Sécurisation du sans fil et du nomadisme Voir http://www.cru.fr/nomadisme-sans-fil/ Et plus particulièrement http://www.cru.fr/nomadisme-sans-fil/J1310/ind ex.html Et aussi http://www.certa.ssi.gouv.fr/ http://www.ssi.gouv.fr/actualites/synthwifi.pd f http://www.ssi.gouv.fr/actualites/Rec_WIFI.pdf
21
Embed
Sécurisation du sans fil et du nomadisme Voir Et plus particulièrement .
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Sécurisation du sans filet du nomadisme
Voir http://www.cru.fr/nomadisme-sans-fil/
Et plus particulièrement http://www.cru.fr/nomadisme-sans-fil/J1310/index.html
Protection du poste (intégrité, confidentialité): Chiffrement des données stockées, garde-barrière, Antivirus, …
InternetInternet
DMZ
Prestataired’accès ou site « ami »
1. Protection de l’accès à la ressource réseau (authentification)2. Protection du réseau d’accueil vis-à-vis du poste: vérification de son intégrité (pas de virus, …)
Protection des flux(confidentialité): chiffrement des flux / VPN
Protection contre les intrusions, les flux malveillants,le transfert de données confidentielles, …
Nomadisme :problématique
Le sans-fil pourquoi faire ?
• Améliorer la facilité d’accès au réseauSalles de réunion, Lieux de vie, …
=> Amener du réseau là où il n'y en avait pas
• Banaliser les sallesToutes les salles sont des salles de ressources
• Rendre les sites attractifs
• Intégrer à terme la téléphonie
• Permettre le nomadisme
Attention
• Un discours marketing– simple, plug and play, liberté, partout, performant, pas cher, – extension aisée du réseau sans fil, ..
• En fait – Pas si simple si on veut protéger,
• Plug and play sécurité 0 !
– Performant oui si 802.11g– Pas cher : dépend du niveau de sérieux de la sécurisation– Partout (oui, ou du moins presque)
– Extension du réseau filaire :• OUI jusqu’aux parkings même.
Si les choses sont correctement faites, le sans-fil c’est quand même bien
Architecture du réseau sans filExemple des campus de Strasbourg
Schéma logique
Bâtiment
Commutateur « Bâtiment »
Serveur Radius
Commutateur « WiFi »
Commutateur « WiFi »
APAP APAP
APAP
Backbone OSIRIS2
Arrivée Osiris
Serveur DHCPVlan d'authentification / Management
Vlan Etudiants
Vlan Personnels
Vlan Invités
Acteurs
Serveur d'authentification
Serveur d'authentification
Client ou Supplicant
Système àauthentifier(Supplicant)
Architecture d'authentification 802.1X
Trafic autorisé avant authentification
(Relayé par le point d'accès)
Trafic autorisé après authentification
Rappels sur le protocole 802.1X
Authentification / Confidentialité
Réseau
But Contrôler l'accès physique à un
réseau local par authentification
Connexion filaire ou association sans-fil
Point d'accès au réseau
Point
d'accès
Association 802.11b ou g
Vlan d'accès WiFi
Authentification 802.1X> EAP-TTLS
User == totoPassword / Certificat Ok.
> VLAN étudiant
Vlan étudiants
Clé de chiffrement WEP
Implémentation 802.1X
Clé de chiffrement WEP
Vlan étudiants
Authentification / Confidentialité
802.11 UDP/IP
Radius802.1X /(EAPoL)
EAP
EAP-TLS (ou TTLS)
Borne Serveurd’auth.
EAP-TLS (ou TTLS)
Établissement session TLS entre le poste et le serveur d’authentificationavant échange des données sensibles (login/mot de passe, …)
Radius
EAP
802.1X /(EAPoL)
EAP EAP
Login/mdp
BorneServeurd’authentificationRadius
Réseau local
Association entre le client et la borne (802.11g)La borne bloque le trafic vers le réseau local
1
2
Échanges d’éléments d’authentification entre le client et le serveur RadiusLe serveur authentifie l’utilisateurL’utilisateur authentifie le serveur authentification mutuelle
3 Radius, ainsi que le client calculent la clé « Unicast » (session key) à partir des éléments d’auth. Radius délivre cette clé à la borne.
4 La borne crée une clé « Broadcast » et la transmet chiffrée (avec la clé Unicast)au clientLa borne ouvre le trafic vers le réseau local (dans le VLAN approprié)
5 Le Client va pouvoir transmettre ses paquets sur le réseau local et notammentContacter le serveur DHCP pour obtenir une adresse IP.
Implémentation 802.1X Avantages
Possibilité d’associer plusieurs VLAN à un seul SSID Cloisonnement des communautés Gestion dynamique des clés de chiffrement
Distribution initiale Renouvellement à chaque réauthentification
Pas de goulot d'étranglement (ex : VPN, L2TP ...) Possibilité de mots de passes chiffrés sur le serveur
(PAP avec EAP-TTLS) Possibilité d’authentification mutuelle client/serveur
(certificat client)
Authentification / Confidentialité
Implémentation 802.1X Inconvénients
Distribution d'un client nécessaire pour EAP-TTLS ou si TLS et parc hétérogène
Mise en place d'un portail captif dédié à cette tâche Prix des clients
Dimensionnement des VLANs / Plages d'adresses IP Contraintes
Nécessité de redondance des serveurs RADIUS Si Radius tombe, plus de réseau sans-fil
Authentification / Confidentialité
Implémentation 802.1X Les logiciels (clients) natifs
Oui pour Linux TLS et TTLS Oui pour Windows PEAP
Clients solution logiciels gratuits SecureW2 pour Windows XSupplicant et WPASupplicant pour Linux/Unix
Solutions commerciales comme vous le voulez.*
Authentification / Confidentialité
Réseaux sans-fil ouverts Manifestations, colloques, séminaires ... Pas de contrôle pour une période et une zone définies
Accès aux ressources du réseau filaire (imprimantes ...) Mise en place de filtres basés sur l'IP Accès VPN
Authentification / Confidentialité
Comment contrôler facilement l’accès au réseaupour les personnes de statut « visiteur »?
Créer des comptes de type « visiteur » avec des mots de passe connusPas très « raisonnable »
Faire un contrôle sur adresse MACPas très sécurisé et « ingérable »
Diffuser les clés WEP de façon confidentielle Le confidentiel ne le reste pas longtemps
Il reste le 802.1X mais alors :1) Il faut rentrer les données d’identification/authentification pour
toutes les personnes « visiteurs » vite ingérable.2) Ou alors avoir une architecture de serveurs Radius interconnectés.