La mobilité a aujourd'hui la cote en entreprise. Selon le cabinet
d'études Infonetics Research, le chiffre d'affaires engendré
par les équipements de réseaux locaux sans fil (WLAN) s'élève
à 2,8 milliards de dollars en 2004, soit une croissance de 15%
des ventes en un an. Une donnée à mettre en parallèle avec le
succès des ordinateurs portables. En 2004, alors que la croissance
moyenne des ventes de PC (serveurs d'entrée de gammes, stations
de travail, PC et portables) approchait les 13% selon iSupply,
les ventes d'ordinateurs portables gagnaient 22,1%.
Les
réseaux sans fil offrent des avantages indéniables comme la
liberté de déplacement, le travail à distance, les nouvelles
applications métiers (CRM pour les commerciaux notamment)
et les économies de câblage. Mieux, la norme WiFi, aujourd'hui
la plus utilisée dans le cadre de réseaux WLAN, a gommé certains
de ses défauts de jeunesse. En effet, autrefois soumis au
protocole réseau 802.11b, limité en termes de débit et de sécurité,
le WiFi s'ouvre désormais de nombreuses portes grâce à la
combinaison des nouvelles normes 802.11g et 802.11i.
Toutefois, déployer un réseau sans fil pose de nombreuses
interrogations en matière de qualité de service, de sécurité
ou d'administration. Parce qu'il doit trouver le juste milieu
entre performance, sécurité et couverture, le projet de déploiement
ne peut se traiter comme un projet
réseau standard.
1) Approfondir son étude de couverture radio
Une bonne étude de couverture radio se doit de prendre
en compte les différents aspects du site à équiper. Il faut
ainsi passer en revue les besoins de couverture, totale ou
partielle, les attentes en termes de performance, l'environnement
et les bruits possibles, la densité des murs et la disposition
des différents points d'accès. Même s'il s'agit de technologies
sans fil, la question des possibilités pratiques de câblage
se pose tout de même, en raison des besoins en électricité
notamment. Dans ce domaine, une alternative se généralise.
Elle consiste à recourir à des câbles réseaux ethernet pour
alimenter les points d'accès en électricité.
2) Anticiper les évolutions du site
Deuxième élément à prendre en compte : l'évolutivité du site.
L'entreprise peut être soumise à des déménagements, des pièces
qui se remplissent. Ce phénomène difficile à gérer peut être
en partie résolue grâce à un mécanisme de gestion automatique
de l'émission radio. "Les points d'accès WiFi ne sont plus
complètement autonomes et indépendants mais désormais reliés
à un commutateur central qui dispose d'une vision globale
de l'espace radio couvert. Ce commutateur central adapte la
puissance d'émission de chaque point d'accès en fonction des
différences qu'il a pu constater sur le réseau", explique Philippe
Bellegy, directeur de projet mobilité chez Devoteam Consulting.
3) Savoir arbitrer entre portée et débit
Dans une liaison point à point, typiquement deux immeubles
à relier, le WiFi doit alors arbitrer entre portée
et débit en raison de l'affaiblissement du signal.
Mais alors, le constructeur peut proposer une antenne spécifique.
Au lieu d'une émission radio à 360°, le point
d'accès utilise une antenne directionnelle avec une
émission de 10° par exemple, ce qui augmente la portée
de l'onde. Enfin, pour éviter les zones d'ombres, il convient
de ne pas hésiter à superposer les couvertures des différentes
bornes WiFi, une stratégie qui simplifie à moyen terme l'évolutivité
du réseau.
4) Définir les besoins utilisateurs
Comme pour un réseau traditionnel, il faut réfléchir aux flux
qui vont transiter par ce nouveau réseau. En fonction des
usages, bureautique ou vidéo à distance, les contraintes
ne seront pas les mêmes. Pour anticiper ses besoins en bande
passante, il convient de dresser la liste des utilisateurs
du réseau ainsi que leurs différents usages. Mais même le
protocole réseau 802.11g, avec ses débits théoriques de 54
Mbits/s ne répond pas toujours aux gros besoins de bande passante.
Dans ce cas, mieux vaut s'en tenir à un réseau filaire classique.
5) Homogénéiser ses protocoles réseaux
Si de nombreuses normes existent en matière de réseaux WiFi,
le mariage des équipements n'apporte pas toujours un niveau
de satisfaction supplémentaire pour l'utilisateur. "Typiquement,
si un poste équipé en 802.11b c'est à dire à 11 Mbits/s, se
connecte sur un point d'accès 802.11g à 54 Mbits/s, le point
d'accès devient 802.11b et limite l'ensemble des autres utilisateurs",
explique Philippe Bellegy. En revanche, le mariage des réseaux
802.11a et 802.11b ou g apporte un réel plus. Comme la norme
802.11a n'utilise pas les mêmes bandes de fréquence que ses
cousins, il offre une bande passante supplémentaire utile
pour combler les besoins d'une entreprise sur un point précis
du réseau.
6) Sécuriser ses points d'accès contre l'intrusion
Certains points d'accès intègrent toujours l'algorithme d'authentification
et de chiffrement WEP (Wired Equivalent Privacy). Cependant,
cet algorithme laisse de nombreuses failles de sécurité. Aussi,
les spécialistes de la sécurité recommandent de se tourner
vers des solutions comme le WPA ou le WPA2 (WiFi Protected
Access), présent dans les produits récents des constructeurs.
Pour les possesseurs de point d'accès WEP, des solutions de
sécurité alternative existent toutefois.
"Le WEP comportant de nombreuses failles, il convient de
le coupler avec des méthodes d'authentifications basées sur
EAP tels que EAP-TLS, EAP-TTLS, PEAP, ces dernières permettant
une authentification forte (certificats) et une rotation des
clés de chiffrement mitigeant ainsi les faiblesses du WEP.
Ces méthodes d'authentification nécessitent l'installation
d'un serveur d'authentification (Radius, etc.) et l'utilisation
d'une PKI pour gérer les certificats dans le cas d'EAP-TLS",
affirme Guillaume Lehembre, consultant sécurité pour le cabinet
Hervé Schauer.
Dans le cas d'un employé travaillant à distance,
une entreprise aura tout intérêt à mettre en place un réseau
privé virtuel (VPN) crypté SSL ou IPSec. "Les VPN SSL
posent néanmoins quelques problèmes de performance avec les
applications temps réel (Voix sur IP, etc.) car ils reposent
sur le protocole TCP", ajoute Guillaume Lehembre. Pour
des réseaux locaux sans fil de moins de 10 postes, il est
également possible de filtrer les accès au travers d'une liste
d'adresse mac, bien que cette pratique complique l'administration
du parc. D'une manière générale, l'administration
gagne en efficacité à partir du moment où
l'on va centraliser l'authentification sur des serveurs dédiés.
7) Séparer son réseau sans fil du reste de l'infrastructure
Autre point noir de la sécurité d'un réseau sans fil, les
postes mobiles infectés par les utilisateurs au cours du week-end
et qui reviennent en début de semaine infecter le réseau de
l'entreprise. En règle générale, les experts conseillent de
séparer le réseau sans fil du reste du réseau de l'entreprise.
Cette séparation peut passer par un pare-feu ou un réseau
virtuel (VLAN). "Il est fortement recommandé de connecter
les bornes sur un VLAN dédié branché sur sa propre DMZ [NDLR
: zone tampon] filtrée, de journaliser les connexions au
niveau du pare-feu et d'utiliser pour cette zone des serveurs dédiés : DHCP,
relais applicatif, concentrateur VPN, etc.",
avise Guillaume Lehembre.
8) Se prémunir contre les points d'accès pirates
A noter également, le risque de point d'accès pirate, où
un intrus simule un point d'accès d'entreprise pour attirer
les connexions des employés de l'entreprise. Contre ce type
de menaces, trois solutions existent. "Tout d'abord, il est
possible de détecter ces points d'accès en écoutant le réseau
radio et en vérifiant que les émetteurs sont officiels. Ensuite,
les flux des réseaux filaires peuvent également servir à détecter
ces faux points d'accès. Enfin, certaines sociétés installent
des bornes WiFi dédiées à l'écoute du réseau. Cette dernière
solution est assez onéreuse", souligne Philippe Bellegy.
9) Maintenir son réseau à jour et sensibiliser les utilisateurs
Tout comme la maintenance des postes impose des mises à jour
régulière, un réseau sans fil ne demeure sécurisé que si ces
points d'accès sont régulièrement mis à jour. Ce travail d'administration
doit être complété par une formation des utilisateurs aux
risques encourus par la mobilité. Soit une entreprise opte
pour une sécurité maximale en bloquant l'accès à Internet
et l'installation de logiciels en dehors de son réseau à travers
des profils bien définis, soit elle sensibilise ses collaborateurs
aux dangers et offre une plus grande souplesse.
10) Ne pas promettre un niveau de qualité de service optimal
Aujourd'hui, la norme de qualité de service 802.11e prévue
pour fiabiliser les réseaux WiFi n'a toujours pas été finalisée
et adoptée par l'organisme de normalisation des réseaux, l'IEEE.
En conséquence, difficile pour un réseau sans fil d'arbitrer
entre des flux prioritaires comme la vidéo, ou la voix sur
IP, et des applications traditionnelles. "Les équipementiers
proposent leurs propres mécanismes propriétaires mais ils
ne sont pas harmonisés et, à notre avis, pas encore bien matures.
Cependant, c'est un domaine qui évolue vite", constate le
directeur de projet mobilité de Devoteam.
|