réseaux sans fil sécurisés avec windows xp et windows server 2003 pascal sauliere consultant...
Post on 03-Apr-2015
115 Views
Preview:
TRANSCRIPT
Réseaux sans fil sécurisés Réseaux sans fil sécurisés avec Windows XP et avec Windows XP et Windows Server 2003Windows Server 2003
Pascal SaulierePascal SauliereConsultant Principal SécuritéConsultant Principal SécuritéMicrosoft FranceMicrosoft Francehttp://http://www.microsoft.comwww.microsoft.com//francefrance//securitesecurite
Rencontres Wi-Fi – avril 2004
IntroductionIntroduction
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
IntroductionIntroduction
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
Faiblesses de 802.11 et Faiblesses de 802.11 et WEPWEP
WEP = Authentification et chiffrementWEP = Authentification et chiffrement
Implémentation faible de l’algorithme Implémentation faible de l’algorithme RC4RC4
Outils bien connus et répandusOutils bien connus et répandus
Wi-fi sécurisé ?Wi-fi sécurisé ?
Ne pas déployer de réseau sans filNe pas déployer de réseau sans filRisque = points d’accès piratesRisque = points d’accès pirates
Sécurité 802.11 d’origine (WEP)Sécurité 802.11 d’origine (WEP)Risque associé à la faiblesse de WEPRisque associé à la faiblesse de WEP
Utiliser un VPNUtiliser un VPNNon transparent pour le client, introduit un Non transparent pour le client, introduit un goulot d’étranglementgoulot d’étranglement
Utiliser IPsecUtiliser IPsecPas d’authentification utilisateur, complexePas d’authentification utilisateur, complexe
Utiliser 802.1x, EAP-TLS ou PEAPUtiliser 802.1x, EAP-TLS ou PEAPÉtat de l’art actuelÉtat de l’art actuel
Utiliser WPAUtiliser WPAÉtat de l’art transitoire –vers 802.11iÉtat de l’art transitoire –vers 802.11i
802.11 d’origine802.11 d’origineAuthentification 802.11 nativeAuthentification 802.11 nativeChiffrement WEP statiqueChiffrement WEP statique
802.1x avec WEP802.1x avec WEPAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1xGestion des clés 802.1xProtection des données Protection des données dynamiquedynamique
WPAWPAAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données TKIPProtection des données TKIP
802.11i (WPA2)802.11i (WPA2)Authentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données AESProtection des données AESPré-authentificationPré-authentification
19991999
20012001
20042004
20032003
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
IEEE 802.1x (2001)IEEE 802.1x (2001)Port-based Network Access ControlPort-based Network Access ControlCaractéristiquesCaractéristiques
Protocole indépendant du support physique Protocole indépendant du support physique (Ethernet, WiFi)(Ethernet, WiFi)Point d’accès (AP) compatible 802.1xPoint d’accès (AP) compatible 802.1xPas de contrainte sur les cartes réseau sans Pas de contrainte sur les cartes réseau sans filfilAuthentification avec EAPAuthentification avec EAP
Extensible Authentication Protocol – IETFExtensible Authentication Protocol – IETFChoix du protocole d’authentification (méthode Choix du protocole d’authentification (méthode EAP)EAP)L’AP ne s’occupe pas des méthodes EAPL’AP ne s’occupe pas des méthodes EAP
Autorisations avec RADIUSAutorisations avec RADIUSChiffrement du trafic :Chiffrement du trafic :
Gestion dynamique des clés 802.11 WEPGestion dynamique des clés 802.11 WEP
802.1x – Vocabulaire802.1x – Vocabulaire
SupplicantAuthentificateur
Serveurd’authentification
Port AuthenticationEntity (PAE)
802.1x802.1xPort contrôlé et port non Port contrôlé et port non contrôlécontrôlé
IEEE 802.1x
DistributionSystem
Port non contrôlé
Port contrôlé
Client Wi-Fi
RADIUS –Remote Authentication Dial-In User ServiceRADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, AccountingAAA – Authentification, Autorisations, Accounting
Serveur de modem
Serveur VPN
Point d’accèssans fil
Serveur RADIUS
Proxy RADIUS
Base de comptes d’utilisateurs
Clients
Serveurs d’accès
Protocole RADIUS
Clients RADIUS=
