de l'utilisateur, l'ordinateur de celui-ci ne peut accéder au WLAN - ou à  tout autre élément du réseau, comme les GPO (Group Policy Objects) - qu'une fois que l'utilisateur s'est connecté. Dans cet article, je montre comment utiliser EAP-MSCHAP v2 pour employer les mots de passe des comptes Windows existants de vos utilisateurs pour l'authentification, dans le but de sécuriser le réseau 802.1x. Je suppose que vous avez un domaine AD Win2K mais, si ce n'est pas le cas, vous pouvez utiliser les comptes stockés sur un serveur Windows 2003 dans un domaine NT hérité.
Dans les réseaux 802.1x, l'AP devient un intermédiaire qui se contente de transmettre les messages entre le client sans fil et un serveur RADIUS. Le client et le serveur RADIUS s'authentifient l'un vis-à -vis de l'autre. Quand l'authentification est concluante, le serveur RADIUS indique à  l'AP que le client sans fil peut se joindre au réseau. Le serveur RADIUS peut aussi fournir à  l'AP une liste de restrictions de routage qui devrait s'appliquer au client d'après les profils stockés sur le serveur RADIUS. Ce contrôle de routage par client ouvre quelques perspectives intéressantes, comme la possibilité de restreindre les partenaires professionnels visiteurs à  certains services ou zones de votre réseau. Par exemple, vous pourriez configurer sur le serveur RADIUS un profil qui limite les visiteurs qui se connectent à  votre réseau au seul accès à  Internet et les empêche d'accéder aux serveurs du réseau local.
Les ordinateurs XP équipés de Service Pack 1 (SP1) et d'un NIC 802.11b peuvent gérer les réseaux 802.1x, et les AP conformes à  802.1x sont courants. Le seul autre composant qui a besoin de supporter 802.1x est le serveur RADIUS, un support que fournit le serveur RADIUS IAS (Internet Authentication Service) dans Windows 2003. (Win2K Server SP3 offre le support client 802.1x mais ne fournit pas IAS). Windows 2003 IAS peut vérifier les références stockées dans un domaine AD Windows 2003 ou Win2K, le SAM local du serveur ou un domaine NT. A moins d'acheter un certificat tierce partie pour votre serveur RADIUS auprès d'un CA (Certificate Authority) commercial ou d'avoir déjà  un CA en interne, il vous faut un composant de plus : Microsoft Certificate Services, que vous pouvez installer sur le même ordinateur Windows 2003 qui exécute IAS. Pourquoi a-t-on besoin d'un CA dans ce scénario qui pratique l'authentification client par mot de passe plutôt que par certificat ? Parce que PEAP exige que le serveur RADIUS possède un certificat pour l'authentification serveurclient. Dans ce scénario, nous utiliserons Certificate Services pour envoyer un certificat au serveur IAS. La figure 1 montre tous les composants impliqués dans notre réseau sans fil sécurisé.
Pour construire notre réseau sans fil sécurisé, nous installons Windows 2003, puis installons et configurons Certificate Services et IAS. Ensuite nous mettons en place l'AP sans fil et le configurons pour utiliser RADIUS dans le but de contacter le serveur IAS pour traiter les requêtes de connexions client. Dans cet exemple particulier, j'utilise l'AP AirPremier Enterprise DWL-1000AP+ de D-Link Systems, mais beaucoup d'autres AP de Cisco Systems, Linksys, NETGEAR et autres, supportent 802.1x. Enfin, nous configurons une station de travail client pour nous authentifier auprès du réseau sans fil.