En collaboration avec le CRI de l’Université de Bourgogne

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Active Directory Windows 2003 Server
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Client Mac dans un réseau Wifi d’entreprise sécurisé
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.
Journée d’échange du 17 Novembre
Sécurité du Réseau Informatique du Département de l’Équipement
M2: La sécurité du WI-FI Université Paris II & LRI Michel de Rougemont 1.La norme b 2.Les faiblesses dun réseau.
Implémentation et Configuration Du Serveur RADIUS
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Maillage direct et routage dans les réseaux AdHoc
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD
TCS – CCNA École Duhamel Année
Remote Authentication Dial In User Service
1 PDA sécurité des données Module : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.
Résidences Universitaires Câblage informatique
Vue d'ensemble Implémentation de la sécurité IPSec
Module 9 : Configuration de l'accès réseau
LA CHAINE DES COMPOSANTS DU NOMADE A L’ENTREPRISE
Réseaux Privés Virtuels
Les réseaux locaux sans fil : normes, domaines d'utilisation et enjeux
Sécurisation du sans fil et du nomadisme
Réseaux Longue Distance – Réseaux Haut Débit
SMC2804WBRP-G Routeur sans fil Barricade g 2.4GHz 54Mbps avec port imprimante USB SMC2804WBRP-G
Administration d’un réseau WIFI
Le nom Wi-Fi (contraction de Wireless Fidelity) correspond initialement au nom donnée à la certification délivrée par la WECA ( Etats-
Active Directory Windows 2003 Server
Le projet ENR dans l’Enseignement Catholique
SÉCURISATION D’UNE ARCHITECTURE RÉSEAU DANS UN CENTRE HOSPITALIER
Authentification Nomade Project
Module 10 : Prise en charge des utilisateurs distants
Damier Alexandre & Lebrun Bastien
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
Introduction RADIUS (Remote Authentication Dial-In User Service)
Protocole 802.1x serveur radius
Séminaire Normes et Standards 10 octobre 2003 L'école du futur dès aujourd'hui.
L’IEEE
Réseaux sans fil Aperçu des technologies et usages Aperçu des technologies et usages 09 déc Journée de veille technologique Les réseaux sans fil.
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
Portail Captif IPv6 Hassnae MNIE FILALI Gwenaël CHOLET Frédéric PASCAL
Vous avez dit Wi-Fi? 1 Introduction 2 Le nom "Wi-Fi"
Digi_TransportWR44 Mise en Route Mode Opératoire.
Vers un système d’information pédagogique
SI Informations routières- 1 CETE-SO Les réseaux de transmission : Utilisation du Wi-Fi ‏ La collecte de l’information Formation CERPET – juin 2008 Abdelmename.
LE RESEAU INFORMATIQUE SANS FIL WI-FI
SECURITE DES RESEAUX WIFI
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Application de la cryptologie Sécurisations des réseaux Wi-Fi.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Module 3 : Création d'un domaine Windows 2000
Les solutions Wi-Fi centralisées D-link
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
Sujet 12 : configuration d’un point d’accès WiFi
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
Mobilité : Conjuguer réseau sans fil et sécurité
Les Normes La sécurité et ses failles Quelques attaques simples
Youssef BOKHABRINE – Ludovic MULVENA
V- Identification des ordinateurs sur le réseau
 Aurélien – Ruhi : Routage  Aurélien – Ruhi : Trixbox  Aurélien – Ruhi : Téléphone cellulaire WiFi  Ruhi : Asterisk  Aurélien : Wifi  Conclusion.
Présentation du Produit WAN-FAI L.KHIMA S.ZEKRI V.BACHMAN
PPE Session 2010 Comment optimiser un réseau wifi ?
La sécurité 3ème année de cycle d’ingénieur SET réseaux sans fils
Sécurité des Web Services
Nous allons Parler du réseau local sans fil (Historique, Application, les standards et les déploiements du wi-Fi.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

En collaboration avec le CRI de l’Université de Bourgogne I.U.T. Le Creusot Service Informatique Déploiement d’un réseau sans fil avec authentification RADIUS En collaboration avec le CRI de l’Université de Bourgogne

Plan de la Présentation: Le réseau sans fil dans le cadre du projet d’établissement, Les usages du réseau sans fil, Exigences fonctionnelles, Technologies et normes des réseaux sans fil, Sécurité des réseaux Wi-Fi – 802.11b, Déploiement – Mise en œuvre, État d’avancement du projet, Évolutions des normes de sécurisation des réseaux sans fil, Conclusion. Jérôme PERNOT, Octobre2003

Le réseau sans fil dans le cadre du projet d’établissement: Mise œuvre à l’IUT du Creusot d’un programme de développement des systèmes d’information: Remise a niveau des réseaux informatiques du site (câblage, séparation des flux…), Développement d’une politique d’acquisition de matériel, - Centralisation des annuaires utilisateurs, - Maîtrise du réseau filaire, - Mise en place d’un firewall, - Authentification pour l’accès à internet (étudiants), - Lutte contre les virus: * Antivirus centralisé, * Protection des serveurs, en particulier le courrier électronique, - Administration des systèmes et des réseaux, Sécurisation du système d’information: mise en oeuvre d ’une politique de sécurité Développement d’un Environnement Numérique de Travail, Création de salles en libre accès pour les étudiants (Terminaux légers), Mise en œuvre d’un réseau sans fil. Jérôme PERNOT, Octobre2003

Les usages du réseau sans fil: Utilisation des technologies sans fil dans la cadre des projets de recherche, Multiplication des équipements mobiles (PDA, portables…), Nomadisme des enseignants, étudiants, personnels administratifs: Souplesse et facilité d’utilisation, Disponibilité des ressources sur l’ensemble du campus universitaire, Appréhender les technologies utilisées dans les réseaux sans fil, Sensibiliser les utilisateurs à l’utilisation des équipements sans fil. Jérôme PERNOT, Octobre2003

Exigences fonctionnelles: Sécurité: Gestion centralisée des utilisateurs: - Authentification des utilisateurs par un serveur RADIUS, - Utilisation de l’annuaire utilisateurs de l’établissement, - VLAN, - Accès différenciés aux ressources, Création de communautés d’utilisateurs sans fil: Isolement des communautés (étudiants et invités), Protection des contenus, Outils de gestion et d’administration du réseau sans fil, Assurer le roaming (itinérance), - Mise à jour firmware des équipements, - Adaptation aux nouvelles normes. Évolutivité des solutions mises en œuvre: Jérôme PERNOT, Octobre2003

Technologies et normes des réseaux sans fil: Standards de transmission Bluetooth, Hiperlan … - le label Wi-Fi (Wireless Fidelity), - les normes 802.11. Les travaux du groupe 802.11 de l’IEEE:   Standards de transmission 802.11 Débit théorique 2 Mbit/s - fréquences 2,4 GHz (1997) 802.11a Débit théorique 54 Mbit/s - fréquences 5 GHz sur 8 canaux (1999) Non compatible 802.11b et g 802.11b Débit théorique 11 Mbit/s - fréquences 2,4 GHz sur 14 canaux (1999)  13 canaux en France 802.11g Débit théorique 54 Mbit/s - fréquences 2;4 GHz (Juillet 2003) compatible 802.11b 802.11n Débit théorique maximum 320 Mbit/s - fréquences 5 GHz (fin 2005)   Standards connexes: 802.11e Gestion de la qualité de service - 802.11a, b et g Norme de qualité de service pour les applications multimédia 802.11f Interopérabilité constructeurs 802.11i Gestion de la sécurité (2 volets) 802.1Q Gestion des VLAN (1998) 802.1x Gestion de la sécurité par port (2001) Jérôme PERNOT, Octobre2003

Sécurité des réseaux WiFi – 802.11b: les mécanismes Les mécanismes de sécurité des réseaux 802.11b sont peu efficaces: Technique de cryptage WEP ( Wired Equivalent Privacy): - Ne remplit pas les garanties de sécurité attendues, - Clef de chiffrement statique, - Texte en clair et son correspondant chiffrés sont accessibles, - Faiblesse de l’algorithme de chiffrement RC4, - Outils libres sur Internet pour contourner le WEP (Airsnort …), - Non chiffré, - SSID constructeurs (tsunami, any …), - Possibilité de supprimer la diffusion du SSID (beacons), SSID – identificateur de réseau: - Lourd à gérer, - Écoute possible du trafic pour repérer les adresses MAC valides, - Génération de trames falsifiées (adresse MAC valide), - Outils disponibles sur Internet (Linux), Filtrage des adresses MAC (adresse Ethernet): - Aucune sécurité mise en œuvre sur un point d’accès utilisé avec une configuration par défaut, - Risques de réseaux sauvages. Points importants: Jérôme PERNOT, Octobre2003

Sécurité des réseaux WiFi – 802.11b: les contrôles d’accès La norme IEEE 802.1x: - 802.1x est un protocole de contrôle d’accès réseau par port destiné aux équipements d’interconnexion, - Utilisation de EAP (Extensible Authentification Protocol): Protocole de transport pour l’authentification, - 801.1x et EAP forme le socle du système d’authentification. SYSTEMES D’AUTHENTIFICATION (protocoles): Authentifications par noms d’utilisateurs / mots de passe: a) LEAP (Lightweight EAP) - (Solution technique retenue): - Solution CISCO, - Authentification de type « challenge-response » basée sur un serveur RADIUS (Remote Access Dial-In User Service), - Authentification mutuelle (utilisateur – point d’accès), - Gestion de clés WEP dynamiques par session et par utilisateur, b) EAP-MD5 : - Méthode simple de challenge/réponse, - Pas d’authentification mutuelle, - Protocole non adapté aux réseaux sans fil, - Attaque par dictionnaire possible. Jérôme PERNOT, Octobre2003

Sécurité des réseaux WiFi – 802.11b: les contrôles d’accès SYSTEMES D’AUTHENTIFICATION (suite): Authentifications basées sur des certificats: a) PEAP (Protected EAP): - Authentification mutuelle, - Utilisation d’un serveur RADIUS supportant TLS, - Authentification utilisateur par login/mot de passe, - Gestion des clés WEP dynamiques, b) EAP-TLS (Transport Layer Security): - Authentification mutuelle, - Basé sur SSL/TLS, - Utilisation d’un serveur de certificats, - Implémentation de certificats pour les clients, - Gestion des clés WEP dynamiques, Authentifications par cartes à puces sécurisées: EAP-SIM (Subscriber Identity Module): - Utilisation de la carte à puce SIM de type GSM, - Protocole EAP intégré à la carte, - Facturation possible (Hotspot). Ces systèmes d’authentification requièrent l’utilisation d’un serveur de type RADIUS pour l’authentification des utilisateurs. Jérôme PERNOT, Octobre2003

Déploiement – mise en œuvre: choix des équipements Solutions techniques retenues: Point d’Accès (borne ou AP) CISCO Aironet 1100: - Supporte jusqu’ à 16 VLANs, - Utilise l’IOS, - Support du protocole LEAP, - Prise en compte de la QoS, - Évolution 802.11g, - Support du protocole LEAP, Carte réseau 802.11b et g: - Niveaux 2 et 3, Architecture commutée CISCO: - Support 802.1q, - DHCP serveur, - Fonctions de NAT, - Filtrage – administration, Firewall (FreeBSD): - Authentification, - Support du protocole LEAP, - Support de l’Active Directory, - Support LDAP (v3), Serveur RADIUS ACS 3.2 – CISCO: Jérôme PERNOT, Octobre2003

Déploiement – mise en œuvre: principes d’utilisation Communautés d’utilisateurs WiFi : - WVLAN Recherche - WVLAN Gestion - WVLAN Pédagogie (étudiants) - WVLAN Invité Chaque communauté est associée à un SSID Les communautés Recherche et Gestion utilisent des classes d’adresses spécifiques, le routage et le filtrage (ACL) sont confiés au commutateur de niveau 3: ce modèle favorise les performances (routage). Réseau d’établissement INTERNET Annuaire Utilisateurs RADIUS Authentification Commutateur N3 Routage ACL Firewall Filtrage NAT DHCP Auth DMZ WiFi Les communautés Pédagogie et Invité utilisent des classes d’adresses spécifiques. La Translation d’adresses et le filtrage sont assurées par le Firewall. Ces communautés sont connectées a une interface (DMZ) supportant le protocole 802.1q: ce modèle met l’accent sur la sécurité. Les utilisateurs des communautés Recherche,  Gestion, et Pédagogie sont authentifiés par le serveur RADIUS (AAA), qui utilise l’annuaire (Active Directory) de l’établissement. Implémentation de LEAP pour ces communautés. Les utilisateurs de la communauté Invité sont authentifiés par le Firewall. RADIUS Authentification Jérôme PERNOT, Octobre2003

Déploiement – mise en œuvre: Réseau d’établissement INTERNET Annuaire Utilisateurs SRV Données ETUDIANTS RADIUS Authentification SRV Données RECHERCHE Commutateur N3 Routage, ACL Firewall Filtrage NAT DHCP Auth LEAP support Schéma de fonctionnement LEAP Client SSID: Recherche SSID: Gestion SSID: Pédagogie SSID: Invité LEAP Client Open/DHCP - Auth FW - Limit. BP Jérôme PERNOT, Octobre2003

État d’avancement du projet: Déploiement: Étude radio et mise en service des points d’accès (terminée): phase primordiale: - Gestion des canaux - éviter les interférences, - Sécurité - gérer la couverture radio des points d’accès, - Implantation de points d’accès en fonction des zones d’utilisation, Intégration du réseau sans fil dans le réseau de l’établissement (finalisation): - Configuration des éléments actifs: * VLAN, * Routage, * Règles de sécurité (firewall et commutateur), - Implémentation LEAP, RADIUS, ACTIVE DIRECTORY, Audit sécurité de l’architecture sans fil déployée (fin octobre 2003): Mise à disposition des utilisateurs (fin novembre 2003): - Enseignement, recherche, administratifs et techniques, - Étudiants et invités. Jérôme PERNOT, Octobre2003

État d’avancement du projet: Mise à disposition des utilisateurs: Communautés Enseignement, Recherche: - 35 équipements seront connectés dès la mise en service du réseau, - Assistance du Service Informatique pour l’installation des cartes, - Aide à l’installation des équipements accessible sur l’intranet de l’IUT, Communauté Étudiants: - 30 cartes seront prêtées aux étudiants disposant de portables, - Chèque de caution de 150 € (renouvelable chaque année), - Assistance du Service Informatique pour l’installation des cartes, - Aide en ligne accessible depuis l’Environnement Numérique de Travail, Communauté Invités: - Accès disponible dès la fin de l’année, - Mise en œuvre de l’authentification Firewall ou portail HTTP (NoCatAuth), Jérôme PERNOT, Octobre2003

État d’avancement du projet: Extensions: Extension sur l’ensemble des établissements du site du Creusot: - Centre Universitaire Condorcet, - Bibliothèque Universitaire, Extension à la Cité Universitaire: - Cité distante du Site Universitaire (2 kilomètres), Projet technique à développer, Faire bénéficier à l’ensemble des composantes de l’université de Bourgogne de l’expérience acquise. Jérôme PERNOT, Octobre2003

Évolutions des normes de sécurisation des réseaux sans fil: La norme IEEE 802.11i : Norme à 2 volets Solution de transition compatible avec le matériel existant (WPA): - Utilisation de TKIP – nouveau protocole de gestion des clés, * Clés WEP dynamiques, * Vérification de séquence des paquets, * MIC vérifie l’intégrité de chaque trame en remplacement de l’algorithme CRC, - Génération et distribution automatique des clefs, - Intégration de 802.1x pour le contrôle d’accès: * Utilisation du protocole EAP, * Choix des méthodes d’authentification, * Utilisation de RADIUS pour l’authentification utilisateurs, - Mise à jour possible des équipements (firmware), Solution définitive incompatible avec le matériel existant: - Nouveau système de sécurité autour d’AES (Advanced Encryption Standard) AES remplacera RC4, - Incompatibilité avec les équipements 802.11 actuels (certains constructeurs annoncent déjà une compatibilité matérielle), - La norme 802.11i ne sera pas finalisée avant la l’été 2004. Jérôme PERNOT, Octobre2003

Conclusion: Intégrer les réseaux sans fil dans la politique de sécurité de l’établissement, Auditer et surveiller régulièrement l’espace radio: - Netstumbler (Windows), - WifiScanner (Linux), - Kismet (PDA), Implémenter les nouvelles normes sur les équipements en fonctionnement: - WPA, EAS, Associer à tout déploiement de réseau sans fil un système d’authentification ou utiliser une solution de tunnels VPN basés sur IPSec, Le réseau sans fil offre une disponibilité des ressources sur l’ensemble du campus universitaire (Environnement Numérique de Travail), Faire bénéficier à l’ensemble des composantes de l’université de Bourgogne de l’expérience acquise. Jérôme PERNOT, Octobre2003

Merci de votre attention. Questions – Réponses: Merci de votre attention. Jérôme PERNOT, Octobre 2003