par Allen Jones - Mis en ligne le 11/02/2003
Les réseaux sans fil sont rapidement
devenus la coqueluche de cette
décennie. Après les précurseurs audacieux,
les réseaux sans fil se banalisent.
Pourtant, une bonne analyse des fonctions
de sécurité montre la fragilité de
tels réseaux. De fréquents avertissements
et white papers démontrent la
faible sécurité du standard WEP (Wired
Equivalent Privacy), qui fait partie des
protocoles WLAN (wireless LAN)
802.11b et 802.1x.
Pourtant de nombreux
administrateurs supposent que
leur signal de réseau sans fil est trop
éloigné ou trop isolé (par exemple,
dans un immeuble) pour prêter le flanc
à une attaque. Cependant, des ressources
comme NetStumbler.com
(http://www.netstumbler.com) et la
présentation « Open WLANS » de Peter Shipley (http://www.dis.org/filez/openlans.
pdf) narrent l'accès à des milliers
d'AP (Access Points) sans fil pendant
une conduite guerrière (c'est-à -dire, se
déplacer dans une zone en scannant
systématiquement pour détecter les
réseaux sans fil).
Le standard sans fil 802.11b (le plus
répandu et le plus largement disponible)
a deux modes de configuration
générale qui offrent moins de protection
que certains administrateurs ne le
pensent. Tout d'abord, les administrateurs
système ont parfois la fausse impression
que les SSID (Service Set
Identifiers) concernent la sécurité. Ce
n'est pas exact, même si l'on peut les
utiliser pour ségréguer administrativement
des utilisateurs sans fil en réseaux
plus petits et plus logiques. Les SSID ne sont pas destinés à rester secrets ou
privés, donc leur utilisation ne contribuera
pas à la sécurité du réseau sans
fil. Pour faciliter les connexions par les
utilisateurs, des OS comme Windows
XP signalent tous les SSID qu'ils rencontrent.
Deuxièmement, de nombreux
administrateurs utilisent des clés
WEP pour élaborer un cryptage sans fil
rudimentaire. Ces clés sont de deux
tailles : 40 bits et 128 bits. (Pour plus de
détails sur le cryptage WEP, lire l'article
d'Eric Janszen « Understanding Basic
WLAN Security Issues » à http://
www.80211planet.com/columns/article
/0,,1781_937241,00.html.) Bien entendu,
la clé de 128 bits est la plus puissante,
mais WEP présente des faiblesses
importantes, donc je vous
suggère de compter plutôt sur un tunnel
VPN pour réaliser le cryptage nécessaire.
Cette solution donne satisfaction
dans un réseau Windows 2000.
Il existe trois modèles qui s’appuient
les uns sur les autres pour assurer la
connectivité sans fil dans un réseau
Win2K. Premièrement, on peut utiliser
le service ICS (Internet Connection
Sharing) et créer un scope DHCP sur
un serveur Win2K pour établir une passerelle
sans fil de base. Pour sécuriser
le trafic sans fil et offrir une protection
par cryptage minimale, le second modèle
ajoute le service Routing and
Remote Access et PPTP de Win2K au
premier modèle. Pour obtenir la plus
forte sécurité communément disponible
aujourd’hui, le troisième modèle
remplace PPTP par IPSec (IP Security)
comme option de cryptage.
Dans le premier et le plus simple
des modèles, vous connectez l’AP à un
ordinateur Win2K utilisant le service
ISC. Vous installez le service DHCP et
créez un scope DHCP pour vos clients
sans fil puis exécutez l’ISC Wizard sur
l’ordinateur face à Internet. Il en résulte
une passerelle Internet sans fil pour vos utilisateurs (et pour quiconque
se trouve à courte distance de
l’AP).
Mais ce modèle ne fournit aucune
sécurité à vos clients en réseau, avec
ou sans fil. Pour sécuriser la nouvelle
connexion sans fil, il faut modifier un
peu l’environnement, par exemple en
installant un serveur VPN et en ajoutant
le cryptage. Il faut que les données
transmises sur vos réseaux sans fil restent
confidentielles et que d’éventuels
intrus ne puissent pas se connecter arbitrairement
au réseau et observer les
données qui y circulent.
Le deuxième modèle utilise PPTP
pour crypter des données sans fil. La
simple utilisation de MPPE (Microsoft
Point-to-Point Encryption) 128 bits qui
accompagne le Routing and Remote
Access de Win2K, pourrait protéger
suffisamment votre réseau. Le cryptage
de données avec MPPE à 128 bits à l’intérieur
d’un tunnel creux (Generic
Routing Encapsulation) est une protection
suffisante pour stopper net le
« guerrier errant » occasionnel ou peu
doué. Cependant, MPPE ne fournit pas
l’authentification mutuelle du client et
du serveur ou le fort cryptage 3DES
(Triple DES) à 168 bits que l’on obtient
en appliquant IPSec sur L2TP (Layer to
Tunneling Protocol) de Microsoft.
