Projet Zains Zone d Accès à l Information Numérique Sans fil 1
Le Contexte Université de la Méditerranée Faculté de Médecine 1200 postes fixes, 60 VLAN (autant de subnet IP), 30 baies réseaux sur 2 sites 1500 utilisateurs permanents (enseignants/chercheurs/administratifs) 10000 utilisateurs potentiels (+Etudiants) 2
PLAN DE LA PRESENTATION Exemple: Le prêt de livres numériques en ligne : Un nouvel usage grâce au wifi Comment mettre en production ce type de service 1. Les objectifs de notre projet baptisé : ZAINS (Zone d'accès à l'information Numérique Sans fil) 2. Les raisons du choix d'architecture et de produits 3. L'intégration pratique dans notre LAN 4. L'exploitation (ou comment devenir ZAINS et... le rester) 5. Les problèmes et les évolutions 3
Objectif du projet Intégrer des espaces d accès sans fil à notre système d information en respectant les contraintes et souhaits suivants : Garantir la sécurité de notre Lan filaire S intégrer de manière «normalisée» à l infrastructure existante (LDAP, 802.1x, 802.1Q, ) Garantir une sécurité «à la carte» (mixte et évolutive) pour les utilisateurs du wifi Minimiser l exploitation Infrastructure fiable avec des solutions de backup Ouverture sur des composants de gestion existants (pour les utilisateurs et les organes réseaux) Authentifier (et responsabiliser) l utilisateur du wifi Intégrer l évolution des usages Permettre une convergence filaire et wifi pour la sécurité Permettre un investissement proportionnel au rythme du déploiement Pouvoir prendre en compte des clients que l on ne «maîtrise» pas 4
Organisation et historique Mai 2003 - Groupe de travail au sein du CRI de l Université Identification et Définition de 2 populations d utilisateurs : avec poste maîtrisable (chercheurs, administratifs) et non maîtrisable (étudiants, passage) Projet CIGR Médecine : ZAINS Maquettage de 2 voies de sécurité : Sécurité composite de «haut niveau» avec certificats: 802.1x EAP-TLS et TTLS (serveur radius, annuaire ldap, serveur de certificats), boîtier VPN Sécurité sans et avec maîtrise du client : boîtier tout en un ouvert (Blue socket) Oct 2003 présentation au CRI de la solution Bluesocket validée en Médecine Nov 2003 inscription du projet ZAINS au Plan quadriennal de la Faculté de médecine Dec 2003 1ère ZAINS mobile pour le congrès IPM2003 avec une architecture à base de Bluesocket, intégration dans une architecture de labo avec clients Mac Avril 2004 oct 2004 : validation de bornes pour le déploiement, mise en place de 2 ZAINS fixes, intégration de l authentification LDAP et de nouveaux usages (SCD prêt de livres numériques), application au filaire (bus-ville) 5
La démarche «Découverte» du wifi et de ses problèmes (802.11 ) Définition d une stratégie par rapport à l utilisation de cette technologie : quelles populations pour quels usages (existants, nouveaux), dans quel environnement physique/géographique, légal (charte, traces, lois, ), quels accès au Système d information interne/externe, quelle «identité» pour ces utilisateurs? Définition d une stratégie par rapport à la sécurité : quelles réponses au vecteur DIC, convergence/divergence par rapport au filaire? Définition d une stratégie par rapport à l organisation : Du déploiement deux approches : ZAINS dispersées, ZAINS de bâtiment De l exploitation : backup (à chaud) des équipements, surveillance pannes, piratage, environnement de test des releases majeurs, De l utilisation (aide aux utilisateurs, signalétique, connaissance des risques, ) 6
