Jeudi 19 octobre 2017
NASDAQ : 6624.22 0.56   nasdaq0.01 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Sécuriser les réseaux Wi-Fi en entreprise

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 02/02/2005 - indexel.net
 

Assurer la sécurité des réseaux Wi-Fi n'est plus une gageure : les outils et les protocoles sont enfin disponibles. Mais la mise en oeuvre d'un tel projet demande encore une réflexion adaptée aux spécificités du sans-fil.

 

"Depuis toujours, la façon la plus évidente de sécuriser un réseau Wi-Fi a été de démarrer un VPN traditionnel (de type IPsec ou SSL, ndlr) et d'y ajouter les procédures d'authentification forte déjà en place dans l'entreprise", explique Alexandre Stervinou, consultant senior chez RSA Security. Cette approche, qui consiste à considérer le Wi-Fi comme un simple "tuyau" fournisseur de bande passante, demeure la plus évidente et, surtout, la plus utilisée aujourd'hui.

Les méthodes traditionnelles pleines d'avenir

Pour les entreprises qui ont dû déployer un réseau Wi-Fi durant ces dernières années, le choix était de toute manière plutôt limité : les normes de sécurité purement Wi-Fi n'existaient pas vraiment ou elles se révélaient inadaptées à un réseau d'entreprise, tel le Wired Equivalent Privacy (WEP), et son implémentation cryptographique bien légère. Dans ces conditions, le Wi-Fi se résume alors à une simple couche de transport, au même titre qu'un câble Ethernet... mais accessible à quiconque capable d'approcher de la zone de couverture du réseau !

Pour assurer sa sécurité, l'entreprise doit alors considérer le Wi-Fi comme un réseau public indigne de confiance au même titre, par exemple, qu'Internet. Les clients Wi-Fi se connectent à l'entreprise à travers un VPN tout à fait traditionnel et l'authentification a lieu une fois arrivée sur le réseau local, à l'aide des mécanismes déjà en place : un annuaire LDAP ou un serveur Radius le plus souvent. Bien souvent, le réseau Wi-Fi est isolé du reste de l'architecture à l'aide des routeurs et les adresses IP allouées aux client Wi-Fi appartiennent à une plage différente, reconnaissable, afin de permettre une meilleure ségrégation au niveau des routeurs de l'entreprise.

Bien que très simple, une telle architecture est tout à fait sûre : "Hormis le risque de déni de service radio, il y a peu de chance de pénétrer un réseau Wi-Fi qui mettrait correctement en oeuvre un VPN traditionnel", confirme Alexandre Stervinou (photo). Cette méthode permet le déploiement rapide d'un réseau Wi-Fi sécurisé et présente l'avantage d'être simple à gérer par les équipes en place, qui n'ont pas à assimiler de nouvelles techniques de sécurité.

Des protocoles de sécurité dédiés au Wi-Fi

Mais le Wi-Fi évolue et mûrit sur le terrain de la sécurité. Aujourd'hui il sait s'affranchir des méthodes traditionnelles pour proposer une sécurité purement Wi-Fi, basée sur des protocoles dédiés. Avec des protocoles tels WPA, WPA2 et le 802.1X, le Wi-Fi dispose de toutes les armes pour assurer lui-même sa sécurité... et offrir des avantages non négligeables. "Auparavant, on ne pouvait vraiment que sécuriser la couche IP à travers le Wi-Fi. Avec ces nouveaux protocoles, qui arrivent désormais à maturité, on sait aussi sécuriser les couches basses du Wi-Fi", poursuit Alexandre Stervinou. La pierre angulaire de cette sécurité sans-fil est le protocole 802.11i, ratifié l'été dernier sous la dénomination WPA2. "Avec le 802.11i, nous sommes maintenant au point en ce qui concerne la sécurité du Wi-Fi, car on atteint la même robustesse de chiffrement qu'un VPN IPsec", explique Vincent Blavet, consultant réseaux chez Cisco.

WPA2 apporte aux équipements Wi-Fi le chiffrement AES, standard et robuste. Il intègre aussi, comme son prédécesseur WPA, le changement dynamique des clés et il offre une solution de bout en bout capable d'être certifiée FIPS-140-2, un standard américain fort couru. C'est une première pour le Wi-Fi. L'autre standard sécurité du Wi-Fi, c'est le 802.1X. Il permet de gérer l'authentification à la borne, au lieu d'obliger le réseau à accueillir n'importe qui pour procéder à l'authentification plus loin dans le réseau. Et 802.1X peut s'appuyer sur un serveur Radius existant, ce qui en fait une vraie solution d'entreprise. "802.1X permet d'étendre le contrôle d'accès à la frontière du réseau", résume parfaitement Alexandre Stervinou.

Attention aux risques spécifiques

Mais ce n'est pas parce qu'un réseau Wi-Fi sera parfaitement sécurisé sur le plan logique qu'il offrira pour autant le même niveau de sécurité que son homologue filaire au coeur de l'entreprise. "Il y a un vrai travail de sécurisation radio à faire. Cela commence par la détection des bornes pirates, ou des bornes voisines qui pourraient créer des interférences. Mais cela passe aussi par la détection d'éventuels brouillages volontaires, ou encore l'identification de clients en mode dit "ad hoc", qui, parce qu'ils sont autorisés, permettent à d'autres, non autorisés, d'utiliser le réseau", explique Vincent Blavet.

Cette partie de la sécurité du Wi-Fi commence à être prise en charge par les équipements d'entreprise (ce qui les distingue de leurs homologues grand public). Les bornes, par exemple, sont capables de scanner activement leur environnement à la recherche d'autres points d'accès non répertoriés. Hélas, cela ne servira à rien si l'entreprise n'intègre pas ces nouveaux risques dans ses processus de gestion de la sécurité : il faut être capable de surveiller ces signaux, d'identifier les menaces et d'y répondre. Une activité supplémentaire dont les équipes sécurité se passeraient bien volontiers !

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages