How it Works
Nokia
Loading...
C110
DATA SECURITY
10 pgs278.63 Kb0
Installation guide
10 pgs219.5 Kb0
INSTALLATION GUIDE
11 pgs396.32 Kb0
QUICK NETWORK Manual
4 pgs102.4 Kb0
Security Manual [da]
10 pgs184.98 Kb0
Security Manual [de]
11 pgs192.37 Kb0
Security Manual [es]
11 pgs191.37 Kb0
Security Manual [fi]
10 pgs272.03 Kb0
Security Manual [it]
10 pgs183.54 Kb0
Security Manual [nl]
11 pgs266.15 Kb0
Security Manual [no]
10 pgs182.6 Kb0
Security Manual [pt]
10 pgs190.58 Kb0
Security Manual [sv]
10 pgs190.28 Kb0
User Manual
67 pgs1.17 Mb0
User Manual
72 pgs1.26 Mb0
User Manual
63 pgs885.52 Kb0
User Manual [cz]
10 pgs502.36 Kb0
User Manual [da]
66 pgs1.23 Mb0
User Manual [da]
10 pgs393.99 Kb0
User Manual [de]
74 pgs1.26 Mb0
User Manual [de]
11 pgs395.84 Kb0
User Manual [el]
10 pgs341.44 Kb0
User Manual [es]
69 pgs1.23 Mb0
User Manual [es]
10 pgs402.07 Kb0
User Manual [fi]
66 pgs1.23 Mb0
User Manual [fi]
10 pgs395.59 Kb0
User Manual [it]
72 pgs1.21 Mb0
User Manual [it]
10 pgs391.07 Kb0
User Manual [nl]
71 pgs1.19 Mb0
User Manual [nl]
10 pgs387.07 Kb0
User Manual [no]
66 pgs1.22 Mb0
User Manual [no]
10 pgs391.05 Kb0
User Manual [pt]
72 pgs1.25 Mb0
User Manual [pt]
10 pgs393.44 Kb0
User Manual [sv]
10 pgs395.6 Kb0
User Manual [sv]
67 pgs1.26 Mb0
Table of contents
Loading...

Nokia C110, C111 DATA SECURITY

Download
Sécurité des données

INTRODUCTION

Les réseaux locaux (LAN) sans fil enregistrent une croissance rapide. Dans un environnement commercial constamment évolutif, les utilisateurs et leur équipement de travail doivent offrir une capacité d’adaptation supérieure. Cependant, les entreprises de toutes tailles commencent à réaliser l’importance de la connectivité sans fil au sein de leurs locaux. Simultanément, les normes industrielles IEEE 802.11 et IEEE 802.11b pour ce type de réseau ont offert de nouvelles possibilités pour l’implémentation de solutions LAN sans fil. Grâce aux nouveaux produits de ce type à la vente, qui sont compatibles, toutes les entreprises et organisations sont en mesure d’apprécier l’opportunité de ces réseaux. La plupart de ces entreprises traitent des données très confidentielles, donc les problèmes de sécurité sont souvent cruciaux.
Un réseau local sans fil est un système souple de communication de données, mis en œuvre sous forme d’extension d’un réseau local câblé au sein d’un bâtiment ou d’un campus. En appliquant la technologie de radiofréquence (RF), les réseaux locaux sans fil transmettent et reçoivent des données en liaison radio, ce qui réduit les besoins en connexion par câble. Le réseau local sans fil procure aux utilisateurs un accès mobile à un réseau local câblé dans sa zone de couverture. Ce type de réseau s’est récemment répandu dans un certain nombre de marchés verticaux, y compris le secteur de la santé, le marché de détail, l’industrie, la manutention et le stockage et les universités. Ces secteurs ont bénéficié de la productivité résultant de l’utilisation de dispositifs de poche et d’ordinateurs portables, lesquels permettent de transmettre en temps réel des informations à traiter à des hôtes centralisés. Dans l’environnement de bureau quotidien, il est de plus en plus indispensable de pouvoir utiliser des structures de réseau local à n’importe quel endroit et de pouvoir travailler sans installation ni câblage complexes. La standardisation des technologies LAN sans fil permet d’étendre ou de remplacer plus facilement une partie du réseau local traditionnel par une solution sans fil.
Lors de la planification de l’architecture du réseau, étudiez soigneusement les problèmes de sécurité et veillez à prendre toutes les mesures de sécurité nécessaires pour assurer la confidentialité et l’intégrité des données sur les réseaux locaux câblés et sans fil. Contrairement aux réseaux de télécommunications, les réseaux locaux avec trafic IP et accès à l’Internet public n’assurent pas une très grande fiabilité, ni de garantie de sécurité. Si vous ne prenez pas les précautions adéquates, tout réseau local câblé ou sans fil peut se révéler vulnérable et s’exposer à des risques et problèmes de sécurité. Par exemple, un intrus externe pourra accéder à des données réseau, voire même les altérer, pour s’enrichir en vendant des
1
informations confidentielles à la concurrence. Ces deux dernières années, ces risques ont compliqué l’utilisation à grande échelle des réseaux sans fil contenant des données confidentielles, car les utilisateurs ont généralement des exigences et des politiques strictes en matière de sécurité et d’intégrité des données.

