Développement de la protection Wi-Fi. Définir le cryptage et le mot de passe sur le WiFi

Quoi de plus important à notre époque que de protéger votre réseau Wi-Fi domestique :) C'est un sujet très populaire, sur lequel plus d'un article a été écrit sur ce seul site. J'ai décidé de rassembler toutes les informations nécessaires sur ce sujet sur une seule page. Nous allons maintenant examiner en détail la question de la protection d'un réseau Wi-Fi. Je vais vous expliquer et vous montrer comment protéger le Wi-Fi avec un mot de passe, comment le faire correctement sur des routeurs de différents fabricants, quelle méthode de cryptage choisir, comment choisir un mot de passe et ce que vous devez savoir si vous l'êtes. vous envisagez de changer le mot de passe de votre réseau sans fil.

Dans cet article, nous parlerons exactement sur la protection de votre réseau sans fil domestique. Et uniquement à propos de la protection par mot de passe. Si l'on considère la sécurité de certains grands réseaux dans les bureaux, il est alors préférable d'aborder la sécurité un peu différemment. (au moins un mode d'authentification différent). Si vous pensez qu'un seul mot de passe ne suffit pas pour protéger votre réseau Wi-Fi, alors je vous conseille de ne pas vous embêter. Définissez un mot de passe bon et complexe en suivant ces instructions et ne vous inquiétez pas. Il est peu probable que quiconque consacre du temps et des efforts à pirater votre réseau. Oui, vous pouvez, par exemple, masquer le nom du réseau (SSID) et définir un filtrage par adresses MAC, mais ce sont des tracas inutiles qui, en réalité, ne feront que causer des désagréments lors de la connexion et de l'utilisation d'un réseau sans fil.

Si vous envisagez de protéger votre réseau Wi-Fi ou de laisser le réseau ouvert, il ne peut y avoir qu'une seule solution : le protéger. Oui, Internet est illimité et presque tout le monde à la maison possède son propre routeur, mais quelqu'un finira par se connecter à votre réseau. Pourquoi avons-nous besoin de cela, car des clients supplémentaires représentent une charge supplémentaire sur le routeur. Et si ce n’est pas cher, alors il ne résistera tout simplement pas à cette charge. De plus, si quelqu'un se connecte à votre réseau, il pourra accéder à vos fichiers (si le réseau local est configuré), et accès aux paramètres de votre routeur (après tout, vous n'avez probablement pas modifié le mot de passe administrateur standard qui protège le panneau de configuration).

Assurez-vous de protéger votre réseau Wi-Fi avec un bon mot de passe et la bonne méthode de cryptage (moderne). Je recommande d'installer la protection immédiatement lors de la configuration du routeur. De plus, ce serait une bonne idée de changer votre mot de passe de temps en temps.

Si vous craignez que quelqu'un pirate votre réseau, ou l'a déjà fait, changez simplement votre mot de passe et vivez en paix. À propos, puisque vous vous connecterez toujours au panneau de configuration de votre routeur, je recommanderais également , qui est utilisé pour saisir les paramètres du routeur.

Bien protéger son réseau Wi-Fi domestique : quelle méthode de cryptage choisir ?

Pendant le processus de définition du mot de passe, vous devrez sélectionner une méthode de cryptage du réseau Wi-Fi (méthode d'authentification). Je recommande d'installer uniquement WPA2 – Personnel, avec algorithme de cryptage AES. Pour un réseau domestique, c'est meilleures solutions, sur à l'heure actuelle le plus récent et le plus fiable. C’est le type de protection que les fabricants de routeurs recommandent d’installer.

Seulement à une condition que vous n’ayez pas d’anciens appareils que vous souhaitez connecter au Wi-Fi. Si après configuration, certains de vos anciens appareils refusent de se connecter au réseau sans fil, vous pouvez installer un protocole WPA (avec algorithme de cryptage TKIP). Je ne recommande pas d'installer le protocole WEP, car il est déjà obsolète, non sécurisé et peut être facilement piraté. Oui, et des problèmes peuvent survenir lors de la connexion de nouveaux appareils.

Combinaison de protocoles WPA2 – Personnel avec cryptage AES, c'est la meilleure option pour un réseau domestique. La clé elle-même (mot de passe) doit comporter au moins 8 caractères. Le mot de passe doit être composé de Lettres anglaises, chiffres et symboles. Le mot de passe est sensible à la casse. Autrement dit, « 111AA111 » et « 111aa111 » sont des mots de passe différents.

Je ne sais pas de quel routeur vous disposez, je vais donc préparer de brèves instructions pour les fabricants les plus populaires.

Si après avoir modifié ou défini un mot de passe, vous rencontrez des problèmes pour connecter des appareils au réseau sans fil, consultez les recommandations à la fin de cet article.

Je vous conseille de noter immédiatement le mot de passe que vous définirez. Si vous l'oubliez, vous devrez en installer un nouveau, ou .

Nous protégeons le Wi-Fi avec un mot de passe sur les routeurs Tp-Link

Connexion au routeur (par câble ou Wi-Fi), lancez n'importe quel navigateur et ouvrez l'adresse 192.168.1.1, ou 192.168.0.1 (l'adresse de votre routeur, ainsi que le nom d'utilisateur et le mot de passe standard sont indiqués sur l'autocollant au bas de l'appareil lui-même). Fournissez votre nom d'utilisateur et votre mot de passe. Par défaut, ce sont admin et admin. Dans , j'ai décrit la saisie des paramètres plus en détail.

Dans les paramètres allez dans l'onglet Sans fil(Mode sans fil) - Sécurité sans fil(Sécurité sans fil). Cochez la case à côté de la méthode de protection WPA/WPA2 – Personnel (recommandé). Dans le menu déroulant Version(version) sélectionner WPA2-PSK. Au menu Cryptage(cryptage) installer AES. Dans le champ Mot de passe sans fil(Mot de passe PSK) Saisissez un mot de passe pour protéger votre réseau.

Définir un mot de passe sur les routeurs Asus

Dans les paramètres, nous devons ouvrir l'onglet Réseau sans fil, puis effectuez les réglages suivants :

Dans le menu déroulant « Méthode d'authentification », sélectionnez WPA2 – Personnel.
"Cryptage WPA" - installez AES.
Dans le champ « Clé pré-partagée WPA », notez le mot de passe de notre réseau.

Pour enregistrer les paramètres, cliquez sur le bouton Appliquer.

Connectez vos appareils au réseau avec un nouveau mot de passe.

Protéger le réseau sans fil de votre routeur D-Link

Accédez aux paramètres de votre routeur D-Link à l'adresse 192.168.0.1. Vous pouvez voir des instructions détaillées. Dans les paramètres, ouvrez l'onglet Wi-Fi - Paramètres de sécurité. Définissez le type de sécurité et le mot de passe comme dans la capture d'écran ci-dessous.

