Charte d installation des réseaux sans-fils à l INSA de Lyon



Documents pareils
7.1.2 Normes des réseaux locaux sans fil

Sécurité des réseaux sans fil

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

IV. La sécurité du sans-fil

Sécurité des réseaux sans fil

WIFI sécurisé en entreprise (sur un Active Directory 2008)

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Sécurité des réseaux wi fi

Comprendre le Wi Fi. Patrick VINCENT

Réseaux : Wi-Fi Sommaire. 1. Introduction. 2. Modes de fonctionnement. 3. Le médium. 4. La loi. 5. Sécurité

Note technique. Recommandations de sécurité relatives aux réseaux WiFi

WIFI (WIreless FIdelity)

La sécurité dans un réseau Wi-Fi

How To? Sécurité des réseaux sans fils

Rapport de Projet. La sécurité du protocole : l exploitation des failles et étude des méthodes de protection. Réalisé par :

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

WiFI Sécurité et nouvelles normes

1. Présentation de WPA et 802.1X

Sommaire. III : Mise en place :... 7

Présenté par : Ould Mohamed Lamine Ousmane Diouf


TP 6 : Wifi Sécurité

Sécurité en milieu Wifi.

MONNIER Marie /2009 WPA

Un peu de vocabulaire

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

La gamme express UCOPIA.

Concilier mobilité et sécurité pour les postes nomades

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux AirPort Apple

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Le réseau sans fil "Wi - Fi" (Wireless Fidelity)

Réseau sans fil trois fois plus rapide et cinq fois plus flexible.

Contrôle d accès Centralisé Multi-sites

Wifi Sécurité et Qualité 1 - Sécurité

UCOPIA EXPRESS SOLUTION

Bibliographie. Gestion des risques

Peyre-Brosson Clothilde Tutoriel configuration Borne Wifi D-Link DWL-2000AP TUTORIEL CONFIGURATION BORNE WIFI D- LINK DWL-2000AP

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

Sécurité Nouveau firmware & Nouvelles fonctionnalités

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Introduction au Wi-Fi sécurisé

Présentation Générale

Guide pratique spécifique pour la mise en place d un accès Wifi

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

Installation du point d'accès Wi-Fi au réseau

Pare-feu VPN sans fil N Cisco RV120W

Point d'accès extérieur PoE bibande simultané Wireless AC1200

Le rôle Serveur NPS et Protection d accès réseau

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

INTRUSION SUR INTERNET

Le protocole RADIUS Remote Authentication Dial-In User Service

Manuel de Configuration

Les algorithmes de cryptographie dans les réseaux Wi-Fi

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Les informations contenues dans ce manuel sont susceptibles de modification sans préavis.

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

WiFi et sécurité. Introduction et pré-requis : Cet article explique :

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

5.5 Utiliser le WiFi depuis son domicile

L'écoute des conversations VoIP

UCOPIA SOLUTION EXPRESS

Configuration des points d'accès

Projet Sécurité des SI

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

ZoneDirector 3000 CONTRÔLEUR DE RÉSEAU SANS FIL INTELLIGENT DE CLASSE ENTREPRISE

Cisco RV220W Network Security Firewall

CPE Nanur-Hainaut 2009 Rudi Réz

Mise en réseau d'une classe mobile

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Question 1 : quelles sont les dispositions à même de compléter le schéma règlementaire pour le développement des services Wi-Fi outdoor.

Cisco Network Admission Control

WIFI ÉVOLUTIVITÉ - SÉCURITÉ - MOBILITÉ

Note d application: Les différentes topologies de réseaux de capteurs sans fil

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Pare-feu VPN sans fil N Cisco RV110W

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Sécurité des Postes Clients

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Les Réseaux sans fils : IEEE F. Nolot

Cisco RV220W Network Security Firewall

Routeur VPN Wireless-N Cisco RV215W

et les autres réseaux locaux

Gestion Wifi professionnelle centralisée

Hercules Router G-54 TABLE DES MATIÈRES. Cliquez sur un titre de cette table des matières pour accéder à la section correspondante

