LAN Sans-Fil (Wireless LAN)

Slides:



Advertisements
Présentations similaires
Client Mac dans un réseau Wifi d’entreprise sécurisé
Advertisements

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
SRT 2 NTP. Nécessité ● Les ordinateurs utilisent des horloges à quartz – Peu de précision – Tendance à dériver – Parfois plusieurs secondes par jour.
Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.
SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.
1 Impacts organisationnels du déploiement des certificats de personnes TCS Jean-François GUEZOU
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Séminaire EOLE Beaune Septembre 2007 HORUS.
Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
Module 14 : Installation et configuration des services Terminal Server.
ARCHITECTURE RESEAUX.
Sécurité Réseau Alain AINA AFNOG 2009.
La technologie des mémoires
Principes de sécurité Ref. : SP rev A
Chapitre10 Prise en charge des utilisateurs distants
FARAH.Z "Cours sécurité1" /2016
Sécurité - Quiz ccnp_cch.
Technologie wifi.
Réseau WIFI avec Contrôle Centralisé et Sécurisé
Centre Universitaire des Ressources Informatiques CURI-UH2MC
PrÉsentation de la Collaboration Interéquipe
Types d'Authentiffication
CCNP Routage Chapitre 4 - Questionnaire N°1
Sécurité - Cisco ASA Supervision du contenu
Séminaire Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.
NuFW, un parefeu authentifiant
Eléments de réflexion pour l’atelier sur les manuels numériques
Configuration des suites de Chiffrement et WEP
FENIX Aperçu GLOBALE DU Système
SECURITE DU SYSTEME D’INFORMATION (SSI)
Veille technologique Nassima Mahcer 17 MAI 2017.
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
Sécurité - Configuration de
Sécurité - Configuration de -
Comment fonctionne RADIUS?
KORRIGO UN PROJET BILLETIQUE INTEROPÉRABLE
KORRIGO UN PROJET BILLETIQUE INTEROPÉRABLE
Sécurité - Configuration d'un
R9B.
Configuration de groupes l'autorisation via ASDM
Cours VI – Cryptographie symétrique
Windows Deployment Services.
1ers pas des utilisateurs migrés
Présentation du projet FederID ■ ■ ■
ANFH - La Réunion – 16 novembre 2017
Mise en place d’une stratégie de groupe
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Notion De Gestion De Bases De Données
Direction commerciale
Sfaihi Yassine Rabai Fatma Aissaoui Walid
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Observatoire de la Sécurité des Systèmes d'Information et des Réseaux
GADGETBOX Évolution.
LLAGONNE Vincent MAUPIN Nicolas FERNANDEZ Quentin
Module 13 : Implémentation de la protection contre les sinistres
Déploiement Windows 10 Forum du CEG 2017 Polyvalence Qualité
Serveurs d’applications
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Un Mécanisme d‘Adaptation Guidé par le Contexte en Utilisant une Représentation par Objets Manuele Kirsch Pinheiro Laboratoire LSR – IMAG, Équipe SIGMA.
Active Directory Services
Michel Jouvin Comité des utilisateurs 14 Mai 2007
Service d ’Annuaire Netware pour Windows NT SABATIER Antoine IR5
Backup des Postes de Travail
Gestion des destinataires (recipients)
Transcription de la présentation:

LAN Sans-Fil (Wireless LAN) Introduction à la Sécurité LAN Sans-fil

Objectifs Décrire le besoin de sécurité dans les WLANs. Décrire l'évolution des méthodes de sécurité des WLANs. Identifier les technologies communes d'authentification et de cryptage utilisées dans les WLANs. Expliquer les forces et les faiblesses des méthodes de sécurité utilisées dans les WLANs.

Besoin de Sécurité pour les WLANs Vulnérabilités: - SSID visible - Filtrage MAC - Attaque DHCP - Attaques "Man-in-the middle" - Craquage WEP - Attaques "Initialization Vector " - Craquage Mot de passe - Attaques DoS La sécurité WLAN requiert: - Authentification: Approuve l'utilisateur - Cryptage: Assure la confidentialité des données qui traversent le réseau J'ai trouvé un autre service sans-fil

Evolution de la Sécurité WLAN

802.11 WEP WEP signifie Wired Equivalent Privacy WEP est un standard IEEE optionnel pour le cryptage Les clés peuvent être statiques et partagées parmi plusieurs clients Utilise l'algorithme RC4 — Vulnérabilités connues Les clés peuvent être dynamiques et uniques pour chaque client (comme 802.1x) par session 1 RC4 Plain text Cipher text IV + key Cryptage stream

802.11 Authentication ouverte Access Point A Access Point B Client Le Client transmet un "Probe request". Les points d'accès (A/B) transmettent un "Probe Response". Le Client évalue la réponse du point d'accès et sélectionne le meilleur. Le Client transmet une requête d'authentification vers le point d'accès sélectionné (A). Le point d'accès A confirme l'authentification et enregistre le Client. Le Client transmet une requête d'association vers le point d'accès sélectionné (A). Le point d'accès A confirme l'association et enregistre le Client.

