Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM
Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre réseau WiFi et réseau filaire (Etude de cas Entreprise Encélade) 2
Introduction
Introduction Définition : Un réseau sans fil est un réseau informatique qui connecte différents postes entre eux par ondes radio. En raisonnant par analogie, implanter un réseau sans fil est similaire au fait de placer en pleine rue une prise téléphonique connectée à la ligne téléphonique d'une entreprise. 4
Introduction Plusieurs types de réseaux sans fil existent 5
Introduction Les technologies de réseaux sans fil Actuelles : WiFi, Bluetooth, Wimax (En cours de déploiement) Futures : Voix sur WiFi, Zigbee Les formes que peut prendre un réseau sans fil WiFi : Réseau d'entreprise Réseau privé Hot spot 6
Les réseaux sans fil WiFi
Les réseaux sans fil WiFi Plan : Les principes / concepts A quel besoin peut répondre un réseau WiFi Les avantages d un réseau WiFi 8
Les principes / concept 9
A quel besoin peut répondre un réseau WiFi Couverture d une salle difficile d accès par câble Interconnexion de bâtiments Mise en place de réseau urbain de type communautaire (Exemple : Paris, Neuftélécom) 10
A quel besoin peut répondre un réseau WiFi Point d accès public à Internet de type «Hots Spot» Extension des réseaux filaires de bureau pour les utilisateurs nomades (Salles de réunion) Installation d un réseau informatique sans intrusion (batiments classés), avec beaucoup de flexibilité 11
Les Avantages du Wi-Fi Possibilité de déplacer les postes de travail ( en entreprise ou à domicile ) n importe où dans le bâtiment sans perdre la connectivité au réseau ou à Internet (sans contrainte de recâblage) Redéploiement facile du réseau en cas de déménagement Utilisation pratique avec les PC portables 12
Les Avantages du Wi-Fi Avec le Wi-Fi vous gardez : Votre liberté de mouvement dans les bureaux ou a votre domicile tout en restant connecté au réseau d entreprise ou à Internet La connectivité à votre réseau d entreprise ou à l Internet en voyage, dans les transport en commun, dans les lieux publics (aéroports, hôtels, ) 13
Les risques majeurs liés à l utilisation d un réseau WiFi
Les risques majeurs liés à l utilisation d un réseau WiFi Plan : Récupération de données Détournement de connexions des utilisateurs Mise hors service du système informatique Brouillage des liaisons. 15
Récupération de données Atteinte à la confidentialité des échanges. 16
Détournement de connexions des utilisateurs Il est possible de se substituer au destinataire ou à l expéditeur des informations transitant sur le réseau sans fil tout en étant en dehors de l entreprise. Cela permet entre autre d usurper l identité de quelqu un pour diffuser de fausse information ou récupérer des informations confidentielles. atteinte à l intégrité des échanges 17
Atteinte à l intégrité des échanges. Détournement de connexions des utilisateurs 18
Mise hors service du système informatique Grace à l introduction d un virus via le réseau WiFi. En prenant le contrôle d un poste ou d un serveur. En créant un grand nombre de connexion «fantômes». 19
Brouillage des liaisons Les échanges peuvent être interrompus car les liaisons radios peuvent être facilement brouillées ou bloquées. 20
Comment sécuriser son réseau WiFi
Comment sécuriser son réseau WiFi Plan : Les règles que doit suivre l entreprise pour sécuriser son réseau WiFi. Etudes de cas : L entreprise Ganymède a installé un routeur d accès à Internet wi-fi et utilise uniquement ce réseau même pour accéder à ses documents et informations confidentielles. 22
les règles à suivre Protection physique des équipements et des sites : Etude physique du site (accessibilité, possibilité d'inspection visuelle ) Mise en place d'un contrôle anti-intrusion des accès Vérification de la zone de couverture du réseau via l'utilisation d'outils d'audit 23
