Réseaux sans fil Réseaux sans fil sécurisés avec Windows sécurisés avec Windows XP et Windows Server XP et Windows Server 2003 2003 Pascal Sauliere Pascal Sauliere Consultant Principal Sécurité Consultant Principal Sécurité Microsoft France Microsoft France http:// http:// www.microsoft.com www.microsoft.com / / france france / / securite securite Rencontres Wi-Fi – avril 2004
52
Embed
Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France .
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Réseaux sans fil sécurisés Réseaux sans fil sécurisés avec Windows XP et avec Windows XP et Windows Server 2003Windows Server 2003
Pascal SaulierePascal SauliereConsultant Principal SécuritéConsultant Principal SécuritéMicrosoft FranceMicrosoft Francehttp://http://www.microsoft.comwww.microsoft.com//francefrance//securitesecurite
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
Faiblesses de 802.11 et Faiblesses de 802.11 et WEPWEP
WEP = Authentification et chiffrementWEP = Authentification et chiffrement
Implémentation faible de l’algorithme Implémentation faible de l’algorithme RC4RC4
Outils bien connus et répandusOutils bien connus et répandus
Wi-fi sécurisé ?Wi-fi sécurisé ?
Ne pas déployer de réseau sans filNe pas déployer de réseau sans filRisque = points d’accès piratesRisque = points d’accès pirates
Sécurité 802.11 d’origine (WEP)Sécurité 802.11 d’origine (WEP)Risque associé à la faiblesse de WEPRisque associé à la faiblesse de WEP
Utiliser un VPNUtiliser un VPNNon transparent pour le client, introduit un Non transparent pour le client, introduit un goulot d’étranglementgoulot d’étranglement
802.1x avec WEP802.1x avec WEPAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1xGestion des clés 802.1xProtection des données Protection des données dynamiquedynamique
WPAWPAAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données TKIPProtection des données TKIP
802.11i (WPA2)802.11i (WPA2)Authentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données AESProtection des données AESPré-authentificationPré-authentification
19991999
20012001
20042004
20032003
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Protocole indépendant du support physique Protocole indépendant du support physique (Ethernet, WiFi)(Ethernet, WiFi)Point d’accès (AP) compatible 802.1xPoint d’accès (AP) compatible 802.1xPas de contrainte sur les cartes réseau sans Pas de contrainte sur les cartes réseau sans filfilAuthentification avec EAPAuthentification avec EAP
Extensible Authentication Protocol – IETFExtensible Authentication Protocol – IETFChoix du protocole d’authentification (méthode Choix du protocole d’authentification (méthode EAP)EAP)L’AP ne s’occupe pas des méthodes EAPL’AP ne s’occupe pas des méthodes EAP
Autorisations avec RADIUSAutorisations avec RADIUSChiffrement du trafic :Chiffrement du trafic :
Gestion dynamique des clés 802.11 WEPGestion dynamique des clés 802.11 WEP
802.1x – Vocabulaire802.1x – Vocabulaire
SupplicantAuthentificateur
Serveurd’authentification
Port AuthenticationEntity (PAE)
802.1x802.1xPort contrôlé et port non Port contrôlé et port non contrôlécontrôlé
IEEE 802.1x
DistributionSystem
Port non contrôlé
Port contrôlé
Client Wi-Fi
RADIUS –Remote Authentication Dial-In User ServiceRADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, AccountingAAA – Authentification, Autorisations, Accounting
Serveur de modem
Serveur VPN
Point d’accèssans fil
Serveur RADIUS
Proxy RADIUS
Base de comptes d’utilisateurs
Clients
Serveurs d’accès
Protocole RADIUS
Clients RADIUS=
EAPEAP
Extension de PPP pour des Extension de PPP pour des mécanismes arbitraires mécanismes arbitraires d’authentification d’accès réseaud’authentification d’accès réseau
Plug-in d’authentification sur le client Plug-in d’authentification sur le client et le serveur RADIUSet le serveur RADIUS
