Société  |  Produits  |  Services  |  News  |  Partenaires  |  Support

Client VPN IPSec et WIFI

 
Client VPN IPSec
 
Fiche produit VPN SSL vs IPSec VPN et Clé USB USB Stick vs Token Tokens compatibles VPN IPSec & WiFi
 
FAQs Client VPN
 
Support
 
Sécuriser le plus petit maillon

"L'etat d'esprit de forteresse n'est plus compatible avec les technologies récentes".

Nous nous dirigeons vers un modèle où tout "device" peut interagir avec n'importe quels services ou applications. Ce modèle par définition ne nous permet pas de dessiner des murs ou frontières autour de tout. "Nous entrons certainement dans l'ère des entreprises sans frontière et elles doivent repenser la politique de sécurité" Roger Simon, Président de TheGreenBow.

Si il n'est pas possible de tracer une ligne autour de l'entreprise et tout le monde extérieur n'est pas sûre, alors il est impératif de sécuriser le plus petit dénominateur commun. La machine, Laptop, PDA ou l'application. Ensuite, il faut déployer des solutions de gestion centralisée des règles de sécurité pour assurer une cohérence et la vue globale à travers l'entreprise.


Adoption massive d'une technologie peu securisée

Il n'y a aucun doute au sujet de l'adoption massive de WiFi quelque soit le secteur (Home/Soho, SMB, grandes entreprises). Mais l'adoption massive peut ralentir des évolutions vers les réseaux WiFi sécurisés.

Worldwide Hotspot Growth


WiFi fournit un certain nombre d'avantages parmi lesquels nous pouvons compter la mobilité, facilité de déploiement, faible coût, service à valeur ajoutée (e.g. HotSpot), ... C'est la technologie rêvée pour les utilisateurs mais dans le même temps, certains défauts donnent aux responsables réseaux VPN, des cauchemars. Quels sont ces problèmes et comment IPSec peut résoudre aujourd'hui ces défauts ?


WiFi et ses faiblesses

Il n'est pas surprenant, en observant l'histoire des spécifications des protocoles 802.11 qu'elles soient l'architecture de référence pour tous les produits de WiFi aujourd'hui. Le protocole 802.11 a été conçu en ayant à l'esprit un usage à très courte distance et comme produit de remplacement du LAN. Il existe la une couche de sécurité appelé "WEP" (Wired Equivalent Privacy ou Intimité Equivalente au Câble). Le WEP est il conçu à l'épreuve des hacker !?

Si l'on analyse les implémentations actuelles, elles ne sont malheureusement pas assez sures et un certain nombre d'outils de "hacker" sont disponibles sur Internet (i.e. dwepcrack, airsnort, bsdairtools...) permettant de "craquer" n'importe quelle configuration de sécurité WEP sans connaissance profonde en sécurité.

Il y a plus… Un grand nombre de réseaux WiFi déployés souffrent aujourd'hui de mauvaise configuration, de configuration "sur étagère" ou de configuration par défaut où les fonctionnalités WEP, WAP ou IPSec ne sont pas activées pour un effet plug&play maximum. Les raisons sont multiples et parmi elles comptons le manque de compétences spécifiques sécurité ou le manque de ressources IT (TPE, PME), les difficultés pour mettre en oeuvre des politiques de sécurité VPN dans les organisations très distribuées, les implémentations VPN ad hoc des employés à la maison, la complexité de gestion des ressources partagées (HotSpot), etc. …


Implications légales

Les employés à distance, les petites entreprises et résidentiel peuvent avoir à faire face à des considérations légales quand leurs réseaux (WiFi) peut donner l'accès à l'Internet à n'importe qui. Dans le cas où une action malveillante est tracée comme venant de votre accès de DSL, il est très difficile de démontrer vous que vous n'êtes pas impliqués.

C'est une menace sérieuse. Il existe des "war drving" qui sont des raids de rue organisés avec logiciels et équipements sophistiqués destinés à identifier des zones WiFi "ouvertes" pour lancer attaques ou virus. Une fois identifiés par les marques spécifiques (i.e. "War Chalking"), ces secteurs peuvent être réutilisés par d'autres. Et vous ne le savez pas.


What’s next …

Heureusement cependant, WEP évolue. Un rapport (i.e. Fluhrer, Mantin, et Shamir 2001) a mis en évidence des faiblesses cryptographiques. WPA (Wireless Protected Access ou accès protégé sans fil) et RSN plus récemment ont semblé être le remplacement de WEP. Voir le tableau de l'évolution 802.11 ci-dessous.

La prochaine génération de produit (802.11ix) sera presque incassable considérant les outils d'aujourd'hui. Mais deux soucis principaux demeurent.

Des millions de points d'accès WiFi (résidentiel ou HotSpot), de gateways et de routeurs ont été maintenant déployés et cela prendra un autre cycle avant qu'ils soient remplacés. Les prix de matériel ne chuteront plus mais plus de fonctionnalités seront ajoutés (Firewall, stockage, téléphonie, …) et les projets de migration incluent beaucoup de coûts cachés pour les organisations IT. IPSec peut sécuriser des aujourd'hui, et à faible coût, les réseaux WiFi d'entreprise, ou les réseaux HotSpot professionnels (i.e. aéroport, …).


Check list de premier niveau

(voir les guides de configuration sur Support TheGreenBow)
  • Désactiver la diffusion du SSID.
  • Changez le SSID par défaut. Des identifications de réseau WIFI par défaut sont connues par tous les intrus.
  • Choisissez un nom générique de réseau SSID sans indication de l'appartenance ou de propriétaire.
  • En dépit des faiblesses, activez WEP.
  • Changez la cle de chiffrement WEP par défaut
  • Activez le filtre d'adresse MAC dans tous les points d'accès WiFi de votre réseau.

Enterprise !! Check list contre les Hackers

1. Installez un Client VPN IPsec sur les ordinateurs portables et les PC WiFi, et activer IPSec sur tous les points d'accès (voir les guides de configuration des gateways).
2. Placez tous les points d'accès dans la zone démilitarisée (DMZ), et séparez le LAN de l'entreprise avec un Firewall "appliance".
3. Installez un système de détection d'intrusion dans la DMZ.
4. Installez un Firewall personnel sur les ordinateurs portables et les PC WiFi.

HotSpot !!! Check list contre les Hackers

1. Rendre disponible Client VPN IPsec (75sec telechargement) sur votre Home Page pour le téléchargement sur les ordinateurs portables WiFi par vos clients de passage. Des tunnels multiples peuvent être établis pour accéder à plusieurs entreprises dans le même temps.
2. Rendre également disponible votre fichier de configuration d'IPSec au cas où le logiciel serait déjà installé.
3. Activez IPSec sur tous les points d'accès (voir les guides de configuration des gateways) et activez le Firewall de votre gateway appliance.
4. Vous venez de sécuriser votre réseau Hotspot (WiFi).

Secured Hotspot Cafe


Le client VPN IPSec de TheGreenBow est également disponible intégré avec le Personal Firewall.


Evolution du standard WiFi 802.11x

Voir aussi WiFi Alliance and Organisation IEEE

Evolution du standard Wifi



Comparaison entre WEP and 802.11i

WEP vs 802.11i


Lectures et References WiFi/IPSec

Wireless LAN Security
CERTA (French Gouv.)
WiFi Network News
WiFi Alliance
SC Magazine (May 2004)

 
 
TheGreenBow, CryptoMailer are trademarks
© 2000-2017 TheGreenBow. All rights reserved.