Vous pouvez empêcher la réception non autorisée de vos données sans fil en utilisant le chiffrement WEP (Wired Equivalent Privacy) IEEE 802.11. Le chiffrement WEP offre deux niveaux de sécurité grâce à l'utilisation d'une clé 64 bits (également appelée 40 bits), ou d'une clé 128 bits (également appelée 104 bits). Pour une sécurité accrue, utilisez la clé 128 bits. Si le chiffrement est utilisé, tous les périphériques sans fil de votre réseau RLR doivent utiliser des clés de chiffrement identiques.
Le chiffrement WEP (Wired Equivalent Privacy) et l'authentification partagée fournissent une protection de vos données sur un réseau. Le WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données brouillées transmises par d'autres ordinateurs. L'authentification fournit un processus de validation supplémentaire de la carte au point d'accès.
L'algorithme de chiffrement WEP est vulnérable aux attaques actives et passives effectuées sur le réseau. Les algorithmes TKIP et CKIP bénéficient d'améliorations apportées au protocole WEP qui atténuent les attaques existantes sur le réseau et résolvent ses défauts.
La norme 802.11 prend en charge deux types de méthodes d'authentification réseau : système ouvert et clé partagée.
Avec l'authentification Ouverte, toute station sans fil peut demander une authentification. La station qui a besoin de s'authentifier auprès d'une autre station sans fil envoie un cadre de gestion de l'authentification contenant l'identité de la station émettrice. La station réceptrice accorde toute demande d'authentification. L'authentification ouverte autorise l'accès réseau à tout périphérique. Si aucun chiffrement n'est activé sur le réseau, tout périphérique connaissant l'identificateur SSID du point d'accès peut accéder au réseau.
Avec l'authentification par clé partagée, chaque station sans fil doit avoir reçu une clé partagée secrète par un canal sécurisé indépendant du canal de communication du réseau sans fil 802.11. L'authentification par clés communiquées nécessite que le client configure une clé WEP statique. L'accès est accordé au client uniquement s'il peut répondre correctement à une stimulation d'authentification.
Fonctionnement de l'authentification 802.1x
Fonctionnalités 802.1x
WPA/WPS2
Présentation
L'authentification 802.1x est indépendante du processus d'authentification de la norme 802.11. La norme 802.1x fournit un cadre pour les différents protocoles d'authentification et de gestion de clés. Il existe différents types d'authentification 802.1x, chacun approchant l'authentification d'une façon différente, mais employant tous le même protocole 802.1x et le même cadre pour la communication entre un client et un point d'accès. Dans la plupart des protocoles, une fois que le processus d'authentification 802.1x est terminé, le demandeur reçoit une clé qu'il utilise pour le chiffrement des données. Reportez-vous à la section « Fonctionnement de l'authentification 802.1x » pour obtenir davantage d'informations. Avec l'authentification 802.1x, une méthode d'authentification est utilisée entre le client et le serveur RADIUS (Remote Authentication Dial-In User Service) connecté au point d'accès. Le processus d'authentification utilise des données d'identification, telles que le mot de passe utilisateur, qui ne sont pas transmises sur le réseau sans fil. La plupart des protocoles 802.1x prend en charge des clés dynamiques par utilisateur, par session, permettant de renforcer la sécurité des clés statiques. La norme 802.1x tire parti d'un protocole d'authentification existant connu sous le nom de EAP (Extensible Authentication Protocol).
