mardi 25 mars 2014 1 & CODIFOR-AFPI 1 Les réseaux sans fil & La sécurité, problématiques actuelles des entreprises et collectivités.

Présentation au sujet: "mardi 25 mars 2014 1 & CODIFOR-AFPI 1 Les réseaux sans fil & La sécurité, problématiques actuelles des entreprises et collectivités."— Transcription de la présentation:

1

2 mardi 25 mars 2014 1 & CODIFOR-AFPI 1 Les réseaux sans fil & La sécurité, problématiques actuelles des entreprises et collectivités

3 mardi 25 mars 2014 2 & CODIFOR-AFPI 2 Un réseau sans fil (en anglais wireless network) est, comme son nom l'indique, un réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grâce aux réseaux sans fils, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité".

4 mardi 25 mars 2014 3 & CODIFOR-AFPI 3 Les réseaux sans fils sont basés sur une liaison utilisant des ondes radio-électriques (radio et infrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisée ainsi que le débit et la portée des transmissions. Les réseaux sans fils permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres et ne demande pas de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux filaires. En contrepartie se pose le problème de la réglementation relatives aux transmissions radio-électriques. De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en clair. Il est donc nécessaire de mettre en place les dispositions nécessaires de manière à assurer une confidentialité des données circulant en sans fils.

5 mardi 25 mars 2014 4 & CODIFOR-AFPI 4 WPAN : Wireless Personal Area Networks Réseaux sans fil de faible portée (quelques dizaines de mètres) qui sont des réseaux à usage personnel. WLAN : Wireless Lan Area Networks Réseau à plus large portée (une centaine de mètres) permettant dinterconnecter plusieurs utilisateurs. Equivalent du 802.3 filaire. WMAN : Wireless Metropolitan Area Networks Réseau permettant de relier les opérateurs de téléphonie à leurs clients sur une distance de 4 à 10 kilomètres. Boucle Locale Radio WWAN : Wireless Wide Area Networks Réseaux sans fil les plus utilisés aujourdhui. GSM, GPRS et UMTS Les différents réseaux sans fil

6 mardi 25 mars 2014 5 & CODIFOR-AFPI 5 Wireless Local Area Network Wireless Personal Area Network Wireless Wide Area Network Les réseaux sans fil : une technologie globale GPRS GSM UMTS IEEE 802.11a/b/g/n IEEE 802.15.1: IEEE 802.16 & 802.20

7 mardi 25 mars 2014 6 & CODIFOR-AFPI 6 Les différentes normes WiFi La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbps. Des révisions ont été apportées à la norme originale afin d'optimiser le débit (c'est le cas des normes 802.11a, 802.11b et 802.11g, appelées normes 802.11 physiques) ou bien préciser des éléments afin d'assurer une meilleure sécurité ou une meilleure interopérabilité. Les normes 802.11 propres aux réseau Ethernet sans fils sont édictées par l'IEEE(Institute of Electrical and Electronics Engineers). Ils autorisent dans la bande des 2.4Ghz avec des puissances d'émission de 10 à 100mw selon les canaux des débits théoriques maximum: de 11 Mbps en 802.11b. de 54 Mbps en 802.11g. Le 802.11a opère dans la bande des 5Ghz avec un débit jusqu'à 54 Mbps.

8 mardi 25 mars 2014 7 & CODIFOR-AFPI 7 Choisir une technologie de WLAN LIEEE a créé le groupe 802.11 en 1997 pour standardiser lensemble des transmissions sans fils. Aujourdhui plusieurs standards ont été créés. Nous pouvons les classer en deux catégories : Les normes complètes de transmissions : 802.11a : transmission à 54Mb/s, fréquence 5GHz 802.11b : transmission à 11Mb/s, fréquence 2,4GHz 802.11g : transmission à 54Mb/s, fréquence à 2,4GHz Les normes complémentaires pour ajouter des fonctionnalités : 802.11e : Qualité de service sur le WLAN 802.11f : Protocole de communication entre AP pour le roaming 802.11i : La sécurité sur le WLAN

9 mardi 25 mars 2014 8 & CODIFOR-AFPI 8 Nom de la normeNomDescription 802.11aWifi5La norme 802.11a permet d'obtenir un haut débit (54 Mbps théoriques, 30 Mbps réels). Le norme 802.11a spécifie 8 canaux radio dans la bande de fréquence des 5 GHz. 802.11bWifiLa norme 802.11b est la norme la plus répandue actuellement. Elle propose un débit théorique de 11 Mbps (6 Mbps rééls) avec une portée pouvant aller jusqu'à 300 mètres dans un environnement dégagé. La plage de fréquence utilisée est la bande des 2.4 GHz, avec 3 canaux radio disponibles. 802.11gLa norme 802.11g offrira un haut débit (54 Mbps théoriques, 30 Mbps réels) sur la bande de fréquence des 2.4 GHz. Cette norme vient d'être validée. La norme 802.11g a une compatibilité ascendante avec la norme b.

