Mise en place d’une politique d’accès à un réseau sans fil avec l’authentification basée sur la norme 802.1x

2.1.3.6. Les VLAN

Si les AP le permettent (ou les commutateurs auxquels ils sont reliés), il est bon d'associer le trafic sans fil à un VLAN particulier. Ceci facilitera par la suite la maintenance et l'administration du réseau car tout le trafic provenant du réseau sans fil sera clairement identifié¹⁹.

En outre, certains AP peuvent associer un utilisateur donné à un VLAN particulier au moment de l'identification (grâce au protocole RADIUS que nous étudierons au point suivant).

2.1.3.7. Le cryptage WEP

Première solution de cryptage à avoir été standardisée par l'IEEE, Wired Equivalent Privacy (WEP) signifie « sécurité équivalente au filaire ». Malheureusement, dans la pratique, la solution WEP ne s'est pas montrée à la hauteur de sa définition : à peine quelques mois après sa publication, des failles importantes ont été découvertes dans le WEP et exploitées presque immédiatement dans des attaques contre des réseaux WiFi. Des outils sont même disponibles gratuitement sur Internet qui permettent de casser la clé WEP, c'est-à-dire, en possédant suffisamment de paquets cryptés, de retrouver quelle clé WEP a servi au cryptage. Il suffit alors

18 Aurélien Géron, Op.cit., p. 213.

19 Ibid.

20 Ibid. p. 214.

21 Ibid. p. 215.

Page | 26

à un pirate de configurer son propre adaptateur avec cette clé WEP pour rendre le cryptage tout à fait inutile. Aujourd'hui, il est fort conseillé d'abandonner le WEP au profit du WPA ou du WPA2²⁰.

2.1.3.8. Isoler le réseau sans fil

On peut choisir de traiter les utilisateurs du réseau sans fil comme s'ils venaient d'Internet. Pour ce faire, on peut connecter les AP dans la DMZ (zone démilitarisée) de la passerelle d'accès à Internet ou simplement relier le réseau sans fil à une connexion à Internet complètement indépendante du réseau filaire. De cette façon, si un pirate parvient à se connecter au réseau sans fil, il ne pourra pas pour autant rentrer sur le réseau filaire. Ce réseau sans fil isolé du réseau est présenté à la Figure 2.1.

Figure II.1. Un réseau sans fil isolé

Cette stratégie est efficace pour protéger le réseau local, mais elle présente plusieurs inconvénients²¹ :

? Pour les employés, le réseau sans fil ne sert qu'à accéder à Internet (ou à se connecter entre eux) : il n'est pas possible d'accéder au réseau filaire, à moins d'établir un tunnel VPN (voir le paragraphe suivant) ;

? Les employés connectés sans fil sont en contact direct avec Internet et peuvent plus facilement être attaqués depuis Internet. Il faut donc installer un deuxième pare-feu (éventuellement intégré dans chaque AP) pour protéger les employés ;

? Un pirate peut toujours attaquer les utilisateurs connectés au réseau sans fil. Pour éviter cela, certains AP peuvent être configurés pour interdire toute communication entre les utilisateurs sans fil. Malheureusement, les employés ne pourront plus communiquer entre eux. Cela n'empêche toutefois pas le pirate d'espionner les communications ;

? S'il parvient à s'associer à un AP, un pirate peut abuser de la connexion à Internet. Pour limiter ce risque, l'AP peut être relié à un pare-feu (encore une fois, il peut être intégré dans l'AP) et à un système de contrôle de la navigation Internet.