réseaux sans fil sécurisés avec windows xp et windows server 2003 pascal sauliere consultant...
TRANSCRIPT
![Page 1: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/1.jpg)
Réseaux sans fil sécurisés Réseaux sans fil sécurisés avec Windows XP et avec Windows XP et Windows Server 2003Windows Server 2003
Pascal SaulierePascal SauliereConsultant Principal SécuritéConsultant Principal SécuritéMicrosoft FranceMicrosoft Francehttp://http://www.microsoft.comwww.microsoft.com//francefrance//securitesecurite
Rencontres Wi-Fi – avril 2004
![Page 2: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/2.jpg)
IntroductionIntroduction
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
![Page 3: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/3.jpg)
IntroductionIntroduction
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
![Page 4: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/4.jpg)
Faiblesses de 802.11 et Faiblesses de 802.11 et WEPWEP
WEP = Authentification et chiffrementWEP = Authentification et chiffrement
Implémentation faible de l’algorithme Implémentation faible de l’algorithme RC4RC4
Outils bien connus et répandusOutils bien connus et répandus
![Page 5: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/5.jpg)
Wi-fi sécurisé ?Wi-fi sécurisé ?
Ne pas déployer de réseau sans filNe pas déployer de réseau sans filRisque = points d’accès piratesRisque = points d’accès pirates
Sécurité 802.11 d’origine (WEP)Sécurité 802.11 d’origine (WEP)Risque associé à la faiblesse de WEPRisque associé à la faiblesse de WEP
Utiliser un VPNUtiliser un VPNNon transparent pour le client, introduit un Non transparent pour le client, introduit un goulot d’étranglementgoulot d’étranglement
Utiliser IPsecUtiliser IPsecPas d’authentification utilisateur, complexePas d’authentification utilisateur, complexe
Utiliser 802.1x, EAP-TLS ou PEAPUtiliser 802.1x, EAP-TLS ou PEAPÉtat de l’art actuelÉtat de l’art actuel
Utiliser WPAUtiliser WPAÉtat de l’art transitoire –vers 802.11iÉtat de l’art transitoire –vers 802.11i
![Page 6: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/6.jpg)
802.11 d’origine802.11 d’origineAuthentification 802.11 nativeAuthentification 802.11 nativeChiffrement WEP statiqueChiffrement WEP statique
802.1x avec WEP802.1x avec WEPAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1xGestion des clés 802.1xProtection des données Protection des données dynamiquedynamique
WPAWPAAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données TKIPProtection des données TKIP
802.11i (WPA2)802.11i (WPA2)Authentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données AESProtection des données AESPré-authentificationPré-authentification
19991999
20012001
20042004
20032003
![Page 7: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/7.jpg)
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
SommaireSommaire
![Page 8: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/8.jpg)
IEEE 802.1x (2001)IEEE 802.1x (2001)Port-based Network Access ControlPort-based Network Access ControlCaractéristiquesCaractéristiques
Protocole indépendant du support physique Protocole indépendant du support physique (Ethernet, WiFi)(Ethernet, WiFi)Point d’accès (AP) compatible 802.1xPoint d’accès (AP) compatible 802.1xPas de contrainte sur les cartes réseau sans Pas de contrainte sur les cartes réseau sans filfilAuthentification avec EAPAuthentification avec EAP
Extensible Authentication Protocol – IETFExtensible Authentication Protocol – IETFChoix du protocole d’authentification (méthode Choix du protocole d’authentification (méthode EAP)EAP)L’AP ne s’occupe pas des méthodes EAPL’AP ne s’occupe pas des méthodes EAP
Autorisations avec RADIUSAutorisations avec RADIUSChiffrement du trafic :Chiffrement du trafic :
Gestion dynamique des clés 802.11 WEPGestion dynamique des clés 802.11 WEP
![Page 9: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/9.jpg)
802.1x – Vocabulaire802.1x – Vocabulaire
SupplicantAuthentificateur
Serveurd’authentification
Port AuthenticationEntity (PAE)
![Page 10: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/10.jpg)
802.1x802.1xPort contrôlé et port non Port contrôlé et port non contrôlécontrôlé
IEEE 802.1x
DistributionSystem
Port non contrôlé
Port contrôlé
Client Wi-Fi
![Page 11: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/11.jpg)
RADIUS –Remote Authentication Dial-In User ServiceRADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, AccountingAAA – Authentification, Autorisations, Accounting
Serveur de modem
Serveur VPN
Point d’accèssans fil
Serveur RADIUS
Proxy RADIUS
