10 - Wireless - Security FR

Abonnez-vous à DeepL Pro pour éditer ce document.
Visitez www.DeepL.com/Pro pour en savoir plus.
Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique
X- Sécurité des réseaux sans fil
Les objectifs Conditions préalables

Pour être en mesure de comprendre cette leçon, les élèves
À la fin de cette leçon, les élèves seront en mesure doivent avoir des notions sur :
de : - Architecture de réseau sans fil
• Comprendre et expliquer l'architecture de sécurité des réseaux sans fil
• Décrire les protocoles de sécurité sans fil
• Comprendre et expliquer les opérations IEEE 802.11i et
un réseau de sécurité robuste
• Identifier les différences de sécurité entre les réseaux locaux câblés et sans fil
Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017
Mots-clés
Wi-Fi, IEEE 802.11, IEEE 802.11i, WLAN

WAP, Découverte, Authentification
Production et distribution de clés
Transfert de données protégé,
Terminaison de connexion, protocole MAC
Unité de données (MPDU), BSS, IBSS, ESS, AP, RSN

Littérature
Kizza, J. M. : Guide to Computer Network Security, troisième édition. Communications et réseaux

informatiques. Springer 2015
Stallings, W. : Cryptographie et sécurité des réseaux : Principes et pratiques, sixième édition. Pearson, États-Unis
2014
Lectures complémentaires

1. Concepts (1)
Alliance Wi-Fi (Wireless Fidelity)
IEEE 802.11 est un standard pour les réseaux locaux sans fil. Les implémentations conformes aux normes interopérables sont
appelées Wi-Fi.
• La première norme 802.11 à être largement acceptée par l'industrie a été la norme 802.11b. Bien que les produits 802.11b
soient tous basés sur la même norme, on se demande toujours si les produits de différents fournisseurs réussiront à
interopérer avec succès.
• Le terme utilisé pour les produits certifiés 802.11b est Wi-Fi. La certification Wi-Fi a été étendue aux produits
802.11g,. La Wi-Fi Alliance a également développé un processus de certification pour les produits 802.11a,
appelé Wi-Fi5. La Wi-Fi Alliance s'intéresse à toute une série de secteurs du marché des réseaux locaux sans
fil, y compris les entreprises, les foyers et les points d'accès.
IEEE 802.11i spécifie les normes de sécurité pour les réseaux locaux IEEE 802.11, y compris l'authentification, l'intégrité des
données, la confidentialité des données et la gestion des clés. Les implémentations interopérables sont également appelées
Wi-Fi Protected Access (WPA).
Normes de sécurité IEEE 802.11, appelées Wi-Fi Protected Access (WPA). Le plus récent : WPA2. Il intègre
toutes les fonctionnalités de la spécification de sécurité WLAN IEEE 802.11i.
◆ Le protocole d'application sans fil (WAP) est une norme qui permet
aux utilisateurs mobiles de téléphones sans fil et d'autres terminaux sans
fil d'accéder aux services de téléphonie et d'information, y compris
Internet et le Web.
2. Concepts (2)
Pile de protocole IEEE 802.11
Format général IEEE 802 MPDU MPDU MAC protocol data unit
(MPDU) Format

3. Architecture (1)
Composants réseau et modèle architectural IEEE 802.11
Dans un SRS, les stations clientes ne communiquent pas
directement avec l'un d'eux.
un autre. Au contraire, si une station du SRS souhaite
communiquer avec une autre station du même SRS, le MAC
la trame est d'abord envoyée de la station d'origine à l'AP
et
puis de l'AP à la gare de destination.
Partager un support sans fil

Partager un support sans fil
Lorsque toutes les stations du SRS sont des stations

mobiles qui
communiquer directement les uns avec les autres (sans utiliser
de PA), la fonction
Le SRS est appelé un SRS indépendant (SRSB).
Un IBSS est généralement un réseau ad hoc. Dans un
IBSS, le
toutes les stations communiquent directement, et aucun
AP n'est impliqué.
IEEE 802.11 Set de service étendu
4. Architecture (2)
Distribution de messages dans une DS
Les deux services impliqués dans la distribution des messages dans un DS sont la distribution et
l'intégration. La distribution est le principal service utilisé par les stations pour échanger des UDPM
lorsque les UDPM doivent
traverser le DS pour aller d'une station d'un SRS à une autre station d'un autre SRS. Par exemple, supposons
qu'une trame soit envoyée de la station 2 (STA 2) à la station 7 (STA 7) ; la trame est envoyée de la STA 2 à l'AP 1,
qui est l'AP pour ce BSS. Le PA donne le cadre au DS, qui a pour tâche de diriger le cadre vers le PA associé à la
STA 7 dans le BSS cible. AP 2 reçoit le cadre et le transmet à la STA 7.
Si les deux stations qui communiquent se trouvent dans le même SRS, le service de distribution passe logiquement
par le PA unique de ce SRS.
Le service d'intégration permet le transfert de données entre une station sur un LAN IEEE 802.11 et une station sur
un LAN IEEE 802.x intégré. Le terme intégré fait référence à un réseau local câblé qui est physiquement connecté
au DS et dont les stations peuvent être logiquement connectées à un réseau local IEEE 802.11 via le service
d'intégration. Le service d'intégration se charge de la traduction des adresses et de la logique de conversion des
médias nécessaires à l'échange des données.
5. Architecture (3)
Services liés à l'association
• L'objectif principal de la couche MAC est de transférer les MSDU entre entités MAC ; cet objectif est
atteint par le service de distribution.
• Avant que le service de distribution puisse livrer des données à une station ou accepter des données d'une
station, cette station doit être associée.
• Quelques notions à connaître : Trois types de transition, basés sur la mobilité :
• Pas de transition : Une station de ce type est stationnaire ou ne se déplace que dans la portée de
communication directe des stations communicantes d'un seul SRS.
• Transition BSS : Il s'agit d'un mouvement de station d'un SRS vers un autre SRS au sein du même SSE.
Dans ce cas, la livraison des données à la station exige que la capacité d'adressage soit capable de
reconnaître le nouvel emplacement de la station.
• Transition du SST : Il s'agit d'un mouvement de station d'un SRS d'un SRS dans un SST à un SRS dans un
autre SST. Ce cas n'est pris en charge que dans le sens où la station peut se déplacer. Le maintien des
connexions de la couche supérieure supportées par la norme 802.11 ne peut être garanti. En fait, il est
probable que le service soit perturbé.
Pour transmettre un message dans une DS, le service de distribution doit savoir où se trouve la station de
destination. Plus précisément, le DS doit connaître l'identité du point d'accès auquel le message doit être livré pour
que ce message puisse atteindre la station de destination. Pour satisfaire à cette exigence, une station doit
maintenir une association avec le PA dans son SRS actuel.
6. Architecture (4)
Services liés à l'association
Trois services sont liés à cette exigence :

Association : Établit une association initiale entre une station et un AP. Avant qu'une station puisse transmettre ou
recevoir des trames sur un réseau local sans fil, son identité et son adresse doivent être connues. A cette fin, une
station doit établir une association avec un PA au sein d'un SRS particulier. Le PA peut ensuite communiquer cette
information à d'autres PA au sein du SSE afin de faciliter l'acheminement et la livraison des trames adressées.
Réassociation : Permet de transférer une association établie d'un point d'accès à un autre, ce qui permet à une
station mobile de passer d'un SRS à un autre.
Dissociation : Une notification d'une station ou d'un point d'accès qu'une association existante est résiliée. Une
station devrait donner cet avis avant de quitter un SSU ou de fermer ses portes. Cependant, la fonction de gestion
MAC se protège contre les stations qui disparaissent sans notification.

7. Sécurité câblée vs sécurité du réseau local sans fil
Il y a deux caractéristiques d'un réseau local câblé qui ne sont pas inhérentes à un réseau local sans fil.
1. Pour transmettre sur un réseau local câblé, une station doit être physiquement connectée au réseau local.
D'autre part, avec un réseau local sans fil, n'importe quelle station dans la portée radio des autres
appareils sur le réseau local peut transmettre. Dans un sens, il existe une forme d'authentification avec
un réseau local câblé en ce sens qu'elle nécessite une action positive et vraisemblablement observable
pour connecter une station à un réseau local câblé.
2. De même, pour recevoir une transmission d'une station qui fait partie d'un réseau local câblé, la station de
réception doit également être reliée au réseau local câblé. D'un autre côté, avec un réseau local sans fil,
n'importe quelle station à portée radio peut recevoir. Ainsi, un réseau local câblé offre un certain degré
de confidentialité, limitant la réception des données aux stations connectées au réseau local.
Ces différences entre les réseaux locaux câblés et sans fil suggèrent le besoin accru de services et de
mécanismes de sécurité robustes pour les réseaux locaux sans fil.
• La spécification originale 802.11 comprenait un ensemble de caractéristiques de sécurité pour la
confidentialité et l'authentification qui étaient assez faibles. Pour la protection de la vie privée, l'article
802.11 définit l'algorithme WEP (Wired Equivalent Privacy).
• Wi-Fi Alliance a promulgué l'accès protégé Wi-Fi (WPA) comme norme Wi-Fi.
• La forme finale de la norme 802.11i est appelée Réseau de sécurité robuste (RSN). La Wi-Fi Alliance
certifie les fournisseurs conformément à la spécification 802.11i complète dans le cadre du programme
WPA2.
8. 802.11i Réseau de sécurité robuste
Authentification : Un protocole est utilisé pour définir un échange entre un utilisateur et un AS qui fournit
une authentification mutuelle et génère des clés temporaires à utiliser entre le client et l'AP sur la liaison
sans fil. Contrôle d'accès : Cette fonction renforce l'utilisation de la fonction d'authentification, achemine
correctement les messages et facilite l'échange de clés. Il peut fonctionner avec une variété de protocoles
d'authentification
Confidentialité et intégrité du message : Les données de niveau MAC (par exemple, une unité PDU LLC)
sont cryptées avec un code d'intégrité de message qui garantit que les données n'ont pas été modifiées.
CBC-MAC = Code d'authentification des messages enchaînés par blocs de chiffrement (MAC)
CCM = Mode compteur avec code d'authentification des messages enchaînés par blocs de chiffrement
CCMP = Mode compteur avec protocole MAC de chaînage de blocs de chiffrement
TKIP = Temporal Key Integrity Protocol (protocole d'intégrité de la clé temporelle)

9. IEEE 802.11i Phases de fonctionnement (1)
Le fonctionnement d'un RSN IEEE 802.11i peut être divisé en cinq phases distinctes.
1. Deux stations sans fil dans le même SRS communiquant via le point d'accès (AP) de ce SRS.
2. Deux stations sans fil (STA) dans le même IBSS ad hoc communiquant directement l'une avec l'autre.
3. Deux stations sans fil dans des SRS différents communiquant via leurs Aps respectifs à travers un système de
distribution.
4. Station sans fil communiquant avec une station terminale sur un réseau câblé via son point d'accès et le
système de distribution.
La sécurité IEEE 802.11i ne concerne que la communication sécurisée entre le STA et son PA.
Cas 1 : la communication sécurisée est assurée si chaque STA établit des communications sécurisées avec le
PA.
Cas 2 : similaire, avec la fonctionnalité AP résidant dans la STA
Cas 3 : la sécurité n'est pas assurée dans l'ensemble du système de distribution au niveau IEEE 802.11,
mais uniquement au sein de chaque BSS. La sécurité de bout en bout (si nécessaire) doit être assurée à un
niveau supérieur Cas 4 : De même, la sécurité n'est assurée qu'entre la STA et son PA.
AS : Serveur d'authentification
STA : Stations sans fil

Découverte : Un PA utilise des messages appelés Beacons and Probe Responses pour annoncer sa politique
de sécurité IEEE 802.11i. La STA les utilise pour identifier un AP pour un WLAN avec lequel elle souhaite
communiquer. Le STA s'associe au PA, qu'il utilise pour sélectionner la suite de chiffrement et le mécanisme
d'authentification lorsque les balises et les réponses de sonde présentent un choix.
Authentification : Au cours de cette phase, le STA et l'AS se prouvent mutuellement leur identité. Le PA
bloque le trafic de non-authentification entre le STA et le SA jusqu'à ce que la transaction d'authentification soit
réussie. Le PA ne participe pas à la transaction d'authentification autre que l'acheminement du trafic entre la
STA et le SA.
Génération et distribution de clés : L'AP et le STA effectuent plusieurs opérations qui provoquent la génération et
la mise en place de clés cryptographiques sur l'AP et le STA. Les trames sont échangées entre le AP et le STA
uniquement.
Transfert de données protégé : Les trames sont échangées entre la STA et la station terminale par
l'intermédiaire du PA. Comme indiqué par l'ombrage et l'icône du module de cryptage, le transfert sécurisé des
données s'effectue uniquement entre le STA et le PA ; la sécurité n'est pas assurée de bout en bout.
Terminaison de connexion : Les cadres d'échange AP et STA. Pendant cette phase, la connexion sécurisée
est détruite et la connexion est rétablie dans son état d'origine.
12. Exercices (1)
1 Dans IEEE 802.11, l'authentification système ouverte consiste simplement en deux communications. Une
authentification est demandée par le client, qui contient l'ID de la station (généralement l'adresse MAC). Il est
suivi d'une réponse d'authentification de l'AP/routeur contenant un message de succès ou d'échec.
Un exemple de cas où une panne peut se produire est si l'adresse MAC du client est explicitement exclue
dans la configuration de l'AP/routeur.
a. Quels sont les avantages de ce système d'authentification ?
b. Quelles sont les vulnérabilités de sécurité de ce schéma d'authentification ?
2 Avant l'introduction de la norme IEEE 802.11i, le schéma de sécurité de la norme IEEE 802.11 était le WEP
(Wired Equivalent Privacy). WEP a supposé que tous les périphériques du réseau partagent une clé secrète.
L'objectif du scénario d'authentification est que la STA prouve qu'elle possède la clé secrète. Procédure
d'authentification
comme le montre la figure de la nouvelle diapositive. Le STA envoie un message à l'AP demandant
l'authentification. L'AP émet un défi, qui est une séquence de 128 octets aléatoires envoyés sous forme de
texte en clair. La STA crypte le défi avec la clé partagée et le renvoie à l'AP. L'AP décrypte la valeur entrante
et la compare au défi qu'il a envoyé. S'il y a une correspondance, le PA confirme que l'authentification a
réussi.
13. Exercices (2)
Authentification WEP
a. Quels sont les avantages de ce système d'authentification ?

b. Ce schéma d'authentification est incomplet. Qu'est-ce qui manque et pourquoi est-ce important ?
Indice : L'ajout d'un ou deux messages permettrait de résoudre le problème.
c. Qu'est-ce qu'une faiblesse cryptographique de ce schéma ?

10 - Wireless - Security FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

10 - Wireless - Security FR

Transféré par

Droits d'auteur :

Formats disponibles

Abonnez-vous à DeepL Pro pour éditer ce document.

Visitez www.DeepL.com/Pro pour en savoir plus.

Université de Ngaoundéré - Faculté des Sciences Département de Mathématiques et Informatique

X- Sécurité des réseaux sans fil

Les objectifs Conditions préalables

Wi-Fi, IEEE 802.11, IEEE 802.11i, WLAN

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

Kizza, J. M. : Guide to Computer Network Security, troisième édition. Communications et réseaux

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

Pile de protocole IEEE 802.11

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

Partager un support sans fil

Lorsque toutes les stations du SRS sont des stations

Distribution de messages dans une DS

Services liés à l'association

Trois services sont liés à cette exigence :

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

STA : Stations sans fil

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

a. Quels sont les avantages de ce système d'authentification ?

Cycle : Master - Semestre 2 - SLED Academic Year 2016/2017

Vous aimerez peut-être aussi