802.11 WLAN : Wireless Local Access Network (802.11b/a/e/g)
Les réseaux locaux classiques permettent de relier entre elles des machines dans une zone bien définie et relativement restreinte. Cette interconnexion se fait au moyen de câbles reliant tous les points du réseau. Ce maillage systématique nécessite une infrastructure non négligeable qui peut s’avérer coûteuse, voire très coûteuse si les distances maximales sont atteintes et qu’il faut utiliser différents types de média de transmission. Aujourd’hui il existe une alternative intéressante et éprouvée à ce maillage : le réseau local sans fil, ou R-LAN pour Radio Local Area Network.
C’est en 1990 qu’est lancé le projet de création d’un réseau local sans fil ou WLAN (Wireless Local Area Network). Le but est d’offrir une connectivité sans fil à des stations fixes ou mobiles qui demandent un déploiement rapide au sein d’une zone locale en utilisant différentes bandes de fréquences.
Les applications pour les R-LAN sont nombreuses et permettent, entre autres :
- d'augmenter la productivité des métiers où la mobilité est nécessaire
- Hôpitaux (gestion des fichiers patients, …)
- Restaurants (communications rapides entre serveurs et cuisines, …)
- Petites et Moyennes Entreprises (coûts réduits, simplicité de câblage, …)
- Etc …
- de connecter certains territoires de "la France d'en bas" au reste du monde (solutions techniques alternatives à celles disponibles dans les grandes villes)
- d'offrir un accès haut débit au grand public dans certains "Hots Spots" tels que les aéroports, gares, ou centres d'affaires, ou même dans des cyber cafés
- de créer des communautés de passionnés du réseau …
2. Principes d’accès aux réseaux sans fils et différentes topologies possibles
Nous verrons dans un premier temps les deux codages utilisés dans la transmission des réseaux sans fils, puis dans un deuxième temps les deux topologies possibles pour l'interconnexion de stations mobiles ou fixes.
2.1 Les codages de données utilisés pour la transmission
802.11 est le premier standard international du LAN sans fil. Celui-ci était limité à des débits de 1 à 2 Mbps. Ce standard de communication a été révisé en 802.11b. Ce dernier standard a permis de se rapprocher des débits des réseaux Ethernet avec deux vitesses supplémentaires à 5,5 et 11 Mbps. L’architecture, les fonctions et les services de base du 802.11b sont les mêmes que le standard 802.11 car la révision .b n’affecte que la couche physique, ajoutant seulement des débits supérieurs.
Il faut également savoir que le 802.11 d'origine émet sur des ondes radio utilisant une technologie d’étalement de spectre avec saut de fréquence (technique appelée FHSS), alors que le 802.11b émet en séquence directe (appelée DSSS) permettant de mieux utiliser la bande passante disponible.
- Le FHSS (Frequency Hoping Spread Spectrum) : à saut de fréquence
La bande de fréquence est divisée en canaux (ou sauts). Dans ce mode, la bande passante est coupée en 79 sauts de 1MHz. La transmission du signal utilise les 79 canaux, selon une combinaison prédéfinie et commune à toutes les stations d'une même cellule. Ainsi, à un instant donné, un canal seulement est utilisé. L'ordre des sauts entre les différents canaux constitue les paramètres du groupe d'utilisateurs. Pour un récepteur inattendu, FHSS est perçu comme un bruit court. Le débit maximal pour ce mode est de 2 Mbps. De plus, il est possible de mettre jusqu'à 15 bornes dont la couverture radio se chevauche dans un même périmètre.
- Le DSSS (Direct Sequence Spread Spectrum) : à séquence directe
C’est cette technologie qui est utilisée par la norme 802.11b. Ce codage permet d'aller à des débits atteignant 11Mbps. La bande passante est divisée en 13 canaux. En Europe et particulièrement en France, seulement 4 canaux sont autorisés (les canaux 10 à 13) à la puissance maximale. L'ART (Autorité de Régulation des Télécommunications en france) a revu sa position et permet également l'utilisation des 9 premiers canaux, mais à une puissance réduite à 10 mW PIRE. La puissance PIRE correspond à la puissance rayonnée mesurée à l'antenne. La puissance maximale autorisée est de 100mW PIRE (Puissance Isotrope Rayonnée Equivalente) sur les canaux 10 à 13. Entre chaque canal, il y a un recouvrement de spectre de l'ordre de 30%, ce qui ne permet d'utiliser que 4 bornes dans un même lieu. Une combinaison de bits de redondance est généré pour chaque bit à transmettre. Plus la combinaison est longue, plus la sécurité des données est garantie, cependant, cela nécessite d'autant plus de bande passante. Pour un récepteur inattendu, DSSS est perçu comme un bruit large bande de faible puissance.
Ces deux normes de codages sont bien sûr compatibles et peuvent coexister sur un même réseau. Elles travaillent toute deux dans la bande ISM de 2,4GHz (2,4000GHz-2,4835GHz) qui est normalement allouée à travers le monde pour des opérations sans licence de télécommunication.
2.2 La méthode d'accès au média de transmission
Dans un WLAN 802.11, la détection des collisions est impossible du fait de ce qu’on appelle le problème “near/far”. Pour détecter une collision, une station
doit être capable de transmettre et d’écouter en même temps. Or, dans les systèmes radio, il ne peut y avoir transmission et écoute simultanées.
Pour prendre en compte cette différence, le standard 802.11 fait appel à un protocole légèrement modifié par rapport au CSMA/CD d'Ethernet, baptisé CSMA/CA (Carrier Sense Multiple Access with
Collision Avoidance), ou à la fonction DCF (Distributed Coordination Function). Le protocole CSMA/CA tente d’éviter les collisions en imposant un accusé de réception
systématique des paquets (ACK), ce qui signifie que pour chaque paquet de données arrivé intact, un paquet ACK est émis par la station de réception.
Ce protocole CSMA/CA fonctionne de la manière suivante : une station qui souhaite émettre explore les ondes et, si aucune activité n’est détectée, attend
un temps aléatoire avant de transmettre si le support est toujours libre. Si le paquet est intact à la réception, la station réceptrice émet une trame ACK
qui, une fois reçue par l’émetteur, met un terme au processus. Si la trame ACK n’est pas détectée par la station émettrice (parce que le paquet original ou le
paquet ACK n’a pas été reçu intact), une collision est supposée et le paquet de données est retransmis après attente d’un autre temps aléatoire.
CSMA/CA permet donc de partager l’accès aux ondes. Ce mécanisme d’accusé de réception explicite gère
aussi très efficacement les interférences et autres problèmes radio. Cependant, il ajoute à 802.11 une
charge inconnue sous 802.3, aussi un réseau local 802.11 aura-t-il toujours des performances inférieures
à un LAN Ethernet équivalent.
Voic un organigramme décisionel reprenant de façon synthétique le fonctionnement de CSMA/CA.
2.3 La topologie Point à Point (ou réseau ad hoc) C’est la topologie réseau la plus simple qui puisse exister : les machines possèdent toutes des cartes réseaux sans fil et discutent entre elles directement, sans aucun intermédiaire. Les fonctionnalités sont reprises par les stations elles-mêmes (comme les trames balise pour la synchronisation). D’autres fonctions ne sont pas utilisables dans ce cas (relayage des trames ou mode d’économie d’énergie). Cette technique est la plus économique pour quelques stations car elle ne nécessite pas de station de base relais appelée "Access Point" ou AP. |
|
|
2.4 Le Point d'Accès (Access Point : AP) Ce sont des dispositifs radio qui permettent de relier de façon centrale tous les utilisateurs du réseau WLAN. Ils permettent aussi de faire une passerelle vers un réseau filaire, une connexion Internet, … ce qui permet d’étendre la portée du réseau puisque les différents Points d’Accès peuvent être reliés entre eux par le réseau IP classique. De plus la fonction de handover (appelée aussi fonction d'itinérance) permet à un utilisateur mobile de passer d’un AP à un autre sans perdre sa connexion. Plus le nombre de borne AP est grand, plus la couverture radio est bonne, et donc plus la qualité des transmissions est meilleure, ce qui limite les erreurs de transmission, et il est donc possible d’accroître le nombre d'utilisateurs (<= 32 par point d’accès). |
3. Les différentes normes du WLAN 802.11 (b/a/e/g)
Le jargon du monde sans-fil n’est pas très simple à comprendre, et, au rythme où travaillent les "Test Group" et autres "Working Groups" de l’IEEE, les 26 lettres risquent de ne pas suffire.
Voici un survol rapide des principales dénominations :
- 802.11 : L’ancêtre du réseau sans fil, sur 2,4 GHz, fonctionne en modulation DSSS, avec un débit de 2Mb/s et n'est pratiquement pas interopérable de constructeur à constructeur.
- 802.11a : historiquement le second projet de réseau Ethernet sans fil sur 5 GHz, disposant d’une bande passante physique de 54Mb/s, mais dont la sophistication a fortement retardé l’industrialisation.
- 802.11b : premier réseau Ethernet sans fil interopérable, sur 2,4 GHz, offrant un débit physique de 11Mb/s (modulation DSSS, accès par CSMA/CA et détection de porteuse).
- 802.11c : complément de la couche MAC améliorant les fonctions " pont ", reversé au Groupe de Travail 802.11.d.
- 802.11d : adaptation des couches physiques pour conformité aux exigences de certains pays particulièrement strictes (essentiellement la France et le Japon).
- 802.11e : complément de la couche MAC apportant une qualité de service (QOS) aux réseaux 802.11a, b et g. Norme en voie d’achèvement.
- 802.11f : document normatif décrivant l’interopérabilité inter constructeurs au niveau de l’enregistrement d’un point d’accès (AP) au sein d’un réseau, ainsi que les échanges d’information entre AP lors d’un saut de cellule (roaming). Norme en voie d’achèvement.
- 802.11g : adaptation de l'ofdm (orthogonal frequency-division multiplexing ) aux réseaux 802.11b (passage à 54 Mb/s), mode "turbo" apportant également les mécanismes de codes de protection par redondance (PBCC). Norme compatible avec le 802.11b. Norme en voie d’achèvement.
- 802.11h : Amélioration de la couche MAC visant à rendre compatibles les équipements 802.11a avec les infrastructures Hiperlan2. 802.11h s’occupe notamment de l’assignation automatique de fréquence de l’AP et du contrôle automatique de la puissance d’émission visant à éliminer les interférences entre points d’accès (à ne pas confondre avec un asservissement de la puissance d’émission de l’AP en fonction de la force du signal du client, tel que c’est le cas pour le MMAC IsWan japonais). En cours d’élaboration, travail commun entre l’IEEE et l’Etsi.
- 802.11i : Amélioration au niveau MAC destiné à renforcer la sécurité des transmissions, et se substituant au protocole de cryptage WEP (Wireless Equivalent Privacy). Norme composée de nombreuses étapes de travail ne devant pas s’achever avant la fin 2003.
- 802.1x : sous-section du groupe de travail 802.11i visant à l’intégration du protocole EAP (authentification) dans les trames Ethernet (indépendamment de tout protocole PPP, contrairement aux accès RAS conventionnels). 802.1x permet l’usage d’un serveur d’authentification de type Radius
Pour avoir les dernières informations disponibles, l'avancement des votes, les détails sur les groupes de travail (WG), l'avancement des travaux et compléments techniques, vous pouvez vous rendre sur le site http://grouper.ieee.org/groups/802/11/
Caractéristiques synthétiques de toutes les évolutions de la norme 802.11
| Normes 802.11 | Caractéristiques |
| 802.11a | Haut débit (30 Mbit/s effectifs) sur la bande des 5 GHz |
| 802.11b | Haut débit (6 Mbit/s effectifs) sur la bande des 2,4 GHz |
| 802.11c | Travaux suspendus |
| 802.11d | Travaux suspendus |
| 802.11e | Travaux sur la qualité de service (QoS) dans les normes existantes. Par exemple, la transmission synchrone (voix) |
| 802.11f | Travaux sur le protocole Inter Access Point Protocol, qui doit permettre aux bornes d’accès de dialoguer entre elles |
| 802.11g | Haut débit (54 Mbit/s théoriques) sur la bande des 2,4 GHz |
| 802.11h | Adoption des technologies DFS (Dynamic Frequency Solution) et TPC (Transmit Power Control), pour une conformité avec les normes européennes |
| 802.11i | Travaux sur la sécurité des transmissions sur les bandes de fréquence 2,4 GHz et 5 GHz. Amélioration de l’algorithme WEP |
| 802.11j | Convergence des standards américain 802.11 et européen Hiperlan, tous deux fonctionnant sur la bande de fréquence des 5 GHz |
| 802.1x | 802.1x permet l’usage d’un serveur d’authentification de type Radius par le protocole EAP |
4. Législation sur les réseaux sans fils
Les réseaux sans fil qui respectent la norme IEE 802.11 et utilisent des ressources radio pour transporter les informations. Ces ressources (ondes radio situées dans des bandes de fréquence variant en fonction de la norme) sont limitées et soumises à des restrictions, d'autant plus fortes que la bande de fréquences des 2,4 GHz est réservée à des usages militaires en France.
C'est l'Autorité de Régulation des Télécommunications (ART) qui a été chargée de statuer sur les conditions d'utilisation des bandes de fréquences utilisées par les réseaux sans fil.
Vous pourrez trouver le document de réponse à la question des réseaux R-LAN datant du 7 novembre 2002 à l'adresse suivante :
http://www.art-telecom.fr/communiques/communiques/2002/07-11-2002.htm
Il en résulte les principaux points suivants :
- Concernant la fourniture au public de services Internet haut débit dans les "Hots spots" tels que les gares, les aéroports, ou les centres d'affaires, les fournisseurs d'accès et opérateurs pourront installer dans 38 départements (voir plus bas) des bornes d'accès sans autorisation si ils respectent :
Une
Puissance Isotrope Rayonnée Equivalente (PIRE) inférieure à 100 mW à
l'intérieur comme à l'extérieur des bâtiments dans la gamme de fréquences
2400-2454 Mhz
Une
PIRE inférieure à 100 mW à l'intérieur et inférieure à 10 mW à l'extérieur
des bâtiments dans la gamme de fréquences 2454-2483,5 MHz
|
01 |
Ain |
36 |
Indre |
66 |
Pyrénées Orientales |
|
02 |
Aisne |
37 |
Indre et Loire |
67 |
Bas Rhin |
|
03 |
Allier |
41 |
Loir et Cher |
68 |
Haut Rhin |
|
05 |
Hautes Alpes |
42 |
Loire |
70 |
Haute Saône |
|
08 |
Ardennes |
45 |
Loiret |
71 |
Saône et Loire |
|
09 |
Ariège |
50 |
Manche |
75 |
Paris |
|
11 |
Aude |
55 |
Meuse |
82 |
Tarn et Garonne |
|
12 |
Aveyron |
58 |
Nièvre |
84 |
Vaucluse |
|
16 |
Charente |
59 |
Nord |
88 |
Vosges |
|
24 |
Dordogne |
60 |
Oise |
89 |
Yonne |
|
25 |
Doubs |
61 |
Orne |
90 |
Territoire de Belfort |
|
26 |
Drôme |
63 |
Puy de Dôme |
94 |
Val de Marne |
|
32 |
Gers |
64 |
Pyrénées Atlantique |
|
|
Liste des 38 départements où s'appliquent les règles de fourniture d'accès Internet au public
- Concernant le développement des utilisations privées et notamment les réseaux indépendants et les réseaux d'entreprises, les mêmes critères sont à respecter
- Concernant l'expérimentation de réseaux ouverts au public les réseaux pourront utiliser une puissance de 100 mW à l'intérieur comme à l'extérieur des bâtiments et sur toute la bande après délivrance d'une autorisation par l'ART de manière gratuite et pour une durée maximale de 18 mois. Il sera également possible d'établir des liens fixes point à point dans la bande des 2,4 GHz de la même manière. Les demandes d'autorisation servent dans ce cas à s'assurer que l'établissement de ces réseaux ou de ces liens hertziens ne viennent pas perturber des installations militaires utilisant la même gamme de fréquence.
Dans les autres départements métropolitains et d'Outremer, les conditions d'utilisation restent inchangées :
La définition des règles d'utilisation des R-LAN ayant donnée lieu à une consultation nationale, de nombreuses questions ont été adressées à l'ART qui les a mis en ligne pour une approche pédagogique du sujet :
http://www.art-telecom.fr/telecom/faq/faq-rlan.htm
5. Problématique de sécurité des réseaux sans fils
Jusqu’à présent, il était relativement difficile d’accéder aux données, diffuser sur un média de transmission sans avoir accès au média (cas de l’Ethernet par exemple).
Dans le cas des technologies sans-fil (GSM, liaisons privées Hertzienne ou WIFI), il devient très facile d’écouter ou de brouiller une communication entre deux équipements : en effet les ondes ne sont pas contrôlables et leurs rayons d’action dépassent souvent la couverture souhaitée. Les R-LAN restant des réseaux comme les autres, ils sont aussi la proie de toute sorte d'attaques visant à modifier l'intégrité des informations, ou à intercepter des informations confidentielles.
