C’est bien connu : les réseaux locaux sans fil IEEE 802.11b souffrent de sérieuses lacunes sur le plan sécurité, que l’on utilise ou non le protocole optionnel WEP (Wired equivalent privacy). Ce dernier s’appuie sur des mécanismes de chiffrement des données et d’authentification des stations. Vulnérable, il ne peut qu’empêcher les écoutes simples du réseau. Adam Stubblefield, un étudiant, associé à John Loannidis et Aviel Rubin, deux cerveaux des laboratoires d’AT&T, ont démontré que WEP souffrait de graves faiblesses d’architecture, même avec son successeur WEP2, qui utilise jusqu’à quatre clés et un chiffrement sur 128 bits. “WEP2, qui devait entrer dans le cadre de l’IEEE 802.11i, est ainsi remis en cause”, indique Colubris Networks, un équipementier de réseaux sans fil. Côté authentification, on s’oriente vers EAP (Point to Point extensible authentication protocol, RFC 2284), un protocole général d’authentification PPP qui supporte de multiples mécanismes d’authentification. EAP implique un changement du pilote de la carte WLan (Windows XP le gérera nativement).Côté chiffrement, on s’orienterait vers le protocole AES (Advanced encryption standard), beaucoup plus solide. Toutefois, “il est difficilement envisageable de le voir traiter par voie logicielle, explique Pierre Trudeau, président de Colubris. Cela aurait donc pour conséquence de devoir changer la carte réseau et les points d’accès.”
Le VPN, recommandé par le GartnerGroup
Les résultats des travaux du groupe qui mène la réflexion, l’IEEE 802.11i, seront connus au deuxième trimestre 2002. En attendant, moult offres du marché s’appuie sur du VPN (Virtual private network), suivant en cela les recommandations du GartnerGroup. “Toutefois, toutes les implémentations VPN ne sont pas égales, précise Pierre Trudeau. La plupart des implémentations n’établissent le tunnel que du point d’accès vers la passerelle VPN du réseau de l’entreprise, donnant une fausse impression de sécurité. Nous offrons un tunnel de bout à bout à partir du poste client. Ainsi, c’est la chaîne complète qui est sécurisée, via un tunnel VPN. Nous préservons également les investissements existants.” C’est pourquoi les points d’accès de la gamme CN 10xx, de Colubris, supportent le protocole de niveau 2 L2TP (la fusion de PPTP et de L2F), et le protocole de niveau 3 IPSec, en sus de PPTP.À terme, chaque point d’accès de la gamme CN10xx inclura les fonctionnalités de pont routeur IP, de passerelle-client VPN, et de coupe-feu de type Stateful inspection, plus celles de serveur et de relais DHCP intégré. Si IPSec et L2TP doivent être disponibles dès octobre, le pare-feu de type Stateful inspection et la mise en ?”uvre de Mobile IP sont prévus pour décembre 2001. Mobile IP permettra l’itinérance via des sous-réseaux IP. Le poste client établira un tunnel qui transitera par le point d’accès pour atteindre la passerelle VPN du réseau Intranet. Le point d’accès pourra aussi servir de client IPSec pour un accès Internet. “L’utilisation de VPN améliore de 30 à 40 % la performance du trafic comparé à l’utilisation de WEP”, assure-t-on chez Colubris.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
