Généralités relatives au chiffrement
Chiffrement WEP et authentification
Authentification 802.1x
Qu'est-ce que RADIUS ?
Accès protégé Wi-Fi (WPA)
PEAP
Cisco LEAP
La sécurité sur un réseau RLR peut être accrue en activant le chiffrement WEP (Wireless Encryption Protocol) des données. Vous pouvez choisir entre un niveau de chiffrement 64 bits ou un niveau de chiffrement 128 bits. Les données peuvent également être chiffrées à l’aide d’une clé. Un autre paramètre, l’index de clés, permet de créer plusieurs clés pour un même profil. ll n’est cependant possible d’utiliser qu’une seule clé à la fois. Pour assurer la protection de vos informations, vous pouvez également protéger un profil Intel(R) PROSet pour cartes sans fil à l'aide d'un mot de passe. L’expression de passe est utilisée pour générer automatiquement une clé WEP. Vous pouvez soit utiliser une expression de passe, soit entrer une clé WEP manuellement. Avec le chiffrement 64 bits, l’expression de passe est constituée de 5 caractères et vous pouvez saisir toute expression de manière aléatoire et facile à retenir (p. ex. Acme1). Vous pouvez également saisir 10 chiffres hexadécimaux pour la clé WEP correspondant au réseau auquel l’utilisateur souhaite se connecter. Avec le chiffrement 128 bits, l’expression de passe est constituée de 13 caractères ou vous pouvez saisir 26 chiffres hexadécimaux en vue de la connexion au réseau approprié.
Le chiffrement WEP (Wired Equivalent Privacy) et l'authentification partagée fournissent une protection de vos données sur un réseau. Le WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données brouillées transmises par d'autres ordinateurs. L'authentification fournit un processus de validation supplémentaire de la carte au point d'accès.
Les deux méthodes d’authentification prises en charge sont Ouverte et Partagée :
Lorsque le chiffrement de données (WEP, CKIP ou TKIP) est activé, une clé réseau est utilisée pour le chiffrement. Une clé réseau peut vous être fournie automatiquement (par exemple, elle peut être fournie sur votre carte réseau sans fil), ou vous pouvez la fournir vous-même et spécifier la longueur de la clé (64 bits ou 128 bits), le format de la clé (caractères ASCII ou hexadécimaux), et l'index de clé (l'emplacement où est stocké une clé spécifique). Plus une clé est longue, plus elle est sûre. Chaque fois qu'on augmente d'un bit la longueur d'une clé, le nombre de clés possibles est doublé. La norme 802.11 permet à une station sans fil d'être configurée avec un maximum de quatre clés (la valeur d'index des clés est 1, 2, 3 et 4). Lorsqu'un point d'accès ou une station sans fil transmettent un message chiffré à l'aide d'une clé stockée dans un index de clé spécifique, le message transmis indique l'index de clé utilisé pour le chiffrement du corps du message. Le point d'accès ou la station sans fil de réception peuvent alors extraire la clé stockée dans l'index de clé et l'utiliser pour déchiffrer le corps du message chiffré.
La norme 802.1x utilise deux types de clés de chiffrement, statique et dynamique. Les clés de chiffrement statiques sont changées manuellement et sont plus vulnérables. L'authentification MD5 utilise uniquement des clés de chiffrement statiques. Les clés de chiffrement dynamiques sont renouvelées automatiquement et régulièrement. Ces clés de chiffrement sont ainsi plus sûres. Pour activer les clés de chiffrement dynamiques, vous devez utiliser des méthodes d'authentification 802.1x reposant sur des certificats, telles que TLS, TTLS ou PEAP.
Fonctionnalités de la norme 802.1x
Prise en charge du protocole demandeur 802.1x
Prise en charge du protocole EAP (Extensible Authentication Protocol) - RFC 2284
Méthodes d'authentification prises en charge :
MD5 - RFC 2284
Protocole d'authentification EAP TLS - RFC 2716 et RFC 2246
TLS tunnelé EAP (TTLS)
Cisco LEAP
PEAP
Prise en charge de Windows XP, 2000
Remarques sur l'authentification 802.1x
Les méthodes d'authentification 802.1x comprennent des mots de passe, des certificats et des cartes à puce (cartes en plastique contenant des données).
L'option d'authentification 802.1x peut être utilisée uniquement en mode d'infrastructure.
Les modes d'authentification réseau sont les suivants : EAP-TLS, EAP-TTLS, Stimulation MD5, LEAP (en mode Cisco Client eXtentions uniquement) et PEAP (en modes WPA uniquement).
Présentation
L'authentification 802.1x est indépendante du processus d'authentification de la norme 802.11. La norme 802.1x fournit un cadre pour les différents protocoles d'authentification et de gestion de clés. Il existe différents types d'authentification 802.1x, chacun approchant l'authentification d'une façon différente, mais employant tous le même protocole 802.1x et le même cadre pour la communication entre un client et un point d'accès. Dans la plupart des protocoles, une fois que le processus d'authentification 802.1x est terminé, le demandeur reçoit une clé qu'il utilise pour le chiffrement des données.
Avec l'authentification 802.1x, une méthode d'authentification est utilisée entre le client et le serveur RADIUS (Remote Authentication Dial-In User Service) connecté au point d'accès. Le processus d'authentification utilise des données d'authentification, telles que le mot de passe utilisateur, qui ne sont pas transmises sur le réseau sans fil. La plupart des protocoles 802.1x prennent en charge des clés dynamiques par utilisateur, par session, permettant de renforcer la sécurité des clés statiques. La norme 802.1x tire parti d'un protocole d'authentification existant connu sous le nom de EAP (Extensible Authentication Protocol). L'authentification 802.1x pour réseaux locaux sans fil comporte trois composants principaux : L'authentificateur (le point d'accès), le demandeur (le logiciel client) et le serveur d'authentification (un serveur RADIUS). Le protocole de sécurité de l'authentification 802.1x lance une requête d'autorisation depuis le client RLR vers le point d'accès, qui à son tour authentifie le client sur un serveur RADIUS conforme au protocole EAP (Extensible Authentication Protocol). Le serveur RADIUS peut authentifier l'utilisateur (par mots de passe ou certificats) ou le système (par adresse MAC). En théorie, le client sans fil n'est pas autorisé à se connecter au réseau tant que la transaction n'est pas terminée. Plusieurs algorithmes d'authentification sont utilisés avec la norme 802.1x : Stimulation MD5, EAP-TLS, EAP-TTLS, PEAP (EAP protégé) et LEAP (Cisco Wireless Light Extensible Authentication Protocol). Avec toutes ces méthodes, le client WLAN s'identifie auprès du serveur RADIUS. Avec l'authentification RADIUS, l'identité des utilisateurs est vérifiée en regard de bases de données. Le protocole RADIUS est un ensemble de spécifications relatives à l'authentification, l'autorisation et la gestion des comptes utilisateurs (Authentication, Authorization and Accounting, ou AAA). Ce protocole utilise une procédure proxy afin de valider les clients dans un environnement multiserveur. La norme IEEE 802.1x est destinée au contrôle et à l'authentification de l'accès à des réseaux 802.11 sans fil et à des réseaux Ethernet filaires utilisant des ports. Le contrôle de l'accès réseau par port est similaire à une infrastructure de réseau local commuté authentifiant les périphériques connectés à des ports du réseau local et interdisant l'accès à ces ports si le processus d'authentification échoue.
Fonctionnement de l'authentification 802.1x
Voici une description simplifiée de l'authentification 802.1x :
Reportez-vous à la section Configuration du client pour le chiffrement WEP et l'authentification MD5 pour obtenir des détails sur la configuration d'un profil 802.1x à l'aide de l'utilitaire Intel(R) PROSet pour cartes sans fil.
RADIUS est un service d'authentification à distance des utilisateurs distants (Remote Authentification Dial-In User Service). Il s'agit du protocole client-serveur d'autorisation, d'authentification et de gestion des comptes, utilisé lorsqu'un client AAA distant se connecte ou se déconnecte d'un serveur d'accès réseau. Un serveur RADIUS est généralement utilisé par les prestataires de services Internet (ISP) pour exécuter des tâches AAA. Les phases AAA sont décrites ci-dessous :
Phase d'authentification : vérifie le nom d'utilisateur et le mot de passe en regard d'une base de données locale. Lorsque les informations utilisateur ont été vérifiées, le processus d'autorisation peut commencer.
Phase d'autorisation : détermine si une requête sera autorisée à accéder à une ressource. Une adresse IP est affectée au client distant.
Phase de gestion des comptes : collecte des informations relatives à l'utilisation des ressources en vue de l'analyse des tendances, la vérification, la facturation en fonction de la durée de la session, ou l'affectation des coûts.
L'accès protégé Wi-Fi (WPA) est une amélioration de la sécurité renforçant considérablement le niveau de protection des données et le contrôle de l'accès à un réseau local sans fil (WLAN). Le mode WPA applique l'authentification 802.1x et l'échange de clé et fonctionne uniquement avec des clés de chiffrement dynamiques. Pour renforcer le chiffrement des données, WPA utilise son protocole TKIP (Temporary Key Integrity Protocol). TKIP fournit au chiffrement des données des améliorations importantes, comprenant une fonctionnalité de mixage de clé par paquet, une vérification de l'intégrité des messages (MIC, Message Integrity Check) appelée Michael, un vecteur d'initialisation étendu (IV, Initialization Vector) avec des règles de séquençage, ainsi qu'un mécanisme de regénération des clés. Grâce à ces améliorations, TKIP permet de se prémunir contre les faiblesses connues de WEP.
PEAP est un nouveau type de protocole IEEE 802.1x EAP (Extensible Authentication Protocol) conçu pour tirer parti de la méthode EAP-TLS (EAP-Transport Layer Security) côté serveur et pour prendre en charge différentes méthodes d'authentification, y compris les mots de passe utilisateur et les mots de passe à utilisation unique, ainsi que les cartes à jetons génériques.
Cisco LEAP (EAP Cisco Wireless) est une authentification 802.1x serveur et client via un mot de passe de connexion fourni par l'utilisateur. Lorsqu'un point d'accès sans fil communique avec un serveur RADIUS (serveur ACS, pour Cisco Secure Access Control Server) prenant en charge Cisco LEAP, Cisco LEAP fournit le contrôle d'accès grâce à une authentification mutuelle entre les cartes sans fil clientes et le réseau sans fil et fournit des clés de chiffrement dynamiques individuelles aidant à la protection des données transmises.
Fonctionnalité de sécurité Cisco Rogue AP
La fonctionnalité Cisco de détection des points d'accès non autorisés fournit une protection contre l'intrusion d'un point d'accès non autorisé pouvant imiter un point d'accès autorisé sur un réseau afin d'extraire des informations concernant les données d'identification des utilisateurs et les protocoles d'authentification, ce qui pourrait compromettre la sécurité. Cette fonctionnalité fonctionne uniquement avec l'authentification LEAP de Cisco. La technologie utilisée par la norme 802.11 ne protège pas les réseaux contre l'intrusion d'un point d'accès non autorisé.
CKIP
Le protocole CKIP (Cisco Key Integrity Protocol) est un protocole de sécurité exclusif de Cisco pour le chiffrement en support 802.11. Le protocole CKIP utilise les fonctionnalités suivantes pour améliorer la sécurité 802.11 en mode d'infrastructure.
Certains points d'accès, par exemple Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels certaines stations clientes ne prennent pas en charge le chiffrement WEP ; ce mode s'appelle « Cellule mixte ». Lorsque ces réseaux sans fil fonctionnent en mode « chiffrement optionnel », les stations clientes qui se connectent en mode WEP envoient tous les messages chiffrés et celles qui se connectent en mode standard envoient tous les messages non chiffrés. Ces points d'accès indiquent (diffusent) que le réseau n'utilise pas de chiffrement, mais permettent aux clients de se connecter en utilisant le mode WEP. Lorsque le mode « Cellule mixte » est activé dans un profil, vous pouvez connecter des points d'accès qui sont configurés pour un « chiffrement optionnel ».
![]() |
REMARQUE : assurez-vous d'activer l'option Cellules mixtes (nécessite l'option Cisco CCX) dans les paramètres avancés en utilisant Activer Cisco Client eXtentions dans un profil. Un profil compatible Cisco CCX utilise le chiffrement de données CKIP et l'authentification LEAP 802.1x. |
Veuillez lire tous les restrictions et dénis de responsabilité.