Sécurité dans les réseaux Wi-Fi
Transcription
Sécurité dans les réseaux Wi-Fi
Sécurité dans les réseaux Wi-Fi Sécurité dans les réseaux ! But : " Identification & Autorisation • Authentification, signature électronique " Confidentialité • Chiffrement " Intégrité • Checksum(CRC, MIC), signature électronique - 2- 802.11 Sécurité ! ! ! ! 1er génération Wireless Equivalent Privacy (WEP), définie dans le standard 802.11 2è g génération , 802.1x architecture (with ( WEP). 3è génération , TKIP TKIP, compatibilité matérielle avec WEP, WPA 4è génération , 802 802.1i 1i + AES AES, incompatibilité matériel avec WEP. - 3- Sécurité dans Wi-Fi – 1ère génération ! Accès au réseau " Service Set ID (SSID) : équivalent au nom de réseau " Access Control List (ACL) : basé sur les adresses MAC ! Wired Equivalent Privacy (WEP) : Mécanisme de chiffrement fondé sur le RC4 " Authentification " Chiffrement - 4- Sécurité dans Wi-Fi – 2è génération g ! ! ! IEEE 802.1x est utilisé pour tous les réseaux IEEE 802 Utilise le p protocole Extensible Authentication Protocol (EAP) Utilisation d d’un un serveur d d’authentification authentification de type RADIUS : Remote Authentication Dial in User Service • Protocole d’authentification client/serveur utilisé pour l’accès à distance - 5- IEEE 802.1x Port contrôlé Port non contrôlé EAPOL EAP over … CLIENT CONTROLLEUR (Supplicant) (Authenticator) Liaison sans fil ou filaire Liaison filaire SERVEUR D’AUTHENTIFICATION CONTROLLEUR + SERVEUR D’AUTHENTIFICATION - 6- EAPOL/RADIUS EAPOL - Start S Serveur RADIUS EAP – Request (Identity) EAP – Response (Identity) RADIUS - Access Request EAP – Request (Challenge) RADIUS - Access Challenge EAP – Response (Challenge) RADIUS - Access Request EAP – Success RADIUS - Access Accept EAP – Fail RADIUS - Access Reject EAPOL - Logoff - 7- Sécurité dans Wi-Fi – 3è génération ! TKIP : Temporal Key Integrity Protocol " MIC (Message Integrity Code) " Nouvelle implémentation de l’IV (Initilization Vector) " Une nouvelle clef régulièrement " Une gestion améliorée des clés ! Inconvénient : performance p - 8- Sécurité dans Wi-Fi – 3è génération g ! WPA : Wi-Fi Protected Access " Initialisé par la Wi-Fi Alliance " Fondé sur TKIP : changement de la clé régulièrement " IEEE 802.1x ! Sécurité assurée p pour quelques q q années - 9- Sécurité dans Wi-Fi – 4è génération ! ! ! Juin 2004: WPA2 Utilisation de TKIP et de 802.1x Nouvel algorithme de chiffrement : AES " L’algorithme RC4 est remplacé par AES " AES nouveau standard pour le chiffrement des données " Algorithme très fiable et rapide - 10- Autres solutions pour la sécurité ! Solution potentielle " Carte à puce • Sécurisation des clés de chiffrement et des certificats • Algorithme dans la carte à puce " Firewall/Filtre applicatif • Filtre sur les ports p • Filtres applicatifs " VPN ! Normalisation future " Biométrie - 11- Sécurité du poste de travail EAP_Info = GetInfo(EAP_Type) GetIdentity() DIALOG BOX Wireless Interface OK EAP provider (DLL) ( ) EAP_Info Initialize() Begin() Message() End() EAP Packet InvokeConfigUserInterface() Authentication Protocol User Key(s) Protocol Configuration DIALOG BOX OK 12 TPM Trusted Platform Module EAP_Info = GetInfo(EAP_Type) Wireless Interface EAP provider id (DLL) EAP_Info EAP Packet Initialize() Begin() Message() End() Authentication Protocol User K ( ) Key(s) Protocol Configuration Carte à puce soudée au processeur 13 Traçabilité ! Traçabilité ouverte " Le responsable du cybercafé peut connaître les identifications ! Traçabilité fermée " Les états/organisations exigent de plus en plus la traçabilité ç des échanges g d’information. Les citoyens souhaitent garder l’anonymat sur les réseaux (privacy). " La technologie de protection d’identité concilie traçabilité et respect de la vie privée. 14 Point d’accès pirate-1 Wi-Fi Wi-Fi 15 Point d’accès pirate ! Solutions pour contrer les points d’accès pirates " AP qui peuvent jouer le rôle de sonde " Ping " Utilisation de signature g RF des points d’accès 16 Point d’accès pirate 2 17 Filtres applicatifs ! Le firewall permet de bloquer des applications en fonction du numéro de port " De nombreuses applications utilisent des ports dynamiques (exemple : P2P) ! Le filtre applicatif se base sur la sémantique des flots " Reconnaissance de la grammaire du protocole " Adéquation q avec le RFC - 18- Réseaux Privés Virtuels (VPN) ! ! But : créer un « tunnel »sécurisé entre un client li t ett un serveur Le VPN permet : " d’identifier les clients " d’autoriser les clients " de d chiffrer hiff le l trafic fi des d clients li ! IPSec (Internet Protocol Security) " PPTP " L2TP - 19-