La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

LAN Sans-Fil (Wireless LAN)

Publié parJean-Pascal Lafontaine Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "LAN Sans-Fil (Wireless LAN)"— Transcription de la présentation:

1 LAN Sans-Fil (Wireless LAN)
Introduction à la Sécurité LAN Sans-fil

2 Objectifs Décrire le besoin de sécurité dans les WLANs.
Décrire l'évolution des méthodes de sécurité des WLANs. Identifier les technologies communes d'authentification et de cryptage utilisées dans les WLANs. Expliquer les forces et les faiblesses des méthodes de sécurité utilisées dans les WLANs.

3 Besoin de Sécurité pour les WLANs
Vulnérabilités: - SSID visible - Filtrage MAC - Attaque DHCP - Attaques "Man-in-the middle" - Craquage WEP - Attaques "Initialization Vector " - Craquage Mot de passe - Attaques DoS La sécurité WLAN requiert: - Authentification: Approuve l'utilisateur - Cryptage: Assure la confidentialité des données qui traversent le réseau J'ai trouvé un autre service sans-fil

4 Evolution de la Sécurité WLAN

5 802.11 WEP WEP signifie Wired Equivalent Privacy
WEP est un standard IEEE optionnel pour le cryptage Les clés peuvent être statiques et partagées parmi plusieurs clients Utilise l'algorithme RC4 — Vulnérabilités connues Les clés peuvent être dynamiques et uniques pour chaque client (comme x) par session 1 RC4 Plain text Cipher text IV + key Cryptage stream

6 802.11 Authentication ouverte
Access Point A Access Point B Client Le Client transmet un "Probe request". Les points d'accès (A/B) transmettent un "Probe Response". Le Client évalue la réponse du point d'accès et sélectionne le meilleur. Le Client transmet une requête d'authentification vers le point d'accès sélectionné (A). Le point d'accès A confirme l'authentification et enregistre le Client. Le Client transmet une requête d'association vers le point d'accès sélectionné (A). Le point d'accès A confirme l'association et enregistre le Client.

7 802.11 Authentication avec clé partagée
Access Point A Access Point B Les étapes 1-3 sont les mêmes que pour l'authentification ouverte Client Le point d'accès transmet une réponse d'authentification contenant un texte "challenge" non crypté. Le Client crypte le texte "challenge" en utilisant une de ses clés WEP et le transmet au point d'accès (A). Le point d'accès A compare le texte "challenge" crypté avec sa copie. Si le texte est le même, le point d'accès autorisera le client sur le WLAN.

8 Sécurité 802.11 WEP avancée Cisco
Avancées Pré-standard Cisco Implémentés en 2001 et 2002 Authentification: - Protocoles 802.1x et Extensible Authentication Protocol (EAP) - Identifiants Utilisateur, "token" et Machine - Génération dynamique de clé de cryptage Cryptage: CKIP - CMIC

9 Sécurité 802.11 Avancée Authentification: Cryptage:
- Protocoles 802.1x and Extensible Authentication Protocol (EAP) - Identifiants Utilisateur, "token" et Machine - Génération dynamique de clé de cryptage - IEEE i Cryptage: - TKIP et MIC - Wi-Fi Protected Access (WPA) - Cryptage TKIP - WPA2 - Advanced Encryption Standard (AES)

10 Cryptage -TKIP et MIC TKIP: Hachage de clé pour des valeurs uniques par packet afin de se protéger des vulnérabilités WEP "initialization vector" MIC algorithme de Michael Rotation dans la diffusion des clés MIC: Fournit plus de protection que "Integrity Check Value" (ICV) en protégeant l'en-tête et la charge utile Protège contre les attaques "man-in-the-middle" ou "replay"

11 WPA2 et AES WPA2 offre: Gestion de clé authentifiée - Mécanismes de validation de clé pour des clés transmises en unicast ou broadcast. -TKIP est utilisé, ce qui pour WPA inclut des clés par paquet et MIC - IV Expansé (annule AirSnort) - Rotation de diffusion de clé Cryptage AES: bit block cipher - Algorithme plus robuste que RC4 - Requiert de nouvelles cartes radio sur les clients et les points d'accès car il demande plus de puissance CPU.

