Réseaux sans fil sécurisés Réseaux sans fil sécurisés avec Windows XP et avec Windows XP et Windows Server 2003Windows Server 2003

Pascal SaulierePascal SauliereConsultant Principal SécuritéConsultant Principal SécuritéMicrosoft FranceMicrosoft Francehttp://http://www.microsoft.comwww.microsoft.com//francefrance//securitesecurite

Rencontres Wi-Fi – avril 2004

IntroductionIntroduction

Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

WPAWPA

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

RecommandationsRecommandations

SommaireSommaire

IntroductionIntroduction

Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

WPAWPA

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

RecommandationsRecommandations

SommaireSommaire

Faiblesses de 802.11 et Faiblesses de 802.11 et WEPWEP

WEP = Authentification et chiffrementWEP = Authentification et chiffrement

Implémentation faible de l’algorithme Implémentation faible de l’algorithme RC4RC4

Outils bien connus et répandusOutils bien connus et répandus

Wi-fi sécurisé ?Wi-fi sécurisé ?

Ne pas déployer de réseau sans filNe pas déployer de réseau sans filRisque = points d’accès piratesRisque = points d’accès pirates

Sécurité 802.11 d’origine (WEP)Sécurité 802.11 d’origine (WEP)Risque associé à la faiblesse de WEPRisque associé à la faiblesse de WEP

Utiliser un VPNUtiliser un VPNNon transparent pour le client, introduit un Non transparent pour le client, introduit un goulot d’étranglementgoulot d’étranglement

Utiliser IPsecUtiliser IPsecPas d’authentification utilisateur, complexePas d’authentification utilisateur, complexe

Utiliser 802.1x, EAP-TLS ou PEAPUtiliser 802.1x, EAP-TLS ou PEAPÉtat de l’art actuelÉtat de l’art actuel

Utiliser WPAUtiliser WPAÉtat de l’art transitoire –vers 802.11iÉtat de l’art transitoire –vers 802.11i

802.11 d’origine802.11 d’origineAuthentification 802.11 nativeAuthentification 802.11 nativeChiffrement WEP statiqueChiffrement WEP statique

802.1x avec WEP802.1x avec WEPAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1xGestion des clés 802.1xProtection des données Protection des données dynamiquedynamique

WPAWPAAuthentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données TKIPProtection des données TKIP

802.11i (WPA2)802.11i (WPA2)Authentification 802.1xAuthentification 802.1xGestion des clés 802.1x amélioréeGestion des clés 802.1x amélioréeProtection des données AESProtection des données AESPré-authentificationPré-authentification

19991999

20012001

20042004

20032003

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

WPAWPA

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

RecommandationsRecommandations

SommaireSommaire

IEEE 802.1x (2001)IEEE 802.1x (2001)Port-based Network Access ControlPort-based Network Access ControlCaractéristiquesCaractéristiques

Protocole indépendant du support physique Protocole indépendant du support physique (Ethernet, WiFi)(Ethernet, WiFi)Point d’accès (AP) compatible 802.1xPoint d’accès (AP) compatible 802.1xPas de contrainte sur les cartes réseau sans Pas de contrainte sur les cartes réseau sans filfilAuthentification avec EAPAuthentification avec EAP

Extensible Authentication Protocol – IETFExtensible Authentication Protocol – IETFChoix du protocole d’authentification (méthode Choix du protocole d’authentification (méthode EAP)EAP)L’AP ne s’occupe pas des méthodes EAPL’AP ne s’occupe pas des méthodes EAP

Autorisations avec RADIUSAutorisations avec RADIUSChiffrement du trafic :Chiffrement du trafic :

Gestion dynamique des clés 802.11 WEPGestion dynamique des clés 802.11 WEP

802.1x – Vocabulaire802.1x – Vocabulaire

SupplicantAuthentificateur

Serveurd’authentification

Port AuthenticationEntity (PAE)

802.1x802.1xPort contrôlé et port non Port contrôlé et port non contrôlécontrôlé

IEEE 802.1x

DistributionSystem

Port non contrôlé

Port contrôlé

Client Wi-Fi

RADIUS –Remote Authentication Dial-In User ServiceRADIUS –Remote Authentication Dial-In User ServiceAAA – Authentification, Autorisations, AccountingAAA – Authentification, Autorisations, Accounting