Définir un mot de passe sur d'autres routeurs

Nous avons plus instructions détaillées pour les routeurs ZyXEL et Tenda. Voir les liens :

Si vous n'avez pas trouvé d'instructions pour votre routeur, vous pouvez configurer la protection du réseau Wi-Fi dans le panneau de configuration de votre routeur, dans la section des paramètres intitulée : paramètres de sécurité, réseau sans fil, Wi-Fi, sans fil, etc. je pense que je peux le trouver, ce ne sera pas difficile. Et je pense que vous savez déjà quels paramètres définir : WPA2 - Cryptage personnel et AES. Eh bien, c'est la clé.

Si vous n'arrivez pas à le comprendre, demandez dans les commentaires.

Que faire si les appareils ne se connectent pas après l'installation ou le changement de mot de passe ?

Très souvent, après l'installation, et surtout après avoir modifié le mot de passe, les appareils qui étaient auparavant connectés à votre réseau ne veulent pas s'y connecter. Sur les ordinateurs, il s'agit généralement des erreurs « Les paramètres réseau enregistrés sur cet ordinateur ne répondent pas aux exigences de ce réseau » et « Windows n'a pas pu se connecter à... ». Sur les tablettes et les smartphones (Android, iOS), des erreurs telles que « Impossible de se connecter au réseau », « Connecté, protégé », etc. peuvent également apparaître.

Ces problèmes peuvent être résolus en supprimant simplement le réseau sans fil et en vous reconnectant avec un nouveau mot de passe. J'ai écrit comment supprimer un réseau sous Windows 7. Si vous disposez de Windows 10, vous devez « oublier le réseau » en utilisant . Sur appareils mobiles appuyez et maintenez sur votre réseau et sélectionnez "Supprimer".

Si des problèmes de connexion surviennent sur des appareils plus anciens, définissez le protocole de sécurité WPA et le cryptage TKIP dans les paramètres du routeur.

Les réseaux sans fil sont plus pratiques que les réseaux filaires, mais ils peuvent également être vulnérables aux pirates informatiques et malware(par exemple, des vers). Étant donné que les réseaux sans fil utilisent des ondes radio qui peuvent traverser les murs, le signal du réseau peut voyager à l'extérieur de la maison.

Si vous n'essayez pas de sécuriser votre réseau, les utilisateurs d'ordinateurs à proximité pourront accéder aux données stockées sur les ordinateurs de votre réseau et utiliser votre connexion Internet. En définissant une clé de sécurité sur votre réseau sans fil, vous pouvez vous protéger contre tout accès non autorisé.

Façons de sécuriser votre réseau sans fil

Le réseau sans fil doit être configuré de manière à ce que seuls les utilisateurs sélectionnés y aient accès.

Plusieurs paramètres de sécurité sans fil sont décrits ci-dessous :

Technologie d'accès protégé Wi-Fi (WPA et WPA2)

Technologie d'accès protégé Wi-Fi crypte les informations et vérifie que la clé de sécurité du réseau n'a pas été modifiée. De plus, la technologie Wi-Fi Protected Access authentifie les utilisateurs pour garantir que seuls les utilisateurs autorisés peuvent accéder au réseau.

Il existe deux types d'authentification WPA : WPA et WPA2.

Type WPA est conçu pour fonctionner avec tous les adaptateurs réseau sans fil, mais il n'est pas compatible avec les anciens routeurs ou points d'accès. Tapez WPA2 est plus sécurisé que WPA, mais n'est pas compatible avec certaines anciennes cartes réseau.

La technologie WPA est conçue pour être utilisée avec un serveur d'authentification 802.1x, qui crée une clé différente pour chaque utilisateur. On l’appelle alors WPA-Enterprise ou WPA2-Enterprise. Il peut également être utilisé en mode Pre-Shared Key (PSK), où chaque utilisateur reçoit la même phrase secrète. On l’appelle alors WPA-Personal ou WPA2-Personal.

Protocole WEP (Wired Equivalent Privacy)

WEP, en tant qu'ancienne méthode de sécurité réseau, est toujours disponible pour prendre en charge les appareils plus anciens. l'utilisation n'est pas recommandée. L'activation de WEP définit une clé de sécurité réseau. Cette clé de cryptage est envoyée sur un réseau d'un ordinateur à un autre. Cependant, la sécurité WEP est relativement facile à pirater.

Attention! Il est recommandé d'utiliser WPA2 autant que possible. WEP n'est pas recommandé. WPA ou WPA2 est plus sécurisé. Si vous essayez d'exécuter WPA ou WPA2 et que cela ne fonctionne pas, il est recommandé de mettre à jour votre carte réseau pour qu'elle fonctionne avec l'une des technologies WPA ou WPA2 fonctionnelles.

Authentification 802.1x

Authentification 802.1x peut améliorer la sécurité des réseaux sans fil et Ethernet 802.11. L'authentification 802.1x utilise un serveur d'authentification pour vérifier les utilisateurs et accorder l'autorisation d'accéder au réseau. Dans les réseaux sans fil, l'authentification 802.1x peut être utilisée avec les clés de protocole WPA, WPA2 ou WEP. Ce type d'authentification est généralement utilisé pour se connecter à un réseau de travail.

Accès non autorisé - lecture, mise à jour ou destruction d'informations sans l'autorité appropriée pour le faire.

En règle générale, un accès non autorisé s'effectue en utilisant le nom de quelqu'un d'autre, en modifiant les adresses physiques des appareils, en utilisant les informations restantes après la résolution de problèmes, en modifiant les logiciels et les informations, en volant des supports de stockage et en installant un équipement d'enregistrement.

Pour protéger avec succès vos informations, l'utilisateur doit avoir une compréhension absolument claire des moyens possibles d'accès non autorisé. Les principaux moyens typiques d'obtenir des informations non autorisées :

· vol de supports de stockage et de déchets de production ;

· copier des supports de stockage en surmontant les mesures de sécurité ;

· se déguiser en utilisateur enregistré ;

· canular (déguisé en requêtes système) ;

· exploiter les lacunes des systèmes d'exploitation et des langages de programmation ;

· utilisation de signets logiciels et de blocs logiciels de type « cheval de Troie » ;

· interception des rayonnements électroniques ;

· interception du rayonnement acoustique ;

· photographie à distance ;

· utilisation d'appareils d'écoute ;

· désactivation malveillante des mécanismes de protection, etc.

Pour protéger les informations contre tout accès non autorisé, les éléments suivants sont utilisés :

1) événements organisationnels ;

2) moyens techniques ;

3) logiciel ;

4) cryptage.

Les événements organisationnels comprennent :

· mode d'accès ;

· stockage des supports et appareils dans un coffre-fort (disquettes, moniteur, clavier, etc.) ;

· restreindre l'accès des personnes aux salles informatiques, etc.

Les moyens techniques comprennent :

· filtres, tamis pour équipements;

· touche pour verrouiller le clavier ;

· dispositifs d'authentification – pour lire les empreintes digitales, la forme de la main, l'iris, la vitesse et les techniques de frappe, etc. ;

· clés électroniques sur microcircuits, etc.

Les outils logiciels incluent :

· Accès par mot de passe – définition des autorisations utilisateur ;

· verrouillez l'écran et le clavier à l'aide d'une combinaison de touches dans l'utilitaire Diskreet du package Norton Utilites ;

· utilisation des outils de protection par mot de passe du BIOS - sur le BIOS lui-même et sur le PC dans son ensemble, etc.

Le cryptage est la transformation (codage) d'informations ouvertes en informations cryptées inaccessibles aux étrangers. Les méthodes de cryptage et de décryptage des messages sont étudiées par la science de la cryptologie, dont l'histoire remonte à environ quatre mille ans.

2.5. Protection des informations dans les réseaux sans fil

Le rythme incroyablement rapide de mise en œuvre de solutions sans fil dans les réseaux modernes nous fait réfléchir à la fiabilité de la protection des données.

Le principe même de la transmission de données sans fil inclut la possibilité de connexions non autorisées aux points d'accès.

Une menace tout aussi dangereuse est la possibilité de vol d’équipement. Si la politique de sécurité du réseau sans fil est basée sur les adresses MAC, alors une carte réseau ou un point d'accès volé par un attaquant peut ouvrir l'accès au réseau.

Souvent, la connexion non autorisée des points d'accès à un réseau local est effectuée par les employés de l'entreprise eux-mêmes, qui ne pensent pas à la protection.

Ces problèmes doivent être abordés de manière globale. Les mesures organisationnelles sont choisies en fonction des conditions de fonctionnement de chaque réseau spécifique. En ce qui concerne les mesures techniques, de très bons résultats sont obtenus grâce à l'authentification mutuelle obligatoire des appareils et à l'introduction de contrôles actifs.

En 2001, sont apparues les premières implémentations de pilotes et de programmes capables de gérer le cryptage WEP. Le plus réussi est PreShared Key. Mais ce n'est bon que s'il existe un cryptage fiable et un remplacement régulier des mots de passe de haute qualité (Fig. 1).

Figure 1 - Algorithme d'analyse des données cryptées

Exigences de protection modernes

Authentification

Actuellement, dans divers équipements réseau, y compris les appareils sans fil, une méthode d'authentification plus moderne est largement utilisée, définie dans la norme 802.1x - jusqu'à ce qu'une vérification mutuelle soit effectuée, l'utilisateur ne peut ni recevoir ni transmettre aucune donnée.

Un certain nombre de développeurs utilisent les protocoles EAP-TLS et PEAP pour l'authentification sur leurs appareils. Cisco Systems propose les protocoles suivants pour ses réseaux sans fil, en plus de ceux mentionnés : EAP-TLS, PEAR, LEAP, EAP-FAST.

Toutes les méthodes d'authentification modernes nécessitent la prise en charge des clés dynamiques.

Le principal inconvénient de LEAP et EAP-FAST est que ces protocoles sont principalement pris en charge par les équipements Cisco Systems (Fig. 2).

Figure 2 – Structure des paquets 802.11x utilisant le cryptage TKIP-PPK, MIC et WEP.

Chiffrement et intégrité

Sur la base des recommandations Cisco Systems 802.11i, le protocole TCIP (Temporal Integrity Protocol) a été implémenté, qui garantit le changement de la clé de cryptage PPK (Per Packet Keying) dans chaque paquet et surveille l'intégrité des messages MIC (Message Integrity Check).

Un autre protocole de cryptage et d’intégrité prometteur est AES (Advanced Encryption Standard). Il a une meilleure force cryptographique par rapport au DES et GOST 28147-89. Il fournit à la fois le cryptage et l’intégrité.

Notez que l'algorithme utilisé (Rijndael) ne nécessite pas de ressources importantes ni lors de la mise en œuvre ni lors du fonctionnement, ce qui est très important pour réduire la latence des données et la charge du processeur.

La norme de sécurité pour les réseaux locaux sans fil est 802.11i.

La norme Wi-Fi Protected Access (WPA) est un ensemble de règles qui garantissent la mise en œuvre de la protection des données dans les réseaux 802.11x. Depuis août 2003, la conformité aux normes WPA est une exigence obligatoire pour les équipements certifiés Wi-Fi Certified.

La spécification WPA inclut un protocole TKOP-PPK modifié. Le cryptage est effectué à l'aide d'une combinaison de plusieurs clés - les clés actuelles et suivantes. Dans ce cas, la longueur de IV est augmentée à 48 bits. Cela permet de mettre en œuvre des mesures supplémentaires pour protéger les informations, par exemple pour renforcer les exigences de réassociation et de réauthentification.

Les spécifications incluent la prise en charge de 802.1x/EAP, l'authentification par clé partagée et, bien sûr, la gestion des clés.

Tableau 3 - Modalités de mise en œuvre de la politique de sécurité

Indicateur
Indicateur
Prise en charge du système d'exploitation moderne
Complexité logicielle et intensité des ressources de l'authentification
Difficulté de contrôle
Authentification unique (connexion unique sous Windows)
Touches dynamiques
Mots de passe à usage unique

Suite du tableau 3

À condition d'utiliser des équipements et des logiciels modernes, il est désormais tout à fait possible de construire un réseau sans fil sécurisé et résistant aux attaques basé sur les normes de la série 802.11x.

Presque toujours, un réseau sans fil est connecté à un réseau filaire, et ceci, outre la nécessité de protéger les canaux sans fil, il est nécessaire d'assurer une protection dans les réseaux filaires. Sinon, la sécurité du réseau sera fragmentée, ce qui constitue essentiellement un risque de sécurité. Il est conseillé d'utiliser un équipement doté d'un certificat Wi-Fi Certified, c'est-à-dire confirmant la conformité au WPA.

Nous devons implémenter 802.11x/EAP/TKIP/MIC et une gestion dynamique des clés. Dans le cas d'un réseau mixte, des VLAN doivent être utilisés ; S'il y a des antennes externes, la technologie de réseau privé virtuel VPN est utilisée.

Il est nécessaire de combiner à la fois les méthodes de protection protocolaire et logicielle, ainsi que les méthodes administratives.

Ainsi, vous avez acheté un adaptateur sans fil, l'avez connecté au réseau, établi une connexion Internet - et vous disposez d'une liberté sans fil totale. Désormais, vous n'avez plus besoin de connecter un câble pour accéder au réseau, il vous suffit d'être dans la zone de couverture d'un réseau sans fil - et c'est beaucoup plus simple et plus pratique. Cependant, c'est simple et pratique non seulement pour vous. Après tout, contrairement aux réseaux filaires, pour pirater les réseaux sans fil, il suffit de se trouver dans leur zone de couverture, qui peut s'étendre au-delà des bâtiments.

