Un bon réseau sans-fil est possible

Pour sécuriser le réseau sans fil, nous utiliserons 802.1x et le
PEAP (Protected Extensible Authentication Protocol) associé.
Ces deux produits sont la solution initiale
de l’industrie du réseau sans fil aux problèmes
de sécurité que pose le standard WEP
(Wired Equivalent Privacy). Les principales
faiblesses de WEP sont un médiocre traitement
des clés de cryptage et un manque
d’authentification et d’autorisation par utilisateur.
Le standard 802.1x s’attaque à  ces
problèmes en appliquant de meilleures méthodes
de gestion des clés et en faisant bon
usage des serveurs RADIUS (Remote Authentication
Dial-In User Service) pour l’authentification,
la comptabilité et l’autorisation.
WPA (Wi-Fi Protected Access) est un standard encore
plus récent et sécurisé qui remplace complètement WEP. Et
Microsoft offre des mises à  jour Windows qui prennent en
charge WPA. Toutefois, au moment de l’écriture de cet article,
on ne peut pas utiliser les stratégies de groupe pour
déployer ou configurer la mise à  jour WPA; il faut procéder
manuellement ou acheter une autre méthode de déploiement
de logiciel automatisée. Pour plus d’informations sur
WPA, voir l’encadré « L’alternative WPA ».
Le standard 802.1x supporte tout protocole d’authentification
par le biais de l’utilisation de PEAP, un prolongement
de EAP (Extensible Authentication Protocol) développé par
Microsoft, Cisco Systems, et RSA Security. EAP facilite le choix
des méthodes d’authentification mais ne les protège pas
d’écoutes indiscrètes ou de modifications malveillantes.
PEAP fournit un canal sécurisé basé sur SSL (Secure Sockets
Layer) par lequel client et serveur peuvent conduire l’authentification
par tout moyen : certificats, mots de passe,
cartes intelligentes, et biométrie. Windows 2003 et Windows
XP supportent les certificats, les mots de passe et les cartes
intelligentes. Le Microsoft 802.1x Authentication Client (sur
lequel je reviendrai dans l’article) donne le même support
pour Windows 2000, Windows NT et Windows 98. Dans les
trois cas, on a l’authentification mutuelle entre le serveur et
le client, le contrôle d’intégrité et le cryptage pour contrecarrer
les indiscrétions.
On peut utiliser soit PEAP EAP-Transport Layer Security
(TLS) soit PEAP EAP-Microsoft Challenge Handshake
Authentication Protocol (MSCHAP) v2 pour l’authentification
vis-à -vis du LAN sans fil (WLAN). EAP-TLS accomplit l’authentification
en utilisant les certificats client, qui peuvent
être stockés sur des cartes intelligentes ou sur l’ordinateur
local. Les cartes intelligentes fournissent le plus haut niveau
de sécurité pour authentifier les clients sur un réseau sans fil
mais exigent un investissement en cartes et en lecteurs et
une infrastructure de déploiement et d’assistance. Les certificats
client stockés sur la station de travail offrent le niveau
de sécurité immédiatement supérieur, mais vous confient le
soin de déployer les certificats client sur chaque station de
travail client et de déployer et de gérer une PKI (public key
infrastructure).
S’il est vrai qu’AD (Active Directory) et le support intégré
des stratégies de groupe pour la gestion des certificats sont
utiles pour gérer les certificats, certaines sociétés ont toujours
besoin d’une alternative aux certificats client pour leurs
réseaux sans fil – particulièrement les petites entreprises qui
ne souhaitent pas déployer un PKI complet. C’est là  qu’intervient
EAP-MSCHAP v2. Il utilise le protocole d’authentification
Windows par mot de passe, bien connu, MSCHAP v2 à 
l’intérieur de PEAP. EAP-MSCHAP v2 permet d’utiliser les
comptes Windows existants pour contrôler l’accès au WLAN
au lieu d’exiger un PKI complet pour déployer les certificats
client sur chaque station de travail. Toutefois, il faut tenir compte d’une limitation quand on utilise EAP-MSCHAP v2.
