1 / 13

Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé Pascal Sauliere – Consultant Principal Sécurité http://blogs.technet.com/pascals. Sommaire. Sécurité Wi-fi d’entreprise Architecture type Protocoles mis en jeu Composants Windows mis en jeu Démonstration : intégration d’un client Mac

ria-davidson
Télécharger la présentation

Client Mac dans un réseau Wifi d’entreprise sécurisé

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Client Mac dans un réseau Wifi d’entreprise sécurisé Pascal Sauliere – Consultant Principal Sécuritéhttp://blogs.technet.com/pascals

  2. Sommaire • Sécurité Wi-fi d’entreprise • Architecture type • Protocoles mis en jeu • Composants Windows mis en jeu • Démonstration : intégration d’un client Mac • Requête et récupération d’un certificat • Authentification

  3. État de l’art : 802.11i • Personnel : WPA-PSK, WPA2-PSK • Authentification : clé partagée dérivée d’une passphrase • Chiffrement : TKIP (RC4) ou AES • Entreprise : WPA, WPA2 • Authentification « couche 2 » : 802.1x, RADIUS • PEAP MSCHAPv2 – Mots de passe (+ certificat du serveur RADIUS) • EAP-TLS – Certificats (+ certificat du serveur RADIUS) • Chiffrement : TKIP (RC4), AES

  4. Client« supplicant » Architecture entreprise type • Authentification : 802.1x Serveur d’authentification RADIUS Base decomptes Authentificateur : point d’accèsWi-fi compatible 802.1x EAP RADIUS

  5. IEEE 802.1x (2001) • Protocole indépendant du support physique (Ethernet, WiFi) • Point d’accès compatible 802.1x • Pas de contrainte sur les cartes réseau sans fil • Authentification avec EAP (RFC 3748) • Extensible Authentication Protocol – IETF • Choix du protocole d’authentification (méthode EAP) • L’AP ne s’occupe pas des méthodes EAP • Autorisations avec RADIUS (RFC 2865) • Chiffrement du trafic : • Gestion dynamique des clés 802.11

  6. Méthodes EAP utilisées • EAP-TLS (RFC 2716) • Authentification TLS • Certificats serveur et clients : nécessite une PKI • Détermination des clés 802.11 • PEAP (Protected EAP) : • Protège (TLS) le protocole d’authentification, même faible (MS CHAP v2) • Certificat Serveur uniquement • Détermination des clés 802.11

  7. Démo : environnement technique • 1 Point d’accès : Cisco AP 1200 • 1 Serveur : Windows Server 2003 SP2 • Base de comptes : Active Directory • RADIUS : Internet Authentication Service (IAS) • PKI : Certificate Services (CertSrv) • 802.1x, EAP-TLS : nécessite un certificat pour chaque client. • Chiffrement WPA, TKIP, clés gérées et renouvelées automatiquement après authentification • 1 Client : Mac OS 10.5.2 (Leopard)

  8. Démonstration • Préparation d’une requête de certificat pour le client Mac • Envoi de la requête au serveur de certificats et récupération du certificat • Installation du certificat client • Connexion au réseau Wi-fi avec authentification par le certificat

  9. Démo – 1ère étape • Préparer une requête de certificat dans un fichier request.txt sur le bureau de l’utilisateur. • Caractéristiques du certificat demandé : • Clé : RSA 1024 bits • Utilisation : signature et chiffrement • Signature du certificat : RSA avec SHA-1 • Informations sur le sujet

  10. Démo – 2ème étape Envoi de la requête au serveur de certificats et récupération du certificat • Depuis une machine Windows, avec IE : • http://serveur/certsrv • Envoyer la requête (copier-coller) • Récupérer le certificat utilisateur avec le certificat de l’autorité de certification

  11. Démo – 3ème étape Installation du certificat client • Importer le fichier contenant les certificats dans le « trousseau » (keychain) de l’utilisateur

  12. Démo – 4ème étape • Connexion au réseau Wi-fi avec authentification par le certificat • Permettre au client EAP d’accéder au certificat dans le trousseau • Vérifier adresse IP (DHCP) et connectivité

  13. www.microsoft.comp/france/interop

More Related