Wifi et sécurité

Wifi et sécurité - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 25-03-2008 à 14:42:16    

Hello,
 
Voilà ma problématique:
 
Nous allons mettre en place un réseau Wifi pour permettre des connexions de terminaux mobile.
Jusqu'a maintenant nous fonctionnions en onde courte donc pas ou peu de craintes...
 
Nous n'avions pas de wifi en prod pour des raisons de sécurité mais cette fois on ne peut pas y échapper.
 
Sachant que le wifi servira qu'a ces terminaux voilà ce que j'envisage de faire:
 
Les différents AP wifi seront sur un VLAN différent du réseau de prod.  
L'interconnexion entre VLAN wifi et VLAN prod sera coupée par un firewall (symantec GS320). Sur ce firewall on autorisera uniquement les adresses voulue vers les serveurs voulus sur le port necessaire.
 
Pensez vous qu'il y a un mieux niveau secu en faisant cela?
 
Maintenant reste à voir quelle sécurité mettre au niveau des AP. Je voudrais passer en WPA2 mais je sais pas si les AP sont à meme de gérer ça sans installer un serveur radius en plus.
 
Bref j'aurais besoin de vos avis sur ce point, que feriez vous?
 
merci :)
 
 


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 25-03-2008 à 14:42:16   

Reply

Marsh Posté le 25-03-2008 à 17:59:19    

Pour ma part, je trouve ça un peu lourd. Un 802.1x suffit amplement dans un premier temps.
En parallèle, des technos comme "Air Defense" peuvent te permettre de protéger ton réseau WiFi, le tout couplé avec le géolocalisation "Newbury" tu as un RF firewall périmétrique de qualité.

Reply

Marsh Posté le 25-03-2008 à 19:30:51    

Merci pour ton avis.
 
Lourd peut être un peu mais pas bien compliqué au final non plus, juste intercaler un firewall pour s'assurer qu'en cas de faille on puisse pas tout faire sur le réseau quand même.
 
le WPA avec une bonne clé semble être reconnu comme suffisant en entreprise c'est ça?

Reply

Marsh Posté le 25-03-2008 à 22:20:42    

je suis krapaud sur le 802.1x. Perso le firewall me semble superflu. De bonnes access-list feront bien l'affaire sur le routage intervlan.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 26-03-2008 à 15:10:02    

Comme solution tu pourrais forcer aussi a faire du vpn entre le wlan et le lan...  

Reply

Marsh Posté le 26-03-2008 à 15:45:47    

Des acl sur le routage inter vlan... seulement les VLAN seront sur des switch niveau 2 donc le routage inter vlan sera justement fait par un petit firewall...  
 
A ce moment là je n'ai pas besoin de faire 2 vlan alors. Je fais donc entierement confiance au WPA.
 
Il y a moyen de faire du 802.1x sans serveur autre? je n'ai pas la possibilité de mettre en place ce genre de chose sur ce site.
 
 

Reply

Marsh Posté le 26-03-2008 à 18:22:19    

non, le 802.1x se fait avec un serveur radius


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 10-04-2008 à 12:02:46    

Up, je vais mettre ca en place très bientot...
Finalement le cryptage sera en WPA seulement.
 
Le réseau Wifi sera sur un VLAN a part et donc comme tu dis Dreamer18... de bonne ACL... mais pour ça il me faut un petit firewall.
 
Vous avez d'autres suggestions?
 

Reply

Marsh Posté le 11-04-2008 à 09:02:14    

Pims a écrit :

Up, je vais mettre ca en place très bientot...
Finalement le cryptage sera en WPA seulement.
 
Le réseau Wifi sera sur un VLAN a part et donc comme tu dis Dreamer18... de bonne ACL... mais pour ça il me faut un petit firewall.
 
Vous avez d'autres suggestions?
 


 
1- WPA2  :o  (le WPA est une solution bringuebalante quoique correcte créé en catastrophe pour boucher les failles de WEP, en utilisant le même cryptage que WEP (TKIP). Les attaques chop-chop peuvent dans certains cas récupérer des bribes d'informations. WPA2 utilise AES/CCMP qui est lui à l'épreuve des balles  :o  
2- Filtrage MAC (on est jamais trop prudent);
3- Clé genre: "ERVhtbrb(-(vrcvrp;:m!xszxwqùm;afv56g(gvfTVetgvb RbVetrfdzsxCVgrxbTbHT¨$!ùmefds"  :o
4- Changement de clé immédiat requis en cas de compromission des stations (perte ou vol): distribution des clés en pre-shared key lourde à gérer si le parc de stations sans fil est important. Interdiction de faire voyager sur le réseau protégé avec l'ancienne clé un fichier texte avec la nouvelle clé (il suffirait d'avoir l'ancienne clé et un dump du trafic pour retrouver la nouvelle clé). Cela impose un déplacement physique sur le site pour déployer la nouvelle clé dés qu'une machine est compromise (ce qui est fréquent finalement, avec 50 stations wifi). Solution: un radius (fonctionne sur un tout petit serveur) blinde encore plus la sécu, facilite et assouplit la distribution des clés (offre la possibilité de leur renouvellement auto, etc).
 
Ceci peut paraitre parano, mais vous devez l'être si votre réseau fait transiter des données "sensibles".


Message édité par Profil supprimé le 11-04-2008 à 09:10:12
Reply

Marsh Posté le 11-04-2008 à 10:20:10    

Merci pour tes suggestions :)
 
Le pb du WPA est le serveur radius, pas bien le temps de mettre tout ça en place.
 
le réseau wifi sera sur un vlan isolé par un firewall... il y aura que des terminaux mobile en windows ce.
 

Reply

Marsh Posté le 11-04-2008 à 10:20:10   

Reply

Marsh Posté le 12-04-2008 à 01:45:48    

Le fait que ton WLAN soit isolé par un firewall est une chose qui est très bien, mais ça ne te protège absolument pas de l'interception des éventuelles données sensibles qui y circulent (à l'aide d'un terminal dérobé par exemple).
Mais si tu n'as pas le temps de mettre un radius en place, y a pas le choix, dirait-on !

Reply

Marsh Posté le 09-05-2008 à 08:53:21    

dreamer18 a écrit :

non, le 802.1x se fait avec un serveur radius


Tu peux te servir de IAS sur un 2003 server, c'est ce qu'on fait et c'est très pratique. Pas besoin de monté un nouveau serveur et ca bouffe pas trop de performances.


Message édité par Cyr1u$ le 09-05-2008 à 08:56:36
Reply

Marsh Posté le 09-05-2008 à 08:55:58    

IAS est un serveur radius :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 29-05-2008 à 09:40:06    

Vaut mieux tard que jamais :
 
Il existe des points d'accès avec radius intégré...

Reply

Marsh Posté le 29-05-2008 à 16:42:47    

Mieux vaut tard que jamais n°2  :whistle:  :
 
IAS ne supporte que 50 clients dans la version standard de 2003. Pour la version enterprise, plus de limite.
 
edit: petite précision de ma part, les 50 clients sont en faite 50 switch/AP wifi  (merci a ceux qui m'ont répondu sur mon sujet :))


Message édité par Cyr1u$ le 30-05-2008 à 11:31:05
Reply

Marsh Posté le 29-05-2008 à 17:35:26    

Mieux vaut tard que jamais n°3 :  
Le radius IAS est pas conçu à la base pour gérer une infra WIFI, il peut être nécessaire de faire du tuning pour accélerer ses temps de réponse. Chose qu'on aura pas avec un radius sur borne ou concentrateur.

Reply

Marsh Posté le 02-06-2008 à 02:58:59    

Le filtrage MAC, c'est inutile, chiant, et ca ne sert a rien.
Le WPA2, le vrai, se gere avec un radius, donc pas de pre-shared key.
Pour la commande des bornes, au delà de 5, oublie les bornes autonomes, et passe en mode centralisé avec un contrôleur (qui parfois peut jouer le rôe du radius).
Pour lé définition du nombre de bornes, en plus de la couverture, il faut partir un ration de 7 users max / AP afin d'éviter les problèmes.
 
Des nouvelles du projet ?

Reply

Marsh Posté le 02-06-2008 à 10:06:03    

Hello, merci pour toutes ces réponses tardives :)
 
Donc concernant le projet:
 
6 bornes, 12 terminaux
La sécurité est en WPA avec une clef partagée :-/
un VLAN spécifique a été créé et le lien entre ce vlan et le lan est filtré par un firewall qui n'autorise qu'un port vers qu'un serveur sur notre LAN.
 
Par contre on a des soucis de perte de réseau sur les terminaux (Lock H sur les terminaux teklogix) ce n'est pas un pb de radio car dans ce cas le message est Lock B.
 
Tu penses trictrac que ça peut venir des bornes? mode centralisé?
 

Reply

Marsh Posté le 02-06-2008 à 12:17:25    

je pense rien là... je ne sais pas à quoi tu fais allusion avec tes problèmes de connexion.
Par contre, quand je parlais du mode centralisé, c'était uniquement pour une question de management. En cas de modif, tu n'as pas à te tapper toutes les bornes à la main, ce qui est la meilleur facon d'avoir des problèmes.
Sinon, avec 12 clients, tu devrais pas avoir trop de problème de connexion, surtout avec 6 AP.

Reply

Marsh Posté le 02-06-2008 à 12:34:32    

ok,  
nos terminaux mobiles ou embarqués on des coupures de réseau mais je ne vois pas d'où ça vient encore...
 
J'ai viré le spanning tree car j'avais des soucis avec en pensant que ça venait de là... ( http://forum.hardware.fr/hfr/syste [...] 3237_1.htm )
 
Mais même sans c'est pareil... maintenant je pensais au firewall ou à notre liaison EQUANT derrière mais vu que le pb n'apparait pas sur tous les terminaux en même temps il y a peu de chance...
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed