Sécurité des réseaux mesh sans fil

1

Security

Wireless mesh networks

Sécurité des réseaux mesh sans fil.

Réalisé par:

Omar CheikhrouhouSous la direction:

Maher Ben Jemaa Maryline Maknavicius

jeudi 20 avril 2023 Omar CHEIKHROUHOU 2

Plan

Réseaux mesh sans fil Objectifs Solutions proposées

Extension du protocole 802.1X Architecture d’authentification basée sur PANA Nouvelle méthode d’authentification : EAP-EHash

Conclusion & perspectives

jeudi 20 avril 2023 Omar CHEIKHROUHOU 3

Qu’est ce qu’un réseau mesh sans fil?

Internet

Routeurs mesh

Nœuds mobiles

jeudi 20 avril 2023 Omar CHEIKHROUHOU 4

Différence par rapport aux WLANs

Internet

Je ne vois pas le point

d’accès

BSS BSS

Internet

Routeur d’accès (AR). Point d’accès (AP).Système de distribution sans fil (WDS).

Système de distribution filaire (DS).

Chemins multi-sauts. Communication directe entre le mobile et AP.

jeudi 20 avril 2023 Omar CHEIKHROUHOU 5

Domaines d’applications

jeudi 20 avril 2023 Omar CHEIKHROUHOU 6

Les risques de sécurité

Analyse de trafic Usurpation d’identité Utilisation des ressources par des nœuds

non autorisées

jeudi 20 avril 2023 Omar CHEIKHROUHOU 7

Objectifs

Authentification Contrôle d’accès Confidentialité

IPsec

8

Authentification

Première solution: extension de 802.1X

jeudi 20 avril 2023 Omar CHEIKHROUHOU 9

802.1X: philosophie

Supplicant(802.1X client )

Authentication server(e.g. RADIUS)

Services offered byAuthenticator’s

system

Authenticator PAE

Supplicant PAE

LAN

Uncontrolled portControlled port

Unauthorized port

Authenticator ( 802.1X access point)

Internet

Authentication Server

EAP protocol exchanges carried in higher-layer

protocol

jeudi 20 avril 2023 Omar CHEIKHROUHOU 10

802.1X: extension proposée (1)

Supplicant( 802.1X client) Authenticator

(802.1X mesh router )

Ad hoc networks

Type Version Code LengthEAP

Packet

Trame EAPOL

traditionnelle

NouvelleTrame EAPOL

Type Version Code LengthDestination

AddressSource Address

EAP Packet

802.11

EAPOL

EAP

EAP method (MD5,TLS,PEAP,…)

Supplicant(802.1X client )

Authenticator ( 802.1X access point)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 11

802.1X extension: procédure d’authentification dans WMN

EAP-Success, TimeStamp, MIC

EAPOL Start

EAP Identity Request

RADIUS Access Accept (EAP)

Derived key

EAPOL Start

Authentication message exchanges

1

2

3

4

EAPOL (EAP Over LAN) EAP Over RADIUS

Authentication server(e.g. RADIUS)

Authenticator (802.1X mesh router )

Internet

Intermediate node (802.1X relay)

Supplicant( 802.1X client)

MACi1MACs

Destination Next_hop others

…… ……

MACs MACi1

….. …...

5

jeudi 20 avril 2023 Omar CHEIKHROUHOU 12

Vulnérabilités de 802.1X: attaque DoS

Internet

HTTP

SMTP

VoIP

On va s’amuser un peu ! EAPOL-Logoff(@MAC=X) EAPOL-Logoff(@MAC=Y)

X Y

jeudi 20 avril 2023 Omar CHEIKHROUHOU 13

802.1X: extension proposée (2)

Supplicant( 802.1X client) Authenticator

(802.1X mesh router )

Ad hoc networks

Type Version Code LengthEAP

Packet

Trame EAPOL

traditionnelle

NouvelleTrame EAPOL

Type Version Code LengthDestination

AddressSource Address TimeStamp MIC

EAP Packet

jeudi 20 avril 2023 Omar CHEIKHROUHOU 14

Augmenter le niveau de sécurité: lutter contre DoS

Internet

HTTP

SMTP

VoIP

Je dois trouver d’autre solution

EAPOL-Logoff(@MAC=X)

*J’ai reçu EAPOL-Logoff*Verification de MIC

jeudi 20 avril 2023 Omar CHEIKHROUHOU 15

Les apports de notre extension Utilisation du protocole 802.1X dans les

réseaux mesh sans fil. Amélioration de la sécurité du protocole

802.1X Fournir l’intégrité des messages

16

Authentification

Deuxième solution, basée sur PANA

(Protocol for Carrying Authentication for Network Access)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 17

802.11

Encapsulation de EAP dans PANA PANA permet de transporter les messages

d’authentification au-dessus de la couche IP.

IP

UDP

PANA

EAP

EAP method (MD5,TLS,PEAP,…)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 18

PANA: philosophie

PaC PAA

Internet

EP

AAAPANA

SN

MP

/AP

I

IKE

/4-way handshake

Serveur d’authentification

jeudi 20 avril 2023 Omar CHEIKHROUHOU 19

PANA dans les réseaux mesh : idée 1

Serveur d’authentification

PaC

EP

AR

PAA

EP/AR/PAA

jeudi 20 avril 2023 Omar CHEIKHROUHOU 20

PANA dans les réseaux mesh : idée 2

AR/EP

PAA

AR/EP

AS

PaC

jeudi 20 avril 2023 Omar CHEIKHROUHOU 21

Comparaison entre les deux architectures

Coût de déploiement de réseau

Complexité du routeur mesh

Mobilité

sécurité

Comparison

AS

PaC

EP/AR/PAA

AR/EP

PAA

AR/EP

AS

PaC

jeudi 20 avril 2023 Omar CHEIKHROUHOU 22

Autorisation

WMN sécurité: Procédure complète avec PANA

PaC AR/EP PAA DHCP Server AS

IKE

IPsec SA

Authentification interaction

Configuration

Découverte de PAA

jeudi 20 avril 2023 Omar CHEIKHROUHOU 23

Le protocole EAP

Extension de 802.1X Authentification au

niveau 2

PANA Authentification au

niveau 3

802.11

EAPOL

EAP

EAP method (MD5,TLS,PEAP,…)

802.11

IP

UDP

PANA

EAP

EAP method (MD5,TLS,PEAP,…)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 24

Insuffisances des méthodes EAP EAP-MD5

Vulnérables aux attaques Authentification unilatérale

EAP-TLS Traitement lourd Gestion d’un IGC

jeudi 20 avril 2023 Omar CHEIKHROUHOU 25

La méthode EAP-MD5

Client

EAP-Request(challenge)

EAP-Request(Identity?)

EAP-Response (MyID)

EAP-Response(HASH)Verify?

No

yes

AuthentificateurServeur

d’authentification

EAP-Success Access Accept (EAP)

EAP-Failure Access Reject (EAP)

HASH = MD5 (secret, Challenge)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 26

Nouvelle méthode d’authentification : EAP-EHash

Client

EAP-Request(challenge || ServerId || RandS || {MIC}_EK )

EAP-Request(Identity?)

EAP-Response (MyID)

EAP-Response(RandC || {HASH}_EK)Verify?

No

yes

AuthentificateurServeur

d’authentification

EAP-Success Access Accept (EAP)

EAP-Failure Access Reject (EAP)

•RandS•AK= F (PSK, RandS)•EK= F (PSK, RandS || ServerID || ClientID)•Challenge

•RandC•HASH = F (AK, Challenge || RandC)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 27

Analyse de la méthode EAP-EHash Traitement léger Authentification rapide Authentification mutuelle Efficacité contre les attaques

jeudi 20 avril 2023 Omar CHEIKHROUHOU 28

Validation formelle de EAP-EHash AVISPA (Automated Validation of Internet

Security Protocols and Applications) Spécification avec HLPSL (High-Level

Protocol Specification Language) Vérification avec le model-checking ofmc (on-

the-fly-model-checking)

jeudi 20 avril 2023 Omar CHEIKHROUHOU 29

Validation formelle de EAP-EHashrole server(...played_by S def=...1.State=1 /\ RCV(respond_id.peerId)=|> State':=2 /\ RandS':=new()…/\MAC':={MIC(AK',Challenge'.serverId.RandS')}_EK'/\ SND(Challenge'.serverId.RandS'.MAC')… /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) … 2. State=2 /\ RCV(RandP'.HASH')

/\HASH'={HMAC(AK,Challenge.RandP')}_EK=|> State':=3 /\ request(S,P,RandP')

/\ SND(success)end role %server

role peer(...played_by P def=...1.State=1 /\ RCV(Challenge'.serverId.RandS'.MAC')

/\ AK'=PRF(PSK.RandS') /\ EK'=PRF(PSK.RandS'.serverId.peerId)

/\ MAC'={MIC(AK',Challenge'.serverId.RandS')}_EK'

=|> State':=2 /\ RandP':=new()

/\ HASH':={HMAC(AK',Challenge'.RandP')}_EK' /\ SND(RandP'.HASH') /\ witness(P,S,rp,RandP') /\ request(P,S,rs,RandS') /\ request(P,S,ch,Challenge')

/\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S})...end role %peer

jeudi 20 avril 2023 Omar CHEIKHROUHOU 30

Validation formelle de EAP-EHashrole session(

P,S: agent,PSK: symmetric_key,MIC,HMAC,PRF: function)

def= local

Speer,Rpeer,Sserver,Rserver : channel (dy) composition

peer(P,S,PSK,MIC,HMAC,PRF,Speer,Rpeer) /\

server(P,S,PSK,MIC,HMAC,PRF,Sserver,Rserver)

end role%%%%%%%%%%%%%%%%%%%%%%%%%goalauthentication_on ch,rsauthentication_on rpsecrecy_of sec_ak,sec_ekend goal

% OFMC% Version of 2005/06/07SUMMARY SAFEDETAILS BOUNDED_NUMBER_OF_SESSIONSPROTOCOL /root/avispa-1.0/testsuite/results/EHash05.ifGOAL as_specifiedBACKEND OFMC…

Résultats

jeudi 20 avril 2023 Omar CHEIKHROUHOU 31

Conclusion

Deux solutions pour l’authentification: Extension de 802.1X PANA

Nouvelle méthode EAP: EAP-EHash. Validation formelle de EAP-EHash.

jeudi 20 avril 2023 Omar CHEIKHROUHOU 32

Perspectives

Mise en place d’une plateforme pour la comparaison de deux solutions.

Implémentation EAP-EHash. Roaming et Re-authentification. Gestion des clés.