1 | client mac dans un réseau wifi dentreprise sécurisé pascal sauliere – consultant principal...
Post on 03-Apr-2015
108 Views
Preview:
TRANSCRIPT
1| |
Client Mac dans un réseau Wifi d’entreprise sécurisé
Pascal Sauliere – Consultant Principal Sécuritéhttp://blogs.technet.com/pascals
2| |
Sommaire
• Sécurité Wi-fi d’entreprise
• Architecture type
• Protocoles mis en jeu
• Composants Windows mis en jeu
• Démonstration : intégration d’un client Mac• Requête et récupération d’un certificat• Authentification
3| |
État de l’art : 802.11i
• Personnel : WPA-PSK, WPA2-PSK• Authentification : clé partagée dérivée d’une passphrase• Chiffrement : TKIP (RC4) ou AES
• Entreprise : WPA, WPA2• Authentification « couche 2 » : 802.1x, RADIUS
• PEAP MSCHAPv2 – Mots de passe (+ certificat du serveur RADIUS)• EAP-TLS – Certificats (+ certificat du serveur RADIUS)
• Chiffrement : TKIP (RC4), AES
4| |
Architecture entreprise type
• Authentification : 802.1x
Client« supplicant »
Authentificateur : point d’accèsWi-fi compatible 802.1x
Serveurd’authentification
RADIUS
Base decomptes
EAP RADIUS
5| |
IEEE 802.1x (2001)• Protocole indépendant du support physique
(Ethernet, WiFi)• Point d’accès compatible 802.1x• Pas de contrainte sur les cartes réseau sans fil• Authentification avec EAP (RFC 3748)
• Extensible Authentication Protocol – IETF• Choix du protocole d’authentification (méthode EAP)• L’AP ne s’occupe pas des méthodes EAP
• Autorisations avec RADIUS (RFC 2865)• Chiffrement du trafic :
• Gestion dynamique des clés 802.11
6| |
Méthodes EAP utilisées
• EAP-TLS (RFC 2716)• Authentification TLS• Certificats serveur et clients : nécessite une PKI• Détermination des clés 802.11
• PEAP (Protected EAP) :• Protège (TLS) le protocole d’authentification, même faible (MS
CHAP v2)• Certificat Serveur uniquement• Détermination des clés 802.11
7| |
Démo : environnement technique• 1 Point d’accès : Cisco AP 1200• 1 Serveur : Windows Server 2003 SP2
• Base de comptes : Active Directory• RADIUS : Internet Authentication Service (IAS)• PKI : Certificate Services (CertSrv)
• 802.1x, EAP-TLS : nécessite un certificat pour chaque client.
• Chiffrement WPA, TKIP, clés gérées et renouvelées automatiquement après authentification
• 1 Client : Mac OS 10.5.2 (Leopard)
8| |
Démonstration
• Préparation d’une requête de certificat pour le client Mac
• Envoi de la requête au serveur de certificats et récupération du certificat
• Installation du certificat client
• Connexion au réseau Wi-fi avec authentification par le certificat
9| |
Démo – 1ère étape
• Préparer une requête de certificat dans un fichier request.txt sur le bureau de l’utilisateur.
• Caractéristiques du certificat demandé :• Clé : RSA 1024 bits• Utilisation : signature et chiffrement• Signature du certificat : RSA avec SHA-1• Informations sur le sujet
10| |
Démo – 2ème étape
Envoi de la requête au serveur de certificats et récupération du certificat
•Depuis une machine Windows, avec IE :
•http://serveur/certsrv
•Envoyer la requête (copier-coller)
•Récupérer le certificat utilisateur avec le certificat de l’autorité de certification
11| |
Démo – 3ème étape
Installation du certificat client
• Importer le fichier contenant les certificats dans le « trousseau » (keychain) de l’utilisateur
12| |
Démo – 4ème étape
• Connexion au réseau Wi-fi avec authentification par le certificat
• Permettre au client EAP d’accéder au certificat dans le trousseau
• Vérifier adresse IP (DHCP) et connectivité
13| |
www.microsoft.comp/france/interop
top related