Wi-Fi en entreprise : avantages et inconvénients
On voit partout des publicités pour des boîtiers de type xxxBOX proposés par les fournisseurs d’accès Internet aux particuliers, et notamment dotés d’antennes Wi-Fi. En effet, pour les particuliers qui sont de plus en plus souvent équipés d’ordinateurs portables avec carte Wi-Fi intégrée, c’est fort sympathique, et je suis moi-même un fervent utilisateur de cette méthode de connexion au réseau, car je peux me promener dans toute la maison avec mon ordinateur portable.
Cependant, est-ce que cette tendance à mettre du Wi-Fi partout est justifiée en entreprise ? Je n’en suis pas ci certain que cela, du moins pas de manière radicale, comme cela pourrait être le cas pour une société désirant n’utiliser que le Wi-Fi pour ses employés, au détriment des bonnes vieilles connexions par cable réseau RJ-45.
J’ai fait un rapide comparatif des avantages et inconvénients ici, en espérant que cela soit utile à quelques uns.
Par coïncidence, Sid a écrit un billet de qualité (comme toujours) sur son Blog à propos du mécanisme de sécurité WPA et des mystères qui circulent autour, contribuant à alimenter la blogosphère en rumeurs et informations erronées. Heureusement qu’il est là pour nous expliquer en détail tout cela et rétablir la vérité.
ABSTRACT
I wrote a paper about the pros and cons of deploying a Wi-Fi network in a company, mostly if you plan to rely only on this kind of network. In short, all the comfort that an individual can feel with his own access point and laptop to browse Internet can be ruined in a company. Mostly because it will be necessary to implement security protocols that needs servers, probably to change switches and add Power Over Ethernet or to bring power to all the access points, to spend some time to configure and maintain all the access-points configurations. In addition, users will suffer from reduced bandwidth, even more if they are several users on a single access point, although Wi-Fi is suitable for internet access and client-server models using short packets, it is unsuitable for the constant manipulation and transfer of large files shared among users, and so on… the cons are that its security has been much more improved and can now be considered reliable for a company, and that it has become simpler and simpler to configure and to use for employees.
Bruno Kerouanton on septembre 1st 2006 in IT Security
Sid responded on 01 sept 2006 at 14:59 #
Merci tout d’abord pour les éloges
Maintenant, quelques petites remarques capillotractées sur cet excellent article :
Sur WPA/TKIP. L’algorithme, que j’ai décrit dans le numéro 12 de MISC, génère une clé de chiffrement différente par paquet (PPK, Per Packet Key) via une série de deux hashes. Si on schématise à l’extrèm, on peut voir TKIP comme un générateur de clés uniques pour WEP.
Concernant les authentification EAP. LEAP est à éviter, il est vulnérables aux attaques par dictionnaire de hashes MD4 précalculés, comme l’a montré Joshua Wright (asleap.sourceforge.net/ ). C’est ce qui a poussé Cisco à produire EAP-FAST, que je n’ai toujours pas étudié, mais dont les caractéristiques annoncées me semble bizarres à la vue des moyens utilisés, en particulier l’absence de certificats. Concernant le serveur d’authentification, il doit être un serveur RADIUS supportant EAP. AD possède ce support et peut donc agir en tant qu’authentificateur. Par contre d’autres serveurs d’authentification pourraient ne pas savoir le faire. Enfin, les attaques sur WPA portent le mode PSK, et ne sont pas applicables aux authentification EAP qu’on voudra utiliser en entreprise, ne serait-ce que pour des problèmes d’administration et de mise à l’échelle, genre ne pas avoir à redistribuer 250 fois la PSK dès que quelqu’un quitte l’entreprise ou perd son laptop
Concernant le débit. La bande passante théorique de 54Mbps comprend tout le traffic de contrôle (RTS, CTS, etc.) et signalisation (associations, probes, beacons, etc.), ce qui ampute d’autant la place disponible pour les données. En outre, si on regarde le fonctionnement de 802.11 sur le plan temporel, de nombreux temps d’attente sont prévus. Des études montrent que le début pratique d’un réseau WiFi serait en moyenne de 30Mbps (et dans de bonnes conditions). En outre, toute communication entre deux stations associées au même AP implique la répétition de la trame par l’AP, doublant les données échangées. Il faut donc parvenir à proscrire les communications intra-WiFi.
Vala, je crois que c’est tout
Bruno Kerouanton responded on 01 sept 2006 at 16:53 #
Merci pour ces précisions carrément… précises ! Même tes commentaires sont excellents
newsoft responded on 01 sept 2006 at 22:12 #
Je me permets d’en rajouter une couche après Sid (la classe :), juste pour dire que je suis 100% d’accord avec toi sur le fait que le WiFi n’est certainement pas moins cher.
Un point à prendre en compte est l’obsolescence des matériels : que va dire un possesseur de portable Centrino ipw2100 (donc 802.11b only) alors que tout le monde est au 802.11g, voire au MiMo ? Je ne parle même pas des industriels qui ont déployé en 2Mb/s il y a 5 ou 6 ans …
Avec de la bonne vieille paire torsadée, du Gigabit passe sans problème. Au pire il suffit de racheter une carte Ethernet à 10 euros …
Ma petite parcelle d'Internet... responded on 02 sept 2006 at 13:30 #
Un RADIUS, des radis
D’abord pour vous signaler cet excellent billet de Bruno sur le WiFi en entreprise. Bien que proposé comme une solution permettant de fournir mobilité et flexibilité à moindre coût, le WiFi et ses applications doivent tout de même faire face…
Ma petite parcelle d'Internet... responded on 02 sept 2006 at 13:36 #
Un RADIUS, des radis
WifiRadis est un service gratuit ouvert à tous qui offre l’accès à un serveur RADIUS visant à fournir une authentification PEAP-MS-CHAPv2. Chaque utilisateur du service peut déclarer un ou plusieurs points d’accès sur lesquels il pourra s’authentifier…
Bruno Kerouanton responded on 02 sept 2006 at 19:07 #
Tu as totalement raison en ajoutant cet aspect, Newsoft. Je l’avais oublié mais c’est pourtant évident ! Merci.
Pour la petite histoire, après avoir été un certain temps en full Wi-Fi chez moi, je suis repassé en filaire. J’ai terminé mes travaux de cablage il y a 2 semaines… ca fait du bien (d’avoir terminé, mais également de retrouver le confort du filaire, notamment côté débit et fiabilité).
J’ai toujours mes WRT54G, mais je m’en sers en coupant la radio (# wl radio off || wl down || ifconfig eth1 down), pour d’autres choses amusantes… enfin quand j’arrive à trouver du temps.
Mais l’obsolescence des matériels, et l’arrivée continuelle de nouvelles normes et évolutions est à prendre en compte impérativement lorsque l’on cable un bâtiment… d’autant plus que l’on cable souvent pour 10 ans d’utilisation ou plus ! A propos, mon dernier billet sur les MTP évoque également ce point.