Actu
Raphael Lignier, Fortinet : Faire du sans-fil simplement, en toute sécurité et de manière évolutive
février 2012 par Raphael Lignier, Responsable des Ventes ‘Wireless’ pour la région EMEA chez Fortinet
Leonard de Vinci a dit : “la simplicité est la sophistication ultime”. De toute évidence, si
nous appliquons son précepte à l’IT, on devrait considérer qu’il existe un seul réseau
d’entreprise, réparti en réseau sur-site et en réseau hors-site. Dans ce cas, pourquoi –
dans la gestion des réseaux – continuer à faire une distinction entre les LAN câblés et
sans fil ? N’est-ce pas une notion quelque peu démodée dans la stratégie IT actuelle ?
Les réseaux doivent devenir plus simples pour délivrer de meilleures performances, un
trafic plus sûr, des données plus sécurisées et une gestion plus efficace, le tout à
moindre coût.
En revenant une dizaine d’années en arrière, on se souvient des dégâts causés par les
WLAN lorsqu’ils ont été imposés dans les stratégies IT. Souvent, cela est venu en
réponse aux utilisateurs qui ont pris l‘initiative d’installer leur propre point d’accès non
autorisés et ainsi contourner l’IT en charge de la gestion du réseau. Cela explique
pourquoi, historiquement, les WLAN ont été considérés comme une extension et non
comme une partie intégrante des réseaux d’entreprise. La gestion de ces réseaux
étendus a ainsi créé une nouvelle couche de complexité pour le département IT.
Totalement absurde… on parle toujours d’IP, des mêmes utilisateurs – n’est-il pas temps
que le réseau murisse ?
Une Fenêtre sur le Monde
Les entreprises devraient remédier à leurs problèmes de gestion en disposant d’une vue
d’ensemble. Cela nécessite une console universelle dans laquelle toutes les ressources
câblées et sans fil peuvent être visualisées et gérées comme une entité collective à
partir d’une seule interface intégrée – et non à partir de systèmes disparates.
Concrètement la gestion unifiée requiert que toutes les politiques ainsi que les
changements de gestion soient indiqués dans l’entreprise en temps quasi réel. Même
s’il s’agit d’une entreprise répartie sur plusieurs sites, comme c’est le cas pour de
nombreux marchés verticaux, de tels sites doivent être gérés collectivement si la
politique l’exige.
La grande question qui se pose autour du WLAN est que malgré l’homologation d’une
myriade de normes sous 802.11, la mise en place d’un LAN sans fil simple, sécurisé et
évolutif n’a pas vraiment lieu ou, en tous les cas, reste très compliquée pour les
entreprises. A défaut d’interdire totalement l’utilisation du Wi-Fi, la solution pour les
entreprises réside en la définition suivante du LAN sans fil ou Wi-Fi :
1. Il reconnait les applications d’entreprise et leur attribue la priorité appropriée
La plupart des entreprises n’interdisent pas aux utilisateurs de lancer des applications
ad-hoc. Comme la bande passante sans fil est partagée, les appareils Wi-Fi personnels et
le trafic non prioritaire peuvent provoquer le blocage ou ralentissement de certaines
applications d’entreprises comme le bureau virtuel à distance. Le sans fil pour les
entreprises doit pouvoir adopter et assurer la mise en application de critères pour
identifier les applications d’entreprise par nom (par exemple, Webex) et les prioriser.
Pour ce faire, il recourt à des outils tels que le DPI (Deep Packet InspectionI) pour
contourner l’anonymat des applications.
2. Il fournit un maximum de productivité tout en rendant l’utilisation et l’accès
équitable
Comment concrètement empêcher qu’une application d’entreprise soit considérée au
même niveau que celles qui sont non-essentielles comme les jeux ? La solution sans-fil
pour les entreprises répond à ce besoin en appliquant diverses méthodes telles que la
régulation des flux (traffic shaping) en imposant une politique d’usage équitable. Par
exemple, vous pouvez décider que seulement 99% de la bande passante Wi-Fi soit
allouée aux applications critiques de l’entreprise, laissant seulement 1% aux autres. En
d’autres termes, la bonne solution hiérarchise les applications d’entreprise au détriment
des autres.
3. Il offre le même niveau de protection étendue que la plupart des réseaux câblés
sécurisés
Les LAN sans-fil, en raison de leur support partagé, ont été la cible de nombreuses
attaques. Les normes de sécurité sans fil ont évolué et des méthodes sophistiquées
d’authentification, d’encryption et de priorisation sont désormais facilement
accessibles. Cependant, à l’ère des communications unifiées et des applications cloud,
ces normes ne sont pas tout à fait appropriées. Il est impératif d’avoir une sécurité
holistique de tout le trafic, ce qui implique une mise en application et un suivi
approfondis des politiques de sécurité. En substance, pour que le trafic sans fil soit
complètement de confiance, il est impératif d’appliquer un traitement dynamique type
UTM (Unified Threat Management).
4. Il permet des politiques de sécurité basée sur l’identité sans complexité
additionnelle de gestion
Les SSID sont la pierre angulaire des identités sans fil. Les nouveaux chipsets sans fil
permettent le support de plusieurs SSID par radio, permettant le paramétrage de
politiques de groupe. A l’ère de la gestion d’identité LAN, avoir la flexibilité de définir
avec précision des politiques basées sur les usages est une nécessité et non un luxe. En
outre, ces politiques doivent être universellement reconnues et exécutées, ce qui nous
amène au sujet suivant.
Appliquer le Précepte de Léonard De Vinci
Voici quelque chose qui pourrait être issu du “Guide De Vinci sur la Gestion du Réseau
pour les Nuls” : Il existe une politique unique pour le traitement des données dans votre
entreprise. Cette politique gère certains paramètres en fonction du type d’utilisateur et
des applications qu’il utilise. Cela nécessite d’établir une gestion globale des ressources
câblées et sans fils, comme mentionné précédemment.
L’intérêt est ici de bénéficier d’une plus grande consolidation des éléments du réseau,
offrant simplicité et évolutivité grâce à une flexibilité de déploiement, le tout avec un
faible coût de possession.
La prolifération de solutions dédiées fonctionnent parfois, surtout lorsqu’il n’est pas
question d’argent. En réalité, les budgets sont limités, les ressources sont insuffisantes
et les réseaux évoluent dans le temps. Il est donc inévitable que le WLAN soit une
solution complémentaire, dans le sens où on l’ajoute au reste du réseau, néanmoins
cela ne doit pas l’empêcher de se comporter comme s’il s’agissait d’un élément conçu et
pensé depuis le début. Etant donné les limitations sur le budget électrique et l’espace
disponible dans les racks des réseaux d’entreprise, les solutions sans fil doivent éviter
d’être un fardeau additionnel tout en préservant l’énergie et l’espace. Par exemple,
dans un réseau WLAN d’entreprise, le contrôleur peut être le pare-feu existant ou
l’appareil UTM déjà installé sur le réseau. Ces appareils sont conçus pour gérer un grand
nombre d’informations. Leur capacité de traitement et de stockage peut être aussi
utilisée par le réseau WLAN d’entreprise. L’utilisation de la base installée existante des
appareils réseaux permet de réduire le coût et la complexité tout en amenant une
architecture plus évolutive.
Faire simple ; c’est ce que n’importe quel génie ferait.