Le client et le serveur RADIUS génèrent des Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateurclés de session WEP par utilisateur
Jamais transmises dans l’airJamais transmises dans l’airRADIUS envoie la clé à l’AP, chiffrée avec le secret RADIUS envoie la clé à l’AP, chiffrée avec le secret partagépartagé
Le point d’accès a une clé WEP globaleLe point d’accès a une clé WEP globaleUtilisée pendant l’authentification de l’AP au clientUtilisée pendant l’authentification de l’AP au clientEnvoyée dans un message EAPOW-keyEnvoyée dans un message EAPOW-keyChiffrée avec la clé de sessionChiffrée avec la clé de session
Les clés de session sont re-générées Les clés de session sont re-générées quand…quand…
Durée de vie expirée (60 minutes par défaut)Durée de vie expirée (60 minutes par défaut)Le client se déplace vers un nouvel APLe client se déplace vers un nouvel AP
Architecture EAPArchitecture EAP
Méthode
EAP
Media
EAP
MS
CH
AP
v2
TLS
Secu
rID
PPP 802.3 802.5 802.11 …
TLS GSS_API
Kerberos
PEAP IKE MD5
Méthodes EAPMéthodes EAP
EAP-MD5EAP-MD5Utilise CHAP pour authentifier l’utilisateurUtilise CHAP pour authentifier l’utilisateurDéconseillé pour le Wi-Fi : hashes transmis en clair, pas Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelled’authentification mutuelle
EAP-TLSEAP-TLSCertificats machine et/ou utilisateur : nécessite une PKICertificats machine et/ou utilisateur : nécessite une PKIDétermination des clés 802.11Détermination des clés 802.11
PEAP (Protected EAP) :PEAP (Protected EAP) :Tunnel TLS pour protéger le protocole d’authentification, Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2)même faible (MS CHAP v2)Certificat Serveur uniquementCertificat Serveur uniquementNécessite Windows XP SP1 et IAS de Windows Server Nécessite Windows XP SP1 et IAS de Windows Server 20032003Détermination des clés 802.11Détermination des clés 802.11
PEAPPEAPMicrosoft, Cisco, RSAMicrosoft, Cisco, RSA1.1. Crée un tunnel TLS avec le certificat Crée un tunnel TLS avec le certificat
du serveur RADIUS uniquementdu serveur RADIUS uniquement
2.2. Authentifie le client dans ce tunnelAuthentifie le client dans ce tunnel Le protocole d’authentification est Le protocole d’authentification est
protégéprotégé
TLSTLSEAPEAP
AuthentificationAuthentification
CertificatServeur
EAP RADIUS-EAP
PEAPPEAP
PEAP-EAP-MS-CHAP v2PEAP-EAP-MS-CHAP v2MS-CHAP v2 utilise un mot de passe MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)(utilisateur et/ou machine)
Pas de certificat clientPas de certificat client
Solution si pas de PKISolution si pas de PKI
PEAP-EAP-TLSPEAP-EAP-TLSNécessite un certificat client, donc une Nécessite un certificat client, donc une PKIPKI
Protège l’identité du clientProtège l’identité du client
Il résout :Il résout :La découverte des clésLa découverte des clés – changement fréquent – changement fréquent et clés distinctes par clientet clés distinctes par client
Les points d’accès pirates et attaques « man in Les points d’accès pirates et attaques « man in the middle »the middle » – authentification mutuelle – authentification mutuelle
Accès non autorisésAccès non autorisés – authentification des – authentification des utilisateurs et des machinesutilisateurs et des machines
Il ne résout pas :Il ne résout pas :SpoofingSpoofing de paquets et des désassociations – de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé801.1x n’utilise pas de MIC à clé
Standard temporaire avant Standard temporaire avant ratification de 802.11iratification de 802.11i
Requis pour la certification Wi-Fi Requis pour la certification Wi-Fi depuis le 31/8/2003depuis le 31/8/2003Wi-Fi Protected AccessWi-Fi Protected Accesshttp://http://www.wi-fi.orgwww.wi-fi.org//OpenSectionOpenSection//protected_access.aspprotected_access.asp
Overview of the WPA Wireless Overview of the WPA Wireless Security Update in Windows XPSecurity Update in Windows XPhttp://support.microsoft.com/?id=815http://support.microsoft.com/?id=815485485
Réseau sans fil sécurisé : 802.1x Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés requis, chiffrement, gestion des clés Unicast et globaleUnicast et globale
Corriger les faiblesses de WEP par Corriger les faiblesses de WEP par une mise à jour logicielleune mise à jour logicielle
Solution sécurisée pour les réseaux Solution sécurisée pour les réseaux domestiquesdomestiques
Evolutif vers 802.11iEvolutif vers 802.11i
Disponible aujourd’huiDisponible aujourd’hui
Caractéristiques de WPACaractéristiques de WPA
Authentification 802.1x requiseAuthentification 802.1x requise : EAP : EAP et RADIUS, ou clé partagée (et RADIUS, ou clé partagée (PSKPSK))
Gestion des clés Gestion des clés Unicast et BroadcastUnicast et Broadcast
EAP-TLS : « carte à EAP-TLS : « carte à puce ou autre puce ou autre certificat »certificat »
PEAPPEAPMS-CHAP v2MS-CHAP v2
EAP-TLSEAP-TLS
Authentification PEAP avec Authentification PEAP avec WindowsWindows
Phase 1 – logon Phase 1 – logon machinemachineAssociation 802.11Association 802.11Authentification de l’AP (secret RADIUS)Authentification de l’AP (secret RADIUS)Authentification du serveur RADIUS (certificat)Authentification du serveur RADIUS (certificat)Authentification de la machine (compte Authentification de la machine (compte machine, mot de passe)machine, mot de passe)Connexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autoriséesde la machine aux ressources autorisées
Phase 2 – logon Phase 2 – logon utilisateurutilisateurAuthentification de l’utilisateurAuthentification de l’utilisateurConnexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autoriséesde l’utilisateur aux ressources autorisées
Pourquoi authentifier la Pourquoi authentifier la machine ?machine ?
Logon de la machine dans le domaine Logon de la machine dans le domaine nécessaire:nécessaire:
Group PoliciesGroup Policies
Scripts de logon machineScripts de logon machine
Management : inventaire, déploiement Management : inventaire, déploiement d’application par GPO/SMS/autresd’application par GPO/SMS/autres
Expiration du mot de passe de Expiration du mot de passe de l’utilisateur :l’utilisateur :
Connexion et logon machine nécessaires pour Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de la notification de l’utilisateur le changement de mot de passemot de passe
Internet Authentication Server (Internet Authentication Server (IASIAS))Serveur RADIUS de MicrosoftServeur RADIUS de MicrosoftRemote Access PoliciesRemote Access PoliciesEAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)
Certificate ServicesCertificate ServicesPKI avec auto-enrôlement des machines et des PKI avec auto-enrôlement des machines et des utilisateursutilisateurs
Active DirectoryActive DirectoryGestion centralisée des machines et utilisateursGestion centralisée des machines et utilisateursConfiguration centralisée des clients Wi-Fi Configuration centralisée des clients Wi-Fi ((Group PoliciesGroup Policies) [) [WPA : SP1WPA : SP1]]
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Réseau Wi-Fi de Microsoft Réseau Wi-Fi de Microsoft Leçons apprisesLeçons apprises
Intégrer le support de technologies Intégrer le support de technologies diverses: clients, points d’accès, PKI, diverses: clients, points d’accès, PKI, RADIUS, Active DirectoryRADIUS, Active Directory
Répondre aux besoins des employés Répondre aux besoins des employés qui souhaitent s’équiper à domicilequi souhaitent s’équiper à domicile
Prendre en compte les soucis des Prendre en compte les soucis des employés en terme de santé : employés en terme de santé : conduire des analyses et conduire des analyses et communiquer les résultatscommuniquer les résultats
Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de MicrosoftConseilsConseils
Changement des clés compatible avec la Changement des clés compatible avec la charge des serveurs : nouvelles sessions, charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminésdéplacements et intervalles prédéterminésImpliquer le support tôt dans la phase de Impliquer le support tôt dans la phase de planificationplanificationMécanisme de détection et suppression Mécanisme de détection et suppression des points d’accès piratesdes points d’accès piratesVérifier les lois locales concernant les Vérifier les lois locales concernant les équipements radioéquipements radioPlacer les points d’accès et antennes dans Placer les points d’accès et antennes dans des boîtiers protégés ; utiliser une des boîtiers protégés ; utiliser une alimentation basse tension centralisée alimentation basse tension centralisée secouruesecourue
Docteur SourisDocteur Souris
« Offir à des enfants hospitalités un « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès ordinateur personnalisé, et un accès encadré à une messagerie encadré à une messagerie électronique et à Internet »électronique et à Internet »
Utilisé par plus de 250 enfants et Utilisé par plus de 250 enfants et adolescents en quelques semaines adolescents en quelques semaines avant son inauguration le 14 octobre avant son inauguration le 14 octobre 2003 (Hôpital Trousseau)2003 (Hôpital Trousseau)
60 clients simultanés en pointe60 clients simultanés en pointe
http://www.docteursouris.asso.fr/
Docteur SourisDocteur Souris
Windows 2000, 2003, XP,Windows 2000, 2003, XP,Exchange 2000, ISA Server 2000Exchange 2000, ISA Server 2000
Active DirectoryActive Directory
PKIPKIAuto-enrôlement des machinesAuto-enrôlement des machines
RADIUSRADIUS
802.1x, EAP-TLS802.1x, EAP-TLS
Administration simplifiée à l’usage Administration simplifiée à l’usage des éducatricesdes éducatrices
Docteur SourisDocteur Souris
Windows 2000Exchange 2000
Tout les sites sur Internet
Windows XPOffice XP
Portables EnfantsWindows XP
Office XP
Serveur de serviceWindows XP
Windows 2003Active Directory
MESSAGERIEPORTAIL PARE FEUANNUAIRE
HOPITAL
Réseau Sans Fil
INTERNET
Réseau Interne
Windows 2003ISA 2000
Sites Autorisés
Windows 2003SQL 2000SPS 2003
Enfants
Educatrice
Parents
Administrateur
Active DirectoryCertificate Services
IAS
Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs
Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs
Planning GuidePlanning Guide – guide de planification – guide de planification
Build GuideBuild Guide – procédures détaillées de – procédures détaillées de configuration et sécurisationconfiguration et sécurisation
Operations GuideOperations Guide – guide de – guide de maintenance, supervision, support, maintenance, supervision, support, gestion des changementsgestion des changements
Test GuideTest Guide – démarche de test utilisée – démarche de test utilisée chez Microsoft pour valider la solutionchez Microsoft pour valider la solution
Lire les Lire les Release NotesRelease Notes pour pour l’adaptation à WPAl’adaptation à WPA
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)
Particuliers et petites entreprises :Particuliers et petites entreprises :WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)
DemainDemain802.11i802.11i
RéférencesRéférences
The Unofficial 802.11 Security Web PageThe Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Bernard Aboba, Network Architect, WindowsWindowshttp://http://www.drizzle.com/~aboba/IEEEwww.drizzle.com/~aboba/IEEE//
Microsoft Solution for Securing Wireless Microsoft Solution for Securing Wireless LANsLANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxhttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx