Quel point d'accès Wifi pour l'entreprise ? - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 14-11-2006 à 14:05:33
tu peux faire tourner du RADIUS (freeradius) sur un linux par exemple.
Marsh Posté le 14-11-2006 à 14:32:09
Ok merci !
Et concernant le modèle d'AP, vous me conseillez quoi ?
Marsh Posté le 14-11-2006 à 16:33:25
alors là ça dépend vraiment des besoins.
Tu penses installer combien de bornes ? Quels types de flux (http, toip, ...) ?
Combien de personnes sont censées se connecter au wifi ?
Marsh Posté le 14-11-2006 à 17:04:53
Je pense qu'un seule borne suffira à couvrir l'étage.
Au niveau des flux, bah un peu de tout (web, ftp, citrix...)
Pas de toip.
Au max, je pense qu'il y aura une 10aine de personnes connectées simultanément.
Marsh Posté le 15-11-2006 à 09:40:44
Est ce que tu veux que la borne diffuse plusieurs SSID ? (pour cela il faut évidemment que tes switchs gèrent les VLANs)
exemple : 1 SSID visiteurs, 1 SSID interne
Marsh Posté le 15-11-2006 à 14:53:16
Nan même pas, je veux vraiment un truc tout con qui me permette d'accéder à mon LAN
Le seul truc qui m'inquiète c'est la sécu
WPA(2) indispensable ça ok.
Mais est-ce suffisant (en rajoutant des filtres à la con style adresse MAC)?
Marsh Posté le 15-11-2006 à 15:20:18
si tu veux vraiment un truc béton en sécu alors le radius s'impose.
Mais le WPA2 sera à mon avis largement suffisant pour tes besoins et bien moins lourd à mettre en place. Je ne pense pas que le filtrage par adresse MAC soit nécessaire.
Voici quelques références de bornes qui pourraient t'intéresser (constructeurs connus) :
Il y en a pleins d'autres mais ça c'est ce que je connais.
Marsh Posté le 15-11-2006 à 15:28:50
Oué le Radius ça semblait pas mal.
Mais comme je sais très bien que l'installation du wifi est un projet secondaire ici, je doute que j'ai le feu vert pour investir dans des certifs "officiels". Du coup je vais être obligé d'utiliser ma propre autorité de certification, et installer le certif racine sur chaque client qui va vouloir se connecter, bref la bonne grosse galère...
Donc on va partir sur du WPA2, qui se configure en 2s au niveau du client.
Ok je note tes propositions, mais Cisco ça me fait peur d'office, stun truc de riche ça
Marsh Posté le 15-11-2006 à 15:46:35
Mais sachant que le point d'accès Linksys WAP4400N (truc de pôôôôôvre ) supporte le WPA2 et est compatible avec les serveurs d'authentification type RADIUS, est-ce que ça vaut vraiment le coup de se ruiner, je vous le demande messieurs dames.
Marsh Posté le 15-11-2006 à 15:56:38
je ne pense pas en effet cher ami.
Mais alors, une question se pose : comment frimer avec une borne linksys ?
Marsh Posté le 15-11-2006 à 16:06:26
C'est le problème
Je suis actuellement en contact avec des mecs peu recommandables qui seraient prêts à me "tunner" ma borne Linksys en borne Cisco pour une somme modique
Marsh Posté le 15-11-2006 à 16:29:59
sur la sécurité lire ça:
http://www.securiteinfo.com/attaqu [...] ving.shtml
http://solutions.journaldunet.com/ [...] ng/5.shtml
avec les recommandations suivantes:
Comment se protéger du Wardriving ?
Le principe même de la protection est de considérer le point d'accès wireless comme d'un niveau de sécurité égal à celui d'internet. Autrement dit : Niveau de sécurité égal à zéro. IL NE FAUT JAMAIS FAIRE CONFIANCE A SON POINT D'ACCES !
La sécurité Wifi est un sujet épineux auquel il faut parfois plus répondre par des astuces stratégiques plutôt que des éléments bruts de sécurité.
