Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

lundi 5 décembre 2016

La protection des réseaux sans fil

Les réseaux sans fil posent un sérieux problème de sécurité. La transmission étant réalisée dans les airs, n'importe qui peut capter ces signaux et accéder ainsi à un réseau non protégé
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Mettre en oeuvre un réseau sans fil non protégé équivaut à placer des bornes d'accès Ethernet dans le parking ou sur les murs extérieurs de la société en permettant à n'importe qui d'accéder au réseau interne de l'entreprise ou de l'administration.

Avant de prendre une décision concernant le déploiement d'un réseau sans fil, il est indispensable de réaliser une étude sur les besoins et les modalités de sécurisation à adopter.

Les points d'accès peuvent être non sécurisés si on garde leur configuration par défaut:

  • ils sont fournis avec un mot de passe administrateur,
  • on permet la diffusion de leur SSID afin qu'on puisse les découvrir facilement,
  • l'authentification et l'encryption sont désactivées,
  • etc.

Les paramètres par défaut d'un point d'accès peuvent être restaurés facilement avec un bouton de reset. Une raison de plus pour assurer sa protection physique car cette protection physique d'un point d'accès est aussi importante que sa configuration.

Les solutions disponibles

Les moyens de sécurisation d'un réseau sans fil sont les suivants:

  • remplacement de l'identifiant par défaut du point d'accès sans fil (SSID) avec un identifiant propre à l'entreprise ou à l'administration. Cet identifiant constitue donc un secret partagé par tous les utilisateurs d'un réseau sans fil;
  • remplacement des paramètres de configuration fournis par défaut par les constructeurs (mot de passe administrateur, SSID, etc.);
  • configuration de l'AP (Acces Point) de telle manière qu'il passe inaperçu (empêcher la diffusion de son SSID);
  • utilisation des méthodes d'identification et de filtrage pour les stations clientes autorisées à utiliser le réseau sans fil. La manière la plus simple est de définir une liste des clients autorisés lesquels sont identifiés par l'adresse MAC de leur carte Ethernet sans fil (cette adresse étant unique). Cette liste sera mise à jour par un administrateur réseau. Si cette méthode est simple, elle n'offre par contre pas toutes les garanties de fiabilité,
  • utilisation de standards ou de protocoles ouverts tels que:
    • WEP (Wired Equivalent Privacy): technique développée pour renforcer la protection des réseaux sans fil avec un encryptage des paquets basé sur une clé connue seulement par les clients autorisés. WEP pose toutefois quelques problèmes d'interopérabilité et présente certaines limitations;
    • WPA (Wi-Fi Protected Access): nouveau concept développé par Wi-Fi Alliance pour répondre aux limitations du WEP. WPA est basé sur des spécifications du standard IEEE's 802.11i qui utilise une clé temporaire (TKIP, Temporal Key Integrity Protocol) pour encrypter les paquets envoyés à travers les réseaux sans fil. WPA peut déjà être utilisé avec une authentification basée sur le standard 802.1X, avec une migration possible vers le 802.11i dès que les équipements de ce type seront disponibles. L'usage d'une clé temporaire, changée souvent, permet de garantir un échange sécurisé via un réseau WiFi car le décodage des paquets capturés par des personnes malveillantes est plus difficile, les paquets étant encryptés avec des clés différentes;
    • il existe d'autres protocoles d'authentification que l'on peut citer à titre d'exemple: EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), LEAP (Lightweight Extensible Authentication Protocol) et PEAP (Protected Extensible Authentication Protocol).
  • utilisation de l'IPSec comme alternative aux techniques WPA et 802.11i. Si la technique IPSec est déjà opérationnelle pour d'autres besoins au sein de l'entreprise ou de l'administration, son utilisation peut être élargie à l'encryption de trafic WLAN,
  • restreindre le trafic issu du réseau sans fil au sein d'un VLAN afin de bénéficier des outils de sécurité qu'offre cette technologie.

Pour en savoir plus

Portail de la Région wallonne