Sécurisation du sans fil et du nomadisme Voir http://www.cru.fr/nomadisme-sans-fil/ Et plus particulièrement http://www.cru.fr/nomadisme-sans-fil/J1310/index.html Et aussi http://www.certa.ssi.gouv.fr/ http://www.ssi.gouv.fr/actualites/synthwifi.pdf http://www.ssi.gouv.fr/actualites/Rec_WIFI.pdf

Protection contre les intrusions, les flux malveillants, Nomadisme : problématique Protection contre les intrusions, les flux malveillants, le transfert de données confidentielles, … Réseau d’entreprise Internet Serveurs Prestataire d’accès ou site « ami » DMZ Protection de l’accès à la ressource réseau (authentification) Protection du réseau d’accueil vis-à-vis du poste: vérification de son intégrité (pas de virus, …) Préciser la différence entre la protection de bout en bout (HTTPS) et celle de poste à site (VPN) ou de poste à borne d’accès (WEP)  la protection de la confidentialité ne sera pas de même niveau. Protection des flux(confidentialité): chiffrement des flux / VPN Protection du poste (intégrité, confidentialité): Chiffrement des données stockées, garde-barrière, Antivirus, …

Le sans-fil pourquoi faire ? Améliorer la facilité d’accès au réseau Salles de réunion, Lieux de vie, … => Amener du réseau là où il n'y en avait pas Banaliser les salles Toutes les salles sont des salles de ressources Rendre les sites attractifs Intégrer à terme la téléphonie Permettre le nomadisme

Attention Un discours marketing En fait simple, plug and play, liberté, partout, performant, pas cher, extension aisée du réseau sans fil, .. En fait Pas si simple si on veut protéger, Plug and play  sécurité 0 ! Performant  oui si 802.11g Pas cher : dépend du niveau de sérieux de la sécurisation Partout (oui, ou du moins presque) Extension du réseau filaire : OUI  jusqu’aux parkings même. PC en mode AD-HOC non seulement prise réseau sur le parking mais également passerelle vers le reste du monde. Si les choses sont correctement faites, le sans-fil c’est quand même bien 

Le sans-fil : extension du réseau filaire ? Exemple d’un laboratoire Politique de sécurité des échanges Pour le laboratoire Vers le reste du réseau de l’organisme Et de l’Internet Parking du labo Attention à la loi récente du 23 janvier 2006. Une telle configuration fait que le site devient un prestataire de service ouvert au public. En dehors du fait qu’il peut avoir des problèmes avec son prestataire d’accès, il peut en avoir avec la justice pour ne pas se conformer aux dispositions récentes. Borne

Fonctionnalités de sécurité : Contrôle d’accès : identification/authentification Par certificats (nécessité d'une IGC en place) possibilité d’avoir les certificats sur cartes à puces Par Logins/passwords (pb de leur stockage) Séparation par communautés VLAN (1VLAN=SSID ou VLAN dynamiques) Tunnels (VPN...) Confidentialité WEP, WPA, WPA2, IPSec Opter pour « rien » dans les trois domaine ce n’est pas très sérieux!

Stratégies de sécurisation Sécurisation complète au niveau du lien sans-fil B) Contrôle d’accès, sélection d’un VLAN, chiffrement Pas de sécurisation du lien sans fil C) Passage obligé par un concentrateur de VPN assurant les trois fonctionnalités contrôle d’accès, VLAN, chiffrement D) Passage obligé par un « portail » jouant un peu le même rôle qu’un concentrateur de VPN  Pas vraiment très optimum. E) Redirection de certains flux vers un serveur de type « proxy » (le seul qui pourra être accédé). A REJETER. Partie vue dans la suite

Sécurisation réseau local filaire (A) Réseau interne Serveur Sécurisation accès sans fil (protection lien radio) Conc. De VPN (B) Portail Captif Protection entre poste et équipement d’accès réseau local type VPN (C) Passage obligé par portail captif (utilisation HTTPS pour sécurisation) (D) Protection de bout en bout (protocole entre poste et serveur) (E) La partie VPN, tunnels sera vue dans la suite du cours.

Type de solution « clé en main » Sécurisation réseau local filaire (A) WLA Controleur Management LDAP Radius Configuration Réseau interne La partie VPN, tunnels sera vue dans la suite du cours. Contrôle d’accès Appliquer une « politique de violation » Détecter les attaques Type de solution « clé en main »

Sécurisation du sans-fil http://www. cru Par absence de diffusion du SSID : ne sert en gros à rien (naïf) Par adresse MAC : difficile à gérer, et contournable Par clé WEP fixe de 64 bits : Chiffrement faible et clé « cassable » Authentification 802.1X + clé WEP (128 bits et +) Si bonne fréquence de changement de clé WEP  correct Plusieurs protocoles d’authentification : TLS, TTLS, PEAP, … Authentification 802.11i Du 802.1X avec EAP-TLS Plus mécanismes de chiffrement plus solides : TKIP, WRAP, CCMP. Voir http://2005.jres.org/programme.html      => voir session Nomadisme 2A, première présentation       Nomadisme réseau pour la communauté enseignement supérieur-recherche, projet ARREDU Vous avez l'article, la présentation et la vidéo.

Architecture du réseau sans fil Exemple des campus de Strasbourg Serveur Radius Schéma logique Backbone OSIRIS2 Serveur DHCP Vlan d'authentification / Management Vlan Etudiants Vlan Personnels Vlan Invités Arrivée Osiris Bâtiment Commutateur « Bâtiment » Le commutateurs WiFi en + de l’intelligence d’un commutateur classique intègre des parties d’intelligence que l’on trouve normalement dans les bornes. Commutateur « WiFi » Commutateur « WiFi » AP AP AP AP AP AP

Authentification / Confidentialité Rappels sur le protocole 802.1X Acteurs Client ou Supplicant Système à authentifier (Supplicant) Architecture d'authentification 802.1X Serveur d'authentification Serveur d'authentification Point d'accès au réseau Point d'accès Réseau But Contrôler l'accès physique à un réseau local par authentification Trafic autorisé avant authentification (Relayé par le point d'accès) Trafic autorisé après authentification Connexion filaire ou association sans-fil

Authentification / Confidentialité Implémentation 802.1X Clé de chiffrement WEP Vlan étudiants Authentification 802.1X > EAP-TTLS User == toto Clé de chiffrement WEP Password / Certificat Ok. > VLAN étudiant Vlan étudiants Vlan d'accès WiFi Association 802.11b ou g

avant échange des données sensibles (login/mot de passe, …) Établissement session TLS entre le poste et le serveur d’authentification avant échange des données sensibles (login/mot de passe, …) Borne Serveur d’auth. Login/mdp EAP-TLS (ou TTLS) EAP-TLS (ou TTLS) EAP EAP EAP EAP La borne peut être considérée comme un relai applicatif sachant d’un côté extraire le contenu EAP des trames 802.1X et les réinjecter de l’autre côté dans des trames Radius. La borne comprend le protocole EAP. Le protocole EAP transporte le protocole EAP-TLS ne pouvant pas être compris par la borne car EAP-TLS est en fait un transport chiffré. Les éléments de chiffrement ne sont connus que du client et du serveur Radius. Parmi les éléments de configuration de la borne : Le protocole qu’elle doit mettre en œuvre : par exemple 802.1X et EAP L’adresse du serveur d’authentification (Radius) Des timer pour le changement régulier des clés 802.1X / (EAPoL) 802.1X / (EAPoL) Radius Radius 802.11 UDP/IP

Association entre le client et la borne (802.11g) Serveur d’authentification Radius Borne Réseau local 1 Association entre le client et la borne (802.11g) La borne bloque le trafic vers le réseau local 2 Échanges d’éléments d’authentification entre le client et le serveur Radius Le serveur authentifie l’utilisateur L’utilisateur authentifie le serveur  authentification mutuelle 3 Radius, ainsi que le client calculent la clé « Unicast » (session key) à partir des éléments d’auth. Radius délivre cette clé à la borne. 4 A noter que les deux clés (Unicast et broadcast) sont changées à intervalle régulier. Différents protocoles d’authentification sur EAP sont disponibles : EAP-Transport Layer Security (EAP-TLS) EAP-Tunneled TLS (EAP-TTLS) EAP-Cisco Wireless (LEAP) EAP-Subscriber Indentity Module (EAP-SIM) EAP-AKA  voir UMTS EAP-OTP EAP-Challenge EAP-generic token card … La borne crée une clé « Broadcast » et la transmet chiffrée (avec la clé Unicast) au client La borne ouvre le trafic vers le réseau local (dans le VLAN approprié) Le Client va pouvoir transmettre ses paquets sur le réseau local et notamment Contacter le serveur DHCP pour obtenir une adresse IP. 5

Authentification / Confidentialité Implémentation 802.1X Avantages Possibilité d’associer plusieurs VLAN à un seul SSID Cloisonnement des communautés Gestion dynamique des clés de chiffrement Distribution initiale Renouvellement à chaque réauthentification Pas de goulot d'étranglement (ex : VPN, L2TP ...) Possibilité de mots de passes chiffrés sur le serveur (PAP avec EAP-TTLS) Possibilité d’authentification mutuelle client/serveur (certificat client)

Authentification / Confidentialité Implémentation 802.1X Inconvénients Distribution d'un client nécessaire pour EAP-TTLS ou si TLS et parc hétérogène Mise en place d'un portail captif dédié à cette tâche Prix des clients Dimensionnement des VLANs / Plages d'adresses IP Contraintes Nécessité de redondance des serveurs RADIUS Si Radius tombe, plus de réseau sans-fil

Authentification / Confidentialité Implémentation 802.1X Les logiciels (clients) natifs Oui pour Linux TLS et TTLS Oui pour Windows PEAP Clients solution logiciels gratuits SecureW2 pour Windows XSupplicant et WPASupplicant pour Linux/Unix Solutions commerciales  comme vous le voulez.*

Authentification / Confidentialité Réseaux sans-fil ouverts Manifestations, colloques, séminaires ... Pas de contrôle pour une période et une zone définies Accès aux ressources du réseau filaire (imprimantes ...) Mise en place de filtres basés sur l'IP Accès VPN

Comment contrôler facilement l’accès au réseau pour les personnes de statut « visiteur »? Créer des comptes de type « visiteur » avec des mots de passe connus Pas très « raisonnable » Faire un contrôle sur adresse MAC Pas très sécurisé et « ingérable » Diffuser les clés WEP de façon confidentielle Le confidentiel ne le reste pas longtemps Il reste le 802.1X mais alors : 1) Il faut rentrer les données d’identification/authentification pour toutes les personnes « visiteurs »  vite ingérable. 2) Ou alors avoir une architecture de serveurs Radius interconnectés.

utilisateur (visiteur) serveur central RADIUS Architecture de serveurs Radius interconnectés utilisateur (visiteur) AP serveur RADIUS Rennes1 Serveur RADIUS Marseille1 LDAP Rennes 1 LDAP Marseille1 oussalah@marseille1.univ-mrs.fr Internet VLAN personnel VLAN visiteur serveur central RADIUS (Proxy) VLAN étudiant authentification data