Sécurité des réseaux mesh sans fil. Réalisé par: Omar Cheikhrouhou Sous la direction: Maher Ben Jemaa Maryline Maknavicius
Plan Réseaux mesh sans fil Objectifs Solutions proposées Extension du protocole 802.1X Architecture d’authentification basée sur PANA Nouvelle méthode d’authentification : EAP-EHash Conclusion & perspectives lundi 10 avril 2017 Omar CHEIKHROUHOU
Qu’est ce qu’un réseau mesh sans fil? Routeurs mesh Nœuds mobiles lundi 10 avril 2017 Omar CHEIKHROUHOU
Différence par rapport aux WLANs Routeur d’accès (AR). Point d’accès (AP). Système de distribution sans fil (WDS). Système de distribution filaire (DS). Chemins multi-sauts. Communication directe entre le mobile et AP. lundi 10 avril 2017 Omar CHEIKHROUHOU
Domaines d’applications lundi 10 avril 2017 Omar CHEIKHROUHOU
Les risques de sécurité Analyse de trafic Usurpation d’identité Utilisation des ressources par des nœuds non autorisées lundi 10 avril 2017 Omar CHEIKHROUHOU
Objectifs Authentification Contrôle d’accès Confidentialité IPsec lundi 10 avril 2017 Omar CHEIKHROUHOU
Première solution: extension de 802.1X Authentification Première solution: extension de 802.1X
802.1X: philosophie lundi 10 avril 2017 Omar CHEIKHROUHOU
802.1X: extension proposée (1) Trame EAPOL traditionnelle Nouvelle Trame EAPOL lundi 10 avril 2017 Omar CHEIKHROUHOU
802.1X extension: procédure d’authentification dans WMN lundi 10 avril 2017 Omar CHEIKHROUHOU
Vulnérabilités de 802.1X: attaque DoS On va s’amuser un peu ! EAPOL-Logoff(@MAC=Y) EAPOL-Logoff(@MAC=X) VoIP Y X HTTP SMTP lundi 10 avril 2017 Omar CHEIKHROUHOU
802.1X: extension proposée (2) Trame EAPOL traditionnelle Nouvelle Trame EAPOL lundi 10 avril 2017 Omar CHEIKHROUHOU
Augmenter le niveau de sécurité: lutter contre DoS Je dois trouver d’autre solution *J’ai reçu EAPOL-Logoff *Verification de MIC EAPOL-Logoff(@MAC=X) VoIP HTTP SMTP lundi 10 avril 2017 Omar CHEIKHROUHOU
Les apports de notre extension Utilisation du protocole 802.1X dans les réseaux mesh sans fil. Amélioration de la sécurité du protocole 802.1X Fournir l’intégrité des messages lundi 10 avril 2017 Omar CHEIKHROUHOU
Authentification Deuxième solution, basée sur PANA (Protocol for Carrying Authentication for Network Access)
Encapsulation de EAP dans PANA PANA permet de transporter les messages d’authentification au-dessus de la couche IP. lundi 10 avril 2017 Omar CHEIKHROUHOU
PANA: philosophie AAA PANA SNMP/API IKE/4-way handshake lundi 10 avril 2017 Omar CHEIKHROUHOU
PANA dans les réseaux mesh : idée 1 EP PAA AR EP/AR/PAA lundi 10 avril 2017 Omar CHEIKHROUHOU
PANA dans les réseaux mesh : idée 2 lundi 10 avril 2017 Omar CHEIKHROUHOU
Comparaison entre les deux architectures Coût de déploiement de réseau Complexité du routeur mesh Mobilité sécurité lundi 10 avril 2017 Omar CHEIKHROUHOU
WMN sécurité: Procédure complète avec PANA Configuration Découverte de PAA Authentification interaction Autorisation IKE IPsec SA lundi 10 avril 2017 Omar CHEIKHROUHOU
Le protocole EAP Extension de 802.1X Authentification au niveau 2 PANA lundi 10 avril 2017 Omar CHEIKHROUHOU
Insuffisances des méthodes EAP EAP-MD5 Vulnérables aux attaques Authentification unilatérale EAP-TLS Traitement lourd Gestion d’un IGC lundi 10 avril 2017 Omar CHEIKHROUHOU
Serveur d’authentification La méthode EAP-MD5 Serveur d’authentification Client Authentificateur EAP-Request(Identity?) EAP-Response (MyID) EAP-Request(challenge) HASH = MD5 (secret, Challenge) EAP-Response(HASH) EAP-Success Access Accept (EAP) EAP-Failure Access Reject (EAP) lundi 10 avril 2017 Omar CHEIKHROUHOU
Nouvelle méthode d’authentification : EAP-EHash Serveur d’authentification Client Authentificateur EAP-Request(Identity?) RandS AK= F (PSK, RandS) EK= F (PSK, RandS || ServerID || ClientID) Challenge EAP-Response (MyID) RandC HASH = F (AK, Challenge || RandC) EAP-Request(challenge || ServerId || RandS || {MIC}_EK ) EAP-Response(RandC || {HASH}_EK) EAP-Success Access Accept (EAP) EAP-Failure Access Reject (EAP) lundi 10 avril 2017 Omar CHEIKHROUHOU
Analyse de la méthode EAP-EHash Traitement léger Authentification rapide Authentification mutuelle Efficacité contre les attaques lundi 10 avril 2017 Omar CHEIKHROUHOU
Validation formelle de EAP-EHash AVISPA (Automated Validation of Internet Security Protocols and Applications) Spécification avec HLPSL (High-Level Protocol Specification Language) Vérification avec le model-checking ofmc (on-the-fly-model-checking) lundi 10 avril 2017 Omar CHEIKHROUHOU
Validation formelle de EAP-EHash role server( ... played_by S def= 1.State=1 /\ RCV(respond_id.peerId)=|> State':=2 /\ RandS':=new() … /\MAC':={MIC(AK',Challenge'.serverId.RandS')}_EK' /\ SND(Challenge'.serverId.RandS'.MAC') /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) 2. State=2 /\ RCV(RandP'.HASH') /\HASH'={HMAC(AK,Challenge.RandP')}_EK =|> State':=3 /\ request(S,P,RandP') /\ SND(success) end role %server role peer( ... played_by P def= 1.State=1 /\ RCV(Challenge'.serverId.RandS'.MAC') /\ AK'=PRF(PSK.RandS') /\ EK'=PRF(PSK.RandS'.serverId.peerId) /\ MAC'={MIC(AK',Challenge'.serverId.RandS')}_EK' =|> State':=2 /\ RandP':=new() /\ HASH':={HMAC(AK',Challenge'.RandP')}_EK' /\ SND(RandP'.HASH') /\ witness(P,S,rp,RandP') /\ request(P,S,rs,RandS') /\ request(P,S,ch,Challenge') /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) end role %peer lundi 10 avril 2017 Omar CHEIKHROUHOU
Validation formelle de EAP-EHash Résultats role session( P,S: agent, PSK: symmetric_key, MIC,HMAC,PRF: function ) def= local Speer,Rpeer,Sserver,Rserver : channel (dy) composition peer(P,S,PSK,MIC,HMAC,PRF,Speer,Rpeer) /\ server(P,S,PSK,MIC,HMAC,PRF,Sserver,Rserver) end role %%%%%%%%%%%%%%%%%%%%%%%%% goal authentication_on ch,rs authentication_on rp secrecy_of sec_ak,sec_ek end goal % OFMC % Version of 2005/06/07 SUMMARY SAFE DETAILS BOUNDED_NUMBER_OF_SESSIONS PROTOCOL /root/avispa-1.0/testsuite/results/EHash05.if GOAL as_specified BACKEND OFMC … lundi 10 avril 2017 Omar CHEIKHROUHOU
Conclusion Deux solutions pour l’authentification: Extension de 802.1X PANA Nouvelle méthode EAP: EAP-EHash. Validation formelle de EAP-EHash. lundi 10 avril 2017 Omar CHEIKHROUHOU
Perspectives Mise en place d’une plateforme pour la comparaison de deux solutions. Implémentation EAP-EHash. Roaming et Re-authentification. Gestion des clés. lundi 10 avril 2017 Omar CHEIKHROUHOU