Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1665 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Wifi entreprise

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Wifi entreprise

n°43201
ste29
Posté le 16-09-2008 à 15:48:17  profilanswer
 

Bonjour,
 
dans l'entreprise ou je suis on me demande de jeter un oeuil sur le sécurité du wifi
nos bornes sont en wep, nous avons un domaine windows 2000/2003
donc les utuilisateurs saisissent un login/password pour avoir accès aux ressources du réseau
 
ma question comment améliorer le wifi ?
 
en passant en wap mais comment déployer une nouvelle clé sur tous les postes ?
un serveur radius mais cela sert-il à quelquechoses alors que nous avons déjà un login/pass pour accéder aux ressouces ?
 
quoi d'autres ?
 
merci
slts

mood
Publicité
Posté le 16-09-2008 à 15:48:17  profilanswer
 

n°43204
gelaf
Posté le 16-09-2008 à 16:19:23  profilanswer
 

Lut,
 
Je t'ai trouvé un article sur Radius http://www.laboratoire-microsoft.o [...] 003/4/?R=5
 
Il parle de la sécurité vers la fin mais par contre, le niveau de sécurité, c'est toi qui le renforce en y ajoutant des fonctionnalités (IPSec, mots de passes difficiles à trouver, certificats, etc...)
 
D'après ce que j'ai lu, La clé WPA est bien plus sécurisée que la WEP mais faut voir si toutes les cartes Wifi peuvent l'utiliser ?
 
Sinon pour encore plus de sécurité tu peux faire du VPN par dessus tout ça il me semble.
 
(si je me trompe quelque part flagellez-moi :D) Je suis pas un expert en sécurité très très loin de là mais si je peux chercher aussi des infos... ça me permettra d'apprendre aussi un peu ^^


Message édité par gelaf le 16-09-2008 à 16:20:53
n°43205
trictrac
Posté le 16-09-2008 à 16:25:33  profilanswer
 

oula, si on parle WEP ou WPA, on est loin du wifi en entreprise ...
en entreprise, il faut penser architecture centralisée, concentrateur.
Aruba/Trapèze/cisco pour les majeurs players ...
Ensuite 802.11i / wpa2

n°43210
ste29
Posté le 16-09-2008 à 16:41:14  profilanswer
 


cad ?
peux-tu développer STP?
 
merci
slts

n°43211
hyperman22
Posté le 16-09-2008 à 16:56:19  profilanswer
 

Déjà du WPA c'est pas trop mal...
 
Sinon, combien de bornes as tu ? Quel budget ? combien de postes ?
 
Nous on vient de passer avec du WPA2 avec gestion centralisé Full Cisco (WLC).
 
Du radius c'est pas mal aussi pour authentifier tes users sur le wifi... Mais j'en ai pas fait... Ca demande l'installation d'un radius sur le domaine.


Message édité par hyperman22 le 16-09-2008 à 16:57:03
n°43248
ste29
Posté le 17-09-2008 à 08:56:50  profilanswer
 


bonjour,
 
pas de budget limite à priori
nous avons 2 bornes dans les bureaux
pour une dizaine de postes
 
pour le radius je ne vois pas à quoi ça sert dans le sens ou je ne vois pas comment un pirate qui se connecterait sur mon réseau en ayant cracquer ma clé puisse se connecter
car on doir renseigner un login/passsord pour avoir accès aux réseau
y a t-'il qqchose qui m'échappe dans mon résonnement ?
 
merci de vos réponses
slts
 

n°43263
hyperman22
Posté le 17-09-2008 à 12:46:17  profilanswer
 

Bon c'est vrais que l'intéret d'un radius pour 10 personnes est peut-etre un peu limité...
 
Dans tout les cas passe tes borne en WPA voir WPA2 au plus vite. Sinon pour le radius ca mange pas de pain de le mettre (il me semble qu'il y en a déjà d'intégré a windows server que je n'ai jamais utilisé). Bon après pour la partie technique je doit dire que je laisse ma place car je n'ai jamais configuré de wifi avec radius... Mais je sais que ca se fait assez bien en couplage a un AD.

n°43276
ste29
Posté le 17-09-2008 à 15:02:58  profilanswer
 

qq peut-il m'expliquer radius et login/password sous AD
 
pour moi ça fait doublon
 
merci
slts

n°43288
shinmaki
Posté le 17-09-2008 à 17:22:43  profilanswer
 

Radius va se limiter à répondre oui ou non au suplicant et évite entre autre d'exposer la base compte. Un AP parlera très certainement Radius mais pas LDAP, surtout à la sauce Microsoft. De même, avec un Radius tu peux faire redescendre de nombreux attribus (ex : route par défaut). Ca permet aussi de laisser les problèmes de duplication AD de côté.


Message édité par shinmaki le 17-09-2008 à 17:24:08
n°43296
fun_key
Posté le 17-09-2008 à 18:57:12  profilanswer
 

Pour ce qui est du radius sous windows, il s'agit de l'IAS sous win2k3 et du role NPS sous win2k8.
 
Sans vouloir developper, le WPA/WPA2 permet de + ou - bien se proteger contre l'exterieur, mais si ca n'empêche pas les utilisateurs internes de faire n'importe quoi. Vu que la clef est commune, n'importe lequel de tes collaborateurs peut sniffer le réseau, et en entrant la clef WPA voir tout le traffic généré par les autres collaborateurs (hash, login, ...)
 
L'un des objectifs principaux du WPA entreprise & du radius est justement d'éviter ca.


Message édité par fun_key le 17-09-2008 à 18:58:06
mood
Publicité
Posté le 17-09-2008 à 18:57:12  profilanswer
 

n°43314
ste29
Posté le 18-09-2008 à 08:53:55  profilanswer
 


merci
qu'entends-tu par wpa entreprise ?
 
avec le radius on fait déporter l'authentification sur la borne au lieu de le faire sur le contrôleur du domaine si je comprends bien, avec en plus qqs possibilités
mais un hacker qui aurait les comptes AD pourait même par le radius attaquer le réseau interne ?
doit-on prendre d'autres précautions en plus ?
 
merci à tous pour vos réponses
vous me faites avancer
 

n°43315
shinmaki
Posté le 18-09-2008 à 09:23:15  profilanswer
 

WPA entreprise : c'est le "vrai" WPA avec l'implémentation de 802.1x (Radius, certificats...). Comme c'est plutôt complexe à mettre en place, il y a aussi le WPA-PSK : PreShared Key.
 
Si un hacker a les comptes AD, tu as un très gros problème, avec ou sans Radius.

n°43384
ste29
Posté le 19-09-2008 à 08:45:59  profilanswer
 

ok donc je mets un radius avec certif ou preshared key comme ça il y aura une authentification avant de rentrer sur mon réseau, c'est ça ?
c'est toujours ça en plus
 
Avec quoi peut-on coupler le radius ?
- DMZ
- VLan
- VPN
 
avez-vous déjà fait ça ? si oui comment ?
 
 
Merci
slts

n°43403
shinmaki
Posté le 19-09-2008 à 11:17:26  profilanswer
 

Citation :

Avec quoi peut-on coupler le radius ?
- DMZ
- VLan
- VPN
 


Tu peux préciser ?

n°43412
ste29
Posté le 19-09-2008 à 11:49:27  profilanswer
 


c'était juste pour renforcer encore un peu plus la sécurité
 
1) installer un radius
2) ..... DMZ,VLAN, etc....

n°43413
shinmaki
Posté le 19-09-2008 à 11:57:35  profilanswer
 

Ca veut dire quoi "coupler" ? Tu veux que papa DMZ fasse l'amour avec maman VLAN et mettre cousin VPN au milieu ? Ou tu veux que VPN cause avec VLAN en parlant DMZ ?
 
Ah oui, ma 1ère fois, c'était génial.

n°43640
fun_key
Posté le 23-09-2008 à 21:23:24  profilanswer
 

ste29 a écrit :


merci
qu'entends-tu par wpa entreprise ?
 
avec le radius on fait déporter l'authentification sur la borne au lieu de le faire sur le contrôleur du domaine si je comprends bien, avec en plus qqs possibilités
mais un hacker qui aurait les comptes AD pourait même par le radius attaquer le réseau interne ?
doit-on prendre d'autres précautions en plus ?
 
merci à tous pour vos réponses
vous me faites avancer
 


 
Par WPA entreprise j'entend effectivement via RADIUS. Si reelement tu veux éviter que qqun se log même si un compte AD est compromis, tu peux tjs mettre en place une authentification TTLS via certificats.
 
Si tu as confiance en tes utilisateurs un bon PSK peut faire l'affaire, si tu as des doutes sur certain; passage obligé par RADIUS.

n°43662
ste29
Posté le 24-09-2008 à 11:43:38  profilanswer
 

ok merci
je vais mettre en place un radius avec certificats
et essayer de déployer les certificats avec gpo
si c'est possible

n°43712
ste29
Posté le 25-09-2008 à 11:38:40  profilanswer
 

j'ai installé un radius sur un 2003 standard
sur un DC en 2000 serveur j'ai installé l'autorité de certification
 
mais ça ne fonctionne pas
j'obtiens le message d'erreur "Impossible de trouver un certificat compatible EAP"
 
qq a-t-il eu ce pb ?
 
merci
slts

n°43718
hyperman22
Posté le 25-09-2008 à 13:41:15  profilanswer
 

Il me semble qu'il faut exporter le certificats de l'AD sur le radius afin que le radius puisse contacter l'AD. Je ne connait pas la manip pour l'export mais je sais qu'il y a un truc de ce genre a faire, si le radius ne se trouve pas physiquement sur la meme machine que l'AD...

n°44279
ste29
Posté le 07-10-2008 à 15:56:26  profilanswer
 

oui c'est ça j'ai réussi à faire un export et un import du côté radius
 
qq a-t-il déjà utilisé une gpo sur serveur 2000 pour déployer des certificats ?

n°44289
xanack
Posté le 07-10-2008 à 20:34:42  profilanswer
 

la question "certificats" m'interresse aussi...

n°44423
ste29
Posté le 10-10-2008 à 14:51:54  profilanswer
 


j'ai mis en place ma GPO
c'est ok
 
mais comment faire sur un serveur 2000 pour "l'inscription automatique des certificats" ??
 
merci

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Wifi entreprise

 

Sujets relatifs
WIFI pour entreprise - gestion des connexions et des droitsPoint d'accès Wifi en entreprise
sécurité wifi entrepriseQuel point d'accès Wifi pour l'entreprise ?
Plus de sujets relatifs à : Wifi entreprise


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR