Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe
Chapitre 2 : Planification de l'implémentation de la sécurité des réseaux locaux sans fil
Dernière mise à jour le 03 avril 2004
Afficher toutes les rubriques d'aide consacrées à la sécurité .gif)
Sur cette page
Présentation
Prérequis du chapitre
Fonctionnement de la sécurité d'un réseau local sans fil
Profil de l'organisation cible
Critères de conception
Architecture du réseau local sans fil
Mise à l'échelle pour de plus grandes organisations
Variations de l'architecture de la solution
Résumé
Références
Présentation
Ce chapitre décrit la conception globale de la solution de réseau local sans fil sécurisée. Son objectif est de vous faire connaître précisément la conception de la solution et les raisons pour lesquelles elle est conçue de cette manière. Il vise également à vous donner suffisamment d'informations pour vous permettre d'adapter la conception aux besoins spécifiques de votre organisation.
Le chapitre commence par une description de la manière dont la norme 802.1X et le protocole PEAP (Protected Extensible Authentication Protocol) sécurisent l'accès au réseau. Elle est suivie par une description de l'organisation cible de la solution et une découverte de ses besoins clés.
Le milieu du chapitre décrit la conception de la solution de réseau local sans fil, notamment : la conception du réseau ; le placement du serveur IAS (Internet Authentication Service) ; la sélection du matériel et des logiciels ; l'obtention des certificats et la configuration du client. Cette partie indique également comment migrer d'un réseau local sans fil non sécurisé vers la norme 802.1X et le protocole PEAP.
Les sections de la fin du chapitre traitent des variations possibles à partir de la conception de la solution de base. La notion la plus importante de ces variations de conception concerne la manière dont la solution peut être mise à l'échelle pour être utilisée dans des organisations plus étendues. Cette notion est abordée très largement. Les autres options de conception couvertes sont les suivantes :
réutilisation de l'infrastructure RADIUS pour la sécurité du réseau local sans fil ;
utilisation d'IAS pour l'authentification des accès à distance ;
déploiement de réseaux locaux sans fil dans des environnements SOHO.
Prérequis du chapitre
Dans le cadre de la planification de l'implémentation de votre réseau local sans fil sécurisé, vous devez vérifier que vous disposez de l'ensemble des compétences nécessaires dans votre organisation et que les personnes impliquées dans les décisions affectant le déploiement sont les plus adéquates.
Pour tirer le meilleur parti de ce chapitre, il est préférable d'être familier des sujets suivants :
concepts de mise en œuvre de réseaux, en particulier de réseaux locaux sans fil ;
Microsoft® 2000 Windows® ou Windows Server™ 2003 ;
concepts du service d'annuaire Microsoft Active Directory®, notamment les domaines et forêts Active Directory, les outils de gestion, l'utilisation des stratégies de groupe et la manipulation des utilisateurs, des groupes et d'autres objets Active Directory ;
concepts des services de certificats et des infrastructures de clés publiques (PKI) ;
concepts généraux de sécurité tels que l'authentification, l'autorisation et le cryptage ;
fonctionnalités de sécurité Windows telles que les utilisateurs, les groupes, les audits et les listes de contrôle d'accès (ACL) ;
application des paramètres de sécurité à l'aide de l'objet Stratégie de groupe.
Remarque : bien que cette solution puisse être implémentée sans connaissances techniques pointues, il est préférable de bénéficier d'une certification MSCE (Microsoft Certified Systems Engineer) ou de compétences et d'expériences équivalentes.
Fonctionnement de la sécurité d'un réseau local sans fil
Différentes méthodes de sécurisation des réseaux locaux sans fil ont été traitées de manière plus ou moins développée dans le document d'introduction « Choix d'une stratégie pour la sécurité des réseaux sans fil ». Ce document se concentrait sur l'utilisation d'une authentification sûre au niveau du réseau local sans fil avec la norme 802.1X et le cryptage du trafic réseau avec les fonctionnalités de cryptage WEP (Wired Equivalent Privacy) dynamique ou WPA (WiFi Protected Access). Les points clés de ce document sont les suivants :
Le schéma de sécurité du réseau local sans fil 802.11 d'origine, appelé WEP (Wired Equivalent Privacy), présente des failles sérieuses de sécurité qui permettent à un pirate de découvrir la clé du réseau et d'y pénétrer. Ce schéma est appelé « WEP statique » car il utilise un accès réseau et une clé de cryptage fixes partagés par tous les membres du réseau local sans fil.
L'utilisation de la norme IEEE 802.1X fournit un mécanisme robuste de contrôle d'accès au réseau local sans fil. Elle doit être associée à une méthode de protocole EAP (Extensible Authentication Protocol) sécurisée. Le choix de la méthode EAP détermine le type d'informations d'authentification pouvant être utilisées pour authentifier les utilisateurs et les ordinateurs du réseau local sans fil.
Microsoft prend en charge l'utilisation du protocole PEAP avec MS-CHAP v2 pour l'authentification par mot de passe et EAP-TLS pour l'authentification par certificat et la recommande.
PEAP offre un moyen de protéger une autre méthode EAP (telle que MS-CHAP v2) au sein d'un canal sécurisé. L'utilisation de PEAP est essentielle pour empêcher les attaques de méthodes EAP basées sur un mot de passe.
Une protection sûre des données du trafic du réseau local sans fil peut être assurée par les fonctionnalités de cryptage WEP dynamique ou WPA. Des clés de cryptage principales de protection des données sont générées dans le cadre du processus d'authentification 802.1X (bien que le cryptage WEP dynamique ou WPA utilise ces clés différemment).
La distinction entre le cryptage WEP statique et le cryptage WEP dynamique est cruciale. Le cryptage WEP dynamique utilise les mêmes algorithmes de cryptage que le cryptage WEP statique mais actualise continuellement les clés de cryptage, faisant ainsi échouer les attaques connues du WEP statique. Le cryptage WEP dynamique s'applique au mécanisme de protection des données du réseau, l'authentification du réseau étant gérée séparément par 802.1X.
Fonctionnement de 802.1X avec PEAP et des mots de passe
Pour l'authentification du réseau local sans fil basée sur un mot de passe, Microsoft prend en charge l'utilisation de PEAP avec MS-CHAP v2. La figure 2.1 montre le fonctionnement de 802.1X avec PEAP et des mots de passe.
.gif)
Figure 2.1 Authentification 802.1X et PEAP sur le réseau local sans fil
Cette figure montre les quatre composants principaux suivants :
Client sans fil : Ordinateur ou périphérique exécutant une application qui nécessite un accès aux ressources du réseau. Le détenteur des informations d'authentification utilisées pour authentifier le client sur le réseau peut être un utilisateur ou un ordinateur. Le client doit disposer d'une carte réseau local sans fil prenant en charge la norme 802.1X et le cryptage WEP dynamique ou WPA. Le client est également appelé station (STA) dans de nombreux documents standard sur le réseau.
Avant que le client puisse être autorisé à accéder au réseau local sans fil, un ensemble d'informations d'authentification doit être approuvé par le service d'authentification (le serveur RADIUS et l'annuaire) lors d'une opération hors bande. Dans ce cas, les comptes de domaine de l'utilisateur et de l'ordinateur sont créés avant la connexion au réseau local sans fil. Le client connaît son mot de passe et le contrôleur de domaine (l'annuaire) est capable de vérifier ce mot de passe. Le client doit également être préconfiguré avec les paramètres du réseau local sans fil corrects, qui comprennent le nom d'un tel réseau et la méthode d'authentification à utiliser.
Remarque : à proprement parler, un seul ensemble d'informations d'authentification (l'utilisateur ou l'ordinateur) doit être approuvé hors bande. Par exemple, vous pouvez vous connecter au réseau local sans fil en utilisant les informations d'authentification de l'utilisateur, puis joindre l'ordinateur au domaine. Cependant, cette solution suppose que les comptes utilisateur et ordinateur existent avant d'accéder au réseau local sans fil.
Point d'accès sans fil (AP) : le rôle du point d'accès sans fil est de contrôler l'accès au réseau local sans fil et de créer un pont entre une connexion client et le réseau local interne. Il doit prendre en charge la norme 802.1X et le cryptage WEP dynamique ou WPA. Dans la terminologie standard du réseau, le point d'accès joue le rôle de Service d'accès au réseau (NAS).
Le point d'accès sans fil et le serveur RADIUS partagent également un secret qui leur permet de s'identifier l'un et l'autre en toute sécurité.
Le serveur RADIUS et l'annuaire : le serveur RADIUS utilise l'annuaire pour vérifier les informations d'authentification des clients du réseau local sans fil. Il accorde des autorisations en fonction de la stratégie d'accès au réseau. Il peut également collecter des informations de comptabilisation et d'audit sur l'accès au réseau du client. Cette opération est appelée Service d'authentification (AS) dans la terminologie standard du réseau.
Le réseau interne : il s'agit d'un réseau sécurisé auquel l'application cliente sans fil doit avoir accès.
Les étapes suivantes décrivent comment le client fait sa demande et est autorisé à accéder au réseau local sans fil et par là même au réseau interne. Ces numéros d'étape correspondent aux numéros de la figure 2.1.
Lorsque l'ordinateur client est à proximité du point d'accès sans fil, il tente de se connecter au réseau local sans fil actif sur le point d'accès sans fil et est identifié par son SSID (Service Set Identifier). Le SSID est le nom du réseau local sans fil. Il est utilisé par le client pour identifier les paramètres corrects et le type d'informations d'authentification à utiliser pour ce réseau local sans fil.
Le point d'accès sans fil est configuré pour autoriser uniquement les connexions sécurisées (authentifiées 802.1X). Lorsque le client essaie de s'y connecter, le point d'accès lance un défi au client. Le point d'accès configure ensuite un canal restreint, qui permet au client de communiquer uniquement avec le serveur RADIUS (bloquant l'accès au reste du réseau). Le serveur RADIUS accepte uniquement la connexion d'un point d'accès sans fil fiable ; c'est-à-dire, un point d'accès configuré comme un client RADIUS sur le serveur IAS et qui fournit le secret partagé de ce client RADIUS.
Le client tente d'authentifier le serveur RADIUS via le canal restreint à l'aide de la norme 802.1X. Dans le cadre de la négociation PEAP, le client établit une session TLS (Transport Layer Security) avec le serveur RADIUS. L'utilisation d'une session TLS dans le cadre d'un PEAP offre les avantages suivants :
Elle permet au client d'authentifier le serveur RADIUS ; le client peut ainsi établir la session uniquement avec un serveur détenant un certificat approuvé.
Elle protège le protocole d'authentification -CHAP v2 contre la surveillance des paquets.
La négociation de la session TLS génère une clé pouvant être utilisée par le client et le serveur RADIUS pour définir des clés principales communes. Les clés permettant de crypter le trafic du réseau local sans fil sont dérivées des clés principales.
Sécurisé au sein du canal PEAP, le client s'authentifie sur le serveur RADIUS à l'aide du protocole MS-CHAP v2 EAP. Lors de cet échange, le trafic du tunnel TLS est visible uniquement du client et du serveur RADIUS et n'est jamais exposé au point d'accès sans fil.
Le serveur RADIUS vérifie les informations d'authentification du client en consultant l'annuaire. Une fois le client authentifié, le serveur RADIUS regroupe les informations qui lui permettent de décider s'il autorise le client à utiliser le réseau local sans fil. Il utilise les informations de l'annuaire (telles que l'appartenance de groupe) ainsi que les contraintes définies dans sa stratégie d'accès (par exemple, les moments de la journée auxquels l'accès au réseau local sans fil est autorisé) pour accorder ou refuser l'accès au client. Le serveur RADIUS transmet cette décision d'accès au point d'accès.
Si l'accès est accordé au client, le serveur RADIUS transmet la clé principale du client au point d'accès sans fil. Le client et le point d'accès partagent alors un matériel de clé commun qu'ils peuvent utiliser pour crypter et décrypter le trafic du réseau local sans fil qui circule entre eux.
Lorsque le cryptage dynamique WEP est utilisé pour crypter le trafic, les clés principales sont directement utilisées comme clés de cryptage. Ces clés doivent être modifiées régulièrement pour déjouer les attaques par récupération de clé WEP. Pour cela, le serveur RADIUS force régulièrement le client à se réauthentifier et à générer un nouveau jeu de clés.
Si la fonctionnalité WPA est utilisée pour sécuriser les communications, le matériel de clé principale permet de dériver les clés de cryptage des données qui sont modifiées pour chaque paquet transmis. La fonctionnalité WPA n'a pas besoin de forcer des réauthentifications fréquentes pour assurer la sécurité des clés.
Le point d'accès crée alors un pont entre la connexion au réseau local sans fil du client et le réseau local interne, permettant au client de communiquer librement avec les systèmes du réseau interne. Le trafic circulant entre le client et le point d'accès est alors crypté.
Si le client requiert une adresse IP, il peut alors demander un bail DHCP (Dynamic Host Configuration Protocol) à partir d'un serveur du réseau local. Une fois l'adresse IP attribuée, le client peut commencer à communiquer normalement avec les systèmes du reste du réseau.
Authentification d'un utilisateur et d'un ordinateur sur le réseau local sans fil
Le processus que nous venons de décrire montre comment un client (un utilisateur ou un ordinateur) peut se connecter au réseau local sans fil. Windows XP authentifie l'utilisateur et l'ordinateur indépendamment. Lorsqu'un ordinateur démarre pour la première fois, il utilise son compte de domaine et son mot de passe pour s'authentifier sur le réseau local sans fil. L'autorisation d'accès de l'ordinateur au réseau local sans fil fait suite à toutes les étapes décrites dans la section précédente. Le fait que l'ordinateur se connecte au réseau local sans fil en utilisant ses propres informations d'authentification permet de le gérer même lorsque aucun utilisateur n'est connecté. Par exemple, il est possible d'appliquer des paramètres de stratégie de groupe à l'ordinateur et de lui distribuer des logiciels et des correctifs.
Lorsqu'un utilisateur se connecte sur l'ordinateur, le même processus d'authentification et d'autorisation est répété, mais cette fois avec le nom et le mot de passe de l'utilisateur. La session de l'utilisateur remplace la session réseau local sans fil de l'ordinateur ; cela signifie que les deux ne sont pas actifs simultanément. Cela implique également qu'un utilisateur non autorisé ne peut pas utiliser un ordinateur autorisé pour accéder au réseau local sans fil.
Remarque : Windows XP vous permet de modifier ce comportement et de spécifier uniquement l'utilisation des informations d'authentification de l'ordinateur ou de l'utilisateur. Ces configurations ne sont pas conseillées. La première permet aux utilisateurs de se connecter au réseau local sans fil sans autorisation. La deuxième empêche l'ordinateur de se connecter au réseau local sans fil tant qu'un utilisateur ne s'est pas connecté, ce qui entrave de nombreuses fonctions de gestion de l'ordinateur.
Profil de l'organisation cible
Cette solution est conçue pour une petite entreprise de 100 à 200 employés. Bien que l'organisation soit fictive, ses caractéristiques et ses besoins sont issus de nombreuses recherches en conditions réelles. Ces besoins réels sont à l'origine du style et du cadre de ce guide ainsi que des choix de conception.
Il est important de comprendre que cette solution ne se limite pas aux organisations de cette taille. La simplicité de la conception et les capacités d'évolution des composants utilisés impliquent que la même solution de réseau local sans fil basée sur PEAP peut être facilement mise à l'échelle pour des organisations bien plus grandes (avec des milliers d'utilisateur) ou bien plus petites. En prenant connaissance des caractéristiques de l'organisation cible, vous comprendrez mieux les hypothèses de conception et serez à même de les adapter à votre propre organisation.
L'utilisation de la solution dans de plus grandes organisations est traitée dans la section « Mise à l'échelle pour de plus grandes organisations » de ce chapitre. Pour les organisations bien plus petites, tous les composants requis peuvent être installés sur un seul serveur déjà en place.
Agencement de l'organisation
La figure suivante présente l'agencement physique et informatique de l'organisation.
.gif)
Figure 2.2 Agencement physique et informatique de l'organisation cible
Un siège social étendu unique héberge la plupart des systèmes informatiques et la majorité des utilisateurs. Tous les contrôleurs de domaine Active Directory se trouvent à cet endroit. Le siège social dispose d'une connexion à Internet via un serveur pare-feu. Plusieurs clients de réseau local sans fil et points d'accès sans fil sont connectés au réseau interne.
Au moins une succursale dotée de très peu de services informatiques locaux se trouve au-delà de la connectivité réseau du siège social. Peu de clients (qui peuvent tous être sans fil) se trouvent dans cette succursale. Elle reçoit fréquemment des visiteurs du siège social qui apportent leurs clients de réseau local sans fil pour pouvoir se connecter à leurs applications et données du siège social.
La connectivité du réseau étendu (WAN) entre les succursales est fournie soit par des lignes privées (par exemple, une liaison T1–1,5 Mbits/s) soit par des connexions Internet DSL et une liaison de routeur à routeur de réseau privé virtuel (VPN) à travers Internet. La connexion WAN n'est généralement pas tolérante aux pannes.
Remarque : si la connexion WAN entre les succursales est fournie par une connexion VPN à travers Internet, chaque succursale est généralement protégée par un pare-feu des menaces d'Internet. La présence de ce pare-feu n'est pas pertinente dans ce document sur les réseaux locaux sans fil et a été omise pour plus de clarté.
Environnement informatique
L'annuaire Active Directory de cette organisation est une forêt à domaine unique comprenant au moins deux contrôleurs de domaine. Il authentifie les utilisateurs du domaine et fournit des services d'annuaire et d'authentification à plusieurs applications telles que Microsoft Exchange Server et Outlook® pour la messagerie électronique. Les contrôleurs de domaine ont récemment été mis à niveau de Windows 2000 Server à Windows Server 2003, Standard Edition. Les contrôleurs de domaine exécutent également des services supplémentaires tels que DNS (Domain Name System), DHCP et WINS (Windows Internet Name Service) pour quelques applications héritées.
Les systèmes informatiques sont principalement des technologies Microsoft, avec Windows XP sur les ordinateurs client et Windows Server 2003 sur les systèmes serveurs. Certains serveurs exécutent également Windows 2000, que l'entreprise prévoira de mettre à niveau après test et selon la prise en charge des applications. L'organisation a commencé à investir dans les systèmes mobiles tels que Windows XP, Édition Tablet PC et Pocket PC 2003 en particulier pour les départements des ventes, de la distribution et l'entrepôt.
Les applications serveur clés sont Microsoft Exchange Server, SQL Server (exécutant plusieurs applications d'entreprise), Internet Information Services (IIS) et Windows SharePoint™ Team Services.
Les applications sont déployées sur les ordinateurs client à l'aide de la stratégie de groupe Active Directory. Les correctifs de système d'exploitation sont déployés à l'aide de Microsoft Software Update Service (SUS) et du service Windows AutoUpdate.
La surveillance du système s'effectue directement sur les systèmes serveurs en analysant quotidiennement les journaux d'événements Windows, les journaux de performances et les journaux d'applications. Des alertes critiques concernant le matériel et les logiciels sont envoyées à l'administrateur informatique via des messages électroniques et des alertes sur les consoles du système.
L'organisation dispose de deux informaticiens à plein temps, qui vérifient la planification informatique, la fourniture de services et la prise en charge quotidienne. Le responsable informatique et l'ingénieur de support informatique sont dotés des certifications MCSE les plus récentes et de plusieurs années d'expérience dans l'informatique.
Critères de conception
L'organisation décrite dans la section précédente présente généralement les types de critères ci-après dans une solution de réseau local sans fil. Ces critères ont été étendus pour concerner le plus grand nombre d'organisations. La conception présentée dans le reste du chapitre utilise explicitement ces critères.
Tableau 2.1 : Critères de conception de la solution de réseau local sans fil
| Élément de conception | Critères |
|---|---|
| Exigences de sécurité | - Authentification et autorisation robustes des clients sans fil. - Contrôle robuste des accès, afin de n'autoriser l'accès au réseau qu'aux clients autorisés. - Cryptage de haut niveau (128 bits) du trafic du réseau sans fil. - Gestion sécurisée des clés de cryptage. |
| Évolutivité – Nombre min/max d'utilisateurs pris en charge | 25 à 5 000 ou plus d'utilisateurs du réseau local sans fil Voir le tableau 2.2 pour connaître les charges d'authentification des différentes tailles de réseau local sans fil. |
| Évolutivité – Nombre de sites pris en charge | Base : site étendu unique avec contrôleurs de domaine et services informatiques locaux ; au moins un site plus petit sans contrôleurs de domaine. Le nombre minimum d'utilisateurs requis est de 25. Haut niveau : Site central unique avec plusieurs contrôleurs de domaine ; larges succursales avec un seul contrôleur de domaine et/ou une connectivité WAN fiable avec le siège social ; plusieurs petites succursales sans contrôleur de domaine, probablement pas de résilience WAN. Le nombre maximum d'utilisateurs autorisé est de 5 000. Pour une utilisation dans de plus grandes organisations, reportez-vous à l'annexe A, « Utilisation de PEAP dans l'entreprise ». |
| Impératifs de disponibilité | L'utilisation de plusieurs points d'accès, IAS ou contrôleurs de domaine permet d'assurer la résilience du réseau local sans fil en cas de panne d'un seul composant dans de plus grandes succursales. Les réseaux locaux sans fil des petites succursales sont vulnérables aux pannes à moins qu'une connectivité redondante soit installée. |
| Prise en charge de la plate-forme | Plates-formes de serveur : Windows Server 2003, Standard Edition ou Enterprise Edition (pour l'installation d'IAS et de l'autorité de certification). La version Standard Edition prend en charge un maximum de 50 points d'accès sans fil (clients RADIUS) par serveur. Plates-formes de client : Windows XP Édition Professionnel ou Tablet PC ; Pocket PC 2003. |
| Capacité d'extension (réutilisation des composants de la solution pour d'autres applications) | D'autres applications d'accès au réseau (VPN d'accès à distance, accès au réseau câblé 802.1X et authentification de pare-feu) peuvent être prises en charge par la même infrastructure d'authentification. |
| Exigences informatiques de l'organisation | L'installation et la gestion de la solution exigent des professionnels de l'informatique dotés de la certification MSCE la plus récente ou de compétences équivalentes ainsi que de 2 à 3 ans d'expérience dans le secteur informatique. |
| Impératifs de la capacité de gestion | La solution nécessite d'être gérée un minimum pour assurer la disponibilité des opérations. Des alertes sont envoyées via des messages électroniques et/ou des journaux d'événements Windows (ou modifiées pour déclencher d'autres types d'alertes). Le composant IAS peut être contrôlé par la solution de surveillance de Windows (à l'aide des journaux d'événements et des compteurs de performances), par la journalisation RADIUS et par le système de gestion SNMP (Simple Network Management Protocol). |
| Conformité aux normes | La solution prend en charge les normes suivantes : - normes réseau IEEE 802.11 (a, b ou g). - authentification IEEE 802.1X avec PEAP et MS-CHAP v2. Elle peut être utilisée avec d'autres méthodes EAP telles que l'EAP-TLS et le PEAP-EAP-TLS basés sur le certificat. - Protection du réseau local sans fil par cryptage WEP dynamique et WPA. Capacités et normes futures (par exemple, 802.11i). - Prise en charge RADIUS pour RFC 2865 et 2866. |
Le tableau suivant donne une indication des exigences d'authentification du réseau local sans fil pour différentes tailles d'organisations. La colonne « Nouvelles authentifications par seconde » se base sur une charge constante et suppose une moyenne de quatre nouvelles authentifications complètes par utilisateur et par jour lorsque des utilisateurs se déplacent entre les points d'accès sans fil. La colonne « Nb. maximum de nouvelles authentifications par seconde » indique le type de charge attendu lorsque tous les utilisateurs sont authentifiés sur une période de 30 minutes (par exemple, au début de la journée). La colonne « Réauthentifications par seconde » indique le nombre de réauthentifications périodiques permettant de forcer le renouvellement des clés WEP dynamiques.
