1| |

Client Mac dans un réseau Wifi d’entreprise sécurisé

Pascal Sauliere – Consultant Principal Sécuritéhttp://blogs.technet.com/pascals

2| |

Sommaire

• Sécurité Wi-fi d’entreprise

• Architecture type

• Protocoles mis en jeu

• Composants Windows mis en jeu

• Démonstration : intégration d’un client Mac• Requête et récupération d’un certificat• Authentification

3| |

État de l’art : 802.11i

• Personnel : WPA-PSK, WPA2-PSK• Authentification : clé partagée dérivée d’une passphrase• Chiffrement : TKIP (RC4) ou AES

• Entreprise : WPA, WPA2• Authentification « couche 2 » : 802.1x, RADIUS

• PEAP MSCHAPv2 – Mots de passe (+ certificat du serveur RADIUS)• EAP-TLS – Certificats (+ certificat du serveur RADIUS)

• Chiffrement : TKIP (RC4), AES

4| |

Architecture entreprise type

• Authentification : 802.1x

Client« supplicant »

Authentificateur : point d’accèsWi-fi compatible 802.1x

Serveurd’authentification

RADIUS

Base decomptes

EAP RADIUS

5| |

IEEE 802.1x (2001)• Protocole indépendant du support physique

(Ethernet, WiFi)• Point d’accès compatible 802.1x• Pas de contrainte sur les cartes réseau sans fil• Authentification avec EAP (RFC 3748)

• Extensible Authentication Protocol – IETF• Choix du protocole d’authentification (méthode EAP)• L’AP ne s’occupe pas des méthodes EAP

• Autorisations avec RADIUS (RFC 2865)• Chiffrement du trafic :

• Gestion dynamique des clés 802.11

6| |

Méthodes EAP utilisées

• EAP-TLS (RFC 2716)• Authentification TLS• Certificats serveur et clients : nécessite une PKI• Détermination des clés 802.11

• PEAP (Protected EAP) :• Protège (TLS) le protocole d’authentification, même faible (MS

CHAP v2)• Certificat Serveur uniquement• Détermination des clés 802.11

7| |

Démo : environnement technique• 1 Point d’accès : Cisco AP 1200• 1 Serveur : Windows Server 2003 SP2

• Base de comptes : Active Directory• RADIUS : Internet Authentication Service (IAS)• PKI : Certificate Services (CertSrv)

• 802.1x, EAP-TLS : nécessite un certificat pour chaque client.

• Chiffrement WPA, TKIP, clés gérées et renouvelées automatiquement après authentification

• 1 Client : Mac OS 10.5.2 (Leopard)

8| |

Démonstration

• Préparation d’une requête de certificat pour le client Mac

• Envoi de la requête au serveur de certificats et récupération du certificat

• Installation du certificat client

• Connexion au réseau Wi-fi avec authentification par le certificat

9| |

Démo – 1ère étape

• Préparer une requête de certificat dans un fichier request.txt sur le bureau de l’utilisateur.

• Caractéristiques du certificat demandé :• Clé : RSA 1024 bits• Utilisation : signature et chiffrement• Signature du certificat : RSA avec SHA-1• Informations sur le sujet

10| |

Démo – 2ème étape

Envoi de la requête au serveur de certificats et récupération du certificat

•Depuis une machine Windows, avec IE :

•http://serveur/certsrv

•Envoyer la requête (copier-coller)

•Récupérer le certificat utilisateur avec le certificat de l’autorité de certification

11| |

Démo – 3ème étape

Installation du certificat client

• Importer le fichier contenant les certificats dans le « trousseau » (keychain) de l’utilisateur

12| |

Démo – 4ème étape

• Connexion au réseau Wi-fi avec authentification par le certificat

• Permettre au client EAP d’accéder au certificat dans le trousseau

• Vérifier adresse IP (DHCP) et connectivité

13| |

www.microsoft.comp/france/interop