1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec...

1 Business and Marketing Organization France

Communication Group

Réseaux sans fil sécurisés avecWindows XP et Windows Server 2003

Novembre 2003Pascal Sauliere


Communication Group

Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003

•Faiblesse des protocoles 802.11 d’origine

•Solutions sécurisées– 802.1x – EAP-TLS, PEAP– WPA

•Mise en œuvre dans Windows•Scénarios de déploiement•Recommandations


Communication Group

Faiblesses de 802.11 et WEP

•WEP = Authentification et chiffrement• Implémentation faible de l’algorithme

RC4– Attaques par désassociation– Découverte de la clé de chiffrement– Écoute des données– Modification de données– Attaque de machines internes– Analogie : prise réseau dans la rue…


Communication Group

Outils bien connus

•NetStumbler•Kismet•AirSnort•WEPCrack•WEPWedgie•Reinj

•Pour en savoir plus : www.google.com


Communication Group

Wi-Fi sécurisé ?

• Ne pas déployer de réseau sans fil– Risque = points d’accès pirates

• Sécurité 802.11 d’origine (WEP)– Risque associé à la faiblesse de WEP

• Utiliser un VPN– Non transparent pour le client, introduit un goulot

d’étranglement

• Utiliser IPsec– Pas d’authentification utilisateur, complexe

• Utiliser 802.1x, EAP-TLS ou PEAP– État de l’art actuel

• Utiliser WPA– État de l’art transitoire –vers 802.11i


Communication Group

•Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

•Solutions sécurisées– 802.1x – EAP-TLS, PEAP– WPA

•Mise en œuvre dans WindowsMise en œuvre dans Windows•Scénarios de déploiementScénarios de déploiement•RecommandationsRecommandations



Communication Group

IEEE 802.1x (2001) – Port-based Network Access ControlCaractéristiques

• Protocole indépendant du support physique (Ethernet, WiFi)

• Point d’accès (AP) compatible 802.1x• Pas de contrainte sur les cartes réseau sans fil• Authentification avec EAP

– Extensible Authentication Protocol – IETF– Choix du protocole d’authentification (méthode

EAP)– L’AP ne s’occupe pas des méthodes EAP

• Autorisations avec RADIUS• Chiffrement du trafic :

– Gestion dynamique des clés 802.11 WEP


Communication Group

802.1x – Vocabulaire

SupplicantAuthentificateur

Serveurd’authentification

Port AuthenticationEntity (PAE)


Communication Group

802.1x – Port contrôlé et port non contrôlé

IEEE 802.1x

DistributionSystem

Port non contrôlé

Port contrôlé

Client Wi-Fi


Communication Group

RADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, Accounting

Serveur de modem

Serveur VPN

Point d’accès sans fil

Serveur

RADIUS

Proxy RADIUS

Base de comptes d’utilisateurs

Clients

Serveurs d’accès

Protocole RADIUS

Clients RADIUS

=


Communication Group

EAP

•Extension de PPP pour des mécanismes arbitraires d’authentification d’accès réseau

•Plug-in d’authentification sur le client et le serveur RADIUS

Client Wi-FiPoint d’accès

Serveur RADIUS

Messages EAP

Dialogue EAP

Messages RADIUS


Communication Group

ClientClient(Supplicant)(Supplicant)

ClientClient(Supplicant)(Supplicant)

Point d’accèsPoint d’accès(Authenticator)(Authenticator)Point d’accèsPoint d’accès

(Authenticator)(Authenticator)RADIUSRADIUS

((Authentication ServerAuthentication Server))RADIUSRADIUS

((Authentication ServerAuthentication Server))

802.11 802.11 associationassociation

EAPOL-startEAPOL-start

EAP-request/EAP-request/identityidentity

EAP-response/EAP-response/identityidentity

RADIUS-access-request RADIUS-access-request (EAP)(EAP)

EAP-requestEAP-request RADIUS-access-RADIUS-access-challenge (EAP)challenge (EAP)

EAP-response EAP-response (credentials)(credentials)

RADIUS-access-request RADIUS-access-request (EAP)(EAP)

EAP-successEAP-success RADIUS-access-accept RADIUS-access-accept (EAP)(EAP)

EAPOW-key EAPOW-key (WEP)(WEP)

Access blockedAccess blocked

Access Access allowedallowed

Authentification


Communication Group

Clés de chiffrement

• Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateur

– Jamais transmises dans l’air– RADIUS envoie la clé à l’AP, chiffrée avec le secret partagé

• Le point d’accès a une clé WEP globale– Utilisée pendant l’authentification de l’AP au client– Envoyée dans un message EAPOW-key– Chiffrée avec la clé de session

• Les clés de session sont re-générées quand…– Durée de vie expirée (60 minutes par défaut)– Le client se déplace vers un nouvel AP


Communication Group

Architecture EAP

TLSTLSTLSTLS GSS_APIGSS_APIKerberosKerberos

GSS_APIGSS_APIKerberosKerberos PEAPPEAPPEAPPEAP IKEIKEIKEIKE MD5MD5MD5MD5

EAPEAPEAPEAP

PPPPPPPPPPPP 802.3802.3802.3802.3 802.5802.5802.5802.5 802.11802.11802.11802.11 Anything…Anything…Anything…Anything…

MéthodeMéthodeMéthodeMéthode

EAPEAPEAPEAP

MediaMediaMediaMediaM

S-C

HA

Pv2

MS

-CH

AP

v2

MS

-CH

AP

v2

MS

-CH

AP

v2

TLS

TLS

TLS

TLS

Secu

rIDS

ecu

rIDS

ecu

rIDS

ecu

rID


Communication Group

Méthodes EAP

• EAP-MD5– Utilise CHAP pour authentifier l’utilisateur– Déconseillé pour le Wi-Fi : hashes transmis en clair, pas

d’authentification mutuelle• EAP-TLS

– Certificats machine et/ou utilisateur : nécessite une PKI– Détermination des clés 802.11

• PEAP (Protected EAP) :– Tunnel TLS pour protéger le protocole d’authentification,

même faible (MS CHAP v2)– Certificat Serveur uniquement– Nécessite Windows XP SP1 et IAS de Windows Server

2003– Détermination des clés 802.11


Communication Group

PEAPMicrosoft, Cisco, RSA

1. Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement

2. Authentifie le client dans ce tunnel Le protocole d’authentification est

protégéTLSTLS

EAPAuthentification

CertificatServeur

EAP RADIUS-EAP


Communication Group

PEAP

•PEAP-EAP-MS-CHAP v2– MS-CHAP v2 utilise un mot de passe

(utilisateur et/ou machine)– Pas de certificat client– Solution si pas de PKI

•PEAP-EAP-TLS– Nécessite un certificat client, donc une PKI– Protège l’identité du client– Plus lent que EAP-TLS


Communication Group

802.1x : est-ce suffisant ?

• Non• Il résout :

– La découverte des clés – changement fréquent et clés distinctes par client

– Les points d’accès pirates et attaques « man in the middle » – authentification mutuelle

– Accès non autorisés – authentification des utilisateurs et des machines

• Il ne résout pas :– Spoofing de paquets et des désassociations –

801.1x n’utilise pas de MIC à clé


Communication Group

WPA

• Standard temporaire avant ratification de 802.11i

• Requis pour la certification Wi-Fi depuis le 31/8/2003

• Wi-Fi Protected Accesshttp://www.wi-fi.org/OpenSection/protected_access.asp

• Overview of the WPA Wireless Security Update in Windows XPhttp://support.microsoft.com/?id=815485


Communication Group

Objectifs de WPA

•Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés Unicast et globale

•Corriger les faiblesses de WEP par une mise à jour logicielle

•Solution sécurisée pour les réseaux domestiques

•Evolutif vers 802.11i•Disponible aujourd’hui


Communication Group

WPA

•Nécessite une mise à jour :– Firmware du point d’accès– Firmware de la carte– Driver de la carte– Logiciel client (« supplicant »)


Communication Group

Caractéristiques de WPA

• Authentification 802.1x requise : EAP et RADIUS, ou clé partagée (PSK)

• Gestion des clés Unicast et Broadcast• Temporal Key Integrity Protocol (TKIP)• Michael : MIC (64 bits) remplace le CRC32

de WEP• AES (optionnel) à la place de RC4• Support de clients WPA et WEP en même

temps


Communication Group

Modes WPA

• Mode Entreprise (RADIUS)– Nécessite un serveur d’authentification– RADIUS pour authentification et distribution des clés– Gestion centralisée des utilisateurs

• Mode clé partagée – pre-shared key mode (PSK)– Ne nécessite pas de serveur d’authentification– « Secret partagé » pour l’authentification sur le point

d’accès – 256 bits– Génération de la clé depuis une passphrase :

algorithme imposé


Communication Group

WPA 802.1x

RADIUSserverDistribution System

TKIP

Authentification 802.1X

802.1X key management

RADIUS-based key distribution

Security Discovery (WPA Information Element)

Scénario entreprise


Communication Group

WPA PSK

TKIP

802.1X key management

Scénario domestique

Security Discovery (WPA Information Element)


