Accueil > Actu > Déployer, optimiser et sécuriser un réseau Wi-Fi

Déployer, optimiser et sécuriser un réseau Wi-Fi

jeudi 9 octobre 2003

Les réseaux radio 802.11 viennent se greffer sur l’infrastructure Ethernet filaire de l’entreprise. Reste à déployer en bon ordre un réseau basé sur l’implantation de bornes ou points d’accès radio. Leur déploiement requiert des méthodes et des compétences spécifiques. La sécurisation en est un élément central.

Avec plus de dix millions de cartes d’interfaces vendues, la norme IEEE 802.11b, plus connue sous l’appellation Wi-Fi (Wireless fidelity), constitue l’un des plus importants succès des communications du début des années 2000. Cette réussite trouve son point de départ en 1999, avec l’avènement du 802.11b (jusqu’à 11 Mbit/s de débit nominal sur le lien radio), qui bénéficie du soutien des acteurs majeurs du groupe de normalisation 802.11 et, rapidement, de produits disponibles. Cependant, les spécifications de 802.11b restent insuffisantes pour assurer une bonne interopérabilité des produits.

Cet aspect revient au WECA (Wireless Ethernet compatibility alliance), qui est le créateur du label d’interopérabilité Wi-Fi, dont il assure la certification et la promotion. Mais aujourd’hui, la question pratique du déploiement, de l’optimisation et de la sécurisation d’un réseau Wi-Fi interne se pose à bon nombre d’entreprises.

Les règles de base pour déployer un réseau

Il est toujours bon de répéter quelques règles simples concernant le déploiement d’un réseau. D’abord, le choix du réseau sans fil doit être argumenté. L’une des motivations peut être le coût.

Avec la baisse très forte des prix de la technologie sans fil, le coût du câblage dépasse généralement le surcoût des éléments actifs (points d’accès, antenne), indispensables à un réseau sans fil. Mais d’autres éléments peuvent intervenir, telles que la mobilité ou encore la contrainte de câblage...

Il convient ensuite de préparer un cahier des charges couvrant les besoins sous tous leurs aspects : applications visées, domaine de couverture souhaité, niveau de sécurité recherché, ou contraintes particulières. Ce cahier des charges définit la spécification d’une solution qui remplit le niveau de performances recherché et respecte les contraintes mises à jour. Il est important que les utilisateurs du futur réseau soient impliqués dans cette démarche, à la fois pour définir correctement le besoin et pour concourir à la bonne acceptation du réseau, une fois celui-ci installé.

Un réseau Wi-Fi se déploie en répartissant des points d’accès radio. Ces derniers sont reliés à un réseau local Ethernet, qui peut demeurer indépendant, mais se raccorde en principe à d’autres réseaux, et souvent à internet. La règle générale, qui prévaut dans l’installation d’un réseau Wi-Fi, est la suivante : les points d’accès doivent permettre de balayer toute la zone de couverture radio souhaitée, tout en minimisant les zones couvertes par plusieurs d’entre eux.

Exemple de déploiement d’un réseau Wi-Fi
Utilisation d’une technique VPN pour sécuriser un réseau. Ici, le réseau reliant les points d’accès est différent de celui du réseau local de l’entreprise. La passerelle permet de restreindre l’accès au réseau principal, ce qui augmente le niveau de sécurité.

Pour déterminer les zones de couverture, il est possible, dans le cas de gros déploiements, de faire appel à une société spécialisée, qui utilisera un analyseur de spectre afin d’établir des bilans de liaisons. On peut aussi se munir d’un PC portable et d’un point d’accès, et utiliser l’utilitaire (sur le portable) qui fournit la puissance reçue. En suivant les indications de sensibilité de la carte IEEE 802.11, on s’assure alors que le positionnement d’un point d’accès est convenable, et on délimite la zone de couverture qu’il permet d’atteindre.

