r seaux sans fil s curis s avec windows xp et windows server 2003 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 PowerPoint Presentation
Download Presentation
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

Loading in 2 Seconds...

play fullscreen
1 / 52

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 - PowerPoint PPT Presentation


  • 165 Views
  • Uploaded on

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003. Pascal Sauliere Consultant Principal Sécurité Microsoft France http://www.microsoft.com/france/securite. Rencontres Wi-Fi – avril 2004. Sommaire. Introduction Solutions sécurisées 802.1x – EAP-TLS, PEAP WPA

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003' - max


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
r seaux sans fil s curis s avec windows xp et windows server 2003

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

Pascal Sauliere

Consultant Principal Sécurité

Microsoft France

http://www.microsoft.com/france/securite

Rencontres Wi-Fi – avril 2004

sommaire
Sommaire
  • Introduction
  • Solutions sécurisées
    • 802.1x – EAP-TLS, PEAP
    • WPA
  • Mise en œuvre dans Windows
  • Scénarios de déploiement
  • Recommandations
sommaire1
Sommaire
  • Introduction
  • Solutions sécurisées
    • 802.1x – EAP-TLS, PEAP
    • WPA
  • Mise en œuvre dans Windows
  • Scénarios de déploiement
  • Recommandations
faiblesses de 802 11 et wep
Faiblesses de 802.11 et WEP
  • WEP = Authentification et chiffrement
  • Implémentation faible de l’algorithme RC4
  • Outils bien connus et répandus
wi fi s curis
Wi-fi sécurisé ?
  • Ne pas déployer de réseau sans fil
    • Risque = points d’accès pirates
  • Sécurité 802.11 d’origine (WEP)
    • Risque associé à la faiblesse de WEP
  • Utiliser un VPN
    • Non transparent pour le client, introduit un goulot d’étranglement
  • Utiliser IPsec
    • Pas d’authentification utilisateur, complexe
  • Utiliser 802.1x, EAP-TLS ou PEAP
    • État de l’art actuel
  • Utiliser WPA
    • État de l’art transitoire –vers 802.11i
slide6

802.11 d’origine

Authentification 802.11 native

Chiffrement WEP statique

1999

802.1x avec WEP

Authentification 802.1x

Gestion des clés 802.1x

Protection des données dynamique

2001

WPA

Authentification 802.1x

Gestion des clés 802.1x améliorée

Protection des données TKIP

2003

802.11i (WPA2)

Authentification 802.1x

Gestion des clés 802.1x améliorée

Protection des données AES

Pré-authentification

2004

sommaire2
Sommaire
  • Faiblesse des protocoles 802.11 d’origine
  • Solutions sécurisées
    • 802.1x – EAP-TLS, PEAP
    • WPA
  • Mise en œuvre dans Windows
  • Scénarios de déploiement
  • Recommandations
ieee 802 1x 2001 port based network access control caract ristiques
IEEE 802.1x (2001)Port-based Network Access ControlCaractéristiques
  • Protocole indépendant du support physique (Ethernet, WiFi)
  • Point d’accès (AP) compatible 802.1x
  • Pas de contrainte sur les cartes réseau sans fil
  • Authentification avec EAP
    • Extensible Authentication Protocol – IETF
    • Choix du protocole d’authentification (méthode EAP)
    • L’AP ne s’occupe pas des méthodes EAP
  • Autorisations avec RADIUS
  • Chiffrement du trafic :
    • Gestion dynamique des clés 802.11 WEP
802 1x vocabulaire
802.1x – Vocabulaire

Authentificateur

Serveur

d’authentification

Supplicant

Port AuthenticationEntity (PAE)

802 1x port contr l et port non contr l
802.1xPort contrôlé et port non contrôlé

Port contrôlé

IEEE 802.1x

Distribution

System

Client Wi-Fi

Port non contrôlé

radius remote authentication dial in user service aaa authentification autorisations accounting
RADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, Accounting

Clients

Point d’accès

sans fil

Serveur VPN

Serveurs d’accès

Clients RADIUS

Serveur de modem

=

Proxy RADIUS

Protocole RADIUS

Base de comptes d’utilisateurs

Serveur RADIUS

slide12
EAP
  • Extension de PPP pour des mécanismes arbitraires d’authentification d’accès réseau
  • Plug-in d’authentification sur le client et le serveur RADIUS

Serveur RADIUS

Point d’accès

Client Wi-Fi

Messages RADIUS

Messages EAP

Dialogue EAP

authentification

802.11 association

EAPOL-start

EAP-request/identity

RADIUS-access-request (EAP)

EAP-response/identity

RADIUS-access-challenge (EAP)

EAP-request

RADIUS-access-request (EAP)

EAP-response (credentials)

RADIUS-access-accept (EAP)

EAP-success

EAPOW-key (WEP)

Access allowed

Authentification

RADIUS

authentication

server

Client

supplicant

Point d’accès

authenticator

Access blocked

cl s de chiffrement
Clés de chiffrement
  • Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur
    • Jamais transmises dans l’air
    • RADIUS envoie la clé à l’AP, chiffrée avec le secret partagé
  • Le point d’accès a une clé WEP globale
    • Utilisée pendant l’authentification de l’AP au client
    • Envoyée dans un message EAPOW-key
    • Chiffrée avec la clé de session
  • Les clés de session sont re-générées quand…
    • Durée de vie expirée (60 minutes par défaut)
    • Le client se déplace vers un nouvel AP
architecture eap
Architecture EAP

MS CHAP v2

TLS

SecurID

GSS_API

Kerberos

Méthode

TLS

PEAP

IKE

MD5

EAP

EAP

Media

802.11

PPP

802.3

802.5

m thodes eap
Méthodes EAP
  • EAP-MD5
    • Utilise CHAP pour authentifier l’utilisateur
    • Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelle
  • EAP-TLS
    • Certificats machine et/ou utilisateur : nécessite une PKI
    • Détermination des clés 802.11
  • PEAP (Protected EAP) :
    • Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2)
    • Certificat Serveur uniquement
    • Nécessite Windows XP SP1 et IAS de Windows Server 2003
    • Détermination des clés 802.11
peap microsoft cisco rsa
PEAPMicrosoft, Cisco, RSA
  • Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement
  • Authentifie le client dans ce tunnel
  • Le protocole d’authentification est protégé

EAP

RADIUS-EAP

Certificat

Serveur

TLS

EAP

Authentification

slide18
PEAP
  • PEAP-EAP-MS-CHAP v2
    • MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)
    • Pas de certificat client
    • Solution si pas de PKI
  • PEAP-EAP-TLS
    • Nécessite un certificat client, donc une PKI
    • Protège l’identité du client
    • Plus lent que EAP-TLS
802 1x est ce suffisant
802.1x : est-ce suffisant ?
  • Non
  • Il résout :
    • La découverte des clés – changement fréquent et clés distinctes par client
    • Les points d’accès pirates et attaques « man in the middle » – authentification mutuelle
    • Accès non autorisés – authentification des utilisateurs et des machines
  • Il ne résout pas :
    • Spoofing de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé
wpa wireless protected access
WPAWireless Protected Access
  • Standard temporaire avant ratification de 802.11i
  • Requis pour la certification Wi-Fi depuis le 31/8/2003
  • Wi-Fi Protected Accesshttp://www.wi-fi.org/OpenSection/protected_access.asp
  • Overview of the WPA Wireless Security Update in Windows XPhttp://support.microsoft.com/?id=815485
objectifs de wpa
Objectifs de WPA
  • Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale
  • Corriger les faiblesses de WEP par une mise à jour logicielle
  • Solution sécurisée pour les réseaux domestiques
  • Evolutif vers 802.11i
  • Disponible aujourd’hui
caract ristiques de wpa
Caractéristiques de WPA
  • Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK)
  • Gestion des clés Unicast et Broadcast
  • Temporal Key Integrity Protocol (TKIP)
  • Michael : MIC (64 bits) remplace le CRC32 de WEP
  • AES (optionnel) à la place de RC4
  • Support de clients WPA et WEP en même temps
modes wpa
Modes WPA
  • Mode Entreprise (RADIUS)
    • Nécessite un serveur d’authentification
    • RADIUS pour authentification et distribution des clés
    • Gestion centralisée des utilisateurs
  • Mode clé partagée – pre-shared key mode (PSK)
    • Ne nécessite pas de serveur d’authentification
    • « Secret partagé » pour l’authentification sur le point d’accès – 256 bits
    • Génération de la clé depuis une passphrase : algorithme imposé
wpa 802 1x

Authentification 802.1X

RADIUS-based key distribution

802.1X key management

TKIP

Security Discovery (WPA Information Element)

WPA 802.1x

Distribution System

RADIUS

server

Scénario entreprise

wpa psk

802.1X key management

TKIP

Security Discovery (WPA Information Element)

WPA PSK

Scénario domestique

slide26
WPA
  • Nécessite une mise à jour :
    • Firmware du point d’accès
    • Firmware de la carte
    • Driver de la carte
    • Logiciel client (« supplicant »)
802 11i
802.11i

WPA = sous-ensemble de 802.11i

  • 802.1x en modes entreprise et PSK
  • Mode point d’accès (infrastructure – BSS)
  • Hiérarchie de clés
  • Gestion des clés
  • Négociation de la crypto et de l’authentification
  • TKIP
802 11i1
802.11i

802.11i :

  • 802.1x en modes entreprise et PSK
  • Mode point d’accès (infrastructure – BSS)
  • Mode point à point (ad-hoc – IBSS)
  • Pré-authentification
  • Hiérarchie de clés
  • Gestion des clés
  • Négociation de la crypto et de l’authentification
  • TKIP
  • AES
comparaison
Comparaison

http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_ProtectedAccessWebcast_2003.pdf

sommaire3
Sommaire
  • Faiblesse des protocoles 802.11 d’origine
  • Solutions sécurisées
    • 802.1x – EAP-TLS, PEAP
    • WPA
  • Mise en œuvre dans Windows
  • Scénarios de déploiement
  • Recommandations
slide32
Natif :
    • 802.1x EAP-TLS
    • Wireless Zero Configuration Service
  • SP1 : PEAP
    • 802.1x PEAP-EAP-MS-CHAPv2
    • 802.1x PEAP-EAP-TLS
  • SP2 : WPA (authentification, TKIP, AES)
    • Ou SP1+KB.826942 http://support.microsoft.com/?id=826942
slide33
Authentification
    • Open
    • Shared
    • WPA
    • WPA-PSK
  • Chiffrement
    • Désactivé
    • WEP
    • TKIP
    • AES
slide34

802.1x

  • EAP-TLS : « carte à puce ou autre certificat »
  • PEAP
    • MS-CHAP v2
    • EAP-TLS
authentification peap avec windows
Authentification PEAP avec Windows
  • Phase 1 – logon machine
    • Association 802.11
    • Authentification de l’AP (secret RADIUS)
    • Authentification du serveur RADIUS (certificat)
    • Authentification de la machine (compte machine, mot de passe)
    • Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autorisées
  • Phase 2 – logon utilisateur
    • Authentification de l’utilisateur
    • Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autorisées
pourquoi authentifier la machine
Pourquoi authentifier la machine ?
  • Logon de la machine dans le domaine nécessaire:
    • Group Policies
    • Scripts de logon machine
    • Management : inventaire, déploiement d’application par GPO/SMS/autres
  • Expiration du mot de passe de l’utilisateur :
    • Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de mot de passe
slide37
Internet Authentication Server (IAS)
    • Serveur RADIUS de Microsoft
    • Remote Access Policies
    • EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)
  • Certificate Services
    • PKI avec auto-enrôlement des machines et des utilisateurs
  • Active Directory
    • Gestion centralisée des machines et utilisateurs
    • Configuration centralisée des clients Wi-Fi (Group Policies) [WPA : SP1]
sommaire4
Sommaire
  • Faiblesse des protocoles 802.11 d’origine
  • Solutions sécurisées
    • 802.1x – EAP-TLS, PEAP
    • WPA
  • Mise en œuvre dans Windows
  • Scénarios de déploiement
  • Recommandations
r seau wi fi de microsoft
Réseau Wi-Fi de Microsoft
  • Un des plus importants déploiements d’entreprise
  • 42 000 utilisateurs dans 42 pays
  • 150+ bâtiments dans le monde
  • 4360+ points d’accès
  • 420 000 m2 couverts
  • 10 000+ utilisateurs simultanés sur le campus
  • Sécurisé par 802.1x avec EAP-TLS et PEAP
slide41

File

802.1X EAP-TLS/PEAP Connection

Domain UserCertificate

CertificateAuthority

802.1X Uncontrolled

Port

Domain Controller (Active Directory)

RADIUS(IAS)

802.11/.1XAccess Point

802.1X Controlled

Port

Exchange

Domain

Controller

DHCP

Peers

r seau wi fi de microsoft le ons apprises
Réseau Wi-Fi de Microsoft Leçons apprises
  • Intégrer le support de technologies diverses: clients, points d’accès, PKI, RADIUS, Active Directory
  • Répondre aux besoins des employés qui souhaitent s’équiper à domicile
  • Prendre en compte les soucis des employés en terme de santé : conduire des analyses et communiquer les résultats
r seau wi fi de microsoft conseils
Réseau Wi-Fi de MicrosoftConseils
  • Changement des clés compatible avec la charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminés
  • Impliquer le support tôt dans la phase de planification
  • Mécanisme de détection et suppression des points d’accès pirates
  • Vérifier les lois locales concernant les équipements radio
  • Placer les points d’accès et antennes dans des boîtiers protégés ; utiliser une alimentation basse tension centralisée secourue
docteur souris
Docteur Souris
  • « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès encadré à une messagerie électronique et à Internet »
  • Utilisé par plus de 250 enfants et adolescents en quelques semaines avant son inauguration le 14 octobre 2003 (Hôpital Trousseau)
  • 60 clients simultanés en pointe

http://www.docteursouris.asso.fr/

docteur souris1
Docteur Souris
  • Windows 2000, 2003, XP,Exchange 2000, ISA Server 2000
  • Active Directory
  • PKI
    • Auto-enrôlement des machines
  • RADIUS
  • 802.1x, EAP-TLS
  • Administration simplifiée à l’usage des éducatrices
docteur souris2
Docteur Souris

Active Directory

Certificate Services

IAS

microsoft solution for securing wireless lans
Microsoft Solution for Securing Wireless LANs
  • http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx
  • http://go.microsoft.com/fwlink/?LinkId=14844
microsoft solution for securing wireless lans1
Microsoft Solution for Securing Wireless LANs
  • Planning Guide – guide de planification
  • Build Guide – procédures détaillées de configuration et sécurisation
  • Operations Guide – guide de maintenance, supervision, support, gestion des changements
  • Test Guide – démarche de test utilisée chez Microsoft pour valider la solution
  • Lire les Release Notes pour l’adaptation à WPA
sommaire5
Sommaire
  • Faiblesse des protocoles 802.11 d’origine
  • Solutions sécurisées
    • 802.1x – EAP-TLS, PEAP
    • WPA
  • Scénarios de déploiement
  • Recommandations
synth se1
Synthèse
  • Aujourd’hui
    • Entreprises : 802.1x
      • EAP-TLS si vous avez une PKI
      • PEAP-EAP-MS-CHAP v2 sinon
      • WPA si possible (nouveaux matériels)
    • Particuliers et petites entreprises :
      • WPA si possible (nouveaux matériels)
  • Demain
    • 802.11i
r f rences
Références
  • The Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Windowshttp://www.drizzle.com/~aboba/IEEE/
  • Wi-Fihttp://www.microsoft.com/wifihttp://www.wi-fi.org
  • Microsoft Solution for Securing Wireless LANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxhttp://go.microsoft.com/fwlink/?LinkId=14844
slide52

Cette présentation sera disponible sur :

http://www.microsoft.com/france/securite/evenements/