La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France

Présentations similaires


Présentation au sujet: "Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France"— Transcription de la présentation:

1 Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France Rencontres Wi-Fi – avril 2004

2 Introduction Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations Sommaire

3 Sommaire

4 Faiblesses de et WEP WEP = Authentification et chiffrement Implémentation faible de lalgorithme RC4 Outils bien connus et répandus

5 Wi-fi sécurisé ? Ne pas déployer de réseau sans fil Risque = points daccès pirates Sécurité dorigine (WEP) Risque associé à la faiblesse de WEP Utiliser un VPN Non transparent pour le client, introduit un goulot détranglement Utiliser IPsec Pas dauthentification utilisateur, complexe Utiliser 802.1x, EAP-TLS ou PEAP État de lart actuel Utiliser WPA État de lart transitoire –vers i

6 dorigine Authentification native Chiffrement WEP statique 802.1x avec WEP Authentification 802.1x Gestion des clés 802.1x Protection des données dynamique WPA Authentification 802.1x Gestion des clés 802.1x améliorée Protection des données TKIP i (WPA2) Authentification 802.1x Gestion des clés 802.1x améliorée Protection des données AES Pré-authentification

7 Sommaire

8 IEEE 802.1x (2001) Port-based Network Access Control Caractéristiques Protocole indépendant du support physique (Ethernet, WiFi) Point daccès (AP) compatible 802.1x Pas de contrainte sur les cartes réseau sans fil Authentification avec EAP Extensible Authentication Protocol – IETF Choix du protocole dauthentification (méthode EAP) LAP ne soccupe pas des méthodes EAP Autorisations avec RADIUS Chiffrement du trafic : Gestion dynamique des clés WEP

9 802.1x – Vocabulaire Supplicant Authentificateur Serveur dauthentification Port Authentication Entity (PAE)

10 802.1x Port contrôlé et port non contrôlé IEEE 802.1x Distribution System Port non contrôlé Port contrôlé Client Wi-Fi

11 RADIUS –Remote Authentication Dial-In User Service AAA – Authentification, Autorisations, Accounting Serveur de modem Serveur VPN Point daccès sans fil Serveur RADIUS Proxy RADIUS Base de comptes dutilisateurs Clients Serveurs daccès Protocole RADIUS Clients RADIUS =

12 EAP Extension de PPP pour des mécanismes arbitraires dauthentification daccès réseau Plug-in dauthentification sur le client et le serveur RADIUS Client Wi-Fi Point daccès Serveur RADIUS Messages EAP Dialogue EAP Messages RADIUS

13 association EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) EAPOW-key (WEP) Access blocked Access allowed Authentification Client supplicant Point daccès authenticator RADIUS authentication server

14 Clés de chiffrement Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur Jamais transmises dans lair RADIUS envoie la clé à lAP, chiffrée avec le secret partagé Le point daccès a une clé WEP globale Utilisée pendant lauthentification de lAP au client Envoyée dans un message EAPOW-key Chiffrée avec la clé de session Les clés de session sont re-générées quand… Durée de vie expirée (60 minutes par défaut) Le client se déplace vers un nouvel AP

15 Architecture EAP Méthode EAP Media EAP MS CHAP v2 TLS SecurID PPP … TLS GSS_API Kerberos PEAPIKEMD5

16 Méthodes EAP EAP-MD5 Utilise CHAP pour authentifier lutilisateur Déconseillé pour le Wi-Fi : hashes transmis en clair, pas dauthentification mutuelle EAP-TLS Certificats machine et/ou utilisateur : nécessite une PKI Détermination des clés PEAP (Protected EAP) : Tunnel TLS pour protéger le protocole dauthentification, même faible (MS CHAP v2) Certificat Serveur uniquement Nécessite Windows XP SP1 et IAS de Windows Server 2003 Détermination des clés

17 PEAP Microsoft, Cisco, RSA 1.Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement 2.Authentifie le client dans ce tunnel Le protocole dauthentification est protégé Le protocole dauthentification est protégé TLS EAP Authentification Certificat Serveur EAPRADIUS-EAP

18 PEAP PEAP-EAP-MS-CHAP v2 MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) Pas de certificat client Solution si pas de PKI PEAP-EAP-TLS Nécessite un certificat client, donc une PKI Protège lidentité du client Plus lent que EAP-TLS

19 802.1x : est-ce suffisant ? Non Il résout : La découverte des clés – changement fréquent et clés distinctes par client Les points daccès pirates et attaques « man in the middle » – authentification mutuelle Accès non autorisés – authentification des utilisateurs et des machines Il ne résout pas : Spoofing de paquets et des désassociations – 801.1x nutilise pas de MIC à clé

20 WPA Wireless Protected Access Standard temporaire avant ratification de i Requis pour la certification Wi-Fi depuis le 31/8/2003 Wi-Fi Protected Access Overview of the WPA Wireless Security Update in Windows XP

21 Objectifs de WPA Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale Corriger les faiblesses de WEP par une mise à jour logicielle Solution sécurisée pour les réseaux domestiques Evolutif vers i Disponible aujourdhui

22 Caractéristiques de WPA Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK) Gestion des clés Unicast et Broadcast Temporal Key Integrity Protocol (TKIP) Michael : MIC (64 bits) remplace le CRC32 de WEP AES (optionnel) à la place de RC4 Support de clients WPA et WEP en même temps

23 Modes WPA Mode Entreprise (RADIUS) Nécessite un serveur dauthentification RADIUS pour authentification et distribution des clés Gestion centralisée des utilisateurs Mode clé partagée – pre-shared key mode (PSK) Ne nécessite pas de serveur dauthentification « Secret partagé » pour lauthentification sur le point daccès – 256 bits Génération de la clé depuis une passphrase : algorithme imposé

24 WPA 802.1x RADIUS server Distribution System TKIP Authentification 802.1X 802.1X key management RADIUS-based key distribution Security Discovery (WPA Information Element) Scénario entreprise

25 WPA PSK TKIP802.1X key management Scénario domestique Security Discovery (WPA Information Element)

26 WPA Nécessite une mise à jour : Firmware du point daccès Firmware de la carte Driver de la carte Logiciel client (« supplicant »)

27 802.11i WPA = sous-ensemble de i 802.1x en modes entreprise et PSK Mode point daccès (infrastructure – BSS) Hiérarchie de clés Gestion des clés Négociation de la crypto et de lauthentification TKIP

28 802.11i i : 802.1x en modes entreprise et PSK Mode point daccès (infrastructure – BSS) Mode point à point (ad-hoc – IBSS) Pré-authentification Hiérarchie de clés Gestion des clés Négociation de la crypto et de lauthentification TKIPAES

29 Synthèse

30 Comparaison WEPWPAWPA2/802.11i CipherRC4RC4AES Key Size 40 bits 128 bits encryption 64 bits Authentication 128 bits Key Life 24-bit IV 48-bit IV Packet Key Concatenated Mixing Function Not Needed Data Integrity CRC-32MichaelCCM Header Integrity NoneMichaelCCM Replay Attack None IV Sequence Key Management NoneEAP-basedEAP-based

31 Sommaire

32 Natif : 802.1x EAP-TLS Wireless Zero Configuration Service SP1 : PEAP 802.1x PEAP-EAP-MS-CHAPv x PEAP-EAP-TLS SP2 : WPA (authentification, TKIP, AES) Ou SP1+KB

33 AuthentificationOpenSharedWPAWPA-PSKChiffrementDésactivéWEPTKIPAES

34 802.1x EAP-TLS : « carte à puce ou autre certificat » PEAP MS-CHAP v2 EAP-TLS

35 Authentification PEAP avec Windows Phase 1 – logon machine Association Authentification de lAP (secret RADIUS) Authentification du serveur RADIUS (certificat) Authentification de la machine (compte machine, mot de passe) Connexion du « Controlled Port » - pour laccès de la machine aux ressources autorisées Phase 2 – logon utilisateur Authentification de lutilisateur Connexion du « Controlled Port » - pour laccès de lutilisateur aux ressources autorisées

36 Pourquoi authentifier la machine ? Logon de la machine dans le domaine nécessaire: Group Policies Scripts de logon machine Management : inventaire, déploiement dapplication par GPO/SMS/autres Expiration du mot de passe de lutilisateur : Connexion et logon machine nécessaires pour la notification de lutilisateur le changement de mot de passe

37 Internet Authentication Server (IAS) Serveur RADIUS de Microsoft Remote Access Policies EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS) Certificate Services PKI avec auto-enrôlement des machines et des utilisateurs Active Directory Gestion centralisée des machines et utilisateurs Configuration centralisée des clients Wi-Fi (Group Policies) [WPA : SP1]

38

39 Sommaire

40 Réseau Wi-Fi de Microsoft Un des plus importants déploiements dentreprise utilisateurs dans 42 pays 150+ bâtiments dans le monde points daccès m2 couverts utilisateurs simultanés sur le campus Sécurisé par 802.1x avec EAP-TLS et PEAP

41 802.11/.1X Access Point Domain User Certificate 802.1X Controlled Port RADIUS (IAS) Domain Controller (Active Directory) 802.1X EAP-TLS/PEAP Connection DHCP DomainController Peers 802.1X Uncontrolled Port Exchange File Certificate Authority

42 Réseau Wi-Fi de Microsoft Leçons apprises Intégrer le support de technologies diverses: clients, points daccès, PKI, RADIUS, Active Directory Répondre aux besoins des employés qui souhaitent séquiper à domicile Prendre en compte les soucis des employés en terme de santé : conduire des analyses et communiquer les résultats

43 Réseau Wi-Fi de Microsoft Conseils Changement des clés compatible avec la charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminés Impliquer le support tôt dans la phase de planification Mécanisme de détection et suppression des points daccès pirates Vérifier les lois locales concernant les équipements radio Placer les points daccès et antennes dans des boîtiers protégés ; utiliser une alimentation basse tension centralisée secourue

44 Docteur Souris « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès encadré à une messagerie électronique et à Internet » Utilisé par plus de 250 enfants et adolescents en quelques semaines avant son inauguration le 14 octobre 2003 (Hôpital Trousseau) 60 clients simultanés en pointe

45 Docteur Souris Windows 2000, 2003, XP, Exchange 2000, ISA Server 2000 Active Directory PKI Auto-enrôlement des machines RADIUS 802.1x, EAP-TLS Administration simplifiée à lusage des éducatrices

46 Docteur Souris Active Directory Certificate Services IAS

47 Microsoft Solution for Securing Wireless LANs ech/win2003/pkiwire/SWLAN.mspx ech/win2003/pkiwire/SWLAN.mspx

48 Microsoft Solution for Securing Wireless LANs Planning Guide – guide de planification Build Guide – procédures détaillées de configuration et sécurisation Operations Guide – guide de maintenance, supervision, support, gestion des changements Test Guide – démarche de test utilisée chez Microsoft pour valider la solution Lire les Release Notes pour ladaptation à WPA

49 Sommaire

50 Synthèse Aujourdhui Entreprises : 802.1x EAP-TLS si vous avez une PKI PEAP-EAP-MS-CHAP v2 sinon WPA si possible (nouveaux matériels) Particuliers et petites entreprises : WPA si possible (nouveaux matériels) Demain802.11i

51 Références The Unofficial Security Web Page Bernard Aboba, Network Architect, Windows Wi-Fi Microsoft Solution for Securing Wireless LANs

52 Cette présentation sera disponible sur :


Télécharger ppt "Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France"

Présentations similaires


Annonces Google