gilles'farrachetelindus'fr

1
Mobilité Conjuguer réseau sans fil et sécurité

• gilles.farrache_at_telindus.fr

Gilles FARRACHE
Chef de Projet
Tél 04.72.78.08.90
Telindus France
Fax 04.78.01.60.64
Parc Club du Moulin à Vent33, rue Dr. Georges
LévyF - 69693 Vénissieux cedex
2
Plan de la présentation

• Contexte la percée prévue du sans fil
• Pour quels bénéfices
• Pour quels usages
• Létat normatif
• Létat de la réglementation en France
• Mécanismes de sécurité implémentés
• Vulnérabilités
• Solutions de sécurisation

3
La percée prévue du sans-fil
4
Bénéfices

• Des bénéfices indéniables
• facilité de déploiement
• grande souplesse dinteropérabilité avec les
  réseaux filaires
• faible coût dacquisition
• débits adaptés à un usage professionnel
• solution de souplesse au sein de l entreprise -gt
  salles de réunion
• solution faiblement structurante -gt chantier,
  exposition, locaux temporaires
• solution non destructive -gt monuments
  historiques, sites classés
• solution de mobilité -gt aéroports, salles de
  congrès ...

5
Usages

• Des usages multiples

6
Usages
Prolongement dune BLR
7
L état normatif
8
Un contexte en développement
9
Quelques normes stables

• IEEE 802.11b sur 2,4 GHz, 11 Mbps
• Émet sur trois canaux radio
• Largement disponible (plus de 180 produits
  approuvés)
• Utilisable en intérieur et extérieur
• Sécurité assurée par le WEP (Wired Equivalent
  Privacy)
• IEEE 802.11g sur 2,4 GHz, 22 Mbps ou
• Évolution de IEEE 802.11b
• Trois types dencodage (PCCB, OFDM et CCK)
• Doit être compatible avec les produits 802.11b
  (support de tous les types dencodage)
• Sécurité assurée par 802.11i

10
Quelques normes stables

• IEEE 802.11a sur 5 GHz, 54 Mbps
• Émet sur 8 canaux radio
• Utilisable en intérieur (avec restriction sur la
  puissance)
• IEEE 802.11h sur 5 GHz, 54 Mbps
• Évolution de IEEE 802.11a
• Implémentera la DFS (sélection dynamique de la
  fréquence)
• Implémentera la TPC (contrôle de la puissance
  transmise)
• Nécessite de nouveaux équipements radio donc
  forte probabilité que les équipement actuels
  802.11a ne soient pas upgradable
• Sécurité assurée par 802.11i

11
Et des normes plus récentes

• IEEE 802.11e Qualité de Service
• En cours
• IEEE 802.1x Sécurité
• Authentification par port et distribution de clés
• Arrivée de EAP (Extensible Authentification
  Protocol)
• Mise en uvre de LEAP et de EAP-TLS
• IEEE 802.11i Sécurité
• ETSI Hiperlan 2 sur 5 GHz
• Norme européenne concurrente à 802.11a et 802.11h
  plus 802.11e
• Non finalisé

12
Létat de la réglementation en France
13
La réglementation
1 Concernent les réseaux indépendants et les
hotspots2 Concernent les expérimentations de
réseaux ouverts au public
14
La réglementation

• Les départements prévus pour lexpérimentation

15
La réglementation
16
La réglementation

• les opérateurs considèrent que si le 2,4 GHz doit
  rester gratuit, en revanche, une redevance
  pourrait être instituée en 5 GHz, par exemple sur
  le modèle des redevances GSM

17
Mécanismes de sécurité
18
Lidentification du réseau (SSID)

• Le SSID est un identifiant qui permet dans un
  système dit  fermé  de vérifier si une station
  est autorisée ou non à se connecter à une borne.
• si SSID station SSID borne alors la
  connexion est acceptée
• si SSID station ? SSID borne alors la
  connexion est refusée

SSID Service Set IDentifier
19
Le WEP (Wireless Equivalent Privacy)

• Mécanisme utilisant une clef partagée
• Le chiffrement prévient des écoutes
  clandestines par chiffrement des données
  transmises.
• Lauthentification protége laccès au réseau
  sans fil.
• Lintégrité vérifie lintégrité des données en
  générant un checksum.

