Par Roger Hockaday, Directeur du Marketing d’Aruba Networks EMEA
Sécuriser le réseau
La sécurité d’un réseau sans fil repose sur deux idées fortes : le chiffrement des données, dans un premier temps, qui assure la confidentialité du réseau, quelles que soient les méthodes d’accès et les données utilisées. La seconde idée, telle que formulée par un directeur de la sécurité informatique « …est que la complexité est le pire ennemi de la sécurité … la sécurité soit être intégrée et non déployée en complément.” (1)
Ceci étant dit, comment une entreprise peut-elle sécuriser son réseau sans-fil ?
– Protection des données
Les données sans fil doivent être chiffrées à l’aide de WPA2-AES. Cette technologie est plutôt simple à activer sur les PC portables (sous Windows XP ou Vista) et présente sur la majorité des plateformes mobiles récentes (un téléphone hybride GSM/Wi-Fi ou un équipement nomade de type Tablet PC). D’autres méthodes de cryptage existent, mais le WPA2-AES offre la simplicité d’une solution normalisée et l’assurance d’une confidentialité des données qui va, selon les fournisseurs, jusqu’à bénéficier de la norme FIPS140-2 et faciliter la certification Common Criteria EAL 2.
– Authentification de l’utilisateur
L’authentification par 802.1x garantit que l’utilisateur est habilité et qu’il ne se connecte qu’à un serveur valide.
EAP-TLS propose une authentification du serveur et du client à l’aide de certificats, mais ce protocole requiert néanmoins une infrastructure PKI. De nombreuses entreprises se contentent de la facilité et de la sécurité relative d’EAP-PEAP qui ne nécessite qu’une paire de nom d’utilisateur/mot de passe et des certificats serveur. Ce type d’authentification doit pourtant être renforcé pour s’assurer que les équipements sont conformes aux règles de sécurité d’entreprise, plus particulièrement lorsque des équipements informatiques portables (téléphones hybrides, PC de consultants ou d’invités) se connectent au réseau. L’application d’un contrôle d’accès réseau ou du NAP (Network Access Policy ou règles d’accès réseau) de Microsoft compte parmi les pratiques pertinentes et définit un environnement de test intéressant, préalable à tout déploiement d’envergure.
– Sécuriser les utilisateurs les uns vis-à-vis des autres
Dans le passé, de nombreuses organisations ont misé sur les pare-feux pour discriminer entre le réseau sans fil et le réseau filaire, et leur attribuer des niveaux de confiance différents. Cette approche a suscité deux problématiques majeures. En premier lieu, elle pèse sur la mobilité et sur les utilisateurs de services voix qui ont pour habitude de se déplacer dans les bureaux, entre les étages , voire entre des immeubles, tout en restant connecté au réseau sans fil. L’utilisation d’un pare-feu externe peut provoquer une perte des informations sur l’état de la connexion, et donc une interruption de cette connexion. En second lieu, les utilisateurs sans fil ne sont pas sécurisés les uns vis-à-vis des autres. L’activation d’un pare-feu en dehors du réseau sans fil rend le réseau plus vulnérable aux attaques de type VLAN hopping ou le spoofing ARP, ce qui, au final, constitue une menace pour tous les utilisateurs.
À l’origine, la constitution de groupe d’utilisateurs par VLAN ne présentait pas de risque significatif. Mais cette approche montre rapidement ses limites lorsque l’ensemble des collaborateurs et des invités d’une entreprise se partagent le réseau. Chaque utilisateur doit en effet être soumis individuellement à un pare-feu.
Le chiffrement des données et l’authentification des utilisateurs sur le réseau sont des étapes importantes pour maîtriser les risques de détournements de données ou d’attaques, tant par les collaborateurs que par les pirates. Associée à une détection/prévention des intrusions qui surveille en permanence les menaces internes ou externes sur le réseau, cette approche est une garantie pour les directions informatiques que leur réseau est parfaitement sécurisé.
Optimiser la qualité pour les utilisateurs
Le principe de Qualité se résume souvent à la Qualité de Service (QoS) pour les applications, mais il s’agit également de considérer la qualité de la connexion telle que vécue par les utilisateurs.
– Une connexion robuste et de qualité avec le 802.11n
Le 802.11n permet aux entreprises d’offrir une connexion de qualité et fiable aux utilisateurs, et offre les conditions pour déployer un espace de travail 100% sans fil. Bien qu’il s’agisse d’une norme récente, le 802.11n (version Draft 2.0) a déjà fait ses preuves en tant que méthode robuste de connectivité sans fil. Il utilise le Spatial Division Multiplexing et le MIMO pour fournir simultanément plusieurs flux de données à partir de trois antennes au maximum. Résultat, le réfléchissement du signal améliore désormais les taux de transfert et la qualité du signal, et les utilisateurs disposent de débit allant à plus de 150 Mbps (TCP/IP).
