Sécurité dans les réseaux Wi-Fi

Sécurité dans les réseaux Wi-Fi
Sécurité dans les réseaux
!
But :
" Identification & Autorisation
• Authentification, signature électronique
" Confidentialité
• Chiffrement
" Intégrité
• Checksum(CRC, MIC), signature électronique
- 2-
802.11 Sécurité
!
!
!
!
1er génération Wireless Equivalent Privacy
(WEP), définie dans le standard 802.11
2è g
génération , 802.1x architecture (with
(
WEP).
3è génération , TKIP
TKIP, compatibilité
matérielle avec WEP, WPA
4è génération , 802
802.1i
1i + AES
AES,
incompatibilité matériel avec WEP.
- 3-
Sécurité dans Wi-Fi – 1ère génération
!
Accès au réseau
" Service Set ID (SSID) : équivalent au nom de
réseau
" Access Control List (ACL) : basé sur les adresses
MAC
!
Wired Equivalent Privacy (WEP) :
Mécanisme de chiffrement fondé sur le
RC4
" Authentification
" Chiffrement
- 4-
Sécurité dans Wi-Fi – 2è génération
g
!
!
!
IEEE 802.1x est utilisé pour tous les
réseaux IEEE 802
Utilise le p
protocole Extensible
Authentication Protocol (EAP)
Utilisation d
d’un
un serveur d
d’authentification
authentification de
type RADIUS : Remote Authentication Dial
in User Service
• Protocole d’authentification client/serveur utilisé pour
l’accès à distance
- 5-
IEEE 802.1x
Port
contrôlé
Port non
contrôlé
EAPOL
EAP over …
CLIENT
CONTROLLEUR
(Supplicant)
(Authenticator)
Liaison sans fil ou filaire
Liaison filaire
SERVEUR
D’AUTHENTIFICATION
CONTROLLEUR
+
SERVEUR
D’AUTHENTIFICATION
- 6-
EAPOL/RADIUS
EAPOL - Start
S
Serveur
RADIUS
EAP – Request (Identity)
EAP – Response (Identity)
RADIUS - Access Request
EAP – Request (Challenge)
RADIUS - Access Challenge
EAP – Response (Challenge)
RADIUS - Access Request
EAP – Success
RADIUS - Access Accept
EAP – Fail
RADIUS - Access Reject
EAPOL - Logoff
- 7-
Sécurité dans Wi-Fi – 3è génération
!
TKIP : Temporal Key Integrity Protocol
" MIC (Message Integrity Code)
" Nouvelle implémentation de l’IV (Initilization
Vector)
" Une nouvelle clef régulièrement
" Une gestion améliorée des clés
!
Inconvénient : performance
p
- 8-
Sécurité dans Wi-Fi – 3è génération
g
!
WPA : Wi-Fi Protected Access
" Initialisé par la Wi-Fi Alliance
" Fondé sur TKIP : changement de la clé
régulièrement
" IEEE 802.1x
!
Sécurité assurée p
pour quelques
q q
années
- 9-
Sécurité dans Wi-Fi – 4è génération
!
!
!
Juin 2004: WPA2
Utilisation de TKIP et de 802.1x
Nouvel algorithme de chiffrement : AES
" L’algorithme RC4 est remplacé par AES
" AES nouveau standard pour le chiffrement des
données
" Algorithme très fiable et rapide
- 10-
Autres solutions pour la sécurité
!
Solution potentielle
" Carte à puce
• Sécurisation des clés de chiffrement et des certificats
• Algorithme dans la carte à puce
" Firewall/Filtre applicatif
• Filtre sur les ports
p
• Filtres applicatifs
" VPN
!
Normalisation future
" Biométrie
- 11-
Sécurité du poste de travail
EAP_Info = GetInfo(EAP_Type)
GetIdentity()
DIALOG BOX
Wireless
Interface
OK
EAP provider (DLL)
(
)
EAP_Info
Initialize()
Begin()
Message()
End()
EAP Packet
InvokeConfigUserInterface()
Authentication
Protocol
User
Key(s)
Protocol
Configuration
DIALOG BOX
OK
12
TPM Trusted Platform Module
EAP_Info = GetInfo(EAP_Type)
Wireless
Interface
EAP provider
id (DLL)
EAP_Info
EAP Packet
Initialize()
Begin()
Message()
End()
Authentication
Protocol
User
K ( )
Key(s)
Protocol
Configuration
Carte à puce
soudée au
processeur
13
Traçabilité
!
Traçabilité ouverte
" Le responsable du cybercafé peut connaître les
identifications
!
Traçabilité fermée
" Les états/organisations exigent de plus en plus la
traçabilité
ç
des échanges
g d’information. Les
citoyens souhaitent garder l’anonymat sur les
réseaux (privacy).
" La technologie de protection d’identité concilie
traçabilité et respect de la vie privée.
14
Point d’accès pirate-1
Wi-Fi
Wi-Fi
15
Point d’accès pirate
!
Solutions pour contrer les points d’accès
pirates
" AP qui peuvent jouer le rôle de sonde
" Ping
" Utilisation de signature
g
RF des points d’accès
16
Point d’accès pirate 2
17
Filtres applicatifs
!
Le firewall permet de bloquer des
applications en fonction du numéro de
port
" De nombreuses applications utilisent des ports
dynamiques (exemple : P2P)
!
Le filtre applicatif se base sur la
sémantique des flots
" Reconnaissance de la grammaire du protocole
" Adéquation
q
avec le RFC
- 18-
Réseaux Privés Virtuels (VPN)
!
!
But : créer un « tunnel »sécurisé entre un
client
li t ett un serveur
Le VPN permet :
" d’identifier les clients
" d’autoriser les clients
" de
d chiffrer
hiff le
l trafic
fi des
d clients
li
!
IPSec (Internet Protocol Security)
" PPTP
" L2TP
- 19-