Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Transcription

1 Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au CNRS 1. Contexte général 2. Accès sur site 3. Accès distant 1. Accès sur site Contrôle d accès avec 802.1X Protection des accès sans fil 2. Accès distant VPN IPsec VPN SSL 1

2 I. Problématique du nomadisme au CNRS catégories d utilisateurs et droits associés complexes à définir dispersion géographique : laboratoires répartis sur l ensemble du territoire grande hétérogénéité des environnements 20% de l effectif du CNRS est en permanence en déplacement la SSI n est pas au centre des préoccupations des personnels des laboratoires 1 1. Contexte général I. Problématique du nomadisme au CNRS Envisager le nomadisme 2 1. Contexte général 2

3 I. Problématique du nomadisme au CNRS 3 1. Contexte général I. Problématique du nomadisme au CNRS Deux méthodes d accès: filaire et sans fil Présence de postes non maîtrisés sur le réseau interne Droits d administrateur sur le poste nomade de l utilisateur Risque d introduction de virus et autres codes malveillants Rayonnement des points d accès sans fil sur l extérieur Authentification des utilisateurs sur réseau sans fil et confidentialité des communications Plusieurs classes d utilisateur à gérer (ex. chercheur, administration, stagiaire) avec les droits associés 4 2. Accès sur site 3

4 I. Problématique du nomadisme au CNRS Accéder aux ressources du réseau interne de l extérieur Au moins un réseau étranger entre l utilisateur et son intranet Dépendance vis-à-vis de la sécurité locale (ex.: filtrage de ports) Différents scénarios possibles: Accès depuis le domicile en passant par son propre FAI Accès depuis un laboratoire externe Accès depuis un «hot-spot» Accès depuis un poste mis à disposition (ex. cybercafé) 5 3. Accès distant 1. Accès sur site Contrôle d accès avec 802.1X Protection des accès sans fil 2. Accès distant VPN IPsec VPN SSL 6 4

5 La norme 802.1X permet au réseau d authentifier l utilisateur ou l équipement dés la connexion physique Normalisé à l été X contrôle l accès au réseau au niveau de la couche 2 (liaison) du modèle OSI tant que l authentification n est pas réussie tous les protocoles de niveau supérieur ne passent pas Le déroulement d une authentification 802.1X met en jeux trois acteurs: Authenticator: le commutateur (switch) ou la borne sans fil Supplicant: L équipement qui tente d accéder au réseau Serveur d authentification: un serveur qui vérifie les informations d authentification fournies par le Supplicant à l Authenticator 7 1. Accès sur site - Contrôle d accès avec 802.1X 8 1. Accès sur site - Contrôle d accès avec 802.1X 5

6 802.1X utilise le protocole EAP EAP: Extensible Authentification Protocol protocole dédié au transport de crédits d authentification Dialogue Supplicant Authenticator: EAP over LAN - EAP dans Ethernet Dialogue Authenticator Serveur d authentification: EAP in Radius EAP dans Radius (UDP) 9 1. Accès sur site - Contrôle d accès avec 802.1X Les méthodes d authentification retenues: EAP-TLS: authentification mutuelle du serveur et de l utilisateur avec des certificats électroniques EAP-TTLS: seul le serveur doit disposer d un certificat, l utilisateur est authentifié par login/mot de passe EAP-PEAP: équivalent à EAP-TTLS mais propriétaire Microsoft. Cette méthode est disponible par défaut dans les systèmes Windows récents (XP, 2000, 2003) Accès sur site - Contrôle d accès avec 802.1X 6

7 Accès sans fil: problème supplémentaire par rapport au filaire en terme de confidentialité des échanges Les standards ont évolué, la sécurité proposée par les derniers est raisonnablement satisfaisante Rappel: Le WEP ne remplit pas son rôle, pire il induit un faux sentiment de sécurité chez l utilisateur Réponse des constructeurs: le WPA - WiFi Protected Access Accès sur site - Protection des accès sans fil But du WPA: Combler une à une les failles du WEP Rester compatible avec le matériel existant il faut encore utiliser le moteur WEP WPA: ensemble de rustines logicielles se superposant au matériel Authentification basée sur 802.1X Renouvellement des clés de chiffrement plus robuste dans le temps (TKIP - Temporal Key Integrity Protocol) Meilleur mécanisme de contrôle d intégrité (MIC) Seule ombre au tableau: le trafic de contrôle n est pas protégé (attaques par «dénis de service» possibles) Accès sur site - Protection des accès sans fil 7

8 On peut résumer WPA par cette équation: WPA = 802.1X/EAP + TKIP + MIC + WEP La nouvelle norme: i ou WPA2 Le moteur WEP est remplacé par un moteur AES (Advanced Encryption Standard) d où le changement de matériel nécessaire WPA2 doit répondre au manque de protection du trafic de contrôle Accès sur site - Protection des accès sans fil VLAN sur réseau sans fil Certains points d accès haut de gamme supportent cette fonctionnalité Attribution dynamique de VLAN par le serveur d authentification en fonction du profil d utilisateur Produits encore chers mais le principe est très intéressant Accès sur site - Protection des accès sans fil 8

9 VPN: permettre à l utilisateur de se connecter à distance aux ressources du réseau interne de manière sécurisée Deux types de VPN ont été étudiés: IPsec Internet Protocol SECurity SSL Secure Socket Layer Accès distant Protocole IPsec: intervient au niveau 3 (couche réseau) du modèle OSI Sécurise de façon transparente toutes les applications basées sur TCP-UDP/IP Accès distant VPN IPsec 9

10 Utilisation pour poste nomade Accès distant VPN IPsec Besoin d un client IPsec installé et configuré sur le poste client Les ports utilisés sont souvent filtrés par les parefeux A l établissement du tunnel IPsec, le client récupère une adresse IP du réseau interne Création d un ou plusieurs VLAN dédiés nécessaire Technologie éprouvée qui est d ailleurs intégrée par défaut dans le protocole IPv Accès distant VPN IPsec 10

11 Protocole SSL: intervient au dessus du niveau 4 (Couche Transport) du modèle OSI Permet de sécuriser les protocoles de niveau applicatif Accès distant VPN SSL Les produits VPN SSL sont récents sur le marché Principal argument commercial: «client-less» L utilisateur n a pas besoin d installer un client spécial pour se connecter à son réseau, un navigateur web suffit Principe: rediriger le trafic réseau des applications courantes vers le port HTTPS pour qu il bénéficie de la protection du tunnel SSL: VPN SSL = Redirection de port + tunnelisation Accès distant VPN SSL 11

12 Redirection de port Accès distant VPN SSL Accès distant VPN SSL 12

13 Le port 443 (HTTPS) est largement utilisé Pas de problème avec les pare-feux Affichage sur la page web des ressources auxquelles l utilisateur a le droit d accéder Meilleure gestion du contrôle d accès, meilleure granularité Performance de l applet Java / composant ActiveX? Redirection de port = encapsulation de protocole de niveau inférieur à un niveau supérieur Aspect boîte noire par rapport à IPsec Accès distant VPN SSL Université de Corse DESS ISI Conclusion Merci de votre attention 13