WI-FI

Déploiement et sécurité

Bienvenue sur le site du livre WiFi, déploiement et sécurité, par Aurélien Géron, paru en 2006 aux éditions Dunod.

Commander ce livre

Vous trouverez ici:

Une brève description du livre

L'objectif de ce livre est de vous aider à bâtir un réseau sans fil professionnel et sécurisé :

  • La première partie vous permettra de comprendre le WiFi et les rouages de la norme 802.11 : des modulations radio à la gestion de la QoS (802.11e, WMM). Elle dresse un panorama des technologies alternatives (Bluetooth, UMTS, WiMAX...), du futur du WiFi et des perspectives ouvertes par la voix sur IP sans fil.
  • La deuxième partie vous permettra de concevoir et déployer un réseau WiFi de qualité professionnelle. Vous saurez choisir le matériel adéquat, réaliser une cartographie radio, gérer les obstacles et les interférences et superviser votre réseau.
  • La troisième partie vous donnera toutes les armes pour sécuriser au mieux votre réseau sans fil. Vous connaîtrez les attaques possibles, les bonnes pratiques et les technologies pour vous protéger : WEP, VPN, 802.1x, WPA et WPA2. Vous découvrirez également les serveurs d'authentification RADIUS qui sont au cœur des réseaux WiFi d'entreprise.

Cette seconde édition comporte un grand nombre de mises à jour notamment sur la réglementation, les évolutions des normes (802.11e, 802.11n...), les commutateurs intelligents qui gagnent du terrain, et les technologies connexes qui ont évolué (UMTS, WiMAX...).

Sommaire :

  • Comprendre le WiFi
    • Contexte et applications du WiFi
    • La norme 802.11 : couches physiques
    • La norme 802.11 : couche MAC
  • Déploiement
    • Le matériel
    • La couverture radio
  • Sécurité
    • La sécurité sans fil
    • Le WEP
    • Le 802.1x
    • WPA et WPA2
    • Le RADIUS
  • Glossaire
  • Bibliographie

Marque : Dunod/01 Informatique
Collection InfoPro - 175 x 250 mm - 416 pages - 2006
ISBN : 978-2-10-050064-2

Téléchargements

Pour visualiser ces documents, vous aurez besoin du logiciel Adobe Acrobat Reader, si vous ne l'avez pas déjà.

Liens utiles

Portails et tutoriels

Produits

Organismes

Associations

WISP

Logiciels

Standard 802.11

Les RFC

  • RFC 768: User Datagram Protocol (UDP)
  • RFC 791: Internet Protocol (IP)
  • RFC 793: Transmission Control Protocol (TCP)
  • RFC 1321: Algorithme Message-Digest 5 (MD5)
  • RFC 1334: Protocoles d'authentification pour PPP
  • RFC 1661: Point-to-Point Protocol (PPP)
  • RFC 1994: Challenge Handshake Authentication Protocol (CHAP)
  • RFC 2104: Keyed-Hashing for Message Authentication (HMAC)
  • RFC 2246: Protocole TLS version 1.0
  • RFC 2289: Système One-Time Password (OTP)
  • RFC 2433: Extensions Microsoft de CHAP (MS-CHAP-v1)
  • RFC 2548: Attributs RADIUS Vendor-specific de Microsoft
  • RFC 2716: Authentification EAP/TLS
  • RFC 2759: Extensions Microsoft de CHAP, version 2 (MS-CHAP-v2)
  • RFC 2809: Implementation de L2TP Compulsory Tunneling via RADIUS
  • RFC 2865: Remote Authentication Dial In User Service (RADIUS)
  • RFC 2866: RADIUS Accounting
  • RFC 2867: Modifications du RADIUS Accounting pour le support des tunnels
  • RFC 2868: Attributs RADIUS pour le support des tunnels
  • RFC 2869: RADIUS Extensions
  • RFC 3078: Protocole Microsoft Point-To-Point Encryption (MPPE)
  • RFC 3579: EAP sur RADIUS
  • RFC 3588: Protocole Diameter
  • RFC 3748: Extensible Authentication Protocol (EAP)

Drafts

  • EAP/FAST : draft-cam-winget-eap-fast
  • EAP/MS-CHAP-v2 : draft-kamath-pppext-eap-mschapv2
  • EAP/PEAP : draft-josefsson-pppext-eap-tls-eap
  • EAP/TTLS : draft-ietf-pppext-eap-ttls

Portails de technologies alternatives

Bibliographie

  • 802.11 Wireless Networks: The Definitive Guide [O'Reilly, 2001, M. S. Gast, en anglais]
  • 802.11 et les réseaux sans fil [Eyrolles, 2002, P. Mühlethaler, en français]
  • Créer son réseau sans fil WiFi en 10 étapes [First Interactive, 2003, D. Maniez, en français]
  • Montez votre réseau sans fil WiFi [Micro Application, 2003, T. Gee, en français]
  • WiFi par la pratique [Eyrolles, 2003, G. Pujolle, D. Males, en français]
  • WiFi Toys: 17 Cool Wireless Projects for Home, Office, and Entertainment [John Wiley & Sons, 2003, M. Outmesguine, en anglais]
  • Real 802.11 Security: WiFi Protected Access and 802.11i [Addison Wesley, 2003, J. Edney, W. A. Arbaugh, en anglais]
  • Wireless Security [Osborne McGraw-Hill, 2002, M. Maxim, D. Pollino, en anglais]
  • Building Wireless Community Networks [O'Reilly, 2001, R. Flickenger, en anglais]
  • Ad Hoc Networking [Addison Wesley, 2000, C. Perkins, en anglais]

Corrections et précisions

14/04/2008: Le WiFi et la santé

Le WiFi connait depuis quelques années un succès exceptionnel, et s'est installé dans de très nombreux foyers. Comme pour toute nouvelle technologie, la question de l'effet sur la santé se pose. Il y a désormais de nombreuses études scientifiques indépendantes qui concluent à l'absence de danger :

  • L'OMS (Organisation Mondiale de la Santé) conclut que l'exposition prolongée aux ondes du WiFi ne présente aucun risque pour la santé. Voici un extrait de ses conclusions : "Compte tenu des très faibles niveaux d'exposition et des résultats des travaux de recherche obtenus à ce jour, il n'existe aucun élément scientifique probant confirmant d'éventuels effets nocifs des stations de base et des réseaux sans fil pour la santé" (http://www.who.int/mediacentre/factsheets/fs304/fr/index.html).
  • Le Journal of Health Physics a effectué de nombreuses mesures en France, en Allemagne, en Suède, et aux Etats-Unis. Dans tous les cas le niveau du signal WiFi détecté reste bien plus bas que les limites d'exposition internationales (ICNIRP et IEEE C95.1-2005), mais aussi bien plus faible que les autres champs électromagnétiques présents aux mêmes endroits. Autrement dit, le signal WiFi est extrêmement faible, et si l'on devait s'inquiéter de son effet sur la santé, il faudrait d'abord s'inquiéter de nombreuses autres sources, telles que les ondes radio du réseau de téléphonie sans fil GSM (http://www.ncbi.nlm.nih.gov/pubmed/17293700).
  • La Fondation Santé et Radiofréquences a organisé une rencontre scientifique en octobre 2007 pour faire le point sur l'état des connaissances concernant l'effet des radiofréquences sur la santé, notamment pour le WiFi. Voici un extrait des conclusions concernant le WiFi: "La majorité des systèmes WiFi installés actuellement en France sont d'une puissance maximale de 100 mW. Une étude récemment publiée par l'ARCEP montre que l'exposition induite par ces systèmes est environ 10 fois inférieure à la limite définie par la loi [...]". Et plus loin : "Les études menées jusqu'à aujourd'hui n'ont permis d'identifier aucun impact des radiofréquences sur la santé en deçà [des limites légales]". Pour ceux que le WiFi inquièterait tout de même, il est précisé : "Pour minimiser l'exposition aux radiofréquences émise par ces systèmes, il suffit de les éloigner des lieux où une personne se tient pendant de longue période. Quelques dizaines de centimètres suffisent à diminuer nettement le niveau d'exposition." (http://www.sante-radiofrequences.org/index.php?id=148)
  • L'AFSSET (Agence française de sécurité sanitaire de l'environnement et du travail) synthétise les connaissances scientifiques actuelles sur son site Web. On y lit notamment : "Malgré un très grand nombre d'études réalisées aussi bien sur des cultures cellulaires in vitro que sur des animaux in vivo depuis plusieurs années, les chercheurs n'ont pu prouver l'existence de manière sûre et reproductible d'effets qui ne seraient pas dus à un échauffement créé par l'absorption des microondes, et qui posséderaient un réel impact sanitaire. Il convient donc de poursuivre les recherches afin de mieux comprendre les mécanismes d'interaction entre les rayonnements hyperfréquences et les tissus biologiques." (http://www.afsse.fr/index.php?pageid=1236&ongletlstid=1617)
    Or, le WiFi émet des ondes d'une puissance si faible qu'il est impossible de chauffer significativement les tissus du corps humain (la chaleur se dissipe plus vite qu'elle n'est apportée), et ce malgré le fait que les ondes du WiFi sont émises à la fréquence de 2,4 GHz : cette fréquence rentre en raisonnance avec les molécules d'eau et les ondes chauffent donc plus vite qu'à d'autres fréquences. Pour vous convaincre qu'il n'y a aucun risque du côté du réchauffement provoqué par le WiFi, réglez votre four à micro-ondes à la plus basse puissance possible et essayez de chauffer un verre d'eau : en-dessous de 100 Watts, cela devient assez difficile, et pourtant le four est bien conçu pour chauffer au mieux : or le WiFi ne rayonne qu'à 0,1 Watt !
  • L'école Supélec a publié en décembre 2006 une étude sur les champs électromagnétiques produits par des équipements WiFi, en mesurant notamment l'effet de l'accumulation de nombreux équipements WiFi à proximité les uns des autres : leur conclusion est que les limites légales sont très loin d'être atteintes. (http://www.arcep.fr/uploads/tx_gspublication/synth-etudesupelec-wifi-dec06.pdf)
  • L'Agence de protection de la santé au Royaume-Uni rappelle qu'une personne assise à proximité d'un hotspot WiFi pendant un an reçoit la même dose d'ondes qu'une personne qui utilise son téléphone portable pendant 20 minutes. (http://www.hpa.org.uk/web/HPAweb&HPAwebStandard/HPAweb_C/1195733779274)

Bref, les autorités de santé publique parmi les plus importantes concluent que le WiFi n'est pas dangereux. On voit même de plus en plus d'hôpitaux installer leur propre réseau WiFi, car non seulement le WiFi ne pose pas de risque pour la santé, mais en plus sa puissance est si faible qu'il ne risque pas de perturber les équipements électroniques médicaux (contrairement aux téléphones portables qui doivent être éteints dans les hôpitaux, par exemple).

Quelques études concluent que le WiFi n'est vraisemblablement pas dangereux dans une utilisation normale, mais invitent tout de même à éviter certains abus :

  • Le Criirem (Centre de recherche et d'information indépendantes sur les rayonnements électromagnétiques), conseille d'utiliser modérément les téléphones bi-mode GSM/WiFi (par exemple le twin de Neuf, le freephone de Free, ou encore l'unik d'Orange).
  • Le rapport BioIniative (http://www.criirem.org/doc/bioinitiative_vf.pdf), étude réalisée par un groupe de scientifiques internationaux, conclut que les ondes radio ont des effets "non-calorifiques" (c'est à dire qui ne sont pas dus à la chaleur apportée par les ondes). Certains effets biologiques seraient mesurables à des puissances inférieures aux seuils légaux nationaux et internationaux, mais aucune nocivité n'aurait été démontrée pour autant. Par principe de précaution, les auteurs de ce rapport invitent à ce que les normes de sécurité radio soient révisées, pour que les seuils de puissance soient abaissés et que certains paramètres actuellement négligés (tels que l'accumulation de nombreux émetteurs dans un même lieu ou encore la modulation radio employée) soient pris en compte. Cette attitude semble assez raisonnable, et pourra, espérons-le, permettre de limiter certains abus dans les déploiements de lignes à haute tension ou de relais de téléphonie mobile GSM par exemple. Toutefois, il est fortement improbable que cela change quoi que ce soit concernant le WiFi, car la puissance du WiFi est d'ores et déjà bien plus faible que les seuils légaux, même en cas d'utilisation intensive : si le WiFi devait être interdit, il n'y aurait plus de téléphonie mobile GSM non plus, ni de téléphones (ou babyphone) sans fil DECT dont la puissance est bien plus importante que celle du WiFi (et sont pourtant très répandus depuis de nombreuses années), ni de lignes à haute tension, ni même de tubes de télévision cathodiques !
    Concernant le WiFi, le rapport conclut que le risque est faible ou nul (principalement un risque de fatigue, de trouble du sommeil), mais par principe de précaution (et peut-être pour éviter les inquiétudes des parents ?), les auteurs proposent de limiter les déploiements WiFi dans les écoles avec de jeunes enfants.

Malgré toutes ces études très positives concernant le WiFi (puisque même les plus négatives précisent qu'il n'y a aucune preuve de nocivité et que le risque du WiFi est faible), les journalistes jouent avec les inquiétudes du public face à une technologie nouvelle et invisible :

  • L'émission Panorama de la BBC diffusée le 21 mai 2007 présentait le WiFi sous un jour très noir du point de vue de la santé. Suite à cette émission, plusieurs écoles ont démonté leurs stations WiFi. Pourtant, les "résultats" présentés étaient biaisés et ont été dénoncés par la communauté scientifique.
  • Depuis que quelques employés des Bibliothèques de Paris se sont plaint de maux de tête et que les antennes WiFi ont été éteintes, les émissions mettant en garde contre le WiFi se succèdent, avec une même recette : une mise en scène dramatique, très peu de données scientifiques (voire aucune), et surtout pas un mot sur les études scientifiques concluant à l'absence de danger, alors que celles-ci émanent d'organismes tels que l'OMS. A défaut de données scientifiques sérieuses, ces reportages sont une succession de témoignages sensationnalistes.
  • Toutes ces émissions mélangent les technologies radio, alors qu'elles n'émettent absolument pas à la même puissance : un relais de téléphonie mobile GSM émet fréquemment à 50 ou 100 Watts et se trouve parfois à quelques mètres seulement des habitations, un téléphone mobile émet à 1 ou 2 Watts et est collé contre le visage pendant parfois longtemps, et un adaptateur WiFi (ou une borne WiFi) émet à 0,1 Watt, et se trouve en général à au moins quelques dizaines de centimètres du corps. Pourtant, le WiFi reste dans la ligne de mire de ces reportages, sans doute car il s'agit de la technologie la plus nouvelle, et donc la plus susceptible d'inquiéter et de faire du bruit.

De nombreuses personnes se croient "hypersensibles" aux champs électromagnétiques: elles ressentent des brûlures, des maux de tête, etc., qu'elles attribuent aux ondes radio. Ces personnes hypersensibles sont assez nombreuses (de 3 à 10% de la population selon les estimations). Les symptômes sont bien réels, et la souffrance de ces personnes peut être considérable. Pourtant, ces maux viennent-ils réellement des ondes radio ?

Un dossier a été constitué à ce sujet par l'OMS (http://www.who.int/mediacentre/factsheets/fs296/fr/index.html): il s'agit d'une synthèse de nombreuses études réalisées sur des patients hypersensibles.
Cette étude conclut clairement qu'il n'y a aucun lien entre les symptômes et les ondes radio elles-mêmes. On peut observer les symptômes dans des situations où les équipements radio ont été éteints, et inversement on n'observe pas plus de symptômes quand on allume les équipements radio. Ces études ont évidemment été réalisées avec le plus grand sérieux, en double-aveugle. L'OMS conclut donc que ces symptômes sont soit psychosomatiques (cela n'enlève rien à la souffrance des patients évidemment), soit provoqués par d'autres facteurs (mauvais éclairage, mauvaise aération, néons clignotants imperceptiblement, etc.).

Conclusion :

  • De nombreuses études scientifiques portant sur l'effet sur la santé du WiFi ont été réalisées, et aucune d'entre elles n'a démontré d'effet nocif sur la santé du WiFi. Le WiFi est donc vraisemblablement tout à fait sûr dans le cadre d'une utilisation normale.
  • Seule une étude, le rapport BioIniative, encourage à revoir les normes de sécurité nationales et internationales pour baisser les seuils de puissance légaux des technologies radio et intégrer de nouveaux paramètres actuellement négligés. Même si ces recommendations s'avéraient nécessaires et étaient mises en oeuvres, cela n'aura très vraisemblablement aucune conséquence sur le WiFi qui est d'ores et déjà bien en-dessous des seuils légaux (à moins d'arrêter la téléphonie mobile GSM, les téléphone sans fil DECT, les lignes haute-tension...).
  • Les symptômes parfois très pénibles des personnes qui pensent être hypersensibles aux ondes électromagnétiques proviennent d'autres facteurs (mauvais éclairage, mauvaise aération, etc.) comme cela a été démontré par le rapport de l'OMS.

30/07/2007: Les AP virtuels

Si l'on regarde l'évolution de l'offre WiFi depuis quelques années, on peut désormais distinguer quatre "générations" d'architectures WiFi :
  1. Les points d'accès simples, simple "ponts" WiFi vers un réseau filaire ;
  2. Les points d'accès intelligents, capable notamment d'analyser leur environnement radio et de changer automatiquement de canal d'émission si nécessaire ;
  3. Les points d'accès légers (light APs, également appelés "dumb APs", c'est à dire "AP idiots") contrôlés par un commutateur intelligent (smart switch) : celui-ci pilote les AP légers et optimise l'utilisation du spectre radio, en limitant les interférences et en distribuant équitablement les utilisateurs entre les AP (répartition de charge) ;
  4. Les points d'accès virtuels, mis en oeuvre par des AP légers contrôlés par un commutateur intelligent.
La quatrième génération d'architecture WiFi est une variante de la troisième, c'est à dire qu'il y a, là encore, un commutateur intelligent (ou "contrôleur") qui gère l'ensemble du réseau WiFi. Toutefois, les AP se font tous passer pour un seul et même AP: autrement dit, du point du vue de l'adaptateur WiFi de l'utilisateur qui se connecte au réseau, tout se passe comme s'il y avait un seul point d'accès : c'est un point d'accès virtuel. Notamment, tous les AP utilisent un seul et même canal WiFi ! Ceci peut sembler bizarre, car cela devrait provoquer des interférences et limiter la capacité du réseau ? Et pourtant, c'est tout l'inverse qui se produit :
  • Le commutateur intelligent s'arrange pour que des AP voisins n'émettent jamais de données en même temps : il n'y a donc jamais d'interférences entre les AP, donc le débit descendant (c'est à dire des AP vers les utilisateurs) est optimisé.
  • Les adaptateurs WiFi des utilisateurs n'ont plus à choisir à quel AP se connecter : c'est le commutateur intelligent qui décide de l'AP auquel chaque utilisateur doit être connecté. Ceci permet d'éviter que des utilisateurs restent connectés à des AP éloignés d'eux : ils parlent toujours aux AP les plus proches d'eux, ce qui limite les interférences sur le trafic montant (des utilisateurs vers les AP).
  • La bande passante WiFi peut être entièrement contrôlée par le réseau, ce qui permet de garantir une bande passante à chaque utilisateur plutôt que de reposer sur le hasard des collisions radio.
Malheureusement, si le prix des AP légers est plutôt bas, ce n'est pas le cas des commutateurs intelligents dont le prix se compte en milliers (voire en dizaine de milliers) d'euros ! Ce sont donc des produits qui intéresseront avant tout de grosses entreprises, de grandes universités ou des municipalités, toutes soucieuses de garantir une forte bande passante WiFi à de nombreux utilisateurs, avec des services exigeants tels que la Voix sur IP sans fil ou des vidéo-conférences.

29/03/2006: Le point sur la réglementation

La réglementation du WiFi a évolué, notamment pour le 802.11a. Il est encore difficile de trouver sur Internet un tableau synthétique de la nouvelle réglementation (le site de l'ARCEP, ex-ART, n'a pas encore été mis à jour). Le voici pour vous (cliquez ici pour le télécharger), en avant-première. Il sera également disponible dans la prochaine édition du livre (à paraître très prochainement).

21/02/2006: Bientôt une nouvelle édition !

Ouf ! L'écriture de la deuxième édition du livre est enfin terminée. Elle devrait être disponibles d'ici peu. Outre quelques corrections mineures, les changements concernent :
  • la réglementation, qui a considérablement évolué, notamment pour le 802.11a (5 GHz) ;
  • le 802.11e est ratifié : il améliore la qualité de service (QoS) ;
  • les AP légers couplés aux commutateurs intelligents (ou smart switches) gagnent du terrain ;
  • le 802.11n avance : on l'attend en 2006. Il devrait permettre d'atteindre des débits bien supérieurs à 100 Mb/s ;
  • le 802.11s fait son chemin, mais ce n'est pas encore pour tout de suite - il permettra de déployer plus facilement des réseaux WiFi maillés ;
  • les technologies concurrentes ou complémentaires ont évolué, notamment l'UMTS et le Wimax ;
  • ...
Bonne lecture !

22/09/2005: Google propose un serveur VPN en accès libre

Pour ceux que la sécurité sur les hotspots inquiète, voici une solution simple et élégante : Google propose maintenant un serveur VPN en libre accès !
Pour en profiter, il suffit de télécharger le client VPN de Google, qui est très simple à installer et à utiliser. Une fois connecté à un hotspot public, vous pouvez utiliser ce logiciel de connexion pour établir un tunnel sécurisé entre votre ordinateur et le serveur VPN de Google. Par la suite, tout votre trafic Internet passera par ce tunnel : un pirate à l'écoute des communications WiFi ne pourra donc pas (facilement) décrypter vos communications.
Quelques bémols toutefois :
  • le protocole VPN utilisé est (pour l'instant) PPTP avec MS-CHAP. Ce n'est pas la solution VPN la plus robuste qui soit, mais elle devrait suffire pour la plupart des usages ;
  • votre trafic n'est crypté qu'entre votre poste et Google (ce qui permet de sécuriser la partie radio) : entre Google et les sites sur lesquels vous naviguez, le trafic n'est pas sécurisé ;
  • avec ce système, tout votre trafic Internet passe par Google : ils peuvent à loisir regarder ce que vous faites et étudier vos habitudes. Ils s'engagent néanmoins à protéger ces informations et à ne conserver que des informations anonymes ;
  • tous les opérateurs de hotspots (WISP) ne laissent pas forcément passer le trafic VPN.
Malgré tout, il s'agit d'un outil bien pratique pour garantir un minimum de confidentialité à l'internaute nomade.

11/01/2005: Le WPA avec un portable Centrino sous Windows XP

J'ai reçu il y a quelques jours le courrier d'un lecteur, Serge Misik, qui me posait une question intéressante:
  > [...] Vous dites à la page 125 qu'avec une mise à jour adéquate de Windows XP SP2,
  > l'interface "Zéro Config" prend en charge le WPA. Mais qu'en est-il pour Windows XP SP1?
Avec Windows XP SP1, pour gérer le WPA avec l'interface "Zéro Config" il est nécessaire d'installer le correctif Microsoft KB826942 que vous pouvez télécharger ici :
http://support.microsoft.com/kb/826942
Pour plus d'infos au sujet de ce correctif, voir:
http://support.microsoft.com/Default.aspx?kbid=815485
Ce correctif est inclus dans le Service Pack 2 de Windows XP, donc je vous invite fortement à passer à SP2, si vous en avez la possibilité. Vous bénéficierez notamment d'une sécurité accrue grâce au pare-feu intégré.
Notez que ce correctif n'est pas nécessaire si vous installez un logiciel client WPA tel que "Funk Odyssey" par exemple (logiciel payant mais d'excellente qualité).
  > D'autre part, il m'a semblé lire dans un autre ouvrage que cela dépendait
  > de l'adaptateur WiFi.
  > Par exemple pour une technologie Intel Centrino, cela dépend du chipset.

Tout à fait : certains adaptateurs peuvent être "convertis" au WPA, et d'autres non. Comme je le signale au paragraphe 9.3.1, le WPA/TKIP a été conçu pour permettre à la grande majorité des "anciens" adaptateurs WiFi d'être simplement mis à jour pour pouvoir le gérer (changement de firmware). Cependant, certains anciens adaptateurs ne peuvent pas être mis à jour car leur conception ne le permet pas, ou plus prosaïquement car leur constructeur n'a pas souhaité se fatiguer à concevoir un nouveau firmware (notamment s'il propose à la vente une nouvelle version de l'adaptateur !).

Prenons un exemple. Si vous achetez un ordinateur portable Intel Centrino aujourd'hui, il gèrera correctement le WPA car son chipset et son firmware seront récents. Dans ce cas, il ne sera pas nécessaire de mettre à jour son firmware et si vous avez Windows XP SP2, vous n'aurez rien à faire : le WPA sera prêt à l'emploi avec "Zéro Config".

Autre exemple moins idéal : j'ai acheté un ordinateur portable Intel Centrino en février dernier, de la marque Samsung. Son chipset Centrino était ancien (2100B), mais tout de même capable de gérer le WPA pourvu que je mette à jour son firmware. Je suis allé sur le site Web d'Intel, où ils conseillent vivement d'aller chercher la mise à jour sur le site Web du constructeur. Malheureusement, il m'a été impossible de trouver, sur le site Web de Samsung, la mise à jour WPA pour leurs ordinateurs Centrino équipés du chipset 2100B. Même leur service à la clientèle était incapable de me renseigner. J'ai finalement trouvé un firmware "générique" sur le site Web d'Intel. Il fonctionne très bien dans mon cas.

Voici la page de téléchargement du firmware générique d'Intel Centrino:
http://support.intel.com/support/wireless/wlan/sb/CS-010623.htm

Pour savoir quel fichier télécharger, vous devez d'abord chercher quel est votre chipset Centrino. Pour cela, vous devez aller dans le menu démarrer de Windows XP, puis Connexions/Afficher toutes les connexions puis cliquer avec le bouton droit sur la connexion réseau sans fil et sélectionner Propriétés. Une fenêtre s'ouvre et le chipset apparaît en haut de cette fenêtre (dans l'onglet Général).

Avant d'installer ce firmware générique, vérifiez d'abord si votre constructeur ne propose pas un firmware Centrino spécifique.

Pour finir, sachez que "Zéro Config" de Windows XP ne gère pas toutes les méthodes d'authentification possibles et imaginables. Il gère le PEAP/MS-CHAP-v2 (voir le chapitre 8), l'EAP/TLS, mais il ne gère pas le TTLS, par exemple. Si vous souhaitez utiliser le TTLS, je vous conseille vivement le logiciel gratuit SecureW2 (pour Windows XP et 2000):
http://www.securew2.com

Une fois installé, l'interface "Zéro Config" vous proposera une nouvelle méthode d'authentification:


20/12/2004: Problèmes d'interconnexion RADIUS / LDAP

Interconnecter un serveur RADIUS avec un autre système d'authentification, tel qu'un annuaire LDAP, un serveur Active Directory ou encore un contrôleur de domaine NT, n'est pas toujours facile. Voici un exemple de configuration très fréquent qui pose problème :

  • le client utilise la méthode d'authentification PEAP/MS-CHAP-v2 qui a l'avantage d'être très sûre et d'être intégrée dans Windows XP.
  • le serveur RADIUS est configuré pour rediriger les requêtes d'authentification vers un annuaire LDAP.

Avec la méthode PEAP, un tunnel TLS est d'abord établi entre le poste du client et le serveur RADIUS (voir le chapitre 8). Jusqu'ici, aucun problème : il suffit d'installer un certificat sur le serveur RADIUS.
Dans notre exemple, la méthode d'authentification MS-CHAP-v2 est utilisée au sein du tunnel TLS. Cette méthode peut se résumer schématiquement de la façon suivante :

  • Le mot de passe de l'utilisateur est passé au travers d'une fonction de "hachage" inventée par Microsoft : la fonction NT-Hash.
  • Ce NT-Hash du mot de passe est envoyé au serveur RADIUS.
  • Si le mot de passe était stocké "en clair" dans la base de données du serveur RADIUS, celui-ci calculerait le NT-Hash de ce mot de passe et comparerait le résultat au NT-Hash envoyé par le client.
  • Alternativement, le NT-Hash du mot de passe pourrait être directement stocké dans la base de données du serveur RADIUS, ce qui offrirait deux avantages : d'une part, le mot de passe ne serait pas stocké en clair, ce qui offrirait davantage de sécurité, et d'autre part le serveur n'aurait pas besoin de calculer le NT-Hash à chaque connexion.

Toutefois, dans notre exemple, ni le mot de passe "en clair" ni le NT-Hash du mot de passe ne sont stockés sur le serveur RADIUS puisque l'on souhaite que celui-ci délègue l'authentification à un annuaire LDAP. Mais voilà le problème : la plupart des serveurs LDAP attendent un hash de type SHA1 et non de type NT-Hash !


Malheureusement, le serveur RADIUS ne peut calculer ce hash SHA1 que s'il possède le mot de passe en clair. Or, il n'a reçu du client que le NT-Hash du mot de passe et non le mot de passe en clair, et il lui est donc impossible de calculer le hash SHA1 du mot de passe.

La solution ? Il y en a essentiellement trois :

  1. Ne pas utiliser PEAP/MS-CHAP-v2 mais plutôt TTLS/PAP (par exemple), car cette méthode d'authentification permet au serveur RADIUS de recevoir le mot de passe en clair (au sein d'un tunnel TLS). De cette façon, le serveur RADIUS peut calculer le SHA1 du mot de passe et l'envoyer à l'annuaire LDAP. Malheureusement, la méthode TTLS n'est pas intégrée dans Windows XP : il est donc nécessaire d'installer un logiciel de connexion adapté (par exemple Funk Odyssey).


  2. Autre solution : certains serveurs LDAP peuvent être "patchés" pour accepter un NT-Hash au lieu du hash SHA1. C'est le cas notamment du logiciel Open-Source OpenLDAP.

  3. Dernière solution, le serveur RADIUS peut parfois être configuré pour demander le mot de passe "en clair" au serveur LDAP, et calculer ainsi lui-même le NT-Hash. Il est alors recommandé de protéger la connexion entre le serveur RADIUS et le serveur LDAP (VPN, tunnel TLS, VLAN...) car le mot de passe y transite en clair.

Pour résumer, il faut toujours s'assurer que la méthode d'authentification utilisée par le client soit bien compatible avec le serveur d'authentification. Au besoin, il faut changer la méthode d'authentification ou "patcher" les serveurs.

18/11/2004: un logiciel pour cracker le WPA ?

Un
article du journal "20 minutes" a attiré l'attention d'Alexis Pastré ce matin, et il a eu la gentillesse de m'en faire part. Cet article décrit le nouveau logiciel WPA Cracker. Celui-ci met en oeuvre une attaque de type "dictionnaire hors-ligne" (voir chapitre 6) contre la passphrase (long mot de passe) utilisée dans le cryptage WPA Personal (voir chapitre 9). Cette vulnérabilité est brièvement décrite dans le livre, mais elle devient plus dangereuse maintenant qu'il existe un outil simple permettant de l'exploiter. Il est donc recommandé:
  • soit d'utiliser le WPA Personal avec une passphrase très complexe (dans le chapitre 9, il est précisé qu'une passphrase de 12 caractères aléatoires devrait être suffisante.
  • soit d'utiliser le WPA Enterprise avec une méthode d'authentification EAP invulnérable aux attaques de dictionnaire hors-ligne (par exemple PEAP/MS-CHAP-v2). Le WPA Enterprise étant malheureusement assez complexe à mettre en oeuvre avec un serveur RADIUS "complet", on peut préférer utiliser des points d'accès jouant eux-mêmes le rôle de serveur d'authentification. C'est ce que proposent les auteurs du logiciel tinyPEAP: celui-ci peut être intégré aux AP Linksys WRT54G/GS. Il équivaut à un petit serveur RADIUS gérant uniquement le PEAP/MS-CHAP-v2 (pour l'instant).

Quelques informations au sujet de l'auteur

Aurélien Géron est cofondateur et directeur technique de la société Wifirst, premier fournisseur d'accès à Internet sans fil en France. Il est coauteur de deux ouvrages parus chez Dunod sur les architectures Internet et la programmation C++ avancée.

Si vous avez remarqué une erreur ou une imprécision dans le livre, signalez-le ! Nous afficherons les commentaires les plus pertinents sur ce site Web... afin que les autres lecteurs en profitent.
Pour contacter Aurélien Géron : ageron@livrewifi.com.

Merci de votre visite et à bientôt !
 
Dernière mise à jour de cette page: le 15 avril 2008.