Tableau 2.2 : Exigences d'authentification du réseau local sans fil
| Nombre d'utilisateurs du réseau local sans fil | Nouvelles authentifications par seconde | Nb. maximum de nouvelles authentifications par seconde | Réauthentifications par seconde |
|---|---|---|---|
| 100 | > 0.1 | 0.1 | 0.1 |
| 1000 | 0.1 | 0.6 | 1.1 |
| 10,000 | 1.4 | 5.6 | 11.1 |
| Type d'authentification | Nouvelles authentifications | Authentifications avec reconnexion rapide |
|---|---|---|
| Authentifications PEAP par seconde | 36 | 166 |
| Délai pour authentifier 200 utilisateurs | 6 s | 2 s |
| Délai pour authentifier 1 000 utilisateurs | 30 s | 7 s |
| Élément de configuration | Paramètre |
|---|---|
| Nom de la stratégie | Autoriser l'accès au réseau local sans fil |
| Type de stratégie | Autoriser |
| Conditions de la stratégie d'accès à distance | |
| Correspondances NAS - Port - Type | IEEE 802.11 sans fil Autre sans fil |
| Correspondances Windows - Groupe | Accès au réseau local sans fil |
| Profil de stratégie d'accès à distance | |
| Contraintes d'appel entrant – Délai du client | 60 minutes (WEP dynamique) 8 heures (WPA) |
| Affectation d'adresse IP | Les paramètres du serveur déterminent l'affectation IP |
| Filtrage IP | Aucun |
| Authentification | Toutes désactivées à l'exception d'EAP |
| Authentification – Type d'EAP utilisé | EAP protégé (PEAP) |
| Authentification – Type de PEAP EAP utilisé | EAP MS-CHAP v2 |
| Authentification – Reconnexion rapide | Activé |
| Attributs RADIUS | Ignore-User-Dialin-Properties = « True » Termination Action = « RADIUS-Request » |
Le filtre de condition correspond à tous les clients sans fil et à tous les membres du groupe de domaine Accès au réseau local sans fil. Les paramètres qui ne sont pas pertinents pour l'accès au réseau local sans fil, tels que les paramètres de cryptage Multilink et MPPE (Microsoft Point-to-Point Encryption), ne sont pas inclus dans le tableau. Pour plus de détails sur l'utilisation des groupes de sécurité avec la stratégie d'accès à distance, reportez-vous à la section « Modèle d'administration d'un utilisateur et d'un ordinateur du réseau sans fil » ultérieurement dans ce chapitre.
Le paramètre Contraintes d'appel entrant – Délai du client peut avoir un impact sur la sécurité et la fiabilité de la solution. Les raisons pour lesquelles des valeurs différentes de celles données dans le tableau peuvent être utilisées sont traitées dans la section « Options de sécurité du cryptage WEP dynamique » ultérieurement dans ce chapitre.
L'attribut RADIUS « Ignore-User-Dialin-Properties » permet d'ignorer le contrôle des autorisations d'accès au réseau par utilisateur. Consultez la section « Modèle d'administration d'un utilisateur et d'un ordinateur du réseau sans fil » pour en savoir plus sur le contrôle d'accès par utilisateur et par groupe.
Une stratégie de demande de connexion décide de traiter la demande sur un serveur RADIUS particulier ou de l'envoyer vers un autre serveur RADIUS (appelé proxy RADIUS). Les proxy RADIUS sont généralement utilisés lorsque le serveur RADIUS ne dispose pas des informations nécessaires pour traiter lui-même la demande et doit la transférer à un serveur RADIUS faisant autorité, par exemple, un serveur d'une autre forêt Active Directory. Les proxy RADIUS ne sont pas utilisés dans cette solution et sortent du cadre de ce guide.
Pour plus d'informations sur les stratégies d'accès à distance et de demande de connexion, et sur l'utilisation des proxy RADIUS, consultez la section « Références » à la fin de ce chapitre.
Journalisation RADIUS
Il est possible de configurer les serveurs IAS pour qu'ils consignent deux types d'informations facultatives dans un journal :
événements d'authentifications réussies et événements d'authentifications ratées ;
informations d'authentification et de comptabilisation RADIUS.
Les événements d'authentifications réussies et d'authentification ratées générés par des périphériques et des utilisateurs tentant d'accéder au réseau local sans fil sont enregistrés dans le journal d'événements système de Windows Server 2003 sur le serveur IAS. Le journal des événements d'authentification est le mieux adapté à la résolution des problèmes d'authentification, bien que ces informations puissent également être utilisées à des fins d'audit et d'avertissement de sécurité.
Initialement, il est nécessaire d'activer la journalisation des événements d'authentification, puis de la désactiver quand le système est stabilisé. Les événements d'accès réussi au réseau local sans fil risquent de saturer le journal d'événements système mais peuvent être utiles à des fins d'audit.
Si vous utilisez un outil de contrôle et d'avertissement tel que MOM (Microsoft Operations Manager), il est conseillé d'ajouter une règle pour signaler les événements de panne d'authentification IAS dans le journal d'événements système. Vous pouvez également utiliser un outil de requête de journal d'événements tel que eventquery.vbs pour rechercher les pannes d'authentification dans le journal d'événements (voir l'entrée « Eventquery.vbs » dans l'aide en ligne). Les événements uniques ne sont généralement pas significatifs, mais une série de tels événements peut indiquer une tentative d'intrusion.
IAS permet également d'enregistrer les informations d'authentification et de session d'accès au réseau sous la forme de journaux de demandes RADIUS. La journalisation RADIUS est généralement utilisée pour facturer l'utilisation du réseau (par exemple, en tant que fournisseur d'accès à Internet (FAI), vous devez facturer en fonction du temps de connexion) ou pour obtenir des informations d'audit de sécurité spécialisées (bien que la plupart du temps, celles-ci soient couvertes par les événements d'authentification enregistrés dans le journal d'événements).
Pour plus d'informations sur la journalisation RADIUS, reportez-vous à la section « Références » située à la fin de ce chapitre.
Sécurité IAS
Il est conseillé de traiter l'IAS avec les mêmes précautions de sécurité que celles utilisées pour un contrôleur de domaine. Le contrôle sécurisé de votre réseau dépend de la sécurité de votre infrastructure IAS. Il existe plusieurs mesures simples que vous pouvez mettre en œuvre pour améliorer la sécurité d'IAS :
Utiliser des mots de passe sûrs pour vos clients RADIUS (points d'accès sans fil). La solution comprend des scripts pour générer des mots de passe aléatoires afin de compliquer les attaques par dictionnaire.
Activer l'authentificateur de message RADIUS pour tous les clients RADIUS afin d'éviter l'usurpation des adresses IP des points d'accès sans fil. Il est activé dans cette solution.
Vérifier que les paramètres de sécurité de votre serveur sont appropriés. Ce point est couvert dans le chapitre 3, « Préparation de votre environnement ».
Vérifier que vos serveurs sont corrigés avec les derniers correctifs de sécurité et que vos correctifs sont constamment mis à jour. Ce point est également couvert dans le chapitre 3, « Préparation de votre environnement ».
Vérifier que vous utilisez des paramètres de compte de domaine sûrs. Vous devez en particulier vérifier que les mots de passe sûrs et la modification régulière des mots de passe sont activés. Vous pouvez également envisager de verrouiller le compte de domaine pour bloquer les attaques par découverte du mot de passe. Cependant, il est conseillé d'activer le verrouillage de compte uniquement si vous disposez des ressources de support nécessaires pour déverrouiller les comptes des utilisateurs rapidement.