La plupart des spécialistes en sécurité
conviennent qu’IPSec offre à
l’heure actuelle la meilleure protection
pour le cryptage sans fil. Par conséquent,
le troisième modèle (et le plus
sûr) utilise IPSec plutôt que PPTP.
Pour mettre en place un réseau
sans fil utilisant IPSec, il faut d’abord
planifier un réseau souche (c’est-à dire,
un réseau enfant qui utilise un
subset des adresses IP du réseau parent
mais est séparé de ce dernier par
un routeur ou une passerelle) et installer
DHCP et Routing and Remote
Access. Le réseau souche est nécessaire
pour donner aux clients un
moyen de se connecter au réseau sans
fil. Les clients sans fil peuvent utiliser une adresse IP attribuée statiquement
pour se rattacher à l’un des AP de votre
réseau sans fil ; pour attribuer les
adresses dynamiquement, vous pouvez
offrir un service DHCP dans le réseau
souche. La seule ressource proposée
aux clients sur le réseau sans fil
est un serveur Routing and Remote
Access. Les clients sans fil voulant accéder
à votre réseau interne doivent
d’abord se connecter, crypter et s’authentifier,
de la même manière qu’un
client Routing and Remote Access se
connectant par le biais d’Internet.
Pour donner un exemple de ce
type d’implémentation, j’établis un AP
sans fil simple (Cisco Aironet AP4800
de Cisco Systems) dans sa configuration
par défaut, puis j’établis un SSID à
des fins de segmentation sans fil. Le
SSID par défaut de l’unité était TSUNAMI
; j’ai remplacé TSUNAMI par
JONES. J’ai relié l’AP par un câble
Ethernet de croisement au serveur
Routing and Remote Access, que j’utilisais
comme serveur VPN. Ce système
était une machine Compaq Pentium III
à 650 MHz sous Win2K avec le service
Pack 2 (SP2) avec le service DHCP et
tous les correctifs de sécurité disponibles.
Le serveur avait une seconde
connexion Ethernet à un intranet, qui
fournissait aussi la connectivité
Internet par l’intermédiaire de la passerelle
par défaut. Mes clients sans fil
utilisaient XP, build2600 avec toutes les
mises à jour de sécurité disponibles. Et
aussi diverses cartes d’accès sans fil,
dont Aironet 350 et Aironet 340 de
Cisco Systems, WL100 de Compaq, et
la série TrueMobile 1100 basée sur PC
Card de Dell. J’ai donné à chacun de
mes clients une adresse IP attribuée
statiquement dans le réseau 10.1.1.x
souche, mais j’aurais pu laisser chaque
client utiliser le client DHCP pour permettre
l’attribution d’adresses IP automatique
dans le réseau 169.254.x.x. (Si
vous préférez faire cela, remplacez les
adresses 10.1.1.x de cet article par les
adresses de 169.254.x.x.) Le
serveur Routing and Remote Access
empêche toute entrée non authentifiée
dans votre réseau.
Pour simplifier cette démonstration,
je n’ai pas installé AD (Active
Directory). Si votre réseau est qualifié
pour AD, vous pouvez utiliser Group
Policy et Win2K Certificate Services
pour renforcer la protection. (Avant de
pouvoir se connecter au réseau, les utilisateurs
doivent posséder un certificat
valide, en plus d’un nom et mot de
passe utilisateur.) L’utilisation de
DHCP a d’importantes implications et
crée des complications supplémentaires
dans un réseau de type AD.
Je vous mets en garde : Installez un
réseau sans fil de test pour éliminer les
pièges éventuels, réduire le risque potentiel,
et vérifier le bon fonctionnement
du cryptage avant d’appliquer ce
plan dans votre environnement de
production. Avant de commencer, renseignez-
vous sur les éventuelles infrastructures
sans fil existantes (des AP
sans fil, par exemple) peut-être déjà
présentes sur votre site. De nombreux
fabricants de sans fil incluent de
simples outils d’examen de site avec
leur carte sans fil et leurs disques d’installation
AP. Vous pouvez vous servir de
ces utilitaires pour savoir si des infrastructures
sans fil sont déjà présentes
dans le secteur.
Téléchargez cette ressource
Travail à distance – Guide complet pour les Directions IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.
