Sécurité des réseaux sans fil



Documents pareils
WIFI (WIreless FIdelity)

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Charte d installation des réseaux sans-fils à l INSA de Lyon

7.1.2 Normes des réseaux locaux sans fil

La sécurité dans un réseau Wi-Fi

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Sécurité des réseaux wi fi

IV. La sécurité du sans-fil

1. Présentation de WPA et 802.1X

Les algorithmes de cryptographie dans les réseaux Wi-Fi

Guide pratique spécifique pour la mise en place d un accès Wifi

Comprendre le Wi Fi. Patrick VINCENT

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Pare-feu VPN sans fil N Cisco RV120W

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Réseau sans fil trois fois plus rapide et cinq fois plus flexible.

Sécurité des réseaux sans fil

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

WiFI Sécurité et nouvelles normes

Note technique. Recommandations de sécurité relatives aux réseaux WiFi

Rapport de Projet. La sécurité du protocole : l exploitation des failles et étude des méthodes de protection. Réalisé par :

Les Réseaux sans fils : IEEE F. Nolot

Partie 9 : Wi-Fi et les réseaux sans fil

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

How To? Sécurité des réseaux sans fils

Contrôle d accès Centralisé Multi-sites

Le protocole RADIUS Remote Authentication Dial-In User Service

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Pare-feu VPN sans fil N Cisco RV110W

Manuel de Configuration

Routeur VPN Wireless-N Cisco RV215W

Réseaux AirPort Apple

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

TP 6 : Wifi Sécurité

Les informations contenues dans ce manuel sont susceptibles de modification sans préavis.

Sommaire. III : Mise en place :... 7

Réseaux : Wi-Fi Sommaire. 1. Introduction. 2. Modes de fonctionnement. 3. Le médium. 4. La loi. 5. Sécurité

1. CONFIGURATION DE LA CLE WEP CONFIGURATION DE LA CLE WPA CONFIGURATION D UN SSID SANS CHIFFREMENT... 6

Présentation et portée du cours : CCNA Exploration v4.0


CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Cisco RV220W Network Security Firewall

Cisco RV220W Network Security Firewall

Présentation et portée du cours : CCNA Exploration v4.0

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

et les autres réseaux locaux

Introduction au Wi-Fi sécurisé

Informations Techniques Clic & Surf V 2.62

Administration du WG302 en SSH par Magicsam

HAUTE ECOLE DE LA VILLE DE LIEGE Département technique INSTITUT SUPERIEUR D ENSEIGNEMENT TECHNOLOGIQUE. Déploiement des réseaux WIRELESS sécurisés.

KX ROUTER M2M SILVER 3G

Présentation Générale

Le réseau sans fil "Wi - Fi" (Wireless Fidelity)

Menaces et sécurité préventive

Sécurité en milieu Wifi.

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

Description des UE s du M2

Configuration de routeur D-Link Par G225

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

WiFi et sécurité. Introduction et pré-requis : Cet article explique :

W I-FI SECURISE ARUBA. Performances/support de bornes radio

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

2. DIFFÉRENTS TYPES DE RÉSEAUX

Point d'accès Cisco WAP121 Wireless-N avec configuration par point unique

Figure 1a. Réseau intranet avec pare feu et NAT.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

LAB : Schéma. Compagnie C / /24 NETASQ

La sécurité des réseaux sans fil à domicile

CPE Nanur-Hainaut 2009 Rudi Réz

Sécurité des Postes Clients

Sécurité des Réseaux Locaux Informatiques VLAN et WLAN

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Sommaire: Contenu de l emballage : 1x

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Groupe Eyrolles, 2004, ISBN :

MONNIER Marie /2009 WPA

5.5 Utiliser le WiFi depuis son domicile

Mode d emploi DR410 RADIO INTERNET ET FM PORTABLE

Administration de Réseaux d Entreprises

Un peu de vocabulaire

Etat des lieux sur la sécurité de la VoIP

TCP/IP, NAT/PAT et Firewall

Présentation du modèle OSI(Open Systems Interconnection)

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Point d'accès extérieur PoE bibande simultané Wireless AC1200

