> Tech > La sécurité sans fil

La sécurité sans fil

Tech - Par Tom Iwanski - Publié le 24 juin 2010
email

Beaucoup de responsables informatiques ont des sentiments mitigés vis-à-vis du déploiement de LAN sans fil 802.11. On comprend leur hésitation. D’un côté, ils souhaitent offrir dans l’ensemble de l’entreprise un accès rapide et souple au LAN, sans ces fichus câbles. D’un autre côté, le faible degré de sécurité de l’algorithme WEP (Wireless Equivalent Privacy) intégré dans la norme 802.11, les inquiète à juste titre.

(Pour avoir une bonne idée des lacunes de sécurité de WEP, voir « Security of the WEP algorithm » à http://www.isaac.cs.berkeley.edu/isaac/ wep-faq.html.)

La sécurité sans fil

De nombreux responsables informatiques
ont donc retardé l’implémentation
de 802.11 en attendant que
les comités de normalisation aboutissent
à  un moyen de sécurisation plus robuste des réseaux sans fil. D’autres
ont décidé d’utiliser WEP et croisent
les doigts. Or il existe des solutions
sûres entre ces deux attitudes extrêmes.

On peut avoir des LAN sans fil sécurisés
en utilisant des VPN et en traitant
les utilisateurs comme des utilisateurs
d’accès à  distance traversant des
réseaux publics. Dans ce scénario, tout
le trafic sans fil est crypté dans un tunnel
sécurisé étranger à  WEP. Les entreprises
qui adoptent une solution VPN
pour leurs travailleurs mobiles peuvent
étendre l’infrastructure VPN pour inclure
des LAN sans fil (WLAN, Wireless
LAN). Mais la plupart des solutions
VPN existantes sont de type propriétaire
et leur interopération laisse à  désirer.
Si vous vous engagez sur la voie
VPN, réfléchissez bien à  l’interopérabilité
et à  la manageabilité futures.

Il existe aussi des solutions propriétaires
basées sur le matériel. Elles
présentent les mêmes avantages et inconvénients
que les VPN : beaucoup de
ces produits fournissent une bonne sécurité
mais vous rendent tributaires
d’un fournisseur pour répondre à  vos
besoins. Colubris Network, par
exemple, offre un point d’accès avec
un serveur VPN intégré. D’autres fournisseurs,
comme Wavelink, offrent des
points d’accès avec des ACL configurables
sur lesquels vous entrez
l’adresse MAC (Media Access Control)
de chaque unité mobile susceptible
d’accéder au réseau.

Le standard IEEE 802.1x a fait son
apparition comme un mécanisme capable
de combler certaines des plus
grosses lacunes de sécurité de WEP. Il applique des mécanismes pour la distribution
des clés de cryptage, la redéfinition
rapide des clés, et l’authentification
centralisée au moyen de
RADIUS (Remote Authentication Dial-
In User Service). Microsoft a inclus un
client 802.1x dans Windows XP et fournit
une infrastructure d’authentification
fondée sur Microsoft IAS (Internet
Authentication Service) et AD (Active
Directory). Cisco Systems propose
également une solution 802.1x, enrichie
d’un protocole d’authentification
propriétaire dénommé LEAP (Light
Extensible Authentication Protocol).

La généralisation de l’utilisation de 802.1x a été freinée par la pénurie de
clients 802.1x génériques pour des OS
autres que XP. Pour combler cette lacune,
Meetinghouse Data Communications
a développé une famille de
clients 802.1x pour les OS Windows et
Linux hérités. Ces clients permettent à 
de nombreuses sociétés de déployer
des WLAN mieux protégés, fondés sur
le standard 802.1x ouvert.

L’avenir de la sécurité des LAN sans
fil semble plus brillant. Le groupe IEEE
802.11i a adopté les derniers éléments
d’un standard de haute sécurité, appelé
TKIP (Temporal Key Integrity
Protocol), qui remplacera WEP. En utilisant
le framework 802.1x, TKIP génère
une nouvelle clé pour environ
tous les 10 000 paquets de données
qu’un client transmet. TKIP utilise une
vérification d’intégrité de messages
améliorée, pour déjouer les tentatives
d’altération des paquets en route et applique
un total de contrôle au vecteur
d’initialisation de chaque paquet pour
aider à  démasquer les intrus qui décryptent
le trafic WEP en supervisant
passivement les transmissions sans fil.
TKIP est rétrocompatible avec l’équipement
802.11 et sa release devrait
intervenir fin 2002.

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Tom Iwanski - Publié le 24 juin 2010