Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parMélanie Carrere Modifié depuis plus de 11 années
1
Client Mac dans un réseau Wifi d’entreprise sécurisé
Pascal Sauliere – Consultant Principal Sécurité
2
Sommaire Sécurité Wi-fi d’entreprise Architecture type
Protocoles mis en jeu Composants Windows mis en jeu Démonstration : intégration d’un client Mac Requête et récupération d’un certificat Authentification
3
État de l’art : 802.11i Personnel : WPA-PSK, WPA2-PSK
Authentification : clé partagée dérivée d’une passphrase Chiffrement : TKIP (RC4) ou AES Entreprise : WPA, WPA2 Authentification « couche 2 » : 802.1x, RADIUS PEAP MSCHAPv2 – Mots de passe (+ certificat du serveur RADIUS) EAP-TLS – Certificats (+ certificat du serveur RADIUS) Chiffrement : TKIP (RC4), AES
4
Architecture entreprise type
Authentification : 802.1x Serveur d’authentification RADIUS Base de comptes Authentificateur : point d’accès Wi-fi compatible 802.1x Client « supplicant » EAP RADIUS
5
IEEE 802.1x (2001) Protocole indépendant du support physique (Ethernet, WiFi) Point d’accès compatible 802.1x Pas de contrainte sur les cartes réseau sans fil Authentification avec EAP (RFC 3748) Extensible Authentication Protocol – IETF Choix du protocole d’authentification (méthode EAP) L’AP ne s’occupe pas des méthodes EAP Autorisations avec RADIUS (RFC 2865) Chiffrement du trafic : Gestion dynamique des clés
6
Méthodes EAP utilisées
EAP-TLS (RFC 2716) Authentification TLS Certificats serveur et clients : nécessite une PKI Détermination des clés PEAP (Protected EAP) : Protège (TLS) le protocole d’authentification, même faible (MS CHAP v2) Certificat Serveur uniquement
7
Démo : environnement technique
1 Point d’accès : Cisco AP 1200 1 Serveur : Windows Server 2003 SP2 Base de comptes : Active Directory RADIUS : Internet Authentication Service (IAS) PKI : Certificate Services (CertSrv) 802.1x, EAP-TLS : nécessite un certificat pour chaque client. Chiffrement WPA, TKIP, clés gérées et renouvelées automatiquement après authentification 1 Client : Mac OS (Leopard)
8
Démonstration Préparation d’une requête de certificat pour le client Mac Envoi de la requête au serveur de certificats et récupération du certificat Installation du certificat client Connexion au réseau Wi-fi avec authentification par le certificat
9
Démo – 1ère étape Préparer une requête de certificat dans un fichier request.txt sur le bureau de l’utilisateur. Caractéristiques du certificat demandé : Clé : RSA 1024 bits Utilisation : signature et chiffrement Signature du certificat : RSA avec SHA-1 Informations sur le sujet
10
Démo – 2ème étape Envoi de la requête au serveur de certificats et récupération du certificat Depuis une machine Windows, avec IE : Envoyer la requête (copier-coller) Récupérer le certificat utilisateur avec le certificat de l’autorité de certification
11
Démo – 3ème étape Installation du certificat client
Importer le fichier contenant les certificats dans le « trousseau » (keychain) de l’utilisateur
12
Démo – 4ème étape Connexion au réseau Wi-fi avec authentification par le certificat Permettre au client EAP d’accéder au certificat dans le trousseau Vérifier adresse IP (DHCP) et connectivité
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.