La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 801.11 Wi-Fi Sécurité. 2 Authentification la base SSID Echange du SSID pour lauthentification. Les bases –Régler la porté des points daccès, –Protéger.

Présentations similaires


Présentation au sujet: "1 801.11 Wi-Fi Sécurité. 2 Authentification la base SSID Echange du SSID pour lauthentification. Les bases –Régler la porté des points daccès, –Protéger."— Transcription de la présentation:

1 Wi-Fi Sécurité

2 2 Authentification la base SSID Echange du SSID pour lauthentification. Les bases –Régler la porté des points daccès, –Protéger point daccè s, –Vérifier les conditions dutilisation après un reset, –Retirer le SSID de la trame beacon si possible.

3 3 Sécurité de base, WEP La sécurité de base existante consiste en deux sous-systèmes: –Un algorithme dauthentification à clef partagée (Shared Key Authentication) –Une technique de chiffrement et dencapsulation des données appelée WEP (Wired Equivalent Privacy) Authentification clé WEP: – Clé privée dauthentification délivrée hors bande – LAP transmet une phrase aléatoire en texte (challenge-plain text) – La station crypte la phrase et la retransmet au PA

4 4 Le process ICVIntegrity Check Value (CRC) IV vecteur dinitialisation, choisit aléatoirement

5 5 WPA i

6 6 WPA (Wi-Fi Protect Access) WPA a été créé par « The WI-FI Alliance, un groupement industriel qui possède le label Wi-Fi et certifie les les produits qui portent ce logo i est sorti en tant que standard en Juin 2004 Authentification – PSK / Entreprise WPA entreprise est architecturé avec lutilisation dun protocole dautentification x, un authentification server, qui distribue les clés à chaque clients; cependant. Le WPA-PSK, est la version la plus simple, cest le « Pre-Shared Key" (PSK) mode, dans lequel les utilisateurs utilisent la même identification WPA2 est la certification du standard IEEE i WPA2 implémente les éléments définis dans le standard en particulier " the Michael algorithm " est remplacé paru un message authentication code, CCMP, qui est considéré très secure et introduction du AES en option pour le cryptage

7 7 Un apport déterminant WPA: TKIP TKIP (Temporal Key Integrity Protocol) est essentiellement un upgrade qui tend à pallier les défauts connus du WEP, du cryptage RC4 Le vecteur dinitialisation est hashé (empreinte cryptée), évitant le snooping de paquets, et permettant de procurer un message dintégrité (MIC).. TKIP inclus également le mode de gestion de clé dynamiques, qui constitue une première parade assez efficace, contre les crackers de clé WEP, utilisés en mode passif. Il est généralement implémenté en firmware ou en logiciel, donc permet les upgrade faciles des points daccès et ponts. TKIP spécifie les règles dutilisation : de lIV, des bases de modification des clés (re-keing),des procédures éventuelles 8021.x par paquet, et le mode mixte du code dintégrité (MIC). La performance du débit peut sen trouver affectée, mais compte tenu de la simplicité dimplémentation dune part, et le gain en sécurité,dautre part, cette solution peut être acceptable pour sécuriser des réseaux de petite et moyenne dimension, tout en considérant les limites de ce mécanisme.

8 8 Apport TKIP Vecteur d'initialisation de 48-bits : Le WEP n'utilise qu'un vecteur d'initialisation de 24-bits. Le crackage de la clé WEP provient du fait que le pirate peut déterminer la clé WEP à partir du vecteur d'initialisation de 24-bits. En utilisant un vecteur d'initialisation de 48-bits, il est bien plus difficile à déterminer. Le PA génère et distribue les clés de cryptage Description de clé de cryptage de façon périodique à chaque client. En fait, chaque trame utilise une nouvelle clé. Cela évite d'utiliser une même clé WEP pendant des semaines voire des mois. Code d'intégrité du message : Ce code, appelé également "Michael" (MIC : Message Integrity Code) permet de vérifier l'intégrité de la trame. Le WEP utilise une valeur de vérification d'intégrité (ICV) de 4 octets (comme un CRC pour un fichier ZIP par exemple). Le WPA rajoute un MIC de 8 octets. Serveur de clés wep : Lavantage de TKIP est de pouvoir limplanter directement sur le matériel existant en changeant uniquement le logiciel des cartes sans fil et des AP (Access Point).

