RappelsRappels

Questions :Questions :

frjms@microsoft.comfrjms@microsoft.com

Présentations :Présentations :

http://www.microsoft.com/france/securihttp://www.microsoft.com/france/securitete

Sécurisation desSécurisation desréseaux sans filréseaux sans filSécurisation desSécurisation desréseaux sans filréseaux sans fil

Pascal SaulierePascal SauliereConsultant Principal Sécurité, Consultant Principal Sécurité, CISSPCISSPMicrosoft FranceMicrosoft France

La stratégie sécurité de La stratégie sécurité de MicrosoftMicrosoft

Isolation et Isolation et résiliencerésilience

Excellence Excellence dede

l’engineeringl’engineering

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Mise à jourMise à jouravancéeavancée

Authentification,Authentification,Autorisation,Autorisation,

AuditAudit

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

802.11i, WPA, WPA2802.11i, WPA, WPA2

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

SynthèseSynthèse

SommaireSommaire

Faiblesses de 802.11 et WEPFaiblesses de 802.11 et WEP

WEP = Authentification et chiffrementWEP = Authentification et chiffrement

Implémentation faible de l’algorithme Implémentation faible de l’algorithme RC4RC4

Attaques par « désassociation »Attaques par « désassociation »

Découverte de la clé de chiffrementDécouverte de la clé de chiffrement

Écoute des donnéesÉcoute des données

Modification de donnéesModification de données

Attaque de machines internesAttaque de machines internes

Analogie : prise réseau dans la rue…Analogie : prise réseau dans la rue…

Quelques minutes suffisentQuelques minutes suffisent

http://www.tomsnetworking.com/Sections-article111.php

The Feds can own your WLAN too – 31/3/2005

Millions of wireless access points are spread across the US and the world. About 70% percent of these access points are unprotected—wide open to access by anyone who happens to drive by. The other 30% are protected by WEP (Wired Equivalent Privacy) and a small handful are protected by the new WPA (Wi-Fi Protected Access) standard.

At a recent ISSA (Information Systems Security Association) meeting in Los Angeles, a team of FBI agents demonstrated current WEP-cracking techniques and broke a 128 bit WEP key in about three broke a 128 bit WEP key in about three minutesminutes. Special Agent Geoff Bickers ran the Powerpoint presentation and explained the attack, while the other agents (who did not want to be named or photographed) did the dirty work of sniffing wireless traffic and breaking the WEP keys.

Wi-fi sécurisé ?Wi-fi sécurisé ?

Ne pas déployer de réseau sans filNe pas déployer de réseau sans filRisque = points d’accès piratesRisque = points d’accès pirates

Sécurité 802.11 d’origine (WEP)Sécurité 802.11 d’origine (WEP)Risque associé à la faiblesse de WEPRisque associé à la faiblesse de WEP

Utiliser un VPNUtiliser un VPNNon transparent pour le client, introduit un goulot Non transparent pour le client, introduit un goulot d’étranglementd’étranglement

Utiliser IPsecUtiliser IPsecPas d’authentification utilisateur, complexePas d’authentification utilisateur, complexe

Utiliser 802.1x, EAP-TLS ou PEAPUtiliser 802.1x, EAP-TLS ou PEAPÉtat de l’art actuel pour l’authentificationÉtat de l’art actuel pour l’authentification

Utiliser 802.11i (WPA/WPA2)Utiliser 802.11i (WPA/WPA2)État de l’art actuel pour la confidentialité et État de l’art actuel pour la confidentialité et l’intégrité des donnéesl’intégrité des données

802.11 d’origine802.11 d’origineAuthentification 802.11 nativeAuthentification 802.11 nativeChiffrement WEP statiqueChiffrement WEP statique

802.1x avec WEP802.1x avec WEPAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1xGestion des clés 802.1xProtection des données Protection des données dynamiquedynamique

WPAWPAAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données TKIPProtection des données TKIP

802.11i (WPA2)802.11i (WPA2)Authentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données AES-CCMPProtection des données AES-CCMPPré-authentificationPré-authentification

