1 / 34

801.11 Wi-Fi Sécurité

801.11 Wi-Fi Sécurité. Authentification la base. SSID Echange du SSID pour l’authentification. Les bases Régler la porté des points d’accès, Protéger point d’accè s, Vérifier les conditions d’utilisation après un reset, Retirer le SSID de la trame beacon si possible. Sécurité de base, WEP.

varsha
Download Presentation

801.11 Wi-Fi Sécurité

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 801.11 Wi-FiSécurité

  2. Authentification la base • SSIDEchange du SSID pour l’authentification. • Les bases • Régler la porté des points d’accès, • Protéger point d’accès, • Vérifier les conditions d’utilisation après un reset, • Retirer le SSID de la trame beacon si possible.

  3. Sécurité de base, WEP • La sécurité de base existante consiste en deux sous-systèmes: • Un algorithme d’authentification à clef partagée (Shared Key Authentication) • Une technique de chiffrement et d’encapsulation des données appelée WEP (Wired Equivalent Privacy) • Authentification clé WEP: • Clé privée d’authentification délivrée hors bande • L’AP transmet une phrase aléatoire en texte (challenge-plain text) • La station crypte la phrase et la retransmet au PA

  4. Le process ICV Integrity Check Value (CRC) IV vecteur d’initialisation, choisit aléatoirement

  5. WPA - 802.11i

  6. WPA (Wi-Fi Protect Access) • WPA a été créé par « The WI-FI Alliance, un groupement industriel qui possède le label Wi-Fi et certifie les les produits qui portent ce logo. 802.11i est sorti en tant que standard en Juin 2004 • Authentification – PSK / EntrepriseWPA entreprise est architecturé avec l’utilisation d’un protocole d’autentification 802.11x, un authentification server, qui distribue les clés à chaque clients; cependant.Le WPA-PSK, est la version la plus simple, c’est le « Pre-Shared Key" (PSK) mode, dans lequel les utilisateurs utilisent la même identification • WPA2 est la certification du standard IEEE 802.11iWPA2 implémente les éléments définis dans le standard en particulier " the Michael algorithm " est remplacé paru un message authentication code, CCMP, qui est considéré très secure et introduction du AES en option pour le cryptage

  7. Un apport déterminant WPA: TKIP • TKIP (Temporal Key Integrity Protocol) est essentiellement un upgrade qui tend à pallier les défauts connus du WEP, du cryptage RC4 Le vecteur d’initialisation est hashé (empreinte cryptée) , évitant le snooping de paquets, et permettant de procurer un message d’intégrité (MIC).. • TKIP inclus également le mode de gestion de clé dynamiques, qui constitue une première parade assez efficace, contre les crackers de clé WEP, utilisés en mode passif. • Il est généralement implémenté en firmware ou en logiciel , donc permet les upgrade faciles des points d’accès et ponts . • TKIP spécifie les règles d’utilisation : de l’IV, des bases de modification des clés (re-keing),des procédures éventuelles 8021.x par paquet, et le mode mixte du code d’intégrité (MIC). • La performance du débit peut s’en trouver affectée, mais compte tenu de la simplicité d’implémentation d’une part, et le gain en sécurité ,d’autre part, cette solution peut être acceptable pour sécuriser des réseaux de petite et moyenne dimension, tout en considérant les limites de ce mécanisme.

  8. Apport TKIP • Vecteur d'initialisation de 48-bits :Le WEP n'utilise qu'un vecteur d'initialisation de 24-bits. Le crackage de la clé WEP provient du fait que le pirate peut déterminer la clé WEP à partir du vecteur d'initialisation de 24-bits. En utilisant un vecteur d'initialisation de 48-bits, il est bien plus difficile à déterminer. • Le PA génère et distribue les clés de cryptageDescription de clé de cryptage de façon périodique à chaque client. En fait, chaque trame utilise une nouvelle clé. Cela évite d'utiliser une même clé WEP pendant des semaines voire des mois. • Code d'intégrité du message :Ce code, appelé également "Michael" (MIC : Message Integrity Code) permet de vérifier l'intégrité de la trame. Le WEP utilise une valeur de vérification d'intégrité (ICV) de 4 octets (comme un CRC pour un fichier ZIP par exemple). Le WPA rajoute un MIC de 8 octets. • Serveur de clés wep :L’avantage de TKIP est de pouvoir l’implanter directement sur le matériel existant en changeant uniquement le logiciel des cartes sans fil et des AP (Access Point).

