s curit des r seaux mesh sans fil n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Sécurité des réseaux mesh sans fil. PowerPoint Presentation
Download Presentation
Sécurité des réseaux mesh sans fil.

play fullscreen
1 / 32

Sécurité des réseaux mesh sans fil.

240 Views Download Presentation
Download Presentation

Sécurité des réseaux mesh sans fil.

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Sécurité des réseaux mesh sans fil. Réalisé par: Omar Cheikhrouhou Sous la direction: Maher Ben Jemaa Maryline Maknavicius

  2. Plan • Réseaux mesh sans fil • Objectifs • Solutions proposées • Extension du protocole 802.1X • Architecture d’authentification basée sur PANA • Nouvelle méthode d’authentification : EAP-EHash • Conclusion & perspectives Omar CHEIKHROUHOU

  3. Qu’est ce qu’un réseau mesh sans fil? Routeurs mesh Nœuds mobiles Omar CHEIKHROUHOU

  4. Différence par rapport aux WLANs Omar CHEIKHROUHOU

  5. Domaines d’applications Omar CHEIKHROUHOU

  6. Les risques de sécurité • Analyse de trafic • Usurpation d’identité • Utilisation des ressources par des nœuds non autorisées Omar CHEIKHROUHOU

  7. Objectifs • Authentification • Contrôle d’accès • Confidentialité IPsec Omar CHEIKHROUHOU

  8. Authentification Première solution: extension de 802.1X

  9. 802.1X: philosophie Omar CHEIKHROUHOU

  10. Nouvelle Trame EAPOL 802.1X: extension proposée (1) Trame EAPOL traditionnelle Omar CHEIKHROUHOU

  11. 802.1X extension: procédure d’authentification dans WMN Omar CHEIKHROUHOU

  12. Vulnérabilités de 802.1X: attaque DoS On va s’amuser un peu ! EAPOL-Logoff(@MAC=Y) EAPOL-Logoff(@MAC=X) VoIP Y X HTTP SMTP Omar CHEIKHROUHOU

  13. Nouvelle Trame EAPOL 802.1X: extension proposée (2) Trame EAPOL traditionnelle Omar CHEIKHROUHOU

  14. Augmenter le niveau de sécurité: lutter contre DoS Je dois trouver d’autre solution *J’ai reçu EAPOL-Logoff *Verification de MIC EAPOL-Logoff(@MAC=X) VoIP HTTP SMTP Omar CHEIKHROUHOU

  15. Les apports de notre extension • Utilisation du protocole 802.1X dans les réseaux mesh sans fil. • Amélioration de la sécurité du protocole 802.1X • Fournir l’intégrité des messages Omar CHEIKHROUHOU

  16. Authentification Deuxième solution, basée sur PANA (Protocol for Carrying Authentication for Network Access)

  17. Encapsulation de EAP dans PANA • PANA permet de transporter les messages d’authentification au-dessus de la couche IP. Omar CHEIKHROUHOU

  18. PANA: philosophie AAA PANA SNMP/API IKE/4-way handshake Omar CHEIKHROUHOU

  19. PANA dans les réseaux mesh : idée 1 EP PAA AR EP/AR/PAA Omar CHEIKHROUHOU

  20. PANA dans les réseaux mesh : idée 2 Omar CHEIKHROUHOU

  21. Comparaison entre les deux architectures Omar CHEIKHROUHOU

  22. IPsec SA WMN sécurité: Procédure complète avec PANA Configuration Découverte de PAA Authentification interaction Autorisation IKE Omar CHEIKHROUHOU

  23. Extension de 802.1X Authentification au niveau 2 PANA Authentification au niveau 3 Le protocole EAP Omar CHEIKHROUHOU

  24. Insuffisances des méthodes EAP • EAP-MD5 • Vulnérables aux attaques • Authentification unilatérale • EAP-TLS • Traitement lourd • Gestion d’un IGC Omar CHEIKHROUHOU

