Générations de réseaux sans fil.

Documents pareils
Présenté par : Ould Mohamed Lamine Ousmane Diouf

Sécurité des réseaux sans fil

7.1.2 Normes des réseaux locaux sans fil

WIFI (WIreless FIdelity)

IV. La sécurité du sans-fil

Introduction au Wi-Fi sécurisé

1. Présentation de WPA et 802.1X

TEPZZ 699Z A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: H04W 12/06 ( ) H04L 29/06 (2006.

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Le protocole RADIUS Remote Authentication Dial-In User Service

VOIP : Un exemple en Afrique

Charte d installation des réseaux sans-fils à l INSA de Lyon

Sécurité des réseaux wi fi

! "# Exposé de «Nouvelles Technologies Réseaux»

How To? Sécurité des réseaux sans fils

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Comprendre le Wi Fi. Patrick VINCENT

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

High-Speed Internet Access.

Sécurité des réseaux sans fil

Manuel de Configuration

KX ROUTER M2M SILVER 3G

Architecture sécurisée par carte à puce.

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

Description des UE s du M2

Le protocole SSH (Secure Shell)

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Réseaux et Services de Télécommunication Concepts, Principes et Architectures

Gestion des identités Christian-Pierre Belin

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

Pare-feu VPN sans fil N Cisco RV110W

Installation du point d'accès Wi-Fi au réseau

La Technologie Carte à Puce EAP TLS v2.0

Pare-feu VPN sans fil N Cisco RV120W

Figure 1a. Réseau intranet avec pare feu et NAT.

Routeur VPN Wireless-N Cisco RV215W

Sécurité en milieu Wifi.

1 Identités pour l enregistrement IMS

WiFI Sécurité et nouvelles normes

LA VOIX SUR GPRS. 1. Introduction. P. de Frino (1), S. Robert (2), G. Cecchin (3) Résumé

Le rôle Serveur NPS et Protection d accès réseau

Autorité de Régulation de la Poste et des Télécommunications. Direction de l Interconnexion et des Nouvelles Technologies.

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

TP 6 : Wifi Sécurité

Administration du WG302 en SSH par Magicsam

Trois types de connexions possibles :

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

SURFING SAILING. Internet on board

Mobile VPN Access (MVA)

GSM : Global System for Mobile Communications Architecture, Interfaces et Identités

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Objectifs des cours 3 et 4

Sommaire. III : Mise en place :... 7

Mettre en place un accès sécurisé à travers Internet

Introduction aux Technologies de l Internet

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

Configuration des points d'accès

Configuration du driver SIP dans ALERT. V2

BOITIER WiFi PRESENTATION DEMARRAGE CONNEXION AUX PAGES WEB. 1. Placez la carte SIM dans la clé USB puis placez la clé USB dans le Boitier WiFi.

Les algorithmes de cryptographie dans les réseaux Wi-Fi

Présentation et portée du cours : CCNA Exploration v4.0

La sécurité des réseaux sans fil à domicile

Cisco RV220W Network Security Firewall

Contrôle d accès Centralisé Multi-sites

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les Réseaux sans fils : IEEE F. Nolot

Cisco RV220W Network Security Firewall

Présentation du modèle OSI(Open Systems Interconnection)

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

Réseaux CPL par la pratique

>> Lisez-moi d abord... Connecter le ZyXEL Prestige 650HW/HW-I

Technologies sans fil Testeurs. WLAN Traffic Offload : désengorger les réseaux mobiles

Configuration du modem D-Link ADSL2+

Guide de connexion ROUTEUR THOMSON SPEEDTOUCH 510 Internet Oléane Open

Présentation Internet

CONVENTION d adhésion au service. EDUROAM de Belnet

Organisation de GSM IFT-6275 IFT-6275 PSTN /ISDN BTS BSC BTS MSC MSC BTS BSC BTS BSC MSC BTS BTS BTS BSC

La sécurité dans un réseau Wi-Fi

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Parcours en deuxième année

QU EST-CE QUE LA VOIX SUR IP?

L3 informatique Réseaux : Configuration d une interface réseau

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

2010 Copyright MyxyBox - Tous droits réservés Vous pouvez télécharger la dernière version de ce guide sur le site

SSL ET IPSEC. Licence Pro ATC Amel Guetat

TP5 VOIP résidentiel étendu Page 1 sur 7 Lp Ampere CLAVAUD

Information. Communication for the open minded. Siemens Enterprise Communications

Transcription:

La carte WiFi, un vecteur pour l authentification des abonnés wireless, et la facturation des services associés. L, Directeur de Recherches SchlumbergerSema. purien@slb.com obtention de services téléphoniques ou télématiques en mode sans fil, est un besoin grandissant des utilisateurs qui désirent accéder de manière quasi permanente au réseau, sans avoir à initialiser une procédure de connexion. Le nombre de terminaux mobiles est estimé à 1 milliard d unités en 2003 (source CISCO). Générations de réseaux sans fil. 2G Global System for Mobile Communication. Voix 13 Kbit/s - Short Message SMS 160 octets. 2,5G General Packet Radio Service. Mode paquet - Débit < 32 Kbit/s 3G Universal Mobile Telecommunication System. Mode Paquet - Débit < 2 Mbits. 4G WLAN - Wi-Fi Ethernet sans fil 802.11. 802.11b, 11 Mbits/s, Portée 25/100 m, disponible. 802.11a, 54 Mbits/s, en cours de finalisation. Piconet BlueTooth, disponible. Portée 10 m Débit < 1 Mbit/s Schématiquement on peut distinguer quatre générations de réseaux mobiles, Le GSM, ou 2G disposant d un canal voix de 13 kbit/s et des messages SMS de 160 octets (3,3 milliards 1 de SMS échangés en 2001!) Le GPRS ou 2,5G, supportant un trafic en mode paquets de l ordre de 32 kbit/s L UMTS ou 3G, avec des débits estimés à 2 Mbits/s 1 http://news.zdnet.fr/story/0,,t118-s2102365,00.html

Les réseaux sans fils (4G) de moyenne (100 m, 802.11 ) ou faible (10 m, bluetooh) portée. L omniprésence d équipements de connexion radio (WiFi, 802.11, ) intégrés prochainement à toutes les cartes mères des ordinateurs personnels (et bientôt aux puces informatiques), implique le déploiement d architectures d authentification dans l internet de nouvelle génération, analogues à celles des réseaux GSM ou UMTS. Jusqu'à présent la sécurité des réseaux domotiques ou des intranets était réalisée par la restriction des accès aux personnes autorisées. A l intérieur de l entreprise l usage du réseau est libre (par exemple pas d authentification lors de l obtention d une adresse IP au moyen du protocole DHCP), en particulier pour permettre la connexion des ordinateurs portables. Architecture sans fil 802.11 Service Set IDentifier SSID Basic Set Service Distribution System Access Point WLAN 802.11 AP Smartcard? 802.11 STAtion Wireless Plug RJ45 Plug PORTAL Mail Server Parking Lot attack DHCP Server Firewall La mise en œuvre de lien radio rend inefficace la politique traditionnelle du filtrage des entrées, puisqu il devient possible d accéder au réseau de l entreprise à l extérieur de ses locaux. L a première génération 802.11 a introduit un protocole de sécurité (WEP Wireless Equivalent Privacy) fournissant des mécanismes d authentification (Share Key ) mais également de confidentialité (chiffrement) et d intégrité des informations échangées.

Ces fonctions utilisent un jeu de 4 clés fixes partagées entre la station et le point d accès. Outre les faiblesses de WEP largement documentées 2 à travers le WEB, la gestion de l authentification à partir de clés gérées par les points d accès et les cartes WiFi est inadaptée pour des infrastructures comportant des milliers d utilisateurs ou pour des clients de multiples réseaux (comment mettre à jour les clés?). Pour remédier à ces inconvénients le comité IEEE a défini la norme 801.x qui décrit une architecture centralisée, dans laquelle le processus d authentification est réalisé entre le terminal sans fil et un serveur central, le point d accès se comportant comme un simple relais entre ces deux entités. Authentification dans le GSM Mobile Station BTS VLR HLR / AUC SIM Local DataBase Operator DataBase Ki Kc A3 A8 A5 TMSI A5 Kc RAND SRES Ki Kc TMSI A3 A8 RAND, SRES(RAND,Ki,A3), Kc(RAND,Ki,A8) Ce schéma présente plusieurs analogies avec celui du GSM dont nous rappelons brièvement les principales caractéristiques. Le terminal stocke dans le module SIM l identité de l abonné () et des procédures d authentification. Avant d établir une communication téléphonique il transmet son identité, via la station de base (BTS) vers le centre d authentification de l opérateur (AUC), qui génère alors un triplet (rand, sres, Kc) permettant d une part à un système local (VLR) de vérifier l identité du client (rand,sres) et d autre part à la station de base de disposer d une clé 2 Revue du CNRS Sécurité Informatique n 40 juin 02 disponible en http://www.cnrs.fr/infosecu/num40-sansfond.pdf

de chiffrement (Kc) pour le trafic vocal. L authentification de l abonné permet d assurer la confidentialité des données échangées mais également d établir ses droits et de facturer les services qu il consomme (ce sont les fonctions AAA, Authorization Accounting en cours d études à l IETF). En résumé l architecture GSM comporte trois sous ensembles pour l authentification, Le terminal muni d une carte SIM, qui représente en fait l opérateur. Un système local qui filtre/mesure les données émises par le terminal et vérifie l identité du client. Un serveur central qui stocke le profil de l abonné et réalise la facturation des services. Modèle 802.1x EAP / LAN EAP / RADIUS STAtion Associate Access Point Server EAP Identity Request EAP Identity Response EAP Identity Response WiFi Card WiFi card EAP Auth Request EAP Auth Response EAP-Success EAP Auth Request EAP Auth Response EAP-Success Port Status: traffic Normal Data Le modèle 802.1x utilise également trois composants, Un terminal (désigné sous le terme Supllicant) associé à une carte réseau. Un système d authentification, dit Authenticator, matérialisé par un point d accès ou un HUB relié à un point d accès. Cet élément filtre les paquets non authentifiés et peut réaliser des mesures de trafic. Un serveur d authentification ( Server) qui stocke le profil d un utilisateur et ses paramètres d identification. Le protocole RADIUS 3, 3 Remote Dial In User Service rfc 2138 Avril 1997.

développé outre atlantique pour assurer une interopérabilité entre fournisseurs d accès internet (ISP), réalise le transport des messages d authentification. Une des particularités de cette architecture est la mise en œuvre du protocole EAP 4 qui utilise quatre types de messages (Request, Response, Failure, Success), et supporte jusqu à 255 méthodes d authentification, citons par exemple, Un mécanisme challenge MD5, une empreinte est calculée à partir d un nombre aléatoire et d un secret partagé Le populaire protocole SSL (EAP TLS). Une adaptation de la version 5 du protocole Kerberos (IAKKERB). L utilisation de cartes GSM SIM (EAP SIM), ou UMTS USIM (EAP AKA). L authentification du terminal est conduite avant l obtention d un adresse IP, en conséquence les paquets EAP sont acheminés par divers moyens, trames MAC (entre le terminal et AP) ou protocole routable RADIUS (entre AP et AS). Le parapluie EAP. 1 Request 2 Response 3 Success 4 Failure Packet Identifier Packet Length 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Code Identifier Length +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Type Type-Data... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- User Identity Spiderman@comics.com Type comics.com server 1 Identity 2 Notification 3 NAK 4 MD5 challenge 18 SIM-EAP. Schemes EAP TLS WiFi Card Chap/md5 Kerberos SIM/USIM Extensible Authentification Protocol Structure d un paquet EAP EAP Messages Transport EAP over RADIUS EAP over LAN - EAPOL Network TCP/IP IEEE 802.11 L identité d un utilisateur est réalisée à l aide d un identifiant, le NAI 5, dont la structure est analogue à celle d une adresse de courrier électronique. La partie gauche est un login reconnu par le serveur d authentification, dont l adresse séparée par le caractère @, est indiquée par la partie droite. 4 Extensible Protocol rfc 2284 Mars 1998. 5 The Network Access Identifier rfc 2486 Janvier 1999.

La profitabilité économique du GSM repose pour partie sur la robustesse des modules SIMs en charge de l identification des abonnés. Parce que les ressources radio sont limitées (en comparaison des infrastructures câblées) et peuvent impliquer une gestion sécurisée des accès, nous proposons d introduire des cartes à puces (WiFi card) dans les réseaux sans fils. Cette approche a l avantage de reproduire le modèle éprouvé de la téléphonie mobile. Elle permettrait également d introduire sur les réseaux de nouveaux services tels que paiements en ligne ou porte monnaie électronique. La clé de voûte de ce concept est l intégration du protocole EAP dans une nouvelle génération de cartes à puce. Ce protocole est déjà supporté par des comités de normalisation (IETF, IEEE ), des industriels (NOKIA, CISCO ), ou des fournisseurs de systèmes d exploitation (Microsoft XP ). Une rapide comparaison entre les réseaux GSM et 802.11 fait apparaître les points suivants, Une cellule WiFi est identifiée par un SSID, il paraît probable qu un utilisateur accède à des services à partir de plusieurs réseaux 802.11 Un abonné est donc associé à de multiples identités (c est à dire des NAIs), sélectionnées en fonction du réseau visité. Chaque identité est authentifiée à l aide d un scénario particulier (GSM, Kerberos, ) Comparaison GSM/WiFi Attribut GSM Identité du réseau Implicite Identité de l abonné. Affecté par l opérateur Méthodes A3,A8 plus la clé Ki d authentification WiFi SSID NAI. Une par WiFi. MD5, TLS, Kerberos, Autres.. Network Access Identifier - NAI - rfc 2486 spiderman@comics.com login (radius) server Scheme

Schématiquement la structure des cartes WiFi comporte les éléments suivants, Une liste des identités (NAI) supportées par la carte. Une table optionnelle établissant une correspondance entre identifiant réseau et identifiant d abonné. Une commande fixant l identité courante de la carte. Une commande réalisant le traitement d un paquet EAP et produisant la réponse associée. Afin d éviter un foisonnement de solutions propriétaires plusieurs initiatives de normalisation sont en cours, Un internet draft sera prochainement proposé à l IETF, afin de décrire la structure des fichiers et commandes des cartes WiFi. Le javacard forum étudie une API EAP, destinée à faciliter le support du protocole EAP dans les cartes JAVA. Structure d une carte WiFi Set_Identity Process EAP Packet Liste des identités NAI 1 NAI 2 IAK KERB Moteur EAP EAP TLS EAP SIM Table des réseaux SSID MD5 EAP AKA NAI E n conclusion nous soulignons que la définition de carte WiFi nous semble un prérequis pour le déploiement de service dans les environnements sans fils. L IEEE a déjà défini les architectures matérielles indispensables à l authentification des abonnés. Les modules WiFi permettront la diffusion de service adaptés à de telles infrastructures.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back