La protection des réseaux sans fil

Les réseaux sans fil posent un sérieux problème de sécurité. La transmission étant réalisée
dans les airs, n'importe qui peut capter ces signaux et accéder ainsi à un réseau non protégé

Mettre en œuvre un réseau sans fil non protégé équivaut à placer des bornes d'accès
Ethernet dans le parking ou sur les murs extérieurs de la société en permettant à
n'importe qui d'accéder au réseau interne de l'entreprise ou de l'administration.

Avant de prendre une décision concernant le déploiement d'un réseau sans fil, il est
indispensable de réaliser une étude sur les besoins et les modalités de sécurisation à adopter.

Les points d'accès peuvent être non sécurisés si on garde leur configuration par défaut:

 ils sont fournis avec un mot de passe administrateur,

 on permet la diffusion de leur SSID afin qu'on puisse les découvrir facilement,
 l'authentification et l'encryption sont désactivées,
 etc.

Les paramètres par défaut d'un point d'accès peuvent être restaurés facilement avec un
bouton de reset. Une raison de plus pour assurer sa protection physique car cette protection
physique d'un point d'accès est aussi importante que sa configuration.

Les solutions disponibles

Les moyens de sécurisation d'un réseau sans fil sont les suivants:

 remplacement de l'identifiant par défaut du point d'accès sans fil (SSID) avec un
identifiant propre à l'entreprise ou à l'administration. Cet identifiant constitue
donc un secret partagé par tous les utilisateurs d'un réseau sans fil;
 remplacement des paramètres de configuration fournis par défaut par les
constructeurs (mot de passe administrateur, SSID, etc.);
 configuration de l'AP (Acces Point) de telle manière qu'il passe inaperçu
(empêcher la diffusion de son SSID);
 utilisation des méthodes d'identification et de filtrage pour les stations clientes
autorisées à utiliser le réseau sans fil. La manière la plus simple est de définir une
liste des clients autorisés lesquels sont identifiés par l'adresse MAC de leur carte
Ethernet sans fil (cette adresse étant unique). Cette liste sera mise à jour par un
administrateur réseau. Si cette méthode est simple, elle n'offre par contre pas toutes les
garanties de fiabilité,
 utilisation de standards ou de protocoles ouverts tels que:
o WEP (Wired Equivalent Privacy): technique développée pour renforcer la
protection des réseaux sans fil avec un encryptage des paquets basé sur une clé
connue seulement par les clients autorisés. WEP pose toutefois quelques
problèmes d'interopérabilité et présente certaines limitations;
o WPA (Wi-Fi Protected Access): nouveau concept développé par Wi-Fi
Alliance pour répondre aux limitations du WEP. WPA est basé sur des
spécifications du standard IEEE's 802.11i qui utilise une clé temporaire (TKIP,
Temporal Key Integrity Protocol) pour encrypter les paquets envoyés à travers
 les réseaux sans fil. WPA peut déjà être utilisé avec une authentification basée
sur le standard 802.1X, avec une migration possible vers le 802.11i dès que les
équipements de ce type seront disponibles. L'usage d'une clé temporaire,
changée souvent, permet de garantir un échange sécurisé via un réseau WiFi
car le décodage des paquets capturés par des personnes malveillantes est plus
difficile, les paquets étant encryptés avec des clés différentes;
o il existe d'autres protocoles d'authentification que l'on peut citer à titre
d'exemple: EAP-FAST (Extensible Authentication Protocol-Flexible
Authentication via Secure Tunneling), LEAP (Lightweight Extensible
Authentication Protocol) et PEAP (Protected Extensible Authentication
Protocol).
 utilisation de l'IPSec comme alternative aux techniques WPA et 802.11i. Si la
technique IPSec est déjà opérationnelle pour d'autres besoins au sein de l'entreprise ou
de l'administration, son utilisation peut être élargie à l'encryption de trafic WLAN ,
 restreindre le trafic issu du réseau sans fil au sein d'un VLAN afin de bénéficier
des outils de sécurité qu'offre cette technologie.