Sécurisation du sans filet du nomadisme

Voir http://www.cru.fr/nomadisme-sans-fil/

Et plus particulièrement http://www.cru.fr/nomadisme-sans-fil/J1310/index.html

Et aussihttp://www.certa.ssi.gouv.fr/

http://www.ssi.gouv.fr/actualites/synthwifi.pdfhttp://www.ssi.gouv.fr/actualites/Rec_WIFI.pdf

Serveurs

Réseau d’entreprise

Protection du poste (intégrité, confidentialité): Chiffrement des données stockées, garde-barrière, Antivirus, …

InternetInternet

DMZ

Prestataired’accès ou site « ami »

1. Protection de l’accès à la ressource réseau (authentification)2. Protection du réseau d’accueil vis-à-vis du poste: vérification de son intégrité (pas de virus, …)

Protection des flux(confidentialité): chiffrement des flux / VPN

Protection contre les intrusions, les flux malveillants,le transfert de données confidentielles, …

Nomadisme :problématique

Le sans-fil pourquoi faire ?

• Améliorer la facilité d’accès au réseauSalles de réunion, Lieux de vie, …

=> Amener du réseau là où il n'y en avait pas

• Banaliser les sallesToutes les salles sont des salles de ressources

• Rendre les sites attractifs

• Intégrer à terme la téléphonie

• Permettre le nomadisme

Attention

• Un discours marketing– simple, plug and play, liberté, partout, performant, pas cher, – extension aisée du réseau sans fil, ..

• En fait – Pas si simple si on veut protéger,

• Plug and play sécurité 0 !

– Performant oui si 802.11g– Pas cher : dépend du niveau de sérieux de la sécurisation– Partout (oui, ou du moins presque)

– Extension du réseau filaire :• OUI jusqu’aux parkings même.

Si les choses sont correctement faites, le sans-fil c’est quand même bien

Le sans-fil : extension du réseau filaire ?

• Exemple d’un laboratoire

Borne

Politique de sécurité des échanges

Pour le laboratoire

Parking du labo

Vers le reste du réseau de l’organisme

Et de l’Internet

Fonctionnalités de sécurité :

Contrôle d’accès : identification/authentification

• Par certificats (nécessité d'une IGC en place)– possibilité d’avoir les certificats sur cartes à puces

• Par Logins/passwords (pb de leur stockage)

Séparation par communautés • VLAN (1VLAN=SSID ou VLAN dynamiques)

• Tunnels (VPN...)

Confidentialité• WEP, WPA, WPA2, IPSec

Opter pour « rien » dans les trois domaine ce n’est pas très sérieux!

Stratégies de sécurisation

• Sécurisation complète au niveau du lien sans-filB) Contrôle d’accès, sélection d’un VLAN, chiffrement

• Pas de sécurisation du lien sans filC) Passage obligé par un concentrateur de VPN assurant les trois

fonctionnalités contrôle d’accès, VLAN, chiffrementD) Passage obligé par un « portail » jouant un peu le même rôle qu’un

concentrateur de VPN Pas vraiment très optimum.

E) Redirection de certains flux vers un serveur de type « proxy » (le seul qui pourra être accédé). A REJETER.

Partie vue dans la suite

Serveur

Réseau interne

Sécurisation accès sans fil (protection lien radio)

Sécurisation réseau local filaire

(B)

(A)

Protection de bout en bout (protocole entre poste et serveur)

(E)

Protection entre poste et équipement d’accès réseau local type VPN

(C)

Conc. De VPN Portail

Captif

Passage obligé par portail captif (utilisation HTTPS pour sécurisation)

(D)

WLAWLA

LDAPRadius

Réseau interne

Sécurisation réseau local filaire(A)

Controleur

Configuration

Contrôle d’accèsAppliquer une « politique de violation »Détecter les attaques

Type de solution « clé en main »

Management

Sécurisation du sans-filhttp://www.cru.fr/nomadisme-sans-fil/docs/Securite-lien-radio.html

• Par absence de diffusion du SSID : ne sert en gros à rien (naïf)

• Par adresse MAC : difficile à gérer, et contournable

• Par clé WEP fixe de 64 bits :– Chiffrement faible et clé « cassable »

• Authentification 802.1X + clé WEP (128 bits et +)– Si bonne fréquence de changement de clé WEP correct

– Plusieurs protocoles d’authentification : TLS, TTLS, PEAP, …

• Authentification 802.11i– Du 802.1X avec EAP-TLS

– Plus mécanismes de chiffrement plus solides : TKIP, WRAP, CCMP.

Architecture du réseau sans filExemple des campus de Strasbourg

Schéma logique

Bâtiment

Commutateur « Bâtiment »

Serveur Radius

Commutateur « WiFi »

Commutateur « WiFi »

APAP APAP

APAP

Backbone OSIRIS2

Arrivée Osiris

Serveur DHCPVlan d'authentification / Management

Vlan Etudiants

Vlan Personnels

Vlan Invités

Acteurs

Serveur d'authentification

Serveur d'authentification

Client ou Supplicant

Système àauthentifier(Supplicant)

Architecture d'authentification 802.1X

Trafic autorisé avant authentification

(Relayé par le point d'accès)

Trafic autorisé après authentification

Rappels sur le protocole 802.1X

Authentification / Confidentialité

Réseau

But Contrôler l'accès physique à un

réseau local par authentification

Connexion filaire ou association sans-fil

Point d'accès au réseau

Point

d'accès

Association 802.11b ou g

Vlan d'accès WiFi

Authentification 802.1X> EAP-TTLS

User == totoPassword / Certificat Ok.

> VLAN étudiant

Vlan étudiants

Clé de chiffrement WEP

Implémentation 802.1X

Clé de chiffrement WEP

Vlan étudiants

Authentification / Confidentialité

802.11 UDP/IP

Radius802.1X /(EAPoL)

EAP

EAP-TLS (ou TTLS)

Borne Serveurd’auth.

EAP-TLS (ou TTLS)

Établissement session TLS entre le poste et le serveur d’authentificationavant échange des données sensibles (login/mot de passe, …)

Radius

EAP

802.1X /(EAPoL)

EAP EAP

Login/mdp

BorneServeurd’authentificationRadius

Réseau local

Association entre le client et la borne (802.11g)La borne bloque le trafic vers le réseau local

1

2

Échanges d’éléments d’authentification entre le client et le serveur RadiusLe serveur authentifie l’utilisateurL’utilisateur authentifie le serveur authentification mutuelle

3 Radius, ainsi que le client calculent la clé « Unicast » (session key) à partir des éléments d’auth. Radius délivre cette clé à la borne.

4 La borne crée une clé « Broadcast » et la transmet chiffrée (avec la clé Unicast)au clientLa borne ouvre le trafic vers le réseau local (dans le VLAN approprié)

5 Le Client va pouvoir transmettre ses paquets sur le réseau local et notammentContacter le serveur DHCP pour obtenir une adresse IP.

Implémentation 802.1X Avantages

Possibilité d’associer plusieurs VLAN à un seul SSID Cloisonnement des communautés Gestion dynamique des clés de chiffrement

Distribution initiale Renouvellement à chaque réauthentification

Pas de goulot d'étranglement (ex : VPN, L2TP ...) Possibilité de mots de passes chiffrés sur le serveur

(PAP avec EAP-TTLS) Possibilité d’authentification mutuelle client/serveur

(certificat client)

Authentification / Confidentialité

Implémentation 802.1X Inconvénients

Distribution d'un client nécessaire pour EAP-TTLS ou si TLS et parc hétérogène

Mise en place d'un portail captif dédié à cette tâche Prix des clients

Dimensionnement des VLANs / Plages d'adresses IP Contraintes

Nécessité de redondance des serveurs RADIUS Si Radius tombe, plus de réseau sans-fil

Authentification / Confidentialité

Implémentation 802.1X Les logiciels (clients) natifs

Oui pour Linux TLS et TTLS Oui pour Windows PEAP

Clients solution logiciels gratuits SecureW2 pour Windows XSupplicant et WPASupplicant pour Linux/Unix

Solutions commerciales comme vous le voulez.*

Authentification / Confidentialité

Réseaux sans-fil ouverts Manifestations, colloques, séminaires ... Pas de contrôle pour une période et une zone définies

Accès aux ressources du réseau filaire (imprimantes ...) Mise en place de filtres basés sur l'IP Accès VPN

Authentification / Confidentialité

Comment contrôler facilement l’accès au réseaupour les personnes de statut « visiteur »?

Créer des comptes de type « visiteur » avec des mots de passe connusPas très « raisonnable »

Faire un contrôle sur adresse MACPas très sécurisé et « ingérable »

Diffuser les clés WEP de façon confidentielle Le confidentiel ne le reste pas longtemps

Il reste le 802.1X mais alors :1) Il faut rentrer les données d’identification/authentification pour

toutes les personnes « visiteurs » vite ingérable.2) Ou alors avoir une architecture de serveurs Radius interconnectés.

Serveur RADIUS

Marseille1

serveur RADIUS

Rennes1

Internet

serveur central RADIUS

(Proxy)

AP LDAPRennes

1

LDAPMarseille1

utilisateur (visiteur)

oussalah@marseille1.univ-mrs.fr

VLANétudiant

VLANvisiteur

VLAN personnel

data

authentification

Architecture de serveurs Radius interconnectés