Les moyens Techniques : Organe Central de Sécurité (OCS) : 1 BS 15 users (backup), 1 BS 100Mb Bornes : 5 bornes Cisco AP1100 Annuaires : Ldap (Openldap), AD serveur Windows 2000 Humains Évaluation : 6 mois/homme Déploiement : 2 jours de prestation 1 mois/homme (politique BS et modèle paramétrage de borne) Pour une ZAINS 1 à 5 bornes : 3 à 5 jours/homme (étude implantation, suivi du câblage, paramétrage d après modèle et tests, création des éléments nouveaux sur le BS) 7
Les raisons du choix d'architecture et de produits Garantir la sécurité de notre Lan filaire Des vlan et subnet privés isolés au niveau 2 /LAN LE BS est la barrière par rapport aux populations non fiables S intégrer de manière «normalisée» à l infrastructure existante (LDAP, 802.1x, 802.1Q, ) BS peut être automone (base de compte, terminateur vpn, ) et ouvert authentification relais 802.1x, ldap, AD Garantir une sécurité «à la carte» (mixte et évolutive) pour les utilisateurs du wifi BS permet d imposer Ipsec ou pas (et fourni les clients téléchargeable depuis le portail captif) Minimiser l exploitation : BS organe centrale : une console, pour les bornes config minimum et reproductible (logique de zains isolées : bornes en petit nombre et fiables cisco AP 1100) Infrastructure fiable avec des solutions de backup : tous les BS peuvent se backuper entre eux Ouverture sur des composants de gestion existants (pour les utilisateurs et les organes réseaux) une seule gestion d annuaire d authentification Authentifier (et responsabiliser) l utilisateur du wifi : ldap ou 802.1x Intégrer l évolution des usages : BS non liè aux protocoles et normes 802.11 (impact uniquement sur les bornes) une R&D active Permettre une convergence filaire et wifi pour la sécurité ; BS applicable à tout poste Permettre un investissement proportionnel au rythme du déploiement : gradiant de modèle de BS avec réutilisation en backup des modèles inférieurs Pouvoir prendre en compte des clients que l on ne «maîtrise» pas : but du BS 8
L'intégration pratique dans notre LAN 9
Sécurité SSID WEP Utilise l algorithme RC4 avec clé unique utilisée par tous les postes et les AP RC4 peu fiable Pas de contrôle d intégrité de paquets Pas de mécanisme «anti re-jeu» WPA nécessite 802.1x/EAP WEP améliorer avec clé dynamique (mais toujours RC4) vecteur d initialisation plus grand, code d intégrité et anti rejeu WPA2 : WPA + refonte de la partie chiffrement (base 802.11i) AES, il faut changer de hardware Sécurité de niveau 3 VPN IPsec 10
L architecture possible ZAINS Base de comptes Serveur LDAP Sources d authentification Internet VLAN WIFI Intranet Poste avec carte wifi Association : Accès au support 802.11 Cryptage SSID 11 Bornes (AP) Affectation d adresse IP (DHCP) Gestion de la bande passante QOS 802.1P Authentification + Portail captif WEP OCS Bluesocket WPA-WPA2 802.1X/EAP Sécurité de Niveau 3 : VPN Ipsec Serveur Radius Filtrage des échanges Log des échanges ACL Routeur + FW Translation d adresse : NAT Aiguillage vers un VLAN (802.1Q)
L architecture déployée ZAINS Base de comptes Serveur LDAP Sources d authentification Internet VLAN WIFI Intranet Poste avec carte wifi Association : Accès au support 802.11 Cryptage SSID 12 Bornes (AP) OCS Bluesocket Affect ation d adr esse IP (DHC P) Sécurité de Niveau 3 : VPN Ipsec Authentification + Portail captif Filtrage des échanges Log des échanges ACL Routeur + FW Translation d adresse : NAT Aiguillage vers un VLAN (802.1Q)
ZAINS Etapes de connexion PC équipé Carte WIFI paramétrée Association par le SSID PC et borne communiquent en 802.11 Serveur DHCP du BlueSocket distribue une adresse IP privée Éventuellement cryptage (tunnel VPN Ipsec avec le BS) Connexion Internet établie avec navigateur Redirection https vers le BlueSocket Authentification par LDAP, Active Dir., ou base locale L utilisateur (MAC,IP,Login) se voit attribué un rôle (droits d accès) selon critères d authentification Trames rejetées ou non par le BlueSocket (IP, Port, règles Firewall ) 13
Le déploiement Règles générales par rapport à l architecture Définir les vlans côté managed : Vlan srpriv : public ZAINS libre Vlan srpriv2 : public labo ou services Côté protected : Tous les vlans selon les sources (wifi, srxx, ) Définir les adresses réseaux et plages pour : Les interfaces du BS Les bornes Les clients (plages DHCP) Définir la politique de cryptage (imposer Ipsec pour qui?) 14
Le déploiement Les bornes 2 approches ZAINS isolées (peu de bornes très fiables) bornes CISCO AP1100 retenues (éventuellement airport pour environnement mac) ZAINS de bâtiment (non abordée pour l instant) Ce sont des organes réseaux : il faut les configurer, les maintenir, les surveiller Mise à jour firmware, paramétrage de base : SSID Adresse IP Mode de management (uniquement ssh) pas de mode pont Interdire aux clients de se voir entre eux par la borne 15
Le déploiement L OCS (Organe Central de Sécurité) : Bluesocket BS 15 users BS illimité 100Mb/s Mise en backup failover du BS 15users Futur BS illimité Gb/s Mise en backup failover du BS illimité100 Mb/s BS 15 users pour tests release/nvelle config 16
Le déploiement L OCS (Organe Central de Sécurité) : Bluesocket Mise à jour firmware paramétrage de base : Adresse IP par interface physique Interfaces virtuelle et vlan associé Gestion des log Gestion du failover Gestion des sauvegardes de configuration (ftp) 17
L exploitation Les bornes (interface web ou cli) Mise à jour firmware Nouveaux SSID Nouvelles normes et protocoles L OCS (Organe Central de Sécurité) : Bluesocket (interface web) Gestion des services (port/protocoles) Gestion des destinations (ip, réseaux, groupes) Gestion des rôles (règles fw) Gestion des utilisateurs et des sources d authentification (règles d affectation de rôles selon attributs d annuaires) 18
Les problèmes et les évolutions Les postes utilisateurs : Comment intégrer des postes sains dans notre infrastructure? Quelle maîtrise du client pour aller vers 802.1x? Quelle confidentialité des échanges doit on garantir? Les bornes et l OCS Déploiement : position,canal et puissance difficile à gérer : le rendre automatiques? Nouvelles normes et protocoles, comment faire évoluer et cohabiter les bornes (intégration de la TOIP) Détection des bornes pirates (intégration de cette fonction dans les bornes et le BS) Géolocalisation des bornes et des postes? Des solutions arrivent? Comment répondre au déploiement massif de type bâtiment : bornes peu chères et basiques, organes de gestion répartis communiquant en radio? 19
DEMO 20
L architecture de démo Bus-ville Filaire ZAINS Gd Hall ZAINS Cafétéria ZAINS BU VLAN WIFI Intranet Internet Bluesocket ACL Routeur + FW ZAINS DEMO 21
Wifi Intégrer Zains Création des vlans à atteindre en WIFI sur l interface protected Ajout des ports d interco en Tagged LAN SECURISE / INTERNET Protected > Organe de sécurité Plate forme BlueSocket -DHCP -NAT -Gestion de VLAN -Gestion d utilisateurs LAN PRIVE / ETANCHE WiFi : 192.168.200.0-255 22 Managed 192.168.200.1 ZAINS LABO ZAINS LABO + Appletalk ZAINS Libre Créer le vlan SRPRIV sur le cœur de réseau et sur la distrib (s il n existe pas) Conf srpriv tag 1900 Mettre les ports de raccordement des bornes dans le vlan SRPRIV en untagged Conf srpriv add port x untagged Mettre les ports d interco vers le cœur de réseau dans SRPRIV en tagged Conf srpriv add port x tagged
Wifi Bluesocket/Rôle Configuration des rôles 23
Wifi Bluesocket/Role Configuration des rôles 24
Wifi Bluesocket/LDAP Paramétrage de l authentification LDAP 25
Wifi Bluesocket/LDAP Paramétrage de l authentification LDAP 26