Embed Size (px)
Citation preview
mardi 11 avril 2023
1
& CODIFOR-AFPI
1
Les réseaux sans fil & La sécurité,Les réseaux sans fil & La sécurité,
problématiques actuellesproblématiques actuelles
des entreprises et collectivitésdes entreprises et collectivités
mardi 11 avril 2023
2
& CODIFOR-AFPI
2
Un réseau sans fil (en anglais wireless network) est, comme son nom l'indique, un réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire.
Grâce aux réseaux sans fils, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité".
mardi 11 avril 2023
3
& CODIFOR-AFPI
3
Les réseaux sans fils sont basés sur une liaison utilisant des ondes radio-électriques (radio et infrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisée ainsi que le débit et la portée des transmissions.
Les réseaux sans fils permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres et ne demande pas de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux filaires.
En contrepartie se pose le problème de la réglementation relatives aux transmissions radio-électriques. De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en clair. Il est donc nécessaire de mettre en place les dispositions nécessaires de manière à assurer une confidentialité des données circulant en sans fils.
mardi 11 avril 2023
4
& CODIFOR-AFPI
4
WPAN : Wireless Personal Area Networks
Réseaux sans fil de faible portée (quelques dizaines de mètres) qui sont des réseaux à usage personnel.
WLAN : Wireless Lan Area Networks
Réseau à plus large portée (une centaine de mètres) permettant d’interconnecter plusieurs utilisateurs. Equivalent du 802.3 filaire.
WMAN : Wireless Metropolitan Area Networks
Réseau permettant de relier les opérateurs de téléphonie à leurs clients sur une distance de 4 à 10 kilomètres. Boucle Locale Radio
WWAN : Wireless Wide Area Networks
Réseaux sans fil les plus utilisés aujourd’hui. GSM, GPRS et UMTS
Les différents réseaux sans fil
mardi 11 avril 2023
5
& CODIFOR-AFPI
5
Wireless Local Area Network
Wireless Personal Area Network
Wireless Wide Area Network
Les réseaux sans fil : une technologie globale
GPRSGSMUMTS
IEEE 802.11a/b/g/n
IEEE 802.15.1:
IEEE 802.16 & 802.20
mardi 11 avril 2023
6
& CODIFOR-AFPI
6
Les différentes normes WiFi
La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbps. Des révisions ont été apportées à la norme originale afin d'optimiser le débit (c'est le cas des normes 802.11a, 802.11b et 802.11g, appelées normes 802.11 physiques) ou bien préciser des éléments afin d'assurer une meilleure sécurité ou une meilleure interopérabilité.
Les normes 802.11 propres aux réseau Ethernet sans fils sont édictées par l'IEEE(Institute of Electrical and Electronics
Engineers).
Ils autorisent dans la bande des 2.4Ghz avec des puissances d'émission de 10 à 100mw selon les canaux des débits théoriques
maximum:
de 11 Mbps en 802.11b. de 54 Mbps en 802.11g.
Le 802.11a opère dans la bande des 5Ghz avec un débit jusqu'à 54 Mbps.
mardi 11 avril 2023
7
& CODIFOR-AFPI
7
Choisir une technologie de WLAN
L’IEEE a créé le groupe 802.11 en 1997 pour standardiser l’ensemble des transmissions sans fils. Aujourd’hui plusieurs standards ont été créés. Nous pouvons les classer en deux catégories :
Les normes complètes de transmissions : 802.11a : transmission à 54Mb/s, fréquence 5GHz 802.11b : transmission à 11Mb/s, fréquence 2,4GHz 802.11g : transmission à 54Mb/s, fréquence à 2,4GHz
Les normes complémentaires pour ajouter des fonctionnalités : 802.11e : Qualité de service sur le WLAN 802.11f : Protocole de communication entre AP pour le roaming 802.11i : La sécurité sur le WLAN
mardi 11 avril 2023
8
& CODIFOR-AFPI
8
Nom de la norme Nom Description
802.11a Wifi5 La norme 802.11a permet d'obtenir un haut débit (54 Mbps théoriques, 30 Mbps réels). Le norme 802.11a spécifie 8 canaux radio dans la bande de fréquence des 5 GHz.
802.11b Wifi La norme 802.11b est la norme la plus répandue actuellement. Elle propose un débit théorique de 11 Mbps (6 Mbps rééls) avec une portée pouvant aller jusqu'à 300 mètres dans un environnement dégagé. La plage de fréquence utilisée est la bande des 2.4 GHz, avec 3 canaux radio disponibles.
