Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Sécurité d’un réseau sans fil : Service d’authentification RADIUS
CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Protection du réseau périphérique avec ISA 2004
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Rappels Questions : Présentations :
Client Mac dans un réseau Wifi d’entreprise sécurisé
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Implémentation et Configuration Du Serveur RADIUS
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
Protocole PPP* *Point-to-Point Protocol.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Conception de la sécurité pour un réseau Microsoft
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Remote Authentication Dial In User Service
1 PDA sécurité des données Module : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Implémentation de la sécurité IPSec
Vue d'ensemble Création de comptes d'utilisateurs
Module 9 : Configuration de l'accès réseau
Réseaux Privés Virtuels
Sécurisation du sans fil et du nomadisme
SMC2804WBRP-G Routeur sans fil Barricade g 2.4GHz 54Mbps avec port imprimante USB SMC2804WBRP-G
En collaboration avec le CRI de l’Université de Bourgogne
Administration d’un réseau WIFI
Plateforme de gestion de données de capteurs
ManageEngine ADSelfService Plus
Janvier 2006 – Dominique Skrzypezyk
Public Key Infrastructure
SÉCURISATION D’UNE ARCHITECTURE RÉSEAU DANS UN CENTRE HOSPITALIER
Authentification Nomade Project
Module 10 : Prise en charge des utilisateurs distants
Damier Alexandre & Lebrun Bastien
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
Wi-Fi Sécurité.
Introduction RADIUS (Remote Authentication Dial-In User Service)
Protocole 802.1x serveur radius
WINDOWS Les Versions Serveurs
Module 9 : Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft.
Linux – les VPN.
802.1x Audric PODMILSAK 13 janvier 2009.
Authentification à 2 facteurs
VPN - SSL Alexandre Duboys Des Termes IUP MIC 3 Jean Fesquet
De A à Z Fabrice Meillon & Stanislas Quastana, CISSP
Mise en œuvre de la sécurité de votre périmètre et de votre réseau
Solutions de cryptage crackage Briquemont Gil Jacoby Jonathan.
La sécurité dans les réseaux mobiles Ad hoc
LE RESEAU INFORMATIQUE SANS FIL WI-FI
SECURITE DES RESEAUX WIFI
Sécurité des réseaux mesh sans fil.
Expose sur « logiciel teamviewer »
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Application de la cryptologie Sécurisations des réseaux Wi-Fi.
Soutenance Projet Etude et mise en service de l'architecture Wifi sécurisée WPA2 Entreprise.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Les solutions Wi-Fi centralisées D-link
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
L’authentification Kerberos
Les Normes La sécurité et ses failles Quelques attaques simples
Youssef BOKHABRINE – Ludovic MULVENA
V- Identification des ordinateurs sur le réseau
 Aurélien – Ruhi : Routage  Aurélien – Ruhi : Trixbox  Aurélien – Ruhi : Téléphone cellulaire WiFi  Ruhi : Asterisk  Aurélien : Wifi  Conclusion.
Nous allons Parler du réseau local sans fil (Historique, Application, les standards et les déploiements du wi-Fi.
 Sécurité Réalisé par : Encadré par : KADDOURI Arafa
La sécurité du Wifi Le WEP Le WPA Le 802.1X.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 3/26/2017 3:55 PM Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France http://www.microsoft.com/france/securite Rencontres Wi-Fi – avril 2004 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Introduction Solutions sécurisées Mise en œuvre dans Windows 3/26/2017 3:55 PM Sommaire Introduction Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Introduction Solutions sécurisées Mise en œuvre dans Windows 3/26/2017 3:55 PM Sommaire Introduction Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Faiblesses de 802.11 et WEP WEP = Authentification et chiffrement Implémentation faible de l’algorithme RC4 Outils bien connus et répandus

Wi-fi sécurisé ? Ne pas déployer de réseau sans fil Risque = points d’accès pirates Sécurité 802.11 d’origine (WEP) Risque associé à la faiblesse de WEP Utiliser un VPN Non transparent pour le client, introduit un goulot d’étranglement Utiliser IPsec Pas d’authentification utilisateur, complexe Utiliser 802.1x, EAP-TLS ou PEAP État de l’art actuel Utiliser WPA État de l’art transitoire –vers 802.11i

1999 2001 2003 2004 802.11 d’origine Authentification 802.11 native 3/26/2017 3:55 PM 802.11 d’origine Authentification 802.11 native Chiffrement WEP statique 1999 802.1x avec WEP Authentification 802.1x Gestion des clés 802.1x Protection des données dynamique 2001 WPA Authentification 802.1x Gestion des clés 802.1x améliorée Protection des données TKIP 2003 Working on multiple fronts Delivered training, monthly releases, SMS in 2003 Well on our way in 2004 with XP SP2 With our Longhorn release, we’ll introduce technology in partnership with hardware manufacturers to offer advanced security features 802.11i (WPA2) Authentification 802.1x Gestion des clés 802.1x améliorée Protection des données AES Pré-authentification 2004 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Faiblesse des protocoles 802.11 d’origine 3/26/2017 3:55 PM Sommaire Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IEEE 802.1x (2001) Port-based Network Access Control Caractéristiques Protocole indépendant du support physique (Ethernet, WiFi) Point d’accès (AP) compatible 802.1x Pas de contrainte sur les cartes réseau sans fil Authentification avec EAP Extensible Authentication Protocol – IETF Choix du protocole d’authentification (méthode EAP) L’AP ne s’occupe pas des méthodes EAP Autorisations avec RADIUS Chiffrement du trafic : Gestion dynamique des clés 802.11 WEP

Port Authentication Entity (PAE) 802.1x – Vocabulaire Authentificateur Serveur d’authentification Supplicant Port Authentication Entity (PAE)

802.1x Port contrôlé et port non contrôlé IEEE 802.1x Distribution System Client Wi-Fi Port non contrôlé

RADIUS –Remote Authentication Dial-In User Service AAA – Authentification, Autorisations, Accounting Clients Point d’accès sans fil Serveur de modem Serveur VPN Serveurs d’accès Clients RADIUS = Proxy RADIUS Protocole RADIUS Base de comptes d’utilisateurs Serveur RADIUS

EAP Extension de PPP pour des mécanismes arbitraires d’authentification d’accès réseau Plug-in d’authentification sur le client et le serveur RADIUS Serveur RADIUS Point d’accès Client Wi-Fi Messages EAP Messages RADIUS Dialogue EAP

Authentification RADIUS Client Point d’accès authentication supplicant 3/26/2017 3:55 PM RADIUS authentication server Client supplicant Point d’accès authenticator 802.11 association Access blocked EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) EAPOW-key (WEP) Access allowed © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Clés de chiffrement Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur Jamais transmises dans l’air RADIUS envoie la clé à l’AP, chiffrée avec le secret partagé Le point d’accès a une clé WEP globale Utilisée pendant l’authentification de l’AP au client Envoyée dans un message EAPOW-key Chiffrée avec la clé de session Les clés de session sont re-générées quand… Durée de vie expirée (60 minutes par défaut) Le client se déplace vers un nouvel AP

Architecture EAP Méthode EAP Media GSS_API TLS PEAP IKE MD5 EAP PPP MS CHAP v2 TLS SecurID GSS_API Kerberos Méthode TLS PEAP IKE MD5 EAP EAP Media PPP 802.3 802.5 802.11 …

Méthodes EAP EAP-MD5 EAP-TLS PEAP (Protected EAP) : Utilise CHAP pour authentifier l’utilisateur Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelle EAP-TLS Certificats machine et/ou utilisateur : nécessite une PKI Détermination des clés 802.11 PEAP (Protected EAP) : Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2) Certificat Serveur uniquement Nécessite Windows XP SP1 et IAS de Windows Server 2003

PEAP Microsoft, Cisco, RSA Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement Authentifie le client dans ce tunnel Le protocole d’authentification est protégé EAP RADIUS-EAP Certificat Serveur TLS EAP Authentification

PEAP PEAP-EAP-MS-CHAP v2 PEAP-EAP-TLS MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) Pas de certificat client Solution si pas de PKI PEAP-EAP-TLS Nécessite un certificat client, donc une PKI Protège l’identité du client Plus lent que EAP-TLS

802.1x : est-ce suffisant ? Non Il résout : Il ne résout pas : La découverte des clés – changement fréquent et clés distinctes par client Les points d’accès pirates et attaques « man in the middle » – authentification mutuelle Accès non autorisés – authentification des utilisateurs et des machines Il ne résout pas : Spoofing de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé

WPA Wireless Protected Access Standard temporaire avant ratification de 802.11i Requis pour la certification Wi-Fi depuis le 31/8/2003 Wi-Fi Protected Access http://www.wi-fi.org/OpenSection/protected_access.asp Overview of the WPA Wireless Security Update in Windows XP http://support.microsoft.com/?id=815485

Objectifs de WPA Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale Corriger les faiblesses de WEP par une mise à jour logicielle Solution sécurisée pour les réseaux domestiques Evolutif vers 802.11i Disponible aujourd’hui

Caractéristiques de WPA Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK) Gestion des clés Unicast et Broadcast Temporal Key Integrity Protocol (TKIP) Michael : MIC (64 bits) remplace le CRC32 de WEP AES (optionnel) à la place de RC4 Support de clients WPA et WEP en même temps

Modes WPA Mode Entreprise (RADIUS) Nécessite un serveur d’authentification RADIUS pour authentification et distribution des clés Gestion centralisée des utilisateurs Mode clé partagée – pre-shared key mode (PSK) Ne nécessite pas de serveur d’authentification « Secret partagé » pour l’authentification sur le point d’accès – 256 bits Génération de la clé depuis une passphrase : algorithme imposé

WPA 802.1x Scénario entreprise Distribution System RADIUS server Security Discovery (WPA Information Element) Authentification 802.1X 802.1X key management RADIUS-based key distribution TKIP Scénario entreprise

Security Discovery (WPA Information Element) WPA PSK Security Discovery (WPA Information Element) 802.1X key management TKIP Scénario domestique

WPA Nécessite une mise à jour : Firmware du point d’accès Firmware de la carte Driver de la carte Logiciel client (« supplicant »)

802.11i WPA = sous-ensemble de 802.11i 802.1x en modes entreprise et PSK Mode point d’accès (infrastructure – BSS) Hiérarchie de clés Gestion des clés Négociation de la crypto et de l’authentification TKIP

802.11i 802.11i : 802.1x en modes entreprise et PSK Mode point d’accès (infrastructure – BSS) Mode point à point (ad-hoc – IBSS) Pré-authentification Hiérarchie de clés Gestion des clés Négociation de la crypto et de l’authentification TKIP AES

Synthèse

Comparaison WEP WPA WPA2/802.11i Cipher RC4 AES Key Size 40 bits 128 bits encryption 64 bits Authentication 128 bits Key Life 24-bit IV 48-bit IV Packet Key Concatenated Mixing Function Not Needed Data Integrity CRC-32 Michael CCM Header Integrity None Replay Attack IV Sequence Key Management EAP-based http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_ProtectedAccessWebcast_2003.pdf

Sommaire Faiblesse des protocoles 802.11 d’origine 3/26/2017 3:55 PM Sommaire Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

SP2 : WPA (authentification, TKIP, AES) Natif : 802.1x EAP-TLS Wireless Zero Configuration Service SP1 : PEAP 802.1x PEAP-EAP-MS-CHAPv2 802.1x PEAP-EAP-TLS SP2 : WPA (authentification, TKIP, AES) Ou SP1+KB.826942 http://support.microsoft.com/?id=826942

Authentification Chiffrement Open Shared WPA WPA-PSK Désactivé WEP TKIP AES

EAP-TLS : « carte à puce ou autre certificat » 802.1x EAP-TLS : « carte à puce ou autre certificat » PEAP MS-CHAP v2 EAP-TLS

Authentification PEAP avec Windows Phase 1 – logon machine Association 802.11 Authentification de l’AP (secret RADIUS) Authentification du serveur RADIUS (certificat) Authentification de la machine (compte machine, mot de passe) Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autorisées Phase 2 – logon utilisateur Authentification de l’utilisateur Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autorisées