EAPEAP
Extension de PPP pour des Extension de PPP pour des mécanismes arbitraires mécanismes arbitraires d’authentification d’accès réseaud’authentification d’accès réseau
Plug-in d’authentification sur le client Plug-in d’authentification sur le client et le serveur RADIUSet le serveur RADIUS
Client Wi-FiPoint d’accès
Serveur RADIUS
Messages EAP
Dialogue EAP
Messages RADIUS
802.11 association802.11 association
EAPOL-startEAPOL-start
EAP-request/identityEAP-request/identity
EAP-response/identityEAP-response/identity RADIUS-access-request (EAP)RADIUS-access-request (EAP)
EAP-requestEAP-request RADIUS-access-challenge RADIUS-access-challenge (EAP)(EAP)
EAP-response (credentials)EAP-response (credentials) RADIUS-access-request (EAP)RADIUS-access-request (EAP)
EAP-successEAP-success RADIUS-access-accept (EAP)RADIUS-access-accept (EAP)
EAPOW-key (WEP)EAPOW-key (WEP)
Access blockedAccess blocked
Access allowedAccess allowed
AuthentificationAuthentificationClient
supplicantPoint d’accèsauthenticator
RADIUSauthentication
server
Clés de chiffrementClés de chiffrement
Le client et le serveur RADIUS génèrent des Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateurclés de session WEP par utilisateur
Jamais transmises dans l’airJamais transmises dans l’airRADIUS envoie la clé à l’AP, chiffrée avec le secret RADIUS envoie la clé à l’AP, chiffrée avec le secret partagépartagé
Le point d’accès a une clé WEP globaleLe point d’accès a une clé WEP globaleUtilisée pendant l’authentification de l’AP au clientUtilisée pendant l’authentification de l’AP au clientEnvoyée dans un message EAPOW-keyEnvoyée dans un message EAPOW-keyChiffrée avec la clé de sessionChiffrée avec la clé de session
Les clés de session sont re-générées Les clés de session sont re-générées quand…quand…
Durée de vie expirée (60 minutes par défaut)Durée de vie expirée (60 minutes par défaut)Le client se déplace vers un nouvel APLe client se déplace vers un nouvel AP
Architecture EAPArchitecture EAP
Méthode
EAP
Media
EAP
MS
CH
AP
v2
TLS
Secu
rID
PPP 802.3 802.5 802.11 …
TLS GSS_API
Kerberos
PEAP IKE MD5
Méthodes EAPMéthodes EAP
EAP-MD5EAP-MD5Utilise CHAP pour authentifier l’utilisateurUtilise CHAP pour authentifier l’utilisateurDéconseillé pour le Wi-Fi : hashes transmis en clair, pas Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelled’authentification mutuelle
EAP-TLSEAP-TLSCertificats machine et/ou utilisateur : nécessite une PKICertificats machine et/ou utilisateur : nécessite une PKIDétermination des clés 802.11Détermination des clés 802.11
PEAP (Protected EAP) :PEAP (Protected EAP) :Tunnel TLS pour protéger le protocole d’authentification, Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2)même faible (MS CHAP v2)Certificat Serveur uniquementCertificat Serveur uniquementNécessite Windows XP SP1 et IAS de Windows Server Nécessite Windows XP SP1 et IAS de Windows Server 20032003Détermination des clés 802.11Détermination des clés 802.11
PEAPPEAPMicrosoft, Cisco, RSAMicrosoft, Cisco, RSA1.1. Crée un tunnel TLS avec le certificat Crée un tunnel TLS avec le certificat
du serveur RADIUS uniquementdu serveur RADIUS uniquement
2.2. Authentifie le client dans ce tunnelAuthentifie le client dans ce tunnel Le protocole d’authentification est Le protocole d’authentification est
protégéprotégé
TLSTLSEAPEAP
AuthentificationAuthentification
CertificatServeur
EAP RADIUS-EAP
PEAPPEAP
PEAP-EAP-MS-CHAP v2PEAP-EAP-MS-CHAP v2MS-CHAP v2 utilise un mot de passe MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)(utilisateur et/ou machine)
Pas de certificat clientPas de certificat client
Solution si pas de PKISolution si pas de PKI
PEAP-EAP-TLSPEAP-EAP-TLSNécessite un certificat client, donc une Nécessite un certificat client, donc une PKIPKI
Protège l’identité du clientProtège l’identité du client
Plus lent que EAP-TLSPlus lent que EAP-TLS
802.1x : est-ce suffisant ?802.1x : est-ce suffisant ?
NonNon
Il résout :Il résout :La découverte des clésLa découverte des clés – changement fréquent – changement fréquent et clés distinctes par clientet clés distinctes par client
Les points d’accès pirates et attaques « man in Les points d’accès pirates et attaques « man in the middle »the middle » – authentification mutuelle – authentification mutuelle
Accès non autorisésAccès non autorisés – authentification des – authentification des utilisateurs et des machinesutilisateurs et des machines
Il ne résout pas :Il ne résout pas :SpoofingSpoofing de paquets et des désassociations – de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé801.1x n’utilise pas de MIC à clé
WPAWPAWireless Protected AccessWireless Protected Access
Standard temporaire avant Standard temporaire avant ratification de 802.11iratification de 802.11i
Requis pour la certification Wi-Fi Requis pour la certification Wi-Fi depuis le 31/8/2003depuis le 31/8/2003Wi-Fi Protected AccessWi-Fi Protected Accesshttp://http://www.wi-fi.orgwww.wi-fi.org//OpenSectionOpenSection//protected_access.aspprotected_access.asp
Overview of the WPA Wireless Overview of the WPA Wireless Security Update in Windows XPSecurity Update in Windows XPhttp://support.microsoft.com/?id=815http://support.microsoft.com/?id=815485485
Objectifs de WPAObjectifs de WPA
Réseau sans fil sécurisé : 802.1x Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés requis, chiffrement, gestion des clés Unicast et globaleUnicast et globale
Corriger les faiblesses de WEP par Corriger les faiblesses de WEP par une mise à jour logicielleune mise à jour logicielle
Solution sécurisée pour les réseaux Solution sécurisée pour les réseaux domestiquesdomestiques
Evolutif vers 802.11iEvolutif vers 802.11i
Disponible aujourd’huiDisponible aujourd’hui
Caractéristiques de WPACaractéristiques de WPA
Authentification 802.1x requiseAuthentification 802.1x requise : EAP : EAP et RADIUS, ou clé partagée (et RADIUS, ou clé partagée (PSKPSK))
Gestion des clés Gestion des clés Unicast et BroadcastUnicast et Broadcast
Temporal Key Integrity Protocol Temporal Key Integrity Protocol ((TKIPTKIP))
MichaelMichael : MIC (64 bits) remplace le : MIC (64 bits) remplace le CRC32 de WEPCRC32 de WEP
AESAES (optionnel) à la place de RC4 (optionnel) à la place de RC4
Support de clients WPA et WEP en Support de clients WPA et WEP en même tempsmême temps
Modes WPAModes WPA
Mode Entreprise (Mode Entreprise (RADIUSRADIUS))Nécessite un serveur d’authentificationNécessite un serveur d’authentification
RADIUS pour authentification et distribution des RADIUS pour authentification et distribution des clésclés
Gestion centralisée des utilisateursGestion centralisée des utilisateurs
Mode clé partagée – pre-shared key mode Mode clé partagée – pre-shared key mode ((PSKPSK))
Ne nécessite pas de serveur d’authentificationNe nécessite pas de serveur d’authentification
« Secret partagé » pour l’authentification sur le « Secret partagé » pour l’authentification sur le point d’accès – 256 bitspoint d’accès – 256 bits
Génération de la clé depuis une passphrase : Génération de la clé depuis une passphrase : algorithme imposéalgorithme imposé
WPA 802.1xWPA 802.1x
RADIUSserverDistribution System
TKIP
Authentification 802.1X
802.1X key management
RADIUS-based key distribution
Security Discovery (WPA Information
Element)
Scénario entreprise
WPA PSKWPA PSK
TKIP
802.1X key management
Scénario domestique
Security Discovery (WPA Information Element)
WPAWPA
Nécessite une mise à jour :Nécessite une mise à jour :FirmwareFirmware du point d’accès du point d’accès
FirmwareFirmware de la carte de la carte
DriverDriver de la carte de la carte
Logiciel client (« supplicant »)Logiciel client (« supplicant »)
802.11i802.11i
WPA = sous-ensemble de 802.11iWPA = sous-ensemble de 802.11i
802.1x en modes entreprise et PSK802.1x en modes entreprise et PSK
Mode point d’accès (infrastructure – BSS)Mode point d’accès (infrastructure – BSS)
Hiérarchie de clésHiérarchie de clés
Gestion des clésGestion des clés
Négociation de la crypto et de Négociation de la crypto et de l’authentificationl’authentification
TKIPTKIP
802.11i802.11i
802.11i :802.11i :
802.1x en modes entreprise et PSK802.1x en modes entreprise et PSK
Mode point d’accès (infrastructure – BSS)Mode point d’accès (infrastructure – BSS)
Mode point à point (ad-hoc – IBSS)Mode point à point (ad-hoc – IBSS)
Pré-authentificationPré-authentification
Hiérarchie de clésHiérarchie de clés
Gestion des clésGestion des clés
Négociation de la crypto et de l’authentificationNégociation de la crypto et de l’authentification
TKIPTKIP
AESAES
SynthèseSynthèse
EAP methods
Radio Technology
Network Authentication (802.11)
Authentication and Key Management
EncryptionWEP
802.11a 802.11b 802.11g
TKIP/MIC AES
WPAOpen
WPA2Shared
802.1XEAP-TLS PEAP
ComparaisonComparaisonWEPWEP WPAWPA WPA2/802.11WPA2/802.11
ii
CipherCipher RC4RC4 RC4RC4 AESAES
Key SizeKey Size 40 bits40 bits128 bits encryption128 bits encryption
64 bits 64 bits AuthenticationAuthentication
128 bits128 bits
Key LifeKey Life 24-bit IV24-bit IV 48-bit IV48-bit IV 48-bit IV48-bit IV
Packet KeyPacket Key ConcatenateConcatenatedd Mixing FunctionMixing Function Not NeededNot Needed
Data IntegrityData Integrity CRC-32CRC-32 MichaelMichael CCMCCM
Header Header IntegrityIntegrity NoneNone MichaelMichael CCMCCM
Replay AttackReplay Attack NoneNone IV SequenceIV Sequence IV SequenceIV Sequence
Key Key ManagementManagement NoneNone EAP-basedEAP-based EAP-basedEAP-based
http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_ProtectedAccessWebcast_2003.pdf
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
Natif :Natif :802.1x EAP-TLS802.1x EAP-TLS
Wireless Zero Configuration ServiceWireless Zero Configuration Service
SP1 : PEAPSP1 : PEAP802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-MS-CHAPv2
802.1x PEAP-EAP-TLS802.1x PEAP-EAP-TLS
SP2 : WPA (authentification, TKIP, SP2 : WPA (authentification, TKIP, AES)AES)
Ou SP1+KB.826942 Ou SP1+KB.826942 http://support.microsoft.com/?id=826942http://support.microsoft.com/?id=826942
AuthentificationAuthentificationOpenOpen
SharedShared
WPAWPA
WPA-PSKWPA-PSK
ChiffrementChiffrementDésactivéDésactivé
WEPWEP
TKIPTKIP
AESAES
802.1x802.1x
EAP-TLS : « carte à EAP-TLS : « carte à puce ou autre puce ou autre certificat »certificat »
PEAPPEAPMS-CHAP v2MS-CHAP v2
EAP-TLSEAP-TLS
Authentification PEAP avec Authentification PEAP avec WindowsWindows
Phase 1 – logon Phase 1 – logon machinemachineAssociation 802.11Association 802.11Authentification de l’AP (secret RADIUS)Authentification de l’AP (secret RADIUS)Authentification du serveur RADIUS (certificat)Authentification du serveur RADIUS (certificat)Authentification de la machine (compte Authentification de la machine (compte machine, mot de passe)machine, mot de passe)Connexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autoriséesde la machine aux ressources autorisées
Phase 2 – logon Phase 2 – logon utilisateurutilisateurAuthentification de l’utilisateurAuthentification de l’utilisateurConnexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autoriséesde l’utilisateur aux ressources autorisées
Pourquoi authentifier la Pourquoi authentifier la machine ?machine ?