10 mardi 25 mars 2014 9 & CODIFOR-AFPI 9 802.11b802.11g802.11a Fréquence2.4Ghz 5Ghz Bande de Fréquences 2,4-2,4835Ghz 5,150-5,725Ghz Les débits11 Mbits/s théorique 54 Mbits/s théorique Nombre de Bandes de fréquences (canaux) 13 19 Le nombre de bandes de fréquences sans recouvrement 338 compatibilitéaucune802.11baucune

11 mardi 25 mars 2014 10 & CODIFOR-AFPI 10 Choisir une technologie de WLAN Standard Ratifié en 2002 Fonctionne sur la gamme des 5GHz Diminution des interférences 8 canaux distincts Débit maximum 54 Mb/s Bonne norme pour supporter les applications multimédia. Bonne résistance aux perturbations Rayon de couverture de 50m Forte consommation électrique Ratifié en Juin 2003 Fonctionne sur la gamme des 2,4GHz 3 canaux distincts Rayon de couverture de 100m Un débit maximum de 54 Mb/s Beaucoup plus de matériel disponible Compatible avec le 802.11b (11Mbs) Risques dinterférences important 802.11a802.11b/g

12 mardi 25 mars 2014 11 & CODIFOR-AFPI Les lois de la radio 11 Débit plus grand= Couverture plus faible Puissance démission élevée= Couverture plus grande, mais durée de vie des batteries plus faible Fréquences radio élevées= Meilleur débit, + sensible aux obstacles. => couverture plus faible

13 mardi 25 mars 2014 12 & CODIFOR-AFPI 12 La réglementation Française Les réseaux radios en France sont réglementés par lACERP: Cest cet organisme qui attribue les fréquences aux différents technologies et aux différents utilisateurs www.arcep.fr Pour les réseaux radio (RLAN ou WLAN), les fréquences ne sont pas attribuées personnellement. La bande de fréquence des 2,4Ghz (2400 MHz à 2483,5MHz) et des 5Ghz (5150MHz à 5350 MHz) sont réservées aux RLAN

14 mardi 25 mars 2014 13 & CODIFOR-AFPI La réglementation française pour la bande des 2.4GHz 13 Pour les WLANs : Ils sont autorisés : à lintérieur des bâtiments avec une puissance maximale de 100mW sur toute la bande 2400MHz-2483.5MHz. à lextérieur des bâtiments avec une puissance maximale de 100mW sur la partie 2400-2454MHz et avec une puissance maximale de 10mW sur la partie 2454- 2483.5MHz.

15 mardi 25 mars 2014 14 & CODIFOR-AFPI 14 Utilisation de la bande 2,4GHz (802.11b/g) A lintérieur Puissance maximale : 100 mW 2400 MHz canal 1 à 13 2483,5 MHz A lextérieur Puissance maximale : 100 mW 2400 MHz canal 1 à 7 2483,5 MHz2445MHz Puissance maximale : 10 mW, 100mW possible après accord sur propriété privé Le 802.11b/g autorisé à lintérieur en France !!! Le 802.1b/g autorisé à lextérieur en France !!!

16 mardi 25 mars 2014 15 & CODIFOR-AFPI 15 Utilisation de la bande des 5GHz (802.11a) Utilisation à lintérieur des bâtiments Puissance max : 200mW 5150 MHz5250 MHz 200mW avec DFS et TPC, 100mW avec DFS uniquement 5350 MHz5470 MHz Impossible 5725MHz Utilisation à lextérieur des bâtiments Impossible 5150 MHz 5350 MHz5470 MHz Impossible 5725MHz TPC : Contrôle de la puissance démission DFS : Sélection automatique de la fréquence Le 802.11a autorisé à lintérieur en France !!! Pas de 802.11a en extérieur pour la France !!!

17 mardi 25 mars 2014 16 & CODIFOR-AFPI Un point sur le MIMO 16 Avec le MIMO, on décide de ne plus envoyer un unique signal mais d'utiliser plusieurs antennes pour envoyer plusieurs signaux. Selon le fabricant de puces auquel font appel les constructeurs de périphériques Wifi, la technologie diffère quelque peu. Les signaux multiples peuvent tous être envoyés sur le même canal, dans des directions différentes, pour profiter d'un effet de « superposition » des signaux et augmenter ainsi portée et débits. Il est également possible d'envoyer des signaux sur plusieurs plages de fréquence proches les unes des autres, dans des directions différentes.

18 mardi 25 mars 2014 17 & CODIFOR-AFPI 17

19 mardi 25 mars 2014 18 & CODIFOR-AFPI 18 Dans les deux cas, une puce se charge de décomposer le signal pour préparer cette émission multiple. En empruntant différents chemins, ces signaux multiples permettent d'optimiser la transmission globale. Au niveau de la réception, la puce se charge de récupérer les différents signaux et recompose le flux de données initial. Les puces en question sont censées être capables de gérer dynamiquement le chemin emprunté par les ondes radio pour déterminer en permanence la combinaison qui permettra d'assurer la meilleure transmission possible. Voilà pourquoi les périphériques MIMO sont dotés de plusieurs antennes.

20 mardi 25 mars 2014 19 & CODIFOR-AFPI 19

21 mardi 25 mars 2014 20 & CODIFOR-AFPI 20 Les équipements WiFi Les adaptateurs sans fil ou cartes d'accès En anglais wireless adapters ou network interface controller, noté NIC. Il s'agit d'une carte réseau à la norme 802.11 permettant à une machine de se connecter à un réseau sans fil. Les adaptateurs WiFi sont disponibles dans de nombreux formats (carte PCI, carte PCMCIA, adaptateur USB, carte compactflash,...). On appelle station tout équipement possédant une telle carte. A noter que les composants Wi-Fi deviennent des standards sur les portables (label Centrino d'Intel)

22 mardi 25 mars 2014 21 & CODIFOR-AFPI 21 Les équipements WiFi Les points d'accès Notés AP pour Access point, parfois appelés bornes sans fil, permettant de donner un accès au réseau filaire (auquel il est raccordé) aux différentes stations avoisinantes équipées de cartes WiFi. Cette sorte de hub est l'élément nécessaire pour déployer un réseau centralisé en mode infrastructure. Certains modèles proposent des fonctions de modem ADSL et comprennent plus ou moins de fonctions comme un pare-feu.

23 mardi 25 mars 2014 22 & CODIFOR-AFPI 22 MISE EN OEUVRE DU Wi-FI

24 mardi 25 mars 2014 23 & CODIFOR-AFPI 23 Le mode infrastructure En mode infrastructure, chaque ordinateur station (notée STA) se connecte à un point d'accès via une liaison sans fil. L'ensemble formé par le point d'accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set, noté BSS) et constitue une cellule. Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il s'agit généralement du mode par défaut des cartes 802.11b.

25 mardi 25 mars 2014 24 & CODIFOR-AFPI 24 Mode Infrastructure (2/2)

26 mardi 25 mars 2014 25 & CODIFOR-AFPI 25 Mode Infrastructure (1/2)

27 mardi 25 mars 2014 26 & CODIFOR-AFPI 26 Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution (DS) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil ! Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ESS, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais roaming)

28 mardi 25 mars 2014 27 & CODIFOR-AFPI 27 La communication avec le point d'accès En effet chaque point d'accès diffuse régulièrement (à raison d'un envoi toutes les 0.1 secondes environ) une trame balise (nommée beacon en anglais) donnant des informations sur son BSSID, ses caractéristiques et éventuellement son ESSID. L'ESSID est automatiquement diffusé par défaut, mais il est possible (et recommandé) de désactiver cette option. A chaque requête de sondage reçue, le point d'accès vérifie l'ESSID et la demande de débit présents dans la trame balise. Si l'ESSID correspond à celui du point d'accès, ce dernier envoie une réponse contenant des informations sur sa charge et des données de synchronisation. La station recevant la réponse peut ainsi constater la qualité du signal émis par le point d'accès afin de juger de la distance à laquelle il se situe. En effet d'une manière générale, plus un point d'accès est proche, meilleur est le débit. Une station se trouvant à la portée de plusieurs points d'accès (possédant bien évidemment le même SSID) pourra ainsi choisir le point d'accès offrant le meilleur compromis de débit et de charge.

29 mardi 25 mars 2014 28 & CODIFOR-AFPI 28 Plusieurs points daccès peuvent être installés pour couvrir une large distance ou augmenter la bande passante, mais les points daccès dont la couverture se chevauche doivent utiliser des canaux non- overlapping différents.

30 mardi 25 mars 2014 29 & CODIFOR-AFPI 802.11b/g : Canaux non-overlappés 29 1611

31 mardi 25 mars 2014 30 & CODIFOR-AFPI 30 WLAN 1 WLAN 2 AP1 A P2 LAN1 LAN2 Pont Wireless Si le point d accés le permet…

32 mardi 25 mars 2014 31 & CODIFOR-AFPI 31 Le mode ad hoc En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin de constituer un réseau point à point (peer to peer en anglais), c'est-à-dire un réseau dans lequel chaque machine joue en même temps de rôle de client et le rôle de point d'accès. L'ensemble formé par les différentes stations est appelé ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS).

33 mardi 25 mars 2014 32 & CODIFOR-AFPI 32

34 mardi 25 mars 2014 33 & CODIFOR-AFPI 33 Dans un réseau ad hoc, la portée du BSS indépendant est déterminé par la portée de chaque station. Cela signifie que si deux des stations du réseaux sont hors de portée l'une de l'autre, elles ne pourront pas communiquer, même si elles "voient" d'autres stations. En effet, contrairement au mode infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les trames d'une station à une autre. Ainsi un IBSS est par définition un réseau sans fil restreint.

35 mardi 25 mars 2014 34 & CODIFOR-AFPI 34 SECURITE: les précautions

36 mardi 25 mars 2014 35 & CODIFOR-AFPI 35 Les ondes radio-électriques ont intrinsèquement une grande capacité à se propager dans toutes les directions avec une portée relativement grande. Il est ainsi très difficile d'arriver à confiner les émissions d'ondes radio dans un périmètre restreint. La propagation des ondes radio doit également être pensée en trois dimensions. Ainsi les ondes se propagent également d'un étage à un autre (avec de plus grandes atténuations). La principale conséquence de cette "propagation sauvage" des ondes radio est la facilité que peut avoir une personne non autorisée d'écouter le réseau, éventuellement en dehors de l'enceinte du bâtiment où le réseau sans fil est déployé.

37 mardi 25 mars 2014 36 & CODIFOR-AFPI 36 Société Quels sont les risques majeurs du piratage du système dinformation ? Capturer des données Avec les réseaux radio Capturer des données Avec les réseaux radio Les vols commis par des utilisateurs autorisés Les vols commis par des utilisateurs autorisés Rendre les applications en réseau indisponible Rendre les applications en réseau indisponible Le vol de matériel met en évidence les mécanismes de sécurité disponibles sur le device Le vol de matériel met en évidence les mécanismes de sécurité disponibles sur le device Corrompre et voler les données accessibles en réseau Corrompre et voler les données accessibles en réseau

38 mardi 25 mars 2014 37 & CODIFOR-AFPI 37 Le dilemme de la sécurité Les besoins lentreprise Les impératifs fonctionnels Contraintes de Budgets Pas de Formule Magique Les offres Biométrie Firewall 802.1X VPN PKI Nasty.Com website NO Filtrage Internet Sans Fil !#@ %$ Chiffrement IKE Directory Services VLANs Management La sécurité doit être géré pour lensemble du système et pas uniquement pour une partie, cest particulièrement vrai pour les réseaux sans-fils Les fournisseurs déquipements de sécurité ont une grande influence sur les méthodes utilisées Dans le domaine de la sécurité, et principalement chez les fournisseurs déquipements, cest la technologie qui dicte la conduite à adopter.

39 mardi 25 mars 2014 38 & CODIFOR-AFPI 38 Quelles sont nos solutions pour contrer vos plus grandes menaces Votre entreprise Protection des clés Des clefs dynamiques uniques par utilisateur et par session Protection des clés Des clefs dynamiques uniques par utilisateur et par session Virus Politique pour limiter les acces depuis linternet sans anti virus Virus Politique pour limiter les acces depuis linternet sans anti virus Confidentialité Support des standards de cryptage e.g. IPSec, SSL, WEP Confidentialité Support des standards de cryptage e.g. IPSec, SSL, WEP Man-in-the-middle Authentification forte des utilisateurs et des produits (Certificats) Man-in-the-middle Authentification forte des utilisateurs et des produits (Certificats) Authentification support du 802.1X pour inclure: Biometrics, username et password, etc. Authentification support du 802.1X pour inclure: Biometrics, username et password, etc. Access Distant tunnel VPN, RADIUS, et broadband gateway avec firewall périphérique Access Distant tunnel VPN, RADIUS, et broadband gateway avec firewall périphérique Dénie de Service Des firewalls qui detectent et stoppent les DoS Dénie de Service Des firewalls qui detectent et stoppent les DoS La majorité des failles de sécurité sont dues à une implémentation pauvre des mécanismes de sécurité, Cest vous qui décidez ! La majorité des failles de sécurité sont dues à une implémentation pauvre des mécanismes de sécurité, Cest vous qui décidez ! MAIS CEST AUSSI VOUS QUI PAYEZ !

40 mardi 25 mars 2014 39 & CODIFOR-AFPI 39 Sécurité du sans fil : Il y a le choix Service Set Identifier (SSID) Chaque AP est programmé avec un SSID qui correspond à un réseau sans fil spécific Media Access Control (MAC) Address Filtering Les clients sont identifiés par une adresse MAC unique contenue dans sa carde 802.11 Wired Equivalency Privacy (WEP) Défini par le 802.11 pour lauthentification et lencription. Le WEP est inter opérable entre les produits WI-FI Clés de chiffrement 40 et 128 bits Wifi Protected Access (WPA Phase I) Le successeur de WEP (128 bits) avec génération dynamique des clés. Utilise TKIP comme méthode de chiffrement

41 mardi 25 mars 2014 40 & CODIFOR-AFPI 40 Sécurité du sans fil : Il y a le choix VPN Tunneling (VPN) Sécurité de niveau 3 fourni par les terminateur de tunnels Centralized Security and Management (802.1x) Authentification radius EAP-MD5 avec support de 802.1x Gestion par les certificats en utiliant un serveur radius EAP-TLS 802.11i Wifi Protected Access (WPA Phase II) Le standard de sécurité des réseaux radio (basé sur WPA phase II; Utilise AES comme méthode de chiffrement

