10/06/2011

www.labo-microsoft.org/articles/netwo

Scuriser un rseau Wi-Fi avec Windows 2003 Server

http://www.laboratoire-microsoft.org/articles/network/wpa/ Thomas LIAUTARD MGI CONSULTANTS Ingnieur systme et rseau Tous les articles de cet auteur

Imprimer cet Article

1. Prsentation de WPA et 802.1X

En attendant la nouvelle norme 802.11i en cours d'laboration, la Wi-Fi Alliance et l'IEEE ont dcid de dfinir le protocole WPA afin de combler les lacunes du protocole WEP. Prcdemment les rseaux Wi-Fi disposaient de cls WEP fixes, dcides sur les points d accs. Mais l'utilisation des cls WEP a rvl deux faiblesses importantes: L'utilisation d'algorithmes cryptographiques peu dvelopps l'a rendu trs vulnrable. Il suffit de quelques heures un ventuel pirate pour casser les cls utilises. Seconde faiblesse, l'impossibilit d'authentifier un ordinateur ou un utilisateur qui se connecterai au rseau. Afin de pallier au problme de cryptographie, WPA dfinit deux nouvelles mthodes de chiffrement et de contrle d'intgrit: TKIP (Temporal Key Integrity Protocol) : ce protocole a t conu afin de s'adapter au mieux au matriel existant. Il utilise RC4 comme algorithme de chiffrement , ajoute un contrle d'intgrit MIC et introduit un mcanisme de gestion des cls (cration de cls dynamiques un intervalle de temps prdfini) CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) : priori plus puissant que TKIP, il utilise AES comme algorithme de chiffrement. C'est la solution qui semble se distinguer long terme. Cependant ce protocole est totalement incompatible avec le matriel actuel. WPA utilise le protocole 802.1X . galement appel EAPOL (EAP Over Lan) il est utilis comme mthode de transport pour l'authentification EAP. C'est est une rponse au besoin d'authentifier les machines ou les utilisateurs connects sur un rseau local. Il permet donc de transfrer les paquets d'authentification vers divers lments d'un rseau mais offre aussi un mcanisme pour changer des cls qui vont tre utilises pour chiffrer les communications et en contrler l'intgrit. Le protocole 802.1X dfinit trois catgories d'acteur jouant chacun un rle diffrent. Le supplicant : il s'agit du poste de travail qui demande accder au rseau. L'authenticator : c'est le dispositif Wi-Fi (galement client Radius, voir chapitre suivant) fournissant la connexion au rseau. Il supporte deux tats, non autoris et autoris, mais il ne joue que le rle de relais dans l'authentification. Le serveur d'authentification : Il s'agit d'un serveur implmentant une solution Radius WPA est donc une solution complexe, cependant, un mode spcial de WPA (WPA-PSK : Pre Shared Key) existe galement afin de permettre aux particuliers de profiter de cette scurit sans disposer de serveur d'authentification. La configuration du WPA-PSK commence par la dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps prdfini.
labo-microsoft.org/articles/network// 1/4

10/06/2011

www.labo-microsoft.org/articles/netwo

2. Prsentation de lauthentification EAP

Il existe diffrentes mthodes d'authentification pour EAP (Extensible Authentication Protocol). Voici les diffrents mthodes classes de la moins sre la plus sre EAP-MD5: Cest la plus simple. Le client est authentifi par le serveur en utilisant un mcanisme de dfi rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte, compare les deux et en fonction du rsultat valide ou non lauthentification. Une coute du trafic peut dans le cas d un mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute. LEAP (Lightweight EAP): est un mthode propre Cisco qui repose sur l'utilisation de secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est bas sur l'change de dfi et rponse. EAP-TTLS (tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour changer des couples attribut valeur la manire de RADIUS11 servant lauthentification. Pratiquement nimporte quelle mthode dauthentification peut tre utilise. PEAP (Protected EAP): est une mthode trs semblable dans ses objectifs et voisine dans la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification supportes par EAP. EAP-TLS(Extensible Authentication Protocol-Transport Layer Security): Cest la plus sre. Le serveur et le client possdent chacun leur certificat qui va servir les authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit de dployer une infrastructure de gestion de cls. Rappelons que TLS, la version normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement, authentification mutuelle, contrle dintgrit). Cest lui qui est utilis de faon sous-jacente par HTTPS, la version scurise de HTTP, pour scuriser le Web. Nous utiliserons donc la mthode EAP-TLS qui propose ce jour le plus de scurit. Avec la mthode EAP-TLS lauthentification du client d'accs peut se faire de diffrentes faons : A laide dun certificat personnel associ la machine, lauthentification a lieu au dmarrage de la machine. A laide dun certificat personnel associ lutilisateur, lauthentification a lieu aprs lentre en session (" logon ") de lutilisateur. Il est possible de combiner les deux prcdentes mthodes. La valeur de la cl de registre "HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode" permet de modifier ce comportement : 0 authentification de la machine au dmarrage, en cas dchec authentification de lutilisateur au logon 1 authentification de la machine au dmarrage, puis authentification de lutilisateur au logon 2 uniquement authentification de la machine Nous utiliserons des certificats du type X509v3 Extended Key Usage dlivrs par le site Web de l'autorit de certification.

labo-microsoft.org/articles/network//

2/4

10/06/2011

www.labo-microsoft.org/articles/netwo

3. Prsentation de Radius
Le serveur Radius (Remote Authentication Dial-In User Service) a t initialement conu pour authentifier des connexions par modem (PPP). Dsormais Radius peut tre utilis pour centraliser l'authentification, l'autorisation et la gestion des comptes pour les connexions d'accs distance, VPN, Wi-Fi... Il est possible par exemple sous Windows 2003 Server de crer des stratgies d'accs pour autoriser des utilisateurs, des groupes d'utilisateurs, des ordinateurs ou tout autre ressource voulant se connecter au rseau. Le protocole Radius assure les changes entre un client Radius (borne d'accs Wi-Fi, authenticator) et le serveur d'authentification. Il s'agit d'un protocole UDP utilisant les ports 1812 pour l'authentification et 1813 pour la comptabilit. Un environnement Radius est compos : Dun serveur Radius qui centralise l'authentification, l'autorisation et la gestion des comptes Dun client Radius, c'est--dire un serveur daccs distant ou une borne daccs Wi-Fi (authenticator) qui reoit les demandes d'authentification RADIUS des clients et les retransmet au serveur Radius. Dun client daccs distance ou Wi-Fi (supplicant) quip de Windows XP, 2000 et certains autres systmes dexploitation non Microsoft. Dans notre cas nous utiliserons une authentification de type EAP-TLS, le protocole Radius ne servira donc qu' transporter du TLS et dfinir quel utilisateur ou quel groupe aura accs au rseau.

labo-microsoft.org/articles/network//

3/4

10/06/2011

www.labo-microsoft.org/articles/netwo

Introduction 1. Prsentation de WPA 2. Prsentation de lauthentification EAP 3. Prsentation de Radius 4. Installation d'une autorit de certificat racine 5. Installation et configuration du serveur Radius 6. Configuration du point d'accs Wi-Fi 7. Configuration des clients d'accs Wi-Fi Conclusion (c) Laboratoire Microsoft

labo-microsoft.org/articles/network//

4/4