Ainsi, comme il a été relaté dans l'article du Canard Enchainé du 9 octobre 2002, un utilisateur équipé d'un simple ordinateur portable muni d'une carte réseau sans fil a pu accéder au réseau de l'entreprise Dassault sur les Champs Elysées à cause d'une couverture résurgente sur la voie publique. L'accès au réseau n'était pas sécurisé, ce qui lui a permis d'y accéder et de télécharger des documents confidentiels.
Il convient donc d'assurer l'authentification des utilisateurs, l'intégrité des données et le cryptage de l'information pour protéger ces réseaux, grâce notamment aux divers protocoles issus de l'lnternet. Par ailleurs les protocoles 802.11 ont inclus dès leur création des fonctions de cryptage permettant de limiter les écoutes et certifier les informations échangés.
|
L'écoute (eavesdropping) n'est pas à proprement parler un piratage puisque l'intrus se "contente" d'écouter le flux de données sans interférer sur le fonctionnement du réseau. Néanmoins il se place dans une situation favorable pour récupérer des informations confidentielles sur les utilisateurs (e-mails, N° de compte ou de carte bancaire) et surtout pour sonder le réseau (couverture du R-LAN, type d'équipement et de protection) Ce type d'attaque ne nécessite pas d'équipements très différents de ceux utilisés par les utilisateurs ni de configurations particulières. L'écoute est assez difficile à déceler sur le réseau. En ce qui concerne le pirate, il doit être suffisamment près du réseau pour le "voir". |
|
|
|
Le brouillage (jamming), à la différence de l'écoute, peut-être involontaire : les fours à micro ondes par exemple exploitent la même gamme de fréquence que le 802.11b (aux environs de 2,4 GHz) et peuvent provoquer des perturbations sur un réseau sans fil. Néanmoins, la plupart du temps, le brouillage est utilisé à des fins malhonnêtes. Le brouillage total d'une zone par exemple peut provoquer la chute de toutes les communications entre les stations et les points d'accès (Denial of Service Jamming) Le brouillage peut être réalisé dans le sens montant : on prend alors la place d'un utilisateur en empêchant ce dernier d'avoir accès au réseau, ou dans le sens descendant : on simule alors le comportement d'un point d'accès auquel l'utilisateur vient se connecter (voir ci dessous) |
|
L'ajout et la modification de données par brouillage ou par écoute ressemble aux attaques sur les réseaux conventionnels : des données sont ajoutées ou modifiées dans les trames pour détourner la connexion, récupérer des informations, ou pour effectuer des commandes sur des machines distantes (installation de virus). Ces attaques peuvent aussi provoquer la chute d'un réseau en noyant les points d'accès avec de trop nombreux messages de connexion, en bloquant les utilisateurs, ou en redirigeant les utilisateurs vers d'autres réseaux. Une des attaques d'ajout et de modification consiste à accéder à un réseau via un utilisateur (cf. figure ci-contre) : il s'agit d'une attaque dite "Man In The Middle". Ce type d'attaque nécessite de nombreuses informations sur le réseau attaqué. En fait, lors de l'initialisation d'une connexion par un utilisateur, le pirate intercepte la connexion et termine celle de l'utilisateur. Le pirate est donc maintenant en position de modifier ou d'ajouter des données, voire même d'écouter des transmissions cryptées qu'il lui aurait été difficile de décoder. Une autre méthode consiste à "cloner" un point d'accès (voir ci-contre). Les clients croyant se connecter à un véritable point d'accès sécurisé divulgueront peut-être alors des information confidentielles. Toutes ces pratiques constituent le war driving, à l'instar du war dialing des années 80 qui consistait à composer des numéros de téléphone au hasard pour pénétrer dans les réseaux téléphoniques, les fax ou les modems. Cette pratique consiste à rechercher et à répertorier tous les points d'accès non sécurisés. A l'aide d'un ordinateur portable, d'un GPS, d'équipements wireless et d'un peu de pratique il devient aisé d'afficher au grand jour la vulnérabilité des entreprises … ou plus simplement d'en profiter … |
|
SSL / TLS : Secure Socket Layer et Transport Layer Security, qui est son successeur, sont les protocoles de sécurisation les plus répandus sur Internet. Ils se sont développés à l'instar de Netscape qui cherchait à sécuriser ses web browser. Ils ne sont pas spécifiques aux réseaux sans fil mais plutôt aux protocoles HTTP, TCP et FTP. Par conséquent ces protocoles n'ont pas été spécialement désignés pour être appliqués à la norme IEEE 802.11 mais dans le cadre d'échanges sécurisés sur Internet ils sont déjà suffisants. Ils ne peuvent pourtant pas protéger un réseau d'entreprise contre une attaque.