42 mardi 25 mars 2014 41 & CODIFOR-AFPI 41 Implémentation de la sécurité 802.11 Service Set Identifier (SSID) Puisque le client PC doit présenter le SSID correct pour accéder à lAP, le SSID agit comme un simple mot de passe et fournit, ainsi, une mesure de sécurité La sécurité peut être compromise si lAP est configuré pour broadcaster son SSID SSID sont largement connus et facilement partagés, parce que les utilisateurs configurent de façon typique leurs propres client Les cartes qui supportent la valeur ANY pour le SSID, permettant au client de se relier automatiquement à tout AP présent dans la zone de couverture

43 mardi 25 mars 2014 42 & CODIFOR-AFPI 42 Implémentation de la sécurité 802.11 Media Access Control (MAC) Address Filtering Les cartes sont identifiées par leur adresse MAC 802.11 et sont autorisées ou bloquées Cette liste dadresse MAC doit être mise à jour à tout moment Si un PC est perdu ou volé, il pourrait potentiellement permettre aux utilisateurs non autorisés d'accéder au réseau Si un PC est perdu ou volé, il faut mettre à jour la (les) database(s) avec la MAC ADDRESS manquante Authentification de matériel et non authentification dutilisateur Les MAC ADDRESS Cest dur à administrer

44 mardi 25 mars 2014 43 & CODIFOR-AFPI 43 Implémentation de la sécurité 802.11 Wired Equivalency Privacy (WEP) Spécifie une clé de chiffrement niveau 2 de 40-bit (standard) ou 128-bit (facultative), qui est statique, partagée et contrôlée manuellement pour tous les PC et les APs Les clés doivent être identiques pour que les clients s associent à l AP La clé peut être facilement compromise ce qui rend le système peu sécurisé. La clé n'est jamais changée Si un PC client est perdu, le responsable réseau doit mettre en place une nouvelle clé manuellement sur CHAQUE client et AP

45 mardi 25 mars 2014 44 & CODIFOR-AFPI 44 En clef WEP statique, tout le monde utilise la même clef WEP Key Stream = 24-bits IV (Initialization Vector ou vecteur dinitialisation) + 40 ou 104-bits clef WEP le IV ne fait que 24-bits de long, il ne possède que 16,777,216 différents RC4 encryption streams pour chaque clef. Plusieurs personnes utilisent la même clé = plusieurs paquets pouvant être capturés. Une des faiblesses du WEP permet le piratage de la clef par la capture dun grand nombre de paquets.

46 mardi 25 mars 2014 45 & CODIFOR-AFPI 45 64-Bit - Mot de 10 caractères Hexadecimaux (0-9, a-f, or A-F) e.g. 4B67AD234F 128-Bit - Mot de 26 caractères Hexadecimaux (0-9, a-f, or A-F) e.g. 6C89DAB421FE34DF87135987FD 256-Bit - Mot de 52 caractères Hexadecimaux (0-9, a-f, or A-F) e.g.6C89DAB421FE34DF87135987FD6C89DAB421FE34DF87135987FD Clef WEP

47 mardi 25 mars 2014 46 & CODIFOR-AFPI 46 LE WPA Pour pallier les insuffisances du WEP, un remplaçant est apparut, appelé WPA (Wi-Fi Protected Access), son fonctionnement repose sur un système d'échange de clés dynamiques, renouvelées tous les 10 ko de données. Ce procédé, appelé TKIP (Temporal Key Integrity Protocol), protége mieux les clés du décryptage et devrait améliorer sensiblement la sécurité des réseaux sans fil même si l'algorithme utilisé reste inchangé

48 mardi 25 mars 2014 47 & CODIFOR-AFPI 47 WiFi Protected Access - WPA WPA : WI-FI Protected Access = Wep avec clef dynamique Les clefs Wep sont modifiés cycliquement tous les 10,000 paquets Configuration dynamique Compatible IEEE802.1x (Serveur Radius) Tous nos produits supportent le WPA, ou le supporteront via une mise à jour firmware/Drivers.

49 mardi 25 mars 2014 48 & CODIFOR-AFPI 48 IEEE 802.1x – Network Login Protocole Standard permettant dauthentifier les utilisateurs sur un réseau ethernet (et par extension sur 802.11) Fonctionnalité embarquée dans Microsoft Windows et disponible sur les autres OS. Fournit un login réseau entre les clients et un périphérique réseau. Fonctionne avec un serveur central dauthentification (RADIUS) qui traite lauthentification et le management des clés. Utilise EAP (Extensible Authentification Protocol) comme un protocole dencapsulation (dauthentification forte). Bonne extensibilité pour les grands réseaux dentreprises multi-sites. Support des VLANs Implémentation de la sécurité 802.11

50 mardi 25 mars 2014 49 & CODIFOR-AFPI 49 Améliorer l'authentification Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des comptes utilisateurs (en anglais AAS pour Authentication, Authorization, and Accounting) il est possible de recourir à un serveur RADIUS (Remote Authentication Dial-In User Service). Le protocole RADIUS (défini par les RFC 2865 et 2866), est un système client/serveur permettant de gérer de façon centralisée les comptes des utilisateurs et les droits d'accès associés.

