Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1456 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Wifi et sécurité

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Wifi et sécurité

n°35034
Pims
Posté le 25-03-2008 à 14:42:16  profilanswer
 

Hello,
 
Voilà ma problématique:
 
Nous allons mettre en place un réseau Wifi pour permettre des connexions de terminaux mobile.
Jusqu'a maintenant nous fonctionnions en onde courte donc pas ou peu de craintes...
 
Nous n'avions pas de wifi en prod pour des raisons de sécurité mais cette fois on ne peut pas y échapper.
 
Sachant que le wifi servira qu'a ces terminaux voilà ce que j'envisage de faire:
 
Les différents AP wifi seront sur un VLAN différent du réseau de prod.  
L'interconnexion entre VLAN wifi et VLAN prod sera coupée par un firewall (symantec GS320). Sur ce firewall on autorisera uniquement les adresses voulue vers les serveurs voulus sur le port necessaire.
 
Pensez vous qu'il y a un mieux niveau secu en faisant cela?
 
Maintenant reste à voir quelle sécurité mettre au niveau des AP. Je voudrais passer en WPA2 mais je sais pas si les AP sont à meme de gérer ça sans installer un serveur radius en plus.
 
Bref j'aurais besoin de vos avis sur ce point, que feriez vous?
 
merci :)
 
 


---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le 25-03-2008 à 14:42:16  profilanswer
 

n°35046
krapaud
Modérateur
Posté le 25-03-2008 à 17:59:19  profilanswer
 

Pour ma part, je trouve ça un peu lourd. Un 802.1x suffit amplement dans un premier temps.
En parallèle, des technos comme "Air Defense" peuvent te permettre de protéger ton réseau WiFi, le tout couplé avec le géolocalisation "Newbury" tu as un RF firewall périmétrique de qualité.

n°35059
Pims
Posté le 25-03-2008 à 19:30:51  profilanswer
 

Merci pour ton avis.
 
Lourd peut être un peu mais pas bien compliqué au final non plus, juste intercaler un firewall pour s'assurer qu'en cas de faille on puisse pas tout faire sur le réseau quand même.
 
le WPA avec une bonne clé semble être reconnu comme suffisant en entreprise c'est ça?

n°35064
dreamer18
CDLM
Posté le 25-03-2008 à 22:20:42  profilanswer
 

je suis krapaud sur le 802.1x. Perso le firewall me semble superflu. De bonnes access-list feront bien l'affaire sur le routage intervlan.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°35076
wonee
Ben Chui SyMpA
Posté le 26-03-2008 à 15:10:02  profilanswer
 

Comme solution tu pourrais forcer aussi a faire du vpn entre le wlan et le lan...  

n°35081
Pims
Posté le 26-03-2008 à 15:45:47  profilanswer
 

Des acl sur le routage inter vlan... seulement les VLAN seront sur des switch niveau 2 donc le routage inter vlan sera justement fait par un petit firewall...  
 
A ce moment là je n'ai pas besoin de faire 2 vlan alors. Je fais donc entierement confiance au WPA.
 
Il y a moyen de faire du 802.1x sans serveur autre? je n'ai pas la possibilité de mettre en place ce genre de chose sur ce site.
 
 

n°35092
dreamer18
CDLM
Posté le 26-03-2008 à 18:22:19  profilanswer
 

non, le 802.1x se fait avec un serveur radius


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°35947
Pims
Posté le 10-04-2008 à 12:02:46  profilanswer
 

Up, je vais mettre ca en place très bientot...
Finalement le cryptage sera en WPA seulement.
 
Le réseau Wifi sera sur un VLAN a part et donc comme tu dis Dreamer18... de bonne ACL... mais pour ça il me faut un petit firewall.
 
Vous avez d'autres suggestions?
 

n°36001
Profil sup​primé
Posté le 11-04-2008 à 09:02:14  answer
 

Pims a écrit :

Up, je vais mettre ca en place très bientot...
Finalement le cryptage sera en WPA seulement.
 
Le réseau Wifi sera sur un VLAN a part et donc comme tu dis Dreamer18... de bonne ACL... mais pour ça il me faut un petit firewall.
 
Vous avez d'autres suggestions?
 


 
1- WPA2  :o  (le WPA est une solution bringuebalante quoique correcte créé en catastrophe pour boucher les failles de WEP, en utilisant le même cryptage que WEP (TKIP). Les attaques chop-chop peuvent dans certains cas récupérer des bribes d'informations. WPA2 utilise AES/CCMP qui est lui à l'épreuve des balles  :o  
2- Filtrage MAC (on est jamais trop prudent);
3- Clé genre: "ERVhtbrb(-(vrcvrp;:m!xszxwqùm;afv56g(gvfTVetgvb RbVetrfdzsxCVgrxbTbHT¨$!ùmefds"  :o
4- Changement de clé immédiat requis en cas de compromission des stations (perte ou vol): distribution des clés en pre-shared key lourde à gérer si le parc de stations sans fil est important. Interdiction de faire voyager sur le réseau protégé avec l'ancienne clé un fichier texte avec la nouvelle clé (il suffirait d'avoir l'ancienne clé et un dump du trafic pour retrouver la nouvelle clé). Cela impose un déplacement physique sur le site pour déployer la nouvelle clé dés qu'une machine est compromise (ce qui est fréquent finalement, avec 50 stations wifi). Solution: un radius (fonctionne sur un tout petit serveur) blinde encore plus la sécu, facilite et assouplit la distribution des clés (offre la possibilité de leur renouvellement auto, etc).
 
Ceci peut paraitre parano, mais vous devez l'être si votre réseau fait transiter des données "sensibles".


Message édité par Profil supprimé le 11-04-2008 à 09:10:12
n°36006
Pims
Posté le 11-04-2008 à 10:20:10  profilanswer
 

Merci pour tes suggestions :)
 
Le pb du WPA est le serveur radius, pas bien le temps de mettre tout ça en place.
 
le réseau wifi sera sur un vlan isolé par un firewall... il y aura que des terminaux mobile en windows ce.
 

mood
Publicité
Posté le 11-04-2008 à 10:20:10  profilanswer
 

n°36047
Profil sup​primé
Posté le 12-04-2008 à 01:45:48  answer
 

Le fait que ton WLAN soit isolé par un firewall est une chose qui est très bien, mais ça ne te protège absolument pas de l'interception des éventuelles données sensibles qui y circulent (à l'aide d'un terminal dérobé par exemple).
Mais si tu n'as pas le temps de mettre un radius en place, y a pas le choix, dirait-on !

n°37350
Cyr1u$
plop ?!
Posté le 09-05-2008 à 08:53:21  profilanswer
 

dreamer18 a écrit :

non, le 802.1x se fait avec un serveur radius


Tu peux te servir de IAS sur un 2003 server, c'est ce qu'on fait et c'est très pratique. Pas besoin de monté un nouveau serveur et ca bouffe pas trop de performances.


Message édité par Cyr1u$ le 09-05-2008 à 08:56:36
n°37351
dreamer18
CDLM
Posté le 09-05-2008 à 08:55:58  profilanswer
 

IAS est un serveur radius :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°38312
rootshell
Posté le 29-05-2008 à 09:40:06  profilanswer
 

Vaut mieux tard que jamais :
 
Il existe des points d'accès avec radius intégré...

n°38331
Cyr1u$
plop ?!
Posté le 29-05-2008 à 16:42:47  profilanswer
 

Mieux vaut tard que jamais n°2  :whistle:  :
 
IAS ne supporte que 50 clients dans la version standard de 2003. Pour la version enterprise, plus de limite.
 
edit: petite précision de ma part, les 50 clients sont en faite 50 switch/AP wifi  (merci a ceux qui m'ont répondu sur mon sujet :))


Message édité par Cyr1u$ le 30-05-2008 à 11:31:05
n°38338
jujudu44
Prophète du CAC
Posté le 29-05-2008 à 17:35:26  profilanswer
 

Mieux vaut tard que jamais n°3 :  
Le radius IAS est pas conçu à la base pour gérer une infra WIFI, il peut être nécessaire de faire du tuning pour accélerer ses temps de réponse. Chose qu'on aura pas avec un radius sur borne ou concentrateur.

n°38461
trictrac
Posté le 02-06-2008 à 02:58:59  profilanswer
 

Le filtrage MAC, c'est inutile, chiant, et ca ne sert a rien.
Le WPA2, le vrai, se gere avec un radius, donc pas de pre-shared key.
Pour la commande des bornes, au delà de 5, oublie les bornes autonomes, et passe en mode centralisé avec un contrôleur (qui parfois peut jouer le rôe du radius).
Pour lé définition du nombre de bornes, en plus de la couverture, il faut partir un ration de 7 users max / AP afin d'éviter les problèmes.
 
Des nouvelles du projet ?

n°38476
Pims
Posté le 02-06-2008 à 10:06:03  profilanswer
 

Hello, merci pour toutes ces réponses tardives :)
 
Donc concernant le projet:
 
6 bornes, 12 terminaux
La sécurité est en WPA avec une clef partagée :-/
un VLAN spécifique a été créé et le lien entre ce vlan et le lan est filtré par un firewall qui n'autorise qu'un port vers qu'un serveur sur notre LAN.
 
Par contre on a des soucis de perte de réseau sur les terminaux (Lock H sur les terminaux teklogix) ce n'est pas un pb de radio car dans ce cas le message est Lock B.
 
Tu penses trictrac que ça peut venir des bornes? mode centralisé?
 

n°38493
trictrac
Posté le 02-06-2008 à 12:17:25  profilanswer
 

je pense rien là... je ne sais pas à quoi tu fais allusion avec tes problèmes de connexion.
Par contre, quand je parlais du mode centralisé, c'était uniquement pour une question de management. En cas de modif, tu n'as pas à te tapper toutes les bornes à la main, ce qui est la meilleur facon d'avoir des problèmes.
Sinon, avec 12 clients, tu devrais pas avoir trop de problème de connexion, surtout avec 6 AP.

n°38500
Pims
Posté le 02-06-2008 à 12:34:32  profilanswer
 

ok,  
nos terminaux mobiles ou embarqués on des coupures de réseau mais je ne vois pas d'où ça vient encore...
 
J'ai viré le spanning tree car j'avais des soucis avec en pensant que ça venait de là... ( http://forum.hardware.fr/hfr/syste [...] 3237_1.htm )
 
Mais même sans c'est pareil... maintenant je pensais au firewall ou à notre liaison EQUANT derrière mais vu que le pb n'apparait pas sur tous les terminaux en même temps il y a peu de chance...
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Wifi et sécurité

 

Sujets relatifs
[Wifi] Attaque ou problème avec un poste.Points d'accès wifi et ghostcast pas copains ?
Sécurité des données personelles e geographiques et anonymat a 100% ?Carte WIFI fonctionnant nativement sur toutes les distributions ?
Problème de certificat de sécurité et compte du domaineAttaque sur le réseau...
endian firewall et carte wifisécurité wifi entreprise
Plus de sujets relatifs à : Wifi et sécurité


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR