Mobilité : Conjuguer réseau sans fil et sécurité gilles.farrache@telindus.fr Le 15 Janvier 2003 Gilles FARRACHE Chef de Projet Telindus France Tél : 04.72.78.08.90 Parc Club du Moulin à Vent 33, rue Dr. Georges Lévy F - 69693 Vénissieux cedex Fax : 04.78.01.60.64
Plan de la présentation Contexte : la percée prévue du sans fil Pour quels bénéfices Pour quels usages L’état normatif L’état de la réglementation en France Mécanismes de sécurité implémentés Vulnérabilités Solutions de sécurisation p.2
La percée prévue du sans-fil
Bénéfices Des bénéfices indéniables facilité de déploiement grande souplesse d’interopérabilité avec les réseaux filaires faible coût d’acquisition débits adaptés à un usage professionnel solution de souplesse au sein de l ’entreprise -> salles de réunion solution faiblement structurante -> chantier, exposition, locaux temporaires solution non destructive -> monuments historiques, sites classés solution de mobilité -> aéroports, salles de congrès ... p.4
Usages Des usages multiples p.5
Usages Prolongement d’une BLR p.6
L ’état normatif
Un contexte en développement
Quelques normes stables IEEE 802.11b sur 2,4 GHz, 11 Mbps Émet sur trois canaux radio Largement disponible (plus de 180 produits approuvés) Utilisable en intérieur et extérieur Sécurité assurée par le WEP (Wired Equivalent Privacy) IEEE 802.11g sur 2,4 GHz, 22 Mbps ou + Évolution de IEEE 802.11b Trois types d’encodage (PCCB, OFDM et CCK) Doit être compatible avec les produits 802.11b (support de tous les types d’encodage) Sécurité assurée par 802.11i p.9
Quelques normes stables IEEE 802.11a sur 5 GHz, 54 Mbps Émet sur 8 canaux radio Utilisable en intérieur (avec restriction sur la puissance) IEEE 802.11h sur 5 GHz, 54 Mbps Évolution de IEEE 802.11a Implémentera la DFS (sélection dynamique de la fréquence) Implémentera la TPC (contrôle de la puissance transmise) Nécessite de nouveaux équipements radio donc forte probabilité que les équipement actuels 802.11a ne soient pas upgradable Sécurité assurée par 802.11i p.10
Et des normes plus récentes IEEE 802.11e Qualité de Service En cours IEEE 802.1x Sécurité Authentification par port et distribution de clés Arrivée de EAP (Extensible Authentification Protocol) Mise en œuvre de LEAP et de EAP-TLS IEEE 802.11i Sécurité ETSI Hiperlan 2 sur 5 GHz Norme européenne concurrente à 802.11a et 802.11h plus 802.11e Non finalisé p.11
L’état de la réglementation en France
La réglementation 1 Concernent les réseaux indépendants et les hotspots 2 Concernent les expérimentations de réseaux ouverts au public p.13
La réglementation Les départements prévus pour l’expérimentation 01 Ain 36 Indre 66 Pyrénées Orientales 02 Aisne 37 Indre et Loire 67 Bas Rhin 03 Allier 41 Loir et Cher 68 Haut Rhin 05 Hautes Alpes 42 Loire 70 Haute Saône 08 Ardennes 45 Loiret 71 Saône et Loire 09 Ariège 50 Manche 75 Paris 11 Aude 55 Meuse 82 Tarn et Garonne 12 Aveyron 58 Nièvre 84 Vaucluse 16 Charente 59 Nord 88 Vosges 24 Dordogne 60 Oise 89 Yonne 25 Doubs 61 Orne 90 Territoire de Belfort 26 Drôme 63 Puy de Dôme 94 Val de Marne 32 Gers 64 Pyrénées Atlantique p.14
La réglementation Bande de fréquences allouée Conditions en intérieur Conditions en extérieur 5150-5250 MHz PIRE < 200 mW Impossible 5250-5350 MHz Dispositif de sélection de fréquence en fonction de la disponibilité du canal Atténuation de puissance moyenne émise > 3dB 5470 – 5725 MHz A l’étude p.15
La réglementation les opérateurs considèrent que si le 2,4 GHz doit rester gratuit, en revanche, une redevance pourrait être instituée en 5 GHz, par exemple sur le modèle des redevances GSM p.16
Mécanismes de sécurité
L’identification du réseau (SSID) Le SSID* est un identifiant qui permet dans un système dit « fermé » de vérifier si une station est autorisée ou non à se connecter à une borne. si SSID station = SSID borne alors la connexion est acceptée si SSID station SSID borne alors la connexion est refusée * SSID : Service Set IDentifier p.18
Le WEP (Wireless Equivalent Privacy) Mécanisme utilisant une clef partagée Le chiffrement : prévient des écoutes clandestines par chiffrement des données transmises. L’authentification : protége l’accès au réseau sans fil. L’intégrité : vérifie l’intégrité des données en générant un checksum. p.19
Vulnérabilités
Propagation par ondes radio Cette technologie diffuse les données dans une zone sans une frontière absolue entraînant : un problème de confidentialité - interception et écoute aisées depuis la voie publique un problème d’intégrité. - insertion dans le trafic possible Le support n’est pas protégé des signaux environnants, il est donc sensible au brouillage entraînant : un problème de continuité de service (déni de service). - déni de service par brouillage possible - p.21
Protocole 802.11b L’identité du réseau (SSID) est diffusée sans protection lors de son transit sur le réseau entraînant : un problème de confidentialité - possibilité d’identifier le réseau - Le protocole WEP est basé sur un algorithme de chiffrement mal implémenté (RC4) générant des clefs dites « faibles ». Il est possible de découvrir la clef WEP entraînant : - possibilité d’écouter le réseau et d’y entrer - un problème d’intégrité - possibilité de modifier les flux – Le protocole l’intègre pas de mécanisme de gestion des clefs. p.22
Implémentation - déploiement Une topologie dynamique Une facilité (apparente) de déploiement le déploiement du WLAN n’est pas confié à une équipe spécialisée les équipements sont mal configurés l’architecture n’est pas correctement cloisonnée p.23
En résumé … Sans sécurité et par défaut : possibilité d’écoute du réseau ; possibilité d’accès au réseau. p.24
Solutions de sécurisation
La base de la sécurité Inconvénients : Implémenter les fonctionnalités de sécurité de base des équipements Mettre en place un chiffrement des données (WEP) Mettre en place un contrôle des @MAC (gestion difficile) Inconvénients : Ne convient pas pour des déploiements larges Ne répond pas à des besoins de sécurité forts p.26
Vers une sécurité avancée du WLAN (1/5) Renforcer la confidentialité des transmissions Chiffrement WEP avec des clefs dynamiques (802.1x, 802.11i) www.cs.umd.edu/~waa/1x.pdf www.cisco.com/warp/public/cc/pd/witc/ao350ap/prodlit/1680_pp.htm p.27
Vers une sécurité avancée du WLAN (2/5) Renforcer la confidentialité des transmissions Mise en place d’un VPN (IPSec) p.28
Vers une sécurité avancée du WLAN (3/5) Utiliser un mécanisme d’authentification plus fiable Login / mot de passe, certificats, tokens (802.1x – EAP) Améliorer le contrôle et la gestion des accès au réseau Centraliser l’authentification (base RADIUS, Active Directory, ACS ) Journaliser les accès Cloisonner le réseau interne du réseau sans fil Utilisation d’un VLAN spécifique pour les points d’accès Filtrage des communications internes et externes (Pare-feu) p.29
Vers une sécurité avancée du WLAN (4/5) Le choix de la (ou des) technique(s) de sécurisation va dépendre du résultat souhaité : Chiffrement fort Mobilité Accès invités Différenciation des droits d’accès par utilisateurs p.30
Vers une sécurité avancée du WLAN (5/5) Sécuriser les équipements de l’architecture Configurer les postes clients sans fil Configurer les bornes d’accès au réseau filaire Ne pas oublier également les aspects organisationnels et procéduraux : Implication de la structure sécurité Veille technologique sur le domaine WLAN Audits fréquents du réseau p.31
Conclusion Constats : Les risques d’écoute et d’intrusion sont importants Les standards de communication sont encore peu matures en terme de sécurité Les protocoles de sécurité évoluent rapidement Les constructeurs apportent leurs propres fonctionnalités Il faut être vigilant avant de se lancer dans le déploiement d’une solution sans fil, notamment sur deux points : La sécurité. L’organisation. p.32
Conclusion Déployer le réseau dans la cadre d ’un projet structuré Valider régulièrement le réseau y compris par des démarches de tests de type « War Driving » p.33