V.2 CHOIX DES
PARAMÈTRES DE SÉCURITÉ
La sécurité des réseaux sans fil est
l'élément essentiel qui décourage plusieurs personnes de
déployer cette technologie. En effet, les ondes radios ne pouvant
être confinées dans un espace délimitée, n'importe
quelle personne se trouvant à portée de ces ondes peut s'y
connecter et utiliser le réseau à des fins pas toujours
catholiques (Voir l'annexe 2). Ainsi, il est essentiel de déployer de
gros moyens pour sécuriser notre réseau sans fil Wi-Fi. Sur ce,
nos choix s'effectueront en accord avec l'avancé technologique mais sans
remettre en cause les compatibilités matérielles. On a ainsi
retenu les points suivants:
A. Modifier le nom par défaut du
réseau
Un réseau Wi-Fi porte toujours un nom d'identification
afin que les ordinateurs puissent le détecter et se connecter dessus. Ce
nom s'appelle le SSID (Service Set IDentifier). Si on ne configure pas
le point d'accès, le SSID est défini par défaut. Ainsi on
le modifiera, afin de le reconnaître plus facilement par la suite.
Cependant, on s'arrangera à ce que ce nom n'ait aucun sens pour un
éventuel pirate afin de l`empêcher d'identifier facilement notre
réseau.
B. Cacher le nom du réseau
Le SSID est une information importante pour se connecter au
réseau sans fil. Le point d'accès diffuse continuellement cette
information pour permettre aux ordinateurs de le détecter. Le SSID n'est
pas une fonction de sécurisation mais permet de rendre "caché"
son point d'accès à la vue de tout le monde. Une fois le
réseau configuré avec les ordinateurs, on activera la fonction
"cacher le SSID", présente dans le point d'accès, afin de rendre
ce dernier "invisible" au monde extérieur.
C. Configurer manuellement les adresses IP
La plupart des points d'accès actuels disposent du
protocole DHCP (Dynamic Host Configuration Protocol). Il s'agit d'un
protocole qui permet à un ordinateur qui se connecte sur un
réseau d'obtenir dynamiquement sa configuration réseau (adresse
IP, etc.). Pour ce projet, on désactivera le DHCP ceci évitera
qu'un pirate trouve facilement les identifiants du réseau. Ainsi, il
faudra s'adresser au service technique afin d'obtenir les
éléments nécessaires à la configuration
réseau.
D. Choisir un mot de passe d'accès au point
d'accès
L'administration du point d'accès se fait par
l'intermédiaire de pages Web accessibles par n'importe quel ordinateur
connecté par câble. Il suffit de saisir une adresse IP (fournie
par le constructeur) dans le navigateur Web et le mot de passe par
défaut (fourni par le constructeur) pour accéder à
l'administration. A ce stade, toute personne pouvant accéder au
réseau, peut faire les changements ou modifier d'autres
paramètres du point d'accès. On changera donc le mot de passe par
un nouveau. Ce mot de passe devra répondre au principe de mots de passe
forts.
E. Filtrer les équipements par adressage
MAC
Une adresse MAC (Media Access Control) permet
d'identifier matériellement un ordinateur grâce à son
adaptateur réseau. Cette adresse est unique et définie par le
fabriquant de l'adaptateur. Chaque point d'accès offre la
possibilité d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son
adresse MAC dans la liste autorisée ne sera pas autorisé à
se connecter sur le réseau. Notons tout de même que le filtrage
d'adresses MAC est contournable. En effet, une adresse Mac peut être
émulée sous un environnement Linux. IL soffit de faire dans un
terminal:
# ifconfig eth1 down
# ifconfig eth1 hw S
# ether 00:01:02:03:04:05
# ifconfig eth1 up
F. Choisir une clé de
chiffrement hautement sécurisée
Pour remédier aux problèmes de
confidentialité des échanges sur les réseaux sans fils, le
standard 802.11 intègre un mécanisme simple de chiffrement des
données, il s'agit du WEP (Wired Equivalent
Privacy).
Le WEP est un protocole chargé du chiffrement des
trames 802.11 utilisant l'algorithme symétrique RC4 (Rivest Cipher
4) avec des clés d'une longueur de 64 bits ou 128 bits. Le principe
du WEP consiste à définir dans un premier temps une clé
secrète de 40 ou 104 bits. Cette clé secrète doit
être déclarée au niveau du point d'accès et des
clients. La clé sert à créer un nombre pseudo
aléatoire d'une longueur égale à la longueur de la trame.
Chaque transmission de donnée est ainsi chiffrée en utilisant le
nombre pseudo aléatoire comme masque grâce à un OU
Exclusif entre le nombre pseudo aléatoire et la trame.
La clé de session partagée par toutes les
stations est statique, c'est-à-dire que pour déployer un grand
nombre de stations Wi-Fi il est nécessaire de les configurer en
utilisant la même clé de session. Ainsi la connaissance de la
clé est suffisante pour déchiffrer les communications.
De plus, 24 bits de la clé servent uniquement pour
l'initialisation, ce qui signifie que seuls 40 bits de la clé de 64 bits
servent réellement à chiffrer et 104 bits pour la clé de
128 bits. Dans le cas de la clé de 40 bits, une attaque par force brute
(c'est-à-dire en essayant toutes les possibilités de clés)
peut très vite amener le pirate à trouver la clé de
session. De plus, une faille décelée par les chercheurs Fluhrer,
Mantin et Shamir concernant la génération de la chaîne
pseudo aléatoire rend possible la découverte de la clé de
session en stockant 100 Mo à 1 Go de trafic créé
intentionnellement. Le WEP n'est donc pas suffisant pour garantir une
réelle confidentialité des données. Pour autant, il est
vivement conseillé de mettre au moins en oeuvre une protection WEP 128
bits afin d'assurer un niveau de confidentialité acceptable.
Ces faiblesses du WEP ont conduit
à l'apparition du WPA (Wi-Fi Protected Access)
qui est une solution de sécurisation de réseau Wi-Fi
proposée par la Wi-Fi Alliance. Le WPA est une version
« allégée » du protocole 802.11i, reposant
sur des protocoles d'authentification et un algorithme de cryptage robuste :
TKIP (Temporary Key Integrity Protocol). Le protocole
TKIP permet la génération aléatoire de clés et
offre la possibilité de modifier la clé de chiffrement plusieurs
fois par secondes, pour plus de sécurité.
Le fonctionnement de WPA repose sur la mise en oeuvre d'un
serveur d'authentification permettant d'identifier les utilisateurs sur le
réseau et de définir leurs droits d'accès.
Le 802.11i a été ratifié le 24 juin 2004,
afin de fournir une solution de sécurisation poussée des
réseaux Wi-Fi. Il s'appuie sur l'algorithme de chiffrement TKIP, comme
le WPA, mais supporte également l'AES (Advanced
Encryption Standard), beaucoup plus sûr. La Wi-Fi Alliance a ainsi
créé une nouvelle certification, baptisée
WPA2, pour les matériels supportant le standard
802.11i. Contrairement au WPA, le WPA2 permet de sécuriser aussi bien
les réseaux sans fil en mode infrastructure que les réseaux en
mode ad hoc.
On choisira donc WPA pour le chiffrement. On
aurait pu utiliser le WPA2 mais bien qu'il soit déjà
implémenté dans plusieurs systèmes d'exploitation, il n'en
est pas encore le cas pour les composants matériels ce qui pourrait
compromettre la compatibilité des équipements.
G. Choisir une méthode d'authentification
basée sur des certificats
L'EAP (Extensible Authentification
Protocol) n'est pas un protocole d'authentification à proprement
parler, mais un protocole de transport de protocoles d'authentification tels
que TLS, MD5, PEAP, LEAP, etc. En effet, avec cette méthode, les paquets
du protocole d'authentification sont encapsulés dans les paquets EAP.
Son but est l'authentification d'un utilisateur sur un
réseau non ouvert, car dans un premier temps, dans ce type de
réseau, seul les trafics EAP sont permis (pour permettre
l'authentification). Ce n'est qu'après authentification que le
réseau est ouvert. Une méthode d'authentification EAP utilise
différents éléments pour identifier un client tels que :
le couple « login/mot de passe », les « certificats
électroniques », les « cartes à
puces (SIM) », etc....
En plus de l'authentification, EAP gère la distribution
dynamique des clés de chiffrement (WEP ou WPA). Les deux
méthodes d'authentification EAP utilisant des certificats sont :
F PEAP (Protected EAP): Le processus
d'authentification de PEAP consiste à établir un tunnel
sécurisé TLS entre le client et le serveur d'authentification, en
authentifiant le serveur RADIUS à l'aide d'un certificat. Ensuite, il
est possible de choisir entre la méthode MS-CHAPv2 (Microsoft
Challenge Handshake Authentication Protocol version 2) ou TLS pour
authentifier l'utilisateur. Quand la méthode PEAP est utilisée
c'est souvent pour éviter d'utiliser les certificats client, il est donc
logique que sur les deux méthodes proposées par PEAP,
l'utilisation de Login/Password, via MS-CHAP, soit largement
privilégiée.
F EAP-TLS (EAP-Transport Layer
Security): EAP-TLS est une méthode d'authentification
mutuelle, ce qui signifie que le client et le serveur se prouvent
respectivement leur identité. Lors de l'échange EAP-TLS, le
client d'accès à distance envoie son certificat d'utilisateur et
le serveur d'accès à distance envoie son certificat d'ordinateur.
Si l'un quelconque des certificats n'est pas envoyé ou n'est pas valide,
la connexion est interrompue. Rappelons que TLS, la version normalisée
de SSL (Secure Socket Layer), est un protocole de transport
sécurisé (chiffrement, authentification mutuelle, contrôle
d'intégrité).
Nous utiliserons donc la méthode EAP-TLS qui propose le
plus de sécurité. Avec la méthode EAP-TLS
l'authentification du client d'accès peut se faire de différentes
façons :
§ A l'aide d'un certificat personnel associé
à la machine, l'authentification a lieu au démarrage de la
machine.
§ A l'aide d'un certificat personnel associé
à l'utilisateur, l'authentification a lieu après l'entrée
en session de l'utilisateur.
Nous avons opté pour la seconde méthode car elle
augmente le niveau de sécurité même si elle est quelque
contraignante. Pour plus d'informations sur les certificats consultez l'annexe
3.
|