SSH : Secure Shell est un protocole / programme proche de SSL qui permet de sécuriser la connexion initiale ou d'authentifier le serveur ou le client. Il utilise une clé publique pour la connexion et une clé symétrique pour le transfert des données. En fait SSH peut remplacer telnet et ainsi éviter toute tentative de "reniflage" du réseau ou de détournement de connexion. Néanmoins, SSH, tout comme SSL et TLS, n'est pas suffisant pour éviter des attaques de type Man In The Middle (voir plus haut) puisque dans ce cas, le pirate pourrait remplacer les clés publiques par ses propres clés publiques. Il faudrait utiliser des systèmes tels que Public Key Infrastructure (PKI), qui est un algorithme complexe de vérification de clés basé sur une comparaison des clés échangées avec des certificats d'authenticité.
WTLS : Wireless Transport Layer Security est quant à lui un protocole spécifiquement dédié aux réseaux sans fil. La différence majeure entre SSL et WTLS réside dans le fait que le protocole dédié wireless n'utilise pas TCP mais UDP qui ne fonctionne pas en mode connecté. Pour palier ce manque WTLS comprend trois niveaux de sécurité : sans certificats, avec des certificats de la part du serveur, et avec des certificats de la part du serveur et de l'utilisateur. Ces trois niveaux permettent, respectivement, d'établir une liaison cryptée sans authentification, d'authentifier des données en provenance d'un serveur, et de procéder à des échanges bien sécurisés puisque serveur et client sont authentifiés.
WEP : Wired Equivalent Privacy est un mécanisme de sécurité inclus dans la norme 802.11. Il correspond à un encryptage sur 40 bits RC4. La longueur de la clef peut aussi être portée à 128 bits. Si le WEP est mis en œuvre alors toutes les données transmises sont encryptées. Toutefois une étude de l'université de Californie à Berkeley a démontré qu'il existait une faille de sécurité pouvant compromettre la confidentialité de données transmise sur le WLAN. On peut noter que la mise en œuvre de cette faille est assez compliquée à reproduire et que la norme n'avait pas pour but de faire de ce type de réseau un système point à point complètement sécurisé. De toute façon si l'importance des données transmises le requiert des mesures supplémentaires d'authentification et d'encryptage des données doivent être prises. Une évolution dans les normes de sécurisation des données est en train d'être mise en place pour remédier à ce problème, notamment dans la norme 802.11i, ainsi que la norme 802.1x.
Toutes ce parades sont liées à des protocoles, mais il peut être aussi intéressant pour limiter les attaques contre un réseau d'entreprise de bien concevoir ce dernier. Si le réseau ne "déborde" pas trop en dehors des murs de l'entreprise, il sera d'accès beaucoup plus restreint à d'éventuels pirates.
Enfin, de nombreuses possibilités offertes par les réseaux filaires peuvent être appliquées aux réseaux sans fil : par exemple les tunnels cryptés ou Virtual Private Network permettent de faire circuler de bout en bout tout type d'information sur de nombreux médias dont les ondes radio de façon sécurisée. Les protocoles PPTP, IPSec, L2TP ou ESP sont relativement faciles à mettre en œuvre et fournissent eux aussi une communication fiable de bout en bout.
5.3 Un cas concret : comment rendre sûr un réseau wireless ?
1. Utiliser le WEP. Bien sûr, il est virtuellement peu sûr, mais c'est déjà une première barrière. Et surtout, il est gratuit. Tous les produits WiFi sont livrés avec cette fonction. Elle est simplement désactivé dans les préférences. De base vous avez le WEP 64bits (40bitsRCA + un vecteur de 24bits).
2. Changer le SSID livré en standard sur votre Access point. C'est l'identifiant d'un réseau qui permet de se connecter de façon simple. Si ce SSID est laissé par défaut, n'importe qui peut le connaître, en essayant les différents SSID constructeurs connus, ou en analysant les trames.
3. Ne pas changer le SSID par un nom de compagnie, de département ou de produits. Cela est trop facile à deviner.
4. Si le point d'accès le supporte, désactiver la fonction de diffusion du SSID (Broadcast SSID). Par défaut, la diffusion du SSID est activé, ce qui permet à n'importe qui de trouver / connecter / espionner. En désactivant cette option, les clients doivent avoir le SSID exact pour pouvoir se connecter, ce qui limite normalement, si le SSID est bien choisi, les connexions pirates.
5. Changez le mot de passe par défaut du point d'accès ou routeur. Les premiers mots de passe qui seront essayés pour atteindre le réseau seront ceux d'usine. D'autant plus que certains logiciels identifient l'adresse MAC du produit, ce qui permet de connaître sa marque ... il ne faut donc pas beaucoup de temps pour déterminer la marque du matériel, et ensuite le mot de passe usine.
6. Lors de l'installation du point d'accès dans une structure, essayer de le placer au centre des immeubles / bureaux. Il n'est pas recommandé de le placer au bord d'une fenêtre par exemple, la couverture se ferait ainsi aussi bien dans vos bureaux que sur le parking dans bas !
7. L'administrateur réseau devra périodiquement auditer le site en utilisant d'audit pour voir s'il n'y a pas d'autres points d'accès.
8. Beaucoup de points d'accès permettent le contrôle de connexion basé sur l'adresse MAC de la carte qui se connecte. Si l'adresse MAC d'une carte wireless n'est pas dans la liste, on ne peut s'associer avec. Et même s'il est vrai que l'on peut changer l'adresse MAC de sa carte par une adresse autorisée, cela ajoute un niveau de difficulté supplémentaire. En revanche, l'inconvénient de ce système et qu'un nombre important de points d'accès génère une lourde table d'adresse pour chaque Access point. Mais il existe des logiciels qui permettent de gérer cela automatiquement.
9. Penser à utiliser un autre système d'authentification, comme RADIUS, avant de permettre l'association avec le point d'accès. Même si cela n'est pas inclus dans le standard Wi-FI, un nombre important de compagnies ont inclus dans leur matériel le système RADIUS. Les Access point Orinoco par exemple peuvent utiliser RADIUS avec un serveur d'authentification externe et ainsi maintenir une table des adresses MAC autorisés. De même Cisco, Symbol ou encore 3Com proposent aussi la possibilité de s'authentifier via un serveur RADIUS. En installant un routeur wireless, pensez à désactiver le DHCP et assigner des adresses fixes. Il est aussi possible d’utiliser un DHCP statique, qui fonctionne avec l'adresse MAC de chaque machines.
10. Quelques produits fournissent des systèmes de sécurité qui ne sont pas défini dans le standard 802.11b. Par exemple Agere, compagnie qui fabrique Orinoco, fourni une option appelé "closed networked". Cette fonctionnalité est propriétaire, et n'est pas présent dans le standard 802.11b, mais en entreprise et en n'employant que cette marque cela ne vous gênera pas. Avec l'option "closed networked", le SSID n'est pas diffusé.
11. Enfin, la meilleure stratégie est de considérer votre réseau wireless comme un réseau indépendant, avec accès par VPN pour les utilisateurs. Cette dernière barrière autorisera le passage de données sensibles sur votre réseau wireless.
6. Mise en pratique : exemples d’architectures R-LAN sécurisées
6.1 Exemple utilisant des protocoles réseaux classiques
Ce réseau sans fil est conçu pour répondre aux attentes d'entreprises en matières de R-LAN. La partie wireless du réseau peut supporter de nombreux environnements et plates-formes de travail, tels que Windows, LINUX, ou BSD, ainsi que des équipements de marques différentes. Cette architecture se prête à un ajout à posteriori de la partie R-LAN par rapport au réseau déjà existant.
Cette architecture est censée privilégier une certaine facilité d'utilisation. Avant de pouvoir accéder au réseau filaire de l'entreprise (Internal Network qui assure une connectivité sécurisée à Internet) les ordinateurs équipés de carte réseau sans fil doivent d'abord franchir le portail VPN. Celui-ci est constitué d'un serveur SSH et d'un dispositif IPSec. Pour que le tout fonctionne correctement il faut ajouter un DHCP et un DNS puisque les clients VPN et SSH sont configurés pour atteindre un nom de machine serveur et non une adresse IP. Enfin un dispositif de détection d'intrusion (Network Intrusion Detection System) ainsi qu'un contrôleur de point d'accès sont ajoutés pour respectivement inspecter le segment de réseau sans fil et offrir des fonctionnalités avancées aux points d'accès.
Synthèse : pour optimiser l'incorporation d'un R-LAN à un réseau d'entreprise, il est préférable de
Segmenter
les deux réseaux et isoler le R-LAN par un portail VPN par exemple
Durcir
les conditions d'accès par un DNS et un DHCP
Scanner
le R-LAN en permanence à l'aide d'un NIDS
Contrôler
l'interface des points d'accès par un serveur dédié
Désactiver
la gestion des Access Point par leur interface radio
6.2 Exemple utilisant des protocoles réseaux dédiés R-LAN
Une autre solution consiste à utiliser la norme 802.1x. Cette norme est encore au stade de draft et ses possibilités d'interopérabilité limitées, mais néanmoins elle semble déjà très prometteuse et devrait être envisagée par tout architecte réseau. Par exemple le constructeur Cisco a déjà intégré cette norme dans ses nouveaux matériels. Cette solution est plutot à préférer lors d'un refonte du réseau de l'entreprise au moment de l'ajout de la partie R-LAN.
La Norme 802.1x définit l'utilisation du protocole EAP (Extended Authentication Protocol), qui repose sur un serveur d'authentification forte externe comme par exemple RADIUS (sur le schéma ci dessus, le serveur RADIUS est symbolisé par le "Directory Server"). De cette manière, 802.1x permet non seulement l'authentification, mais aussi la création dynamique de clefs WEP. Ces clefs peuvent être aisément renouvelées à intervalles réguliers pour se prémunir d'éventuels pirates les ayant décodées. On peut remarquer l'ajout d'un NIDS pour scanner le réseau.
Synthèse : dans le cadre de la création d'un R-LAN, on préférera
Utiliser
la norme 802.1x pour l'authentification et le cryptage des données
Changer
les clefs WEP fréquemment
Scanner
le R-LAN en permanence à l'aide d'un NIDS
Laisser
le réseau R-LAN dissocié du reste du réseau
Le standard IEEE 802.11, et plus généralement les réseaux locaux sans fil présentent des intérêts (mobilité, zones difficiles à câbler, salles blanches de laboratoires, délais de mise en service plus faibles, économies sur le long terme, …) mais aussi, évidemment, des inconvénients (interférences avec d'autres ondes, longévité des batteries, interopérabilité, sécurité, planification ardue de la couverture, …)
Plutôt que de revenir sur ce qui a déjà été détaillé plus haut, il est peut-être plus judicieux de conclure sur quelques point intéressants à observer :
- Les temps changent : comme dans les autres domaines une veille technologique est toujours bénéfique à l'évolution des réseaux. Les R-LAN seront-ils compatibles avec de nouvelles applications ? Et quelle sera exactement l'utilité d'une adaptation des R-LAN aux futures "nouvelles technologies" ?
- Est-ce un mal nécessaire : un réseaux sans fil peut être utile … à certaines applications. Il ne s'agit pas de le déployer pour être à la pointe de l'état de l'art. Son emploi et son déploiement doivent être clairement pesés et pensés pour obtenir la meilleure rentabilité de ce produit.
- La sécurité a un prix : même si l'achat d'équipement peut paraître prohibitif au départ, il est absolument nécessaire d'implémenter son R-LAN de manière à le sécuriser au maximum. Ce type de réseau est bien plus sujet aux piratages que les réseaux traditionnels, et les coûts résultants d'une attaque sont parfois exorbitants !
"Les applications ne doivent pas être notre affaire.
Ceux qui ont inventé Internet n'avaient absolument pas prévu ce que la génération suivante allait en faire."
(Fondateur du mouvement Seattle Wireless)
Sites Web :
http://www.oreillynet.com/pub/a/wireless/2002/04/19/security.html
http://www.paris-sansfil.net/index.php/LaTechnique
http://www.laboratoire-microsoft.org/articles/teched_2002/7/
http://www.fing.org/index.php?portail=1086
http://www.isaac.cs.berkeley.edu/isaac/mobicom.pdf
http://www.cs.umd.edu/~waa/wireless.pdf
http://www.paris-sansfil.net/index.php/TechWardrivingFr
Journaux / Revues :
Le canard enchaîné – 09 octobre 2002
Le Monde Informatique – N°961 – 29 novembre 2002
Ouvrages :
802.11 wireless network The definitive Guide – M.S GAST – O'Reilly
The essentiel guide to RF and Wireless - C.J WEISMAN – Prentice Hall
Wireless security – M. MAXIM, D. POLLINO – MC Graw-Hill