Wifi entreprise

Wifi entreprise - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 16-09-2008 à 15:48:17    

Bonjour,
 
dans l'entreprise ou je suis on me demande de jeter un oeuil sur le sécurité du wifi
nos bornes sont en wep, nous avons un domaine windows 2000/2003
donc les utuilisateurs saisissent un login/password pour avoir accès aux ressources du réseau
 
ma question comment améliorer le wifi ?
 
en passant en wap mais comment déployer une nouvelle clé sur tous les postes ?
un serveur radius mais cela sert-il à quelquechoses alors que nous avons déjà un login/pass pour accéder aux ressouces ?
 
quoi d'autres ?
 
merci
slts

Reply

Marsh Posté le 16-09-2008 à 15:48:17   

Reply

Marsh Posté le 16-09-2008 à 16:19:23    

Lut,
 
Je t'ai trouvé un article sur Radius http://www.laboratoire-microsoft.o [...] 003/4/?R=5
 
Il parle de la sécurité vers la fin mais par contre, le niveau de sécurité, c'est toi qui le renforce en y ajoutant des fonctionnalités (IPSec, mots de passes difficiles à trouver, certificats, etc...)
 
D'après ce que j'ai lu, La clé WPA est bien plus sécurisée que la WEP mais faut voir si toutes les cartes Wifi peuvent l'utiliser ?
 
Sinon pour encore plus de sécurité tu peux faire du VPN par dessus tout ça il me semble.
 
(si je me trompe quelque part flagellez-moi :D) Je suis pas un expert en sécurité très très loin de là mais si je peux chercher aussi des infos... ça me permettra d'apprendre aussi un peu ^^


Message édité par gelaf le 16-09-2008 à 16:20:53
Reply

Marsh Posté le 16-09-2008 à 16:25:33    

oula, si on parle WEP ou WPA, on est loin du wifi en entreprise ...
en entreprise, il faut penser architecture centralisée, concentrateur.
Aruba/Trapèze/cisco pour les majeurs players ...
Ensuite 802.11i / wpa2

Reply

Marsh Posté le 16-09-2008 à 16:41:14    


cad ?
peux-tu développer STP?
 
merci
slts

Reply

Marsh Posté le 16-09-2008 à 16:56:19    

Déjà du WPA c'est pas trop mal...
 
Sinon, combien de bornes as tu ? Quel budget ? combien de postes ?
 
Nous on vient de passer avec du WPA2 avec gestion centralisé Full Cisco (WLC).
 
Du radius c'est pas mal aussi pour authentifier tes users sur le wifi... Mais j'en ai pas fait... Ca demande l'installation d'un radius sur le domaine.


Message édité par hyperman22 le 16-09-2008 à 16:57:03
Reply

Marsh Posté le 17-09-2008 à 08:56:50    


bonjour,
 
pas de budget limite à priori
nous avons 2 bornes dans les bureaux
pour une dizaine de postes
 
pour le radius je ne vois pas à quoi ça sert dans le sens ou je ne vois pas comment un pirate qui se connecterait sur mon réseau en ayant cracquer ma clé puisse se connecter
car on doir renseigner un login/passsord pour avoir accès aux réseau
y a t-'il qqchose qui m'échappe dans mon résonnement ?
 
merci de vos réponses
slts
 

Reply

Marsh Posté le 17-09-2008 à 12:46:17    

Bon c'est vrais que l'intéret d'un radius pour 10 personnes est peut-etre un peu limité...
 
Dans tout les cas passe tes borne en WPA voir WPA2 au plus vite. Sinon pour le radius ca mange pas de pain de le mettre (il me semble qu'il y en a déjà d'intégré a windows server que je n'ai jamais utilisé). Bon après pour la partie technique je doit dire que je laisse ma place car je n'ai jamais configuré de wifi avec radius... Mais je sais que ca se fait assez bien en couplage a un AD.

Reply

Marsh Posté le 17-09-2008 à 15:02:58    

qq peut-il m'expliquer radius et login/password sous AD
 
pour moi ça fait doublon
 
merci
slts

Reply

Marsh Posté le 17-09-2008 à 17:22:43    

Radius va se limiter à répondre oui ou non au suplicant et évite entre autre d'exposer la base compte. Un AP parlera très certainement Radius mais pas LDAP, surtout à la sauce Microsoft. De même, avec un Radius tu peux faire redescendre de nombreux attribus (ex : route par défaut). Ca permet aussi de laisser les problèmes de duplication AD de côté.


Message édité par shinmaki le 17-09-2008 à 17:24:08
Reply

Marsh Posté le 17-09-2008 à 18:57:12    

Pour ce qui est du radius sous windows, il s'agit de l'IAS sous win2k3 et du role NPS sous win2k8.
 