Pourquoi authentifier la machine ? Logon de la machine dans le domaine nécessaire: Group Policies Scripts de logon machine Management : inventaire, déploiement d’application par GPO/SMS/autres Expiration du mot de passe de l’utilisateur : Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de mot de passe

Internet Authentication Server (IAS) Serveur RADIUS de Microsoft Remote Access Policies EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS) Certificate Services PKI avec auto-enrôlement des machines et des utilisateurs Active Directory Gestion centralisée des machines et utilisateurs Configuration centralisée des clients Wi-Fi (Group Policies) [WPA : SP1]

Sommaire Faiblesse des protocoles 802.11 d’origine 3/26/2017 3:55 PM Sommaire Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Réseau Wi-Fi de Microsoft Un des plus importants déploiements d’entreprise 42 000 utilisateurs dans 42 pays 150+ bâtiments dans le monde 4360+ points d’accès 420 000 m2 couverts 10 000+ utilisateurs simultanés sur le campus Sécurisé par 802.1x avec EAP-TLS et PEAP

802.1X EAP-TLS/PEAP Connection Domain User Certificate Certificate Authority 802.1X Uncontrolled Port Domain Controller (Active Directory) RADIUS (IAS) 802.11/.1X Access Point 802.1X Controlled Port File Exchange Domain Controller DHCP Peers

Réseau Wi-Fi de Microsoft Leçons apprises Intégrer le support de technologies diverses: clients, points d’accès, PKI, RADIUS, Active Directory Répondre aux besoins des employés qui souhaitent s’équiper à domicile Prendre en compte les soucis des employés en terme de santé : conduire des analyses et communiquer les résultats

Réseau Wi-Fi de Microsoft Conseils Changement des clés compatible avec la charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminés Impliquer le support tôt dans la phase de planification Mécanisme de détection et suppression des points d’accès pirates Vérifier les lois locales concernant les équipements radio Placer les points d’accès et antennes dans des boîtiers protégés ; utiliser une alimentation basse tension centralisée secourue

Docteur Souris « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès encadré à une messagerie électronique et à Internet » Utilisé par plus de 250 enfants et adolescents en quelques semaines avant son inauguration le 14 octobre 2003 (Hôpital Trousseau) 60 clients simultanés en pointe http://www.docteursouris.asso.fr/

Docteur Souris Windows 2000, 2003, XP, Exchange 2000, ISA Server 2000 Active Directory PKI Auto-enrôlement des machines RADIUS 802.1x, EAP-TLS Administration simplifiée à l’usage des éducatrices

Docteur Souris Active Directory Certificate Services IAS

Microsoft Solution for Securing Wireless LANs http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx http://go.microsoft.com/fwlink/?LinkId=14844

Microsoft Solution for Securing Wireless LANs Planning Guide – guide de planification Build Guide – procédures détaillées de configuration et sécurisation Operations Guide – guide de maintenance, supervision, support, gestion des changements Test Guide – démarche de test utilisée chez Microsoft pour valider la solution Lire les Release Notes pour l’adaptation à WPA

Sommaire Faiblesse des protocoles 802.11 d’origine 3/26/2017 3:55 PM Sommaire Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Scénarios de déploiement Recommandations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Synthèse Aujourd’hui Demain Entreprises : 802.1x EAP-TLS si vous avez une PKI PEAP-EAP-MS-CHAP v2 sinon WPA si possible (nouveaux matériels) Particuliers et petites entreprises : Demain 802.11i

Références The Unofficial 802.11 Security Web Page Bernard Aboba, Network Architect, Windows http://www.drizzle.com/~aboba/IEEE/ Wi-Fi http://www.microsoft.com/wifi http://www.wi-fi.org Microsoft Solution for Securing Wireless LANs http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx http://go.microsoft.com/fwlink/?LinkId=14844

Cette présentation sera disponible sur : 3/26/2017 3:55 PM Cette présentation sera disponible sur : http://www.microsoft.com/france/securite/evenements/ © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.