Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parJudith Éthier Modifié depuis plus de 6 années
1
Configuration des suites de Chiffrement et WEP
ccnp_cch ccnp_cch
2
Sommaire • Introduction • Comprendre les suites de chiffrement et WEP
• Configurer les suites de chiffrement et WEP - Création des clés WEP Valider les suites de chiffrement et WEP - Activer et désactiver la diffusion de rotation de clés ccnp_cch
3
Comprendre les suites de chiffrement et WEP
Introduction Ce document décrit comment configurer les suites de chiffrement pour utiliser WPA et la gestion de clés authentifiée CCKM, WEP (Wired Equivalent Privacy), les caractéris- tiques WEP incluant AES, MIC (Message Integrity Check), TKIP (Temporal Key Integrity Protocol) et la diffusion de rotation de clés Ce document contient ces deux sections: Comprendre les suites de chiffrement et WEP Configurer les suites de chiffrement et WEP Comprendre les suites de chiffrement et WEP Cette section décrit comment WEP et le suites de chiffrement protègent le trafic sur votre LAN sans-fil. Comme tout le monde peut écouter les stations radio, tout équipement de réseau sans-fil dans l'espace d'un point d'accès peut recevoir le signal radio transmis par ce point d'accès. Comme WEP est la première ligne de défense contre les intrusions, Cisco recommande que vous utilisiez un cryptage total sur votre réseau sans-fil. Le cryptage WEP code la communication entre le point d'accès et les équipements clients pour garder la communication privée. Le client et le point d'accès utilisent la même clé WEP pour crypter et décrypter les signaux radio. Les clés WEP cryptent les messages unicast et multicast. Les messages unicast sont adressés à un seul équipe- ment réseau. Les messages multicast sont adressés à plusieurs équipements sur le réseau. L'authentification EAP (Extensible Authentication Protocol) appelé aussi authentifica- tion 802.1X fournit des clés WEP dynamiques aux utilisateurs sans-fil. Les clés WEP dynamiques sont plus sécurisées que les clés statiques ou des clés qui ne changent pas. Si un intrus reçoit passivement assez de paquets cryptés avec la même clé WEP, l'intrus peut effectuer un calcul pour apprendre la clé et l'utiliser pour rejoindre votre réseau. Parce qu'elles changent fréquemment les clés WEP dynamiques évitent que les intrus puissent faire des calculs pour apprendre la clé. Les suites de chiffrement sont des ensembles d'algorithmes de cryptage et d'intégrité connus pour protéger les communications radio sur votre réseau sans-fil. Vous devez utiliser une suite de chiffrement pour activer WPA (Wi-Fi Protected Access) ou CCKM (Cisco Controlled Key Management). Comme les suites de chiffrement fournissent la protection de WEP tout en autorisant aussi la gestion authentifiée de clé, Cisco recom- mande que vous activiez WEP en utilisant la commande encryption mode cipher de la CLI ou en utilisant le menu déroulant de l'interface web. Les suites de chiffrement qui contiennent TKIP fournissent la meilleure sécurité pour votre LAN sans-fil et les suites de chiffrement qui contiennent uniquement WEP sont les moins sécurisées. ccnp_cch
4
Ces fonctionnalités de sécurité protègent le trafic des données sur votre LAN sans-fil: AES-CCMP - Basé sur AES (Advanced Standard Encryption) défini par le NIST (National Institute of Standards and Technology) , AES est un chiffrement par bloc symétrique qui peut crypter et décrypter des données en utilisant des clés de 128, et 256 bits. AES-CCMP est supérieur au cryptage WEP et il est défini par le standard IEEE i Note: Les points d'accès Cisco Aironet Series 1130 et 1230 supportent WPA2. Les points d'accès Cisco Aironet Series 1100, 1200, 1300 radio g supportent WPA2 avec une mise à niveau logicielle vers la release 12.3(2)JA ou suivantes Note: Les modules radio Cisco Aironet Séries 1200 avec les numéros de série AIR-RM112A et AIR-RM122A supportent WPA2 ou AES. WEP (Wired Equivalent Privacy) - WEP est un standard d'algorithme de cryptage conçu à l'origine pour fournir à votre réseau sans-fil le même niveau de sécurité que celui d'un LAN câblé. toutefois la construction de base de WEP est déficiente et attaquant peut compromettre la sécurité avec peu d'effort. TKIP (Temporal Key Integrity Protocol) - TKIP est une suite d'algorithme améliorant WEP et qui a été conçu pour exécuter la meilleure sécurité possible sur du matériel classique construit pour opérer avec WEP. TKIP ajoute quatre améliorations à WEP Une fonction de mélange de clé par paquet pour tenir en échec les attaques de clés faibles Une nouvelle méthode de séquencement de IV pour détecter les attaques de réutilisation de clé MIC (Message Integrity Check) appelé Michael, pour détecter des transformations telles que la modification de bits et l'altération de source et de la destination du paquet Une extension de l'espace de IV pour éliminer virtuellement la nécessité de chan ger de clé. CKIP (Cisco Key Integrity Protocol) - Technique de permutation de clé WEP Cisco basé sur un algorithme récent présenté par le groupe sécurité IEEE i. CMIC (Cisco Message Integrity Check) - Comme MIC TKIP, la vérification d'intégrité de message Cisco est conçue pour détecter les attaques d'intégrité. Diffusion de rotation de clé (connue également comme Group Key update) - La diffu sion de rotation de clés permet au point d'accès de générer le meilleur groupe de clés aléatoires et de mettre à jour périodiquement tous les clients avec des capacités de gestion de clés. WPA (Wi-Fi Protected Access) fournit également des options sup plémentaires pour les mises à jour de groupe de clés Note: Les équipements clients qui utilisent WEP statique ne peuvent pas utiliser le point d'accès quand vous validez la diffusion de rotation de clés. Quand vous validez la diffusion de rotation de clés, seuls les équipements clients sans-fil utilisant l'au thentification 802.1X (tel que LEAP, EAP-TLS ou PEAP) peuvent utiliser le point d'accès. ccnp_cch
5
Configurer les suites de chiffrement et WEP
Ces sections décrivent comment configurer les suites de chiffrement, WEP et des fonc- tionnalités WEP traditionnelles telles que MIC, TKIP et la diffusion de rotation de clés. Création de clés WEP Valider les suites de chiffrement et WEP Valider et dévalider la diffusion de rotation de clés Note: WEP, TKIP, MIC et la diffusion de rotation de clés sont dévalidés par défaut. Création de clés WEP Note: Vous devez configurer des clés WEP statiques si votre point d'accès a besoin de supporter des équipements clients qui utilisent WEP statique. Si tous les équipements clients qui s'associent au point d'accès utilisent la gestion de clés (WPA, CCKM ou l'authentification 802.1x) vous n'avez pas besoin de configurer des clés WEP statiques. En débutant en mode EXEC privilégié, suivez ces étapes pour créer une clé WEP et fixer des propriétés de clés. Commande But configure terminal Entre en mode de configuration global. interface dot11radio { 0 | 1} Entre en mode de configuration interface pour l'interface radio. L'interface radio 0 est l'inter- face radio 2.4 GHz et l'interface radio 1 est l'interface radio 5 GHz. encryption [vlan vlan-id] key 1-4 size { 40 | 128 } encryption-key [ 0 | 7 ] [transmit-key] Crée une clé WEP et fixe ses propriétés. • (Optionnel) Sélectionnez le VLAN pour lequel vous voulez créer une clé. • Nommer le slot dans lequel vous voulez que cette clé WEP soit placée. Vous pouvez affec- ter jusqu'à 4 clés WEP à chaque VLAN. • Entrez la clé et fixer la taille de la clé soit 40 bits ou 128 bits. Une clé de 40 contient 10 caractères hexadécimaux; une clé de 128 bits contient 26 caractères hexadécimaux. • (Optionnel) Spécifie si la clé est cryptée (7) ou non (0). • (Optionnel) Fixe cette clé comme clé transmi- se. La clé du slot 1 est la clé transmise par défaut. ccnp_cch
6
ccnp_cch Commande But Configuration de sécurité
Note: Si vous configurez du WEP statique avec MIC ou CMIC, le point d'accès et les clients associés doivent utiliser la même clé et le slot de la clé doit être le même sur le point d'accès et les clients. Note: Utiliser les fonctionnalités de sécurité telles la gestion de authentifiée de clés peut limiter les configurations de clés WEP. Voir la section "Restrictions pour les clés WEP" pour une liste des fonctionnalités qui impactent les clés WEP. end Retour en mode EXEC privilégié. copy running-config startup-config (Optionnel) Sauvegarde la configuration courante. Cet exemple montre comment créer une clé WEP de 128 bits dans le slot 3 pour le VLAN 22 et indique que c'est la clé transmise. ap1200# configure terminal ap1200(config)# interface dot11radio 0 ap1200(config-if)# encryption vlan 22 key 3 size transmit-key ap1200(config-if)# end Restrictions des clés WEP Le tableau suivant liste les restrictions des clés WEP basées sur votre configuration de sécurité. Configuration de sécurité Restriction pour la clé WEP Gestion de clé authentifiée CCKM ou WPA Cannot configure a WEP key in key slot 1 Authentification LEAP ou EAP Cannot configure a WEP key in key slot 4 Suite de chiffrement WEP 40 bits Cannot configure a 128-bit key Suite de chiffrement WEP 128 bits Cannot configure a 40-bit key Suite de chiffrement avec TKIP Cannot configure any WEP keys Suite de chiffrement avec TKIP et WEP 40 bits ou WEP 128 bits Cannot configure a WEP key in key slot 1 and 4 WEP statique avec MIC ou CMIC Le point d'accès et les équipements clients doivent utiliser la même clé WEP et le slot doit être le même sur le point même sur le point d'accès et les clients. ccnp_cch
7
ccnp_cch Configuration de sécurité Restriction pour la clé WEP
Diffusion de rotation de clés Les clés des slots 2 et 3 sont écrasées par les clés la diffusion de rotation de clés. Note: Les équipements clients qui utilisent WEP statique ne peuvent pas utiliser le point d'accès quand vous validez la rotation de diffusion de clés. Quand vous validez la diffusion de rotation de clés, seuls les équipements clients sans-fil qui utilisent l'authentification 802.1X (tels que LEAP, EAP-TLS ou PEAP) peuvent utiliser le point d'accès. Exemple de configuration de clé WEP Le tableau suivant montre un exemple de configuration de clé WEP qui fonctionne pour un point d'accès et un équipement associé. Slot Point d'Accès Equipement Associé Transmise Contenu de clé 1 x abcdef __ 2 fedcba 3 non configurée 4 FEDCBA Parce que la clé WEP 1 du point d'accès est sélectionnée comme clé transmise, la clé WEP 1 de l'autre équipement doit avoir le même contenu. La clé WEP 4 de l'autre équi- pement est configurée mais comme elle n'est pas sélectionnée comme clé transmise, la clé WEP 4 du point d'accès n'a pas besoin d'être configurée. Note: Si vous validez MIC mais que vous utilisez du WEP statique (vous n'avez pas va- lidé le type d'authentification EAP), le point d'accès et tous les équipements avec les- quels il communique doivent utiliser la même clé WEP pour transmettre les données. Par exemple si le point d'accès avec MIC validé utilise la clé du slot 1 comme clé de transmission, un équipement client associé au point d'accès doit utiliser la même clé dans le slot 1 et la clé dans le slot 1 du client doit être sélectionnée comme clé de transmission. ccnp_cch
8
ccnp_cch Valider les suites de chiffrement WEP
En débutant en mode EXEC privilégié, suivez ces étapes pour valider une suite de chif- frement. Commande But configure terminal Entre en mode de configuration global. interface dot11radio { 0 | 1} Entre en mode de configuration interface pour l'interface radio. L'interface radio 0 est l'inter- face radio 2.4 GHz et l'interface radio 1 est l'interface radio 5 GHz. encryption [vlan vlan-id] mode ciphers {[aes-ccm | ckip | cmic | ckip-cmic | tkip]} {[wep128 | wep40]} Valide une suite de chiffrement contenant la protection WEP dont vous avez besoin. Le ta- bleau page suivante liste des cas types pour sélectionner le type de gestion de clé authentifiée que vous configurez. • (Optionnel) Sélectionnez le VLAN pour lequel vous voulez valider WEP et le fonctionnalités WEP. • Fixez les options de chiffrement et le niveau de WEP. Vous pouvez combiner TKIP WEP bits ou WEP 40 bits. Note: Si vous validez une suite de chiffrement avec deux éléments ( tels que TKIP et WEP 128 bits), le second chiffrement devient le groupe de chiffrement. Note: Si vous configurez ckip, cmic ou ckip-cmic, vous devez également valider les extensions Aironet. La commande pour valider les extensions Aironet est dot11 extension aironet. Note: Vous pouvez également utiliser la com- mande encryption mode wep pour configurer WEP statique . Toutefois vous devez utiliser le mode de cryptage wep seulement si aucun des clients qui s'associent au point d'accès sont ca- pable de gestion de clé. Note: Quand vous configurez le chiffrement TKIP (pas TKIP + WEP 128 ou TKIP + WEP 40) pour un SSID, le SSID doit utiliser WPA ou la gestion de clé CCKM. L'authentification du client échoue sur un SSID qui utilise le chiffrement TKIP sans validation de WPA ou de la gestion de clé CCKM. end Retour en mode EXEC privilégié. copy running-config startup-config (Optionnel) Sauvegarde la configuration courante. ccnp_cch
9
Utilisez la forme no de la commande de cryptage pour désactiver une suite de chiffrement.
Cet exemple configure une suite de chiffrement pour le VLAN 22 et active CKIP, CMIC et WEP 128 bits. ap1200# configure terminal ap1200(config)# interface dot11radio 0 ap1200(config-if)# encryption vlan 22 mode ciphers ckip-cmic wep128 ap1200(config-if)# exit Correspondances entre les suites de chiffrement avec WPA et CCKM Si vous configurez votre point d'accès pour utiliser WPA ou la gestion de clé authentifiée CCKM, vous devez sélectionner une suite de chiffrement compatible avec le type de clé authentifiée. Le tableau suivant liste les suites de chiffrement qui ont compatibles avec WPA et CCKM. Types de gestion authentifiée de clé Suites de chiffrement compatibles CCKM encryption mode ciphers wep128 • encryption mode ciphers wep40 • encryption mode ciphers ckip • encryption mode ciphers cmic • encryption mode ciphers ckip-cmic • encryption mode ciphers tkip WPA • encryption mode ciphers tkip wep 128 • encryption mode ciphers tkip wep 40 Note: Quand vous configurez le chiffrement TKIP (pas TKIP + WEP 128 ou TKIP + WEP 40) pour un SSID, le SSID doit utiliser WPA ou la gestion de clé CCKM. L'authen- tification du client échoue sur un SSID qui utilise le chiffrement TKIP sans valider WPA ou la gestion de clé CCKM. ccnp_cch
10
Activer ou désactiver la diffusion de rotation de clé La diffusion de rotation de rotation de clé est désactivée par défaut. Note: Les équipements clients utilisant WEP statique ne peuvent pas utiliser le point d'accès quand vous activez la diffusion de rotation de clé. Quand vous activez la diffu- sion de rotation de clé, seuls les équipements clients sans-fil utilisant l'authentification X ( telle que LEAP, EAP-TLS ou PEAP) peuvent utiliser le point d'accès. En débutant en mode EXEC privilégié, suivez ces étapes pour activer la diffusion de rotation de clé. Commande But configure terminal Entre en mode de configuration global. interface dot11radio { 0 | 1} Entre en mode de configuration interface pour l'interface radio. L'interface radio 0 est l'interface radio 2.4 GHz et l'interface radio 1 est l'interface radio 5 GHz. broadcast-key change seconds [ vlan vlan-id ] [ membership-termination ] [ capability-change ] Valide la diffusion de rotation de clé. • Entrez le nombre de secondes entre chaque rota- tion de clé diffusée. • (Optionnel) Entrez le VLAN pour lequel vous voulez activer la diffusion de rotation de clé. • (Optionnel) Si vous activez la gestion de clé authen- tifiée WPA, vous pouvez ajouter des cas pour les- quels le point d'accès change et distribue le groupe de clés WPA. - Arrêt d'appartenance : Le point d'accès génère et distribue un nouveau groupe de clés quand tout équipement authentifié se désassocie du point d'accès. Cette fonctionnalité protège la confidentialité du groupe de clés pour les clients associés. Toutefois cela peut générer du trafic supplémentaires si le clients de votre réseau sont très mobiles. - Capacité de changement: Le point d'accès génè re et distribue un groupe de clés dynamique quand le dernier client sans gestion de clé (WEP statique) se désassocie et distribue la clé WEP statique configurée quand le premier client sans gestion de clé s'authentifie. Dans le mode de mi- gration WPA, cette fonctionnalité améliore de manière très significative la sécurité des clients avec capacité de gestion de clé quand il n'y a pas de clients WEP-statique associés au point d'accès. end Retour en mode EXEC privilégié. copy running-config startup-config (Optionnel) Sauvegarde la configuration courante. ccnp_cch
11
Utilisez la forme no de la commande pour désactiver la diffusion de rotation de clé. Cet exemple active la diffusion de rotation de clé sur le VLAN 22 et configure l'intervalle de rotation à 300 secondes. ap1200# configure terminal ap1200(config)# interface dot11radio 0 ap1200(config-if)# broadcast-key vlan 22 change 300 ap1200(config-if)# end ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.