Réseaux Wireless sécurisés

avec Windows XP et
Windows Server 2003

Pascal Sauliere
Consultant Principal Sécurité
Microsoft France
http://www.microsoft.com/france/securite/
Wireless sécurisé ?
 Ne pas déployer de WLAN
 Risque = points d’accès pirates
 Sécurité 802.11 basique (WEP)
 Risque associé à la faiblesse de WEP
 Utiliser un VPN
 Non transparent pour le client, introduit un
goulot d’étranglement
 Utiliser IPsec
 Pas d’authentification utilisateur, complexe
 Utiliser 802.1x, EAP-TLS ou PEAP
 Etat de l’art actuel
 Utiliser WPA
 Etat de l’art transitoire
Agenda

 Le protocole 802.1x
 WPA – Wireless Protected Access
 Mise en œuvre dans Windows XP et
Windows Server 2003
 Scénarios de déploiement
Agenda

 Le protocole 802.1x
 WPA – Wireless Protected Access
 Mise en œuvre dans Windows XP et
Windows Server 2003
 Scénarios de déploiement
Le protocole 802.1x

802.1x
RADIUS
EAP
PEAP
IEEE 802.1x (IEEE, 2001)

 IEEE 802.1 : LAN/MAN Bridging &

Management
 IEEE 802.1x : Port-Based Network Access
Control
 http://www.ieee802.org/1/pages/802.1x.html
 Standard de contrôle d’accès au réseau,
indépendant du support physique (Ethernet,
Wireless)
 Notion de port : point d’attachement d’un
système au LAN
802.1x
Caractéristiques
 Point d’accès (AP) compatible 802.1x
 Pas de contrainte sur les cartes réseau
sans fil
 Authentification avec EAP
 Extensible Authentication Protocol – IETF
 Choix du protocole d’authentification (méthode
EAP)
 L’AP ne s’occupe pas des méthodes EAP
 Autorisations avec RADIUS
 Chiffrement du trafic :
 Gestion dynamique des clés 802.11 WEP
 802.1x
Vocabulaire
Authenticator

Authentication
Supplicant
Server

Port Authentication
Entity (PAE)
 802.1x
Controlled & uncontrolled port

Controlled Port

IEEE 802.1x

Distribution
System

Client Wi-Fi
Uncontrolled Port
802.11/802.1x state machine
Class 1 frames State 1
802.11 unauthenticated
Unassociated
Successful open
authN DeauthN

Class 1, 2 State 2 notification

DeauthN
frames 802.11 authenticated
notificati
Unassociated on
Successful assoc or
reassoc Disassoc

Class 1, 2, 3 State 3 notification

frames 802.11 authenticated
Associated
Successful 802.1X
authN EAPOL-logoff
State 4
Class 1, 2, 3
802.11 authenticated
frames
Associated
802.1X authenticated
RADIUS

 Remote Authentication Dial-In User Service

(RADIUS)
 AAA – Authentification, Autorisation, et
Accounting pour accès réseau
 RFC 2865 & 2866
 A l’origine pour l’accès distant par modem,
aujourd’hui pour :
 Points d’accès sans fil
 Switches Ethernet
 Serveurs VPN
 DSL et autres Network Access Servers (NAS)
Architecture RADIUS
Access
clients

Dial-Up VPN Vireless Access RADIUS

Server Server Servers = clients
AP

RADIUS RADIUS
proxy protocol

RADIUS User account

Server database
Protocole RADIUS
 1812/udp : authentication messages
 1813/udp : accounting messages
 RFC 2865 : RADIUS
 RFC 2866 : RADIUS Accounting
 Messages RADIUS
 Access-Request
 Access-Accept
 Access-Reject
 Access-Challenge
 Accounting-Request
 Accounting-Response
 Attributes : RFC
 « EAP over RADIUS » utilise Access-Challenge et Access-
Request
 Secret partagé entre le serveur RADIUS et le client RADIUS
(access server) : authentification des messages et cryptage
d’attributs sensibles
 EAP

 Extension de PPP pour des

mécanismes arbitraires
d’authentification d’accès réseau
 Plug-in d’authentification sur le client
et le serveur RADIUS
Serveur
Point d’accès RADIUS
Client Wi-Fi

Messages EAP Messages RADIUS

Dialogue EAP
 Authentification
Authentication
Supplicant Authenticator
Server
802.11
association Access blocked

EAPOL-start

EAP-request/
identity
EAP-response/ RADIUS-access-request
identity (EAP)
EAP-request RADIUS-access-
challenge (EAP)
EAP-response RADIUS-access-request
(credentials) (EAP)
EAP-success RADIUS-access-accept
(EAP)
EAPOW-key
(WEP)
Access
allowed
Clés de chiffrement
 Le client et le serveur RADIUS génèrent des
clés de session WEP par utilisateur
 Jamais transmises dans l’air
 RADIUS envoie la clé à l’AP, chiffrée avec le
secret partagé
 Le point d’accès a une clé WEP globale
 Utilisée pendant l’authentification de l’AP au
client
 Envoyée dans un message EAPOW-key
 Chiffrée avec la clé de session
 Les clés de session sont regénérées
quand…
 Durée de vie expirée (60 minutes par défaut)
 Le client se déplace vers un nouvel AP
Architecture EAP

MS-CHAPv2

SecurID
TLS
GSS_API method
TLS PEAP IKE MD5
Kerberos
Kerberos layer

EAP
EAP
layer

media
PPP 802.3 802.5 802.11 Anything…
layer
Méthodes EAP
 EAP-MD5 : utilise CHAP pour authentifier
l’utilisateur. Déconseillé pour le wireless :
hashes transmis en clair, pas
d’authentification mutuelle.
 EAP-TLS
 Certificats machine et/ou utilisateur : nécessite
une PKI.
 Détermination des clés 802.11
 PEAP (Protected EAP) :
 Tunnel TLS pour protéger le protocole
d’authentification, même faible (MS CHAP v2)
 Certificat Serveur uniquement
 Nécessite Windows XP SP1 et IAS de Windows
Server 2003
 Détermination des clés 802.11
PEAP
Microsoft, Cisco, RSA
1. Crée un tunnel TLS avec le certificat
du serveur RADIUS uniquement
2. Authentifie le client dans ce tunnel
 Le protocole d’authentification est
protégé

TLS EAP Authentification

PEAP

 PEAP-EAP-MS-CHAP v2
 MS-CHAP v2 utilise un mot de passe
(utilisateur et/ou machine)
 Pas de certificat client
 Solution si pas de PKI
 PEAP-EAP-TLS
 Nécessite un certificat client, donc une
PKI
 Protège l’identité du client
 Plus lent que EAP-TLS
802.1x : est-ce suffisant ?

 Non
 Il résout :
 La découverte des clés – changement fréquent
et clés distinctes par client
 Les points d’accès pirates et attaques « man in
the middle » – authentification mutuelle
 Accès non autorisés – authentification des
utilisateurs et des machines
 Il ne résout pas :
 Spoofing de paquets et des disassociations –
801.1x n’utilise pas de MIC à clé
Agenda

 Le protocole 802.1x
 WPA – Wireless Protected Access
 Mise en œuvre dans Windows XP et
Windows Server 2003
 Scénarios de déploiement
WPA

 Standard temporaire avant ratification de

802.11i
 Requis pour la certification Wi-Fi

 Wi-Fi Protected Access

http://www.wi-fi.org/OpenSection/
protected_access.asp
 Overview of the WPA Wireless Security
Update in Windows XP
http://support.microsoft.com/?id=815485
Objectifs de WPA

 Réseau sans fil sécurisé : 802.1x

requis, chiffrement, gestion des clés
Unicast et globale
 Corriger les faiblesses de WEP par
une mise à jour logicielle
 Solution sécurisée pour les réseaux
domestiques
 Evolutif vers 802.11i
 Disponible aujourd’hui
WPA

 Nécessite une mise à jour :

 Firmware de l’AP
 Firmware de la carte
 Driver de la carte
 Logiciel client (« supplicant »)
Caractéristiques de WPA

 Authentification 802.1x requise : EAP

et RADIUS, ou clé partagée
 Gestion des clés Unicast et Broadcast
 Temporal Key Integrity Protocol (TKIP)
 Michael : MIC (64 bits) remplace le
CRC32 de WEP
 AES (optionnel) à la place de RC4
 Support de clients WPA et WEP en
même temps
Modes WPA
 Mode Entreprise (802.1x)
 Nécessite un serveur d’authentification
 RADIUS pour authentification et
distribution des clés
 Gestion centralisée des utilisateurs
 Mode clé partagée – pre-shared key
mode (PSK)
 Ne nécessite pas de serveur
d’authentification
 « Secret partagé » pour l’authentification
sur le point d’accès – 256 bits
WPA 802.1x

RADIUS
Distribution System
server

Security Discovery
(WPA Information Element)

Authentification 802.1X

802.1X key RADIUS-based key

management distribution

TKIP
Scénario entreprise
WPA PSK

Security Discovery
(WPA Information Element)

802.1X key
management

TKIP
Scénario domestique
Agenda

 Le protocole 802.1x
 WPA – Wireless Protected Access
 Mise en œuvre dans Windows XP et
Windows Server 2003
 Scénarios de déploiement
Technologies
Windows XP

802.1x – EAP-TLS, PEAP

Clients 802.1x

 Windows XP : 802.1x natif

PEAP : Windows XP SP1
 Windows 98, 98SE, ME, NT4SP6,
2000SP3 :
KB.313664 le 8/11/2002.
http://www.microsoft.com/windows20
00/server/evaluation/news/bulletins/80
21xclient.asp
 Pocket PC 2002, avec driver adapté
 Pocket PC 2003
Windows XP
 Support des cartes wireless
 Automatisation de la configuration de la carte, détection des
SSID
 Windows XP Wireless Zero Configuration Service
 Ordre de préférence si plusieurs réseaux
 Ad-hoc si pas d’AP
 Support du roaming
 Réauthentification
 DHCP renew
 Applications notifiées du changement de configuration réseau
 Authentification IEEE 802.1x
 Ethernet et wireless
 EAP-TLS activé par défaut
 Windows ne commence pas le processus d’authentification
avant de recevoir des paquets 802.1x du switch : évite le bug de
certains switches… (cf. Windows XP Beta)
Windows XP

Obligatoire
pour EAP-TLS
et PEAP
Windows XP : EAP-TLS
Windows XP : PEAP
Authentification PEAP avec
Windows
 Phase 1 – logon machine
 Association 802.11
 Authentification de l’AP (secret RADIUS)
 Authentification du serveur RADIUS (certificat)
 Authentification de la machine (compte
machine, mot de passe)
 Connexion du « Controlled Port » - pour l’accès
de la machine aux ressources autorisées
 Phase 2 – logon utilisateur
 Authentification de l’utilisateur
 Connexion du « Controlled Port » - pour l’accès
de l’utilsiateur aux ressources autorisées
Pourquoi authentifier la
machine ?
 Logon de la machine dans le domaine
nécessaire :
 Group Policies
 Scripts de logon machine
 Déploiement d’application par
GPO/SMS/autres
 Expiration du mot de passe de
l’utilisateur :
 Connexion et logon machine nécessaires
pour la notification de l’utilisateur le
changement de mot de passe
Technologies
Windows Server 2003

Internet Authentication Server

IAS, serveur RADIUS de
Microsoft
IAS
Internet Authentication Service
 Serveur RADIUS de Windows 2000 et
Windows Server 2003
 Authentification, autorisation et accounting
(AAA) centralisés
 Supporte les RFC :
 2865 : RADIUS
 2866 : RADIUS Accounting
 Utilise Active Directory comme base de
comptes d’utilisateurs
 Credentials pour l’authentification
 Autorisations : propriétés remote dial-in des
utilisateurs et remote access policies
IAS comme serveur RADIUS
Access
clients

RADIU VPN Access RADIUS

Dial-in Vireless
S
Serve Serve Servers= clients
proxy AP
r r

RADIUS
protocol

RADIUS Active
Server Directory
Domain
Controler
Remote Access Policies

 Liste ordonnée de
règles qui
définissent
comment les
demandes de
connexion sont
autorisées ou
rejetées
Remote Access Policies

 Conditions  Restrictions
d’autorisation  Timeout inactivité
 Groupes  Durée de session
 Type de connexion maximale
 Heure  Niveau de
chiffrement
 Identité du serveur
d’accès  Méthode
d’authentification
 Numéro de
téléphone ou MAC  Filtres paquets IP
du client
 Accès non
authentifié autorisé DEMO…
ou non
EAP-TLS - Certificats
 Client : certificat utilisateur, machine, ou les deux
 Windows XP utilise EAP-TLS pour authentifier la
machine ou l’utilisateur
 3 modes :
 0 – Computer authentication mode : machine ou
utilisateur si échec
 1 – Computer authentication with re-authentication :
machine, puis utilisateur (dans les 60 secondes !)
 2 – Computer authentication only : uniquement machine
 Autoenrollment (Utilisateur sur Windows Server
2003)
Contraintes sur les
certificats
 Certificat client utilisateur ou machine :
 EKU: Client Authentication
 Extension Subject Alternative Name
(SubjectAltName) : UPN utilisateur ou nom DNS
(FQDN) machine
 Certificats « All Purpose » non supportés
 Certificat serveur RADIUS :
 EKU: Server Authentication
 Extension Subject Alternative Name
(SubjectAltName) : nom DNS (FQDN) machine
 Si le serveur est DC, il faut lui donner le
droit d’enrôler un certificat Computer.
Technologies
Windows XP
Windows Server 2003

