Retour à la page Index

Présentation générale de la sécurité

Sécurité sans fil

Les périphériques réseau sans fil transmettant les informations via des ondes radio, il est impératif de protéger vos informations en configurant les paramètres de sécurité. Il existe trois composants essentiels qui, lorsqu'ils sont utilisés conjointement, peuvent aider à protéger votre réseau sans fil :

Consignes de sécurité

Les instructions suivantes peuvent vous aider à obtenir un niveau de sécurité optimal sur votre réseau sans fil :

  1. Activez le chiffrement WEP sur le réseau sans fil et modifiez la clé WEP chaque jour ou chaque semaine.
  2. Protégez vos lecteurs et vos dossiers par un mot de passe.
  3. Changez l'identificateur SSID par défaut.
  4. Modifiez la clé WEP à chaque session, si possible.
  5. Activez le filtrage d'adresse MAC, si possible.
  6. Implémentez un réseau privé virtuel (RPV) pour augmenter la sécurité. Un client RPV est inclus dans la plupart des systèmes d'exploitation.

Protection de votre réseau

Types d'authentification

La norme IEEE 802.1x fournit une infrastructure d'authentification générale pour les réseaux locaux 802, et spécifie le protocole EAP (Extensible Authentication Protocol) afin de permettre le transport LAN d'un grand nombre de types de protocoles d'authentification différents.

Clés de chiffrement

Pour protéger le trafic client, la norme 802.11 définit le chiffrement WEP (Wireless Encryption Privacy) avec des clés de chiffrement fixes (trois longueurs de clé optionnelles). L'utilisation de clés fixes a facilité les attaques de différents types contre WEP. Reportez-vous à la section Clés réseau pour obtenir davantage d'informations.

Chiffrement WEP

Vous pouvez aider à empêcher la réception non autorisée de vos données sans fil en utilisant le chiffrement WEP IEEE 802.11. La norme comprend deux niveaux de sécurité grâce à l'utilisation d'une clé 64 bits (également appelée 40 bits), ou d'une clé 128 bits. Pour une sécurité accrue, utilisez la clé 128 bits. Si le chiffrement est utilisé, tous les périphériques sans fil de votre réseau RLR doivent utiliser des paramètres de chiffrement identiques. L'algorithme de chiffrement WEP est vulnérable aux attaques de réseau actives et passives.Les algorithmes TKIP et CKIP bénéficient d'améliorations au protocole WEP qui atténuent les attaques existantes sur le réseau et résolvent ses défauts.

Reportez-vous à la section Configuration du chiffrement WEP pour obtenir davantage d'informations.

802.1x

Un client du réseau RLR lance une requête d'autorisation d'accès au point d'accès, qui à son tour authentifie le client sur un serveur RADIUS conforme au protocole EAP. Le serveur RADIUS peut authentifier soit l'utilisateur (par mot de passe) ou la machine (par adresse MAC). L'authentification 802.1x est indépendante du processus d'authentification de la norme 802.11. La norme 802.1x fournit un cadre pour l'authentification. 

Il existe différents types d'authentification 802.1x, chacun approchant l'authentification d'une façon différente employant le même protocole 802.1x et le même cadre pour la communication entre un client et un point d'accès. Dans la plupart des protocoles, une fois que le processus d'authentification 802.1x est terminé, le demandeur reçoit une clé qu'il utilise pour le chiffrement des données.

Reportez-vous à la section Configuration du client pour le chiffrement WEP et l'authentification MD5 pour obtenir des détails sur la configuration d'un profil 802.1x.

IPSEC

Permet le transport de la sécurité.

Accès protégé Wi-Fi (WPA)

L'accès protégé Wi-Fi (WPA) est une amélioration de la sécurité renforçant considérablement le niveau de protection des données et le contrôle de l'accès à un réseau local sans fil (WLAN). Le mode WPA applique les protocoles d'authentification et d'échange de clé de la norme 802.1x. Il fonctionne uniquement avec les clés de chiffrement dynamiques.

TKIP (Temporal key Integrity Protocol)

Utilise une méthode de chiffrement appelée « recomposition de clé de paquet rapide » qui permet de modifier la fréquence des clés de chiffrement.

PEAP

PEAP est un nouveau type de protocole IEEE 802.1x EAP (Extensible Authentication Protocol) conçu pour tirer parti de la méthode EAP-TLS (EAP-Transport Layer Security) côté serveur et pour prendre en charge différentes méthodes d'authentification, y compris les mots de passe de connexion et les mots de passe à utilisation unique, ainsi que les cartes à jetons génériques.

Réseaux privés virtuels (RPV)

Les logiciels client RPV suivants sont pris en charge par Intel(R) PROSet. Reportez-vous à la section Réseaux privés virtuels (RPV) pour obtenir davantage d'informations.

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B ou une version ultérieure
  • Checkpoint VPN (mode Non-office transparent, mode Connect office et mode Connect non-office)
  • Microsoftt VPN Cisco VPN Gateway - (L2TP sur transport IPsec, L2TP pour configuration avec ESP-in-UDP)

La sécurité RPV peut protéger les services basés sur le protocole TCP/IP. Les protocoles de tunnels RPV IPSec et PPTP offrent un chiffrement renforcé des données envoyées sur un réseau local radioélectrique. Un réseau privé virtuel est utile si l'administrateur réseau requiert l'authentification de tous les utilisateurs sur un serveur RPV existant, tout en partageant une base de données existante d'utilisateurs autorisés. Pour accomoder à la fois les clients RPV et les clients non RPV, le traffic RLR peut être dirigé vers une passerelle de manière à restreindre les clients à des ressources réseau prédéfinies. Par exemple, des utilisateurs invités pourraient avoir accès à Internet, tandis que des utilisateurs approuvés avec des clients RPV authentifiés auraient accès à l'intranet et à Internet. Une telle solution peut offrir une sécurité pour les applications d'accès public en dirigeant les utilisateurs selon des méthodes d'authentification spécifiques.

Remarque :La sécurité RPV peut être ajoutée sur 802.11a et 802.11b afin d'aider à protéger les services TCP/IP. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) est une authentification 802.1x serveur et client via un mot de passe de connexion fourni par l'utilisateur. Lorsqu'un point d'accès sans fil communique avec un serveur RADIUS (serveur ACS, pour Cisco Secure Access Control Server) prenant en charge Cisco LEAP, Cisco LEAP fournit le contrôle d'accès grâce à une authentification mutuelle entre les cartes sans fil clientes et le réseau sans fil et fournit des clés de chiffrement dynamiques individuelles aidant à la protection des données transmises.

Fonctionnalité de sécurité Cisco Rogue AP
La fonctionnalité Cisco de détection des points d'accès non autorisés fournit une protection contre l'intrusion d'un point d'accès non autorisé pouvant imiter un point d'accès autorisé sur un réseau afin d'extraire des informations concernant les données d'identification des utilisateurs et les protocoles d'authentification, ce qui pourrait compromettre la sécurité. Cette fonctionnalité fonctionne uniquement avec l'authentification LEAP de Cisco. La technologie utilisée par la norme 802.11 ne protège pas les réseaux contre l'intrusion d'un point d'accès non autorisé.

CKIP

Le protocole CKIP (Cisco Key Integrity Protocol) est un protocole de sécurité exclusif de Cisco pour le chiffrement en support 802.11. Le protocole CKIP utilise les fonctionnalités suivantes pour améliorer la sécurité 802.11 en mode d'infrastructure.

  • Permutation des clés (KP)
  • Vérification de l'intégrité des messages (MIC)
  • Numéro de séquence des messages

Retour au sommaire


Copyright (c) 2003 Intel Corporation.