RappelsRappels
Questions :Questions :
[email protected]@microsoft.com
Présentations :Présentations :
http://www.microsoft.com/france/securihttp://www.microsoft.com/france/securitete
Sécurisation desSécurisation desréseaux sans filréseaux sans filSécurisation desSécurisation desréseaux sans filréseaux sans fil
Pascal SaulierePascal SauliereConsultant Principal Sécurité, Consultant Principal Sécurité, CISSPCISSPMicrosoft FranceMicrosoft France
La stratégie sécurité de La stratégie sécurité de MicrosoftMicrosoft
Isolation et Isolation et résiliencerésilience
Excellence Excellence dede
l’engineeringl’engineering
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Mise à jourMise à jouravancéeavancée
Authentification,Authentification,Autorisation,Autorisation,
AuditAudit
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
802.11i, WPA, WPA2802.11i, WPA, WPA2
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
SynthèseSynthèse
SommaireSommaire
Faiblesses de 802.11 et WEPFaiblesses de 802.11 et WEP
WEP = Authentification et chiffrementWEP = Authentification et chiffrement
Implémentation faible de l’algorithme Implémentation faible de l’algorithme RC4RC4
Attaques par « désassociation »Attaques par « désassociation »
Découverte de la clé de chiffrementDécouverte de la clé de chiffrement
Écoute des donnéesÉcoute des données
Modification de donnéesModification de données
Attaque de machines internesAttaque de machines internes
Analogie : prise réseau dans la rue…Analogie : prise réseau dans la rue…
Quelques minutes suffisentQuelques minutes suffisent
http://www.tomsnetworking.com/Sections-article111.php
The Feds can own your WLAN too – 31/3/2005
Millions of wireless access points are spread across the US and the world. About 70% percent of these access points are unprotected—wide open to access by anyone who happens to drive by. The other 30% are protected by WEP (Wired Equivalent Privacy) and a small handful are protected by the new WPA (Wi-Fi Protected Access) standard.
At a recent ISSA (Information Systems Security Association) meeting in Los Angeles, a team of FBI agents demonstrated current WEP-cracking techniques and broke a 128 bit WEP key in about three broke a 128 bit WEP key in about three minutesminutes. Special Agent Geoff Bickers ran the Powerpoint presentation and explained the attack, while the other agents (who did not want to be named or photographed) did the dirty work of sniffing wireless traffic and breaking the WEP keys.
Wi-fi sécurisé ?Wi-fi sécurisé ?
Ne pas déployer de réseau sans filNe pas déployer de réseau sans filRisque = points d’accès piratesRisque = points d’accès pirates
Sécurité 802.11 d’origine (WEP)Sécurité 802.11 d’origine (WEP)Risque associé à la faiblesse de WEPRisque associé à la faiblesse de WEP
Utiliser un VPNUtiliser un VPNNon transparent pour le client, introduit un goulot Non transparent pour le client, introduit un goulot d’étranglementd’étranglement
Utiliser IPsecUtiliser IPsecPas d’authentification utilisateur, complexePas d’authentification utilisateur, complexe
Utiliser 802.1x, EAP-TLS ou PEAPUtiliser 802.1x, EAP-TLS ou PEAPÉtat de l’art actuel pour l’authentificationÉtat de l’art actuel pour l’authentification
Utiliser 802.11i (WPA/WPA2)Utiliser 802.11i (WPA/WPA2)État de l’art actuel pour la confidentialité et État de l’art actuel pour la confidentialité et l’intégrité des donnéesl’intégrité des données
802.11 d’origine802.11 d’origineAuthentification 802.11 nativeAuthentification 802.11 nativeChiffrement WEP statiqueChiffrement WEP statique
802.1x avec WEP802.1x avec WEPAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1xGestion des clés 802.1xProtection des données Protection des données dynamiquedynamique
WPAWPAAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données TKIPProtection des données TKIP
802.11i (WPA2)802.11i (WPA2)Authentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données AES-CCMPProtection des données AES-CCMPPré-authentificationPré-authentification
19991999
20012001
20042004
20032003
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
802.11i, WPA, WPA2802.11i, WPA, WPA2
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
SynthèseSynthèse
SommaireSommaire
IEEE 802.1x (2001)IEEE 802.1x (2001)Port-based Network Access Port-based Network Access ControlControl
Protocole indépendant du support physique Protocole indépendant du support physique (Ethernet, WiFi)(Ethernet, WiFi)Point d’accès (AP) compatible 802.1xPoint d’accès (AP) compatible 802.1xPas de contrainte sur les cartes réseau sans filPas de contrainte sur les cartes réseau sans filAuthentification avec Authentification avec EAPEAP (RFC 3748) (RFC 3748)
Extensible Authentication Protocol – IETFExtensible Authentication Protocol – IETFChoix du protocole d’authentification (méthode Choix du protocole d’authentification (méthode EAP)EAP)L’AP ne s’occupe pas des méthodes EAPL’AP ne s’occupe pas des méthodes EAP
Autorisations avec Autorisations avec RADIUSRADIUS (RFC 2865) (RFC 2865)Chiffrement du trafic :Chiffrement du trafic :
Gestion dynamique des clés 802.11 WEPGestion dynamique des clés 802.11 WEP
802.1x – Vocabulaire802.1x – Vocabulaire
SupplicantAuthentificateur
Serveurd’authentification
802.1x802.1xPort contrôlé et port non contrôléPort contrôlé et port non contrôlé
SupplicantAuthentificateur
Serveurd’authentificationPort non contrôlé
Port contrôléÉtat authentifié
Accès autorisé
Autresressources
État non authentifié
Accès bloqué
RADIUS –Remote Authentication Dial-In RADIUS –Remote Authentication Dial-In User ServiceUser ServiceAAA – Authentification, Autorisations, AAA – Authentification, Autorisations, AccountingAccountingRFC 2865RFC 2865
Serveur de modem
Serveur VPN
Point d’accèssans fil
Serveur RADIUS
Proxy RADIUS
Base de comptes d’utilisateurs
Clients
Serveurs d’accès
Protocole RADIUS
Clients RADIUS=
EAPEAPExtensible Authentication ProtocolExtensible Authentication ProtocolRFC 3748RFC 3748
Extension de PPP pour des mécanismes Extension de PPP pour des mécanismes arbitraires d’authentification d’accès arbitraires d’authentification d’accès réseauréseau
Plug-in d’authentification sur le client et Plug-in d’authentification sur le client et le serveur RADIUSle serveur RADIUS
Client Wi-FiPoint d’accès
Serveur RADIUS
Messages EAP
Dialogue EAP
Messages RADIUS
802.11 association802.11 association
EAPOL-startEAPOL-start
EAP-request/identityEAP-request/identity
EAP-response/identityEAP-response/identity RADIUS-access-request (EAP)RADIUS-access-request (EAP)
EAP-requestEAP-request RADIUS-access-challenge RADIUS-access-challenge (EAP)(EAP)
EAP-response (credentials)EAP-response (credentials) RADIUS-access-request (EAP)RADIUS-access-request (EAP)
