Upload
leonne-etienne
View
106
Download
1
Embed Size (px)
Citation preview
Sécurisation du sans filet du nomadisme
Voir http://www.cru.fr/nomadisme-sans-fil/
Et plus particulièrement http://www.cru.fr/nomadisme-sans-fil/J1310/index.html
Et aussihttp://www.certa.ssi.gouv.fr/
http://www.ssi.gouv.fr/actualites/synthwifi.pdfhttp://www.ssi.gouv.fr/actualites/Rec_WIFI.pdf
Serveurs
Réseau d’entreprise
Protection du poste (intégrité, confidentialité): Chiffrement des données stockées, garde-barrière, Antivirus, …
InternetInternet
DMZ
Prestataired’accès ou site « ami »
1. Protection de l’accès à la ressource réseau (authentification)2. Protection du réseau d’accueil vis-à-vis du poste: vérification de son intégrité (pas de virus, …)
Protection des flux(confidentialité): chiffrement des flux / VPN
Protection contre les intrusions, les flux malveillants,le transfert de données confidentielles, …
Nomadisme :problématique
Le sans-fil pourquoi faire ?
• Améliorer la facilité d’accès au réseauSalles de réunion, Lieux de vie, …
=> Amener du réseau là où il n'y en avait pas
• Banaliser les sallesToutes les salles sont des salles de ressources
• Rendre les sites attractifs
• Intégrer à terme la téléphonie
• Permettre le nomadisme
Attention
• Un discours marketing– simple, plug and play, liberté, partout, performant, pas cher, – extension aisée du réseau sans fil, ..
• En fait – Pas si simple si on veut protéger,
• Plug and play sécurité 0 !
– Performant oui si 802.11g– Pas cher : dépend du niveau de sérieux de la sécurisation– Partout (oui, ou du moins presque)
– Extension du réseau filaire :• OUI jusqu’aux parkings même.
Si les choses sont correctement faites, le sans-fil c’est quand même bien
Le sans-fil : extension du réseau filaire ?
• Exemple d’un laboratoire
Borne
Politique de sécurité des échanges
Pour le laboratoire
Parking du labo
Vers le reste du réseau de l’organisme
Et de l’Internet
Fonctionnalités de sécurité :
Contrôle d’accès : identification/authentification
• Par certificats (nécessité d'une IGC en place)– possibilité d’avoir les certificats sur cartes à puces
• Par Logins/passwords (pb de leur stockage)
Séparation par communautés • VLAN (1VLAN=SSID ou VLAN dynamiques)
• Tunnels (VPN...)
Confidentialité• WEP, WPA, WPA2, IPSec
Opter pour « rien » dans les trois domaine ce n’est pas très sérieux!
Stratégies de sécurisation
• Sécurisation complète au niveau du lien sans-filB) Contrôle d’accès, sélection d’un VLAN, chiffrement
• Pas de sécurisation du lien sans filC) Passage obligé par un concentrateur de VPN assurant les trois
fonctionnalités contrôle d’accès, VLAN, chiffrementD) Passage obligé par un « portail » jouant un peu le même rôle qu’un
concentrateur de VPN Pas vraiment très optimum.
E) Redirection de certains flux vers un serveur de type « proxy » (le seul qui pourra être accédé). A REJETER.
Partie vue dans la suite
Serveur
Réseau interne
Sécurisation accès sans fil (protection lien radio)
Sécurisation réseau local filaire
(B)
(A)
Protection de bout en bout (protocole entre poste et serveur)
(E)
Protection entre poste et équipement d’accès réseau local type VPN
(C)
Conc. De VPN Portail
Captif
Passage obligé par portail captif (utilisation HTTPS pour sécurisation)
(D)
WLAWLA
LDAPRadius
Réseau interne
Sécurisation réseau local filaire(A)
Controleur
Configuration
Contrôle d’accèsAppliquer une « politique de violation »Détecter les attaques
Type de solution « clé en main »
Management
Sécurisation du sans-filhttp://www.cru.fr/nomadisme-sans-fil/docs/Securite-lien-radio.html
• Par absence de diffusion du SSID : ne sert en gros à rien (naïf)
• Par adresse MAC : difficile à gérer, et contournable
• Par clé WEP fixe de 64 bits :– Chiffrement faible et clé « cassable »
• Authentification 802.1X + clé WEP (128 bits et +)– Si bonne fréquence de changement de clé WEP correct
– Plusieurs protocoles d’authentification : TLS, TTLS, PEAP, …
• Authentification 802.11i– Du 802.1X avec EAP-TLS
– Plus mécanismes de chiffrement plus solides : TKIP, WRAP, CCMP.
Architecture du réseau sans filExemple des campus de Strasbourg
Schéma logique
Bâtiment
Commutateur « Bâtiment »
Serveur Radius
Commutateur « WiFi »
Commutateur « WiFi »
APAP APAP
APAP
Backbone OSIRIS2
Arrivée Osiris
Serveur DHCPVlan d'authentification / Management
Vlan Etudiants
Vlan Personnels
Vlan Invités
Acteurs
Serveur d'authentification
Serveur d'authentification
Client ou Supplicant
Système àauthentifier(Supplicant)
Architecture d'authentification 802.1X
Trafic autorisé avant authentification
(Relayé par le point d'accès)
Trafic autorisé après authentification
Rappels sur le protocole 802.1X
Authentification / Confidentialité
Réseau
But Contrôler l'accès physique à un
réseau local par authentification
Connexion filaire ou association sans-fil
Point d'accès au réseau
Point
d'accès
Association 802.11b ou g
Vlan d'accès WiFi
Authentification 802.1X> EAP-TTLS
User == totoPassword / Certificat Ok.
> VLAN étudiant
Vlan étudiants
Clé de chiffrement WEP
Implémentation 802.1X
Clé de chiffrement WEP
Vlan étudiants
Authentification / Confidentialité
802.11 UDP/IP
Radius802.1X /(EAPoL)
EAP
EAP-TLS (ou TTLS)
Borne Serveurd’auth.
EAP-TLS (ou TTLS)
Établissement session TLS entre le poste et le serveur d’authentificationavant échange des données sensibles (login/mot de passe, …)
Radius
EAP
802.1X /(EAPoL)
EAP EAP
Login/mdp
BorneServeurd’authentificationRadius
Réseau local
Association entre le client et la borne (802.11g)La borne bloque le trafic vers le réseau local
1
2
Échanges d’éléments d’authentification entre le client et le serveur RadiusLe serveur authentifie l’utilisateurL’utilisateur authentifie le serveur authentification mutuelle
3 Radius, ainsi que le client calculent la clé « Unicast » (session key) à partir des éléments d’auth. Radius délivre cette clé à la borne.
4 La borne crée une clé « Broadcast » et la transmet chiffrée (avec la clé Unicast)au clientLa borne ouvre le trafic vers le réseau local (dans le VLAN approprié)
5 Le Client va pouvoir transmettre ses paquets sur le réseau local et notammentContacter le serveur DHCP pour obtenir une adresse IP.
Implémentation 802.1X Avantages
Possibilité d’associer plusieurs VLAN à un seul SSID Cloisonnement des communautés Gestion dynamique des clés de chiffrement
Distribution initiale Renouvellement à chaque réauthentification
Pas de goulot d'étranglement (ex : VPN, L2TP ...) Possibilité de mots de passes chiffrés sur le serveur
(PAP avec EAP-TTLS) Possibilité d’authentification mutuelle client/serveur
(certificat client)
Authentification / Confidentialité
Implémentation 802.1X Inconvénients
Distribution d'un client nécessaire pour EAP-TTLS ou si TLS et parc hétérogène
Mise en place d'un portail captif dédié à cette tâche Prix des clients
Dimensionnement des VLANs / Plages d'adresses IP Contraintes
Nécessité de redondance des serveurs RADIUS Si Radius tombe, plus de réseau sans-fil
Authentification / Confidentialité
Implémentation 802.1X Les logiciels (clients) natifs
Oui pour Linux TLS et TTLS Oui pour Windows PEAP
Clients solution logiciels gratuits SecureW2 pour Windows XSupplicant et WPASupplicant pour Linux/Unix
Solutions commerciales comme vous le voulez.*
Authentification / Confidentialité
Réseaux sans-fil ouverts Manifestations, colloques, séminaires ... Pas de contrôle pour une période et une zone définies
Accès aux ressources du réseau filaire (imprimantes ...) Mise en place de filtres basés sur l'IP Accès VPN
Authentification / Confidentialité
Comment contrôler facilement l’accès au réseaupour les personnes de statut « visiteur »?
Créer des comptes de type « visiteur » avec des mots de passe connusPas très « raisonnable »
Faire un contrôle sur adresse MACPas très sécurisé et « ingérable »
Diffuser les clés WEP de façon confidentielle Le confidentiel ne le reste pas longtemps
Il reste le 802.1X mais alors :1) Il faut rentrer les données d’identification/authentification pour
toutes les personnes « visiteurs » vite ingérable.2) Ou alors avoir une architecture de serveurs Radius interconnectés.
Serveur RADIUS
Marseille1
serveur RADIUS
Rennes1
Internet
serveur central RADIUS
(Proxy)
AP LDAPRennes
1
LDAPMarseille1
utilisateur (visiteur)
VLANétudiant
VLANvisiteur
VLAN personnel
data
authentification
Architecture de serveurs Radius interconnectés