Rip Curl module la sécurité de son réseau Wi-Fi
par mail
l'article
La marque australienne, bien connue des amateurs de sports de glisse, a vu sa filiale européenne située à Hossegor opérer une réorganisation de son infrastructure réseau pour un agencement fil et sans fil au sein de ses deux bâtiments. Son projet visait d'abord à équiper en Wi-Fi le système de “ douchettes ” (terminaux mobiles utilisés pour scanner les codes-barres des produits) afin de faciliter les conditions de travail de l'équipe logistique dans l'entrepôt. Il devait permettre ensuite au personnel Rip Curl de se déplacer dans les bâtiments avec leur ordinateur sans perdre la connexion au réseau (salles de réunions, groupes de travail, etc.). Enfin, d'ouvrir une plate-forme de type hotspot destinée à tous ceux qui visitent chaque jour ses installations.
L'enjeu : une politique de sécurité à redéfinir
“ Nos objectifs, en termes d'installation technique et de répartition des rôles du réseau, exigeaient une refonte de notre politique sécuritaire ”, déclare Jean-Pierre Berdenave, responsable architecture et systèmes chez Rip Curl. L'entreprise a opté pour le boîtier d'administration des réseaux sans fil Advance 5. Celui-ci comprend deux briques : un annuaire de type LDAP pour la base visiteurs ainsi qu'un serveur Radius pour la gestion des politiques de sécurité. Rip Curl a pu, de ce fait, diviser son accès en trois parties. La partie visiteurs, qui autorise une connexion sans fil à internet pendant une durée déterminée. L'espace VIP qui, en plus de l'ouverture sur la Toile, dédie un accès à un serveur d'impressions et de fichiers. Enfin, le réseau interne, appelé “ corporate ” est, lui, réservé à l'ensemble du personnel de l'entreprise.
La mise en œuvre : un système d'authentification forte
L'ouvrage confié à GN Service débute en novembre 2006 par une phase de tests de couverture réseau dans l'entrepôt. “ La disposition finale n'a été établie qu'en janvier. En effet, il a fallu attendre que le stock soit plein afin de pouvoir tenir compte des perturbations de signal causées par es cartons remplis de vêtements ”, témoigne Jean-Pierre Bordenave. En février, le prestataire procède au déploiement de quarante bornes Wi-Fi et d'une dizaine de commutateurs dans les deux bâtiments, eux-mêmes reliés par fibre optique. Basée sur un serveur radius, Ucopia a donc permis d'attribuer à chaque groupe plusieurs niveaux de sécurité. Dans l'entrepôt l'authentification des douchettes au réseau s'effectue via une clé WEP 128 bits, car ces dernières ne supportent pas le WAP et le WAP2. Il en sera de même pour les profils VIP (le profil visiteur simple étant lui soumis à un simple login-mot de passe). “ Nous sommes partis du principe que la plupart des ordinateurs portables ne sont pas compatibles avec la technologie WAP, à la différence du WEP qui est plus standard ”, constate le prestataire Dominique Jozefowicz, directeur Sud-ouest de GN Service. Le réseau interne repose, lui, sur une authentification forte 802.1x, ce qui permet de l'isoler de l'entrepôt et du hotspot.
L'utilisation : simplifier l'administration
C'est à l'accueil que les visiteurs se voient attribuer leur compte de connexion. Depuis une interface d'administration web, l'hôtesse enregistre le nouvel arrivant dans la base Ucopia. Fonctionnant sous la forme de coupons, le système remet à l'utilisateur un identifiant et un mot de passe lui donnant la possibilité de se connecter selon une durée déterminée – elle peut aller d'une heure à plusieurs mois. Ce dernier n'aura plus qu'à choisir le SSID (System Set Identifier) correspondant à l'accès mis à sa disposition. Le navigateur s'ouvrira alors sur le portail Ucopia avec une fenêtre d'authentification. Le réseau interne Rip Curl est axé, lui, autour de l'Active Directory relié au serveur Radius par le protocole 802.1x. Lorsque l'employé s'identifie depuis l'interface Windows de son portable, l'Active Directory, si ce dernier reconnaît l'utilisateur, interroge de manière transparente Ucopia qui aura donc le dernier mot.
Les écueils : un temps de latence dû à Microsoft
Une colle a bien failli décourager l'équipe informatique. Certains postes du personnel rencontraient arbitrairement des difficultés lors de l'ouverture de session sur le réseau sans fil. Le seul indice remonté était un problème de délai dépassé. “ Durant trois semaines nous avons tout essayé. On a cherché le problème sur les bornes en question, puis les commutateurs, puis l'Active Directory, et enfin le serveur Radius. Sans rien trouver. Le côté aléatoire n'arrangeait pas nos affaires. C'était désespérant ”, confie Dominique Jozefowicz. Finalement, l'équipe Ucopia a détaché un spécialiste Radius. La solution ? Dans un premier temps, il a fallu modifier le délai de l'Active Directory en le passant de 6 à 10 microsecondes. Ensuite, changer le client d'accès Wi-Fi de Microsoft, utilisé en standard, par celui de Cisco. En effet, le client natif de Windows est exécuté en parallèle de l'ouverture de session utilisateur. Ce qui peut, en cas de latence passagère du réseau, bloquer l'exécution du script Netlogon. Ce dernier tentant de se connecter à l'Active Directory alors que l'authentification 802.1x n'a pas encore ouvert l'accès au réseau. Celui de Cisco, en revanche, propose une authentification avant l'ouverture de session. L'accès au réseau est alors ouvert au moment de l'exécution du script d'identification. “ Il a donc fallu déployer sur chaque poste problématique le client Cisco. Un surcoût de trente euros par machine ”, conclut Dominique Jozefowicz.
L'entreprise étudiée
Activité : industrie textile.
Siège : Hossegor (40).
Effectif : 200 personnes.
CA 2007 : 112 M d'euros.
Installer un système de douchettes Wi-Fi, ouvrir un accès de type hotspot pour les visiteurs et insérer un mode de connexion sans fil sécurisé pour le personnel interne.
Ucopia – Plate-forme Advance 5.
Boîtier de sécurité et de mobilité sur réseau sans fil et filaire.
Perturbation des ondes dans l'entrepôt selon l'emplacement des cartons.
Problème supplicant causant des interruptions d'ouverture de session en mode sans fil.
Coût global de 50 000 euros dont 20 000 euros pour la plate-forme d'administration d'Ucopia et 30 000 d'équipement (bornes, commutateurs, câblage, etc.).
Le calendrier du projet
Août 2006 : Rip Curl consulte GN Service pour prendre en charge l'opération.
Sept. 2006 : première proposition.
Oct. 2006 : finalisation du cahier des charges.
Nov. 2006 : première phase de test dans une partie de l'entrepôt.
Fév. 2007 : fin du déploiement de la partie infrastructure.
Mars 2007 : finalisation de l'installation d'Ucopia.
Jean-Pierre Bordenave : “ le sans-fil était vraiment destiné à trois usages bien distincts ”
“ Chaque jour près d'une cinquantaine de personnes viennent dans nos locaux et sont susceptibles de nous réclamer un accès internet. Que ce soit, des commerciaux souhaitant accéder au site de leur entreprise, des clients en recherche d'informations, ou du personnel Rip Curl en déplacement chez nous, l'ouverture sur la Toile était un plus devenu indispensable. Surtout avec l'arrivée du séminaire prévu pour le mois de février où nous attendions quelque 250 personnes. Avec, par-dessus, l'équipement sans fil du service logistique et la volonté du personnel interne de se connecter en Wi-Fi à l'intérieur des locaux. Nous avons passé près de deux mois en tout pour étudier tous les paramètres et concevoir un cahier des charges précis afin que nous centralisions l'administration d'un réseau Wi-Fi et filaire multiplates-formes. ”
Une authentification forte sur le réseau interne
A chaque catégorie d'utilisateurs correspond un mode d'accès et d'authentification différent. Les postes internes utilisent un client d'accès Wi-Fi de Cisco, qui capture et transmet les adresses de la carte réseau. L'authentification équivaut ici à celle d'un réseau filaire.
