Nomadisme et mobilité en établissement

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Nomadisme et mobilité en établissement"

Transcription

1 Nomadisme et mobilité en établissement cf. «Guide des réseaux en EPLEFPA Architecture et recommandations» Chapitre 6.5 «Sécuriser les accès nomades au réseau local»

2 1 Qu'est-ce que le nomadisme et la mobilité Définitions Périmètre Les outils Les données Les risques et enjeux Protéger l'établissement Protéger l'utilisateur Applications et mesures concernant les liaisons Wi-Fi Les principales attaques sur un réseau Wi-Fi Attaque de dictionnaire Attaque de relecture Détournement de session La modification des messages Les solutions de base Les VLAN Isoler le réseau sans fil grâce aux VLAN et Firewall Mettre en place un portail captif Mettre en place des VPN Utiliser les protocoles 802.1x et 802.1i Bilan du 802.1x Bluetooth Introduction Présentation de la technologie Bluetooth Sécurité et technologie Bluetooth Risque associé à l'utilisation de la technologie Bluetooth Applications et mesures concernant les outils Les ordinateurs portables Les téléphones mobiles et PDA Gérer les supports amovibles (clef USB, DD externe, ) Annexe 1 : Fiche Truecrypt Annexe 2 : Fiche Syncback Introduction : Télécharger et installer SyncBack : Paramétrer SynBack : Optimiser ses sauvegardes : Sources :... 40

3 1 Qu'est-ce que le nomadisme et la mobilité 1.1 Définitions Nomadisme L'encyclopédie Encarta donne comme définition du nomadisme :"nomadisme, mode de vie des populations non sédentaires, caractérisé par des déplacements cycliques ou périodiques afin d assurer leur subsistance". Il est vrai que la population active est souvent amenée dans le cadre du travail à se déplacer pour toutes sortes de motifs qui seront énumérés plus loin. Dans ce document, le terme nomadisme définit le mode de vie des personnes qui lors de leurs déplacements, doivent impérativement se connecter à un réseau informatique. Il englobe les notions d'itinérance et de mobilité. Mobilité Si en téléphonie, le terme itinérance est plus facilement utilisé, en informatique et réseau c'est le terme mobilité qui est le plus fréquemment employé. On rencontre ce terme dans l'expression "mobilité géographique", qui traduit la capacité de changer de lieu de travail tout en restant dans la même société. Dans ce document "mobilité" est utilisé comme étant la capacité d'un équipement de changer de réseau dans l'espace, dans le temps ou les deux en même temps. Cela signifie qu'un système mobile dispose d'une autonomie complète lui permettant de choisir et de se connecter sur un réseau puis de pouvoir atteindre des services utiles pour son utilisateur. Itinérance (roaming) Traduction du mot anglais "roaming", le terme "itinérance" est dérivé du mot itinérant qui signifie "qui va d'un lieu à un autre pour accomplir sa tâche". Le grand dictionnaire terminologique de l'office Québécois de la langue française définit l'itinérance comme une "fonction reliée à un système de téléphonie cellulaire, qui consiste à permettre à l'abonné d'un réseau d'utiliser son appareil dans une zone autre que celle où il a été enregistré, mais dans laquelle il peut être localisé.". Par conséquent, le terme d'itinérance est employé dans le monde informatique pour des systèmes dont les fonctions permettent à un utilisateur de se connecter à son système d'information à partir d'un autre réseau. 1.2 Périmètre Avant toute chose il nous faut définir le périmètre du Système d'information de l'eplefpa. Il y a toujours un espace dont je suis responsable : le SI de l'eplefpa Un espace dont je ne suis pas responsable : le reste du monde Il existe et existera toujours un périmètre qui délimite les deux, même si le périmètre est poreux. Nomadisme et mobilité en établissement /40

4 J'applique la politique de sécurité de mon EPLEFPA sur ce périmètre même si cette notion a des limites liées à : La maîtrise des canaux de communication L'utilisateur Les équipements nomades et ouverts Il est important de bien définir les périmètres qui peuvent généralement se diviser en deux parties. La première concerne les appareils dont j ai la maîtrise et qui sont sécurisés. Ils peuvent êtres raccordés au réseau de l établissement ou pas, mais ils comportent un certain nombre de dispositifs de sécurité communs aux ordinateurs de l établissement : anti-virus, anti-spyware, accès avec des droit limités, Internet via un dispositif de filtrage, etc. La deuxième inclue les appareils que je ne contrôle pas. Ce sont des ordinateurs personnels (portables pour la plupart) sur lesquels l utilisateur est administrateur. Ici, comme dans le guide «Les réseaux des EPLEFPA Architectures et recommandations», le sens d ordinateur portables est à prendre au sens très large du terme et recouvre toutes les formes de terminaux d accès mobiles. Si les premiers sont de fait reliés au réseau de l établissement et bénéficient des différentes ressources (Internet, imprimantes, scanners, serveurs de fichiers, mises à jours, etc.), une politique d accès particulière doit être définie pour les deuxièmes avec si possible une classification qui distingue les portables des apprenants et des personnels de la communauté éducative et ceux des personnes de passage et extérieures à l établissement. L existence des deux périmètres ne pose pas de problème, tant que les nomades n utilisent pas de ressources de l établissement. Les accès des Smartphones à Internet en accès 3G ne posent effectivement pas de risque de sécurité. L accès avec ce type d appareil au réseau de l établissement en utilisant le Wi-Fi s apparente à un accès par portable. Toute la difficulté consiste à placer le curseur entre l accès aux ressources demandées et un respect des règles de sécurité. Ce juste équilibre doit se trouver en accord avec les différents utilisateurs et le responsable du SI. Il faut effectivement opposer au cas tout sécuritaire qui prône le verrouillage du réseau et qui ne permet pas une évolution des méthodes de travail au cas tout ouvert sans sécurité suffisante et qui se retrouve avec des postes compromis suite à des attaques. Le nomadisme et la mobilité incluent également l accès au système d information via des ordinateurs distants, que cela soit d une manière intermittente (accès aux notes, fichiers, intranets, etc.) ou d une manière plus permanente avec les LGA et les sites distants. Pour cela, la mise en place d un VPN est obligatoire (voir le guide «Les réseaux des EPLEFPA Architectures et recommandations» chapitre 5). 1.3 Les outils Quels sont les différents cas du nomadisme et de la mobilité : Un membre de l'équipe de direction s'achète un Palm ou un Iphone Une classe reçoit une clé mémoire USB Un élève utilise un téléphone portable Une secrétaire écoute de la musique sur son ipod Un professeur utilise son ordinateur portable en salle des professeurs Une connexion VPN de chez soi ou d un point Wi-Fi Les outils sont multiples et variés et ne cessent d'évoluer. De plus leur connectivité s'étend de façon. Nomadisme et mobilité en établissement /40

5 On peut citer les trois grandes familles de solutions VPN : Les offres VPN des opérateurs. Solution stable mais pas forcément à conseiller car la grande majorité des accès Internet des établissements passent par un marché traité par la Région remis en cause tous les trois ans. Les solutions commerciales. Rapides à mettre en œuvre dans le cas de boîtiers dédiés. Solutions efficaces mais onéreuses. On peut citer à titre d exemple les boîtiers Juniper SA series SSL VPN 1. Ces boîtiers embarquent un anti-spyware, un contrôle d autorisations pointu qui s appuie sur les LDAP et autres Active Directory, un contrôle des mises à jour des applications de sécurité (par exemple si l anti-virus n est pas à jour, la connexion n est pas validée), etc. Les solutions logiciels libres. Ces solutions sont détaillées dans les guides des chantiers nationaux DRTIC 2 (Guide PfSense, guide IpCop, guide VPN GtoG IpCop, guide client OpenVPN). 1.4 Les données Les données présents sur ces outils de la mobilité sont, bien souvent, à la fois personnelles et professionnelles. Ces outils sont à la frontière du Système d'information mais il n'est pas possible de les ignorer et il devient nécessaire d'en assumer en partie la responsabilité afin de mieux les contrôler. La responsabilité n'est que partiellement transférable à l'utilisateur Il est donc nécessaire d'établir des procédures réalistes concernant l'intégrité et la protection des données locales et déportées. 2 Les risques et enjeux 2.1 Protéger l'établissement Mesurer les risques revient à évaluer l'impact des incidents possibles, d'en estimer la potentialité pour déterminer nos besoins de sécurité. Pour déterminer les besoins de sécurité, une méthode consiste à attribuer un poids de 0 à 4 sur les critères d'évaluation de la sensibilité d'une information ou d'une ressource que sont : la disponibilité (l'accès à l'information ou à un service); l'intégrité (la modification non légitime); la confidentialité (l'habilitation pour accéder à l'information ou à un service); la traçabilité (preuve, non répudiation). Les besoins de sécurité se traduisent donc par une valeur couramment appelée gravité du risque. On peut ainsi en déduire le dispositif de sécurité le plus adapté au regard de l'opportunité (ou la potentialité) des menaces et en fonction des coûts qu'il va générer Les guides FireWall et VPN Nomadisme et mobilité en établissement /40