Comme EAP-MSCHAP v2 est basé sur le mot de passe de l’utilisateur,
l’ordinateur de celui-ci ne peut accéder au WLAN –
ou à  tout autre élément du réseau, comme les GPO (Group
Policy Objects) – qu’une fois que l’utilisateur s’est connecté.
Dans cet article, je montre comment utiliser EAP-MSCHAP v2
pour employer les mots de passe des comptes Windows existants
de vos utilisateurs pour l’authentification, dans le but
de sécuriser le réseau 802.1x. Je suppose que vous avez un
domaine AD Win2K mais, si ce n’est pas le cas, vous pouvez
utiliser les comptes stockés sur un serveur Windows 2003
dans un domaine NT hérité.
Dans les réseaux 802.1x, l’AP devient un intermédiaire
qui se contente de transmettre les messages entre le client
sans fil et un serveur RADIUS. Le client et le serveur RADIUS
s’authentifient l’un vis-à -vis de l’autre. Quand l’authentification
est concluante, le serveur RADIUS indique
à  l’AP que le client sans fil peut se
joindre au réseau. Le serveur RADIUS peut
aussi fournir à  l’AP une liste de restrictions
de routage qui devrait s’appliquer au client
d’après les profils stockés sur le serveur
RADIUS. Ce contrôle de routage par client
ouvre quelques perspectives intéressantes,
comme la possibilité de restreindre
les partenaires professionnels visiteurs à 
certains services ou zones de votre réseau.
Par exemple, vous pourriez configurer sur
le serveur RADIUS un profil qui limite les visiteurs qui se
connectent à  votre réseau au seul accès à  Internet et les empêche
d’accéder aux serveurs du réseau local.
Les ordinateurs XP équipés de Service Pack 1 (SP1) et
d’un NIC 802.11b peuvent gérer les réseaux 802.1x, et les AP
conformes à  802.1x sont courants. Le seul autre composant
qui a besoin de supporter 802.1x est le serveur RADIUS, un
support que fournit le serveur RADIUS IAS (Internet
Authentication Service) dans Windows 2003. (Win2K Server
SP3 offre le support client 802.1x mais ne fournit pas IAS).
Windows 2003 IAS peut vérifier les références stockées
dans un domaine AD Windows 2003 ou Win2K,
le SAM local du serveur ou un domaine NT. A moins
d’acheter un certificat tierce partie pour votre serveur
RADIUS auprès d’un CA (Certificate Authority) commercial
ou d’avoir déjà  un CA en interne, il vous faut
un composant de plus : Microsoft Certificate Services,
que vous pouvez installer sur le même ordinateur
Windows 2003 qui exécute IAS. Pourquoi a-t-on besoin
d’un CA dans ce scénario qui pratique l’authentification
client par mot de passe plutôt que par certificat
? Parce que PEAP exige que le serveur RADIUS
possède un certificat pour l’authentification serveurclient.
Dans ce scénario, nous utiliserons Certificate
Services pour envoyer un certificat au serveur IAS. La
figure 1 montre tous les composants impliqués dans
notre réseau sans fil sécurisé.
Pour construire notre réseau sans fil sécurisé,
nous installons Windows 2003, puis installons et configurons
Certificate Services et IAS. Ensuite nous mettons en place
l’AP sans fil et le configurons pour utiliser RADIUS dans le but
de contacter le serveur IAS pour traiter les requêtes de
connexions client. Dans cet exemple particulier, j’utilise l’AP
AirPremier Enterprise DWL-1000AP+ de D-Link Systems,
mais beaucoup d’autres AP de Cisco Systems, Linksys, NETGEAR
et autres, supportent 802.1x. Enfin, nous configurons
une station de travail client pour nous authentifier auprès du
réseau sans fil.