Atelier Sécurité
Transcription
Atelier Sécurité
Evolution de la technologie sans fil Wifi Yann FRANCOISE Ingénieur d'affaires [email protected] Sommaire • Présentation du Wifi • Sécurité et 802.11i • Authentification des utilisateurs • 2 types d’architecture Wifi Historique du Wifi Le 802.11 « Le réseau classe entreprise » - Une alternative aux réseaux filaires Une normalisation de l’IEEE : 802.11 Une connexion sans fil des ordinateurs aux ressources de l’entreprise, le 802.11b, 802.11g et le 802.11a Un débit équivalent à celui d’ Ethernet : 11 et 54 Mbps. Des portées comprises entre 50 m et 100 m en WLAN, plus (au-delà du Km) en intersites. La technologie : Norme IEEE 802.11 Les standards 802.11a 54Mb 5 GHz, ratifié in 1999 802.11b 11Mb 2.4 GHz, ratifié in 1999 802.11e Qualité de Service L2 802.11f Inter-Access Point Protocol (IAPP) Roaming 802.11g 54 Mb 2.4 GHz 802.11i WPA2 Authentification et sécurité s’appuie sur AES La technologie : Norme IEEE 802.11 Le 802.11a Ratifié en Septembre 1999 Utilise la bande de 5 GHz, Débit jusqu’à 54 Mbps 8 canaux en intérieur Attention aux réglementation des pays : • Bande 5,150 GHz à 5,350 GHz libre en France en Indoor à 200 mW. Cela représente les 3 premiers canaux. La technologie : Norme IEEE 802.11 Le 802.11g • • • • Permet d’atteindre un débit de 54Mbps à 2.4 GHz Portée supérieure au 802.11a Compatible avec le 802.11b Ratification et disponibilité des produits standards : depuis 2003 802.11g 54 MB 802.11g 11 MB 802.11b La technologie : Norme IEEE 802.11 Résumé 2.4 GHz Range 4 2 5 1 7 ~45m 3 6 5 GHz ~18m Attention car le 802.11a a une portée beaucoup plus faible donc un coût supérieur pour une même couverture… Les différentes configurations Mobilité Multi-cellules : Roaming Les différentes configurations Point à point en Extérieur L’étude de site Intérieure L’étude de site Extérieure On doit être à vue. La ligne de vue doit être claire (sans obstacle) Sommaire • Présentation du Wifi • Sécurité et 802.11i • Authentification des utilisateurs • 2 types d’architecture Wifi La sécurité LE RISQUE “Avoir du WLAN c’est comme avoir une prise ethernet dans la rue” Wired Ethernet LAN Client Facilité d’interception avec des Sniffers Standards ! Point d’Accès La sécurité : nouveaux terminaux Nouveaux usages - Avénement de la Téléphonie sur IP => Téléphones sans fils pour émuler la technologie DECT - Risques d’intrusion plus nombreux, plus variés sur de nouvelles ressources. -Explosion des réseaux Wifi domestiques et entreprises La sécurité La sécurité des réseaux sans fil de 1ère génération Le SSID Descripteur commun aux bornes et aux clients Diffusé en broadcast par les bornes et en clair Le WEP ou Wired Equivalent Privacy Encryption des données (64 et 128 bits) 1 clé et 1 algorithme pour le cryptage et le décryptage des données (Algo RC4) Permet un contrôle d’accès et une protection des données la clé étant requis Le filtrage d’adresses MAC (pas standardisé) La sécurité Les brèches de sécurité Le vol de matériel Clé statique en dur (WEP) Piratage difficile à détecter si non informé du vol Nécessite de réencoder toutes les clés des utilisateurs Le faux Point d’Accès Authentification à sens unique (le client n’authentifie pas la borne). REPONSE => WPA (Wifi Protected Access) Algo TKIP, clés générées aléatoirement et dynamiques authentification par Radius ou secret partagé La sécurité 802.11i Gestion centralisée de la sécurité et amélioration du chiffrement (IEEE 802.11i). RATIFIEE en juin 2004 Le 802.11iv1 utilise un chiffrement TKIP (compatible avec l’existant), le v2 utilisera AES seul La solution comporte les éléments suivants : Norme WPA2 Cryptage AES (Advanced Encryption System) => clés de 128, 192 et 256 bits EAP (Extensible Authentication Protocol), une extension de RADIUS qui permet aux adaptateurs des clients sans fil de communiquer avec les serveurs RADIUS (différentes variantes LEAP, EAP-TLS, PEAP…). Sommaire • Présentation du Wifi • Sécurité et 802.11i • Authentification des utilisateurs • 2 types d’architecture Wifi Authentification 802.1x • Norme globale pour Ethernet 802.3 et Wifi 802.11 englobant : – Chiffrement AES – Authentification avec EAP, RADIUS ou TLS Sécurité « port-based » Architecture CLIENT WIFI EAP POINT D’ACCES WIRELESS CLIENT FILAIRE EAP COMMUTATEUR ETHERNET SERVEUR RADIUS BASE DE DONNEES DES UTILISATEURS 802.1x authentification EAP • Grande diversité d’implémentations EAP disponibles • Les plus utilisées: – – – – EAP-MD5 peu fiable EAP-LEAP & EAP-FAST (Cisco) EAP-PEAP (GTC et MsCHAPv2) EAP-TLS (certificats mutuels) Sommaire • Présentation du Wifi • Sécurité et 802.11i • Authentification des utilisateurs • 2 types d’architecture Wifi 2 modèles : Borne intelligente ou Borne légère Modèle borne intelligente • Cisco Aironet, HP, Orinoco, … – Gestion de la sécurité faite directement sur les bornes – Fonctionnalités RADIUS sur les bornes – Possibilité de transporter plusieurs VLANs – Supervision centralisée Modèle Borne légère • Bornes SOHO Grand public – Peu de fonctionnalités (WPA2 rare) – Logiciels associés moins « riches » • Aruba, Alcatel, Cisco Airspace • Borne de raccordement physique simple • Contrôleurs gérant x bornes, la sécurité, l’authentification, l’encryption • Nécessité d’un réseau « parallèle » Déploiements sur la Région • Nombreux établissements scolaires, universitaires : – Populations administratives, élèves, invitées • Centres Hospitaliers (mobilité des personnels médicaux) • Banques régionales • Industries et mobilité dans les entrepôts Conclusion • Un réseau Wifi ne se limite pas à une borne d’accès • Un réseau Wifi est sûr si on met en place quelques mécanismes • Ne pas confondre borne légère et borne pas cher