Retour à la table des matières
Utilisez le chiffrement WEP (Wired Equivalent Privacy) IEEE 802.11 pour empêcher la réception non autorisée de données transmises sans fil. Le chiffrement WEP fournit deux niveaux de sécurité : une clé de 64 bits (parfois appelée 40 bits) ou une clé de 128 bits (également appelée 104 bits). Pour une sécurité accrue, utilisez la clé 128 bits. Si le chiffrement est utilisé, tous les périphériques sans fil de votre réseau sans fil doivent utiliser des clés de chiffrement identiques.
Le chiffrement WEP (Wired Equivalent Privacy) et l'authentification partagée fournissent une protection de vos données sur un réseau. WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données brouillées transmises par d'autres ordinateurs. L'authentification fournit un processus de validation supplémentaire de la carte au point d'accès.
L'algorithme de chiffrement WEP est vulnérable aux attaques actives et passives effectuées sur le réseau. Les algorithmes TKIP et CKIP bénéficient d'améliorations au protocole WEP qui atténuent les attaques existantes sur le réseau et résolvent ses défauts.
IEEE 802.11 prend en charge deux types de méthodes d'authentification réseau : système ouvert et clé communiquée.
Fonctionnement de l'authentification 802.1x
Fonctionnalités 802.1x
L'authentification 802.1x est indépendante du processus d'authentification de la norme 802.11. La norme 802.1x fournit un cadre pour les différents protocoles d'authentification et de gestion de clés. Il existe différents types d'authentification 802.1x, chacun approchant l'authentification d'une façon différente, mais employant tous le même protocole 802.1x et le même cadre pour la communication entre un client et un point d'accès. Dans la plupart des protocoles, une fois que le processus d'authentification 802.1x est terminé, le demandeur reçoit une clé qu'il utilise pour le chiffrement des données. Reportez-vous à la section Fonctionnement de l'authentification 802.1x pour obtenir davantage d'informations. Avec l'authentification 802.1x, une méthode d'authentification est utilisée entre le client et le serveur RADIUS (Remote Authentication Dial-In User Service) connecté au point d'accès. Le processus d'authentification utilise des données d'identification, telles que le mot de passe utilisateur, qui ne sont pas transmises sur le réseau sans fil. La plupart des protocoles 802.1x prennent en charge des clés dynamiques par utilisateur, par session, permettant de renforcer la sécurité des clés statiques. La norme 802.1x tire parti d'un protocole d'authentification existant connu sous le nom de EAP (Extensible Authentication Protocol).
L'authentification 802.1x pour réseaux locaux sans fil comporte trois composants principaux :
Le protocole de sécurité de l'authentification 802.1x lance une requête d'autorisation depuis le client RLR vers le point d'accès, qui à son tour authentifie le client sur un serveur RADIUS conforme au protocole EAP (Extensible Authentication Protocol). Le serveur RADIUS peut authentifier l'utilisateur (par mots de passe ou certificats) ou le système (par adresse MAC). En théorie, le client sans fil n'est pas autorisé à se connecter au réseau tant que la transaction n'est pas terminée.
Différents algorithmes d'authentification sont utilisés pour 802.1x. En voici quelques exemples : EAP-TLS, EAP-TTLS et PEAP (Protected EAP). Toutes ces méthodes permettent au client sans fil de s'identifier auprès du serveur RADIUS. Avec l'authentification RADIUS, les identités des utilisateurs sont vérifiées en regard de bases de données. Le protocole RADIUS est un ensemble de spécifications relatives à l'authentification, l'autorisation et la gestion des comptes utilisateurs (Authentication, Authorization and Accounting, ou AAA). Ce protocole utilise une procédure proxy afin de valider les clients dans un environnement multiserveur. La norme IEEE 802.1x est destinée au contrôle et à l'authentification de l'accès à des réseaux 802.11 sans fil et à des réseaux Ethernet filaires utilisant des ports. Le contrôle de l'accès réseau par port est similaire à une infrastructure de réseau local commuté authentifiant les périphériques connectés à des ports du réseau local et interdisant l'accès à ces ports si le processus d'authentification échoue.
RADIUS est un service d'authentification à distance des utilisateurs distants (Remote Authentification Dial-In User Service). Il s'agit du protocole client-serveur d'autorisation, d'authentification et de gestion des comptes, utilisé lorsqu'un client AAA distant se connecte ou se déconnecte d'un serveur d'accès réseau. Un serveur RADIUS est généralement utilisé par les prestataires de services Internet (ISP) pour exécuter des tâches AAA. Les phases AAA sont décrites ci-dessous :
Voici une description simplifiée de l'authentification 802.1x :
L'accès protégé Wi-Fi (WPA ou WPA2) est une amélioration de la sécurité renforçant considérablement le niveau de protection des données et le contrôle de l'accès à un réseau sans fil. WPA applique l'authentification 802.1x et l'échange de clé, et fonctionne uniquement avec des clés de chiffrement dynamiques. Pour renforcer le chiffrement des données, WPA utilise le protocole TKIP (Temporary Key Integrity Protocol). TKIP fournit au chiffrement des données des améliorations importantes, comprenant une fonctionnalité de mixage de clé par paquet, une vérification de l'intégrité des messages (MIC, pour message integrity check) appelée « Michael », un vecteur d'initialisation étendu (IV, pour initialization vector) avec des règles de séquençage, ainsi qu'un mécanisme de régénération des clés. Grâce à ces améliorations, TKIP permet de se prémunir contre les faiblesses connues de WEP.