L'authentification 802.1x pour réseaux locaux sans fil comporte trois composants principaux : L'authentificateur (le point d'accès), le demandeur (le logiciel client) et le serveur d'authentification (un serveur RADIUS). Le protocole de sécurité de l'authentification 802.1x lance une requête d'autorisation depuis le client RLR vers le point d'accès, qui à son tour authentifie le client sur un serveur RADIUS conforme au protocole EAP (Extensible Authentication Protocol). Le serveur RADIUS peut authentifier l'utilisateur (par mots de passe ou certificats) ou le système (par adresse MAC). En théorie, le client sans fil n'est pas autorisé à se connecter au réseau tant que la transaction n'est pas terminée. Différents algorithmes d'authentification sont utilisés pour 802.1x. Exemples : stimulation MD5, EAP-TLS, EAP-TTLS, PEAP (EAP protégé) et LEAP (Cisco Wireless Light Extensible Authentication Protocol). Avec toutes ces méthodes, le client sans fil s'identifie auprès du serveur RADIUS. Avec l'authentification RADIUS, les identités des utilisateurs sont vérifiées en regard de bases de données. Le protocole RADIUS est un ensemble de spécifications relatives à l'authentification, l'autorisation et la gestion des comptes utilisateurs (Authentication, Authorization and Accounting, ou AAA). Ce protocole utilise une procédure proxy afin de valider les clients dans un environnement multiserveur. La norme IEEE 802.1x est destinée au contrôle et à l'authentification de l'accès à des réseaux 802.11 sans fil et à des réseaux Ethernet filaires utilisant des ports. Le contrôle de l'accès réseau par port est similaire à une infrastructure de réseau local commuté authentifiant les périphériques connectés à des ports du réseau local et interdisant l'accès à ces ports si le processus d'authentification échoue.
RADIUS est un service d'authentification à distance des utilisateurs distants (Remote Authentification Dial-In User Service). Il s'agit du protocole client-serveur d'autorisation, d'authentification et de gestion des comptes, utilisé lorsqu'un client AAA distant se connecte ou se déconnecte d'un serveur d'accès réseau. Un serveur RADIUS est généralement utilisé par les prestataires de services Internet (ISP) pour exécuter des tâches AAA. Les phases AAA sont décrites ci-dessous :
Phase d'authentification : Vérifie le nom d'utilisateur et le mot de passe en regard d'une base de données locale. Lorsque les informations utilisateur ont été vérifiées, le processus d'autorisation peut commencer.
Phase d'autorisation : Détermine si une requête est autorisée à accéder à une ressource. Une adresse IP est affectée au client distant.
Phase de gestion des comptes : Collecte des informations relatives à l'utilisation des ressources en vue de l'analyse des tendances, la vérification, la facturation en fonction de la durée de la session, ou l'affectation des coûts.
Voici une description simplifiée de l'authentification 802.1x :
Un client envoie un message de « requête d'accès » à un point d'accès. Le point d'accès demande l'identité du client.
Le client répond avec sont paquet d'identification, qui est transmis au serveur d'authentification.
Le serveur d'authentification envoie un paquet d'« acceptation » au point d'accès.
Le point d'accès place le port du client dans l'état autorisé et le trafic de données est autorisé.
Prise en charge du protocole demandeur 802.1x
Prise en charge du protocole EAP (Extensible Authentication Protocol) - RFC 2284
Méthodes d'authentification prises en charge :
MD5 - RFC 2284
Protocole d'authentification EAP TLS - RFC 2716 et RFC 2246
TLS tunnelé EAP (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Prise en charge de Windows XP, 2000
Reportez-vous à la section Paramètres de sécurité pour obtenir davantage d'informations.
L'accès protégé Wi-Fi (WPA/WPA2) est une amélioration de la sécurité renforçant considérablement le niveau de protection des données et le contrôle de l'accès à un réseau sans fil. WPA applique l'authentification 802.1x et l'échange de clé, et fonctionne uniquement avec des clés de chiffrement dynamiques. Pour renforcer le chiffrement des données, WPA utilise son protocole TKIP (Temporary Key Integrity Protocol). TKIP apporte au chiffrement des données des améliorations importantes, comprenant une fonctionnalité de mixage de clé par paquet, une vérification de l'intégrité des messages (MIC, ou Message Integrity Check) appelée Michael, un vecteur d'initialisation étendu (IV, ou Initialization Vector) avec des règles de séquençage, ainsi qu'un mécanisme de régénération des clés. Grâce à ces améliorations, TKIP permet de se prémunir contre les faiblesses connues de WEP.
Le deuxième génération WPA, conforme à la spécification IEEE TGi, s'appelle WPA2.
WPA/WPA2 – Entreprise fournit ce niveau de sécurité sur les réseaux d'entreprise avec un serveur RADIUS 802.1x. Un type d'authentification correspondant au protocole d'authentification du serveur 802.1x est sélectionné.
WPA/WPA2 - Personnel fournit ce niveau de sécurité sur les réseaux de petite taille ou dans un environnement privé (maison). Ce mode utilise un mot de passe, également appelé « clé communiquée à l'avance (PSK) ». Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée. Si votre point d'accès sans fil ou votre routeur prend en charge WPA/WPA2 Personnel (WPA-PSK), vous devriez l'activer sur le point d'accès et entrer un mot de passe long et sûr. Le mot de passe entré sur le point d'accès doit être utilisé sur l'ordinateur et sur tous les autres périphériques sans fil accédant au réseau sans fil.
Cisco LEAP (Cisco Light EAP) est une authentification 802.1x serveur et client via un mot de passe de connexion fourni par l'utilisateur. Lorsqu'un point d'accès sans fil communique avec un serveur RADIUS (serveur ACS, pour Cisco Secure Access Control Server) prenant en charge Cisco LEAP, Cisco LEAP fournit le contrôle d'accès grâce à une authentification mutuelle entre les cartes sans fil clientes et le réseau sans fil et fournit des clés de chiffrement dynamiques individuelles aidant à la protection des données transmises.
Lorsqu'un réseau RLR est configuré pour l'association rapide, un périphérique client compatible LEAP peut passer d'un point d'accès à l'autre sans impliquer le serveur principal. Avec la fonctionnalité CCKM de Cisco (Cisco Centralized Key Management), un point d'accès configuré pour fournir des services WDS (Wireless Domain Services) prend la place du serveur RADIUS et authentifie le client sans délai perceptible au niveau des applications vocales ou de toute autre application urgente.
Le protocole CKIP (Cisco Key Integrity Protocol) est un protocole de sécurité exclusif de Cisco pour le chiffrement en support 802.11. Le protocole CKIP utilise les fonctionnalités suivantes pour améliorer la sécurité 802.11 en mode d'infrastructure.
Permutation des clés (KP)
Vérification de l'intégrité des messages (MIC)
Numéro de séquence des messages
EAP-FAST, tout comme EAP-TTLS et PEAP, utilise un système de protection du trafic par tunnel. La différence principale est que EAP-FAST n'utilise pas de certificat pour l'authentification.
La mise à disposition en mode EAP-FAST est négociée uniquement par le client lors du premier échange et lorsque EAP-FAST est requis par le serveur. Si le client n'a pas de clé PAC (Protected Access Credentials) secrète communiquée à l'avance, il peut envoyer une requête d'échange EAP-FAST afin d'en obtenir une dynamiquement du serveur.
EAP-FAST propose deux méthodes pour envoyer la clé PAC : une livraison manuelle via un mécanisme hors-bande sécurisé et une mise à disposition automatique.
Le mécanisme pour la livraison manuelle peut être tout mécanisme de livraison que l'administrateur estime être suffisamment sécurisé pour son réseau.
La mise à disposition automatique établit un tunnel chiffré afin de protéger l'authentification du client et la livraison de la clé PAC au client. Bien qu'il ne soit pas aussi sûr que la méthode manuelle, ce mécanisme est plus sécurisé que la méthode d'authentification utilisée dans LEAP.
La méthode EAP-FAST peut être divisée en deux parties : la mise à disposition et l'authentification.
La phase de mise à disposition implique la livraison initiale de la clé PAC au client. Cette phase ne doit être exécutée qu'une seule fois par client et utilisateur.
Certains points d'accès, par exemple Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels certaines stations clientes ne prennent pas en charge le chiffrement WEP ; ce mode s'appelle « Cellule mixte ». Lorsque ces réseaux sans fil fonctionnent en mode « chiffrement optionnel », les stations clientes qui se connectent en mode WEP envoient tous les messages chiffrés et celles qui se connectent en mode standard envoient tous les messages non chiffrés. Ces points d'accès indiquent (diffusent) que le réseau n'utilise pas de chiffrement, mais permettent aux clients de se connecter en utilisant le mode WEP. Lorsque le mode « Cellule mixte » est activé dans un profil, vous pouvez connecter des points d'accès qui sont configurés pour un « chiffrement optionnel ». Reportez-vous à la section Options des extensions compatibles Cisco pour davantage d'informations.
Lorsque cette fonctionnalité est sélectionnée, la carte sans fil fournit les informations de gestion radioélectrique à l'infrastructure Cisco. Si l'utilitaire de gestion radioélectrique Cisco est utilisé dans l'infrastructure, il configure les paramètres radio et détecte les interférences et les points d'accès non autorisés.