SECURITY WATCH

  • Article

Guide de la sécurité sans fil

Par Kathryn Tewson et Steve Riley

La configuration d'un réseau sans fil est incroyablement simple. Aucun câble à tirer, aucun trou à percer ; connectez simplement votre point d'accès (AP, Access Point) sans fil, laissez le gestionnaire de connexions sans fil procéder à l'association automatique, et le tour est joué : vous êtes connecté. Malheureusement, tout le monde n'est pas à portée de diffusion de votre AP, et c'est là que commencent les problèmes.

Chaque entreprise possède des informations qui doivent être gardées confidentielles. Secrets commerciaux, code source, ou même les livres comptables de l'entreprise peuvent se retrouver facilement entre des mains peu scrupuleuses. Si des données client sont stockées sur votre réseau, il est encore plus important d'en verrouiller l'accès. Quelques numéros de carte bancaire non protégés peuvent suffire à réduire définitivement la confiance des clients ; la seule possibilité d'un vol de numéro de carte bancaire peut entraîner, dans certains états, des procédures réglementaires. Et l'accès au réseau sans fil ne s'arrête pas aux limites physiques de votre entreprise ; si votre réseau est ouvert, n'importe qui peut stationner sur le parking et se connecter.

Sur cette page

La menace
Les bases
Comment ne pas sécuriser un réseau sans fil
Contrôle d’accès
Cryptage
Auteurs

La menace

Connaissez votre ennemi ! Il existe essentiellement trois types d'ennemis contre lesquels vous devez protéger votre réseau : les personnes en recherche de sensations, les voleurs de bande passante et les attaqueurs bien informés.

La première catégorie concerne les personnes qui se promènent avec un ordinateur portable, à la recherche de réseaux sans fil auxquels se connecter. Le plus souvent, ils n'occasionnent aucun dommage ; ils sont motivés par les sensations que procure la pénétration électronique. Les mesures de sécurité les plus simples sont généralement suffisantes pour les dissuader, en particulier s'il y a d'autres réseaux ouverts à proximité.

Les voleurs de bande passante savent exactement ce qu'ils veulent. Peut-être envoient-ils des montagnes de spam, ou bien ils téléchargent des films piratés ou des vidéos X. Quoi qu'ils fassent, ils ont une bonne raison d'utiliser votre réseau plutôt que le leur ; ils ne souhaitent pas être démasqués, voir engager leur responsabilité ou encore payer pour la bande passante qu'ils utilisent. Dans la mesure où ils tirent parti de cette intrusion, ils sont plus motivés par la pénétration sur votre réseau, mais comme la première catégorie, ils recherchent la solution la plus simple disponible.

Les pirates sérieux et bien informés sont plus rares, mais effrayants. Soit ils souhaitent accéder aux données de votre réseau, soit ils cherchent à vous causer du tort. Ils ne seront pas repoussés par les mesures de sécurité élémentaires, car ils ne sont pas à la recherche de cibles faciles. Ils recherchent des informations précieuses que seul vous possédez, ils s'attendent à ce qu'elles soient un minimum protégées et ils sont prêts à travailler dur pour y accéder ou pour mettre totalement hors service votre réseau.

Il est facile pour ces personnes d'être encore plus malveillantes dans la précipitation, et la sécurité du réseau n'est égale qu'à la sécurité de sa liaison la plus faible. Dans un cas récent fortement médiatisé, trois pirates ont découvert qu'une chaîne de magasins nationale utilisait des scanners de prix sans fil. Il n'y avait pas d'accès client humain, seulement un transfert de données automatisé à partir du système du point de vente. Cependant, les transactions n'étaient pas cryptées, et le point d'accès utilisait le mot de passe d'administration par défaut, de sorte que les pirates ont pu accéder au réseau général du magasin. Ils ont installé un petit programme sur l'un des serveurs de l'entreprise, afin de capturer les numéros de carte bancaire vers un fichier texte, qu'il leur était facile de récupérer depuis le parking. Les trois pirates ont été arrêtés et condamnés pour fraude, mais votre entreprise se passerait bien de ce type de publicité.