Attaques Wi-Fi WPA. Séparer le bon grain de l ivraie dans le buzz ambiant. Cédric Blancher. sid@rstack.org Rstack Team

REPETEUR SANS FIL N 300MBPS

Les appareils de sécurité gérés dans le cloud Cisco Meraki MX

GUIDE DU HOTSPOT WIFI. Pourquoi et comment créer un point d accès WiFi

Administration des ressources informatiques

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

Transcription:

Sécurité des réseaux sans fil Matthieu Herrb CNRS-LAAS matthieu.herrb@laas.fr Septembre 2003 SIARS Toulouse 2003

Plan La technologie sans fils Faiblesses et Attaques Architecture Sécurisation des postes clients Sécurisation des points d accès Authentification des clients Sécurisation des échanges SIARS Toulouse 2003 1

Introduction au Wifi Wireless Fidelity. Nouvelles familles de technologies pour la couche physique. Utilisent les ondes radio pour transporter le signal. Nom Débit Max. Fréq. Modulation Remarques IEEE802.11 2Mb/s 2.4 GHz FH IEEE802.11b 11Mb/s 2.4GHz DSSS IEEE802.11g 54Mb/s 2.4GHz OFDM IEEE802.11a 54Mb/s 5GHz OFDM Interdit en Europe HomeRF 2Mb/s?? Utilise le DECT HyperLAN 54Mb/s 5GHz OFDM Standard Européen Bluetooth (IEEE802.15) 1Mb/s 2.4GHz? Pas IP Technique d accès : CSMA/CA (Collision Avoidance) SIARS Toulouse 2003 2

Principe d un réseau Wifi station mobile Point d acces Reseau local filaire SIARS Toulouse 2003 3

IEEE802.11b : canaux 5MHz Europe Etats Unis, Canada Japon 2.400GHz 1 2 3 4 5 6 7 8 9 10 11 12 13 14 2.455GHz 2.480GHz En France : réglementation mise à jour en juillet 2003 : http://www.art-telecom.fr/communiques/communiques/2003/ index-c220703.htm http://www.art-telecom.fr/dossiers/rlan/puissances-2-4.htm SIARS Toulouse 2003 4

IEEE802.11b : BSS Basic Service Set Un ensemble de points d accès et les stations mobiles associées. SSID : identificateur de réseau - chaîne de caractères. Pour joindre un réseau Wifi, une station doit connaître le BSSID du réseau. Facile : il peut être broadcasté périodiquement par les points d accès. il suffit d écouter pour découvrir les réseaux disponibles. War Driving : cartographie des réseaux Wifi accessibles. (Avec un portable et un GPS). http://www.stumbler.net/index.php?cat=5 http://www.dachb0den.com/projects/dstumbler.html Un point d accès se comporte comme un HUB écoute du trafic possible. SIARS Toulouse 2003 5

WEP Wired Equivalent Privacy. Mécanisme de chiffrement du contenu des paquets Wifi. Algorithme à clé secrète : RC4 (40 ou 128 bits). Principe : un mot de passe est positionné sur les points d accès et les stations mobiles. Sans le mot de passe, pas de communication. Problèmes : interopérabilité difficile entre implémentations de Web (correspondance mot de passe / clé, longueur des clés). gestion des clés : comment diffuser la clé WEP à tous les utilisateurs / visiteurs. Comment la changer périodiquement sur plusieurs points d accès et plusieurs stations? faiblesses dans l implémentation : crackage de la clé possible en quelques minutes avec suffisamment de paquets capturés. http://www.dachb0den.com/projects/bsd-airtools.html SIARS Toulouse 2003 6

Attaques et risques (1/2) Internet Attaquant routeur Point d acces stations mobiles Reseau local filaire SIARS Toulouse 2003 7

Attaques et risques (2/2) Point d accès Wifi : énorme prise RJ 45 de 50m de diamètre. déborde du périmètre de sécurité physique en libre-service Attaques : Dénis de service bande passante partagée et limitée débit utile limité par la station la plus faible point(s) d accès parasite(s) Interception du trafic média partagé attaque facile. sniffer passif arp poisoning Utilisation non autorisée Voir war-driving ci-dessus,... installation de bornes non autorisées : renforcent l impact des problèmes ci-dessus. SIARS Toulouse 2003 8

