Solutions de sécurité préconisées


Type de population :
 On distinguera trois types de population auxquels correspondent des politiques de sécurité:
• les personnels
• les étudiants
• les visiteurs

 Les personnels et les étudiants constituent une population interne des établissements de ROCAD et sont donc enregistrés dans l’annuaire de l’active directory et pourront être authentifiés avant l’accès au réseau. Il faudra aussi prévoir un VLAN administrateur afin de s'assurer d'un suivi sur site de l'administration des bornes et du réseau WiFi.

Méthodes proposées pour la sécurisation d’un réseau WIFI dans l'ordre de préférence du CISR:
Solution 1 : pas de configurations sur le poste client
Portail d’authentification via un boîtier d’accès sécurisé.
Les PA doivent êtres inscrits dans un VLAN qui amène tout le trafic jusqu'au boîtier.
Il s'établit alors un tunnel SSL entre le boîtier et le client Wifi à l'intérieur du quel se fait l'authentification du client soit avec le protocole 802.1X, soit avec une base de données (locale, Active Directory ou autre...).
Lorsque l'authentification est réussie, le client aura accès au réseau et un tunnel sera établi entre son poste et le boîtier d'accès.
Le CISR a testé les boîtiers BlueSocket WG 1000, HP Procurve 720



Solution 2 : solution préconisée par le CISR pour la sécurité d'authentification et la simplicité d'utilisation
Elle fonctionne sur les bornes Cisco Aironet du marché UCBL et permet de faire une authentification sécurisée à la norme 802.1x (EAP/PEAP). Un serveur Radius interroge l’Active Directory de l'établissement pour authentifier les utilisateurs.
Cette solution fonctionne pour les postes Windows2000 (SP4) et Windows XP (SP1 ou SP2).
Le client Linux-GNU XSUPPLICANT est réputé supporter aussi le mode d'authentification. Nous ne l'avons pas encore testé.

Ici la description de la configuration de la borne

Et la configuration du client XP ou 2000

Solution 3 :
• Activer un cryptage WEP pour le trafic radio. La clé WEP ne doit pas comporter moins de 128 bits. Elle devra être inscrite sur tous les postes clients.
• Filtrage par adresse Mac des postes autorisés à accéder au réseau

Solution 4 : WPA
L'utilisation du WPA (Wi-Fi Protected Access) dépend des possibilités des postes clients (OS, carte Wifi). Toutes les cartes n'ont pas obligatoirement les moyens de fonctionner avec cette norme.
Son but est de remplacer le WEP par une méthode de chiffrement plus solide et plus sécurisée.