Serveur de modem

Serveur VPN

Point d’accèssans fil

Serveur RADIUS

Proxy RADIUS

Base de comptes d’utilisateurs

Clients

Serveurs d’accès

Protocole RADIUS

Clients RADIUS=

EAPEAP

Extension de PPP pour des Extension de PPP pour des mécanismes arbitraires mécanismes arbitraires d’authentification d’accès réseaud’authentification d’accès réseau

Plug-in d’authentification sur le client Plug-in d’authentification sur le client et le serveur RADIUSet le serveur RADIUS

Client Wi-FiPoint d’accès

Serveur RADIUS

Messages EAP

Dialogue EAP

Messages RADIUS

802.11 association802.11 association

EAPOL-startEAPOL-start

EAP-request/identityEAP-request/identity

EAP-response/identityEAP-response/identity RADIUS-access-request (EAP)RADIUS-access-request (EAP)

EAP-requestEAP-request RADIUS-access-challenge RADIUS-access-challenge (EAP)(EAP)

EAP-response (credentials)EAP-response (credentials) RADIUS-access-request (EAP)RADIUS-access-request (EAP)

EAP-successEAP-success RADIUS-access-accept (EAP)RADIUS-access-accept (EAP)

EAPOW-key (WEP)EAPOW-key (WEP)

Access blockedAccess blocked

Access allowedAccess allowed

AuthentificationAuthentificationClient

supplicantPoint d’accèsauthenticator

RADIUSauthentication

server

Clés de chiffrementClés de chiffrement

Le client et le serveur RADIUS génèrent des Le client et le serveur RADIUS génèrent des clés de session WEP par utilisateurclés de session WEP par utilisateur

Jamais transmises dans l’airJamais transmises dans l’airRADIUS envoie la clé à l’AP, chiffrée avec le secret RADIUS envoie la clé à l’AP, chiffrée avec le secret partagépartagé

Le point d’accès a une clé WEP globaleLe point d’accès a une clé WEP globaleUtilisée pendant l’authentification de l’AP au clientUtilisée pendant l’authentification de l’AP au clientEnvoyée dans un message EAPOW-keyEnvoyée dans un message EAPOW-keyChiffrée avec la clé de sessionChiffrée avec la clé de session

Les clés de session sont re-générées Les clés de session sont re-générées quand…quand…

Durée de vie expirée (60 minutes par défaut)Durée de vie expirée (60 minutes par défaut)Le client se déplace vers un nouvel APLe client se déplace vers un nouvel AP

Architecture EAPArchitecture EAP

Méthode

EAP

Media

EAP

MS

CH

AP

v2

TLS

Secu

rID

PPP 802.3 802.5 802.11 …

TLS GSS_API

Kerberos

PEAP IKE MD5

Méthodes EAPMéthodes EAP

EAP-MD5EAP-MD5Utilise CHAP pour authentifier l’utilisateurUtilise CHAP pour authentifier l’utilisateurDéconseillé pour le Wi-Fi : hashes transmis en clair, pas Déconseillé pour le Wi-Fi : hashes transmis en clair, pas d’authentification mutuelled’authentification mutuelle

EAP-TLSEAP-TLSCertificats machine et/ou utilisateur : nécessite une PKICertificats machine et/ou utilisateur : nécessite une PKIDétermination des clés 802.11Détermination des clés 802.11

PEAP (Protected EAP) :PEAP (Protected EAP) :Tunnel TLS pour protéger le protocole d’authentification, Tunnel TLS pour protéger le protocole d’authentification, même faible (MS CHAP v2)même faible (MS CHAP v2)Certificat Serveur uniquementCertificat Serveur uniquementNécessite Windows XP SP1 et IAS de Windows Server Nécessite Windows XP SP1 et IAS de Windows Server 20032003Détermination des clés 802.11Détermination des clés 802.11

PEAPPEAPMicrosoft, Cisco, RSAMicrosoft, Cisco, RSA1.1. Crée un tunnel TLS avec le certificat Crée un tunnel TLS avec le certificat

du serveur RADIUS uniquementdu serveur RADIUS uniquement

2.2. Authentifie le client dans ce tunnelAuthentifie le client dans ce tunnel Le protocole d’authentification est Le protocole d’authentification est

protégéprotégé

TLSTLSEAPEAP

AuthentificationAuthentification

CertificatServeur

EAP RADIUS-EAP

PEAPPEAP

PEAP-EAP-MS-CHAP v2PEAP-EAP-MS-CHAP v2MS-CHAP v2 utilise un mot de passe MS-CHAP v2 utilise un mot de passe (utilisateur et/ou machine)(utilisateur et/ou machine)

Pas de certificat clientPas de certificat client

Solution si pas de PKISolution si pas de PKI

PEAP-EAP-TLSPEAP-EAP-TLSNécessite un certificat client, donc une Nécessite un certificat client, donc une PKIPKI

Protège l’identité du clientProtège l’identité du client

Plus lent que EAP-TLSPlus lent que EAP-TLS

802.1x : est-ce suffisant ?802.1x : est-ce suffisant ?