Ne pensez pas que vous n'avez rien à craindre si vous avez installé un réseau sans fil chez vous. Bien entendu, il est peu probable que des informations confidentielles soient stockées sur votre ordinateur personnel (même si cela peut être le cas), et un attaquant peut tout au plus compter sur vos archives de photos personnelles et une sélection de votre musique préférée. Cependant, ce n’est pas le principal danger du piratage des réseaux sans fil domestiques. En règle générale, les pirates informatiques s'intéressent à votre accès Internet.

Si vous payez Internet en fonction du trafic consommé, une telle connexion non autorisée peut entraîner des dépenses inutiles. Heureux propriétaires tarifs illimités Ils ne peuvent pas non plus se sentir calmes ; bien sûr, si quelqu'un d'autre commence à utiliser leur accès Internet, ils ne souffriront pas financièrement. Mais en même temps, il existe un risque que la vitesse de votre connexion diminue - cela est particulièrement vrai si un amateur de cadeaux n'est pas modeste et commence à utiliser au maximum le peering via votre chaîne.

Eh bien, il n'est pas nécessaire de parler de la nécessité de protéger les réseaux sans fil dans une entreprise - le travail d'une organisation moderne dépend souvent tellement de l'infrastructure informatique que les pannes et les violations de la protection des réseaux locaux peuvent complètement détruire des activités efficaces.

Cryptage

Le cryptage est l'un des moyens les plus évidents de sécuriser un réseau sans fil. En théorie, tout est simple : pour qu'un appareil utilisateur se connecte à un réseau sans fil, il doit confirmer ses droits d'une manière ou d'une autre en utilisant l'authentification. Ainsi, pour protéger les informations sur les réseaux informatiques, il suffit de restreindre l'accès au réseau à l'aide de mots de passe ou d'autres moyens d'authentification.

Historiquement, la première méthode de protection des réseaux sans fil était le cryptage WEP. Il y a quelque temps, l'algorithme assurait une protection assez fiable pour les réseaux sans fil, mais en 2001, des cryptanalystes ont mené plusieurs études qui ont attiré l'attention sur certaines vulnérabilités de cet algorithme, à cause desquelles la connexion protégée par cet algorithme est piratée en quelques minutes. Bien que ce cryptage soit meilleur que la transmission de données via une connexion directe non cryptée, il ne convient pas pour protéger les réseaux sans fil contre les pirates informatiques. Malgré cela, il existe encore un grand nombre de réseaux sans fil protégés par cet algorithme particulier. Cela est dû au fait que les équipements obsolètes ne prennent pas en charge les méthodes modernes de protection des informations sur les réseaux informatiques. Cependant, malgré les erreurs de mise en œuvre d'une méthode de cryptage, cette approche de protection des informations sur les réseaux est assez efficace. Par conséquent, après WEP, un autre algorithme est apparu, dépourvu des inconvénients de son prédécesseur - WPA.

En plus d'éliminer les erreurs dans l'algorithme de chiffrement, cette méthode de sécurité utilisait le nouveau protocole d'authentification étendu EAP, le protocole d'intégrité de clé temporaire TKIP et le mécanisme de vérification de l'intégrité des messages MIC. Il semblerait que cet ensemble impressionnant de technologies devrait permettre haut niveau protection des réseaux informatiques. Cependant, il n'y a pas si longtemps, en 2009, des preuves ont été présentées selon lesquelles toute connexion protégée par ce protocole peut être piratée (et, si des combinaisons réussies paramètres, surmonter la protection des réseaux informatiques prend environ 1 minute). Cependant, le cryptage en tant que méthode de protection des réseaux sans fil ne va pas abandonner sa position. En 2004, bien avant que WPA ne soit compromis, un nouveau protocole, WPA 2, a été développé. La principale différence avec WPA réside dans le passage de la méthode de cryptage RC4, fondamentalement vulnérable, à l'algorithme AES, plus robuste. Il n’existe actuellement aucun rapport indiquant que la sécurité des réseaux informatiques pourrait être compromise.

Cependant, un obstacle majeur à la mise en œuvre complète d’une sécurité sans fil aussi moderne et résistante aux pirates que WPA2 est sa prise en charge par les appareils clients. Il n'y a aucun problème si vous déployez un réseau à partir de zéro - tous les appareils modernes sortis après 2006 prennent en charge cette méthode de protection des informations sur les réseaux. Cependant, si vous possédez des appareils sans fil que vous souhaitez utiliser sur des réseaux sans fil et qu'ils ne prennent pas en charge WPA2, n'oubliez pas que le cryptage n'est pas le seul moyen efficace protection des réseaux informatiques.

Filtrage par adresses MAC

Une méthode assez efficace pour protéger les réseaux locaux consiste à filtrer l'accès par adresses MAC. Une adresse MAC est un numéro unique d'une interface réseau (carte réseau). Ainsi, connaissant à l'avance les adresses MAC des appareils de confiance, vous pouvez configurer la sécurité du réseau sans fil. Cependant, étant donné que les équipements réseau modernes peuvent modifier l'adresse MAC d'usine, cette méthode de protection des informations sur le réseau peut ne pas être efficace. Après tout, si un attaquant parvient d'une manière ou d'une autre à accéder à un appareil de confiance, il peut copier son adresse MAC et, à l'avenir, l'utiliser pour pénétrer dans le réseau à partir de n'importe quel autre appareil (s'il prend bien sûr en charge la modification de l'adresse MAC). Cependant, cette méthode peut être utilisée en complément d’autres, renforçant ainsi la sécurité de votre réseau sans fil.

Masquer le SSID

Pour pirater quelque chose, vous devez le voir ou au moins connaître son existence. Et si pour se protéger réseau local Cette méthode ne fonctionne pas bien (essayez de cacher les fils), mais elle est plutôt efficace pour protéger les réseaux sans fil belle sortie. Le fait est que par défaut, le point d'accès diffuse en permanence son SSID - l'identifiant du réseau sans fil. C'est cet identifiant que la carte réseau de votre ordinateur portable ou de votre communicateur remarque lorsqu'un message y apparaît indiquant qu'un nouveau réseau sans fil a été détecté. Même si l'annulation de la traduction du SSID ne rend pas en principe impossible la détection du réseau, il sera beaucoup plus difficile pour un attaquant de le détecter et encore plus difficile de se connecter à un tel réseau. Cependant, cette méthode de protection des informations sur les réseaux présente également certains inconvénients : lors de la connexion de nouveaux appareils à un réseau sans fil existant, vous devrez saisir manuellement le nom du réseau.

En général, une méthode de protection des informations telle que VPN a été inventée non pas tant pour protéger les réseaux sans fil que pour organiser une connexion sécurisée à un réseau local distant via Internet. Cependant, cette technologie fonctionne très bien dans les réseaux sans fil et est idéale pour protéger les réseaux locaux. Dans ce cas, le réseau sans fil lui-même peut être complètement dépourvu d'autre protection, mais il ne contiendra aucune ressource ouverte - toutes les ressources vulnérables sont situées dans un réseau virtuel, dont la seule interface n'est accessible que via le réseau sans fil. Les algorithmes de cryptage modernes garantissent une haute résistance de ces connexions et une protection fiable des informations sur les réseaux informatiques.

Le sujet de la protection des réseaux sans fil est cependant assez vaste règles générales la protection des informations dans les réseaux est généralement la même. Si vous souhaitez bénéficier d’une protection de réseau informatique véritablement résistante au piratage, il est préférable de combiner plusieurs méthodes de protection.

La combinaison d'un système de protection de réseau local multicouche (l'option de cryptage la plus avancée, le masquage du SSID, le filtrage des adresses MAC et le transfert de données via VPN) vous permettra de recevoir protection efficace informations dans les réseaux informatiques. Cependant, dans un souci d'efficacité, essayez de maintenir un équilibre entre la fiabilité de la protection et la facilité d'utilisation - après tout, plus votre réseau sans fil présente de contrôles et d'obstacles divers, plus il sera difficile à utiliser. Par conséquent, lorsque vous envisagez de protéger votre réseau local, pensez à la probabilité d'une attaque de pirate informatique sur votre réseau - ne surchargez pas le réseau avec des mesures de sécurité injustifiées, cela peut affecter négativement les performances et entraîner une perte de bande passante.

Le cryptage des données dans les réseaux sans fil fait l'objet d'une grande attention en raison de la nature même de ces réseaux. Les données sont transmises sans fil à l'aide d'ondes radio, généralement à l'aide d'antennes omnidirectionnelles. Ainsi, tout le monde entend les données, pas seulement celui à qui elles sont destinées. Bien entendu, les distances sur lesquelles fonctionnent les réseaux sans fil (sans amplificateurs ni antennes directives) sont faibles - environ 100 mètres par conditions idéales. Les murs, arbres et autres obstacles atténuent considérablement le signal, mais cela ne résout toujours pas le problème.

Au départ, seulement SSID (nom du réseau). Mais le SSID est transmis en texte clair et personne n'empêche un attaquant de l'écouter puis de lui substituer le bon dans ses paramètres. Sans oublier que (cela s'applique aux points d'accès) le mode de diffusion du SSID peut être activé, c'est-à-dire il sera diffusé de force à tous ceux qui l'écoutent.

Il était donc nécessaire de chiffrer les données. La première norme de ce type était WEP – Confidentialité équivalente filaire. Le chiffrement s'effectue à l'aide d'une clé de 40 ou 104 bits (cryptage de flux utilisant l'algorithme RC4 sur une clé statique). La clé elle-même est un ensemble de caractères ASCII d'une longueur de 5 (pour une clé de 40 bits) ou 13 (pour une clé de 104 bits). L'ensemble de ces caractères est traduit en une séquence de chiffres hexadécimaux, qui constituent la clé. Les pilotes de nombreux fabricants vous permettent de saisir directement des valeurs hexadécimales (de même longueur) au lieu d'un ensemble de caractères ASCII. Les algorithmes de conversion d'une séquence de caractères ASCII en valeurs de clé hexadécimales peuvent différer selon les fabricants. Par conséquent, si le réseau utilise des équipements sans fil hétérogènes et que la configuration du cryptage WEP à l'aide d'une phrase clé ASCII ne fonctionne pas, vous devez saisir la clé en notation hexadécimale. plutôt.

En réalité, le cryptage des données s'effectue à l'aide d'une longueur de clé de 40 ou 104. Mais en plus de la phrase ASCII (composant statique de la clé), il existe également Initialisation Vecteur (IV) – vecteur d'initialisation. Il sert à randomiser le reste de la clé. Le vecteur est sélectionné de manière aléatoire et change dynamiquement pendant le fonctionnement. En principe, c'est une solution raisonnable, puisqu'elle permet d'introduire un composant aléatoire dans la clé. La longueur du vecteur est de 24 bits, donc la longueur totale de la clé est de 64 (40+24) ou 128 (104+24) bits.

L'algorithme de cryptage utilisé (RC4) n'est actuellement pas particulièrement puissant - si vous le souhaitez vraiment, vous pouvez trouver une clé par force brute en un temps relativement court. Mais néanmoins, la principale vulnérabilité du WEP est précisément associée au vecteur d'initialisation. Le IV ne fait que 24 bits. Cela donne environ 16 millions de combinaisons, soit 16 millions de vecteurs différents. DANS vrai travail toutes les options de clé possibles seront utilisées dans un délai de dix minutes à plusieurs heures (pour une clé de 40 bits). Après cela, les vecteurs commenceront à se répéter. Un attaquant doit simplement collecter un nombre suffisant de paquets en écoutant simplement le trafic du réseau sans fil et trouver ces répétitions. Après cela, la sélection du composant statique de la clé (phrase ASCII) ne prend pas beaucoup de temps.

De nombreux fabricants intègrent dans le logiciel (ou le matériel des appareils sans fil) une vérification de ces vecteurs, et si des vecteurs similaires sont trouvés, ils sont ignorés en silence, c'est-à-dire Je ne suis pas impliqué dans le processus de cryptage.

Pour augmenter la sécurité des réseaux sans fil, le protocole WPA (Wi-Fi Protected Access) a été développé. Le protocole WPA a été conçu pour combler les points faibles des réseaux sans fil utilisant WEP. La spécification exige que les éléments du réseau soient équipés de capacités de génération de clés dynamiques et utilisent un schéma avancé de cryptage des données RC4 basé sur TKIP (Temporel Clé Intégrité Protocole- protocole d'intégrité des clés à court terme). De cette manière, il a été possible d'augmenter la sécurité des paquets et d'assurer une compatibilité ascendante avec WEP, même au prix d'une charge supplémentaire sur les canaux du réseau. De plus, les sommes de contrôle cryptographiques WPA sont calculées à l’aide d’une nouvelle méthode appelée Michael. Chaque trame 802.11 contient un code d'intégrité de message spécial de huit octets, dont la vérification vous permet de repousser les attaques utilisant des paquets falsifiés.

Tous les appareils compatibles WPA nécessitent une authentification 802.1x à l'aide du PAE (Extensible Authentification Protocole - protocole d'authentification étendu). Dans ce cas, le serveur est utilisé RAYON (Télécommande Authentification Cadran- Dans Utilisateur Service - service d'authentification des utilisateurs à distance via des lignes commutées) ou une clé pré-partagée.

L'authentification 802.1x est basée sur une architecture client-serveur et utilise trois éléments : un client demandeur, un authentificateur et un serveur d'authentification. L'utilisation généralisée de cette technologie dans les réseaux locaux sans fil d'entreprise est facilitée par son modèle de gestion centralisé de la sécurité et par sa capacité à s'intégrer aux systèmes d'authentification d'entreprise existants.

Pour la plupart des organisations, l'utilisation de WPA nécessitera l'installation de nouveaux micrologiciels et clients et leur intégration à leurs systèmes d'authentification. Les petites et moyennes entreprises qui se passent de serveur d'authentification devront d'abord installer une clé partagée sur chaque client et point d'accès.
WPA est déjà pris en charge dans les systèmes d'exploitation.

Il n'y a pas si longtemps, une nouvelle norme 802.11i est sortie, visant à accroître la sécurité des réseaux sans fil : elle implique l'utilisation du cryptage AES (Avancé Cryptage standard) avec une longueur de clé de 128, 192 ou 256 bits et est utilisé avec les appareils 802.11b et 802.11g.

La norme 802.11i, conçue pour assurer la sécurité des informations sur les WLAN des grandes entreprises et des petits bureaux, vise à améliorer les fonctions de sécurité de la norme 802.11. Toutefois, cette norme, qui prévoit le cryptage des données et le contrôle de leur intégrité, diffère complexité accrue mise en œuvre et peut ne pas être compatible avec les équipements sans fil existants.

La norme de sécurité 802.11i fournit une spécification intermédiaire pour ce que l'on appelle réseau sécurisé de transition -De transition Sécurité Réseau (TSN), qui permet l'utilisation simultanée de solutions RSN et de systèmes WEP existants. Cependant, le réseau sans fil ne sera pas aussi bien protégé.

Le mécanisme de confidentialité des données par défaut de la norme IEEE 802.11i est basé sur le chiffrement par bloc AES. Le protocole de sécurité qui l'utilise s'appelle Counter-Mode CBC MAC Protocol, ou CCMP. Aux couches inférieures du modèle OSI, où se produisent le cryptage et le déchiffrement des données transmises, AES utilise trois clés de cryptage temporaires. AES (Advanced Encryption Standard - une norme de cryptage améliorée) diffère de l'implémentation RC4 incluse dans WEP par un algorithme cryptographique beaucoup plus robuste, mais il impose des exigences accrues sur le débit des canaux de communication, de sorte que la transition vers une nouvelle norme nécessitera une mise à niveau du réseau. équipement. De plus, AES n’est pas rétrocompatible avec les équipements WPA et WEP actuels.

Pour que les points d'accès d'entreprise fonctionnent avec la sécurité réseau 802.11i, ils doivent prendre en charge l'authentification des utilisateurs RADIUS et être capables de réauthentifier rapidement les utilisateurs après la perte d'une connexion réseau. Ceci est particulièrement important pour le fonctionnement normal des applications en temps réel (par exemple, voix sur WLAN).

Si le serveur RADIUS utilisé pour contrôler l'accès des utilisateurs du réseau câblé prend en charge les méthodes d'authentification EAP requises, il peut alors être utilisé pour authentifier les utilisateurs du réseau sans fil. Sinon, cela vaut la peine d'installer un serveur WLAN RADIUS qui interagira avec le serveur RADIUS existant en tant que serveur proxy. Le serveur WLAN RADIUS fonctionne en vérifiant d'abord les informations d'authentification de l'utilisateur (par rapport au contenu de sa base de données de ses identifiants et mots de passe) ou son certificat numérique, puis en obligeant le point d'accès et le système client à générer dynamiquement des clés de cryptage pour chaque session de communication. La norme IEEE 802.11i ne spécifie aucune méthode d'authentification EAP spécifique. Le choix de la méthode d'authentification EAP est déterminé par les spécificités des applications clientes et de l'architecture réseau.

La nouvelle norme a acquis plusieurs propriétés relativement peu connues. L'un d'eux - la mise en cache des clés - enregistre des informations le concernant sans que l'utilisateur ne le remarque, lui permettant de ne plus saisir toutes les informations le concernant lorsqu'il quitte la zone de couverture du réseau sans fil puis y revient.

La deuxième innovation est la pré-authentification. Son essence est la suivante : depuis le point d'accès auquel l'utilisateur est actuellement connecté, un paquet de pré-authentification est envoyé à un autre point d'accès, fournissant à cet utilisateur une pré-authentification avant même de s'inscrire au nouveau point et réduisant ainsi le temps d'autorisation lors de l'enregistrement. se déplacer entre les points d'accès.

Pour que les ordinateurs portables et les PDA fonctionnent avec la sécurité réseau 802.11i, ils doivent être équipés de programmes clients prenant en charge la norme 802.1x. Cisco l'a inclus dans son utilitaire client Aironet. Microsoft a fourni la prise en charge de la norme 802.1x dans Windows XP, Vista et Seven. Malheureusement, ces programmes clients, qui sont pré-inclus dans le système d'exploitation et d'autres outils, ne prennent généralement pas en charge toutes les méthodes d'authentification EAP. Tableau 4.8

Tableau 4.8 - Normes de cryptage des données.

Standard	Fonctionnalités de sécurité	Avantages	Défauts
WEP	Cryptage RC4, clés statiques, authentification 802.1x – sur mesure	Au moins une sorte de protection ; Prise en charge WEP sur la plupart des appareils 802.11	Trop de lacunes à exploiter dans un environnement d'entreprise ; Des outils supplémentaires tels que les réseaux privés virtuels sont souvent utilisés pour protéger les réseaux locaux sans fil
WPA	TKIP, clés dynamiques, Michael, authentification 802.1x obligatoire (EAP et RADIUS ou clé pré-partagée)	Rétrocompatible avec WEP ; Possibilité d'intégration dans les réseaux sans fil existants avec une simple mise à jour du firmware.	Une solution temporaire pour la période de transition jusqu'à ce que la norme 802.11i, plus fiable, soit approuvée.
802.11i	Cryptage AES, CCMP, WRAP, gestion des clés 802.11i, authentification 802.1x.	Plus fort que le cryptage WEB ; système de gestion des clés sécurisé	Besoin de nouveau matériel et de nouveaux chipsets ; incompatibilité avec les anciens équipements Wi-Fi

5 Systèmes de stockage de données tolérants aux pannes :
RAID - matrices

Le problème de l'augmentation de la fiabilité du stockage des informations et de l'augmentation simultanée des performances d'un système de stockage de données préoccupe depuis longtemps les développeurs de périphériques informatiques. Concernant l'augmentation de la fiabilité du stockage, tout est clair : l'information est une marchandise, et souvent très précieuse. Pour se protéger contre la perte de données, de nombreuses méthodes ont été inventées, dont la plus connue et la plus fiable est la sauvegarde des informations.

RAID - est une matrice redondante de disques indépendants (Redondant Tableaux de Indépendant Disques) , qui est chargé d’assurer la tolérance aux pannes et d’augmenter les performances. La tolérance aux pannes est obtenue grâce à la redondance. Autrement dit, une partie de la capacité de l'espace disque est allouée à des fins officielles, devenant inaccessible à l'utilisateur.

Des performances accrues du sous-système de disque sont assurées par le fonctionnement simultané de plusieurs disques et, en ce sens, plus il y a de disques dans la matrice (jusqu'à une certaine limite), mieux c'est.

Le fonctionnement conjoint des disques d'une matrice peut être organisé en utilisant un accès parallèle ou indépendant.

Avec un accès parallèle, l'espace disque est divisé en blocs (bandes) pour l'enregistrement des données. De même, les informations à écrire sur le disque sont divisées en mêmes blocs. Lors de l'écriture, des blocs individuels sont écrits sur différents disques (Figure 5.1) et plusieurs blocs sont écrits simultanément sur différents disques, ce qui entraîne des performances accrues dans les opérations d'écriture. Les informations nécessaires sont également lues dans des blocs séparés simultanément à partir de plusieurs disques (Figure 5.2).


Figure 5.1 - Structure des enregistrements	Figure 5.2 - Structure de lecture

Cela augmente également les performances proportionnellement au nombre de disques dans la baie.

Il convient de noter que le modèle d'accès parallèle n'est mis en œuvre que si la taille de la demande d'écriture de données est supérieure à la taille du bloc lui-même. Sinon, il est tout simplement impossible de réaliser un enregistrement parallèle de plusieurs blocs. Imaginons une situation où la taille d'un bloc individuel est de 8 Ko et la taille d'une demande d'écriture de données est de 64 Ko. Dans ce cas, les informations sources sont découpées en huit blocs de 8 Ko chacun. Si vous disposez d'une baie de quatre disques, vous pouvez écrire quatre blocs, soit 32 Ko, à la fois. Évidemment, dans l'exemple considéré, les vitesses d'écriture et de lecture seront quatre fois supérieures à celles d'un seul disque. Cependant, cette situation est idéale, car la taille de la requête n'est pas toujours un multiple de la taille du bloc et du nombre de disques dans la baie.

Si la taille des données enregistrées est inférieure à la taille du bloc, un modèle d'accès fondamentalement différent est mis en œuvre : l'accès indépendant. De plus, ce modèle peut également être mis en œuvre dans le cas où la taille des données enregistrées est supérieure à la taille d'un bloc. Avec un accès indépendant, toutes les données d'une seule requête sont écrites sur un disque séparé, c'est-à-dire que la situation est identique à celle d'un travail avec un seul disque. L'avantage du modèle d'accès parallèle est que si plusieurs requêtes d'écriture (lecture) arrivent simultanément, elles seront toutes exécutées indépendamment, sur des disques distincts (Figure 5.3). Une situation similaire est typique, par exemple, dans les serveurs.

Conformément aux différents types d'accès, il existe différents types de matrices RAID, généralement caractérisées par des niveaux RAID. Outre le type d'accès, les niveaux RAID diffèrent dans la manière dont ils allouent et génèrent des informations redondantes. Les informations redondantes peuvent être placées sur un disque spécialement alloué ou mélangées entre tous les disques. Il existe plusieurs autres façons de générer ces informations. Le plus simple d'entre eux est la duplication complète (redondance à 100 %) ou la mise en miroir. De plus, des codes de correction d'erreurs sont utilisés, ainsi que des calculs de parité.

Actuellement, il existe plusieurs niveaux RAID standardisés : du RAID 0 au RAID 5. De plus, des combinaisons de ces niveaux sont utilisées, ainsi que des niveaux propriétaires (par exemple, RAID 6, RAID 7). Les niveaux les plus courants sont 0, 1, 3 et 5.

Le niveau RAID 0, à proprement parler, n'est pas une matrice redondante et, par conséquent, ne permet pas un stockage de données fiable. Néanmoins, ce niveau est largement utilisé dans les cas où il est nécessaire d'assurer des performances élevées du sous-système de disque. Ce niveau est particulièrement apprécié dans les postes de travail. Lors de la création d'une matrice RAID de niveau 0, les informations sont divisées en blocs qui sont écrits sur des disques séparés, c'est-à-dire qu'un système avec accès parallèle est créé (si, bien sûr, la taille des blocs le permet). En autorisant les E/S simultanées à partir de plusieurs disques, RAID 0 offre les vitesses de transfert de données les plus rapides et une efficacité maximale de l'espace disque car aucun espace de stockage n'est requis pour les sommes de contrôle. La mise en œuvre de ce niveau est très simple. RAID 0 est principalement utilisé dans les zones où un transfert rapide de grandes quantités de données est requis.

RAID 1 (disque en miroir)

Le niveau RAID 1 est une matrice de disques avec une redondance à 100 %. Autrement dit, les données sont simplement complètement dupliquées (mises en miroir), grâce à quoi un niveau très élevé de fiabilité (ainsi que de coût) est atteint. Notez que pour implémenter le niveau 1, il n’est pas nécessaire de partitionner au préalable les disques et les données en blocs. Dans le cas le plus simple, deux disques contiennent les mêmes informations et constituent un seul disque logique. Si un disque tombe en panne, ses fonctions sont assurées par un autre (ce qui est absolument transparent pour l'utilisateur). De plus, ce niveau double la vitesse de lecture des informations, puisque cette opération peut être effectuée simultanément à partir de deux disques. Ce schéma de stockage d'informations est principalement utilisé dans les cas où le coût de la sécurité des données est bien supérieur au coût de mise en œuvre d'un système de stockage.

RAID niveau 2 est un schéma de redondance des données utilisant le code de Hamming pour la correction des erreurs. Les données écrites ne sont pas formées sur la base d'une structure de blocs, comme dans RAID 0, mais sur la base de mots, et la taille des mots est égale au nombre de disques pour enregistrer les données dans la matrice. Si, par exemple, la baie dispose de quatre disques pour écrire des données, la taille des mots est égale à quatre disques. Chaque bit individuel d'un mot est écrit sur un disque distinct dans la matrice. Par exemple, si une matrice comporte quatre disques pour enregistrer des données, alors une séquence de quatre bits, c'est-à-dire un mot, sera écrite sur la matrice de disques de telle sorte que le premier bit soit sur le premier disque, le second un peu sur la seconde, etc.

De plus, un code de correction d'erreur (ECC) est calculé pour chaque mot et écrit sur des disques dédiés pour stocker les informations de contrôle. Leur nombre est égal au nombre de bits du mot de contrôle, et chaque bit du mot de contrôle est écrit sur un disque séparé.

RAID 2 est l'un des rares niveaux qui permet non seulement de corriger des erreurs simples à la volée, mais également de détecter des erreurs doubles. De plus, c’est le plus redondant de tous les niveaux avec codes correcteurs. Ce système de stockage de données est rarement utilisé car il ne répond pas bien à un grand nombre de demandes, est complexe à organiser et présente des avantages mineurs par rapport au niveau RAID 3.

RAID niveau 3 est une matrice tolérante aux pannes avec des E/S parallèles et un disque supplémentaire, sur lequel les informations de contrôle sont enregistrées. Lors de l'enregistrement, le flux de données est divisé en blocs au niveau des octets (bien qu'éventuellement au niveau des bits) et est écrit simultanément sur tous les disques de la matrice, à l'exception de celui alloué au stockage des informations de contrôle. Pour calculer les informations de contrôle (également appelées somme de contrôle), une opération ou exclusif (XOR) est appliquée aux blocs de données en cours d'écriture. En cas de panne d'un disque, les données qu'il contient peuvent être restaurées à l'aide des données de contrôle et des données restantes sur des disques sains.

Le niveau RAID 3 a beaucoup moins de redondance que le RAID 2. En divisant les données en blocs, le RAID 3 offre des performances élevées. Lors de la lecture des informations, le disque n'est pas accessible avec des sommes de contrôle (sauf en cas d'échec), ce qui se produit à chaque fois qu'une opération d'écriture se produit. Étant donné que chaque opération d'E/S accède à pratiquement tous les disques de la baie, le traitement simultané de plusieurs requêtes n'est pas possible. Ce niveau convient aux applications comportant des fichiers volumineux et une faible fréquence d'accès. De plus, les avantages du RAID 3 incluent une légère diminution des performances en cas de panne et une récupération rapide des informations.

RAID niveau 4 est une matrice tolérante aux pannes de disques indépendants avec un lecteur pour stocker les sommes de contrôle. RAID 4 est similaire à bien des égards à RAID 3, mais diffère principalement de ce dernier de manière significative grande taille bloc de données en cours d’écriture (plus grand que la taille des données en cours d’écriture). C'est la principale différence entre RAID 3 et RAID 4. Après avoir écrit un groupe de blocs, une somme de contrôle est calculée (de la même manière que dans le cas du RAID 3), qui est écrite sur le disque alloué à cet effet. Avec une taille de bloc plus grande que RAID 3, plusieurs opérations de lecture peuvent être effectuées simultanément (conception d'accès indépendante).

RAID 4 améliore les performances des transferts de petits fichiers (en parallélisant l'opération de lecture). Mais comme l'enregistrement doit calculer la somme de contrôle sur le disque alloué, les opérations simultanées sont ici impossibles (il existe une asymétrie des opérations d'entrée et de sortie). Le niveau considéré n'offre pas d'avantages en termes de vitesse lors de la transmission de grandes quantités de données. Ce système de stockage a été conçu pour les applications dans lesquelles les données sont initialement divisées en petits blocs, il n'est donc pas nécessaire de les diviser davantage. RAID 4 est une bonne solution pour les serveurs de fichiers où les informations sont principalement lues et rarement écrites. Ce système de stockage de données est peu coûteux, mais sa mise en œuvre est assez complexe, tout comme la récupération des données en cas de panne.

Le niveau RAID 5 est une matrice tolérante aux pannes de disques indépendants avec stockage distribué des sommes de contrôle (Figure 5.4). Les blocs de données et les sommes de contrôle, qui sont calculés de la même manière que dans RAID 3, sont écrits de manière cyclique sur tous les disques de la matrice, c'est-à-dire qu'il n'y a pas de disque dédié pour stocker les informations sur la somme de contrôle.

Figure 5.4 - Structure RAID 5

Dans le cas du RAID 5, tous les disques de la matrice ont la même taille, mais la capacité totale du sous-système de disque disponible pour l'écriture devient exactement un disque plus petit. Par exemple, si cinq disques ont une taille de 10 Go, la taille réelle de la baie est de 40 Go car 10 Go sont alloués aux informations de contrôle.

RAID 5, comme RAID 4, possède une architecture d'accès indépendante, c'est-à-dire que contrairement au RAID 3, il fournit une grande taille de blocs logiques pour stocker les informations. Par conséquent, comme dans le cas du RAID 4, une telle matrice offre le principal avantage lors du traitement simultané de plusieurs requêtes.

La principale différence entre RAID 5 et RAID 4 réside dans la manière dont les sommes de contrôle sont placées.

La présence d'un disque (physique) séparé stockant des informations sur les sommes de contrôle, ici, comme dans les trois niveaux précédents, conduit au fait que les opérations de lecture qui ne nécessitent pas d'accès à ce disque sont effectuées à grande vitesse. Cependant, chaque opération d'écriture modifie les informations sur le disque de contrôle, de sorte que RAID 2, RAID 3 et RAID 4 n'autorisent pas les écritures parallèles. RAID 5 ne présente pas cet inconvénient car des sommes de contrôle sont écrites sur tous les disques de la matrice, ce qui permet d'effectuer plusieurs lectures ou écritures simultanément.

Mise en œuvre pratique

Pour la mise en œuvre pratique des matrices RAID, deux composants sont nécessaires : la matrice de disques durs elle-même et le contrôleur RAID. Le contrôleur remplit les fonctions de communication avec le serveur (poste de travail), générant des informations redondantes lors de l'écriture et vérifiant lors de la lecture, distribuant les informations sur les disques conformément à l'algorithme

La fonction principale d'une matrice RAID n'est pas d'augmenter la capacité du sous-système de disque (comme le montre sa conception, la même capacité peut être obtenue pour moins d'argent), mais d'assurer un stockage fiable des données et d'augmenter les performances. Pour les serveurs, il est en outre nécessaire de garantir un fonctionnement ininterrompu, même en cas de panne de l'un des disques. Un fonctionnement ininterrompu est assuré par le remplacement à chaud, c'est-à-dire le retrait d'un disque SCSI défectueux et l'installation d'un nouveau sans couper l'alimentation. Étant donné que le sous-système de disque reste opérationnel (sauf au niveau 0) en cas de panne d'un disque, le remplacement à chaud permet une récupération transparente pour les utilisateurs. Cependant, la vitesse de transfert et la vitesse d'accès avec un disque qui ne fonctionne pas sont sensiblement réduites du fait que le contrôleur doit récupérer les données à partir d'informations redondantes. Certes, il existe une exception à cette règle : les systèmes RAID de niveaux 2, 3, 4, lorsqu'un disque contenant des informations redondantes tombe en panne, ils commencent à fonctionner plus rapidement ! C'est naturel, puisque dans ce cas le niveau « à la volée » passe à zéro, ce qui présente d'excellentes caractéristiques de vitesse.

CONCLUSION: Compte tenu des spécificités de l'entreprise, la meilleure solution L'application de la matrice est une matrice RAID 5 car il a une vitesse de lecture-écriture assez élevée (la vitesse de lecture est inférieure à RAID 4) et une faible redondance, c'est-à-dire c'est économique.