Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

Slides:



Advertisements
Présentations similaires
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Advertisements

LES NOMBRES PREMIERS ET COMPOSÉS
[number 1-100].
Qualité du Premier Billot. 2 3 Défauts reliés à labattage.
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Distance inter-locuteur
Rappels Questions : Présentations :
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
Client Mac dans un réseau Wifi d’entreprise sécurisé
La sécurité dans Sharepoint
Briefing Grands Comptes 2006
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Les numéros
Implémentation et Configuration Du Serveur RADIUS
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Remote Authentication Dial In User Service
Module 9 : Configuration de l'accès réseau
Architecture de réseaux
Réseaux Privés Virtuels
La diapo suivante pour faire des algorithmes (colorier les ampoules …à varier pour éviter le « copiage ») et dénombrer (Entoure dans la bande numérique.
Sécurisation du sans fil et du nomadisme
mardi 25 mars & CODIFOR-AFPI 1 Les réseaux sans fil & La sécurité, problématiques actuelles des entreprises et collectivités.
2 1. Vos droits en tant quusagers 3 1. Vos droits en tant quusagers (suite) 4.
Fonctionnalités avancées des VLANs
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
PARTENARIAT ÉDUCATIF GRUNDTVIG PARTENARIAT ÉDUCATIF GRUNDTVIG REPERES COHESION CULTURELLE ET EXPANSION DES IDEES SUR LE TERRITOIRE EUROPEEN.
En collaboration avec le CRI de l’Université de Bourgogne
Administration d’un réseau WIFI
Mr: Lamloum Med LES NOMBRES PREMIERS ET COMPOSÉS Mr: Lamloum Med.
Plateforme de gestion de données de capteurs
Janvier 2006 – Dominique Skrzypezyk
Module 10 : Prise en charge des utilisateurs distants
Damier Alexandre & Lebrun Bastien
1 Guide de lenseignant-concepteur Vincent Riff 27 mai 2003.
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
Introduction RADIUS (Remote Authentication Dial-In User Service)
Protocole 802.1x serveur radius
LES NOMBRES PREMIERS ET COMPOSÉS
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
Networld+Interop – Novembre 2003
1 INETOP
Linux – les VPN.
802.1x Audric PODMILSAK 13 janvier 2009.
Tournoi de Flyball Bouin-Plumoison 2008 Tournoi de Flyball
Notre calendrier français MARS 2014
C'est pour bientôt.....
Les Nombres 0 – 100 en français.
Veuillez trouver ci-joint
VPN - SSL Alexandre Duboys Des Termes IUP MIC 3 Jean Fesquet
LA GESTION COLLABORATIVE DE PROJETS Grâce aux outils du Web /03/2011 Académie de Créteil - Nadine DUDRAGNE 1.
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
Traitement de différentes préoccupations Le 28 octobre et 4 novembre 2010.
1/65 微距摄影 美丽的微距摄影 Encore une belle leçon de Macrophotographies venant du Soleil Levant Louis.
Modélisation des données Niveau conceptuel DON-2 V0-0.
CALENDRIER-PLAYBOY 2020.
La sécurité dans les réseaux mobiles Ad hoc
LE RESEAU INFORMATIQUE SANS FIL WI-FI
SECURITE DES RESEAUX WIFI
Les Chiffres Prêts?
Sécurité des systèmes et des réseaux télécoms
Sécurité des réseaux mesh sans fil.
Application de la cryptologie Sécurisations des réseaux Wi-Fi.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Les Normes La sécurité et ses failles Quelques attaques simples
Youssef BOKHABRINE – Ludovic MULVENA
Transcription de la présentation:

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Novembre 2003 Pascal Sauliere

Faiblesse des protocoles 802.11 d’origine Solutions sécurisées Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations

WEP = Authentification et chiffrement Faiblesses de 802.11 et WEP WEP = Authentification et chiffrement Implémentation faible de l’algorithme RC4 Attaques par désassociation Découverte de la clé de chiffrement Écoute des données Modification de données Attaque de machines internes Analogie : prise réseau dans la rue…

Pour en savoir plus : www.google.com Outils bien connus NetStumbler Kismet AirSnort WEPCrack WEPWedgie Reinj Pour en savoir plus : www.google.com

Wi-Fi sécurisé ? Ne pas déployer de réseau sans fil Risque = points d’accès pirates Sécurité 802.11 d’origine (WEP) Risque associé à la faiblesse de WEP Utiliser un VPN Non transparent pour le client, introduit un goulot d’étranglement Utiliser IPsec Pas d’authentification utilisateur, complexe Utiliser 802.1x, EAP-TLS ou PEAP État de l’art actuel Utiliser WPA État de l’art transitoire –vers 802.11i