6 Exemple de mise en œuvre. Pour un type de données (par exemple les fiches élèves) ou pour une ressource du système (par exemple la messagerie électronique), des mesures de protection plus ou moins lourdes pourront être appliquées en fonction de la valeur des critères de sensibilité. Pour la disponibilité, les mesures possibles peuvent être la duplication des données, les sauvegardes, le doublement des serveurs ou des réseaux,... ; Pour l'intégrité, les mesures peuvent être la mise en place de certification, le contrôle d'accès, un mécanisme de "scellement" des documents,... ; Pour la confidentialité, les mesures principales sont le chiffrement et le contrôle d'accès; Pour la traçabilité, les mesures peuvent être la création de logs et d'archives, l'authentification, l'accusé de réception, la reconstitution de la donnée,... La possibilité d ouvrir dans les meilleures conditions son réseau vers l extérieur doit se faire en regard des moyens que l établissement peut déployer. En effet, la politique de sécurité mise en place doit dicter les choix techniques qui doivent être mis en œuvre en fonction des moyens humains et financiers de l établissement. Pour résumer, une politique ambitieuse d ouverture du SI doit être faite dans le respect des règles éditées dans le guide «Les réseaux des EPLEFPA Architectures et recommandations» au chapitre 6.1. Les moyens matériels et humains nécessaires ne doivent absolument pas être minimisés au risque de mettre en péril les données de l établissement. 2.2 Protéger l'utilisateur Les risques les plus importants pour l'utilisateur sont de deux ordres : La perte de données Celle-ci peut se produire notamment suite à une défaillance matérielle (panne de disque, clefs USB détériorées, Il important qu'une sauvegarde des données utilisateur soit réalisée régulièrement. Celle-ci peut-être automatisée lors de la connexion de l'utilisateur sur le réseau ou réalisée de façon manuelle via des utilitaires tels que Syncback (voir annexe 2). Le vol de données Ces le cas le plus problématique puisque on cumule la perte de données avec le risque d'utilisation malveillantes de celles-ci. Il est nécessaire de se prémunir en utilisant des dispositifs physiques ou logiciels 3 tels que : - le lecteur d'empreintes digitales, c'est un dispositif qui permet sur un portable de verrouiller facilement sa session est éventuellement certaines données. - Mot de passe au démarrage du PC, le PC n'est pas utilisable si on ne connaît pas ce mot de passe. Toutefois cette protection est contournable. - Logiciel du type de Laptop Alarm ( laptop-alarm.html) qui permet de paramétrer des alarmes sur son ordinateur portable. C'est gratuit, facile à mettre en œuvre mais relève plus du gadget. 3 cf. Les réseaux des EPLEFPA Architectures et recommandations chapitre 6.2 Nomadisme et mobilité en établissement /40

7 - Il est possible également de crypter ses données (ceci n'empêche pas le vol) afin qu'une personne malveillante ne puisse pas visualiser le contenu de votre disque dur ou clef USB (voir fiche en annexe 1). 3 Applications et mesures concernant les liaisons Wi-Fi Le nombre de réseaux Wi-Fi dans les établissements est en constante augmentation. Ses qualités sont multiples : possibilité de se dédouaner du câble réseau permettant un placement dans la salle plus aisé et modulable, coût d installation moindre par rapport aux prises réseau. Les collectivités territoriales ont bien compris ces avantages afin par exemple d équiper les Internats, salles de réunion et autres foyers. Ces avantages ne doivent pas faire oublier les inconvénients d une telle technologie : l accès aux bornes dépasse parfois l enceinte de l établissement, des perturbations électromagnétiques ainsi que la configuration des bâtiments peuvent influer sur la disponibilité du réseau, des appareils «exotiques» peuvent matériellement se connecter au réseau, la qualité des liaisons est inférieur aux câbles et les débits moindres sans oublier les phobies liées à l'éventuel impact sanitaire des rayonnements électromagnétiques. La création de réseaux distincts en Wi-Fi devient assez complexe, et il ne faut pas oublier que le nombre de personnes connectées par bornes reste limité. Le choix du réseau Wi-Fi doit être mis en face des besoins des utilisateurs et des impératifs de sécurité. Le Wi-Fi est un outil qui doit être maîtrisé avant d être mis en œuvre dans l établissement. 3.1 Les principales attaques sur un réseau Wi-Fi WarDriving Il consiste à se promener en voiture avec une antenne WiFi et noter la position et les caractéristiques de tous les AP que l on rencontre. On peut donc retrouver les informations de ses AP sur Internet. Nomadisme et mobilité en établissement /40

8 L espionnage Un pirate peut sniffer les échanges Wi-Fi. Il est donc indispensable de crypter les communications avec un algorithme aussi puissant que possible sans qu il ralentisse trop les échanges. On peut utiliser le WPA ou le WPA2. L intrusion Le pirate peut s introduire au sein du réseau pour consulter, modifier les données du système informatique ou encore pour profiter de la connexion Internet. Le pirate se comporte comme un utilisateur normal. Si l association ordi-ap impose un mécanisme d identification avant d autoriser l ouverture d une session sur le réseau, le pirate aura deux options : - ouvrir une nouvelle session en se faisant passer pour un utilisateur légitime - détourner une session existante (hijacking). 3.2 Attaque de dictionnaire Elle consiste à essayer les mots de passe les plus probables en utilisant les mots du dictionnaire et en les modifiant légèrement. Il existe deux variantes : - Attaque en ligne où le pirate essaie successivement chaque mot de passe jusqu à trouver le bon. Le système peut bloquer l authentification au bout d un certain nombre d essais. - Attaque hors ligne où le pirate va récupérer le dialogue d une authentification réussie, il possède alors le défi et la réponse correcte. Il lui reste à tester hors connexion avec le même défi et le même algorithme jusqu à trouver celui qui lui donne la même réponse que l utilisateur. La solution consiste à trouver des mots de passe relativement complexes et de bloquer les attaques de dictionnaire en ligne. 3.3 Attaque de relecture Le pirate peut enregistrer les paquets émis par une station légitime au moment où elle se connecte puis de les émettre à l identique un peu plus tard. La solution consiste à imposer un compteur incrémenté à chaque paquet échangé.le WEP n offre pas de protection contre cette attaque, par contre le WPA et le WPA2 sont immunisés. 3.4 Détournement de session En Wi-Fi, sachant que l identification initiale est souvent un mécanisme coûteux en temps et en ressources, l identification initiale aboutit à la mise en place d une identification secondaire valable pour la durée de la session. Une solution courante consiste à utiliser simplement l adresse MAC du poste utilisateur. Tous les paquets venant de cette adresse sont autorisés. Certains adaptateurs Wi-Fi peuvent changer d adresse MAC. On appelle cela le spoofing de l adresse MAC. La solution consiste à utiliser le WPA ou WPA2 qui négocient lors de l identification primaire l échange sécurisé de clés de cryptage. Nomadisme et mobilité en établissement /40

9 Le déni de service Consiste à empêcher le réseau de fonctionner. Le pirate peut envoyer sans cesse des paquets pour saturer le réseau ou bien émettre des ondes radios pour brouiller vos communications. Rien n est prévu pour se prémunir contre le DoS en WiFi. Il faut trouver la source qui doit se situer non loin du réseau attaqué et éventuellement d appeler les autorités. 3.5 La modification des messages Les attaques MiM 4 La modification des messages suppose que le pirate parvienne à s interposer entre les interlocuteurs, à leur insu. - Si le pirate à accès physique aux équipements du réseau, il intercale son ordinateur entre un AP et le commutateur auquel cet AP est normalement connecté. Tous les paquets émis entre le réseau filaire et le réseau sans fil passeront par le pirate. - Si le pirate se connecte au réseau sans fil, il peut se faire passer pour un AP et servir d intermédiaire entre le réseau et l utilisateur. Modifier un message crypté Certains algorithmes de cryptage ne changent pas l ordre des bits, c'est-à-dire que le nième bit du message crypté correspond au nième bit du message original. C est le cas de l algorithme RC4 sur lequel reposent le WEP et le WPA. Par contre le WPA2 qui repose sur l algorithme AES n a pas ce défaut. Le pirate peut supposer que le trafic repose sur TCP/IP, il sait que le paquet commence par l en-tête du paquet IP, et il sait donc à quel endroit précis il doit modifier le paquet crypté pour changer l adresse IP de destination. 3.6 Les solutions de base Limiter les débordements Il faut s assurer que les ondes radio ne débordent pas de la zone à desservir. Il faut donc que les AP soient correctement placées. Eviter les AP pirates Il suffit que quelqu un connecte une AP non sécurisée au réseau filaire pour que toute la sécurité du système soit anéantie. La supervision radio On peut installer des sondes WiFi, ou utiliser les fonctions de supervision de certains AP pour détecter les AP non sécurisées. Masquer le SSID C est une protection assez faible car il suffit de sniffer les ondes radio au moment où un utilisateur légitime se connecte : le SSID se trouve en clair dans sa requête d association. 4 Man In the Middle Nomadisme et mobilité en établissement /40

