Réseaux locaux sans fil «WiFi» Catherine Grenet et Marie-Claude Quidoz Meudon, mai 2006
Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 2
Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 3
Charte déontologique Renater Définition des règles d usage qui s imposent à tout utilisateur du réseau Renater Engagement du signataire Utilisation à des fins strictement professionnelles conforme à la finalité du réseau Renater Utilisation rationnelle et loyale des ressources du réseau Renater Véhiculer et mettre à disposition des données licites au regard des lois Ne pas donner accès à des tiers non autorisés sans l accord préalable et express du GIP Renater (but : interdire les sites en cascade) Mettre en œuvre les ressources techniques et humaines requises pour assurer un niveau permanent de sécurité conforme à l état de l art et aux règles en vigueur dans ce domaine et pour prévenir les agressions éventuelles à partir ou par l intermédiaire de son site 4
Interprétation de la charte Renater (1) Pas d obligation clairement indiqué mais des «sous-entendus» Le signataire s engage au nom des utilisateurs de son site Veille à une utilisation professionnelle conforme à la finalité du réseau Renater Que l on pourrait résumer en Ne pas donner accès à n importe qui (pour faire n importe quoi!) Engagement identique sur le filaire ou sur le sans fil, mais en raison du support de transmission utilisé, les solutions mises en place ne seront pas forcément les mêmes Filaire Contrainte physique forte (il faut accéder à une prise murale) L accès au réseau ne nécessite pas une authentification de l utilisateur Sans fil Contrainte physique plus souple (il faut être dans la zone de couverture) Un mécanisme pour limiter l accès au réseau doit être mis en place Proportionnel aux risques encourus (champ de maïs vs centre ville) 5
Interprétation de la charte Renater (2) A noter qu indépendamment du support utilisé, si : Utilisation illicite des ressources Agressions à partir ou par l intermédiaire de son site (et pour être conforme à la charte) Il faut savoir répondre à la question suivante «Qui s est connecté à mon réseau local et à quelle heure?» (@IP, @MAC, Heure, ) : traces minimales à collecter Serveur RADIUS, borne sans fil, portail captif, Problème : véracité des traces 6
Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 7
Recommandations CNRS (nov. 2004) Avant d envisager tout déploiement, il faut se renseigner si une infrastructure de réseau sans fil couvrant son bâtiment a déjà été mise en place Si c est le cas, Étudier avec ce «fournisseur» les modalités d accès à cette infrastructure (inconvénients versus avantages) Si aucun «accord» n est possible alors Définir des canaux différents (et non adjacents), des SSID différents, Inconvénients : vous êtes moins itinérant, «bricolage», Avantages :. Si vous n êtes pas dans une zone couverte, alors occupez le terrain Pour limiter les bornes pirates 8
Recommandations CNRS (2) Pas une solution idéale mais des solutions acceptables et réalisables dans un environnement de recherche Trouver le meilleur compromis : utilisation / sécurité Niveau de sécurité : De la classification du laboratoire et/ou des données véhiculées De la localisation géographique De l accessibilité du site Niveau d utilisation : De la population du laboratoire (utilisateurs & ASR) Du parc informatique existant Carte sans fil : principal handicap 9
Recommandations CNRS (3) Des consignes simples (et classiques) Toutes les bornes doivent être sous le contrôle d un ASR Elles doivent être peu visibles et difficilement accessibles Leur portée doit être limitée au rayon d action désiré Leur utilisation doit être tracée. Une information claire doit être faite aux utilisateurs Risque d écoute / utilisation de connexions chiffrées Conservation des traces (données personnelles) 10
Recommandations CNRS (4) Libre service Visiteurs de passage et de courte durée Utilisateurs non authentifiés Chiffrement WEP VLAN dédié considéré comme extérieur Utilisateurs identifiés «N importe qui» à qui on veut offrir des services non accessibles depuis l extérieur Utilisateurs authentifiés Protocole 802.1X + authentification «sérieuse» VLAN(s) par catégorie (permanent, visiteur courte ou longue durée, ) 11
Complément aux recommandations CNRS Autre solution possible : portail captif Utilisateurs authentifiés Pas de chiffrement VLAN dédié considéré comme extérieur Libre service (ou portail captif) + VPN Une solution intéressante en interne pour les permanents du laboratoire Une solution parfois difficile à utiliser à l extérieur Accès (trop) limité en sortie Nos recommandations et le nomadisme? Sans fil = Pour faciliter la connexion des utilisateurs itinérants (rappel) 12
Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 13
Authentification Répartie Recherche EDUcation Projet d itinérance (roaming) : Inter-établissement & Inter-NREN Education Roaming 14
Architecture Chaque établissement raccorde son serveur RADIUS au serveur proxy national à qui il délègue toute demande d authentification qui n est pas de son ressort 15
Spécifications techniques (1) Recommandations / infrastructure sans fil type : 802.11g de préférence, sinon 802.11b canaux utilisés : pour pouvoir accueillir des visiteurs provenant de pays dont la réglementation d utilisation de la bande 2.4GHz est plus restrictive que la nôtre, il est conseillé de ne pas utiliser les canaux au-delà de 11 pour les points d accès ARREDU/eduroam. SSID : eduroam, il doit être diffusé si possible (cf ci-dessus) chiffrement : le trafic doit être chiffré à l aide de WPA2, WPA ou, à défaut, WEP 128 initié par le serveur d authentification avec rotation fréquente de clé pour déjouer les crackeurs de WEP (5mn). Le(s) type(s) de chiffrement utilisé devra être indiqué sur les pages d informations. support de 802.1X : les points d accès au service ARREDU/eduroam doivent mettre en oeuvre le protocole d accès 802.1X 16
Spécifications techniques (2) Recommandations / infrastructure sans fil DHCP : un service DHCP doit communiquer les informations réseau de base aux clients services réseau accessibles : au moins les services suivants doivent être ouverts vers l Internet : HTTP et HTTPS, domaine (DNS), ICMP (echo/reply), IPSec (ESP, AH, IKE), OpenVPN, SSH, POPs, IMAPs, NTP, submission (smtp/auth), SMTP sur le serveur de messagerie local protection vis à vis de l extérieur : le réseau d accueil des utilisateurs du service ARREDU/eduroam doit être protégé des accès venant de l extérieur un visiteur ne devra pas pouvoir se connecter via un accès n offrant pas les garanties demandées dans la charte (portails captifs par exemple) 17
Méthodes d authentification EAP/TLS Spécifications techniques (3) EAP/TTLS EAP/PEAP Les serveurs RADIUS doivent être configurés pour imposer l usage d une de ces méthodes pour les utilisateurs du service ARREDU/eduroam. Toute tentative de connexion sur un accès ARREDU/eduroam n utilisant pas une de ces méthodes doit être rejetée. 18
Traçabilité L établissement doit garder les traces nécessaires à l identification d un usager à partir de l adresse IP utilisée en cas d abus constaté : accounting Radius, logs DHCP, NAT,... Ces traces doivent comporter un horodatage fiable. Pages web Spécifications techniques (4) Chaque établissement doit mettre en ligne une rubrique web publique décrivant le service ARREDU/eduroam (ssid utilisé, chiffrement supporté, zônes couvertes,...) en français et en anglais. L url de la page portail ou, sinon, de la page en anglais, sera communiquée dans les informations du compte ARREDU et sera publiée sur le site eduroam.fr. 19
Formation/information sur la façon d utiliser les accès 802.1X (éventuellement en fournissant des clients et/ou en configurant les postes clients), et attirer leur attention sur l authentification de leur serveur RADIUS d authentification de l existence et de l intérêt de l infrastructure ARREDU/eduroam et de la façon de l utiliser que la charte RENATER s applique également sur les autres sites français partenaires que des règles semblables sont en vigueur sur les sites étrangers adhérant à eduroam de respecter les règles d utilisation du réseau d accueil que le service d assistance réseau (de l établissement de rattachement, cf ci-dessous) doit être contacté en cas de problème de connexion sur un autre site et leur en communiquer les coordonnées. L établissement doit informer les visiteurs... Spécifications techniques (5) 20
Support Spécifications techniques (6) Chaque établissement doit offrir un service d assistance à ses utilisateurs pour les aider, en particulier, dans la mise en oeuvre et la configuration des clients 802.1X, en cas de perte ou de vol de credentials, de problème lors de leurs déplacements sur un autre site ARREDU/eduroam,... Ce service n a pas à être sollicité par les visiteurs. Ceux-ci doivent s adresser à leur propre support en cas de problème. 21
En résumé (1) ARREDU fait pour faciliter la vie du personnel itinérant qui souhaite se connecter au réseau Internet depuis un réseau académique (NREN) Un «visiteur» pas tout à fait comme les autres sur le réseau Un «visiteur authentifié» avec des droits minimum prédéfinis Authentifié sur son site d origine (et non sur son site d accueil) Authentifié en utilisant son identifiant et mot de passe habituels Qualité du service dépend En grande partie de la qualité de l annuaire 22
En résumé (2) Nos recommandations ne sont pas incompatibles avec ARREDU, mais pour offrir ce service, il faut utiliser le protocole d authentification 802.1X (solution 2) pour les visiteurs Spécifications techniques (rappel) http://www.cru.fr/wiki/eduroam/specifications_techniques SSID : eduroam Chiffrement : WPA2, WPA ou WEP 128 initié par le serveur d authentification avec rotation fréquente de clé Protocole d authentification : 802.1X Méthodes d authentification : EAP/TLS, EAP/TTLS, EAP/PEAP Trace : identification d un usager à partir de son @IP 23
État des lieux Service ARREDU vient seulement d être ouvert CRU en charge du service 4 adhésions à ce jour (Valenciennes, Rennes 1, INSA Lyon et ENSTB) Demande d adhésion se fait auprès de RENATER Par l intermédiaire de SAGA (applicatif qui gère les agréments) Le CNRS n est pas vu comme une seule entité Pas de contraintes «organisationnelles» fortes Chaque entité décide de la manière d authentifier ses utilisateurs Nom de domaine doit finir par «.fr» Service doit être offert sur le site de rattachement de la personne et sur le site d accueil Contrainte, frein au déploiement, 24
Et au CNRS Test grandeur nature programmé Pour mieux évaluer le service Complexité / utilisateurs Compatibilité avec le parc informatique Les difficultés éventuelles Les laboratoires CNRS sont rarement maîtres de leur agrément Renater L organisation à mettre en place Annuaire central, annuaires délocalisés, Sites de test en cours de définition UREC Grenoble? UREC Paris? CC-IN2P3? 25
Références Charte Renater : http://www.renater.fr/img/pdf/charte_fr.pdf Recommandations CNRS : http://www.urec.cnrs.fr/img/pdf/secu.articles.recomwifi-v2-7.pdf ARREDU : http://arredu.cru.fr/ eduroam : http://www.eduroam.fr/ 26