La deuxième génération WPA, conforme à la spécification IEEE TGi, s'appelle WPA2.
Mode Entreprise : le mode Entreprise vérifie les utilisateurs du réseau à l'aide d'un serveur RADIUS ou d'un autre serveur d'authentification. WPA utilise des clés de chiffrement à 128 bits et des clés de session dynamiques pour assurer la confidentialité du réseau sans fil et la sécurité des données de l'entreprise. Le mode Entreprise est destiné aux réseaux d'entreprise et de l'administration.
Mode Personnel : le mode Personnel nécessite la configuration manuelle d'une clé communiquée à l'avance (PSK) sur le pont d'accès et les clients. La clé communiquée à l'avance permet d'authentifier les utilisateurs à l'aide d'un mot de passe ou d'un code d'identification, sur la station cliente comme sur le point d'accès. Aucun serveur d'authentification n'est nécessaire. Le mode Personnel est destiné aux réseaux domestiques et de petites entreprises.
WPA-Entreprise ou WPA2-Entreprise : fournit ce niveau de sécurité sur les réseaux d'entreprise avec un serveur RADIUS 802.1x. Un type d'authentification correspondant au protocole d'authentification du serveur 802.1x est sélectionné.
WPA-Personnel et WPA2-Personnel : fournit ce niveau de sécurité sur les réseaux de petite taille ou dans un environnement privé (maison). Ce mode utilise un mot de passe, également appelé « clé communiquée à l'avance » (PSK). Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée. Si votre point d'accès sans fil ou votre routeur prend en charge WPA - Personnel et WPA2 - Personnel, vous devriez l'activer sur le point d'accès et entrer un mot de passe long et sûr. Le mot de passe entré sur le point d'accès doit être utilisé sur l'ordinateur et sur tous les autres périphériques sans fil accédant au réseau sans fil.
REMARQUE : WPA-Personnel et WPA2-Personnel ne peuvent pas fonctionner conjointement.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) Il s'agit de la nouvelle méthode de protection des transmissions sans fil spécifiée par la norme IEEE 802.11i. AES-CCMP offre une méthode de chiffrement renforcée par rapport à TKIP. Sélectionnez AES-CCMP comme méthode de chiffrement des données lorsque qu'une protection renforcée des données est essentielle.
REMARQUE : certaines solutions de sécurité peuvent ne pas être prises en charge par le système d'exploitation de votre ordinateur. Des logiciels supplémentaires ou un équipement particulier peuvent être nécessaires, de même que la prise en charge d'une infrastructure RLAN. Contactez le fabricant de votre ordinateur pour davantage de détails.
TKIP (Temporal Key Integrity Protocol) est une amélioration de la sécurité WEP (Wired Equivalent Privacy). TKIP fournit un mixage de clé par paquet, une vérification de l'intégrité des messages et un mécanisme de régénération des clés qui pallient aux déficiences du protocole WEP.
Le protocole d'authentification MD5 (Message Digest 5) est une méthode d'authentification à sens unique utilisant des noms d'utilisateur et des mots de passe. Cette méthode ne prend pas en charge la gestion des clés mais nécessite la configuration préalable de clés si le chiffrement de données est utilisé. Elle peut être déployée en toute sécurité pour l'authentification à l'intérieur de tunnels EAP.
Type de méthode d'authentification utilisant le protocole d'authentification EAP (Extensible Authentication Protocol) et le protocole de sécurité TLS (Transport Layer Security). EAP-TLS fait appel à des certificats utilisant des mots de passe. L'authentification EAP-TLS prend en charge la gestion dynamique des clés WEP. Le protocole TLS est conçu pour la sécurisation et l'authentification des communications sur les réseaux publics par le chiffrement des données. Le protocole de négociation TLS permet au serveur et au client de s'authentifier mutuellement et de négocier un algorithme de chiffrement et des clés cryptographiques avant l'envoi des données.
Ces paramètres permettent de définir le protocole et les données d'identification utilisés pour authentifier un utilisateur. Avec le protocole TTLS (Tunneled Transport Layer Security), le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre protocole d'authentification, habituellement un protocole à mot de passe tel que MD5 Challenge, sur ce canal chiffré pour activer la validation du serveur. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé. Les implémentations TTLS actuelles prennent en charge toutes les méthodes définies par le protocole EAP, ainsi que plusieurs autres méthodes (PAP, CHAP, MS-CHAP et MS-CHAPv2). Le protocole TTLS peut facilement être étendu pour fonctionner avec de nouveaux protocoles en définissant de nouveaux attributs prenant en charge ces derniers.
PEAP est un nouveau type de protocole IEEE 802.1x EAP (Extensible Authentication Protocol) conçu pour tirer parti de la méthode EAP-TLS (EAP-Transport Layer Security) côté serveur et pour prendre en charge différentes méthodes d'authentification, y compris les mots de passe utilisateur et les mots de passe à utilisation unique, ainsi que les cartes à jetons génériques.
Cisco LEAP (Cisco Light EAP) est une authentification 802.1x serveur et client via un mot de passe de connexion fourni par l'utilisateur. Lorsqu'un point d'accès sans fil communique avec un serveur RADIUS (serveur ACS, pour Cisco Secure Access Control Server) prenant en charge Cisco LEAP, Cisco LEAP fournit le contrôle d'accès grâce à une authentification mutuelle entre les cartes sans fil clientes et les réseaux sans fil et fournit des clés de chiffrement dynamiques individuelles aidant à la protection des données transmises.
La fonctionnalité Cisco de détection des points d'accès non autorisés fournit une protection contre l'intrusion d'un point d'accès non autorisé pouvant imiter un point d'accès autorisé sur un réseau afin d'extraire des informations concernant les données d'identification des utilisateurs et les protocoles d'authentification, ce qui pourrait compromettre la sécurité. Cette fonctionnalité fonctionne uniquement avec l'authentification LEAP de Cisco. La technologie utilisée par la norme 802.11 ne protège pas les réseaux contre l'intrusion d'un point d'accès non autorisé. Reportez-vous à la section Authentification LEAP pour davantage d'informations.
Lorsqu'un réseau RLR est configuré pour l'association rapide, un périphérique client compatible LEAP peut passer d'un point d'accès à l'autre sans impliquer le serveur principal. Avec la fonctionnalité CCKM de Cisco (Cisco Centralized Key Management), un point d'accès configuré pour fournir des services WDS (Wireless Domain Services) prend la place du serveur RADIUS et authentifie le client sans délai perceptible au niveau des applications vocales ou de toute autre application urgente.
Le protocole CKIP (Cisco Key Integrity Protocol) est un protocole de sécurité exclusif de Cisco pour le chiffrement en support 802.11. Le protocole CKIP utilise les fonctionnalités suivantes pour améliorer la sécurité 802.11 en mode d'infrastructure.
Certains points d'accès, par exemple Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels certaines stations clientes ne prennent pas en charge le chiffrement WEP ; ce mode s'appelle « Cellule mixte ». Lorsque ces réseaux sans fil fonctionnent en mode « chiffrement optionnel », les stations clientes qui se connectent en mode WEP envoient tous les messages chiffrés et celles qui utilisent le mode standard envoient tous les messages non chiffrés. Ces points d'accès indiquent (diffusent) que le réseau n'utilise pas de chiffrement, mais permettent aux clients de se connecter en utilisant le mode WEP. Lorsque le mode Cellule mixte est activé dans un profil, vous pouvez connecter des points d'accès qui sont configurés pour un « chiffrement optionnel ».
EAP-FAST, tout comme EAP-TTLS et PEAP, utilise le tunnelage pour protéger le trafic. La différence principale est que EAP-FAST n'utilise pas de certificat pour l'authentification. L'obtention de certificat dans EAP-FAST est négociée uniquement par le client lors de la première communication et lorsque EAP-FAST est requis à partir du serveur. Si le client n'a pas de clé PAC (Protected Access Credentials) secrète communiquée à l'avance, il peut envoyer une requête d'échange EAP-FAST afin d'en obtenir une dynamiquement du serveur.
EAP-FAST propose deux méthodes pour envoyer la clé PAC : une livraison manuelle via un mécanisme hors-bande sécurisé et une mise à disposition automatique.
La méthode EAP-FAST peut être divisée en deux parties : la mise à disposition et l'authentification. La phase de mise à disposition implique la livraison initiale de la clé PAC au client. Cette phase ne doit être exécutée qu'une seule fois pour chaque client et utilisateur.
Certains points d'accès, par exemple Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels certaines stations clientes ne prennent pas en charge le chiffrement WEP ; ce mode s'appelle « Cellule mixte ». Lorsque ces réseaux sans fil fonctionnent en mode « chiffrement optionnel », les stations clientes qui se connectent en mode WEP envoient tous les messages chiffrés et celles qui utilisent le mode standard envoient tous les messages non chiffrés. Ces points d'accès indiquent (diffusent) que le réseau n'utilise pas de chiffrement, mais permettent aux clients de se connecter en utilisant le mode WEP. Lorsque le mode « Cellule mixte » est activé dans un profil, vous pouvez connecter des points d'accès qui sont configurés pour un « chiffrement optionnel ».
Lorsque cette fonctionnalité est sélectionnée, la carte sans fil fournit les informations de gestion radioélectrique à l'infrastructure Cisco. Si l'utilitaire de gestion radioélectrique Cisco est utilisé dans l'infrastructure, il configure les paramètres radio et détecte les interférences et les points d'accès non autorisés.