Sécurisation : architecture Internet routeur Point d acces stations mobiles Reseau local filaire SIARS Toulouse 2003 9

Sécurisation des postes sans fil Buts : empêcher les accès non autorisés sécuriser les connexions Moyens : outils pour la sécurité locale : mises à jour, anti-virus, configuration rigoureuse, filtre de paquets, etc. protocoles de transport sécurisés : SSH, SSL, IPsec Si le mobile ne change jamais de réseau : fixer le SSID (éviter l utilisation de ANY ) utiliser une entrée statique dans la table ARP pour le routeur SIARS Toulouse 2003 10

Sécurité des points d accès Restreindre l accès aux interfaces d administration : autoriser l administration uniquement depuis le réseau filaire positionner un mot de passe d administration restreindre les accès SNMP Activer les logs : utiliser la possibilité d envoyer les logs vers un syslog extérieur utiliser les trap SNMP surveiller les connexions - repérer les connexions non autorisées Autres (pas très efficace mais augmente un peu la sécurité malgré tout) : activer le WEP filtrage par adresse MAC supprimer les broadcast SSID SIARS Toulouse 2003 11

Authentification : portail Solution la plus simple à mettre en oeuvre Principe : affecter aux utilisateurs non authentifiés une adresse IP dans un réseau non routable ou une passerelle spécifique. Après authentification, paramètres normaux. Exemples d implémentation : NoCatAuth http://nocat.net/ OpenBSD authpf http://www.openbsd.org/faq/pf/authpf.html Problèmes : ne gère pas le chiffrement potentiellement contournable (car basé uniquement sur les adresses IP). Possibilité de compléter par IPsec entre le routeur et les stations mobiles. SIARS Toulouse 2003 12

Authentification et chiffrement niveau 2 Solution générale aux problèmes de sécurité sur les réseaux publics : authentification et chiffrement au niveau 2 : IEEE 802.1X & Co. Domaine qui évolue vite en ce moment (2003) : Portail HTTP / SSH LEAP (Cisco + Microsoft) IEEE 802.1X WPA (Wifi Protected Access) IEEE 802.11i (intégré dans 802.11g) Principe : Systèmes de niveau 2. Authentification entre le point d accès et le client. basés sur le protocole d authentification EAP utilisent un serveur Radius permettent la négociation des clés WEP Implémentation de IEEE802.1X pour Unix : Open1x http://open1x.sourceforge.net/ SIARS Toulouse 2003 13

Authentification : LEAP, 802.1X, WPA, 802.11i 1 4 5 Point d acces 3 2 serveur radius 1. Le poste non authentifié arrive sur un point d accès. Présente sa demande d authentification 2. Le point d accès vérifie l authentification vis-à-vis d un serveur (EAP) 3. Le serveur valide l authentification. 4. Le point d accès «ouvre» le réseau au niveau 2. 5. La station mobile peut communiquer à travers le point d accès. SIARS Toulouse 2003 14

Conclusion Les réseaux sans fil sont là pour durer. Ils sont déjà largement déployés. La technologie évolue rapidement. Il faut les prendre en compte pour assurer la sécurité de nos systèmes. SIARS Toulouse 2003 15

Bibliographie 802.11 Security, B.Potter & B. Fleck, O Reilly, Décembre 2002. Sécurité des réseaux sans file 802.11b, Hervé Schauer, mars 2002 http: //www.hsc.fr/ressources/presentations/asprom02/index.html.en Sécurité Informatique numéro 40, Juin 2002, http://www.cnrs.fr/infosecu/num40-sansfond.pdf Déploiement & sécurité des réseaux sans fil (802.11b), D. Azuelos, Mai 2003 http: //www.urec.cnrs.fr/securite/cnrs/vcars/documents/azuelos.pdf Recommandation du CERT-A, août 2002 http://www.certa.ssi.gouv.fr/site/certa-2002-rec-002.pdf SIARS Toulouse 2003 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back