1
Security
Wireless mesh networks
Sécurité des réseaux mesh sans fil.
Réalisé par:
Omar CheikhrouhouSous la direction:
Maher Ben Jemaa Maryline Maknavicius
jeudi 20 avril 2023 Omar CHEIKHROUHOU 2
Plan
Réseaux mesh sans fil Objectifs Solutions proposées
Extension du protocole 802.1X Architecture d’authentification basée sur PANA Nouvelle méthode d’authentification : EAP-EHash
Conclusion & perspectives
jeudi 20 avril 2023 Omar CHEIKHROUHOU 3
Qu’est ce qu’un réseau mesh sans fil?
Internet
Routeurs mesh
Nœuds mobiles
jeudi 20 avril 2023 Omar CHEIKHROUHOU 4
Différence par rapport aux WLANs
Internet
Je ne vois pas le point
d’accès
BSS BSS
Internet
Routeur d’accès (AR). Point d’accès (AP).Système de distribution sans fil (WDS).
Système de distribution filaire (DS).
Chemins multi-sauts. Communication directe entre le mobile et AP.
jeudi 20 avril 2023 Omar CHEIKHROUHOU 5
Domaines d’applications
jeudi 20 avril 2023 Omar CHEIKHROUHOU 6
Les risques de sécurité
Analyse de trafic Usurpation d’identité Utilisation des ressources par des nœuds
non autorisées
jeudi 20 avril 2023 Omar CHEIKHROUHOU 7
Objectifs
Authentification Contrôle d’accès Confidentialité
IPsec
8
Authentification
Première solution: extension de 802.1X
jeudi 20 avril 2023 Omar CHEIKHROUHOU 9
802.1X: philosophie
Supplicant(802.1X client )
Authentication server(e.g. RADIUS)
Services offered byAuthenticator’s
system
Authenticator PAE
Supplicant PAE
LAN
Uncontrolled portControlled port
Unauthorized port
Authenticator ( 802.1X access point)
Internet
Authentication Server
EAP protocol exchanges carried in higher-layer
protocol
jeudi 20 avril 2023 Omar CHEIKHROUHOU 10
802.1X: extension proposée (1)
Supplicant( 802.1X client) Authenticator
(802.1X mesh router )
Ad hoc networks
Type Version Code LengthEAP
Packet
Trame EAPOL
traditionnelle
NouvelleTrame EAPOL
Type Version Code LengthDestination
AddressSource Address
EAP Packet
802.11
EAPOL
EAP
EAP method (MD5,TLS,PEAP,…)
Supplicant(802.1X client )
Authenticator ( 802.1X access point)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 11
802.1X extension: procédure d’authentification dans WMN
EAP-Success, TimeStamp, MIC
EAPOL Start
EAP Identity Request
RADIUS Access Accept (EAP)
Derived key
EAPOL Start
Authentication message exchanges
1
2
3
4
EAPOL (EAP Over LAN) EAP Over RADIUS
Authentication server(e.g. RADIUS)
Authenticator (802.1X mesh router )
Internet
Intermediate node (802.1X relay)
Supplicant( 802.1X client)
MACi1MACs
Destination Next_hop others
…… ……
MACs MACi1
….. …...
5
jeudi 20 avril 2023 Omar CHEIKHROUHOU 12
Vulnérabilités de 802.1X: attaque DoS
Internet
HTTP
SMTP
VoIP
On va s’amuser un peu ! EAPOL-Logoff(@MAC=X) EAPOL-Logoff(@MAC=Y)
X Y
jeudi 20 avril 2023 Omar CHEIKHROUHOU 13
802.1X: extension proposée (2)
Supplicant( 802.1X client) Authenticator
(802.1X mesh router )
Ad hoc networks
Type Version Code LengthEAP
Packet
Trame EAPOL
traditionnelle
NouvelleTrame EAPOL
Type Version Code LengthDestination
AddressSource Address TimeStamp MIC
EAP Packet
jeudi 20 avril 2023 Omar CHEIKHROUHOU 14
Augmenter le niveau de sécurité: lutter contre DoS
Internet
HTTP
SMTP
VoIP
Je dois trouver d’autre solution
EAPOL-Logoff(@MAC=X)
*J’ai reçu EAPOL-Logoff*Verification de MIC
jeudi 20 avril 2023 Omar CHEIKHROUHOU 15
Les apports de notre extension Utilisation du protocole 802.1X dans les
réseaux mesh sans fil. Amélioration de la sécurité du protocole
802.1X Fournir l’intégrité des messages
16
Authentification
Deuxième solution, basée sur PANA
(Protocol for Carrying Authentication for Network Access)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 17
802.11
Encapsulation de EAP dans PANA PANA permet de transporter les messages
d’authentification au-dessus de la couche IP.
IP
UDP
PANA
EAP
EAP method (MD5,TLS,PEAP,…)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 18
PANA: philosophie
PaC PAA
Internet
EP
AAAPANA
SN
MP
/AP
I
IKE
/4-way handshake
Serveur d’authentification
jeudi 20 avril 2023 Omar CHEIKHROUHOU 19
PANA dans les réseaux mesh : idée 1
Serveur d’authentification
PaC
EP
AR
PAA
EP/AR/PAA
jeudi 20 avril 2023 Omar CHEIKHROUHOU 20
PANA dans les réseaux mesh : idée 2
AR/EP
PAA
AR/EP
AS
PaC
jeudi 20 avril 2023 Omar CHEIKHROUHOU 21
Comparaison entre les deux architectures
Coût de déploiement de réseau
Complexité du routeur mesh
Mobilité
sécurité
Comparison
AS
PaC
EP/AR/PAA
AR/EP
PAA
AR/EP
AS
PaC
jeudi 20 avril 2023 Omar CHEIKHROUHOU 22
Autorisation
WMN sécurité: Procédure complète avec PANA
PaC AR/EP PAA DHCP Server AS
IKE
IPsec SA
Authentification interaction
Configuration
Découverte de PAA
jeudi 20 avril 2023 Omar CHEIKHROUHOU 23
Le protocole EAP
Extension de 802.1X Authentification au
niveau 2
PANA Authentification au
niveau 3
802.11
EAPOL
EAP
EAP method (MD5,TLS,PEAP,…)
802.11
IP
UDP
PANA
EAP
EAP method (MD5,TLS,PEAP,…)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 24
Insuffisances des méthodes EAP EAP-MD5
Vulnérables aux attaques Authentification unilatérale
EAP-TLS Traitement lourd Gestion d’un IGC
jeudi 20 avril 2023 Omar CHEIKHROUHOU 25
La méthode EAP-MD5
Client
EAP-Request(challenge)
EAP-Request(Identity?)
EAP-Response (MyID)
EAP-Response(HASH)Verify?
No
yes
AuthentificateurServeur
d’authentification
EAP-Success Access Accept (EAP)
EAP-Failure Access Reject (EAP)
HASH = MD5 (secret, Challenge)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 26
Nouvelle méthode d’authentification : EAP-EHash
Client
EAP-Request(challenge || ServerId || RandS || {MIC}_EK )
EAP-Request(Identity?)
EAP-Response (MyID)
EAP-Response(RandC || {HASH}_EK)Verify?
No
yes
AuthentificateurServeur
d’authentification
EAP-Success Access Accept (EAP)
EAP-Failure Access Reject (EAP)
•RandS•AK= F (PSK, RandS)•EK= F (PSK, RandS || ServerID || ClientID)•Challenge
•RandC•HASH = F (AK, Challenge || RandC)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 27
Analyse de la méthode EAP-EHash Traitement léger Authentification rapide Authentification mutuelle Efficacité contre les attaques
jeudi 20 avril 2023 Omar CHEIKHROUHOU 28
Validation formelle de EAP-EHash AVISPA (Automated Validation of Internet
Security Protocols and Applications) Spécification avec HLPSL (High-Level
Protocol Specification Language) Vérification avec le model-checking ofmc (on-
the-fly-model-checking)
jeudi 20 avril 2023 Omar CHEIKHROUHOU 29
Validation formelle de EAP-EHashrole server(...played_by S def=...1.State=1 /\ RCV(respond_id.peerId)=|> State':=2 /\ RandS':=new()…/\MAC':={MIC(AK',Challenge'.serverId.RandS')}_EK'/\ SND(Challenge'.serverId.RandS'.MAC')… /\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S}) … 2. State=2 /\ RCV(RandP'.HASH')
/\HASH'={HMAC(AK,Challenge.RandP')}_EK=|> State':=3 /\ request(S,P,RandP')
/\ SND(success)end role %server
role peer(...played_by P def=...1.State=1 /\ RCV(Challenge'.serverId.RandS'.MAC')
/\ AK'=PRF(PSK.RandS') /\ EK'=PRF(PSK.RandS'.serverId.peerId)
/\ MAC'={MIC(AK',Challenge'.serverId.RandS')}_EK'
=|> State':=2 /\ RandP':=new()
/\ HASH':={HMAC(AK',Challenge'.RandP')}_EK' /\ SND(RandP'.HASH') /\ witness(P,S,rp,RandP') /\ request(P,S,rs,RandS') /\ request(P,S,ch,Challenge')
/\ secret(AK',sec_ak,{P,S}) /\ secret(EK',sec_ek,{P,S})...end role %peer
jeudi 20 avril 2023 Omar CHEIKHROUHOU 30
Validation formelle de EAP-EHashrole session(
P,S: agent,PSK: symmetric_key,MIC,HMAC,PRF: function)
def= local
Speer,Rpeer,Sserver,Rserver : channel (dy) composition
peer(P,S,PSK,MIC,HMAC,PRF,Speer,Rpeer) /\
server(P,S,PSK,MIC,HMAC,PRF,Sserver,Rserver)
end role%%%%%%%%%%%%%%%%%%%%%%%%%goalauthentication_on ch,rsauthentication_on rpsecrecy_of sec_ak,sec_ekend goal
% OFMC% Version of 2005/06/07SUMMARY SAFEDETAILS BOUNDED_NUMBER_OF_SESSIONSPROTOCOL /root/avispa-1.0/testsuite/results/EHash05.ifGOAL as_specifiedBACKEND OFMC…
Résultats
jeudi 20 avril 2023 Omar CHEIKHROUHOU 31
Conclusion
Deux solutions pour l’authentification: Extension de 802.1X PANA
Nouvelle méthode EAP: EAP-EHash. Validation formelle de EAP-EHash.
jeudi 20 avril 2023 Omar CHEIKHROUHOU 32
Perspectives
Mise en place d’une plateforme pour la comparaison de deux solutions.
Implémentation EAP-EHash. Roaming et Re-authentification. Gestion des clés.
Top Related