EAP-successEAP-success RADIUS-access-accept (EAP)RADIUS-access-accept (EAP)
EAPOW-key (WEP)EAPOW-key (WEP)
Access blockedAccess blocked
Access allowedAccess allowed
AuthentificationAuthentificationClient
supplicantPoint d’accèsauthenticator
RADIUSauthentication
server
Clés de chiffrementClés de chiffrement
Le client et le serveur RADIUS génèrent des Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateurclés de session WEP par utilisateur
Jamais transmises dans l’airJamais transmises dans l’airRADIUS envoie la clé à l’AP, chiffrée avec le secret RADIUS envoie la clé à l’AP, chiffrée avec le secret partagépartagé
Le point d’accès a une clé WEP globaleLe point d’accès a une clé WEP globaleUtilisée pendant l’authentification de l’AP au clientUtilisée pendant l’authentification de l’AP au clientEnvoyée dans un message EAPOW-keyEnvoyée dans un message EAPOW-keyChiffrée avec la clé de sessionChiffrée avec la clé de session
Les clés de session sont re-générées quand…Les clés de session sont re-générées quand…Durée de vie expirée (60 minutes par défaut)Durée de vie expirée (60 minutes par défaut)Le client se déplace vers un nouvel APLe client se déplace vers un nouvel AP
Architecture EAPArchitecture EAP
Méthode
EAP
Media
EAP
MS
CH
AP
v2
TLS
Secu
rID
PPP 802.3 802.5 802.11 …
TLS GSS_API
Kerberos
PEAP IKE MD5
Méthodes EAPMéthodes EAPRFC 4017 : Critères de conformité des RFC 4017 : Critères de conformité des méthodes EAP pour les réseaux sans filméthodes EAP pour les réseaux sans fil
EAP-MD5-ChallengeEAP-MD5-ChallengeObligatoire dans toute implémentation de EAP selon RFC 3748Obligatoire dans toute implémentation de EAP selon RFC 3748Utilise CHAP pour authentifier l’utilisateurUtilise CHAP pour authentifier l’utilisateurNon conforme pour le sans fil : Non conforme pour le sans fil : hasheshashes transmis en clair, pas transmis en clair, pas d’authentification mutuelled’authentification mutuelle
EAP-TLS (RFC 2716)EAP-TLS (RFC 2716)Authentification TLSAuthentification TLSCertificats serveur et clients : nécessite une PKICertificats serveur et clients : nécessite une PKIDétermination des clés 802.11Détermination des clés 802.11
PEAP (Protected EAP) :PEAP (Protected EAP) :Protège le protocole d’authentification, même faible (MS CHAP Protège le protocole d’authentification, même faible (MS CHAP v2)v2)Certificat Serveur uniquementCertificat Serveur uniquementDétermination des clés 802.11Détermination des clés 802.11
PEAPPEAPMicrosoft, Cisco, RSAMicrosoft, Cisco, RSA
1.1. Crée un tunnel TLS avec le certificat Crée un tunnel TLS avec le certificat du serveur RADIUS uniquementdu serveur RADIUS uniquement
2.2. Authentifie le client dans ce tunnelAuthentifie le client dans ce tunnel Le protocole d’authentification est Le protocole d’authentification est
protégéprotégé
TLSTLSCertificatServeur
EAP RADIUS-EAP
EAPEAPAuthentificationAuthentification
PEAPPEAP
PEAP-EAP-MS-CHAP v2PEAP-EAP-MS-CHAP v2MS-CHAP v2 utilise un mot de passe MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)(utilisateur et/ou machine)
Pas de certificat clientPas de certificat client
Solution si pas de PKISolution si pas de PKI
PEAP-EAP-TLSPEAP-EAP-TLSNécessite un certificat client, donc une PKINécessite un certificat client, donc une PKI
Protège l’identité du clientProtège l’identité du client
Plus lent que EAP-TLSPlus lent que EAP-TLS
802.1x : est-ce suffisant ?802.1x : est-ce suffisant ?
