Cette section décrit les diverses méthodes de sécurité utilisées pour protéger les réseaux WiFi.
Authentification 802.1X (sécurité d'entreprise)
Types d'authentification réseau
Types de chiffrement de données
Sans protection, votre réseau sans fil est vulnérable aux accès provenant d'autres ordinateurs. Il est facile de protéger votre réseau domestique et de petite entreprise de presque toutes les formes d'accès non autorisé grâce aux méthodes de sécurité décrites dans cette section.
L'authentification est le processus d'identification et d'autorisation d'une requête provenant d'un client (habituellement un ordinateur portable) pour accéder au réseau au niveau d'un point d'accès. Une fois l'authentification réalisée et l'accès accordé, le client peut accéder au réseau.
Il est possible de choisir les algorithmes de chiffrement des informations et des données qui circulent sur le réseau sans fil. Seuls les ordinateurs dotés de clés communiquées à l'avance peuvent chiffrer et déchiffrer les données ainsi transmises. Les clés de chiffrement sont disponibles avec deux niveaux de sécurité, 64 et 128 bits. Utilisez la clé 128 bits pour une meilleure sécurité.
Un moyen simple pour améliorer la sécurité du réseau est le paramétrage du point d'accès pour aucune diffusion de l'identificateur SSID. Le SSID est nécessaire pour accéder au réseau. Seuls les ordinateurs ayant connaissance du SSID peuvent accéder au réseau. (Ce paramètre n'est pas défini au niveau de la carte à l'aide de l'utilitaire de connexion Intel(R) PROSet Wireless WiFi, mais au niveau du point d'accès.)
IEEE 802.11 prend en charge deux types de méthodes d'authentification réseau : système ouvert et clé partagée.
Le chiffrement WEP (Wired Equivalent Privacy) permet de bloquer la réception non autorisée de données sans fil. WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données chiffrées transmises par d'autres ordinateurs. Le chiffrement WEP offre deux niveaux de sécurité grâce à l'utilisation d'une clé 64 bits (également nommée 40 bits) ou d'une clé 128 bits (également nommée 104 bits). Pour une sécurité accrue, utilisez la clé 128 bits. Si le chiffrement est utilisé, tous les périphériques sans fil de votre réseau sans fil doivent utiliser des clés de chiffrement identiques.
Avec le chiffrement de données WEP, une station sans fil peut être configurée avec un maximum de quatre clés (la valeur d'index des clés est 1, 2, 3 et 4). Lorsqu'un point d'accès ou une station sans fil transmet un message chiffré à l'aide d'une clé stockée dans un index de clé spécifique, le message transmis indique l'index de clé utilisé pour le chiffrement du corps du message. Le point d'accès ou la station sans fil de réception peuvent alors extraire la clé stockée dans l'index de clé et l'utiliser pour déchiffrer le corps du message chiffré
L'algorithme de chiffrement WEP étant vulnérable aux attaques du réseau, il est préférable d'utiliser la sécurité WPA-Personnel ou WPA2-Personnel.
Le mode WPA Personnel est destiné aux réseaux domestiques et de petites entreprises. WPA-Personnel nécessite la configuration manuelle d'une clé communiquée à l'avance (PSK) sur le point d'accès et les clients. Aucun serveur d'authentification n'est nécessaire. Le mot de passe entré sur le point d'accès doit être utilisé sur l'ordinateur et sur tous les autres périphériques sans fil accédant au réseau sans fil. La sécurité dépend de la force et de la confidentialité du mot de passe. Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée. Si votre point d'accès sans fil ou votre routeur prend en charge WPA-Personnel et WPA2-Personnel, vous devriez l'activer sur le point d'accès et entrer un mot de passe long et sûr. WPA-Personnel rend disponibles les algorithmes de chiffrement de données TKIP et AES-CCMP.
WPA2-Personnel nécessite la configuration manuelle d'une clé communiquée à l'avance (PSK) sur le point d'accès et les clients. Aucun serveur d'authentification n'est nécessaire. Le mot de passe entré sur le point d'accès doit être utilisé sur l'ordinateur et sur tous les autres périphériques sans fil accédant au réseau sans fil. La sécurité dépend de la force et de la confidentialité du mot de passe. Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée. WPA2 est une amélioration de WPA et se conforme à la norme IEEE 802.11i complète. WPA2 est rétro-compatible avec WPA. WPA2-Personnel rend disponibles les algorithmes de chiffrement de données TKIP et AES-CCMP.
REMARQUE : WPA-Personnel et WPA2-Personnel peuvent fonctionner conjointement.
Cette section décrit les procédures de sécurité utilisées par de plus grandes entreprises.
Présentation
Qu'est-ce que RADIUS ?
Fonctionnement de l'authentification 802.1X
Fonctionnalités 802.1X
L'authentification 802.1X est indépendante du processus d'authentification de la norme 802.11. La norme 802.11 fournit un cadre pour les différents protocoles d'authentification et de gestion de clés. Il existe différents types d'authentification 802.1X, chacun approchant l'authentification d'une façon différente, mais tous emploient le même protocole 802.11 et le même cadre pour la communication entre un client et un point d'accès. Dans la plupart des protocoles, une fois que le processus d'authentification 802.1X est terminé, le demandeur reçoit une clé qu'il utilise pour le chiffrement des données. Reportez-vous à la section Fonctionnement de l'authentification 802.1X pour obtenir davantage d'informations. Avec l'authentification 802.1X, une méthode d'authentification est utilisée entre le client et un serveur (par exemple le serveur RADIUS, Remote Authentication Dial-In User Service) connecté au point d'accès. Le processus d'authentification utilise des données d'identification, telles que le mot de passe utilisateur, qui ne sont pas transmises sur le réseau sans fil. La plupart des protocoles 802.1X prennent en charge des clés dynamiques par utilisateur, par session, permettant de renforcer la sécurité des clés statiques. La norme 802.1X tire parti d'un protocole d'authentification existant connu sous le nom de EAP (Extensible Authentication Protocol).
L'authentification 802.1X pour réseaux sans fil comporte trois composants principaux :
Le protocole de sécurité de l'authentification 802.1X lance une requête d'autorisation depuis le client sans fil vers le point d'accès, qui à son tour authentifie le client sur un serveur RADIUS conforme au protocole EAP (Extensible Authentication Protocol). Le serveur RADIUS peut authentifier l'utilisateur (par mots de passe ou certificats) ou le système (par adresse MAC). En théorie, le client sans fil n'est pas autorisé à se connecter au réseau tant que la transaction n'est pas terminée. (Toutes les méthodes d'authentification n'utilisent pas un serveur RADIUS. WPA-Personnel et WPA2-Personnel utilisent un mot de passe commun qui doit être saisi au niveau du point d'accès et de tous les périphériques demandant l'accès au réseau.)
Plusieurs algorithmes d'authentification sont utilisés avec le protocole 802.1X. En voici quelques exemples : EAP-TLS, EAP-TTLS, PEAP (Protected EAP) et LEAP (EAP de Cisco Wireless Light Extensible Authentication Protocol). Toutes ces méthodes permettent au client sans fil de s'identifier auprès du serveur RADIUS. Avec l'authentification RADIUS, les identités des utilisateurs sont vérifiées en regard de bases de données. Le protocole RADIUS est un ensemble de spécifications relatives à l'authentification, l'autorisation et la gestion des comptes utilisateurs (Authentication, Authorization and Accounting, ou AAA). RADIUS utilise une procédure proxy afin de valider les clients dans un environnement multiserveur. La norme IEEE 802.1X fournit un mécanisme de contrôle et d'authentification de l'accès à des réseaux 802.11 sans fil et à des réseaux Ethernet filaires utilisant des ports. Le contrôle de l'accès réseau par port est similaire à une infrastructure de réseau local commuté authentifiant les périphériques connectés à des ports du réseau local et interdisant l'accès à ces ports si le processus d'authentification échoue.
RADIUS est un service d'authentification à distance des utilisateurs distants (Remote Authentification Dial-In User Service). Il s'agit du protocole client-serveur d'autorisation, d'authentification et de gestion des comptes (ou AAA, pour Authorization, Authentication and Accounting), utilisé lorsqu'un client AAA distant se connecte ou se déconnecte d'un serveur d'accès réseau. Un serveur RADIUS est généralement utilisé par les prestataires de services Internet (ISP) pour exécuter des tâches AAA. Les phases AAA sont décrites ci-dessous :
Voici une description simplifiée du fonctionnement de l'authentification 802.1X.
Les méthodes d'authentification suivantes sont prises en charge sous Windows XP :
Reportez-vous à la section Authentification ouverte
Reportez-vous à la section Authentification partagée.
Reportez-vous à la section WPA-Personnel.
Reportez-vous à la section WPA2-Personnel
Le mode Entreprise est destiné aux réseaux d'entreprise et de l'administration. Le mode WPA-Entreprise vérifie les utilisateurs du réseau à l'aide d'un serveur RADIUS ou d'un autre serveur d'authentification. WPA utilise des clés de chiffrement à 128 bits et des clés de session dynamiques pour assurer la confidentialité du réseau sans fil et la sécurité des données de l'entreprise. Un type d'authentification correspondant au protocole d'authentification du serveur 802.1X est sélectionné.
Le mode WPA2-Entreprise est destiné aux réseaux d'entreprise et de l'administration. Le mode WPA2-Entreprise vérifie les utilisateurs du réseau à l'aide d'un serveur RADIUS ou d'un autre serveur d'authentification. WPA utilise des clés de chiffrement à 128 bits et des clés de session dynamiques pour assurer la confidentialité du réseau sans fil et la sécurité des données de l'entreprise. Un type d'authentification correspondant au protocole d'authentification du serveur 802.1X est sélectionné. Le mode Entreprise est destiné aux réseaux d'entreprise et de l'administration. WPA2 est une amélioration de WPA et se conforme à la norme IEEE 802.11i complète.
Advanced Encryption Standard – Protocole CBC-MAC inverse WPA-Personnel utilise une nouvelle méthode de protection de la confidentialité des transmissions sans fil spécifiée dans la norme IEEE 802.11i. AES-CCMP offre une méthode de chiffrement renforcée par rapport à TKIP. Sélectionnez AES-CCMP comme méthode de chiffrement des données lorsqu'une protection renforcée des données est essentielle. AES-CCMP est disponible avec l'authentification réseau WPA/WPA2 Personnel/Entreprise.
REMARQUE : certaines solutions de sécurité peuvent ne pas être prises en charge par le système d'exploitation de votre ordinateur. Des logiciels supplémentaires ou un équipement particulier peuvent être nécessaires, de même que la prise en charge d'une infrastructure RLAN. Pour plus de détails, contactez le fabricant du PC concerné.</FONT CHANGE:><FONT CHANGE: face="Arial" colour="Black">
TKIP fournit un mixage de clé par paquet, une vérification de l'intégrité des messages et un mécanisme de régénération de clés. Ce protocole est disponible avec l'authentification réseau WPA/WPA2 Personnel/Entreprise.
Reportez-vous à la section CKIP.
Le chiffrement WEP (Wired Equivalent Privacy) permet de bloquer la réception non autorisée de données sans fil. WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données chiffrées transmises par d'autres ordinateurs. Le WEP Entreprise n'est pas exactement identique au WEP Personnel, en ce que vous pouvez sélectionner l'authentification réseau Ouverte puis cliquer sur Activer 802.1X et choisir parmi tous les types d'authentification client disponibles. Le choix du type d'authentification n'est pas disponibles sous WEP Personnel.
Type de méthode d'authentification utilisant le protocole d'authentification EAP (Extensible Authentication Protocol) et le protocole de sécurité TLS (Transport Layer Security). EAP-TLS fait appel à des certificats utilisant des mots de passe. L'authentification EAP-TLS prend en charge la gestion dynamique des clés WEP. Le protocole TLS est conçu pour la sécurisation et l'authentification des communications sur les réseaux publics par le chiffrement des données. Le protocole de négociation TLS permet au serveur et au client de s'authentifier mutuellement et de négocier un algorithme de chiffrement et des clés cryptographiques avant l'envoi des données.
Ces paramètres permettent de définir le protocole et les données d'identification utilisés pour authentifier un utilisateur. Avec le protocole TTLS (Tunneled Transport Layer Security), le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre protocole d'authentification. Il s'agit habituellement d'une stimulation effectuée par des protocoles à mot de passe sur un canal chiffré TLS non exposé. Les implémentations TTLS actuelles prennent en charge toutes les méthodes définies par le protocole EAP, ainsi que plusieurs autres méthodes (PAP, CHAP, MS-CHAP et MS-CHAP-V2). Le protocole TTLS peut facilement être étendu pour fonctionner avec de nouveaux protocoles en définissant de nouveaux attributs prenant en charge ces derniers.
PEAP est un nouveau type de protocole IEEE 802.1X EAP (Extensible Authentication Protocol) conçu pour tirer parti de la méthode EAP-TLS (EAP-Transport Layer Security) côté serveur et pour prendre en charge différentes méthodes d'authentification, y compris les mots de passe utilisateur, les mots de passe à utilisation unique et les cartes à jetons génériques.
Une version du protocole EAP (Extensible Authentication Protocol). LEAP est un protocole d'authentification extensible propriétaire développé par Cisco, fournissant un mécanisme d'authentification par stimulation-réponse et une affectation de clés dynamique.
La méthode EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) est un mécanisme d'authentification et de distribution de clés de session. Elle utilise le module SIM (Subscriber Identity Module) du système de communication GSM (Global System for Mobile Communications). EAP-SIM utilise une clé WEP dynamique de session, dérivée de la carte client et du serveur RADIUS, pour chiffrer les données. EAP-SIM requiert la saisie d'un code de vérification utilisateur ou PIN pour communiquer avec la carte SIM (Subscriber Identity Module, ou module d'identification des abonnés). Une carte SIM est une carte à puce spéciale utilisée par les réseaux cellulaires numériques basés sur la technologie GSM (Système global de communications mobiles). La norme RFC 4186 décrit la méthode EAP-SIM.
La méthode d'authentification EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) est un mécanisme EAP, pour l'authentification et la distribution des clés de session, utilisant le module d'identification d'abonné USIM de Universal Mobile Telecommunications System (UMTS). La carte USIM est une carte à puce spéciale utilisée avec les réseaux de téléphonie mobile pour valider un utilisateur donné sur le réseau.
PAP (Password Authentication Protocol) est un protocole de négociation deux voies conçu pour être utilisé avec PPP. PAP est un mot de passe textuel non chiffré utilisé sur les anciens systèmes SLIP. Il n'est pas sûr. Il n'est disponible que pour le type d'authentification TTLS.
CHAP (Challenge Handshake Authentication Protocol) est un protocole de négociation trois voies considéré plus sûr que le protocole d'authentification par mot de passe. Il n'est disponible que pour le type d'authentification TTLS.
utilise une version Microsoft du protocole de négociation-réponse RSA Message Digest 4. Il fonctionne uniquement sur les systèmes Microsoft et permet le chiffrement des données. La sélection de cette méthode d'authentification entraîne le chiffrement de toutes les données. Il n'est disponible que pour le type d'authentification TTLS.
présente une fonctionnalité supplémentaire, non disponible avec l'authentification MS-CHAP-V1 ou CHAP standard : la fonctionnalité de modification de mot de passe. Cette fonctionnalité permet au client de modifier le mot de passe du compte si le serveur RADIUS signale que le mot de passe est expiré. Il n'est disponibles que pour les types d'authentification TTLS et PEAP.
utilise des cartes à jetons spécifiques pour l'authentification. La fonctionnalité principale de GTC est l'authentification basée sur un certificat numérique/une carte à jetons. GTC inclut également la capacité de masquer les identités des noms d'utilisateur jusqu'à ce que le tunnel chiffré TLS soit établi, ce qui offre un niveau de confidentialité supplémentaire en assurant que les noms d'utilisateur ne sont pas diffusés pendant la phase d'authentification. Il n'est disponible que pour le type d'authentification PEAP.
Le protocole TLS est conçu pour la sécurisation et l'authentification des communications sur les réseaux publics par le chiffrement des données. Le protocole de négociation TLS permet au serveur et au client de s'authentifier mutuellement et de négocier un algorithme de chiffrement et des clés cryptographiques avant l'envoi des données. Il n'est disponible que pour le type d'authentification PEAP.
Cisco LEAP (Cisco Light EAP) est une authentification 802.1X serveur et client via un mot de passe de connexion fourni par l'utilisateur. Lorsqu'un point d'accès sans fil communique avec un serveur RADIUS (serveur ACS, pour Cisco Secure Access Control Server) prenant en charge Cisco LEAP, Cisco LEAP fournit le contrôle d'accès grâce à une authentification mutuelle entre les cartes WiFi clientes et les réseaux sans fil et fournit des clés de chiffrement dynamiques individuelles aidant à la protection des données transmises.
La fonctionnalité Cisco de détection des points d'accès non autorisés fournit une protection contre l'intrusion d'un point d'accès non autorisé pouvant imiter un point d'accès autorisé sur un réseau afin d'extraire des informations concernant les données d'identification des utilisateurs et les protocoles d'authentification, ce qui pourrait compromettre la sécurité. Cette fonctionnalité fonctionne uniquement avec l'authentification LEAP de Cisco. La technologie utilisée par la norme 802.11 ne protège pas les réseaux contre l'intrusion d'un point d'accès non autorisé. Reportez-vous à la section Authentification LEAP pour davantage d'informations.
Certains points d'accès, par exemple Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels certaines stations clientes ne prennent pas en charge le chiffrement WEP ; ce mode est nommé « Cellule mixte ». Lorsque ces réseaux sans fil fonctionnent en mode « chiffrement optionnel », les stations clientes qui se connectent en mode WEP envoient tous les messages chiffrés et celles qui utilisent le mode standard envoient tous les messages non chiffrés. Ces points d'accès indiquent (diffusent) que le réseau n'utilise pas de chiffrement, mais permettent aux clients de se connecter en utilisant le mode WEP. Lorsque le mode « Cellule mixte » est activé dans un profil, vous pouvez connecter des points d'accès qui sont configurés pour un « chiffrement optionnel ».
Le protocole CKIP (Cisco Key Integrity Protocol) est un protocole de sécurité exclusif de Cisco pour le chiffrement en support 802.11. Le protocole CKIP utilise les fonctionnalités suivantes pour améliorer la sécurité 802.11 en mode d'infrastructure.
REMARQUE : CKIP n'est pas utilisé avec l'authentification réseau WPA/WPA2 Personnel/Entreprise.
REMARQUE : CKIP n'est pris en charge que par l'utilitaire de connexion WiFi sous Windows.
Lorsqu'un réseau RLR est configuré pour l'association rapide, un périphérique client compatible LEAP peut passer d'un point d'accès à l'autre sans impliquer le serveur principal. Avec la fonctionnalité CCKM de Cisco (Cisco Centralized Key Management), un point d'accès configuré pour fournir des services WDS (Wireless Domain Services) prend la place du serveur RADIUS et authentifie le client sans délai perceptible au niveau des applications vocales ou de toute autre application urgente.
Certains points d'accès, par exemple Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels certaines stations clientes ne prennent pas en charge le chiffrement WEP ; ce mode est nommé « Cellule mixte ». Lorsque ces réseaux sans fil fonctionnent en mode « chiffrement optionnel », les stations clientes qui se connectent en mode WEP envoient tous les messages chiffrés et celles qui utilisent le mode standard envoient tous les messages non chiffrés. Ces points d'accès indiquent (diffusent) que le réseau n'utilise pas de chiffrement, mais permettent aux clients de se connecter en utilisant le mode WEP. Lorsque le mode Cellule mixte est activé dans un profil, vous pouvez connecter des points d'accès qui sont configurés pour un « chiffrement optionnel ».
Lorsque cette fonctionnalité est sélectionnée, la carte WiFi fournit les informations de gestion radioélectrique à l'infrastructure Cisco. Si l'utilitaire de gestion radioélectrique Cisco est utilisé dans l'infrastructure, il configure les paramètres radio et détecte les interférences et les points d'accès non autorisés.
EAP-FAST, tout comme EAP-TTLS et PEAP, utilise le tunnelage pour protéger le trafic. La différence principale est que EAP-FAST n'utilise pas de certificat pour l'authentification. L'obtention de certificat dans EAP-FAST est négociée uniquement par le client lors de la première communication et lorsque EAP-FAST est requis à partir du serveur. Si le client n'a pas de clé PAC (Identité d'Accès Protégé) secrète communiquée à l'avance, il peut envoyer une requête d'échange EAP-FAST afin d'en obtenir une dynamiquement du serveur.
EAP-FAST propose deux méthodes pour envoyer la clé PAC : une livraison manuelle via un mécanisme hors-bande sécurisé et une mise à disposition automatique.
La méthode EAP-FAST peut être divisée en deux parties : la mise à disposition et l'authentification. La phase de mise à disposition implique la livraison initiale de la clé PAC au client. Cette phase ne doit être exécutée qu'une seule fois pour chaque client et utilisateur.