  25. EAP-Request(Identity?) EAP-Response (MyID) EAP-Request(challenge) EAP-Response(HASH) EAP-Success Access Accept (EAP) EAP-Failure Access Reject (EAP) La méthode EAP-MD5 Serveur d’authentification Client Authentificateur HASH = MD5 (secret, Challenge) Omar CHEIKHROUHOU

  26. EAP-Request(Identity?) EAP-Response (MyID) EAP-Request(challenge || ServerId || RandS || {MIC}_EK ) EAP-Response(RandC || {HASH}_EK) EAP-Success Access Accept (EAP) EAP-Failure Access Reject (EAP) Nouvelle méthode d’authentification : EAP-EHash Serveur d’authentification Client Authentificateur • RandS • AK= F (PSK, RandS) • EK= F (PSK, RandS || ServerID || ClientID) • Challenge • RandC • HASH = F (AK, Challenge || RandC) Omar CHEIKHROUHOU

  27. Analyse de la méthode EAP-EHash • Traitement léger • Authentification rapide • Authentification mutuelle • Efficacité contre les attaques Omar CHEIKHROUHOU

  28. Validation formelle de EAP-EHash • AVISPA (Automated Validation of Internet Security Protocols and Applications) • Spécification avec HLPSL (High-Level Protocol Specification Language) • Vérification avec le model-checking ofmc (on-the-fly-model-checking) Omar CHEIKHROUHOU

  29. role server( ... played_by S def= ... 1.State=1 /\ RCV(respond_id.peerId)=|> State':=2 /\ RandS':=new() … /\MAC':={MIC(AK',Challenge'.serverId.RandS')}_EK' /\ SND(Challenge'.serverId.RandS'.MAC') … /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) … 2. State=2 /\ RCV(RandP'.HASH') /\HASH'={HMAC(AK,Challenge.RandP')}_EK =|> State':=3 /\ request(S,P,RandP') /\ SND(success) end role %server role peer( ... played_by P def= ... 1.State=1 /\ RCV(Challenge'.serverId.RandS'.MAC') /\ AK'=PRF(PSK.RandS') /\ EK'=PRF(PSK.RandS'.serverId.peerId) /\ MAC'={MIC(AK',Challenge'.serverId.RandS')}_EK' =|> State':=2 /\ RandP':=new() /\ HASH':={HMAC(AK',Challenge'.RandP')}_EK' /\ SND(RandP'.HASH') /\ witness(P,S,rp,RandP') /\ request(P,S,rs,RandS') /\ request(P,S,ch,Challenge') /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) ... end role %peer Validation formelle de EAP-EHash Omar CHEIKHROUHOU

  30. role session( P,S: agent, PSK: symmetric_key, MIC,HMAC,PRF: function ) def= local Speer,Rpeer,Sserver,Rserver : channel (dy) composition peer(P,S,PSK,MIC,HMAC,PRF,Speer,Rpeer) /\ server(P,S,PSK,MIC,HMAC,PRF,Sserver,Rserver) end role %%%%%%%%%%%%%%%%%%%%%%%%% goal authentication_on ch,rs authentication_on rp secrecy_of sec_ak,sec_ek end goal Validation formelle de EAP-EHash Résultats % OFMC % Version of 2005/06/07 SUMMARY SAFE DETAILS BOUNDED_NUMBER_OF_SESSIONS PROTOCOL /root/avispa-1.0/testsuite/results/EHash05.if GOAL as_specified BACKEND OFMC … Omar CHEIKHROUHOU

  31. Conclusion • Deux solutions pour l’authentification: • Extension de 802.1X • PANA • Nouvelle méthode EAP: EAP-EHash. • Validation formelle de EAP-EHash. Omar CHEIKHROUHOU

  32. Perspectives • Mise en place d’une plateforme pour la comparaison de deux solutions. • Implémentation EAP-EHash. • Roaming et Re-authentification. • Gestion des clés. Omar CHEIKHROUHOU