La Qualité de Service est une fonction importante pour les réseaux sans fil utilisés par un nombre croissant d’applications en temps-réel, qu’il s’agisse de système de monitoring des patients en milieu hospitalier ou de la Voix sur IP au sein des bureaux. Des mécanismes appropriés de QoS comme le WMM (Wireless Multi-Media) et le 802.11e assurent une QoS pertinente entre les équipements nomades et l’infrastructure. Pour autant, la mise en œuvre de la QoS ne peut se contenter des méthodes conventionnelles et doit répondre aux besoins d’un trafic en temps-réel en environnement radio, avec gestion des fréquences radio pour garantir la stabilité de l’environnement radio. En conséquence, les fonctionnalités suivantes s’imposent pour une QoS adaptée aux réseaux sans fil:
– Allocation de bande passante par identifiant réseau
Il est fort probable qu’un seul point d’accès gère plusieurs réseaux sans fil dédiés à des utilisations différentes. C’est le cas notamment pour un aéroport majeur dans le monde qui a déployé six réseaux différents sur son infrastructure sans fil. Les passagers qui utilisent les hotspots ne doivent en aucun cas grever les performances de l’accès sans fil offert aux boutiques ou aux services d’exploitation de l’aéroport. La définition d’un seuil de bande passante par réseau offre ainsi un accès équitable à chaque profil d’utilisateur.
– Roaming rapide des équipements clients
Une gestion centralisée du roaming, avec mise en cache des clés et/ou le 802.11r, offre un roaming suffisamment rapide sur le réseau sans fil pour permettre aux téléphones de se mouvoir sur le réseau. Les combinés dédiés à la Voix sur IP présentent d’excellentes performances en matière de basculement tandis que les combinés GSM & Wi-Fi offrent des temps de roaming en deçà de la barre critique des 100 millisecondes.
Par ailleurs, il devient de plus en plus visible que les approches normalisées en matière d’interopérabilité accélèrent les basculements. Les fonctionnalités propriétaires, en revanche, sont superflues et sont sources de complexité et de difficultés imprévisibles.
– Contrôle d’accès réseau
Avec le 802.11g (ou le 802.11a), chaque point d’accès peut prendre en charge jusqu’à 30 appels voix en simultané. Dans les bureaux, un point d’accès ne sera utilisé que par 10 utilisateurs au maximum pour les services de données, compte te
nu de l’envergure des espaces individuels de travail. Certaines zones, en revanche, comme l’accueil ou la cantine sont susceptibles de faire face à une densité plus importante d’utilisateurs voix. Le CAC devient donc nécessaire pour éviter les congestions et les entreprises sont invitées à considérer une infrastructure TSpec, conforme à la norme 802.11e, qui propose une prioritisation de la bande passante, similaire à RSVP et qui a été normalisée par la Wi-Fi Alliance sous l’appellation WMM-AC.
– Une gestion de l’environnement radio adossé à la QoS
Pour gérer efficacement l’environnement radio, la majorité des points d’accès se mettent en mode offline pour analyser les fréquences radio ou détecter les intrusions. Dans ce mode, le point d’accès ne traite aucun trafic, que ce dernier soit prioritaire ou non. Le délai de l’analyse est court et ne perturbe pas le trafic de données. En revanche, le trafic en temps-réel de type voix ou vidéo risque d’être impacté. Le point d’accès doit donc être notifié lorsqu’il achemine un trafic temps-réel, pour ainsi ajourner toute opération d’analyse et acheminer le trafic prioritaire.
Contrairement aux réseaux sans fil traditionnels constitués de points d’accès autonomes et gérés de manière indépendante, les réseaux sans fil de nouvelle génération assurent une gestion centralisée et se veulent plus simples à déployer. Les fonctionnalités de sécurité et de qualité de service optimisent l’expérience utilisateur des collaborateurs, tout en garantissant une sécurité conforme aux normes les plus strictes qui s’appliquent aux équipements de communication d’entreprise.
(1) Paul Simmonds, Directeur de la Sécurité de l’Information chez ICI
L’intégration des solutions Splunk sur la plateforme Microsoft Azure ouvre de nouvelles opportunités pour les…
Une tribune libre de Jan Gabriel, Directeur Alliances & Marketing, ITS Integra 2024 est malheureusement une…
Le marché de la cybersécurité continue de se transformer à un rythme effréné, poussé par…
Barracuda, spécialiste des solutions de cybersécurité « cloud-first », lance sa Partner Sales Engineer Community.…
La plupart des entreprises continuent de remplacer leurs équipements (ordinateurs, tablettes, smartphones) selon des cycles…
Westcon-Comstor poursuit sa transition vers un modèle basé sur des revenus récurrents, s'appuyant notamment sur…