La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurité des réseaux sans fils

Publié parRaymonde Coutu Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "La sécurité des réseaux sans fils"— Transcription de la présentation:

1 La sécurité des réseaux sans fils
Réalisé par: AHOUARI Mohamed ELARBI Halima ROUZAK Mariem ZOUMHANE Fatima-Zahra Encadré par: Pr. Mrabti Free Powerpoint Templates

2 Sécurité du Bluetooth Free Powerpoint Templates

3 Plan Introduction Les modes de sécurité
Les paramètres de base pour la sécurité La gestion des clés dans le Bluetooth Procédures d’authentification Procédures du cryptage

4 Introduction La sécurité est une priorité dans un réseau normal, mais l'est encore plus dans un réseau sans fil, en permettant aux utilisateurs une connexion permanente et un accès facile, ce type de réseau se voit très vulnérable. Les concepteurs de Bluetooth, en essayant de faire de ce protocole une référence, ont implémenté un certain nombre de fonctionnalités liées à la sécurité.

5 Les modes de sécurité Selon les caractéristiques de Bluetooth, les dispositifs peuvent fonctionner dans un des trois modes de sécurité : Le mode 1 : C’est le mode de sécurité le moins sûr dans lequel le dispositif Bluetooth ne lance aucun procédé de sécurité. Un dispositif Bluetooth dans ce mode est dans un mode de découverte du réseau. Le mode 2 : Ce mode impose la sécurité après l'établissement du lien entre les dispositifs au niveau L2CAP. Ce mode permet l'établissement des politiques flexibles de sécurité comportant des commandes des couches application fonctionnant parallèlement aux protocoles des couches inférieurs. Le mode 3 : Ce mode impose des commandes de sécurité telles que l'authentification et le chiffrage au niveau de la couche Baseband, il est identique au mode 2 mais y ajoute des fonctions d'authentification et de chiffrement avant que la connexion ne soit établie.

6 Les paramètres de base pour la sécurité
La sécurité du protocole Bluetooth (niveau liaison de données) est basée sur l'exploitation des quatres paramètres suivants. Un nombre aléatoire RAND : permettant de simuler au hasard sur 128 bits. Il change fréquemment et il est produit par le dispositif Bluetooth. Une adresse dépendante du dispositif physique BD-ADDR (Bluetooth Device ADDResse) : Chaque carte Bluetooth se voit assigner une adresse permanente et unique de 48 bits lors de sa construction. La clef privée d'authentification, un nombre aléatoire codée sur 128 bits. Une clef privée de codage allant de 8 à 128 bits. Ces paramètres permettent de créer des clés pour authentifier et chiffrer les transferts de données afin de les sécuriser.

7 La gestion des clés dans Bluetooth
Le code PIN En soi, le code PIN joue son rôle dans l'authentification pour identifier uniquement les dispositifs. Il est utilisé pour accéder au dispositif Bluetooth tout comme le code utilisé pour accéder à la carte SIM d’un appareil cellulaire. Le PIN est ou bien un nombre fixe inscrit au dispositif ou bien un code défini par l'utilisateur. Pour les codes PIN définis par l'utilisateur, il peut les changer quand il veut, de ce fait on ajoute de la sécurité d'authentification au système. Un PIN est normalement de 4 digits de longueur, mais il peut être entre 1 et 16 octets.

8 La gestion des clés dans Bluetooth
Les clés de liaison: Toutes les transactions sécurisées entre un ou plusieurs composant Bluetooth nécessitent une clef de liaison. Cette clef est un nombre de 128 bits aléatoire. La clef de liaison est utilisée dans le mécanisme d'authentification et comme paramètre pour la production de la clef de cryptage. Il y a plusieurs moyens d'obtenir cette clef. Elle peut être représentée par une des 4 clefs définies dans la norme Bluetooth :

9 La gestion des clés dans Bluetooth
La clé d’unité : Unit Key KA (KA est la clé d'unité du dispositif Bluetooth A:Celle ci est créée dans un seul composant quand il est installé. La clé d’initialisation : Initialisation Key Kinit: Elle est utilisée lorsqu'il n'y a pas encore de clef unité ou de clef de combinaison. Celle-ci est créée lors de l'initialisation. La clé de combinaison : Combination Key KAB : KAB est dérivée de deux dispositifs Bluetooth, A et B: Elle est créée grâce à la mise en commun de données provenant de deux composants. Elle est produite pour chaque paire de dispositifs et est utilisée quand plus de sécurité est nécessaire. La clé maître Master Key Kmaster: Cette clef est temporaire. Elle n'est utilisée que lorsque le maître souhaite transmettre des informations à plus d'un esclave.

10 Procédure d’authentification
L'authentification est réalisée grâce à la clef de liaison. Celle-ci est supposée être en possession des deux parties. Lorsque par exemple A souhaite authentifier B, le mécanisme suivant est utilisé :

11 Procédure d’authentification
Tout d'abord A envoie à B un nombre aléatoire. Ensuite les participants calculent grâce à la fonction d'authentification E1 un résultat (Sres). Cette fonction prend en paramètre le nombre aléatoire RAND, la BD-ADDR de B ainsi que la clef de combinaison (link key). Une fois le calcul effectué de part et d'autre, B envoie son résultat à A. Celui-ci peut alors vérifier que B possède oui ou non la clef de combinaison. En plus du résultat servant à authentifier B, la fonction E1 produit un nombre (l'ACO). Ce nombre peut par exemple servir de base pour les calculs de cryptage/décryptage qui ont généralement lieu après une authentification.

12 Procédure de crytage Le mécanisme de cryptage/décryptage est assez proche de celui présenté précédemment. La différence se situe au niveau des paramètres et de l'algorithme utilisé. Dans le schéma suivant, on voit que l'algorithme permet de produire une clef de cryptage / décryptage (Kstr) :

13 Procédure de crytage Le but n'est plus de vérifier que cette clef produite chez A est la même que chez B, mais simplement de s'en servir pour pouvoir déchiffrer les données envoyées. Les paramètres employés ici sont : un nombre aléatoire RAND créé par A, le No de série de A (BD_ADDR), l'horloge de A (clock) ainsi qu'une clef (Kc). La clef Kc elle est créée du coté de A et du coté de B grâce aux valeurs suivantes : le chiffre RAND, le chiffre précédemment calculé lors d'une authentification, l'ACO et la clef de lien.

14 Sécurité du WiFi Free Powerpoint Templates

15 Problématique: La sécurité des réseaux Wi-Fi dans l'entreprise. Compte tenu des vulnérabilités des standards de sécurité Wi-Fi, et face à toutes les failles de sécurité et la diversité des attaques qu'il est possible de monter contre les mécanismes de sécurité dans les réseaux : quelles sont les meilleures pratiques architecturales en matière de sécurisation Wi-Fi ? Comment assurer une sécurité optimale, compte tenu de l'hétérogénéité des équipements Wi-Fi (WEP, WPA, WPA2),existants actuellement dans les entreprises?

16 Plan: Mécanisme de sécurité : WEP Principe du chiffrement
Principe du déchiffrement 4. LES FAILLES DU WEP Mécanisme de sécurité : WPA WPA personal WPA enterprise Cryptages &Nouveautés Faiblesses & Solutions CONCLUSION Nous cmmnençons par introduire le mécanisme de chiffrement WEP. Nous montrons ses détails de fonctionnement. Ensuite, nous passons au mécanisme d'authentification des réseaux Wi-Fi, à savoir le standard x, que nous détaillons. Enfin, nous nous attardons sur la norme i, qui se veut cmmne norme unificatrice des protocoles de sécurité pour les réseaux Wi-Fi et dont l'objectif est de combler toutes les lacunes de sécurité des standardsprécédents.

17 Mécanisme de sécurité : WEP
Qu’est ce que le WEP ? Le protocole WEP (Wired Equivalent Privacy) fait partie de la norme internationale IEEE ratifiée en septembre 1999. Objectifs : satisfaire l’association ,la confidentialité, l’authentification et l’intégrité. Fonctionnement: C’est un protocole qui permet d’éviter le eavesdropping (écoute clandestine) en chiffrant les communications. Il peut être utilisé pendant la phase d’authentification ou encore pour chacune des trames de données.Il repose sur l’algorithme à clé symétrique RC4.

18 Principe du chiffrement

19 Principe du déchiffrement

20 LES FAILLES DU WEP : Les principales failles du WEP sont essentiellement les suivantes : • Les algorithmes de vérification d’intégrité et d’authentification sont très facilement contournables. • Possibilité de construire des dictionnaires fournissant en fonction d’un IV, le keystream. • L’algorithme de chiffrement RC4 présente des clés faibles et l’espace disponible pour les IV est trop petit. • Une même clé est utilisée pour tout le réseau et les clés de chiffrement sont statiques . • Clés courtes 40 bits (5 caractères !!!) ou 104 bits et/ou trop simples (attaque par dictionnaire) • Gestion des clés

21 Enfin, il faut également garder à l’esprit que tous les utilisateurs d’un réseau Wi-Fi protégé avec le chiffrement WEP partagent la même clé WEP. Ainsi, tout utilisateur peut écouter les autres utilisateurs comme si aucun chiffrement n’était en place. D’où la recherche d’un autre mécanisme plus sécurisé.

22 Mécanisme de sécurité : WPA
L’évolution du chiffrement dans les réseaux sans fil est apparue avec le standard WPA (Wi-Fi Protected Access). Cette norme était initialement une norme intermédiaire en attendant la finition et la ratification de la norme IEEE i, devant apporter un certain niveau de sécurité pour l’ensemble des exigences en matière de chiffrement, authentification et intégrité.

23 Mécanisme de sécurité : WPA
Le WPA introduit le protocole TKIP (Temporal Key Integrity Protocol), qui sera repris par la norme IEEE i. Ce protocole permet de remédier aux faiblesses du chiffrement WEP en introduisant un chiffrement par paquet ainsi qu’un changement automatique des clés de chiffrement. L’algorithme de chiffrement sous-jacent est toujours le RC4 utilisé avec des clés de 128 bits, mais contrairement au WEP, il est utilisé correctement (au sens cryptographique).

24 Mécanisme de sécurité : WPA
Le standard WPA définit deux modes distincts : - WPA-PSK Mode : repose sur l’utilisation d’un secret partagé pour l’authentification ; - WPA Enterprise Mode : repose sur l’utilisation d’un serveur RADIUS pour l’authentification.

25 WPA personal : clés partagées (PSK)
Le mode personal permet de mettre en oeuvre une infrastructure sécurisée basée sur le WPA sans utiliser de serveur d'authentification. Le WPA personal repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-shared Key, renseignée dans le point d'accès ainsi que dans les postes clients. En effet, le WPA permet de saisir une « passphrase » (phrase secrète), traduite en PSK par un algorithme de hachage. Figure: Voici le schéma d’une connexion WiFi de base, c'est-à-dire que le client envoie une requête d’authentification au point d’accès, celui-ci lui répond et en cas d’authentification réussi, le client renvoie une requête pour s’associer au point d’accès. Si celui-ci accepte, le client est connecté au point d’accès.

26 WPA personal : clés partagées (PSK)
la négociation des clés durant la phase de la connexion au point d’accès: Avec cette clé le client peut dorénavant décrypter le trafic de groupe et ensuite accéder au réseau en ayant des communications cryptées. Tout d’abord le client et le point d’accès se mettent d’accord sur une clé PTK (Pairwise Transient Key) dérivée de la PMK (Pairwise Master Key). Désormais les échanges sont cryptés avec la clé PTK dans un tunnel sécurisé. Ce qui permet au point d’accès d’envoyer la clé GTK (Group Transient Key) utilisée pour crypter le trafic broadcast et multicast avec une requête EAPol-Key.

27 Cryptages :WPA : TKIP TKIP (Temporal Key Integrity Protocol) est un protocole de communication utilisé pour la protection et l'authentification des données transitant sur un réseau WiFi. WPA spécifie notamment l'utilisation de ce chiffrement qui recourt au même algorithme (RC4) que WEP, mais renouvelle la clé tous les dix mille paquets. TKIP est donc plus performant que le WEP.

28 WPA enterprise : architecture 802.1x (RADIUS avec EAP)
Le mode enterprise impose l'utilisation d'une infrastructure d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification, généralement un serveur RADIUS (Remote Authentication Dial-in User Service), et d'un contrôleur réseau (le point d'accès). Voici le schéma expliquant comment marche la connexion WiFi avec un serveur d’authentification (version WPA enterprise). Ici les clients sont reliés au point d’accès mais ensuite pour accéder au réseau il faut s’authentifier sur un serveur d’authentification. But : Le but du protocole EAP utilisé ici est d’identifier les utilisateurs avant de les laisser rentrer sur le réseau à l’aide de multiples méthodes d’authentification : mot de passe, carte à puce, certificats électroniques, …

29 Nouveautés par rapport au WEP (clé RC4):
On utilise le même algorithme de cryptage RC4 que le WEP seulement il est plus performant. Un mécanisme a été mis en place pour éviter d’utiliser des clés RC4 faibles, l’utilisation du contrôle d'intégrité Michael est plus puissant que le contrôle d’intégrité IVC du WEP, le vecteur d'initialisation est plus long (48 bits au lieu de 24 bits pour le WEP) et est aussi utilisé pour contrer les attaques de relecture et enfin les clés de cryptage sont différentes à chaque paquet, et sont distribuées suivant un mécanisme plus souple et plus sûr que celui du WEP.

30 Cryptages :WPA : TKIP CCMP (Counter-Mode/CBC-Mac protocol) est une méthode de chiffrement qui utilise AES (Advanced Encryption Standard), un algorithme de chiffrement. La combinaison des deux est la sécurité la plus performante.

31 Nouveautés d’AES par rapport au TKIP
Le cryptage AES est le plus sécurisé, mais provoque certains problèmes de compatibilité avec quelques matériels. C’est le plus fort standard de chiffrage autorisé par Wi-Fi. Il dispose comme avantages d’une authentification forte reposant sur le protocole 802.1X,d’un mécanisme de distribution automatique des clés, d’un contrôle d’intégrité puissant et d’un mécanisme empêchant toute attaque de relecture. Si on choisit de se connecter en réseau mixte TKIP+AES alors le cryptage sera utilisé avec l’algorithme le moins fort des deux, soit TKIP. Ce n’est donc pas une bonne solution de sécurité.

32 Récapitulatif:

33 Faiblesses & Solutions
- Celles pour PSK - Celles pour TKIP - Celles pour EAP

34 CONCLUSION La clé WPA est donc un bon mécanisme pour sécuriser les réseaux, en particulier le WPA2 malgré le fait que la WPA-PSK semble déjà craquable d’après les tutoriaux sur internet. La meilleure solution reste d’utiliser une bonne sécurisation du réseau grâce à WPA et WPA2 et surtout à avoir un mot de passe complexe.

35 Sécurité du Wimax Free Powerpoint Templates

36 Plan: Introduction Les modes de sécurité
Les paramètres de base pour la sécurité La gestion des clés dans le Bluetooth Procédures d’authentification Procédures du cryptage

37 Plan: Introduction PMK-V1 Les procédures de sécurité PMK-V2
le processus d'autorisation mutuelle Calcul AK dans l'autorisation basée sur RSA Calcul AK dans l'autorisation EAP

38 INTRODUCTION Pour assurer à la fois la confidentialité et l'intégrité des paquets transitant entre la Subscriber Station (SS) et la Base Station (BS). les trames de données sont chiffrées.  Afin d'obtenir des clés pour chiffrer et déchiffrer les trames de données, il est nécessaire d'implémenter un mécanisme de distribution des clés. PKM (Privacy Key Management) permet cela. PKM prend en charge deux mécanismes de protocole d'authentification distincte -Protocole RSA (le soutien est obligatoire dans PKMV1) -EAP (Extensible Authentification Protccol)

