Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe
Chapitre 1 : Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe
Dernière mise à jour le 02 avril 2004
Afficher toutes les rubriques d'aide consacrées à la sécurité
Sur cette page
Introduction
Présentation de la solution
Conventions stylistiques
Support et commentaire
Introduction
De nos jours, la technologie est au cœur des débats du monde de l'entreprise la plupart des organisations ont déjà déployé des réseaux locaux sans fil ou sont lancées dans des discussions sur les avantages et les inconvénients de la technologie sans fil. Il est indéniable que cette technologie améliore la productivité des utilisateurs et que la faible maintenance du réseau représente un véritable avantage pour les départements informatiques. Cependant, les problèmes sérieux de sécurité ont rendu les responsables informatiques prudents, voire hostiles, à l'idée d'introduire des réseaux locaux sans fil dans leurs organisations. En outre, les solutions de résolution de ces problèmes proposées par les analystes et les fournisseurs de réseaux semblaient trop complexes et leur déploiement trop coûteux.
La Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe est la seconde solution de sécurité de Microsoft® pour les réseaux locaux sans fil. Elle complète la première solution, Sécurisation de réseaux locaux sans fil – Une solution des services de certificats. Alors que la première solution ciblait les grandes organisations, la seconde est bien plus simple et bien plus facile à déployer et est conçue pour les petites et moyennes organisations. La principale différence technologique entre ces deux solutions est que la première utilise des certificats de clé publique pour authentifier les utilisateurs et les ordinateurs du réseau local sans fil tandis que la seconde utilise l'authentification par nom d'utilisateur et mot de passe. Les autres caractéristiques distinctives de cette solution sont qu'elle utilise le matériel du serveur existant (plutôt que de le renouveler), emploie un modèle de délégation d'administration plus simple et automatise davantage les tâches de configuration à l'aide de scripts et de paramètres prédéfinis.
La documentation de cette solution présente deux caractéristiques importantes qui la distinguent de la documentation produit générale du système d'exploitation Microsoft Windows® et de nombreux livres blancs techniques disponibles auprès de Microsoft. La première est la nature normative du guide ; les choix de conception proposés reposent sur des décisions prises en connaissance de cause suite à un déploiement en interne mais également suite aux commentaires envoyés par les clients à Microsoft. La solution est basée sur ces pratiques recommandées et a été créée et testée dans les laboratoires de Microsoft pour garantir un fonctionnement sans surprises. La seconde caractéristique est qu'il s'agit d'une solution de bout en bout comprenant le cycle de vie complet de la solution qui passe par la conception, la planification, la création, le test et la gestion.
Comme nous l'indiquons dans les chapitres ultérieurs, la solution est basée sur la norme IEEE (Institute of Electrical and Electronic Engineers) 802.1X et requiert une infrastructure RADIUS (Remote Authentication Dial-In User Service, service d'authentification des utilisateurs d'accès à distance). Elle utilise une architecture souple qui peut être adaptée à tout un éventail d'organisations, qu'elles se composent de quelques dizaines ou de plusieurs milliers d'utilisateurs. La solution a été conçue et testée à l'aide des clients Microsoft Windows® XP, des clients Microsoft Pocket PC 2003 et des serveurs Microsoft Windows Server™ 2003.
Présentation de la solution
Ce guide est divisé en quatre sections, chacune correspondant à une phase du cycle de vie de la solution. Ces phases sont la planification, l'implémentation, le test et l'exploitation. Elles sont elles-mêmes divisées en chapitres.
.gif)
Figure 1.1 Présentation de la sécurisation des réseaux locaux sans fil
La section sur la planification se compose d'une introduction, « Choix d'une stratégie pour la sécurité des réseaux sans fil » et du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ». Les quatre chapitres suivants forment la section consacrée à la création et au déploiement. Ces chapitres fournissent des instructions pour l'implémentation des serveurs RADIUS à l'aide du Service d'authentification Internet (IAS) de Windows Server 2003, le déploiement des clients sans fil et la prise en charge de l'infrastructure. Chaque chapitre contient des procédures détaillées sur l'installation et la configuration des composants logiciels et leur intégration à la solution. Les chapitres incluent également des procédures de vérification qui permettent de réduire les erreurs.
La section consacrée au test se compose d'un chapitre qui explique comment vérifier que la solution fonctionne correctement avant de la déployer. La section consacrée à l'exploitation se compose également d'un seul chapitre ; il explique comment utiliser, contrôler, changer et résoudre les problèmes de tous les composants de la solution.
Un jeu d'outils et de scripts est joint au guide. Il permet d'automatiser de nombreuses tâches d'implémentation et d'exploitation.
La section ci-dessous fournit une description plus détaillée de chaque chapitre.
Choix d'une stratégie pour la sécurité des réseaux locaux sans fil
Ce document présente les deux solutions de sécurité des réseaux locaux sans fil décrites ci-dessus. Il a pour objectif de vous aider à choisir la stratégie adaptée pour l'infrastructure de sécurité de votre réseau sans fil. Il décrit les raisons économiques qui conduisent à l'adoption de la technologie des réseaux locaux sans fil et les problèmes de sécurité qu'elle soulève. Il traite des différentes options disponibles pour résoudre ces problèmes de sécurité et présente une solution basée sur une authentification sûre et la protection des données du réseau. Il contient également une discussion sur les mérites relatifs des différentes approches de la sécurisation des réseaux locaux sans fil, notamment les solutions de sécurité natives pour réseaux locaux sans fil, les réseaux privés virtuels (VPN) et la sécurité IP.
Chapitre 1 : Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe
Le chapitre 1 est le présent chapitre ; il présente le contenu du guide de la solution.
Chapitre 2 : Planification de l'implémentation de la sécurité des réseaux locaux sans fil
Ce chapitre décrit la conception architecturale de la solution de sécurité du réseau local sans fil sécurisée. Il couvre les rubriques suivantes :
fonctionnement d'une solution de réseau local sans fil basée sur la norme 802.1X et le protocole PEAP (Protected Extensible Authentication Protocol) ;
description de l'organisation cible de cette solution et des critères de conception clés de cette solution ;
développement d'une conception de solution de sécurité de réseau local sans fil basée sur les exigences de l'organisation cible ;
description de la manière dont cette conception de base peut être mise à l'échelle pour des organisations bien plus étendues ;
discussion sur les variations de conception permettant de s'adapter à des exigences extérieures à la solution principale telles que l'introduction d'un VPN ou d'un réseau 802.1X câblé.
Le chapitre se concentre sur la conception d'une infrastructure RADIUS (à l'aide d'IAS, l'implémentation RADIUS incluse avec Windows Server) permettant de fournir des services d'authentification et de gestion des clés sûrs. Le chapitre présente également les clients sans fil pris en charge par la solution et les caractéristiques des certificats.
Chapitre 3 : Préparation de votre environnement
Ce chapitre traite de l'infrastructure informatique sous-jacente nécessaire pour prendre en charge cette solution de réseau local sans fil. Il décrit la préparation de l'annuaire Microsoft Active Directory®, le protocole DHCP (Dynamic Host Configuration Protocol), les services DNS (Domain Name System) et les exigences sous-jacentes du réseau. Il comprend également des procédures d'application des paramètres de sécurité et d'installation des mises à jour de sécurité requises pour les serveurs utilisés dans la solution.
Chapitre 4 : Création de l'autorité de certification réseau
Ce chapitre décrit comment installer une autorité de certification (CA) simple sur un contrôleur de domaine pour fournir des certificats aux serveurs IAS. Ces procédures sont largement automatisées à l'aide des scripts joints au guide. Dans cette solution, la création de l'autorité de certification est dédiée spécifiquement à l'émission de certificats vers les serveurs IAS et, par là même, requiert peu ou pas de maintenance continue.
Chapitre 5 : Création de l'infrastructure de sécurité des réseaux locaux sans fil
Ce chapitre donne des instructions sur la manière de déployer vos composants de sécurité de réseau local sans fil, les serveurs IAS et les points d'accès (AP) sans fil. Il contient des instructions pas à pas sur l'installation d'IAS sur un contrôleur de domaine (ou un serveur membre), la configuration des paramètres et stratégies IAS, le paramétrage des points d'accès sans fil qui utiliseront les serveurs IAS et la réplication des paramètres IAS entre les serveurs IAS.
Chapitre 6 : Configuration des clients d'un réseau local sans fil
Ce chapitre contient les procédures de configuration des clients pris en charge par la solution. Les trois principales sections de ce chapitre sont consacrées au contrôle des accès au réseau local sans fil de l'utilisateur et de l'ordinateur, à la configuration des paramètres de stratégie de groupe pour les clients de réseau local sans fil Windows XP et à la configuration manuelle des paramètres de réseau local sans fil pour les clients Pocket PC 2003.
Chapitre 7 : Test de la solution de réseau local sans fil sécurisée
Ce chapitre est issu du programme de test utilisé par l'équipe de Microsoft lors du test de la solution. Les chapitres consacrés à la création (3 à 6) contiennent les procédures de vérification utilisées tout au long du processus de création pour vérifier que les choses évoluent correctement. Ce chapitre complète ces procédures par un jeu de tests supplémentaire qu'il est conseillé de réaliser avant de déployer la solution en environnement de production.
Chapitre 8 : Gestion de la solution de réseau local sans fil sécurisée
Ce chapitre est consacré au maintien du fonctionnement correct de l'infrastructure de sécurité du réseau local sans fil. La première partie du chapitre indique les tâches d'exploitation clés nécessaires à la gestion du système. Celles-ci sont divisées en différentes catégories couvrant : les tâches de maintenance quotidiennes, le contrôle et les alertes ; l'introduction de changements dans l'environnement ; l'optimisation des performances et la résolution des problèmes. La section finale sur le dépannage comprend un ensemble de diagrammes, tables et procédures de dépannage ainsi que des descriptions détaillées de certains outils et techniques de dépannage pouvant être utilisés pour diagnostiquer et résoudre les problèmes.
Annexes
Annexe A : Utilisation de PEAP dans l'entreprise
Cette solution a été conçue pour les petites et moyennes entreprises. Elle contraste avec la solution de réseau local sans fil basée sur les certificats (mentionnée plus tôt) qui a été conçue pour une organisation de niveau entreprise. Cependant, une solution de réseau local sans fil utilisant PEAP avec des mots de passe peut également être utilisée par de grandes organisations.
Cette annexe indique comment adapter ce guide orienté entreprise dans la solution de réseau local sans fil basée sur les certificats pour déployer une solution de réseau local sans fil basée sur PEAP avec des mots de passe.
Annexe B : Utilisation de WPA dans la solution
Cette annexe fournit des informations sur l'état de la prise en charge de la sécurité WPA (WiFi Protected Access) et sur la manière dont vous pouvez utiliser WPA au lieu de la protection de données WEP (Wired Equivalent Privacy) dynamique. Cette solution a été conçue pour prendre en charge WPA et ce guide fait constamment référence à WPA. Cependant, la prise en charge de WPA n'était pas encore universelle lors du développement de cette solution, et WPA n'a donc pas été utilisé comme option par défaut.
Annexe C : Versions du système d'exploitation prises en charge
Cette annexe comprend un tableau indiquant les versions de système d'exploitation prises en charge par les clients sans fil et par différents rôles de serveur dans cette solution. Son objectif est de répondre aux questions concernant la possibilité d'utilisation d'autres versions de Windows et d'autres plates-formes pour les différents rôles de la solution.
Annexe D : Scripts et fichiers de prise en charge
Les procédures des chapitres consacrés à l'implémentation et à l'exploitation utilisent de nombreux scripts et autres fichiers de prise en charge. Cette annexe décrit les scripts et leur fonctionnement. Ces informations sont également fournies dans le fichier SecuringWirelessLANs.rtf inclus avec les scripts.
Conventions stylistiques
Le tableau suivant décrit les conventions stylistiques utilisées dans ce guide.
Tableau 1.1 : Conventions stylistiques
| Élément | Signification |
|---|---|
| Gras | Caractères (notamment commandes et commutateurs) qui doivent être saisis exactement comme indiqué. Les éléments d'interface utilisateur intégrés à des procédures apparaissent également en gras. |
| Italiques | Les italiques sont utilisés dans deux contextes particuliers : –Les italiques utilisés dans le corps de texte principal indiquent le titre d'un autre document. –Les italiques utilisés dans des commandes ou du code (ou dans des procédures faisant référence à une commande ou à un code) indiquent un espace réservé pour les variables dans lequel des valeurs spécifiques doivent être entrées. Par exemple, nomfichier.ext indique que vous devez remplacer nomfichier.ext par le nom de fichier de votre choix. Les italiques sont également parfois utilisés pour mettre en valeur le texte normal. |
| Messages écran | Pour le texte affiché à l'écran (par exemple, le résultat d'un outil de ligne de commande) et pour les commandes qui doivent être entrées dans la ligne de commande. Certaines commandes dépassent les limites des marges de la page. Dans ce cas, le texte de la commande est réparti sur plusieurs lignes, chaque ligne étant en retrait (ceci est indiqué dans une remarque qui suit la commande). |
| Police à espacement fixe | Exemples de codes et contenu des fichiers de configuration. |
| %SystemRoot% | Dossier d'installation du système d'exploitation Windows Server. |
| Remarque | Signale à l'utilisateur la présence d'informations complémentaires. |
| Important | Signale au lecteur des informations complémentaires, essentielles pour l'exécution de la tâche. |
| Attention | Signale à l'utilisateur que le fait d'entreprendre ou au contraire d'omettre une action particulière peut entraîner la perte de données. |
| Avertissement | Signale à l'utilisateur que le fait d'entreprendre ou au contraire d'omettre une action particulière peut entraîner des dommages physiques pour l'utilisateur ou le matériel. |