Sécurité des réseaux radio : l'heure des choix

Cet automne aura été fécond en matière d'annonces des spécialistes des réseaux sans fil IEEE 802.11. AirDefense, AirMagnet, Airespace, Aruba Networks, Bluesocket, Cisco Systems, Ekahau, Foundry Networks et Symbol Technologies, rejoints par le nouveau venu dans ce domaine, Check Point Software, ont mis le cap sur le renforcement de la sécurité. Leur objectif : améliorer la détection et la prévention des intrusions, en allant au-delà du WEP, largement décrié.Au quotidien, il s'agira de détecter les points d'accès radio (AP) pirates et les cartes Wi-Fi des postes configurées en peer-to-peer (mode ad hoc) avec un accès ouvert sur le réseau de l'entreprise. Mais l'arrivée progressive d'équipements obéissant à la nouvelle norme de sécurité 802.11i (WPA2) ' nerésoudra pas tous les problèmes, avertit Cyril Voidies, directeur de Wireless Consulting. Peu de produits actuels peuvent migrer vers le 802.11i, notamment par manque d'espace mémoire alloué au firmware. Et, même si le 802.11i va dans le bon sens et crédibilise le Wi-Fi, c'est une usine à gaz à déployer. Cela reste une norme de spécialistes et l'ensemble de la chaîne doit suivre. C'est un peu prématuré aujourd'hui, sauf pour des installations nouvelles '.

' Les VPN ne sont plus un impératif '

De fait, on imagine que les entreprises n'auront pas l'intention de changer leur matériel s'il a moins de deux ans et qu'il n'est pas encore rentabilisé. Dès lors, comment implanter la sécurité ? Longtemps, on s'est appuyé sur la mise en place de réseaux VPN de niveau 3. Désormais, estime Alain Guez, responsable du département sans fil de la société Équipements Scientifiques, ' les VPN ne sont plus un impératif '. Même si ' cela reste une solution pertinente dans certains cas, pointe Cyril Voidies. Par ailleurs, je préfère ne pas insérer beaucoup de fonctions de sécurité dans les AP, et plutôt installer la passerelle sans fil de Bluesocket [distribuée par Wireless Consulting, NDLR], car elle est indépendante de l'infrastructure en place. D'autant que, dans certaines offres du marché, si les AP aident à détecter les intrusions, ils ne remplissent plus leur rôle d'accès '. De fait, il faut tenir compte des spécificités propres à chaque constructeur. Chez certains, la tendance consiste à faire participer tous les équipements (AP et commutateurs) à la sécurité. C'est le cas d'Airespace ou d'Aruba Networks. Idem chez Cisco Systems, qui va jusqu'à mettre à contribution les cartes des PC. Mais attention : ' Si on mixe des AP et des contrôleurs d'origines différentes, on perd la moitié des fonctionnalités de l'AP, prévient Alain Guez. Alors que, avec une solution comme celle de Colubris Networks, on n'en perdra qu'un dizième. ' Pour pallier cet inconvénient, une solution comme celle de Meru Networks ne supportera que ses propres bornes d'accès.Une seconde approche repose sur l'ajout d'une appliance à l'existant. C'est ce que propose Bluesocket, qui ne fournit pas d'AP. Sa nouvelle solution Bluesecure est une sonde qui participe à la détection des intrusions. Au final, Alain Delesalle, directeur technique d'Aruba Networks, défend une approche monoconstructeur avec une gestion centralisée de la sécurité, AP compris : ' Le déploiement d'une mise à jour de sécurité sera beaucoup plus simple. '