Norme de sécurité des réseaux locaux sans fil

Sujets:

Standards

Peut   9 septembre 2016

Remonter

But

Cette norme établit les exigences minimales en matière d'installation et d'exploitation des réseaux locaux sans fil (WLAN) pour les agences de l'État de l'Iowa.

Remonter

Aperçu

La technologie sans fil permet la mobilité du matériel informatique et des utilisateurs. Cependant, les avantages des réseaux sans fil s'accompagnent de risques potentiels. Des réseaux locaux sans fil (WLAN) mal configurés peuvent permettre à des utilisateurs non autorisés d'accéder aux systèmes et aux informations de l'organisme. Ces utilisateurs non autorisés peuvent consommer de la bande passante, dégrader les performances du réseau ou utiliser les ressources de l'organisme pour lancer des attaques contre d'autres réseaux.

Remonter

Portée

Cette norme s'applique à tous les organismes participants, tels que définis au chapitre 8B.1(7) du Code de l'Iowa. Les organismes non participants sont encouragés à suivre cette norme et les autres normes d'entreprise.

Remonter

Définitions

Choisi   termes   utilisé   dans   le   Entreprise   Wi-Fi   Sécurité   Standard   sont   défini ci-dessous :

  • Point d'accès (AP) : Un périphérique réseau qui permet à des appareils, tels que des ordinateurs portables, de communiquer sans fil et de se connecter à un autre réseau, généralement l'infrastructure câblée d'une organisation, le réseau de communication de l'Iowa (ICN) ou un fournisseur d'accès Internet commercial.

  • Identifiant de l'ensemble de services de base (BSSID) : Adresse(s) MAC du point d'accès.

  • Réseau sans fil invité : Réseau local sans fil mis en place par un organisme d’État pour fournir un accès Internet aux invités autorisés. Les réseaux sans fil invités sont isolés en dehors du périmètre logique et physique du réseau de l’organisme.

  • Réseau sans fil public : Réseau local sans fil mis en place par un organisme d’État pour fournir un accès Internet gratuit au public. Les réseaux sans fil publics sont isolés en dehors des limites logiques et physiques du réseau de l’organisme.

  • Identifiant du réseau local sans fil (SSID) : identifiant unique permettant de différencier un réseau WLAN d’un autre. Tous les points d’accès et tous les appareils tentant de se connecter à un réseau WLAN spécifique doivent utiliser le même SSID.

Remonter

Entreprise   Norme WLAN

Le   suivant   minimum   normes   doit   être   rencontré   pour   tous les réseaux WLAN :

  1. Politique . Les organismes doivent établir une politique de sécurité pour les réseaux WLAN.

  2. Enregistrement. Les organismes doivent informer le responsable de la sécurité des systèmes d'information (RSSI) avant la mise en place d'un point d'accès sans fil. L'avis doit comprendre les éléments suivants pour chaque point d'accès :

    1. Marque,
    2. Modèle,
    3. SSID et BSSID, et
    4. Emplacement physique.

    La notification doit également inclure le nom et les coordonnées de l'organisme. Les points d'accès non enregistrés sont interdits et seront mis hors service.

  3. Séparation des réseaux sans fil et filaires. Les zones de réseau sans fil doivent être séparées des zones de réseau filaire par un pare-feu ou un autre dispositif de filtrage de paquets.
  4. Dispositifs critiques. Il est interdit d'héberger les serveurs et les dispositifs connexes essentiels au fonctionnement de l'agence sur des réseaux sans fil.
  5. Protection physique. Les points d'accès sans fil doivent être protégés physiquement afin de limiter les risques de vol, de dommages, d'accès non autorisé ou de réinitialisation de la configuration.
  6. Mots de passe. Les mots de passe doivent être conformes aux exigences de la norme de sécurité d'authentification d'entreprise et répondre aux critères suivants :
    1. Les mots de passe d'administration par défaut utilisés pour gérer le point d'accès doivent être modifiés.
    2. Les mots de passe d'administrateur doivent comporter au moins 15 caractères.
  7. Configuration des points d'accès. Les points d'accès doivent au minimum répondre aux exigences suivantes :

  • Chiffrement. Les points d'accès doivent utiliser le chiffrement WPA2-Enterprise ou supérieur. Les paramètres de chiffrement doivent être configurés sur le niveau le plus élevé disponible dans le produit. Le protocole WEP (Wired Equivalent Privacy) ne doit PAS être utilisé.

  • Identifiant du réseau (SSID). Le SSID doit être modifié par rapport à la valeur par défaut d'usine.
  • Intervalles de balise. Les trames de balise doivent être configurées sur la longueur d'intervalle maximale.
  • Clés cryptographiques. Les clés cryptographiques par défaut doivent être modifiées avant la mise en œuvre.

