4 réseaux Wi-Fi sécurisés : des différences de performances

• 4 réseaux Wi-Fi sécurisés : des différences de performances
• Les principales caractéristiques
• La synthèse produit par produit

Sécuriser un réseau Wi-Fi est un défi. Les ondes radio s'infiltrent partout. Aucun mur ne les retient totalement prisonnières. Dès lors, une entreprise qui déploie du Wi-Fi court le risque d'ouvrir son réseau à tous les vents. Nous avons voulu savoir où en étaient les offres du marché en matière de protection. Pour cela, nous avons testé les solutions d'Aruba Networks, Bluesocket, Colubris Networks et Trapeze Networks. À noter que les produits d'Aruba sont également revendus par Alcatel, et ceux de Trapeze par Nortel Networks ou 3Com.Les quatre constructeurs devaient fournir une infrastructure 802.11a-b-g complète, apte à gérer de huit à douze points d'accès, incluant l'intelligence centrale et les bornes radio. Aruba a délivré un équipement unique proche d'un commutateur, les trois autres ont fourni une appliance de contrôle dotée de plus ou moins de ports Ethernet commutés, et complétée soit d'un boîtier de supervision externe (Bluesocket, avec le système BlueView Management System), soit d'un serveur de protection avancée (Trapeze, avec un serveur de la société AirDefense), soit d'un boîtier de sécurité et d'un commutateur externe (Colubris, avec un boîtier InCharge 1500 et un commutateur Netgear). Les quatre constructeurs ont livré des points d'accès biradio, aptes à gérer simultanément les réseaux b ou g (à 2,4 GHz) et a (5 GHz).Au vu de nos tests, la facilité de mise en œuvre d'un réseau Wi-Fi avec ces solutions est satisfaisante. Les bornes d'accès sont détectées et configurées automatiquement, une fois raccordées au réseau. Sur la plate-forme d'Aruba, en particulier, il suffit de 10 s pour détecter une borne. De même, ces quatre solutions ajustent automatiquement la puissance d'émission des points d'accès. Les bornes arrêtées sont compensées par les bornes restantes, et les paramètres radio (choix des canaux, notamment) sont sélectionnés automatiquement. Les problèmes d'interférence et de bruit sont résolus en se repositionnant sur les bonnes fréquences. Cette reconfiguration optimale peut intervenir soit au niveau des points d'accès, comme chez Aruba, Colubris ou Trapeze, soit au niveau du contrôleur, comme chez Bluesocket.Des différences nettes se manifestent, en revanche, en ce qui concerne d'autres critères : débit d'un point d'accès Wi-Fi, bande passante attribuée à un poste éloigné, délai de transfert intercellulaire (roaming), étendue des outils de cartographie et ajustement dynamique de la charge entre deux points d'accès.

Des bornes dites intelligentes chez Colubris

Colubris arrive en tête du banc d'essai. Il délivre une solution évoluée. C'est la seule offre où le réseau peut fonctionner sans le contrôleur, car ni l'authentification ni la gestion des flux ne passent par lui. Les bornes sont dites intelligentes. Elles ont été paramétrées en accès léger lors des tests. Autre atout, mais Trapeze est dans le même cas, une seule borne d'accès utilisée sans chercher à optimiser manuellement son paramétrage, assure une bande passante conséquente à un poste client éloigné à 15 ou à 30 m. Lors du test, trois autres PC utilisateurs étaient alors connectés à cette borne, placés à différentes distances (6,15 m, et 15 m avec obstacle).Un bémol toutefois pour Colubris : lors du test de mobilité, le délai de reconnexion applicative sur une nouvelle borne lors d'un déplacement est le plus long du comparatif : 0,6 s. Selon les applications, cela pourra être imperceptible, voire générer un simple inconfort dû à l'attente. L'impact sera à évaluer, par exemple, quand on transfère des données, lors de mouvements rapides dans un entrepôt et selon le caractère pointilleux des mécanismes de maintien de session. Il faut souligner que nous n'avons pas testé le fast roaming, disponible sur tous ces produits et plutôt destiné à permettre la téléphonie sur Wi-Fi, qui nécessite un délai de basculement entre deux bornes de l'ordre de 0,05 s. Arrivée en deuxième position, la solution d'Aruba affiche le délai de roaming le plus bref : 0,13 s. Ce n'est d'ailleurs pas un hasard, car Aruba met l'accent sur l'optimisation du roaming et le transport de la voix. Mais les tests de débit effectués avec une seule borne tournent à son désavantage. Avec Aruba, un PC unique, placé à 6 m de la borne, n'obtient que 9 Mbit/s de bande passante, contre 15 et 16 Mbit/s respectivement chez Trapeze et Colubris. Si le PC est éloigné à 15 m, ce débit tombe à 0,9 Mbit/s contre 15 et 13 Mbit/s chez ces derniers.Cette tendance s'amplifie si l'on mobilise quatre postes clients simultanément. L'un des PC, situé à 15 m, ne dispose plus alors que de 0,2 Mbit/s de bande passante chez Aruba, contre 4,6 et 3,8 Mbit/s chez Trapeze et Colubris. Le point d'accès achemine alors en tout 6,9 Mbit/s chez Aruba, contre 20 et 18,3 Mbit/s chez les deux autres concurrents. Ces résultats persistent lorsqu'on place le PC à 15 m, derrière un obstacle. Il dispose alors de 0,2 Mbit/s chez Aruba, contre 3,5 et 3,9 Mbit/s chez Trapeze et Colubris. Les bornes acheminant en tout 6 Mbit/s chez Aruba, contre 17,6 et 17,5 Mbit/s chez Trapeze et Colubris. On termine en éloignant le poste à 30 m.Il obtient 0,16 Mbit/s chez Aruba, contre 3,4 et 3,7 Mbit/s respectivement chez Trapeze et Colubris. La solution d'Aruba fait cependant meilleure figure lorsqu'on place simplement quatre postes clients à 6 m du point d'accès. Elle arrive en troisième position, avec un débit total de 17,3 Mbit/s, derrière Colubris (18,9 Mbit/s) et Trapeze (20,4 Mbit/s).

Des résultats proches en sécurité

En troisième position du comparatif, on trouve Trapeze Networks. En fait, cette solution aurait pu arriver en tête si elle n'avait chuté sur un obstacle plutôt mineur. Elle a échoué au test de mobilité applicative, lorsqu'on déplace un PC entre deux bornes Wi-Fi. Son dispositif DHCP interne ne s'est pas montré opérationnel dans ce contexte. Le PC mobile se voit réaffecter une adresse IP neuve, ce qui prend trente secondes. Nous avons refait le test avec un serveur DHCP externe, et tout s'est bien passé. Trapeze ignorait ce bogue. Reste au constructeur à proposer un correctif valide.Vient, enfin, la solution de Bluesocket. Dans la gamme du constructeur, il semble que l'on nous ait proposé un produit sous-dimensionné comparé aux offres concurrentes. Il se montre un cran en retrait sur les tests de performances et de sécurité. En particulier lors du test de rapidité utilisant une seule borne Wi-Fi, où il n'a pu acheminer le trafic au-delà de trois postes clients (ensuite, il y a eu blocage du contrôleur), contre quatre chez ses compétiteurs. Une borne transporte ainsi un débit maximal de 13,4 Mbit/s.Toujours en ce qui concerne les performances, la solution de Bluesocket est la seule à ne pas réaffecter d'autorité et dynamiquement les postes clients entre les points d'accès si la charge augmente trop sur une borne. La réaffectation s'effectue selon le nombre d'utilisateurs.Au-delà de leurs différences, les quatre solutions font preuve d'une même intelligence en ce qui concerne certains verrous de sécurité importants. Les tests ont été menés avec le même paramétrage de sécurité reposant sur le standard 802.11i (WPA2), en utilisant un chiffrement AES-CCMP, la méthode TLS et une authentification sur un serveur Radius externe. Le réseau fonctionnait en 802.11g, soit un débit potentiel de 54 Mbit/s à la fréquence de 2,4 GHz.Les quatre solutions savent identifier une borne Wi-Fi inconnue, la localiser géographiquement par triangulation et la rendre inopérante. Elles envoient pour cela des rafales de trames de désauthentification, ce qui interdit tout usage de cette borne. Ainsi, il sera impossible à un employé de l'entreprise de se connecter par inadvertance à une borne pirate placée à proximité par des personnes mal intentionnées afin de récupérer ses paramètres de configuration ou ses données confidentielles.

Un dessin des zones couvertes par le Wi-Fi

Quant à la détection de la source d'un brouillage radio ou d'une tentative d'intrusion (en utilisant un poste client et le logiciel NetStumbler), les résultats sont plus contrastés. Si les quatre solutions détectent bien ces événements, seules les plates-formes de Trapeze et de Colubris émettent des alertes claires : point d'accès interférant ou client interférant. Chez Aruba, les alertes sont émises, mais le diagnostic est plus vague : interférence avec un “ device unregistered ” ou détection d'une activité illicite. Quant à Bluesocket, il n'émet aucune alerte, bien que son fichier d'historiques conserve la trace de ces événements.Autre atout de ces solutions avec l'offre de base, il est possible d'obtenir le dessin des zones couvertes par le Wi-Fi. Chez tous, on géolocalise les postes utilisateurs. Seul le produit d'Aruba ne sait pas alors localiser un point d'accès déficient (repéré par son débit, ou un taux anormal de réassociations).Pour Aruba et Trapeze, le dessin de la couverture radio demeure toutefois une première approximation, car les logiciels fournis ne prennent pas en compte les murs ou les fenêtres des bâtiments. Chez Trapeze, l'acquisition d'une licence additionnelle est nécessaire. À noter que les outils d'Aruba et Trapeze permettent de simuler une charge de trafic sur le réseau. Enfin, le produit le plus simple à configurer pour des fonctions avancées (filtrage par adresses MAC, authentification, etc.) est celui de Colubris ; le plus complexe, celui d'Aruba.