SlideShare une entreprise Scribd logo
1  sur  54
802.1X filaire

  rêves brisés?
Plan

• Introduction
• La technologie
• Implémentation
   o Configuration
   o Défis
• Vulnérabilités
• Contre-mesures
• Futur
• Conclusion
• Questions
Qui suis-je?

• Olivier Bilodeau, Ingénieur junior

• Architecte système chez Inverse
  o PacketFence, Open Source NAC
  o Consultation sur la sécurité filaire et sans fil

• Chargé de cours à l'École de technologie supérieure
  o Sécurité des systèmes
Avertissement!
   Ceci n'est pas un argumentaire (sales pitch).

Si vous avez envie de discuter NAC et PacketFence
venez me voir après la présentation, ça va me faire
                      plaisir!
Contexte / Bagage

"Your security is only as strong as your weakest link."
 • Vision globale
 • Faire les choses dans l'ordre


"Security is a journey not a destination."
• Ce n'est jamais fini
• But: rendre la job plus difficile pour les attaquants
Les réseaux d'entreprises aujourd'hui

• Communications avec l'Internet
  o Pare-feu
  o Filtrage courriel
  o Filtrage Web

• VPN pour employés, consultants

• DMZ pour serveurs

• Contrôle d'accès physique stricte (pour certains)


    Une protection de périmètre étoffée! ...
Mais à l'intérieur...
• On fait le minimum (et encore...)
  o storm control
  o prévenir serveurs DHCP malicieux
  o prévenir man-in-the-middle layer 2
  o port-security de base
  o ségrégation en VLAN et ACLs

• On ne sait pas qui et quoi est branché sur notre réseau

• Accès garanti si vous trouvez une prise réseau!
  o peut-être même à l'infrastructure
Carapace dure au coeur moelleux
Pourquoi faire attention au LAN?

• Traditionnellement
   o défendre les attaques niveau 2 intentionnelles ou pas
   o ralentir la propagation des vers

• Menaces principalement sans intentions malicieuses
  o matériel non-autorisé
  o matériel infecté
  o matériel non sécuritaire

• Menace motivée
  o portable branché dans la salle d'attente
  o un point d'accès rogue au bon endroit...

• Pour faire plaisir à son auditeur
Ce n'est pas assez!


 C'est bien beau votre port-security et vos ACLs
strictes, mais si un employé bien intentionné peut
    brancher un NAT Router et offrir du sans fil
   'open', sans que vous ayez un moyen de le
 prévenir ou de vous en rendre compte vous
      avez augmenté votre surface d'attaque.

        (Les War Drivers raffolent de ça!)
Durcissement du LAN

• IP statiques
   o vulnérabilité: auto-assignation

• DHCP statique selon la MAC
  o vulnérabilité: auto-assignation

• Port Security
  o vulnérabilité: patience ou usurpation MAC

• NAC basé DHCP
  o vulnérabilités variées selon la technique: de l'usurpation
    MAC ou IP d'un client autorisé, auto-assignation
    paramètres infrastructure
Durcissement du LAN (suite)

• NAC basé sur l'empoisonnement ARP
  o vulnérabilités: usurpation MAC, entrées ARP
    statiques, NAT

• NAC basé sur le Port Security
  o vulnérabilité: usurpation MAC

• IDS / IPS
   o manquent souvent le traffic interne
   o pas du contrôle d'accès

• Les techniques frappent toujours la même limite
   o Aucune notion de contrôle d'accès dans le L2
802.1X

La technologie
802.1X: Terminologie


• Port-Based Network
  Access Control

• Acteurs
  o Supplicant
  o Authenticator
      on voit aussi Network Access Server (NAS)
  o Authentication Server

• Protocoles
  o Extensible Authentication Protocol (EAP)
  o Remote Authentication Dial In User Service (RADIUS)
802.1X:
Processus



1. Client qui supporte 802.1X
   o Dialogue avec équipement en EAP over LAN (EAPoL)
2. Authenticator (NAS) communique avec serveur RADIUS
   o Incluant des messages EAP chiffrés
   o Selon la saveur de EAP, il peut y avoir un Challenge-
      Response
3. Serveur RADIUS
   o prend la décision finale
   o envoit des instructions supplémentaires au NAS
802.1X over RADIUS

• 802.1X spécifie l'utilisation d'un protocole de AAA
   o Authentication
   o Authorization
   o Accounting

• Solution: RADIUS
  o Protocole simple d'échange clé-valeur
  o Messages types:
      Access-Request
      Access-Challenge
      Access-Accept ou Access-Reject
      Accounting-Request
      ...
802.1X: EAP

• Supporte plusieurs mechanismes d'authentification
  o interchangeables
  o sans negociation préalable

• Authenticator (NAS) peut agir comme passthrough
  o n'a pas a supporter les nouvelles variantes

• multiplexable
  o EAP dans EAP (comme IP dans IP)

• Certaines variantes permettent l'échange de clés
  cryptographiques
   o WPA Enterprise
802.1X: Saveurs de EAP

• EAP-MD5 (simple, vulnérable, vieux)

• EAP-TLS (standard)
   o certificats côté client obligatoires

• EAP-FAST (Cisco)

• EAP-TTLS (assez standard)
   o certificat côté serveur signé par un CA

• PEAPv0/EAP-MSCHAPv2 (Microsoft)
  o Permet authentification bout en bout sur un Active
    Directory (AD)
802.1X Dialogue EAP
802.1X Dialogue PEAP-MSCHAPv2
802.1X supplicants
• Windows
   o EAP-TLS depuis Windows 2000 SP4
   o PEAPv0/EAP-MSCHAPv2
• Mac OS X
   o EAP-TLS (10.3)
   o EAP-FAST (10.4.3)
   o PEAPv0/EAP-MSCHAPv2
• Linux
   o wpa_supplicant (EAP-TLS, PEAPv0/EAP-MSCHAPv2...)
• Multi-plateforme
   o Open1X
• De plus en plus de matériel
   o Avaya IP Phone
   o Imprimantes, etc.
802.1X Support
• Côté Supplicant
  o Microsoft a mené, tous on suivi
  o Intégration AD est confortable sous PEAP-MsCHAPv2
  o Alternatives libres
  o Support matériel reste problématique
• Côté matériel réseau
  o fragmentation remarquée
  o possibilités varient beaucoup
  o mais la base fonctionne presque partout

• Côté serveur d'authentification
  o logiciel libre: FreeRADIUS
  o Cisco ACS
  o Microsoft IAS
802.1X: Intégration avec legacy

Les fabricants de matériel réseau ont dû résoudre la
problématique.