802.11g La norme 802.11g offrira un haut débit (54 Mbps théoriques, 30 Mbps réels) sur la bande de fréquence des 2.4 GHz. Cette norme vient d'être validée. La norme 802.11g a une compatibilité ascendante avec la norme b.
mardi 11 avril 2023
9
& CODIFOR-AFPI
9
802.11b 802.11g 802.11a
Fréquence 2.4Ghz 2.4Ghz 5Ghz
Bande de Fréquences
2,4-2,4835Ghz 2,4-2,4835Ghz 5,150-5,725Ghz
Les débits 11 Mbits/s théorique
54 Mbits/s théorique
54 Mbits/s théorique
Nombre de Bandes de fréquences
(canaux)13 13 19
Le nombre de bandes de
fréquences sans recouvrement
3 3 8
compatibilité aucune 802.11b aucune
mardi 11 avril 2023
10
& CODIFOR-AFPI
10
Choisir une technologie de WLAN
Standard Ratifié en 2002
Fonctionne sur la gamme des 5GHz
Diminution des interférences
8 canaux distincts
Débit maximum 54 Mb/s
Bonne norme pour supporter les applications multimédia.
Bonne résistance aux perturbations
Rayon de couverture de 50m
Forte consommation électrique
Ratifié en Juin 2003
Fonctionne sur la gamme des 2,4GHz
3 canaux distincts
Rayon de couverture de 100m
Un débit maximum de 54 Mb/s
Beaucoup plus de matériel disponible
Compatible avec le 802.11b (11Mbs)
Risques d’interférences important
802.11a 802.11b/g
mardi 11 avril 2023
11
& CODIFOR-AFPI
Les lois de la radio
11
Débit plus grand = Couverture plus faible
Puissance d’émission élevée = Couverture plus grande, mais durée de vie des batteries plus
faible
Fréquences radio élevées = Meilleur débit, + sensible aux obstacles.
=> couverture plus faible
mardi 11 avril 2023
12
& CODIFOR-AFPI
12
La réglementation Française
Les réseaux radios en France sont réglementés par l’ACERP:
C’est cet organisme qui attribue les fréquences aux différents technologies et aux différents utilisateurs
www.arcep.fr
Pour les réseaux radio (RLAN ou WLAN), les fréquences ne sont pas attribuées personnellement.
La bande de fréquence des 2,4Ghz (2400 MHz à 2483,5MHz) et des 5Ghz (5150MHz à 5350 MHz) sont réservées aux RLAN
mardi 11 avril 2023
13
& CODIFOR-AFPI
La réglementation française pour la bande des 2.4GHz
13
Pour les WLANs :
Ils sont autorisés :
à l’intérieur des bâtiments avec une puissance maximale de 100mW sur toute la bande 2400MHz-2483.5MHz.
à l’extérieur des bâtiments avec une puissance maximale de 100mW sur la partie 2400-2454MHz et avec une puissance maximale de 10mW sur la partie 2454-2483.5MHz.
mardi 11 avril 2023
14
& CODIFOR-AFPI
14
Utilisation de la bande 2,4GHz (802.11b/g)
A l’intérieur
Puissance maximale : 100 mW
2400 MHz canal 1 à 13 2483,5 MHz
A l’extérieur
Puissance maximale : 100 mW
2400 MHz canal 1 à 7 2483,5 MHz2445MHz
Puissance maximale : 10 mW, 100mW possible après accord
sur propriété privé
Le 802.11b/g
autorisé à l’intérieur en
France !!!
Le 802.1b/g
autorisé à l’extérieur en
France !!!
mardi 11 avril 2023
15
& CODIFOR-AFPI
15
Utilisation de la bande des 5GHz (802.11a)
Utilisation à l’intérieur des bâtiments
Puissance max : 200mW
5150 MHz 5250 MHz200mW avec DFS et TPC,
100mW avec DFS uniquement
5350 MHz 5470 MHz
Impossible
5725MHz
Utilisation à l’extérieur des bâtiments
Impossible
5150 MHz 5350 MHz 5470 MHz
Impossible
5725MHz
TPC : Contrôle de la puissance d’émission
DFS : Sélection automatique de la fréquence
Le 802.11a
autorisé à l’intérieur en
France !!!
Pas de 802.11a
en extérieur
pour la France !!!
mardi 11 avril 2023
16
& CODIFOR-AFPI
Un point sur le MIMO
16
Avec le MIMO, on décide de ne plus envoyer un unique signal mais d'utiliser plusieurs antennes pour envoyer plusieurs signaux.
Selon le fabricant de puces auquel font appel les constructeurs de périphériques Wifi, la technologie diffère quelque peu.
Les signaux multiples peuvent tous être envoyés sur le même canal, dans des directions différentes, pour profiter d'un effet de « superposition » des signaux et augmenter ainsi portée et débits.
Il est également possible d'envoyer des signaux sur plusieurs plages de fréquence proches les unes des autres, dans des directions différentes.
mardi 11 avril 2023
17
& CODIFOR-AFPI
17
mardi 11 avril 2023
18
& CODIFOR-AFPI
18
Dans les deux cas, une puce se charge de décomposer le signal pour préparer cette émission multiple.
En empruntant différents chemins, ces signaux multiples permettent d'optimiser la transmission globale.
Au niveau de la réception, la puce se charge de récupérer les différents signaux et recompose le flux de données initial.
Les puces en question sont censées être capables de gérer dynamiquement le chemin emprunté par les ondes radio pour déterminer en permanence la combinaison qui permettra d'assurer la meilleure transmission possible.
