30 janvier 2003

Recommandations La scurisation des rseaux sans fil

1- Introduction
Les rseaux sans fil rencontrent aujourdhui un succs important car ils permettent, via la norme IEEE1 802.11b, dite Wi-Fi ("Wireless Fidelity"), de dployer des moyens de transmissions sans contrainte d'immobilit lie aux cblages et aux prises (hormis l'alimentation). La promotion actuelle de ce type de solution, est uniquement axe sur les avantages quelle procure : facilit et rapidit dinstallation, cot infrieur un systme filaire, mobilit, accs partag des services de haut dbit Internet. Toutefois, les cots induits par la gestion des risques associs sont bien souvent omis. Bien que la norme 802.11b prsente certaines options de scurit, les protections des rseaux Wi-Fi restent faibles, mme vis--vis dattaques simples. La nature du signal transmis (onde lectromagntique) rend difficile, voire impossible la matrise complte de la propagation. En consquence, il est assez facile d'couter les messages et mme de s'introduire sur de tels rseaux, linsu des utilisateurs et de loprateur, pour y accomplir des actes malveillants sans laisser de trace. La disponibilit publique, la gratuit et la facilit de mise en oeuvre des outils de localisation, dinterception passive et dagression confirment l'importance de cette menace. Le prsent document prsente d'une part une analyse des diffrents types de risques auxquels les rseaux Wi-Fi sont exposs, d'autre part une srie de conseils permettant leurs administrateurs et usagers de mieux contrler et si possible rduire les risques. Ces conseils concernent les questions de dploiement, de protection physique ou de protection logique du rseau. Ils peuvent aider mettre en place un rseau scuris (action a priori), ou scuriser physiquement et logiquement un rseau dj existant (action a posteriori).

2- valuation gnrale des risques

En raisonnant par analogie, implanter un rseau sans fil est similaire au fait de placer en pleine rue une prise tlphonique connecte la ligne tlphonique d'un particulier ou d'un organisme, ou bien de positionner des prises Ethernet sur un rseau filaire en dehors de tout contrle. En effet, pour constituer un rseau local sans fil, il suffit dquiper les postes informatiques, fixes ou portables, dadaptateur 802.11b (sous forme de cartes, internes ou externes, avec une antenne) et si ncessaire, dinstaller dans les locaux des points daccs. Ces derniers sont connects au serveur daccs soit par une liaison un autre point daccs, soit par un accs filaire. Les donnes circulent alors sur le rseau par ondes radiolectriques. Les risques encourus du fait de l'emploi de ce type de rseaux sont de mme nature que pour les rseaux filaires, ils sont simplement plus levs. En effet, l'coute d'un message par un intrus ou son entre sur un rseau 802.11.b sont facilites du fait de la disponibilit en accs libre sur lInternet d'outils dagression et de la mdiatisation qui est faite de leur emploi. Leur utilisation peut permettre des interceptions totalement passives ou au moins trs discrtes, voire la ralisation de mfaits en usurpant l'identit dun des utilisateurs lgitimes du rseau sans fil. Il importe de garantir un niveau suffisant : la disponibilit et la qualit de service face aux agressions en saturation (cf. 2.1) ;

IEEE : Institute for Electronics and Electrical Engineering 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

le caractre intgre des contenus face des actes de malveillance (cf.2.2) ; la confidentialit des changes face des interceptions passives (cf. 2.3) ; la qualit des preuves techniques d'accs aux services et des actions, notamment pour assurer la facturation et lengagement des responsabilits (cf. 2.4). Ainsi, une bonne gestion des risques lis un rseau ncessite toujours une approche globale. Pour rpondre cet objectif, la mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit)2 est librement accessible en ligne.

2.1 ) Disponibilit
La disponibilit d'un rseau peut tre remise en cause soit par le brouillage radiolectrique, soit par une attaque en dni de service consistant rendre inoprant le rseau par un envoi massif dinformations. Le brouillage radiolectrique du rseau est relativement ais par exemple avec du bruit blanc3 diffus dans la gamme de frquence des 2,4 GHz et qui suffira empcher l'utilisation du rseau. Ralisable avec des composants du commerce, le brouillage peut tre gnral ou slectif. Un brouillage gnral interdira l'usage de la totalit du rseau. Un brouillage slectif pourra empcher la prise en compte des communications d'un lment du rseau. La perte de disponibilit pourrait devenir dfinitive (destruction des interfaces de rseau sans fil) dans le cas o la puissance du brouilleur s'avrerait trs suprieure au niveau admissible par les matriels viss. Le dni de service logique consiste saturer le point d'accs en multipliant artificiellement le nombre de demandes d'association. Le point d'accs considre alors que de nombreuses machines veulent se connecter. Or, il n'accepte en gnral que 256 associations (machines). Ne pouvant faire la distinction a priori entre une demande lgitime et une demande illicite, il va donc refuser toutes les demandes d'association et donc provoquer un dni de service. Par ailleurs, sur un poste autonome (PDA, portable), la surconsommation due l'obligation de rpondre aux sollicitations de l'attaquant provoque un affaiblissement rapide des batteries et donc une perte importante d'autonomie.

2.2 ) Intgrit
2.2.1 Intrusion Lintrusion revt un caractre actif, consistant pntrer un rseau directement, sans ncessairement usurper une identit, afin de pouvoir bnficier de l'infrastructure du rseau (accs Internet, intranet..), voire pour effectuer divers types dactes malveillants. Une intrusion est souvent facilite par l'absence totale d'authentification (cf. 6.1). Sur un rseau radio 802.11b chiffr, elle peut passer par une attaque de la cl de chiffrement, par dfaut la cl WEP ("Wire Equivalent Privacy").
Portable

point d'accs

Attaquant

Internet

routeur

2 3

http://www.ssi.gouv.fr/fr/confiance/documents/EBIOS_memento.pdf Bruit uniforme et constant dans la gamme de frquence considre 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

Pour ce faire, aprs avoir capt et enregistr une partie de la communication, lattaquant doit reconstituer la cl de chiffrement WEP. Cette reconstitution passe par une tude des flux de donnes chiffres circulant sur le rseau. Une fois la cl de chiffrement reconstitue, il est possible de s'introduire dans le rseau de manire transparente car on ne peut diffrencier un poste normalement autoris d'un poste usurpant la mme identit, contrairement au cas d'un rseau filaire bien configur. Il convient de noter que les machines d'un rseau interne sont bien souvent peu protges. Elles constituent des cibles de choix pour mener des attaques par rebond ou des agressions sur d'autres entits. Dans ce cas, le gestionnaire ou lexploitant du rseau radio deviendrait structurellement incapable de remonter la source de lagression.

2.2.2 Usurpations d'identit Lusurpation didentit, revt un caractre actif puisque lagent malveillant cherche pntrer le rseau en usurpant lidentit dune personne autorise, ceci pouvant parfois se faire de manire transparente. Une fois lopration russie, il a toute libert daction pour porter atteinte lintgrit du rseau en modifiant ou en supprimant les informations qui y circulent. Pour ce faire, lagent malveillant a la possibilit d'usurper soit lidentit dun point daccs, soit celle dun client. Dans la premire hypothse, lattaquant se place entre le client et le vritable point daccs tout en feignant dtre lgitime ; il peut alors loisir enregistrer et modifier les donnes transmises. Dans la seconde (cf. schma), il se fait passer pour un client pouvant lgitimement accder l'ensemble du rseau (sans fil et/ou filaire). L'aspect immatriel du rseau ne permet pas de distinguer le vritable client du faux. Dans ce cas, les informations qui normalement transitaient uniquement par le rseau filaire, peuvent tre droutes et passer dsormais sur le rseau radio.

communication relle entre A et B

attaquant

point d'accs

attaquant vu comme B

attaquant vu comme A

Serveur A

Ordinateur B

communication fictive entre A et B

Ce type dattaques est actuellement possible car la norme 802.11b propose un "systme d'authentification" bas sur le contrle des adresses machines (MAC) transmises en clair. Ce systme ne peut tre considr comme un rel systme d'authentification.
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

2.3 ) Confidentialit
Un agent malveillant disposant du matriel adquat (un ordinateur portable ou simplement un PDA (assistant personnel) muni dune carte 802.11b), peut couter le rseau et par consquent capter et interprter les paquets dinformations circulant sur celui-ci. Ce phnomne est dautant plus dangereux quil est invisible et non dtectable, car compltement passif. Or, la majorit des cartes rseau sans fil peut tre configure cet effet et des manuels de fabrication d'antennes sont disponibles sur Internet. Pour quelques dizaines deuros, il devient possible de concevoir des antennes permettant daccrotre la distance de captation de plusieurs centaines de mtres sans pour autant perdre des informations. Par ailleurs, l'activation du protocole de chiffrement natif WEP ne suffit pas garantir la confidentialit des informations (cf. 2.2.a).

2.4 ) Qualits des preuves techniques

La qualit des preuves techniques d'accs et de tentatives daccs aux services et des actions doit tre assure face aux risques suivants : accs frauduleux aux services sans facturation possible (par exemple accs Internet gratuit) ; accs utilis par malveillance avec fausse indication dorigine. Un agresseur suffisamment aguerri tentera quant lui deffacer les traces minimes qui pourraient rester de son agression, par exemple en arrtant la journalisation des incidents dans les points daccs, empchant leur remonte vers le centre de gestion, voire en attaquant le centre de gestion.

3- Planification et dploiement
La mise en place dun rseau sans fil est un projet part entire quil convient de bien tudier afin dviter tous les cueils dun "effet de mode". Pour un dploiement efficace, il est ncessaire de bien planifier les objectifs fonctionnels (gestion des services offerts et de leur qualit) et les objectifs de scurit (gestion des diffrents risques). Il doit galement respecter strictement lenveloppe financire, les contraintes rglementaires et les contraintes juridiques. L'aspect juridique ne sera pas trait dans ce document. Il faut planifier les objectifs et les mesures de scurit ncessaires avec laide dun spcialiste toujours distinct et indpendant du fournisseur, puis faire analyser ("auditer") intervalles rguliers l'efficacit des mesures prises par rapport aux objectifs viss. Cet auditeur effectuera ces tests de pntration en utilisant notamment les outils dagression disponibles dans le domaine public. La planification doit passer par ltude des divers aspects relatifs la mise en place dun rseau sans fil.

3.1 ) tude du cot

La mise en place dun rseau sans fil est, en principe, dun cot infrieur celle dun rseau filaire. Toutefois, dans le cas du dploiement d'un systme bas sur la norme 802.11.b, le surcot li une scurisation efficace peut rapidement rendre le cot dinstallation bien suprieur ce qui tait prvu initialement (cf. 6 ).
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

Le rapport entre dbit rel et cot d'une solution filaire ou sans fil doit aussi tre tudi avec soin. Les frais lis la maintenance doivent galement tre pris en compte. Ils couvrent notamment la vrification priodique des matriels (puissance d'mission, plage de frquences annonces) et l'intgrit du rseau (bornes illicites).

3.2 ) Les contraintes rglementaires

Depuis la dcision de lautorit de rgulation des tlcommunications (ART), en date du 7 novembre 2002, lusage des bandes de frquences 2,4 GHz a t assoupli pour trente-huit dpartements4. Ds lors, la bande 2400-2454 MHz est utilisable lintrieur des btiments comme lextrieur avec une puissance infrieure 100 milliwatts (mW). La bande 2454-2483,5 MHz est utilisable, quant elle, lintrieur des btiments avec une puissance infrieure 100 mW et lextrieur des btiments avec une puissance infrieure 10 mW. Sur les proprits prives, cette puissance peut atteindre 100 mW lextrieur avec une autorisation explicite du ministre de la Dfense. Pour les autres dpartements du territoire national, la bande 2400-2446,5 MHz nest utilisable qu lintrieur des btiments et seulement avec une puissance infrieure 10 mW, alors que la bande 2446,5-2843,5 est utilisable 100 mW en intrieur et en extrieur sur des proprits prives, sous rserve dautorisation du ministre de la Dfense. Cette dcision sest inscrite dans un processus de fourniture au public de services Internet haut dbit, en particulier dans les lieux de passage, les hotspots et dans les zones du territoire aujourdhui mal desservies par les rseaux haut dbit existants.

3.3 ) valuation des besoins

Il est impratif de dfinir, que le rseau soit priv ou public, lenvironnement du rseau, le nombre de stations connecter, les services dsirs et le type dinformation circulant sur le rseau.