Faiblesse des protocoles 802.11 d’origine Solutions sécurisées Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations

Protocole indépendant du support physique (Ethernet, WiFi) IEEE 802.1x (2001) – Port-based Network Access Control Caractéristiques Protocole indépendant du support physique (Ethernet, WiFi) Point d’accès (AP) compatible 802.1x Pas de contrainte sur les cartes réseau sans fil Authentification avec EAP Extensible Authentication Protocol – IETF Choix du protocole d’authentification (méthode EAP) L’AP ne s’occupe pas des méthodes EAP Autorisations avec RADIUS Chiffrement du trafic : Gestion dynamique des clés 802.11 WEP

Port Authentication Entity (PAE) 802.1x – Vocabulaire Authentificateur Serveur d’authentification Supplicant Port Authentication Entity (PAE)

802.1x – Port contrôlé et port non contrôlé IEEE 802.1x Distribution System Client Wi-Fi Port non contrôlé

RADIUS –Remote Authentication Dial-In User Service AAA – Authentification, Autorisations, Accounting Clients Serveur de modem Serveur VPN Point d’accès sans fil Serveurs d’accès Clients RADIUS = Proxy RADIUS Protocole RADIUS Base de comptes d’utilisateurs Serveur RADIUS

Plug-in d’authentification sur le client et le serveur RADIUS EAP Extension de PPP pour des mécanismes arbitraires d’authentification d’accès réseau Plug-in d’authentification sur le client et le serveur RADIUS Serveur RADIUS Point d’accès Client Wi-Fi Messages EAP Messages RADIUS Dialogue EAP

(Authentication Server) Authentification Client (Supplicant) Point d’accès (Authenticator) RADIUS (Authentication Server) 802.11 association Access blocked EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) EAPOW-key (WEP) Access allowed

Clés de chiffrement Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur Jamais transmises dans l’air RADIUS envoie la clé à l’AP, chiffrée avec le secret partagé Le point d’accès a une clé WEP globale Utilisée pendant l’authentification de l’AP au client Envoyée dans un message EAPOW-key Chiffrée avec la clé de session Les clés de session sont re-générées quand… Durée de vie expirée (60 minutes par défaut) Le client se déplace vers un nouvel AP

Architecture EAP MS-CHAPv2 TLS SecurID TLS GSS_API PEAP IKE MD5 Kerberos PEAP IKE MD5 Méthode EAP EAP PPP 802.3 802.5 802.11 Anything… Media

Méthodes EAP EAP-MD5 EAP-TLS PEAP (Protected EAP) : Utilise CHAP pour authentifier l’utilisateur Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelle EAP-TLS Certificats machine et/ou utilisateur : nécessite une PKI Détermination des clés 802.11 PEAP (Protected EAP) : Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2) Certificat Serveur uniquement Nécessite Windows XP SP1 et IAS de Windows Server 2003

PEAP Microsoft, Cisco, RSA Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement Authentifie le client dans ce tunnel Le protocole d’authentification est protégé EAP RADIUS-EAP Certificat Serveur TLS EAP Authentification

PEAP-EAP-MS-CHAP v2 PEAP-EAP-TLS PEAP MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) Pas de certificat client Solution si pas de PKI PEAP-EAP-TLS Nécessite un certificat client, donc une PKI Protège l’identité du client Plus lent que EAP-TLS

802.1x : est-ce suffisant ? Non Il résout : Il ne résout pas : La découverte des clés – changement fréquent et clés distinctes par client Les points d’accès pirates et attaques « man in the middle » – authentification mutuelle Accès non autorisés – authentification des utilisateurs et des machines Il ne résout pas : Spoofing de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé

WPA Standard temporaire avant ratification de 802.11i Requis pour la certification Wi-Fi depuis le 31/8/2003 Wi-Fi Protected Access http://www.wi-fi.org/OpenSection/protected_access.asp Overview of the WPA Wireless Security Update in Windows XP http://support.microsoft.com/?id=815485

Corriger les faiblesses de WEP par une mise à jour logicielle Objectifs de WPA Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale Corriger les faiblesses de WEP par une mise à jour logicielle Solution sécurisée pour les réseaux domestiques Evolutif vers 802.11i Disponible aujourd’hui

Nécessite une mise à jour : WPA Nécessite une mise à jour : Firmware du point d’accès Firmware de la carte Driver de la carte Logiciel client (« supplicant »)

Caractéristiques de WPA Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK) Gestion des clés Unicast et Broadcast Temporal Key Integrity Protocol (TKIP) Michael : MIC (64 bits) remplace le CRC32 de WEP AES (optionnel) à la place de RC4 Support de clients WPA et WEP en même temps

Modes WPA Mode Entreprise (RADIUS) Nécessite un serveur d’authentification RADIUS pour authentification et distribution des clés Gestion centralisée des utilisateurs Mode clé partagée – pre-shared key mode (PSK) Ne nécessite pas de serveur d’authentification « Secret partagé » pour l’authentification sur le point d’accès – 256 bits Génération de la clé depuis une passphrase : algorithme imposé

WPA 802.1x Scénario entreprise Distribution System RADIUS server Security Discovery (WPA Information Element) Authentification 802.1X 802.1X key management RADIUS-based key distribution TKIP Scénario entreprise

Security Discovery (WPA Information Element) WPA PSK Security Discovery (WPA Information Element) 802.1X key management TKIP Scénario domestique

802.11i WPA = sous-ensemble de 802.11i 802.1x en modes entreprise et PSK Mode point d’accès (infrastructure – BSS) Hiérarchie de clés Gestion des clés Négociation de la crypto et de l’authentification TKIP

802.11i 802.11i : 802.1x en modes entreprise et PSK Mode point d’accès (infrastructure – BSS) Mode point à point (ad-hoc – IBSS) Pré-authentification Hiérarchie de clés Gestion des clés Négociation de la crypto et de l’authentification TKIP AES

Faiblesse des protocoles 802.11 d’origine Solutions sécurisées Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations

Natif : 802.1x EAP-TLS Wireless Zero Configuration Service SP1 : PEAP 802.1x PEAP-EAP-MS-CHAPv2 802.1x PEAP-EAP-TLS KB.815485 [http://support.microsoft.com/?id=815485] KB.826942 [http://support.microsoft.com/?id=826942] WPA (authentification, TKIP, AES)

Authentification Chiffrement Open Shared WPA WPA-PSK Désactivé WEP TKIP AES

EAP-TLS : « carte à puce ou autre certificat » 802.1x EAP-TLS : « carte à puce ou autre certificat » PEAP MS-CHAP v2 EAP-TLS

Internet Authentication Server (IAS) Serveur RADIUS de Microsoft Remote Access Policies EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS) Certificate Services PKI avec autoenrollement des machines et des utilisateurs Active Directory Gestion centralisée des machines et utilisateurs Configuration centralisée des clients Wi-Fi (Group Policies)

Mise en œuvre dans Windows Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows Scénarios de déploiement Recommandations

Réseau Wi-Fi de Microsoft Un des plus importants déploiements d’entreprise 42 000 utilisateurs dans 42 pays 150+ bâtiments dans le monde 4360+ points d’accès 420 000 m2 couverts 10 000+ utilisateurs simultanés sur le campus Sécurisé par 802.1x avec EAP-TLS et PEAP

802.1X EAP-TLS/PEAP Connection Domain User Certificate Certificate Authority Domain Controller (Active Directory) 802.1X Uncontrolled Port RADIUS (IAS) 802.11/.1X Access Point 802.1X Controlled Port File Exchange Domain Controller DHCP Peers

Microsoft Solution for Securing Wireless LANs http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp http://go.microsoft.com/fwlink/?LinkId=14844

Microsoft Solution for Securing Wireless LANs Planning Guide – guide de planification Build Guide – procédures détaillées de configuration et sécurisation Operations Guide – guide de maintenance, supervision, support, gestion des changements Test Guide – démarche de test utilisée chez Microsoft pour valider la solution Lire les Release Notes pour l’adaptation à WPA

Faiblesse des protocoles 802.11 d’origine Solutions sécurisées Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Scénarios de déploiement Recommandations

Aujourd’hui Demain Synthèse Entreprises : 802.1x EAP-TLS si vous avez une PKI PEAP-EAP-MS-CHAP v2 sinon WPA si possible (nouveaux matériels) Particuliers et petites entreprises : Demain 802.11i

Références The Unofficial 802.11 Security Web Page Bernard Aboba, Network Architect, Windows http://www.drizzle.com/~aboba/IEEE/ Wi-Fi http://www.microsoft.com/wifi http://www.wi-fi.org Microsoft Solution for Securing Wireless LANs http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp http://go.microsoft.com/fwlink/?LinkId=14844