Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe

Annexe B : Utilisation de WPA dans la solution

Dernière mise à jour le 02 avril 2004

Afficher toutes les rubriques d'aide consacrées à la sécurité

La solution de réseau local sans fil décrite dans cette documentation fonctionne aussi bien avec la protection des réseaux sans fil WEP (Wired Equivalent Privacy) qu'avec WPA (Wi-Fi Protected Access). Les différences en termes d'implémentation entre WEP et WPA sont minimes ; elles vous sont présentées dans cette annexe.

L'utilisation de WPA comporte actuellement quelques difficultés potentielles, parmi lesquelles :

  • Configuration manuelle des paramètres WPA : la prise en charge de la définition des paramètres WPA du client Windows® XP à l'aide de la stratégie de groupe n'est pas disponible dans les versions de Windows® antérieures à Windows Server™ 2003 Service Pack 1. Tant que le Service Pack 1 n'aura pas été déployé dans votre entreprise, vous devrez configurer vos clients manuellement (il est impossible de créer des scripts pour les paramètres de réseau local sans fil pour Windows XP). Vous devez installer le Service Pack 1 uniquement sur le serveur sur lequel vous modifiez l'objet de stratégie de groupe (GPO, Group Policy Object) de ces paramètres ; cette installation n'est pas requise sur les clients, les contrôleurs de domaine ou les serveurs IAS.

  • Disponibilité restreinte des clients du réseau local sans fil : au moment de la rédaction de ce guide, Microsoft® n'assure la prise en charge WPA que pour Windows XP Service Pack 1 et les versions ultérieures.

  • Disponibilité de matériel compatible WPA : bien que la prise en charge WPA soit maintenant requise pour tout matériel certifié Wi-Fi, il est possible que l'équipement réseau existant doive être mis à niveau pour assurer cette prise en charge. Vous devrez obtenir des mises à jour de microprogrammes pour tout point d'accès ou carte réseau ne prenant actuellement pas en charge WPA. En certaines (rares) occasions, vous devrez remplacer l'équipement si le fabricant ne propose pas de mises à jour WPA.

Sur cette page

Utilisation de WPA en remplacement de WEP
Migration de WEP vers WPA
Références

Utilisation de WPA en remplacement de WEP

Bien que la plus grande partie de ce guide s'applique à la fois à WPA et au WEP dynamique, les instructions de la documentation diffèrent principalement sur deux points :

  • la section « Création d'une stratégie d'accès distant IAS pour le réseau local sans fil » du chapitre 5 (« Création de l'infrastructure de sécurité des réseaux locaux sans fil ») ;

  • la section « Création de l'objet de stratégie de groupe des paramètres de réseau local sans fil » du chapitre 6 (« Configuration des clients d'un réseau local sans fil »).

Création d'une stratégie d'accès distant IAS pour le réseau local sans fil avec WPA

Pour utiliser la protection de réseau local sans fil WPA à la place du WEP dynamique, vous devez fixer la valeur du délai d'attente de la session client à 8 heures au lieu de 60 minutes. WPA dispose d'un mécanisme intégré de génération de nouvelles clés de cryptage du réseau local sans fil et n'a donc pas à obliger les clients à fréquemment se réauthentifier. Un délai de huit heures est une valeur raisonnable pour s'assurer que les clients disposent d'informations d'identification valides et à jour (cela permet par exemple de s'assurer qu'un client ne peut pas rester connecté pendant une trop longue durée après la désactivation de son compte). Dans les environnements disposant d'un niveau de sécurité très élevé, vous pouvez réduire cette valeur si nécessaire.

Dans la section « Modification des paramètres du profil de stratégie d'accès au réseau local sans fil » du chapitre 5 (« Création de l'infrastructure de sécurité des réseaux locaux sans fil »), utilisez la procédure suivante pour définir les paramètres du profil de stratégie d'accès distant :

Pour modifier les paramètres du profil de stratégie d'accès sans fil :

  1. Dans le MMC du service d'authentification Internet, ouvrez les propriétés de la stratégie Allow Wireless LAN Access, puis cliquez sur Modifier le profil.

  2. Dans le champ Minutes clients can be connected (Session-Timeout) de l'onglet Contraintes pour les appels entrants, tapez la valeur 480 (480 minutes ou 8 heures).

  3. Dans l'onglet Avancé, ajoutez l'attribut Ignore-User-Dialin-Properties, fixez-le sur Vrai, puis ajoutez l'attribut Termination-Action et fixez-le sur Requête RADIUS.

Vous devez également modifier le délai d'attente de la session dans le point d'accès sans fil afin d'atteindre (ou de dépasser) la valeur de délai d'attente fixée dans cette procédure.

Configuration manuelle des paramètres Windows XP de réseau local sans fil pour WPA

Jusqu'à ce que la prise en charge de l'objet de stratégie de groupe soit disponible dans Windows Server 2003 Service Pack 1, vous devez configurer manuellement les paramètres WPA sur le client. WPA est pris en charge sur Windows XP Service Pack 1 lorsque le téléchargement du client WPA est installé (ou sur Windows XP Service Pack 2).

Remarque : lorsque vous disposez de la prise en charge de l'objet de stratégie de groupe, utilisez la procédure suivante pour créer une stratégie de réseau local sans fil disposant des mêmes paramètres.

Pour configurer manuellement les paramètres de réseau local sans fil WPA :

  1. Ouvrez les propriétés de l'interface Réseau sans fil. Si le réseau local sans fil s'affiche dans la liste Réseaux disponibles, sélectionnez-le, puis cliquez sur Configurer... ; sinon, cliquez sur Ajouter (dans la section Réseaux favoris).

  2. Tapez le nom du réseau local sans fil dans le champ Nom réseau (SSID) (s'il ne s'y trouve pas déjà), puis entrez une description du réseau dans le champ Description.

    Remarque : si vous disposez déjà d'un réseau local sans fil et souhaitez l'exécuter conjointement avec le réseau local sans fil 802.1X de cette solution, vous devez utiliser un autre SSID (Service Set Identifier) pour ce dernier. Ce nouvel SSID doit donc être utilisé ici.

  3. Dans la section Clé réseau sans fil, sélectionnez WPA (et non WPA PSK) en tant que type Authentification réseau et TKIP en tant que type Cryptage de données. (Si votre matériel la prend en charge, vous pouvez choisir la norme de cryptage plus performante AES) (Advanced Encryption Standard (AES) au lieu de TKIP).

  4. Cliquez sur l'onglet IEEE 802.1x et sélectionnez PEAP (Protected EAP) dans la liste déroulante Type EAP.

  5. Cliquez sur le bouton Paramètres... pour modifier les paramètres PEAP. Dans la liste Trusted Root Certificate Authorities, sélectionnez le certificat CA racine de l'autorité de certification (il s'agit de l'autorité de certification que vous avez installée pour émettre des certificats de serveur IAS–reportez-vous au chapitre 4 pour plus de détails).

    Important : si vous devez réinstaller entièrement votre autorité de certification (et pas seulement la restaurer), vous devez modifier les paramètres du client et sélectionner le certificat CA racine de la nouvelle autorité de certification.

  6. Assurez-vous que Mot de passe sécurité (EAP-MSCHAP version 2) est sélectionné dans Sélectionner la méthode d'authentification et activez l'option Activer la reconnexion rapide.

  7. Fermez chaque fenêtre de propriétés en cliquant sur OK.

Configuration de Pocket PC 2003 pour WPA

WPA n'était pas pris en charge en mode natif dans Pocket PC 2003 au moment de la rédaction de ce guide ; il est possible que cette fonction soit implémentée à l'avenir. La prise en charge de WPA sur Pocket PC peut également être proposée par d'autres fournisseurs.

Haut de page

Migration de WEP vers WPA

Si vous avez déployé une solution de réseau local sans fil sécurisée basée sur le WEP dynamique et souhaitez migrer vers WPA, suivez les étapes décrites dans cette section. Vous devez veiller à déployer avant la migration la prise en charge WPA logicielle (par exemple, le composant WPA de Windows XP) et matérielle (mises à jour des microprogrammes de point d'accès et de pilotes de carte réseau). Les références indiquées dans cette procédure pour la configuration des paramètres WPA dans les objets de stratégie de groupe ne sont valides que lorsque ces objets sont modifiés à partir de Windows Server 2003 Service Pack 1 ou d'une version ultérieure. Au moment de la rédaction de ce document, ce Service Pack n'avait pas encore été publié. Si vous n'utilisez pas Windows Server 2003 Service Pack 1 ou une version ultérieure, suivez les instructions fournies dans la section « Configuration manuelle des paramètres Windows XP de réseau local sans fil » de cette annexe.

Pour migrer de WEP vers WPA, si vos points d'accès prennent en charge l'utilisation simultanée du WEP dynamique et de WPA :

  1. Configurez tous vos points d'accès sans fil afin qu'ils prennent en charge à la fois le WEP dynamique et WPA.

  2. Créez un nouvel objet de stratégie de groupe des paramètres client du réseau local sans fil. Créez une stratégie de réseau local sans fil qui configure les paramètres appropriés pour WPA (reportez-vous à la procédure fournie dans la section « Configuration manuelle des paramètres Windows XP de réseau local sans fil » de cette annexe). Désactivez ensuite l'objet de stratégie de groupe WEP existant et activez l'objet de stratégie de groupe WPA afin que tous les paramètres WPA soient envoyés à l'ensemble des clients. Les clients commenceront à utiliser WPA sur le réseau local sans fil après le rafraîchissement d'objet de stratégie de groupe suivant.

    Remarque : si vous configurez manuellement vos clients, vous devez désactiver l'objet de stratégie de groupe comportant les paramètres WEP ; dans le cas contraire, les paramètres WPA manuels seront écrasés par l'objet de stratégie de groupe.

  3. Enfin, vous devez mettre à jour le délai d'attente de session de stratégie d'accès distant IAS et le délai d'attente de session client dans le point d'accès (comme décrit dans la section « IAS Remote Access Policy » plus haut dans cette annexe).

Pour migrer de WEP vers WPA, si vos points d'accès ne prennent pas en charge l'utilisation simultanée du WEP dynamique et de WPA :

  1. Créez un nouvel SSID de réseau local sans fil pour le réseau WPA.

  2. Modifiez l'objet de stratégie de groupe des paramètres de réseau client et ajoutez le nouvel SSID en utilisant les paramètres WPA (comme décrit dans la section « Configuration manuelle des paramètres Windows XP de réseau local sans fil » plus haut dans cette annexe). Si vous configurez manuellement vos clients, vous devez le faire avec le nouvel SSID et les paramètres WPA correspondants. Dans les deux cas, ne supprimez pas les paramètres de l'ancien SSID WEP.

  3. Site par site, reconfigurez vos points d'accès de la prise en charge WEP à la prise en charge WPA, en modifiant le SSID du point d'accès. Au fur et à mesure que vous reconfigurerez les points d'accès, les clients passeront au nouvel SSID et utiliseront WPA.

  4. Une fois tous les points d'accès reconfigurés, vous pouvez mettre à jour les stratégies d'accès distant sur tous les serveurs IAS. Vous devez augmenter la valeur du délai d'attente de session dans la stratégie d'accès distant (de 60 minutes à 8 heures) et modifier le même paramètre dans les points d'accès sans fil (comme décrit dans la section « IAS Remote Access Policy » de cette annexe).

  5. Une fois la migration effectuée, vous pouvez supprimer le SSID WEP de l'objet de stratégie de groupe.

Haut de page

Références

Cette section fournit des références à d'importantes informations complémentaires ou à d'autres matériaux de base appropriés à cette annexe.

Télécharger la solution complète

Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe

Haut de page