Aide dans le choix de sécurisation d'un réseau WiFi

[hc-ch]

Bonjour,

N'étant de loin pas assez qualifié pour déterminer la bonne solution, je me permets de poster afin d'obtenir quelques conseils des "pros" réseau et sécurité.

La société dans laquelle je travaille depuis peu possède un réseau de test WiFi pour des machines produites sur place (petits robots mobiles). Actuellement, il n'y a aucune sécurité et n'importe qui se connectant à l'AP peut accéder au LAN et au WAN da la société ...

Je voudrai corriger cette énorme faille de la meilleure manière possible.

J'ai cepandant une contrainte, pour des raisons pratiques, aucun cryptage n'est possible.

Les machines du LAN devront pouvoir accéder à toutes machines connectées au point d'accès. Dans l'autre sens, je pensais au moins filtrer par adresses MAC afin que seules les machines autorisées de la liste puisse communiquer avec le LAN et éventuellement le WAN. Ensuite, toute machine n'appartenant pas à cette liste pourra se connecter à l'AP, mais pourra uniquement communiquer avec les machines appartenant à la liste ci-dessus, et ce uniquement via des ports/protocoles définis.

Les robots que l'on teste à travers le réseau WiFi sont des clients qui n'ont besoin de communiquer qu'avec nos ordinateurs (pas d'accès WAN nécessaire) en utilisant des protocoles définis (UDP ou TCP) via des ports définis.

Pouvez-vous, sans forcément me mâcher le travail, me diriger vers une bonne solution ? J'ai d'abord pensé utilisé IpCop mais j'ai vu que le filtrage allait me poser problème. J'ai ensuite pensé à un Vlan mais là, mais connaissances sont trop faibles pour déterminer si cela répond à ma demande. Je connais aussi un peu dd-WRT mais pas assez pour savoir s'il répond à nos besoins.

D'avance je vous remercie de m'aiguiller un peu

[ccnet]

J'ai cepandant une contrainte, pour des raisons pratiques, aucun cryptage n'est possible.

Je ne vois pas comment vous pourrez obtenir une quelconque sécurité sur un réseau Wifi sans chiffrement.
Par ailleurs je ne comprend pas quelles raisons pratiques empêchent un chiffrement au niveau ip par exemple.
Tout cela me parait confus.

[HP77]

Bonsoir,

J'ai cepandant une contrainte, pour des raisons pratiques, aucun cryptage n'est possible.

Je ne vois pas comment vous pourrez obtenir une quelconque sécurité sur un réseau Wifi sans chiffrement.
Par ailleurs je ne comprend pas quelles raisons pratiques empêchent un chiffrement au niveau ip par exemple.
Tout cela me parait confus.

Pour moi, cela semble lié au type même de la plateforme (i.e. le robot mobile) qui est utilisé.
Il se peut qu'aucun protocole mettant en oeuvre la cryptographie soit disponible pour raisons telles que :
- limitation en puissance de calcul de la platefrome donnant "vie" au robot
- absence de la librairie logicielle dans le système compilé, soit pour raisons de licenses et cie, soit pour raisons de simplicité au commencement et maintenant, ça risquerait de créer quelques soucis pour les robots existants ne pouvant pas passer à l'upgrade nécessaire...

Pour moi, ça sent un peu la mise en place d'un réseau Wi-Fi pour un concours /une compétition de robotique mais, cela n'engage que mon opinion.

Je ne pense pas être un expert mais, le peu que je connaisse en matière de Wi-Fi me fait dire que seul le filtrage par adresse MAC semble pouvoir apporter un semblant de solution.

Maintenant, côté transmissions de données, le cryptage vient, "AMHA", surtout protéger celles-ci d'une "lecture" directe par "écoute" des ondes radios via le récepteur+décodeur adéquat.



Autrement, pour le support de la cryptographie, j'imagine qu'il doit bien exister des modules dits "hybrides" dans le genre des modems GSM ou autres modules BlueTooth, ZigBee et cie qui peuvent permettre à moindres frais de s'affranchir de ce problème de liaison sécurisée mais, comme je l'ai dit, cela peut poser problème aux robots ne possèdant pas ou ne pouvant pas passer à l'upgrade...

Cordialement,
HP


P.S.
Si quelqu'un à pu tester ce genre de modules hybrides, je suis preneur d'infos via MP car j'aime bien ce petits joujous mobiles et travaillant dans un établissement scolaire, ça peut vite déboucher sur des petits projets motivants pour les "étudiants" (plutôt lycéens).

[ccnet]

Le filtrage par adresse mac est une pure illusion. Sans chiffrement du trafic, il est trivial de récupérer les adresses mac. Il est moins trivial mais simple (Cf Netcat) d'usurper cette adresse pour devenir "the man in the midle" sans qu'aucune des extrémités de s'en aperçoive.

Je comprend difficilement que l'on conçoive un robot utilisant TCP/IP en mode Wireless sans inclure dès la conception le support du chiffrement. Comme indiqué on le fait en GSM depuis ... le début avec une puissance de calcul réduite et une forte contrainte de volume, de consommation d'énergie.

Si nous sommes dans la situation supposée par hp77, je ne vois pas de solution de sécurité pour ces communication.

[hc-ch]

Bonjour,

HP77 à tout compris. Impossible de faire autrement. Je ne peux pas l'expliquer en public mais les raisons qui imposent ce choix ne dépende pas de nous.

Ccnet, il n'y a surement pas de bonnes solutions, mais il en existe de moins mauvaises. Le filtrage par adresse MAC est une pure illusion de sécurité pour les personnes qui connaissent, pour le commun des mortels c'est déjà une barrière qui en fera renoncer plus de 99%.

Je me demandais si utiliser un IpCop dans un sens bien particulier ne pourrait pas suffire ?
Imaginons que la patte rouge soit l'interface wireless, cela vous semble-t-il possible ?

[ccnet]

Bonjour,
Ccnet, il n'y a surement pas de bonnes solutions, mais il en existe de moins mauvaises. Le filtrage par adresse MAC est une pure illusion de sécurité pour les personnes qui connaissent, pour le commun des mortels c'est déjà une barrière qui en fera renoncer plus de 99%.

Une mauvaise solution n'est pas une solution. Le problème c'est que le 1% restant est de très loin le plus dangereux. Résultat vous ne traitez pas le risque dont les conséquences sont les plus graves.

Je me demandais si utiliser un IpCop dans un sens bien particulier ne pourrait pas suffire ?
Imaginons que la patte rouge soit l'interface wireless, cela vous semble-t-il possible ?

Ipcop est conçu pour fonctionner dans un contexte parfaitement défini qui affecte à chaque interface un rôle bien précis. S'en écarter comporte des effets de bords potentiels sur la sécurité. A la limite, dans votre cas, c'est presque secondaire.

[Franck78]

La société dans laquelle je travaille depuis peu possède un réseau de test WiFi pour des machines produites sur place (petits robots mobiles)

Il n'y a qu'a ne pas connecter le réseau test des robots au réseau de la société.
Ensuite rien n'empèche deux AP pour deux wifi

Et si vraiment les développeurs n'arrètent pas de tripoter les tests ou les résultats des tests, on peut toujours ajouter un lien ( ftp ?) hautement blindé entre les deux réseaux...

[hc-ch]

La société dans laquelle je travaille depuis peu possède un réseau de test WiFi pour des machines produites sur place (petits robots mobiles)

Il n'y a qu'a ne pas connecter le réseau test des robots au réseau de la société.
Ensuite rien n'empèche deux AP pour deux wifi

Et si vraiment les développeurs n'arrètent pas de tripoter les tests ou les résultats des tests, on peut toujours ajouter un lien ( ftp ?) hautement blindé entre les deux réseaux...

Oui, c'est une idée. Deux AP dont l'un correctement sécurisé et l'autre en dehors du réseau, ensuite, un lien VPN entre le LAN et le wifi ?

Cela vous semble-t-il acceptable ?