180 likes | 361 Vues
I.U.T. Le Creusot Service Informatique Déploiement d’un réseau sans fil avec authentification RADIUS. En collaboration avec le CRI de l’Université de Bourgogne. Le réseau sans fil dans le cadre du projet d’établissement,. Les usages du réseau sans fil,. Exigences fonctionnelles,.
E N D
I.U.T. Le Creusot Service Informatique Déploiement d’un réseau sans fil avec authentification RADIUS En collaboration avec le CRI de l’Université de Bourgogne
Le réseau sans fil dans le cadre du projet d’établissement, Les usages du réseau sans fil, Exigences fonctionnelles, Technologies et normes des réseaux sans fil, Sécurité des réseaux Wi-Fi – 802.11b, Déploiement – Mise en œuvre, État d’avancement du projet, Évolutions des normes de sécurisation des réseaux sans fil, Conclusion. Plan de la Présentation: Jérôme PERNOT, Octobre2003
Remise a niveau des réseaux informatiques du site (câblage, séparation des flux…), Développement d’une politique d’acquisition de matériel, Sécurisation du système d’information: mise en oeuvre d ’une politique de sécurité - Maîtrise du réseau filaire, - Mise en place d’un firewall, - Authentification pour l’accès à internet (étudiants), - Lutte contre les virus: * Antivirus centralisé, * Protection des serveurs, en particulier le courrier électronique, - Administration des systèmes et des réseaux, - Centralisation des annuaires utilisateurs, Développement d’un Environnement Numérique de Travail, Création de salles en libre accès pour les étudiants (Terminaux légers), Mise en œuvre d’un réseau sans fil. Le réseau sans fil dans le cadre du projet d’établissement: Mise œuvre à l’IUT du Creusot d’un programme de développement des systèmes d’information: Jérôme PERNOT, Octobre2003
Utilisation des technologies sans fil dans la cadre des projets de recherche, Nomadisme des enseignants, étudiants, personnels administratifs: Multiplication des équipements mobiles (PDA, portables…), Souplesse et facilité d’utilisation, Disponibilité des ressources sur l’ensemble du campus universitaire, Appréhender les technologies utilisées dans les réseaux sans fil, Sensibiliser les utilisateurs à l’utilisation des équipements sans fil. Les usages du réseau sans fil: Jérôme PERNOT, Octobre2003
Gestion centralisée des utilisateurs: - Authentification des utilisateurs par un serveur RADIUS, - Utilisation de l’annuaire utilisateurs de l’établissement, Création de communautés d’utilisateurs sans fil: - VLAN, - Accès différenciés aux ressources, Protection des contenus, Isolement des communautés (étudiants et invités), Outils de gestion et d’administration du réseau sans fil, Assurer le roaming (itinérance), Évolutivité des solutions mises en œuvre: - Mise à jour firmware des équipements, - Adaptation aux nouvelles normes. Exigences fonctionnelles: Sécurité: Jérôme PERNOT, Octobre2003
Bluetooth, Hiperlan … Les travaux du groupe 802.11 de l’IEEE: - le label Wi-Fi (Wireless Fidelity), - les normes 802.11. Technologies et normes des réseaux sans fil: Jérôme PERNOT, Octobre2003
Technique de cryptage WEP ( Wired Equivalent Privacy): - Ne remplit pas les garanties de sécurité attendues, - Clef de chiffrement statique, - Texte en clair et son correspondant chiffrés sont accessibles, - Faiblesse de l’algorithme de chiffrement RC4, - Outils libres sur Internet pour contourner le WEP (Airsnort …), SSID – identificateur de réseau: - SSID constructeurs (tsunami, any …), - Non chiffré, - Possibilité de supprimer la diffusion du SSID (beacons), Filtrage des adresses MAC (adresse Ethernet): - Lourd à gérer, - Écoute possible du trafic pour repérer les adresses MAC valides, - Génération de trames falsifiées (adresse MAC valide), - Outils disponibles sur Internet (Linux), Points importants: - Aucune sécurité mise en œuvre sur un point d’accès utilisé avec une configuration par défaut, - Risques de réseaux sauvages. Sécurité des réseaux WiFi – 802.11b: les mécanismes Les mécanismes de sécurité des réseaux 802.11b sont peu efficaces: Jérôme PERNOT, Octobre2003
Authentifications par noms d’utilisateurs / mots de passe: Sécurité des réseaux WiFi – 802.11b: les contrôles d’accès La norme IEEE 802.1x: - 802.1x est un protocole de contrôle d’accès réseau par port destiné aux équipements d’interconnexion, - Utilisation de EAP (Extensible Authentification Protocol): Protocole de transport pour l’authentification, - 801.1x et EAP forme le socle du système d’authentification. SYSTEMES D’AUTHENTIFICATION (protocoles): a) LEAP (Lightweight EAP) - (Solution technique retenue): - Solution CISCO, - Authentification de type « challenge-response » basée sur un serveur RADIUS (Remote Access Dial-In User Service), - Authentification mutuelle (utilisateur – point d’accès), - Gestion de clés WEP dynamiques par session et par utilisateur, b) EAP-MD5 : - Méthode simple de challenge/réponse, - Pas d’authentification mutuelle, - Protocole non adapté aux réseaux sans fil, - Attaque par dictionnaire possible. Jérôme PERNOT, Octobre2003
Authentifications basées sur des certificats: Authentifications par cartes à puces sécurisées: Sécurité des réseaux WiFi – 802.11b: les contrôles d’accès SYSTEMES D’AUTHENTIFICATION (suite): a) PEAP (Protected EAP): - Authentification mutuelle, - Utilisation d’un serveur RADIUS supportant TLS, - Authentification utilisateur par login/mot de passe, - Gestion des clés WEP dynamiques, b) EAP-TLS (Transport Layer Security): - Authentification mutuelle, - Basé sur SSL/TLS, - Utilisation d’un serveur de certificats, - Implémentation de certificats pour les clients, - Gestion des clés WEP dynamiques, EAP-SIM (Subscriber Identity Module): - Utilisation de la carte à puce SIM de type GSM, - Protocole EAP intégré à la carte, - Facturation possible (Hotspot). Ces systèmes d’authentification requièrent l’utilisation d’un serveur de type RADIUS pour l’authentification des utilisateurs. Jérôme PERNOT, Octobre2003
Point d’Accès (borne ou AP) CISCO Aironet 1100: - Supporte jusqu’ à 16 VLANs, - Utilise l’IOS, - Support du protocole LEAP, - Prise en compte de la QoS, - Évolution 802.11g, Carte réseau 802.11b et g: - Support du protocole LEAP, Architecture commutée CISCO: - Niveaux 2 et 3, Firewall (FreeBSD): - Support 802.1q, - DHCP serveur, - Fonctions de NAT, - Filtrage – administration, Serveur RADIUS ACS 3.2 – CISCO: - Authentification, - Support du protocole LEAP, - Support de l’Active Directory, - Support LDAP (v3), Déploiement – mise en œuvre: choix des équipements Solutions techniques retenues: Jérôme PERNOT, Octobre2003
Communautés d’utilisateurs WiFi : - WVLAN Recherche - WVLAN Gestion - WVLAN Pédagogie (étudiants) - WVLAN Invité Chaque communauté est associée à un SSID INTERNET Les communautésRecherche et Gestion utilisent des classes d’adresses spécifiques, le routage et le filtrage (ACL) sont confiés au commutateur de niveau 3: ce modèle favorise les performances (routage). Les communautésPédagogie etInvité utilisent des classes d’adresses spécifiques. La Translation d’adresses et le filtrage sont assurées par le Firewall. Ces communautés sont connectées a une interface (DMZ) supportant le protocole 802.1q: ce modèle met l’accent sur la sécurité. Les utilisateurs des communautés Recherche, Gestion, et Pédagogiesont authentifiés par le serveur RADIUS (AAA), qui utilise l’annuaire (Active Directory) de l’établissement. Implémentation de LEAP pour ces communautés. Réseau d’établissement Commutateur N3Routage ACL FirewallFiltrageNATDHCPAuth DMZ WiFi Annuaire Utilisateurs Les utilisateurs de la communautéInvitésont authentifiés par le Firewall. RADIUS RADIUS Authentification Authentification Déploiement – mise en œuvre: principes d’utilisation Jérôme PERNOT, Octobre2003
INTERNET Réseau d’établissement LEAP Client SRV Données RECHERCHE SSID: Recherche SRV Données ETUDIANTS LEAP support LEAP Client SSID: Gestion FirewallFiltrageNATDHCPAuth Commutateur N3Routage, ACL LEAP Client SSID: Recherche Authentification Annuaire Utilisateurs RADIUS Déploiement – mise en œuvre: Schéma de fonctionnement SSID:Invité SSID:Pédagogie Open/DHCP - Auth FW - Limit. BP LEAP Client Jérôme PERNOT, Octobre2003