Sans vouloir developper, le WPA/WPA2 permet de + ou - bien se proteger contre l'exterieur, mais si ca n'empêche pas les utilisateurs internes de faire n'importe quoi. Vu que la clef est commune, n'importe lequel de tes collaborateurs peut sniffer le réseau, et en entrant la clef WPA voir tout le traffic généré par les autres collaborateurs (hash, login, ...)
 
L'un des objectifs principaux du WPA entreprise & du radius est justement d'éviter ca.


Message édité par fun_key le 17-09-2008 à 18:58:06
Reply

Marsh Posté le 17-09-2008 à 18:57:12   

Reply

Marsh Posté le 18-09-2008 à 08:53:55    


merci
qu'entends-tu par wpa entreprise ?
 
avec le radius on fait déporter l'authentification sur la borne au lieu de le faire sur le contrôleur du domaine si je comprends bien, avec en plus qqs possibilités
mais un hacker qui aurait les comptes AD pourait même par le radius attaquer le réseau interne ?
doit-on prendre d'autres précautions en plus ?
 
merci à tous pour vos réponses
vous me faites avancer
 

Reply

Marsh Posté le 18-09-2008 à 09:23:15    

WPA entreprise : c'est le "vrai" WPA avec l'implémentation de 802.1x (Radius, certificats...). Comme c'est plutôt complexe à mettre en place, il y a aussi le WPA-PSK : PreShared Key.
 
Si un hacker a les comptes AD, tu as un très gros problème, avec ou sans Radius.

Reply

Marsh Posté le 19-09-2008 à 08:45:59    

ok donc je mets un radius avec certif ou preshared key comme ça il y aura une authentification avant de rentrer sur mon réseau, c'est ça ?
c'est toujours ça en plus
 
Avec quoi peut-on coupler le radius ?
- DMZ
- VLan
- VPN
 
avez-vous déjà fait ça ? si oui comment ?
 
 
Merci
slts

Reply

Marsh Posté le 19-09-2008 à 11:17:26    

Citation :

Avec quoi peut-on coupler le radius ?
- DMZ
- VLan
- VPN
 


Tu peux préciser ?

Reply

Marsh Posté le 19-09-2008 à 11:49:27    


c'était juste pour renforcer encore un peu plus la sécurité
 
1) installer un radius
2) ..... DMZ,VLAN, etc....

Reply

Marsh Posté le 19-09-2008 à 11:57:35    

Ca veut dire quoi "coupler" ? Tu veux que papa DMZ fasse l'amour avec maman VLAN et mettre cousin VPN au milieu ? Ou tu veux que VPN cause avec VLAN en parlant DMZ ?
 
Ah oui, ma 1ère fois, c'était génial.

Reply

Marsh Posté le 23-09-2008 à 21:23:24    

ste29 a écrit :


merci
qu'entends-tu par wpa entreprise ?
 
avec le radius on fait déporter l'authentification sur la borne au lieu de le faire sur le contrôleur du domaine si je comprends bien, avec en plus qqs possibilités
mais un hacker qui aurait les comptes AD pourait même par le radius attaquer le réseau interne ?
doit-on prendre d'autres précautions en plus ?
 
merci à tous pour vos réponses
vous me faites avancer
 


 
Par WPA entreprise j'entend effectivement via RADIUS. Si reelement tu veux éviter que qqun se log même si un compte AD est compromis, tu peux tjs mettre en place une authentification TTLS via certificats.
 
Si tu as confiance en tes utilisateurs un bon PSK peut faire l'affaire, si tu as des doutes sur certain; passage obligé par RADIUS.

Reply

Marsh Posté le 24-09-2008 à 11:43:38    

ok merci
je vais mettre en place un radius avec certificats
et essayer de déployer les certificats avec gpo
si c'est possible

Reply

Marsh Posté le 25-09-2008 à 11:38:40    

j'ai installé un radius sur un 2003 standard
sur un DC en 2000 serveur j'ai installé l'autorité de certification
 
mais ça ne fonctionne pas
j'obtiens le message d'erreur "Impossible de trouver un certificat compatible EAP"
 
qq a-t-il eu ce pb ?
 
merci
slts

Reply

Marsh Posté le 25-09-2008 à 13:41:15    

Il me semble qu'il faut exporter le certificats de l'AD sur le radius afin que le radius puisse contacter l'AD. Je ne connait pas la manip pour l'export mais je sais qu'il y a un truc de ce genre a faire, si le radius ne se trouve pas physiquement sur la meme machine que l'AD...

Reply

Marsh Posté le 07-10-2008 à 15:56:26    

oui c'est ça j'ai réussi à faire un export et un import du côté radius
 
qq a-t-il déjà utilisé une gpo sur serveur 2000 pour déployer des certificats ?

Reply

Marsh Posté le 07-10-2008 à 20:34:42    

la question "certificats" m'interresse aussi...

Reply

Marsh Posté le 10-10-2008 à 14:51:54    


j'ai mis en place ma GPO
c'est ok
 
mais comment faire sur un serveur 2000 pour "l'inscription automatique des certificats" ??
 
merci

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed