Thème ‘’ Déploiement d’un réseau sans fil d’une entreprise ‘’

Sujet : concevez et déployez un réseau sans fil d’entreprise pour répondre aux
besoins d’une organisation fictive, cela implique de prendre en compte la
couverture du réseau, la capacité, la sécurité et la qualité de service (QoS)
la sécurité et la qualité sont les facteurs clés

La sécurité et la qualité sont des piliers pour les réseaux sans fil. Sans
sécurité, pas de garantie quant à la confidentialité des données. Sans qualité, on
s’attendra à des utilisateurs frustrés de ne pouvoir bénéficier des avantages de la
mobilité.

La sécurité d'un réseau sans fil repose sur deux idées fortes : le chiffrement des
données, dans un premier temps, qui assure la confidentialité du réseau, quelles
que soient les méthodes d'accès et les données utilisées. La seconde idée, telle
que formulée par un directeur de la sécurité informatique "...est que la complexité
est le pire ennemi de la sécurité ... la sécurité doit être intégrée et non
déployée en complément." [1] Ceci étant dit, comment une entreprise peut-elle
sécuriser son réseau sans-fil ?

- Protection des données

Les données sans fil doivent être chiffrées à l'aide de WPA2-AES. Cette technologie
est plutôt simple à activer sur les PC portables (sous Windows XP ou Vista) et
présente sur la majorité des plates-formes mobiles récentes (un téléphone hybride
GSM/Wi-Fi ou un équipement nomade de type Tablet PC). D'autres méthodes de
chiffrement existent, mais le WPA2-AES offre la simplicité d'une solution
normalisée et l'assurance d'une confidentialité des données qui va, selon les
fournisseurs, jusqu'à bénéficier de la norme FIPS140-2 et faciliter la
certification Common Criteria EAL 2.

- Authentification de l'utilisateur
L'authentification par 802.1x garantit que l'utilisateur est habilité et qu'il ne
se connecte qu'à un serveur valide.
EAP-TLS propose une authentification du serveur et du client à l'aide de
certificats, mais ce protocole requiert néanmoins une infrastructure PKI. De
nombreuses entreprises se contentent de la facilité et de la sécurité relative
d'EAP-PEAP qui ne nécessite qu'une paire de nom d'utilisateur/mot de passe et des
certificats serveur. Ce type d'authentification doit pourtant être renforcé pour
s'assurer que les équipements sont conformes aux règles de sécurité d'entreprise,
plus particulièrement lorsque des équipements informatiques portables (téléphones
hybrides, PC de consultants ou d'invités) se connectent au réseau. L'application
d'un contrôle d'accès réseau ou du NAP (Network Access Policy ou règles d'accès
réseau) de Microsoft compte parmi les pratiques pertinentes et définit un
environnement de test intéressant, préalable à tout déploiement d'envergure.

- Sécuriser les utilisateurs les uns vis-à-vis des autresDans le passé, de

nombreuses organisations ont misé sur les pare-feux pour discriminer entre le
réseau sans fil et le réseau filaire, et leur attribuer des niveaux de confiance
différents. Cette approche a suscité deux problématiques majeures. En premier lieu,
elle pèse sur la mobilité et sur les utilisateurs de services voix qui ont pour
habitude de se déplacer dans les bureaux, entre les étages , voire entre des
immeubles, tout en restant connecté au réseau sans fil. L'utilisation d'un pare-feu
externe peut provoquer une perte des informations sur l'état de la connexion, et
donc une interruption de cette connexion. En second lieu, les utilisateurs sans fil
ne sont pas sécurisés les uns vis-à-vis des autres. L'activation d'un pare-feu en
dehors du réseau sans fil rend le réseau plus vulnérable aux attaques de type VLAN
hopping ou le spoofing ARP, ce qui, au final, constitue une menace pour tous les
utilisateurs. À l'origine, la constitution de groupe d'utilisateurs par VLAN ne
présentait pas de risque significatif. Mais cette approche montre rapidement ses
limites lorsque l'ensemble des collaborateurs et des invités d'une entreprise se
partagent le réseau. Chaque utilisateur doit en effet être soumis individuellement
à un pare-feu.

Le chiffrement des données et l'authentification des utilisateurs sur le réseau

sont des étapes importantes pour maîtriser les risques de détournements de données
ou d'attaques, tant par les collaborateurs que par les pirates. Associée à une
détection/prévention des intrusions qui surveille en permanence les menaces
internes ou externes sur le réseau, cette approche est une garantie pour les
directions informatiques que leur réseau est parfaitement sécurisé.

Optimiser la qualité pour les utilisateurs

Le principe de Qualité se résume souvent à la Qualité de Service (QoS) pour les
applications, mais il s'agit également de considérer la qualité de la connexion
telle que vécue par les utilisateurs.
- Une connexion robuste et de qualité avec le 802.11n
Le 802.11n permet aux entreprises d'offrir une connexion de qualité et fiable aux
utilisateurs, et offre les conditions pour déployer un espace de travail 100% sans
fil. Bien qu'il s'agisse d'une norme récente, le 802.11n (version Draft 2.0) a
déjà fait ses preuves en tant que méthode robuste de connectivité sans fil. Il
utilise le Spatial Division Multiplexing et le MIMO pour fournir simultanément
plusieurs flux de données à partir de trois antennes au maximum. Résultat, le
réfléchissement du signal améliore désormais les taux de transfert et la qualité du
signal, et les utilisateurs disposent de débit allant à plus de 150 Mbps (TCP/IP).

La Qualité de Service est une fonction importante pour les réseaux sans fil
utilisés par un nombre croissant d'applications en temps-réel, qu'il s'agisse de
système de monitoring des patients en milieu hospitalier ou de la Voix sur IP au
sein des bureaux. Des mécanismes appropriés de QoS comme le WMM (Wireless Multi-
Media) et le 802.11e assurent une QoS pertinente entre les équipements nomades et
l'infrastructure. Pour autant, la mise en oeuvre de la QoS ne peut se contenter des
méthodes conventionnelles et doit répondre aux besoins d'un trafic en temps-réel en
environnement radio, avec gestion des fréquences radio pour garantir la stabilité
de l'environnement radio. En conséquence, les fonctionnalités suivantes s'imposent
pour une QoS adaptée aux réseaux sans fil:

- Allocation de bande passante par identifiant réseau

Il est fort probable qu'un seul point d'accès gère plusieurs réseaux sans fil
dédiés à des utilisations différentes. C'est le cas notamment pour un aéroport
majeur dans le monde qui a déployé six réseaux différents sur son infrastructure
sans fil. Les passagers qui utilisent les hotspots ne doivent en aucun cas grever
les performances de l'accès sans fil offert aux boutiques ou aux services
d'exploitation de l'aéroport. La définition d'un seuil de bande passante par réseau
offre ainsi un accès équitable à chaque profil d'utilisateur.
- Roaming rapide des équipements clients
Une gestion centralisée du roaming, avec mise en cache des clés et/ou le 802.11r,
offre un roaming suffisamment rapide sur le réseau sans fil pour permettre aux
téléphones de se mouvoir sur le réseau. Les combinés dédiés à la Voix sur IP
présentent d'excellentes performances en matière de basculement tandis que les
combinés GSM & Wi-Fi offrent des temps de roaming en deçà de la barre critique des
100 millisecondes.
Par ailleurs, il devient de plus en plus visible que les approches normalisées en
matière d'interopérabilité accélèrent les basculements. Les fonctionnalités
propriétaires, en revanche, sont superflues et sont sources de complexité et de
difficultés imprévisibles.
- Contrôle d'accès réseau
Avec le 802.11g (ou le 802.11a), chaque point d'accès peut prendre en charge
jusqu'à 30 appels voix en simultané. Dans les bureaux, un point d'accès ne sera
utilisé que par 10 utilisateurs au maximum pour les services de données, compte
tenu de l'envergure des espaces individuels de travail. Certaines zones, en
revanche, comme l'accueil ou la cantine sont susceptibles de faire face à une
densité plus importante d'utilisateurs voix. Le CAC devient donc nécessaire pour
éviter les congestions et les entreprises sont invitées à considérer une
infrastructure TSpec, conforme à la norme 802.11e, qui propose une prioritisation
de la bande passante, similaire à RSVP et qui a été normalisée par la Wi-Fi
Alliance sous l'appellation WMM-AC.
- Une gestion de l'environnement radio adossé à la QoS
Pour gérer efficacement l'environnement radio, la majorité des points d'accès se
mettent en mode offline pour analyser les fréquences radio ou détecter les
intrusions. Dans ce mode, le point d'accès ne traite aucun trafic, que ce dernier
soit prioritaire ou non. Le délai de l'analyse est court et ne perturbe pas le
trafic de données. En revanche, le trafic en temps-réel de type voix ou vidéo
risque d'être impacté. Le point d'accès doit donc être notifié lorsqu'il achemine
un trafic temps-réel, pour ainsi ajourner toute opération d'analyse et acheminer
le trafic prioritaire.

Contrairement aux réseaux sans fil traditionnels constitués de points d'accès

autonomes et gérés de manière indépendante, les réseaux sans fil de nouvelle
génération assurent une gestion centralisée et se veulent plus simples à déployer.
Les fonctionnalités de sécurité et de qualité de service optimisent l'expérience
utilisateur des collaborateurs, tout en garantissant une sécurité conforme aux
normes les plus strictes qui s'appliquent aux équipements de communication
d'entreprise.
Difficultés commune d’un déploiement Wi-Fi sont ;
0. La couverture
0. Capacité
0. Interférences , ce dernier est que exemple dans les zones urbaines
désensiment peuplées , les interférencesWi-Fi sont engendrés par les autres réseau
Wi-Fi et dispositif connecté.
Une sécurité indispensable
Comme en témoignent régulièrement les actualités, les risques liés aux connexions
Wi-Fi sont bien réels. Malgré cela, de nombreux consommateurs négligent encore trop
souvent la sécurité de leur réseau sans fil et ne modifient pas, par exemple, les
identifiants fournis par les fournisseurs d'accès à Internet ou par les fabricants
de routeurs. Contrairement aux idées reçues, craquer un réseau Wi-Fi mal sécurisé
est aujourd'hui à la portée du plus grand nombre. Une multitude d'applications
permettent de pirater une connexion sans aucune compétence technique. Même si le
risque zéro n'existe pas, quelques mesures de précaution relativement simples
permettent de limiter considérablement les risques.
Sélectionner un protocole de sécurité fiable : activer un chiffrement complexe
Depuis de nombreuses années, les experts conseillent de délaisser le vieux
protocole de chiffrement WEP au profit du WPA2 ou idéalement du WPA3 si tant est
qu'il soit disponible. Longtemps considérée comme la meilleure protection Wi-Fi, le
WPA2 lancé en 2014 a pris du plomb dans l'aile suite à la découverte de failles de
sécurité critiques, dont celle baptisée Krack qui permettait de prendre le contrôle
d'un réseau Wi-Fi à distance et d'y insérer une charge malveillante.