Penser à utiliser IPSec pour sécuriser le trafic RADIUS et renforcer l'authentification mutuelle entre vos points d'accès sans fil et vos serveurs IAS. Cependant, tous les points d'accès ne prennent pas en charge l'utilisation d'IPSec à cette fin.
Pour plus d'informations sur les mesures de sécurité IAS, reportez-vous à la section « Références » située à la fin de ce chapitre.
Modèle d'administration d'un utilisateur et d'un ordinateur du réseau local sans fil
Dans cette solution, l'accès au réseau local sans fil est contrôlé à l'aide des groupes de sécurité du domaine. Bien qu'il soit possible d'utiliser les propriétés d'appel entrant des objets utilisateur du domaine pour autoriser et refuser l'accès à des individus, cette méthode est fastidieuse pour la plupart des utilisateurs.
Cette solution utilise un schéma très simple permettant d'autoriser l'accès au réseau local sans fil à tous les utilisateurs et les ordinateurs du domaine. Pour de nombreuses organisations, le contrôle de l'accès via l'appartenance au domaine représente un contrôle suffisamment sûr et réduit le surplus de gestion associé au réseau local sans fil. Cependant, pour que les organisations qui le souhaitent bénéficient d'un plus grand contrôle, il est possible d'utiliser des groupes de sécurité qui déterminent qui est autorisé à accéder au réseau local sans fil.
Comme décrit dans la section « Stratégies RADIUS », la stratégie d'accès à distance de l'IAS utilise une condition de filtre qui autorise tous les membres du groupe Accès au réseau local sans fil à accéder au réseau local sans fil. Le tableau suivant indique l'appartenance du groupe Accès au réseau local sans fil.
Tableau 2.5 : Groupes Accès au réseau sans fil autorisant tous les utilisateurs et ordinateurs
| Groupe universel de niveau supérieur (accès autorisé dans la stratégie d'accès à distance) | Membres du premier niveau (groupes globaux de domaine) | Membres du second niveau (groupes globaux de domaine) |
|---|---|---|
| Accès au réseau local sans fil | Utilisateurs du réseau local sans fil | Utilisateurs du domaine |
| Accès au réseau local sans fil | Ordinateurs du réseau local sans fil | Ordinateurs du domaine |
| Groupe universel de niveau supérieur (accès autorisé dans la stratégie d'accès à distance) | Membres du premier niveau (groupes globaux de domaine) | Membres du second niveau (groupes globaux de domaine) |
|---|---|---|
| Accès au réseau local sans fil | Utilisateurs du réseau local sans fil | Utilisateur1 Utilisateur2 Utilisateur3 |
| Accès au réseau local sans fil | Ordinateurs du réseau local sans fil | Ordinateur1 Ordinateur2 Ordinateur3 |
Pour plus d'informations sur l'utilisation de ces groupes de sécurité dans une forêt de plusieurs domaines, reportez-vous à la section « Mise à l'échelle pour de plus grandes organisations » ultérieurement dans ce chapitre.
Obtention de certificats pour les serveurs IAS
Les serveurs IAS doivent avoir des certificats pour authentifier les clients du réseau local sans fil. Les certificats de serveur sont requis pour créer le tunnel de cryptage TLS entre les serveurs IAS et les clients. TLS permet de protéger l'échange d'authentification entre le serveur et les clients.
Remarque : TLS est une norme RFC basée sur le protocole similaire Secure Sockets Layer version 3.0 (SSL 3.0). Tous deux sont couramment utilisés pour sécuriser le trafic Web dans le cadre du protocole HTTPS (Hypertext Transfer Protocol, Secure).
Autorité de certification intégrée contre autorité de certification commerciale
Pour fournir ces certificats, vous pouvez soit installer vous-même une autorité de certification, soit acheter les certificats auprès d'un fournisseur de certificats. Ces deux options sont valables et le fait d'en choisir une plutôt qu'une autre ne crée pas de réelle différence technique pour la solution de réseau local sans fil.
Les principaux avantages et inconvénients de l'utilisation d'une autorité de certification interne par rapport à l'achat de certificats auprès d'un fournisseur sont résumés dans le tableau suivant.
Tableau 2.7 : Avantages et inconvénients de l'utilisation de votre propre autorité de certification par rapport aux certificats commerciaux
| Autorité de certification interne | Autorité de certification commerciale |
|---|---|
| Pas de coût par certificat | Coût par certificat |
| Logiciel d'autorité de certification à installer et à gérer | Pas de logiciel de serveur |
| Inscription et renouvellement automatiques | Processus d'inscription plus complexe, installation manuelle des certificats |
| Groupe universel de niveau supérieur (accès autorisé dans la stratégie d'accès à distance) | Membres du premier niveau (groupes globaux de domaine) | Membres du second niveau (groupes globaux de domaine) |
|---|---|---|
| DomaineRacine\Accès au réseau local sans fil | DomaineUtilisateur1\Utilisateurs du réseau local sans fil | Domaine Utilisateur1\Utilisateurs du domaine |
| DomaineRacine\Accès au réseau local sans fil | DomaineUtilisateur2\Utilisateurs du réseau local sans fil | Domaine Utilisateur2\Utilisateurs du domaine |
| DomaineRacine\Accès au réseau local sans fil | DomaineUtilisateur3\Utilisateurs du réseau local sans fil | DomaineUtilisateur3\Utilisateur1 DomaineUtilisateur3\Utilisateur2 DomaineUtilisateur3\Utilisateur2 |
| DomaineRacine\Accès au réseau local sans fil | DomaineUtilisateur1\Ordinateurs du réseau local sans fil | DomaineUtilisateur1\Ordinateurs du domaine |
| DomaineRacine\Accès au réseau local sans fil | DomaineUtilisateur2\Ordinateurs du réseau local sans fil | DomaineUtilisateur2\Ordinateurs du domaine |
| DomaineRacine\Accès au réseau local sans fil | DomaineUtilisateur3\Ordinateurs du réseau local sans fil | DomaineUtilisateur3\Ordinateurs RH DomaineUtilisateur3\Ordinateurs des finances |
Le tableau montre le même arrangement de groupes imbriqués que les tableaux de la section « Modèle d'administration d'un utilisateur et d'un ordinateur du réseau local sans fil ». Les membres du groupe de la première colonne apparaissent dans la seconde colonne ; les membres des groupes répertoriés dans la seconde colonne apparaissent dans la troisième colonne.
Les noms utilisés dans ce tableau sont fictifs. Par exemple, DomaineRacine est le nom du domaine dans lequel les serveurs IAS sont installés et DomaineUtilisateur1 et DomaineUtilisateur2 sont d'autres domaines contenant des utilisateurs et des ordinateurs attendant l'autorisation d'accès au réseau local sans fil.
Dans l'exemple illustré, tous les utilisateurs et les ordinateurs de DomaineUtilisateur1 et DomaineUtilisateur2 sont implicitement autorisés à accéder au réseau local sans fil car les groupes Utilisateurs du domaine et Ordinateurs du domaine de ces domaines sont membres des groupes Utilisateurs du réseau local sans fil et Ordinateurs du réseau sans fil du même domaine. Cependant, les utilisateurs de DomaineUtilisateur3 sont ajoutés individuellement au groupe Utilisateurs du réseau local sans fil de DomaineUtilisateur3. Les ordinateurs sont autorisés à accéder au réseau en utilisant les groupes de sécurité de l'entité commerciale (par exemple, tous les ordinateurs du département RH).
Les groupes globaux de chaque domaine, c'est-à-dire Utilisateurs du réseau local sans fil et Ordinateurs du réseau local sans fil, sont ensuite ajoutés en tant que membres du groupe universel Accès au réseau local sans fil. Tous les membres de ce dernier groupe sont autorisés à accéder au réseau local sans fil dans la stratégie d'accès à distance IAS.