Pour un rseau priv lenvironnement doit tre dfini : pour un tel rseau, dont la couverture est limite gographiquement (organisme, btiment, entreprise, cabinet mdical, mairie, etc.), lespace couvrir et lespace couvert non dsir doivent tre indentifis et contrls. Il convient aussi de sassurer de la non-prexistence ou proximit dautres rseaux ou quipements risquant dentraner des perturbations ; le positionnement des points daccs est un lment essentiel aussi bien pour la scurit du rseau que pour son bon fonctionnement ; une tude pralable par un spcialiste est fortement recommande ; ils doivent tre placs en fonction du type d'antenne utilise. En effet, la zone de couverture diffre suivant le modle (fouet, parabole). L'objectif vis est d'viter une trop grande diffusion hors du primtre vis de l'entit, leur nombre doit tre prcisment dtermin car il doit tre suffisant pour permettre une couverture de lensemble de la zone mais sans tre excessif pour viter tout risque de perturbations du rseau,

http://www.art-telecom.fr/communiques/communiques/2002/07-11-2002.htm 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

la qualit du signal doit tre tudie (porte et perturbations lectromagntiques) pour chaque point daccs (puissance dmission et rglementation) ; les services dsirs doivent tre dfinis : quelles sont les informations diffuses sur le rseau (dialogue par messagerie, diffusion dinformations, remonte de donnes)? Quel est leur niveau de sensibilit ? Le rseau interne est-il connect dautres rseaux ? Est-il connect Internet ?

Pour un rseau public lenvironnement doit tre dfini : pour un tel rseau la couverture est gnralement ouverte et tendue. Ce type de rseau est aussi bien souvent connect au final un rseau filaire. Mis en place dans des lieux publics, il permet la fourniture de services Internet grand dbit, en particulier dans les lieux de passage ou salles dattentes, les hotspots . Les utilisateurs de terminaux portables (ordinateurs portables ou assistants numriques personnels (PDA)) peuvent alors jouir daccs Internet confortables dans des endroits tels que les aroports, les gares, les htels, les centres de congrs et les cafs Internet. Ce type de dploiement pourrait galement contribuer fournir un accs au "haut" dbit dans des zones du territoire aujourdhui mal desservies par les rseaux existants ; ltude de limplantation et de la couverture des points daccs doit tre faite par un spcialiste. La position des points daccs est cruciale pour le bon fonctionnement du rseau ; les services dsirs doivent tre dfinis : principalement ddis laccs Internet, ces rseaux doivent tre scuriss par un renforcement de lauthentification des utilisateurs interdisant le rejeu pour limiter le vol des autorisations daccs (pas de mots de passe mais des jetons logiciels ou matriels : OTP, cls USB, cartes puce, carte PCMCIA).

4- Protection physique des quipements et des sites

Les premires rgles mettre en place pour scuriser un systme dinformation, quil soit filaire ou sans fil, sont celles qui ont trait la scurit physique des quipements et des sites. Bien videment, le premier risque prendre en compte est le risque naturel, qui passe par une tude pralable de lenvironnement du site : risques dinondations, dimpact de foudre, variations de temprature, risques d'incendie Cette tude permettra de dfinir si les lieux d'installation retenus sont adquats et si des protections complmentaires sont ncessaires : nergie secourue, clateurs contre la foudre, ventilation, climatisation, dtection/extinction incendie, renvois d'alarmes sur dfaillance.... L'tude physique du site (accessibilit, possibilit d'inspection visuelle, nature des btiments) tablira la vulnrabilit intrinsque du site et la nature des moyens de protection mettre en uvre. La protection physique passe par un contrle anti-intrusion des accs. En fonction du niveau de protection choisi, sa nature (humain, lectronique, mixte...) et son type (contrle visuel, portiques, badges, cartes lectroniques...) seront dfinis. Enfin, au regard de l'environnement et du type dactivit, des systmes anti-intrusions actifs ou passifs (grillage, barreaux, radars, infrarouge...) peuvent tre mis en uvre selon diffrents niveaux (enceinte, btiments, locaux sensible). La protection physique du systme permettra de dtecter et d'viter de nombreux types d'agression (installation frauduleuse de matriels, manipulation illicite sur les matriels) qui pourraient remettre en cause les protections logiques retenues par ailleurs.

