> Tech > Sécuriser les réseaux sans fil 802.11

Sécuriser les réseaux sans fil 802.11

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Allen Jones - Mis en ligne le 11/02/2003
Les réseaux sans fil sont rapidement devenus la coqueluche de cette décennie. Après les précurseurs audacieux, les réseaux sans fil se banalisent. Pourtant, une bonne analyse des fonctions de sécurité montre la fragilité de tels réseaux. De fréquents avertissements et white papers démontrent la faible sécurité du standard WEP (Wired Equivalent Privacy), qui fait partie des protocoles WLAN (wireless LAN) 802.11b et 802.1x.

Pourtant de nombreux administrateurs supposent que leur signal de réseau sans fil est trop éloigné ou trop isolé (par exemple, dans un immeuble) pour prêter le flanc à  une attaque. Cependant, des ressources comme NetStumbler.com (http://www.netstumbler.com) et la présentation « Open WLANS » de Peter Shipley (http://www.dis.org/filez/openlans. pdf) narrent l'accès à  des milliers d'AP (Access Points) sans fil pendant une conduite guerrière (c'est-à -dire, se déplacer dans une zone en scannant systématiquement pour détecter les réseaux sans fil).

Le standard sans fil 802.11b (le plus répandu et le plus largement disponible) a deux modes de configuration générale qui offrent moins de protection que certains administrateurs ne le pensent. Tout d'abord, les administrateurs système ont parfois la fausse impression que les SSID (Service Set Identifiers) concernent la sécurité. Ce n'est pas exact, même si l'on peut les utiliser pour ségréguer administrativement des utilisateurs sans fil en réseaux plus petits et plus logiques. Les SSID ne sont pas destinés à  rester secrets ou privés, donc leur utilisation ne contribuera pas à  la sécurité du réseau sans fil. Pour faciliter les connexions par les utilisateurs, des OS comme Windows XP signalent tous les SSID qu'ils rencontrent. Deuxièmement, de nombreux administrateurs utilisent des clés WEP pour élaborer un cryptage sans fil rudimentaire. Ces clés sont de deux tailles : 40 bits et 128 bits. (Pour plus de détails sur le cryptage WEP, lire l'article d'Eric Janszen « Understanding Basic WLAN Security Issues » à  http:// www.80211planet.com/columns/article /0,,1781_937241,00.html.) Bien entendu, la clé de 128 bits est la plus puissante, mais WEP présente des faiblesses importantes, donc je vous suggère de compter plutôt sur un tunnel VPN pour réaliser le cryptage nécessaire. Cette solution donne satisfaction dans un réseau Windows 2000.

Sécuriser les réseaux sans fil 802.11

Il existe trois modèles qui s’appuient
les uns sur les autres pour assurer la
connectivité sans fil dans un réseau
Win2K. Premièrement, on peut utiliser
le service ICS (Internet Connection
Sharing) et créer un scope DHCP sur
un serveur Win2K pour établir une passerelle
sans fil de base. Pour sécuriser
le trafic sans fil et offrir une protection
par cryptage minimale, le second modèle
ajoute le service Routing and
Remote Access et PPTP de Win2K au
premier modèle. Pour obtenir la plus
forte sécurité communément disponible
aujourd’hui, le troisième modèle
remplace PPTP par IPSec (IP Security)
comme option de cryptage.

Dans le premier et le plus simple
des modèles, vous connectez l’AP à  un
ordinateur Win2K utilisant le service
ISC. Vous installez le service DHCP et
créez un scope DHCP pour vos clients
sans fil puis exécutez l’ISC Wizard sur
l’ordinateur face à  Internet. Il en résulte
une passerelle Internet sans fil pour vos utilisateurs (et pour quiconque
se trouve à  courte distance de
l’AP).

Mais ce modèle ne fournit aucune
sécurité à  vos clients en réseau, avec
ou sans fil. Pour sécuriser la nouvelle
connexion sans fil, il faut modifier un
peu l’environnement, par exemple en
installant un serveur VPN et en ajoutant
le cryptage. Il faut que les données
transmises sur vos réseaux sans fil restent
confidentielles et que d’éventuels
intrus ne puissent pas se connecter arbitrairement
au réseau et observer les
données qui y circulent.

Le deuxième modèle utilise PPTP
pour crypter des données sans fil. La
simple utilisation de MPPE (Microsoft
Point-to-Point Encryption) 128 bits qui
accompagne le Routing and Remote
Access de Win2K, pourrait protéger
suffisamment votre réseau. Le cryptage
de données avec MPPE à  128 bits à  l’intérieur
d’un tunnel creux (Generic
Routing Encapsulation) est une protection
suffisante pour stopper net le
« guerrier errant » occasionnel ou peu
doué. Cependant, MPPE ne fournit pas
l’authentification mutuelle du client et
du serveur ou le fort cryptage 3DES
(Triple DES) à  168 bits que l’on obtient
en appliquant IPSec sur L2TP (Layer to
Tunneling Protocol) de Microsoft.

La plupart des spécialistes en sécurité
conviennent qu’IPSec offre à 
l’heure actuelle la meilleure protection
pour le cryptage sans fil. Par conséquent,
le troisième modèle (et le plus
sûr) utilise IPSec plutôt que PPTP.

Pour mettre en place un réseau
sans fil utilisant IPSec, il faut d’abord
planifier un réseau souche (c’est-à dire,
un réseau enfant qui utilise un
subset des adresses IP du réseau parent
mais est séparé de ce dernier par
un routeur ou une passerelle) et installer
DHCP et Routing and Remote
Access. Le réseau souche est nécessaire
pour donner aux clients un
moyen de se connecter au réseau sans
fil. Les clients sans fil peuvent utiliser une adresse IP attribuée statiquement
pour se rattacher à  l’un des AP de votre
réseau sans fil ; pour attribuer les
adresses dynamiquement, vous pouvez
offrir un service DHCP dans le réseau
souche. La seule ressource proposée
aux clients sur le réseau sans fil
est un serveur Routing and Remote
Access. Les clients sans fil voulant accéder
à  votre réseau interne doivent
d’abord se connecter, crypter et s’authentifier,
de la même manière qu’un
client Routing and Remote Access se
connectant par le biais d’Internet.

Pour donner un exemple de ce
type d’implémentation, j’établis un AP
sans fil simple (Cisco Aironet AP4800
de Cisco Systems) dans sa configuration
par défaut, puis j’établis un SSID à 
des fins de segmentation sans fil. Le
SSID par défaut de l’unité était TSUNAMI
; j’ai remplacé TSUNAMI par
JONES. J’ai relié l’AP par un câble
Ethernet de croisement au serveur
Routing and Remote Access, que j’utilisais
comme serveur VPN. Ce système
était une machine Compaq Pentium III
à  650 MHz sous Win2K avec le service
Pack 2 (SP2) avec le service DHCP et
tous les correctifs de sécurité disponibles.
Le serveur avait une seconde
connexion Ethernet à  un intranet, qui
fournissait aussi la connectivité
Internet par l’intermédiaire de la passerelle
par défaut. Mes clients sans fil
utilisaient XP, build2600 avec toutes les
mises à  jour de sécurité disponibles. Et
aussi diverses cartes d’accès sans fil,
dont Aironet 350 et Aironet 340 de
Cisco Systems, WL100 de Compaq, et
la série TrueMobile 1100 basée sur PC
Card de Dell. J’ai donné à  chacun de
mes clients une adresse IP attribuée
statiquement dans le réseau 10.1.1.x
souche, mais j’aurais pu laisser chaque
client utiliser le client DHCP pour permettre
l’attribution d’adresses IP automatique
dans le réseau 169.254.x.x. (Si
vous préférez faire cela, remplacez les
adresses 10.1.1.x de cet article par les
adresses de 169.254.x.x.) Le
serveur Routing and Remote Access
empêche toute entrée non authentifiée
dans votre réseau.

Pour simplifier cette démonstration,
je n’ai pas installé AD (Active
Directory). Si votre réseau est qualifié
pour AD, vous pouvez utiliser Group
Policy et Win2K Certificate Services
pour renforcer la protection. (Avant de
pouvoir se connecter au réseau, les utilisateurs
doivent posséder un certificat
valide, en plus d’un nom et mot de
passe utilisateur.) L’utilisation de
DHCP a d’importantes implications et
crée des complications supplémentaires
dans un réseau de type AD.

Je vous mets en garde : Installez un
réseau sans fil de test pour éliminer les
pièges éventuels, réduire le risque potentiel,
et vérifier le bon fonctionnement
du cryptage avant d’appliquer ce
plan dans votre environnement de
production. Avant de commencer, renseignez-
vous sur les éventuelles infrastructures
sans fil existantes (des AP
sans fil, par exemple) peut-être déjà 
présentes sur votre site. De nombreux
fabricants de sans fil incluent de
simples outils d’examen de site avec
leur carte sans fil et leurs disques d’installation
AP. Vous pouvez vous servir de
ces utilitaires pour savoir si des infrastructures
sans fil sont déjà  présentes
dans le secteur.

Téléchargez gratuitement cette ressource

Travail hybride : 5 enjeux de mise en œuvre

Travail hybride : 5 enjeux de mise en œuvre

Pour rendre le travail hybride évolutif et durable pour la nouvelle ère, directions IT et Métiers doivent résoudre de nombreux défis. Bénéficiez d'un guide complet pour élaborer et exécuter une stratégie de Workplace capable de connecter et responsabiliser les employés pour créer un lieu de travail adaptable, robuste et résilient.

Tech - Par iTPro.fr - Publié le 24 juin 2010