En savoir plus

Dossier Réseaux

1) Approfondir son étude de couverture radio
Une bonne étude de couverture radio se doit de prendre en compte les différents aspects du site à équiper. Il faut ainsi passer en revue les besoins de couverture, totale ou partielle, les attentes en termes de performance, l'environnement et les bruits possibles, la densité des murs et la disposition des différents points d'accès. Même s'il s'agit de technologies sans fil, la question des possibilités pratiques de câblage se pose tout de même, en raison des besoins en électricité notamment. Dans ce domaine, une alternative se généralise. Elle consiste à recourir à des câbles réseaux ethernet pour alimenter les points d'accès en électricité.

2) Anticiper les évolutions du site
Deuxième élément à prendre en compte : l'évolutivité du site. L'entreprise peut être soumise à des déménagements, des pièces qui se remplissent. Ce phénomène difficile à gérer peut être en partie résolue grâce à un mécanisme de gestion automatique de l'émission radio. "Les points d'accès WiFi ne sont plus complètement autonomes et indépendants mais désormais reliés à un commutateur central qui dispose d'une vision globale de l'espace radio couvert. Ce commutateur central adapte la puissance d'émission de chaque point d'accès en fonction des différences qu'il a pu constater sur le réseau", explique Philippe Bellegy, directeur de projet mobilité chez Devoteam Consulting.

3) Savoir arbitrer entre portée et débit
Dans une liaison point à point, typiquement deux immeubles à relier, le WiFi doit alors arbitrer entre portée et débit en raison de l'affaiblissement du signal. Mais alors, le constructeur peut proposer une antenne spécifique. Au lieu d'une émission radio à 360°, le point d'accès utilise une antenne directionnelle avec une émission de 10° par exemple, ce qui augmente la portée de l'onde. Enfin, pour éviter les zones d'ombres, il convient de ne pas hésiter à superposer les couvertures des différentes bornes WiFi, une stratégie qui simplifie à moyen terme l'évolutivité du réseau.

4) Définir les besoins utilisateurs
Comme pour un réseau traditionnel, il faut réfléchir aux flux qui vont transiter par ce nouveau réseau. En fonction des usages, bureautique ou vidéo à distance, les contraintes ne seront pas les mêmes. Pour anticiper ses besoins en bande passante, il convient de dresser la liste des utilisateurs du réseau ainsi que leurs différents usages. Mais même le protocole réseau 802.11g, avec ses débits théoriques de 54 Mbits/s ne répond pas toujours aux gros besoins de bande passante. Dans ce cas, mieux vaut s'en tenir à un réseau filaire classique.

5) Homogénéiser ses protocoles réseaux
Si de nombreuses normes existent en matière de réseaux WiFi, le mariage des équipements n'apporte pas toujours un niveau de satisfaction supplémentaire pour l'utilisateur. "Typiquement, si un poste équipé en 802.11b c'est à dire à 11 Mbits/s, se connecte sur un point d'accès 802.11g à 54 Mbits/s, le point d'accès devient 802.11b et limite l'ensemble des autres utilisateurs", explique Philippe Bellegy. En revanche, le mariage des réseaux 802.11a et 802.11b ou g apporte un réel plus. Comme la norme 802.11a n'utilise pas les mêmes bandes de fréquence que ses cousins, il offre une bande passante supplémentaire utile pour combler les besoins d'une entreprise sur un point précis du réseau.

6) Sécuriser ses points d'accès contre l'intrusion
Certains points d'accès intègrent toujours l'algorithme d'authentification et de chiffrement WEP (Wired Equivalent Privacy). Cependant, cet algorithme laisse de nombreuses failles de sécurité. Aussi, les spécialistes de la sécurité recommandent de se tourner vers des solutions comme le WPA ou le WPA2 (WiFi Protected Access), présent dans les produits récents des constructeurs. Pour les possesseurs de point d'accès WEP, des solutions de sécurité alternative existent toutefois.

"Le WEP comportant de nombreuses failles, il convient de le coupler avec des méthodes d'authentifications basées sur EAP tels que EAP-TLS, EAP-TTLS, PEAP, ces dernières permettant une authentification forte (certificats) et une rotation des clés de chiffrement mitigeant ainsi les faiblesses du WEP. Ces méthodes d'authentification nécessitent l'installation d'un serveur d'authentification (Radius, etc.) et l'utilisation d'une PKI pour gérer les certificats dans le cas d'EAP-TLS", affirme Guillaume Lehembre, consultant sécurité pour le cabinet Hervé Schauer.

Dans le cas d'un employé travaillant à distance, une entreprise aura tout intérêt à mettre en place un réseau privé virtuel (VPN) crypté SSL ou IPSec. "Les VPN SSL posent néanmoins quelques problèmes de performance avec les applications temps réel (Voix sur IP, etc.) car ils reposent sur le protocole TCP", ajoute Guillaume Lehembre. Pour des réseaux locaux sans fil de moins de 10 postes, il est également possible de filtrer les accès au travers d'une liste d'adresse mac, bien que cette pratique complique l'administration du parc. D'une manière générale, l'administration gagne en efficacité à partir du moment où l'on va centraliser l'authentification sur des serveurs dédiés.

7) Séparer son réseau sans fil du reste de l'infrastructure
Autre point noir de la sécurité d'un réseau sans fil, les postes mobiles infectés par les utilisateurs au cours du week-end et qui reviennent en début de semaine infecter le réseau de l'entreprise. En règle générale, les experts conseillent de séparer le réseau sans fil du reste du réseau de l'entreprise. Cette séparation peut passer par un pare-feu ou un réseau virtuel (VLAN). "Il est fortement recommandé de connecter les bornes sur un VLAN dédié branché sur sa propre DMZ [NDLR : zone tampon] filtrée, de journaliser les connexions au niveau du pare-feu et d'utiliser pour cette zone des serveurs dédiés : DHCP, relais applicatif, concentrateur VPN, etc.", avise Guillaume Lehembre.

8) Se prémunir contre les points d'accès pirates
A noter également, le risque de point d'accès pirate, où un intrus simule un point d'accès d'entreprise pour attirer les connexions des employés de l'entreprise. Contre ce type de menaces, trois solutions existent. "Tout d'abord, il est possible de détecter ces points d'accès en écoutant le réseau radio et en vérifiant que les émetteurs sont officiels. Ensuite, les flux des réseaux filaires peuvent également servir à détecter ces faux points d'accès. Enfin, certaines sociétés installent des bornes WiFi dédiées à l'écoute du réseau. Cette dernière solution est assez onéreuse", souligne Philippe Bellegy.

9) Maintenir son réseau à jour et sensibiliser les utilisateurs
Tout comme la maintenance des postes impose des mises à jour régulière, un réseau sans fil ne demeure sécurisé que si ces points d'accès sont régulièrement mis à jour. Ce travail d'administration doit être complété par une formation des utilisateurs aux risques encourus par la mobilité. Soit une entreprise opte pour une sécurité maximale en bloquant l'accès à Internet et l'installation de logiciels en dehors de son réseau à travers des profils bien définis, soit elle sensibilise ses collaborateurs aux dangers et offre une plus grande souplesse.

En savoir plus

Dossier Réseaux

10) Ne pas promettre un niveau de qualité de service optimal
Aujourd'hui, la norme de qualité de service 802.11e prévue pour fiabiliser les réseaux WiFi n'a toujours pas été finalisée et adoptée par l'organisme de normalisation des réseaux, l'IEEE. En conséquence, difficile pour un réseau sans fil d'arbitrer entre des flux prioritaires comme la vidéo, ou la voix sur IP, et des applications traditionnelles. "Les équipementiers proposent leurs propres mécanismes propriétaires mais ils ne sont pas harmonisés et, à notre avis, pas encore bien matures. Cependant, c'est un domaine qui évolue vite", constate le directeur de projet mobilité de Devoteam.