51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

Dans le cas des rseaux privs et conformment la lgislation en vigueur, la couverture du rseau devra, autant que possible, tre circonscrite dans le primtre de l'entit. Ceci est dautant plus ncessaire pour un rseau sans fil 802.11.b, qui peut tre cout, par exemple depuis le parking voisin par une personne installe avec son portable. La protection et la surveillance physique du site protger et de ses abords pourront alors limiter ce type de menaces. Des outils d'audit (tlchargeables sur Internet) pourront tre utiliss pour vrifier la couverture relle du rseau condition de les complter par des antennes fort gain. Si le dplacement ou la limitation en puissance des quipements mettant au del du primtre n'est pas possible, les zones identifies devront faire l'objet d'une surveillance particulire.

5- Protections logiques et organisationnelles

La confidentialit des donnes ne peut tre obtenue qu'en utilisant un tunnel chiffrant bas par exemple sur une ralisation de confiance du protocole IPSEC en mode tunnel. La mise en place de ce tunnel doit tre faite avec des couples cl publique/cl prive ou des certificats et ncessite le dploiement d'une infrastructure de gestion de cl. Dans tous les cas, il est indispensable d'activer le chiffrement WEP (cf. 6). Afin de limiter les risques d'attaques, la cl WEP : doit tre change frquemment ("TKIP"), dans le pire des cas, tous les 1 million de paquets ; ne doit pas tre communique en clair sur le rseau radio; pour cela, il faut utiliser le canal chiffr cr par la norme 802.1X. Il peut tre activ sur le point d'accs et/ou les cartes lorsque celles-ci sont compatibles ; sinon de faon logicielle sur le pare-feu ("firewall") et/ou sur le poste client.

Dans l'hypothse o le rseau filaire ne serait pas considr comme sr, la communication entre les diffrentes machines de ce rseau doit utiliser un chiffrement adapt. Afin de limiter les tentatives d'accs frauduleux dont la responsabilit juridique incomberait au gestionnaire du rseau sans fil, il est indispensable de mettre en place un systme d'authentification forte. La norme 802.1X, une fois ses modes configurs correctement, permet l'authentification rciproque des clients et de l'infrastructure (cf. 6). La mise en place d'une infrastructure de gestion de cl est un pralable utile l'usage d'un systme d'authentification. La totalit de l'infrastructure filaire doit si possible tre configure pour utiliser IEEE 802.1X (point(s) d'accs, pare-feu, commutateur). La mise en place de 802.1X ncessite l'installation d'un ou plusieurs serveurs d'authentification RADIUS ("Remote Authentification Dial-In User Service") dont la configuration doit tre correctement ralise. Le point d'accs doit diffuser le minimum d'informations ncessaires la connexion des clients. En particulier, l'identifiant du rseau ("SSID") et les paquets de balise ("beacon") ne seront pas diffuss ou leur frquence de diffusion sera rduite au minimum. Le choix des matriels (points d'accs, carte rseau) doit dans la mesure du possible s'orienter vers des produits dont le micro-logiciel ("firmware") peut tre mis jour et qui intgrent l'authentification IEEE 802.1X ainsi que le WEP 128 bits. Un pare-feu ("firewall") doit tre install entre le rseau sans fil et le rseau filaire. Il peut tre galement prudent de distinguer ces deux rseaux tant en termes de confidentialit que de contrle d'accs. Le pare feu peut intgrer l'authentification IEEE 802.1.X si le point d'accs ne la gre pas. Le pare-feu doit galement contrler la couche applicative pour bloquer les attaques via des ports normalement autoriss (par exemple le port 80, virus, tunnels).
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

Des antivirus si possible diffrents, installs sur le pare-feu et sur les postes nomades permettent de limiter la propagation des chevaux de Troie et des virus. Enfin, sur le rseau filaire, il est prfrable d'utiliser des commutateurs ("switch") plutt que des concentrateurs ("hub") qui diffusent le trafic sur la totalit du rseau sans contrle possible.

