32
1 Security W ireless m esh netw orks Sécurité des réseaux mesh sans fil. Réalisé par: Omar Cheikhrouhou Sous la direction: Maher Ben Jemaa Maryline Maknavicius

Sécurité des réseaux mesh sans fil

  • Upload
    nova

  • View
    50

  • Download
    4

Embed Size (px)

DESCRIPTION

Sécurité des réseaux mesh sans fil. Réalisé par: Omar Cheikhrouhou Sous la direction: Maher Ben Jemaa Maryline Maknavicius. Plan. Réseaux mesh sans fil Objectifs Solutions proposées Extension du protocole 802.1X Architecture d’authentification basée sur PANA - PowerPoint PPT Presentation

Citation preview

Page 1: Sécurité des réseaux mesh sans fil

1

Security

Wireless mesh networks

Sécurité des réseaux mesh sans fil.

Réalisé par:

Omar CheikhrouhouSous la direction:

Maher Ben Jemaa Maryline Maknavicius

Page 2: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 2

Plan

Réseaux mesh sans fil Objectifs Solutions proposées

Extension du protocole 802.1X Architecture d’authentification basée sur PANA Nouvelle méthode d’authentification : EAP-EHash

Conclusion & perspectives

Page 3: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 3

Qu’est ce qu’un réseau mesh sans fil?

Internet

Routeurs mesh

Nœuds mobiles

Page 4: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 4

Différence par rapport aux WLANs

Internet

Je ne vois pas le point

d’accès

BSS BSS

Internet

Routeur d’accès (AR). Point d’accès (AP).Système de distribution sans fil (WDS).

Système de distribution filaire (DS).

Chemins multi-sauts. Communication directe entre le mobile et AP.

Page 5: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 5

Domaines d’applications

Page 6: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 6

Les risques de sécurité

Analyse de trafic Usurpation d’identité Utilisation des ressources par des nœuds

non autorisées

Page 7: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 7

Objectifs

Authentification Contrôle d’accès Confidentialité

IPsec

Page 8: Sécurité des réseaux mesh sans fil

8

Authentification

Première solution: extension de 802.1X

Page 9: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 9

802.1X: philosophie

Supplicant(802.1X client )

Authentication server(e.g. RADIUS)

Services offered byAuthenticator’s

system

Authenticator PAE

Supplicant PAE

LAN

Uncontrolled portControlled port

Unauthorized port

Authenticator ( 802.1X access point)

Internet

Authentication Server

EAP protocol exchanges carried in higher-layer

protocol

Page 10: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 10

802.1X: extension proposée (1)

Supplicant( 802.1X client) Authenticator

(802.1X mesh router )

Ad hoc networks

Type Version Code LengthEAP

Packet

Trame EAPOL

traditionnelle

NouvelleTrame EAPOL

Type Version Code LengthDestination

AddressSource Address

EAP Packet

802.11

EAPOL

EAP

EAP method (MD5,TLS,PEAP,…)

Supplicant(802.1X client )

Authenticator ( 802.1X access point)

Page 11: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 11

802.1X extension: procédure d’authentification dans WMN

EAP-Success, TimeStamp, MIC

EAPOL Start

EAP Identity Request

RADIUS Access Accept (EAP)

Derived key

EAPOL Start

Authentication message exchanges

1

2

3

4

EAPOL (EAP Over LAN) EAP Over RADIUS

Authentication server(e.g. RADIUS)

Authenticator (802.1X mesh router )

Internet

Intermediate node (802.1X relay)

Supplicant( 802.1X client)

MACi1MACs

Destination Next_hop others

…… ……

MACs MACi1

….. …...

5

Page 12: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 12

Vulnérabilités de 802.1X: attaque DoS

Internet

HTTP

SMTP

VoIP

On va s’amuser un peu ! EAPOL-Logoff(@MAC=X) EAPOL-Logoff(@MAC=Y)

X Y

Page 13: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 13

802.1X: extension proposée (2)

Supplicant( 802.1X client) Authenticator

(802.1X mesh router )

Ad hoc networks

Type Version Code LengthEAP

Packet

Trame EAPOL

traditionnelle

NouvelleTrame EAPOL

Type Version Code LengthDestination

AddressSource Address TimeStamp MIC

EAP Packet

Page 14: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 14

Augmenter le niveau de sécurité: lutter contre DoS

Internet

HTTP

SMTP

VoIP

Je dois trouver d’autre solution

EAPOL-Logoff(@MAC=X)

*J’ai reçu EAPOL-Logoff*Verification de MIC

Page 15: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 15

Les apports de notre extension Utilisation du protocole 802.1X dans les

réseaux mesh sans fil. Amélioration de la sécurité du protocole

802.1X Fournir l’intégrité des messages

Page 16: Sécurité des réseaux mesh sans fil

16

Authentification

Deuxième solution, basée sur PANA

(Protocol for Carrying Authentication for Network Access)

Page 17: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 17

802.11

Encapsulation de EAP dans PANA PANA permet de transporter les messages

d’authentification au-dessus de la couche IP.

IP

UDP

PANA

EAP

EAP method (MD5,TLS,PEAP,…)

Page 18: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 18

PANA: philosophie

PaC PAA

Internet

EP

AAAPANA

SN

MP

/AP

I

IKE

/4-way handshake

Serveur d’authentification

Page 19: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 19

PANA dans les réseaux mesh : idée 1

Serveur d’authentification

PaC

EP

AR

PAA

EP/AR/PAA

Page 20: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 20

PANA dans les réseaux mesh : idée 2

AR/EP

PAA

AR/EP

AS

PaC

Page 21: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 21

Comparaison entre les deux architectures

Coût de déploiement de réseau

Complexité du routeur mesh

Mobilité

sécurité

Comparison

AS

PaC

EP/AR/PAA

AR/EP

PAA

AR/EP

AS

PaC

Page 22: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 22

Autorisation

WMN sécurité: Procédure complète avec PANA

PaC AR/EP PAA DHCP Server AS

IKE

IPsec SA

Authentification interaction

Configuration

Découverte de PAA

Page 23: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 23

Le protocole EAP

Extension de 802.1X Authentification au

niveau 2

PANA Authentification au

niveau 3

802.11

EAPOL

EAP

EAP method (MD5,TLS,PEAP,…)

802.11

IP

UDP

PANA

EAP

EAP method (MD5,TLS,PEAP,…)

Page 24: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 24

Insuffisances des méthodes EAP EAP-MD5

Vulnérables aux attaques Authentification unilatérale

EAP-TLS Traitement lourd Gestion d’un IGC

Page 25: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 25

La méthode EAP-MD5

Client

EAP-Request(challenge)

EAP-Request(Identity?)

EAP-Response (MyID)

EAP-Response(HASH)Verify?

No

yes

AuthentificateurServeur

d’authentification

EAP-Success Access Accept (EAP)

EAP-Failure Access Reject (EAP)

HASH = MD5 (secret, Challenge)

Page 26: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 26

Nouvelle méthode d’authentification : EAP-EHash

Client

EAP-Request(challenge || ServerId || RandS || {MIC}_EK )

EAP-Request(Identity?)

EAP-Response (MyID)

EAP-Response(RandC || {HASH}_EK)Verify?

No

yes

AuthentificateurServeur

d’authentification

EAP-Success Access Accept (EAP)

EAP-Failure Access Reject (EAP)

•RandS•AK= F (PSK, RandS)•EK= F (PSK, RandS || ServerID || ClientID)•Challenge

•RandC•HASH = F (AK, Challenge || RandC)

Page 27: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 27

Analyse de la méthode EAP-EHash Traitement léger Authentification rapide Authentification mutuelle Efficacité contre les attaques

Page 28: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 28

Validation formelle de EAP-EHash AVISPA (Automated Validation of Internet

Security Protocols and Applications) Spécification avec HLPSL (High-Level

Protocol Specification Language) Vérification avec le model-checking ofmc (on-

the-fly-model-checking)

Page 29: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 29

Validation formelle de EAP-EHashrole server(...played_by S def=...1.State=1 /\ RCV(respond_id.peerId)=|> State':=2 /\ RandS':=new()…/\MAC':={MIC(AK',Challenge'.serverId.RandS')}_EK'/\ SND(Challenge'.serverId.RandS'.MAC')… /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) … 2. State=2 /\ RCV(RandP'.HASH')

/\HASH'={HMAC(AK,Challenge.RandP')}_EK=|> State':=3 /\ request(S,P,RandP')

/\ SND(success)end role %server

role peer(...played_by P def=...1.State=1 /\ RCV(Challenge'.serverId.RandS'.MAC')

/\ AK'=PRF(PSK.RandS') /\ EK'=PRF(PSK.RandS'.serverId.peerId)

/\ MAC'={MIC(AK',Challenge'.serverId.RandS')}_EK'

=|> State':=2 /\ RandP':=new()

/\ HASH':={HMAC(AK',Challenge'.RandP')}_EK' /\ SND(RandP'.HASH') /\ witness(P,S,rp,RandP') /\ request(P,S,rs,RandS') /\ request(P,S,ch,Challenge')

/\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S})...end role %peer

Page 30: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 30

Validation formelle de EAP-EHashrole session(

P,S: agent,PSK: symmetric_key,MIC,HMAC,PRF: function)

def= local

Speer,Rpeer,Sserver,Rserver : channel (dy) composition

peer(P,S,PSK,MIC,HMAC,PRF,Speer,Rpeer) /\

server(P,S,PSK,MIC,HMAC,PRF,Sserver,Rserver)

end role%%%%%%%%%%%%%%%%%%%%%%%%%goalauthentication_on ch,rsauthentication_on rpsecrecy_of sec_ak,sec_ekend goal

% OFMC% Version of 2005/06/07SUMMARY SAFEDETAILS BOUNDED_NUMBER_OF_SESSIONSPROTOCOL /root/avispa-1.0/testsuite/results/EHash05.ifGOAL as_specifiedBACKEND OFMC…

Résultats

Page 31: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 31

Conclusion

Deux solutions pour l’authentification: Extension de 802.1X PANA

Nouvelle méthode EAP: EAP-EHash. Validation formelle de EAP-EHash.

Page 32: Sécurité des réseaux mesh sans fil

jeudi 20 avril 2023 Omar CHEIKHROUHOU 32

Perspectives

Mise en place d’une plateforme pour la comparaison de deux solutions.

Implémentation EAP-EHash. Roaming et Re-authentification. Gestion des clés.