Sécuriser son réseau
Introduction
Lorsque l'on doit assurer le bon fonctionnement d'un réseau qui dépasse les dimensions du réseau familial, il devient nécessaire de s'assurer aussi que le danger ne vienne pas de l'intérieur. Avec la prolifération des ordinateurs personnels portables, le risque de voir une machine inconnue venir polluer le réseau de l'intérieur doit être pris au sérieux.
Pour peu qu'un accès wi-fi soit également disponible, il convient en plus de s'assurer que seules les personnes autorisées puissent s'y attacher.
Ce très gros chapitre a pour but d'apporter quelques ébauches de solutions à tous ces problèmes.
Nous ferons appel aux VLANs pour le réseau câblé, à la norme WPA2 pour le Wi-Fi, en mettant en oeuvre une authentification RADIUS.
Dans le but de rendre plus digeste toutes ces technologies, ce chapitre est lui-même divisé en trois sous chapitres qui traitent successivement de :
- la technique des VLANs, avec des switchs "802.1q",
- la norme WPA2,
- la mise en place d'un serveur RADIUS.
Sécurité du réseau filaire
Les stations fixes dont nous disposons sur ce réseau sont réputées "sûres". En effet l'administrateur en a la maîtrise, peut en contrôler l'intégrité, peut limiter les droits des utilisateurs sur ces postes de travail.
En revanche, un ordinateur portable échappe à tout contrôle. Son propriétaire en fait ce qu'il veut, la machine peut être gravement compromise et infecter par l'intérieur de notre réseau local. Dans ces conditions, il faudra que ces machines incontrôlables soient isolées du réseau local :
- soit en leur interdisant purement et simplement l'accès au réseau, nous verrons que les "switchs" modernes savent réaliser cette opération,
- soit en les connectant sur un réseau différent, un réseau "d'invités", qui ne leur donnera pas accès aux ressources locales, mais à quelques ressources sans grands risques, comme un accès internet plus ou moins limité, un accès à un serveur FTP, bref, à vous de voir ce que vous voulez protéger et ce que vous voulez autoriser.
Dans le cadre de cette étude, nous utiliserons l'adresse MAC de la station, pour vérifier si cette station est connue et autorisée à se connecter au réseau local, ou si elle n'est pas connue, la diriger sur un réseau d'invités. Certes, utiliser l'adresse MAC n'est pas une garantie absolue, mais c'est une solution simple à mettre en oeuvre, si nos switchs savent offrir cette possibilité.
Les VLANs (Virtual Local Area Network) permettent "simplement" d'assigner dynamiquement un port (entendez par là un connecteur du switch) à un LAN ou à un autre, d'où la notion de VLAN.
Nous verrons tout ceci en détail plus loin.
Pour mener à bien cette tâche, un serveur d'authentification de type RADIUS nous sera nécessaire.
Sécurité du réseau sans fils
Ici, le problème est différent. Il faut s'assurer que seuls les invités peuvent se connecter, et non pas les intrus. De plus, il faut éviter que les invités se connectent à une borne pirate à leur insu. Pour réaliser ceci, nous ferons appel à EAP et WPA-TLS, un système d'authentification qui fait lui aussi
intervenir un serveur RADIUS
Politique de sécurité
Nous allons certainement nous faire quelques ennemis de plus chez les utilisateurs (un administrateur a rarement des amis chez les utilisateurs), mais la politique retenue est la suivante :
Nous créons un LAN "invités", sur lequel il n'y a pas de ressources sensibles, isolé du LAN des "permanents" (nous raisonnons ici en termes de machines et pas d'utilisateurs).
Les stations "connues", celles dont l'administrateur a la maîtrise, auront le droit de se connecter (par liaison filaire) sur le LAN des "permanents".
Les stations "inconnues" (typiquement les portables), pourront :
- se connecter sans autorisation particulière au réseau filaire, mais seront intégrées au LAN "invités" (les VLANS viendront à notre secours pour cette opération),
- se connecter au réseau sans fils, avec l'accord de l'administrateur. La station se retrouvera alors sur le LAN "invités".
--------------------------------------------------------------------------------------------
Suivant >> Les VLANs
Aucun commentaire:
Enregistrer un commentaire