Etape 6 : Instaurer la sécurité

pas impressionner par les abréviations et les acronymes liés à la sécurité sans fil. Quelques conseils de base en la matière vous guideront utilement.

Le tableau 2 présente la liste des abréviations, sigles et acronymes les plus courants, et une brève définition de chacun. S’il est vrai que pour configurer votre matériel spécifique vous devrez probablement lire le manuel et si pour appliquer des options de sécurité plus complexes – comme RADIUS (Remote Authentication Dial-In User Service), EAP (Extensible Authentication Protocol) ou VPN – peut demander une aide extérieure ou une formation particulière, les conseils de base suivants vous mettront sur la voie d’un réseau sans fil sûr.

Commencez par changer le mot de passe administrateur par défaut de votre matériel. Vous l’aurez compris : quiconque a acheté la même marque de matériel que vous ou qui connaît le mot de passe par défaut associé à ce genre de matériel, pourrait facilement s’approprier votre réseau sans fil. Ensuite, réduisez le profil de votre réseau en désactivant le broadcasting SSID (Service Set Identifier) et en changeant le SSID par défaut. Le SSID est un identificateur généralement diffusé pour que les utilisateurs puissent trouver un certain AP et s’y connecter. En désactivant le broadcasting SSID, vous cessez d’annoncer à la cantonade que vous avez un réseau sans fil.

Les valeurs SSID d’usine sont largement publiées sur le Web, aussi vous pouvez dissuader encore davantage les curieux, en changeant le SSID et en attribuant le nouveau aux clients autorisés. Pour contrôler davantage qui peut accéder à votre réseau sans fil, validez et configurez le filtrage des adresses MAC. Ce filtrage vous permet de spécifier une liste d’adresses MAC autorisées à vos AP sans fil. C’est simples changements vous permettent de contrôler qui « voit » votre réseau et constituent une première ligne de défense. Après avoir comblé quelques-uns des lacunes de sécurité inhérentes aux paramètres d’usine par défaut, vous pouvez passer à l’étape suivante : protéger le trafic sans fil et évincer tout utilisateur non authentifié. Pour tenir à l’écart les utilisateurs non authentifiés, ajoutez l’authentification EAP et appliquez le cryptage le plus puissant possible.

EAP est un protocole point à point qui sécurise l’authentification sans recourir à des certificats. Pour que seuls les utilisateurs autorisés puissent se connecter à votre LAN, examinez EAP et les méthodes EAP (par exemple, Extensible Authentication Protocol-Transport Layer Security, EAP-TL, Extensible Authentication Protocol-Tunneled Transport Layer Security, EAP-TTL, EAP-LEAP) que votre système matériel et client permettent. Le talon d’Achille des réseaux sans fil est bien connu : ils transmettent par ondes « à l’air libre » et sont donc beaucoup plus faciles à intercepter ou à espionner que des réseaux câblés. C’est là qu’intervient le cryptage, pour que seules les parties concernées puissent interpréter les données transmises. Les fournisseurs de Wi-Fi travaillent continuellement à développer, standardiser et mettre en oeuvre des méthodes de cryptage toujours plus puissantes.

Bien que le standard WEP (Wired Equivalency Privacy) ait été jugé insuffisamment sûr, c’est mieux que rien. Mais, sauf si votre budget est très limité, vous devriez pouvoir choisir des options de cryptage plus élaborées, comme TKIP (Temporal Key Integrity Protocol) et AES (Advanced Envryption Standard). Si, même après avoir installé les dispositifs de sécurité les plus puissants que votre équipement permet, vous avez encore des réserves sur la sécurité du réseau sans fil, vous pouvez déployer le WLAN comme un réseau séparé qui ne se connectera au réseau de votre entreprise que par l’intermédiaire d’une connexion VPN sûre. Il est un autre aspect important de la sécurité à considérer.

La large disponibilité du matériel sans fil permet à l’un de vos utilisateurs de créer très facilement son propre réseau sans fil en branchant simplement un routeur sans fil dans une prise LAN active de votre immeuble. En un clin d’oeil, cet utilisateur peut réduire à néant votre dispositif de sécurité sans fil. Par conséquent, l’entreprise doit appliquer des règles strictes par rapport aux AP voyous et vous devez être vigilants quant à la détection et à la suppression rapide de ce genre d’équipement.