Architecture PKI
Comme nous l'avons mentionné dans la section précédente « Obtention de certificats pour les serveurs IAS », de nombreuses applications peuvent utiliser des certificats. Il est important de savoir que bien qu'adaptée à cette solution, l'autorité de certification autonome ne pourra pas répondre aux besoins variés des plus grandes organisations. Avant d'implémenter l'autorité de certification décrite dans ce guide, pensez aux futures utilisations que vous ferez des certificats et envisagez des architectures PKI plus adaptées à ces scénarios.
Pour plus de détails sur la planification d'une architecture PKI, consultez le chapitre 4, « Conception de l'infrastructure PKI » de la solution associée, Sécurisation des réseaux locaux sans fil – Une solution des services de certificats. Bien qu'elle soit plus sophistiquée que l'autorité de certification de ce guide, l'infrastructure de clé publique (PKI) traitée dans cette solution reste relativement simple : elle utilise uniquement deux autorités de certification, par exemple. Cependant, elle sert de base à un éventail bien plus large de besoins de certificats.
Si vous décidez d'implémenter une infrastructure de clé publique plus sophistiquée que celle-ci, vous pouvez toujours utiliser les instructions du chapitre 4 de ce guide, « Création de l'autorité de certification réseau ». Cependant, vous devrez apporter les modifications suivantes aux instructions fournies dans ce chapitre :
Installer l'autorité de certification sur son propre serveur au lieu de l'installer sur un contrôleur de domaine.
Utiliser Windows Server 2003, Enterprise Edition, pour disposer de davantage de souplesse dans le futur.
Utiliser le service d'inscription automatique de Windows Server 2003 au lieu d'utiliser le service de demande de certificat automatique. Pour obtenir des instructions sur l'utilisation de l'inscription automatique, consultez la documentation produit de Windows Server 2003 Enterprise Edition.
Utiliser le modèle de certificat « Serveur RAS et IAS » ou créer un type de certificat client pour les certificats du serveur IAS au lieu d'utiliser le modèle « Ordinateur ».
Remarque : dans le nom du modèle de certificat « RAS » signifie Service d'accès à distance.
Vous trouverez des instructions pour appliquer ces modifications dans la section « Public Key Infrastructure » de la documentation produit Windows Server 2003 et dans le chapitre 4 « Conception de l'infrastructure PKI », le chapitre 7, « Implémentation de l'infrastructure de clés publiques », et le chapitre 9 « Implémentation de la sécurité d'un réseau local sans fil à l'aide de 802.1x » de la solution associée Sécurisation des réseaux locaux sans fil – Une solution des services de certificats.
Variations de l'architecture de la solution
Cette section traite des variations de la conception de base. Les sous-sections suivantes offrent des alternatives aux paramètres de sécurité par défaut de la solution, en utilisant les serveurs IAS pour l'authentification de réseau câblé et d'accès à distance, en créant des réseaux locaux sans fil invités pour les visiteurs et en déployant des réseaux locaux sans fil dans des environnements très petits tels que des bureaux à domicile.
Options de sécurité du cryptage WEP dynamique
La section « Fonctionnement de 802.1X avec PEAP et des mots de passe » qui se trouve plus haut dans ce chapitre présentait l'utilisation du cryptage WEP dynamique dans la solution. La sécurité du cryptage WEP dynamique repose sur sa capacité à renouveler les clés de cryptage à intervalles réguliers pour faire échouer les attaques du protocole WEP. IAS vérifie que les clés de chaque client sans fil sont renouvelées à un intervalle défini par le délai de session client, qui force le client à se réauthentifier sur le réseau local sans fil.
Le fait de réduire le délai de la session client augmente la sécurité mais peut réduire la fiabilité et les performances. Un délai de 60 minutes fournit la sécurité nécessaire dans la plupart des conditions et certainement pour les réseaux 802.11b 11 Mbits/s. Normalement, les clients sans fil doivent transmettre moins de données en 60 minutes qu'il n'en faut à un pirate pour récupérer une clé WEP.
Une recherche récente indique que les clés WEP statiques peuvent être récupérées en capturant entre 1 et 5 millions de paquets réseau cryptés avec la même clé. Ce point est discuté dans le livre technique « Using the Fluhrer, Mantin, and Shamir Attack to Break WEP » d'Adam Stubblefield, John Ioannidis et Aviel D. Rubin employés chez AT&T Labs – reportez-vous aux références à la fin de ce chapitre).
Remarque : le chiffre d'1 million de paquets a été obtenu suite au test des réseaux sans fil WEP statiques utilisant des clés relativement faibles (une phrase secrète mémorisable par l'utilisateur) et ne s'applique pas directement aux réseaux locaux sans fil WEP dynamiques. Contrairement aux réseaux locaux sans fil WEP statiques standard, le cryptage WEP dynamique utilise des clés de cryptage robustes aléatoires et diminue l'efficacité de l'une des optimisations de clé décrite par les auteurs. Toutefois, la meilleure pratique de sécurité consiste à rester prudent et à se baser sur le chiffre pessimiste de 1 million de paquets pour évaluer la menace de sécurité des réseaux locaux sans fil WEP dynamiques.
Un million de paquets équivaut généralement à environ 500 Mo de données (en supposant une taille de paquet moyenne de 500 octets). Pour que les données cryptées soient sécurisées, le délai de la session doit être configuré de manière à forcer le renouvellement de chaque clé de client avant que le client envoie une quantité de données supérieure à ce montant.
Pour une utilisation standard du réseau client, telle que la messagerie électronique, la navigation sur le Web et le partage de fichiers, les taux moyens de transfert des données sont de 160 Kbits/s maximum. Avec un tel débit, si l'on se base sur une taille de paquet de 500 octets, il faudrait environ 7 heures à un pirate pour accumuler suffisamment de données afin de récupérer la clé de cryptage actuelle du client.
Remarque : en laboratoire, 500 Mo ont pu être transmis en bien moins de 7 heures ; environ 10 minutes sur un réseau local sans fil 11 Mbits/s ou moins de 3 minutes sur un réseau sans fil de 54 Mbits/s. Cependant, ces chiffres supposent qu'un seul client utilise le réseau local sans fil de manière exclusive et diffuse des paquets UDP non reconnus dans une direction. Ce scénario, ou tout autre scénario s'en approchant, est extrêmement improbable dans un réseau local sans fil en conditions réelles.
Un délai de 60 minutes convient tout à fait à la plupart des organisations. Cela signifie qu'un client moyen peut transmettre environ 150 000 paquets avant chaque actualisation de clé ; soit bien moins que le seuil d'1 million de paquets requis pour le décodage d'une clé WEP. Cependant, vous pouvez utiliser une valeur de délai plus courte pour l'une ou plusieurs des raisons suivantes :
Si vous disposez de clients sans fil qui envoient ou reçoivent de grandes quantités de données sur le réseau local sans fil dans des délais relativement courts, il est conseillé de configurer le délai sur une durée plus courte que celle nécessaire à un seul client pour envoyer et recevoir 75 Mo (ce qui représente moins de 20 pour cent de la quantité de données requise pour récupérer une clé WEP, et laisse donc une grosse marge de sécurité).
Si vous utilisez des réseaux locaux sans fil 802.11a ou 802.11g 54 Mbits/s, il est plus facile de transmettre de grandes quantités de paquets dans un temps donné. Vous pouvez réduire le délai de session à 15 minutes sur ces réseaux locaux sans fil plus rapides.
Si les capacités des techniques de décodage de clé WEP s'améliorent considérablement, moins de données seront nécessaires pour récupérer les clés WEP. Par exemple, si une nouvelle technique cryptanalytique permettant de récupérer des clés avec seulement 100 000 paquets est découverte, vous devrez réduire le délai de session pour éviter que les clients sans fil atteignent cette limite avant d'avoir renouvelé leurs clés de cryptage.
