Catégorie : Test et Mesure     18/09/2013

Maintien de la sécurité des réseaux sans fil d’entreprise

Par Stéphane Persyn, Fluke Networks

La première étape pour la sécurisation de l’approche BYOD est la prévention. Vous devez vous assurer que vous êtes protégé contre les attaques extérieures et les menaces internes, contre les vulnérabilités de configuration des périphériques et la perturbation des signaux RF extérieurs au bâtiment. Fluke Networks a développé une gamme de produits pour aider les ingénieurs à concevoir et à déployer des réseaux locaux sans fil, afin d’obtenir une sécurité, une conformité et des performances optimales.

La tendance pour les employés qui consiste à apporter ses périphériques personnels sur le lieu de travail, que l’on appelle BYOD, augmente de façon exponentielle. Le cabinet Forrester prévoit dans un avenir proche une moyenne de 3,2 périphériques par utilisateur dans l’entreprise.

L’un des aspects essentiels de la stratégie BYOD doit être de maintenir la sécurité de tout l’environnement sans fil. Les réseaux locaux sans fil présentent quatre domaines de vulnérabilité :

• Ils leur manquent des barrières physiques, contrairement à Ethernet
• Ils utilisent des bandes ISM et UNII sans licence ; n’importe qui peut alors effectuer des transmissions
• Ils ajoutent de nouveaux périphériques, ce qui entraîne des problèmes de configuration et des bugs
• De plus, ils ajoutent de nouveaux protocoles avec de nouvelles failles qui peuvent être exploitées.

La première étape pour la sécurisation de l’approche BYOD est la prévention. Vous devez vous assurer que vous êtes protégé contre les attaques extérieures et les menaces internes, contre les vulnérabilités de configuration des périphériques et la perturbation des signaux RF extérieurs au bâtiment.

La meilleure défense consiste à effectuer régulièrement des audits de sécurité pour vous assurer que vous avez pris en compte toutes les menaces potentielles. Ces audits incluent une surveillance des réseaux en dehors du périmètre du bâtiment, des balayages du spectre RF et, si nécessaire, l’ajout de mécanismes de sécurité d’authentification plus élevés. Il est également indispensable de former les utilisateurs à la sécurité et de s’assurer qu’ils comprennent et se conforment à la politique de sécurité.

Empêcher tout accès non autorisé est une question clé. Vous ne pouvez pas empêcher les périphériques Wi-Fi de transmettre des données, mais vous pouvez limiter leur accès à votre réseau. Les ACL basées sur l’adresse MAC et les connexions Web à un portail captif sont facilement contournées par l’usurpation d’adresse MAC. Elles auront pour effet de décourager un usage accidentel et des intrus occasionnels.

Vous avez donc besoin d’un moyen de détecter et d’arrêter les attaques sur votre réseau. Certains fournisseurs de matériel proposent parfois des outils de sécurité rudimentaires, mais seul un WIPS (système de prévention des intrusions sans fil) parvient à s’acquitter automatiquement de cette tâche de façon adéquate et fiable sur plusieurs sites.

L’action d’un WIPS est double. Il surveille le spectre radio pour repérer d’éventuels appareils sans fil non autorisés (détection) et les empêche automatiquement d’accéder au WLAN (prévention). Les grandes entreprises en particulier sont sujettes aux menaces de faux points d’accès susceptibles d’exposer le réseau dans son ensemble à toute personne qui se trouve à portée du signal sans fil. Le WIPS les détecte au moyen du filtrage des adresses MAC et, pour empêcher l’usurpation MAC, d’une prise d’empreintes des périphériques utilisant des caractéristiques propres à chaque périphérique. Le WIPS détecte et signale également toute tentative d’utilisation d’outils d’attaque sans fil.

Les outils WIPS actuels comportent trois éléments distincts : des capteurs actifs intelligents qui balaient le spectre radio et capturent des paquets de données, un ou plusieurs serveurs distribués qui communiquent avec les capteurs et analysent les paquets capturés, et une station d’administration des utilisateurs et de génération de rapports centralisée.

Cette configuration permet de déployer plusieurs capteurs ou serveurs distants sur tous les sites d’un réseau et d’offrir une véritable surveillance et détection de bout en bout 24 heures sur 24, 7 jours sur 7. Les alarmes centrales générées par WIPS signalent alors à l’ingénieur réseau et au personnel de sécurité de service toutes les tentatives d’intrusion éventuelles.

Avec la popularité de l’approche BYOD et du sans fil, associée à l’augmentation des vulnérabilités et des menaces qu’elle entraîne, il est également essentiel pour la sécurité d’effectuer régulièrement des mises à jour, car de nouvelles menaces (et de nouvelles défenses contre celles-ci) sont découvertes. Les fournisseurs de périphériques sont susceptibles de proposer des mises à jour peu fréquentes englobant certains composants de sécurité, mais un WIPS dédié permet de gérer facilement et de façon centralisée les mises à jour fréquentes sur toute l’organisation sans nécessiter l’intervention locale sur site de spécialistes.

Fluke Networks a développé une gamme de produits pour aider les ingénieurs à concevoir et à déployer des réseaux locaux sans fil, afin d’obtenir une sécurité, une conformité et des performances optimales. Ainsi, il est possible de résoudre des problèmes liés à la sécurité et aux performances causés par l’approche BYOD, d’identifier et de trouver des sources d’interférences RF.

Pour plus d’informations sur la gestion de réseaux sans fil, visitez le centre de ressources du réseau sans fil Fluke :
www.flukenetworks.com/wireless-resource-center.