19991999

20012001

20042004

20032003

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

802.11i, WPA, WPA2802.11i, WPA, WPA2

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

SynthèseSynthèse

SommaireSommaire

IEEE 802.1x (2001)IEEE 802.1x (2001)Port-based Network Access Port-based Network Access ControlControl

Protocole indépendant du support physique Protocole indépendant du support physique (Ethernet, WiFi)(Ethernet, WiFi)Point d’accès (AP) compatible 802.1xPoint d’accès (AP) compatible 802.1xPas de contrainte sur les cartes réseau sans filPas de contrainte sur les cartes réseau sans filAuthentification avec Authentification avec EAPEAP (RFC 3748) (RFC 3748)

Extensible Authentication Protocol – IETFExtensible Authentication Protocol – IETFChoix du protocole d’authentification (méthode Choix du protocole d’authentification (méthode EAP)EAP)L’AP ne s’occupe pas des méthodes EAPL’AP ne s’occupe pas des méthodes EAP

Autorisations avec Autorisations avec RADIUSRADIUS (RFC 2865) (RFC 2865)Chiffrement du trafic :Chiffrement du trafic :

Gestion dynamique des clés 802.11 WEPGestion dynamique des clés 802.11 WEP

802.1x – Vocabulaire802.1x – Vocabulaire

SupplicantAuthentificateur

Serveurd’authentification

802.1x802.1xPort contrôlé et port non contrôléPort contrôlé et port non contrôlé

SupplicantAuthentificateur

Serveurd’authentificationPort non contrôlé

Port contrôléÉtat authentifié

Accès autorisé

Autresressources

État non authentifié

Accès bloqué

RADIUS –Remote Authentication Dial-In RADIUS –Remote Authentication Dial-In User ServiceUser ServiceAAA – Authentification, Autorisations, AAA – Authentification, Autorisations, AccountingAccountingRFC 2865RFC 2865

Serveur de modem

Serveur VPN

Point d’accèssans fil

Serveur RADIUS

Proxy RADIUS

Base de comptes d’utilisateurs

Clients

Serveurs d’accès

Protocole RADIUS

Clients RADIUS=

EAPEAPExtensible Authentication ProtocolExtensible Authentication ProtocolRFC 3748RFC 3748

Extension de PPP pour des mécanismes Extension de PPP pour des mécanismes arbitraires d’authentification d’accès arbitraires d’authentification d’accès réseauréseau

Plug-in d’authentification sur le client et Plug-in d’authentification sur le client et le serveur RADIUSle serveur RADIUS

Client Wi-FiPoint d’accès

Serveur RADIUS

Messages EAP

Dialogue EAP

Messages RADIUS

802.11 association802.11 association

EAPOL-startEAPOL-start

EAP-request/identityEAP-request/identity

EAP-response/identityEAP-response/identity RADIUS-access-request (EAP)RADIUS-access-request (EAP)

EAP-requestEAP-request RADIUS-access-challenge RADIUS-access-challenge (EAP)(EAP)

EAP-response (credentials)EAP-response (credentials) RADIUS-access-request (EAP)RADIUS-access-request (EAP)

EAP-successEAP-success RADIUS-access-accept (EAP)RADIUS-access-accept (EAP)

EAPOW-key (WEP)EAPOW-key (WEP)

Access blockedAccess blocked

Access allowedAccess allowed

AuthentificationAuthentificationClient

supplicantPoint d’accèsauthenticator

RADIUSauthentication

server

Clés de chiffrementClés de chiffrement

Le client et le serveur RADIUS génèrent des Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateurclés de session WEP par utilisateur

Jamais transmises dans l’airJamais transmises dans l’airRADIUS envoie la clé à l’AP, chiffrée avec le secret RADIUS envoie la clé à l’AP, chiffrée avec le secret partagépartagé

Le point d’accès a une clé WEP globaleLe point d’accès a une clé WEP globaleUtilisée pendant l’authentification de l’AP au clientUtilisée pendant l’authentification de l’AP au clientEnvoyée dans un message EAPOW-keyEnvoyée dans un message EAPOW-keyChiffrée avec la clé de sessionChiffrée avec la clé de session

Les clés de session sont re-générées quand…Les clés de session sont re-générées quand…Durée de vie expirée (60 minutes par défaut)Durée de vie expirée (60 minutes par défaut)Le client se déplace vers un nouvel APLe client se déplace vers un nouvel AP

Architecture EAPArchitecture EAP

Méthode

EAP

Media

EAP

MS

CH

AP

v2

TLS

Secu

rID

PPP 802.3 802.5 802.11 …

TLS GSS_API

Kerberos

PEAP IKE MD5

Méthodes EAPMéthodes EAPRFC 4017 : Critères de conformité des RFC 4017 : Critères de conformité des méthodes EAP pour les réseaux sans filméthodes EAP pour les réseaux sans fil

EAP-MD5-ChallengeEAP-MD5-ChallengeObligatoire dans toute implémentation de EAP selon RFC 3748Obligatoire dans toute implémentation de EAP selon RFC 3748Utilise CHAP pour authentifier l’utilisateurUtilise CHAP pour authentifier l’utilisateurNon conforme pour le sans fil : Non conforme pour le sans fil : hasheshashes transmis en clair, pas transmis en clair, pas d’authentification mutuelled’authentification mutuelle

EAP-TLS (RFC 2716)EAP-TLS (RFC 2716)Authentification TLSAuthentification TLSCertificats serveur et clients : nécessite une PKICertificats serveur et clients : nécessite une PKIDétermination des clés 802.11Détermination des clés 802.11

PEAP (Protected EAP) :PEAP (Protected EAP) :Protège le protocole d’authentification, même faible (MS CHAP Protège le protocole d’authentification, même faible (MS CHAP v2)v2)Certificat Serveur uniquementCertificat Serveur uniquementDétermination des clés 802.11Détermination des clés 802.11

PEAPPEAPMicrosoft, Cisco, RSAMicrosoft, Cisco, RSA

1.1. Crée un tunnel TLS avec le certificat Crée un tunnel TLS avec le certificat du serveur RADIUS uniquementdu serveur RADIUS uniquement

2.2. Authentifie le client dans ce tunnelAuthentifie le client dans ce tunnel Le protocole d’authentification est Le protocole d’authentification est

protégéprotégé

TLSTLSCertificatServeur

EAP RADIUS-EAP

EAPEAPAuthentificationAuthentification

PEAPPEAP

PEAP-EAP-MS-CHAP v2PEAP-EAP-MS-CHAP v2MS-CHAP v2 utilise un mot de passe MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)(utilisateur et/ou machine)

Pas de certificat clientPas de certificat client

Solution si pas de PKISolution si pas de PKI

PEAP-EAP-TLSPEAP-EAP-TLSNécessite un certificat client, donc une PKINécessite un certificat client, donc une PKI

Protège l’identité du clientProtège l’identité du client

Plus lent que EAP-TLSPlus lent que EAP-TLS

802.1x : est-ce suffisant ?802.1x : est-ce suffisant ?

NonNon

Il résout :Il résout :La découverte des clésLa découverte des clés – changement fréquent et – changement fréquent et clés distinctes par clientclés distinctes par client

Les points d’accès pirates et attaques « man in Les points d’accès pirates et attaques « man in the middle »the middle » – authentification mutuelle – authentification mutuelle

Accès non autorisésAccès non autorisés – authentification des – authentification des utilisateurs et des machinesutilisateurs et des machines

Il ne résout pas les problèmes liés à WEP en Il ne résout pas les problèmes liés à WEP en terme de confidentialité, intégritéterme de confidentialité, intégrité

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

802.11i, WPA, WPA2802.11i, WPA, WPA2

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

SynthèseSynthèse

SommaireSommaire

802.11i802.11i

Ratifié par l’IEEE en juillet 2004Ratifié par l’IEEE en juillet 2004disponible : http://standards.ieee.org/getieee802/802.11.htmldisponible : http://standards.ieee.org/getieee802/802.11.html

