|
Les
différentes technologies de sécurisation WiFi
- WEP (Wired
Equivalent Privacy) est le protocole origine de
sécurité
sur Wi-Fi (Septembre 1999).
WEP
s'appuie
sur des mécanismes de chiffrement devenus
faibles (RC4) par rapport aux attaques d'aujourd'hui: clé de
64 bits et clé statique sont des exemples de
faiblesses
importantes. Il existe sur le net des outils permettant de casser
«assez» facilement la
sécurité des
réseaux sans fil utilisant le WEP.
- WPA (Wi-Fi protected
access), proposé par l'alliance Wi-Fi est apparu en avril
2003
pour attendre la nouvelle norme 802.11i de l'IEEE. WPA
améliore
le WEP en utilisant TKIP (qui repose sur RC4) pour améliorer
le
chiffrement, des clés de 128 bits dynamiques et en mettant
en
oeuvre l'authentification des utilisateurs Wi-Fi avec la norme 802.1x
et EAP (Extensible authentication protocol).
WPA-PSK est un mode
simplifié
de mise en oeuvre du WPA sans serveur Radius.
- WPA2 : Le
consortium Wi-Fi Alliance utilise le nom commercial WPA2 pour
désigner les produits conformes à la norme 802.11i
La norme IEEE 802.11i
de
l'IEEE est un complément à la couche
réseau
(normes 802.11b ou g); Elle a été
homologuée de 24
juin 2004. Elle repose sur le standard de chiffrement AES (Advanced
Encryption Standard). L'AES prévoit des clés de
128, 192
et 256 bits.
En
général les équipements
prévus pour
fonctionner à l'origine en WPA ou WEP ne supportent pas le
passage en WPA2.
Évolution des
technologies au cours du temps
: WEP ==>
802.1x ==> WPA ==> 802.11i (WPA2)
Mise
en oeuvre, de la théorie à la pratique
...
Lors
de la mise en oeuvre d'une installation WiFi il convient de ne pas s'en
tenir uniquement aux performances théoriques des
équipement en terme
de portée et de bande passante. Très souvent,
là ou la théorie
ne justifie qu'un seul point d'accès, la pratique pourra en
imposer un
deuxième. De même, la bande passante
réelle est bien souvent ramenée à
la moitié de la bande passante théorique.
Lors de la mise en oeuvre de plusieurs points d'accès sur le
même site, il convient de les configurer sur differents
canaux
WiFi afin d'éviter que les émissions se perturbent sur un
même canal.
Terminologie
simplifiée
- Authentification :
service consistant à identifier des utilisateurs.
- Contrôle
d'accès : service consistant à
contrôler
l'accès d'utilisateurs identifiées à
des
applications
- Intégrité
: service consistant à valider que les données ne
sont
pas altérées
- Confidentialité
: service consistant à garder les données
confidentielles
sauf pour des utilisateurs connus et autorisés
- Chiffrement : terme
français de cryptage qui est un anglicisme. Technique
permettant
de rendre illisible tout message à une personne qui ne
possède pas la clé de codage. Le chiffrement
n'est pas un
service de sécurité, c'est une technique qui sert
à mettre en place les services de
sécurité.
- Chiffrement
symétrique : la clé
utilisée pour le
codage sert aussi au décodage
- Chiffrement
asymétrique : la clé
utilisée pour le
codage est différente de la clé de
décodage
- Signature :
identification unique d'un intervenant – par exemple
l'émetteur
ou le récepteur d'un message.
- RC4 : ''Rivest
Cypher 4'' Agorithme à clée
symétriques de
longueur
variable (de 1 à 256 octets). Cependant la clée a
souvent
une longueur fixe de 40 bits.
- TKIP : "Temporal Key
Integrity
Protocol" Protocole permettant le chiffrement et le contrôle
d'intégrité des données par un
renouvellement
automatique des
clefs de chiffrement. Il est compatible avec WEP.
- AES : "Advanced
Encryption Standard" Algorithme de chiffrement à
clef symétriques de 128, 192
et 256 bits. AES
remplace le DES (Data Encryption Standard)
qui
est devenu trop faible au regard des attaques actuelles.
- IEEE : Institut of
Electrical
Electronical Engineers
- IEEE 802.11
: Est
un standard international décrivant
les caractéristiques d'un réseau local sans fil
(WLAN)
- IEEE 802.11a : Permet
d'obtenir un haut débit
(54 Mbps théoriques, 30 Mbps réels). La norme
802.11a
spécifie 8 canaux
radio dans la bande de fréquence des 5 GHz.
Non
compatible avec le 802.11b. (peu
utilisé)
- IEEE 802.11b : Est
la norme la plus répandue actuellement. Elle propose un
débit théorique de 11 Mbps (6 Mbps
réels)
avec une portée pouvant aller jusqu'à 300
mètres
dans un environnement dégagé. La plage
de fréquence utilisée est la bande des 2.4 GHz,
avec 3
canaux radio disponibles.
- IEEE 802.11g : Offre
un haut débit (54 Mbps théoriques, 30 Mbps
réels)
sur la bande de fréquence des 2.4 GHz. La norme 802.11g a
une
compatibilité ascendante avec la norme 802.11b, ce qui
signifie
que des
matériels
conformes à la norme 802.11g peuvent fonctionner en 802.11b
- EEE 802.11n : Offre
un haut débit théorique de 270Mbps dans la bande des des 2,4 GHz ou 5 GHz
- IEEE 802.11i : est
un
complément à la couche réseau (normes
802.11b ou
g); elle a été homologuée de 24 juin
2004. Elle
repose sur le standard de chiffrement AES (Advanced Encryption
Standart) en reprenant les principes de gestion des clés du
WPA.
L'AES prévoit des clés de 128, 192 et 256 bits.
L'AES
fonctionne au-dessus du WEP, qui ne disparaît pas.
- IEEE 802.1x :
Normalisation
d'authentification.
Pendant la phase d'authentification, la station ne peut
accéder
qu'au serveur d'authentification (serveur Radius par exemple). Une fois
l'authentification acceptée, les communications vers le
réseau sont permises en fonction des accès
accordés. Chaque client a une clé
spécifique, les
clés peuvent être renouvelées.
|