PRESENTATION DE LA SECURITE DES DONNEES

Menaces informatiques

Les systèmes et les réseaux informatiques sont confrontés à des menaces informatiques graves, lesquelles peuvent endommager sérieusement un système, ses services ou ses informations. Une attaque est une action qui compromet la sécurité des informations appartenant à une société, tandis quune menace informatique est la possibilité de mener à bien de telles attaques. Parmi les menaces courantes, on peut citer : le refus de service, linterception, la manipulation, lusurpation didentité et la répudiation.
Refus de service : des utilisateurs autorisés nont plus accès à un système ou à un réseau ou bien les communications sont interrompues ou retardées. Cela peut résulter d’une surcharge sur le réseau avec des paquets interdits, par exemple. Dans le cas dun réseau local sans fil, cela peut s’expliquer par des interférences intentionnelles avec les radiofréquences utilisées, ce qui perturbe le réseau sans fil.
Interception peut signifier usurpation d’identité, autrement dit le contrôle de lidentité dun correspondant en vue de lusurper ultérieurement. Il sagit aussi de linterception des données via laquelle un utilisateur non autorisé contrôle les données utilisateur durant une session de communication. Cest une attaque à la confidentialité ; par exemple, un attaquant écoute sur le dispositif sans fil (ou câblé) et capture les données transmises.
Manipulation : se produit lorsque des données sont remplacées, insérées ou supprimées dans un système. Il sagit dune menace pour lintégrité des données, qui peut être involontaire (dû à une erreur matérielle) ou volontaire, si un pirate écoute les communications de données et modifie les données utilisateur.
Usurpation d’identité : se produit quand un attaquant prétend être un utilisateur autorisé afin daccéder aux informations ou à un système ; par exemple, dans un réseau local sans fil, si un utilisateur non autorisé essaie davoir accès au réseau sans fil.
Répudiation : se produit quand un utilisateur refuse d’admettre quil a commis un acte susceptible de nuire au système ou à la communication. Par exemple, les utilisateurs peuvent nier quils ont envoyé certains messages ou utilisé un système LAN sans fil.

Services et mécanismes de sécurité

Afin de se protéger contre les menaces informatiques exposées ci-dessus, il faut mettre en place divers services et mécanismes de sécurité. Les services de sécurité améliorent la sécurité du système dinformation et des transmissions de données. Dautre part, les mécanismes de sécurité sont les mesures actives utilisées pour procurer des services de sécurité. Le chiffrement est un exemple de mécanisme utilisable avec différents services de sécurité.
2
Authentification : service qui confirme l’identité dune entité, tel quun utilisateur ou un dispositif, ou confirme l’originalité d’un message transmis. Lauthentification sert généralement de protection contre lusurpation d’identité et la modification. Dans les systèmes sans fil actuels, par exemple, les points d’accès doivent authentifier les dispositifs sans fil pour éviter tout accès illégal au réseau. Etroitement lié à l’authentification, le service de contrôle daccès permet de limiter et de contrôler l’accès aux systèmes et aux applications réseau. Avant de pouvoir accéder au système, les entités doivent dabord être identifiées ou authentifiées.
Confidentialité des données : protection des données transmises contre linterception. Dans les communications sans fil, cela peut signifier que les données transférées entre un dispositif sans fil et un point daccès dans linterface aérienne restent privées. Naturellement, toutes les données ne sont pas jugées confidentielles, mais il ne faut pas transmettre de données sensibles si aucune mesure de sécurité n’a été prise.
Intégrité des données : service de sécurité important attestant que les données transmises nont pas été trafiquées. Lauthentification des correspondants est insuffisante si le système ne peut garantir quun message na pas été altéré durant la transmission. L’intégrité des données permet de détecter et de protéger les données contre toute manipulation.
Non-répudiation : service empêchant une entité de nier une action qui sest réellement produite. Le cas le plus fréquent est celui dune entité qui a utilisé un service ou transmis un message puis qui le dément par la suite.

SECURITE ET IEEE 802.11

Il existe divers protocoles et solutions de sécurité qui permettent dassurer la protection des transmissions sur les réseaux informatiques. Ceux-là peuvent également sappliquer aux réseaux locaux sans fil dont le trafic doit être protégé contre l’écoute clandestine. Cette section présente les solutions possibles pour résoudre les problèmes de sécurité dans les réseaux locaux sans fil.
La norme applicable aux réseaux locaux sans fil IEEE 802.11 fut homologuée en
1997. Cette norme fut développée pour optimiser la compatibilité entre les différentes marques de produits LAN sans fil, et pour apporter diverses améliorations des performances et avantages. La norme IEEE 802.11 définit trois options de couche PHY : FHSS, DSSS et IR. DSSS présente certains avantages par rapport aux deux autres options de couches PHY. DSSS offre les taux de transmission de données potentiels les plus élevés (jusqu’à 11 Mbits/s) ainsi qu’une zone de couverture supérieure à celle des options FH et IR. A l’origine, les systèmes DSSS étaient utilisés pour les communications militaires. Les systèmes radio basés sur DSSS sont également très résistants contre les interférences.
La norme applicable aux réseaux locaux sans fil IEEE 802.11 existante définit deux services dauthentification :
Authentification par clé partagée basée sur le mécanisme WEP (Wired Equivalent Privacy)
Authentification de systèmes ouverts (informe simplement quun dispositif sans fil souhaite s’associer à un autre dispositif sans fil ou point d’accès)
3

Wired equivalent privacy - WEP

Les stations dun réseau local sans fil IEEE 802.11 peuvent lutter contre l’écoute clandestine en appliquant lalgorithme WEP en option, qui est également utilisé dans le schéma dauthentification par clé partagée. Lalgorithme WEP utilise lalgorithme RC4 avec une clé secrète allant jusqu’à 128 bits. Quand les dispositifs sans fil dun réseau local sans fil souhaitent communiquer avec le mécanisme WEP, ils doivent posséder la même clé secrète. La norme ne prévoit pas comment les clés sont distribuées aux dispositifs sans fil.
Dun point de vue cryptographique, la longueur de la clé et la protection procurées par lalgorithme sont importantes. Au niveau de l’architecture des systèmes, la méthode de distribution et de gestion des clés WEP est essentielle car la sécurité est basée sur leur caractère confidentiel. WEP attend que la clé secrète partagée soit par avance distribuée à tous les dispositifs sans fil, et ce en toute sécurité. Par exemple, les clés peuvent être chargées dans leurs bases de gestion lors de linstallation des points d’accès et des dispositifs sans fil. L’avantage de l’utilisation du WEP est que le trafic est déjà crypté sur la couche de liaison entre les dispositifs sans fil, ce qui évite de mettre en place des mécanismes de cryptage sur les couches supérieures. Lalgorithme peut être incorporé dans la carte matérielle, ce qui assure un cryptage plus rapide quavec les solutions logicielles.