51 mardi 25 mars 2014 50 & CODIFOR-AFPI 50 Utilisateur autorisé Authentifié par le serveur radius Utilisateurs non autorisés Le trafic est complètement bloqué 802.1x – Network Login RADIUS Primaire Serveur dauthentification Pour EAP-MD5/TLS/TTLS RADIUS Secondaire Serveur dauthentification Pour EAP-MD5/TLS/TTLS Utilisateur sans fil autorisé Authentifié par le serveur radius

52 mardi 25 mars 2014 51 & CODIFOR-AFPI 51 Authentification – 802.1X + Extensible Authentication Protocol (EAP) Encryption – Temporal Key Integrity Protocol (TKIP) – 802.1X pour une distribution dynamique de la clef – Message Integrity Check (MIC) a.k.a. Michael WPA = 802.1X + EAP + TKIP + MIC WPA-EAP pour le Enterprise mode WPA-PSK (Pre-Shared Key) pour le Personal mode

53 mardi 25 mars 2014 52 & CODIFOR-AFPI 52 Extensible Authentication Protocol (EAP) Protocole dAuthentification pour lAuthentification PPP Peut supporter plusieurs mécanismes dauthentification: –MD5-challenge –One-time passwords –Generic Token Cards Wireless Clients RADIUS Server EAP with MD5 Challenge RADIUS with EAP PAP RADIUS with PAP RADIUS Server ACE Server ACE Server ACE

54 mardi 25 mars 2014 53 & CODIFOR-AFPI 53 Implémentation de la sécurité 802.11 EAP-MD5 (Extended Authorisation Protocol) Lauthentification seffectue en saisissant un nom dutilisateur et un mot de passe. Ceci permet louverture de la communication entre le point daccès et la carte sans fils. Le nom dutilisateur (et le mot de passe) est commun à celui utilisé pour la connexion au domaine. Protocole dauthentification standard supporté par beaucoup de serveur RADIUS. Le mot de passe nest jamais transmis en clair sur le réseau. Simple à mettre en place. Ninclus pas de mécanisme de chiffrement.

55 mardi 25 mars 2014 54 & CODIFOR-AFPI 54 Implémentation de la sécurité 802.11 EAP-TLS (Transport Layer Security) EAP-TLS est un mécanisme basé sur des certificats numériques. Un mécanisme de chiffrement est inclus avec le certificat La machine ET lutilisateur sont authentifié Infrastructure importante à mettre en place : –Serveur Radius supportant EAP-TLS –Autorité de certification

56 mardi 25 mars 2014 55 & CODIFOR-AFPI 55 Implémentation de la sécurité 802.11 EAP-TTLS (Tuneled TLS) EAP-TTLS se base sur le même principe que EAP-TLS, en sécurisant les échanges entre les produits intervenants dans le mécanisme dauthentification : – le client, le point daccès et le serveur Radius. –Cet échange étant sécurisé, les mécanismes « classiques » CHAP, MS-CHAP peuvent être utilisés. Plus sécurisé que EAP-TLS Utilise des certificats pour lauthentification de la machine Utilise MS-CHAP pour lauthentification de lutilisateur Supporté par peu de serveurs RADIUS Solution plus lourde à mettre en place

57 mardi 25 mars 2014 56 & CODIFOR-AFPI 56 Implémentation de la sécurité 802.11 PEAP (Protected EAP) PEAP est un protocole qui a pour but de protéger le mécanisme de chiffrement des échanges dinformation lors de lauthentification des utilisateurs Très bon niveau de sécurité Est en compétition avec EAP-TTLS Utilise TLS et des Certificats numériques Autorise le support de cartes à puces Complexité de mise en œuvre Intégré au driver de la carte et non au système dexploitation

58 mardi 25 mars 2014 57 & CODIFOR-AFPI 57 Implémentation de la sécurité 802.11 TKIP (Temporal Key Integrity Protocol) TKIP est un nouveau mécanisme de chiffrement. Il est basé sur deux éléments : une clé temporaire et un IV (Initialization Vector). – Une première clé est générée à partir de la clé temporaire, ainsi que de ladresse MAC de la carte réseau. –Puis à chaque paquet, la clé de chiffrement dérive grâce au vecteur. Un mécanisme hautement sécurisé. Point essentiel de la futur norme 802.11i (En cours de ratification) TKIP utilise un algorithme de type RC4 En Phase I –On utilise les MAC adresses mélangés avec une clé temporaire pour produire une clé Phase I Phase II –La clé de la phase I est mixée avec un IV pour dériver des clés de paquets. Chaque clé est à usage unique pour un paquet.

