Positionnement d'un point d'accès WIFI et sécurité

[Kane]

Salut à tous,

Je dois mettre en place un accès WIFI dans une PME.
Actuellement, cette PME est équipée d'un IPCOP avec des interfaces WAN (vers une Livebox), DMZ (relais SMTP, serveur FTP/SSH) et LAN avec un AD, une grosse vingtaine de clients (Windows ou Linux) et divers serveurs (fichiers, mail…).

Les utilisateurs WIFI ne seront pas tous logés à la même enseigne : la plupart n'auront qu'un accès à Internet mais certains devront avoir accès aux fichiers stockés sur le LAN (fichiers administratifs…) ou à la messagerie.

Où placer le point d'accès WIFI (un seul suffit vu la taille du bâtiment) ?
Quelque soit sa position, il y aura bien sûr un filtrage d'adresse MAC, une jolie clé WPA2 et une authentification Radius (un serveur Freeradius sera rajouté) sur l'AD.
Au besoin, le firewall pourra évoluer vers un PfSense (le projet est prévu dans les cartons, reste l'aval hiérarchique et financier) si nécessaire.

Ma première idée était de le placer dans la DMZ, mais ouvrir des accès DMZ vers LAN n'est pas très propre.
Autre idée : mettre dans le LAN, mais ça reste du WIFI, même sécurisé au mieux, je n'ai pas non plus hyper confiance, surtout qu'il y aura des utilisateurs "invités" (commerciaux, prestataires…).
Sinon, une nouvelle carte réseau sur le firewall peut se faire, je pense que ce serait plus sûre d'ouvrir des accès à partir de ce réseau que de la DMZ.
Sachant que, dans tous les cas, le serveur Radius étant sur le LAN, je dois au moins ouvrir le port qui va bien du point d'accès vers le Radius.
Par contre, un point d'accès par type d'utilisateurs, soit un point d'accès sur le LAN et un sur un réseau séparé (DMZ ou dédié WIFI) ne semble pas envisageable dans l'esprit de ma hiérarchie, mais s'il n'y a pas d'autre possibilité suffisamment sécurisée, la justification est toute trouvée.

J'espère avoir été clair et bien présenté le contexte.

Merci pour vos réponses.

PS :
Peut-être que ce sujet est une piste à étudier (VPN entre une patte WIFI pour accès au LAN) : http://forums.ixus.net/viewtopic.php?f=22&t=38981
Je pensais aussi à détourner l'utilisation d'un portail captif (généralement utilisé pour l'accès Internet des connexions WIFI) pour authentifier l'accès au LAN…

[ccnet]

Sinon, une nouvelle carte réseau sur le firewall peut se faire, je pense que ce serait plus sûre d'ouvrir des accès à partir de ce réseau que de la DMZ.
Sachant que, dans tous les cas, le serveur Radius étant sur le LAN, je dois au moins ouvrir le port qui va bien du point d'accès vers le Radius.

Cela me semble bien.

Par contre, un point d'accès par type d'utilisateurs, soit un point d'accès sur le LAN et un sur un réseau séparé (DMZ ou dédié WIFI) ne semble pas envisageable dans l'esprit de ma hiérarchie, mais s'il n'y a pas d'autre possibilité suffisamment sécurisée, la justification est toute trouvée.

Une solution pour séparer les différents type d'utilisateur serait d'utiliser des vlans, un par SSID différent sur un même point d'accès si celui-ci gère les SSID multiples. Par contre ipcop ne gère pas les vlans nativement. Pfsense le fait.

Dans tous les cas séparer le wifi du filaire est nécessaire.

[Kane]

Merci ccnet pour la réponse rapide.
Oui mon PA gère les SSID multiples. Je me doutais bien qu'Ipcop allait peiner sur ce sujet.