Authentification de systèmes ouverts

Pour limiter l’accès à un réseau sans fil dépourvu de mécanisme WEP, la plupart des fournisseurs de produits LAN sans fil ont mis en œuvre une méthode de contrôle daccès. Celle-ci sappuie sur le blocage dassociations issues dadresses MAC indésirables sur les points daccès. Les cartes LAN sans fil ont une adresse MAC de 48 bits qui les identifie exclusivement, conformément à la norme IEEE 802. Une liste qui contient les adresses MAC des cartes LAN sans fil valides peut être définie dans les points d’accès. Tout dispositif sans fil essayant de s’associer à une carte LAN sans fil dont ladresse MAC ne figure pas sur la liste, se verra refuser lassociation et ne pourra donc pas utiliser linterface de réseau local sans fil. Si aucune méthode dauthentification ou de cryptage nest utilisée, le réseau local sans fil peut créer un risque de sécurité si les signaux radio circulent hors des bureaux. Un intrus qui connaît lidentificateur SSID (Identificateur des services soit Service Set Identifier) servant à identifier le réseau local sans fil, pourra configurer un dispositif sans fil en mesure de fonctionner sur le même réseau et la même fréquence que les points daccès, et avoir accès au réseau si aucun blocage d’adresses MAC n’a été utilisé. Avec les outils appropriés, lintrus peut écouter clandestinement les données transmises par les utilisateurs autorisés. Il est également possible de fabriquer de fausses adresses MAC sur les cartes LAN sans fil. Ainsi, après avoir pris connaissance dune adresse MAC autorisée, un intrus pourra programmer une carte LAN sans fil avec cette même adresse MAC et accéder au réseau local sans fil. Si vous utilisez simultanément la carte LAN sans fil, des problèmes de réseau se poseront inéluctablement.

RESEAUX VIRTUELS PRIVES

Il est possible dappliquer la technologie de réseau privé virtuel (RPV) sur des réseaux locaux sans fil pour créer des tunnels virtuels permettant de sécuriser les communications. Si lon considère quun RPV est précisément configuré, ces
4
tunnels virtuels garantissent que seuls les utilisateurs autorisés pourront accéder au réseau de la société et quaucun agent externe ne sera en mesure de lire ou daltérer les données. Il est possible dutiliser diverses approches et normes techniques pour mettre en œuvre des réseaux virtuels privés. Pour toutes ces approches, le contenu de sécurité se caractérise généralement par deux composants principaux : authentification dutilisateur et cryptage des données.

Authentification d’utilisateur

Des méthodes didentification dutilisateur fiables sont essentielles dans un environnement de réseau local sans fil. Il y a peu de temps encore, l’authentification était souvent basée sur un ID dutilisateur et un mot de passe, une réponse aux demandes d’accès ou une base de données de stratégie d’utilisateurs centrale. Le protocole RADIUS (Remote Authentication Dial-in User Service) est un exemple de base de données de stratégie dutilisateurs centrale qui est utilisée pour la transmission des requêtes dauthentification au moyen dun ID dutilisateur fixe et dun mot de passe. La carte SecurID de RSA Security est une autre méthode dauthentification. SecurID est un matériel qui crée des codes d’accès exclusifs, à usage unique et imprévisibles. Le code d’accès peut être utilisé avec un code PIN personnel secret pour assurer une authentification solide. Il existe également plusieurs nouvelles méthodes modernes dauthentification dutilisateur. Les cartes à puce dotée dun micro-contrôleur et dune mémoire peuvent contenir un ensemble dapplications allant du simple algorithme d’authentification à la monnaie électronique. Les cartes à puce procurent aux utilisateurs un moyen aisé de transporter sur eux un dispositif d’authentification.

Cryptage de données

Le cryptage de données sert à protéger les données contre les utilisateurs non autorisés grâce au codage de leur contenu. Il est possible dutiliser de nombreuses méthodes de cryptage, qui se distinguent principalement par leurs algorithmes de chiffrement. Les algorithmes à clé publique, tels que le RSA, utilisent des clés mathématiques différentes pour le cryptage et le décryptage. Les algorithmes à clé secrète, tels que RC4, DES et 3DES, utilisent une clé identique pour le cryptage et le décryptage. Les méthodes à clé secrète sont rapides, mais comme une même clé est utilisée pour le cryptage et le décryptage, la sécurité des données peut être compromise si la gestion des clés nest pas fiable. L’efficacité du cryptage dépend grandement de la gestion des clés et de la longueur des clés. La clé doit être suffisamment longue et, dans le cas de solutions modernes, elle doit dépasser les 56 bits minimum requis.

IPSEC – La norme de sécurité du protocole Internet

IPSEC est une nouvelle norme de sécurité prévoyant que des composants procurent divers services de sécurité au niveau de la couche IP, tel que lauthentification et le cryptage. La norme IPSEC fut lancée en 1998 par le groupe de travail d’ingénierie Internet (IETF). IPSEC sexploite de deux façons. En mode transport, les adresses IP initiales sont incorporées dans le paquet de données et seules les données utiles sont codées. En mode tunnel, les adresses IP initiales sont également encapsulées et un nouvel en-tête est ajouté au paquet. Security association (SA) est la base de la norme IPSEC. Une association SA se forme entre les hôtes communiquants et précise, par exemple, les algorithmes de cryptage et dauthentification utilisés, les propriétés de gestion des clés et la durée de vie des clés de cryptage ainsi que
5
lassociation de sécurité. Un des principaux éléments de lIPSEC est le protocole IKE (Internet Key Exchange, Central de clé Internet) pour la gestion des clés, lequel établit des clés pour le cryptage. La norme de sécurité IPSEC-IKE déploie des paires de clés privé-publique. Chaque client/utilisateur a une clé privée et le réseau stocke la clé publique correspondante. La méthode basée sur les clés pré-partagées est également prise en charge. Celle-ci prévoit que le client/utilisateur et le réseau partagent la même clé secrète qui leur a été fournie avant la communication. A lavenir, lIPSEC va standardiser la méthode dapplication de la protection des données. Il est prévu que lensemble des principaux fabricants de matériel et de logiciels lanceront des produits compatibles IPSEC en l’an 2000. Ainsi, lIPSEC sera de facto la solution de sécurité standard sur Internet. Cette norme sera également utilisée comme telle dans les réseaux locaux sans fil, assurant ainsi linterfonctionnement de lensemble des solutions et systèmes de sécurité.

Connexions sécurisées sur les intranets avec RPV

Un autre moyen de construire un réseau local sans fil avec un accès aux intranets consiste à concevoir un segment de réseau local dédié dans lequel les points d’accès sont connectés. Le segment de réseau local sans fil peut alors être séparé de lintranet avec une passerelle de sécurité qui contrôle laccès aux ressources de lintranet.
Société
Passerelle de sécurité (Passerelle/passerelle RPV)
Bases de donn
dauthentification
Station de travail
Station de travail
de soci
Serveur
ées été
Tunnels RPV
Pare-feu
INTERNET
Figure 1. Segment de réseau local sans fil dans une entreprise
LAN sans fil
Points daccès
Dispositifs sans fil avec client RPV
Un tunnel est créé entre le dispositif sans fil et la passerelle de sécurité, et les données transmises dans ce tunnel sont authentifiées et cryptées. Au niveau de la mise en œuvre, cette installation peut être basée sur une configuration RPV. Il est possible dintégrer la passerelle de sécurité et le pare-feu principal de telle sorte que le segment de réseau local soit connecté au même dispositif qui est également connecté à l’Internet. Pour des raisons administratives (et du fait que le pare-feu peut être géographiquement éloigné du segment de réseau local sans fil), il est
6
toutefois préférable de prévoir des dispositifs distincts comme lillustre la figure ci­dessus.
Lavantage de cette solution est quelle permet de protéger les informations transmises à lintranet, ou en provenance de lintranet, et quelle évite tout accès non autorisé. Il est important de noter que, comme dans ce modèle le trafic est codé entre le dispositif sans fil et la passerelle, le trafic entre deux dispositifs sans fil dans le segment de réseau local sans fil nest pas décrypté, sauf si ceux-ci utilisent dautres mesures, telles que lIPSEC (Internet Protocol Security, Sécurité IP), le TLS (Transport Layer Security, Sécurité des couches de transport) ou d’autres méthodes de cryptage de niveau application. En outre, le tunnel sécurisé est établi quand le dispositif sans fil se connecte à la passerelle de sécurité. Ainsi, seuls les dispositifs sans fil peuvent lancer des connexions avec les hôtes intranet ; ceux-ci ne peuvent pas se connecter directement aux dispositifs sans fil.

SECURITE ET PRODUITS LAN SANS FIL NOKIA

Cette section vous permet de définir un niveau de sécurité appropriée pour les produits de réseau local sans fil Nokia.

Nokia réseau local sans fil 2 Mbits/s

La Nokia C020/C021 Carte LAN sans fil et le Nokia A020 Point d’accès LAN sans fil ne procurent pas doptions de sécurité supplémentaires, telles que les fonctions WEP. Cest la raison pour laquelle une solution RPV complète, dotée d’une authentification fiable et du cryptage de données, doit être utilisée avec les produits Nokia LAN sans fil 2 Mbits/s pour toutes les installations nécessitant un niveau de sécurité élevé, telles que les banques.
Réseau local dentreprise
Authentification RPV et cryptage des données
Dispositifs sans fil
Nokia A020 Point daccès LAN sans fil
Réseau local câblé 10 Mbit/s
Concentrateur ou commutateur
Serveur RPV
Figure 2. Exemple dauthentification RPV dans un réseau local sans fil Vous pouvez accroître la sécurité au moyen des listes didentificateurs de réseau
(NID soit Network Identifier) sur certains points d’accès, voire tous. Cela évite que des utilisateurs externes ainsi que des utilisateurs internes non autorisés utilisent certains points d’accès.
La configuration et le contrôle des points d’accès peuvent être bloqués en activant la fonction de verrouillage de point d’accès et en limitant le nombre de gestionnaires habilités à configurer et à contrôler le point d’accès (4 gestionnaires maximum). Il est également possible de définir les adresses IP détentrices de droits daccès. Il existe aussi des options pour modifier les ports et limiter lutilisation de Telnet, Web et TFTP.
7