10 Filtrage par adresse MAC De nombreux AP disposent de cette fonction, et les adresses autorisées sont souvent stockées dans chaque AP : en cas de modification, il faut modifier toutes les AP. Certaines AP permettent de centraliser la gestion des adresses MAC autorisées, par exemple dans un serveur RADIUS. Inconvénients : - Il est lourd à mettre en œuvre car il faut garder une liste des adresses MAC de tous les équipements. - Il est relativement simple à un pirate de sniffer le réseau et de spoofer 5 une adresse MAC légitime. 3.7 Les VLAN 6 Il est bon de dissocier le trafic sans fil du réseau principal grâce à la mise en place d'un VLAN particulier entre les AP et les éléments actifs du réseau filaire. Ceci facilitera par la suite la maintenance et l administration du réseau car tout le trafic provenant du réseau sans fil sera clairement identifié. Il faut que les AP ou le commutateur auxquels ils sont reliés le permettent. 3.8 Isoler le réseau sans fil grâce aux VLAN et Firewall 7 Il est recommandé de traiter les utilisateurs du réseau sans fil comme s ils venaient d Internet. Il faut alors connecter les AP sur une interface dédiée du Firewall. Par exemple à la zone bleue d'une IpCop ou à une interface dédiée sur une PfSense. Inconvénients : Le réseau sans fil ne sert qu à accéder à Internet ou à se connecter entre eux. Pour accéder au réseau filaire de l'établissement, il faut établir un tunnel VPN (cf. chapitre 3.10) ou utiliser la norme 302.1x (cf. chapitre 3.11) 3.9 Mettre en place un portail captif 8 Un portail captif est un dispositif qui intercepte la totalité des paquets provenant d'un poste client, quel que soient leur destination jusqu'à ce que l'utilisateur ouvre le navigateur Web. Il est alors rediriger de force sur une page Web du portail captif pour s'y authentifier. Le portail peut alors réaliser lui même cette phase d'authentification ou la déporter sur un serveur dont c'est le rôle (AD, LDAP, RADIUS,...). Il autorise alors ou non le poste client à accéder à Internet ou aux ressources d'un réseau local. Il existe aujourd'hui un nombre important de distributions Linux dédiées à cette fonction (IpCop, PfSense). Les principaux fabricants de point d'accès intègrent désormais des offres de portail captif dans leurs routeurs wifi. Cette technique est particulièrement intéressante pour permettre un accès contrôlé à Internet pour des nomades tout en préservant son réseau local 5 Spoofer : usurper l identité (adresse MAC, adresse IP, etc.) 6 VLAN : cf. Les réseaux des EPLEFPA Architectures et recommandations chapitre Les réseaux des EPLEFPA Architectures et recommandations chapitre et Portail captif : cf. Guide réseaux chapitre Nomadisme et mobilité en établissement /40

11 Inconvénients : - Le réseau sans fil ne sert à accéder qu'à Internet et ne permet pas d accéder au réseau filaire à moins d établir un tunnel VPN Mettre en place des VPN 9 Lorsque le réseau WiFi est isolé, pour permettre aux personnes de se connecter au réseau de l établissement, on peut mettre en place des VPN. Une fois connecté au réseau sans fil, la personne exécute un client VPN qui établit une connexion sécurisée (trafic crypté) entre son poste et le serveur VPN après authentification. Son poste est relié au réseau filaire par un tunnel VPN sécurisé. N importe qui venant de la zone Internet, donc de chez soi, peut se connecter au réseau de l établissement. Les guides IpCop, PfSense, Clients OpenVPN sur le portail DRTIC décrivent cette procédure. Si les AP sont compatibles WPA ou WPA2 il vaut mieux choisir cette deuxième solution que mettre en place des VPN. Inconvénients - Les solutions VPN sont parfois lourdes à mettre en œuvre. Il faut être attentif à leur configuration pour éviter des failles de sécurité. - En passant par un tunnel VPN le débit est parfois réduit et le temps de latence augmenté. - Il y a deux connexions à faire pour se connecter au réseau de l établissement (le WiFi et le VPN) Utiliser les protocoles 802.1x et 802.1i 10 Points d'accès au réseau 802.1X La norme IEEE 802.1X est un standard qui définit les mécanismes permettant de contrôler l'accès aux équipements actifs d'un réseau qu'il soit filaire ou radio. Elle permet d'authentifier un utilisateur grâce à un serveur d'authentification avant de lui accorder ou non l'accès au réseau. Lorsque le client se connecte à un port Ethernet ou s'attache à un point d'accès sans fil, l'accès au LAN lui est fermé, seul le trafic avec le serveur d'authentification est autorisé. Le port ne pourra s'ouvrir sur le LAN que si l'authentification réussie. Cette norme repose donc sur trois acteurs qui doivent l'implémenter : Un client appelé «supplicant» (Linux, Mac OSX, Windows depuis XPSP1) L'élément actif appelé «authenticator» (Switch, Borne Wifi) Un serveur d'authentification (Généralement RADIUS) En plus de l'authentification des utilisateurs, le protocole 802.1X est utilisé dans les réseaux sans fil comme support pour l'échange des clefs utilisées par les dispositifs de chiffrement de la communication : WEP : (Wired Equivalent Privacy). Cette méthode est basée sur une solution de clé de chiffrement statique partagée par tous les membres d'un même réseau Wi-Fi, avec un 9 VPN : cf. Guide réseaux IpCop, PfSense, Clients OpenVPN 10 Protocoles 802.1x et 802.1i : cf. recommandations du guide réseaux Chapitre Nomadisme et mobilité en établissement /40

12 algorithme de chiffrement relativement faible. Il suffit de disposer de quelques dizaines de minutes avec quelques petits outils logiciels présent sur le Web pour venir à bout de cette protection en identifiant la clé de chiffrement. C'est la technique utilisée par la presque totalité des «Box» grand public fournies par les opérateurs. Elle n'est pas adaptée aux environnements professionnels. WPA : (Wifi Protected Access). Avec la découverte rapide des failles de WEP, et alors même l'élaboration d'une norme destinée à sécuriser les réseaux sans fils était en cours, il a fallu mettre en place au plus vite un procédé de secours. Le WPA, issu des travaux non encore aboutis de la norme i, est arrivé sur le marché. C'est un ensemble de rustines logicielles, destiné à boucher les plus gros trous de sécurité du WEP, tout en ayant comme contrainte de pouvoir fonctionner sur le matériel existant. Il a donc été conçu pour pouvoir être exploité sur du matériel WEP. Le WPA est un compromis acceptable, surtout si l'on doit intégrer à son réseau du matériel ancien, ne supportant pas les méthodes de chiffrement préconisées par la norme i. WPA2 : C'est l'appellation commerciale de la norme i (cf. chapitre 2). Cette norme a été finalisée en 2004 et se trouve donc implémentée sur des points d'accès conçu à partir de cette date. Elle impose le support d'aes («Advanced Encryption Standard») qui est le un standard de chiffrement basé sur un algorithme de chiffrement symétrique. WPA comme WPA2 peuvent s'utiliser de deux manières : Mode «personnel» : Ce mode est préconisé pour les particuliers disposant d'un petit réseau peu stratégique et fait appel à une clé de chiffrement partagée, la PSK (Pre Shared Key). Cette clé, au contraire de WEP, ne sert pas directement au chiffrement des données. Elle sert de base à la création de clés dérivées, qui sont non seulement différentes pour chaque session (deux utilisateurs d'un même réseau, même s'ils disposent de la même PSK, utiliseront des clés de session différentes), mais encore d'un usage limité dans le temps. Ces clés sont renégociées fréquemment en cours de session, ce qui rend leur découverte nettement plus difficile. Le temps nécessaire pour identifier une clef risque d'être supérieur à sa durée de vie. Le point faible réside dans le fait que tous les utilisateurs du point d'accès connaissent cette phrase qui de fait devient de moins en moins secrète C'est une solution tout à fait acceptable dans le cas d'un réseau sans fils de taille peu importante et ne permettant pas l'accès à des données ou des serveurs stratégiques. Comme pour les mots de passe, il est toutefois important d'utiliser une PSK non évidente. En effet, la clé est une suite numérique, calculée à partir d'une «phrase secrète» en ASCII et du SSID du point d'accès. Il faut donc éviter une phrase trop simple comme votre nom, votre date de naissance, un nom commun Mode «entreprise» : Ce mode s'appuie sur la norme 802.1X abordée précédemment pour l'authentification avancées des utilisateurs et nécessite donc de faire appel à un système d'authentification centralisé ainsi qu'à des points d'accès supportant cette norme. Il n'y a aucun secret partagé, tout le système cryptographique est construit pendant et après le processus d'authentification. Lorsque le client est correctement authentifié par le serveur, ce dernier lui envoie une clef principale uniquement connu d'eux deux et valable que pour la session en cours. Le client et le serveur calculent alors une nouvelle clef appelée PMK qui est transmise au point d'accès et n'est valable que pour cette session avec ce client. Le point d'accès n'a pas connaissance de la clef principale. La Nomadisme et mobilité en établissement /40