20
Vulnérabilités
21
Propagation par ondes radio

• Cette technologie diffuse les données dans une
  zone sans une frontière absolue entraînant
• un problème de confidentialité
• - interception et écoute aisées depuis la
  voie publique
• un problème dintégrité.
• - insertion dans le trafic possible
• Le support nest pas protégé des signaux
  environnants, il est donc sensible au brouillage
  entraînant
• un problème de continuité de service (déni de
  service).
• - déni de service par brouillage
  possible -

22
Protocole 802.11b

• Lidentité du réseau (SSID) est diffusée sans
  protection lors de son transit sur le réseau
  entraînant
• un problème de confidentialité
• - possibilité didentifier le réseau -
• Le protocole WEP est basé sur un algorithme de
  chiffrement mal implémenté (RC4) générant des
  clefs dites  faibles . Il est possible de
  découvrir la clef WEP entraînant
• un problème de confidentialité
• - possibilité découter le réseau et dy
  entrer -
• un problème dintégrité
• - possibilité de modifier les flux
• Le protocole lintègre pas de mécanisme de
  gestion des clefs.

23
Implémentation - déploiement

• Une topologie dynamique
• Une facilité (apparente) de déploiement
• le déploiement du WLAN nest pas confié à une
  équipe spécialisée
• les équipements sont mal configurés
• larchitecture nest pas correctement cloisonnée

24
En résumé

• Sans sécurité et par défaut

• possibilité découte du réseau
• possibilité daccès au réseau.

25
Solutions de sécurisation
26
La base de la sécurité

• Implémenter les fonctionnalités de sécurité de
  base des équipements
• Mettre en place un chiffrement des données (WEP)
• Mettre en place un contrôle des _at_MAC (gestion
  difficile)

• Inconvénients
• Ne convient pas pour des déploiements larges
• Ne répond pas à des besoins de sécurité forts

27
Vers une sécurité avancée du WLAN (1/5)

• Renforcer la confidentialité des transmissions
• Chiffrement WEP avec des clefs dynamiques
  (802.1x, 802.11i)
• www.cs.umd.edu/waa/1x.pdf
• www.cisco.com/warp/public/cc/pd/witc/ao350ap/prodl
  it/1680_pp.htm

28
Vers une sécurité avancée du WLAN (2/5)

• Renforcer la confidentialité des transmissions
• Mise en place dun VPN (IPSec)

29
Vers une sécurité avancée du WLAN (3/5)

• Utiliser un mécanisme dauthentification plus
  fiable
• Login / mot de passe, certificats, tokens
  (802.1x EAP)
• Améliorer le contrôle et la gestion des accès au
  réseau
• Centraliser lauthentification (base RADIUS,
  Active Directory, ACS )
• Journaliser les accès
• Cloisonner le réseau interne du réseau sans fil
• Utilisation dun VLAN spécifique pour les points
  daccès
• Filtrage des communications internes et externes
  (Pare-feu)

30
Vers une sécurité avancée du WLAN (4/5)

• Le choix de la (ou des) technique(s) de
  sécurisation va dépendre du résultat souhaité
• Chiffrement fort
• Mobilité
• Accès invités
• Différenciation des droits daccès par
  utilisateurs

31
Vers une sécurité avancée du WLAN (5/5)

• Sécuriser les équipements de larchitecture
• Configurer les postes clients sans fil
• Configurer les bornes daccès au réseau filaire
• Ne pas oublier également les aspects
  organisationnels et
  procéduraux
• Implication de la structure sécurité
• Veille technologique sur le domaine WLAN
• Audits fréquents du réseau

32
Conclusion

• Constats
• Les risques découte et dintrusion sont
  importants
• Les standards de communication sont encore peu
  matures en terme de sécurité
• Les protocoles de sécurité évoluent rapidement
• Les constructeurs apportent leurs propres
  fonctionnalités
• Il faut être vigilant avant de se lancer dans le
  déploiement dune solution sans fil, notamment
  sur deux points
• La sécurité.
• Lorganisation.

33
Conclusion

• Déployer le réseau dans la cadre d un projet
  structuré
• Valider régulièrement le réseau y compris par des
  démarches de tests de type  War Driving 

34
(No Transcript)