Base de comptes d’utilisateurs
Clients
Serveurs d’accès
Protocole RADIUS
Clients RADIUS=
![Page 12: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/12.jpg)
EAPEAP
Extension de PPP pour des Extension de PPP pour des mécanismes arbitraires mécanismes arbitraires d’authentification d’accès réseaud’authentification d’accès réseau
Plug-in d’authentification sur le client Plug-in d’authentification sur le client et le serveur RADIUSet le serveur RADIUS
Client Wi-FiPoint d’accès
Serveur RADIUS
Messages EAP
Dialogue EAP
Messages RADIUS
![Page 13: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/13.jpg)
802.11 association802.11 association
EAPOL-startEAPOL-start
EAP-request/identityEAP-request/identity
EAP-response/identityEAP-response/identity RADIUS-access-request (EAP)RADIUS-access-request (EAP)
EAP-requestEAP-request RADIUS-access-challenge RADIUS-access-challenge (EAP)(EAP)
EAP-response (credentials)EAP-response (credentials) RADIUS-access-request (EAP)RADIUS-access-request (EAP)
EAP-successEAP-success RADIUS-access-accept (EAP)RADIUS-access-accept (EAP)
EAPOW-key (WEP)EAPOW-key (WEP)
Access blockedAccess blocked
Access allowedAccess allowed
AuthentificationAuthentificationClient
supplicantPoint d’accèsauthenticator
RADIUSauthentication
server
![Page 14: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/14.jpg)
Clés de chiffrementClés de chiffrement
Le client et le serveur RADIUS génèrent des Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateurclés de session WEP par utilisateur
Jamais transmises dans l’airJamais transmises dans l’airRADIUS envoie la clé à l’AP, chiffrée avec le secret RADIUS envoie la clé à l’AP, chiffrée avec le secret partagépartagé
Le point d’accès a une clé WEP globaleLe point d’accès a une clé WEP globaleUtilisée pendant l’authentification de l’AP au clientUtilisée pendant l’authentification de l’AP au clientEnvoyée dans un message EAPOW-keyEnvoyée dans un message EAPOW-keyChiffrée avec la clé de sessionChiffrée avec la clé de session
Les clés de session sont re-générées Les clés de session sont re-générées quand…quand…
Durée de vie expirée (60 minutes par défaut)Durée de vie expirée (60 minutes par défaut)Le client se déplace vers un nouvel APLe client se déplace vers un nouvel AP
![Page 15: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/15.jpg)
Architecture EAPArchitecture EAP
Méthode
EAP
Media
EAP
MS
CH
AP
v2
TLS
Secu
rID
PPP 802.3 802.5 802.11 …
TLS GSS_API
Kerberos
PEAP IKE MD5
![Page 16: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/16.jpg)
Méthodes EAPMéthodes EAP
EAP-MD5EAP-MD5Utilise CHAP pour authentifier l’utilisateurUtilise CHAP pour authentifier l’utilisateurDéconseillé pour le Wi-Fi : hashes transmis en clair, pas Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelled’authentification mutuelle
EAP-TLSEAP-TLSCertificats machine et/ou utilisateur : nécessite une PKICertificats machine et/ou utilisateur : nécessite une PKIDétermination des clés 802.11Détermination des clés 802.11
PEAP (Protected EAP) :PEAP (Protected EAP) :Tunnel TLS pour protéger le protocole d’authentification, Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2)même faible (MS CHAP v2)Certificat Serveur uniquementCertificat Serveur uniquementNécessite Windows XP SP1 et IAS de Windows Server Nécessite Windows XP SP1 et IAS de Windows Server 20032003Détermination des clés 802.11Détermination des clés 802.11
![Page 17: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/17.jpg)
PEAPPEAPMicrosoft, Cisco, RSAMicrosoft, Cisco, RSA1.1. Crée un tunnel TLS avec le certificat Crée un tunnel TLS avec le certificat
du serveur RADIUS uniquementdu serveur RADIUS uniquement
2.2. Authentifie le client dans ce tunnelAuthentifie le client dans ce tunnel Le protocole d’authentification est Le protocole d’authentification est
protégéprotégé
TLSTLSEAPEAP
AuthentificationAuthentification
CertificatServeur
EAP RADIUS-EAP
![Page 18: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/18.jpg)
PEAPPEAP
PEAP-EAP-MS-CHAP v2PEAP-EAP-MS-CHAP v2MS-CHAP v2 utilise un mot de passe MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)(utilisateur et/ou machine)
Pas de certificat clientPas de certificat client
Solution si pas de PKISolution si pas de PKI
PEAP-EAP-TLSPEAP-EAP-TLSNécessite un certificat client, donc une Nécessite un certificat client, donc une PKIPKI
Protège l’identité du clientProtège l’identité du client
Plus lent que EAP-TLSPlus lent que EAP-TLS
![Page 19: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/19.jpg)
802.1x : est-ce suffisant ?802.1x : est-ce suffisant ?