NonNon
Il résout :Il résout :La découverte des clésLa découverte des clés – changement fréquent et – changement fréquent et clés distinctes par clientclés distinctes par client
Les points d’accès pirates et attaques « man in Les points d’accès pirates et attaques « man in the middle »the middle » – authentification mutuelle – authentification mutuelle
Accès non autorisésAccès non autorisés – authentification des – authentification des utilisateurs et des machinesutilisateurs et des machines
Il ne résout pas les problèmes liés à WEP en Il ne résout pas les problèmes liés à WEP en terme de confidentialité, intégritéterme de confidentialité, intégrité
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
802.11i, WPA, WPA2802.11i, WPA, WPA2
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
SynthèseSynthèse
SommaireSommaire
802.11i802.11i
Ratifié par l’IEEE en juillet 2004Ratifié par l’IEEE en juillet 2004disponible : http://standards.ieee.org/getieee802/802.11.htmldisponible : http://standards.ieee.org/getieee802/802.11.html
WPA (Wi-fi Protected Access)WPA (Wi-fi Protected Access) : depuis : depuis 2003, norme intermédiaire de fait (Wi-2003, norme intermédiaire de fait (Wi-Fi Alliance), sous-ensemble de 802.11iFi Alliance), sous-ensemble de 802.11i
Obligatoire pour le logo Wi-fi depuis août Obligatoire pour le logo Wi-fi depuis août 20032003
WPA2WPA2 : certification des équipements : certification des équipements compatibles 802.11i (Wi-Fi Alliance)compatibles 802.11i (Wi-Fi Alliance)
Premiers produits certifiés en septembre Premiers produits certifiés en septembre 20042004 www.wi-fi.org
802.11i802.11i
Data protection : TKIP and CCMP
Authentication
802.11i key management Session Key distribution
Security Capabilities Discovery
(IE = Information Element)
AccessPoint
Station AuthenticationServer
Security Negociation
802.11i802.11iConceptsConcepts
AES-CCMPAES-CCMP – nouveau protocole fondé sur AES-128 en mode CCM – nouveau protocole fondé sur AES-128 en mode CCMTKIPTKIP – conçu comme un – conçu comme un patchpatch logiciel de WEP pour les logiciel de WEP pour les environnements existantsenvironnements existantsRSNA State Machines – automate 802.11iRSNA State Machines – automate 802.11iPRF – Pseudo-Random Function, pour la construction des clés de PRF – Pseudo-Random Function, pour la construction des clés de sessionsessionPMK – Pairwise Master Key – jeton d’autorisation de la sessionPMK – Pairwise Master Key – jeton d’autorisation de la sessionKCK – Key Confirmation Key – clé d’authentification de la KCK – Key Confirmation Key – clé d’authentification de la sessionsessionKEK – Key Encryption Key – clé de chiffrement des clésKEK – Key Encryption Key – clé de chiffrement des clésTK – Temporal Key – clé de chiffrement de la sessionTK – Temporal Key – clé de chiffrement de la session4-Way Handshake – Protocole 802.11i de gestion des clés4-Way Handshake – Protocole 802.11i de gestion des clésRSN IE – Structure de donnée pour l’annonce et la négociation RSN IE – Structure de donnée pour l’annonce et la négociation des capacités de sécuritédes capacités de sécurité
Composants externes à 802.11i :Composants externes à 802.11i :802.1x – protocole, ports contrôlé et non contrôlé, 802.1x – protocole, ports contrôlé et non contrôlé, authentificateur/supplicantauthentificateur/supplicantServeur d’authentification (AS) – RADIUSServeur d’authentification (AS) – RADIUS
TKIP – Temporal Key Integrity TKIP – Temporal Key Integrity ProtocolProtocol
Solution temporaire, court terme (patch Solution temporaire, court terme (patch WEP WEP TKIP, interopérabilité) TKIP, interopérabilité)
Corrige les problèmes connus de WEP :Corrige les problèmes connus de WEP :Empêche de « forger » des tramesEmpêche de « forger » des trames
Empêche de « rejouer » (replay)Empêche de « rejouer » (replay)
Corrige la mauvaise implémentation du Corrige la mauvaise implémentation du chiffrement dans WEPchiffrement dans WEP
Ne réutilise jamais les clésNe réutilise jamais les clés
TKIP – Temporal Key Integrity TKIP – Temporal Key Integrity ProtocolProtocol
Clés :Clés :1 clé 128 bits pour le chiffrement RC41 clé 128 bits pour le chiffrement RC42 clés 64 bits pour l’intégrité (AP et STA 2 clés 64 bits pour l’intégrité (AP et STA utilisent une clé différente)utilisent une clé différente)
MichaelMichaelCode d’intégrité de message (MIC), utilise Code d’intégrité de message (MIC), utilise deux clés 64 bitsdeux clés 64 bitsContre-mesuresContre-mesures
IV 48 bits (24 dans WEP) – mécanisme IV 48 bits (24 dans WEP) – mécanisme anti-anti-replayreplay
AES-CCMPAES-CCMP128 bit 128 bit AESAES in in CCounter Mode with ounter Mode with CCBC-BC-MMAC AC PProtocolrotocol
Conception nouvelle, nécessite du Conception nouvelle, nécessite du nouveau matérielnouveau matériel
Solution long termeSolution long termeÉtat de l’art cryptographiqueÉtat de l’art cryptographique
AES peut être remplacé par tout algorithme AES peut être remplacé par tout algorithme de chiffrement par bloc de 128 bitsde chiffrement par bloc de 128 bits
CCM : confidentialité et intégritéCCM : confidentialité et intégrité
Résout les problèmes de WEPRésout les problèmes de WEP
Modes WPA/WPA2Modes WPA/WPA2
Mode Entreprise (802.1x, RADIUS)Mode Entreprise (802.1x, RADIUS)Nécessite un serveur d’authentificationNécessite un serveur d’authentification
RADIUS pour authentification et distribution des RADIUS pour authentification et distribution des clésclés
Gestion centralisée des utilisateursGestion centralisée des utilisateurs
Mode Personnel : clé partagée – pre-shared Mode Personnel : clé partagée – pre-shared key (key (PSKPSK))
Ne nécessite pas de serveur d’authentificationNe nécessite pas de serveur d’authentification
« Secret partagé » pour l’authentification sur le « Secret partagé » pour l’authentification sur le point d’accès – 256 bitspoint d’accès – 256 bits
Génération de la clé depuis une passphrase : Génération de la clé depuis une passphrase : algorithme imposéalgorithme imposé
ComparaisonComparaison
WEPWEP TKIPTKIP CCMPCCMP
CipherCipher RC4RC4 RC4RC4 AESAES
Key SizeKey Size 40/104 bits40/104 bits128 bits encryption128 bits encryption
64 bits 64 bits AuthenticationAuthentication
128 bits128 bits
Key LifeKey Life 24-bit IV24-bit IV 48-bit IV48-bit IV 48-bit IV48-bit IV
Packet KeyPacket Key ConcatenateConcatenatedd Mixing FunctionMixing Function Not NeededNot Needed
Data IntegrityData Integrity CRC-32CRC-32 MichaelMichael CCMCCM
Header Header IntegrityIntegrity NoneNone MichaelMichael CCMCCM
Replay AttackReplay Attack NoneNone IV SequenceIV Sequence IV SequenceIV Sequence
Key Key ManagementManagement NoneNone 802.11i 4-Way 802.11i 4-Way
HandshakeHandshake
802.11i 4-802.11i 4-Way Way
HandshakeHandshake
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
802.11i, WPA, WPA2802.11i, WPA, WPA2
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
SynthèseSynthèse
Windows XP Gold :Windows XP Gold :802.1x EAP-TLS802.1x EAP-TLSWireless Zero Configuration ServiceWireless Zero Configuration Service
SP1 : PEAPSP1 : PEAP802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-TLS802.1x PEAP-EAP-TLS
SP2 : WPA (authentification, TKIP, AES SP2 : WPA (authentification, TKIP, AES optionnel)optionnel)
Ou SP1+KB.826942 Ou SP1+KB.826942 http://support.microsoft.com/kb/826942http://support.microsoft.com/kb/826942info : http://support.microsoft.com/kb/815485info : http://support.microsoft.com/kb/815485
SP2+KB.893357 : WPA2 (29 avril 2005)SP2+KB.893357 : WPA2 (29 avril 2005)http://support.microsoft.com/kb/893357http://support.microsoft.com/kb/893357
AuthentificationAuthentificationOpenOpenSharedSharedWPAWPAWPA-PSKWPA-PSKWPA2WPA2WPA2-PSKWPA2-PSK
ChiffrementChiffrementDésactivéDésactivéWEPWEPTKIPTKIPAESAES
802.1x802.1x
EAP-TLS : « carte à EAP-TLS : « carte à puce ou autre puce ou autre certificat »certificat »
PEAPPEAPMS-CHAP v2MS-CHAP v2
EAP-TLSEAP-TLS
Authentification 802.1x avec Authentification 802.1x avec WindowsWindows
Phase 1 – logon Phase 1 – logon machinemachineAssociation 802.11 (Open)Association 802.11 (Open)
Authentification de l’AP (secret RADIUS)Authentification de l’AP (secret RADIUS)
Authentification du serveur RADIUS (certificat)Authentification du serveur RADIUS (certificat)
Authentification de la machineAuthentification de la machine
Connexion du « Controlled Port » - pour l’accès de Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autoriséesla machine aux ressources autorisées
Phase 2 – logon Phase 2 – logon utilisateurutilisateurAuthentification de l’utilisateurAuthentification de l’utilisateur
Connexion du « Controlled Port » - pour l’accès de Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autoriséesl’utilisateur aux ressources autorisées
Pourquoi authentifier la Pourquoi authentifier la machine ?machine ?
Logon de la machine dans le domaine Logon de la machine dans le domaine nécessaire:nécessaire:
Group PoliciesGroup Policies
Scripts de logon machineScripts de logon machine
Management : inventaire, déploiement Management : inventaire, déploiement d’application par GPO/SMS/autresd’application par GPO/SMS/autres
Expiration du mot de passe de l’utilisateur :Expiration du mot de passe de l’utilisateur :Connexion et logon machine nécessaires pour la Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de mot notification de l’utilisateur le changement de mot de passede passe
EAP-TLS avec carte à puceEAP-TLS avec carte à puce
Correctif 890937 (21/1/2005)Correctif 890937 (21/1/2005)http://support.microsoft.com/kb/890937http://support.microsoft.com/kb/890937
Permet d’authentifier :Permet d’authentifier :la machine avec son certificat logiciella machine avec son certificat logiciel
L’utilisateur avec sa carte à puceL’utilisateur avec sa carte à puce
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\1313UseSoftTokenWithMachineAuthentication = 1UseSoftTokenWithMachineAuthentication = 1
WPA2WPA2
Windows XP SP2 etWindows XP SP2 et
http://support.microsoft.com/kb/893357http://support.microsoft.com/kb/893357
Disponible le 29 avril 2005Disponible le 29 avril 2005
Inclut les fonctions obligatoires Inclut les fonctions obligatoires supplémentaires de 802.11isupplémentaires de 802.11i
Internet Authentication Server (Internet Authentication Server (IASIAS))Serveur RADIUS de MicrosoftServeur RADIUS de MicrosoftRemote Access PoliciesRemote Access PoliciesEAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)
Certificate ServicesCertificate ServicesPKI avec auto-enrôlement des machines et des PKI avec auto-enrôlement des machines et des utilisateursutilisateurs
Active DirectoryActive DirectoryGestion centralisée des machines et utilisateursGestion centralisée des machines et utilisateursConfiguration centralisée des clients Wi-Fi (Configuration centralisée des clients Wi-Fi (Group Group PoliciesPolicies) [) [WPA : SP1WPA : SP1]]
Mise en œuvreMise en œuvre
1.1. Construire le serveur IAS Windows Server Construire le serveur IAS Windows Server 20032003
2.2. Joindre le domaineJoindre le domaine3.3. Obtenir un certificat pour le serveurObtenir un certificat pour le serveur4.4. Enregistrer le serveur IAS dans l’ADEnregistrer le serveur IAS dans l’AD5.5. Configurer le Configurer le logginglogging RADIUS RADIUS6.6. Ajouter l’AP comme client RADIUSAjouter l’AP comme client RADIUS7.7. Configurer l’AP pour RADIUS et 802.1xConfigurer l’AP pour RADIUS et 802.1x8.8. Créer la « stratégie d’accès distant »Créer la « stratégie d’accès distant »9.9. Configurer les clients (ne pas oublier Configurer les clients (ne pas oublier
d’importer le certificat de l’autorité racine)d’importer le certificat de l’autorité racine)
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
802.11i, WPA, WPA2802.11i, WPA, WPA2
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
SynthèseSynthèse
Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de Microsoft
Un des plus importants déploiements Un des plus importants déploiements d’entreprised’entreprise
42 000 utilisateurs dans 42 pays42 000 utilisateurs dans 42 pays
150+ bâtiments dans le monde150+ bâtiments dans le monde
4360+ points d’accès4360+ points d’accès
420 000 m2 couverts420 000 m2 couverts
10 000+ utilisateurs simultanés sur le 10 000+ utilisateurs simultanés sur le campuscampus
Sécurisé par 802.1x avec EAP-TLS et PEAPSécurisé par 802.1x avec EAP-TLS et PEAP
Securing Wireless LANs - A Securing Wireless LANs - A Windows Server 2003 Certificate Windows Server 2003 Certificate Services SolutionServices Solution
http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxprodtech/win2003/pkiwire/SWLAN.mspx
http://go.microsoft.com/fwlink/?LinkId=14844http://go.microsoft.com/fwlink/?LinkId=14844
Securing wireless LANs with Securing wireless LANs with PEAP and passwordsPEAP and passwords
http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/guidance/peap_0.mspxguidance/peap_0.mspx
http://go.microsoft.com/fwlink/?LinkId=23481http://go.microsoft.com/fwlink/?LinkId=23481
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
802.11i, WPA, WPA2802.11i, WPA, WPA2
Mise en œuvre dans Windows Mise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
SynthèseSynthèse
SynthèseSynthèse
Aujourd’huiAujourd’huiEntreprises : 802.1xEntreprises : 802.1x
EAP-TLS si vous avez une PKIEAP-TLS si vous avez une PKI
PEAP-EAP-MS-CHAP v2 sinonPEAP-EAP-MS-CHAP v2 sinon
WPA ou WPA2 si possible (matériels récents)WPA ou WPA2 si possible (matériels récents)
Particuliers et petites entreprises :Particuliers et petites entreprises :WPA ou WPA2 (PSK) si possible (matériels WPA ou WPA2 (PSK) si possible (matériels récents)récents)
RéférencesRéférences
The Unofficial 802.11 Security Web PageThe Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, WindowsBernard Aboba, Network Architect, Windowshttp://www.drizzle.com/~aboba/IEEE/http://www.drizzle.com/~aboba/IEEE/Wi-FiWi-Fihttp://www.microsoft.com/wifihttp://www.microsoft.com/wifihttp://www.wi-fi.orghttp://www.wi-fi.orgGuides Solutions MicrosoftGuides Solutions Microsoft
Securing Wireless LANs - A Windows Server 2003 Certificate Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution Services Solution http://www.microsoft.com/technet/security/prodtech/win200http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx3/pkiwire/SWLAN.mspx
http://go.microsoft.com/fwlink/?LinkId=14844http://go.microsoft.com/fwlink/?LinkId=14844Securing wireless LANs with PEAP and passwordsSecuring wireless LANs with PEAP and passwordshttp://www.microsoft.com/technet/security/guidance/peap_0.http://www.microsoft.com/technet/security/guidance/peap_0.mspxmspxhttp://go.microsoft.com/fwlink/?LinkId=23481http://go.microsoft.com/fwlink/?LinkId=23481
RéférencesRéférences
The Cable Guy - March 2003The Cable Guy - March 2003Wi-Fi Protected Access (WPA) OverviewWi-Fi Protected Access (WPA) Overviewhttp://www.microsoft.com/technet/community/columhttp://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspxns/cableguy/cg0303.mspx
The Cable Guy – November 2004The Cable Guy – November 2004Wi-Fi Protected Access Data Encryption and IntegrityWi-Fi Protected Access Data Encryption and Integrityhttp://www.microsoft.com/technet/community/columhttp://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspxns/cableguy/cg1104.mspx
The Cable Guy - May 2005The Cable Guy - May 2005Wi-Fi Protected Access 2 (WPA2) OverviewWi-Fi Protected Access 2 (WPA2) Overviewhttp://www.microsoft.com/technet/community/columhttp://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspxns/cableguy/cg0505.mspx
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com