Trois exemples de scénarios

  1. Cybercafé avec points d'accès
    Vous configurez un réseau en tant que service pour vos clients, afin qu'ils viennent plus souvent, qu'ils restent plus longtemps et qu'ils consomment davantage. Vous ciblez n'importe quel utilisateur qui entre avec un portable, donc la simplicité d'utilisation est très importante. Dans la mesure où vous exploitez un réseau public auquel les utilisateurs doivent pouvoir se connecter, vos actions sont limitées ; toute tentative de configurer une quelconque forme d'authentification ou de cryptage fera fuir les clients. Vous souhaitez à tout prix éviter d'avoir à gérer une base de données d'utilisateurs et d'imposer aux utilisateurs de se connecter. Solution recommandée : utilisez un point d'accès prenant en charge l'isolation des clients afin de protéger les clients les uns des autres. Conservez ce réseau totalement séparé de votre réseau interne, si vous en avez un.

  2. Petite entreprise de comptabilité
    Vous configurez un réseau, de sorte que vos trois employés puissent facilement partager le travail et les fichiers. Vos utilisateurs sont ces trois employés et vous-même, de sorte qu'une petite configuration client n'est pas un problème. Outre les amateurs de sensations et les voleurs de bande passante, vous devez protéger les données financières de vos clients. Solution recommandée : assurez-vous que tout votre équipement sans fil est nouveau et prend en charge les fonctionnalités et protocoles les plus récents, puis configurez WPA-Personal. Choisissez autre chose qu'un mot du dictionnaire pour votre clé d'authentification prépartagée.L'idéal est de choisir une phrase-clé, c'est-à-dire une phrase complexe (avec des majuscules, des minuscules, des chiffres et des caractères spéciaux), facile à mémoriser pour vous, mais difficile à deviner pour les autres. Par exemple « Être ou ne pas être ? Telle est la question. » Assurez-vous également que votre point d'accès dispose d'une option pour désactiver l'isolation client, sinon la partie collaboration de votre réseau sera perdue.

  3. Cabinet juridique avec accès invité
    Votre back office dispose d'une fonctionnalité sans fil, de sorte que tous les avocats, juristes et assistants puissent facilement partager des fichiers et collaborer sur des dossiers. Vous offrez également un accès invité, de sorte que les clients visiteurs ou les avocats puissent facilement accéder à leurs propres fichiers. La sécurité est ici fondamentale ; si les documents de vos clients sont volés, non seulement vous perdrez vos clients, mais vous pouvez également être révoqué ou subir des poursuites juridiques. Solution recommandée : créez deux infrastructures sans fil. Utilisez des points d'accès haute qualité prenant en charge WPA2-Enterprise et les SSID (Service Set Identifiers) doubles, un pour votre back office et un pour l'accès invité.

    Configurez le côté employé afin d'utiliser WPA2-Enterprise pour l'authentification et le cryptage. Vous aurez besoin d'un serveur RADIUS (exécutez Internet Authentication Services sur vos contrôleurs de domaine pour plus de simplicité) et de logiciels clients mis à jour (au minimum Windows XP SP2). Si vous utilisez EAP-TLS pour l'authentification, vous aurez également besoin de certificats numériques.

    Configurez le côté invité comme un réseau public ouvert. Là encore, vos invités ne pourront pas facilement s'intégrer à des protocoles tels que WPA-Personal ou WPA-Enterprise ; épargnez-leur ces difficultés (ainsi qu'à vous-même). Prenez soin d'autoriser les réseaux privés virtuels (VPN, Virtual Private Networks) sortants via le côté invité, de sorte qu'ils puissent se reconnecter à leurs propres réseaux d'entreprise pour extraire les données.

Les bases

La sécurité des réseaux sans fil n'est pas une solution universelle. Avant d'implémenter une infrastructure de sécurité, vous devez vous poser plusieurs questions.

Qui sont vos utilisateurs ? Sont-ils vos employés ou vos clients ? Quel niveau de configuration vos utilisateurs accepteront-ils d'effectuer ? Seront-ils toujours les mêmes, ou bien différentes personnes utiliseront-elles le réseau quotidiennement ?

