Vous êtes sur la page 1sur 42

Rseaux sans fil scuriss avec Windows XP et Windows Server 2003

Novembre 2003 Pascal Sauliere

Business and Marketing Organization France Communication Group

Rseaux sans fil scuriss avec Windows XP et Windows Server 2003

Faiblesse des protocoles 802.11 dorigine Solutions scurises


802.1x EAP-TLS, PEAP WPA

Mise en uvre dans Windows Scnarios de dploiement Recommandations


Business and Marketing Organization France Communication Group

Faiblesses de 802.11 et WEP

WEP = Authentification et chiffrement Implmentation faible de lalgorithme RC4


Attaques par dsassociation Dcouverte de la cl de chiffrement coute des donnes Modification de donnes Attaque de machines internes Analogie : prise rseau dans la rue
Business and Marketing Organization France Communication Group

Outils bien connus

NetStumbler Kismet AirSnort WEPCrack WEPWedgie Reinj


Pour en savoir plus : www.google.com
Business and Marketing Organization France Communication Group

Wi-Fi scuris ?

Ne pas dployer de rseau sans fil


Risque = points daccs pirates

Scurit 802.11 dorigine (WEP)


Risque associ la faiblesse de WEP

Utiliser un VPN
Non transparent pour le client, introduit un goulot dtranglement

Utiliser IPsec
Pas dauthentification utilisateur, complexe

Utiliser 802.1x, EAP-TLS ou PEAP


tat de lart actuel

Utiliser WPA
tat de lart transitoire vers 802.11i
Business and Marketing Organization France Communication Group

Rseaux sans fil scuriss avec Windows XP et Windows Server 2003

Faiblesse des protocoles 802.11 dorigine Solutions scurises


802.1x EAP-TLS, PEAP WPA

Mise en uvre dans Windows Scnarios de dploiement Recommandations


Business and Marketing Organization France Communication Group

IEEE 802.1x (2001) Port-based Network Access Control Caractristiques

Protocole indpendant du support physique (Ethernet, WiFi) Point daccs (AP) compatible 802.1x Pas de contrainte sur les cartes rseau sans fil Authentification avec EAP
Extensible Authentication Protocol IETF Choix du protocole dauthentification (mthode EAP) LAP ne soccupe pas des mthodes EAP

Autorisations avec RADIUS Chiffrement du trafic :


Gestion dynamique des cls 802.11 WEP
Business and Marketing Organization France Communication Group

802.1x Vocabulaire

Authentificateur Supplicant

Serveur dauthentification

Port Authentication Entity (PAE)

Business and Marketing Organization France Communication Group

802.1x Port contrl et port non contrl

Port contrl

IEEE 802.1x Distribution System

Client Wi-Fi

Port non contrl

Business and Marketing Organization France Communication Group

RADIUS Remote Authentication Dial-In User Service


AAA Authentification, Autorisations, Accounting
Clients

Serveur de modem

Serveur VPN

Point daccs sans fil

Serveurs Clients = RADIUS daccs

Proxy RADIUS

Protocole RADIUS

Serveur RADIUS
Business and Marketing Organization France Communication Group

Base de comptes dutilisateurs

10

EAP

Extension de PPP pour des mcanismes arbitraires dauthentification daccs rseau Plug-in dauthentification sur le client et le serveur RADIUS
Client Wi-Fi Messages EAP Dialogue EAP
Business and Marketing Organization France Communication Group

Point daccs

Serveur RADIUS

Messages RADIUS

11

Authentification
Client (Supplicant)
802.11 association EAPOL-start EAP-request/identity EAP-response/identity EAP-request EAP-response (credentials) EAP-success RADIUS-access-request (EAP) RADIUS-access-challenge (EAP) RADIUS-access-request (EAP) RADIUS-access-accept (EAP)

Point daccs (Authenticator)


Access blocked

RADIUS (Authentication Server)

EAPOW-key (WEP)
Access allowed
Business and Marketing Organization France Communication Group

12

Cls de chiffrement

Le client et le serveur RADIUS gnrent des cls de session WEP par utilisateur
Jamais transmises dans lair RADIUS envoie la cl lAP, chiffre avec le secret partag

Le point daccs a une cl WEP globale


Utilise pendant lauthentification de lAP au client Envoye dans un message EAPOW-key Chiffre avec la cl de session

Les cls de session sont re-gnres quand


Dure de vie expire (60 minutes par dfaut) Le client se dplace vers un nouvel AP

Business and Marketing Organization France Communication Group

13

Architecture EAP
MS-CHAPv2 GSS_API
Kerberos

SecurID

TLS

TLS

PEAP

IKE

MD5

Mthode

EAP

EAP

PPP

802.3

802.5

802.11

Anything

Media

Business and Marketing Organization France Communication Group

14

Mthodes EAP

EAP-MD5
Utilise CHAP pour authentifier lutilisateur Dconseill pour le Wi-Fi : hashes transmis en clair, pas dauthentification mutuelle

EAP-TLS
Certificats machine et/ou utilisateur : ncessite une PKI Dtermination des cls 802.11

PEAP (Protected EAP) :


Tunnel TLS pour protger le protocole dauthentification, mme faible (MS CHAP v2) Certificat Serveur uniquement Ncessite Windows XP SP1 et IAS de Windows Server 2003 Dtermination des cls 802.11
Business and Marketing Organization France Communication Group

15

PEAP Microsoft, Cisco, RSA

1. Cre un tunnel TLS avec le certificat du serveur RADIUS uniquement 2. Authentifie le client dans ce tunnel Le protocole dauthentification est protg
EAP TLS RADIUS-EAP EAP Authentification
Certificat Serveur

Business and Marketing Organization France Communication Group

16

PEAP

PEAP-EAP-MS-CHAP v2
MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine) Pas de certificat client Solution si pas de PKI

PEAP-EAP-TLS
Ncessite un certificat client, donc une PKI Protge lidentit du client Plus lent que EAP-TLS
Business and Marketing Organization France Communication Group

17

802.1x : est-ce suffisant ?

Non Il rsout :
La dcouverte des cls changement frquent et cls distinctes par client Les points daccs pirates et attaques man in the middle authentification mutuelle Accs non autoriss authentification des utilisateurs et des machines

Il ne rsout pas :
Spoofing de paquets et des dsassociations 801.1x nutilise pas de MIC cl
Business and Marketing Organization France Communication Group

18

WPA
Standard temporaire avant ratification de 802.11i Requis pour la certification Wi-Fi depuis le 31/8/2003

Wi-Fi Protected Access

http://www.wi-fi.org/OpenSection/protected_access.asp

Overview of the WPA Wireless Security Update in Windows XP http://support.microsoft.com/?id=815485

Business and Marketing Organization France Communication Group

19

Objectifs de WPA

Rseau sans fil scuris : 802.1x requis, chiffrement, gestion des cls Unicast et globale Corriger les faiblesses de WEP par une mise jour logicielle Solution scurise pour les rseaux domestiques Evolutif vers 802.11i Disponible aujourdhui
Business and Marketing Organization France Communication Group

20

WPA

Ncessite une mise jour :


Firmware du point daccs Firmware de la carte Driver de la carte Logiciel client ( supplicant )

Business and Marketing Organization France Communication Group

21

Caractristiques de WPA

Authentification 802.1x requise : EAP et RADIUS, ou cl partage (PSK) Gestion des cls Unicast et Broadcast Temporal Key Integrity Protocol (TKIP) Michael : MIC (64 bits) remplace le CRC32 de WEP AES (optionnel) la place de RC4 Support de clients WPA et WEP en mme temps

Business and Marketing Organization France Communication Group

22

Modes WPA
Mode Entreprise (RADIUS)
Ncessite un serveur dauthentification RADIUS pour authentification et distribution des cls Gestion centralise des utilisateurs

Mode cl partage pre-shared key mode (PSK)


Ne ncessite pas de serveur dauthentification Secret partag pour lauthentification sur le point daccs 256 bits Gnration de la cl depuis une passphrase : algorithme impos
Business and Marketing Organization France Communication Group

23

WPA 802.1x

Distribution System

RADIUS server

Security Discovery
(WPA Information Element)

Authentification 802.1X

802.1X key management TKIP


Business and Marketing Organization France Communication Group

RADIUS-based key distribution

Scnario entreprise
24

WPA PSK

Security Discovery
(WPA Information Element)

802.1X key management TKIP


Business and Marketing Organization France Communication Group

Scnario domestique
25

802.11i
WPA = sous-ensemble de 802.11i 802.1x en modes entreprise et PSK Mode point daccs (infrastructure BSS)

Hirarchie de cls Gestion des cls Ngociation de la crypto et de lauthentification TKIP


Business and Marketing Organization France Communication Group

26

802.11i
802.11i : 802.1x en modes entreprise et PSK Mode point daccs (infrastructure BSS) Mode point point (ad-hoc IBSS) Pr-authentification Hirarchie de cls Gestion des cls Ngociation de la crypto et de lauthentification TKIP AES
Business and Marketing Organization France Communication Group

27

Rseaux sans fil scuriss avec Windows XP et Windows Server 2003

Faiblesse des protocoles 802.11 dorigine Solutions scurises 802.1x EAP-TLS, PEAP WPA Mise en uvre dans Windows Scnarios de dploiement Recommandations
Business and Marketing Organization France Communication Group

28

Natif :
802.1x EAP-TLS Wireless Zero Configuration Service

SP1 : PEAP
802.1x PEAP-EAP-MS-CHAPv2 802.1x PEAP-EAP-TLS

KB.815485 [http://support.microsoft.com/?id=815485] KB.826942 [http://support.microsoft.com/?id=826942]


WPA (authentification, TKIP, AES)
Business and Marketing Organization France Communication Group

29

Authentification

Business and Marketing Organization France Communication Group

Open Shared WPA WPA-PSK Dsactiv WEP TKIP AES


30

Chiffrement

802.1x EAP-TLS : carte puce ou autre certificat PEAP


MS-CHAP v2 EAP-TLS

Business and Marketing Organization France Communication Group

31

Internet Authentication Server (IAS)


Serveur RADIUS de Microsoft Remote Access Policies EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)

Certificate Services
PKI avec autoenrollement des machines et des utilisateurs

Active Directory
Gestion centralise des machines et utilisateurs Configuration centralise des clients Wi-Fi (Group Policies)
Business and Marketing Organization France Communication Group

32

Business and Marketing Organization France Communication Group

33

Rseaux sans fil scuriss avec Windows XP et Windows Server 2003

Faiblesse des protocoles 802.11 dorigine Solutions scurises 802.1x EAP-TLS, PEAP WPA

Mise en uvre dans Windows


Scnarios de dploiement Recommandations
Business and Marketing Organization France Communication Group

34

Rseau Wi-Fi de Microsoft

Un des plus importants dploiements dentreprise 42 000 utilisateurs dans 42 pays 150+ btiments dans le monde 4360+ points daccs 420 000 m2 couverts 10 000+ utilisateurs simultans sur le campus Scuris par 802.1x avec EAP-TLS et PEAP
Business and Marketing Organization France Communication Group

35

Domain User Certificate

802.1X EAP-TLS/PEAP Connection Certificate Authority Domain Controller (Active Directory) RADIUS (IAS)

802.1X Uncontrolled Port

802.11/.1X Access Point 802.1X Controlled Port

Exchange DHCP File

Domain Controller

Peers
Business and Marketing Organization France Communication Group

36

Microsoft Solution for Securing Wireless LANs


http://www.microsoft.com/technet/security/prodt ech/win2003/pkiwire/SWLAN.asp http://go.microsoft.com/fwlink/?LinkId=14844

Business and Marketing Organization France Communication Group

37

Microsoft Solution for Securing Wireless LANs

Planning Guide guide de planification Build Guide procdures dtailles de configuration et scurisation Operations Guide guide de maintenance, supervision, support, gestion des changements Test Guide dmarche de test utilise chez Microsoft pour valider la solution Lire les Release Notes pour ladaptation WPA
Business and Marketing Organization France Communication Group

38

Rseaux sans fil scuriss avec Windows XP et Windows Server 2003

Faiblesse des protocoles 802.11 dorigine Solutions scurises 802.1x EAP-TLS, PEAP WPA Scnarios de dploiement Recommandations
Business and Marketing Organization France Communication Group

39

Synthse

Aujourdhui
Entreprises : 802.1x
EAP-TLS si vous avez une PKI PEAP-EAP-MS-CHAP v2 sinon WPA si possible (nouveaux matriels)

Particuliers et petites entreprises :


WPA si possible (nouveaux matriels)

Demain
802.11i
Business and Marketing Organization France Communication Group

40

Rfrences

The Unofficial 802.11 Security Web Page Bernard Aboba, Network Architect, Windows http://www.drizzle.com/~aboba/IEEE/ Wi-Fi http://www.microsoft.com/wifi http://www.wi-fi.org Microsoft Solution for Securing Wireless LANs
http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.asp

http://go.microsoft.com/fwlink/?LinkId=14844
Business and Marketing Organization France Communication Group

41

Business and Marketing Organization France Communication Group

42