NonNon
Il résout :Il résout :La découverte des clésLa découverte des clés – changement fréquent – changement fréquent et clés distinctes par clientet clés distinctes par client
Les points d’accès pirates et attaques « man in Les points d’accès pirates et attaques « man in the middle »the middle » – authentification mutuelle – authentification mutuelle
Accès non autorisésAccès non autorisés – authentification des – authentification des utilisateurs et des machinesutilisateurs et des machines
Il ne résout pas :Il ne résout pas :SpoofingSpoofing de paquets et des désassociations – de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé801.1x n’utilise pas de MIC à clé
![Page 20: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/20.jpg)
WPAWPAWireless Protected AccessWireless Protected Access
Standard temporaire avant Standard temporaire avant ratification de 802.11iratification de 802.11i
Requis pour la certification Wi-Fi Requis pour la certification Wi-Fi depuis le 31/8/2003depuis le 31/8/2003Wi-Fi Protected AccessWi-Fi Protected Accesshttp://http://www.wi-fi.orgwww.wi-fi.org//OpenSectionOpenSection//protected_access.aspprotected_access.asp
Overview of the WPA Wireless Overview of the WPA Wireless Security Update in Windows XPSecurity Update in Windows XPhttp://support.microsoft.com/?id=815http://support.microsoft.com/?id=815485485
![Page 21: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/21.jpg)
Objectifs de WPAObjectifs de WPA
Réseau sans fil sécurisé : 802.1x Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés requis, chiffrement, gestion des clés Unicast et globaleUnicast et globale
Corriger les faiblesses de WEP par Corriger les faiblesses de WEP par une mise à jour logicielleune mise à jour logicielle
Solution sécurisée pour les réseaux Solution sécurisée pour les réseaux domestiquesdomestiques
Evolutif vers 802.11iEvolutif vers 802.11i
Disponible aujourd’huiDisponible aujourd’hui
![Page 22: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/22.jpg)
Caractéristiques de WPACaractéristiques de WPA
Authentification 802.1x requiseAuthentification 802.1x requise : EAP : EAP et RADIUS, ou clé partagée (et RADIUS, ou clé partagée (PSKPSK))
Gestion des clés Gestion des clés Unicast et BroadcastUnicast et Broadcast
Temporal Key Integrity Protocol Temporal Key Integrity Protocol ((TKIPTKIP))
MichaelMichael : MIC (64 bits) remplace le : MIC (64 bits) remplace le CRC32 de WEPCRC32 de WEP
AESAES (optionnel) à la place de RC4 (optionnel) à la place de RC4
Support de clients WPA et WEP en Support de clients WPA et WEP en même tempsmême temps
![Page 23: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/23.jpg)
Modes WPAModes WPA
Mode Entreprise (Mode Entreprise (RADIUSRADIUS))Nécessite un serveur d’authentificationNécessite un serveur d’authentification
RADIUS pour authentification et distribution des RADIUS pour authentification et distribution des clésclés
Gestion centralisée des utilisateursGestion centralisée des utilisateurs
Mode clé partagée – pre-shared key mode Mode clé partagée – pre-shared key mode ((PSKPSK))
Ne nécessite pas de serveur d’authentificationNe nécessite pas de serveur d’authentification
« Secret partagé » pour l’authentification sur le « Secret partagé » pour l’authentification sur le point d’accès – 256 bitspoint d’accès – 256 bits
Génération de la clé depuis une passphrase : Génération de la clé depuis une passphrase : algorithme imposéalgorithme imposé
![Page 24: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/24.jpg)
WPA 802.1xWPA 802.1x
RADIUSserverDistribution System
TKIP
Authentification 802.1X
802.1X key management
RADIUS-based key distribution
Security Discovery (WPA Information
Element)
Scénario entreprise
![Page 25: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/25.jpg)
WPA PSKWPA PSK
TKIP
802.1X key management
Scénario domestique
Security Discovery (WPA Information Element)
![Page 26: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/26.jpg)
WPAWPA
Nécessite une mise à jour :Nécessite une mise à jour :FirmwareFirmware du point d’accès du point d’accès
FirmwareFirmware de la carte de la carte
DriverDriver de la carte de la carte
Logiciel client (« supplicant »)Logiciel client (« supplicant »)