Pourquoi installez-vous un réseau sans fil ? Souhaitez-vous partager les fichiers entre les employés ? Souhaitez-vous une passerelle vers Internet ? Souhaitez-vous pouvoir offrir un accès sans fil à vos clients ? Souhaitez-vous remplacer une ancienne installation Token Ring dans vos locaux ?

Que souhaitez-vous protéger ? Vous n'avez pas forcément besoin du même niveau de sécurité que le Pentagone. Vous avez besoin d'une sécurité suffisante pour faire en sorte que la pénétration dans votre réseau soit difficile par rapport à la valeur des données qu'il contient. Les numéros de carte bancaire, le code source, les dossiers médicaux ou juridiques sont autant de données présentant une valeur importante. Le manuel des employés et les planning des équipes ? Vous pouvez considérer ces documents comme ne présentant que peu de valeur, mais pour une personne faisant du « social engineering », ces ressources contiennent des informations très utiles sur les pratiques de votre organisation et sur les habitudes de vos employés. Même votre bande passante est précieuse. Mais rappelez-vous que les intrus intelligents peuvent pénétrer dans des endroits inattendus ; prenez donc vos précautions.

Avant d'entrer dans les détails des serveurs d'authentification et des protocoles de cryptage, voici quelques mesures élémentaires et très simples permettant de limiter de manière significative le risque d'intrusion.

Changez vos mots de passe Cela a déjà été dit, mais il n'est pas inutile de le répéter : changez le mot de passe administrateur par défaut du point d'accès, en particulier s'il s'agit de « admin », « mot de passe » ou d'un mot de passe vide. Faites-le pour chaque point d'accès. Ces mots de passe sont bien connus, et si vous donnez à quelqu'un un accès administrateur à votre point d'accès, cela revient à lui remettre des impressions papier des données de votre entreprise.

Changez les adresses IP Les plages d'adresses IP WLAN et DHCP varient en fonction de la marque des points d'accès. Elles peuvent également être configurées par l'utilisateur, et vous pouvez donc les remplacer par des valeurs moins couramment utilisées. Là encore, cela permet de fournir moins d'informations sur votre point d'accès aux personnes mal intentionnées. Cela ne renforce pas considérablement la sécurité, mais c'est une mesure simple qui n'a pas d'impact négatif sur vos utilisateurs. Notez cependant que les adresses choisies doivent fonctionner avec le schéma d'adressage utilisé dans le reste de votre réseau. Si vous n'êtes pas responsable de la gestion des adresses IP, collaborez avec les personnes de votre organisation qui le sont. Vous ne pouvez pas simplement choisir n'importe quelle adresse IP et vous attendre à ce qu'elle fonctionne.

Utilisez l'isolation client Certains points d'accès incluent une fonctionnalité qui empêche les clients sans fil de communiquer entre eux. En général, dans un environnement d'entreprise ou dans un groupe de travail, vous avez déjà mis en place d'autres mécanismes afin d'autoriser ou d'empêcher les communications entre les clients ; cette fonctionnalité n'est alors pas importante. Mais si vous créez un point d'accès sans fil ou tout autre réseau sans fil public, choisissez des points d'accès prenant en charge l'isolation client et prenez soin de l'activer. Cela permet d'éviter que des ordinateurs mal configurés n'attaquent d'autres ordinateurs du réseau.

Comment ne pas sécuriser un réseau sans fil

De nombreux mauvais conseils circulent sur Internet à propos de la sécurité sans fil. Ils sont souvent repris dans des articles et conférences, car ils semblent judicieux. Dissipons dès maintenant quelques mythes courants concernant la sécurité sans fil.

Masquez votre SSID Le SSID (Service Set Identifier) de votre point d'accès n'est rien d'autre qu'un nom. Il ne s'agit en aucun cas d'un mot de passe, même si certains en font un mot de passe en désactivant sa diffusion, pensant ainsi rendre le réseau plus sûr. Rien n'est moins vrai. Chaque fois qu'un client se connecte à un point d'accès, il inclut le SSID dans le message d'association (en texte clair, visible par n'importe quelle personne avec un détecteur sans fil). Vous pouvez donc parfaitement diffuser le SSID. La configuration initiale de Windows® XP en a besoin, la spécification 802.11 le rend obligatoire, et les mesures de sécurité que nous recommandons ici font en sorte que le SSID peut parfaitement être visible.