13 PMK permet alors au client et au point d'accès de calculer 4 nouvelles clefs temporelles utilisées pour sécuriser différents types de paquets pendant leurs échanges. Ce dispositif complexe assure un niveau de sécurité extrêmement élevé. En résumé : TLS, PEAP EAP Station sans fil 802.1X (a,b,n...) RADIUS UDP/IP Serveur d'authentification Point d'accès La station cliente entre en contact avec le point d'accès en utilisant une des normes de connexion sans fil de la famille Cette dernière s'appuie alors sur les mécanismes 802.1X pour permettre ou non l'accès au réseau local. Serveur d authentification Clients Réseau Contrôleur d accès Nomadisme et mobilité en établissement /40

14 Architecture Si un client cherche à accéder au réseau, un contrôleur d accès lui barrera le chemin jusqu à ce qu il s identifie auprès du serveur d authentification. Le contrôleur d accès sert d intermédiaire pour la communication entre le client et le serveur d authentification. Il attend juste le résultat du serveur d authentification (succès ou échec de l authentification) pour ouvrir les portes du réseau ou les fermer. Lorsque le 802.1x est utilisé, chaque AP est un contrôleur d accès. Ce dispositif repose sur le protocole EAP (Extensible Authentication Protocol) pour le transport des informations nécessaires à l'authentification suivant le mode choisi. Il en existe 5 officiellement retenu par WPA et WPA2 dont les deux principaux sont : TLS (Transport Layer Security) : Ce protocole est en fait la version 3.1 du fameux SSL dont il est le successeur. Il utilise une infrastructure de clefs publiques pour sécuriser l'identification entre le client et le serveur. Dans ce mode, les deux acteurs chacun d'un certificat x509. PEAP (Protected EAP) : Dans ce mode seul le serveur dispose d'un certificat. L'authentification du client est assurée par un challenge de type login/password. Dans la grande majorité des cas, les échanges entre le point d'accès s'appuient sur le protocole RADIUS Le protocole 802.1x utilise le protocole EAPoL 11 dont la base est le protocole EAP 12. Il utilise aussi l utilisation d un serveur d authentification, généralement de type RADIUS. Le logiciel client Le logiciel client est appelé client EAP et peut être fourni avec l adaptateur Wi-Fi. Il peut être intégré au système d exploitation. Logiciel client Système d exploitation Méthodes EAP gérées Xsupplicant (Open Linux MD5, TLS, PEAP, TTLS Source) Le serveur d authentification Il faut un serveur compatible EAP, généralement il s agit d un serveur RADIUS. Serveur Système d exploitation Méthodes EAP gérées Free RADIUS (Open Linux MD5, TLS, PEAP, TTLS Source) Microsoft IAS Windows 2000, 2003 et 2008 (inclus) MD5, TLS, PEAP Le contrôleur d accès Il ne sert que d intermédiaire, et ouvre ou ferme la porte du réseau. Il faut juste s assurer que chaque AP gère le 802.1x et que celui-ci soit activé. 11 EAPoL : EAP over Lan 12 EAP : Extensible Authentification Protocol Nomadisme et mobilité en établissement /40

15 Les méthodes EAP EAP/MD5 Elle repose sur le protocole CHAP avec le hash MD5. EAP/MS-CHAP-v2 Cette méthode d authentification repose sur le protocole MS-CHAP-v2 inclus dans Windows. EAP/TLS 13 La mise en place d un tunnel TLS commence par une première phase appelée «handshake» : le serveur envoie son certificat électronique au client et celui-ci fait de même. A ce moment, le client génère une clé de cryptage symétrique. Il utilise ensuite la clef publique du serveur pour crypter la clef symétrique. Il l envoie au serveur, qui est le seul à pouvoir décrypter le message avec sa clef privée et obtenir la clef symétrique. A la fin de la négociation TLS, le client s est assuré de l identité du serveur, et une clé de cryptage symétrique va servir à crypter les données entre le client et le serveur. Il faut donc que chaque utilisateur et donc le serveur possèdent des certificats électroniques. On peut utiliser des produits permettant de maintenir une Infrastructure à Gestion de Clé (IGC). EAP/PEAP Cette méthode littéralement Protected EAP, consiste à la mise en place d un tunnel TLS entre le client et le serveur, puis une nouvelle négociation EAP (par exemple EAP/MS- CHAP-v2) se déroule au sein de ce tunnel, à l abri des regards indiscrets. Au cours de la négociation EAP/PEAP, le client n est pas obligé de révéler sa véritable identité, il peut répondre «anonyme». Le serveur peut ne pas poser la question. Le client n est donc pas obligé de fournir un certificat, seul le serveur le fait. A la fin de la négociation, un tunnel TLS est établi. Dans ce tunnel, une négociation EAP complète a lieu : c est ici que le client fournit son identité et la preuve de cette identité. La méthode utilisée peut être n importe qu elle méthode EAP. Une fois que l identification «interne» EAP est terminée par un succès ou un échec, le tunnel TLS est fermé et le serveur renvoie un nouveau paquet de succès ou d échec au client, en clair cette fois-ci. EAP/TTLS Comme PEAP, TTLS commence à établir un tunnel TLS, puis met en œuvre une autre authentification dans ce tunnel. TTLS n est pas intégré dans Windows. Les failles d EAP Attaques de la méthode EAP o Attaques de dictionnaires hors-ligne La méthode EAP/MD5 peut être attaquée de cette façon, car si le pirate récupère le défi et le hash correspondant, il peut faire les calculs hors-ligne en essayant de trouver le hash identique. La seule solution consiste à trouver des mots de passe complexes et de les changer régulièrement o Attaques de dictionnaire en ligne La méthode EAP/MS-CHAP-v2 est vulnérable à cette attaque, il faut donc l utiliser au sein d un tunnel. Attaque de la session Une fois l authentification réalisée, l AP accepte dorénavant tous les paquets en provenance de l adresse MAC de cet utilisateur. Une fois le travail EAP étant terminé, le tunnel TLS est fermé, cela signifie que tous les paquets du client sont maintenant échangés en clair. Il faut 13 TLS : Transport Layer Security (nouvelle version de SSL) Nomadisme et mobilité en établissement /40

16 donc (avec le WPA ou le WPA2) mettent en place un procédé de cryptage commun pour mettre en place un tunnel sécurisé. Attaque MiM Le pirate peut simuler une AP entre l utilisateur et le serveur d authentification. Il peut tenter une attaque contre les méthodes PEAP et TTLS en créant un tunnel avec le client et un tunnel avec le serveur. Il faut absolument vérifier le certificat du serveur pour voir si il est valide Bilan du 802.1x Pour bénéficier de la meilleure sécurité possible avec le 802.1x et éviter ses quelques failles, il faut : Utiliser une des méthodes à base de tunnel : EAP/TLS, TTLS ou PEAP S assurer que le certificat du serveur soit toujours vérifié par les clients et qu aucun utilisateur ne se connecte si le certificat est mauvais. Eventuellement mettre en place un certificat pour chaque poste client. S assurer qu un cryptage puissant soit mis en place au cours de l identification : le WPA2 4 Bluetooth Source CERTA 4.1 Introduction La technologie Bluetooth est un système de communication radio à courte portée destinée au réseau personnel (WPAN -- Wireless Personal Area Network). Créée dans le but de remplacer les connexions filaires entre toutes sortes d'équipements, cette technologie est peu coûteuse et peu consommatrice d'énergie. Ces deux atouts lui ont permis d'être rapidement et largement mise en œuvre dans de nombreux équipements (500 millions d'appareils équipés de la technologie Bluetooth en 2005) À ce jour, les dispositifs utilisant la technologie Bluetooth peuvent être des téléphones portables, ordinateurs portables, imprimantes, périphériques de saisies mais également des équipements tels que les récepteurs GPS (Global Positioning System), les appareils photos, les assistants personnels numériques (PDA -- Personal Digital Assistant), certains équipements médicaux et systèmes embarqués (système audio, kit main-libre, etc.) dans les véhicules automobiles. La liste et le nombre de ces appareils continuent de s'accroitre. 4.2 Présentation de la technologie Bluetooth La technologie sans fil Bluetooth fonctionne sur la bande de fréquence des 2,4GHz identique à celle utilisée par certaines normes IEEE Nomadisme et mobilité en établissement /40

17 Réseau personnel sans fil de courte portée Les appareils équipés de la technologie Bluetooth communiquent entre eux en formant des réseaux ad-hoc (maître-esclave) de faible portée nommés picoréseaux. Un périphérique esclave peut avoir plusieurs maîtres, mais ne sera pas en mesure de communiquer directement avec un autre esclave. Bluetooth 1.2 et Bluetooth 2.0 Les équipements Bluetooth connectés à un picoréseau peuvent se transmettre simultanément des informations de type voix et données (comme défini dans la spécification du protocole Bluetooth). En novembre 2003, la version 1.2 de la spécification Bluetooth a été adoptée. Cette version permet des taux de transfert de l'ordre de 1Mbits/s, en pratique cela se traduit par un débit de 720kbits/s. Un an plus tard, c'est la version 2.0 qui est adoptée à son tour. Cette nouvelle version permet des transferts plus rapides, le taux de transfert peut aller jusqu'à 3Mbits/s théorique. Distance et puissance La technologie sans fil Bluetooth est destinée à des réseaux personnels de courte portée. La distance maximum spécifiée entre les équipements peut varier de quelques mètres à une centaine de mètres pour les appareils les plus puissants. La distance est directement liée à la puissance d'émission et à la sensibilité de réception des dispositifs Bluetooth (cf. Section 4.2). La technologie Bluetooth, à l'inverse de la technologie infrarouge, ne requiert pas des appareils communicants qu'ils soient sur ligne directe et dégagée, en effet, cette technologie est omnidirectionnelle et les ondes radio sont capables de traverser des objets massifs tels que des murs. 4.3 Sécurité et technologie Bluetooth Le fait d'intégrer la technologie Bluetooth et toutes les fonctionnalités associées dans de plus en plus d'équipements a contribué à transformer ces mêmes équipements en systèmes d'information communicants. Avec leur capacité de stockage, leurs services et leurs connectivités, il est primordial de prendre en considération la sécurité des équipements Bluetooth. Mode de sécurité La spécification Bluetooth propose 3 modes de sécurité. Il est à noter que ces modes de sécurité sont déployés ou non dans les équipements Bluetooth selon la décision prise par les fabricants. Les modes de sécurité sont les suivants : mode de sécurité 1 : non sécurisé ; mode de sécurité 2 : sécurisé au niveau applicatif ; mode de sécurité 3 : sécurisé au niveau de la liaison. Le mode de sécurité 3 intervient sur la couche de liaison du modèle OSI, il permet d'établir une connexion avec authentification et chiffrement au moyen d'une clé. Le mode de sécurité 2 permet de sécuriser de façon logicielle5 le dispositif Bluetooth en paramétrant les profils Bluetooth. Le mode de sécurité 1 permet à un appareil Bluetooth d'offrir ses services à tous dispositifs Bluetooth à portée. Nomadisme et mobilité en établissement /40

18 Jumelage ou couplage Deux dispositifs Bluetooth destinés à communiquer ensemble fréquement devront être couplé6 au moyen d'une clé symétrique. Cette étape permet aux deux appareils de partager une clé secrète utilisée pour chiffrer et déchiffrer les données. Cette clé secrète est conçue au moyen d'un algorithme mettant en œuvre l'adresse physique des dispositifs jumelés, de nombres aléatoires mais surtout d'un sésame fournit par l'utilisateur (code PIN7, mot de passe, etc...). Le sésame symétrique requis lors de l'opération de jumelage est directement subordonné au périphérique utilisé : Mode découverte Un dispositif Bluetooth peut activer ou non le mode découverte. Ce mode de fonctionnement permet à un appareil Bluetooth de manifester sa présence en répondant aux requêtes destinées à découvrir les équipements Bluetooth à portée. La désactivation de ce mode peut s'avérer très utile lorsque l'on souhaite établir une communication entre deux appareils Bluetooth sans pour autant révéler leur présence aux autres équipements Bluetooth à portée. Le mode découverte est de plus en plus souvent désactivé par défaut sur les équipements Bluetooth tels que les oreillettes Bluetooth. 4.4 Risque associé à l'utilisation de la technologie Bluetooth L'utilisation de cette technologie, avec tous les services qu'elle propose, est assortie à des risques bien réels de voir des informations dérobées par des individus qu'il sera très difficile d'identifier, car les équipements en question sont conçus pour être petits, légers et mobiles. Rares sont les équipements qui journalisent les connexions et les activités Bluetooth. Attaques et vulnérabilités De nombreuses vulnérabilités liées aux dispositifs Bluetooth ont été découvertes depuis la création et l'utilisation des équipements Bluetooth. Ces vulnérabilités ont d'ailleurs été suivies par l'apparition d'attaques à l'intitulé accrocheur. Les principales attaques sont détaillées ci-dessous : Bluejacking : Cette première attaque, qui s'apparente à du pourriel, consiste à détourner l'utilisation principale liée au profil OBEX Object Push Service (cf. Section 2.4). Ce profil Bluetooth permet d'envoyer des éléments (contacts, carte de visite, rendez-vous...) entre périphériques compatibles. Un utilisateur malintentionné peut remplir arbitrairement les champs de sa carte de visite et faire afficher ce texte sur un appareil Bluetooth choisi. Bluesmack : Cette attaque consiste en l'exploitation d'une vulnérabilité présente dans des piles réseau Bluetooth. Un utilisateur malintentionné peut fabriquer des paquets spécialement conçus pour réaliser un déni de service de la pile réseau Bluetooth ou sur l'équipement vulnérable. Nomadisme et mobilité en établissement /40

19 Bluebug : Cette attaque affecte principalement les téléphones portables équipés d'une interface Bluetooth. Un utilisateur ayant accès au profil Bluetooth vulnérable d'un téléphone portable peut exécuter arbitrairement toutes sortes de commandes lui donnant ainsi un contrôle total sur l'équipement ciblé. Les actions auxquelles l'individu pourrait avoir accès sont : l'accès en lecture et en écriture au répertoire téléphonique ; appel vers n'importe quel numéro (surtaxé ou malveillant) ; modification de la configuration de l'appareil (volume sonore, renvoi d'appel,...) ; lecture et envoi de message SMS ; etc. Bluesnarfing : Cette attaque permet à un utilisateur malintentionné de télécharger arbitrairement depuis l'équipement Bluetooth vulnérable un ou plusieurs fichiers. Ces attaques ont beaucoup perdu en furtivité depuis que les fabricants d'équipements Bluetooth implémentent par défaut le mode sécurité 2. Pour arriver à ses fins un utilisateur malintentionné devra associer à ces attaques de l'ingénierie sociale. Distance de réception d'un signal Bluetooth Le savoir-faire permettant de modifier physiquement un dispositif Bluetooth de type clé USB de manière à augmenter considérablement sa portée de réception est disponible sur l'internet. Ces expériences mettent en évidence que les ondes radio émises par un équipement Bluetooth peuvent être captées largement au-delà de la portée théorique, l'élément important lors de ces expérimentations est la sensibilité du récepteur Bluetooth. Protection du sésame Le savoir-faire, ainsi que les moyens matériels nécessaires pour casser un sésame utilisé par deux périphériques Bluetooth jumelés peuvent être réunis. Avec ces ressources, un utilisateur distant malintentionné peut compromettre la confidentialité d'un sésame. Par ce procédé, un sésame de type code PIN de 4 caractères peut être cassé en moins d'une seconde. Le temps de calcul maximum nécessaire pour casser un code PIN est exponentiel en fonction du nombre de caractères. (In)sécurité liée au mode découverte Un équipement Bluetooth ayant désactivé le mode «découverte» reste tout de même détectable par un utilisateur malintentionné. Pour un utilisateur non averti, le fait de désactiver le mode découverte donne une fausse impression de sécurité car un périphérique Bluetooth sous tension reste joignable. Une attaque consiste à envoyer une requête spécifique qui ne peut être ignorée par les périphériques Bluetooth à portée, même avec le mode découverte désactivé. Ainsi, une personne malveillante va tenter de balayer une ou plusieurs plages d'adresses physiques prédéfinies associées aux dispositifs Bluetooth afin de détecter leur présence. Cette attaque de type force brute est coûteuse en temps pour l'attaquant mais reste efficace. Nomadisme et mobilité en établissement /40

20 5 Applications et mesures concernant les outils 5.1 Les ordinateurs portables La difficulté principale consiste à gérer des moyens de connexions hétérogènes. En effet, le même PC portable est tantôt connecté au réseau d'entreprise : Dans son bureau sur le réseau filaire Dans la salle de réunion sur le réseau sans fil Via l'accès Internet ADSL de la maison Via une carte GPRS ou UMTS dans le train Via un Hotspot dans un aéroport De plus ces outils peuvent subir des dommages tels que des chutes, la perte ou le vol. Il est donc important de gérer finement les MAJ de sécurité ainsi que celles de l'anti-virus. De plus les sauvegardes des données doit être automatisée avec des moyens tels que Syncback (voir en annexes) ou des outils professionnels. Les données doivent également être cryptées afin d'éviter qu'elles puissent utilisées par des personnes malveillantes (voir annexe consacrée à Truecrypt). 5.2 Les téléphones mobiles et PDA Les nouveaux smartphone professionnels (iphone d Apple, Windows mobile,ou RIM de Blackberry) offrent de puissantes fonctionnalités permettant de rester connectés à ses s, calendriers, intranet et autres outils du quotidien. Mais ils peuvent présenter des risques en matière de sécurité et devenir des cibles de malveillance. Aussi est-il souhaitable de prendre en considération quelques conseils de sécurité : Mettre en place une politique de mots de passe renforcée Les smartphone professionnels doivent être configurés de manière à ce que l écran se verrouille après une courte période d'inactivité. Les mots de passe doivent être complexes et doivent être changés régulièrement. Protéger l accès VPN des smartphone Les pirates peuvent exploiter les vulnérabilités des smartphone, les infecter à l aide de logiciels malveillants, puis passer par les connexions VPN pour accéder aux ressources sensibles de l intranet de la société. Les serveurs dédiés aux smartphone et les sorties VPN doivent être placés sur un réseau avec pare-feu et séparés du reste de l intranet. Les connexions venant des téléphones doivent être régulées par des systèmes de prévention des intrusions. L accès VPN des smartphones doit être restreint aux serveurs réellement nécessaires aux utilisateurs de portables. Nomadisme et mobilité en établissement /40

21 Etablir des procédures à suivre en cas de perte ou de vol En cas de perte ou de vol, les données sensibles dans les smartphone peuvent être partiellement nettoyées par le serveur de l entreprise. Il est recommandé d établir un point de contact pour les employés ayant perdu leur téléphone, afin que les données soient effacées au plus. Contrôler l installation des applications tierces Les utilisateurs de smartphone peuvent télécharger sur leur smartphone de nouvelles applications (ne comportant pas de signature numérique), porteuses de logiciel malveillant. Les entreprises doivent mettre en place des restrictions concernant l installation de ces applications. Evaluer les solutions anti-virus pour smartphone Aujourd hui, il y a peu de menaces de logiciels malveillants sur les smartphone bien qu il existe déjà des solutions anti-virus dédiées. La popularité de ces téléphones grandissant, les logiciels malveillants peuvent aussi les cibler. Désormais de grands éditeurs tels que Symantec ou F-Secure proposent des suites de sécurité dédiées aux smartphone. Les risques autour de la généralisation de la 3G De plus en plus d'établissements équipent leurs flottes mobiles de terminaux capables de navigation, mais aussi de consulter la messagerie, en plus d'autres applicatifs divers. Avec ces fonctionnalités se généralisant, des accès professionnels 3G sont souvent demandés dans les forfaits de façon assez logique pour ces mobiles (matériels et forfaits téléphonie d'entreprise donc). Avec ce type de mobile et les logiciels de synchronisation idoines (Nokia PC suite, MS Active Sync, ) la configuration réseau est paramétrée automatiquement lors de l'installation et à l'initialisation de la connexion. Ceci crée un réel problème de sécurité au sein des établissements : le contournement complet des architectures de filtrage (navigation, messagerie). Dès lors que la personne est administrateur local elle pourra naviguer librement, en déjouant les systèmes de filtrage et de traçabilité Internet. Les risques induits sont alors relativement évidents : viral en premier, puisque la seule barrière sera l'antivirus local du poste. Au delà du risque viral, c'est aussi le problème de la perte d'information, que ce soit parce qu'un logiciel malveillant non bloqué envoie des documents sur Internet à l'insu de l'utilisateur, ou parce qu'un problème de type viral amène à une perte pure et simple de données. Le fond du problème est certainement la soif de liberté de tout internaute. Au sein d'une entreprise ayant mis en place des contrôles d'accès à Internet (dans le cadre du décret d'application par exemple), en sus de certaines restrictions (contenus pornographiques, piratage, etc.), la tentation sera grande de contourner toutes ces barrières. Dans un tel contexte d'effervescence technologique, les cellules de veille sécurité se doivent donc se maintenir au goût du jour des tentations utilisateur, afin d'informer et d'alerter les MOA sécurité, ainsi que les DSI / RSSI en conséquence, en incluant les Télécom dans la boucle. Nomadisme et mobilité en établissement /40

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05 Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution

Plus en détail

1. Présentation de WPA et 802.1X

1. Présentation de WPA et 802.1X Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

Simple Utilisateur Mai 2008 Mai 2009 02

Simple Utilisateur Mai 2008 Mai 2009 02 Les réseaux sans fil (WiFi) Date de Date de Version Public Cible Publication Révision Simple Utilisateur Mai 2008 Mai 2009 02 Introduction Un réseau sans fil est un réseau dans lequel au moins deux terminaux

Plus en détail

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

>#? 9@ " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/22.-...0 ! " # $%!& *$$ $%!& *! # +$

>#? 9@  $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/22.-...0 !  # $%!& *$$ $%!& *! # +$ #"!$% >#? 9@ " $: $A; 4% 6! " # $%!& $'()) $%!& *$$ $%!& *! # +$!",-./0112-+ 3456 $7 -/8 $+.,.,$9:$ ;,

Plus en détail

L3 informatique TP n o 4 : Configuration d un routeur Wi-Fi

L3 informatique TP n o 4 : Configuration d un routeur Wi-Fi L3 informatique TP n o 4 : Configuration d un routeur Wi-Fi Sovanna Tan Octobre 2009, maj novembre 2014 1/15 Sovanna Tan Configuration d un routeur Wi-Fi Plan 1 Introduction 2 L ethernet commuté 3 Transmission

Plus en détail

Nomadisme sécurisé pour la communauté enseignement supérieur-recherche. C. Claveleira Comité Réseau des Universités. Séminaire Aristote 11 juin 2009

Nomadisme sécurisé pour la communauté enseignement supérieur-recherche. C. Claveleira Comité Réseau des Universités. Séminaire Aristote 11 juin 2009 Nomadisme sécurisé pour la communauté enseignement supérieur-recherche C. Claveleira Comité Réseau des Universités Séminaire Aristote 11 juin 2009 Comité Réseau des Universités Petite structure universitaire

Plus en détail

Plan [ Mécanismes de sécurité aux réseaux wlan]

Plan [ Mécanismes de sécurité aux réseaux wlan] Plan [ wlan] - Introduction - Pourquoi on a besoin des Wlan - 802.11 présentation et architecture - Protocoles - Sécurité dans 802.11b - Failles de sécurité - Outils d attaques - Solutions - Conclusion

Plus en détail

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Présenté par : Ould Mohamed Lamine Ousmane Diouf Sécurité des Réseaux Wi Fi Présenté par : Ould Mohamed Lamine Ousmane Diouf Table des matières Présentation du réseau Wi Fi Configuration d'un réseau Wi Fi Risques liés aux réseaux Wi Fi Règles de base

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail

5.5 Utiliser le WiFi depuis son domicile

5.5 Utiliser le WiFi depuis son domicile Utiliser le WiFi depuis son domicile D autres formules existent. Une autre association, Wifi-Savoie propose par exemple un accès WiFi pour les utilisateurs de passage. Ceux-ci devront s acquitter d environ

Plus en détail

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide But de ce guide Ce guide décrit la méthode d'installation et de configuration de votre SAGEM Wi-Fi 11g USB ADAPTER pour réseau sans fil. Lisez-le

Plus en détail

WIFI sécurisé en entreprise (sur un Active Directory 2008)

WIFI sécurisé en entreprise (sur un Active Directory 2008) Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de

Plus en détail

Sécurité des réseaux wi fi

Sécurité des réseaux wi fi Sécurité des réseaux wi fi, drocourt@iut-amiens.fr IUT Amiens, Département Informatique 1 Mode Ad Hoc 2 Mode Infrastructure AP (Access Point) 3 Mode Infrastructure AP (Access Point) 4 Mode Infrastructure

Plus en détail

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP. SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide But de ce guide Ce guide décrit la méthode d'installation et de configuration de votre SAGEM Wi-Fi 11g USB ADAPTER pour réseau sans fil. Lisez-le

Plus en détail

Réseaux : Wi-Fi Sommaire. 1. Introduction. 2. Modes de fonctionnement. 3. Le médium. 4. La loi. 5. Sécurité

Réseaux : Wi-Fi Sommaire. 1. Introduction. 2. Modes de fonctionnement. 3. Le médium. 4. La loi. 5. Sécurité Réseau Wi-Fi Sommaire 1. Introduction 2. Modes de fonctionnement 3. Le médium 4. La loi 5. Sécurité 2 Introduction Le terme Wi-Fi suggère la contraction de Wireless Fidelity, par analogie au terme Hi-Fi.

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Principes de mise en réseau & Manuel d installation réseau pour l imprimante Crystal Printer

Principes de mise en réseau & Manuel d installation réseau pour l imprimante Crystal Printer Principes de mise en réseau & Manuel d installation réseau pour l imprimante Crystal Printer 1. Présentation Ce manuel fournit les connaissances de base sur la mise en place d un réseau sans fil pour que

Plus en détail

Le protocole RADIUS Remote Authentication Dial-In User Service

Le protocole RADIUS Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours

Plus en détail

La sécurité dans un réseau Wi-Fi

La sécurité dans un réseau Wi-Fi La sécurité dans un réseau Wi-Fi Par Valérian CASTEL. Sommaire - Introduction : Le Wi-Fi, c est quoi? - Réseau ad hoc, réseau infrastructure, quelles différences? - Cryptage WEP - Cryptage WPA, WPA2 -

Plus en détail

WIFI (WIreless FIdelity)

WIFI (WIreless FIdelity) WIFI (WIreless FIdelity) 1. Théorie et architectures 2. Démarche d un déploiement (WLAN Bluesocket/Cisco) 3. Maquettage Ph. Tourron 1 PLAN Théorie et architecture Les types de réseaux sans fil Normes autour

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Matthieu Herrb CNRS-LAAS matthieu.herrb@laas.fr Septembre 2003 SIARS Toulouse 2003 Plan La technologie sans fils Faiblesses et Attaques Architecture Sécurisation des postes

Plus en détail

Sécurité Informatique. WIFI sécurisé en entreprise (sur un active directory 2003) 0 - Théories et principes divers sélectionnés.

Sécurité Informatique. WIFI sécurisé en entreprise (sur un active directory 2003) 0 - Théories et principes divers sélectionnés. Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Technologie sans fil (certains modèles)

Technologie sans fil (certains modèles) Technologie sans fil (certains modèles) Manuel de l'utilisateur 2006 Hewlett-Packard Development Company, L.P. Microsoft et Windows sont des marques déposées de Microsoft Corporation aux États-Unis. Bluetooth

Plus en détail

How To? Sécurité des réseaux sans fils

How To? Sécurité des réseaux sans fils Retrouvez les meilleurs prix informatiques How To? Sécurité des réseaux sans fils Notre magasin Rue Albert 1er, 7 B-6810 Pin - Chiny Route Arlon - Florenville (/fax: 061/32.00.15 FORMATIONS Le MAGASIN

Plus en détail

L iphone en entreprise Présentation de la sécurité

L iphone en entreprise Présentation de la sécurité L iphone en entreprise Présentation de la sécurité Avec iphone vous pourrez accéder de façon totalement sécurisée aux services de l entreprise tout en protégeant les données de l appareil. Vous profiterez

Plus en détail

Wifi : usages et avantages d'un réseau sans fil. Sommaire. Ethernet versus Wifi. Qu'est ce que le Wifi? Les normes IEEE 802.11.

Wifi : usages et avantages d'un réseau sans fil. Sommaire. Ethernet versus Wifi. Qu'est ce que le Wifi? Les normes IEEE 802.11. Wifi : usages et avantages d'un réseau sans fil Patrick Malherbe END-2-END Sommaire 1. Qu'est ce que le Wifi? 2. Ethernet versus Wifi 3. Normes 802.11 4. Sécurité 5. Fonctionnement 6. 7. Coût 8. Avantages/inconvénients

Plus en détail

Mobilité et sécurité

Mobilité et sécurité Observatoire de la Sécurité des Systèmes d'information et des Réseaux www.ossir.org Mobilité et sécurité Forum mobilités DSI restez connectés! 20 janvier 2005 Hervé Schauer OSSIR

Plus en détail

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR. FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI Encadré par PR.AHLAM BEGEDOURI Abdelhamid El hassani Mohamed Ouddaf Nacer Harti Yahya kharban Hatim

Plus en détail

7.1.2 Normes des réseaux locaux sans fil

7.1.2 Normes des réseaux locaux sans fil Chapitre 7 7.1.2 Normes des réseaux locaux sans fil Quelles sont les deux conditions qui poussent à préférer la norme 802.11g à la norme 802.11a? (Choisissez deux réponses.) La portée de la norme 802.11a

Plus en détail

Exemples de solutions d administration d un réseau sans fil

Exemples de solutions d administration d un réseau sans fil Journée sans fil ENSAM, Paris, 13 octobre 2004 Exemples de solutions d administration d un réseau sans fil Sylvie Dupuy (CCR), Catherine Grenet (CNRS/UREC) IRSF : Infrastructures Réseaux Sans Fil QoS,

Plus en détail

Installation du point d'accès Wi-Fi au réseau

Installation du point d'accès Wi-Fi au réseau Installation du point d'accès Wi-Fi au réseau Utilisez un câble Ethernet pour connecter le port Ethernet du point d'accès au port de la carte réseau situé sur le poste. Connectez l'adaptateur électrique

Plus en détail

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien Sécurité des réseaux wifi Sécurité des réseaux wifi CREIX Kevin GIOVARESCO Julien Sécurité des réseaux wifi Introduction Introduction Wi-Fi = Wireless Fidelity (gage d'intéropérabilité) 1997 -> norme 802.11

Plus en détail

La gamme Advance UCOPIA. www.ucopia.com

La gamme Advance UCOPIA. www.ucopia.com La gamme Advance UCOPIA www.ucopia.com La gamme UCOPIA Advance est destinée aux organisations moyennes à grandes, déployant sur un ou de nombreux sites, pour l accès à des applications et services critiques,

Plus en détail

Introduction au Wi-Fi sécurisé

Introduction au Wi-Fi sécurisé Introduction au Wi-Fi sécurisé 1 2 Introduction au Wi-Fi sécurisé Réunion VRRROUM 17/06/05 Marc Vesin 3 Réseaux sans-fil : rappels WLAN : wireless LAN, réseau local radioélectrique IEEE : organisme de

Plus en détail

W I-FI SECURISE ARUBA. Performances/support de bornes radio

W I-FI SECURISE ARUBA. Performances/support de bornes radio ARUBA Performances/support de bornes radio Bande passante non cryptée : 1 Gbps-16 Gbps Bande passante cryptée : 200 Mbps-8 Gbps 6000-6100 256-512 APs 2400 48 APs 5000-5100 48-128-256 APs 800-4/800-16 04-16

Plus en détail

IV. La sécurité du sans-fil

IV. La sécurité du sans-fil IV. La sécurité du sans-fil Le Wi-Fi est un vrai défis et une vraie révolution. Le développement de ces outils à été plus vite que l apparition des normes, il en découle de sérieux problèmes de base. Nul

Plus en détail

Piratage Télécom : Comment se protéger?

Piratage Télécom : Comment se protéger? Piratage Télécom : Comment se protéger? Rhénatic Pôle de Compétences TIC d Alsace, créé en octobre 2006 Un réseau d une centaine d entreprises numériques alsaciennes, issus de tous les métiers des TIC

Plus en détail

La mise en place de la quarantaine réseau

La mise en place de la quarantaine réseau La mise en place de la quarantaine réseau La quarantaine réseau n est pas une véritable solution de sécurité, mais c est un élément dont l objectif est de maintenir en bonne santé les éléments présents

Plus en détail

Comprendre le Wi Fi. Patrick VINCENT pvincent@erasme.org

Comprendre le Wi Fi. Patrick VINCENT pvincent@erasme.org Comprendre le Wi Fi Patrick VINCENT pvincent@erasme.org Le standard 802.11 Débit théorique maximum 802.11b 802.11a 802.11g 11 Mbps 54 Mbps 54 Mbps Bande de fréquence Portée maximale Observations intérieur

Plus en détail

Présentation Générale

Présentation Générale Présentation Générale Modem routeur LAN Inte rnet Système de connectivités Plan Modem synchrone et Asynchrone La famille xdsl Wifi et WiMax Le protocole Point à Point : PPP Le faisceau hertzien Et le Satellite.

