Sécurité Wi-Fi : tout prendre en compte
La surveillance des ondes radio se pose en complément des indispensables mécanismes d'authentification et de chiffrement.
01net.
le 30/05/05 à 07h00
La question de la sécurité a longtemps été le principal frein à l'essor de réseau locaux sans fil Wi-Fi en entreprise. Question aujourd'hui en partie résolue par l'apparition de normes de plus en plus étoffées et par des offres
produits considérablement renforcées sur cet aspect. Il reste toutefois à chaque entreprise la lourde tâche d'ajuster la sécurité Wi-Fi à ses exigences, un travail d'autant plus complexe que la sécurité d'un réseau sans fil recouvre une multitude
d'aspects.
Les besoins : des usages diversifiés
Lorsque les Hospices Civils de Lyon (HCL) ont lancé un appel d'offres l'année dernière pour s'équiper d'un réseau Wi-Fi, le complexe hospitalier voulait rendre mobiles des applications très opérationnelles, comme la saisie des
prescriptions des médecins au pied du lit du malade. Les applications médicales faisant transiter des informations sensibles, la sécurité du réseau était primordiale.
À l'université Pierre et Marie Curie (UPMC), le défi principal provient de l'incapacité du service informatique à répertorier l'ensemble des portables des 30 000 étudiants autorisés à se connecter au réseau sans fil. La chaîne de
magasins de bricolage Lapeyre, qui a déployé un réseau Wi-Fi fin 2004, souhaitait équiper les salles de réunion de son siège, en suivant les recommandations de sécurité de sa maison mère, Saint-Gobain. ' La plus grande salle
de réunion accueille jusqu'à une quarantaine de personnes, les autres de six à vingt, précise Patrick Goubin, responsable réseau et télécoms de Lapeyre. Pour l'équipement des magasins, nous n'en sommes qu'au stade de la
réflexion, car le besoin du sans-fil ne se fait pas fortement ressentir, pour le moment. '
Le choix : le contrôle centralisé à l'honneur
' Le Wi-Fi n'est pas une technologie figée, ce qui a rendu difficile la sélection des solutions, à la fois pour des raisons de choix technologiques, avec des gammes et des standards en pleine évolution, et pour
des raisons de pérennité des investissements, avec certains constructeurs qui se font racheter. Les choses commencent maintenant à se stabiliser ', estime Alexandre Baffi, ingénieur réseau à la direction informatique des HCL.
D'ailleurs, Amec Spie Communications, qui a gagné l'appel d'offres émis par les Hospices, n'a pas mis en avant l'offre d'un seul constructeur, mais un catalogue de matériels (de Cisco, Nortel, 3Com, Foundr y et HP), puisque le déploiement allait
s'étendre sur trois ans. À ce jour, seuls des matériels Cisco ont néanmoins été installés. Les points d'accès en exploitation, au nombre de 350, devraient atteindre 500 fin mai.
Ces matériels sont hiérarchisés selon une architecture WDS (Wireless Domain Services), qui consiste à désigner un maître chapeautant un certain nombre de points d'accès. De son côté, l'UPMC a opté pour une
solution Aruba. ' Nous souhaitions une architecture centralisée, avec des points d'accès les plus allégés possible et avec un fonctionnement similaire à celui d'un simple convertisseur de média. Avec l'objectif de limiter les
problèmes potentiels et de ne pas être obligés, par exemple, de nous connecter à chaque point d'accès suite à une alerte de sécurité ', explique Jacky Thibault, directeur technique du CCR (Centre de calcul et de réseau) de
l'UPMC. Aujourd'hui, l'université exploite un seul commutateur Aruba 5500, pour des raisons de coût, mais aussi parce que l'utilisation du Wi-Fi est encore limitée. Le contrat de maintenance en assure le remplacement sous quatre heures en cas de
problème. ' Cependant, nous prévoyons d'en installer un second, selon une architecture redondante avec des fonctions d'équilibrage de charge ', précise Jacky Thibault.
Lapeyre a également retenu une solution Aruba, la société jugeant primordial le critère de l'administration centralisée. Que le commutateur sans fil embarque un coupe-feu a constitué un autre atout : ' Cela
permettra également de sécuriser le réseau filaire là où on ne le fait pas encore, notamment dans l'éventualité où nous équiperions nos magasins. Nous opterions dans ce cas pour une architecture décentralisée avec un commutateurpar magasin, pour le
cas où la liaison entre le siège et le magasin serait inter rompue. Ainsi, nous avons paré à toute éventualité concernant la suite du déploiement ', indique Patrick Goubin.
Une autre fonction qui commence à se standardiser est la sur veillance de l'environnement radio. ' Les points d'accès sur veillent l'environnement radio pour s'assurer qu'il n'existe pas de bornes
" sauvages ", ni de communications en mode " ad hoc " entre les postes ', indique Jacky Thibault. Le mode ad hoc est également prohibé chez Lapeyre.
' Cela constitue potentiellement une entrée dérobée sur le réseau ', note Patrick Goubin. Souhaitant surveiller toutes les fréquences, l'UPMC déploie des bornes dédiées à ce seul usage. Il s'agit des
mêmes matériels que les points d'accès qui fournissent une connexion aux utilisateurs, mais ils sont paramétrés pour ne faire que de la surveillance. Lorsqu'elles sont ainsi configurées, les bornes couvrent un espace plus impotant.
' Nous disposerons ainsi d'environ une borne de surveillance pour trois ou quatre bornes desservant des utilisateurs. Les deux types de bornes sont déployés en même temps. Nous ne voulions surtout pas déployer le réseau
d'accès et être ensuite à la merci d'un manque de budget pour le déploiement des bornes dédiées à la sécurité ', souligne Jacky Thibault.
Les HCL ont également mis en place une surveillance radio, pilotée par WLSE (Wireless LAN Solution Engine). Pour l'instant, ce sont les bornes desservant les utilisateurs qui effectuent aussi la surveillance.
' Le maillage relativement serré des points d'accès fournit une surveillance efficace. WLSE les fait intervenir les uns après les autres. Chaque borne est indisponible pour les utilisateurs pendant trois minutes toutes les
huit heures, puis reprend son service. Certains sites se trouvant dans des zones semi-résidentielles, nombre de points d'accès de particuliers sont détectés : ils doivent être identifiés et répertoriés comme non dangereux, afin qu'ils ne
déclenchent pas d'alarmes ', note Alexandre Baffi.
La mise en ?"uvre : plusieurs options de chiffrement
Au niveau de l'authentification des utilisateurs, la norme IEEE 802.1x associée au protocole EAP (Extensible Authentication Protocol) et ses variantes fait l'unanimité. Chez Lapeyre, cela faisait partie des recommandations de la
maison mère Saint-Gobain, au même titre que l'utilisation de jetons RSA et qu'un chiffrement radio avec clés WEP dynamiques (TKIP, Temporal Key Integrity Protocol). ' Il est de notoriété publique que LEAP
[Lightweight EAP] de Cisco est facile à " casser ". En revanche, PEAP [Protected EAP] de Microsoft et EAP-TTLS sont très proches, mais ce dernier est plus interopérable, et donc à privilégier en
entreprise ', indique Jérôme Poggi, consultant chez HSC. Aux Hospices Civils de Lyon, les premiers tests fonctionnels utilisaient LEAP. ' Nous sommes partis sur une solution Cisco, car elle seule nous
permettait d'utiliser une authentification forte avec le protocole LEAP et la fonction Radius embarquée. Ne disposant pas de serveur Radius, cette fonction nous a permis de déployer une solution avec une authentification forte en attendant
l'acquisition d'une solution Radius globale ', explique Alexandre Baffi. Côté radio, les HCL ont commencé par du WEP statique, utilisent aujourd'hui du WEP dynamique, et comptent déployer bientôt 802.11i et le chiffrement
AES. ' Il faut que nous nous coordonnions avec nos collègues chargés des postes de travail sur ce point ', note Alexandre Baffi.
À l'université Pierre et Marie Curie, pas question de gérer des clés de chiffrement des communications radio, compte tenu du nombre d'étudiants équipés de leur propre PC portable. ' Il nous fallait une solution
qui ne requière aucune intervention sur les postes clients, et qui, en l'absence de chiffrement au niveau de la partie radio, l'assure au niveau des couches supérieures ', indique Jacky Thibault. Le portail captif, assuré par
le commutateur Aruba, fournit une solution idéale : dès qu'un utilisateur tente de se connecter au réseau Wi-Fi, il se retrouve sur la page d'accueil, où il doit s'identifier par un login et un mot de passe via une connexion sécurisée HTTPS.
L'UPMC a également retenu une seconde option : l'authentification via EAP-TTLS. ' Il faut activer la gestion du protocole sur les postes clients, et peu d'étudiants l'utilisent aujourd'hui ', note
Jacky Thibault. Le système interroge le serveur LDAP de l'université via Radius, et va puiser dans une base annexe s'il n'y trouve pas l'utilisateur. Cette base annexe comporte des identifiants basés sur des chaînes de caractères aléatoires,
destinés aux utilisateurs temporaires, des visiteurs ou des membres d'un congrès, par exemple. Ces accès sont en général limités à une journée.
Les écueils : les PDA n'aiment pas les identifiants réseau cachés
Aujourd'hui, les HCL utilisent un seul SSID (Service Set Identification) pour l'ensemble du complexe hospitalier, à l'exception de quelques associations qui exploitent son infrastructure réseau. Ces dernières disposent de leur propre
SSID et passerelle d'authentification ainsi que d'un accès Internet spécifique. ' Pour l'instant nous utilisons au maximum trois SSID sur une même borne. Mais nous avons testé des configurations allant jusqu'à sept ou huit
SSID ', précise Alexandre Baffi. Le SSID des HCL est ' caché ', autrement dit les bornes d'accès ne diffusent pas de trames balises (beacon). ' Simple
précaution. Éviter de clamer sa présence est un premier élément de prévention des attaques ', juge Alexandre Baffi. Pour se connecter à un SSID non diffusé, l'utilisateur, qui ne le verra pas apparaître dans la liste proposée
par Windows, devra expressément le saisir, ainsi que les éventuelles clés de chiffrement. ' Néanmoins, toute personne s'associant au point d'accès dévoilera son SSID car cette information est envoyée en clair. Des outils
publiquement disponibles permettent cette association d'informations. Cacher son SSID est donc un petit avantage permettant de réduire sensiblement les connexions indésirables, mais ne peut être la seule mesure de sécurité mise en
place ', souligne Jérôme Poggi. Un type de précaution jugé inutile à l'UPMC : ' Nous n'avons aucune raison de cacher nos deux SSID, car ils sont bien sécurisés ', estime
Jacky Thibault.
Les Hospices Civils de Lyon devront remettre ce principe en cause en raison de futures applications. Par exemple, le transport sanitaire connectera les ambulanciers à une base de données leur indiquant quels transports leur sont
affectés. Ce système utilisera un accès GPRS en dehors des hospices, et exploitera le réseau Wi-Fi dans leur enceinte afin de réduire les coûts. ' Il se trouve qu'un PDA ne se connecte qu'à un réseau dont le SSID est diffusé.
Nous avons testé quatre modèles et rencontré ce problème avec chacun ', indique Alexandre Baffi.
1- Un réseau sous surveillance radio
Il est fréquent que la surveillance de l'environnement radio soit assurée par les points d'accès connectant les utilisateurs, indisponibles brièvement le temps de détecter d'éventuelles bornes pirates. Pour une surveillance radio
maximale, on optera pour des matériels dédiés, qu'il s'agisse de points d'accès paramétrés pour cela, ou de matériels spécifiques n'ayant aucune vocation à réaliser des connexions.
2- Un contrôle centralisé
Le contrôle centralisé peut s'effectuer à partir d'un commutateur sans fil associé à des points d'accès allégés, d'un point d'accès jouant le rôle de maître (WDS de Cisco), ou encore d'un module spécifique que l'on a rajouté à un
commutateur standard (module Cisco WLSM pour Catalyst 6500, par exemple).
3- Un chiffrement plus efficace
Désormais, la quasitotalité des solutions Wi-Fi pour entreprises ont adopté l'algorithme TKIP (Temporal Key Integrity Protocol), utilisé dans la norme WPA, qui rend les clés WEP dynamiques. Elles intègrent même déjà le chiffrement
AES plus puissant (exploité par WPA2 ou 802.11i).
4- Un parc de portables difficile à répertorier
Certaines options de sécurité imposent d'intervenir sur les postes de travail. C'est le cas du chiffrement AES, qui nécessite une mise à jour matérielle ou logicielle, des RPV IPSec, ou dans certains cas de mécanismes
d'authentification, selon la variante EAP et le système d'exploitation client.
Les fonctions de sécurité de quelques offres Wi-Fi
Retour d'expérience : Université Pierre et Marie Curie : ' Il était hors de question que le campus devienne un hot spot '
Limiter la puissance d'émission
' Nous avions prévu l'installation d'un réseau sans fil destiné aux étudiants et au personnel de l'université, et ce projet a été renforcé par l'opération Micro Portable Étudiant lancée en septembre 2004
par le ministère de l'Éducation nationale, qui propose en particulier un portable à un euro par jour ', explique Jacky Thibault, directeur technique du CCR de l'UPMC. D'où un déploiement sur les zones de passage, les
amphithéâtres et les halls de deux CHU, la Pitié Salpêtrière et Saint-Antoine. Une seconde vague de déploiement étendra le réseau à la quasi-totalité des locaux, avec environ 200 bornes, fin 2006. ' Cependant, nous ne voulons
pas qu'il devienne un hot spot à la disposition de la population du quartier, ajoute Jacky Thibault.
Cela se traduit par le fait qu'il n'y a aucune connexion anonyme. Tous nos utilisateurs sont référencés dans un annuaire LDAP central, et les accès destinés aux personnes de passage sont référencés à part, l'ensemble
étant interrogé par un serveur Radius. Il faut ramener les dangers du Wi-Fi à ce qu'ils sont réellement, soit, à mon sens, de deux ordres : d'une part, on peut écouter les communications, donc elles doivent être chiffrées ; d'autre part,
on ne maîtrise pas le périmètre géographique du réseau, donc il est judicieux de paramétrer les bornes suite à une étude de site fine, car elles n'auront pas forcément toutes besoin d'émettre à puissance maximale. Pas la peine d'arroser tout le
quartier ', conclut Jacky Thibault.
Le réseau Wi-Fi de l'université Pierre et Marie Curie comptera à terme 200 à 300 points d'accès.
Université Pierre et Marie Curie
Retour d'expérience : Alexandre Baffi (Hospices civils de Lyon) : ' Bientôt une architecture complètement redondante '
Soigner chaque détail
' Nos sites les plus importants sont équipés d'environ 150 points d'accès, tandis que les petits sites en comportent une trentaine ', explique Alexandre Baffi, ingénieur réseau à la
direction informatique des HCL. Ce déploiement repose sur une architecture Cisco WDS (Wireless Domain Services), qui consiste à charger un équipement maître de gérer un certain nombre de points d'accès. Le maître WDS peut être un point d'accès, ou
bien une carte WLSM (Wireless LAN Services Module) insérée dans un commutateur Catalyst 6500. ' Nous utilisons les deux options, les plus grands sites sont gérés par un module WLSM central, placé dans notre salle machines,
tandis que les petits sites comportent chacun deux points d'accès WDS, en configuration redondante. Le WLSM et les WDS communiquent avec le logiciel central WLSE [Wireless LAN Solution Engine], avec un même niveau de hiérarchie,
chaque îlot WDS étant indépendant. Il manque encore un niveau de redondance au niveau de la carte WLSM ', ajoute Alexandre Baffi. Autrement dit, en cas de défaillance éventuelle de cette dernière, les points d'accès des sites
fonctionneraient toujours, mais plus l'authentification, puisqu'elle ne passe pas par le maître WDS. ' Nous réfléchissons à l'architecture redondante à mettre en ?"uvre, soit l'installation d'une deuxième carte WLSM, soit
l'éclatement de l'architecture WDS sur chacun des sites principaux ', conclut Alexandre Baffi.
Hospices civils de Lyon
Avis d'intégrateur : Jérôme Poggi et Guillaume Lehembre (Hervé Schauer consultants) : ' Une architecture centralisée présente de gros avantages '
Quel et l'impact d'une architecture Wi-Fi centralisée sur la sécurité ?
Une architecture centralisée permet de concentrer toute l'intelligence au sein d'un même matériel, et de n'avoir qu'un seul point à administrer, à configurer, et à surveiller, car c'est le seul point exposé au piratage. Il doit donc
être plus performant, plus résistant et surveillé de plus près.
Et au niveau préventif ?
L'authentification des utilisateurs se fait en bout de chaîne et non au niveau de chaque point d'accès. Ainsi, un point d'accès dérobé par une personne mal-veillante ne comportera que très peu d'informations. De plus, l'architecture
centralisée assure des fonctions de surveillance, chose qui n'est pas aussi aisée avec des points d'accès auto- nomes et dispersés. Derrière le commutateur, on peut placer une architecture sécurisée de type zone démilitarisée/coupe-feu unique. Cette
facilité de mise en place est hautement appréciable car la complexité est toujours l'ennemi de la sécurité. Même si ces équipements disposent de fonctions de filtrage, il est recommandé d'en rajouter en amont.
Hervé Schauer consultants
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
