La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

I.U.T. Le Creusot Service Informatique Déploiement dun réseau sans fil avec authentification RADIUS En collaboration avec le CRI de lUniversité de Bourgogne.

Présentations similaires


Présentation au sujet: "I.U.T. Le Creusot Service Informatique Déploiement dun réseau sans fil avec authentification RADIUS En collaboration avec le CRI de lUniversité de Bourgogne."— Transcription de la présentation:

1 I.U.T. Le Creusot Service Informatique Déploiement dun réseau sans fil avec authentification RADIUS En collaboration avec le CRI de lUniversité de Bourgogne

2 Plan de la Présentation: Jérôme PERNOT, Octobre2003 Les usages du réseau sans fil, Exigences fonctionnelles, Déploiement – Mise en œuvre, Évolutions des normes de sécurisation des réseaux sans fil, État davancement du projet, Le réseau sans fil dans le cadre du projet détablissement, Conclusion. Technologies et normes des réseaux sans fil, Sécurité des réseaux Wi-Fi – b,

3 Le réseau sans fil dans le cadre du projet détablissement: Jérôme PERNOT, Octobre2003 Mise œuvre à lIUT du Creusot dun programme de développement des systèmes dinformation: Développement dune politique dacquisition de matériel, - Centralisation des annuaires utilisateurs, - Maîtrise du réseau filaire, - Mise en place dun firewall, - Authentification pour laccès à internet (étudiants), - Lutte contre les virus: * Antivirus centralisé, * Protection des serveurs, en particulier le courrier électronique, - Administration des systèmes et des réseaux, Sécurisation du système dinformation: mise en oeuvre d une politique de sécurité Création de salles en libre accès pour les étudiants (Terminaux légers), Développement dun Environnement Numérique de Travail, Remise a niveau des réseaux informatiques du site (câblage, séparation des flux…), Mise en œuvre dun réseau sans fil.

4 Les usages du réseau sans fil: Jérôme PERNOT, Octobre2003 Utilisation des technologies sans fil dans la cadre des projets de recherche, Multiplication des équipements mobiles (PDA, portables…), Nomadisme des enseignants, étudiants, personnels administratifs: Disponibilité des ressources sur lensemble du campus universitaire, Appréhender les technologies utilisées dans les réseaux sans fil, Sensibiliser les utilisateurs à lutilisation des équipements sans fil. Souplesse et facilité dutilisation,

5 Exigences fonctionnelles: Jérôme PERNOT, Octobre2003 Gestion centralisée des utilisateurs: - Authentification des utilisateurs par un serveur RADIUS, - Utilisation de lannuaire utilisateurs de létablissement, - VLAN, - Accès différenciés aux ressources, Création de communautés dutilisateurs sans fil: Isolement des communautés (étudiants et invités), Protection des contenus, Outils de gestion et dadministration du réseau sans fil, Assurer le roaming (itinérance), - Mise à jour firmware des équipements, - Adaptation aux nouvelles normes. Évolutivité des solutions mises en œuvre: Sécurité:

6 Technologies et normes des réseaux sans fil: Jérôme PERNOT, Octobre2003 Standards de transmission Débit théorique 2 Mbit/s - fréquences 2,4 GHz (1997) aDébit théorique 54 Mbit/s - fréquences 5 GHz sur 8 canaux (1999)Non compatible b et g bDébit théorique 11 Mbit/s - fréquences 2,4 GHz sur 14 canaux (1999) 13 canaux en France gDébit théorique 54 Mbit/s - fréquences 2;4 GHz (Juillet 2003)compatible b nDébit théorique maximum 320 Mbit/s - fréquences 5 GHz (fin 2005) Bluetooth, Hiperlan … - le label Wi-Fi (Wireless Fidelity), - les normes Les travaux du groupe de lIEEE: Standards connexes: eGestion de la qualité de service a, b et gNorme de qualité de service pour les applications multimédia fInteropérabilité constructeurs iGestion de la sécurité (2 volets) 802.1QGestion des VLAN (1998) 802.1xGestion de la sécurité par port (2001)

7 Sécurité des réseaux WiFi – b: les mécanismes Jérôme PERNOT, Octobre2003 Les mécanismes de sécurité des réseaux b sont peu efficaces: Technique de cryptage WEP ( Wired Equivalent Privacy): - Ne remplit pas les garanties de sécurité attendues, - Clef de chiffrement statique, - Texte en clair et son correspondant chiffrés sont accessibles, - Faiblesse de lalgorithme de chiffrement RC4, - Outils libres sur Internet pour contourner le WEP (Airsnort …), - Non chiffré, - SSID constructeurs (tsunami, any …), - Possibilité de supprimer la diffusion du SSID (beacons), SSID – identificateur de réseau: - Lourd à gérer, - Écoute possible du trafic pour repérer les adresses MAC valides, - Génération de trames falsifiées (adresse MAC valide), - Outils disponibles sur Internet (Linux), Filtrage des adresses MAC (adresse Ethernet): - Aucune sécurité mise en œuvre sur un point daccès utilisé avec une configuration par défaut, - Risques de réseaux sauvages. Points importants:

8 Sécurité des réseaux WiFi – b: les contrôles daccès Jérôme PERNOT, Octobre2003 La norme IEEE 802.1x: x est un protocole de contrôle daccès réseau par port destiné aux équipements dinterconnexion, - Utilisation de EAP (Extensible Authentification Protocol): Protocole de transport pour lauthentification, x et EAP forme le socle du système dauthentification. Authentifications par noms dutilisateurs / mots de passe: a) LEAP (Lightweight EAP) - (Solution technique retenue): - Solution CISCO, - Authentification de type « challenge-response » basée sur un serveur RADIUS (Remote Access Dial-In User Service), - Authentification mutuelle (utilisateur – point daccès), - Gestion de clés WEP dynamiques par session et par utilisateur, SYSTEMES DAUTHENTIFICATION (protocoles): b) EAP-MD5 : - Méthode simple de challenge/réponse, - Pas dauthentification mutuelle, - Protocole non adapté aux réseaux sans fil, - Attaque par dictionnaire possible.

9 Sécurité des réseaux WiFi – b: les contrôles daccès Jérôme PERNOT, Octobre2003 a) PEAP (Protected EAP): - Authentification mutuelle, - Utilisation dun serveur RADIUS supportant TLS, - Authentification utilisateur par login/mot de passe, - Gestion des clés WEP dynamiques, b) EAP-TLS (Transport Layer Security): - Authentification mutuelle, - Basé sur SSL/TLS, - Utilisation dun serveur de certificats, - Implémentation de certificats pour les clients, - Gestion des clés WEP dynamiques, EAP-SIM (Subscriber Identity Module): - Utilisation de la carte à puce SIM de type GSM, - Protocole EAP intégré à la carte, - Facturation possible (Hotspot). Ces systèmes dauthentification requièrent lutilisation dun serveur de type RADIUS pour lauthentification des utilisateurs. SYSTEMES DAUTHENTIFICATION (suite): Authentifications par cartes à puces sécurisées: Authentifications basées sur des certificats:

10 Déploiement – mise en œuvre: choix des équipements Jérôme PERNOT, Octobre2003 Solutions techniques retenues: Point dAccès (borne ou AP) CISCO Aironet 1100: - Supporte jusqu à 16 VLANs, - Utilise lIOS, - Support du protocole LEAP, - Prise en compte de la QoS, - Évolution g, - Support du protocole LEAP, Carte réseau b et g: - Niveaux 2 et 3, Architecture commutée CISCO: - Support 802.1q, - DHCP serveur, - Fonctions de NAT, - Filtrage – administration, Firewall (FreeBSD): - Authentification, - Support du protocole LEAP, - Support de lActive Directory, - Support LDAP (v3), Serveur RADIUS ACS 3.2 – CISCO:

11 Réseau détablissement INTERNET Annuaire Utilisateurs RADIUS Authentification Commutateur N3 Routage ACL Firewall Filtrage NAT DHCP Auth DMZ WiFi Déploiement – mise en œuvre: principes dutilisation Jérôme PERNOT, Octobre2003 Communautés dutilisateurs WiFi : - WVLAN Recherche - WVLAN Gestion - WVLAN Pédagogie (étudiants) - WVLAN Invité RADIUS Authentification Les utilisateurs de la communauté Invité sont authentifiés par le Firewall. Les utilisateurs des communautés Recherche, Gestion, et Pédagogie sont authentifiés par le serveur RADIUS (AAA), qui utilise lannuaire (Active Directory) de létablissement. Implémentation de LEAP pour ces communautés. Les communautés Pédagogie et Invité utilisent des classes dadresses spécifiques. La Translation dadresses et le filtrage sont assurées par le Firewall. Ces communautés sont connectées a une interface (DMZ) supportant le protocole 802.1q: ce modèle met laccent sur la sécurité. Les communautés Recherche et Gestion utilisent des classes dadresses spécifiques, le routage et le filtrage (ACL) sont confiés au commutateur de niveau 3: ce modèle favorise les performances (routage). Chaque communauté est associée à un SSID

12 Réseau détablissement INTERNET Annuaire Utilisateurs SRV Données ETUDIANTS RADIUS Authentification SRV Données RECHERCHE Commutateur N3 Routage, ACL Firewall Filtrage NAT DHCP Auth LEAP support Déploiement – mise en œuvre: Jérôme PERNOT, Octobre2003 SSID: Recherche SSID: Gestion SSID: Pédagogie LEAP Client SSID: Invité Open/DHCP - Auth FW - Limit. BP Schéma de fonctionnement LEAP Client

13 État davancement du projet: Jérôme PERNOT, Octobre2003 Étude radio et mise en service des points daccès (terminée): phase primordiale: - Gestion des canaux - éviter les interférences, - Sécurité - gérer la couverture radio des points daccès, - Implantation de points daccès en fonction des zones dutilisation, Mise à disposition des utilisateurs (fin novembre 2003): - Enseignement, recherche, administratifs et techniques, - Étudiants et invités. Audit sécurité de larchitecture sans fil déployée (fin octobre 2003): Intégration du réseau sans fil dans le réseau de létablissement (finalisation): - Configuration des éléments actifs: * VLAN, * Routage, * Règles de sécurité (firewall et commutateur), - Implémentation LEAP, RADIUS, ACTIVE DIRECTORY, Déploiement:

14 État davancement du projet: Jérôme PERNOT, Octobre2003 Communautés Enseignement, Recherche: - 35 équipements seront connectés dès la mise en service du réseau, - Assistance du Service Informatique pour linstallation des cartes, - Aide à linstallation des équipements accessible sur lintranet de lIUT, Communauté Étudiants: - 30 cartes seront prêtées aux étudiants disposant de portables, - Chèque de caution de 150 (renouvelable chaque année), - Assistance du Service Informatique pour linstallation des cartes, - Aide en ligne accessible depuis lEnvironnement Numérique de Travail, Communauté Invités: - Accès disponible dès la fin de lannée, - Mise en œuvre de lauthentification Firewall ou portail HTTP (NoCatAuth), Mise à disposition des utilisateurs:

15 État davancement du projet: Jérôme PERNOT, Octobre2003 Faire bénéficier à lensemble des composantes de luniversité de Bourgogne de lexpérience acquise. Extension sur lensemble des établissements du site du Creusot: - Centre Universitaire Condorcet, - Bibliothèque Universitaire, Extension à la Cité Universitaire: - Cité distante du Site Universitaire (2 kilomètres), Projet technique à développer, Extensions:

16 Jérôme PERNOT, Octobre2003 Évolutions des normes de sécurisation des réseaux sans fil: Solution de transition compatible avec le matériel existant (WPA): - Utilisation de TKIP – nouveau protocole de gestion des clés, * Clés WEP dynamiques, * Vérification de séquence des paquets, * MIC vérifie lintégrité de chaque trame en remplacement de lalgorithme CRC, - Génération et distribution automatique des clefs, - Intégration de 802.1x pour le contrôle daccès: * Utilisation du protocole EAP, * Choix des méthodes dauthentification, * Utilisation de RADIUS pour lauthentification utilisateurs, - Mise à jour possible des équipements (firmware), La norme IEEE i : Norme à 2 volets Solution définitive incompatible avec le matériel existant: - Nouveau système de sécurité autour dAES (Advanced Encryption Standard) AES remplacera RC4, - Incompatibilité avec les équipements actuels (certains constructeurs annoncent déjà une compatibilité matérielle), - La norme i ne sera pas finalisée avant la lété 2004.

17 Conclusion: Jérôme PERNOT, Octobre2003 Intégrer les réseaux sans fil dans la politique de sécurité de létablissement, Le réseau sans fil offre une disponibilité des ressources sur lensemble du campus universitaire (Environnement Numérique de Travail), Auditer et surveiller régulièrement lespace radio: - Netstumbler (Windows), - WifiScanner (Linux), - Kismet (PDA), Implémenter les nouvelles normes sur les équipements en fonctionnement: - WPA, EAS, Faire bénéficier à lensemble des composantes de luniversité de Bourgogne de lexpérience acquise. Associer à tout déploiement de réseau sans fil un système dauthentification ou utiliser une solution de tunnels VPN basés sur IPSec,

18 Questions – Réponses: Jérôme PERNOT, Octobre 2003 Merci de votre attention.


Télécharger ppt "I.U.T. Le Creusot Service Informatique Déploiement dun réseau sans fil avec authentification RADIUS En collaboration avec le CRI de lUniversité de Bourgogne."

Présentations similaires


Annonces Google