Le cours commence par l'étude d'un document sur la sécurisation des WLAN dans une grande entreprise télécom multinationale.
- On note qu'il n'y a qu'un leader et 4 éditeurs/co-éditeurs, en revanche il y a une grande quantité de contributeurs de plusieurs grands noms de l'IT (Transpac, Equant et Orange) qui sont la pour s'assurer de sa qualité.
- La table des matières montre les grands temps dans le projet, définition du scope, objectifs a remplir et enfin les technologies proposées.
- Technologies listées : WPA/RSN 802.11i/802.1x/IPSec/PKI
- Le scope pose le problème suivant : <X> est une entreprise multinationale très hétérogène ayant intégré beaucoup de petits groupes, le wifi est une "hot issue" (un truc peu apprécié mais qu'il vaut mieux intégrer pour pouvoir le contrôler tant que c'est encore possible).
- On distingue plusieurs zones : Corporate, Corporate roaming (support du roaming et la VoWIP (Voice over Wireless IP), Home (désigné en tant qu'accès distant et hors propos du document), Public (accès depuis un réseau extérieur, hors propos), Visitor corporate, External Visitor ("removes temptation to attach unauthorised equipment to the corporate network", mais il vaut mieux utiliser la solution 3G maison).
- On remarque que des solutions maison sont déja semblables au niveau des besoins.
- On cherche a rester aussi sécurisé possible : WIDS (rogue AP, clients compromis), Management de bandes radio (on évite que les ondes n'aillent pas trop loin, antennes dirigées vers le bâtiment et brouilleurs dehors), Sécurisation des composants du réseau RF (SSH obligatoire ou tunneling).
- Sécurité opérationnelle : logging, recurring audit and accountability, gestion des incidents, identification claire des rôles de monitoring (création d'une "police du wifi").
Les clients sont soumis aux restrictions suivantes :
- Un firewall personnel obligatoire, pas de connexions doubles, authentification par port 802.1x, chiffrement/intégrité des données forts, échange de clés sécurisé, no SSID-broadcast, authentification bi-facteur (un truc physique et un mdp, smart card), protection des identifiants utilisateurs, management centralisé des utilisateurs (alerte si deux utilisateurs identiques connectés a des endroits différends), mots de passe forts absolument obligatoires, motd détaillé et définition claire des droits de l'utilisateur (bannières et chartes).
Les visiteurs eux sont soumis aux restrictions suivantes :
- Filtrage de trafic, séparation du trafic et management du service public, protection des identifiants, contrôle d'accès, management centralisé des comptes invités, "Terms and conditions of usage", Mécanisme de verrouillage automatisé (mots de passe échoués trop souvent, brute force), limitation de bande passante, sécurisation et authentification du portail captif.
On remarque que la solution proposée est :
WPA/TKIP/EAP-TLS/Certif-Token/Certificat Machine
au contraire de la solution idéale : WPA2-802.11i-RSN/EAP-TLS/Certificat utilisateur/Certificat machine
Anecdote marrante : on ne peut pas utiliser une photo du prof sur téléphone portable pour se logguer sur sa machine via webcam, ça marche pas. (AVEC SON AUTORISATION !!!)
Nous étudions ensuite un rapport publié par le SGDN ( TrueCrypt faillible ?, dcssi-cspn-cible_2008-03fr.pdf est le rapport draft, tc_dcssi.pdf le rapport complet ) :
- On cherche a savoir si TrueCrypt est fiable En et Hors Machine.
- TrueCrypt chiffre lui même intelligemment ses headers sur le disque. Il est donc impossible sans la clé de savoir avec certitude que c'est bien un volume truecrypt, car en plus le point d'entrée est placé aléatoirement.
- On peut aussi chiffrer le disque système (mais en ce cas le bootstrap est détectable).
- On peut surchiffrer le disque entier, afin de laisser une partition cachée (en fonction du mot de passe entré, on a accès a l'une ou l'autre.)
- Le fonctionnement peut utiliser soit une clé ou bien une clé + un fichier.
- Idée : utiliser clé + fichier et définir une séquence dans laquelle utiliser le fichier
- Il y a un risque de compromission de la clé maître avec l'utilisation du swap.
Se renseigner sur Keynectis / OpenTrust / IDEALX, et tester TrueCrypt.