les règles à suivre Protection logique et organisationnelle : Configuration des points d'accès pour qu'ils diffusent le minimum d'informations nécessaires à la connexion du client Installation d'antivirus entre le pare-feu et les postes nomades Choix de matériels évolutifs et intégrant l'authentification IEEE 802.1X Activation du chiffrement WPA Changement fréquent de la clé WPA Utilisation d'un tunnel chiffrant pour la communication de la clé WPA 24
les règles à suivre Mise en place d'un système d'authentification forte avec : Contrôle des adresses MAC Utilisation de la norme 802.1X et de son protocole d'authentification EAP Utilisation du protocole TLS pour le transfert des communications d'authentification chiffrées Installation d'une infrastructure de type RADIUS Les boutons d associations : certains équipements intègrent des boutons «dits d association» qui permettent de n autoriser l accès au réseau qu en appuyant manuellement sur ce bouton. Ce qui apporte une sécurité supplémentaire. 25
Etude de cas : L entreprise Ganymède Le contexte : L entreprise Ganymède a installé un routeur d accès à Internet wi-fi et utilise uniquement ce réseau même pour accéder à ses documents et informations confidentielles. 26
Etude de cas : L entreprise Ganymède Les règles que l entreprise doit suivre : Utiliser impérativement la clé de chiffrement WPA (WPA2) afin de masquer toutes les communications. Surtout ne pas utiliser les clés WEP Installer en complément un serveur Radius, qui est un serveur d authentification chargé de : distribuer les clés WPA (Une clé différente renouvelée régulièrement, est distribuée à chaque utilisateur) identifier de façon plus stricte les personnes qui veulent se connecter au réseau et utiliser des documents sensibles et autoriser ou non l accès au réseau de l entreprise pour les personnes, après identification. 27
Etude de cas : L entreprise Ganymède Les règles que l entreprise doit suivre : Appliquer les différentes mesures de protection énoncées dans la fiche «Protection minimale de son Environnement de travail» et en particulier : Activer la fonction pare-feu sur le routeur d accès à Internet Installer des logiciels de sécurité (Pare-feu, antivirus ) sur tous les postes de travail Surveiller le réseau grâce au journaux d évènement Informer et former les utilisateurs aux bonnes pratiques 28
Recommandations particulières pour sécuriser le routeur wi-fi: Placer le routeur dans un endroit sécurisé Réduire la puissance du signal wifi Etude de cas : L entreprise Ganymède Désactiver l émission du nom du réseau (SSID) Vérifier que le compte administrateur et le mot de passe par défaut ont été modifiés Le nouveau mot de passe de la console d administration du routeur ne doit en aucun cas être mémorisé sur un poste. Automatiser la mise à jour du firmware 29
Etude de cas : L entreprise Ganymède Recommandations particulières pour sécuriser le routeur wi-fi: Utiliser la fonction de filtrage des adresses Mac Désactiver les services dangereux comme Bluetooth et UPnP Vérifier que la protection contre les Deni de Services (interruption d activité) et le balayage de port sont bien activés 30
Etude de cas : L entreprise Ganymède Recommandations particulières pour sécuriser le routeur wi-fi: Vérifier que la réponse au ping est impossible via internet. Ne pas laisser l étiquette, qui indique la clé de chiffrement et qui peut être collée sous le routeur Ne pas activer la fonction DHCP Arrêter le routeur ou la borne WiFi, lorsqu il n est pas utilisé pendant une période prolongée. 31
Conclusion du cas Ganymède : Etude de cas : L entreprise Ganymède Attention : Les mécanismes de sécurité énoncés sont lourds à mettre en œuvre. Ils ne sont pas non plus suffisants pour protéger complètement les données et ressources vitales d une entreprise Tous ces mécanismes peuvent être complétés par l utilisation d un système VPN (réseau privé virtuel). En fait, Il est préférable d utiliser le réseau câblé plutôt que le réseau wi-fi, pour protéger correctement des données vitales de l entreprise. 32
La cohabitation entre réseau WiFi et réseau filaire Etude de cas de l entreprise Encélade
Etude de cas : L entreprise Encélade Le contexte : L entreprise Encélade utilise à la fois un réseau wi-fi et un réseau câblé. Les données vitales sont situées sur le réseau câblé. 34
Etude de cas : L entreprise Encélade 35
Etude de cas : L entreprise Encélade Les règles, que l entreprise doit suivre : Placer le routeur ou la borne d accès wi-fi dans un endroit sécurisé. Réduire la puissance du signal wifi. Désactiver l émission du nom du réseau (SSID). Vérifier que le compte administrateur et le mot de passe par défaut ont été modifiés. Le nouveau mot de passe de la console d administration du routeur ou de la borne wi-fi ne doit en aucun cas être mémorisé. Utilisation de commutateurs (switch) plutôt que de concentrateurs (hub). 36
Etude de cas : L entreprise Encélade Les règles, que l entreprise doit suivre : Automatiser la mise à jour du firmware. Utiliser la fonction de filtrage des adresses Mac. Désactiver les services dangereux comme Bluetooth et UPnP. Vérifier que la protection contre les Deni de Services (interruption d activité) et le balayage de port, sont bien activés. Vérifier que la réponse au ping est impossible via internet. Ne pas laisser l étiquette, qui indique la clé wep/wpa. 37
Les règles, que l entreprise doit suivre : Utiliser une clé de chiffrement robuste (WPA WPA2) Choisir comme clé WPA-PSK, une phrase secrète de 63 caractères. Changer cette clé régulièrement. Tous les 6 mois par exemple. Ne pas activer la fonction DHCP. Etude de cas : L entreprise Encélade Arrêter le routeur ou la borne wi-fi, lorsqu il n est pas utilisé pendant une période prolongée. 38
Etude de cas : L entreprise Encélade Les règles, que l entreprise doit suivre pour sécuriser la cohabitation des réseaux wi-fi et câblés : Appliquer les différentes mesures de protection énoncées dans la fiche «Protection minimale de son Environnement de travail». Surtout ne pas utiliser le réseau wi-fi pour les accès aux données confidentielles de l entreprise. Utiliser de préférence le réseau wi-fi, pour les seuls accès à Internet des visiteurs ou de la salle de réunion. Isoler le réseau wi-fi du réseau câblé par un pare-feu, qui pourra contrôler et autoriser ou interdire le trafic entre ces 2 réseaux. Surveiller le réseau en activant et en enregistrant sur le pare-feu les journaux d événements. 39
Les règles, que l entreprise doit suivre pour sécuriser la cohabitation des réseaux wi-fi et câblés : Informer et former les utilisateurs aux bonnes pratiques d utilisation d Internet, de la messagerie mail et des équipements wi-fi. ATTENTION : Il est fortement déconseillé d autoriser l accès aux données confidentielles, qui sont situées sur le réseau cablé, à partir d un réseau WiFi sinon, il faut en plus : Utiliser impérativement le protocole de cryptage WPA2 + un serveur d authentification (Radius). Utiliser un système de VPN. Etude de cas : L entreprise Encélade 40
Conclusion du cas Encélade : Etude de cas : L entreprise Encélade Utiliser une clé de chiffrement robuste (WPA). Pour protéger correctement des données vitales de l entreprise Il est préférable d utiliser le réseau câblé plutôt que le réseau WiFi. Installation d'un pare-feu entre le réseau sans fil et le réseau filaire Si vous accéder à des données sensible renforcer la sécurité du réseau Wifi (Serveur Radius, VPN) 41
Conclusion A quoi faut-il penser : Périmètre : Bien définir le périmètre et le but du réseau WiFi. Sécurité : Prendre en compte l aspect sécurité (authentification) dés la conception du réseau. Responsabilité : Bien cadrer l utilisation du future réseau WiFi. Performance : Bien proportionner son réseau. pb technique : Faire valider techniquement la possiblité de monter un réseau sans fil (Perturbation, proximité de batiment particulier (prison)). 42
QUESTIONS?