Upload
arnaude-chambon
View
107
Download
0
Tags:
Embed Size (px)
Citation preview
1 Business and Marketing Organization France
Communication Group
Réseaux sans fil sécurisés avecWindows XP et Windows Server 2003
Novembre 2003Pascal Sauliere
2 Business and Marketing Organization France
Communication Group
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
•Faiblesse des protocoles 802.11 d’origine
•Solutions sécurisées– 802.1x – EAP-TLS, PEAP– WPA
•Mise en œuvre dans Windows•Scénarios de déploiement•Recommandations
3 Business and Marketing Organization France
Communication Group
Faiblesses de 802.11 et WEP
•WEP = Authentification et chiffrement• Implémentation faible de l’algorithme
RC4– Attaques par désassociation– Découverte de la clé de chiffrement– Écoute des données– Modification de données– Attaque de machines internes– Analogie : prise réseau dans la rue…
4 Business and Marketing Organization France
Communication Group
Outils bien connus
•NetStumbler•Kismet•AirSnort•WEPCrack•WEPWedgie•Reinj
•Pour en savoir plus : www.google.com
5 Business and Marketing Organization France
Communication Group
Wi-Fi sécurisé ?
• Ne pas déployer de réseau sans fil– Risque = points d’accès pirates
• Sécurité 802.11 d’origine (WEP)– Risque associé à la faiblesse de WEP
• Utiliser un VPN– Non transparent pour le client, introduit un goulot
d’étranglement
• Utiliser IPsec– Pas d’authentification utilisateur, complexe
• Utiliser 802.1x, EAP-TLS ou PEAP– État de l’art actuel
• Utiliser WPA– État de l’art transitoire –vers 802.11i
6 Business and Marketing Organization France
Communication Group
•Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
•Solutions sécurisées– 802.1x – EAP-TLS, PEAP– WPA
•Mise en œuvre dans WindowsMise en œuvre dans Windows•Scénarios de déploiementScénarios de déploiement•RecommandationsRecommandations
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
7 Business and Marketing Organization France
Communication Group
IEEE 802.1x (2001) – Port-based Network Access ControlCaractéristiques
• Protocole indépendant du support physique (Ethernet, WiFi)
• Point d’accès (AP) compatible 802.1x• Pas de contrainte sur les cartes réseau sans fil• Authentification avec EAP
– Extensible Authentication Protocol – IETF– Choix du protocole d’authentification (méthode
EAP)– L’AP ne s’occupe pas des méthodes EAP
• Autorisations avec RADIUS• Chiffrement du trafic :
– Gestion dynamique des clés 802.11 WEP
8 Business and Marketing Organization France
Communication Group
802.1x – Vocabulaire
SupplicantAuthentificateur
Serveurd’authentification
Port AuthenticationEntity (PAE)
9 Business and Marketing Organization France
Communication Group
802.1x – Port contrôlé et port non contrôlé
IEEE 802.1x
DistributionSystem
Port non contrôlé
Port contrôlé
Client Wi-Fi
10 Business and Marketing Organization France
Communication Group
RADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, Accounting
Serveur de modem
Serveur VPN
Point d’accès sans fil
Serveur
RADIUS
Proxy RADIUS
Base de comptes d’utilisateurs
Clients
Serveurs d’accès
Protocole RADIUS
Clients RADIUS
=
11 Business and Marketing Organization France
Communication Group
EAP
•Extension de PPP pour des mécanismes arbitraires d’authentification d’accès réseau
•Plug-in d’authentification sur le client et le serveur RADIUS
Client Wi-FiPoint d’accès
Serveur RADIUS
Messages EAP
Dialogue EAP
Messages RADIUS
12 Business and Marketing Organization France
Communication Group
ClientClient(Supplicant)(Supplicant)
ClientClient(Supplicant)(Supplicant)
Point d’accèsPoint d’accès(Authenticator)(Authenticator)Point d’accèsPoint d’accès
(Authenticator)(Authenticator)RADIUSRADIUS
((Authentication ServerAuthentication Server))RADIUSRADIUS
((Authentication ServerAuthentication Server))
802.11 802.11 associationassociation
EAPOL-startEAPOL-start
EAP-request/EAP-request/identityidentity
EAP-response/EAP-response/identityidentity
RADIUS-access-request RADIUS-access-request (EAP)(EAP)
EAP-requestEAP-request RADIUS-access-RADIUS-access-challenge (EAP)challenge (EAP)
EAP-response EAP-response (credentials)(credentials)
RADIUS-access-request RADIUS-access-request (EAP)(EAP)
EAP-successEAP-success RADIUS-access-accept RADIUS-access-accept (EAP)(EAP)
EAPOW-key EAPOW-key (WEP)(WEP)
Access blockedAccess blocked
Access Access allowedallowed
Authentification
13 Business and Marketing Organization France
Communication Group
Clés de chiffrement
• Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur
– Jamais transmises dans l’air– RADIUS envoie la clé à l’AP, chiffrée avec le secret partagé
• Le point d’accès a une clé WEP globale– Utilisée pendant l’authentification de l’AP au client– Envoyée dans un message EAPOW-key– Chiffrée avec la clé de session
• Les clés de session sont re-générées quand…– Durée de vie expirée (60 minutes par défaut)– Le client se déplace vers un nouvel AP
14 Business and Marketing Organization France
Communication Group
Architecture EAP
TLSTLSTLSTLS GSS_APIGSS_APIKerberosKerberos
GSS_APIGSS_APIKerberosKerberos PEAPPEAPPEAPPEAP IKEIKEIKEIKE MD5MD5MD5MD5
EAPEAPEAPEAP
PPPPPPPPPPPP 802.3802.3802.3802.3 802.5802.5802.5802.5 802.11802.11802.11802.11 Anything…Anything…Anything…Anything…
MéthodeMéthodeMéthodeMéthode
EAPEAPEAPEAP
MediaMediaMediaMediaM
S-C
HA
Pv2
MS
-CH
AP
v2
MS
-CH
AP
v2
MS
-CH
AP
v2
TLS
TLS
TLS
TLS
Secu
rIDS
ecu
rIDS
ecu
rIDS
ecu
rID
15 Business and Marketing Organization France
Communication Group
Méthodes EAP
• EAP-MD5– Utilise CHAP pour authentifier l’utilisateur– Déconseillé pour le Wi-Fi : hashes transmis en clair, pas
d’authentification mutuelle• EAP-TLS
– Certificats machine et/ou utilisateur : nécessite une PKI– Détermination des clés 802.11
• PEAP (Protected EAP) :– Tunnel TLS pour protéger le protocole d’authentification,
même faible (MS CHAP v2)– Certificat Serveur uniquement– Nécessite Windows XP SP1 et IAS de Windows Server
2003– Détermination des clés 802.11
16 Business and Marketing Organization France
Communication Group
PEAPMicrosoft, Cisco, RSA
1. Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement
2. Authentifie le client dans ce tunnel Le protocole d’authentification est
protégéTLSTLS
EAPAuthentification
CertificatServeur
EAP RADIUS-EAP
17 Business and Marketing Organization France
Communication Group
PEAP
•PEAP-EAP-MS-CHAP v2– MS-CHAP v2 utilise un mot de passe
(utilisateur et/ou machine)– Pas de certificat client– Solution si pas de PKI
•PEAP-EAP-TLS– Nécessite un certificat client, donc une PKI– Protège l’identité du client– Plus lent que EAP-TLS
18 Business and Marketing Organization France
Communication Group
802.1x : est-ce suffisant ?
• Non• Il résout :
– La découverte des clés – changement fréquent et clés distinctes par client
– Les points d’accès pirates et attaques « man in the middle » – authentification mutuelle
– Accès non autorisés – authentification des utilisateurs et des machines
• Il ne résout pas :– Spoofing de paquets et des désassociations –
801.1x n’utilise pas de MIC à clé
19 Business and Marketing Organization France
Communication Group
WPA
• Standard temporaire avant ratification de 802.11i
• Requis pour la certification Wi-Fi depuis le 31/8/2003
• Wi-Fi Protected Accesshttp://www.wi-fi.org/OpenSection/protected_access.asp
• Overview of the WPA Wireless Security Update in Windows XPhttp://support.microsoft.com/?id=815485
20 Business and Marketing Organization France
Communication Group
Objectifs de WPA
•Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale
•Corriger les faiblesses de WEP par une mise à jour logicielle
•Solution sécurisée pour les réseaux domestiques
•Evolutif vers 802.11i•Disponible aujourd’hui
21 Business and Marketing Organization France
Communication Group
WPA
•Nécessite une mise à jour :– Firmware du point d’accès– Firmware de la carte– Driver de la carte– Logiciel client (« supplicant »)
22 Business and Marketing Organization France
Communication Group
Caractéristiques de WPA
• Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK)
• Gestion des clés Unicast et Broadcast• Temporal Key Integrity Protocol (TKIP)• Michael : MIC (64 bits) remplace le CRC32
de WEP• AES (optionnel) à la place de RC4• Support de clients WPA et WEP en même
temps
23 Business and Marketing Organization France
Communication Group
Modes WPA
• Mode Entreprise (RADIUS)– Nécessite un serveur d’authentification– RADIUS pour authentification et distribution des clés– Gestion centralisée des utilisateurs
• Mode clé partagée – pre-shared key mode (PSK)– Ne nécessite pas de serveur d’authentification– « Secret partagé » pour l’authentification sur le point
d’accès – 256 bits– Génération de la clé depuis une passphrase :
algorithme imposé
24 Business and Marketing Organization France
Communication Group
WPA 802.1x
RADIUSserverDistribution System
TKIP
Authentification 802.1X
802.1X key management
RADIUS-based key distribution
Security Discovery (WPA Information Element)
Scénario entreprise
25 Business and Marketing Organization France
Communication Group
WPA PSK
TKIP
802.1X key management
Scénario domestique
Security Discovery (WPA Information Element)
26 Business and Marketing Organization France
Communication Group
802.11i
WPA = sous-ensemble de 802.11i• 802.1x en modes entreprise et PSK• Mode point d’accès (infrastructure – BSS)
• Hiérarchie de clés• Gestion des clés• Négociation de la crypto et de
l’authentification• TKIP
27 Business and Marketing Organization France
Communication Group
802.11i
802.11i :• 802.1x en modes entreprise et PSK• Mode point d’accès (infrastructure – BSS)• Mode point à point (ad-hoc – IBSS)• Pré-authentification• Hiérarchie de clés• Gestion des clés• Négociation de la crypto et de
l’authentification• TKIP• AES
28 Business and Marketing Organization France
Communication Group
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
•Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
•Solutions sécuriséesSolutions sécurisées– 802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP– WPAWPA
•Mise en œuvre dans Windows•Scénarios de déploiementScénarios de déploiement•RecommandationsRecommandations
29 Business and Marketing Organization France
Communication Group
•Natif :– 802.1x EAP-TLS– Wireless Zero Configuration Service
•SP1 : PEAP– 802.1x PEAP-EAP-MS-CHAPv2– 802.1x PEAP-EAP-TLS
•KB.815485 [http://support.microsoft.com/?id=815485]KB.826942 [http://support.microsoft.com/?id=826942]
– WPA (authentification, TKIP, AES)
30 Business and Marketing Organization France
Communication Group
• Authentification– Open– Shared– WPA– WPA-PSK
• Chiffrement– Désactivé– WEP– TKIP– AES
31 Business and Marketing Organization France
Communication Group
802.1x• EAP-TLS : « carte à
puce ou autre certificat »
• PEAP– MS-CHAP v2– EAP-TLS
32 Business and Marketing Organization France
Communication Group
• Internet Authentication Server (IAS)– Serveur RADIUS de Microsoft– Remote Access Policies– EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)
• Certificate Services– PKI avec autoenrollement des machines et des
utilisateurs• Active Directory
– Gestion centralisée des machines et utilisateurs
– Configuration centralisée des clients Wi-Fi (Group Policies)
33 Business and Marketing Organization France
Communication Group
34 Business and Marketing Organization France
Communication Group
•Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
•Solutions sécuriséesSolutions sécurisées– 802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP– WPAWPA
•Mise en œuvre dans WindowsMise en œuvre dans Windows•Scénarios de déploiement•RecommandationsRecommandations
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
35 Business and Marketing Organization France
Communication Group
Réseau Wi-Fi de Microsoft
• Un des plus importants déploiements d’entreprise
• 42 000 utilisateurs dans 42 pays• 150+ bâtiments dans le monde• 4360+ points d’accès• 420 000 m2 couverts• 10 000+ utilisateurs simultanés sur le campus• Sécurisé par 802.1x avec EAP-TLS et PEAP
36 Business and Marketing Organization France
Communication Group
802.11/.1X802.11/.1XAccess PointAccess Point
Domain UserDomain UserCertificateCertificate
802.1X Controlled Port
RADIUSRADIUS(IAS)(IAS)
DomainDomainController Controller (Active Directory)(Active Directory)
802.1X EAP-TLS/PEAP Connection
DHCPDHCP
DomainDomainControllerController
PeersPeers
802.1X Uncontrolled Port
ExchangeExchange
FileFile
CertificateCertificateAuthorityAuthority
37 Business and Marketing Organization France
Communication Group
Microsoft Solution for Securing Wireless LANs
• http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp
• http://go.microsoft.com/fwlink/?LinkId=14844
38 Business and Marketing Organization France
Communication Group
Microsoft Solution for Securing Wireless LANs
• Planning Guide – guide de planification• Build Guide – procédures détaillées de
configuration et sécurisation• Operations Guide – guide de maintenance,
supervision, support, gestion des changements
• Test Guide – démarche de test utilisée chez Microsoft pour valider la solution
• Lire les Release Notes pour l’adaptation à WPA
39 Business and Marketing Organization France
Communication Group
•Faiblesse des protocoles 802.11 d’origineFaiblesse des protocoles 802.11 d’origine•Solutions sécuriséesSolutions sécurisées
– 802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP– WPAWPA
•Scénarios de déploiementScénarios de déploiement•Recommandations
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003
40 Business and Marketing Organization France
Communication Group
Synthèse
•Aujourd’hui– Entreprises : 802.1x
• EAP-TLS si vous avez une PKI• PEAP-EAP-MS-CHAP v2 sinon• WPA si possible (nouveaux matériels)
– Particuliers et petites entreprises :• WPA si possible (nouveaux matériels)
•Demain– 802.11i
41 Business and Marketing Organization France
Communication Group
Références
• The Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Windowshttp://www.drizzle.com/~aboba/IEEE/
• Wi-Fihttp://www.microsoft.com/wifihttp://www.wi-fi.org
• Microsoft Solution for Securing Wireless LANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp
http://go.microsoft.com/fwlink/?LinkId=14844
42 Business and Marketing Organization France
Communication Group