Filtrez les adresses MAC Le filtrage d'adresse MAC (Media Access Control) semble une bonne idée. Chaque périphérique réseau présente une adresse MAC unique ; en limitant les adresses MAC pouvant se connecter à votre réseau sans fil, vous empêchez donc les intrus d'y accéder, non ? Non. Le problème est que l'adresse MAC est envoyée avec l'en-tête de chaque paquet, quel que soit le cryptage utilisé, et les analyseurs de paquets sont largement répandus, tout comme les applications d'usurpation d'adresse MAC. Cela pose également un problème d'administration, car chaque nouveau périphérique qui se connecte au réseau doit être entré dans le point d'accès par l'administrateur système. Épargnez-vous ces soucis en oubliant cette soi-disant mesure de sécurité.

Contrôle d’accès

Une fois que vous avez pris les mesures de sécurité élémentaires, vous pouvez commencer à déterminer comment vous allez contrôler l'accès à votre réseau. Commencez au niveau de la couche physique. Ne rendez pas le point d'accès physiquement disponible. Il est trop facile de réinitialiser le point d'accès à ses paramètres par défaut. Une fois que vous connaissez la marque et le modèle du point d'accès, les valeurs par défaut sont faciles à déterminer ; elles sont souvent indiquées sous le point d'accès lui-même.

Certains points d'accès offrent une authentification nom utilisateur/mot de passe élémentaire dans le point d'accès proprement dit. Sa configuration est simple ; entrez simplement votre combinaison nom d'utilisateur/mot de passe dans le point d'accès, ou téléchargez-la à partir d'un fichier texte sur un autre ordinateur. Le contrôle d'accès s'effectue par utilisateur et non par périphérique. Ces points d'accès sont faciles à utiliser, mais sont généralement beaucoup plus chers qu'un équipement standard, tout en ne prenant généralement en charge que 15 ou 20 utilisateurs différents. Il manque également l'intégration au système d'annuaire que vous utilisez (par exemple Active Directory®), de sorte qu'il est mal perçu de demander aux utilisateurs de mémoriser un ID et un mot de passe de plus.

Pour un contrôle d'accès par utilisateur robuste, tournez-vous vers une solution d'authentification serveur externe, telle que RADIUS (Remote Authentication Dial-In User Service). En soi, RADIUS ne fait rien pour vous aider. Mais étant donné que les protocoles de sécurité sans fil avancés, tels que WPA (Wi-Fi Protected Access, voir section sur le cryptage, plus loin), peuvent utiliser RADIUS pour l'authentification utilisateur, vous pouvez commencer à créer un environnement qui s'intègre plus facilement au reste du réseau. Les serveurs RADIUS ne sont pas nécessairement coûteux à configurer. IAS (Internet Authentication Service), inclus dans Windows 2003, est idéal pour les entreprises qui utilisent les logiciels Microsoft.Server

Dès que de nouvelles solutions de contrôle d'accès apparaissent, des pirates tentent de trouver des moyens de les contourner. L'une des tentatives les plus réussies et les plus effrayantes a été appelée le problème des « jumeaux malveillants ». Dans ce scénario, quelqu'un se trouve sur le parking avec un ordinateur portable exécutant un serveur Web et un point d'accès avec une antenne puissante. Il configure le point d'accès avec votre SSID et configure le serveur Web afin de relayer et d'enregistrer les informations transmises. Étant donné qu'il possède probablement un signal plus fort en raison de son antenne puissante, les utilisateurs se connectent à ce SSID plutôt qu'au SSID approprié. Ainsi, tout le trafic Web en clair, c'est-à-dire la connexion à tout ce qui n'est pas protégé par SSL (Secure Sockets Layer), est visible pour le pirate.