12 Présentation de l'authentification 802.1x
Le client sans-fil doit être authentifié avant d'obtenir l'accès au réseau. Extensible et interopérable: - Différentes méthodes ou types d'authentification EAP - Peut être utilisé avec de multiples algorithmes de cryptage - Dépend des capacités du client Supporté par Cisco depuis Décembre 2000

13 Avantages de l'authentification 802.1x
Authentification mutuelle entre le client et le serveur d'authentication (RADIUS) Clés de cryptage calculées après l'authentification Stratégie de contrôle centralisée

14 Protocoles d'authentification 802.1x et EAP
LEAP - EAP Cisco Wireless EAP-FAST EAP-TLS PEAP: PEAP-GTC PEAP-MSCHAPv2

15 Composants requis pour l'authentification 802.1x
Le serveur d'authentification est un serveur RADIUS avec des capacités EAP: - Cisco Secure ACS, Microsoft IAS, Meetinghouse Aegis - Service d'authentification local sur point d'accès Cisco - Peut utiliser la base de données RADIUS locale ou un server de base de données externe tel que Microsoft Active Directory ou RSA SecurID L"Authenticator" est un point d'accès avec capacité X Le "Supplicant" est un client avec capacité EAP: - Requiert un pilote avec capacité 802.1x - Requiert un "supplicant" EAP - disponible soit dans la carte client, natif dans le système d'exploitation ou dans un logiciel tierce-partie

16 LEAP Cisco Support du Client: Serveur RADIUS:
- Windows 98-XP-Vista, Windows CE, Macintosh OS 9.X ou 10.X et Linux Kernel 2.2 or 2.4 - Cisco Compatible Extensions Clients (CCXv1) Serveur RADIUS: - Cisco Secure ACS et Cisco Access Registrar - Meetinghouse Aegis - Interlink Merit Domaine Microsoft ou Active Directory (optionnel) pour l'authentification (Doit être au format base de données Microsoft) Support par les équipements: - Points d'accès et ponts Cisco autonomes - Points d'accès légers Cisco et contrôleurs WLAN - IP Phone 7920 sans-fil Cisco Unified Wireless (VoIP)

17 Authentification LEAP Cisco

18 EAP-FAST: Flexible Authentication via Secure Tunneling
Trois phases: - Phase 0 : L'identifiant d'accès protégé est généré (Dynamic PAC): - Identifiant partagé unique utilisé pour l'authentification mutuelle du client et du serveur - Associé à "User ID" spécifique et un "Authority ID" (Retire le besoin de PKI) - Phase 1: Un tunnel sécurisé est établi dans cette phase. - Phase 2: Le client est authentifié via le tunnel sécurisé.

19 Authentification EAP-FAST

20 EAP-TLS Support du Client: Exigences pour l'infrastructure:
- Windows 2000, XP, and Windows CE (supporté nativement) - Plateformes Non-Windows: Supplicants tierce-partie (Meetinghouse) - Certificat utilisateur requis par chaque client Exigences pour l'infrastructure: - EAP-TLS supporté par le serveur RADIUS server - Cisco Secure ACS, Cisco Access Registrar, Microsoft IAS, Aegis, Interlink - Le serveur RADIUS requiert un serveur autorité de certificat (PKI) Gestion de certificat: - Les certificats du client et du serveur RADIUS doivent être gérés.

21 Authentification EAP-TLS

22 EAP-PEAP Méthode d'authentification hybride:
- Authentification côté serveur avec TLS - Authentification côté client avec des types d'authentification EAP - EAP-GTC - EAP-MSCHAPv2 Les clients ne requièrent pas de certificat Le serveur RADIUS requiert un serveur de certificat: - Le serveur RADIUS a des capacités d'auto-génération de certificat. - Acheter un certificat de serveur par serveur chez une entité PKI. - Configurer un serveur PKI pour générer des certificats de serveur. Autorise l'utilisation de types d'authentification unidirectionnels: - Mots de passe à usage unique - Proxy vers LDAP, Unix, Microsoft Windows NT et Active Directory, Kerberos

23 Authentification EAP-PEAP

24 Accès Wi-Fi Protégé (WPA)
WPA a été introduit fin 2003 Implémentation pré-standard de IEEE i WLAN security Résout les problèmes connus de sécurité WEP Permet la mise à niveau logicielle sur des équipements sur des on équipements déployés afin d'améliorer la sécurité Composants de WPA: - Gestion de clé authentifiée en utilisant l'authentification 802.1x: EAP et l'authentification de clé pré-partagée - Gestion de clé transmise en unicast ou diffusée - Clé par paquet TKIP standardisée et protocole MIC - Expansion du "Initialization vector": 48 bits pour "initialization vector" - Mode de migration - Coexistence d'équipements WPA et non-WPA (implémentation optionnelle non requise pour la certification WPA)

25 Présentation de l'authentification 802
Présentation de l'authentification i et WPA et de la gestion de clé

26 Problèmes WPA WPA utilise TKIP lequel utilise l'algorithme de cryptage RC4 de WEP. WPA ne peut pas éliminer entièrement les défauts de conception de WEP. WPA est une solution d'attente. Une mise à jour logicielle est requise pour les clients et les points d'accès ce qui ne garantit pas que tous les constructeurs supportent la solution. Le support par le système d'exploitation ou un client "supplicant" est requis. WPA est susceptible d'être la cible de nouvelles attaques DoS. De nouvelles faiblesses de WPA peuvent être découvertes quand des clés pré-partagées sont utilisées.

27 IEEE 802.11i - WPA2 802.11i: WPA2: - Ratifié en Juin 2004
- Standardise: x pour l'authentification - Le cryptage AES - La gestion de clé WPA2: - Supplément à WPA “version 1” - Interopérable avec l'implémentation Wi-FI Alliance de i. - Le cryptage AES peut être utilisé - Cachage de clé proactif - Test tierce-partie et certification pour la compatibilité WLAN

28 Systèmes de Détection d'Intrusion Sans-fil
Résout les vulnérabilités liées au système RF: - Détecte, localise et neutralise le équipements cachés - Détecte et gère les interférences RF - Détecte si la reconnaissance est possible Résout les vulnérabilités liées aux standards: - Détecte les attaques sur l'administration - Applique avec rigueur les stratégies de sécurité Fonctionnalité complémentaire: - Expertise - Rapport de conformité

29 Modes WPA et WPA2 WPA WPA2 Mode Entreprise
(Commerce, éducation, gouvernement) Authentification: IEEE 802.1x/EAP Cryptage: TKIP/MIC Cryptage: AES-CCMP Mode Personnel (Agence, résidence) Authentification: PSK

30 Problèmes WPA2 Le client (supplicant) doit avoir un pilote WPA2 qui supporte EAP. Le serveur RADIUS doit comprendre EAP. PEAP transporte les types EAP dans un canal sécurisé par TLS et requiert un serveur de certificat. WPA2 demande plus de ressources de calcul avec un cryptage AES. WPA2 peut demander un nouveau matériel WLAN pour supporter le cryptage AES.

31 Résumé Avoir l'accroissement de la confiance dans les WLANs, les échanges commerciaux sont plus impactés par la sécurité réseau. Les administrateurs de réseau ont besoin de fournir aux utilisateurs de la mobilité sans pour cela offrir l'accès, au réseau ou à l'information transmise sur le réseau sans-fil, à des intrus. L'authentication et le cryptage sont les deux fonctions primaires pour sécuriser le WLAN. Tandis que le cryptage utilisant des clés WEP statiques était vulnérable, les WLANs peuvent être configurés pour supporter les standard EAP et 802.1x comprenant LEAP, EAP-FAST, EAP-TLS, PEAP, WPA et WPA2.

32

Télécharger ppt "LAN Sans-Fil (Wireless LAN)"

Présentations similaires

Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY

Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
SRT 2 NTP. Nécessité ● Les ordinateurs utilisent des horloges à quartz – Peu de précision – Tendance à dériver – Parfois plusieurs secondes par jour.

SRT 2 NTP. Nécessité ● Les ordinateurs utilisent des horloges à quartz – Peu de précision – Tendance à dériver – Parfois plusieurs secondes par jour.
Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.

Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.
SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.

SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.
1 Impacts organisationnels du déploiement des certificats de personnes TCS Jean-François GUEZOU

1 Impacts organisationnels du déploiement des certificats de personnes TCS Jean-François GUEZOU
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Séminaire EOLE Beaune 25-26 Septembre 2007 HORUS.

Séminaire EOLE Beaune Septembre 2007 HORUS.
Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.

Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
Module 14 : Installation et configuration des services Terminal Server.

Module 14 : Installation et configuration des services Terminal Server.
ARCHITECTURE RESEAUX.

ARCHITECTURE RESEAUX.
Sécurité Réseau Alain AINA AFNOG 2009.

Sécurité Réseau Alain AINA AFNOG 2009.
La technologie des mémoires

La technologie des mémoires
Principes de sécurité Ref. : SP rev A

Principes de sécurité Ref. : SP rev A
Chapitre10 Prise en charge des utilisateurs distants

Chapitre10 Prise en charge des utilisateurs distants
FARAH.Z Cours sécurité1 /2016

FARAH.Z "Cours sécurité1" /2016
Sécurité - Quiz ccnp_cch.

Sécurité - Quiz ccnp_cch.
Technologie wifi.

Technologie wifi.

Présentations similaires

Annonces Google