Étude radio et mise en service des points d’accès (terminée): phase primordiale: - Gestion des canaux - éviter les interférences, - Sécurité - gérer la couverture radio des points d’accès, - Implantation de points d’accès en fonction des zones d’utilisation, Intégration du réseau sans fil dans le réseau de l’établissement (finalisation): - Configuration des éléments actifs: * VLAN, * Routage, * Règles de sécurité (firewall et commutateur), - Implémentation LEAP, RADIUS, ACTIVE DIRECTORY, Audit sécurité de l’architecture sans fil déployée (fin octobre 2003): Mise à disposition des utilisateurs (fin novembre 2003): - Enseignement, recherche, administratifs et techniques, - Étudiants et invités. État d’avancement du projet: Déploiement: Jérôme PERNOT, Octobre2003
Communautés Enseignement, Recherche: - 35 équipements seront connectés dès la mise en service du réseau, - Assistance du Service Informatique pour l’installation des cartes, - Aide à l’installation des équipements accessible sur l’intranet de l’IUT, Communauté Étudiants: - 30 cartes seront prêtées aux étudiants disposant de portables, - Chèque de caution de 150 € (renouvelable chaque année), - Assistance du Service Informatique pour l’installation des cartes, - Aide en ligne accessible depuis l’Environnement Numérique de Travail, Communauté Invités: - Accès disponible dès la fin de l’année, - Mise en œuvre de l’authentification Firewall ou portail HTTP (NoCatAuth), État d’avancement du projet: Mise à disposition des utilisateurs: Jérôme PERNOT, Octobre2003
Extension sur l’ensemble des établissements du site du Creusot: - Centre Universitaire Condorcet, - Bibliothèque Universitaire, Extension à la Cité Universitaire: - Cité distante du Site Universitaire (2 kilomètres), Projet technique à développer, Faire bénéficier à l’ensemble des composantes de l’université de Bourgogne de l’expérience acquise. État d’avancement du projet: Extensions: Jérôme PERNOT, Octobre2003
Solution de transition compatible avec le matériel existant (WPA): - Utilisation de TKIP – nouveau protocole de gestion des clés, * Clés WEP dynamiques, * Vérification de séquence des paquets, * MIC vérifie l’intégrité de chaque trame en remplacement de l’algorithme CRC, - Génération et distribution automatique des clefs, - Intégration de 802.1x pour le contrôle d’accès: * Utilisation du protocole EAP, * Choix des méthodes d’authentification, * Utilisation de RADIUS pour l’authentification utilisateurs, - Mise à jour possible des équipements (firmware), Solution définitive incompatible avec le matériel existant: - Nouveau système de sécurité autour d’AES (Advanced Encryption Standard) AES remplacera RC4, - Incompatibilité avec les équipements 802.11 actuels (certains constructeurs annoncent déjà une compatibilité matérielle), - La norme 802.11i ne sera pas finalisée avant la l’été 2004. Évolutions des normes de sécurisation des réseaux sans fil: La norme IEEE 802.11i : Norme à 2 volets Jérôme PERNOT, Octobre2003
Intégrer les réseaux sans fil dans la politique de sécurité de l’établissement, Auditer et surveiller régulièrement l’espace radio: - Netstumbler (Windows), - WifiScanner (Linux), - Kismet (PDA), Implémenter les nouvelles normes sur les équipements en fonctionnement: - WPA, EAS, Le réseau sans fil offre une disponibilité des ressources sur l’ensemble du campus universitaire (Environnement Numérique de Travail), Associer à tout déploiement de réseau sans fil un système d’authentification ou utiliser une solution de tunnels VPN basés sur IPSec, Faire bénéficier à l’ensemble des composantes de l’université de Bourgogne de l’expérience acquise. Conclusion: Jérôme PERNOT, Octobre2003
Questions – Réponses: Merci de votre attention. Jérôme PERNOT, Octobre 2003