WPA (Wi-fi Protected Access)WPA (Wi-fi Protected Access) : depuis : depuis 2003, norme intermédiaire de fait (Wi-2003, norme intermédiaire de fait (Wi-Fi Alliance), sous-ensemble de 802.11iFi Alliance), sous-ensemble de 802.11i

Obligatoire pour le logo Wi-fi depuis août Obligatoire pour le logo Wi-fi depuis août 20032003

WPA2WPA2 : certification des équipements : certification des équipements compatibles 802.11i (Wi-Fi Alliance)compatibles 802.11i (Wi-Fi Alliance)

Premiers produits certifiés en septembre Premiers produits certifiés en septembre 20042004 www.wi-fi.org

802.11i802.11i

Data protection : TKIP and CCMP

Authentication

802.11i key management Session Key distribution

Security Capabilities Discovery

(IE = Information Element)

AccessPoint

Station AuthenticationServer

Security Negociation

802.11i802.11iConceptsConcepts

AES-CCMPAES-CCMP – nouveau protocole fondé sur AES-128 en mode CCM – nouveau protocole fondé sur AES-128 en mode CCMTKIPTKIP – conçu comme un – conçu comme un patchpatch logiciel de WEP pour les logiciel de WEP pour les environnements existantsenvironnements existantsRSNA State Machines – automate 802.11iRSNA State Machines – automate 802.11iPRF – Pseudo-Random Function, pour la construction des clés de PRF – Pseudo-Random Function, pour la construction des clés de sessionsessionPMK – Pairwise Master Key – jeton d’autorisation de la sessionPMK – Pairwise Master Key – jeton d’autorisation de la sessionKCK – Key Confirmation Key – clé d’authentification de la KCK – Key Confirmation Key – clé d’authentification de la sessionsessionKEK – Key Encryption Key – clé de chiffrement des clésKEK – Key Encryption Key – clé de chiffrement des clésTK – Temporal Key – clé de chiffrement de la sessionTK – Temporal Key – clé de chiffrement de la session4-Way Handshake – Protocole 802.11i de gestion des clés4-Way Handshake – Protocole 802.11i de gestion des clésRSN IE – Structure de donnée pour l’annonce et la négociation RSN IE – Structure de donnée pour l’annonce et la négociation des capacités de sécuritédes capacités de sécurité

Composants externes à 802.11i :Composants externes à 802.11i :802.1x – protocole, ports contrôlé et non contrôlé, 802.1x – protocole, ports contrôlé et non contrôlé, authentificateur/supplicantauthentificateur/supplicantServeur d’authentification (AS) – RADIUSServeur d’authentification (AS) – RADIUS

TKIP – Temporal Key Integrity TKIP – Temporal Key Integrity ProtocolProtocol

Solution temporaire, court terme (patch Solution temporaire, court terme (patch WEP WEP TKIP, interopérabilité) TKIP, interopérabilité)

Corrige les problèmes connus de WEP :Corrige les problèmes connus de WEP :Empêche de « forger » des tramesEmpêche de « forger » des trames

Empêche de « rejouer » (replay)Empêche de « rejouer » (replay)

Corrige la mauvaise implémentation du Corrige la mauvaise implémentation du chiffrement dans WEPchiffrement dans WEP

Ne réutilise jamais les clésNe réutilise jamais les clés

TKIP – Temporal Key Integrity TKIP – Temporal Key Integrity ProtocolProtocol

Clés :Clés :1 clé 128 bits pour le chiffrement RC41 clé 128 bits pour le chiffrement RC42 clés 64 bits pour l’intégrité (AP et STA 2 clés 64 bits pour l’intégrité (AP et STA utilisent une clé différente)utilisent une clé différente)

MichaelMichaelCode d’intégrité de message (MIC), utilise Code d’intégrité de message (MIC), utilise deux clés 64 bitsdeux clés 64 bitsContre-mesuresContre-mesures

IV 48 bits (24 dans WEP) – mécanisme IV 48 bits (24 dans WEP) – mécanisme anti-anti-replayreplay

AES-CCMPAES-CCMP128 bit 128 bit AESAES in in CCounter Mode with ounter Mode with CCBC-BC-MMAC AC PProtocolrotocol

Conception nouvelle, nécessite du Conception nouvelle, nécessite du nouveau matérielnouveau matériel

Solution long termeSolution long termeÉtat de l’art cryptographiqueÉtat de l’art cryptographique

AES peut être remplacé par tout algorithme AES peut être remplacé par tout algorithme de chiffrement par bloc de 128 bitsde chiffrement par bloc de 128 bits

CCM : confidentialité et intégritéCCM : confidentialité et intégrité

Résout les problèmes de WEPRésout les problèmes de WEP

Modes WPA/WPA2Modes WPA/WPA2

Mode Entreprise (802.1x, RADIUS)Mode Entreprise (802.1x, RADIUS)Nécessite un serveur d’authentificationNécessite un serveur d’authentification

RADIUS pour authentification et distribution des RADIUS pour authentification et distribution des clésclés

Gestion centralisée des utilisateursGestion centralisée des utilisateurs

Mode Personnel : clé partagée – pre-shared Mode Personnel : clé partagée – pre-shared key (key (PSKPSK))

Ne nécessite pas de serveur d’authentificationNe nécessite pas de serveur d’authentification

« Secret partagé » pour l’authentification sur le « Secret partagé » pour l’authentification sur le point d’accès – 256 bitspoint d’accès – 256 bits

Génération de la clé depuis une passphrase : Génération de la clé depuis une passphrase : algorithme imposéalgorithme imposé

ComparaisonComparaison

WEPWEP TKIPTKIP CCMPCCMP

CipherCipher RC4RC4 RC4RC4 AESAES

Key SizeKey Size 40/104 bits40/104 bits128 bits encryption128 bits encryption

64 bits 64 bits AuthenticationAuthentication

128 bits128 bits

Key LifeKey Life 24-bit IV24-bit IV 48-bit IV48-bit IV 48-bit IV48-bit IV

Packet KeyPacket Key ConcatenateConcatenatedd Mixing FunctionMixing Function Not NeededNot Needed

Data IntegrityData Integrity CRC-32CRC-32 MichaelMichael CCMCCM

Header Header IntegrityIntegrity NoneNone MichaelMichael CCMCCM

Replay AttackReplay Attack NoneNone IV SequenceIV Sequence IV SequenceIV Sequence

Key Key ManagementManagement NoneNone 802.11i 4-Way 802.11i 4-Way

HandshakeHandshake

802.11i 4-802.11i 4-Way Way

HandshakeHandshake

SommaireSommaire

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

802.11i, WPA, WPA2802.11i, WPA, WPA2

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

SynthèseSynthèse

Windows XP Gold :Windows XP Gold :802.1x EAP-TLS802.1x EAP-TLSWireless Zero Configuration ServiceWireless Zero Configuration Service

SP1 : PEAPSP1 : PEAP802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-TLS802.1x PEAP-EAP-TLS

SP2 : WPA (authentification, TKIP, AES SP2 : WPA (authentification, TKIP, AES optionnel)optionnel)

Ou SP1+KB.826942 Ou SP1+KB.826942 http://support.microsoft.com/kb/826942http://support.microsoft.com/kb/826942info : http://support.microsoft.com/kb/815485info : http://support.microsoft.com/kb/815485

SP2+KB.893357 : WPA2 (29 avril 2005)SP2+KB.893357 : WPA2 (29 avril 2005)http://support.microsoft.com/kb/893357http://support.microsoft.com/kb/893357

AuthentificationAuthentificationOpenOpenSharedSharedWPAWPAWPA-PSKWPA-PSKWPA2WPA2WPA2-PSKWPA2-PSK

ChiffrementChiffrementDésactivéDésactivéWEPWEPTKIPTKIPAESAES

802.1x802.1x

EAP-TLS : « carte à EAP-TLS : « carte à puce ou autre puce ou autre certificat »certificat »

PEAPPEAPMS-CHAP v2MS-CHAP v2

EAP-TLSEAP-TLS

Authentification 802.1x avec Authentification 802.1x avec WindowsWindows

Phase 1 – logon Phase 1 – logon machinemachineAssociation 802.11 (Open)Association 802.11 (Open)

Authentification de l’AP (secret RADIUS)Authentification de l’AP (secret RADIUS)

Authentification du serveur RADIUS (certificat)Authentification du serveur RADIUS (certificat)

Authentification de la machineAuthentification de la machine

Connexion du « Controlled Port » - pour l’accès de Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autoriséesla machine aux ressources autorisées

Phase 2 – logon Phase 2 – logon utilisateurutilisateurAuthentification de l’utilisateurAuthentification de l’utilisateur

Connexion du « Controlled Port » - pour l’accès de Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autoriséesl’utilisateur aux ressources autorisées

Pourquoi authentifier la Pourquoi authentifier la machine ?machine ?

Logon de la machine dans le domaine Logon de la machine dans le domaine nécessaire:nécessaire:

Group PoliciesGroup Policies

Scripts de logon machineScripts de logon machine

Management : inventaire, déploiement Management : inventaire, déploiement d’application par GPO/SMS/autresd’application par GPO/SMS/autres

Expiration du mot de passe de l’utilisateur :Expiration du mot de passe de l’utilisateur :Connexion et logon machine nécessaires pour la Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de mot notification de l’utilisateur le changement de mot de passede passe

EAP-TLS avec carte à puceEAP-TLS avec carte à puce

Correctif 890937 (21/1/2005)Correctif 890937 (21/1/2005)http://support.microsoft.com/kb/890937http://support.microsoft.com/kb/890937

Permet d’authentifier :Permet d’authentifier :la machine avec son certificat logiciella machine avec son certificat logiciel

L’utilisateur avec sa carte à puceL’utilisateur avec sa carte à puce

HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\1313UseSoftTokenWithMachineAuthentication = 1UseSoftTokenWithMachineAuthentication = 1

WPA2WPA2

Windows XP SP2 etWindows XP SP2 et

http://support.microsoft.com/kb/893357http://support.microsoft.com/kb/893357

Disponible le 29 avril 2005Disponible le 29 avril 2005

Inclut les fonctions obligatoires Inclut les fonctions obligatoires supplémentaires de 802.11isupplémentaires de 802.11i

Internet Authentication Server (Internet Authentication Server (IASIAS))Serveur RADIUS de MicrosoftServeur RADIUS de MicrosoftRemote Access PoliciesRemote Access PoliciesEAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)

Certificate ServicesCertificate ServicesPKI avec auto-enrôlement des machines et des PKI avec auto-enrôlement des machines et des utilisateursutilisateurs

Active DirectoryActive DirectoryGestion centralisée des machines et utilisateursGestion centralisée des machines et utilisateursConfiguration centralisée des clients Wi-Fi (Configuration centralisée des clients Wi-Fi (Group Group PoliciesPolicies) [) [WPA : SP1WPA : SP1]]

Mise en œuvreMise en œuvre

1.1. Construire le serveur IAS Windows Server Construire le serveur IAS Windows Server 20032003

2.2. Joindre le domaineJoindre le domaine3.3. Obtenir un certificat pour le serveurObtenir un certificat pour le serveur4.4. Enregistrer le serveur IAS dans l’ADEnregistrer le serveur IAS dans l’AD5.5. Configurer le Configurer le logginglogging RADIUS RADIUS6.6. Ajouter l’AP comme client RADIUSAjouter l’AP comme client RADIUS7.7. Configurer l’AP pour RADIUS et 802.1xConfigurer l’AP pour RADIUS et 802.1x8.8. Créer la « stratégie d’accès distant »Créer la « stratégie d’accès distant »9.9. Configurer les clients (ne pas oublier Configurer les clients (ne pas oublier

d’importer le certificat de l’autorité racine)d’importer le certificat de l’autorité racine)

SommaireSommaire

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

802.11i, WPA, WPA2802.11i, WPA, WPA2

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

SynthèseSynthèse

Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de Microsoft

Un des plus importants déploiements Un des plus importants déploiements d’entreprised’entreprise

42 000 utilisateurs dans 42 pays42 000 utilisateurs dans 42 pays

150+ bâtiments dans le monde150+ bâtiments dans le monde

4360+ points d’accès4360+ points d’accès

420 000 m2 couverts420 000 m2 couverts

10 000+ utilisateurs simultanés sur le 10 000+ utilisateurs simultanés sur le campuscampus

Sécurisé par 802.1x avec EAP-TLS et PEAPSécurisé par 802.1x avec EAP-TLS et PEAP

Securing Wireless LANs - A Securing Wireless LANs - A Windows Server 2003 Certificate Windows Server 2003 Certificate Services SolutionServices Solution

http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxprodtech/win2003/pkiwire/SWLAN.mspx

http://go.microsoft.com/fwlink/?LinkId=14844http://go.microsoft.com/fwlink/?LinkId=14844

Securing wireless LANs with Securing wireless LANs with PEAP and passwordsPEAP and passwords

http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/guidance/peap_0.mspxguidance/peap_0.mspx

http://go.microsoft.com/fwlink/?LinkId=23481http://go.microsoft.com/fwlink/?LinkId=23481

SommaireSommaire

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

802.11i, WPA, WPA2802.11i, WPA, WPA2

Mise en œuvre dans Windows Mise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

SynthèseSynthèse

SynthèseSynthèse

Aujourd’huiAujourd’huiEntreprises : 802.1xEntreprises : 802.1x

EAP-TLS si vous avez une PKIEAP-TLS si vous avez une PKI

PEAP-EAP-MS-CHAP v2 sinonPEAP-EAP-MS-CHAP v2 sinon

WPA ou WPA2 si possible (matériels récents)WPA ou WPA2 si possible (matériels récents)

Particuliers et petites entreprises :Particuliers et petites entreprises :WPA ou WPA2 (PSK) si possible (matériels WPA ou WPA2 (PSK) si possible (matériels récents)récents)

RéférencesRéférences

The Unofficial 802.11 Security Web PageThe Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, WindowsBernard Aboba, Network Architect, Windowshttp://www.drizzle.com/~aboba/IEEE/http://www.drizzle.com/~aboba/IEEE/Wi-FiWi-Fihttp://www.microsoft.com/wifihttp://www.microsoft.com/wifihttp://www.wi-fi.orghttp://www.wi-fi.orgGuides Solutions MicrosoftGuides Solutions Microsoft

Securing Wireless LANs - A Windows Server 2003 Certificate Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution Services Solution http://www.microsoft.com/technet/security/prodtech/win200http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx3/pkiwire/SWLAN.mspx

http://go.microsoft.com/fwlink/?LinkId=14844http://go.microsoft.com/fwlink/?LinkId=14844Securing wireless LANs with PEAP and passwordsSecuring wireless LANs with PEAP and passwordshttp://www.microsoft.com/technet/security/guidance/peap_0.http://www.microsoft.com/technet/security/guidance/peap_0.mspxmspxhttp://go.microsoft.com/fwlink/?LinkId=23481http://go.microsoft.com/fwlink/?LinkId=23481

RéférencesRéférences

The Cable Guy - March 2003The Cable Guy - March 2003Wi-Fi Protected Access (WPA) OverviewWi-Fi Protected Access (WPA) Overviewhttp://www.microsoft.com/technet/community/columhttp://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspxns/cableguy/cg0303.mspx

The Cable Guy – November 2004The Cable Guy – November 2004Wi-Fi Protected Access Data Encryption and IntegrityWi-Fi Protected Access Data Encryption and Integrityhttp://www.microsoft.com/technet/community/columhttp://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspxns/cableguy/cg1104.mspx

The Cable Guy - May 2005The Cable Guy - May 2005Wi-Fi Protected Access 2 (WPA2) OverviewWi-Fi Protected Access 2 (WPA2) Overviewhttp://www.microsoft.com/technet/community/columhttp://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspxns/cableguy/cg0505.mspx

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com