Trois étapes vers la sécurité

attaquants devront alors découvrir quelles adresses MAC sont autorisées à se connecter aux AP de l’entreprise et devront changer le MAC de leur NIC sans fil pour lui donner une adresse permise (à noter que certaines NIC sans fil permettent de remplacer l’adresse MAC).

Le choix des paramètres d’authentification et de cryptage peut être l’étape la plus difficile de sécurisation du réseau sans fil. Avant de décider des paramètres, faites l’inventaire de vos AP et de vos NIC sans fil pour savoir quels protocoles de sécurité ils reconnaissent, particulièrement si un réseau sans fil est déjà en place ou s’il y a divers équipements de différents fabricants. Certains équipements, particulièrement les anciens AP et NIC sans fil, risquent de ne pas reconnaître WPA, WPA2 ou de plus grandes longueurs de clé WEP.

Il faut aussi savoir que certains équipements anciens demandent aux utilisateurs d’entrer un nombre hexadécimal représentant une clé, tandis que d’autres anciens AP et NIC sans fil demandent une phrase de passe qui est convertie en clé. Il est ainsi difficile de s’assurer que la même clé peut être utilisée sur tout l’équipement. Si vous possédez un tel matériel, vous pouvez utiliser des moyens tels que le WEP Key Generator à http://www.andrewscompanies. com/tools/wep. asp pour générer des clés WEP aléatoires et pour convertir les phrases de passe en nombres hexadécimaux.

En général, n’utilisez WEP que si c’est absolument nécessaire. Et si vous devez l’utiliser, choisissez des clés aussi longues que possible et songez à exploiter votre réseau sans fil en mode Open plutôt qu’en mode Shared. Quand un réseau fonctionne en mode Open, aucune authentification des clients n’est effectuée et le premier venu peut se connecter à vos AP. Ces connexions préliminaires consomment une certaine bande passante sans fil, mais les attaquants qui se connectent à l’AP ne pourront pas communiquer au-delà parce qu’ils ne connaissent pas la clé de cryptage WEP. Et vous pouvez même empêcher les connexions préliminaires en configurant votre AP de manière à ce qu’il n’accepte des connexions qu’à partir de bonnes adresses MAC. A l’inverse, un AP sur un réseau en mode Shared, utilise la clé de cryptage WEP pour authentifier les clients sans fil dans un échange défi-réponse, et un attaquant peut crypto-analyser la séquence d’authentification pour déterminer la clé de cryptage WEP.

Quand WPA est une éventualité, vous devez déterminer s’il faut utiliser WPA, WPA2 ou WPA-PSK. Le critère de choix entre WPA ou WPA2 d’un côté et WPA-PSK de l’autre, est si vous devez ou pouvez déployer l’infrastructure que WPA et WPA2 requièrent pour authentifier les utilisateurs. WPA et WPA2 vous demandent de déployer des serveurs RADIUS et peut-être une PKI (Public Key Infrastructure). WPA-PSK, comme WEP, s’appuie sur un secret partagé qui est connu du client sans fil et de l’AP. Vous pouvez utiliser en toute sécurité un secret partagé WPAPSK pour l’authentification et le cryptage, parce qu’il ne souffre pas de la vulnérabilité WEP qui permet de découvrir la clé de cryptage au moyen d’une crypto-analyse de l’échange d’authentification.

Bien sûr, les AP de différents fournisseurs ont leurs propres UI et leurs propres méthodes de configuration distinctives. Par conséquent, je ne peux pas donner une liste d’instructions détaillées valable pour tous. Mais l’information ci-dessus vous aidera à configurer vos propres AP.