[ID-PHy] » WLAN » Lettre

Réseaux sans fil dans un contexte professionnel
Réflexions épistolaires

Je m'étais penché sur les réseaux sans fil pour mon usage personnel, notamment dans le cadre du télétravail. En discutant avec une amie au resto, elle m'exposa son projet pour un petit bureau, et ainsi commença ma réflexion pour l'utilisation dans un contexte professionnel (SOHO).

Voici le courrier que je lui ai adressé par la suite, peut-être se reconnaîtra-t-elle ...



Quelques considérations à propos des réseaux sans fil
dans le cadre d'un usage professionnel
(SOHO : Small Office, Home Office)

Le contexte des "Broadband Wireless routers", tel que décrit dans mon document (WLAN-Config.doc), est légèrement différent d'une connexion sans fil au sein d'un bureau (ou "Wireless Access Point" : WAP).

Les "routeurs WiFi" ont pour principal objectif de partager une connexion Internet (Broadband : ASDL ou câble) entre plusieurs utilisateurs, tant pour des applications privées (surf sur Internet, jeux "on-line", ...) que pour une utilisation professionnelle (une connexion sécurisée, avec un tunnel encrypté (IPSec), vers le réseau d'entreprise) : c'est dans ce cadre que j'ai écrit mon document. Les performances de mon boîtier sont aussi en concordance : mon accès ASDL étant plafonné à 4 Mbps, du "sans fil" à 11 (voire 22) Mbps théoriques, 4.5 Mbps en pratique sont amplement suffisants. Et lorsque je veux un bon débit de PC à PC, rien ne vaut le câble Ethernet.

Pour une utilisation WiFi intra-muros professionnelle, la problématique est tout autre.

D'abord se pose le problème de sécurité : le "sans fil" ou WiFi, même avec l'encryption WEP (Wired Equivalent Privacy) n'est pas considéré comme "sûr". On trouve sur Internet des programmes / méthodes pour "percer" le WEP. En d'autres termes, voir le trafic sur le LAN est presque un jeu d'enfant. Par " voir le trafic ", j'entends copier tout le trafic qui passe sur le LAN, y compris les mots de passe s'ils sont en clair (no crytpés), les données (fichiers) qui transitent entre le serveur et les PCs, les fichiers imprimés, … Le loup dans la bergerie !

D'un point de vue débit ensuite, le WiFi 802.11b travaille à 11 Mbps, le 802.11g à 54 Mbps, ou encore le 802.11a à 54Mbps, ce dernier sur d'autres fréquences avec une portée moindre. Ce sont des limites maximales théoriques, la pratique est tout autre. Cette bande passante est commune à tous les PCs connectés. Donc, si le serveur et le client sont tous les deux en WiFi, la bande passante disponible n'est déjà plus que de la moitié ! De plus, le signal WiFi se dégrade très vite avec la distance (et le 802.11a plus rapidement que le 802.11g ... plus que le 802.11b), et surtout avec le nombre de murs/sols traversés, mais également par d'autres appareils travaillant dans les mêmes gammes de fréquence (micro-ondes, téléphones sans fil, …). Les réseaux câblés sont aujourd'hui à 100 Mbps (valeur maximale théorique, ici aussi partagée entre les divers PCs, mais dont on peut se rapprocher avec seulement 2 PCs sur le LAN, le maximum pratique étant sous les 80%, et 60% pour un LAN chargé). J'ai fait quelques tests en ce sens (en 802.11b), les résultats sont à la fin de mon document.

Ceci dit, le WiFi est très séduisant, très confortable, et permet une liberté de travail : on peut se déplacer avec un "portable" (Laptop) et rester connecté.

Si vous voulez réellement travailler sans fil, le plus sécuritaire est de couper le LAN en deux : un segment câblé, "sûr" ou "privé", et un autre WiFi "public". Les serveurs et imprimantes, et autant que possible les PCs, doivent être connectés par câble Ethernet sur le segment "privé". Sur ce segment, le trafic est libre entre les divers postes (entre PC et serveur ou de PC à PC). Sur le segment sans-fil, "public", il faut prendre des mesures de sécurité : tunnel encrypté (IPSec) et un Firewall (FW, " pare-feu " comme disent les Français) entre le segment "privé" et "public". Le FW joue typiquement le rôle de "tunnel serveur" pour tous les PCs sur le segment "public". Les PCs sur le segment "public" devraient en outre disposer d'un "Personal FW" (Logiciel pour protéger le PC d'attaques externes : WiFi ou Internet). Sur ce segment, on peut ajouter une connexion Internet (ADSL ou Câble) sans risque additionnel : en fait, d'un point de vue sécurité, le sans-fil et l'Internet sont sur le même pied.

D'un point de vue pratique, il est possible de construire une telle configuration sans investir des fortunes, mais il faut au minimum deux boîtes : l'une pour la séparation des segments privé et public, qui fera office de FW et tunnel serveur, et l'autre, sur le segment public, station de base pour l'accès sans fil (WAP). Cette dernière peut aussi gérer l'accès à Internet : on dispose alors pratiquement d'un second FW avec d'autres fonctionnalités telle que la traduction d'adresses (indispensable pour "cacher" tous les PCs (chacun ayant son adresse IP propre) derrière une seule adresse IP lorsqu'on "sort" sur Internet : c'est ce qu'on appelle le NAT ("Network Address Translation", ou plus correctement le "many to one NAT" ou encore PAT, "Port Address Translation")). Cerise sur le gâteau, avec tout cela, vous pourriez, avec le même niveau de sécurité, vous connecter sur votre serveur depuis n'importe où sur Internet. Tout ceci étant configurable.

Pour que tout ceci soit plus compréhensible (?), voici un petit schéma :

Ce que j'explique ici correspond aux normes de sécurité des entreprises (ayant un minimum de règles en la matière). C'est peut-être un peu paranoïaque, mais quelqu'un muni d'un portable pourrait accéder à votre LAN depuis le voisinage, depuis une voiture dans la rue … (D'accord, je rentre dans les scénarii d'espionnage !).

J'ai très rapidement consulté un site de vente en ligne (www.shoplive.be) pour avoir une idée des coûts. Voici quelques exemples de boîtiers qui pourraient (au conditionnel) faire l'affaire :

Bref, de l'ordre de 200 € plus 60 € par PC connecté en WiFi pour le matériel uniquement. Ce type de solution " grand public " n'est évidemment pas à comparer avec les solutions " professionnelles " mises en place par les grandes entreprises, qui consacrent des millions pour leur sécurité. Mais il faut raison garder …

Bien sur, tout ceci est au conditionnel, et il faut un " minimum " de connaissances réseaux pour configurer cela (notamment pour le FW+VPN router : j'ai pris une boîte standard, disponible à coût réduit et initialement prévue pour contrôler un accès Internet sans l'option WiFi ). La configuration sécurisée, par un professionnel, risque de coûter nettement plus que le matériel en lui-même.

Et la première chose à faire est de bien définir les besoins et de mesurer les risques.

Voilà, je m'arrête ici. Je pourrais encore disserter pendant des heures, mais je crains de ne t'avoir plus embrouillé l'esprit que clarifié les choses, d'autant plus que j'ai tendance à " parler chinois " ! Et une simple installation avec un minimum de sécurité (WEP) pour 100€, configurable par tout un chacun peut tout aussi bien répondre à vos besoins …

Si tu as des questions, et si tu ne crains les réponses, n'hésite pas.


 
Pierre.

PS : A titre d'exemple, voici un extrait d'un message que je viens de recevoir en interne sur le sujet (en parlant du loup, …) :

The concern with wireless networking is that the range could extend far beyond the walls and parking lots of Company premises or virtual office locations. There is no way to limit the propagation. Therefore, anyone wishing to attack Company networks and/or steal information, can easily do so by "war driving". War driving is the act of locating and possibly exploiting connections to Wireless Local Area Networks (WLANs). War driving requires the use of a computer device, an antenna, and software tools that can detect and exploit wireless access points.

WLANs may be considered similar to Broadband connections, that is, when active they expose networks to continuous probing. Once discovered, unprotected networks make for easy targets. PCs residing on WLANs may be compromised and can expose proprietary data and be used as back doors to more secure network locations. Without appropriate safeguards, distributed denial-of-service attacks, worms and viruses can traverse these wireless access connections right into the Company
 
 



 

Au plaisir ...


Pierre HARDY.
e-mail : pierrehardy01@yahoo.be

Copyright © Pierre Hardy, 2004. All rights reserved.

(3 - 24/04/2008)      ¤     
Free Web Hosting