La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurisation du sans fil et du nomadisme Voir Et plus particulièrement

Présentations similaires


Présentation au sujet: "Sécurisation du sans fil et du nomadisme Voir Et plus particulièrement"— Transcription de la présentation:

1 Sécurisation du sans fil et du nomadisme Voir Et plus particulièrement Et aussi

2 Serveurs Réseau dentreprise Protection du poste (intégrité, confidentialité): Chiffrement des données stockées, garde-barrière, Antivirus, … Internet DMZ Prestataire daccès ou site « ami » 1.Protection de laccès à la ressource réseau (authentification) 2.Protection du réseau daccueil vis-à-vis du poste: vérification de son intégrité (pas de virus, …) Protection des flux(confidentialité): chiffrement des flux / VPN Protection contre les intrusions, les flux malveillants, le transfert de données confidentielles, … Nomadisme : problématique

3 Le sans-fil pourquoi faire ? Améliorer la facilité daccès au réseau Salles de réunion, Lieux de vie, … => Amener du réseau là où il n'y en avait pas Banaliser les salles Toutes les salles sont des salles de ressources Rendre les sites attractifs Intégrer à terme la téléphonie Permettre le nomadisme

4 Attention Un discours marketing –simple, plug and play, liberté, partout, performant, pas cher, –extension aisée du réseau sans fil,.. En fait –Pas si simple si on veut protéger, Plug and play sécurité 0 ! –Performant oui si g –Pas cher : dépend du niveau de sérieux de la sécurisation –Partout (oui, ou du moins presque) –Extension du réseau filaire : OUI jusquaux parkings même. Si les choses sont correctement faites, le sans-fil cest quand même bien

5 Le sans-fil : extension du réseau filaire ? Exemple dun laboratoire Borne Politique de sécurité des échanges Pour le laboratoire Parking du labo Vers le reste du réseau de lorganisme Et de lInternet

6 F onctionnalités de sécurité : Contrôle daccès : identification/authentification Par certificats (nécessité d'une IGC en place) –possibilité davoir les certificats sur cartes à puces Par Logins/passwords (pb de leur stockage) Séparation par communautés VLAN (1VLAN=SSID ou VLAN dynamiques) Tunnels (VPN...) Confidentialité WEP, WPA, WPA2, IPSec Opter pour « rien » dans les trois domaine ce nest pas très sérieux!

7 Stratégies de sécurisation Sécurisation complète au niveau du lien sans-fil B) Contrôle daccès, sélection dun VLAN, chiffrement Pas de sécurisation du lien sans fil C) Passage obligé par un concentrateur de VPN assurant les trois fonctionnalités contrôle daccès, VLAN, chiffrement D) Passage obligé par un « portail » jouant un peu le même rôle quun concentrateur de VPN Pas vraiment très optimum. E) Redirection de certains flux vers un serveur de type « proxy » (le seul qui pourra être accédé). A REJETER. Partie vue dans la suite

8 Serveur Réseau interne Sécurisation accès sans fil (protection lien radio) Sécurisation réseau local filaire (B) (A) Protection de bout en bout (protocole entre poste et serveur) (E) Protection entre poste et équipement daccès réseau local type VPN (C) Conc. De VPN Portail Captif Passage obligé par portail captif (utilisation HTTPS pour sécurisation) (D)

9 WLA LDAP Radius Réseau interne Sécurisation réseau local filaire (A) Controleur Configuration Contrôle daccès Appliquer une « politique de violation » Détecter les attaques Type de solution « clé en main » Management

10 Sécurisation du sans-fil Par absence de diffusion du SSID : ne sert en gros à rien (naïf) Par adresse MAC : difficile à gérer, et contournable Par clé WEP fixe de 64 bits : –Chiffrement faible et clé « cassable » Authentification 802.1X + clé WEP (128 bits et +) –Si bonne fréquence de changement de clé WEP correct –Plusieurs protocoles dauthentification : TLS, TTLS, PEAP, … Authentification i –Du 802.1X avec EAP-TLS –Plus mécanismes de chiffrement plus solides : TKIP, WRAP, CCMP.

11 Architecture du réseau sans fil Exemple des campus de Strasbourg Schéma logique Bâtiment Commutateur « Bâtiment » Serveur Radius Commutateur « WiFi » Commutateur « WiFi » AP Backbone OSIRIS2 Arrivée Osiris Serveur DHCP Vlan d'authentification / Management Vlan Etudiants Vlan Personnels Vlan Invités

12 Acteurs Serveur d'authentification Serveur d'authentification Client ou Supplicant Système à authentifier (Supplicant) Architecture d'authentification 802.1X Trafic autorisé avant authentification (Relayé par le point d'accès) Trafic autorisé après authentification Rappels sur le protocole 802.1X Authentification / Confidentialité Réseau But Contrôler l'accès physique à un réseau local par authentification Connexion filaire ou association sans-fil Point d'accès au réseau Point d'accès

13 Association b ou g Vlan d'accès WiFi Authentification 802.1X > EAP-TTLS User == toto Password / Certificat Ok. > VLAN étudiant Vlan étudiants Clé de chiffrement WEP Implémentation 802.1X Clé de chiffrement WEP Vlan étudiants Authentification / Confidentialité

14 802.11UDP/IP Radius 802.1X / (EAPoL) EAP EAP-TLS (ou TTLS) Borne Serveur dauth. EAP-TLS (ou TTLS) Établissement session TLS entre le poste et le serveur dauthentification avant échange des données sensibles (login/mot de passe, …) Radius EAP 802.1X / (EAPoL) EAP Login/mdp

15 Borne Serveur dauthentification Radius Réseau local Association entre le client et la borne (802.11g) La borne bloque le trafic vers le réseau local 1 2 Échanges déléments dauthentification entre le client et le serveur Radius Le serveur authentifie lutilisateur Lutilisateur authentifie le serveur authentification mutuelle 3 Radius, ainsi que le client calculent la clé « Unicast » (session key) à partir des éléments dauth. Radius délivre cette clé à la borne. 4 La borne crée une clé « Broadcast » et la transmet chiffrée (avec la clé Unicast) au client La borne ouvre le trafic vers le réseau local (dans le VLAN approprié) 5 Le Client va pouvoir transmettre ses paquets sur le réseau local et notamment Contacter le serveur DHCP pour obtenir une adresse IP.

16 Implémentation 802.1X Avantages Possibilité dassocier plusieurs VLAN à un seul SSID Cloisonnement des communautés Gestion dynamique des clés de chiffrement Distribution initiale Renouvellement à chaque réauthentification Pas de goulot d'étranglement (ex : VPN, L2TP...) Possibilité de mots de passes chiffrés sur le serveur (PAP avec EAP-TTLS) Possibilité dauthentification mutuelle client/serveur (certificat client) Authentification / Confidentialité

17 Implémentation 802.1X Inconvénients Distribution d'un client nécessaire pour EAP-TTLS ou si TLS et parc hétérogène Mise en place d'un portail captif dédié à cette tâche Prix des clients Dimensionnement des VLANs / Plages d'adresses IP Contraintes Nécessité de redondance des serveurs RADIUS Si Radius tombe, plus de réseau sans-fil Authentification / Confidentialité

18 Implémentation 802.1X Les logiciels (clients) natifs Oui pour Linux TLS et TTLS Oui pour Windows PEAP Clients solution logiciels gratuits SecureW2 pour Windows XSupplicant et WPASupplicant pour Linux/Unix Solutions commerciales comme vous le voulez.* Authentification / Confidentialité

19 Réseaux sans-fil ouverts Manifestations, colloques, séminaires... Pas de contrôle pour une période et une zone définies Accès aux ressources du réseau filaire (imprimantes...) Mise en place de filtres basés sur l'IP Accès VPN Authentification / Confidentialité

20 Comment contrôler facilement laccès au réseau pour les personnes de statut « visiteur »? Créer des comptes de type « visiteur » avec des mots de passe connus Pas très « raisonnable » Faire un contrôle sur adresse MAC Pas très sécurisé et « ingérable » Diffuser les clés WEP de façon confidentielle Le confidentiel ne le reste pas longtemps Il reste le 802.1X mais alors : 1) Il faut rentrer les données didentification/authentification pour toutes les personnes « visiteurs » vite ingérable. 2) Ou alors avoir une architecture de serveurs Radius interconnectés.

21 Serveur RADIUS Marseille1 serveur RADIUS Rennes1 Internet serveur central RADIUS (Proxy) AP LDAP Rennes 1 LDAP Marseille1 utilisateur (visiteur) mrs.fr VLAN étudiant VLAN visiteur VLAN personnel data authentification Architecture de serveurs Radius interconnectés


Télécharger ppt "Sécurisation du sans fil et du nomadisme Voir Et plus particulièrement"

Présentations similaires


Annonces Google