Réseaux locaux sans fil «WiFi» Catherine Grenet et Marie-Claude Quidoz Meudon, mai 2006

Documents pareils
Sécurité des réseaux sans fil

Contrôle d accès Centralisé Multi-sites

Sécurité des réseaux sans fil

CONVENTION d adhésion au service. EDUROAM de Belnet

WIFI (WIreless FIdelity)

eduroam Journées Marwan juin 2007 Vincent CARPIER Comité Réseau des Universités Merci à Rok Papez d'arnes pour la partie eduroam in a box

Guide pratique spécifique pour la mise en place d un accès Wifi

Charte d installation des réseaux sans-fils à l INSA de Lyon

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

7.1.2 Normes des réseaux locaux sans fil

Informations Techniques Clic & Surf V 2.62

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Figure 1a. Réseau intranet avec pare feu et NAT.

WIFI sécurisé en entreprise (sur un Active Directory 2008)

UCOPIA EXPRESS SOLUTION

MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL GNU/LINUX. Direction des Systèmes d'information (DSI) Université de Nantes, Pôle Réseau & Sécurité

UCOPIA SOLUTION EXPRESS

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

La gamme express UCOPIA.

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

pfsense Manuel d Installation et d Utilisation du Logiciel

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Cradlepoint AER 2100 Spécifications

Quelques propositions pour une organisation des ressources réseaux prenant en compte les besoins du LACL

CONFIGURATION DE BASE

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

L utilisation du réseau ISTIC / ESIR

Pare-feu VPN sans fil N Cisco RV120W

Sécurité des réseaux wi fi

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

KX ROUTER M2M SILVER 3G

Pare-feu VPN sans fil N Cisco RV110W

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Comprendre le Wi Fi. Patrick VINCENT

Cisco Certified Network Associate

Manuel d installation UCOPIA Advance

CONFIGURATION DE BASE

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

CONFIGURATION DE BASE

UCOPIA COMMUNICATIONS

1. CONFIGURATION DE LA CLE WEP CONFIGURATION DE LA CLE WPA CONFIGURATION D UN SSID SANS CHIFFREMENT... 6

Sommaire. III : Mise en place :... 7

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

La solution ucopia advance La solution ucopia express

Présentation du ResEl

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Routeur VPN Wireless-N Cisco RV215W

Catalogue «Intégration de solutions»

REAUMUR-ACO-PRES. Wifi : Point et perspectives

CONFIGURATION DE BASE

CONFIGURATION DE BASE

Programme formation pfsense Mars 2011 Cript Bretagne

TP 6 : Wifi Sécurité

Votre Réseau est-il prêt?

IN2P3 et PLUME Valorisation de la production de logiciels

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

La sécurité des Réseaux Partie 7 PKI

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

PACK SKeeper Multi = 1 SKeeper et des SKubes

Point d'accès extérieur PoE bibande simultané Wireless AC1200

VPN. Réseau privé virtuel Usages :

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Réseaux AirPort Apple

Référentiel ISVD Prévisionnel

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Sécurisation du réseau

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Projet Sécurité des SI

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Référentiel ASUR Prévisionnel

Devoir Surveillé de Sécurité des Réseaux

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Portfolio ADSL VDSL LTE

Formations. «Produits & Applications»

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

INFO CLIENT. si pas de code UCM: veuillez joindre une confirmation du prestataire luxembourgeois de la relation

Positionnement produit

LAB : Schéma. Compagnie C / /24 NETASQ

Remote Networking - Evolutions. Serge Lhermitte Technical Director, Southern Europe

Note technique. Recommandations de sécurité relatives aux réseaux WiFi

Le spam introduction. Sommaire

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

TOPOLOGIES des RESEAUX D ADMINISTRATION

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

CHARTE INFORMATIQUE LGL

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Point d'accès Cisco WAP121 Wireless-N avec configuration par point unique

Transcription:

Réseaux locaux sans fil «WiFi» Catherine Grenet et Marie-Claude Quidoz Meudon, mai 2006

Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 2

Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 3

Charte déontologique Renater Définition des règles d usage qui s imposent à tout utilisateur du réseau Renater Engagement du signataire Utilisation à des fins strictement professionnelles conforme à la finalité du réseau Renater Utilisation rationnelle et loyale des ressources du réseau Renater Véhiculer et mettre à disposition des données licites au regard des lois Ne pas donner accès à des tiers non autorisés sans l accord préalable et express du GIP Renater (but : interdire les sites en cascade) Mettre en œuvre les ressources techniques et humaines requises pour assurer un niveau permanent de sécurité conforme à l état de l art et aux règles en vigueur dans ce domaine et pour prévenir les agressions éventuelles à partir ou par l intermédiaire de son site 4

Interprétation de la charte Renater (1) Pas d obligation clairement indiqué mais des «sous-entendus» Le signataire s engage au nom des utilisateurs de son site Veille à une utilisation professionnelle conforme à la finalité du réseau Renater Que l on pourrait résumer en Ne pas donner accès à n importe qui (pour faire n importe quoi!) Engagement identique sur le filaire ou sur le sans fil, mais en raison du support de transmission utilisé, les solutions mises en place ne seront pas forcément les mêmes Filaire Contrainte physique forte (il faut accéder à une prise murale) L accès au réseau ne nécessite pas une authentification de l utilisateur Sans fil Contrainte physique plus souple (il faut être dans la zone de couverture) Un mécanisme pour limiter l accès au réseau doit être mis en place Proportionnel aux risques encourus (champ de maïs vs centre ville) 5

Interprétation de la charte Renater (2) A noter qu indépendamment du support utilisé, si : Utilisation illicite des ressources Agressions à partir ou par l intermédiaire de son site (et pour être conforme à la charte) Il faut savoir répondre à la question suivante «Qui s est connecté à mon réseau local et à quelle heure?» (@IP, @MAC, Heure, ) : traces minimales à collecter Serveur RADIUS, borne sans fil, portail captif, Problème : véracité des traces 6

Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 7

Recommandations CNRS (nov. 2004) Avant d envisager tout déploiement, il faut se renseigner si une infrastructure de réseau sans fil couvrant son bâtiment a déjà été mise en place Si c est le cas, Étudier avec ce «fournisseur» les modalités d accès à cette infrastructure (inconvénients versus avantages) Si aucun «accord» n est possible alors Définir des canaux différents (et non adjacents), des SSID différents, Inconvénients : vous êtes moins itinérant, «bricolage», Avantages :. Si vous n êtes pas dans une zone couverte, alors occupez le terrain Pour limiter les bornes pirates 8

Recommandations CNRS (2) Pas une solution idéale mais des solutions acceptables et réalisables dans un environnement de recherche Trouver le meilleur compromis : utilisation / sécurité Niveau de sécurité : De la classification du laboratoire et/ou des données véhiculées De la localisation géographique De l accessibilité du site Niveau d utilisation : De la population du laboratoire (utilisateurs & ASR) Du parc informatique existant Carte sans fil : principal handicap 9

Recommandations CNRS (3) Des consignes simples (et classiques) Toutes les bornes doivent être sous le contrôle d un ASR Elles doivent être peu visibles et difficilement accessibles Leur portée doit être limitée au rayon d action désiré Leur utilisation doit être tracée. Une information claire doit être faite aux utilisateurs Risque d écoute / utilisation de connexions chiffrées Conservation des traces (données personnelles) 10

Recommandations CNRS (4) Libre service Visiteurs de passage et de courte durée Utilisateurs non authentifiés Chiffrement WEP VLAN dédié considéré comme extérieur Utilisateurs identifiés «N importe qui» à qui on veut offrir des services non accessibles depuis l extérieur Utilisateurs authentifiés Protocole 802.1X + authentification «sérieuse» VLAN(s) par catégorie (permanent, visiteur courte ou longue durée, ) 11

Complément aux recommandations CNRS Autre solution possible : portail captif Utilisateurs authentifiés Pas de chiffrement VLAN dédié considéré comme extérieur Libre service (ou portail captif) + VPN Une solution intéressante en interne pour les permanents du laboratoire Une solution parfois difficile à utiliser à l extérieur Accès (trop) limité en sortie Nos recommandations et le nomadisme? Sans fil = Pour faciliter la connexion des utilisateurs itinérants (rappel) 12

Le sans fil dans le contexte CNRS Charte RENATER Recommandations CNRS ARREDU / Eduroam 13

Authentification Répartie Recherche EDUcation Projet d itinérance (roaming) : Inter-établissement & Inter-NREN Education Roaming 14

Architecture Chaque établissement raccorde son serveur RADIUS au serveur proxy national à qui il délègue toute demande d authentification qui n est pas de son ressort 15

Spécifications techniques (1) Recommandations / infrastructure sans fil type : 802.11g de préférence, sinon 802.11b canaux utilisés : pour pouvoir accueillir des visiteurs provenant de pays dont la réglementation d utilisation de la bande 2.4GHz est plus restrictive que la nôtre, il est conseillé de ne pas utiliser les canaux au-delà de 11 pour les points d accès ARREDU/eduroam. SSID : eduroam, il doit être diffusé si possible (cf ci-dessus) chiffrement : le trafic doit être chiffré à l aide de WPA2, WPA ou, à défaut, WEP 128 initié par le serveur d authentification avec rotation fréquente de clé pour déjouer les crackeurs de WEP (5mn). Le(s) type(s) de chiffrement utilisé devra être indiqué sur les pages d informations. support de 802.1X : les points d accès au service ARREDU/eduroam doivent mettre en oeuvre le protocole d accès 802.1X 16