La sécurité des systèmes d information

Administration des ressources informatiques

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Mode d emploi DR410 RADIO INTERNET ET FM PORTABLE

Transcription:

Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA de Lyon (Florence Quereyron et Damien Berjoan) sur le support de la DSI (dsi.insa-lyon.fr). La déclaration doit décrire : - l adresse IP, - la localisation exacte de la borne (batiment etage pièce), - la prise en compte de la sécurité physique des équipements, - la puissance d antenne, les canaux utilisés, - la configuration du point d accès (SSID, accès SNMP, logs de connexion) - les méthodes de chiffrement et d authentification, - le filtrage mis en place - le responsable de la borne. La DSI se réserve les canaux 5-9-13 pour le service de WIFI global de l INSA. Il est conseillé d utiliser le canal 1 pour limiter les interférences. L installation d un point d accès non validé est contraire à la charte informatique. Il revient à donner son mot de passe à des tiers pour fournir un accès au système d information de l établissement: la responsabilité de l administrateur se trouve engagée dans toutes les utilisations abusives ou frauduleuses faits avec cet accès. Pour être validé, un point d accès doit répondre aux conditions suivantes : 1. La borne d accès doit être dans un lieu fermé et sécurisé pour éviter une réinitialisation sauvage remettant les valeurs par défaut (mots de passes connus et fonctionnement sans sécurité). 2. La borne doit avoir une IP fixe, ainsi que les postes clients. Ces adresses IP peuvent être publiques ou privées (type 192.168.) s il n y a pas besoin de connexion à internet. 3. Le SSID doit être différent de celui par défaut, difficile à trouver. Il faut réduire la fréquence de ces trames au maximum. Ce SSID ne doit pas donner d information sur la marque de la borne. 4. Le chiffrement doit être mis en œuvre : a. Soit par l utilistion d une clé WEP 128 bits changée fréquement (TKIP si possible). Cette clé ne doit pas être communiquée en claire sur le réseau radio (canal chiffré norme 802.1x) b. Soit le WPA c. Soit par VPN 5. Une administration à distance doit être mise en œuvre, non accessible à tous et surtout non accessible à travers le réseau sans fil. 6. Les utilisateurs doivent être authentifiés (base d utilisateur propriétaire, serveur RADIUS, serveur VPN ou certificats). Cette authentification doit être liée à l annuaire de l INSA (openldap ou Active Directory). 7. Les accès doivent être journalisés (logs) sur 1 an minimum. 8. Pour limiter les risques de piratage et en raison de soupçon de nocivité des micro-ondes sur la santé, il est recommander de limiter la puissance d émission pour ne déservir que le périmètre utile. La puissance du signal ne doit pas dépasser 60mW si des personnes sont localisées à moins d un mètre en dessous d une antenne. 9. La borne doit être reliée à un switch et pas à un HUB 10. Installation d un pare-feu entre le réseau sans fil et le réseau filaire ou connexion sur un VLAN filtré au niveau du CISR. INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 1/ 5

Les points d accès existant doivent aussi être déclarés sur le portail du CISR http://cisr.insalyon.fr. Conseils aux utilisateurs du WIFI : Sur un PC portable, il vaut mieux désactiver l interface sans fil lorsqu on ne l utilise pas (un portable connecté au réseau filaire peut devenir un routeur et transmettre des paquets sur le réseau de l établissement même en l absence d un point d accès lorsqu on a une interface sans fil active). Cela permet en plus d économiser les batteries! Ce document est basé sur : - la recommandation d utilisation du CCR de Jussieu et celle de l UPS - les recommandations du secrétariat général de la défense nationales : http://www.ssi.gouv.fr/fr/actualites/recommandation_wifi.zip INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 2/ 5

Annexe l insécurité des réseaux sans-fil La nature même d un réseau sans fil facilite l écoute radio et l interception des données, à l intérieur comme à l extérieur des murs, car les ondes radio électriques (notées RF pour Radio Frequency) rendent très difficile la maîtrise de la propagation du signal. Intrinsèquement, elles ont la propriété de se propager dans toutes les directions avec une portée relativement grande. Dans la zone de couverture de la borne émettrice (ou point d accès, noté AP pour Access Point), n'importe quel utilisateur, muni d'un équipement avec émetteur/récepteur (PC portable, PDA, etc.), peut écouter les communications entre les équipements interconnectés par le réseau sans fil. En tout état de cause, la difficulté du réglage de la puissance du signal (quand elle existe...) ne permet pas de circonscrire précisément le périmètre du réseau. Des intrus peuvent facilement passer inaperçus (par exemple à partir d une automobile stationnée dans la rue) et l'écoute passive du trafic est difficilement détectable. Le protocole d'accès au réseau présente quant à lui des propriétés qui simplifient la vie des utilisateurs malveillants et il existe actuellement plusieurs logiciels freeware que l'on peut se procurer facilement sur Internet pour "casser" aisément les dispositifs de sécurité prévus dans les réseaux 802.11b. En résumé, il faut considérer qu un point d accès est en quelque sorte un hub ethernet sur lequel il ne serait pas nécessaire de disposer d un lien physique pour pouvoir se connecter. La fragilité du WEP Efficace en apparence, l utilisation de RC4 par le WEP comporte des failles de sécurité qui ont été exploitées après avoir été démontrées mathématiquement par Fluhrer, Mantin et Shamir. En réalité, 24 bits de la clé (IV) servent pour l'initialisation de RC4 et il reste donc seulement 40 bits pour le chiffrement avec une clé de 64 bits ou 104 bits pour la clé de 128 bits. De plus, la partie de la clé qui reste statique peut facilement être découverte en raison d une mauvaise utilisation des vecteurs d initialisation (compteurs, valeurs qui sont réinitialisées à zéro, générateur aléatoire de mauvaise qualité) ou parce que les en-têtes de certains paquets IP sont facilement reconnaissables. L écoute passive du trafic permet donc en un temps fini (parfois moins de 2 heures) de découvrir la clé du WEP par des attaques «en force brute» et «à clair connu». En conclusion, il faut être conscient que le WEP tel qu il est mis en œuvre par les équipements 802.11b offre une protection illusoire : il ne permet pas de garantir que la clé de chiffrement du trafic est un secret partagé exclusivement entre les équipements autorisés à se connecter au réseau sans fil. Quelques scénarios d attaques : Les réseaux WiFi basés sur les normes 802.11 constituent des architectures de type LAN radio partagé, soit en mode infrastructure (tout le trafic passe par un nœud central appelé AP pour access point), soit en mode ad hoc (communication directe de poste à poste). Les menaces pesant sur ces architectures sont multiples, en voici quelques exemples : INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 3/ 5

L AP Sauvage : un utilisateur prend l'initiative d'installer un point d'accès et de le relier au réseau filaire du réseau de son entreprise : L'attaque MitM ou " man in the middle " : consiste à se mettre au milieu comme son nom l indique. L attaquant mettant en œuvre cette méthode, se place entre un access point et un client. Il est de ce fait en mesure de capturer tout le trafic passant entre ces deux points, par exemple lors d une authentification en EAP (PPP Extensible Authentification Protocol est la base de la norme IEEE 802.1x qui est de plus en plus utilisée dans les réseaux WiFi pour gérer l'authentification des clients.) : INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 4/ 5

L écoute passive : Deux utilisateurs échangeant des fichiers en mode «ad hoc». Session hijacking : qui consiste à «hijacker» une connexion, à la voler. Toujours sur le principe du point d accès et du client, l attaquant fait fermer la connexion au client en se faisant passer pour la borne WiFi, en spoofant (usurpant) l adresse MAC de ce point d accès. L attaquant n a plus qu à utiliser l adresse MAC du client qui a été volée et la borne ne le refusera pas. Le double attachement : un utilisateur utilise son portable professionnel pour se connecter à son point d'accès domestique. Le pirate s'associe avec ce point d'accès et parvient à récupérer des informations sensibles stockées sur le disque dur de la victime pendant que celui-ci est connecté. INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 5/ 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back