Sécuriser les réseaux sans fil 802.11

Il existe trois modèles qui s’appuient
les uns sur les autres pour assurer la
connectivité sans fil dans un réseau
Win2K. Premièrement, on peut utiliser
le service ICS (Internet Connection
Sharing) et créer un scope DHCP sur
un serveur Win2K pour établir une passerelle
sans fil de base. Pour sécuriser
le trafic sans fil et offrir une protection
par cryptage minimale, le second modèle
ajoute le service Routing and
Remote Access et PPTP de Win2K au
premier modèle. Pour obtenir la plus
forte sécurité communément disponible
aujourd’hui, le troisième modèle
remplace PPTP par IPSec (IP Security)
comme option de cryptage.

Dans le premier et le plus simple
des modèles, vous connectez l’AP à  un
ordinateur Win2K utilisant le service
ISC. Vous installez le service DHCP et
créez un scope DHCP pour vos clients
sans fil puis exécutez l’ISC Wizard sur
l’ordinateur face à  Internet. Il en résulte
une passerelle Internet sans fil pour vos utilisateurs (et pour quiconque
se trouve à  courte distance de
l’AP).

Mais ce modèle ne fournit aucune
sécurité à  vos clients en réseau, avec
ou sans fil. Pour sécuriser la nouvelle
connexion sans fil, il faut modifier un
peu l’environnement, par exemple en
installant un serveur VPN et en ajoutant
le cryptage. Il faut que les données
transmises sur vos réseaux sans fil restent
confidentielles et que d’éventuels
intrus ne puissent pas se connecter arbitrairement
au réseau et observer les
données qui y circulent.

Le deuxième modèle utilise PPTP
pour crypter des données sans fil. La
simple utilisation de MPPE (Microsoft
Point-to-Point Encryption) 128 bits qui
accompagne le Routing and Remote
Access de Win2K, pourrait protéger
suffisamment votre réseau. Le cryptage
de données avec MPPE à  128 bits à  l’intérieur
d’un tunnel creux (Generic
Routing Encapsulation) est une protection
suffisante pour stopper net le
« guerrier errant » occasionnel ou peu
doué. Cependant, MPPE ne fournit pas
l’authentification mutuelle du client et
du serveur ou le fort cryptage 3DES
(Triple DES) à  168 bits que l’on obtient
en appliquant IPSec sur L2TP (Layer to
Tunneling Protocol) de Microsoft.

La plupart des spécialistes en sécurité
conviennent qu’IPSec offre à 
l’heure actuelle la meilleure protection
pour le cryptage sans fil. Par conséquent,
le troisième modèle (et le plus
sûr) utilise IPSec plutôt que PPTP.

Pour mettre en place un réseau
sans fil utilisant IPSec, il faut d’abord
planifier un réseau souche (c’est-à dire,
un réseau enfant qui utilise un
subset des adresses IP du réseau parent
mais est séparé de ce dernier par
un routeur ou une passerelle) et installer
DHCP et Routing and Remote
Access. Le réseau souche est nécessaire
pour donner aux clients un
moyen de se connecter au réseau sans
fil. Les clients sans fil peuvent utiliser une adresse IP attribuée statiquement
pour se rattacher à  l’un des AP de votre
réseau sans fil ; pour attribuer les
adresses dynamiquement, vous pouvez
offrir un service DHCP dans le réseau
souche. La seule ressource proposée
aux clients sur le réseau sans fil
est un serveur Routing and Remote
Access. Les clients sans fil voulant accéder
à  votre réseau interne doivent
d’abord se connecter, crypter et s’authentifier,
de la même manière qu’un
client Routing and Remote Access se
connectant par le biais d’Internet.

Pour donner un exemple de ce
type d’implémentation, j’établis un AP
sans fil simple (Cisco Aironet AP4800
de Cisco Systems) dans sa configuration
par défaut, puis j’établis un SSID à 
des fins de segmentation sans fil. Le
SSID par défaut de l’unité était TSUNAMI
; j’ai remplacé TSUNAMI par
JONES. J’ai relié l’AP par un câble
Ethernet de croisement au serveur
Routing and Remote Access, que j’utilisais
comme serveur VPN. Ce système
était une machine Compaq Pentium III
à  650 MHz sous Win2K avec le service
Pack 2 (SP2) avec le service DHCP et
tous les correctifs de sécurité disponibles.
Le serveur avait une seconde
connexion Ethernet à  un intranet, qui
fournissait aussi la connectivité
Internet par l’intermédiaire de la passerelle
par défaut. Mes clients sans fil
utilisaient XP, build2600 avec toutes les
mises à  jour de sécurité disponibles. Et
aussi diverses cartes d’accès sans fil,
dont Aironet 350 et Aironet 340 de
Cisco Systems, WL100 de Compaq, et
la série TrueMobile 1100 basée sur PC
Card de Dell. J’ai donné à  chacun de
mes clients une adresse IP attribuée
statiquement dans le réseau 10.1.1.x
souche, mais j’aurais pu laisser chaque
client utiliser le client DHCP pour permettre
l’attribution d’adresses IP automatique
dans le réseau 169.254.x.x. (Si
vous préférez faire cela, remplacez les
adresses 10.1.1.x de cet article par les
adresses de 169.254.x.x.) Le
serveur Routing and Remote Access
empêche toute entrée non authentifiée
dans votre réseau.

Pour simplifier cette démonstration,
je n’ai pas installé AD (Active
Directory). Si votre réseau est qualifié
pour AD, vous pouvez utiliser Group
Policy et Win2K Certificate Services
pour renforcer la protection. (Avant de
pouvoir se connecter au réseau, les utilisateurs
doivent posséder un certificat
valide, en plus d’un nom et mot de
passe utilisateur.) L’utilisation de
DHCP a d’importantes implications et
crée des complications supplémentaires
dans un réseau de type AD.

Je vous mets en garde : Installez un
réseau sans fil de test pour éliminer les
pièges éventuels, réduire le risque potentiel,
et vérifier le bon fonctionnement
du cryptage avant d’appliquer ce
plan dans votre environnement de
production. Avant de commencer, renseignez-
vous sur les éventuelles infrastructures
sans fil existantes (des AP
sans fil, par exemple) peut-être déjà 
présentes sur votre site. De nombreux
fabricants de sans fil incluent de
simples outils d’examen de site avec
leur carte sans fil et leurs disques d’installation
AP. Vous pouvez vous servir de
ces utilitaires pour savoir si des infrastructures
sans fil sont déjà  présentes
dans le secteur.