Logon de la machine dans le domaine Logon de la machine dans le domaine nécessaire:nécessaire:
Group PoliciesGroup Policies
Scripts de logon machineScripts de logon machine
Management : inventaire, déploiement Management : inventaire, déploiement d’application par GPO/SMS/autresd’application par GPO/SMS/autres
Expiration du mot de passe de Expiration du mot de passe de l’utilisateur :l’utilisateur :
Connexion et logon machine nécessaires pour Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de la notification de l’utilisateur le changement de mot de passemot de passe
Internet Authentication Server (Internet Authentication Server (IASIAS))Serveur RADIUS de MicrosoftServeur RADIUS de MicrosoftRemote Access PoliciesRemote Access PoliciesEAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)
Certificate ServicesCertificate ServicesPKI avec auto-enrôlement des machines et des PKI avec auto-enrôlement des machines et des utilisateursutilisateurs
Active DirectoryActive DirectoryGestion centralisée des machines et utilisateursGestion centralisée des machines et utilisateursConfiguration centralisée des clients Wi-Fi Configuration centralisée des clients Wi-Fi ((Group PoliciesGroup Policies) [) [WPA : SP1WPA : SP1]]
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de Microsoft
Un des plus importants déploiements Un des plus importants déploiements d’entreprised’entreprise
42 000 utilisateurs dans 42 pays42 000 utilisateurs dans 42 pays
150+ bâtiments dans le monde150+ bâtiments dans le monde
4360+ points d’accès4360+ points d’accès
420 000 m2 couverts420 000 m2 couverts
10 000+ utilisateurs simultanés sur le 10 000+ utilisateurs simultanés sur le campuscampus
Sécurisé par 802.1x avec EAP-TLS et Sécurisé par 802.1x avec EAP-TLS et PEAPPEAP
802.11/.1X802.11/.1XAccess PointAccess Point
Domain UserDomain UserCertificateCertificate
802.1X Controlled Port
RADIUSRADIUS(IAS)(IAS)
Domain Controller Domain Controller (Active Directory)(Active Directory)
802.1X EAP-TLS/PEAP Connection
DHCPDHCP
DomainDomainControllerController
PeersPeers
802.1X Uncontrolled Port
ExchangeExchange
FileFile
CertificateCertificateAuthorityAuthority
Réseau Wi-Fi de Microsoft Réseau Wi-Fi de Microsoft Leçons apprisesLeçons apprises
Intégrer le support de technologies Intégrer le support de technologies diverses: clients, points d’accès, PKI, diverses: clients, points d’accès, PKI, RADIUS, Active DirectoryRADIUS, Active Directory
Répondre aux besoins des employés Répondre aux besoins des employés qui souhaitent s’équiper à domicilequi souhaitent s’équiper à domicile
Prendre en compte les soucis des Prendre en compte les soucis des employés en terme de santé : employés en terme de santé : conduire des analyses et conduire des analyses et communiquer les résultatscommuniquer les résultats
Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de MicrosoftConseilsConseils
Changement des clés compatible avec la Changement des clés compatible avec la charge des serveurs : nouvelles sessions, charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminésdéplacements et intervalles prédéterminésImpliquer le support tôt dans la phase de Impliquer le support tôt dans la phase de planificationplanificationMécanisme de détection et suppression Mécanisme de détection et suppression des points d’accès piratesdes points d’accès piratesVérifier les lois locales concernant les Vérifier les lois locales concernant les équipements radioéquipements radioPlacer les points d’accès et antennes dans Placer les points d’accès et antennes dans des boîtiers protégés ; utiliser une des boîtiers protégés ; utiliser une alimentation basse tension centralisée alimentation basse tension centralisée secouruesecourue
Docteur SourisDocteur Souris
« Offir à des enfants hospitalités un « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès ordinateur personnalisé, et un accès encadré à une messagerie encadré à une messagerie électronique et à Internet »électronique et à Internet »
Utilisé par plus de 250 enfants et Utilisé par plus de 250 enfants et adolescents en quelques semaines adolescents en quelques semaines avant son inauguration le 14 octobre avant son inauguration le 14 octobre 2003 (Hôpital Trousseau)2003 (Hôpital Trousseau)
60 clients simultanés en pointe60 clients simultanés en pointe
http://www.docteursouris.asso.fr/
Docteur SourisDocteur Souris
Windows 2000, 2003, XP,Windows 2000, 2003, XP,Exchange 2000, ISA Server 2000Exchange 2000, ISA Server 2000
Active DirectoryActive Directory
PKIPKIAuto-enrôlement des machinesAuto-enrôlement des machines
RADIUSRADIUS
802.1x, EAP-TLS802.1x, EAP-TLS
Administration simplifiée à l’usage Administration simplifiée à l’usage des éducatricesdes éducatrices
Docteur SourisDocteur Souris
Windows 2000Exchange 2000
Tout les sites sur Internet
Windows XPOffice XP
Portables EnfantsWindows XP
Office XP
Serveur de serviceWindows XP
Windows 2003Active Directory
MESSAGERIEPORTAIL PARE FEUANNUAIRE
HOPITAL
Réseau Sans Fil
INTERNET
Réseau Interne
Windows 2003ISA 2000
Sites Autorisés
Windows 2003SQL 2000SPS 2003
Enfants
Educatrice
Parents
Administrateur
Active DirectoryCertificate Services
IAS
Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs
http://www.microsoft.com/technet/securithttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxy/prodtech/win2003/pkiwire/SWLAN.mspx
http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=14844=14844
Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs
Planning GuidePlanning Guide – guide de planification – guide de planification
Build GuideBuild Guide – procédures détaillées de – procédures détaillées de configuration et sécurisationconfiguration et sécurisation
Operations GuideOperations Guide – guide de – guide de maintenance, supervision, support, maintenance, supervision, support, gestion des changementsgestion des changements
Test GuideTest Guide – démarche de test utilisée – démarche de test utilisée chez Microsoft pour valider la solutionchez Microsoft pour valider la solution
Lire les Lire les Release NotesRelease Notes pour pour l’adaptation à WPAl’adaptation à WPA
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SynthèseSynthèse
Aujourd’huiAujourd’huiEntreprises : 802.1xEntreprises : 802.1x
EAP-TLS si vous avez une PKIEAP-TLS si vous avez une PKI
PEAP-EAP-MS-CHAP v2 sinonPEAP-EAP-MS-CHAP v2 sinon
WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)
Particuliers et petites entreprises :Particuliers et petites entreprises :WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)
DemainDemain802.11i802.11i
RéférencesRéférences
The Unofficial 802.11 Security Web PageThe Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Bernard Aboba, Network Architect, WindowsWindowshttp://http://www.drizzle.com/~aboba/IEEEwww.drizzle.com/~aboba/IEEE//
Wi-FiWi-Fihttp://www.microsoft.com/http://www.microsoft.com/wifiwifihttp://www.wi-fi.orghttp://www.wi-fi.org
Microsoft Solution for Securing Wireless Microsoft Solution for Securing Wireless LANsLANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxhttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx
http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=14844=14844
Cette présentation sera disponible sur :http://www.microsoft.com/france/securite/evenements/
top related