Bonjour à tous,
 
Dans le cadre d'un stage, je dois créer un réseau WiFi qui permettra aux commerciaux de l'entreprise et de l'extérieur d'accéder à Internet.
Bien sûr, il ne faut pas non plus que ce réseau soit accessible par tout le monde (afin d'éviter de voir des squatteurs sur le parking de l'entreprise qui surfent aux frais de l'entreprise).
J'ai déjà regardé un peu partout sur le net pour voir ce qu'il était possible de faire, mais je ne sais pas quelle solution conviendrait le mieux.
Nous voulons au moins mettre du cryptage WPA avec un passphrase donné à ceux qui sont autorisés à accéder a Internet (bien entendu, il faudra le changer régulièrement).
Bien sûr, Le filtrage par adresses MAC est à exclure.
Nous comptons mettre un serveur DHCP pour fournir les @IP.
 
à tous ceux qui vont participer à mon projet.
 

documente toi sur un serveur radius..

Regarde les sonciwall TZ170 SP avec wifi. Ils font çà très bien.

 
Je me suis déjà documenté dessus mais je me demande si c'est utile de se compliquer la vie avec ça. Y'a peut'être plus simple. A voir...
Pour le sonciwall, je regarde ça.
 
Merci les gars

Ce que je te conseille :  
1  Isoler le réseau Wifi du LAN sur une DMZ. Et ce avec un firewall que ce soit du linux, un appliance.
2  Ensuite tu monte des tunnels VPN avec ce firewall.
 
C'est la solution la plus sécurisée.  
Tu n'as même plus a te prendre la tête avec du WPA ou WEP ou quoi que ce soit. Tout paquet visible sur le réseau wifi sera crypté.

+1
Je lui est conseillé une appliance style sonicwall TZ170SP. Et le wifi en VPN

Il faut aussi penser à sécuriser tes postes clients.
Il existe des clients VPN qui intègrent un firewall (ZoneAlarm).
Il existe des boitiers qui correspondent à tes besoins.
Je te conseille le watchguard firebox edge wifi.
 
http://www.watchguard.com/products/edgex50w.asp
C'est une solution SOHO.
 
Ensuite tout dépend du budget.
Tu peut utiliser un firewall qui va directement taper dans un contrôleur de domaine (AD, LDAP).
Donc la il te faut un firewall plus costaud et une bon AP (Cisco).
 
Ensuite, il faut que tu gère les problème de roaming. Plusieurs antennes dans un même lieu.ETC ETC...
 
PS : C'est même pas drôle, ton stage il sert plus a rien.

T'inquiète pas mon gar, mon stage il sert, car j'en apprends pas mal avec toutes vos histoires, je me renseigne sur les solutions que vous me dites.

UP UP

alors t'as regardé ?
Sonicwall est à mon avis le moins cher.
mais sinon le principe est le même. La zone WLAN est isolé du LAN et l'autentification se fait en VPN.

Oui, j'ai regardé.
Mais avec mon maitre de stage, on pensait mettre en place un petit serveur DHCP qui fasse office de firewall, sur une vlan différente du réseau actuel (pour que le reste du réseau soit inaccessible). Le tout relié au routeur internet. Nous voulons aussi mettre un cryptage WPA-PSK, de désactiver le broadcast du SSID bien sûr.
Par contre, j'aimerais avoir un peu plus d'explications sur vos solutions avec un VPN. Je ne vois pas trop l'intérêt d'un VPN.
Merci à tous.

Et bien les cryptages pour le wifi sont trop facilement détournables donc le VPN est le mieux pour les clients wifis.
C'est pas en désactivant le SSID et en mettant du wpa-pask que ce sera bien sécurisé. çà c'est pour un particulier par pour du pro.
La solution vpn est à mon avis la mieus adapté par rapport à une solution avec serveur raduis.

Je voudrais savoir où se place le VPN dans le réseau ?
Entre le point d'accès et le client WiFi ?

Non c'est le firewall qui identifie le client vpn. et le point wifi peut être sur le firewall comme sur le lan.

ben si tu met ton point wifi sur le lan, les mecs du parking pourront acceder directement au LAN. Pas bonne cette solution.
 
Il faut un firewall qui fait serveur VPN.
Tu isole le Wifi du LAN par ce firewall.
ensuite tu établie du VPN entre le client wifi et le firewall.
 
Le VPN permet de s'abroger des cryptages WIFI qui sont moyennement sécurisés. De plus, avec cette solution je veux bien voir quelqu'un te pirater ou acceder à internet avec des SA qui change toutes les 5 mins.
Cependant, il faut absolument des firewalls sur les postes des commerciaux.
 
Schéma :
 
 
LAN----Firewall VPN-----AP Wifi
          |
      Internet
 
 
J'ai du mal à comprendre pourquoi un DHCP sur vlan fait office de firewall. Si tu veut que tes commerciaux en Wifi accèdent à Internet, il va bien falloir que ton Vlan DHCP communique avec un autre VLAN.

En fait, on va créer un nouveau VLan, de type 192.168.13.x
Voici un petit shéma, j'espère que vous arriverez a le comprendre car c'est pas évident a dessiner sur les forums.
 
                                Switch
Internet-----Routeur-----10
                     |             11
                     |             13-------------------APs
                     |                    |
                     |             Serveur DHCP
                     |                Firewall
                     |                    |
                      ---------------
A noter que le switch permet d'interdir au réseau 13 toute communication avec les autres (le 10 et  le 11).
Si vous avez des suggestions, modifiez mon semblant de shéma.

C'est un routeur firewall??

Non, c'est un simple routeur fournis par le FAI (C'est un MCI).

c'est moyen ton architecture.
 
il te faudrait :  
 
 
internet--routeur---firewall----lan-----firewall----ap
 
ou
internet--routeur---firewall----lan
                           |
                           |
                       AP wifi

Pour ta première solution, je ne vois pas l'intérêt des deux firewalls, un seul suffit, non ?
Ta seconde solution est ni plus ni moins identique avec ce que j'ai mis au dessus.
A deux choses près, tu n'as pas représenté mes lans 10 et 11 ainsi que le DHCP.
Merci

L'intérêt des 2 firewalls est d'avoir pour l'AP un filtrage de s connections (authentification) et de donner un accès à un nombre de ports plus limités que ceux utilisés dans le lan interne à la boite
le firewall d'internet protège le lan interne d'internet et le nombre de ports ouverts peut être différent de celui de l'AP voire de n'autoriser aucune connection externe.
SGDA

Ah ok

Pour moi l'interet de 2 firewalls peut venir si tu as des problèmes géographiques pour amener ton réseau Wifi jusqu'au firewall.
 
Sinon, un firewall type arkoon, watchguard peut très bien gerer des users venant de 2 interfaces différentes.
Un firewall digne de cenom peut gerer indifférement les flux venant de ses différentes interfaçes.
 
Je n'ai pas representé les vlans, car c'est juste des réseaux "physiquement" differents. Donc s'ils sont divisés par des FW cela n'as pas d'interet.

J'aurais aimé vous interroger une dernière fois, promis je vous laisse tranquille après.
A quoi sert le VPN dans un réseau WiFi ?
C'est juste pour crypter ?

C'est le moyen de s'autentifier et c'est bcp plus sur et fiable

OK Merci bien

J'aurais dit que c'est plus du cryptage que de l'authentification.
SGDA

c'est les 2 !!!!!

Je n'ai pas dit l'inverse
SGDA

Le processus d'authentification est aussi crypté.
Le VPN permet le AAA comme un cisco.
Authentification, Authorization et Accounting.

Une autre question à ceux qui connaissent un peu le RADIUS
Est-ce que toutes les cartes WiFi peuvent servir a s'authentifier sur un serveur RADIUS. Ou il faut des cartes spécifiques.
Merci d'avance

Vous êtes sûrs que les VPN ne posent pas de problème pour les commerciaux extérieurs ? Il faut que le VPN soit configuré sur chaque poste, non ?
Il me semble que le truc qu'il lui faut c'est plus une passerelle hotspot...

Oui, tu as raison, avec le VPN, il faudrai faire une manip sur chaque poste. Ce n'est pas envisageable pour un partage d'internet avec des nouveaux postes chaque jour.

Pour le VPN, c'est assez simple.
Il faut installer le client et fournir un fichier de préconfiguration

Sinon tu peut regarder de ce coté la.
http://www.infogiciel.info/article0091.html.
et la aussi :  
http://www.publicip.net/zonecd/how.php
 
Mais tu n'auras pas de sécu entre les postes de ton wifi.

J'en suis pas sûr, mais je ne pense pas qu'il puisse se permettre de toucher aux postes utilisateurs, même pour une toute petite modif.
 
 
internet -- routeur/firewall -- lan
                   |
                   |-- passerelle hotspot -- APs
 
Nomadix pour la passerelle hotspot.

Nomadix c'est payant.
Il y a des solutions libres toutes prêtes.

Ok Merci
Sous linux suse enterprise server 9, j'ai configuré un DHCP.
J'aurais besoin de planifier ce DHCP pour qu'il se lance uniquement entre 8h et 20h du lundi au vendredi pour éviter que des gens essayent de se connecter le Week-End ou la nuit.
J'ai vu sur ce topic qu'il était possible de planifier une tâche : http://forum.hardware.fr/hardwaref [...] 1132-1.htm  
Est-ce que quelqu'un sait quel est le nom du processus du DHCP ?
Merci d'avance