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Sécuriser un équipement numérique mobile TABLE DES MATIERES Sécuriser un équipement numérique mobile TABLE DES MATIERES 1 INTRODUCTION... 2 2 REGLES DE BONNE CONDUITE CONCERNANT VOTRE MOBILE... 3 2.1 MEFIEZ-VOUS DES REGARDS INDISCRETS... 3 2.2 PREVOYEZ LE VOL OU

Plus en détail

Menaces et sécurité préventive

Menaces et sécurité préventive HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18

Plus en détail

WiFI Sécurité et nouvelles normes

WiFI Sécurité et nouvelles normes WiFI Sécurité et nouvelles normes FRNOG 25 septembre 2003 cleclerc@xpconseil.com Agenda DEVOTEAM Group La soupe à l alphabet et acronymes du 802.11 Normes Les services securité WEP, EAP, TKIP Exploitation

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Un peu de vocabulaire

Un peu de vocabulaire Un peu de vocabulaire Le SSID Service set identifier C est l identifiant de votre réseau. Votre réseau doit en principe porter un nom. Personnalisez-le. Attention si vous cochez «réseau masqué», il ne

Plus en détail

Le réseau sans fil "Wi - Fi" (Wireless Fidelity)

Le réseau sans fil Wi - Fi (Wireless Fidelity) Professionnel Page 282 à 291 Accessoires Page 294 TPE / Soho Page 292 à 293 Le réseau sans fil "Wi - Fi" (Wireless Fidelity) Le a été défini par le Groupe de travail WECA (Wireless Ethernet Compatibility

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

Wi-Fi en entreprise : Application et Sécurité

Wi-Fi en entreprise : Application et Sécurité Wi-Fi en entreprise : Application et Sécurité Benjamin CHARLES 15 janvier 2008 benjamin [at] polkaned [dot] net Plan Concepts Mise en œuvre Analyse de la sécurité 2 Plan Concepts Mise en œuvre Analyse

Plus en détail

Réseaux. Virtual Private Network

Réseaux. Virtual Private Network Réseaux Virtual Private Network Sommaire 1. Généralités 2. Les différents types de VPN 3. Les protocoles utilisés 4. Les implémentations 2 Sommaire Généralités 3 Généralités Un VPN ou RPV (réseau privé

Plus en détail

Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr

Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr Agenda 1. Les enjeux du nomadisme : les attentes des utilisateurs 2. Internet,

Plus en détail

IPSec peut fonctionner selon deux modes, transport ou tunel.

IPSec peut fonctionner selon deux modes, transport ou tunel. Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

LA GAMME UCOPIA VIRTUALISéE. www.ucopia.com

LA GAMME UCOPIA VIRTUALISéE. www.ucopia.com LA GAMME UCOPIA VIRTUALISéE www.ucopia.com L appliance virtuelle UCOPIA est destinée aux organisations moyennes à grandes. Cette gamme répond aux besoins des environnements multi-sites et propose toutes

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi Movie Cube Manuel utilisateur pour la fonction sans fil WiFi Table des matières 1. Connexion de l'adaptateur USB sans fil WiFi...3 2. Paramétrage sans fil...4 2.1 Infrastructure (AP)...5 2.2 Peer to Peer

Plus en détail

LES RÉSEAUX INFORMATIQUES

LES RÉSEAUX INFORMATIQUES LES RÉSEAUX INFORMATIQUES Lorraine Le développement d Internet et de la messagerie électronique dans les entreprises a été, ces dernières années, le principal moteur de la mise en place de réseau informatique

Plus en détail

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SECURITE DES DONNEES 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Table des matières 1. INTRODUCTION... 3 2. ARCHITECTURES D'ACCÈS À DISTANCE... 3 2.1 ACCÈS DISTANT PAR MODEM...

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

La gamme express UCOPIA. www.ucopia.com

La gamme express UCOPIA. www.ucopia.com La gamme express UCOPIA www.ucopia.com UCOPIA s adresse principalement aux petites organisations (Hôtels, PME, Cliniques, Etablissements secondaires...). Produit ayant obtenu en 2010 la Certification de

Plus en détail

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Note technique. Recommandations de sécurité relatives aux réseaux WiFi

Note technique. Recommandations de sécurité relatives aux réseaux WiFi DAT-NT-005/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 30 mars 2013 de la défense et de la sécurité nationale N o DAT-NT-005/ANSSI/SDE/NP Agence nationale de la sécurité Nombre

Plus en détail

LES OUTILS DE LA MOBILITE

LES OUTILS DE LA MOBILITE L évolution du marché des assistants personnels, ainsi que la baisse des prix, permettent désormais à un plus grand nombre d entreprises de s équiper avec des outils technologiques performants. Avec l

Plus en détail

Pare-feu VPN sans fil N Cisco RV120W

Pare-feu VPN sans fil N Cisco RV120W Pare-feu VPN sans fil N Cisco RV120W Élevez la connectivité de base à un rang supérieur Le pare-feu VPN sans fil N Cisco RV120W combine une connectivité hautement sécurisée (à Internet et depuis d'autres

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Conditions Générales d Utilisation wifi partagé

Conditions Générales d Utilisation wifi partagé ARTICLE 1. DEFINITIONS Conditions Générales d Utilisation wifi partagé Quelques définitions pour faciliter la lecture des présentes : - Le «wifi partagé» ou la Fonctionnalité : service qui permet à un

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Création de réseaux AirPort grâce à l Utilitaire AirPort. Mac OS X 10.5 + Windows

Création de réseaux AirPort grâce à l Utilitaire AirPort. Mac OS X 10.5 + Windows Création de réseaux AirPort grâce à l Utilitaire AirPort Mac OS X 10.5 + Windows 1 Table des matières Chapitre 1 4 Premiers contacts 6 Configuration, à l aide d Utilitaire AirPort, de périphériques sans

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réseaux et Sécurité SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réf : SRI Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce séminaire vous montrera comment répondre aux impératifs de sécurité des communications

Plus en détail

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide But de ce guide Ce guide décrit la méthode d'installation et de configuration de votre SAGEM Wi-Fi 11g USB ADAPTER pour réseau sans fil. Lisez-le

Plus en détail

Déploiement d iphone et d ipad Réseaux privés virtuels

Déploiement d iphone et d ipad Réseaux privés virtuels Déploiement d iphone et d ipad Réseaux privés virtuels L accès sécurisé aux réseaux privés d entreprise est possible sur iphone et ipad grâce aux protocoles standard établis en matière de réseaux privés

Plus en détail

Pré-requis techniques

Pré-requis techniques Sommaire 1. PRÉAMBULE... 3 2. PRÉ-REQUIS TÉLÉCOM... 4 Généralités... 4 Accès Télécom supporté... 4 Accès Internet... 5 Accès VPN... 5 Dimensionnement de vos accès... 6 3. PRÉ-REQUIS POUR LES POSTES DE

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009 http://www.aerohive.com AEROHIVE NETWORKS PRIVATE PRESHARED KEY Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009 Patrice Puichaud patrice@aerohive.com

Plus en détail

Sommaire. III : Mise en place :... 7

Sommaire. III : Mise en place :... 7 Sommaire INTRODUCTION SUR LES BESOINS DE M2L:... 2 SOLUTION WIFI PUBLIC:... 2 SOLUTION WIFI PRIVE:... 2 MISE EN PLACE SOLUTION WIFI PUBLIC:... 3 I : Pourquoi WPA2 PSK?... 3 II: Choix du matériel et compatibilité....

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Atelier 802.1x / RADIUS / Wi-Fi

Atelier 802.1x / RADIUS / Wi-Fi /tmp/lab Vitry sur Seine 17 juillet 2008 Sommaire I Le Wi-Fi Installation technologie normalisée IEEE sous le groupe 802.11 fonctionne en 2.4 et 5Ghz support sans-fil, donc problème d accès au média fonctionne

Plus en détail

MONNIER Marie 10807915 2008/2009 WPA

MONNIER Marie 10807915 2008/2009 WPA WPA RESUME Je vais étudier dans ce projet WPA (WPA et WPA2, en particulier la version personal la plus utilisée, mais aussi la version enterprise utilisant un serveur d authentification de type radius

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 TP ADMINISTRATION RESEAUX SANS FIL

Laboratoire Télécom&Réseaux TP M1 2005/2006 TP ADMINISTRATION RESEAUX SANS FIL TP ADMINISTRATION RESEAUX SANS FIL Manipulation N 1 : Installation d un Réseau Ad-hoc ( indépendant, ou point à point). Matériel nécessaire : Trois postes PC fixes. Trois cartes (format PCI).client 11b

Plus en détail

La maison connectée grâce au courant porteur en ligne (CPL)

La maison connectée grâce au courant porteur en ligne (CPL) La maison connectée grâce au courant porteur en ligne (CPL) Introduction au réseau informatique Quel est l'intérêt de créer un réseau informatique? Partager les photos de son PC sur sa TV, imprimer depuis

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Rapport de Projet. La sécurité du protocole 802.11 : l exploitation des failles et étude des méthodes de protection. Réalisé par :

Rapport de Projet. La sécurité du protocole 802.11 : l exploitation des failles et étude des méthodes de protection. Réalisé par : Rapport de Projet La sécurité du protocole 802.11 : l exploitation des failles et étude des méthodes de protection Réalisé par : Abel ONDAS Albert MINKOMA Année Universitaire 2011-2012 SOMMAIRE INTRODUCTION...

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Réseaux AirPort Apple

Réseaux AirPort Apple Réseaux AirPort Apple 1 Table des matières Chapitre 1 4 Premiers contacts 6 Configuration, à l aide d Utilitaire AirPort, de périphériques sans fil Apple pour l accès à Internet 7 Extension de la portée

Plus en détail