L'aspect le plus important de toute configuration Internet en 2019 est votre réseau sans fil. Alors que les connexions filaires sont plus rapides et souvent plus sûres, la multitude d'appareils traînant dans votre maison nécessitant un signal sans fil. Des téléviseurs intelligents et haut-parleurs à votre smartphone et votre tablette, une connexion sans fil est tout simplement indispensable en 2019.
Bien sûr, en ce qui concerne l’Internet sans fil, vous allez utiliser de nombreux termes de sécurité différents avec lesquels vous ne vous connaissez peut-être pas, ce qui entraîne une grande confusion autour du monde des réseaux sans fil. Il existe des acronymes partout et une multitude d’options, la plupart d’entre eux traitant directement des protocoles de sécurité. Tout cela signifie que la sécurité de votre réseau est directement menacée, à moins que vous ne sachiez exactement ce que vous faites.
Dans cet article, nous allons donc examiner la sécurité de WPA2 Enterprise, son fonctionnement et savoir si vous en avez besoin. De l'historique de WPA en tant que protocole de sécurité à la manière dont WPA2 Enterprise peut réellement améliorer la sécurité de votre maison, voici votre guide pour la configuration de WPA2 Enterprise sur votre réseau.
Qu'est-ce que WPA2?
En réponse au désastre de la sécurité qu'est le WEP, la WiFi Alliance a développé le WPA (WiFi Protected Access). Étant donné que le WPA était une réponse directe au WEP, il résolvait de nombreux problèmes. WPA a implémenté le protocole TKIP (Temporal Key Integrity Protocol), qui améliore considérablement le cryptage sans fil en générant de manière dynamique des clés pour chaque paquet transmis. WPA inclut également des contrôles pour s’assurer que les données transmises n’ont pas été altérées.
Si le WPA était bon, il a aussi ses défauts. La plupart d'entre eux sont issus de l'utilisation de TKIP. TKIP constituait une amélioration par rapport au cryptage WEP, mais reste exploitable. La Wi-Fi Alliance a donc introduit WPA2 avec le chiffrement AES (Advanced Encryption Standard) obligatoire. AES est une norme de cryptage renforcée avec prise en charge du cryptage 256 bits. À l'heure actuelle, WPA2 avec AES est l'option la plus sécurisée.
Quelle est la différence entre entreprise et personnel?
Maintenant, il y a toujours cette question de WPA2 Enterprise. Après tout, c'est probablement pourquoi vous avez cliqué sur cet article en premier lieu. Si vous avez examiné les paramètres de configuration d'un routeur sans fil définis après 2006, vous avez peut-être remarqué qu'il existe deux options pour WPA2. Sur la plupart des routeurs, vous pouvez en trouver un intitulé "Entreprise" et l'autre portant le titre "Personnel". Les deux options sont WPA2 et utilisent le même cryptage AES. La différence entre eux vient de la manière dont ils gèrent la connexion des utilisateurs au réseau.
WPA2 Personal utilise également une clé pré-partagée WPA2-PSK ou WPA2 car elle gère les connexions au réseau avec un mot de passe déjà partagé avec la personne qui se connecte. Cela fonctionne bien pour les petits réseaux domestiques car vous pouvez généralement faire confiance à tous les membres du réseau, qui ne sont pas une cible importante pour les intrus potentiels. Si vous êtes connecté au réseau Wi-Fi chez un ami ou avez configuré votre propre réseau sans fil, il est fort probable qu'il ait été configuré avec WPA2-PSK.
WPA2 Enterprise est évidemment davantage axé sur les utilisateurs professionnels. Au lieu d'utiliser un seul mot de passe pour authentifier l'accès, WPA2 Enterprise s'appuie sur un serveur RADIUS et sur une base de données de données d'identification client distinctes pour l'authentification. Cela convient parfaitement aux entreprises car elles disposent des ressources nécessaires pour configurer un serveur pour l'authentification. Les entreprises ont également de plus grands besoins de sécurité. Une entreprise peut également récupérer rapidement un périphérique en cas de perte ou de vol en attribuant à chaque utilisateur ses propres informations de connexion. De plus, cela permet aux entreprises de se protéger contre les employés mécontents qui pourraient vouloir nuire à leur réseau.
Quels sont les avantages de WPA2 Enterprise?
Les avantages de WPA2 Enterprise ne sont pas exactement des avantages pour tout le monde. Si vous souhaitez simplement configurer un réseau domestique simple avec peu de tracas ou de maintenance, WPA2 Enterprise ne sera pas une bonne solution pour vous. C'est à peu près le contraire de ce que vous voulez. Toutefois, si vous exploitez une entreprise ou recherchez une sécurité plus fine sur votre réseau domestique, WPA2 Enterprise présente plusieurs caractéristiques qui en font un excellent candidat.
WPA2 Enterprise utilise une base de données. Ce n'est peut-être pas si grave si vous ne traitez que par un petit nombre d'utilisateurs, mais disposer de la puissance et de l'utilité d'une base de données peut s'avérer crucial lorsque vous travaillez avec un grand nombre de connexions. Il permet aux administrateurs réseau de suivre, gérer et manipuler les données facilement avec des outils qu'ils connaissent bien.
L'utilisation d'une base de données contribue également à améliorer une autre caractéristique clé des réseaux d'entreprise WPA2, à savoir la possibilité de désactiver les informations d'identification des utilisateurs. Un administrateur réseau peut facilement désactiver le compte d'un utilisateur en cas de perte, de vol ou de perte d'un appareil, ou si cet utilisateur quitte l'entreprise. Les identifiants de connexion individuels aident également à contenir les menaces potentielles en simplifiant le retrait de tout ordinateur compromis du réseau.
WPA2 Enterprise élimine le besoin de modifier les informations de connexion lorsqu'un administrateur supprime un utilisateur du réseau ou qu'un seul ordinateur est compromis. Il serait très pénible pour le service informatique d'une grande entreprise de reconnecter chaque périphérique de son réseau avec un nouveau login chaque fois que quelqu'un quitte l'entreprise. Cela n'a aucun sens.
L'utilisation de clés d'authentification d'utilisateur individuelles compartimente également le réseau, limitant les données du réseau auxquelles chaque utilisateur a accès. Dans un réseau WPA2-PSK, chaque utilisateur peut voir les données réseau de tous les autres utilisateurs. Cela permet à un intrus ou à un attaquant potentiel d’avoir facilement accès à plus d’informations sur le réseau et de causer plus de dégâts. Pour les réseaux d'entreprise, ce n'est pas un problème, grâce aux clés individuelles.
Une autre fonctionnalité intéressante de WPA2 Enterprise est la possibilité d'utiliser des certificats pour l'authentification. Les mots de passe sont problématiques pour de nombreuses raisons, dont la plus vulnérable aux attaques par dictionnaire. Pour aggraver les choses, il est presque impossible de compter sur vos utilisateurs pour créer des mots de passe forts. C'est presque comme si les gens choisissaient instinctivement des ordures à chaque fois. C'est en réalité le plus grand risque pour les réseaux WPA2-PSK. Les certificats sont presque une assurance contre les mots de passe incorrects. Même si un attaquant parvient à deviner le mot de passe effrayant d'un utilisateur, il ne pourra toujours pas se connecter sans le certificat de cet utilisateur. Les certificats constituent un autre niveau de protection pour les réseaux d'entreprise.
Comment implémenter un réseau d'entreprise WPA2?
Il est absolument impossible de couvrir toutes les configurations et combinaisons de circonstances possibles pouvant mener à la configuration d'un réseau WiFi d'entreprise WPA2. Personne ne disposera du même matériel ni du même logiciel réseau, et personne n'aura les mêmes clients. Il existe cependant des étapes élémentaires que les administrateurs de réseau peuvent utiliser pour chaque configuration de réseau.
Avant de vous plonger dans le réseau, configurez votre base de données d'utilisateurs. Cela peut paraître exagéré, mais MySQL ou un clone compatible comme MariaDB est la meilleure option. Vous pouvez configurer votre base de données sur son propre ordinateur, un serveur de base de données existant ou sur le même ordinateur que le serveur RADIUS. Le choix de votre choix dépend de la taille de la base de données et de la manière dont vous envisagez de la gérer. MySQL s'est révélé rapide et fiable. Il est également open source et compatible avec la plate-forme de serveur de votre choix.
Le serveur RADIUS est au cœur de WPA2 Enterprise. C'est le principal facteur qui différencie les réseaux d'entreprise des réseaux personnels. RADIUS est responsable de la gestion des connexions et de l'authentification. Il coordonne également tout ce qui se passe entre le routeur, la base de données et les clients. Il existe plusieurs options pour configurer un serveur RADIUS. Dans certains cas, RADIUS est intégré à un routeur. Vous avez également le choix entre plusieurs options commerciales. FreeRADIUS est un excellent serveur RADIUS open source pouvant être déployé sur des serveurs Linux, Windows et Mac. Dans tous les cas, vous devrez configurer votre serveur RADIUS pour vous connecter et utiliser votre base de données MySQL.
Vous allez avoir besoin de clés. Les clés de chiffrement sont évidemment un élément important de toute cette équation. Là encore, il existe différentes manières de générer vos clés et d’établir une autorité de certification. Sur presque tous les systèmes d'exploitation, OpenSSL est une excellente option. OpenSSL est également un programme open source compatible avec presque toutes les plateformes.
Avec les deux serveurs configurés et en fonctionnement et vos clés générées, vous pouvez enfin configurer votre routeur. Chaque routeur est différent, il n'est donc pas facile d'entrer dans les détails ici. Assurez-vous simplement que vous basculez les paramètres sans fil de votre routeur sur WPA2 Enterprise avec cryptage AES. Vous devrez également fournir à votre routeur des informations pour vous connecter à votre serveur RADIUS.
Enfin, vous pouvez commencer à connecter des clients. Créez des informations d'identification client et des clés d'échange. Connecter chaque client va être différent. Chaque système d'exploitation et chaque appareil gère la connexion aux réseaux et la gestion des connexions différemment. En règle générale, vous aurez besoin de vos certificats et des informations de connexion que vous avez déjà créées. Assurez-vous de configurer les périphériques clients pour qu'ils se connectent automatiquement afin d'éviter les tracas futurs.
Alors, est-ce que je change?
Selon qui vous êtes et ce que vous devez faire avec votre réseau, le changement peut être une bonne idée. Si votre réseau est actuellement configuré pour utiliser WEP ou WPA, passez maintenant à WPA2! N'attends pas. Simplement fais-le. Si vous utilisez WPA2 Personal et que vous envisagez de passer à l'entreprise, ce n'est pas aussi clair.
Ne passez pas à WPA2 Enterprise si vous êtes un utilisateur particulier et que vous ne connaissez rien aux bases de données ni aux serveurs en fonctionnement. Vous finirez par être frustré par un réseau défectueux. Tenez-vous en à WPA2 Personal et sélectionnez un mot de passe fort. Vous serez beaucoup plus heureux avec ça.
Si vous exploitez une entreprise et que vous avez des employés, le passage au Wi-Fi d'entreprise est peut-être le bon choix. Assurez-vous simplement que vous êtes prêt et que toutes les pièces sont en ordre avant de faire le saut. Une bonne configuration est tout aussi importante pour la sécurité que de choisir le bon cryptage et le bon standard WiFi.