6- Outils de protection : authentification et chiffrement

6.1 ) Authentification
La premire barrire mettre en place est l'authentification des machines. La norme 802.11b ne permet pas l'authentification. Seul le contrle des adresses MAC est possible. Sauf cas particuliers (petit rseau), ce contrle se configure difficilement. La plupart des points d'accs n'installent pas par dfaut ce type de contrle, ce qui rend le rseau dmuni de toute vrification de droit d'accs. Mme si l'oprateur valide l'option d'authentification, il n'en demeure pas moins que les adresses MAC sont diffuses en clair sur la voie radio ce qui constitue une faille de scurit. Pour pallier cette lacune, la norme 802.1x propose un protocole d'authentification modulaire EAP (Extensible Authentification Protocol). Ce protocole permet la vrification des autorisations des postes qui se connectent. Ce protocole, pour tre efficace, doit tre utilis conjointement avec le protocole TLS (Transport Layer Security) pour le transfert des communications dauthentification chiffres. D'autres protocoles de transfert existent, en particulier EAP-TTLS et EAP-PEAP. Tous ces protocoles doivent tre associs une infrastructure de gestion de cls. Pour une configuration optimale, une infrastructure de type RADIUS, qui grera la base de donnes des droits des utilisateurs et la procdure dauthentification, doit tre installe.

6.2 ) Chiffrement
En aucun cas le chiffrement WEP propos par la norme IEEE 802.11 ne peut suffire lui seul garantir la confidentialit des informations. La plupart des quipements ne proposent que des cls d'une longueur de 40 bits insuffisante face aux attaques par "force brute". De plus, le chiffrement utilise l'algorithme RC4 dont la programmation est ralise de manire incorrecte. En consquence, le protocole rsultant est, au plan cryptographique, faible quelle que soit la taille de la cl employe. En particulier, des outils disponibles sur Internet permettent dobtenir le pseudo-ala gnr et de pntrer dans le rseau rapidement. Se pose galement le problme de la gestion des cls qui nest pas trait par le WEP : gnralement tous les utilisateurs partagent la mme cl, qui est stocke en clair sur un quipement mobile (fichier ou adaptateur suivant les constructeurs), donc expose. De plus, si un utilisateur la perd, il faut la remplacer sur tous les quipements, ce qui apparat vite trs contraignant. De ce fait, il est recommand dutiliser le protocole EAP pour la transmission des cls de chiffrement. L'volution de la norme 802.11i devrait intgrer d'autres moyens de chiffrement (AES) et d'authentification (IEEE 802.1X). Elle fait partie des normes futures, prvues pour 2003 et destines accrotre la qualit des rseaux sans fil. Ainsi, la norme 802.11i est destine amliorer la scurit, la 802.11e la qualit de service, la 802.11f intgrer la slection de frquence dynamique (DFS) et le contrle de puissance dmission (TPC). En parallle, dautres normes existent telles que la norme IEEE 802.11a ou la norme Hiperlan2, qui ont toutes deux la particularit dutiliser la bande de frquences des 5 GHz avec un dbit thorique de 54 Mbit/s.
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01

30 janvier 2003

7- Rcapitulatif des recommandations

Recommandations gnrales
Planification des objectifs fonctionnels et de scurit Choix des objectifs de scurit (mthode EBIOS) en termes de : disponibilit et qualit du service intgrit des contenus confidentialit des changes qualit des preuves techniques daccs aux services et des actions Etude du cot de la mise en place dun rseau sans fil Respect de la rglementation (ART, protection des donnes personnelles)

Recommandations particulires en fonction des objectifs de scurit

Protection physique des quipements et des sites Etude pralable de l'environnement du site (lie aux risques naturels) Etude physique du site (accessibilit, possibilit d'inspection visuelle) Mise en place d'un contrle anti-intrusion des accs Vrification de la zone de couverture du rseau via l'utilisation d'outils d'audit Protection logique et organisationnelle Configuration des points d'accs pour qu'ils diffusent le minimum d'informations ncessaires la connexion du client Mise en place d'un tunnel chiffrant bas par exemple sur une ralisation de confiance du protocole IPSEC en mode tunnel Choix de matriels volutifs et intgrant l'authentification IEEE 802.1X ainsi que le WEP 128 bits Activation du chiffrement WEP Changement frquent de la cl WEP Utilisation d'un tunnel chiffrant pour la communication de la cl WEP Mise en place d'un systme d'authentification forte Contrle des adresses MAC Utilisation de la norme 802.1X et de son protocole d'authentification modulaire EAP Utilisation du protocole TLS pour le transfert des communications d'authentification chiffres Association de ces protocoles une infrastructure de gestion de cls Installation d'une infrastructure de type RADIUS Installation d'un pare-feu entre le rseau sans fil et le rseau filaire Installation d'antivirus entre le pare-feu et les postes nomades Utilisation de commutateurs (switch) plutt que de concentrateurs (hub)

51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01