9 9

10 10

11 11 Configuration WPA ap#conf ter Enter configuration commands, one per line. End with CNTL/Z. ap(config)#dot11 ssid celeste ap(config-ssid)#authentication open ap(config-ssid)#authentication key-management wpa ap(config-ssid)#wpa-psk ascii margeride ap(config-ssid)#guest-mode ap(config-ssid)#exit ap(config)#interface dot11Radio 0 ap(config-if)#encryption mode ciphers tkip ap(config-if)#ssid celeste ap(config-if)#no shutdown ap(config-if)# * %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset * %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 19 seconds * %DOT11-6-FREQ_USED: Interface Dot11Radio0, frequency 2417 selected * %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up * %LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed state to up * %DOT11-7-AUTH_FAILED: Station 000e.35be.47bf Authentication failed * %DOT11-6-ASSOC: Interface Dot11Radio0, Station 000e.35be.47bf Associated KEY_MGMT[WPA PSK]

12 12 Config PC

13 13 CCMP Counter Mode with Cipher Block chaining Message Protocol Suite dopération pour assure la confidentialité, lintégrité et lauthentification en utilisant des technologies de cryptage symétrique par blockhttp://en.wikipedia.org/CCMP –CCM utilise counter (CTR) mode pour la confidentialité –CCM utilise CCM avec CBC-Mac pour lauthentification et lintégrité Cypher Block Chaining Message Authentification Code –Les algorithmes de base étant lAES Advanced Encryption Standard –Methode préconisée par la NIST ( National Institude of Standards and Technology elle-même sous lautorité US Federal Information Security) Solution long terme –État de lart cryptographique –L a meilleure à ce jour

14 14 Authentication CCMP ou TKIP fournissent: une technologie dAuthentification avec un chiffrement symétrique Quels mécanismes pour distribuer/attribuer les clés? Multiple –Les clefs doivent être liées avec le dispositif dauthentification. –WPA-PSK Clé partagé identique, pour une utilisation SOHO –WPA Entreprise, Avec serveur dauthentification

15 15 Authentification centralisé Une authenfication centralisée avec un serveur Facilité ladministration des utilisateurs, Plus simple quun gestion de clé manuelle pour chaque utilisateur!! Ce serveur peut être interne au PA, ou LDAP dans lentreprise, et utiliser un protocole dauthentification radius par exemple

16 X une boîte à outil générique pour les LANs afin de permettre: –Lauthentification sur un port –Port = un point dattachement dun système à LAN, –Dans le schéma on voit un port contrôlé et un port sans authentification –Dans le cas ou le port est contrôlé, il va falloir mettre un processus dauthentication avant dautoriser laccès Authentification x

17 17 Authentification x État authentifié Accès autorisé État non authentifié Accès bloqué

18 18 Authentification 802.1X /EAP Extensible Authentification Protocol, Protocole dauthentification Le boite à outils côté LAN assuré par 802.1X Un serveur dauthentification RADIUS Dérivation des clés de cryptage après lauthentification Mise en place politique de sécurité avec temps dexpiration des sessions, Plusieurs variantes sur le moyen authentification utilisateur –EAP-TLS –EAP-TTLS/MSCHAPv2 –PEAPv0/EAP-MSCHAPv2 –PEAPv1/EAP-GTC –EAP-SIM

19 19 Les variantes EAP-MD5LEAP (Cisco Historique) EAP-TLS (MS) PEAP (MS-Cisco) EAP-TTLS (Funk) Authentification mot de passe OUI NONOUI Certificats-clientNON OUINON Certificats- serveur NON OUI Niveau sécurité identité Faible Fort Echange clé dynamique NONOUI Identification Mutuelle NONOUI

20 20 EAP radius EAP over RADIUS est la transmission dEAP messages par laccess server au RADIUS server pour authentication. LEAP message envoyé entre laccess client et laccess server est formatté comme un EAP-Message RADIUS attribute décrit dans le RFC 2869, section 5.13, et envoyé entre laccess server et the RADIUS server. Laccess server devient uniquement un intermédiaire pour transmettre des EAP messages entre laccess client et le RADIUS server. Le traitement des messages EAP messages est faite au niveau de l access client et du server RADIUS, pas au niveau du laccess server, voir figure au dessus. EAP over RADIUS est utilisé dans des environnement ou RADIUS est utilisé pour fournir un service dauthentification. Lavantage dutiliser EAP over RADIUS vient du fait que EAP types na pas besoin dêtre installé sur chaque access server mais seulement au niveau du RADIUS server. Cependant, laccess server doit supporté la négociation EAP comme authentication protocol et la transmission de message EAP au serveur RADIUS. Dans un usage typique dEAP over RADIUS, laccess server est configuré pour utiliser EAP et dutiliser RADIUS comme authentification provider. When a connection attempt is made, the access client negotiates the use of EAP with the access server. When the client sends an EAP message to the access server, the access server encapsulates the EAP message as the EAP-Message attribute of a RADIUS Access-Request message and sends it to its configured RADIUS server. The RADIUS server processes the EAP message in the EAP-Message attribute and sends an EAP response message as a RADIUS Access-Challenge message with the EAP-Message attribute to the access server. The access server then forwards the EAP message to the access client.

21 x/EAP Authentification

22 22 Plus de détails

23 23 Configuration WPA EAP-TLS ap(config)# radius-server host ap(config)# aaa new-model ap(config)# aaa group server radius rad_eap ap(config-sg-radius)# server ap(config-sg-radius)# exit * %RADIUS-4-NOSERV: Warning: Server :1645,1646 is not defined.au ap(config)#aaa authentication login eap_method group rad_eap ap(config)#e xit ap# show run | include aaa aaa new-model aaa group server radius rad_eap aaa authentication login eap_method group rad_eap aaa session-id common ap# conf terminal Enter configuration commands, one per line. End with CNTL/Z. ap(config)# dot11 ssid soleil ap(config-ssid)# authentication open eap eap_method ap(config-ssid)# authentication network-eap eap_method ap(config-ssid)# authentication key-management wpa ap(config-ssid)# guest-mode ap(config-ssid)# exit ap(config)# interface dot11Radio 0 ap(config-if)# encryption mode ciphers tkip ap(config-if)# ssid soleil ap(config-if)# no shutdown ap(config-if)# * %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset * %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 26 seconds ap(config-if)#exit ap(config)#exit

24 24 Utilisation certificats PKI, Clé publique, Certificat, CA

25 25 PKI, Problèmes à résoudre Comment ratacher une clé publique à son propriétaire? Comment être sur de lauthenticité dun certificat? Comment résoudre alors ce problème dauthenticité du certificats? Quest-ce quune autorité de certification?

26 26 PKI, Certificats Une carte didentité numérique dans un monde cybernétique où CA (Certifying Authority) jouerait le rôle de la préfecture où un annuaire LDAP serait une base de données de tous les français. Plusieurs cas dutilisation serveurs ou utilisateurs. Permet dauthentifier, chiffrer des données sur un réseau en fonction de lutilisation. Utilisation: Authentification utilisateurs, serveur WEB, mail

27 27 PKI, Certification Créer, gèrer, distribuer des certificats. Les acteurs sont les autorités de certifications (CA Certifying Authorities). La certification est essentiellement utilisée pour authentifier la clé publique d un interlocuteur. Son rôle est attribué à: –Des organismes compétents et qualifiées reconnus comme tiers de confiance, –Des serveurs dédiés dans lentreprise, appelés serveur de certificaton.

28 28 PKI, Certification «Notaire Electronique» –Service de délivrance de Certificat (standard X509) –Service de Datation de Documents Des Acteurs : – VeriSign, Thawte, Certinomis (la poste) Les logiciel pour contruire sa solution –Services offerts par les serveurs Windows ou solutions OpenSource Gère la liste de révocation des certificats

29 29 Process vérification certificat utilisateur

30 30 En conclusion: Une PKI peut se définir de la façon suivante: Une PKI est une infrastructure formée de serveurs et de certificats, créant, gérant et mettant à disposition des certificats numériques dont lauthenticité est certifiée par lautorité de certification représentant et utilisant cette PKI.

31 31 Cas sécurité Wifi- EAP-TLS Le serveur authentifie lutilisateur, lutilisateur authentifie le serveur par une infrastructure PKI, le client et le serveur posséde un certficat, délivré par une CA. Serveur radius Cas dune infrastructure PKI, avec utilisation serveur CA, et certificat. Lutilisateur envoi son certificat, le serveur radius vérifie quil émane bien dun CA approuvé. Puis vérifie lidentité et ses droits daccès, pour lui permettre laccès. Serveur CA Certificat utilisateur Certificat Serveur Radius Certificat CA Certificat Utilisateur Certificat CA Certificat Serveur Radius Certificat CA

32 32 Synoptique Le serveur envoie son certificat Le client envoie son certificat

33 33 En résumé WEP statique – Utilisation personnelle –Clé utilisant un secret partagé ( Tous les utilisateurs utilisent la même clé !!) –Cryptage de type RC4 généralement 24 bits –Problèmes de sécurité induit, algorithme de chiffrement et administration. WPA – Utilisation professionnelle Wifi Protected Access –Assure a la fois intégrité, et ensuite cryptage par soit RC4 ou AES (WPA 2) –Le RC4 plus robuste (vecteur de 48 bits, contre 24 WEP) –Démarche EAP/802.1x (Extensible Authentification Protocol), voir transparent suivant WPA –PSK – Personnelle améliorée Variante du WPA –Version simplifiée du WPA pour une utilisation personnelle –Process didentification identique au WEP statique, mais ensuite rotation des clés de cryptage VPN IPSEC – Réseau avec politique de sécurité à contrainte forte –UnVPN entre le client et le réseau dentreprise, globalement on rajoute un tunnel niveau 3 basé sur une approche IPSEC, –Plus complexe à mettre en œuvre!!

34 34 Conclusion Le wifi oui Mais: plusieurs péchés capitaux à ne pas négliger: –La couche physique –La puissance démission –Les maillons faibles –Ladministration –Le manque disolement –Les configurations par défaut


Télécharger ppt "1 801.11 Wi-Fi Sécurité. 2 Authentification la base SSID Echange du SSID pour lauthentification. Les bases –Régler la porté des points daccès, –Protéger."

Présentations similaires


Annonces Google