![Page 27: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/27.jpg)
802.11i802.11i
WPA = sous-ensemble de 802.11iWPA = sous-ensemble de 802.11i
802.1x en modes entreprise et PSK802.1x en modes entreprise et PSK
Mode point d’accès (infrastructure – BSS)Mode point d’accès (infrastructure – BSS)
Hiérarchie de clésHiérarchie de clés
Gestion des clésGestion des clés
Négociation de la crypto et de Négociation de la crypto et de l’authentificationl’authentification
TKIPTKIP
![Page 28: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/28.jpg)
802.11i802.11i
802.11i :802.11i :
802.1x en modes entreprise et PSK802.1x en modes entreprise et PSK
Mode point d’accès (infrastructure – BSS)Mode point d’accès (infrastructure – BSS)
Mode point à point (ad-hoc – IBSS)Mode point à point (ad-hoc – IBSS)
Pré-authentificationPré-authentification
Hiérarchie de clésHiérarchie de clés
Gestion des clésGestion des clés
Négociation de la crypto et de l’authentificationNégociation de la crypto et de l’authentification
TKIPTKIP
AESAES
![Page 29: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/29.jpg)
SynthèseSynthèse
EAP methods
Radio Technology
Network Authentication (802.11)
Authentication and Key Management
EncryptionWEP
802.11a 802.11b 802.11g
TKIP/MIC AES
WPAOpen
WPA2Shared
802.1XEAP-TLS PEAP
![Page 30: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/30.jpg)
ComparaisonComparaisonWEPWEP WPAWPA WPA2/802.11WPA2/802.11
ii
CipherCipher RC4RC4 RC4RC4 AESAES
Key SizeKey Size 40 bits40 bits128 bits encryption128 bits encryption
64 bits 64 bits AuthenticationAuthentication
128 bits128 bits
Key LifeKey Life 24-bit IV24-bit IV 48-bit IV48-bit IV 48-bit IV48-bit IV
Packet KeyPacket Key ConcatenateConcatenatedd Mixing FunctionMixing Function Not NeededNot Needed
Data IntegrityData Integrity CRC-32CRC-32 MichaelMichael CCMCCM
Header Header IntegrityIntegrity NoneNone MichaelMichael CCMCCM
Replay AttackReplay Attack NoneNone IV SequenceIV Sequence IV SequenceIV Sequence
Key Key ManagementManagement NoneNone EAP-basedEAP-based EAP-basedEAP-based
http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_ProtectedAccessWebcast_2003.pdf
![Page 31: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/31.jpg)
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
![Page 32: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/32.jpg)
Natif :Natif :802.1x EAP-TLS802.1x EAP-TLS
Wireless Zero Configuration ServiceWireless Zero Configuration Service
SP1 : PEAPSP1 : PEAP802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-MS-CHAPv2
802.1x PEAP-EAP-TLS802.1x PEAP-EAP-TLS
SP2 : WPA (authentification, TKIP, SP2 : WPA (authentification, TKIP, AES)AES)
Ou SP1+KB.826942 Ou SP1+KB.826942 http://support.microsoft.com/?id=826942http://support.microsoft.com/?id=826942
![Page 33: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/33.jpg)
AuthentificationAuthentificationOpenOpen
SharedShared
WPAWPA
WPA-PSKWPA-PSK
ChiffrementChiffrementDésactivéDésactivé
WEPWEP
TKIPTKIP
AESAES
![Page 34: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/34.jpg)
802.1x802.1x
EAP-TLS : « carte à EAP-TLS : « carte à puce ou autre puce ou autre certificat »certificat »
PEAPPEAPMS-CHAP v2MS-CHAP v2
EAP-TLSEAP-TLS
![Page 35: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/35.jpg)
Authentification PEAP avec Authentification PEAP avec WindowsWindows
Phase 1 – logon Phase 1 – logon machinemachineAssociation 802.11Association 802.11Authentification de l’AP (secret RADIUS)Authentification de l’AP (secret RADIUS)Authentification du serveur RADIUS (certificat)Authentification du serveur RADIUS (certificat)Authentification de la machine (compte Authentification de la machine (compte machine, mot de passe)machine, mot de passe)Connexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autoriséesde la machine aux ressources autorisées
Phase 2 – logon Phase 2 – logon utilisateurutilisateurAuthentification de l’utilisateurAuthentification de l’utilisateurConnexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autoriséesde l’utilisateur aux ressources autorisées
![Page 36: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/36.jpg)
Pourquoi authentifier la Pourquoi authentifier la machine ?machine ?
