La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Rappels Questions : Présentations :

Présentations similaires


Présentation au sujet: "Rappels Questions : Présentations :"— Transcription de la présentation:

1 Rappels Questions : Présentations :

2 Sécurisation des réseaux sans fil Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France

3 La stratégie sécurité de Microsoft Isolation et résilience Excellencedelengineering Conseils,Outils,Réponse Mise à jour avancée Authentification,Autorisation,Audit

4 Sommaire

5 Faiblesses de et WEP WEP = Authentification et chiffrement Implémentation faible de lalgorithme RC4 Attaques par « désassociation » Découverte de la clé de chiffrement Écoute des données Modification de données Attaque de machines internes Analogie : prise réseau dans la rue…

6 Quelques minutes suffisent The Feds can own your WLAN too – 31/3/2005 Millions of wireless access points are spread across the US and the world. About 70% percent of these access points are unprotectedwide open to access by anyone who happens to drive by. The other 30% are protected by WEP (Wired Equivalent Privacy) and a small handful are protected by the new WPA (Wi-Fi Protected Access) standard. broke a 128 bit WEP key in about three minutes At a recent ISSA (Information Systems Security Association) meeting in Los Angeles, a team of FBI agents demonstrated current WEP-cracking techniques and broke a 128 bit WEP key in about three minutes. Special Agent Geoff Bickers ran the Powerpoint presentation and explained the attack, while the other agents (who did not want to be named or photographed) did the dirty work of sniffing wireless traffic and breaking the WEP keys.

7 Wi-fi sécurisé ? Ne pas déployer de réseau sans fil Risque = points daccès pirates Sécurité dorigine (WEP) Risque associé à la faiblesse de WEP Utiliser un VPN Non transparent pour le client, introduit un goulot détranglement Utiliser IPsec Pas dauthentification utilisateur, complexe Utiliser 802.1x, EAP-TLS ou PEAP État de lart actuel pour lauthentification Utiliser i (WPA/WPA2) État de lart actuel pour la confidentialité et lintégrité des données

8 dorigine Authentification native Chiffrement WEP statique 802.1x avec WEP Authentification 802.1x Gestion des clés 802.1x Protection des données dynamique WPA Authentification 802.1x Gestion des clés 802.1x améliorée Protection des données TKIP i (WPA2) Authentification 802.1x Gestion des clés 802.1x améliorée Protection des données AES-CCMP Pré-authentification

9 Sommaire

10 IEEE 802.1x (2001) Port-based Network Access Control Protocole indépendant du support physique (Ethernet, WiFi) Point daccès (AP) compatible 802.1x Pas de contrainte sur les cartes réseau sans fil Authentification avec EAP (RFC 3748) Extensible Authentication Protocol – IETF Choix du protocole dauthentification (méthode EAP) LAP ne soccupe pas des méthodes EAP Autorisations avec RADIUS (RFC 2865) Chiffrement du trafic : Gestion dynamique des clés WEP

11 802.1x – Vocabulaire Supplicant Authentificateur Serveur dauthentification

12 802.1x Port contrôlé et port non contrôlé Supplicant Authentificateur Serveur dauthentification Port non contrôlé Port contrôlé État authentifié Accès autorisé Autres ressources État non authentifié Accès bloqué

13 RADIUS –Remote Authentication Dial-In User Service AAA – Authentification, Autorisations, Accounting RFC 2865 Serveur de modem Serveur VPN Point daccès sans fil Serveur RADIUS Proxy RADIUS Base de comptes dutilisateurs Clients Serveurs daccès Protocole RADIUS Clients RADIUS =

14 EAP Extensible Authentication Protocol RFC 3748 Extension de PPP pour des mécanismes arbitraires dauthentification daccès réseau Plug-in dauthentification sur le client et le serveur RADIUS Client Wi-Fi Point daccès Serveur RADIUS Messages EAP Dialogue EAP Messages RADIUS

15 association EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) EAPOW-key (WEP) Access blocked Access allowed Authentification Client supplicant Point daccès authenticator RADIUS authentication server

16 Clés de chiffrement Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur Jamais transmises dans lair RADIUS envoie la clé à lAP, chiffrée avec le secret partagé Le point daccès a une clé WEP globale Utilisée pendant lauthentification de lAP au client Envoyée dans un message EAPOW-key Chiffrée avec la clé de session Les clés de session sont re-générées quand… Durée de vie expirée (60 minutes par défaut) Le client se déplace vers un nouvel AP

17 Architecture EAP Méthode EAP Media EAP MS CHAP v2 TLS SecurID PPP … TLS GSS_API Kerberos PEAPIKEMD5

18 Méthodes EAP RFC 4017 : Critères de conformité des méthodes EAP pour les réseaux sans fil EAP-MD5-Challenge Obligatoire dans toute implémentation de EAP selon RFC 3748 Utilise CHAP pour authentifier lutilisateur Non conforme pour le sans fil : hashes transmis en clair, pas dauthentification mutuelle EAP-TLS (RFC 2716) Authentification TLS Certificats serveur et clients : nécessite une PKI Détermination des clés PEAP (Protected EAP) : Protège le protocole dauthentification, même faible (MS CHAP v2) Certificat Serveur uniquement Détermination des clés

19 PEAP Microsoft, Cisco, RSA 1.Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement 2.Authentifie le client dans ce tunnel Le protocole dauthentification est protégé Le protocole dauthentification est protégé TLS Certificat Serveur EAPRADIUS-EAP EAP Authentification

20 PEAP PEAP-EAP-MS-CHAP v2 MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) Pas de certificat client Solution si pas de PKI PEAP-EAP-TLS Nécessite un certificat client, donc une PKI Protège lidentité du client Plus lent que EAP-TLS

21 802.1x : est-ce suffisant ? Non Il résout : La découverte des clés – changement fréquent et clés distinctes par client Les points daccès pirates et attaques « man in the middle » – authentification mutuelle Accès non autorisés – authentification des utilisateurs et des machines Il ne résout pas les problèmes liés à WEP en terme de confidentialité, intégrité

22 Sommaire

23 802.11i Ratifié par lIEEE en juillet 2004 disponible : WPA (Wi-fi Protected Access) : depuis 2003, norme intermédiaire de fait (Wi-Fi Alliance), sous-ensemble de i Obligatoire pour le logo Wi-fi depuis août 2003 WPA2 : certification des équipements compatibles i (Wi-Fi Alliance) Premiers produits certifiés en septembre 2004

24 802.11i Data protection : TKIP and CCMP Authentication i key management Session Key distribution Security Capabilities Discovery (IE = Information Element) Access Point Station Authentication Server Security Negociation

25 802.11i Concepts AES-CCMP – nouveau protocole fondé sur AES-128 en mode CCM TKIP – conçu comme un patch logiciel de WEP pour les environnements existants RSNA State Machines – automate i PRF – Pseudo-Random Function, pour la construction des clés de session PMK – Pairwise Master Key – jeton dautorisation de la session KCK – Key Confirmation Key – clé dauthentification de la session KEK – Key Encryption Key – clé de chiffrement des clés TK – Temporal Key – clé de chiffrement de la session 4-Way Handshake – Protocole i de gestion des clés RSN IE – Structure de donnée pour lannonce et la négociation des capacités de sécurité Composants externes à i : 802.1x – protocole, ports contrôlé et non contrôlé, authentificateur/supplicant Serveur dauthentification (AS) – RADIUS

26 TKIP – Temporal Key Integrity Protocol Solution temporaire, court terme (patch WEP TKIP, interopérabilité) Corrige les problèmes connus de WEP : Empêche de « forger » des trames Empêche de « rejouer » (replay) Corrige la mauvaise implémentation du chiffrement dans WEP Ne réutilise jamais les clés

27 TKIP – Temporal Key Integrity Protocol Clés : 1 clé 128 bits pour le chiffrement RC4 2 clés 64 bits pour lintégrité (AP et STA utilisent une clé différente) Michael Code dintégrité de message (MIC), utilise deux clés 64 bits Contre-mesures IV 48 bits (24 dans WEP) – mécanisme anti- replay

28 AES-CCMP 128 bit AES in Counter Mode with CBC-MAC Protocol Conception nouvelle, nécessite du nouveau matériel Solution long terme État de lart cryptographique AES peut être remplacé par tout algorithme de chiffrement par bloc de 128 bits CCM : confidentialité et intégrité Résout les problèmes de WEP

29 Modes WPA/WPA2 Mode Entreprise (802.1x, RADIUS) Nécessite un serveur dauthentification RADIUS pour authentification et distribution des clés Gestion centralisée des utilisateurs Mode Personnel : clé partagée – pre-shared key (PSK) Ne nécessite pas de serveur dauthentification « Secret partagé » pour lauthentification sur le point daccès – 256 bits Génération de la clé depuis une passphrase : algorithme imposé

30 ComparaisonWEPTKIPCCMP CipherRC4RC4AES Key Size 40/104 bits 128 bits encryption 64 bits Authentication 128 bits Key Life 24-bit IV 48-bit IV Packet Key Concatenated Mixing Function Not Needed Data Integrity CRC-32MichaelCCM Header Integrity NoneMichaelCCM Replay Attack None IV Sequence Key Management None i 4-Way Handshake

31 Sommaire

32 Windows XP Gold : 802.1x EAP-TLS Wireless Zero Configuration Service SP1 : PEAP 802.1x PEAP-EAP-MS-CHAPv x PEAP-EAP-TLS SP2 : WPA (authentification, TKIP, AES optionnel) Ou SP1+KB info : SP2+KB : WPA2 (29 avril 2005)

33 AuthentificationOpenSharedWPAWPA-PSKWPA2WPA2-PSKChiffrementDésactivéWEPTKIPAES

34 802.1x EAP-TLS : « carte à puce ou autre certificat » PEAP MS-CHAP v2 EAP-TLS

35 Authentification 802.1x avec Windows Phase 1 – logon machine Association (Open) Authentification de lAP (secret RADIUS) Authentification du serveur RADIUS (certificat) Authentification de la machine Connexion du « Controlled Port » - pour laccès de la machine aux ressources autorisées Phase 2 – logon utilisateur Authentification de lutilisateur Connexion du « Controlled Port » - pour laccès de lutilisateur aux ressources autorisées

36 Pourquoi authentifier la machine ? Logon de la machine dans le domaine nécessaire: Group Policies Scripts de logon machine Management : inventaire, déploiement dapplication par GPO/SMS/autres Expiration du mot de passe de lutilisateur : Connexion et logon machine nécessaires pour la notification de lutilisateur le changement de mot de passe

37 EAP-TLS avec carte à puce Correctif (21/1/2005) Permet dauthentifier : la machine avec son certificat logiciel Lutilisateur avec sa carte à puce HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 UseSoftTokenWithMachineAuthentication = 1

38 WPA2 Windows XP SP2 et Disponible le 29 avril 2005 Inclut les fonctions obligatoires supplémentaires de i

39 Internet Authentication Server (IAS) Serveur RADIUS de Microsoft Remote Access Policies EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS) Certificate Services PKI avec auto-enrôlement des machines et des utilisateurs Active Directory Gestion centralisée des machines et utilisateurs Configuration centralisée des clients Wi-Fi (Group Policies) [WPA : SP1]

40 Mise en œuvre Construire le serveur IAS Windows Server 2003 Construire le serveur IAS Windows Server 2003 Joindre le domaine Joindre le domaine Obtenir un certificat pour le serveur Obtenir un certificat pour le serveur Enregistrer le serveur IAS dans lAD Enregistrer le serveur IAS dans lAD Configurer le logging RADIUS Configurer le logging RADIUS Ajouter lAP comme client RADIUS Ajouter lAP comme client RADIUS Configurer lAP pour RADIUS et 802.1x Configurer lAP pour RADIUS et 802.1x Créer la « stratégie daccès distant » Créer la « stratégie daccès distant » Configurer les clients (ne pas oublier dimporter le certificat de lautorité racine) Configurer les clients (ne pas oublier dimporter le certificat de lautorité racine)

41

42 Sommaire

43 Réseau Wi-Fi de Microsoft Un des plus importants déploiements dentreprise utilisateurs dans 42 pays 150+ bâtiments dans le monde points daccès m2 couverts utilisateurs simultanés sur le campus Sécurisé par 802.1x avec EAP-TLS et PEAP

44 802.11/.1X Access Point Domain User Certificate 802.1X Controlled Port RADIUS (IAS) Domain Controller (Active Directory) 802.1X EAP-TLS/PEAP Connection DHCP DomainController Peers 802.1X Uncontrolled Port Exchange File Certificate Authority

45 Réseau Wi-Fi de Microsoft Leçons apprises Intégrer le support de technologies diverses: clients, points daccès, PKI, RADIUS, Active Directory Répondre aux besoins des employés qui souhaitent séquiper à domicile Prendre en compte les soucis des employés en terme de santé : conduire des analyses et communiquer les résultats

46 Réseau Wi-Fi de Microsoft Conseils Changement des clés compatible avec la charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminés Impliquer le support tôt dans la phase de planification Mécanisme de détection et suppression des points daccès pirates Vérifier les lois locales concernant les équipements radio Placer les points daccès et antennes dans des boîtiers protégés ; utiliser une alimentation basse tension centralisée secourue

47 Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution h/win2003/pkiwire/SWLAN.mspx

48 Securing wireless LANs with PEAP and passwords /peap_0.mspx

49 Sommaire

50 SynthèseAujourdhui Entreprises : 802.1x EAP-TLS si vous avez une PKI PEAP-EAP-MS-CHAP v2 sinon WPA ou WPA2 si possible (matériels récents) Particuliers et petites entreprises : WPA ou WPA2 (PSK) si possible (matériels récents)

51 Références The Unofficial Security Web Page Bernard Aboba, Network Architect, Windows Wi-Fi Guides Solutions Microsoft Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution SWLAN.mspx SWLAN.mspx SWLAN.mspx Securing wireless LANs with PEAP and passwords

52 Références The Cable Guy - March 2003 Wi-Fi Protected Access (WPA) Overview guy/cg0303.mspx guy/cg0303.mspx guy/cg0303.mspx The Cable Guy – November 2004 Wi-Fi Protected Access Data Encryption and Integrity guy/cg1104.mspx guy/cg1104.mspx guy/cg1104.mspx The Cable Guy - May 2005 Wi-Fi Protected Access 2 (WPA2) Overview guy/cg0505.mspx guy/cg0505.mspx guy/cg0505.mspx

53 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Rappels Questions : Présentations :"

Présentations similaires


Annonces Google