Si vous avez des besoins de sécurité particuliers, vous pouvez abaisser le délai sous le seuil auquel même les attaques théoriques du WEP peuvent réussir (10 minutes ou 3 minutes comme indiqué dans la remarque précédente). Cependant, pour prendre cette décision, vous devez tenir compte des inconvénients décrits plus loin dans cette section. Si les données sont sensibles au point de requérir ce niveau de précaution, il est conseillé d'utiliser uniquement la protection de données WPA sur le réseau local sans fil et de recourir à la sécurité IP pour protéger les données qui se déplacent sur les réseaux locaux câblés.
La réduction du délai de session présente les deux inconvénients suivants :
Diminution de la fiabilité du réseau local sans fil : des délais très courts de session de WLAN peuvent entraîner l'échec de la réauthentification des clients et leur déconnexion du réseau local sans fil en cas de perte temporaire de communication avec un contrôleur de domaine ou un serveur IAS.
Augmentation de la charge sur les serveurs IAS : Plus le délai est court, plus le client doit se réauthentifier souvent avec un serveur IAS et un contrôleur de domaine. Par conséquent, la charge des serveurs IAS et des contrôleurs de domaine augmente. Étant donné qu'IAS met en cache les sessions d'authentification du client, l'augmentation de la charge ne sera significative que pour les organisations comptant un très grand nombre de clients sans fil ou lorsque des valeurs de délai de session très courtes seront utilisées.
Autres services d'accès au réseau
Le composant RADIUS utilisé dans la présente solution offre des services d'authentification, d'autorisation et de compatibilité pour d'autres serveurs d'accès au réseau, comme l'authentification de réseau câblé 802.1X et l'authentification de VPN et d'accès à distance.
Authentification du réseau câblé 802.1X
L'authentification du réseau câblé 802.1X est l'application la plus simple et ne requiert aucune modification de la conception RADIUS de base. Pour les organisations dont l'infrastructure de réseau câblé est très distribuée, il est très difficile de contrôler les intrusions dans le réseau. Parfois, il est compliqué d'empêcher les visiteurs de connecter des portables ou les employés de connecter au réseau des ordinateurs non autorisés. Certaines parties du réseau, comme les centres de données, peuvent requérir une sécurité accrue. Ces réseaux ne doivent autoriser que les périphériques habilités, et même rester hors de portée des employés utilisant des ordinateurs de l'entreprise.
La figure ci-dessous illustre l'intégration d'une solution d'accès au réseau câblé dans la conception.
.gif)
Figure 2.8 Utilisation de l'authentification du réseau câblé 802.1X
La zone à bords escarpés représente les composants câblés 802.1X et les autres zones contiennent les services pertinents. Comparez cette figure à la figure 2.4. Seul le siège social apparaît dans cette figure.
Les commutateurs de réseau prêts pour 802.1X jouent un rôle identique aux points d'accès sans fil de la solution principale et peuvent exploiter la même infrastructure RADIUS pour authentifier des clients et autoriser un accès sélectif au segment de réseau approprié. Cette solution présente l'avantage évident de centraliser la gestion de compte dans l'annuaire d'entreprise tout en laissant l'administrateur de la sécurité du réseau contrôler les stratégies d'accès au réseau.
Authentification du VPN et de l'accès à distance
Le VPN et l'accès à distance forment un autre service d'accès au réseau pouvant utiliser les composants RADIUS. La conception actuelle requiert quelques ajouts, tels que l'ajout de proxy RADIUS, en particulier dans les organisations les plus grandes. Cette solution étendue est illustrée dans la figure suivante.
.gif)
Figure 2.9 Prise en charge du VPN grâce à l'extension du composant RADIUS
Dans cette variante, les serveurs VPN ont le même rôle fonctionnel que les points d'accès sans fil de la conception principale. Ils transfèrent les demandes d'authentification de client vers l'infrastructure RADIUS. Il est possible de transférer directement les demandes RADIUS vers les serveurs IAS internes. Cependant, de nombreuses organisations préfèrent ajouter une couche supplémentaire de proxy RADIUS pour créer un niveau de sécurité additionnel et acheminer les demandes jusqu'aux serveurs IAS internes.
Tout comme la sécurité du réseau câblé, cette solution offre l'avantage de réutiliser l'infrastructure existante et de centraliser la gestion des comptes. D'autres améliorations sont possibles, comme par exemple l'utilisation de l'authentification des utilisateurs basée sur une carte à puce. La solution VPN interne d'accès à distance de Microsoft utilise pratiquement la même architecture VPN et RADIUS avec des cartes à puce pour l'authentification des utilisateurs.
L'accès à distance fonctionne de manière similaire en utilisant la fonctionnalité de serveur d'accès à distance au lieu des fonctions VPN du service Routage et accès à distance de Windows Server.
Le principal avantage que présente l'utilisation d'IAS pour le VPN et l'accès à distance est la capacité d'utiliser le contrôle de la mise en quarantaine de l'accès au réseau de Windows Server 2003. Le contrôle de la mise en quarantaine utilise les capacités du client d'accès à distance amélioré de routage, RAS (Remote Access Server) et Windows (Connection Manager) pour accorder et refuser l'accès en fonction de l'état de sécurité de l'ordinateur client. Il procède à des contrôles du client au moment de la connexion ; il vérifie par exemple que le client est doté d'un logiciel antivirus à jour ou qu'il exécute une version de système d'exploitation approuvée par l'entreprise. Si le client échoue à ces contrôles, le serveur RADIUS lui refuse l'accès au réseau. Par conséquent, même un utilisateur ou un ordinateur correctement authentifié peut se voir refuser l'accès s'il présente une menace de sécurité potentielle pour le réseau de l'entreprise.
Pour en savoir plus sur la fonctionnalité de mise en quarantaine de Windows Server 2003, consultez les références à la fin de ce chapitre.
Amorçage des ordinateurs client
La plupart des ordinateurs prêts pour le sans fil ont une interface de réseau câblé. Les clients peuvent ainsi relativement facilement se joindre au domaine et télécharger les paramètres du réseau local sans fil avant de se connecter au réseau local sans fil. Cependant, ce n'est pas toujours le cas. Ainsi, les périphériques portables sont uniquement dotés d'adaptateurs de réseau sans fil et non d'adaptateurs de réseau câblé. Ceci pose un problème pour l'amorçage du client avant sa connexion au réseau local sans fil car il n'intègre pas les paramètres et les informations d'authentification nécessaires pour se connecter au réseau local sans fil.
Ce problème se complique encore lorsqu'une organisation décide d'utiliser une sécurité 802.1X à la fois câblée et sans fil, car un client ne peut pas se connecter à un réseau local câblé sans avoir au préalable acquis les paramètres et informations d'authentification corrects.
Il existe deux approches permettant d'amorcer un client si vous ne pouvez pas utiliser un réseau local câblé pour récupérer les paramètres et les informations d'authentification ; ce sont les suivantes :
utilisation d'un réseau local Invité et utilisation d'une autre connexion authentifiée (par exemple, une connexion VPN) pour obtenir les paramètres et les informations d'authentification ;
configuration manuelle des clients.
Actuellement, Microsoft prend uniquement en charge la seconde option. Microsoft sortira bientôt un service d'approvisionnement sans fil qui permettra d'utiliser un réseau local sans fil « Invité » pour amorcer la configuration du réseau local sans fil de l'ordinateur client. D'ici là, la configuration manuelle est le moyen le plus simple d'y parvenir. Pour configurer les paramètres de l'ordinateur client et le joindre au domaine, la personne configurant l'ordinateur doit être membre du groupe Administrateurs local sur l'ordinateur.
Pour amorcer un ordinateur grâce à la configuration manuelle :
Configurez manuellement les paramètres du réseau local sans fil du SSID associé correct.
Connectez-vous au réseau local sans fil en utilisant des informations d'authentification de domaine utilisateur valides. Vous ne pourrez pas vous connecter à l'aide d'un compte ordinateur tant que l'ordinateur n'aura pas rejoint le domaine.
Joignez l'ordinateur au domaine, puis redémarrez-le.
Après le redémarrage, le client pourra se connecter au réseau local sans fil en utilisant le compte ordinateur et téléchargera les paramètres de l'objet Stratégie de groupe du réseau local sans fil. Ces paramètres remplaceront simplement les paramètres configurés manuellement.
L'utilisateur et l'ordinateur pourront alors se connecter au réseau local sans fil.
Environnements SOHO
Il se peut que vous deviez déployer des réseaux locaux sans fil dans des emplacements où il est impossible ou peu pratique d'authentifier des utilisateurs à l'aide de votre infrastructure IAS. Par exemple, les bureaux personnels des utilisateurs qui travaillent régulièrement à leur domicile ou les petites succursales dont la connexion au réseau principal de l'entreprise est très peu fiable ou faible.
Auparavant, la seule solution était de configurer une sécurité WEP statique et d'espérer que personne ne serait suffisamment déterminé pour attaquer votre réseau local sans fil. Une bien meilleure solution consiste à utiliser le cryptage WPA en mode PSK (clé pré-partagée). Tous les points d'accès sans fil certifiés Wi-Fi intègrent désormais une sécurité WPA (les points d'accès les plus anciens ne la prennent peut-être pas en charge). Vous devez vérifier que vos points d'accès prennent en charge le cryptage WPA PSK car il apporte une valeur de sécurité supplémentaire. Contrairement au cryptage WEP statique, la clé d'authentification WPA n'est pas récupérable à partir du trafic crypté ; par conséquent, un pirate aura bien plus de difficultés à pénétrer le réseau. Vous devez également vérifier que vos utilisateurs utilisent des clés WPA robustes, qu'ils les changent régulièrement et qu'ils comprennent les implications du non-respect de cette règle. Pour implémenter le cryptage WPA PSK, vous avez besoin d'un point d'accès sans fil, d'adaptateurs de réseau sans fil et d'un système d'exploitation client (tel que Windows XP) prenant en charge WPA. Vous n'avez pas besoin d'un serveur RADIUS ou d'une autre infrastructure de serveur.
Résumé
Nous avons commencé ce chapitre par une description du fonctionnement de la sécurité des réseaux locaux sans fil 802.1X. Pour mieux cerner la conception, nous vous avons fourni une description de l'organisation cible ainsi que les critères de conception clés de l'organisation pour la solution de réseau local sans fil. Par la suite, nous avons présenté les principaux aspects de la conception de réseau local sans fil choisie. Cette conception comprend le réseau, le placement du serveur IAS et la configuration IAS, l'utilisation des certificats et les différents types de clients sans fil. Nous avons également souligné les points clés de la migration à partir d'un réseau local sans fil existant.
Les deux sections de la fin du chapitre vous ont présenté les variations importantes possibles à partir de la conception de base. Nous vous avons d'abord indiqué comment mettre la solution à l'échelle de plus grandes organisations, puis nous vous avons fourni des instructions sur la manière de gérer les principaux points de divergence à partir de la solution principale. Nous vous avons ensuite indiqué comment utiliser la même infrastructure d'authentification de base pour prendre en charge d'autres services réseau tels que l'accès à distance, le VPN et la sécurité du réseau câblé ; et nous vous avons montré comment gérer les problèmes gênants d'amorçage des clients et de déploiement de réseaux locaux sans fil dans des environnements SOHO.
Le chapitre suivant commence l'implémentation de la solution en vous aidant à préparer votre réseau, Active Directory et la sécurité du serveur pour le déploiement des composants du réseau local sans fil.
Références
Cette section fournit des références à des informations complémentaires importantes ou à d'autres documents généraux pertinents pour ce chapitre.
Pour plus de détails sur l'authentification 802.1X, consultez l'article « IEEE 802.1X Authentication for Wireless Connections » à l'adresse URL suivante :
http://www.microsoft.com/technet/columns/cableguy/cg0402.mspx
Pour plus d'informations sur le fonctionnement du PEAP avec des mots de passe, consultez l'article « PEAP with MS-CHAP Version 2 for Secure Password-based Wireless Access » à l'adresse URL suivante :
http://www.microsoft.com/technet/columns/cableguy/cg0702.mspx
Pour plus de détails sur l'authentification 802.1X ; l'interaction entre clients, points d'accès sans fil et serveurs RADIUS ; ainsi que pour obtenir des recommandations sur les fonctions devant être prises en charge par les points d'accès sans fil ; consultez l'article « Recommendations for IEEE 802.11 Access Points » à l'adresse URL suivante :
http://www.microsoft.com/whdc/hwdev/tech/network/802x/AccessPts.mspx
Pour plus d'informations sur la conception du réseau local sans fil, notamment sur la fourniture de services DHCP et sur la disposition des points d'accès sans fil, consultez le chapitre « Deploying a Wireless LAN » du Kit de déploiement de Windows Server 2003 à l'adresse URL suivante :
Pour plus d'informations sur la sécurisation d'IAS, consultez la documentation produit de Windows Server 2003 à l'adresse URL suivante :
Pour plus d'informations sur les fonctionnalités des Services de certificat de Windows Server 2003, Enterprise Edition, consultez le document « PKI Enhancements in Windows XP Professional and Windows Server 2003 » à l'adresse URL suivante :
http://www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx
Remarque : cet article a été rédigé avant la commercialisation de Windows Server 2003. Les termes Windows .Net Server, Advanced Server et Standard Server font donc respectivement référence à Windows Server 2003, Enterprise Edition et Standard Edition.
Pour plus d'informations sur le client d'authentification Microsoft 802.1X pour Windows 2000, consultez l'article « Using 802.1x Authentication on Computers Running Windows 2000 » de la Base de connaissances de Microsoft à l'adresse URL suivante :
Pour plus d'informations sur WPA dans Windows XP consultez les articles « Wi-Fi Protected Access (WPA) Overview » et « WPA Wireless Security Update » aux adresses URL suivantes :
http://www.microsoft.com/technet/columns/cableguy/cg0303.mspx
Pour une discussion sur les problèmes de sécurité avec WEP, consultez le livre technique « Weaknesses in the Key Scheduling Algorithm of RC4 » de Scott Fluhrer, Itsik Mantin et Adi Shamir et le livre technique « Using the Fluhrer, Mantin, and Shamir Attack to Break WEP » d'Adam Stubblefield, John Ioannidis et Aviel D. Rubin. Il faut savoir que ces livres techniques traitent de la sécurité du WEP statique ; par conséquent, les conclusions tirées ne peuvent pas être directement appliquées aux réseaux locaux sans fil WEP dynamiques. Pour lire le livre technique « Weaknesses in the Key Scheduling Algorithm of RC4 », consultez l'adresse URL suivante :
Pour lire le rapport technique AT&T « Using the Fluhrer, Mantin, and Shamir Attack to Break WEP », consultez l'adresse URL suivante :
Pour plus d'informations sur le déploiement de réseaux locaux sans fil et de VPN d'accès à distance au sein de Microsoft, consultez les articles « Mobility: Empowering People through Wireless Networks » et « Securing Remote Users at Microsoft » aux adresses URL suivantes :
http://www.microsoft.com/technet/itsolutions/msit/security/secwlan.mspx
http://www.microsoft.com/resources/casestudies/ casestudy.asp?casestudyid=13787
Pour plus d'informations sur le contrôle de la mise en quarantaine de l'accès au réseau, consultez les documents « Network Access Quarantine Control in Windows Server 2003 » et « Planning for Network Access Quarantine Control » aux adresses URL suivantes :
http://support.microsoft.com/default.aspx?scid=818747
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs
/deployguide/dnsbf_vpn_aosh.mspx Pour plus d'informations sur l'utilisation de WPA pour sécuriser les réseaux locaux sans fil SOHO, consultez l'article « WPA Wireless Security for Home Networks » à l'adresse URL suivante :
http://www.microsoft.com/WindowsXP/expertzone/columns/bowman/03july28.asp
Télécharger la solution complète
Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe