Sécuriser son réseau : Introduction au sécurité des réseaux informatiques - VLANs - WPA2 - Serveur RADIUS

0

Sécuriser son réseau

Introduction

Lorsque l'on doit assurer le bon fonctionnement d'un réseau qui dépasse les dimensions du réseau familial, il devient nécessaire de s'assurer aussi que le danger ne vienne pas de l'intérieur. Avec la prolifération des ordinateurs personnels portables,   le risque de voir une machine  inconnue venir polluer le réseau de l'intérieur doit être pris au sérieux.
Pour peu qu'un accès wi-fi soit également disponible, il convient en plus de s'assurer que seules les personnes autorisées puissent s'y attacher.
Ce très gros chapitre a pour but d'apporter quelques ébauches de solutions à tous ces problèmes.
Nous ferons appel aux VLANs pour le réseau câblé, à la norme WPA2 pour le Wi-Fi, en mettant en oeuvre une authentification RADIUS.

Dans le but de rendre plus digeste toutes ces technologies, ce chapitre est lui-même divisé en trois sous chapitres qui traitent successivement de :




Sécurité du réseau filaire

Les stations fixes dont nous disposons sur ce réseau sont réputées "sûres". En effet l'administrateur en a la maîtrise, peut en contrôler l'intégrité, peut limiter les droits des utilisateurs sur ces postes de travail.

En revanche, un ordinateur portable échappe à tout contrôle. Son propriétaire en fait ce qu'il veut, la machine peut être gravement compromise et infecter par l'intérieur de notre réseau local. Dans ces conditions, il faudra que ces machines incontrôlables soient isolées du réseau local :
  • soit  en  leur   interdisant  purement  et   simplement   l'accès  au  réseau,  nous  verrons  que  les "switchs" modernes savent réaliser cette opération,
  • soit en les connectant sur un réseau différent, un réseau "d'invités", qui ne leur donnera pas accès aux  ressources  locales,  mais à quelques  ressources sans grands  risques,  comme un accès internet plus ou moins limité, un accès à un serveur FTP, bref, à vous de voir ce que vous voulez protéger et ce que vous voulez autoriser.

Dans  le cadre de cette étude,  nous utiliserons  l'adresse MAC de  la station,  pour vérifier si  cette station est connue et autorisée à se connecter au réseau local, ou si elle n'est pas connue, la diriger sur un réseau d'invités. Certes, utiliser l'adresse MAC n'est pas une garantie absolue, mais c'est une solution simple à mettre en oeuvre, si nos switchs savent offrir cette possibilité.

Les VLANs (Virtual Local Area Network) permettent "simplement" d'assigner dynamiquement un port (entendez par là un connecteur du switch) à un LAN ou à un autre, d'où la notion de VLAN.
Nous verrons tout ceci en détail plus loin.
Pour mener à bien cette tâche, un serveur d'authentification de type RADIUS nous sera nécessaire.

Sécurité du réseau sans fils

Ici, le problème est différent. Il faut s'assurer que seuls les invités peuvent se connecter, et non pas les intrus. De plus, il faut éviter que les invités se connectent à une borne pirate à leur insu. Pour réaliser ceci, nous ferons appel à EAP et WPA-TLS, un système d'authentification qui fait lui aussi
intervenir un serveur RADIUS

Politique de sécurité

Nous   allons   certainement   nous   faire   quelques   ennemis   de   plus   chez   les   utilisateurs   (un administrateur a rarement des amis chez les utilisateurs), mais la politique retenue est la suivante :

Nous créons un LAN "invités",  sur lequel il n'y a pas de ressources sensibles,  isolé du LAN des "permanents" (nous raisonnons ici en termes de machines et pas d'utilisateurs).
Les stations "connues", celles dont l'administrateur a la maîtrise, auront le droit de se connecter (par liaison filaire) sur le LAN des "permanents".

Les stations "inconnues" (typiquement les portables), pourront :
                                    
  • se connecter sans autorisation particulière au réseau filaire, mais seront intégrées au LAN "invités" (les VLANS viendront à notre secours pour cette opération),
  • se connecter au réseau sans fils, avec l'accord de l'administrateur. La station se retrouvera alors sur le LAN "invités".
Il est possible de faire plus fin, mais pour comprendre le principe, cette démarche sera suffisante.
            
--------------------------------------------------------------------------------------------
Suivant >> Les VLANs
                   

Article plus récent Article plus ancien

Leave a Reply

W3 Directory - the World Wide Web Directory Paperblog : Les meilleurs actualités issues des blogs over-blog.com Annuaire Sites.ma
PageRank Checking Icon 		Tutoriaux en vidéos Computers Blogs