Réseau WiFi en entreprise:conseil & bonne pratique

Bonjour,

Au boulot, on doit placer une vingtaine de postes (Windows XP) dans une salle non cablée RJ45 : les postes sont déjà équipés de carte WiFi (802.11g normallement) : il faut donc une borne WiFi.
De plus, afin que les postes nomades (ordinateurs portables) puissent se connecter au réseau depuis la salle de réunion : on va donc aussi placer une borne WiFi dans cette salle.

Première question : comment faire pour que ces deux bornes ne “diffusent” qu’un seul réseau WiFi (si toutefois c’est possible) ?

Deuxième j’aimerais avoir quelques petites conseils pour créer ce réseau WiFi avec un bon niveau de sécurité.
D’après moi le minimum serait WPA et SSID caché.

Ensuite, je me demande si créer un réseau IP dédié au WiFi avec un routeur qui fasse le pont (avec quelques filtrages ?) entre le réseau filaire et le réseau sans-fil.
J’ai également entendu parlé de RADIUS et de VPN, mais je ne sais pas trop si ça peux m’aider ou pas.

J’ai déjà un niveau moyen en réseau IP, je ne vous demande pas de me pondre des romans où toute votre explication serait détaillée (même si je le lirais) : je ne veux pas vous prendre tout votre temps, mais si vous pouviez me donner quelques idée en vrac, j’irais regarder et me documenter derrière.

Merci :jap:

Je vais essayer de répondre dans l’ordre :lol:

Il suffit d’indiquer le meme SSID sur les deux points d’acces.

WPA strict minimum oui. Si tu peux WPA2 avec si tu peux chiffrage CCMP, c’est le plus sécurisé si je ne me trompe pas. Sinon AES.
Met en plus, par sécurité supplémentaire, une authentification sur un serveur radius. Si un serveur d’authentification est déja présent, tu le renseigne sur les deux points d’acces. Sinon, je sais que sur les points d’acces Cisco on peut en configurer un (Linksys aussi par la meme occasion).

Le SSID caché c’est de la poudre aux yeux. Il suffit de faire une requete de broadcast, le point d’acces envoie alors des IV (vecteurs d’initialisation, eux memes mis en cause dans le piratage de réseaux wifi chiffrés en wep) dans lesquels est contenus le SSID. Donc c’est un jeu d’enfant pour le récuperer.

RADIUS j’en ai parlé. VPN non tu n’en as pas besoin vu que tu restes en local.
Le routeur est lui aussi inutile, sauf si tu veux mettre ce/ces point(s) d’acces sur un réseau différent (ca serait bien mieux a mon avis !!!)

Voila j’espere avoir été compris :smiley:

OK, et je règle le canal et la méthode d’encryption avec des paramètres identiques je présume ?[quote=“frenchviking”]
WPA strict minimum oui. Si tu peux WPA2 avec si tu peux chiffrage CCMP, c’est le plus sécurisé si je ne me trompe pas. Sinon AES.
[/quote]
Je ne sais pas encore ce qui sera offert par les bornes, mais je prendrais le maximum qui soit géré par le couple borne-WindowsXP.[quote=“frenchviking”]
Met en plus, par sécurité supplémentaire, une authentification sur un serveur radius. Si un serveur d’authentification est déja présent, tu le renseigne sur les deux points d’acces. Sinon, je sais que sur les points d’acces Cisco on peut en configurer un (Linksys aussi par la meme occasion).
[/quote]
Sur le réseau il y a un Contrôleur de Domaine (Windows 2003 Server) (est-ce considéré comme un serveur d’authentification ?).
Je viens de trouver un petit tutoriel pour l’installation/paramétrage de Radius sur environnement XP/2003 sur le site wifiradis.net :
Implémenter le protocole d’authentification EAP-TLS sur les réseaux sans fil avec Windows 2003 serveur
Et je suis rassuré, je croyais que RADIUS était assez contraignant côté client :slight_smile:
Pour les bornes WiFi, c’est bien sur du Linksys que je partais, mais faudra donc que je vérifie le support du RADIUS (en tout cas mon WRT54GS perso ne le fait pas).[quote=“frenchviking”]
Le SSID caché c’est de la poudre aux yeux. Il suffit de faire une requete de broadcast, le point d’acces envoie alors des IV (vecteurs d’initialisation, eux memes mis en cause dans le piratage de réseaux wifi chiffrés en wep) dans lesquels est contenus le SSID. Donc c’est un jeu d’enfant pour le récuperer.
[/quote]
Je suis bien d’accord, mais ça ne coûte rien de le masquer, non ? Je me dit que si ça peut déjà un peu masquer le réseau de l’extérieur, ça n’attirera pas l’attention des voisins.[quote=“frenchviking”]
RADIUS j’en ai parlé. VPN non tu n’en as pas besoin vu que tu restes en local.
Le routeur est lui aussi inutile, sauf si tu veux mettre ce/ces point(s) d’acces sur un réseau différent (ca serait bien mieux a mon avis !!!)
[/quote]
Je pensais bien brancher les bornes sur un réseau IP différent, je me doute que c’est un plus, mais j’avoue ne pas pouvoir expliquer pourquoi :slight_smile: (et je pense qu’on me le demandera)[quote=“frenchviking”]
Voila j’espere avoir été compris  :smiley:
[/quote]
Tu as été on ne peut plus clair et très complet, tu m’as beaucoup aidé merci :jap:

Non pour le canal il est recommander qu’ils ne se chevauchent pas. Sinon tu auras une perturbation de ton signal. Met par exemple, un point d’acces sur le canal 1 et l autre sur le 6 (il y a toute une explication a cela que j’ai vraiment la flemme d’expliquer, peut etre trouveras-tu un article sur wiki ou google).
Pour les parametre de chiffrage oui il faut bien evidemment mettre les memes.

Oui si tu as un active directory. Par contre la configuration sera différente et vu que tu utilises du Linksys, tu as moins de possibilité.

J’ai aussi un routeur wifi linksys, si tu veux pouvoir mettre un radius dessus, remplace le firmware Linksys par un Firmware open source (perso je suis sous DD-WRT) Par contre tu perds la garentie! Alors vu que tu es en entreprise fait attentions.

Oui ca ne coute rien, ca empechera les enfants de faire mumuse :wink:

C’est premierement une simple question d’orgranisation, de pratique, j’arrive pas a trouver le bon terme :na: ! C 'est comme si tu allais creer un subnet pour le service commercial et un autre pour le service administratif. Tu segmentes (THAT’S THE WORD !!! pardon :whistle: ) ton réseau pour augmenter le nombre de domaines de collisions, donc réduire le nombre possible de collision, mais c’est aussi une sécurité en plus.

Voili voilà, bon courage !!!

Je me trompe peut etre, mais dès que tu passe par un switch tu as deja reduit le nombre de collision.
Faire deux réseau différents réduit plutot le domaine de broadcast, puisque les switch n’arretent pas les broadcast, mais les routeur oui :neutre:

Le serveur RADIUS, je ne compte pas le mettre sur les bornes WiFi, mais sur une machine serveur (un des DC du domaine Windows gérant l’AD en l’occurrence).
J’avais cru comprendre, d’après ton premier post et le tutoriel que j’ai trouvé sur wifiradis.net, que l’AP WiFi se comportait comme un relai RADIUS entre les clients WiFi et le serveur RADIUS paramétré.

L’une des bornes WiFi Linksys convoitées (la WAP54G) semble gèrer le RADIUS.

Non tu as raison. Mais il me semble évident, d’utiliser un routeur pour segmenter tout ca. Enfin j’ai oublié de le préciser. Tres fatiguer moi en ce moment avec 10H de cours par jour.

Comme ca c’est parfait. C’est exactement le role qu’aura le point d’acces.

Je n’ai pas gardé le firmware de mon routeur WRT54GL, mais je ne me souviens pas que Linksys l’avais implémenté.

Euh…Alors ils ont tout faux chez Linksys ? Ils disent juste le contraire : utiliser le même SSID et même channel pour activer le roaming d’AP.
Edité le 24/09/2007 à 10:39

Meme SSID oui, meme cannal…
cela tient plus de l’astuce que d’une vraie solution

Imagine une Zone A et une Zone B et le chevauchement des 2 Zones = C
Avec un portable tu vas de A vers B:
Zone A Channel 6 et Zone B channel 6 ==> arrivé en C tu communique avec les 2 bornes ==> l’adresse mac du portable
est donc presente a 2 endroits d’un meme reseau = problemes

Zone A channel 6 SSID: toto et Zone B channel 9 SSID: toto (sous reserve d’activation du roaming sur le bornes)
Meme trajet: arrivé en C, par la force du signal plus fort sur le channel 9 de la zone B, le portable “glisse” sur l’autre borne wifi.
L’adresse mac est purgé de la borne A et est enregistrée dans la table de la borne B
Et tout ceci, sans deconnexion :slight_smile: