5.

3 WLAN sécurisés
5.3.2 Masquage du SSID et filtrage
des adresses MAC
Les signaux sans fil peuvent traverser la matière solide, comme les plafonds, les
sols, les murs, l'extérieur de la maison ou les bureaux. Sans mesures de sécurité
strictes en place, l'installation d'un WLAN peut être l'équivalent de mettre des ports
Ethernet partout, même à l'extérieur.

Pour contrer les menaces de garder les intrus sans fil à l'extérieur et de protéger les
données, deux premières fonctions de sécurité ont été utilisées et sont toujours
disponibles sur la plupart des routeurs et des points d'accès : le masquage SSID et
le filtrage des adresses MAC.

Masquage SSID

Les points d'accès et certains routeurs sans fil permettent de désactiver la trame de
la balise SSID, comme illustré dans la figure. Les clients sans fil doivent configurer
manuellement le SSID pour se connecter au réseau.

Filtrage des adresses MAC

Un administrateur peut autoriser ou refuser manuellement l'accès sans fil des clients
en fonction de leur adresse matérielle MAC physique. Dans la figure, le routeur est
configuré pour autoriser deux adresses MAC. Les appareils avec des adresses MAC
différentes ne pourront pas rejoindre le WLAN 2.4 GHz.
5.3.3 Méthodes d'authentification
originales 802.11
Bien que ces deux fonctionnalités découragent la plupart des utilisateurs, la réalité
est que ni le masquage SSID ni le filtrage des adresses MAC ne décourageraient un
intrus rusé. Les SSID sont facilement découverts même si les points d'accès ne les
diffusent pas et que les adresses MAC peuvent être usurpées. La meilleure façon de
sécuriser un réseau sans fil est d'utiliser des systèmes d'authentification et de
cryptage.

Deux types d'authentification ont été introduits avec la norme 802.11 d'origine :

 Authentification de système ouvert - Tout client sans fil doit pouvoir se

connecter facilement et ne doit être utilisé que dans des situations où la
sécurité n'est pas un problème, comme dans les lieux offrant un accès gratuit
à l'internet, comme les cafés, les hôtels et les zones reculées. Le client sans fil
est responsable de la sécurité, comme l'utilisation d'un réseau privé virtuel
(VPN) pour se connecter en toute sécurité. VPNs provide authentication and
encryption services. Les VPN dépassent le cadre de cette rubrique.
 Authentification par clé partagée - Fournit des mécanismes, tels que WEP,
WPA, WPA2 et WPA3 pour authentifier et crypter les données entre un client
sans fil et un AP. Cependant, le mot de passe doit être pré-partagé entre les
deux parties pour se connecter.

Le tableau suivant résume ces méthodes d'authentification.

5.3.4 Méthodes d'authentification par
clé partagée
Il existe quatre techniques d'authentification par clé partagée, comme décrit dans le tableau.
Jusqu'à ce que la disponibilité des appareils WPA3 devienne omniprésente, les réseaux
sans fil devraient utiliser la norme WPA2.
Il existe quatre techniques d'authentification par clé partagée, comme décrit dans le tableau.
Jusqu'à ce que la disponibilité des appareils WPA3 devienne omniprésente, les réseaux
sans fil devraient utiliser la norme WPA2.
5.3.5 Authentification d'un utilisateur
domestique
Les routeurs domestiques ont généralement deux choix pour l'authentification : WPA
et WPA2. WPA2 est le plus fort des deux. La figure montre l'option pour sélectionner
l'une des deux méthodes d'authentification WPA2 :

 Personnel - Destiné aux réseaux domestiques ou de petits bureaux, les

utilisateurs s'authentifient à l'aide d'une clé pré-partagée (PSK). Les clients
sans fil s'authentifient auprès du routeur sans fil à l'aide d'un mot de passe
pré-partagé. Aucun serveur d'authentification spécial n'est requis.
 Enterprise - Destiné aux réseaux d'entreprise mais nécessite un serveur
d'authentification RADIUS (Remote Authentication Dial-In User Service). Bien
que plus compliqué à configurer, il offre une sécurité supplémentaire. Le
périphérique doit être authentifié par le serveur RADIUS, puis les utilisateurs
doivent s'authentifier à l'aide de la norme 802.1X, qui utilise le protocole EAP
(Extensible Authentication Protocol) pour l'authentification.

Dans la figure, l'administrateur configure le routeur sans fil avec l'authentification

WPA2 Personal sur la bande 2.4 GHz.

5.3.6 Méthodes de cryptage

Le cryptage est utilisé pour protéger les données. Si un intrus a capturé des données
chiffrées, il ne serait pas en mesure de les déchiffrer dans un délai raisonnable.