59 mardi 25 mars 2014 58 & CODIFOR-AFPI 58 Un réseau radio avec des technos de sécurité, mais … Les AP sont utilisés en configuration par défaut. Le modem moderne : Création dun réseau Inconnu. Le point daccès est placé directement sur le réseau local. Les clés de chiffrement par défaut sont utilisées. Les clés de chiffrement ne sont pas changées périodiquement Les systèmes forts VPN,EAP-XXX,WPA,802.11i ne sont pas utilisés Le filtrage des adresses MAC nest pas utilisé. Le broadcast du ESSID nest pas coupé La majorité des failles de sécurité sont dues à une implémentation pauvre des mécanismes de sécurité. Pour le sans-fil 802.11i,WPA,les VPNs et EAP-TLS offre un excellent niveau de sécurité, il faut juste les mettre en oeuvre !

60 mardi 25 mars 2014 59 & CODIFOR-AFPI 59 Vêtements homme Pelouse & jardin Exemple dans un magasin Contrôle d accès: S'assure que seuls les clients programmés avec le SSID de lAP peuvent se relier à cet AP Liste de Contrôle d Accès (ACLs) indique les adresses MAC des clients qui peuvent s'associer à lAP Chiffrement 128 bits à base de WPA Clé dynamique à chaque paquet Facilement utilisable pour supporter plus de 512 utilisateurs, utilisant l authentification basée sur MAC address Caisses SuperStack 3 Firewall SuperStack Switch Serveur NT ou Netware PCI Card WLAN Console de Mgmt

61 mardi 25 mars 2014 60 & CODIFOR-AFPI 60 Corporate LAN Superstack 3 Firewall Router Mgmt. Station ISP/ASP NOC AAA Public Areas Internet Port bloqué sur le Switch pour empêcher les communications client à client et AP à AP Utilisation facile de lauthentification RADIUS à travers le serveur d accès (EAP-MD5) Actuellement, pas de chiffrement, mais des services de confidentialité peuvent être fournis facilement avec WPA ou 802.11i par les opérateurs. Professionnels mobiles équipés avec des cartes Wireless (Wi-Fi), VPN sécurisé Firewall sur les station pour empêcher les rebonds de pirates depuis Internet vers lentreprise WLAN (Wi-Fi) Access Point Offrir laccés au réseau depuis un lieu public Local Content AAA On-Site Back Office Public Access Server SuperStack Switch SuperStack Web Cache PC Cards Wireless Ethernet Client Bridge

62 mardi 25 mars 2014 61 & CODIFOR-AFPI 61 Sécurité du Sans Fil dans lenseignement Private LAN Servers Computer Lab Library PC Card Faculty Lounge Mobile Users (VPN Clients) Internet SuperStack 3 Firewall or OfficeConnect Firewall SuperStack Switch PC Card Faculty Lounge LAN filaire existant dans l école Extension avec un réseau sans fil Banalisation du login avec ou sans-fil Utilisation de 802.1x pour authentifier les utilisateurs et les affecter à un VLAN Chiffrement 802.11i,WPA,EAP-TLS Un utilisateur mobile peut établir un tunnel VPN jusquà lécole, en utilisant IPSec Le pont radio relie deux bâtiments distants en sans fil : encapsulation spécial au niveau MAC Transparent pour le protocole VPN Chiffrement WPA SuperStack Switch

63 mardi 25 mars 2014 62 & CODIFOR-AFPI 62 Affecter les droits aux utilisateurs : VLAN dynamique RADIUS Server SuperStack 3 Switch 4400 WLAN Port trunk Lorsquun utilisateur veut accéder au réseau, il doit sauthentifier en utilisant le protocole 802.1x (TLS, PEAP, TTLS) Lorsquil envoie son nom et mot de passe au serveur radius, celui-ci vérifie les information, et si elles sont correctent il retourne le numéro de VLAN au point dentrée sur le réseau. Les commutateurs SuperStack 3 contrôle les accès au VLAN, et ne permettent pas de communication entre le VLAN 1 et le VLAN 2. VLAN #1 Serveur VLAN #1 VLAN #2 Layer 3 Switch / Router Port trunk VLAN #2 Serveur

64 mardi 25 mars 2014 63 & CODIFOR-AFPI 63 Protéger les accés distants Une connexion DSL ou WLAN rend lordinateur plus vulnérables aux attaques. Les connexions VPN peuvent alors être un moyen de piratage vers le réseau de lentreprise Le firewall embarqué protège contre les attaques visant à partager un VPN Limitation des communication vers la passerelle VPN Limitation des communication entrantes sur le PC Internet Modem LAN WLAN Bluetooth Broad Band Modem Réseau dentreprise Virtual Private Network Utilisateur mobile avec carte EFW

65 mardi 25 mars 2014 64 & CODIFOR-AFPI 64 Site central Sécurité centralisée avec 802.1x et EAP-TLS-MD5 dans une banque Agence Le client RADIUS est intégré nativement aux AP LAP doit dabord sauthentifier sur le serveur avant quil puisse accepter des connexions Mgmt. Console RADIUS Server (EAP-MD5) ATM SuperStack 3 Firewall SuperStack Switch NT or Netware Server RADIUS EAP-TLS Login for 802.1X Username: 3Com Password: ******** WLAN Idéal pour les entreprises ayant un besoin centralisé de sécurité Une phase de login 802.1x permet de : Certifier le client sur la base RADIUS centrale Réaliser un chiffrage fort des données (RC4,TKIP,AES) Laffecter correctement au bon VLAN Générer des clés de chiffrement dynamiques (802.11i, WPA, EAP-TLS) Vérifier lidentité de lutilisateur de manière sécurisée

66 mardi 25 mars 2014 65 & CODIFOR-AFPI 65 Implémentation de la sécurité 802.11 Utilisation des VPNs La technique la plus universelle car indépendante du WIFI. Les VPNs sont bien maîtrisés technologiquement par les services informatiques. Les differents protocoles de tunneling, comme PPTP, L2TP, IPSec sont utilisés conjointement avec des standards dauthentification centralisées. L'authentification et le chiffrement est fourni par les serveurs de VPN qui agissent également en tant que Gateways du réseau privé. Le trafic vers le réseau privé est isolé jusqu'à ce que l'authentification de VPN soit exécutée. Mais le réseau radio est accessible à tout le monde; même si on ne peut rien y faire.

67 mardi 25 mars 2014 66 & CODIFOR-AFPI 66 WEPWPA Cryptage Faible cassé par les hackers et les scientifiques Fixes all WEPs flaws Clef de 40-bitClef de128-bit Clef statique – même clef utilisée par tous sur le réseau Clefs a session dynamique. Par utilisateur, par session, par paquet, par clefs de paquet Distribution manuelle des clefs – rentrées manuellement dans chaque périphérique Distribution automatique des clefs Authentification Faible, utilisation de la clef elle même pour authentifier. Authentification utilisateur forte, utilisant 802.1X et EAP.

68 mardi 25 mars 2014 67 & CODIFOR-AFPI 67 Type de client final – Solution à conseiller IPSec Layer 3 tunneling Non nécessaire Pass through AP IPSec Layer 3 tunneling Non nécessaire Pass through AP VPN Tunneling Dynamique / Session & Global Non nécessaire Dynamique / Session & Global Dynamique / Session Shared Management des Clés 128 ou 256 bits WPA,802.11i,EAP-TLS 128 ou 256 bits WPA,802.11i Port Blocking on the Public Access Switch 128 ou 256 bits WPA,802.11i,EAP-TLS 128-bit WPA (Wi-Fi) 40-bit WEP (Wi-Fi) Chiffrement RADIUS ou 802.1x Database utilisateurs dans lAP RADIUS (Public Access Server) RADIUS ou 802.1x Database utilisateurs dans lAP ESSID MAC Address Authentification Éducation École Université Lieu public Grande Entreprise Petite Entreprise SOHO

69 mardi 25 mars 2014 68 & CODIFOR-AFPI 68 Pourquoi utiliser WPA2 ? WPA repose toujours sur un algorithme de cryptage RC4 et TKIP (Temporary Key Integrity Protocol). Malheureusement, la possibilité de découverte de nouvelles faiblesses existe toujours. WPA2 est plus robuste, plus sécurisé que WPA.

70 mardi 25 mars 2014 69 & CODIFOR-AFPI 69 Quest ce que WPA2 ? En 2004, Wi-Fi Alliance introduit le WPA2 Basé sur la spécification IEEE 802.11i Wi-Fi Alliance a effectué des tests de certification dinteropérabilité (commencés en Sept. 2004)

71 mardi 25 mars 2014 70 & CODIFOR-AFPI 70 Avantages du WPA2 Authentification: 802.1x et EAP (comme le WPA) Cryptage: AES (Advanced Encryption Standard) Retro compatibilité avec le WPA Mode Entreprise et Mode Personnel La première différence entre le WPA e le WPA2 est le type de cryptage utilisé – TKIP et AES respectivement

72 mardi 25 mars 2014 71 & CODIFOR-AFPI 71 Les limites du WPA2 Pas de mode mixte WPA2 et WEP Le mode mixte WPA2 et WPA est permit IBSS ne supporte pas WPA2

73 mardi 25 mars 2014 72 & CODIFOR-AFPI 72 Comparaison WPAWPA2 Serveur dAuthentification VV Authentification Utilisateur 802.1x (RADIUS) Clef DynamiqueDynamique Cryptage des DonnéesTKIPAES Intégrité des DonnéesMICCBC-MAC (AES) Authentification des Données VV

74 mardi 25 mars 2014 73 & CODIFOR-AFPI 73 Merci