La première chose à faire quand on installe un réseau Wireless, c'est d'activer le chiffrement des communications. Préférer le WPA2 au WPA et au WEP, le WPA2 présente la capacité d'utiliser l'AES et le TKIP et parfois même de les cumuler. Le choix de la clef reste importante, plus c'est aléatoire et sans sens précis plus c'est efficace. Depuis que le 802.11i s'offre la technologie du cryptage AES jusqu'en 256bits, il peut enfin prétendre à la certif FIPS140-2.
Attention au SSID !
Ne laissez pas le SSID par défaut : C'est généralement le nom du constructeur de votre AP (point d'accès).
Ne donnez pas de renseignement dans votre SSID, comme par exemple : le nom de votre entreprise, division ou produit, ou encore le nom de la rue de votre entreprise... Cela ne peut que faciliter le travail de recherche d'informations de la part des hackers.
Cumuler lettres et chiffes pour votre SSID, sans aucune signification.
Installez votre point d'accès sur une DMZ de firewall : Vous contrôlerez précisément les flux entre votre AP et le reste de votre infrastructure.
Considérez les utilisateurs du Wireless comme des utilisateurs d'accès distants : Utilisez le même niveau de sécurité, comme par exemple en utilisant des méthodes d'authentification fortes (mots de passe à usage unique, authentification RADIUS...), et chiffrez les communications.
Etudier la position physique optimale de votre point d'accès pour limiter au maximum le rayonnement à l'extérieur de votre bâtiment.
Changez le mot de passe par défaut de votre AP !
Si possible, ne pas utiliser DHCP. Utilisez une liste statique d'adresses IP. Ce serait trop simple au hacker de recevoir une adresse IP automatiquement...
N'hésitez pas à mettre en place le MAC filtering, permettant d'accepter uniquement ou non les cartes réseaux wireless renseignées dans l'AP. Dans le cas d'une politique de filtrage des cartes wireless, n'insérez dans la liste que les cartes susceptibles de se connecter en wifi, ne mettez pas "par sécurité" celles du réseau local filaire, c'est inutile et vous augmentez par la même occasion les possibilités d'IP spoofing.
Acheter des points d'accès qui permettent de se mettre à jour grâce à un BIOS flashable.
Demandez régulièrement à SecuriteInfo.com de faire un audit d'intrusion de votre réseau wireless
Protégez votre réseau avec des outils tels que FakeAP
En option, utilisez des outils de détection d'intrusions adaptés au Wireless comme Wimetrics.com ou Airdefense.net
Passons maintenant à une partie plus délicate, relevant plus des erreurs à éviter et de la stratégie topologique du réseau mis en place. Rappelons que ces réglages ne sont possibles que dans le cas ou le firmware de votre AP ou routeur vous l'autorise, donc mettez à jour régulièrement votre firmware. Certains firmwares opensource permettent d'avoir accès à certaines fonctionnalités volontairement désactivées par le constructeur. Notons que dans cette partie, il est préférable d'utiliser un AP/Routeur et des cartes clientes du même constructeur, utilisant la même technologie et correctement mises à jour.
La puissance et les paramètres du signal
La QoS réservée à certains périphériques bien définis
L'accès à l'interface d'administration
La diffusion ou non diffusion du SSID
Les cages de faraday
faire des recherches sur le wardriving
Marsh Posté le 14-11-2006 à 11:28:48
Bonjour,
Je suis en train d'étudier la probable mise en place d'un accès Wifi au sein de ma boite et je voulais savoir si vous aviez des retours d'expérience sur des modèles de points d'accès en particulier.
Les modèles type Lynksys WRT... suffiraient-ils (sachant que le budjet débloqué ne sera pas mirobolant) ou faut-il se tourner vers des modèles plus pro type Cisco ?
Point de vue sécurité, WPA2 suffira ou il faut vraiment envisager une authentification forte type Radius ? Ca existe des serveurs Radius gratuits ?
Bref, plein de questions...
Merci d'avance !
Message édité par moldar le 14-11-2006 à 15:02:23