>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Transcription

1 #"!$% >#? " $: $A; 4% 6! " # $%!& $'()) $%!& *$$ $%!& *! # +$!",-./ $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/

2 $ B & '()* B + **, + B ) *, B$+ B$"*-./011 B ++*) 2 B 3 *,'*+ B 4$% )56 B +7 B 37,+*87 B 7 B *))& $9 B * :+&) B:;+)7* $ B

3

4 B $$$.,16// D #>E E G BH*>CAI * 8 % G C D1,,+!

5 " # $

6 # %

7 '( )! &

8 " #$$%&'()) %&'()) %&'())%&'())%&'()) %&'()) %&'()). %&'()) %&'()) * /01)'-. 2 1)'-. #3 ))-. +,-. +,-. *

9 4 Canal Fréquence (GHz) C)EC)G ;JJKKK6KK6 +

10 # ( - (.+/0,

11 5 $ 6 ( '( -) 7 0 *'4/ 5 89 )'%.84: 9 1 ; ( 7 4<.! ( 7 = 6 ( 7 )'%.. 7. >? ( 7 / 5 $ 1 (0 A$( /

12 5 $1 7 5 $ *( $ * ( < 2;+$5) **+ )++++*8+) = 7 * B 8B 4 C D9 * %&'())( = #0 '= ( 4! 4... ( 7? 4 1%&'())(- 4 5.<. ( 7 / %&'()) 4 4 1%&'()(

13 C8>*A>*I B B % E 5G 3 C$! B *%3%? B B?%! B )! F E & G

14 BC) C) ; N.,16/5 *? N $!N *? * O# *$ Client (Supplicant) Access Point (Authenticator) Authentication Server 802.1x EAP!

15 *$ B 5# *$EP+,G B$ N$A2 N$A N $E N$A N$A B $ N A$E$G &* 4

16 C B.,16//5 C K1,,, <8C K78(/,6+85 B *? C%6 B 5 %

17 C B *!.,16// N %? N & &% * B &* %! %? &

18 @.,16// B E :A G$6 B!Q1,,< *?! Q *

19 +

20 >$ /...$?,

21 Authentication Type EAP-TLS PEAP-MS-CHAP v2 Certificates on Wireless Client Computer certificates User certificates Root CA certificates for issuers of IAS server computer certificates Root CA certificates for issuers of IAS server computer certificates Certificates on IAS Server Computer certificates Root CA certificates for issuers of wireless client computer and user certificates Computer certificates /

22 $5 Cisco ACS AAA server WAN E 5 9 AP2 AP1 Wireless Access Points ))&&F)'&& G+&0

23 Q ) B ) 5> C$ B 3 *! N * N F *?!E *>* *?& *G

24 1!

25 % &' ( $") &*+!"#$$ Application Présentation Session Transport Réseau Liaison Physique 4

26 ,-.*/0+(1* %%, ' *+6 Internet Firewall DMZ Firewall Serveur sensible Lan %

27 &

28 *

29 #$%&'((! " *7 8 ) 9 8 *++,! -./-0./%1 (&$1 +

30 :1' ( ; < 0 = 70,

31 ))*"% & *! &*5! 6 E! R SG *01 $%&'(( *+!/

32 B N #? % U68 VG N *?!!6E * 66G N * *?R5S *UG!

33 * : $A"( -./011:, )C$ 0!

34 ))*:*: A) ) A$(:(%!$(D$( A *A(!*+ **7)*'E!" )F(%(%!$(GH 'E!"!I +J *: * )'*:!!

35 0 A H # 7 8 # $ "88:!4

36 C)N % % % CiscoWorks WLSE Si Good AP Good AP WDS Rogue AP Rogue AP!%

37 &=,! ', ' -1-1-' ( *0!,, ' = ' 5. + (&$1 +$%&'((89*0-3:0 ;< 0> = = # +*< 5 = "!&

38 :; ( < 1!*

39 >4.# IJ'& 0*! %&'()). * (#.;. K 0- E5 2 ( 0 11EECCC(&)( E!+

40 C =01, B!# EG B B "6=//8"6=//8 "6=10 A A E G B )% B B B EG! B! Y %# EFG B!#8A %8)8 H!,

41 3 B >& N 8!!! Q> N %!E)8 FG8!!! & > N Z!! E )[1+3!1,,<G;!5>!N +22, B * %>! 4/

42 @ B % E% *&*G X authentication in wireless today requires 3 end to end transactions with an overall transaction time of >500ms Cisco ACS AAA server WAN X authentication in wireless today requires a roaming client to reauthenticate, incurring an additional 500+ ms to the roam AP2 AP1 4

43 @ B % >!EH G Lowest data %>! Video traffic: Second data priority Voice traffic: Highest data priority 4

44 B * 6 $5; N! *%! Y! *!! *6 B! %! *.,16//! *! $ 5 4!

45 44

46 B T * B T 8% B TC$ B TC!) B! 5 % 4%

47 %&'()L 4'&&'>#$ $ $ %&'()L ; 1 > D! M 4 4?>!I& -.E. '))K N8.G+ K N >$ 9( 0 11EEC C C(&)( EE')JJ+%( 4&

48 A O. PQ 4*

49 5 4+

50 # $ ',&&! ',+, )&& 5 )&& 5 ',+,! ',%G+ )&& 5 )& 5 8 ==;;> > > 05 0 ; 4,

51 *4 #$$$%&'()) 7 +/ 0.+,-. 8G&-.E9.+K N 7 A " 2/- 8" 2 * / / 0.))-. 8L-.E9.',K N 7 A R 8 * R *9 7 %&'())=4 7 %&'())=4 7 +/ 0 = 0 9 ( * / 0 = 4 #. ( 43 ( 7 +/ 0.8+,-.E 9.',K N4)'E& LE& G( 7 A " 2/- : %&'())( 7 %&'()) /208/* 2* 0 9=8= C 9 4 ( 7 +/ 0 = 4.',K N+ K N(3 5 $( 7 %&'())? 4 %&'()). + K N 7 +/ 0# 4 *3 $ ( 7 # O P O 3 0 P 4 %/

52 B' ) 1 A) B' ) 1 A) ) &)',, ',)' % &)''L ',,I ' &)',) ',)I J &)''G ',+' G &)'GJ ','' )& &)'') ',+I, &)'GL ','I )) &)')J ',L' + &)'G, ',G' )' &)')L ',LI L &)'G) ',GI )G &)'), ',I' I &)''J ',,' ), &)')) ',%, > 4 +/ 0 +/ 0 $ / > +/ 0?; S1 1 > 1 E8G&&&&&&&& E9 1 N %

53 «Les réseaux sans fil, quelle sécurité?» Intervenant : Jean-Marc CHARTRES - CLUSIR LYON Mars 2004 Le modèle OSI Par définition, un projet WiFi, couche 1et 2 est perçu comme un projet LAN Application Présentation Session Transport Réseau Liaison Physique Chaque couche a ses propres vulnérabilités Unicité de la chaîne Vulnérabilités statiques pour chaque niveau Scénario de vulnérabilités Infrastructure, Info structure - CLUSIR LYON Mars

54 SCHEMA D INFRASTRUCTURE SECURISEE Périmètre PHYSIQUE ET LOGIQUE d un WLAN? Internet Firewall DMZ Firewall Serveur sensible Lan - CLUSIR LYON Mars 2004 Domaines et niveaux de sécurité (exemple) - CLUSIR LYON Mars

55 - CLUSIR LYON Mars 2004 Déroulement d accès à une cellule ( ) Premier Accès - Ecoute passive - Ecoute active Phase d authentification Phase d association -échange d informations (capacité, position, synchronisation d horloge ) Accès aux ressources : Authentification par password Écoute clandestine : Le WEP (Wired Equivalent Privacy) Echange de données RC4 de RSA (Clé 40bits maintenant 128 bits) - CLUSIR LYON Mars

56 Vulnérabilités & Risques des WiFi Borne, média, poste Liées aux normes : aux produits : à l introduction de ces technologies dans les réseaux d entreprise - CLUSIR LYON Mars 2004 La sécurité dans les WLANs Le problème du sans fil : Le milieu est partout Des prises de votre réseau sont mises à disposition pour toutes personnes disposant d un système sans fil à l intérieur voir à l extérieur de votre site. Cela crée beaucoup de tentations ( bornes visibles et poste «emportable») La Sécurité de base (non mise en oeuvre!!!) SSID (nom du réseau par défaut! ) Filtrage d adresse MAC ( fastidieux!!..) Le WEP (pas vraiment gênant! ) - CLUSIR LYON Mars

57 Les attaques : Refus de Service Ou (deni of service) Création de système radio générant du bruit dans la bande des 2,4GHz. (fréquence résonance eau., et donc du micro onde!!) Génération de trafic (ex : ICMP, ) à travers le point d accès vers un serveur. ( comme d habitude..) Installation d un Point d accès «malicieux» pour détourner le trafic. ( en fait, on évite la recherche d une prise ) - CLUSIR LYON Mars 2004 Les attaques : L écoute clandestine Un jeu : Le War Driving Quadrillage d'une ville avec un ordinateur portable ou un PDA, une carte b et une antenne externe un récepteur GPS pour la localisation. - CLUSIR LYON Mars

58 Conclusions sur la sécurité de base des WLANs. L ensemble des fonctionnalités de sécurité offerte par le sont faibles SSID : c est un nom de réseau. Filtrage : on capture WEP : on utilise un logiciel pour casser le celui-ci Air--ort et We--rack Avec 500 Mo de données il faut selon la publicité, quelques secondes de calcul pour déchiffrer la clef - CLUSIR LYON Mars 2004 Utiliser la sécurité de base des bornes Désactiver les fonctions non utilisées DHCP, Interface Web, SNMP, TFTP, Diffusion du SSID, Mettre des mots de passe de qualité et du pour tous les services utilisés (WEB, TELNET, SNMP, ) Installer le Mettre à jour le firmware des bornes et des cartes Régler la puissance des bornes au plus juste - CLUSIR LYON Mars

59 La sécurité WLAN avec le 802.1x Pour palier aux lacunes de sécurité du , l IEEE propose 802.1x qui est une architecture basée sur EAP (Extensible Authentication Protocol). But : Proposer un système d'authentification sécurisée Proposer une solution de gestion dynamique des clefs Moyens à mettre en œuvre : Serveur d'authentification (type Radius) Point d'accès supportant 802.1x Client spécial sur le poste à authentifier Protocoles existants : LEAP, EAP-TLS, EAP-TTLS, EAP-MD5, PEAP... Utilisation de mots de passe, certificats... - CLUSIR LYON Mars x: Architecture et Nomenclature Les trois différents rôles dans le IEEE 802.1X: Supplicant, Authenticator et Authentication Server (AAA Server: EAP Server, généralement RADIUS). - CLUSIR LYON Mars

60 Centralisation sur un serveur radius Authentification secret secret @MAC2 - CLUSIR LYON Mars x: Déploiement sécurisé Problématique Gérer l'hétérogénéité plate-formes Systèmes exploitations Cartes Authentification des utilisateurs Mots de passe Certificats Adresse Mac Sécuriser les échanges de données Chiffrement - CLUSIR LYON Mars

61 Conclusion sur 802.1x 802.1x propose un meilleur niveau de sécurité mais : Incompatibilité matérielle et logicielle. Complexité de la configuration des postes clients Mots de passe et certificats à gérer Mise en œuvre difficile en environnement hétérogène. WEP => Wifi Protected Access (WPA) - CLUSIR LYON Mars 2004 SECURISER LES WIFI Identifier le projet envisagé En terme de risque sur le système.. En terme de risque sur les données.. Adapter l infra structure Protection physique des équipements et des sites. Configuration experte des solutions changer les paramètres par «défaut», SSID, broadcast balisage.. liste des adresses MAC autorisées Si besoin amélioration de la confidentialité et de l intégrité Activer le service WEP (128 bits) et gérer les clefs (chiffrement) Si besoin amélioration de l authentification Activer protocole EAP/TLS, RADIUS, VPN S appuyer sur une organisation rigoureuse Administration «secrète», Interdire l accès à l administration par le WLAN Maintenance et vigilance, contrôles et repérages - CLUSIR LYON Mars

62 «Les réseaux sans fil, quelle sécurité?» Merci de votre attention - CLUSIR LYON Mars