Janvier 2006 – Dominique Skrzypezyk

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
État de l’art de la sécurité informatique
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
Client Mac dans un réseau Wifi d’entreprise sécurisé
M2: La sécurité du WI-FI Université Paris II & LRI Michel de Rougemont 1.La norme b 2.Les faiblesses dun réseau.
Implémentation et Configuration Du Serveur RADIUS
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
DUDIN Aymeric MARINO Andrès
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD
Remote Authentication Dial In User Service
1 PDA sécurité des données Module : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.
Vue d'ensemble Implémentation de la sécurité IPSec
Module 9 : Configuration de l'accès réseau
Réseaux Privés Virtuels
Sécurisation du sans fil et du nomadisme
Réseaux Longue Distance – Réseaux Haut Débit
En collaboration avec le CRI de l’Université de Bourgogne
Administration d’un réseau WIFI
Plateforme de gestion de données de capteurs
SÉCURISATION D’UNE ARCHITECTURE RÉSEAU DANS UN CENTRE HOSPITALIER
Authentification Nomade Project
SECURITE DU SYSTEME D’INFORMATION (SSI)
Module 10 : Prise en charge des utilisateurs distants
Damier Alexandre & Lebrun Bastien
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Virtual Local Area Network
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
Introduction RADIUS (Remote Authentication Dial-In User Service)
Les relations clients - serveurs
Protocole 802.1x serveur radius
Virtual Private Network
L’IEEE
Linux – les VPN.
802.1x Audric PODMILSAK 13 janvier 2009.
Digi_TransportWR44 Mise en Route Mode Opératoire.
Les NAC Network Access Control
VPN - SSL Alexandre Duboys Des Termes IUP MIC 3 Jean Fesquet
LE RESEAU INFORMATIQUE SANS FIL WI-FI
SECURITE DES RESEAUX WIFI
Le protocole d’authentification
Réseau Infrastructure Partage ressources Protocole Sécurité.
Sécurité des systèmes et des réseaux télécoms
Wi-Fi Sécurité.
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Sécurité des Réseaux Bluetooth Wifi Wimax Réalisé par : Encadré par:
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Application de la cryptologie Sécurisations des réseaux Wi-Fi.
Soutenance Projet Etude et mise en service de l'architecture Wifi sécurisée WPA2 Entreprise.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Les solutions Wi-Fi centralisées D-link
Sécurité des réseaux sans fils
La voix sur IP, PABX et LAN
IPSec Formation.
Yonel Grusson.
Les Normes La sécurité et ses failles Quelques attaques simples
Youssef BOKHABRINE – Ludovic MULVENA
17/04/2017.
 Aurélien – Ruhi : Routage  Aurélien – Ruhi : Trixbox  Aurélien – Ruhi : Téléphone cellulaire WiFi  Ruhi : Asterisk  Aurélien : Wifi  Conclusion.
Architecture Client/Serveur
SIRVIN Alexis RIVIERE Mathieu VERRIERE Arthur
La sécurité 3ème année de cycle d’ingénieur SET réseaux sans fils
Sécurité des Web Services
Nous allons Parler du réseau local sans fil (Historique, Application, les standards et les déploiements du wi-Fi.
 Sécurité Réalisé par : Encadré par : KADDOURI Arafa
La sécurité du Wifi Le WEP Le WPA Le 802.1X.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
M2.22 Réseaux et Services sur réseaux
Le WiFi [Présentation] [Sujet du cours : WiFi, et réseaux sans fils]
Transcription de la présentation:

Janvier 2006 – Dominique Skrzypezyk Sécurité des WLAN Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Propriété du média Ondes radio-électriques Support non-protégé des signaux externes (brouillage, DoS) Caractéristiques de propagation complexes Pas de frontières absolues ni observables Une borne radio est équivalente à un Hub et non un switch Janvier 2006 – Dominique Skrzypezyk

Facilité d’interception avec des Sniffers Standards ! Le risque Client Point d’Accès Wired Ethernet LAN Facilité d’interception avec des Sniffers Standards ! “Avoir du WLAN c’est comme avoir une prise ethernet dans la rue” Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Fonctionnalités des équipements Équipements bon marchés et faciles à mettre en œuvre (déploiement sauvage de réseaux sans que le service « réseaux » soit averti) Bornes mises en œuvre par défaut, sans sécurité (pas de SSID, SSID donnant des infos sur le propriétaire, pas de mise en œuvre du chiffrement, communauté SNMP par défaut et administration par une interface Web ouverte à tous) Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Positionnement dans l’architecture De nombreuses bornes déployées dans le réseau interne, à l’intérieur du périmètre de l’entreprise Pas d’authentification ni sécurité appropriée Pas de construction d’une architecture adéquate (facilité apparente de déploiement et d’installation) Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Attaques contre les réseaux sans fil Le War Driving Quadrillage d’une ville avec un ordinateur portable, une carte 802.11b et une antenne externe, de nombreux logiciels disponibles, un récepteur GPS pour la localisation Le parking visiteur Plus de sécurité physique à outrepasser Conséquences Écoutes de trafic, insertion de trafic, introduction d’une station ou d’un serveur illicite dans le réseau, rebonds Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque http://www.wifiledefrance.com/old/index.html Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Le risque Brouillage radio Bande de fréquences libres Aucune garantie de non perturbation Utilisé par une multitude de produits Bluetooth Micro ondes Vidéo surveillance Brouilleurs professionnels 500 euros en vente libre en France Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk État des lieux SSID : Service Set Identifier Open / Shared Authentification Filtrage d’adresses MAC WEP : Wired Equivalent Privacy Janvier 2006 – Dominique Skrzypezyk

SSID : Service Set Identifier Définition du nom du réseau sur lequel on veut se connecter : authentification et association Le SSID n’est pas un mécanisme de sécurité Transmit en clair dans les requêtes ‘probe’, même lorsque l’on désactive la fonction ‘Broadcast SSID’ (qui ne concerne que les beacons) SSID = Frog SSID = Toad AP AP Probe (Frog) Probe Resp. (Frog) SSID in Clear Text Client SSID = Frog Janvier 2006 – Dominique Skrzypezyk

SSID : Service Set Identifier Janvier 2006 – Dominique Skrzypezyk

Open / Shared Authentification Open Authentication Authentification Authentification ouverte Aucune authentification Authentification à clé partagée Un ‘Challenge text’ est envoyé pour authentification Faille du mécanisme de chiffrement Le texte en clair, ainsi que son correspondant chiffrés sont accessibles Authentication Request packet Authentication response packet Shared Key Authentication Authentication Request packet Challenge text packet Challenge response packet with predet. WEP Authentication response packet Janvier 2006 – Dominique Skrzypezyk

Filtrage d’adresses MAC Sur les bases radio , listes des adresses MAC autorisés à se connecter Difficile à maintenir Possibilité apprentissage Linux ( Changement @ MAC) Janvier 2006 – Dominique Skrzypezyk

WEP : Wired Equivalent Privacy RC4 Random Number Generator (24 bits) WEP Key 40 or 104 bits Seed Frame Payload CRC-32 ICV MAC Addresses In the clear 24 bits Initialisation Vector 24 bits IV WEP Encrypted Payload And Janvier 2006 – Dominique Skrzypezyk

WEP : Wired Equivalent Privacy To encrypt, XOR key stream with plain text Key stream  Plain Text => Cipher Text To decrypt, XOR key stream with cipher text Key Stream  Cipher Text => Plain Text “WIRELESS” = 58495245C455353 Key Stream = 123456789ABCDEF XOR 4A7D043D6FBE9C Key Stream = 123456789ABCDEF XOR “WIRELESS” = 58495245C455353 Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Principes généraux Contre la confidentialité Contre l’intégrité Contre l’authentification auprès de l’AP Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Principes généraux Pas d’état protocolaire Sujet à des attaques en rejouant une séquence mémorisée Une fois capturée, une trame chiffrée WEP peut etre rejouée à l’infini par un attaquant La trame rejouée sera déchiffrée et traitée par l’AP ou le client comme la trame d’origine Dangereux pour les protocoles non connectés ( UDP : NFS, NTP …) La même clé est utilisée par tous les clients Perte de carte ( cisco clé stockée sur la carte) Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Principes généraux Perte de PC ( Carte Agere, Intel : le SSID et clé stockés dans base de registre) clés globales : en cas de perte ou de vol, re- paramétrage d’un site entier Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Confidentialité Comment avoir du texte en clair ? Certains trafics IP sont prédictible Authentication partagée Envoyer des paquets depuis l’extérieur (ping vers un client WLAN) Une fois que le texte en clair et le texte chiffré est connu, la chaîne chiffrée est facile à retrouver : Key stream = Cipher Text  Plain Text Calcul : KS  PT = CT KS  PT  PT = CT  PT ( PT de chaque côté) KS = CT  PT (PT  PT = 0) Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Confidentialité Ks = RC4 (IV, k) k : fixe (clé partagée en général fixée une fois pour toutes) IV variable 24 bits et public 2^24 possibilités  collisions fréquentes 5 heures maximum à 11 Mbit/s WEP n’impose rien sur les IV En général, les cartes commencent à 0 et incrémentent de 1 Possibilité de se constituer un dictionnaire par IV 16 Go environ Etude sur faiblesse RC4 et IV Fluhrer, Mantin et Shamir Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Confidentialité programmes publics pour casser le WEP Airsnort ( http://airsnort.shmoo.com) WEPCrack ( http://wepcrack.sourceforge.net) Winaircrack Attaques exhaustive Clé hexa sur 40 bits : réalisable Clé hexa sur 104 bits : a priori plus difficile clé ASCII : 1200 fois moins de possibilités clé dérivée d’un passphrase : suivant la méthode de dérivation utilisée , grosse réduction de l’espace des clés Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Intégrité Checksum linéaire : possibilité de modifier les bits d’un message sans que cette modification de soit détectée à la reception Checksum fonction des data uniquement Possibilité de modifié MAC source ou destination CRC en clair dans les premieres versions puis chiffré WEP Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Usurpation de Borne Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité “Virtual Carrier-sense Attack” Janvier 2006 – Dominique Skrzypezyk

Les faiblesses de la sécurité Inondation Utilisation de paquets dé-association, dé-authentification Saturation de la bande … Outils « d’audit » nombreux sur Internet Netstumbler sous Windows http://www.netstumbler.com Kismet, Wifiscanner … CD-ROM bootable Utilisation pour audit ? Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk RSN ( Network Security Robust ) Réponse de l’IEEE aux Pbs de sécurité Authentification Confidentialité Ratifié en Juin 2004 Produits sur le marché fin 2004 Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Faire patienter : trouver des solutions entre 2001 et fin 2004 Janvier 2006 – Dominique Skrzypezyk

WPA (Wireless Protected Access) WPA (Wireless Protected Access) sous ensemble de 802.11i Janvier 2006 – Dominique Skrzypezyk

WPA (Wireless Protected Access) Disponible depuis le Avril 2003 Faire patienter en attendant 802.11 i Amélioration du WEP(logiciel: upgrade de firmware) Supporter le matériel existant ( CPU algo de crypto) Certification « Wifi Protected Access Products » à partir de mi 2003 Niveau Authentification : 802.1X Niveau confidentialité: TKIP (Temporal Key integrity Protocol) Janvier 2006 – Dominique Skrzypezyk

WPA et authentification 802.1x Un standard réseau utilisé dans les commutateurs Norme développée à l’origine pour les VLANs Commun à toutes les normes 802.3, 802.5, etc … Cadre permettant l’élaboration de mécanismes : D’authentification et d’autorisation pour l’accès au réseau De distribution de clés de session Utilise un serveur d’authentification externe ( Radius …) Utilise mais n’impose pas un protocole d’authentification ( EAP …) Janvier 2006 – Dominique Skrzypezyk

WPA et confidentialité Amélior ation du chiffrement WEP MIC & Sequence number MIC -> intégrité du paquet (8 octets) Sequence Number -> empêcher le rejeux TKIP (Temporal Key Integrity code « Michael ») Janvier 2006 – Dominique Skrzypezyk

WPA et confidentialité MIC & Sequence number MIC utilise un algoritme de hashing pour estampiller la trame Avant ICV (Integrity Check Value) 4 octets en fonction des data uniquement ( pas @ Mac) MIC est basé sur la source et la destination MAC, sur les données Tout changement de ces champs modifie le MIC Le MIC est chiffré par le WEP Numéro de séquence est ajouté pour éviter le rejeux Janvier 2006 – Dominique Skrzypezyk

WPA et confidentialité MIC & Sequence number Janvier 2006 – Dominique Skrzypezyk

WPA et confidentialité Avant TKIP « la même clé pour tous les paquet sauf IV » IV base key plaintext data RC4 XOR stream cipher no key hashing encrypted data Janvier 2006 – Dominique Skrzypezyk

WPA et confidentialité TKIP (Temporal Key Integrity Protocol) Aussi appelé WEP2 Principe : avoir une clé unique par paquet Utilise toujours RC4 Clé sur 104 bit Vecteur d’initialisation sur 24 bits Conserve les faiblesses de RC4 Janvier 2006 – Dominique Skrzypezyk

WPA et confidentialité Avec TKIP plaintext data encrypted data RC4 stream cipher IV base key hash XOR packet key key hashing Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk WPA à la maison WPA-Personnal Généralement pas de serveur radius disponible Pas d’authentification 802.1x PSK ( Pre Shared Key) Configuration d’une pass phrase Secret partagé entre la borne et les mobiles Pass phrase utilisée pour l’authentification L’AP fournit à chaque mobile une clé de session Clé de session rafraîchi à intervalles réguliers Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Amélioration déjà apportées par WPA Niveau chiffrement RC4  AES AES ( Advanced Encrytion Standard) : Algorithme de chiffrement très sécurisé AES choisit pour remplacer le DES ou 3DES dans les VPNs AES mode CCMP : Counter-Mode Cipher-Block- Chaining MAC Protocol AES clé par paquet sur 128 bits MIC idem : TKIP 2^24 trames, AES 2^64 trames Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X 802.1x : Juin 2001 IEEE 802.1x est un standard de : Contrôle d’accès D’authentification Gestion des clés Fonctionne sur tout type de LAN ( MAC Layer) Tocken ring FDDI (802.5) 802.3 802.11 Janvier 2006 – Dominique Skrzypezyk

Authentication Traffic 802.1X 802.1X Contrôle d’accès basé sur la notion de ports 802.1x découpe les ports physiques d’un commutateur ou les ports virtuels d’une borne sans fil en deux ports logiques appelés PAE (Port Access Entity) PAE d’authentification (Authenticator PAE) toujours ouvert PAE de service ou port contrôlé : ouvert après authentification Normal Data Authentication Traffic Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X EAP ( Extensible Authentification Protocol) Développé à l’origine comme extension de PPP Tunnel pour l’authentification Encapsule différentes méthodes d’authentification Mot de passe Biométrie Carte à puce Certificats … 802.1x transporte EAP ( méthode d’authentification) sur un LAN filaire ou Wireless : EAPOL  EAP Over Lan Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X 802.1X 802.1x définit l’architecture suivante : ( 3 entités) Supplicant : utilisateur ou client qui veut utiliser le service réseau ( Connectivité MAC) Authenticator server : Le serveur réalisant l’authentification, généralement un serveur Radius Authenticator ou « network port » : équipement offrant ou non la connexion réseau au supplicant en fonction du résultat de l’authentification. Joue le rôle de relai entre le supplicant et l’authenticator server durant la phase d’authentification Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X Janvier 2006 – Dominique Skrzypezyk

Client Receives or Derives Session Key 802.1X Principes EAP RADIUS Server EAPOL Start Identity Request Identity Response EAP Request EAP Response EAP Success EAPOW Key Access Request Access Challenge Access Success Start Process Ask Client for Identity Provide Identity Start Using WEP Deliver Broadcast Key, Encrypted with Session Key Pass Request to RADIUS Perform Sequence Defined by Authentication Method (e.g. EAP-TLS, Cisco-EAP Wireless ) Pass Session Key to AP AP Client Receives or Derives Session Key Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X 802.1x/EAP ( Extensible Authentication Protocol) Méthodes basées sur des mots de passe : EAP-MD5 (condensat du user/passwd) LEAP (Lightweight EAP propriétaire CISCO) Méthodes basées sur des certificats : EAP-TLS (Transport Layerl Security) EAP-TTLS (utilise TLS pour échanger des infos complémentaires) PEAP (Protected EAP) Méthodes utilisant des cartes ou calculettes EAP-SIM (utilise la carte à puce du GSM) EAP-AKA (utilise le système d’authentification de l’UMTS) GSS-API (tout le reste …) Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X EAP-MD5 Création d’une emprunte MD5 de chaque paquet Assure l’authenticité des messages EAP Rapide et facile à mettre en œuvre Ne supporte pas les certificats Trafic non chiffré, sensible aux écoutes Adapté à un réseau filaire N’est plus supporté dans les clients Microsoft … Ne plus utiliser Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X LEAP Lightweight Extensible Authentication Protocol Améliore le WEP ( rafraichissement régulier des clés) Propriétaire Cisco Authentification mutuelle : Le serveur authentifié par le client Le client authentifié par le serveur Basé sur username et password (Pas de certificats) Poste de travail : Client LEAP gratuit Authenticator : Base radio Cisco obligatoire Authenticator server : Radius Cisco + autres marques Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X EAP TLS (Transport Layer Security) Basée sur des certificats : un certificat par supplicant, un certificat pour l’authenticator server Authentification mutuelle entre le client et le serveur d’authentification Nécessite un serveur de certificats ( IAS server …) Génère et distribue des clés WEP dynamiques : Par utilisateur / session / nombre de paquets transmis Poste de travail : disponible en standard sous Windows XP, avec service pack sous W2000 ou 98 Authenticator : mis en œuvre par la plupart des access points Authenticator server : Méthode Standard largement disponible sur les serveurs radius Mise en œuvre un peu complexe Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X PEAP(Protected Extensible Authentication Protocol) proposé et soutenu par RSA, Cisco, Microsoft Authentification mutuelle entre le supplicant et l’authenticator server Utilise un certificat coté authenticator server Utilise User password coté supplicant Poste de travail : disponible en standard sous Windows XP, avec service pack sous W2000 ou 98 Authenticator : la tendance va vers une mise en œuvre par la plupart des access points Authenticator server : Méthode en cours de vulgarisation sur les serveurs radius Réponse à la complexité de mise en œuvre de TLS A utiliser. Janvier 2006 – Dominique Skrzypezyk

EAP-PEAP Janvier 2006 – Dominique Skrzypezyk Access Point Client RADIUS Server OTP (ActivCard, CryptoCard, PassGo, RSA, …) Start Identity Request Identity EAP in EAP Authentication AP Blocks all Requests until Authentication Completes Broadcast Key Key Length AP Sends Client Broadcast Key, Encrypted with Session Key Client Side Authentication Server Certificate Certificate Authority Encrypted Tunnel Established Server Side Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X EAP TTLS (Tunneled Transport Layer Security) Extension de TLS Authentification mutuelle entre le supplicant et l’authenticator server Utilise un certificat coté authenticator server Réponse à la complexité de mise en œuvre de TLS Possibilité pas de certificat sur le supplicant Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk 802.1X Serveur radius ( logiciel ou appliance ) Remote Access Dial-in User Service Sélectionner le logiciel en fonction du type d’authentification Proxi Radius et royaumes Free radius ( www.freeradius.org) OpenRadius, GnuRadius Ap Cisco Aironet 1200 (Radius intégré) Funk Software Stell Belted Radius Microsoft Radius serveur IAS Choisir un Radius supportant PEAP ou EAP-TTLS … Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Tunnel Ipsec Basé sur les réseaux privés virtuels (VPN) et sur Ipsec Authentification : login-password, mots de passe dynamiques, certificats Confidentialité : chiffrement DES, 3DES, AES Intégrité : MD5-HMAC et SHA-HMAC Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Tunnel Ipsec Installation de gateway VPN Installation de clients Ipsec sur les postes sans fils ( terminaux logistiques …) Modif logiciel sur les postes … Importance de l’overhead (20 à 30 %) Solution très robuste Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Tunnel Ipsec Technologie éprouvée Indépendance vis-à-vis d’implémentations constructeurs Ne protège pas pour autant le réseau WLAN Complexité d’utilisation dans un Intranet Traffic chiffré sur LAN !? WLAN DMZ Intranet Entreprise Si Concentrateur VPN Ressources Entreprise Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Sommaire Le risque État des lieux Les faiblesses de la sécurité 802.11 i 802.1X Tunnel Ipsec Autres sécurités Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Couverture radio Bien connaître la couverture radio des AP Essayer de la limiter aux bâtiments, aux terrains privés Positionnement des antennes Utilisation d’antennes directionnelles Limiter la puissance des émetteurs Papier peint anti-propagation ondes … Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Utilisation des VLANs sur le réseau filaire Vlan dédié à la radio Filtre entre VLAN radio et filaires 1924F C19_SB 1924F C19_ZB1 Trunk : all Vlan Bureautique VLAN AP1 Radio VLAN AP2 Routing between vlan : Filtrers IP, port … Cisco Catalyst 5500 Cisco Catalyst 5500 FIBRE 1Gbit/s Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Audit de site (radio) Répertorier les réseaux Wifi existants Déplacement sur le site avec PC ou Palm équipé d’un logiciel d’analyse de site Logiciel netstumbler Logiciel libre pour palm Fonctionnalité détection rogue AP Sur les derniers access point Sur un canal ou tous ? Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités statistiques Suivi des volumes Suivi des charges et heures de connections Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Filtrage entre le monde radio et filaire Utilisation de firewall Utilisation de gateway Wireless Passerelle par défaut du monde radio Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Portail captif Interception et re-direction du traffic HTTP Signature obligatoire avant d’avoir accès au services Principe utilisé par les hotspots ( Orange, SFR …) Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Sécurité fonction de l’authentification AP connecté en trunk au réseau filaire Assignation d’un Vlan en fonction de l’authentification 1 SSID par VLAN Ap récents SSID-2 Cisco-EAP SSID-1 WEP 128 Trunk 802.1Q VLAN 1 & 2 Janvier 2006 – Dominique Skrzypezyk

Janvier 2006 – Dominique Skrzypezyk Autres sécurités Utiliser l’espace radio Honey pot Offrir un service ouvert SSID broadcasté, pas d’authentification, pas de chiffrement Faire tomber sur un VLAN spécifique Fournir un service internet ( visiteur) Ne rien fournir … Brouilleur … Janvier 2006 – Dominique Skrzypezyk