  • Filtrage des adresses. Le filtrage des adresses MAC (Media Access Control) doit être activé autant que possible. Seules les connexions provenant d'adresses MAC reconnues doivent être acceptées par le point d'accès.

  • Protocole SNMP version 3. Si le protocole SNMP est requis, utilisez la version 3 ou ultérieure. La chaîne de communauté SNMP par défaut doit être remplacée par une chaîne de communauté forte. Les privilèges doivent être définis sur « lecture seule » si seul l’accès est nécessaire. Les ports et protocoles d’accès inutiles doivent être désactivés.

  • Canaux. Les canaux doivent être configurés de manière à minimiser les interférences.

  • Portée . Le niveau de puissance radiofréquence doit être réduit au minimum nécessaire et des antennes directionnelles doivent être utilisées, lorsque cela est possible, afin de limiter la portée du point d'accès.

  1. Journaux d'exploitation. Les points d'accès et contrôleurs sans fil doivent, si possible, être configurés pour consigner les événements de fonctionnement, notamment les tentatives de connexion (réussies et échouées), les erreurs et les redémarrages. Ces journaux doivent être envoyés à un serveur de journalisation central et consultés régulièrement.

  2. Configuration de l'infrastructure : Le point d'accès sans fil doit être configuré en mode infrastructure. Le mode ad hoc, qui autorise les communications pair à pair entre les appareils, n'est pas autorisé.

  3. Détection d'intrusion. Un système de détection/prévention d'intrusion sans fil doit être utilisé pour détecter les tentatives d'accès non autorisé ou toute utilisation inappropriée.

  4. Mises à jour . Tous les composants doivent être à jour avec les derniers correctifs de sécurité, mises à niveau et mises à jour du micrologiciel.

  5. Évaluation. Le Bureau de la sécurité de l'information de l'État de l'Iowa procède à une évaluation trimestrielle des installations de l'État situées dans l'enceinte du Capitole afin de déterminer la présence de réseaux locaux sans fil (WLAN) non autorisés ou mal configurés, susceptibles de donner accès aux systèmes ou aux informations de l'agence. Les WLAN non autorisés sont démantelés par l'agence.

  6. Mise au rebut du matériel . Toutes les données sensibles et les informations de configuration doivent être supprimées des composants sans fil avant leur mise au rebut.

  7. Sécurité des clients assurée. Tous les ordinateurs de l'agence connectés aux réseaux locaux sans fil (WLAN) doivent être équipés d'un pare-feu hôte correctement configuré, d'un logiciel antivirus à jour et être conformes aux normes applicables de l'entreprise et de l'agence. Les correctifs logiciels doivent être appliqués conformément au calendrier de mise à jour de l'agence.

  8. Formation de sensibilisation : Les utilisateurs de réseaux sans fil doivent recevoir une formation de sensibilisation à la sécurité sans fil, comprenant notamment une documentation décrivant les risques liés à l’informatique sans fil.

  9. Réseau sans fil public . Les réseaux locaux sans fil (WLAN) publics des agences doivent :
  10. Être isolé en dehors des limites logiques et physiques du réseau de l'agence. Par exemple, être un flux distinct fourni par l'ICN ou un FAI commercial.
    1. Les points 7, 10, 15 et 19 de cette norme NE S'APPLIQUENT PAS aux réseaux sans fil publics.

  11. Double connexion : Les ordinateurs de l'agence ne doivent pas se connecter simultanément au réseau câblé de l'agence et au réseau local sans fil (WLAN).

  12. Réseaux sans fil invités : Les utilisateurs des réseaux sans fil invités ne doivent pas se connecter directement aux ressources internes de l'organisme.

  13. Analyse des vulnérabilités : Les réseaux locaux sans fil (WLAN) doivent faire l'objet d'analyses de vulnérabilité au moins une fois par mois.

Remonter

Mises à jour

Ce document devra être revu au moins tous les deux ans et mis à jour au besoin.

Remonter

Date d'entrée en vigueur

Cette norme entrera en vigueur le 9 mai 2016.

Remonter

Application de la loi

Ce   standard   devoir   être   appliqué   conformément   à   Iowa   Administratif   Code   11—25.11(8A) et   Iowa   Code 8B.21(1)(f)(2).

Remonter

Variance

Le Code administratif de l'Iowa 11-25.11(2) et le Code de l'Iowa 8B.21(5) prévoient des dérogations aux normes de sécurité. Toute demande de dérogation à l'une quelconque des exigences de cette norme doit être soumise par écrit au responsable de la sécurité des systèmes d'information.

Remonter