Nouveau Nokia LAN sans fil 11 Mbits/s

La nouvelle Nokia C110/C111 Carte LAN sans fil procure de nouvelles fonctions permettant daugmenter la sécurité des réseaux sans fil. En premier lieu, celle-ci intègre un lecteur de cartes à puce, qui offre un outil très fiable et efficace pour gérer les identités dutilisateur. En second lieu, cette solution inclut l’authentification WEP de réseau local sans fil et le cryptage liaison radio. Pour les installations bancaires dont la sécurité est cruciale, il est cependant recommandé d’intégrer le réseau local sans fil avec une solution RPV. Toutefois, la carte à puce intégrée peut servir à stocker des identités dutilisateur de niveau RPV, voire même des mots de passe de connexion réseau.
Pourquoi utiliser le mécanisme WEP ? Il est possible dappliquer le WEP pour élever le niveau de sécurité des réseaux. En premier lieu, celui-ci accroît la sécurité dinterface radio, au niveau de lauthentification et du cryptage. En second lieu, il permet de mettre facilement en place des solutions rentables. WEP assure le transfert sécurisé des données entre les dispositifs sans fil. WEP offre un outil dauthentification et de cryptage des données supplémentaire, qui peut s’utiliser comme tel dans de nombreuses installations.
Réseau local dentreprise
WEP
Authentification RPV et cryptage des données
Authentification WEP et cryptage des données
Nokia A032 Point daccès LAN sans fil
Réseau local câblé 10 Mbit/s
Concentrateur ou commutateur
Serveur RPV
Figure 3. Exemple de RPV et WEP dans un réseau local sans fil Quen est-il des cartes à puce ? Le lecteur Nokia de cartes à puce LAN sans fil intégré
procure un outil efficace pour gérer les identités d’utilisateur et l’authentification dutilisateur dans le réseau sans fil. La carte LAN sans fil Nokia offre une interface de lecteur de cartes à puce standard de taille ID000, qui prend en charge une gamme de solutions de cartes à puce commerciales liées à l’authentification de réseau dentreprise et de services.
La Nokia C110/C111 est dotée dune interface de lecteur de cartes à puce qui prend en charge la plupart des solutions RPV commercialisées, et qui permet même le développement de solutions de carte à puce personnalisées pour les utilisateurs mobiles. Le lecteur de cartes à puce intégré prend en charge lAPI (Application Program Interface, Interface de programmation dapplications) de carte à puces
®
standard Microsoft
.
Le lecteur de cartes à puce intégré est également un moyen efficace de commencer à appliquer des signatures électroniques. Avec le Nokia C110/C111, vous pouvez commencer à utiliser les produits dauthentification fiable basés sur linfrastructure PKI (Public Key Infrastructure, Infrastructure à clé publique soit ) parallèlement à une autre solution de sécurité. Nous constatons qu’un nombre croissant dinstitutions, entre autres financières, commencent à utiliser linfrastructure PKI. A cet égard, le Nokia C110 offre une solution de choix répondant aux besoins accrus en matière de sécurité.
8
Les principaux avantages de lapproche « carte à puce » sont :
Une carte à puce est un moyen tangible et fiable de distribuer des clés
dauthentification de réseau aux utilisateurs mobiles. En outre, elle assure un stockage des mots de passe protégé par code PIN.
Une carte à puce peut être intégrée de manière efficace à lauthentification de réseau en utilisant les produits dauthentification de réseau dentreprise existants.
A lavenir, la carte à puce intégrée activera les signatures numériques et les services PKI, qui sont de plus en plus répandus dans le secteur bancaire.
Le lecteur de cartes à puce intégré est une solution rentable offrant des services de carte à puce aux ordinateurs portables.

QUESTIONS ET REPONSES

Q1 : Comment l’utilisateur est-il authentifié et comment les données sont-elles cryptées entre un dispositif LAN sans fil et un point d’accès ?
La norme applicable aux réseaux locaux sans fil IEEE 802.11 existante définit deux services dauthentification :
Authentification de systèmes ouverts (informe simplement quun dispositif sans fil souhaite s’associer à un autre dispositif sans fil ou à un point d’accès).
Authentification par clé partagée basée sur le WEP (Wired Equivalent Privacy)
Avec lauthentification de systèmes ouverts, seules les cartes LAN sans fil valides peuvent sassocier aux points d’accès. Lauthentification de systèmes ouverts ne procure pas lauthentification basée sur les paquets ou toute autre protection de données.
Pour assurer la confidentialité des transmissions de trames, la norme IEEE 802.11 définit un mécanisme WEP en option. WEP est un cryptage symétrique qui contribue à éviter les divulgations clandestines. Des longueurs de clé allant jusqu’à 128 bits sont réalisables avec les produits Nokia LAN sans fil 11 Mbits/s et WEP crypte tous les paquets de données dutilisateur grâce à l’algorithme RC4.
La nouvelle Nokia C110/C111 Carte LAN sans fil dotée de lauthentification et du cryptage WEP interdit aux utilisateurs clandestins dutiliser les services du réseau et procure le brouillage des données utilisateur sur les liaisons radio. En cas dinstallation nécessitant une sécurité de haut niveau, il est possible daméliorer la confidentialité du réseau et des données utilisateur en déployant des mécanismes de sécurité de niveau IP, tels que les produits RPV. Dans ce cas, le segment de réseau local est isolé du réseau dentreprise grâce à un dispositif RPV. Celui-ci exécute une authentification dutilisateur et un cryptage des données entre le terminal sans fil et le réseau à l’aide dalgorithmes de cryptage puissants, tels que DES ou 3DES. La solution LAN sans fil de Nokia prend en charge les solutions RPV dominantes qui sont transparentes au niveau du réseau local sans fil.
Q2 : La liaison radio est-elle vulnérable aux attaques spectrales ?
La version DSSS (étalement du spectre en séquence directe) de la norme IEEE 802.11 est conçue pour parer les interférences. Il faut cependant noter quaucun système LAN sans fil actuel ne vient parfaitement à bout du brouillage intentionnel.
9
Q3 : Comment s’assurer que chaque dispositif sans fil a un mot de passe d’ouverture et fermeture de session inactive ?
Le point d’accès termine lauthentification au bout dun certain temps si le dispositif sans fil est éteint ou sil devient hors de portée.
La Nokia C110/C111 Carte LAN sans fil offre lauthentification WEP qui utilise une clé WEP comme mot de passe dinitialisation. Le réseau local sans fil ne garantit aucunement une déconnexion basée sur un temporisateur mais, pour ce type dapplication, il est plutôt assimilé à un réseau local normal.
Si un mot de passe de fermeture de session inactive et douverture de session fiable est requis, il est recommandé d’intégrer le réseau local sans fil avec un produit RPV qui procure généralement ces fonctions.
Q4 : Est-il possi ble de refuser l’accès au réseau loca l sans fil sur une inst allation nœud par nœud ?
Oui. Il existe deux options complémentaires : il est possible dutiliser les listes de NID dans les points d’accès du réseau local sans fil. Dans ce cas, les points d’accès permettent uniquement aux cartes LAN sans fil listées (adresse MAC) davoir accès au réseau. Les identificateurs NID limitent lutilisation du réseau radio basé sur ladresse MAC de carte LAN. Pour les installations exigeant un niveau de sécurité supérieur, nous recommandons le déploiement dune méthode d’authentification plus fiable, basée sur une solution RPV, en vue de réduire les risques d’intrusion dans le réseau. Cependant, pour les solutions critiques, il est possible d’appliquer une méthode dauthentification de niveau LAN sans fil et RPV. Dans ce cas, lauthentification LAN sans fil procure le premier blindage à percer avant de pouvoir franchir le pare-feu du RPV.
Q5 : Qu ell es s ont les rép erc uss ion s du rés ea u l oca l sa ns f il s ur l es p rob lèm es d e s éc uri té d es entreprises ?
Cela dépend entièrement de la stratégie de la société. Dans le domaine de la sécurité, le réseau radio local sans fil apporte résolument une nouvelle dimension mais, comme toujours, une planification appropriée contribuera à éviter d’éventuels problèmes. Pour les applications dont la sécurité est cruciale, nous recommandons vivement disoler le réseau local sans fil des composants déterminants du réseau à laide dune solution pare-feu RPV. Cependant, contrairement aux produits de la concurrence, la Nokia Carte LAN sans fil 11 Mbits/s offre deux outils de sécurité avancés quil est possible dintégrer aux systèmes de sécurité réseau existants : authentification dutilisateur basé sur les cartes à puce et authentification et cryptage de données WEP de réseau local sans fil.
La protection WEP constitue un bouclier supplémentaire contre les intrus. Grâce au lecteur de cartes à puce intégré, ladministration du réseau peut facilement distribuer des identités dutilisateur tangibles et des clés sécurisées aux terminaux de réseau local sans fil. La carte à puce procure un stockage de mot de passe protégé par code PIN et permet de calculer les jetons de mot de passe à session unique, ce qui constitue une solution bien plus fiable que le déploiement massif de mots de passe statiques.
Pour obtenir une mise à jour des informations sur les produits LAN sans fil Nokia et la sécurité des données, consultez régulièrement notre page d’accueil à l’adresse suivante : www.forum.nokia.com.
10
Loading...
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use