Les normes WPA et WPA2 utilisent les protocoles de chiffrement suivants :

  Protocole d'intégrité de clé temporelle (TKIP) - TKIP est la méthode de
cryptage utilisée par le WPA. Il prend en charge les équipements WLAN
hérités en corrigeant les failles d'origine associées à la méthode de cryptage
802.11 WEP. Il utilise le WEP, mais chiffre la charge utile de couche 2 à l'aide
de TKIP, et effectue un contrôle d'intégrité du message (MIC) dans le paquet
chiffré pour s'assurer que le message n'a pas été modifié.
 Standard d'encryptage avancé (AES) - AES est la méthode de cryptage
utilisée par WPA2. C'est la méthode préférée car c'est une méthode de
cryptage beaucoup plus puissante. Il utilise le mode Counter Cipher Mode
avec Block Chaining Message Authentication Code Protocol (CCMP) qui
permet aux hôtes de destination de reconnaître si les bits chiffrés et non
chiffrés ont été modifiés.

Dans la figure, l'administrateur configure le routeur sans fil pour utiliser WPA2 avec le
cryptage AES sur la bande 2.4 GHz.

5.3.7 Authentification dans

l'entreprise
Dans les réseaux qui ont des exigences de sécurité plus strictes, une authentification
ou une connexion supplémentaire est requise pour accorder un tel accès aux clients
sans fil. Le choix du mode de sécurité d'entreprise nécessite un serveur RADIUS
d'authentification, d'autorisation et de comptabilité (AAA).

 Adresse IP du serveur RADIUS - Il s'agit de l'adresse joignable du serveur

RADIUS.
 Numéros de port UDP - Ports UDP 1812 officiellement attribués pour
l'authentification RADIUS et 1813 pour la comptabilité RADIUS, mais ils
 peuvent également fonctionner en utilisant les ports UDP 1645 et 1646,
comme le montre la figure.
 Clé partagée - Utilisée pour authentifier l'AP avec le serveur RADIUS.

Dans la figure, l'administrateur configure le routeur sans fil avec l'authentification

WPA2 Enterprise à l'aide du cryptage AES. L'adresse IPv4 du serveur RADIUS est
également configurée avec un mot de passe fort à utiliser entre le routeur sans fil et
le serveur RADIUS.

La clé partagée n'est pas un paramètre qui doit être configuré sur un client sans fil. Il
est uniquement requis sur l'AP pour s'authentifier auprès du serveur RADIUS.
L'authentification et l'autorisation des utilisateurs sont gérées par la norme 802.1X,
qui fournit une authentification centralisée sur serveur des utilisateurs finaux.

Le processus de connexion 802.1X utilise EAP pour communiquer avec le serveur

AP et RADIUS. EAP est un cadre pour authentifier l'accès au réseau. Il peut fournir
un mécanisme d'authentification sécurisé et négocier une clé privée sécurisée qui
peut ensuite être utilisée pour une session de cryptage sans fil à l'aide du cryptage
TKIP ou AES.

5.3.8 WPA3
Au moment d'écrire ces lignes, les périphériques prenant en charge l'authentification
WPA3 n'étaient pas facilement disponibles. Cependant, WPA2 n'est plus considéré
comme sécurisé. WPA3, si disponible, est la méthode d'authentification 802.11
recommandée. WPA3 comprend quatre fonctionnalités :

 WPA3-Personnel

Dans WPA2-Personnel, les acteurs de menace peuvent écouter la « poignée de main » entre
un client sans fil et l'AP et utiliser une attaque par force brute pour essayer de deviner le
PSK. WPA3-Personnel déjoue cette attaque en utilisant l'authentification simultanée d'égaux
(SAE), une fonctionnalité spécifiée dans l'IEEE 802.11-2016. Le PSK n'est jamais exposé, ce
qui rend impossible pour l'acteur de menace de deviner.

 WPA3-Entreprise

WPA3-Entreprise utilise toujours l'authentification 802.1X / EAP. Cependant, il nécessite

l'utilisation d'une suite cryptographique 192 bits et élimine le mélange des protocoles de
sécurité pour les normes 802.11 précédentes. WPA3-Enterprise adhère à la suite CNSA
(Algorithme de sécurité nationale commerciale) qui est couramment utilisée dans les réseaux
Wi-Fi haute sécurité.

 Réseaux ouverts

Les réseaux ouverts dans WPA2 envoient le trafic utilisateur en texte clair non authentifié.
Dans WPA3, les réseaux Wi-Fi ouverts ou publics n'utilisent toujours aucune authentification.
Cependant, ils utilisent le chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic
sans fil.

 Embarquement pour l'internet des objets (IoT)

Bien que WPA2 comprenne une configuration Wi-Fi protégée (WPS) pour intégrer
rapidement les appareils sans les configurer au préalable, WPS est vulnérable à diverses
attaques et n'est pas recommandé. De plus, les appareils IoT sont généralement sans tête,
ce qui signifie qu'ils n'ont pas d'interface graphique intégrée pour la configuration et qu'ils
avaient besoin d'un moyen simple pour se connecter au réseau sans fil. Le protocole DPP
(Device Provisioning Protocol) a été conçu pour répondre à ce besoin. Chaque appareil sans
tête possède une clé publique codée en dur. La clé est généralement estampillée à
l'extérieur de l'appareil ou de son emballage sous forme de code QR (Quick Response).
L'administrateur réseau peut scanner le code QR et intégrer rapidement l'appareil. Bien qu'il
ne fasse pas strictement partie de la norme WPA3, DPP remplacera WPS au fil du temps.

5.4.1 Qu'ai-je appris dans ce module ?