39 le protocole PKM permet l’authentification d’un client et la sélection d’une suite d’algorithmes cryptographiques et de clés associées. Il est transporté dans des messages MAC d’administration de type PKM-REQ ou PKM-RESP (respectivement des requêtes et des réponses). Deux versions du protocole de gestion de clés PKM sont proposées ; la première PKMv1 est compatible avec des environnements conformes à l’IEEE ; la deuxième PKMv2 (IEEE e)

40 PMK-V1 Les fonctions de sécurité, c’est à dire l’authentification des messages d’administration et le chiffrement des trames d’information, s’appuient sur un jeu de trois types de clés 1- Une clé d’autorisation (en abrégé AK, Authorization Key), à partir de laquelle sont déduites les clés d’authentification (HMAC) des messages d’administration. 2- Une clé de chiffrement de clé (en abrégé KEK, Key Encryption Key); elle est directement calculée à partir de la valeur AK.

41 3- Des clés de chiffrement de trames de données (en abrégé TEK, Trafic Encryption Key). Elles sont transmises chiffrées à l’aide de la clé KEK et d’un algorithme cryptographique négocié lors de la phase d’authentification du client. Elle est généré par la BS Elle est crypté par Le triple DES, connu pour sa lenteur et sa clé de chiffrement 64 bits, puis elle a été remplacé par AES, rapide pour le chiffrement-déchiffrement et reposant sur une clé de 128 bits.

42 Les procédures de sécurité du WIMAX

43 Les procédures de sécurité du WIMAX

44 Les procédures de sécurité du WIMAX

45 PMK-V2 intègre de nouveaux éléments tels que :
Une authentification mutuelle entre station de base et mobile ; L’usage de mécanismes basés sur RSA et/ou sur le protocole EAP ; Une hiérarchie de clés modifiée ; Le remplacement de la procédure HMAC-SHA1, basée sur une empreinte SHA1 (dont la solidité cryptographique est incertaine) par l’algorithme AES-CMAC; Une nouvelle méthode de chiffrement, AES-key-wrap pour le transport des clés TEK. Cet algorithme, qui fait l’objet d’une recommandation NIST, réalise un chiffrement AES avec une clé de 128 bits et intègre de surcroît une valeur d’intégrité (ICV, Integrity Check Value), ce qui renforce la sécurité du procédé de distribution des clés TEK

46 Le standard e ne définit pas de méthode particulière pour le calcul de AK, mais nous remarquerons qu’il pourrait être basé sur les valeurs de l’adresse MAC du client et de l’identifiant de la station de base ; Il prend en charge deux schéma d’autorisation: -processus d'autorisation basée sur RSA -processus d'autorisation basée sur EAP

47 le processus d'autorisation mutuelle

48 Calcul AK dans l'autorisation basée sur RSA
Elle est calculé par le PAK

49 Calcul AK dans l'autorisation EAP
Elle est calculé par le PMK

Télécharger ppt "La sécurité des réseaux sans fils"

Présentations similaires

Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé

Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé
Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG 2007. Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.

Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix

Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
État de l’art de la sécurité informatique

État de l’art de la sécurité informatique
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?

La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD

Guillaume CACHO Pierre-Louis BROUCHUD
1 PDA sécurité des données Module 10.16 : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.

1 PDA sécurité des données Module : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité
Les réseaux locaux sans fil : normes, domaines d'utilisation et enjeux

Les réseaux locaux sans fil : normes, domaines d'utilisation et enjeux
Réseaux Longue Distance – Réseaux Haut Débit

Réseaux Longue Distance – Réseaux Haut Débit
Plateforme de gestion de données de capteurs

Plateforme de gestion de données de capteurs
Etude des Technologies du Web services

Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)

SECURITE DU SYSTEME D’INFORMATION (SSI)
Damier Alexandre & Lebrun Bastien

Damier Alexandre & Lebrun Bastien
CryptoGraphy http://profesionnal.eb2a.com.

CryptoGraphy
Amélioration de la sécurité des données à l'aide de SQL Server 2005

Amélioration de la sécurité des données à l'aide de SQL Server 2005

Présentations similaires

Annonces Google