La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Novembre 2003 Pascal.

Présentations similaires


Présentation au sujet: "1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Novembre 2003 Pascal."— Transcription de la présentation:

1 1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Novembre 2003 Pascal Sauliere

2 2 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Faiblesse des protocoles dorigine Solutions sécurisées –802.1x – EAP-TLS, PEAP –WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations

3 3 Business and Marketing Organization France Communication Group Faiblesses de et WEP WEP = Authentification et chiffrement Implémentation faible de lalgorithme RC4 –Attaques par désassociation –Découverte de la clé de chiffrement –Écoute des données –Modification de données –Attaque de machines internes –Analogie : prise réseau dans la rue…

4 4 Business and Marketing Organization France Communication Group Outils bien connus NetStumbler Kismet AirSnort WEPCrack WEPWedgie Reinj Pour en savoir plus :

5 5 Business and Marketing Organization France Communication Group Wi-Fi sécurisé ? Ne pas déployer de réseau sans fil –Risque = points daccès pirates Sécurité dorigine (WEP) –Risque associé à la faiblesse de WEP Utiliser un VPN –Non transparent pour le client, introduit un goulot détranglement Utiliser IPsec –Pas dauthentification utilisateur, complexe Utiliser 802.1x, EAP-TLS ou PEAP –État de lart actuel Utiliser WPA –État de lart transitoire –vers i

6 6 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

7 7 Business and Marketing Organization France Communication Group IEEE 802.1x (2001) – Port-based Network Access Control Caractéristiques Protocole indépendant du support physique (Ethernet, WiFi) Point daccès (AP) compatible 802.1x Pas de contrainte sur les cartes réseau sans fil Authentification avec EAP –Extensible Authentication Protocol – IETF –Choix du protocole dauthentification (méthode EAP) –LAP ne soccupe pas des méthodes EAP Autorisations avec RADIUS Chiffrement du trafic : –Gestion dynamique des clés WEP

8 8 Business and Marketing Organization France Communication Group 802.1x – Vocabulaire Supplicant Authentificateur Serveur dauthentification Port Authentication Entity (PAE)

9 9 Business and Marketing Organization France Communication Group 802.1x – Port contrôlé et port non contrôlé IEEE 802.1x Distribution System Port non contrôlé Port contrôlé Client Wi-Fi

10 10 Business and Marketing Organization France Communication Group RADIUS –Remote Authentication Dial-In User Service AAA – Authentification, Autorisations, Accounting Serveur de modem Serveur VPN Point daccès sans fil Serveur RADIUS Proxy RADIUS Base de comptes dutilisateurs Clients Serveurs daccès Protocole RADIUS Clients RADIUS =

11 11 Business and Marketing Organization France Communication Group EAP Extension de PPP pour des mécanismes arbitraires dauthentification daccès réseau Plug-in dauthentification sur le client et le serveur RADIUS Client Wi-Fi Point daccès Serveur RADIUS Messages EAP Dialogue EAP Messages RADIUS

12 12 Business and Marketing Organization France Communication Group Client(Supplicant)Client(Supplicant) Point daccès (Authenticator) (Authenticator)RADIUS ( Authentication Server ) RADIUS association EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) EAPOW-key (WEP) Access blocked Access allowed Authentification

13 13 Business and Marketing Organization France Communication Group Clés de chiffrement Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur –Jamais transmises dans lair –RADIUS envoie la clé à lAP, chiffrée avec le secret partagé Le point daccès a une clé WEP globale –Utilisée pendant lauthentification de lAP au client –Envoyée dans un message EAPOW-key –Chiffrée avec la clé de session Les clés de session sont re-générées quand… –Durée de vie expirée (60 minutes par défaut) –Le client se déplace vers un nouvel AP

14 14 Business and Marketing Organization France Communication Group Architecture EAP TLSTLSGSS_APIKerberosGSS_APIKerberosPEAPPEAPIKEIKEMD5MD5 EAPEAP PPPPPP Anything…Anything… MéthodeMéthode EAPEAP MediaMedia MS-CHAPv2MS-CHAPv2TLSTLSSecurIDSecurID

15 15 Business and Marketing Organization France Communication Group Méthodes EAP EAP-MD5 –Utilise CHAP pour authentifier lutilisateur –Déconseillé pour le Wi-Fi : hashes transmis en clair, pas dauthentification mutuelle EAP-TLS –Certificats machine et/ou utilisateur : nécessite une PKI –Détermination des clés PEAP (Protected EAP) : –Tunnel TLS pour protéger le protocole dauthentification, même faible (MS CHAP v2) –Certificat Serveur uniquement –Nécessite Windows XP SP1 et IAS de Windows Server 2003 –Détermination des clés

16 16 Business and Marketing Organization France Communication Group PEAP Microsoft, Cisco, RSA 1.Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement 2.Authentifie le client dans ce tunnel Le protocole dauthentification est protégé TLS EAP Authentification Certificat Serveur EAPRADIUS-EAP

17 17 Business and Marketing Organization France Communication Group PEAP PEAP-EAP-MS-CHAP v2 –MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) –Pas de certificat client –Solution si pas de PKI PEAP-EAP-TLS –Nécessite un certificat client, donc une PKI –Protège lidentité du client –Plus lent que EAP-TLS

18 18 Business and Marketing Organization France Communication Group 802.1x : est-ce suffisant ? Non Il résout : –La découverte des clés – changement fréquent et clés distinctes par client –Les points daccès pirates et attaques « man in the middle » – authentification mutuelle –Accès non autorisés – authentification des utilisateurs et des machines Il ne résout pas : –Spoofing de paquets et des désassociations – 801.1x nutilise pas de MIC à clé

19 19 Business and Marketing Organization France Communication Group WPA Standard temporaire avant ratification de i Requis pour la certification Wi-Fi depuis le 31/8/2003 Wi-Fi Protected Access Overview of the WPA Wireless Security Update in Windows XP

20 20 Business and Marketing Organization France Communication Group Objectifs de WPA Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale Corriger les faiblesses de WEP par une mise à jour logicielle Solution sécurisée pour les réseaux domestiques Evolutif vers i Disponible aujourdhui

21 21 Business and Marketing Organization France Communication Group WPA Nécessite une mise à jour : –Firmware du point daccès –Firmware de la carte –Driver de la carte –Logiciel client (« supplicant »)

22 22 Business and Marketing Organization France Communication Group Caractéristiques de WPA Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK) Gestion des clés Unicast et Broadcast Temporal Key Integrity Protocol (TKIP) Michael : MIC (64 bits) remplace le CRC32 de WEP AES (optionnel) à la place de RC4 Support de clients WPA et WEP en même temps

23 23 Business and Marketing Organization France Communication Group Modes WPA Mode Entreprise (RADIUS) –Nécessite un serveur dauthentification –RADIUS pour authentification et distribution des clés –Gestion centralisée des utilisateurs Mode clé partagée – pre-shared key mode (PSK) –Ne nécessite pas de serveur dauthentification –« Secret partagé » pour lauthentification sur le point daccès – 256 bits –Génération de la clé depuis une passphrase : algorithme imposé

24 24 Business and Marketing Organization France Communication Group WPA 802.1x RADIUS server Distribution System TKIP Authentification 802.1X 802.1X key management RADIUS-based key distribution Security Discovery (WPA Information Element) Scénario entreprise

25 25 Business and Marketing Organization France Communication Group WPA PSK TKIP802.1X key management Scénario domestique Security Discovery (WPA Information Element)

26 26 Business and Marketing Organization France Communication Group i WPA = sous-ensemble de i 802.1x en modes entreprise et PSK Mode point daccès (infrastructure – BSS) Hiérarchie de clés Gestion des clés Négociation de la crypto et de lauthentification TKIP

27 27 Business and Marketing Organization France Communication Group i i : 802.1x en modes entreprise et PSK Mode point daccès (infrastructure – BSS) Mode point à point (ad-hoc – IBSS) Pré-authentification Hiérarchie de clés Gestion des clés Négociation de la crypto et de lauthentification TKIP AES

28 28 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

29 29 Business and Marketing Organization France Communication Group Natif : –802.1x EAP-TLS –Wireless Zero Configuration Service SP1 : PEAP –802.1x PEAP-EAP-MS-CHAPv2 –802.1x PEAP-EAP-TLS KB [http://support.microsoft.com/?id=815485] KB [http://support.microsoft.com/?id=826942]http://support.microsoft.com/?id=815485http://support.microsoft.com/?id= –WPA (authentification, TKIP, AES)

30 30 Business and Marketing Organization France Communication Group Authentification –Open –Shared –WPA –WPA-PSK Chiffrement –Désactivé –WEP –TKIP –AES

31 31 Business and Marketing Organization France Communication Group 802.1x EAP-TLS : « carte à puce ou autre certificat » PEAP –MS-CHAP v2 –EAP-TLS

32 32 Business and Marketing Organization France Communication Group Internet Authentication Server (IAS) –Serveur RADIUS de Microsoft –Remote Access Policies –EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS) Certificate Services –PKI avec autoenrollement des machines et des utilisateurs Active Directory –Gestion centralisée des machines et utilisateurs –Configuration centralisée des clients Wi-Fi (Group Policies)

33 33 Business and Marketing Organization France Communication Group

34 34 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

35 35 Business and Marketing Organization France Communication Group Réseau Wi-Fi de Microsoft Un des plus importants déploiements dentreprise utilisateurs dans 42 pays 150+ bâtiments dans le monde points daccès m 2 couverts utilisateurs simultanés sur le campus Sécurisé par 802.1x avec EAP-TLS et PEAP

36 36 Business and Marketing Organization France Communication Group /.1X Access Point Domain User Certificate 802.1X Controlled Port RADIUS (IAS) Domain Controller (Active Directory) 802.1X EAP-TLS/PEAP Connection DHCP DomainController Peers 802.1X Uncontrolled Port Exchange File Certificate Authority

37 37 Business and Marketing Organization France Communication Group Microsoft Solution for Securing Wireless LANs ech/win2003/pkiwire/SWLAN.asphttp://www.microsoft.com/technet/security/prodt ech/win2003/pkiwire/SWLAN.asp

38 38 Business and Marketing Organization France Communication Group Microsoft Solution for Securing Wireless LANs Planning Guide – guide de planification Build Guide – procédures détaillées de configuration et sécurisation Operations Guide – guide de maintenance, supervision, support, gestion des changements Test Guide – démarche de test utilisée chez Microsoft pour valider la solution Lire les Release Notes pour ladaptation à WPA

39 39 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

40 40 Business and Marketing Organization France Communication Group Synthèse Aujourdhui –Entreprises : 802.1x EAP-TLS si vous avez une PKI PEAP-EAP-MS-CHAP v2 sinon WPA si possible (nouveaux matériels) –Particuliers et petites entreprises : WPA si possible (nouveaux matériels) Demain –802.11i

41 41 Business and Marketing Organization France Communication Group Références The Unofficial Security Web Page Bernard Aboba, Network Architect, Windows Wi-Fi Microsoft Solution for Securing Wireless LANs

42 42 Business and Marketing Organization France Communication Group


Télécharger ppt "1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Novembre 2003 Pascal."

Présentations similaires


Annonces Google