1 / 42

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003. Novembre 2003 Pascal Sauliere. Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003. Faiblesse des protocoles 802.11 d’origine Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA Mise en œuvre dans Windows

eldora
Download Presentation

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Réseaux sans fil sécurisés avecWindows XP et Windows Server 2003 Novembre 2003 Pascal Sauliere

  2. Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 • Faiblesse des protocoles 802.11 d’origine • Solutions sécurisées • 802.1x – EAP-TLS, PEAP • WPA • Mise en œuvre dans Windows • Scénarios de déploiement • Recommandations

  3. Faiblesses de 802.11 et WEP • WEP = Authentification et chiffrement • Implémentation faible de l’algorithme RC4 • Attaques par désassociation • Découverte de la clé de chiffrement • Écoute des données • Modification de données • Attaque de machines internes • Analogie : prise réseau dans la rue…

  4. Outils bien connus • NetStumbler • Kismet • AirSnort • WEPCrack • WEPWedgie • Reinj • Pour en savoir plus : www.google.com

  5. Wi-Fi sécurisé ? • Ne pas déployer de réseau sans fil • Risque = points d’accès pirates • Sécurité 802.11 d’origine (WEP) • Risque associé à la faiblesse de WEP • Utiliser un VPN • Non transparent pour le client, introduit un goulot d’étranglement • Utiliser IPsec • Pas d’authentification utilisateur, complexe • Utiliser 802.1x, EAP-TLS ou PEAP • État de l’art actuel • Utiliser WPA • État de l’art transitoire –vers 802.11i

  6. Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 • Faiblesse des protocoles 802.11 d’origine • Solutions sécurisées • 802.1x – EAP-TLS, PEAP • WPA • Mise en œuvre dans Windows • Scénarios de déploiement • Recommandations

  7. IEEE 802.1x (2001) – Port-based Network Access ControlCaractéristiques • Protocole indépendant du support physique (Ethernet, WiFi) • Point d’accès (AP) compatible 802.1x • Pas de contrainte sur les cartes réseau sans fil • Authentification avec EAP • Extensible Authentication Protocol – IETF • Choix du protocole d’authentification (méthode EAP) • L’AP ne s’occupe pas des méthodes EAP • Autorisations avec RADIUS • Chiffrement du trafic : • Gestion dynamique des clés 802.11 WEP

  8. 802.1x – Vocabulaire Authentificateur Serveur d’authentification Supplicant Port AuthenticationEntity (PAE)

  9. 802.1x – Port contrôlé et port non contrôlé Port contrôlé IEEE 802.1x Distribution System Client Wi-Fi Port non contrôlé

  10. RADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, Accounting Clients Serveur VPN Serveurs d’accès Clients RADIUS Serveur de modem Point d’accès sans fil = Proxy RADIUS Protocole RADIUS Base de comptes d’utilisateurs Serveur RADIUS

  11. EAP • Extension de PPP pour des mécanismes arbitraires d’authentification d’accès réseau • Plug-in d’authentification sur le client et le serveur RADIUS Serveur RADIUS Point d’accès Client Wi-Fi Messages RADIUS Messages EAP Dialogue EAP

  12. 802.11 association EAPOL-start EAP-request/identity RADIUS-access-request (EAP) EAP-response/identity RADIUS-access-challenge (EAP) EAP-request RADIUS-access-request (EAP) EAP-response (credentials) RADIUS-access-accept (EAP) EAP-success EAPOW-key (WEP) Access allowed Authentification Client (Supplicant) Point d’accès (Authenticator) RADIUS (Authentication Server) Access blocked

  13. Clés de chiffrement • Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur • Jamais transmises dans l’air • RADIUS envoie la clé à l’AP, chiffrée avec le secret partagé • Le point d’accès a une clé WEP globale • Utilisée pendant l’authentification de l’AP au client • Envoyée dans un message EAPOW-key • Chiffrée avec la clé de session • Les clés de session sont re-générées quand… • Durée de vie expirée (60 minutes par défaut) • Le client se déplace vers un nouvel AP

  14. Architecture EAP MS-CHAPv2 TLS SecurID TLS GSS_API Kerberos PEAP IKE MD5 Méthode EAP EAP PPP 802.3 802.5 802.11 Anything… Media

  15. Méthodes EAP • EAP-MD5 • Utilise CHAP pour authentifier l’utilisateur • Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelle • EAP-TLS • Certificats machine et/ou utilisateur : nécessite une PKI • Détermination des clés 802.11 • PEAP (Protected EAP) : • Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2) • Certificat Serveur uniquement • Nécessite Windows XP SP1 et IAS de Windows Server 2003 • Détermination des clés 802.11

  16. PEAPMicrosoft, Cisco, RSA • Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement • Authentifie le client dans ce tunnel • Le protocole d’authentification est protégé EAP RADIUS-EAP Certificat Serveur TLS EAP Authentification

  17. PEAP • PEAP-EAP-MS-CHAP v2 • MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) • Pas de certificat client • Solution si pas de PKI • PEAP-EAP-TLS • Nécessite un certificat client, donc une PKI • Protège l’identité du client • Plus lent que EAP-TLS

  18. 802.1x : est-ce suffisant ? • Non • Il résout : • La découverte des clés – changement fréquent et clés distinctes par client • Les points d’accès pirates et attaques « man in the middle » – authentification mutuelle • Accès non autorisés – authentification des utilisateurs et des machines • Il ne résout pas : • Spoofing de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé

  19. WPA • Standard temporaire avant ratification de 802.11i • Requis pour la certification Wi-Fi depuis le 31/8/2003 • Wi-Fi Protected Accesshttp://www.wi-fi.org/OpenSection/protected_access.asp • Overview of the WPA Wireless Security Update in Windows XPhttp://support.microsoft.com/?id=815485

  20. Objectifs de WPA • Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale • Corriger les faiblesses de WEP par une mise à jour logicielle • Solution sécurisée pour les réseaux domestiques • Evolutif vers 802.11i • Disponible aujourd’hui

  21. WPA • Nécessite une mise à jour : • Firmware du point d’accès • Firmware de la carte • Driver de la carte • Logiciel client (« supplicant »)

  22. Caractéristiques de WPA • Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK) • Gestion des clés Unicast et Broadcast • Temporal Key Integrity Protocol (TKIP) • Michael : MIC (64 bits) remplace le CRC32 de WEP • AES (optionnel) à la place de RC4 • Support de clients WPA et WEP en même temps

  23. Modes WPA • Mode Entreprise (RADIUS) • Nécessite un serveur d’authentification • RADIUS pour authentification et distribution des clés • Gestion centralisée des utilisateurs • Mode clé partagée – pre-shared key mode (PSK) • Ne nécessite pas de serveur d’authentification • « Secret partagé » pour l’authentification sur le point d’accès – 256 bits • Génération de la clé depuis une passphrase : algorithme imposé

  24. Authentification 802.1X RADIUS-based key distribution 802.1X key management TKIP Security Discovery (WPA Information Element) WPA 802.1x Distribution System RADIUS server Scénario entreprise

  25. 802.1X key management TKIP Security Discovery (WPA Information Element) WPA PSK Scénario domestique

  26. 802.11i WPA = sous-ensemble de 802.11i • 802.1x en modes entreprise et PSK • Mode point d’accès (infrastructure – BSS) • Hiérarchie de clés • Gestion des clés • Négociation de la crypto et de l’authentification • TKIP

  27. 802.11i 802.11i : • 802.1x en modes entreprise et PSK • Mode point d’accès (infrastructure – BSS) • Mode point à point (ad-hoc – IBSS) • Pré-authentification • Hiérarchie de clés • Gestion des clés • Négociation de la crypto et de l’authentification • TKIP • AES

  28. Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 • Faiblesse des protocoles 802.11 d’origine • Solutions sécurisées • 802.1x – EAP-TLS, PEAP • WPA • Mise en œuvre dans Windows • Scénarios de déploiement • Recommandations

  29. Natif : • 802.1x EAP-TLS • Wireless Zero Configuration Service • SP1 : PEAP • 802.1x PEAP-EAP-MS-CHAPv2 • 802.1x PEAP-EAP-TLS • KB.815485 [http://support.microsoft.com/?id=815485]KB.826942 [http://support.microsoft.com/?id=826942] • WPA (authentification, TKIP, AES)

  30. Authentification • Open • Shared • WPA • WPA-PSK • Chiffrement • Désactivé • WEP • TKIP • AES

  31. 802.1x • EAP-TLS : « carte à puce ou autre certificat » • PEAP • MS-CHAP v2 • EAP-TLS

  32. Internet Authentication Server (IAS) • Serveur RADIUS de Microsoft • Remote Access Policies • EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS) • Certificate Services • PKI avec autoenrollement des machines et des utilisateurs • Active Directory • Gestion centralisée des machines et utilisateurs • Configuration centralisée des clients Wi-Fi (Group Policies)

  33. Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 • Faiblesse des protocoles 802.11 d’origine • Solutions sécurisées • 802.1x – EAP-TLS, PEAP • WPA • Mise en œuvre dans Windows • Scénarios de déploiement • Recommandations

  34. Réseau Wi-Fi de Microsoft • Un des plus importants déploiements d’entreprise • 42 000 utilisateurs dans 42 pays • 150+ bâtiments dans le monde • 4360+ points d’accès • 420 000 m2 couverts • 10 000+ utilisateurs simultanés sur le campus • Sécurisé par 802.1x avec EAP-TLS et PEAP

  35. File 802.1X EAP-TLS/PEAP Connection Domain UserCertificate CertificateAuthority DomainController (Active Directory) 802.1X Uncontrolled Port RADIUS(IAS) 802.11/.1XAccess Point 802.1X Controlled Port Exchange Domain Controller DHCP Peers

  36. Microsoft Solution for Securing Wireless LANs • http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp • http://go.microsoft.com/fwlink/?LinkId=14844

  37. Microsoft Solution for Securing Wireless LANs • Planning Guide – guide de planification • Build Guide – procédures détaillées de configuration et sécurisation • Operations Guide – guide de maintenance, supervision, support, gestion des changements • Test Guide – démarche de test utilisée chez Microsoft pour valider la solution • Lire les Release Notes pour l’adaptation à WPA

  38. Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 • Faiblesse des protocoles 802.11 d’origine • Solutions sécurisées • 802.1x – EAP-TLS, PEAP • WPA • Scénarios de déploiement • Recommandations

  39. Synthèse • Aujourd’hui • Entreprises : 802.1x • EAP-TLS si vous avez une PKI • PEAP-EAP-MS-CHAP v2 sinon • WPA si possible (nouveaux matériels) • Particuliers et petites entreprises : • WPA si possible (nouveaux matériels) • Demain • 802.11i

  40. Références • The Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Windowshttp://www.drizzle.com/~aboba/IEEE/ • Wi-Fihttp://www.microsoft.com/wifihttp://www.wi-fi.org • Microsoft Solution for Securing Wireless LANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asphttp://go.microsoft.com/fwlink/?LinkId=14844

More Related