802.11 Authentication avec clé partagée Access Point A Access Point B Les étapes 1-3 sont les mêmes que pour l'authentification ouverte Client Le point d'accès transmet une réponse d'authentification contenant un texte "challenge" non crypté. Le Client crypte le texte "challenge" en utilisant une de ses clés WEP et le transmet au point d'accès (A). Le point d'accès A compare le texte "challenge" crypté avec sa copie. Si le texte est le même, le point d'accès autorisera le client sur le WLAN.

Sécurité 802.11 WEP avancée Cisco Avancées Pré-standard Cisco Implémentés en 2001 et 2002 Authentification: - Protocoles 802.1x et Extensible Authentication Protocol (EAP) - Identifiants Utilisateur, "token" et Machine - Génération dynamique de clé de cryptage Cryptage: - CKIP - CMIC

Sécurité 802.11 Avancée Authentification: Cryptage: - Protocoles 802.1x and Extensible Authentication Protocol (EAP) - Identifiants Utilisateur, "token" et Machine - Génération dynamique de clé de cryptage - IEEE 802.11i Cryptage: - TKIP et MIC - Wi-Fi Protected Access (WPA) - Cryptage TKIP - WPA2 - Advanced Encryption Standard (AES)

Cryptage -TKIP et MIC TKIP: - Hachage de clé pour des valeurs uniques par packet afin de se protéger des vulnérabilités WEP "initialization vector" - MIC algorithme de Michael - Rotation dans la diffusion des clés MIC: - Fournit plus de protection que "Integrity Check Value" (ICV) en protégeant l'en-tête et la charge utile - Protège contre les attaques "man-in-the-middle" ou "replay"

WPA2 et AES WPA2 offre: - Gestion de clé authentifiée - Mécanismes de validation de clé pour des clés transmises en unicast ou broadcast. -TKIP est utilisé, ce qui pour WPA inclut des clés par paquet et MIC - IV Expansé (annule AirSnort) - Rotation de diffusion de clé Cryptage AES: - 128-bit block cipher - Algorithme plus robuste que RC4 - Requiert de nouvelles cartes radio sur les clients et les points d'accès car il demande plus de puissance CPU.

Présentation de l'authentification 802.1x Le client sans-fil doit être authentifié avant d'obtenir l'accès au réseau. Extensible et interopérable: - Différentes méthodes ou types d'authentification EAP - Peut être utilisé avec de multiples algorithmes de cryptage - Dépend des capacités du client Supporté par Cisco depuis Décembre 2000

Avantages de l'authentification 802.1x Authentification mutuelle entre le client et le serveur d'authentication (RADIUS) Clés de cryptage calculées après l'authentification Stratégie de contrôle centralisée

Protocoles d'authentification 802.1x et EAP LEAP - EAP Cisco Wireless EAP-FAST EAP-TLS PEAP: PEAP-GTC PEAP-MSCHAPv2

Composants requis pour l'authentification 802.1x Le serveur d'authentification est un serveur RADIUS avec des capacités EAP: - Cisco Secure ACS, Microsoft IAS, Meetinghouse Aegis - Service d'authentification local sur point d'accès Cisco - Peut utiliser la base de données RADIUS locale ou un server de base de données externe tel que Microsoft Active Directory ou RSA SecurID L"Authenticator" est un point d'accès avec capacité 802.1X Le "Supplicant" est un client avec capacité EAP: - Requiert un pilote avec capacité 802.1x - Requiert un "supplicant" EAP - disponible soit dans la carte client, natif dans le système d'exploitation ou dans un logiciel tierce-partie

LEAP Cisco Support du Client: Serveur RADIUS: - Windows 98-XP-Vista, Windows CE, Macintosh OS 9.X ou 10.X et Linux Kernel 2.2 or 2.4 - Cisco Compatible Extensions Clients (CCXv1) Serveur RADIUS: - Cisco Secure ACS et Cisco Access Registrar - Meetinghouse Aegis - Interlink Merit Domaine Microsoft ou Active Directory (optionnel) pour l'authentification (Doit être au format base de données Microsoft) Support par les équipements: - Points d'accès et ponts Cisco autonomes - Points d'accès légers Cisco et contrôleurs WLAN - IP Phone 7920 sans-fil Cisco Unified Wireless (VoIP)

Authentification LEAP Cisco

EAP-FAST: Flexible Authentication via Secure Tunneling Trois phases: - Phase 0 : - L'identifiant d'accès protégé est généré (Dynamic PAC): - Identifiant partagé unique utilisé pour l'authentification mutuelle du client et du serveur - Associé à "User ID" spécifique et un "Authority ID" (Retire le besoin de PKI) - Phase 1: - Un tunnel sécurisé est établi dans cette phase. - Phase 2: - Le client est authentifié via le tunnel sécurisé.

Authentification EAP-FAST

EAP-TLS Support du Client: Exigences pour l'infrastructure: - Windows 2000, XP, and Windows CE (supporté nativement) - Plateformes Non-Windows: Supplicants tierce-partie (Meetinghouse) - Certificat utilisateur requis par chaque client Exigences pour l'infrastructure: - EAP-TLS supporté par le serveur RADIUS server - Cisco Secure ACS, Cisco Access Registrar, Microsoft IAS, Aegis, Interlink - Le serveur RADIUS requiert un serveur autorité de certificat (PKI) Gestion de certificat: - Les certificats du client et du serveur RADIUS doivent être gérés.

Authentification EAP-TLS

EAP-PEAP Méthode d'authentification hybride: - Authentification côté serveur avec TLS - Authentification côté client avec des types d'authentification EAP - EAP-GTC - EAP-MSCHAPv2 Les clients ne requièrent pas de certificat Le serveur RADIUS requiert un serveur de certificat: - Le serveur RADIUS a des capacités d'auto-génération de certificat. - Acheter un certificat de serveur par serveur chez une entité PKI. - Configurer un serveur PKI pour générer des certificats de serveur. Autorise l'utilisation de types d'authentification unidirectionnels: - Mots de passe à usage unique - Proxy vers LDAP, Unix, Microsoft Windows NT et Active Directory, Kerberos

Authentification EAP-PEAP

Accès Wi-Fi Protégé (WPA) WPA a été introduit fin 2003 Implémentation pré-standard de IEEE 802.11i WLAN security Résout les problèmes connus de sécurité WEP Permet la mise à niveau logicielle sur des équipements sur des on équipements 802.11 déployés afin d'améliorer la sécurité Composants de WPA: - Gestion de clé authentifiée en utilisant l'authentification 802.1x: EAP et l'authentification de clé pré-partagée - Gestion de clé transmise en unicast ou diffusée - Clé par paquet TKIP standardisée et protocole MIC - Expansion du "Initialization vector": 48 bits pour "initialization vector" - Mode de migration - Coexistence d'équipements WPA et non-WPA (implémentation optionnelle non requise pour la certification WPA)

Présentation de l'authentification 802 Présentation de l'authentification 802.11i et WPA et de la gestion de clé

Problèmes WPA WPA utilise TKIP lequel utilise l'algorithme de cryptage RC4 de WEP. WPA ne peut pas éliminer entièrement les défauts de conception de WEP. WPA est une solution d'attente. Une mise à jour logicielle est requise pour les clients et les points d'accès ce qui ne garantit pas que tous les constructeurs supportent la solution. Le support par le système d'exploitation ou un client "supplicant" est requis. WPA est susceptible d'être la cible de nouvelles attaques DoS. De nouvelles faiblesses de WPA peuvent être découvertes quand des clés pré-partagées sont utilisées.

IEEE 802.11i - WPA2 802.11i: WPA2: - Ratifié en Juin 2004 - Standardise: - 802.1x pour l'authentification - Le cryptage AES - La gestion de clé WPA2: - Supplément à WPA “version 1” - Interopérable avec l'implémentation Wi-FI Alliance de 802.11i. - Le cryptage AES peut être utilisé - Cachage de clé proactif - Test tierce-partie et certification pour la compatibilité WLAN

Systèmes de Détection d'Intrusion Sans-fil Résout les vulnérabilités liées au système RF: - Détecte, localise et neutralise le équipements cachés - Détecte et gère les interférences RF - Détecte si la reconnaissance est possible Résout les vulnérabilités liées aux standards: - Détecte les attaques sur l'administration - Applique avec rigueur les stratégies de sécurité Fonctionnalité complémentaire: - Expertise - Rapport de conformité

Modes WPA et WPA2 WPA WPA2 Mode Entreprise (Commerce, éducation, gouvernement) Authentification: IEEE 802.1x/EAP Cryptage: TKIP/MIC Cryptage: AES-CCMP Mode Personnel (Agence, résidence) Authentification: PSK

Problèmes WPA2 Le client (supplicant) doit avoir un pilote WPA2 qui supporte EAP. Le serveur RADIUS doit comprendre EAP. PEAP transporte les types EAP dans un canal sécurisé par TLS et requiert un serveur de certificat. WPA2 demande plus de ressources de calcul avec un cryptage AES. WPA2 peut demander un nouveau matériel WLAN pour supporter le cryptage AES.

Résumé Avoir l'accroissement de la confiance dans les WLANs, les échanges commerciaux sont plus impactés par la sécurité réseau. Les administrateurs de réseau ont besoin de fournir aux utilisateurs de la mobilité sans pour cela offrir l'accès, au réseau ou à l'information transmise sur le réseau sans-fil, à des intrus. L'authentication et le cryptage sont les deux fonctions primaires pour sécuriser le WLAN. Tandis que le cryptage utilisant des clés WEP statiques était vulnérable, les WLANs peuvent être configurés pour supporter les standard EAP et 802.1x comprenant LEAP, EAP-FAST, EAP-TLS, PEAP, WPA et WPA2.