Voilà pourquoi les périphériques MIMO sont dotés de plusieurs antennes.
mardi 11 avril 2023
19
& CODIFOR-AFPI
19
mardi 11 avril 2023
20
& CODIFOR-AFPI
20
Les équipements WiFi
Les adaptateurs sans fil ou cartes d'accès
En anglais wireless adapters ou network interface controller, noté NIC. Il s'agit d'une carte réseau à la norme 802.11 permettant à une machine de se connecter à un réseau sans fil.
Les adaptateurs WiFi sont disponibles dans de nombreux formats (carte PCI, carte PCMCIA, adaptateur USB, carte compactflash, ...). On appelle station tout équipement possédant une telle carte.
A noter que les composants Wi-Fi deviennent des standards sur les portables (label Centrino d'Intel)
mardi 11 avril 2023
21
& CODIFOR-AFPI
21
Les équipements WiFi
Les points d'accès Notés AP pour Access point, parfois
appelés bornes sans fil, permettant de donner un accès au réseau filaire (auquel il est raccordé) aux différentes stations avoisinantes équipées de cartes WiFi.
Cette sorte de hub est l'élément nécessaire pour déployer un réseau centralisé en mode infrastructure.
Certains modèles proposent des fonctions de modem ADSL et comprennent plus ou moins de fonctions comme un pare-feu.
mardi 11 avril 2023
22
& CODIFOR-AFPI
22
MISE EN OEUVRE DU Wi-FI
mardi 11 avril 2023
23
& CODIFOR-AFPI
23
Le mode infrastructure En mode infrastructure, chaque
ordinateur station (notée STA) se connecte à un point d'accès via une liaison sans fil.
L'ensemble formé par le point d'accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set, noté BSS) et constitue une cellule.
Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits).
Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il s'agit généralement du mode par défaut des cartes 802.11b.
mardi 11 avril 2023
24
& CODIFOR-AFPI
24
Mode Infrastructure (2/2)
mardi 11 avril 2023
25
& CODIFOR-AFPI
25
Mode Infrastructure (1/2)
mardi 11 avril 2023
26
& CODIFOR-AFPI
26
Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS).
Le système de distribution (DS) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil !
Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ESS, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès.
Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais roaming)
mardi 11 avril 2023
27
& CODIFOR-AFPI
27
La communication avec le point d'accès
En effet chaque point d'accès diffuse régulièrement (à raison d'un envoi toutes les 0.1 secondes environ) une trame balise (nommée beacon en anglais) donnant des informations sur son BSSID, ses caractéristiques et éventuellement son ESSID.
L'ESSID est automatiquement diffusé par défaut, mais il est possible (et recommandé) de désactiver cette option.
A chaque requête de sondage reçue, le point d'accès vérifie l'ESSID et la demande de débit présents dans la trame balise. Si l'ESSID correspond à celui du point d'accès, ce dernier envoie une réponse contenant des informations sur sa charge et des données de synchronisation.
La station recevant la réponse peut ainsi constater la qualité du signal émis par le point d'accès afin de juger de la distance à laquelle il se situe. En effet d'une manière générale, plus un point d'accès est proche, meilleur est le débit.
Une station se trouvant à la portée de plusieurs points d'accès (possédant bien évidemment le même SSID) pourra ainsi choisir le point d'accès offrant le meilleur compromis de débit et de charge.
mardi 11 avril 2023
28
& CODIFOR-AFPI
28
Plusieurs points d’accès peuvent être installés pour couvrir une
large distance ou augmenter la bande passante, mais les points d’accès dont la couverture se chevauche doivent utiliser des canaux
non-overlapping différents.
mardi 11 avril 2023
29
& CODIFOR-AFPI
802.11b/g : Canaux non-overlappés
29
1 6 11
mardi 11 avril 2023
30
& CODIFOR-AFPI
30
WLAN 1 WLAN 2
AP1 AP2
LAN1
LAN2
Pont Wireless
Si le point d’ accés le permet…
mardi 11 avril 2023
31
& CODIFOR-AFPI
31
Le mode ad hoc
En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin de constituer un réseau point à point (peer to peer en anglais), c'est-à-dire un réseau dans lequel chaque machine joue en même temps de rôle de client et le rôle de point d'accès.
L'ensemble formé par les différentes stations est appelé ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS).
mardi 11 avril 2023
32
& CODIFOR-AFPI
32
mardi 11 avril 2023
33
& CODIFOR-AFPI
33
Dans un réseau ad hoc, la portée du BSS indépendant est déterminé par la portée de chaque station.
Cela signifie que si deux des stations du réseaux sont hors de portée l'une de l'autre, elles ne pourront pas communiquer, même si elles "voient" d'autres stations.
En effet, contrairement au mode infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les trames d'une station à une autre.
Ainsi un IBSS est par définition un réseau sans fil restreint.
mardi 11 avril 2023
34
& CODIFOR-AFPI
34
SECURITE: les précautions
mardi 11 avril 2023
35
& CODIFOR-AFPI
35
Les ondes radio-électriques ont intrinsèquement une grande capacité à se propager dans toutes les directions avec une portée relativement grande. Il est ainsi très difficile d'arriver à confiner les émissions d'ondes radio dans un périmètre restreint.
La propagation des ondes radio doit également être pensée en trois dimensions. Ainsi les ondes se propagent également d'un étage à un autre (avec de plus grandes atténuations).
La principale conséquence de cette "propagation sauvage" des ondes radio est la facilité que peut avoir une personne non autorisée d'écouter le réseau, éventuellement en dehors de l'enceinte du bâtiment où le réseau sans fil est déployé.
mardi 11 avril 2023
36
& CODIFOR-AFPI
36
SociétéSociété
Quels sont les risques majeurs du piratage du système d’information ?
Capturer des données Avec les réseaux radioCapturer des données Avec les réseaux radio
Les vols commis par des
utilisateurs autorisés
Les vols commis par des
utilisateurs autorisés
Rendre les applications en réseau indisponibleRendre les applications en réseau indisponible
Le vol de matériel met en évidence les
mécanismes de sécurité disponibles sur le
device
Le vol de matériel met en évidence les
mécanismes de sécurité disponibles sur le
device
Corrompre et voler
les données accessibles en réseau
Corrompre et voler
les données accessibles en réseau
mardi 11 avril 2023
37
& CODIFOR-AFPI
37
Le dilemme de la sécurité
• Les besoins l’entreprise
• Les impératifs fonctionnels
• Contraintes de Budgets
Pas de Formule Magique
Les offres
Biométrie
Firewall
802.1X
VPN
PKI
Nasty.Com website
NO
Filtrage Internet
Sans Fil
!#@ %$
Chiffrement
IKE
Directory Services
VLANs Management
La sécurité doit être géré pour l’ensemble du système et pas uniquement pour une partie, c’est particulièrement vrai pour les
réseaux sans-fils
Les fournisseurs d’équipements de sécurité ont une grande influence sur les méthodes
utilisées
Dans le domaine de la sécurité, et principalement chez les fournisseurs
d’équipements, c’est la technologie qui dicte la conduite à adopter.
mardi 11 avril 2023
38
& CODIFOR-AFPI
38
Quelles sont nos solutions pour contrer vos plus grandes menaces
Votre entrepriseVotre entrepriseProtection des clésDes clefs dynamiques uniques par utilisateur
et par session
Protection des clésDes clefs dynamiques uniques par utilisateur
et par session
Virus Politique pour limiter
les acces depuis l’internet sans anti virus
Virus Politique pour limiter
les acces depuis l’internet sans anti virus
Confidentialité Support des standards
de cryptage e.g. IPSec, SSL, WEP
Confidentialité Support des standards
de cryptage e.g. IPSec, SSL, WEP
Man-in-the-middle Authentification forte
des utilisateurs et des produits
(Certificats)
Man-in-the-middle Authentification forte
des utilisateurs et des produits
(Certificats)
Authentificationsupport du 802.1X
pour inclure:Biometrics, username
et password, etc.
Authentificationsupport du 802.1X
pour inclure:Biometrics, username
et password, etc.
Access Distanttunnel VPN, RADIUS,et broadband gateway
avec firewall périphérique
Access Distanttunnel VPN, RADIUS,et broadband gateway
avec firewall périphérique
Dénie de Service Des firewalls qui detectent
et stoppent les DoS
Dénie de Service Des firewalls qui detectent
et stoppent les DoS
La majorité des failles de sécurité sont dues à une implémentation pauvre des mécanismes de sécurité,
C’est vous qui décidez !
La majorité des failles de sécurité sont dues à une implémentation pauvre des mécanismes de sécurité,
C’est vous qui décidez !MAIS C’EST AUSSI VOUS QUI PAYEZ !
mardi 11 avril 2023
39
& CODIFOR-AFPI
39
Sécurité du sans fil : Il y a le choix
Service Set Identifier (SSID) Chaque AP est programmé avec un SSID qui correspond à un réseau
sans fil spécific
Media Access Control (MAC) Address Filtering Les clients sont identifiés par une adresse MAC unique contenue dans
sa carde 802.11
Wired Equivalency Privacy (WEP) Défini par le 802.11 pour l’authentification et l’encription. Le WEP est
inter opérable entre les produits WI-FI Clés de chiffrement 40 et 128 bits
Wifi Protected Access (WPA Phase I) Le successeur de WEP (128 bits) avec génération dynamique des clés. Utilise TKIP comme méthode de chiffrement
mardi 11 avril 2023
40
& CODIFOR-AFPI
40
Sécurité du sans fil : Il y a le choix
VPN Tunneling (VPN) Sécurité de niveau 3 fourni par les terminateur de tunnels
Centralized Security and Management (802.1x) Authentification radius EAP-MD5 avec support de 802.1x Gestion par les certificats en utiliant un serveur radius EAP-TLS
802.11i Wifi Protected Access (WPA Phase II) Le standard de sécurité des réseaux radio (basé sur WPA phase II; Utilise AES comme méthode de chiffrement
mardi 11 avril 2023
41
& CODIFOR-AFPI
41
Implémentation de la sécurité 802.11
Service Set Identifier (SSID) Puisque le client PC doit présenter le SSID
correct pour accéder à l’AP, le SSID agit comme un simple mot de passe et fournit, ainsi, une mesure de sécurité
La sécurité peut être compromise si l’AP est configuré pour “broadcaster” son SSID
SSID sont largement connus et facilement partagés, parce que les utilisateurs configurent de façon typique leurs propres client
Les cartes qui supportent la valeur ”ANY” pour le SSID, permettant au client de se relier automatiquement à tout AP présent dans la zone de couverture
mardi 11 avril 2023
42
& CODIFOR-AFPI
42
Implémentation de la sécurité 802.11
Media Access Control (MAC) Address Filtering Les cartes sont identifiées par leur adresse MAC
802.11 et sont autorisées ou bloquées Cette liste d’adresse MAC doit être mise à jour
à tout moment Si un PC est perdu ou volé, il pourrait
potentiellement permettre aux utilisateursnon autorisés d'accéder au réseau
Si un PC est perdu ou volé, il faut mettre à jour la(les) database(s) avec la MAC ADDRESS manquante
Authentification de matériel et non authentification d’utilisateur Les MAC ADDRESS C’est dur à administrer
mardi 11 avril 2023
43
& CODIFOR-AFPI
43
Implémentation de la sécurité 802.11
Wired Equivalency Privacy (WEP) Spécifie une clé de chiffrement niveau 2 de 40-bit (standard) ou 128-bit
(facultative), qui est statique, partagée et contrôlée manuellement pour tous les PC et les APs
Les clés doivent être identiques pour que les clients s ’associent à l ’AP La clé peut être facilement compromise ce qui rend le système peu
sécurisé.
La clé n'est jamais changée
Si un PC client est perdu, le responsable réseau doit mettre en place une nouvelle clé manuellement sur CHAQUE client et AP
mardi 11 avril 2023
44
& CODIFOR-AFPI
44
En clef WEP statique, tout le monde utilise la même clef
WEP Key Stream = 24-bits IV (Initialization Vector ou vecteur d’initialisation) + 40 ou 104-bits clef WEP
le IV ne fait que 24-bits de long, il ne possède que 16,777,216 différents RC4 encryption streams pour chaque clef.
Plusieurs personnes utilisent la même clé = plusieurs paquets pouvant être capturés.
Une des faiblesses du WEP permet le piratage de la clef par la capture d’un grand nombre de paquets.
mardi 11 avril 2023
45
& CODIFOR-AFPI
45
64-Bit
- Mot de 10 caractères Hexadecimaux
(0-9, a-f, or A-F)
e.g. 4B67AD234F
128-Bit
- Mot de 26 caractères Hexadecimaux
(0-9, a-f, or A-F)
e.g. 6C89DAB421FE34DF87135987FD
256-Bit
- Mot de 52 caractères Hexadecimaux
(0-9, a-f, or A-F)
e.g.6C89DAB421FE34DF87135987FD6C89DAB421FE34DF87135987FD
Clef WEP
mardi 11 avril 2023
46
& CODIFOR-AFPI
46
LE WPA
Pour pallier les insuffisances du WEP, un remplaçant est apparut, appelé WPA (Wi-Fi Protected Access), son fonctionnement repose sur un système d'échange de clés dynamiques, renouvelées tous les 10 ko de données.
Ce procédé, appelé TKIP (Temporal Key Integrity Protocol), protége mieux les clés du décryptage et devrait améliorer sensiblement la sécurité des réseaux sans fil même si l'algorithme utilisé reste inchangé
mardi 11 avril 2023
47
& CODIFOR-AFPI
47
WiFi Protected Access - WPA
WPA : WI-FI Protected Access = Wep avec clef dynamique
Les clefs Wep sont modifiés cycliquement tous les 10,000 paquets
Configuration dynamique
Compatible IEEE802.1x (Serveur Radius)
Tous nos produits supportent le WPA, ou le supporteront via une mise à jour firmware/Drivers.
mardi 11 avril 2023
48
& CODIFOR-AFPI
48
IEEE 802.1x – Network Login Protocole Standard permettant d’authentifier les utilisateurs sur un réseau
ethernet (et par extension sur 802.11) Fonctionnalité embarquée dans Microsoft Windows et disponible sur les autres
OS . Fournit un “login réseau” entre les clients et un périphérique réseau. Fonctionne avec un serveur central d’authentification (RADIUS) qui traite
l’authentification et le management des clés. Utilise EAP (Extensible Authentification Protocol) comme un protocole
d’encapsulation (d’authentification forte). Bonne extensibilité pour les grands réseaux d’entreprises multi-sites. Support des VLANs
Implémentation de la sécurité 802.11
mardi 11 avril 2023
49
& CODIFOR-AFPI
49
Améliorer l'authentification
Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des comptes utilisateurs (en anglais AAS pour Authentication, Authorization, and Accounting) il est possible de recourir à un serveur RADIUS (Remote Authentication Dial-In User Service).
Le protocole RADIUS (défini par les RFC 2865 et 2866), est un système client/serveur permettant de gérer de façon centralisée les comptes des utilisateurs et les droits d'accès associés.
mardi 11 avril 2023
50
& CODIFOR-AFPI
50
Utilisateur autorisé
Authentifié par le serveur radius
Utilisateurs non autorisés
Le trafic est complètement bloqué
802.1x – Network Login
RADIUS Primaire Serveur d’authentificationPour EAP-MD5/TLS/TTLS
RADIUS Secondaire Serveur d’authentificationPour EAP-MD5/TLS/TTLS
Utilisateur sans fil autoriséAuthentifié par le serveur radius
mardi 11 avril 2023
51
& CODIFOR-AFPI
51
• Authentification
– 802.1X + Extensible Authentication Protocol (EAP)
• Encryption
– Temporal Key Integrity Protocol (TKIP)
– 802.1X pour une distribution dynamique de la clef
– Message Integrity Check (MIC) a.k.a. “Michael”
• WPA = 802.1X + EAP + TKIP + MIC
• WPA-EAP pour le Enterprise mode
• WPA-PSK (Pre-Shared Key) pour le Personal mode
mardi 11 avril 2023
52
& CODIFOR-AFPI
52
Extensible Authentication Protocol (EAP)
Protocole d’Authentification pour l’Authentification PPP Peut supporter plusieurs mécanismes d’authentification:
– MD5-challenge– One-time passwords– Generic Token Cards
WirelessClients
RADIUSServer
EAP with EAP with MD5 ChallengeMD5 Challenge
RADIUS RADIUS with EAP with EAP
PAPPAP
RADIUSRADIUSwith PAPwith PAP
RADIUSServer
ACEServer
ACEServer
ACEACE
mardi 11 avril 2023
53
& CODIFOR-AFPI
53
Implémentation de la sécurité 802.11
EAP-MD5 (Extended Authorisation Protocol) L’authentification s’effectue en saisissant un nom d’utilisateur et un mot de
passe. Ceci permet l’ouverture de la communication entre le point d’accès et la carte sans fils.
Le nom d’utilisateur (et le mot de passe) est commun à celui utilisé pour la connexion au domaine.
Protocole d’authentification standard supporté par beaucoup de serveur RADIUS.
Le mot de passe n’est jamais transmis en clair sur le réseau. Simple à mettre en place. N’inclus pas de mécanisme de chiffrement.
EAP-TLS serverApplication
EAPOL
wirelessclient
AP-8000
RADIUS server
EAP-TLS
RADIUS-EAP-MD5
mardi 11 avril 2023
54
& CODIFOR-AFPI
54
Implémentation de la sécurité 802.11
EAP-TLS (Transport Layer Security) EAP-TLS est un mécanisme basé sur des certificats numériques. Un mécanisme de chiffrement est inclus avec le certificat
La machine ET l’utilisateur sont authentifié
Infrastructure importante à mettre en place :
– Serveur Radius supportant EAP-TLS
– Autorité de certification
mardi 11 avril 2023
55
& CODIFOR-AFPI
55
Implémentation de la sécurité 802.11
EAP-TTLS (Tuneled TLS) EAP-TTLS se base sur le même principe que EAP-TLS, en sécurisant les
échanges entre les produits intervenants dans le mécanisme d’authentification :– le client, le point d’accès et le serveur Radius. – Cet échange étant sécurisé, les mécanismes « classiques » CHAP, MS-CHAP peuvent
être utilisés. Plus sécurisé que EAP-TLS Utilise des certificats pour l’authentification de la machine Utilise MS-CHAP pour l’authentification de l’utilisateur Supporté par peu de serveurs RADIUS Solution plus lourde à mettre en place
mardi 11 avril 2023
56
& CODIFOR-AFPI
56
Implémentation de la sécurité 802.11
PEAP (Protected EAP) PEAP est un protocole qui a pour but de protéger le mécanisme de
chiffrement des échanges d’information lors de l’authentification des utilisateurs
Très bon niveau de sécurité Est en compétition avec EAP-TTLS Utilise TLS et des Certificats numériques Autorise le support de cartes à puces Complexité de mise en œuvre Intégré au driver de la carte et non au système d’exploitation
mardi 11 avril 2023
57
& CODIFOR-AFPI
57
Implémentation de la sécurité 802.11
TKIP (Temporal Key Integrity Protocol) TKIP est un nouveau mécanisme de chiffrement. Il est basé sur deux éléments
: une clé temporaire et un IV (Initialization Vector) .– Une première clé est générée à partir de la clé temporaire, ainsi que de l’adresse MAC de
la carte réseau.– Puis à chaque paquet, la clé de chiffrement dérive grâce au vecteur.
Un mécanisme hautement sécurisé. Point essentiel de la futur norme 802.11i (En cours de ratification) TKIP utilise un algorithme de type RC4 En Phase I
– On utilise les MAC adresses mélangés avec une clé temporaire pour produire une clé Phase I
Phase II– La clé de la phase I est mixée avec un IV pour dériver des clés de paquets.
Chaque clé est à usage unique pour un paquet.
mardi 11 avril 2023
58
& CODIFOR-AFPI
58
Un réseau radio avec des technos de sécurité, mais …
Les AP sont utilisés en configuration par défaut.
Le modem moderne : Création d’un réseau “Inconnu”.
Le point d’accès est placé directement sur le réseau local.
Les clés de chiffrement par défaut sont utilisées.
Les clés de chiffrement ne sont pas changées périodiquement
Les systèmes forts VPN,EAP-XXX,WPA,802.11i ne sont pas utilisés
Le filtrage des adresses MAC n’est pas utilisé.
Le broadcast du ESSID n’est pas coupéLa majorité des failles de sécurité sont dues à une
implémentation pauvre des mécanismes de sécurité.
Pour le sans-fil 802.11i,WPA,les VPNs et EAP-TLS offre un excellent niveau de sécurité, il faut juste les
mettre en oeuvre !
mardi 11 avril 2023
59
& CODIFOR-AFPI
59
Vêtements homme
Pelouse & jardin
Exemple dans un magasin
Contrôle d ’accès: S'assure que seuls les clients programmés avec le SSID de l’AP peuvent se relier à cet AP
Liste de Contrôle d ’Accès (ACLs) indique les adresses MAC des clients qui peuvent s'associer à l’AP
Chiffrement 128 bits à base de WPA Clé dynamique à chaque paquet
Facilement utilisable pour supporter plus de 512 utilisateurs, utilisant l ’authentification basée sur MAC address
Caisses
SuperStack3 Firewall
SuperStackSwitch
ServeurNT ou
Netware
PCICard
WLAN
Console deMgmt
mardi 11 avril 2023
60
& CODIFOR-AFPI
60
CorporateLAN Superstack
3 Firewall
Router
Mgmt.Station
ISP/ASPNOC
AAA
PublicAreas
Internet
Port bloqué sur le Switch pour empêcher les communications client à client et AP à AP Utilisation facile de l’authentification RADIUS à travers le serveur d ’accès (EAP-MD5) Actuellement, pas de chiffrement, mais des services de confidentialité peuvent être fournis facilement avec
WPA ou 802.11i par les opérateurs. Professionnels mobiles équipés avec des cartes Wireless (Wi-Fi), VPN sécurisé Firewall sur les station pour empêcher les rebonds de pirates depuis Internet vers l’entreprise
WLAN(Wi-Fi)
AccessPoint
Offrir l’accés au réseau depuis un lieu public
LocalContent
AAA
On-SiteBackOffice
Public Access Server
SuperStack Switch
SuperStackWeb
Cache
PCCards
Wireless EthernetClient Bridge
mardi 11 avril 2023
61
& CODIFOR-AFPI
61
Sécurité du Sans Fil dans l’enseignement
Private LAN
Servers
Computer Lab
Computer Lab
Library
PCCard
Faculty Lounge
Mobile Users(VPN Clients)
Internet
SuperStack 3 Firewall
or OfficeConnect Firewall
SuperStack Switch
PCCard
Faculty Lounge
LAN filaire existant dans l ’école
Extension avec un réseau sans fil— Banalisation du login avec ou sans-fil— Utilisation de 802.1x pour authentifier
les utilisateurs et les affecter à un VLAN
— Chiffrement 802.11i,WPA,EAP-TLS
Un utilisateur mobile peut établir un tunnel VPN jusqu’à l’école, en utilisant IPSec
Le pont radio relie deux bâtiments distants en sans fil : encapsulation spécial au niveau MAC Transparent pour le protocole VPN Chiffrement WPA
SuperStack Switch
mardi 11 avril 2023
62
& CODIFOR-AFPI
62
Affecter les droits aux utilisateurs : VLAN dynamique
RADIUS Server
SuperStack 3 Switch 4400 WLAN Port trunk
Lorsqu’un utilisateur veut accéder au réseau, il doit s’authentifier en utilisant le protocole 802.1x (TLS, PEAP, TTLS)
Lorsqu’il envoie son nom et mot de passe au serveur radius, celui-ci vérifie les information, et si elles sont correctent il retourne le numéro de VLAN au point d’entrée sur le réseau.
Les commutateurs SuperStack 3 contrôle les accès au VLAN, et ne permettent pas de communication entre le VLAN 1 et le VLAN 2.
VLAN #1Serveur
VLAN #1
VLAN #2
Layer 3 Switch / Router
Port t
runk
VLAN #2Serveur
mardi 11 avril 2023
63
& CODIFOR-AFPI
63
Protéger les accés distants Une connexion DSL ou WLAN rend l’ordinateur plus
vulnérables aux attaques. Les connexions VPN peuvent alors être un moyen de piratage vers le réseau de l’entreprise
Le firewall embarqué protège contre les attaques visant à partager un VPN
— Limitation des communication vers la passerelle VPN— Limitation des communication entrantes sur le PC
InternetModem
LAN
WLAN
Bluetooth
Broad BandModem
Réseau Réseau d’entreprised’entreprise
Virtual Private Network
Utilisateur mobile avec carte EFW
mardi 11 avril 2023
64
& CODIFOR-AFPI
64
Site central
Sécurité centralisée avec 802.1x et EAP-TLS-MD5 dans une banque
Agence
Le client RADIUS est intégré nativement aux AP L’AP doit d’abord s’authentifier sur le serveur avant qu’il puisse accepter des connexions
Mgmt.Console
RADIUS Server
(EAP-MD5)ATM
SuperStack3 Firewall
SuperStackSwitch
NT orNetwareServer
RADIUSEAP-TLS
Login for 802.1XUsername: 3Com
Password: ********
WLAN
Idéal pour les entreprises ayant un besoin centralisé de sécurité
Une phase de login 802.1x permet de : Certifier le client sur la base RADIUS centrale
Réaliser un chiffrage fort des données (RC4,TKIP,AES)
L’affecter correctement au bon VLAN
Générer des clés de chiffrement dynamiques (802.11i, WPA, EAP-TLS) Vérifier l’identité de l’utilisateur de manière sécurisée
mardi 11 avril 2023
65
& CODIFOR-AFPI
65
Implémentation de la sécurité 802.11
Utilisation des VPNs
La technique la plus universelle car indépendante du WIFI. Les VPNs sont bien maîtrisés technologiquement par les services
informatiques. Les differents protocoles de tunneling, comme PPTP, L2TP, IPSec sont utilisés
conjointement avec des standards d’authentification centralisées. L'authentification et le chiffrement est fourni par les serveurs de VPN qui
agissent également en tant que Gateways du réseau privé.
Le trafic vers le réseau privé est isolé jusqu'à ce que l'authentification de VPN soit exécutée.
Mais le réseau radio est accessible à tout le monde; même si on ne peut rien y faire.
mardi 11 avril 2023
66
& CODIFOR-AFPI
66
WEP WPA
Cryptage
Faible cassé par les hackers et les scientifiques
Fixes all WEP’s flaws
Clef de 40-bit Clef de128-bit
Clef statique – même clef utilisée par tous sur le réseau
Clefs a session dynamique. Par utilisateur, par session, par paquet, par clefs de paquet
Distribution manuelle des clefs – rentrées manuellement dans chaque périphérique
Distribution automatique des clefs
AuthentificationFaible, utilisation de la clef elle même pour authentifier.
Authentification utilisateur forte, utilisant 802.1X et EAP.
mardi 11 avril 2023
67
& CODIFOR-AFPI
67
Type de client final – Solution à conseiller
IPSec Layer 3 tunneling
Non nécessaire
Pass through AP
IPSec Layer 3 tunneling
Non nécessaire
Pass through
AP
VPN Tunneling
Dynamique / Session &
Global
Dynamique / Session &
Global
Non nécessaire
Dynamique / Session &
Global
Dynamique / Session
Shared
Management des Clés
128 ou 256 bits
WPA,802.11i,EAP-TLS
128 ou 256 bits
WPA,802.11i
Port Blocking on the Public
Access Switch
128 ou 256 bits
WPA,802.11i,EAP-TLS
128-bit WPA (Wi-Fi)
40-bit WEP
(Wi-Fi)
Chiffrement
RADIUS ou 802.1x
Database utilisateurs dans l’AP
RADIUS (Public Access Server)
RADIUS ou 802.1x
Database utilisateurs dans l’AP
ESSID MAC
Address
Authentification
Éducation École
UniversitéLieu publicGrande
EntreprisePetite
EntrepriseSOHO
mardi 11 avril 2023
68
& CODIFOR-AFPI
68
Pourquoi utiliser WPA2 ?
• WPA repose toujours sur un algorithme de cryptage RC4 et TKIP (Temporary Key Integrity Protocol).
• Malheureusement, la possibilité de découverte de nouvelles faiblesses existe toujours.
• WPA2 est plus robuste, plus sécurisé que WPA.
mardi 11 avril 2023
69
& CODIFOR-AFPI
69
Qu’est ce que WPA2 ?
En 2004, Wi-Fi Alliance introduit le WPA2 Basé sur la spécification IEEE 802.11i Wi-Fi Alliance a effectué des tests de certification d’interopérabilité
(commencés en Sept. 2004)
mardi 11 avril 2023
70
& CODIFOR-AFPI
70
Avantages du WPA2
Authentification: 802.1x et EAP (comme le WPA)
Cryptage: AES (Advanced Encryption Standard)
Retro compatibilité avec le WPA
Mode Entreprise et Mode Personnel
La première différence entre le WPA e le WPA2 est le type de cryptage utilisé – TKIP et AES respectivement
mardi 11 avril 2023
71
& CODIFOR-AFPI
71
Les limites du WPA2
Pas de mode mixte WPA2 et WEP
Le mode mixte WPA2 et WPA est permit
IBSS ne supporte pas WPA2
mardi 11 avril 2023
72
& CODIFOR-AFPI
72
Comparaison
WPA WPA2
Serveur d’Authentification
V V
Authentification Utilisateur
802.1x (RADIUS) 802.1x (RADIUS)
Clef Dynamique Dynamique Dynamique
Cryptage des Données TKIP AES
Intégrité des Données MIC CBC-MAC (AES)
Authentification des Données
V V
mardi 11 avril 2023
73
& CODIFOR-AFPI
73
Merci