Cela pose-t-il réellement un problème ? Cela dépend des mesures de sécurité que vous avez mises en oeuvre. Si vous utilisez WEP (Wired Equivalent Privacy), c'est effectivement un problème. Mais si vous utilisez des protocoles plus sophistiqués, tels que WEP dynamique ou WPA, le problème disparaît. Ces protocoles intègrent un principe appelé authentification mutuelle. Non seulement le client s'authentifie auprès du réseau, mais le réseau s'authentifie également auprès du client, soit via un certificat numérique du serveur RADIUS, soit via la connaissance d'une clé d'authentification par le point d'accès. Dans la mesure où le pirate ne peut pas accéder au certificat ou à la clé, vos clients refusent de se connecter au jumeau malveillant. Le pirate a créé un problème de refus de service, mais il ne peut pas intercepter votre trafic.

Cryptage

Nous pouvons à présent aborder l'aspect essentiel de la sécurité, à savoir la protection de la transmission des données via le cryptage. De nombreux algorithmes de cryptage différents sont disponibles, chacun avec des avantages et des inconvénients, et tous ne sont pas interchangeables. Plus vous en savez sur le sujet, plus facilement vous pouvez choisir la solution adaptée à vos besoins.

WEP statique est la première solution qui vient à l'esprit lorsqu'on parle de cryptage sans fil. Il s'agit d'une norme ancienne, prise en charge par la quasi-totalité des périphériques réseau sans fil, de sorte qu'il n'existe pas de problèmes de compatibilité. Elle présente cependant deux inconvénients majeurs. Le premier est que chaque utilisateur et chaque périphérique doit entrer une longue chaîne hexadécimale pour établir des connexions. Certains périphériques prennent en charge les clés ASCII, mais pas tous. Le deuxième problème est qu'elle est devenue très facile à contourner. Avec les outils d'attaque modernes, seules 500 000 trames capturées environ sont nécessaires pour effectuer l'analyse statistique des données et récupérer la clé. Avec un point d'accès totalement utilisé traitant des trames de 1 500 octets (taille standard), vous pouvez capturer 500 000 trames à partir d'un réseau 802.11b en un peu plus de huit minutes, et moins de trois minutes pour un réseau 802.11a ou 802.11g.

Malgré son omniprésence dans presque tous les équipements sans fil, le WEP statique a atteint la fin de sa vie en production. Ne l'utilisez pas. Choisissez plutôt l'une des alternatives décrites ici. Si la compatibilité est importante, utilisez le WEP dynamique. Si vous ne pouvez pas prendre en charge l'utilisation d'un serveur RADIUS, utilisez WPA-PSK (Wi-Fi Protected Access - Pre-Shared Key). Cela signifie que vous pouvez mettre à niveau votre matériel sans fil et vos systèmes d'exploitation client.

WEP dynamique avec 802.1X+EAP est une combinaison de protocoles qui résout certaines faiblesses du WEP statique. WEP dynamique utilise une combinaison des protocoles 802.1X et EAP (avec un serveur RADIUS) pour authentifier l'utilisateur et éventuellement l'ordinateur, créer une clé de cryptage WEP unique pour chaque ordinateur associé, et faire pivoter toutes les clés selon un intervalle que vous spécifiez. Selon quelle fréquence ? Dans la mesure où WEP reste la base du cryptage, vous devez tenir compte du problème des 500 000 trames décrit ci-dessus. L'intervalle est donc de huit minutes ou de deux minutes (ou moins), en fonction de votre matériel.

L'un des aspects très intéressants du WEP dynamique avec 802.1X+EAP est que, dans Windows XP SP1 et les versions ultérieures, il s'intègre au processus d'ouverture de session du domaine. Les ordinateurs joints à un domaine sont souvent configurés avec des stratégies de groupe Active Directory qui sont appliquées lorsque l'ordinateur ouvre une session, avant que l'utilisateur ne le fasse. Il est important que votre infrastructure sans fil autorise le même comportement. Dans la version intégrée à Windows XP, 802.1X+EAP gère le processus d'ouverture de session de domaine et autorise l'application de la stratégie de groupe. Tenez-en compte lors de l'évaluation des alternatives pour la sécurité sans fil.