WPA
Windows WPA Update

 http://support.microsoft.com/?kbid=815485
 Mise à jour des modules Wireless
Zero Configuration de Windows XP
Registry API
Explorer Crypto API
Netman
Netshell
SvcHost.exe
WZCSVC Service
wzcdlg.dll (wzcsvc.dll) Service Control Manager
802.11 (WZC) WMI

wzcsapi.dll 802.1x (EAPOL)

RPC JET
User space
Kernel space
Ndisuio

NDIS

Device drivers
Avant la mise à jour WPA

 Encryption
 WEP only
 Authentication
 Open
 Shared
Après la mise à jour WPA

 Encryption
 Disabled
 WEP
 TKIP
 AES
 Authentication
 Open
 Shared
 WPA
 WPA-PSK
Documentation

 Overview of the WPA Wireless

Security Update in Windows XP
http://support.microsoft.com/?kbid=815485
 The Cable Guy – March 2003
Wi-Fi Protected Access™ (WPA)
Overview
http://www.microsoft.com/technet/columns/
cableguy/cg0303.asp
Agenda

 Le protocole 802.1x
 WPA – Wireless Protected Access
 Mise en œuvre dans Windows XP et
Windows Server 2003
 Scénarios de déploiement
802.1x chez Microsoft

 2000 :
 70 bâtiments à Redmond, 1300 points
d’accès – 8 mois
 1200 points d’accès supplémentaires
dans le monde
 2001 :
 802.1x : 1 mois (Redmond + 23 autres
bureaux dans le monde)
802.1x chez Microsoft

Leçons :
 Intégrer le support de technologies
diverses : clients, points d’accès, PKI,
RADIUS, Active Directory
 Répondre aux besoins des employés
qui souhaitent s’équiper à domicile
 Prendre en compte les soucis des
employés en terme de santé :
conduire des analyses et
communiquer les résultats
802.1x chez Microsoft

Conseils :
 Changement des clés compatible avec la
charge des serveurs : nouvelles sessions,
déplacements et intervalles prédéterminés
 Impliquer le support tôt dans la phase de
planification
 Mécanisme de détection et suppression des
points d’accès pirates
 Vérifier les lois locales concernant les
équipements radio
 Placer les points d’accès et antennes dans
des boîtiers protégés ; utiliser une
alimentation basse tension centralisée
secourue
802.1x chez Microsoft
EAP/TLS
Domain User
connection
Certificate

rt
RADIUS

po
(IAS) Certificate

ll ed
Authority

tro
Laptop c on
Un
Domain
Controller

802.11/.1X
Access Point
rt
po d
olle

Exchange
ntr

DHCP
Co

Domain Controller
used to log onto domain
after obtaining an IP
address from DHCP
Peers File
Docteur Souris

 « Offir à des enfants hospitalités un

ordinateur personnalisé, et un accès
encadré à une messagerie
électronique et à Internet »
 Utilisé par plus de 250 enfants et
adolescents en quelques semaines
avant son inauguration le 14 octobre
2003 (Hôpital Trousseau)
 60 clients simultanés en pointe
http://www.docteursouris.asso.fr/
Docteur Souris

 Windows 2000, 2003, XP,

Exchange 2000, ISA Server 2000
 Active Directory
 PKI
 Auto-enrollment des machines
 RADIUS
 802.1x, EAP-TLS
 Administration simplifiée à l’usage
des éducatrices
Docteur Souris
HOPITAL INTERNET
Active Directory,
Certificate Services,
IAS
Enfants
Portables Enfants Sites Autorisés
Windows XP
Office XP

Parents
ANNUAIRE PORTAIL MESSAGERIE PARE FEU

Serveur de service
Windows XP

Windows 2003 Windows 2003

Windows 2000
Windows 2003 SQL 2000 ISA 2000
Exchange 2000
Active Directory SPS 2003 Administrateur

Tout les sites sur

Internet
Educatrice Windows XP
Office XP

Réseau Sans Fil Réseau Interne

Microsoft Solution for
Securing Wireless LANs
 http://www.microsoft.com/technet/security/prod
tech/win2003/pkiwire/SWLAN.asp
 http://go.microsoft.com/fwlink/?LinkId=14844
Microsoft Solution for
Securing Wireless LANs
 Planning Guide – guide de
planification
 Build Guide – procédures détaillées
de configuration et sécurisation
 Operations Guide – guide de
maintenance, supervision, support,
gestion des changements
 Test Guide – démarche de test utilisée
chez Microsoft pour valider la solution
 Lire les Release Notes pour
l’adaptation à WPA
Pointeurs

 The Unofficial 802.11 Security Web

Page
Bernard Aboba, Network Architect,
Windows
http://www.drizzle.com/~aboba/IEEE/
 Wi-Fi
http://www.microsoft.com/wifi
http://www.wi-fi.org