Nomadisme sécurisé pour la communauté enseignement supérieur-recherche. C. Claveleira Comité Réseau des Universités. Séminaire Aristote 11 juin 2009

Documents pareils
Le protocole RADIUS Remote Authentication Dial-In User Service

eduroam Journées Marwan juin 2007 Vincent CARPIER Comité Réseau des Universités Merci à Rok Papez d'arnes pour la partie eduroam in a box

Sécurité des réseaux wi fi

1. Présentation de WPA et 802.1X

Sécurité des réseaux sans fil

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Charte d installation des réseaux sans-fils à l INSA de Lyon

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Installation du point d'accès Wi-Fi au réseau

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

WiFI Sécurité et nouvelles normes

! "# Exposé de «Nouvelles Technologies Réseaux»

Introduction au Wi-Fi sécurisé

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Le rôle Serveur NPS et Protection d accès réseau

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Sécurité des Postes Clients

IV. La sécurité du sans-fil

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Sécurité des réseaux sans fil

Contrôle d accès Centralisé Multi-sites

7.1.2 Normes des réseaux locaux sans fil

Sommaire. III : Mise en place :... 7

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Configuration du WiFi à l'ensmm

How To? Sécurité des réseaux sans fils

CRI-IUT Serveur d'authentification pour la sécurité des réseaux Wi-Fi

CONVENTION d adhésion au service. EDUROAM de Belnet

Pare-feu VPN sans fil N Cisco RV120W

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Configuration Wi-Fi pour l'utilisation d'eduroam

MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL GNU/LINUX. Direction des Systèmes d'information (DSI) Université de Nantes, Pôle Réseau & Sécurité

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Authentification réseau

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Réseaux AirPort Apple

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Cisco Network Admission Control

WIFI (WIreless FIdelity)

Comprendre le Wi Fi. Patrick VINCENT

Référentiel sur l usage du Wi-Fi en établissement et école Cadre technique

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Pare-feu VPN sans fil N Cisco RV110W

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

MONNIER Marie /2009 WPA

Authentification. réseau Radius. avec x EAP FreeRadius. Authentification Radius

État Réalisé En cours Planifié

AUTHENTIFICATION x FREERADIUS. Objectifs

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Bibliographie. Gestion des risques

Rapport de stage Juillet/Août OUAHAB Karim ENSEEIHT - INPT Karim.Ouahab@etu.enseeiht.fr. Rapport de Stage

Routeur VPN Wireless-N Cisco RV215W

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Configuration de l'accès distant

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Sécurité en milieu Wifi.

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Cisco RV220W Network Security Firewall

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Le produit WG-1000 Wireless Gateway

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

Procédures d accès au nouveau réseau sans fil à l aide d un portable (Windows XP) géré par la DGTIC

Note technique. Recommandations de sécurité relatives aux réseaux WiFi

TP 6 : Wifi Sécurité

iphone et ipad en entreprise Scénarios de déploiement

Gio 5. Manuel d'utilisation

Cisco RV220W Network Security Firewall

Le protocole SSH (Secure Shell)

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Fiche descriptive de module

Guide pratique spécifique pour la mise en place d un accès Wifi

Mettre en place un accès sécurisé à travers Internet

VPN. Réseau privé virtuel Usages :

Projet Sécurité des SI

réseau Tableaux de bord de la sécurité 2 e édition Cédric Llorens Laurent Levier Denis Valois Avec la contribution de Olivier Salvatori

L'écoute des conversations VoIP

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Manuel d installation UCOPIA Advance

La gamme express UCOPIA.

Network WPA. Projecteur portable NEC NP905/NP901W Guide de configuration. Security WPA. Méthode d authentification supportée

ProCurve Access Control Server 745wl

Transcription:

Nomadisme sécurisé pour la communauté enseignement supérieur-recherche C. Claveleira Comité Réseau des Universités Séminaire Aristote 11 juin 2009

Comité Réseau des Universités Petite structure universitaire ayant des missions nationales dans le domaine des réseaux pour la communauté enseignement supérieur/recherche publique Basée à l'université de Rennes 1 Partenaires Ministère de la recherche Universités, grandes écoles RENATER (réseau académique français) Conférence des Présidents d'universités 11 juin 2009 eduoam - Aristote 2

Comité Réseau des Universités Domaines de compétence : Sécurité informatique Fédération d'identités Annuaires IGC Formations, conférences (JRES) Services : universalistes, sourcesup, eduroam.fr, NTP, dépôt FTP,... 11 juin 2009 eduoam - Aristote 3

eduroam : contexte L'accès à Internet est devenu indispensable dans le cadre professionnel Les portables et le Wi-Fi se banalisent Le professionnel nomade aimerait avoir un accès simple et fiable lors de ses déplacements professionnels L'administrateur veut maîtriser son réseau à moindre coût Comment satisfaire tout le monde? 11 juin 2009 eduoam - Aristote 4

eduroam : genèse Initiative de la TF Mobility de l'association Terena en 2003 Étude des problèmes de sécurité des réseaux sans fil Recommandations pour solution(s) de nomadisme international pour les utilisateurs de réseaux académiques (NRENs) 11 juin 2009 eduoam - Aristote 5

eduroam : buts accès Internet aux utilisateurs nomades Aisés mais contrôlés Entraînant peu de surcroît d'administration Sécurité comparable à un accès filaire Facilement déployable à grande échelle 11 juin 2009 eduoam - Aristote 6

eduroam : solutions étudiées Authentification Web + Radius déploiement facile Déjà utilisé Problèmes de sécurité VPN Déploiement laborieux à grande échelle Déjà utilisé Sûr IEEE 802.1x + Radius Déploiement facile à grande échelle Sûr 11 juin 2009 eduoam - Aristote 7

eduroam : solution retenue Radius + 802.1x / EAP Première expérience de mobilité inter-nren Pilote européen appelé EduRoam (devenu eduroam) Hiérarchie de serveurs Radius gérés par les NRENs ayant signé un agrément avec Terena Serveur racine géré par Terena 11 juin 2009 eduoam - Aristote 8

RADIUS : principes Remote Access Dial-In User Service : Authentification Autorisation Accounting Pour contrôler l'accès d'utilisateurs à un réseau Historiquement beaucoup utilisé pour les accès asynchrones par modem Utilisable pour tout type d'accès (ethernet, Wi- Fi, applicatif,...) Stateless, sur UDP Transporte des paires attribut-valeur 11 juin 2009 eduoam - Aristote 9

RADIUS : relayage et authentification Notion de domaine (realm) Identifiants utilisateurs de la forme <user>@<realm> Exemples : John@Paris, Paul.Dupond@solutionslinux.fr Le protocole est relayable (mode proxy) sur la base du realm Multiples backends d'authentification (fichier plat, base de données, LDAP, Unix,...) 11 juin 2009 eduoam - Aristote 10

RADIUS : aspects sécurité Secret partagé entre serveur et NAS et entre serveurs Champ authenticator dans les paquets Initialisé aléatoirement dans un Access-Request Empreinte MD5 calculée sur ce champ, le contenu du message et le secret renvoyée dans les réponses Utilisé pour chiffrer les mots de passe 11 juin 2009 eduoam - Aristote 11

EAP Extensible Authentication Protocol Cadre général de transport d'authentification (messages) Supporte un certain nombre de méthodes d'authentification : MD5, OTP, SIM, TLS, TTLS, PEAP,... Chaque protocole utilisant EAP définit sa façon de l'encapsuler 11 juin 2009 eduoam - Aristote 12

802.1x Port Based Network Access Control Protagonistes : supplicant (port, client WiFi) Authenticator (AP) serveur d'authentification (généralement RADIUS) Initialement conçu pour réseaux filaires (switches Ethernet) Définit les méthodes d'encapsulation de trames EAP entre port client (supplicant) et port authenticator : EAPoL 11 juin 2009 eduoam - Aristote 13

802.1x et 802.11x Supplicant Client Wi-Fi Authenticator AP RADIUS Comptes EAPoL EAP over RADIUS 11 juin 2009 eduoam - Aristote 14

802.1x est vulnérable Pas d'authentification mutuelle => MIM possible (faux point d'accès) Détournement de session : un attaquant peut déconnecter une station connectée (disassociate) et reprendre sa session en usurpant son adresse MAC 11 juin 2009 eduoam - Aristote 15

Problèmes de sécurité Wifi Accès Wi-Fi sujets à écoute, attaques MIM, session hijacking, DOS,... Pour prévenir le sniffing du trafic : Chiffrement fiable au niveau des AP Au minimum : WEP dynamique + rotation fréquente des clés Mieux : WPA, WPA2 Pour se prémunir contre les faux points d'accès : Authentification du serveur d'authentification 11 juin 2009 eduoam - Aristote 16

Problèmes de sécurité Radius Modèle de sécurité RADIUS : hop-to-hop avec secret partagé Protection intrinsèque peu robuste => le trafic RADIUS doit être protégé (VLANs dédiés par ex.) Par défaut les mots de passe sont «déballés» et «ré-emballés» à chaque traversée de serveur => Sécurisation de l'authentification : Méthodes à base de tunnels SSL de bout en bout Authentification mutuelle 11 juin 2009 eduoam - Aristote 17

Autres aspects de sécurité Traçabilité Journalisation des résultats d'authentification Journalisation DHCP, NAT Correspondance @IP <-> utilisateur en cas de besoin (abus) 11 juin 2009 eduoam - Aristote 18

Méthodes EAP sécurisées Principe : établir un tunnel SSL entre le supplicant et le serveur d'authentification pardessus EAP/RADIUS Une IGC peut ou non être nécessaire La disponibilité dépend des OS et des éditeurs Principales : LEAP, FAST, PEAP, SIM, TLS, TTLS 11 juin 2009 eduoam - Aristote 19

Principales méthodes EAP EAP-FAST : CISCO, successeur de LEAP. Nécessite un client CISCO. PEAP (Protected Extensible Authentication Protocol) : CISCO, Microsoft, RSA. Utilise un tunnel TLS. Mécanisme par défaut dans Windows. Authentification de l'utilisateur par mot de passe (MS-CHAP-V2) ou par certificat. EAP-TLS : authentification mutuelle par certificats X509 (nécessite une IGC). Méthode considérée comme la plus robuste. EAP-TTLS (Tunneled Transport Layer Security) : tunnel TLS, auth. du serveur par certificat, de l'utilisateur par mot de passe. Simple à mettre en oeuvre. Il existe des clients libres et/ou commerciaux pour tous les OS. 11 juin 2009 eduoam - Aristote 20

eduroam : architecture eduroam Proxy RADIUS GEANT Proxy RADIUS national RENATER Proxy RADIUS national SWITCHmobile eduroam.fr serveur/proxy RADIUS User serveur/proxy RADIUS martin@epfl.ch Univ. Nancy2 tunnel EPF Lausanne 11 juin 2009 eduoam - Aristote 21

eduroam : une question de confiance Intervenants : utilisateurs, sites d'origine, sites visités, les réseaux académiques, SA3/GEANT3 Confiance des visiteurs dans les sites visités : Disponibilité du service Infrastructure réseau Administration réseau Administration des serveurs Radius Chiffrement des liaisons sans fil 11 juin 2009 eduoam - Aristote 22

Une question de confiance, suite Confiance des sites visités dans les sites d'origine : Validation, choix et sécurisation de l'authentification Information de leurs utilisateurs Configuration de leurs équipements support Confiance dans les NRENs, à commencer par Renater Fiabilité et sécurisation de leurs réseaux Sécurisation et administration des proxies Radius 11 juin 2009 eduoam - Aristote 23

Formalisation des relations de confiance RENATER au centre des relations de confiance Acceptation du «eduroam service definition and implementation» par RENATER Ses établissements agréés doivent s'engager sur de bonnes pratiques et sur l'éducation de leurs utilisateurs Au moins un serveur proxy national doit être mis en oeuvre et sécurisé De l'information sur le service doit être faite Le service doit être surveillé Le CERT est impliqué 11 juin 2009 eduoam - Aristote 24

Formalisation des relations de confiance, suite Signature de la charte eduroam.fr par les établissements (service mobilité de RENATER) Offrir le service conformément aux recommandations techniques eduroam.fr Administrer et sécuriser au moins un proxy RADIUS (In)former leurs utilisateurs sur le service et le respect des règles d'utilisation des réseaux visités Assurer leur support Journaliser les résultats d'authentification 11 juin 2009 eduoam - Aristote 25

Bilan de sécurité Confidentialité assurée par chiffrement radio fiable Authentification mutuelle utilisateurétablissement Protection des credentials par tunnel chiffré (EAP tunnelisé + identifiant externe anonyme) Confiance dans l'infrastructure utilisée par l'authentification du serveur RADIUS de l'établissement d'origine Traçabilité par remontée de l'identifiant de l'utilisateur au site d'accueil 11 juin 2009 eduoam - Aristote 26

eduroam.fr Frontend administratif fait par RENATER Service opéré par le CRU Un proxy national à Rennes, un deuxième à Strabourg Gestion des comptes, site web, listes de diffusion, configuration des proxies, monitoring, support >110 établissement adhérents >80 opérationnels 11 juin 2009 eduoam - Aristote 27

eduroam.fr spécifications techniques Ssid : eduroam Realms : *.fr (+ quelques.eu) 802.11g si possible WPA2, sinon WPA, sinon WEP 128 dynamique Accès ouvert sur l'internet sinon liste de ports minimum Méthodes EAP : TLS et/ou TTLS et/ou PEAP Compte de test pour monitoring 11 juin 2009 eduoam - Aristote 28

eduroam.fr aujourd'hui > 30 réseaux académiques inter connectés en Europe, 4 en Asie Structure opérationnelle hébergée dans le cadre de GEANT3 Composante française opérée par le CRU (au nom de RENATER) : eduroam.fr 11 juin 2009 eduoam - Aristote 29

eduroam : couverture européenne 11 juin 2009 eduoam - Aristote 30

eduroam.fr : carte 11 juin 2009 eduoam - Aristote 31

Conclusion eduroam permet un meilleur partage des infrastructures réseau académiques En en étendant l'usage à toute la communauté En en conservant la maîtrise par leurs administrateurs À moindre coût Avec une qualité de service (et de sécurité) garantie Sans changer les habitudes des utilisateurs 11 juin 2009 eduoam - Aristote 32

Questions?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back