  9. Configuration WPA ap#conf ter Enter configuration commands, one per line. End with CNTL/Z. ap(config)#dot11 ssid celeste ap(config-ssid)#authentication open ap(config-ssid)#authentication key-management wpa ap(config-ssid)#wpa-psk ascii margeride ap(config-ssid)#guest-mode ap(config-ssid)#exit ap(config)#interface dot11Radio 0 ap(config-if)#encryptionmode ciphers tkip ap(config-if)#ssid celeste ap(config-if)#no shutdown ap(config-if)# * %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset * %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 19 seconds * %DOT11-6-FREQ_USED: Interface Dot11Radio0, frequency 2417 selected * %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up * %LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed state to up * %DOT11-7-AUTH_FAILED: Station 000e.35be.47bf Authentication failed * %DOT11-7-AUTH_FAILED: Station 000e.35be.47bf Authentication failed * %DOT11-7-AUTH_FAILED: Station 000e.35be.47bf Authentication failed * %DOT11-6-ASSOC: Interface Dot11Radio0, Station 000e.35be.47bf Associated KEY_MGMT[WPA PSK]

  10. Config PC

  11. CCMP • Counter Mode with Cipher Block chaining Message Protocolhttp://en.wikipedia.org/CCMPSuite d’opération pour assure la confidentialité, l’intégrité et l’authentification en utilisant des technologies de cryptage symétrique par block • CCM utilise counter (CTR) mode pour la confidentialité • CCM utilise CCM avec CBC-Mac pour l’authentification et l’intégritéCypher Block Chaining Message Authentification Code • Les algorithmes de base étant l’AES Advanced Encryption Standardhttp://en.wikipedia.org/Advanced_Encryption_Standard • Methode préconisée par la NIST ( National Institude of Standards and Technology elle-même sous l’autorité US Federal Information Security) • Solution long terme • État de l’art cryptographique • La meilleure à ce jour

  12. Authentication • CCMP ou TKIP fournissent:une technologie d’Authentification avec un chiffrement symétrique • Quels mécanismes pour distribuer/attribuer les clés? • Multiple • Les clefs doivent être liées avec le dispositif d’authentification. • WPA-PSKClé partagé identique, pour une utilisation SOHO • WPA Entreprise, Avec serveur d’authentification

  13. Authentification centralisé • Une authenfication centralisée avec un serveur Facilité l’administration des utilisateurs, Plus simple qu’un gestion de clé manuelle pour chaque utilisateur!! • Ce serveur peut être interne au PA, ou LDAP dans l’entreprise, et utiliser un protocole d’authentification radius par exemple

  14. Authentification 802.1 x • 802.1X une boîte à outil générique pour les LANs afin de permettre: • L’authentification sur un port • Port = un point d’attachement d’un système à LAN, • Dans le schéma on voit un port contrôlé et un port sans authentification • Dans le cas ou le port est contrôlé, il va falloir mettre un processus d’authentication avant d’autoriser l’accès

  15. Authentification 802.1 x État authentifié État non authentifié Accès bloqué Accès autorisé

  16. Authentification 802.1X /EAP • Extensible Authentification Protocol, Protocole d’authentification • Le boite à outils côté LAN assuré par 802.1X • Un serveur d’authentification RADIUS • Dérivation des clés de cryptage après l’authentification • Mise en place politique de sécurité avec temps d’expiration des sessions, • Plusieurs variantes sur le moyen authentification utilisateur • EAP-TLS • EAP-TTLS/MSCHAPv2 • PEAPv0/EAP-MSCHAPv2 • PEAPv1/EAP-GTC • EAP-SIM

  17. Les variantes

  18. EAP radius • EAP over RADIUS est la transmission d’EAP messages par l’access server au RADIUS server pour authentication. L’EAP message envoyé entre l’access client et l’access server est formatté comme un EAP-Message RADIUS attribute décrit dans le RFC 2869, section 5.13, et envoyé entre l’access server et the RADIUS server. L’access server devient uniquement un intermédiaire pour transmettre des EAP messages entre l’access client et le RADIUS server. Le traitement des messages EAP messages est faite au niveau de l’ access client et du server RADIUS, pas au niveau du l’access server, voir figure au dessus. • EAP over RADIUS est utilisé dans des environnement ou RADIUS est utilisé pour fournir un service d’authentification. L’avantage d’utiliser EAP over RADIUS vient du fait que EAP types n’a pas besoin d’être installé sur chaque access server mais seulement au niveau du RADIUS server. Cependant, l’access server doit supporté la négociation EAP comme authentication protocol et la transmission de message EAP au serveur RADIUS. • Dans un usage typique d’EAP over RADIUS, l’access server est configuré pour utiliser EAP et d’utiliser RADIUS comme authentification provider. When a connection attempt is made, the access client negotiates the use of EAP with the access server. When the client sends an EAP message to the access server, the access server encapsulates the EAP message as the EAP-Message attribute of a RADIUS Access-Request message and sends it to its configured RADIUS server. The RADIUS server processes the EAP message in the EAP-Message attribute and sends an EAP response message as a RADIUS Access-Challenge message with the EAP-Message attribute to the access server. The access server then forwards the EAP message to the access client.

  19. 802.1x/EAP Authentification

  20. Plus de détails

  21. Configuration WPA EAP-TLS ap(config)# radius-server host 192.168.10.1 ap(config)# aaa new-model ap(config)# aaa group server radius rad_eap ap(config-sg-radius)# server 192.168.10.1 ap(config-sg-radius)# exit * %RADIUS-4-NOSERV: Warning: Server 192.168.10.1:1645,1646 is not defined.au ap(config)#aaa authentication login eap_method group rad_eap ap(config)#e xit ap# show run | include aaa aaa new-model aaa group server radius rad_eap aaa authentication login eap_method group rad_eap aaa session-id common ap# conf terminal Enter configuration commands, one per line. End with CNTL/Z. ap(config)# dot11 ssid soleil ap(config-ssid)# authentication open eap eap_method ap(config-ssid)# authentication network-eap eap_method ap(config-ssid)# authentication key-management wpa ap(config-ssid)# guest-mode ap(config-ssid)# exit ap(config)# interface dot11Radio 0 ap(config-if)# encryption mode ciphers tkip ap(config-if)# ssid soleil ap(config-if)# no shutdown ap(config-if)# * %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset * %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 26 seconds ap(config-if)#exit ap(config)#exit

  22. Utilisation certificats PKI, Clé publique, Certificat, CA

  23. PKI, Problèmes à résoudre • Comment ratacher une clé publique à son propriétaire? • Comment être sur de l’authenticité d’un certificat? • Comment résoudre alors ce problème d’authenticité du certificats? • Qu’est-ce qu’une autorité de certification?

  24. PKI, Certificats • Une carte d’identité numérique dans un monde cybernétique où CA (Certifying Authority) jouerait le rôle de la préfecture où un annuaire LDAP serait une base de données de tous les français. • Plusieurs cas d’utilisation serveurs ou utilisateurs. • Permet d’authentifier, chiffrer des données sur un réseau en fonction de l’utilisation. • Utilisation:Authentification utilisateurs, serveur WEB, mail

  25. PKI, Certification • Créer, gèrer, distribuer des certificats. • Les acteurs sont les autorités de certifications (CA Certifying Authorities). • La certification est essentiellement utilisée pour authentifier la clé publique d ’un interlocuteur. • Son rôle est attribué à: • Des organismes compétents et qualifiées reconnus comme tiers de confiance, • Des serveurs dédiés dans l’entreprise, appelés serveur de certificaton.

  26. PKI, Certification • «Notaire Electronique» • Service de délivrance de Certificat (standard X509) • Service de Datation de Documents • Des Acteurs : • VeriSign, Thawte,Certinomis (la poste) • Les logiciel pour contruire sa solution • Services offerts par les serveurs Windows ou solutions OpenSource • Gère la liste de révocation des certificats

  27. Process vérification certificat utilisateur

  28. En conclusion: • Une PKI peut se définir de la façon suivante: Une PKI est une infrastructure formée de serveurs et de certificats, créant, gérant et mettant à disposition des certificats numériques dont l’authenticité est certifiée par l’autorité de certification représentant et utilisant cette PKI.

  29. Cas sécurité Wifi-EAP-TLS Serveur CA Cas d’une infrastructure PKI, avec utilisation serveur CA, et certificat.L’utilisateur envoi son certificat, le serveur radius vérifie qu’il émane bien d’un CA approuvé. Puis vérifie l’identité et ses droits d’accès, pour lui permettre l’accès. Certificat utilisateur Certificat Serveur Radius Certificat CA Certificat Serveur Radius Certificat CA Serveur radius Certificat Utilisateur Certificat CA Le serveur authentifie l’utilisateur, l’utilisateur authentifie le serveur par une infrastructure PKI, le client et le serveur posséde un certficat, délivré par une CA.

  30. Synoptique Le serveur envoie son certificat Le client envoie son certificat

  31. En résumé • WEP statique – Utilisation personnelle • Clé utilisant un secret partagé ( Tous les utilisateurs utilisent la même clé !!) • Cryptage de type RC4 généralement 24 bits • Problèmes de sécurité induit, algorithme de chiffrement et administration. • WPA – Utilisation professionnelleWifi Protected Access • Assure a la fois intégrité, et ensuite cryptage par soit RC4 ou AES (WPA 2) • Le RC4 plus robuste (vecteur de 48 bits, contre 24 WEP) • Démarche EAP/802.1x (Extensible Authentification Protocol), voir transparent suivant • WPA –PSK – Personnelle amélioréeVariante du WPA • Version simplifiée du WPA pour une utilisation personnelle • Process d’identification identique au WEP statique, mais ensuite rotation des clés de cryptage • VPN IPSEC – Réseau avec politique de sécurité à contrainte forte • UnVPN entre le client et le réseau d’entreprise, globalement on rajoute un tunnel niveau 3 basé sur une approche IPSEC, • Plus complexe à mettre en œuvre!!

  32. Conclusion • Le wifi oui • Mais: plusieurs péchés capitaux à ne pas négliger: • La couche physique • La puissance d’émission • Les maillons faibles • L’administration • Le manque d’isolement • Les configurations par défaut

More Related