Sécurité wifi et sécurité des réseaux vont de pair

Contrairement au réseau par câble, le champ d'application des WLAN ne s’arrête pas aux limites de l’entreprise. Les points d’accès (AP) déployés sont mêmes accessibles depuis l'extérieur, les cages d'escalier, les couloirs, les toilettes et d’autres endroits non désirés. Dès lors, les appareils mobiles sans fil permettent d’accéder directement au réseau de l’entreprise sans qu’il faille recourir à une prise réseau physique.

Un petit boîtier désigné sous le nom de «Celui qui dit oui» illustre à quel point il est facile d’infiltrer les réseaux sans fil et de les utiliser à des fins criminelles. L’appareil disponible au prix de 100 dollars se fait passer pour un AP capable de contrecarrer les WLAN. Il accorde à son propriétaire un droit d’accès à des données confidentielles, lui offre un aperçu des transactions électroniques (e-banking) ou exécutées dans les boutiques en ligne et permet l’enregistrement des données d’accès. En bref, le boîtier permet de mener sans difficulté aucune des attaques dites de l’intercepteur ou man in the middle attacks dans les réseaux sans fil sans nécessiter de grandes compétences en matière de piratage informatique.

Si un utilisateur se connecte au réseau sans fil, l’appareil reconnaît la demande, se substitue à l’identifiant et établit une connexion avec l’utilisateur. En même temps, il assure la connexion logique au WLAN et fait à partir de ce moment-là office de «lien transparent» entre l’utilisateur, le réseau et les applications. Grâce à l’infiltration dans le réseau sans fil, le pirate informatique est à même de lire, à l’insu des participants, toutes les informations échangées, de les manipuler et de les utiliser à des fins personnelles.

Sécurité intégrée

Cet exemple met clairement en évidence que les réseaux sans fil sont exposés à des dangers considérables. En tant que supports partagés, ils sont particulièrement vulnérables aux risques tels que les attaques par déni de service, l’usurpation d’identité (MAC spoofing), les attaques de l'intercepteur ou le raccordement masqué de points d’accès non autorisés (rogue AP). La perte de données et les baisses de performance dues à une surcharge du réseau figurent également au nombre des multiples dangers. Eu égard aux nombreuses menaces potentielles, il s’avère indispensable de conférer aux WLAN un degré de sécurité maximal. En dépit de cette nécessité, jusqu’à présent, seules des solutions wifi vulnérables et dépourvues de mécanismes de protection intégrale s’offraient aux entreprises. Certes, les différents points d’accès ou routeurs WLAN sont en principe dotés de fonctions de pare-feu et supportent la transmission radio cryptée. Néanmoins, la sécurité est illusoire. Les AP déployés sont en effet difficiles à gérer. La mise à jour régulière des signatures est un processus compliqué et souvent défaillant. Par ailleurs, la transmission de données non cryptées entre le routeur et le réseau local câblé (LAN) ouvre la voie à des attaques ciblées.

Il existe depuis peu des solutions globales sécurisées pour réseaux LAN sans fil (secure wireless LAN) capables de remédier à ce problème. Elles se caractérisent par une gestion de la sécurité à la fois centrale et complète ainsi que par une modularité exceptionnelle. Outre les AP, les dites appliances UTM, qui intègrent des fonctionnalités de contrôleur et d’administration, forment le noyau central des solutions de cette catégorie. Ces dispositifs de sécurité réunissent tous les mécanismes de défense et de sécurité possibles au sein d’un système et offrent aux entreprises une protection maximale au niveau du périmètre du réseau.

WLAN sans restrictions de sécurité

Les appliances UTM ont considérablement simplifié le déploiement de réseaux LAN hautement sécurisés et sensiblement réduit leur coût par rapport à des structures séparées. Les solutions intégrées «secure wireless LAN» apportent dorénavant ces mêmes avantages aux réseaux sans fil. Grâce au raccordement intégré des AP et des plateformes UTM, les dispositifs de sécurité multi-menaces peuvent suivre et administrer l’échange de données de bout en bout. Dès lors, ils sont à même de couvrir tous les aspects de la couche application (couche 7) que sont la prévention des intrusions, l’identification des utilisateurs, l’utilisation d’un pare-feu et la priorisation. 
Selon le fabricant et le modèle, les tout derniers contrôleurs sont capables de gérer pas moins de 10 000 AP, soit entre 100 et 33 000 utilisateurs simultanés. Sans parler des débits de données, qui sont également impressionnants. Les contrôleurs d'AP disponibles sur le marché sont en effet en mesure de supporter des capacités WLAN allant jusqu’à 49 Gb/s.

Au niveau des points d’accès également, il n’est pas question de revoir les exigences à la baisse en matière de sécurité et de performance. De nombreuses solutions ont pour dénominateurs communs la compatibilité avec la norme 802.11n et un débit de données pouvant atteindre 600 Mb/s. En fonction du modèle, elles assurent également la conformité à la norme PCI DSS grâce aux fréquences assignées ou aux antennes internes destinées à réduire les actes de vandalisme. Les autres caractéristiques spécifiques aux modèles sont le dispositif d’alimentation par câble Ethernet (Power over Ethernet, PoE), les deux bandes radio (2,4 et 5 GHz) fonctionnant en simultané ou l’intégration de plusieurs antennes.

Lors de l’installation d’un réseau WLAN, il est primordial que la transmission des données entre les points d’accès et les contrôleurs intervienne par le biais d’un tunnel crypté. Une caractéristique indispensable est sa capacité à détecter et à exclure automatiquement les points d’accès non autorisés (rogue AP). Autre impératif : offrir une itinérance (roaming) intégrée, c’est-à-dire le passage d’un point d’accès à un autre sans interruption de la connexion, tout en maintenant une qualité de service (QoS) optimale. Cette fonctionnalité propre au domaine GSM présente un intérêt notamment pour la téléphonie basée sur wifi. Sont en outre recommandées les solutions qui utilisent le protocole standard CAPWAP (Control and Provisioning of Wireless Access Points) pour la gestion et le contrôle des différents points d’accès.