Spécifications techniques (2) Recommandations / infrastructure sans fil DHCP : un service DHCP doit communiquer les informations réseau de base aux clients services réseau accessibles : au moins les services suivants doivent être ouverts vers l Internet : HTTP et HTTPS, domaine (DNS), ICMP (echo/reply), IPSec (ESP, AH, IKE), OpenVPN, SSH, POPs, IMAPs, NTP, submission (smtp/auth), SMTP sur le serveur de messagerie local protection vis à vis de l extérieur : le réseau d accueil des utilisateurs du service ARREDU/eduroam doit être protégé des accès venant de l extérieur un visiteur ne devra pas pouvoir se connecter via un accès n offrant pas les garanties demandées dans la charte (portails captifs par exemple) 17

Méthodes d authentification EAP/TLS Spécifications techniques (3) EAP/TTLS EAP/PEAP Les serveurs RADIUS doivent être configurés pour imposer l usage d une de ces méthodes pour les utilisateurs du service ARREDU/eduroam. Toute tentative de connexion sur un accès ARREDU/eduroam n utilisant pas une de ces méthodes doit être rejetée. 18

Traçabilité L établissement doit garder les traces nécessaires à l identification d un usager à partir de l adresse IP utilisée en cas d abus constaté : accounting Radius, logs DHCP, NAT,... Ces traces doivent comporter un horodatage fiable. Pages web Spécifications techniques (4) Chaque établissement doit mettre en ligne une rubrique web publique décrivant le service ARREDU/eduroam (ssid utilisé, chiffrement supporté, zônes couvertes,...) en français et en anglais. L url de la page portail ou, sinon, de la page en anglais, sera communiquée dans les informations du compte ARREDU et sera publiée sur le site eduroam.fr. 19

Formation/information sur la façon d utiliser les accès 802.1X (éventuellement en fournissant des clients et/ou en configurant les postes clients), et attirer leur attention sur l authentification de leur serveur RADIUS d authentification de l existence et de l intérêt de l infrastructure ARREDU/eduroam et de la façon de l utiliser que la charte RENATER s applique également sur les autres sites français partenaires que des règles semblables sont en vigueur sur les sites étrangers adhérant à eduroam de respecter les règles d utilisation du réseau d accueil que le service d assistance réseau (de l établissement de rattachement, cf ci-dessous) doit être contacté en cas de problème de connexion sur un autre site et leur en communiquer les coordonnées. L établissement doit informer les visiteurs... Spécifications techniques (5) 20

Support Spécifications techniques (6) Chaque établissement doit offrir un service d assistance à ses utilisateurs pour les aider, en particulier, dans la mise en oeuvre et la configuration des clients 802.1X, en cas de perte ou de vol de credentials, de problème lors de leurs déplacements sur un autre site ARREDU/eduroam,... Ce service n a pas à être sollicité par les visiteurs. Ceux-ci doivent s adresser à leur propre support en cas de problème. 21

En résumé (1) ARREDU fait pour faciliter la vie du personnel itinérant qui souhaite se connecter au réseau Internet depuis un réseau académique (NREN) Un «visiteur» pas tout à fait comme les autres sur le réseau Un «visiteur authentifié» avec des droits minimum prédéfinis Authentifié sur son site d origine (et non sur son site d accueil) Authentifié en utilisant son identifiant et mot de passe habituels Qualité du service dépend En grande partie de la qualité de l annuaire 22

En résumé (2) Nos recommandations ne sont pas incompatibles avec ARREDU, mais pour offrir ce service, il faut utiliser le protocole d authentification 802.1X (solution 2) pour les visiteurs Spécifications techniques (rappel) http://www.cru.fr/wiki/eduroam/specifications_techniques SSID : eduroam Chiffrement : WPA2, WPA ou WEP 128 initié par le serveur d authentification avec rotation fréquente de clé Protocole d authentification : 802.1X Méthodes d authentification : EAP/TLS, EAP/TTLS, EAP/PEAP Trace : identification d un usager à partir de son @IP 23

État des lieux Service ARREDU vient seulement d être ouvert CRU en charge du service 4 adhésions à ce jour (Valenciennes, Rennes 1, INSA Lyon et ENSTB) Demande d adhésion se fait auprès de RENATER Par l intermédiaire de SAGA (applicatif qui gère les agréments) Le CNRS n est pas vu comme une seule entité Pas de contraintes «organisationnelles» fortes Chaque entité décide de la manière d authentifier ses utilisateurs Nom de domaine doit finir par «.fr» Service doit être offert sur le site de rattachement de la personne et sur le site d accueil Contrainte, frein au déploiement, 24

Et au CNRS Test grandeur nature programmé Pour mieux évaluer le service Complexité / utilisateurs Compatibilité avec le parc informatique Les difficultés éventuelles Les laboratoires CNRS sont rarement maîtres de leur agrément Renater L organisation à mettre en place Annuaire central, annuaires délocalisés, Sites de test en cours de définition UREC Grenoble? UREC Paris? CC-IN2P3? 25

Références Charte Renater : http://www.renater.fr/img/pdf/charte_fr.pdf Recommandations CNRS : http://www.urec.cnrs.fr/img/pdf/secu.articles.recomwifi-v2-7.pdf ARREDU : http://arredu.cru.fr/ eduroam : http://www.eduroam.fr/ 26

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back