NonNon

Il résout :Il résout :La découverte des clésLa découverte des clés – changement fréquent – changement fréquent et clés distinctes par clientet clés distinctes par client

Les points d’accès pirates et attaques « man in Les points d’accès pirates et attaques « man in the middle »the middle » – authentification mutuelle – authentification mutuelle

Accès non autorisésAccès non autorisés – authentification des – authentification des utilisateurs et des machinesutilisateurs et des machines

Il ne résout pas :Il ne résout pas :SpoofingSpoofing de paquets et des désassociations – de paquets et des désassociations – 801.1x n’utilise pas de MIC à clé801.1x n’utilise pas de MIC à clé

WPAWPAWireless Protected AccessWireless Protected Access

Standard temporaire avant Standard temporaire avant ratification de 802.11iratification de 802.11i

Requis pour la certification Wi-Fi Requis pour la certification Wi-Fi depuis le 31/8/2003depuis le 31/8/2003Wi-Fi Protected AccessWi-Fi Protected Accesshttp://http://www.wi-fi.orgwww.wi-fi.org//OpenSectionOpenSection//protected_access.aspprotected_access.asp

Overview of the WPA Wireless Overview of the WPA Wireless Security Update in Windows XPSecurity Update in Windows XPhttp://support.microsoft.com/?id=815http://support.microsoft.com/?id=815485485

Objectifs de WPAObjectifs de WPA

Réseau sans fil sécurisé : 802.1x Réseau sans fil sécurisé : 802.1x requis, chiffrement, gestion des clés requis, chiffrement, gestion des clés Unicast et globaleUnicast et globale

Corriger les faiblesses de WEP par Corriger les faiblesses de WEP par une mise à jour logicielleune mise à jour logicielle

Solution sécurisée pour les réseaux Solution sécurisée pour les réseaux domestiquesdomestiques

Evolutif vers 802.11iEvolutif vers 802.11i

Disponible aujourd’huiDisponible aujourd’hui

Caractéristiques de WPACaractéristiques de WPA

Authentification 802.1x requiseAuthentification 802.1x requise : EAP : EAP et RADIUS, ou clé partagée (et RADIUS, ou clé partagée (PSKPSK))

Gestion des clés Gestion des clés Unicast et BroadcastUnicast et Broadcast

Temporal Key Integrity Protocol Temporal Key Integrity Protocol ((TKIPTKIP))

MichaelMichael : MIC (64 bits) remplace le : MIC (64 bits) remplace le CRC32 de WEPCRC32 de WEP

AESAES (optionnel) à la place de RC4 (optionnel) à la place de RC4

Support de clients WPA et WEP en Support de clients WPA et WEP en même tempsmême temps

Modes WPAModes WPA

Mode Entreprise (Mode Entreprise (RADIUSRADIUS))Nécessite un serveur d’authentificationNécessite un serveur d’authentification

RADIUS pour authentification et distribution des RADIUS pour authentification et distribution des clésclés

Gestion centralisée des utilisateursGestion centralisée des utilisateurs

Mode clé partagée – pre-shared key mode Mode clé partagée – pre-shared key mode ((PSKPSK))

Ne nécessite pas de serveur d’authentificationNe nécessite pas de serveur d’authentification

« Secret partagé » pour l’authentification sur le « Secret partagé » pour l’authentification sur le point d’accès – 256 bitspoint d’accès – 256 bits

Génération de la clé depuis une passphrase : Génération de la clé depuis une passphrase : algorithme imposéalgorithme imposé

WPA 802.1xWPA 802.1x

RADIUSserverDistribution System

TKIP

Authentification 802.1X

802.1X key management

RADIUS-based key distribution

Security Discovery (WPA Information

Element)

Scénario entreprise

WPA PSKWPA PSK

TKIP

802.1X key management

Scénario domestique

Security Discovery (WPA Information Element)

WPAWPA

Nécessite une mise à jour :Nécessite une mise à jour :FirmwareFirmware du point d’accès du point d’accès

FirmwareFirmware de la carte de la carte

DriverDriver de la carte de la carte

Logiciel client (« supplicant »)Logiciel client (« supplicant »)

802.11i802.11i

WPA = sous-ensemble de 802.11iWPA = sous-ensemble de 802.11i

802.1x en modes entreprise et PSK802.1x en modes entreprise et PSK

Mode point d’accès (infrastructure – BSS)Mode point d’accès (infrastructure – BSS)

Hiérarchie de clésHiérarchie de clés

Gestion des clésGestion des clés

Négociation de la crypto et de Négociation de la crypto et de l’authentificationl’authentification

TKIPTKIP

802.11i802.11i

802.11i :802.11i :

802.1x en modes entreprise et PSK802.1x en modes entreprise et PSK

Mode point d’accès (infrastructure – BSS)Mode point d’accès (infrastructure – BSS)

Mode point à point (ad-hoc – IBSS)Mode point à point (ad-hoc – IBSS)

Pré-authentificationPré-authentification

Hiérarchie de clésHiérarchie de clés

Gestion des clésGestion des clés

Négociation de la crypto et de l’authentificationNégociation de la crypto et de l’authentification

TKIPTKIP

AESAES

SynthèseSynthèse

EAP methods

Radio Technology

Network Authentication (802.11)

Authentication and Key Management

EncryptionWEP

802.11a 802.11b 802.11g

TKIP/MIC AES

WPAOpen

WPA2Shared

802.1XEAP-TLS PEAP

ComparaisonComparaisonWEPWEP WPAWPA WPA2/802.11WPA2/802.11

ii

CipherCipher RC4RC4 RC4RC4 AESAES

Key SizeKey Size 40 bits40 bits128 bits encryption128 bits encryption

64 bits 64 bits AuthenticationAuthentication

128 bits128 bits

Key LifeKey Life 24-bit IV24-bit IV 48-bit IV48-bit IV 48-bit IV48-bit IV

Packet KeyPacket Key ConcatenateConcatenatedd Mixing FunctionMixing Function Not NeededNot Needed

Data IntegrityData Integrity CRC-32CRC-32 MichaelMichael CCMCCM

Header Header IntegrityIntegrity NoneNone MichaelMichael CCMCCM

Replay AttackReplay Attack NoneNone IV SequenceIV Sequence IV SequenceIV Sequence

Key Key ManagementManagement NoneNone EAP-basedEAP-based EAP-basedEAP-based

http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_ProtectedAccessWebcast_2003.pdf

SommaireSommaire

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

WPAWPA

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

RecommandationsRecommandations

Natif :Natif :802.1x EAP-TLS802.1x EAP-TLS

Wireless Zero Configuration ServiceWireless Zero Configuration Service

SP1 : PEAPSP1 : PEAP802.1x PEAP-EAP-MS-CHAPv2802.1x PEAP-EAP-MS-CHAPv2

802.1x PEAP-EAP-TLS802.1x PEAP-EAP-TLS

SP2 : WPA (authentification, TKIP, SP2 : WPA (authentification, TKIP, AES)AES)

Ou SP1+KB.826942 Ou SP1+KB.826942 http://support.microsoft.com/?id=826942http://support.microsoft.com/?id=826942

AuthentificationAuthentificationOpenOpen

SharedShared

WPAWPA

WPA-PSKWPA-PSK

ChiffrementChiffrementDésactivéDésactivé

WEPWEP

TKIPTKIP

AESAES

802.1x802.1x

EAP-TLS : « carte à EAP-TLS : « carte à puce ou autre puce ou autre certificat »certificat »

PEAPPEAPMS-CHAP v2MS-CHAP v2

EAP-TLSEAP-TLS

Authentification PEAP avec Authentification PEAP avec WindowsWindows

Phase 1 – logon Phase 1 – logon machinemachineAssociation 802.11Association 802.11Authentification de l’AP (secret RADIUS)Authentification de l’AP (secret RADIUS)Authentification du serveur RADIUS (certificat)Authentification du serveur RADIUS (certificat)Authentification de la machine (compte Authentification de la machine (compte machine, mot de passe)machine, mot de passe)Connexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de la machine aux ressources autoriséesde la machine aux ressources autorisées

Phase 2 – logon Phase 2 – logon utilisateurutilisateurAuthentification de l’utilisateurAuthentification de l’utilisateurConnexion du « Controlled Port » - pour l’accès Connexion du « Controlled Port » - pour l’accès de l’utilisateur aux ressources autoriséesde l’utilisateur aux ressources autorisées

Pourquoi authentifier la Pourquoi authentifier la machine ?machine ?

Logon de la machine dans le domaine Logon de la machine dans le domaine nécessaire:nécessaire:

Group PoliciesGroup Policies

Scripts de logon machineScripts de logon machine

Management : inventaire, déploiement Management : inventaire, déploiement d’application par GPO/SMS/autresd’application par GPO/SMS/autres

Expiration du mot de passe de Expiration du mot de passe de l’utilisateur :l’utilisateur :

Connexion et logon machine nécessaires pour Connexion et logon machine nécessaires pour la notification de l’utilisateur le changement de la notification de l’utilisateur le changement de mot de passemot de passe

Internet Authentication Server (Internet Authentication Server (IASIAS))Serveur RADIUS de MicrosoftServeur RADIUS de MicrosoftRemote Access PoliciesRemote Access PoliciesEAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)EAP-TLS, PEAP (MS-CHAP v2, EAP-TLS)

Certificate ServicesCertificate ServicesPKI avec auto-enrôlement des machines et des PKI avec auto-enrôlement des machines et des utilisateursutilisateurs

Active DirectoryActive DirectoryGestion centralisée des machines et utilisateursGestion centralisée des machines et utilisateursConfiguration centralisée des clients Wi-Fi Configuration centralisée des clients Wi-Fi ((Group PoliciesGroup Policies) [) [WPA : SP1WPA : SP1]]

SommaireSommaire

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

WPAWPA

Mise en œuvre dans WindowsMise en œuvre dans Windows

Scénarios de déploiementScénarios de déploiement

RecommandationsRecommandations

Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de Microsoft

Un des plus importants déploiements Un des plus importants déploiements d’entreprised’entreprise

42 000 utilisateurs dans 42 pays42 000 utilisateurs dans 42 pays

150+ bâtiments dans le monde150+ bâtiments dans le monde

4360+ points d’accès4360+ points d’accès

420 000 m2 couverts420 000 m2 couverts

10 000+ utilisateurs simultanés sur le 10 000+ utilisateurs simultanés sur le campuscampus

Sécurisé par 802.1x avec EAP-TLS et Sécurisé par 802.1x avec EAP-TLS et PEAPPEAP

802.11/.1X802.11/.1XAccess PointAccess Point

Domain UserDomain UserCertificateCertificate

802.1X Controlled Port

RADIUSRADIUS(IAS)(IAS)

Domain Controller Domain Controller (Active Directory)(Active Directory)

802.1X EAP-TLS/PEAP Connection

DHCPDHCP

DomainDomainControllerController

PeersPeers

802.1X Uncontrolled Port

ExchangeExchange

FileFile

CertificateCertificateAuthorityAuthority

Réseau Wi-Fi de Microsoft Réseau Wi-Fi de Microsoft Leçons apprisesLeçons apprises

Intégrer le support de technologies Intégrer le support de technologies diverses: clients, points d’accès, PKI, diverses: clients, points d’accès, PKI, RADIUS, Active DirectoryRADIUS, Active Directory

Répondre aux besoins des employés Répondre aux besoins des employés qui souhaitent s’équiper à domicilequi souhaitent s’équiper à domicile

Prendre en compte les soucis des Prendre en compte les soucis des employés en terme de santé : employés en terme de santé : conduire des analyses et conduire des analyses et communiquer les résultatscommuniquer les résultats

Réseau Wi-Fi de MicrosoftRéseau Wi-Fi de MicrosoftConseilsConseils

Changement des clés compatible avec la Changement des clés compatible avec la charge des serveurs : nouvelles sessions, charge des serveurs : nouvelles sessions, déplacements et intervalles prédéterminésdéplacements et intervalles prédéterminésImpliquer le support tôt dans la phase de Impliquer le support tôt dans la phase de planificationplanificationMécanisme de détection et suppression Mécanisme de détection et suppression des points d’accès piratesdes points d’accès piratesVérifier les lois locales concernant les Vérifier les lois locales concernant les équipements radioéquipements radioPlacer les points d’accès et antennes dans Placer les points d’accès et antennes dans des boîtiers protégés ; utiliser une des boîtiers protégés ; utiliser une alimentation basse tension centralisée alimentation basse tension centralisée secouruesecourue

Docteur SourisDocteur Souris

« Offir à des enfants hospitalités un « Offir à des enfants hospitalités un ordinateur personnalisé, et un accès ordinateur personnalisé, et un accès encadré à une messagerie encadré à une messagerie électronique et à Internet »électronique et à Internet »

Utilisé par plus de 250 enfants et Utilisé par plus de 250 enfants et adolescents en quelques semaines adolescents en quelques semaines avant son inauguration le 14 octobre avant son inauguration le 14 octobre 2003 (Hôpital Trousseau)2003 (Hôpital Trousseau)

60 clients simultanés en pointe60 clients simultanés en pointe

http://www.docteursouris.asso.fr/

Docteur SourisDocteur Souris

Windows 2000, 2003, XP,Windows 2000, 2003, XP,Exchange 2000, ISA Server 2000Exchange 2000, ISA Server 2000

Active DirectoryActive Directory

PKIPKIAuto-enrôlement des machinesAuto-enrôlement des machines

RADIUSRADIUS

802.1x, EAP-TLS802.1x, EAP-TLS

Administration simplifiée à l’usage Administration simplifiée à l’usage des éducatricesdes éducatrices

Docteur SourisDocteur Souris

Windows 2000Exchange 2000

Tout les sites sur Internet

Windows XPOffice XP

Portables EnfantsWindows XP

Office XP

Serveur de serviceWindows XP

Windows 2003Active Directory

MESSAGERIEPORTAIL PARE FEUANNUAIRE

HOPITAL

Réseau Sans Fil

INTERNET

Réseau Interne

Windows 2003ISA 2000

Sites Autorisés

Windows 2003SQL 2000SPS 2003

Enfants

Educatrice

Parents

Administrateur

Active DirectoryCertificate Services

IAS

Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs

http://www.microsoft.com/technet/securithttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxy/prodtech/win2003/pkiwire/SWLAN.mspx

http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=14844=14844

Microsoft Solution for Securing Microsoft Solution for Securing Wireless LANsWireless LANs

Planning GuidePlanning Guide – guide de planification – guide de planification

Build GuideBuild Guide – procédures détaillées de – procédures détaillées de configuration et sécurisationconfiguration et sécurisation

Operations GuideOperations Guide – guide de – guide de maintenance, supervision, support, maintenance, supervision, support, gestion des changementsgestion des changements

Test GuideTest Guide – démarche de test utilisée – démarche de test utilisée chez Microsoft pour valider la solutionchez Microsoft pour valider la solution

Lire les Lire les Release NotesRelease Notes pour pour l’adaptation à WPAl’adaptation à WPA

SommaireSommaire

Faiblesse des protocoles 802.11 Faiblesse des protocoles 802.11 d’origined’origine

Solutions sécuriséesSolutions sécurisées802.1x – EAP-TLS, PEAP802.1x – EAP-TLS, PEAP

WPAWPA

Scénarios de déploiementScénarios de déploiement

RecommandationsRecommandations

SynthèseSynthèse

Aujourd’huiAujourd’huiEntreprises : 802.1xEntreprises : 802.1x

EAP-TLS si vous avez une PKIEAP-TLS si vous avez une PKI

PEAP-EAP-MS-CHAP v2 sinonPEAP-EAP-MS-CHAP v2 sinon

WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)

Particuliers et petites entreprises :Particuliers et petites entreprises :WPA si possible (nouveaux matériels)WPA si possible (nouveaux matériels)

DemainDemain802.11i802.11i

RéférencesRéférences

The Unofficial 802.11 Security Web PageThe Unofficial 802.11 Security Web PageBernard Aboba, Network Architect, Bernard Aboba, Network Architect, WindowsWindowshttp://http://www.drizzle.com/~aboba/IEEEwww.drizzle.com/~aboba/IEEE//

Wi-FiWi-Fihttp://www.microsoft.com/http://www.microsoft.com/wifiwifihttp://www.wi-fi.orghttp://www.wi-fi.org

Microsoft Solution for Securing Wireless Microsoft Solution for Securing Wireless LANsLANshttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspxhttp://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/SWLAN.mspx

http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=14844=14844

Cette présentation sera disponible sur :http://www.microsoft.com/france/securite/evenements/