Fréquences indépendantes ou non : mode d’emploi

Ce travail va aider à « paver » la zone que l’on souhaite couvrir, avec des « cellules » autour des points d’accès. Si l’on ne peut utiliser que la partie supérieure de la bande ISM 2,45 GHz (Instrumental scientific medical), comme c’est le cas dans certains départements français, tous les points d’accès sont sur la même fréquence ; si, au contraire, on peut disposer de toute la bande ISM (règle générale en Europe), il est avantageux d’installer deux points d’accès adjacents sur des fréquences indépendantes, donc séparées par au moins 20 MHz. Dans le cas où une liaison n’est pas satisfaisante, la modulation de la norme 802.11b, prévue à 11 Mbit/s de débit nominal rappelons-le, va se replier en vitesse de transmission sur les débits inférieurs suivants : 5,5 Mbit/s, 2 Mbit/s et, enfin, 1 Mbit/s. Les constructeurs fournissent les sensibilités de leurs produits 802.11b suivant le débit souhaité.

Il est ainsi possible de prendre en compte cette considération lorsqu’on souhaite fournir à tout point de la zone de couverture un débit déterminé, par exemple, mais cela entraînera l’ajout de points d’accès. Il est alors avantageux de diminuer la puissance utilisée, de façon à minimiser les interférences entre plusieurs zones desservies par un point d’accès.

Il existe plusieurs voies pour optimiser un déploiement, des voies d’autant plus nombreuses que le produit acheté est sophistiqué. Certains points d’accès autorisent ainsi la disposition de plusieurs interfaces 802.11b, très utile si l’on souhaite pouvoir supporter un grand nombre de connexions simultanées sur le réseau sans fil. Une autre optimisation très profitable concerne l’utilisation du mécanisme RTS-CTS (Request to send-Clear to send) sur certaines cartes 802.11. Il donne la possibilité d’envoyer un paquet d’appel avant l’envoi d’un paquet réel. Un mécanisme très efficace au cas où une propagation radio difficile empêcherait deux stations dépendantes d’un même point d’accès de se détecter mutuellement.

Les mécanismes de sécurisation sont, de leur côté, des plus élémentaires sur les produits les plus simples. Trois techniques sont proposées : la sécurisation par l’identifiant de réseau, le mot de passe ou la restriction d’accès par adresse MAC. Ces techniques n’utilisent pas de chiffrement, et une simple écoute passive permet de casser la protection. Celle-ci, très facile, peut même s’effectuer à distance si l’on utilise des antennes directionnelles.

WEP, à la rescousse, mais pas toujours efficace...

Pour obtenir un meilleur niveau de sécurité, il convient d’utiliser la fonction WEP (Wired equivalent privacy) de la norme 802.11. Ce mécanisme fonctionne sur l’utilisation d’un chiffrement à clé symétrique RC4 (Ron’s code #4) opérant au fil de l’eau sur la trame à chiffrer. Un vecteur d’initialisation aléatoire associé à la clé permet de renouveler le chiffrement à chaque nouvelle transmission. Un hachage linéaire du paquet vérifie qu’un paquet reçu est chiffré convenablement et écarte les paquets forgés.

Dans la certification Wi-Fi, il existe deux niveaux de sécurité : faible, avec une clé de 40 bits, et fort, avec une clé de 128 bits. Mais de nombreux articles de recherche ont montré que si le WEP évite l’écoute immédiate de l’information échangée, ce n’est pas pour autant un système sûr (lire l’encadré page suivante).

Même si WEP ne fournit pas un système fiable de sécurité, il ne faut pas pour autant en déduire que pénétrer dans un réseau Wi-Fi ressemble à un jeu d’enfant. Ce serait oublier que certains constructeurs ont colmaté les brèches sécuritaires les plus importantes. Par exemple, pour résoudre le problème crucial des clés faibles, il est possible de bâtir des implémentations intelligentes qui n’en génèrent pas.

Les différents modes de sécurisation
Plusieurs approches de sécurisation d’un lien radio Wi-Fi sont possibles, de la plus légère à la plus sûre...

L’intégration du mécanisme générique IEEE 802.1x est aussi un grand pas vers l’amélioration de la sécurité : il offre la possibilité d’accueillir un système d’authentification quelconque, et les mécanismes génériques de type EAP (Extensible authentication protocol) . Le mécanisme d’authentification le plus souvent retenu dans les produits 802.11 est EAP-TLS. Il offre les fonctionnalités d’une authentification mutuelle entre la station 802.11 et le point d’accès, et il distribue dynamiquement les clés de chiffrement, qui sont différentes pour chaque station associée au point d’accès.

Le mécanisme IEEE 802.1x est actuellement intégré dans la norme IEEE 802.11i en préparation, et il est déjà présent sur de nombreux produits commerciaux.

Le groupe IEEE 802.11i travaille d’arrache-pied

Le groupe IEEE 802.11i travaille sur une architecture de sécurité TKIP (Temporal key integrity protocol) . Celle-ci continue d’utiliser le système de chiffrement RC4, mais offre également un mécanisme de contrôle d’intégrité efficace et un meilleur mélange de la clé de chiffrement et du vecteur d’initialisation. TKIP permet d’améliorer très sensiblement la sécurité des produits 802.11. Cette amélioration s’obtient juste en modifiant le logiciel embarqué (appelé firmware ) dans l’interface radio. Elle devrait bientôt être intégrée à de nombreux produits commerciaux, tels que les produits WPA (Wi-Fi protected access) , qui reprennent un sous-ensemble des mécanismes 802.11i.

Le groupe IEEE 802.11i travaille aussi sur une piste plus ambitieuse, où RC4 serait remplacé par le système de chiffrement par bloc émergent AES (Advanced encryption standard) . Cette modification très profonde de la sécurité dans la norme 802.11 doit offrir un système très robuste, mais nécessitera le développement de nouveaux composants ; elle ne pourra pas fonctionner sur les interfaces Wi-Fi actuelles (points d’accès principalement).

Des canaux sécurisés grâce aux VPN

Avec les réseaux privés virtuels (VPN), des canaux sécurisés peuvent être créés entre deux entités communicantes. Les techniques de chiffrement mises en oeuvre assurent la sécurité d’une transmission, même si le canal qui lie deux entités n’est pas sûr.

L’application de cette idée aboutit à une architecture où toutes les paires de stations souhaitant communiquer entre elles nouent une association de sécurité et bâtissent un tunnel sécurisé. Une telle architecture reste cependant très difficile à mettre en place, mais il en existe des versions simplifiées. L’idée consiste à obliger un noeud sans fil, qui souhaite se joindre à un réseau, à nouer une association de sécurité avec un serveur dédié, ce serveur prenant le rôle de passerelle d’accès vers le reste du réseau. La négociation de cette association authentifie, avec des méthodes fiables, le noeud sans fil qui souhaite rejoindre le réseau. Un tunnel se crée ainsi entre le noeud mobile et la passerelle qui donne l’accès au réseau. Ce tunnel peut aussi être chiffré. Dans ce cas, on ajoute de la confidentialité à la transmission sans fil.

Cette approche permet de ne plus, ou en tout cas, de moins protéger l’association du mobile avec le point d’accès. Le mobile accède au réseau derrière le point d’accès, qui ne l’autorise pas à entrer dans le réseau principal, puisque pour y parvenir, il lui faut franchir la barrière de la passerelle. L’avantage de cette technique est qu’elle fonctionne avec tous les produits Wi-Fi. Il est alors possible de profiter de la grande base déjà installée.

Si l’on souhaite obtenir une sécurité maximale, il peut être utile de séparer physiquement le réseau local, qui supporte les points d’accès, du réseau principal. Sans cela, la station radio pourrait pénétrer sur le réseau et chercher des failles de sécurité sur toutes les machines attenantes. En limitant les points d’attaque pour pénétrer dans le réseau principal, il est clair qu’on augmente considérablement la sécurité du système. On obtient alors l’approche illustrée par l’infographie de la page précédente.

Lors de la procédure d’authentification, la passerelle relaie généralement les réponses de la station radio vers un serveur d’authentification. Il existe plusieurs protocoles de VPN : PPTP (Point to point tunneling protocol) , L2TP (Layer 2 tunneling protocol) , et IPSec (IP Security) . PPTP est un protocole de niveau 2 développé par Microsoft. Il encapsule les trames PPP dans des trames IP afin d’assurer leur transmission dans un réseau IP. PPTP authentifie grâce à EAP et chiffre les données au moyen du DES (Data encryption standard) .

L2TP est un protocole de niveau 2, qui encapsule des trames PPP. Et IPSec est l’architecture générale de sécurité développée par l’IETF (Internet Engineering Task Force). C’est un système très complet, qui repose sur deux mécanismes de base : AH (Authentication header) [RFC2402] pour vérifier l’intégrité des paquets, et ESP (Encapsulation Security Payload) [RFC2406] pour chiffrer les paquets. IPSec est un système largement répandu et très performant. Disponible sous Windows 2000 et XP Pro, il souffre encore d’une relative difficulté de mise en oeuvre due à la variété des options disponibles.

Paul Mühlethaler (Directeur de recherche à l’Inria, auteur de l’ouvrage 802.11 et les réseaux sans fil aux éditions Eyrolles)


Utilisation des technologies 802.11a et 11g : est-il urgent d’attendre ?

Faut-il employer les technologies récentes IEEE 802.11a et 802.11g, vu la maturité insuffisante des produits conformes à ces standards ?

802.11a et 802.11g offrent de meilleurs débits que la norme 802.11b, et une meilleure efficacité spectrale (autour de 5 bits par hertz). Ce qui est importante, car le spectre radio reste une ressource rare même si, dans le cas de 802.11, elle est gratuite.

Les tests des produits 802.11a montrent cependant des débits largement inférieurs aux valeurs que laisse espérer le standard ; il y a aussi des problèmes de portée.

La norme 802.11a utilise la bande des 5 GHz, qui n’interfère pas avec la bande ISM. Il n’y a, par conséquent, aucun problème à utiliser de façon complémentaire des produits 802.11a et b.

Entre les produits 802.11b et g, on devrait obtenir une compatibilité ascendante.

Mais il reste des questions sur les performances réelles des produits 802.11g.


Les limites sécuritaires du protocole WEP

Les principaux défauts du protocole de sécurité Wired Equivalent Privacy sont les suivants : la taille du vecteur d’initialisation est trop faible, le mélange du vecteur d’initialisation et de la clé de chiffrement n’est pas bon, et, surtout, le mécanisme de chiffrement RC4 présente des clés faibles. Les deux premiers défauts autorisent le déchiffrement des paquets sans connaître la clé de chiffrement. Les clés faibles de RC4 permettent de remonter jusqu’à la clé de chiffrement : pour cela, il suffit d’écouter suffisamment de trafic. On est sûr, alors, d’observer plusieurs clés faibles pour attaquer. Ce défaut est mis en oeuvre sur les logiciels de craquage (Aisnort, Wepcrack...) disponibles sur le web. WEP possède une dernière faille de taille : le système d’authentification par paquet. Celui-ci étant basé sur une signature du paquet par un hachage linéaire, il est facile, en partant d’un paquet chiffré et bien formé, d’en déduire un paquet forgé.


Voir en ligne : Article de 01Net - 09/10/2003

Messages

  • IBM vient de présenter un service de détection d’intrusion (IDS) pour réseaux sans fil. Celui-ci s’appuie notamment sur un mouchard chargé de détecter la présence de points d’accès non autorisés, d’attaques par déni de service, de points d’accès mal configurés et de clés WEP (Wired Equivalent Privacy) compromises. Le nouveau service d’IBM repose sur un réseau d’appliances Linux qui agissent comme autant de mouchards et sont déployées de la même manière que les points d’accès. Ces appliances écoutent les transmissions radio à la recherche de signatures typiques d’attaques pré-définies par IBM. Les alertes sont relayées à une console Tivoli Risk Manager aux bureaux d’IBM Global Services de Boulder. Pour l’heure, seuls 802.11b et WEP sont supportés. Mais Big Blue assure travailler actuellement au support de 802.11a et g ainsi qu’à d’autres standards de chiffrement tels que WPA et Leap, de Cisco.
    Ce service est disponible aux Etats-Unis au prix de 50 000 $ à l’année, plus 30 000 $ de frais de mise en service.

    Voir en ligne : Article du Monde Informatique - 09/10/2003

Un message, un commentaire ?

Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexions’inscriremot de passe oublié ?