Logon de la machine dans le domaine Logon de la machine dans le domaine nécessaire:nécessaire:
Group PoliciesGroup Policies
Scripts de logon machineScripts de logon machine
Management : inventaire, déploiement Management : inventaire, déploiement d’application par GPO/SMS/autresd’application par GPO/SMS/autres
Expiration du mot de passe de Expiration du mot de passe de l’utilisateur :l’utilisateur :
Connexion et logon machine nécessaires pour Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de la notification de l’utilisateur le changement de mot de passemot de passe
![Page 37: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/37.jpg)
Internet Authentication Server (Internet Authentication Server (IASIAS))Serveur RADIUS de MicrosoftServeur RADIUS de MicrosoftRemote Access PoliciesRemote Access PoliciesEAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)
Certificate ServicesCertificate ServicesPKI avec auto-enrôlement des machines et des PKI avec auto-enrôlement des machines et des utilisateursutilisateurs
Active DirectoryActive DirectoryGestion centralisée des machines et utilisateursGestion centralisée des machines et utilisateursConfiguration centralisée des clients Wi-Fi Configuration centralisée des clients Wi-Fi ((Group PoliciesGroup Policies) [) [WPA : SP1WPA : SP1]]
![Page 38: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/38.jpg)
![Page 39: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/39.jpg)
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Mise en œuvre dans WindowsMise en œuvre dans Windows
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
![Page 40: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/40.jpg)
Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de Microsoft
Un des plus importants déploiements Un des plus importants déploiements d’entreprised’entreprise
42 000 utilisateurs dans 42 pays42 000 utilisateurs dans 42 pays
150+ bâtiments dans le monde150+ bâtiments dans le monde
4360+ points d’accès4360+ points d’accès
420 000 m2 couverts420 000 m2 couverts
10 000+ utilisateurs simultanés sur le 10 000+ utilisateurs simultanés sur le campuscampus
Sécurisé par 802.1x avec EAP-TLS et Sécurisé par 802.1x avec EAP-TLS et PEAPPEAP
![Page 41: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/41.jpg)
802.11/.1X802.11/.1XAccess PointAccess Point
Domain UserDomain UserCertificateCertificate
802.1X Controlled Port
RADIUSRADIUS(IAS)(IAS)
Domain Controller Domain Controller (Active Directory)(Active Directory)
802.1X EAP-TLS/PEAP Connection
DHCPDHCP
DomainDomainControllerController
PeersPeers
802.1X Uncontrolled Port
ExchangeExchange
FileFile
CertificateCertificateAuthorityAuthority
![Page 42: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/42.jpg)
Réseau Wi-Fi de Microsoft Réseau Wi-Fi de Microsoft Leçons apprisesLeçons apprises
Intégrer le support de technologies Intégrer le support de technologies diverses: clients, points d’accès, PKI, diverses: clients, points d’accès, PKI, RADIUS, Active DirectoryRADIUS, Active Directory
Répondre aux besoins des employés Répondre aux besoins des employés qui souhaitent s’équiper à domicilequi souhaitent s’équiper à domicile
Prendre en compte les soucis des Prendre en compte les soucis des employés en terme de santé : employés en terme de santé : conduire des analyses et conduire des analyses et communiquer les résultatscommuniquer les résultats
![Page 43: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/43.jpg)
Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de MicrosoftConseilsConseils
Changement des clés compatible avec la Changement des clés compatible avec la charge des serveurs : nouvelles sessions, charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminésdéplacements et intervalles prédéterminésImpliquer le support tôt dans la phase de Impliquer le support tôt dans la phase de planificationplanificationMécanisme de détection et suppression Mécanisme de détection et suppression des points d’accès piratesdes points d’accès piratesVérifier les lois locales concernant les Vérifier les lois locales concernant les équipements radioéquipements radioPlacer les points d’accès et antennes dans Placer les points d’accès et antennes dans des boîtiers protégés ; utiliser une des boîtiers protégés ; utiliser une alimentation basse tension centralisée alimentation basse tension centralisée secouruesecourue
![Page 44: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/44.jpg)
Docteur SourisDocteur Souris
« Offir à des enfants hospitalités un « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès ordinateur personnalisé, et un accès encadré à une messagerie encadré à une messagerie électronique et à Internet »électronique et à Internet »
Utilisé par plus de 250 enfants et Utilisé par plus de 250 enfants et adolescents en quelques semaines adolescents en quelques semaines avant son inauguration le 14 octobre avant son inauguration le 14 octobre 2003 (Hôpital Trousseau)2003 (Hôpital Trousseau)
60 clients simultanés en pointe60 clients simultanés en pointe
http://www.docteursouris.asso.fr/
![Page 45: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/45.jpg)
Docteur SourisDocteur Souris
Windows 2000, 2003, XP,Windows 2000, 2003, XP,Exchange 2000, ISA Server 2000Exchange 2000, ISA Server 2000
Active DirectoryActive Directory
PKIPKIAuto-enrôlement des machinesAuto-enrôlement des machines
RADIUSRADIUS
802.1x, EAP-TLS802.1x, EAP-TLS
Administration simplifiée à l’usage Administration simplifiée à l’usage des éducatricesdes éducatrices
![Page 46: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/46.jpg)
Docteur SourisDocteur Souris
Windows 2000Exchange 2000
Tout les sites sur Internet
Windows XPOffice XP
Portables EnfantsWindows XP
Office XP
Serveur de serviceWindows XP
Windows 2003Active Directory
MESSAGERIEPORTAIL PARE FEUANNUAIRE
HOPITAL
Réseau Sans Fil
INTERNET
Réseau Interne
Windows 2003ISA 2000
Sites Autorisés
Windows 2003SQL 2000SPS 2003
Enfants
Educatrice
Parents
Administrateur
Active DirectoryCertificate Services
IAS
![Page 47: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/47.jpg)
Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs
http://www.microsoft.com/technet/securithttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxy/prodtech/win2003/pkiwire/SWLAN.mspx
http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=14844=14844
![Page 48: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/48.jpg)
Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs
Planning GuidePlanning Guide – guide de planification – guide de planification
Build GuideBuild Guide – procédures détaillées de – procédures détaillées de configuration et sécurisationconfiguration et sécurisation
Operations GuideOperations Guide – guide de – guide de maintenance, supervision, support, maintenance, supervision, support, gestion des changementsgestion des changements
Test GuideTest Guide – démarche de test utilisée – démarche de test utilisée chez Microsoft pour valider la solutionchez Microsoft pour valider la solution
Lire les Lire les Release NotesRelease Notes pour pour l’adaptation à WPAl’adaptation à WPA
![Page 49: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/49.jpg)
SommaireSommaire
Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine
Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP
WPAWPA
Scénarios de déploiementScénarios de déploiement
RecommandationsRecommandations
![Page 50: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/50.jpg)
SynthèseSynthèse
Aujourd’huiAujourd’huiEntreprises : 802.1xEntreprises : 802.1x
EAP-TLS si vous avez une PKIEAP-TLS si vous avez une PKI
PEAP-EAP-MS-CHAP v2 sinonPEAP-EAP-MS-CHAP v2 sinon
WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)
Particuliers et petites entreprises :Particuliers et petites entreprises :WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)
DemainDemain802.11i802.11i
![Page 51: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/51.jpg)
RéférencesRéférences
The Unofficial 802.11 Security Web PageThe Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Bernard Aboba, Network Architect, WindowsWindowshttp://http://www.drizzle.com/~aboba/IEEEwww.drizzle.com/~aboba/IEEE//
Wi-FiWi-Fihttp://www.microsoft.com/http://www.microsoft.com/wifiwifihttp://www.wi-fi.orghttp://www.wi-fi.org
Microsoft Solution for Securing Wireless Microsoft Solution for Securing Wireless LANsLANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxhttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx
http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=14844=14844
![Page 52: Réseaux sans fil sécurisés avec Windows XP et Windows Server 2003 Pascal Sauliere Consultant Principal Sécurité Microsoft France](https://reader036.vdocuments.net/reader036/viewer/2022062511/551d9d80497959293b8b8bbf/html5/thumbnails/52.jpg)
Cette présentation sera disponible sur :http://www.microsoft.com/france/securite/evenements/