• Apparition de:
  o MAC Authentication Bypass aka MAB (Cisco)
  o MAC-based authentication (HP)
  o NEAP (Nortel)
  o Netlogin (Extreme Networks)
  o MAC RADIUS (Juniper)

• Qui consiste à faire du RADIUS authentication avec la MAC
  comme User-Name
   o après que le dialogue EAPoL ait échoué
   o la plupart sans EAP, certains avec
802.1X: Les possibilités

• Assignation de VLAN selon critères flexibles
  o Position géographique (building, étage, etc.)
  o Groupe AD (compatibilité, vente, ingénierie, ...)
  o VLAN de quarantaine
  o ...

• Refuser l'accès selon vos critères
  o postes mal configurés
  o portables de la maison qui n'ont pas le bon certificat
  o ...
802.1X Avantages

• Utilise AAA donc bénéficie de la centralisation des décisions
  de sécurité réseau quant à:
   o Authentification
   o Autorisation
   o Audit

• Configuration des ports unifiée*

• Centralisation de la gestion des VLAN

• Bien conçu, a l'épreuve du temps

• Tout est standard et gratuit!
802.1X

L'implémentation
Configuration Supplicant

• Mac OS X
  o Advanced 802.1X
  o Activer PEAP et TTLS
  o Inscrire vos authentifiants

• Linux
   o utilisez NetworkManager!
   o wpa_supplicant, excellent pour apprendre

• Windows
  o exercice laissé au participant
Supplicant wpa_supplicant

Pour référence

  ctrl_interface=/var/run/wpa_supplicant
  ctrl_interface_group=0
  ap_scan=0
  eapol_version=2
  network={
      key_mgmt=IEEE8021X
      eap=PEAP
      identity="user"
      password="l33tp4ssp03m"
          phase2="auth=MSCHAPV2"
      #ca_cert="/etc/wpa_supplicant/cacert-csa.pem"
  }
Configuration commutateur

Cisco 2960, 802.1X + MAC Authentication Bypass (MAB)
aaa authentication dot1x default group radius
aaa authorization network default group radius

interface FastEthernet0/1
 description Port 802.1X fallback MAB
 switchport mode access
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer restart 10800
 authentication timer reauthenticate 10800
 mab
 dot1x pae authenticator
 dot1x timeout quiet-period 2
 dot1x timeout tx-period 3
 spanning-tree portfast

radius-server host 10.100.1.10 auth-port 1812 acct-port 1813 timeout 2 key
3p1cR4d1usS3kret
Configuration FreeRADIUS

sur RedHat 5 / CentOS 5 (pour référence)
• # yum install freeradius2 freeradius2-perl freeradius2-utils

•   Ajouter votre client et shared secret dans /etc/raddb/clients.conf

•   Dans /etc/raddb/modules/mschap
     o with_ntdomain_hack = yes
     o ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --
       username=%{%{Stripped-User-Name}:-%{User-Name:-None}} --
       challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-
       Response:-00}"

•   Dans /etc/raddb/modules/perl
     o  module = ${confdir}/my_module.pl
Configuration FreeRADIUS (suite)

• /etc/raddb/sites-available/inner-tunnel should look like this:
   o Authorize section

                  preprocess
                  eap {
                          ok = return
                  }
                  files

   o   Authenticate section

       authenticate {
               Auth-Type MS-CHAP {
                       mschap
               }
               eap
       }



   o   Add to post-auth section
         perl
Configuration FreeRADIUS (suite)

•   /etc/raddb/users add:
     o DEFAULT EAP-Message !* "", Auth-Type := Accept
•   /etc/raddb/eap.conf should look like:

         eap {
                 default_eap_type = peap
                 tls {
                         private_key_file = /etc/raddb/certs/<key>
                         certificate_file = /etc/raddb/certs/<cert>
                         CA_file = /etc/raddb/certs/<CA>
                         dh_file = /etc/raddb/certs/dh
                         random_file = /dev/urandom
                 }
                 peap {
                         default_eap_type = mschapv2
                 }
                 mschapv2 {
                 }
             }
Configuration FreeRADIUS (suite)

• Définir son propre module et retourner les attributs désirés
  o code perl (rlm_perl)
  o exécuter un programme (rlm_exec)
sub post_auth {

        if ($RAD_REQUEST{'User-Name'} =~ /^Mallory$/) {
            $RAD_REPLY{'Tunnel-Medium-Type'} = 6;        # IEEE-802
            $RAD_REPLY{'Tunnel-Type'} = 13;              # VLAN
            $RAD_REPLY{'Tunnel-Private-Group-ID'} = 666; # 802.1Q VLAN TAG
        }

        return RLM_MODULE_OK;
}



Exemples plus complexes:
 • http://wiki.freeradius.org/Rlm_perl
    •   http://mtn.inverse.ca/branch/head/file/org.packetfence.trunk/pf/addons/802.1X/rlm_perl_packetfence_soap.pl
    •   http://mtn.inverse.ca/branch/head/file/org.packetfence.1_9/pf/addons/802.1X/rlm_perl_packetfence.pl
Configuration FreeRADIUS (suite)

 • Configurer SAMBA
   o /etc/krb5.conf
[logging]                                   [domain_realm]
 default = FILE:/var/log/krb5libs.log        .<AD domain> = <AD domain in CAPS>
 kdc = FILE:/var/log/krb5kdc.log             <AD domain> = <AD domain in CAPS>
 admin_server = FILE:/var/log/kadmind.log
                                            [appdefaults]
[libdefaults]                                pam = {
 default_realm = <AD domain>                   debug = false
 dns_lookup_realm = false                      ticket_lifetime = 36000
 dns_lookup_kdc = true                         renew_lifetime = 36000
 ticket_lifetime = 24h                         forwardable = true
 forwardable = yes                             krb4_convert = false
                                             }
[realms]
 <AD domain> = {
   kdc = <domain controller>:88
   admin_server = <domain controller>:749
   default_domain = <AD domain>
 }
Configuration FreeRADIUS (suite)

  • Configurer SAMBA (suite)
    o /etc/samba/smb.conf
 [global]
 workgroup = <AD host portion>
 server string = <hostname>
 interfaces = <eth0 IP / mask>
 security = ADS
 passdb backend = tdbsam
 realm = <AD domain>
 encrypt passwords = yes
 winbind use default domain = yes
 client NTLMv2 auth = yes
 preferred master = no



Et tester!
# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

...
Configuration FreeRADIUS (suite)

•   Configurer SAMBA (suite)
     o Joindre au domaine
          # net ads join -U <domain admin>

    o   Démarrer winbind
          # service winbind start

    o   Test ntlm_auth
          $ ntlm_auth --username <test user>
           password:
           NT_STATUS_OK: Success (0x0)

    o   Permettre à RADIUS d'accéder au socket Winbind
          # chgrp radiusd /var/cache/samba/winbindd_privileged/
Déboguer
 • FreeRADIUS: Inévitable... mais facile!
# radiusd -X
[...]
Ready to process requests.
Ignoring request to authentication address * port 1812 from unknown client 10.0.0.2 port 1645
Ready to process requests.
[...]
rad_recv: Access-Request packet from host 192.168.1.222 port 57948, id=156, length=207
        User-Name = "test"
        EAP-Message =
0x020a002b190017030100201657d69ade41a6871211f5c16cd62a869d29ff173ced8b89687fcb2da124891e
        Message-Authenticator = 0x430b4c4b7331470b8e74ee7c713042e4
        NAS-Port-Id = "ge-0/0/46.0"
        Called-Station-Id = "00-1f-12-36-e0-c0"
        NAS-Port-Type = Ethernet
...
[peap] Success
[eap] Freeing handler
++[eap] returns ok
...
 ++[perl] returns ok
...
Sending Access-Accept of id 156 to 192.168.1.222 port 57948
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
...

 • L'équipement réseau
     o   show log
Les défis
• Gestion périphériques non-802.1X
  o Imprimantes
  o PXE
  o Machines virtuelles bridged
  o ...
• Gestion des invités

• Téléphone IP

• Configuration des postes

• Formation du personnel

• Complexité
La complexité

• Complixité statique
  o OS des postes
  o Logiciel supplicant (si applicable)
  o OS des commutateurs
  o Trouver tous ses périphériques réseau non-802.1X
  o Derrière un téléphone IP ou pas
  o Version serveur RADIUS

• Complexité dynamique
  o Déplacement de port
  o Changement de VLAN (réaction face à)
  o Redémarrage (peut déclencher MAC Authentication)
  o Approvisionnement (VoIP, PC)
802.1X vulnérabilités
      where are the vulz!!?
       I'm here to p0wn!
Vulnérabilité de l'implémentation
802.1X
• Regarder là où il n'y en a pas...

  "Look for 802.1X exceptions such as printers, VoIP phones"
  -- Joseph McCray, Learn Security Online, Defcon 18

• Trouver les ports où 802.1X est désactivé
• Usurpation MAC!
802.1X

L'implémentation prise 2
802.1X: Gérer le non-802.1X

• Oublier la configuration d'exception par port
  => 802.1X + MAC Authentication

• VLAN d'exceptions / ACLs strictes

• DHCP Fingerprinting

• TCP Fingerprinting

• Surveillance
  o IDS / IPS
  o Profilage de traffic (NetFlow, IPFIX)

       Toutes ces solutions demandent un certain suivi
C'était la seule vulnérabilité?

              Non
802.1X Bypass

• 802.1X veut dire Port-Based Network Access Control
   o Mais si on arrive après l'autorisation?

• Empêcher le port d'être down


• Hub man-in-the-middle!
  + Ursupation MAC


• Accès physique requis
• Intrusif
802.1X Scénarios d'attaque

1. On laisse le client légitime branché
    o -: 2 MAC actives en même temps
    o UDP ok
    o TCP possible si client refuse les SYN-ACK non-sollicités
    o +: le vrai client peut renégocier le 802.1X

2. Prend la place du client légitime
    o +: pas de problèmes réseau (une seule MAC active)
    o -: s'il y a renégociation, on ne passera pas
Déni de service

• EAPOL-Logoff
  o Message provenant du supplicant qui désire terminer sa
    connexion
  o Pas chiffré
  o Pas de secret

• Usurpation des messages EAPOL-Logoff par un client
  malicieux
  o Termine la session

• Nécessite accès au medium
  o entre port du commutateur et PC

• Pas de solution :(
Mitiger le 802.1X Bypass

• Renégociation 802.1X
  o automatique
             authentication periodic
             authentication timer reauthenticate 3600

   o   sur demande
        CLI: dot1x re-authenticate interface FastEthernet0/1
        SNMP avec IEEE8021-PAE-MIB::dot1xPaePortReauthenticate


• IPsec

• Agent sur le client

• Surveillance (IDS/IPS, DHCP/TCP fingerprinting, flow, etc.)
   o   mêmes solutions que de valider le non-802.1X
Futur


• 802.1AE: IEEE MAC Security standard (MACsec)
   o Authentification et chiffrement couche 2
   o 802.1X-2010: intégration de 802.1X et MACsec

• IF-MAP: standardisation des événements de sécurité
  o   Intégrer l'infrastructure de surveillance (proxy, firewall, etc.)
PacketFence - la plug
• Où on en est (version 1.9.1)
  o   Port-Security based NAC
  o   Gestion flexible des VLANs
  o   802.1X/Mac Authentication en sans fil
  o   DHCP fingerprinting
  o   UserAgent fingerprinting
  o   Intégration IDS (Snort)
  o   Analyse de conformité avec Nessus
  o   Interface de gestion


• Ce qui nous tient occupés
  o   Port-Security, 802.1X, Mac Authentication filaire et sans fil unifiée
  o   Amélioration de notre intégration à Snort
  o   Interpréteur NetFlow / IPFIX (alternative légère à Snort)
  o   Intégration avec un Agent côté client
  o   Version 2.0 bientôt!



      Tout est gratuit / libre! Pas de version entreprise avec
                      plus de fonctionnalités.
Conclusion
Conclusion

• Qui et quoi est branché quand et où sur vos LAN?
• 802.1X
   o important mais une partie du casse-tête
   o périphériques legacy

• Implémentez des contre-mesures
   o ACL, Fingerprinting, Surveillance

• Soyez conscient des risques résiduels
Allez en paix authentifier et
    défendre vos LANs!
Des questions?

En attendant...
Réseaux sociaux
• LinkedIn: Olivier Bilodeau
• Identi.ca: plaxx
• Delicious: plaxxx
• Twitter: @packetfence




                On se voit au Q&A!

Contenu connexe

Tendances

Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Youcef Aliarous
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsbiapy
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securiseJUNIOR SORO
 
Alphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administrationAlphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administrationAlphorm
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...DENAGNON FRANCK ✔
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiAudience
 

Tendances (20)

Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Sécurité-Wifi
Sécurité-WifiSécurité-Wifi
Sécurité-Wifi
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenients
 
Chap5 wan
Chap5 wanChap5 wan
Chap5 wan
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securise
 
Rapport projet final system reparti
Rapport projet final system repartiRapport projet final system reparti
Rapport projet final system reparti
 
Cours les technologies WAN
Cours les technologies WANCours les technologies WAN
Cours les technologies WAN
 
Alphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administrationAlphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administration
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
wifi securite
wifi securite wifi securite
wifi securite
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur Zabbix
 
Expose dns
Expose dnsExpose dns
Expose dns
 

En vedette

Ubuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de Mozilla
Ubuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de MozillaUbuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de Mozilla
Ubuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de MozillaJérôme aka "Genma" Kun
 
Evaluation Ultrasonique Des StéNoses Carotidiennes
Evaluation Ultrasonique Des StéNoses CarotidiennesEvaluation Ultrasonique Des StéNoses Carotidiennes
Evaluation Ultrasonique Des StéNoses CarotidiennesARMVOP Médecin Vasculaire
 
Alignement du Système d'Information - Présentation de SOCOMEC
Alignement du Système d'Information - Présentation de SOCOMECAlignement du Système d'Information - Présentation de SOCOMEC
Alignement du Système d'Information - Présentation de SOCOMECVOIRIN Consultants
 
Developper une application mobile
Developper une application mobileDevelopper une application mobile
Developper une application mobileEutech SSII
 
2020 : La fin du e-Commerce ?
2020 : La fin du e-Commerce ?2020 : La fin du e-Commerce ?
2020 : La fin du e-Commerce ?Henri Kaufman
 
Padd soissons
Padd soissonsPadd soissons
Padd soissonssoissons
 
Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...
Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...
Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...REALIZ
 
Une introduction au e-commerce (ICHEC 2012)
Une introduction au e-commerce (ICHEC 2012)Une introduction au e-commerce (ICHEC 2012)
Une introduction au e-commerce (ICHEC 2012)David Hachez
 
Aptitudes administratives et professionnelles après chirurgie réfractive
Aptitudes administratives et professionnelles après chirurgie réfractiveAptitudes administratives et professionnelles après chirurgie réfractive
Aptitudes administratives et professionnelles après chirurgie réfractiveOphtalmologie
 
Barre pour développeur Firefox et Eclipse
Barre pour développeur Firefox et EclipseBarre pour développeur Firefox et Eclipse
Barre pour développeur Firefox et EclipseYannick Pavard
 
Certification nationale A2-B1 d'allemand session 2016
Certification nationale A2-B1 d'allemand session 2016Certification nationale A2-B1 d'allemand session 2016
Certification nationale A2-B1 d'allemand session 2016Jean-Marc Dubois
 
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...PYR
 
Atelier veille et prospection en btob nouvelles techniques - 14112013 - dif...
Atelier   veille et prospection en btob nouvelles techniques - 14112013 - dif...Atelier   veille et prospection en btob nouvelles techniques - 14112013 - dif...
Atelier veille et prospection en btob nouvelles techniques - 14112013 - dif...echangeurba
 
Reperes tests implicites - septembre 2012
Reperes   tests implicites - septembre 2012 Reperes   tests implicites - septembre 2012
Reperes tests implicites - septembre 2012 François Abiven
 
PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES (2012-2016)
PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES  (2012-2016)PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES  (2012-2016)
PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES (2012-2016)Gobernabilidad
 
Tournée Infopresse québec - Campagnes médias sociaux à succès
Tournée Infopresse québec - Campagnes médias sociaux à succèsTournée Infopresse québec - Campagnes médias sociaux à succès
Tournée Infopresse québec - Campagnes médias sociaux à succèsGuillaume Brunet
 
Matinée marketplace HiPay, Mirakl
Matinée marketplace HiPay, MiraklMatinée marketplace HiPay, Mirakl
Matinée marketplace HiPay, MiraklHiPay Group
 

En vedette (20)

Ubuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de Mozilla
Ubuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de MozillaUbuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de Mozilla
Ubuntu Party Mai 2015 - FirefoxOS, l'OS pour Smarpthone de Mozilla
 
Geomatique
GeomatiqueGeomatique
Geomatique
 
Evaluation Ultrasonique Des StéNoses Carotidiennes
Evaluation Ultrasonique Des StéNoses CarotidiennesEvaluation Ultrasonique Des StéNoses Carotidiennes
Evaluation Ultrasonique Des StéNoses Carotidiennes
 
Alignement du Système d'Information - Présentation de SOCOMEC
Alignement du Système d'Information - Présentation de SOCOMECAlignement du Système d'Information - Présentation de SOCOMEC
Alignement du Système d'Information - Présentation de SOCOMEC
 
Developper une application mobile
Developper une application mobileDevelopper une application mobile
Developper une application mobile
 
2020 : La fin du e-Commerce ?
2020 : La fin du e-Commerce ?2020 : La fin du e-Commerce ?
2020 : La fin du e-Commerce ?
 
Padd soissons
Padd soissonsPadd soissons
Padd soissons
 
Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...
Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...
Méthode de travail : aider son enfant à préparer sa journée, ses devoirs, ses...
 
Une introduction au e-commerce (ICHEC 2012)
Une introduction au e-commerce (ICHEC 2012)Une introduction au e-commerce (ICHEC 2012)
Une introduction au e-commerce (ICHEC 2012)
 
Introduction à XML
Introduction à XMLIntroduction à XML
Introduction à XML
 
Aptitudes administratives et professionnelles après chirurgie réfractive
Aptitudes administratives et professionnelles après chirurgie réfractiveAptitudes administratives et professionnelles après chirurgie réfractive
Aptitudes administratives et professionnelles après chirurgie réfractive
 
Du travail virtuel (teletravail) au BYOD
Du travail virtuel (teletravail) au BYODDu travail virtuel (teletravail) au BYOD
Du travail virtuel (teletravail) au BYOD
 
Barre pour développeur Firefox et Eclipse
Barre pour développeur Firefox et EclipseBarre pour développeur Firefox et Eclipse
Barre pour développeur Firefox et Eclipse
 
Certification nationale A2-B1 d'allemand session 2016
Certification nationale A2-B1 d'allemand session 2016Certification nationale A2-B1 d'allemand session 2016
Certification nationale A2-B1 d'allemand session 2016
 
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
 
Atelier veille et prospection en btob nouvelles techniques - 14112013 - dif...
Atelier   veille et prospection en btob nouvelles techniques - 14112013 - dif...Atelier   veille et prospection en btob nouvelles techniques - 14112013 - dif...
Atelier veille et prospection en btob nouvelles techniques - 14112013 - dif...
 
Reperes tests implicites - septembre 2012
Reperes   tests implicites - septembre 2012 Reperes   tests implicites - septembre 2012
Reperes tests implicites - septembre 2012
 
PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES (2012-2016)
PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES  (2012-2016)PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES  (2012-2016)
PLAN GOUVERNEMENTAL POUR L’EGALITE DES SEXES (2012-2016)
 
Tournée Infopresse québec - Campagnes médias sociaux à succès
Tournée Infopresse québec - Campagnes médias sociaux à succèsTournée Infopresse québec - Campagnes médias sociaux à succès
Tournée Infopresse québec - Campagnes médias sociaux à succès
 
Matinée marketplace HiPay, Mirakl
Matinée marketplace HiPay, MiraklMatinée marketplace HiPay, Mirakl
Matinée marketplace HiPay, Mirakl
 

Similaire à 802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)

Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
Alphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall TroubleshootingAlphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall TroubleshootingAlphorm
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk webAgarik
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Rétro-ingénierie de protocole crypto: Un "starter pack"
Rétro-ingénierie de protocole crypto: Un "starter pack"Rétro-ingénierie de protocole crypto: Un "starter pack"
Rétro-ingénierie de protocole crypto: Un "starter pack"Maxime Leblanc
 
EIGRP - Authentification
EIGRP - Authentification EIGRP - Authentification
EIGRP - Authentification mdyabi
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Olivier Le Goaër
 
cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfGodefroyCheumaniTche1
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 

Similaire à 802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau) (20)

Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Alphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall TroubleshootingAlphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall Troubleshooting
 
securite.ppt
securite.pptsecurite.ppt
securite.ppt
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
 
Démystifier la programmation avec LabVIEW FPGA
Démystifier la programmation avec LabVIEW FPGADémystifier la programmation avec LabVIEW FPGA
Démystifier la programmation avec LabVIEW FPGA
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk web
 
Les Firewalls
Les FirewallsLes Firewalls
Les Firewalls
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
Rétro-ingénierie de protocole crypto: Un "starter pack"
Rétro-ingénierie de protocole crypto: Un "starter pack"Rétro-ingénierie de protocole crypto: Un "starter pack"
Rétro-ingénierie de protocole crypto: Un "starter pack"
 
EIGRP - Authentification
EIGRP - Authentification EIGRP - Authentification
EIGRP - Authentification
 
Réseau MiNET
Réseau MiNETRéseau MiNET
Réseau MiNET
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !
 
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
 
cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdf
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWF
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
my_resume(fre)
my_resume(fre)my_resume(fre)
my_resume(fre)
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 

Plus de Hackfest Communication

Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Hackfest Communication
 
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Hackfest Communication
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Hackfest Communication
 
Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Hackfest Communication
 
Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Hackfest Communication
 
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Hackfest Communication
 
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Hackfest Communication
 
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)Hackfest Communication
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Hackfest Communication
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Hackfest Communication
 

Plus de Hackfest Communication (14)

Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)
 
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
 
Broken by design (Danny Fullerton)
Broken by design (Danny Fullerton)Broken by design (Danny Fullerton)
Broken by design (Danny Fullerton)
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...
 
Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)
 
Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)
 
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
 
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
 
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
 

802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)

  • 1. 802.1X filaire rêves brisés?
  • 2. Plan • Introduction • La technologie • Implémentation o Configuration o Défis • Vulnérabilités • Contre-mesures • Futur • Conclusion • Questions
  • 3. Qui suis-je? • Olivier Bilodeau, Ingénieur junior • Architecte système chez Inverse o PacketFence, Open Source NAC o Consultation sur la sécurité filaire et sans fil • Chargé de cours à l'École de technologie supérieure o Sécurité des systèmes
  • 4. Avertissement! Ceci n'est pas un argumentaire (sales pitch). Si vous avez envie de discuter NAC et PacketFence venez me voir après la présentation, ça va me faire plaisir!
  • 5. Contexte / Bagage "Your security is only as strong as your weakest link." • Vision globale • Faire les choses dans l'ordre "Security is a journey not a destination." • Ce n'est jamais fini • But: rendre la job plus difficile pour les attaquants
  • 6. Les réseaux d'entreprises aujourd'hui • Communications avec l'Internet o Pare-feu o Filtrage courriel o Filtrage Web • VPN pour employés, consultants • DMZ pour serveurs • Contrôle d'accès physique stricte (pour certains) Une protection de périmètre étoffée! ...
  • 7. Mais à l'intérieur... • On fait le minimum (et encore...) o storm control o prévenir serveurs DHCP malicieux o prévenir man-in-the-middle layer 2 o port-security de base o ségrégation en VLAN et ACLs • On ne sait pas qui et quoi est branché sur notre réseau • Accès garanti si vous trouvez une prise réseau! o peut-être même à l'infrastructure
  • 8. Carapace dure au coeur moelleux
  • 9. Pourquoi faire attention au LAN? • Traditionnellement o défendre les attaques niveau 2 intentionnelles ou pas o ralentir la propagation des vers • Menaces principalement sans intentions malicieuses o matériel non-autorisé o matériel infecté o matériel non sécuritaire • Menace motivée o portable branché dans la salle d'attente o un point d'accès rogue au bon endroit... • Pour faire plaisir à son auditeur
  • 10. Ce n'est pas assez! C'est bien beau votre port-security et vos ACLs strictes, mais si un employé bien intentionné peut brancher un NAT Router et offrir du sans fil 'open', sans que vous ayez un moyen de le prévenir ou de vous en rendre compte vous avez augmenté votre surface d'attaque. (Les War Drivers raffolent de ça!)
  • 11. Durcissement du LAN • IP statiques o vulnérabilité: auto-assignation • DHCP statique selon la MAC o vulnérabilité: auto-assignation • Port Security o vulnérabilité: patience ou usurpation MAC • NAC basé DHCP o vulnérabilités variées selon la technique: de l'usurpation MAC ou IP d'un client autorisé, auto-assignation paramètres infrastructure
  • 12. Durcissement du LAN (suite) • NAC basé sur l'empoisonnement ARP o vulnérabilités: usurpation MAC, entrées ARP statiques, NAT • NAC basé sur le Port Security o vulnérabilité: usurpation MAC • IDS / IPS o manquent souvent le traffic interne o pas du contrôle d'accès • Les techniques frappent toujours la même limite o Aucune notion de contrôle d'accès dans le L2
  • 14. 802.1X: Terminologie • Port-Based Network Access Control • Acteurs o Supplicant o Authenticator  on voit aussi Network Access Server (NAS) o Authentication Server • Protocoles o Extensible Authentication Protocol (EAP) o Remote Authentication Dial In User Service (RADIUS)
  • 15. 802.1X: Processus 1. Client qui supporte 802.1X o Dialogue avec équipement en EAP over LAN (EAPoL) 2. Authenticator (NAS) communique avec serveur RADIUS o Incluant des messages EAP chiffrés o Selon la saveur de EAP, il peut y avoir un Challenge- Response 3. Serveur RADIUS o prend la décision finale o envoit des instructions supplémentaires au NAS
  • 16. 802.1X over RADIUS • 802.1X spécifie l'utilisation d'un protocole de AAA o Authentication o Authorization o Accounting • Solution: RADIUS o Protocole simple d'échange clé-valeur o Messages types:  Access-Request  Access-Challenge  Access-Accept ou Access-Reject  Accounting-Request  ...
  • 17. 802.1X: EAP • Supporte plusieurs mechanismes d'authentification o interchangeables o sans negociation préalable • Authenticator (NAS) peut agir comme passthrough o n'a pas a supporter les nouvelles variantes • multiplexable o EAP dans EAP (comme IP dans IP) • Certaines variantes permettent l'échange de clés cryptographiques o WPA Enterprise
  • 18. 802.1X: Saveurs de EAP • EAP-MD5 (simple, vulnérable, vieux) • EAP-TLS (standard) o certificats côté client obligatoires • EAP-FAST (Cisco) • EAP-TTLS (assez standard) o certificat côté serveur signé par un CA • PEAPv0/EAP-MSCHAPv2 (Microsoft) o Permet authentification bout en bout sur un Active Directory (AD)
  • 21. 802.1X supplicants • Windows o EAP-TLS depuis Windows 2000 SP4 o PEAPv0/EAP-MSCHAPv2 • Mac OS X o EAP-TLS (10.3) o EAP-FAST (10.4.3) o PEAPv0/EAP-MSCHAPv2 • Linux o wpa_supplicant (EAP-TLS, PEAPv0/EAP-MSCHAPv2...) • Multi-plateforme o Open1X • De plus en plus de matériel o Avaya IP Phone o Imprimantes, etc.
  • 22. 802.1X Support • Côté Supplicant o Microsoft a mené, tous on suivi o Intégration AD est confortable sous PEAP-MsCHAPv2 o Alternatives libres o Support matériel reste problématique • Côté matériel réseau o fragmentation remarquée o possibilités varient beaucoup o mais la base fonctionne presque partout • Côté serveur d'authentification o logiciel libre: FreeRADIUS o Cisco ACS o Microsoft IAS
  • 23. 802.1X: Intégration avec legacy Les fabricants de matériel réseau ont dû résoudre la problématique. • Apparition de: o MAC Authentication Bypass aka MAB (Cisco) o MAC-based authentication (HP) o NEAP (Nortel) o Netlogin (Extreme Networks) o MAC RADIUS (Juniper) • Qui consiste à faire du RADIUS authentication avec la MAC comme User-Name o après que le dialogue EAPoL ait échoué o la plupart sans EAP, certains avec
  • 24. 802.1X: Les possibilités • Assignation de VLAN selon critères flexibles o Position géographique (building, étage, etc.) o Groupe AD (compatibilité, vente, ingénierie, ...) o VLAN de quarantaine o ... • Refuser l'accès selon vos critères o postes mal configurés o portables de la maison qui n'ont pas le bon certificat o ...
  • 25. 802.1X Avantages • Utilise AAA donc bénéficie de la centralisation des décisions de sécurité réseau quant à: o Authentification o Autorisation o Audit • Configuration des ports unifiée* • Centralisation de la gestion des VLAN • Bien conçu, a l'épreuve du temps • Tout est standard et gratuit!
  • 27. Configuration Supplicant • Mac OS X o Advanced 802.1X o Activer PEAP et TTLS o Inscrire vos authentifiants • Linux o utilisez NetworkManager! o wpa_supplicant, excellent pour apprendre • Windows o exercice laissé au participant
  • 28. Supplicant wpa_supplicant Pour référence ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 ap_scan=0 eapol_version=2 network={ key_mgmt=IEEE8021X eap=PEAP identity="user" password="l33tp4ssp03m" phase2="auth=MSCHAPV2" #ca_cert="/etc/wpa_supplicant/cacert-csa.pem" }
  • 29. Configuration commutateur Cisco 2960, 802.1X + MAC Authentication Bypass (MAB) aaa authentication dot1x default group radius aaa authorization network default group radius interface FastEthernet0/1 description Port 802.1X fallback MAB switchport mode access authentication order dot1x mab authentication priority dot1x mab authentication port-control auto authentication periodic authentication timer restart 10800 authentication timer reauthenticate 10800 mab dot1x pae authenticator dot1x timeout quiet-period 2 dot1x timeout tx-period 3 spanning-tree portfast radius-server host 10.100.1.10 auth-port 1812 acct-port 1813 timeout 2 key 3p1cR4d1usS3kret
  • 30. Configuration FreeRADIUS sur RedHat 5 / CentOS 5 (pour référence) • # yum install freeradius2 freeradius2-perl freeradius2-utils • Ajouter votre client et shared secret dans /etc/raddb/clients.conf • Dans /etc/raddb/modules/mschap o with_ntdomain_hack = yes o ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key -- username=%{%{Stripped-User-Name}:-%{User-Name:-None}} -- challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT- Response:-00}" • Dans /etc/raddb/modules/perl o module = ${confdir}/my_module.pl
  • 31. Configuration FreeRADIUS (suite) • /etc/raddb/sites-available/inner-tunnel should look like this: o Authorize section preprocess eap { ok = return } files o Authenticate section authenticate { Auth-Type MS-CHAP { mschap } eap } o Add to post-auth section  perl
  • 32. Configuration FreeRADIUS (suite) • /etc/raddb/users add: o DEFAULT EAP-Message !* "", Auth-Type := Accept • /etc/raddb/eap.conf should look like: eap { default_eap_type = peap tls { private_key_file = /etc/raddb/certs/<key> certificate_file = /etc/raddb/certs/<cert> CA_file = /etc/raddb/certs/<CA> dh_file = /etc/raddb/certs/dh random_file = /dev/urandom } peap { default_eap_type = mschapv2 } mschapv2 { } }
  • 33. Configuration FreeRADIUS (suite) • Définir son propre module et retourner les attributs désirés o code perl (rlm_perl) o exécuter un programme (rlm_exec) sub post_auth { if ($RAD_REQUEST{'User-Name'} =~ /^Mallory$/) { $RAD_REPLY{'Tunnel-Medium-Type'} = 6; # IEEE-802 $RAD_REPLY{'Tunnel-Type'} = 13; # VLAN $RAD_REPLY{'Tunnel-Private-Group-ID'} = 666; # 802.1Q VLAN TAG } return RLM_MODULE_OK; } Exemples plus complexes: • http://wiki.freeradius.org/Rlm_perl • http://mtn.inverse.ca/branch/head/file/org.packetfence.trunk/pf/addons/802.1X/rlm_perl_packetfence_soap.pl • http://mtn.inverse.ca/branch/head/file/org.packetfence.1_9/pf/addons/802.1X/rlm_perl_packetfence.pl
  • 34. Configuration FreeRADIUS (suite) • Configurer SAMBA o /etc/krb5.conf [logging] [domain_realm] default = FILE:/var/log/krb5libs.log .<AD domain> = <AD domain in CAPS> kdc = FILE:/var/log/krb5kdc.log <AD domain> = <AD domain in CAPS> admin_server = FILE:/var/log/kadmind.log [appdefaults] [libdefaults] pam = { default_realm = <AD domain> debug = false dns_lookup_realm = false ticket_lifetime = 36000 dns_lookup_kdc = true renew_lifetime = 36000 ticket_lifetime = 24h forwardable = true forwardable = yes krb4_convert = false } [realms] <AD domain> = { kdc = <domain controller>:88 admin_server = <domain controller>:749 default_domain = <AD domain> }
  • 35. Configuration FreeRADIUS (suite) • Configurer SAMBA (suite) o /etc/samba/smb.conf [global] workgroup = <AD host portion> server string = <hostname> interfaces = <eth0 IP / mask> security = ADS passdb backend = tdbsam realm = <AD domain> encrypt passwords = yes winbind use default domain = yes client NTLMv2 auth = yes preferred master = no Et tester! # testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions ...
