Sécurité des réseaux sans fils

Notre magasin

Rue Albert 1er, 7

B-6810 Pin - Chiny

Route Arlon - Florenville

(/fax: 061/32.00.15

FORMATIONS	Le MAGASIN YBET	PRODUITS et SERVICES
Formation HARDWARE	Plan d'accès à Chiny	MATERIEL INFORMATIQUE

ACCUEIL

How To? paramétrages techniques

Procédures techniques en informatique

Configuration routeur ADSL wifi

Aspire One: Remplacer un disque dur, récupérer les données, installation de Windows via une clé bootable

Remplacement du disque dur d'un PC portable et récupération des données

Installation d'une mémoire dans un portable

Entretien d'une imprimante laser

Configuration d'un NAS configuration d'un système de sauvegarde "disque dur externe réseaux".

Sur le sujet.

Systèmes d'exploitations Microsofts, Dos et Windows: Formation technicien PC / réseaux: installation, dépannage, administration de Windows

Cours: ADSL
Le cours hardware 2 sur les liaisons hautes vitesses

Cours: Réseau ethernet
Les normes de réseaux locaux Ethernet

Dépanner les problèmes de réseaux

1. Introduction - 2. Paramétrage d'un pont DWL-2100AP D-Link - 3. Configuration d'une station - 4. Récapitulatif

1. Introduction.

Installer un réseau sans fils (Wlan) implique la sécurisation du réseau pour éviter son utilisation de l'extérieur par des personnes "non-admises": utilisation de votre connexion Internet ou même piratage complet de votre système par un gamin malintentionné. Rien ne sert de protéger l'accès à votre réseau interne des intrusions via Internet si le voisin (ou un autre) peut rentrer directement.

Une connexion sans fils utilise différents niveaux:

le type de connexion
le canal utilisé
la divulgation du SSID, le nom du groupe raccordé sans fils
l'autorisation uniquement de cartes avec des adresses MAC définies.
La clé de cryptage en WEP (obsolète), WPA

Nous allons utiliser pour cette procédure un pont (répétiteur). Le pont va uniquement servir à connecter des PC munis de cartes réseaux sans fils à un réseau local Ethernet standard. La connexion Internet utilisera un routeur Ethernet standard en plus.

1.a. Les types de réseaux sans fils Wifi.

	Fréquence liaison hertzienne	Débit maximum	Distance maximum	Remarque
802.11	2,45 Mhz	2 Mb/s	100 mètres	Premier réseau sans fils
802.11A Wifi5	5 à 6 Ghz	54 Mb/s maximum	Jusque 366 mètres à l'extérieur, 91 m à l'intérieur.	Incompatible avec les autres liaisons
802.11B Wifi	2,4 Ghz	11 Mb/s	100 mètres	Liaison sans fils la plus courante en Europe
802.11B+	2,4 Ghz	22 Mb/s	100 mètres	Amélioration du 802.11B et compatible Cryptage sur 64, 128 et 256 bits.
802.11G	2,4 Ghz	54 Mb/s	100 mètres	Compatible 802.11, 802.11B et 802.11B+
802.11G+	2,4 Ghz	108 Mb/s	100 mètres	Version améliorée du 802.11G

Le 802.11A ne travaille pas dans la même zone de fréquence que les autres normes. Un appareil 802.11A ne pourra donc pas se connecter sur un autre type de réseau sans fils.

Pour les autres liaisons, il y a une compatibilité ascendante. Un appareil de connexion en 802.11G+ adaptera sa vitesse si une carte réseau en 802.11 tente de se connecter par exemple, et ainsi de suite.

1.b. Les canaux de communications.

Une connexion sans fils peut utiliser un canal parmi 13 (de 1 à 13). Pour une communication entre 2 appareils sans fils, les canaux doivent correspondre. Certains appareils détectent automatiquement le canal.

1.c. Le SSID

Le SSID est un genre de nom de groupe de la connexion sans fils, il est différent du groupe de travail proposé par Windows. Un appareil sans fils ne peut se connecter que s'il est dans le même nom de réseau que l'équipement à raccorder. Néanmoins, un pont wifi communique par défaut son nom de groupe. De ce fait, tout appareil se baladant dans la zone de couverture détectera ce nom de groupe. Il est néanmoins possible sur de nombreux appareils de ne pas envoyer le SSID. Les appareils déjà repris sur ce SSID pourront néanmoins se connecter.

1.d. L'adresse MAC.

Chaque carte, routeur possède une adresse spécifique et unique que l'on appelle l'adresse MAC. Elle est implantée dans la carte à la fabrication et ne peut donc pas être modifiée. Certains appareils permettent d'accepter des connexions uniquement par des installations dont l'adresse MAC est repris dans une liste interne. C'est le meilleur niveau de sécurité mais le plus difficile à mettre en oeuvre. L'adresse MAC est généralement directement reprise sur l'appareil, rarement pour les cartes réseaux.

En Win98, l'adresse MAC est donnée par la commande winipcfg.exe (Démarrer -> exécuter)

En Windows 2000 et XP, elle se détermine par la commande DOS IPconfig/all.

2. Paramétrage d'un point d'accès 802.11G+ D-Link DWL2100AP

Je ne reprend pas ici la configuration complète de l'appareil. Voyons comment sécuriser la connexion sans fils. Je vous passe également les mots de passe, ... pour rentrer dans l'administration de l'appareil. Les systèmes sont équivalents dans la majorité des appareils.

Première fenêtre de configuration, l'accès sans fils. La zone Wireless Band ne peut être modifiée et signale que l'appareil travaille en 802.11G. En effet, le G+ n'est pas (encore) normalisé.

Le SSID (ici YBET) est le groupe d'utilisateurs autorisés à ce connecter. Par défaut, le SSID Broadcast ENABLE. Le pont envoie donc à l'extérieur son groupe via les les liaisons hertziennes. Ceci signifie qu'un PC dans le rayon de l'appareil détectera le réseau par son nom de groupe. Il est ici DISABLE. L'appareil ne communique pas son nom de groupe à l'extérieur. Par contre, un PC programmé avec ce groupe pourra se connecter. Il y a néanmoins un décalage de quelques secondes entre la mise en route de la liaison sans fils et la connexion effective. DISABLE est donc nettement préférable pour la sécurisation du réseau qui sera inconnu de l'extérieur.

Le Channel (canal) est celui utilisé par la communication. Normalement, les appareils doivent obligatoirement être dans le même canal. Néanmoins, certains équipement font un scannage de tous les canaux disponibles (DWL-610 par exemple). Ce n'est donc en elle même pas une sécurité suffisante.

mode de fonctionnement du DWL2100AP sans fils

La page suivante reprend des configurations particulières:

Access Point	PtP Bridge	PtMP Bridge	AP repeater	AP Client
Mode par défaut, permet la connexion de PC au réseau sans fils	Connexion de 2 points d'accès entre-eux. Par exemple, 2 bâtiments.	Connexion de plusieurs points d'accès sans fils.	Mode qui permet au DWL-2100 AP de fonctionner comme un répétiteur et d'augmenter la distance de transmission	Paramétré comme client sans fils. Dans ce mode, le DWL est vu comme un simple appareil sans fils.
	L'adresse MAC de l'autre équipement doit être indiqué. La connexion est donc uniquement entre 2 appareils, à l'exclusion de PC.	Les adresses MAC des autres points d'accès (à l'exclusion des PC) ne sont pas obligatoires mais fortement conseillées.	Dans ce mode, l'adresse MAC de l'appareil de connexion sans fils qui est connecté doit être rentrée. Ceci n'est pas liée à la sécurité mais pour éviter des interférences.	L'adresse MAC du point d'accès (un autre appareil connecté en access Point) doit être rentrée.

Nous ne nous intéressons qu'au mode "Access Point", le plus courant.

adresses MAC autorisées à se connecter sur le réseau sans fils

La fonction Filtrage (Filters) va permettre d'autoriser uniquement des cartes d'adresse MAC prédéfinies. C'est pour rappel, le niveau de sécurité le plus élevé.

Dernière commande de sécurité, l'encryptage. Un réseau utilisant cette protection utilise une clé de chiffres hexadécimals ou ASCI. Pour rappel, l'hexadécimal utilise une base 16, tandis que les codes ascii (utilisés pour les lettres) une base 8.

Open System: Dans ce cas toutes les stations peuvent se connecter (sauf filtrages plus haut) mais doivent utiliser la même clé que l'appareil si l'option est Enabled comme ci-dessus.

Shared Key: Ceci nécessite l'implantation d'un protocole spécial, le PAE. C'est l'ordinateur serveur qui va accepte la connexion de l'utilisateur et renvoyer la clé de cryptage au client. Le serveur doit être renseigné au point d'accès.

WPA (Wi-fi Protect Access): Le WPA est une norme de sécurité non standardisée. Elle est remplacée depuis juin 2003 par la norme IEEE 802.11i et permet de changer automatiquement la clé de chiffrement. La norme suivante (802.11X) permettra encore une meilleure sécurisation des connexions par certification utilisateurs.

Le chiffrement: La première sécurité est d'activer (enabled) cet encryptage. Le choix peut être dans cet appareil en hexadécimal ou en ASCII. Généralement, dans les cartes réseaux, seul l'hexadécimal est utilisable.

Le cryptage peut être avec une clé de 64, 128 ou plus rare de 152 bits (n'est pas souvent implantée dans les cartes réseaux actuelles). Plus le niveau est élevé, plus la "découverte" de la clé est difficile et donc meilleure est la sécurité.

L'option suivante permet d'utiliser 4 clés de sécurité. Néanmoins, l'option VALID Key ne permet de n'en utiliser qu'une à la fois. L'utilisation de 4 clés est donc nettement optionnelle.

3. Configuration d'une station

Voyons maintenant la connexion d'une station, ici un portable avec carte réseau intégrée sous Windows XP home.

configuration client réseau sans fils 802.11 G+

Nous utiliserons directement les fonctions fournies par Windows XP. Comme les propriétés du réseaux ne sont pas différentes d'un réseau Ethernet normal, nous ne nous intéressons qu'à la configuration de la carte (Configurer).

La configuration est assez réduite. Néanmoins, on retrouve:

Channel, le canal de communication iden,tique à celui du point, ici 6. Network Type est de type infrastructure pour une connexion sur un point d'accès. Le SSID est repris ici et permet de déterminer le groupe de connexion.

Ce n'est pas tout. Dans les connexions réseaux, utilisons la touche contextuelle pour sélectionner la fonction "Afficher les réseaux disponibles"

Cette fonction permet d'afficher tous les réseaux sans fils disponibles (qui transmettent leur SSID). Ici, le SSID est donné à la carte réseau puisque nous avons sélectionné de NE PAS TRANSMETTRE LE nom du réseau par le pont Wifi. La clé réseau doit être identique à la clé sélectionnée dans le pont.

L'authentification par 802.11X ne doit être cochée que si si vous utilisez sur le pont le mode Shared Key, les clés sont automatiquement fournies par le serveur et nécessitent l'implantation du PAE.

4. En conclusion.

La configuration d'un réseau sans fils passe par:

Choix du canal
Choix du SSID

La sécurisation du réseau sans fils demande

Pas de transmission par le pont du SSID
Clé réseau, si possible 128 bits, en WEP (obsolète) ou en WPA
Filtrage des adresses MAC autorisées à se connecter

Ceci n'est qu'à la limite du suffisant. En effet, des logiciels permettent d'analyser les trames (les messages) et ainsi de détecter les informations dans les messages (login, mots de passe, ...). Parmi ces logiciels, on retrouve Wi-Fi Scanner et Airsnort sous Linux, Net Stumbler (Windows) et même Mini Stumbler pour les PocketPc. Bref, les possibilités sont nombreuses et seule l'utilisation des adresses MAC autorisées permet réellement de sécurisé un réseau sans fils. La solution de sécurité de cryptage (clé réseau) utilise le WEP (Wired Equivalent Privaty) qui ce n'est plus une réelle sécurité, remplacé par le WPA.

Pour les réseaux hautement sensibles, l'utilisation d'un VPN est également une source supplémentaire de sécurité. Le VPN se branche alors entre la borne de réception sans fils (ici le DWL-2100AP) et le switch de connexion au réseau Ethernet.. Pour rappel, le VPN en capsule des paquets IP chiffrés (en-têtes et données) dans d'autres paquets qui transitent entre 2 stations.

Pour une réelle sécurité, il faudra attendre l'arrivée de la norme informatique de sécurité 802.11X qui permettra l'authentification des utilisateurs avec le protocole EAP (Extensible Authentification Protocole), en plus du cryptage des informations. Dans ce cas, l'accès n'est autorisé que si l'utilisateur est enregistré sur un serveur RADIUS (Remote Authentification Dial-In User Service) tel que le logiciel libre Free Radius. Ce logiciel fonctionne sous Windows 2000 serveur et Win2003 serveur. L'échange préalable du login - mot de passe peut passer par certificat (éventuellement intégré dans une carte à puce) ou plus simplement par l'algorithme MD5 avec une sécurité moindre.

Dans tous les cas de données sensibles, il est préférable de connecté l'installation sans fils comme liaison extérieur du firewall, par exemple entre le firewall et la connexion ADSL. Ceci implique forcément l'utilisation d'un VPN.

Architecture d'un réseau d'entreprise Un exemple concret d'utilisation d'un pont Wifi pour une connexion réseau entre 2 bâtiments.	Connexion 2 réseaux Ethernet via un réseau sans fils Comment inter-connecter 2 réseaux internes avec pont 802.11G D-Link DWL-2100
Cours hardware: Réseaux Wifi Le cours hardware 2 sur les liaisons sans fils	Introduction aux réseaux informatiques Dans le cours hardware, le fonctionnement de base des réseaux.

Mise en ligne: 24/04/2003

La Formation hardware 1: PC et périphériques. Le Formation Hardware 2: réseaux, serveurs et communication

Les activités d'YBET informatique à Pin - Chiny

Les compétences au service de la qualité.