Communication Group

802.11i

WPA = sous-ensemble de 802.11i• 802.1x en modes entreprise et PSK• Mode point d’accès (infrastructure – BSS)

• Hiérarchie de clés• Gestion des clés• Négociation de la crypto et de

l’authentification• TKIP


Communication Group

802.11i

802.11i :• 802.1x en modes entreprise et PSK• Mode point d’accès (infrastructure – BSS)• Mode point à point (ad-hoc – IBSS)• Pré-authentification• Hiérarchie de clés• Gestion des clés• Négociation de la crypto et de

l’authentification• TKIP• AES


Communication Group



•Solutions sécuriséesSolutions sécurisées– 802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP– WPAWPA

•Mise en œuvre dans Windows•Scénarios de déploiementScénarios de déploiement•RecommandationsRecommandations


Communication Group

•Natif :– 802.1x EAP-TLS– Wireless Zero Configuration Service

•SP1 : PEAP– 802.1x PEAP-EAP-MS-CHAPv2– 802.1x PEAP-EAP-TLS

•KB.815485 [http://support.microsoft.com/?id=815485]KB.826942 [http://support.microsoft.com/?id=826942]

– WPA (authentification, TKIP, AES)


Communication Group

• Authentification– Open– Shared– WPA– WPA-PSK

• Chiffrement– Désactivé– WEP– TKIP– AES


Communication Group

802.1x• EAP-TLS : « carte à

puce ou autre certificat »

• PEAP– MS-CHAP v2– EAP-TLS


Communication Group

• Internet Authentication Server (IAS)– Serveur RADIUS de Microsoft– Remote Access Policies– EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)

• Certificate Services– PKI avec autoenrollement des machines et des

utilisateurs• Active Directory

– Gestion centralisée des machines et utilisateurs

– Configuration centralisée des clients Wi-Fi (Group Policies)


Communication Group


Communication Group


•Solutions sécuriséesSolutions sécurisées– 802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP– WPAWPA

•Mise en œuvre dans WindowsMise en œuvre dans Windows•Scénarios de déploiement•RecommandationsRecommandations



Communication Group

Réseau Wi-Fi de Microsoft

• Un des plus importants déploiements d’entreprise

• 42 000 utilisateurs dans 42 pays• 150+ bâtiments dans le monde• 4360+ points d’accès• 420 000 m2 couverts• 10 000+ utilisateurs simultanés sur le campus• Sécurisé par 802.1x avec EAP-TLS et PEAP


Communication Group

802.11/.1X802.11/.1XAccess PointAccess Point

Domain UserDomain UserCertificateCertificate

802.1X Controlled Port

RADIUSRADIUS(IAS)(IAS)

DomainDomainController Controller (Active Directory)(Active Directory)

802.1X EAP-TLS/PEAP Connection

DHCPDHCP

DomainDomainControllerController

PeersPeers

802.1X Uncontrolled Port

ExchangeExchange

FileFile

CertificateCertificateAuthorityAuthority


Communication Group

Microsoft Solution for Securing Wireless LANs

• http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp

• http://go.microsoft.com/fwlink/?LinkId=14844


Communication Group

Microsoft Solution for Securing Wireless LANs

• Planning Guide – guide de planification• Build Guide – procédures détaillées de

configuration et sécurisation• Operations Guide – guide de maintenance,

supervision, support, gestion des changements

• Test Guide – démarche de test utilisée chez Microsoft pour valider la solution

• Lire les Release Notes pour l’adaptation à WPA


Communication Group

•Faiblesse des protocoles 802.11 d’origineFaiblesse des protocoles 802.11 d’origine•Solutions sécuriséesSolutions sécurisées

– 802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP– WPAWPA

•Scénarios de déploiementScénarios de déploiement•Recommandations



Communication Group

Synthèse

•Aujourd’hui– Entreprises : 802.1x

• EAP-TLS si vous avez une PKI• PEAP-EAP-MS-CHAP v2 sinon• WPA si possible (nouveaux matériels)

– Particuliers et petites entreprises :• WPA si possible (nouveaux matériels)

•Demain– 802.11i


Communication Group

Références

• The Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Windowshttp://www.drizzle.com/~aboba/IEEE/

• Wi-Fihttp://www.microsoft.com/wifihttp://www.wi-fi.org

• Microsoft Solution for Securing Wireless LANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp

http://go.microsoft.com/fwlink/?LinkId=14844


Communication Group

1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec...

Documents

Transcript of 1 Business and Marketing Organization France Communication Group Réseaux sans fil sécurisés avec...