  • 36. Configuration FreeRADIUS (suite) • Configurer SAMBA (suite) o Joindre au domaine  # net ads join -U <domain admin> o Démarrer winbind  # service winbind start o Test ntlm_auth  $ ntlm_auth --username <test user> password: NT_STATUS_OK: Success (0x0) o Permettre à RADIUS d'accéder au socket Winbind  # chgrp radiusd /var/cache/samba/winbindd_privileged/
  • 37. Déboguer • FreeRADIUS: Inévitable... mais facile! # radiusd -X [...] Ready to process requests. Ignoring request to authentication address * port 1812 from unknown client 10.0.0.2 port 1645 Ready to process requests. [...] rad_recv: Access-Request packet from host 192.168.1.222 port 57948, id=156, length=207 User-Name = "test" EAP-Message = 0x020a002b190017030100201657d69ade41a6871211f5c16cd62a869d29ff173ced8b89687fcb2da124891e Message-Authenticator = 0x430b4c4b7331470b8e74ee7c713042e4 NAS-Port-Id = "ge-0/0/46.0" Called-Station-Id = "00-1f-12-36-e0-c0" NAS-Port-Type = Ethernet ... [peap] Success [eap] Freeing handler ++[eap] returns ok ... ++[perl] returns ok ... Sending Access-Accept of id 156 to 192.168.1.222 port 57948 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 ... • L'équipement réseau o show log
  • 38. Les défis • Gestion périphériques non-802.1X o Imprimantes o PXE o Machines virtuelles bridged o ... • Gestion des invités • Téléphone IP • Configuration des postes • Formation du personnel • Complexité
  • 39. La complexité • Complixité statique o OS des postes o Logiciel supplicant (si applicable) o OS des commutateurs o Trouver tous ses périphériques réseau non-802.1X o Derrière un téléphone IP ou pas o Version serveur RADIUS • Complexité dynamique o Déplacement de port o Changement de VLAN (réaction face à) o Redémarrage (peut déclencher MAC Authentication) o Approvisionnement (VoIP, PC)
  • 40. 802.1X vulnérabilités where are the vulz!!? I'm here to p0wn!
  • 41. Vulnérabilité de l'implémentation 802.1X • Regarder là où il n'y en a pas... "Look for 802.1X exceptions such as printers, VoIP phones" -- Joseph McCray, Learn Security Online, Defcon 18 • Trouver les ports où 802.1X est désactivé • Usurpation MAC!
  • 43. 802.1X: Gérer le non-802.1X • Oublier la configuration d'exception par port => 802.1X + MAC Authentication • VLAN d'exceptions / ACLs strictes • DHCP Fingerprinting • TCP Fingerprinting • Surveillance o IDS / IPS o Profilage de traffic (NetFlow, IPFIX) Toutes ces solutions demandent un certain suivi
  • 44. C'était la seule vulnérabilité? Non
  • 45. 802.1X Bypass • 802.1X veut dire Port-Based Network Access Control o Mais si on arrive après l'autorisation? • Empêcher le port d'être down • Hub man-in-the-middle! + Ursupation MAC • Accès physique requis • Intrusif
  • 46. 802.1X Scénarios d'attaque 1. On laisse le client légitime branché o -: 2 MAC actives en même temps o UDP ok o TCP possible si client refuse les SYN-ACK non-sollicités o +: le vrai client peut renégocier le 802.1X 2. Prend la place du client légitime o +: pas de problèmes réseau (une seule MAC active) o -: s'il y a renégociation, on ne passera pas
  • 47. Déni de service • EAPOL-Logoff o Message provenant du supplicant qui désire terminer sa connexion o Pas chiffré o Pas de secret • Usurpation des messages EAPOL-Logoff par un client malicieux o Termine la session • Nécessite accès au medium o entre port du commutateur et PC • Pas de solution :(
  • 48. Mitiger le 802.1X Bypass • Renégociation 802.1X o automatique authentication periodic authentication timer reauthenticate 3600 o sur demande  CLI: dot1x re-authenticate interface FastEthernet0/1  SNMP avec IEEE8021-PAE-MIB::dot1xPaePortReauthenticate • IPsec • Agent sur le client • Surveillance (IDS/IPS, DHCP/TCP fingerprinting, flow, etc.) o mêmes solutions que de valider le non-802.1X
  • 49. Futur • 802.1AE: IEEE MAC Security standard (MACsec) o Authentification et chiffrement couche 2 o 802.1X-2010: intégration de 802.1X et MACsec • IF-MAP: standardisation des événements de sécurité o Intégrer l'infrastructure de surveillance (proxy, firewall, etc.)
  • 50. PacketFence - la plug • Où on en est (version 1.9.1) o Port-Security based NAC o Gestion flexible des VLANs o 802.1X/Mac Authentication en sans fil o DHCP fingerprinting o UserAgent fingerprinting o Intégration IDS (Snort) o Analyse de conformité avec Nessus o Interface de gestion • Ce qui nous tient occupés o Port-Security, 802.1X, Mac Authentication filaire et sans fil unifiée o Amélioration de notre intégration à Snort o Interpréteur NetFlow / IPFIX (alternative légère à Snort) o Intégration avec un Agent côté client o Version 2.0 bientôt! Tout est gratuit / libre! Pas de version entreprise avec plus de fonctionnalités.
  • 52. Conclusion • Qui et quoi est branché quand et où sur vos LAN? • 802.1X o important mais une partie du casse-tête o périphériques legacy • Implémentez des contre-mesures o ACL, Fingerprinting, Surveillance • Soyez conscient des risques résiduels
  • 53. Allez en paix authentifier et défendre vos LANs!
  • 54. Des questions? En attendant... Réseaux sociaux • LinkedIn: Olivier Bilodeau • Identi.ca: plaxx • Delicious: plaxxx • Twitter: @packetfence On se voit au Q&A!