La plupart des organisations que je fréquente utilisent encore le standard WEP (Wired Equivalent Privacy) ou les clés prépartagées WPA (Wi-Fi Protected Access) pour protéger leurs réseaux locaux sans fil (WLAN, wireless LAN). WEP n’est pas sûr, quelle que soit la force de la clé partagée, à cause de faiblesses
Sécurité Wi-Fi
dans le protocole et les algorithmes associés.
Les clés prépartagées WPA et WPA2 ne sont sûres que si elles ont au moins 22 caractères de long et que si elles proviennent d’un jeu de caractères abondant. Les longues clés partagées, quant à elles, sont un vrai fardeau pour l’équipe informatique et les utilisateurs, à cause de l’aspect management et sécurité.
Comme les utilisateurs ne peuvent pas les mémoriser, on vous demande constamment la clé et, hélas, peu d’utilisateurs semblent capables de taper plus d’une poignée de caractères correctement. Tout nouvel ordinateur ou soustraitant doit pouvoir accéder au WLAN. Et que se passe-t-il si une clé prépartagée est compromise ? La solution est l’élimination. Débarrassez-vous de WPA avec des clés prépartagées (WPA-PSK). Pas de tout WPA, mais simplement de la partie PSK. Mettez en oeuvre 802.1x à la place de l’authentification par clé prépartagée. Avec 802.1x, vous pouvez configurer vos points d’accès (AP, access point) pour interfacer avec l’AD (Active Directory) via RADIUS (Remote Authentication Dial-In User Service) pour authentifier les utilisateurs et les ordinateurs d’après leurs références AD.
Vous devez installer IAS (Internet Authentication Services) sur l’un de vos serveurs Windows, comme un DC (domain controller) ; IAS est le serveur RADIUS intégré de Windows. Après avoir installé IAS, vous pouvez mettre en relation les AP et les IAS par quelques simples paramètres de configuration. Et, peu après, vos clients sans fil Windows commenceront à s’authentifier vis-à-vis de votre WLAN à l’aide des références de l’ordinateur ou de l’utilisateur.
Grâce à quelques paramètres de stratégie de groupe, vous pouvez rendre l’authentification transparente aux yeux des utilisateurs et des ordinateurs de votre domaine. Quant aux utilisateurs externes, tels que des sous-traitants et des consultants qui doivent accéder à votre WLAN, il leur suffit d’entrer le nom et mot de passe utilisateur d’un compte AD que vous leur aurez fourni. IAS vous permet de limiter l’accès au WLAN et aux réseaux câblés internes d’après l’appartenance à un groupe.
Cela permet, par exemple, de cantonner les consultants externes au seul accès par Internet. En remplaçant WPA-PSK par 802.1x, vous tirerez parti des comptes utilisateur que vous gérez déjà dans l’AD et vous éliminerez le casse-tête des clés prépartagées.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