Vous avez le choix des méthodes d'authentification avec 802.1X+EAP. EAP-TLS et PEAP (Protected EAP) sont les plus populaires. EAP-TLS nécessite des certificats numériques sur tous les clients et sur tous les serveurs RADIUS. Ces certificats sont utilisés pour l'authentification des ordinateurs et des utilisateurs. PEAP autorise l'utilisation des comptes de domaine d'ordinateur et d'utilisateur (ID et mots de passe) pour l'authentification, même si dans ce cas, le serveur RADIUS présente un certificat numérique au client.

Le WEP dynamique est préférable au WEP statique, car il élimine la plupart des conditions qui rendent le WEP statique si peu sûr. Bien que la combinaison 802.1X+EAP puisse être intéressante, sachez que le WEP dynamique n'est jamais devenu une réelle norme, et doit si possible être évité, car il ne supprime pas toutes les failles. 802.1X+EAP associé à WPA (étudié plus loin) est clairement la solution à retenir.

WPA est la nouvelle génération de technologies de cryptage sans fil. Elle est à la fois plus sûre et plus simple à configurer que WEP, mais la plupart des cartes réseau fabriquées avant le milieu de l'année 2003 ne la prennent pas en charge, sauf si le fabricant propose une mise à jour du microprogramme. WPA remplace WEP par un algorithme de cryptage amélioré appelé TKIP (Temporal Key Integrity Protocol). TKIP fournit à chaque client une clé unique et utilise des clés beaucoup plus longues, qui sont permutées selon un intervalle configurable. WPA inclut également un champ de vérification d'intégrité du message crypté dans le paquet, afin d'empêcher les attaques de refus de service et de falsification, ce que ni le WEP statique, ni le WEP dynamique ne peuvent faire. WPA fonctionne à la fois avec et sans serveur RADIUS.

WPA-Personal utilise une clé d'authentification prépartagée configurée sur chaque périphérique. Contrairement à WEP, il peut s'agir d'une chaîne alphanumérique qui n'est utilisée que pour négocier la session initiale avec le point d'accès. Dans la mesure où le client client et le point d'accès possèdent déjà cette clé, WPA offre une authentification mutuelle, et la clé n'est jamais transmise.

WPA-Enterprise utilise 802.1X+EAP pour l'authentification, mais remplace WEP par le cryptage TKIP plus avancé. Aucune clé prépartagée n'est utilisée ici, mais vous aurez besoin d'un serveur RADIUS. Vous bénéficiez également de tous les autres avantages offerts par 802.1X+EAP, notamment l'intégration au processus d'ouverture de session Windows et la prise en charge des méthodes d'authentification EAP-TLS et PEAP.

WPA2 est le dernier-né. Contrairement à WEP, il utilise AES (Advanced Encryption Standard), la norme de sécurité utilisée par le gouvernement. Si elle est suffisante pour le Pentagone, elle est probablement suffisante pour vous ! Tout comme WPA, WPA2 peut être utilisé en mode Personal ou Enterprise, et jusqu'à présent, les attaques sont restées limitées.

La sécurité sans fil est aussi essentielle pour votre entreprise que la présence d'un verrou sur la porte d'entrée, et la recherche d'un équilibre entre sécurité, accessibilité et coût peut s'avérer difficile. Évaluez soigneusement vos besoins. Chaque journée pendant laquelle votre réseau est ouvert est une nouvelle journée d'insécurité. Une sécurité bien conçue et bien implémentée implique des perturbations minimales et une tranquillité d'esprit maximale, ce qui est bon pour vous et pour vos clients.

Auteurs

Kathryn Tewson est ingénieur sans fil chez ACJ Technology Solutions à Bellevue, WA (www.acjts.com). Vous pouvez la contacter à l'adresse ktewson@acjts.com.

Steve Riley est responsable senior du programme de sécurité dans le département Microsoft Security Business and Technology Unit. Vous pouvez le contacter à l'adresse steriley@microsoft.com

Numéro de Novembre • Décembre 2005 de TechNet Magazine.