VI-1-2) WPA (WI-FI Protected
Access)
Pour pallier les insuffisances du WEP, un remplaçant
est à l'étude appelé WPA (Wi-Fi Protected Access), son
fonctionnement repose sur un système d'échange de clés
dynamiques, renouvelées tous les 10 ko de données. Ce
procédé, appelé TKIP (Temporal Key Integrity Protocol),
protège mieux les clés du décryptage et devrait
améliorer sensiblement la sécurité des réseaux sans
fils même si l'algorithme utilisé reste inchangé.
D'après la plupart des constructeurs, il est possible
de mettre à jour le firmware de votre matériel 802.11b pour
intégrer le WPA.
VI-1-3) VERROUILLAGE DU RESEAU
Ne vous reposez pas sur le seul protocole WEP pour
sécuriser votre réseau. Un bon administrateur doit
connaître les possibilités de son matériel sur le bout des
doigts pour le configurer au mieux. Pour s'identifier auprès d'un AP,
les clients d'un réseau sans fil 80211 b utilisent un identifiant de
réseau ou SSID (Service Set Identifier). Sans algorithme de chiffrement,
l'identifiant de réseau n'est pas crypté lors de la transmission
des trames Un utilisateur mal intentionné, qui écoute le
réseau, peut obtenir le SSID lui permettant ainsi d'accéder au
réseau. De plus, le décodage du SSID est souvent facilité
par le fait qu'il porte un nom explicite. Nom du service ou de l'organisme
utilisateur du réseau par exemple.
Afin de supprimer la vulnérabilité du SSID, le
protocole de chiffrement WEP à été mis en place, mais il
n'est pas suffisant. Des précautions supplémentaires peuvent
être prises pour compliquer la tâche des « grandes oreilles
» malveillantes. La première est de supprimer la configuration par
défaut des AP en modifiant la clef WEP si elle est activée et
l'identifiant réseau (SSID) installés par défaut. Il est
également impératif de protéger ou de désactiver
les services d'administration fournis avec l'interface. En dernier lieu, il
peut s'avérer nécessaire de réduire la puissance
d'émission de l'AP au minimum nécessaire afin de diminuer le
rayonnement des ondes. Cette action n'empêche pas un utilisateur mal
intentionné muni d'un matériel d'écoute performant de
capter vos émissions, mais c'est plus difficile. Pour augmenter la
sécurité de votre réseau, il est également possible
sur certains équipements de filtrer les adresses MAC ayant le droit de
communiquer avec le pont. Cette liste doit être reproduite sur chaque
pont du réseau sans fil si vous désirez garder toute la
mobilité du réseau. Malgré cela, il est toujours possible
à un utilisateur mal intentionné de récupérer le
trafic échangé entre deux machines (même si le protocole
WEP est actif), voire de simuler une adresse MAC décodée, si
celui-ci se trouve dans le périmètre du réseau
| 
