Bonjour,
 
J'ai fait une recherche sur le forum mais je n'ai pas vraiment trouvé la réponse à mes questions.
 
Je suis actuellement en stage, on me demande de proposer des solutions de sécurisation d'un accès wifi, en les classant selon leur coût, leur sécurité et leur complexité. Sachant que le but est de mettre le wifi simplement pour qu'une tablette puisse se connecter à des équipements, mais il ne faut pas que quelqu'un d'autre puisse le faire.  
 
Pour commencer, j'ai fait des recherches sur les technologies existantes, mais je ne sais pas quelles solutions proposer. Je pensais à :  
- utiliser un portail captif, qui serait la solution la moins sécurisée, puisqu'il n'y a authentification que de l'utilisateur et que celui-ci risque d'utiliser un mot de passe faible, mais solution facile à mettre en place et j'imagine peu coûteuse.  
- utiliser une clé RSA (SecurID) pour l'authentification, qui serait donc plus sécurisée de par la qualité du mot de passe, mais toujours le problème d'authentification mutuelle  
- utiliser un tunnel VPN, qui ne sécurise donc pas le réseau en lui-même, mais sécurise l'accès à la machine avec laquelle le tunnel est fait, sécurise les échanges et authentifie l'utilisateur  
- utiliser EAP-TLS, donc très sécurisé, mais plus complexe à mettre en place (plus coûteux j'imagine ?), l'utilisateur est authentifié ou seulement la machine dans ce cas là ? car il ne faudrait pas que quelqu'un vole la tablette et puisse se connecter.
- utiliser PEAP ou EAP-TTLS avec identifiant/mot de passe, moins sécurisé à cause du mot de passe, suffisant ?
- utiliser PEAP ou EAP-TTLS avec une clé RSA, j'imagine à peu près aussi sécurisé que EAP-TLS, ça authentifie bien le serveur et l'utilisateur
 
Voilà, je voudrais donc à la fois votre avis sur les différentes solutions et comment les classer, et éventuellement si il y a d'autres possibilités auxquelles je n'ai pas pensé ça m'intéresse. Au niveau du coût je sais bien que cela dépendra du constructeur choisi, mais je ne me suis pas encore penchée sur le sujet, ne sachant pas vraiment par où commencer.
 
Merci d'avance

Hello,
 
Concernant la solution du SSL/TLS avec authentification par certificat, tout dépend de ce que tu veux faire. Si le certificat déployé sur la tablette est un certificat machine, c'est la tablette qui sera authentifiée. En revanche, si le certificat possède des informations utilisateurs, c'est l'utilisateur qui sera authentifié.  
 
Dans ce cas précis tu as plusieurs solutions :
 
- Considérer que l'authentification machine est suffisante.
- Considérer que le certificat machine est aussi un certificat utilisateur.
- Considérer qu'il faut en plus une authentification utilisateur (donc pourquoi pas mettre en place l'authentification machine pour se connecter au WiFi puis la coupler avec une authentification via SecureID derrière pour authentifier l'utilisateur sur les applicatifs).
 
Sachant que l'idéal serait d'utiliser un support externe comme une carte à puce pour stocker le certificat utilisateur dans le cas où il serait utilisé (mais à voir si c'est techniquement possible car cela implique que ta tablette soit compatible avec la technologie de carte utilisée et qu'il existe un middleware capable de faire office de CAPI/PKCS#11).
 
Dans tous les cas, tout dépend de l'existant de la boite. Si une architecture permettant la délivrance de SecureID existe déjà, penche toi en priorité là-dessus. Si une PKI est déjà mise en place, penche toi plutôt sur l'utilisation des certificats. Ça t'évitera de devoir mettre en place toute une architecture (gain de temps et d'argent).
 
Pour ton classement, tu peux mettre en queue de peloton tout ce qui n'est pas authentification forte de l'utilisateur/machine (login/MDP).
 
Bon courage !

Bonjour,
 
Merci pour ta réponse, je ne savais pas qu'il était possible de choisir le type d'authentification avec TLS. Ça résout donc mon problème, je peux mettre TLS en plus sécurisé mais aussi plus complexe.
 
Je vais essayer de me renseigner sur le type de tablette et la possibilité de compatibilité avec des cartes à puce.
 
J'ai fait un premier brouillon de notation, est ce que ça vous parait correct ?
 
Portail captif : sécurité *  facilité *****  
Clé RSA : sécurité **  facilité ****
VPN : sécurité ***  facilité ****  
EAP-TTLS/PEAP + MSChapv2 : sécurité ****  facilité ****
EAP-TTLS/PEAP + SecurID : sécurité ***** facilité ***  
EAP-TLS : sécurité ***** facilité **  
 
J'ai un doute sur le fait que le VPN soit mieux ou pas que le portail captif ou la clé RSA.

Bonjour,
 
ma dernière question n'a apparemment pas inspiré grand monde. Je reviens vers vous avec une nouvelle question, toujours sur le même sujet. Mettons que je choisisse une solution EAP, n'importe laquelle, il faut maintenant que je propose une architecture sécurisée. Voici ce à quoi j'ai réfléchi :
 
le point d'accès donne l'accès au client, il est relié à un firewall, qui donne accès à une DMZ sur laquelle se trouve le serveur RADIUS, puis un autre firewall permet l'accès à l'intranet.
 
De la même façon si je choisis la solution VPN, je place le serveur VPN dans la DMZ.
 
Ca vous parait logique ou pas ? Assez sécurisé ?  
 
Merci d'avance pour toute réponse, même incomplète

bonjour,
tu peux trouver de la bonne doc ici
http://www.ssi.gouv.fr/fr/guides-e [...] s/#elem150
Guide fait par l'anssi (Agence nationale de la sécurité des systèmes d’information )

Merci, j'avais déjà vu ce site là, mais je n'ai pas trouvé d'architecture sécurisée pour le Wi-fi.  
En cherchant un peu plus sur internet j'ai lu qu'il ne faut pas que le serveur RADIUS soit dans la DMZ, mais plutôt dans le LAN. Du coup ça voudrait dire : Wi-fi - firewall - LAN avec RADIUS ?

Là tu parles juste de sécurisation au niveau authentification.....  
Y'a aussi les parties Vlan et types d'utilisateurs (par exemple portail captif ,vlans, WAN dédié pour les guests, sécurisation bornes (détections des scans, AP pirates etc....).
Enfin tout ce qui pourrais englober la sécurisation d'un réseau wifi. Et le choix du matos Wifi est très important car il faut mieux que ce soit géré ou embarqué avec le matos.

Oui bien sûr là je ne parle que de ce qui est authentification et chiffrement des données.
 
Il n'y aura pas d'invités donc pas besoin de faire un accès dédié, il n'y aura que peu d'utilisateurs autorisés de toute façon. Au niveau du matériel, je regarde des points d'accès qui font tout ce qui est détection de Rogue AP, détection/prévention d'intrusion...

J'ai maintenant fixé tout ce qui est authentification (802.1x) et architecture du réseau : le wifi, le lan et le radius sont 3 domaines différents, séparés par un firewall. J'ai aussi un domaine administration.  
Maintenant j'ai quelques questions :
 
- concernant les VLANs, j'ai un peu de mal à savoir combien il m'en faut, et lesquels. Logiquement il m'en faut un pour les utilisateurs authentifiés, qui peuvent avoir accès au réseau interne, un pour ceux qui ne sont pas authentifiés, qui du coup peuvent seulement demander l'authentification, et un pour l'administration ? Est-ce que ce dernier est utile ou pas ?
 
- est-ce qu'il faut mettre des ACL en plus des VLANs ou pas ? j'ai l'impression que ça fait redondant
 
- est-ce que c'est possible d'utiliser fail2ban avec 802.1x et PEAP ? pour bloquer les utilisateurs après un certain nombre d'essais ratés, parce que j'en ai surtout entendu parler pour FTP ou SSH
 
- au niveau de la supervision du réseau, on utilisera sûrement Nagios, j'ai l'impression que ça ressort comme le logiciel le plus pratique
 
- est-ce qu'il y a besoin d'un IDS/IPS ? si oui, est-ce qu'il vaut mieux le placer avec le radius, ou sur le réseau interne ?
 
- pour surveiller les équipements, j'ai prévu d'utiliser un serveur syslog pour collecter les logs (sûrement syslog-ng avec logzilla) et pour la corrélation des logs j'ai vu qu'il y a Sagan et Sec, quelqu'un les connait ? lequel est le mieux ?
 
- en dehors de ça, est-ce qu'il existe d'autres choses qu'il faudrait que je mette en place ?
 
 
merci d'avance