Présentation
RÉSUMÉ
La norme IEEE 802.11 issue de l'organisme de standardisation IEEE (Institute of Electrical and Electronic Engineers) spécifie les caractéristiques des réseaux locaux sans fil. Pour pallier les vulnérabilités naturelles de ces réseaux sans fil de type 802.11, les standards ont connu une forte avancée, avec le point culminant de la sortie des deux normes de sécurité IEEE 802.1X et IEEE 802.11i. La première était initialement conçue pour authentifier les terminaux dans un contexte de réseaux filaires. La seconde définissait l'ensemble des mécanismes de sécurité. Cet article propose une synthèse didactique des solutions techniques retenues, en particulier IEEE 802.1X, IEEE 802.11i, RSNA, EAP, TKIP, CCMP, WEP.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Maryline LAURENT : Professeur à l'Institut Télécom - Télécom SudParis - Membre de l'UMR SAMOVAR 5157
-
Aymen BOUDGUIGA : Doctorant à l'Institut Télécom - Télécom SudParis - Membre de l'UMR SAMOVAR 5157
INTRODUCTION
La norme IEEE 802.11 issue de l'organisme de standardisation IEEE (Institute of Electrical and Electronic Engineers) spécifie les caractéristiques des réseaux locaux sans fil (WLAN – Wireless Local Area Network) sous plusieurs amendements (a, b, d, e, g, h, i, j). L'amendement 802.11i définit l'ensemble des mécanismes de sécurité répondant aux besoins des réseaux 802.11. D'une part, il assure le service d'authentification des terminaux sans fil. Pour cela, il adapte la solution de sécurité IEEE 802.1X, initialement conçue pour authentifier les terminaux dans un contexte de réseaux filaires. D'autre part, il s'intéresse à la protection des flux de données sur le lien radio et définit pour cela un service de protection des échanges de données qui se basent sur la solution historique WEP (Wired Equivalent Privacy). L'amendement IEEE 802.11i apporte des améliorations à la solution WEP en permettant que les clés de chiffrement soient dynamiques. Pour cela, il définit la manière de gérer et d'échanger ses clés dynamiques, en définissant des protocoles de gestion de clés et d'associations de sécurité. La mention RSN, pour Robust Security Network, est souvent donnée en référence au niveau de sécurité grandement amélioré par rapport au WEP d'origine. Enfin, il permet aux équipements 802.11 mettant en œuvre 802.11i de rester interopérables avec les équipements antérieurs mettant en œuvre une solution WEP et des clés de chiffrement statiques.
Ces normes sont complexes et volumineuses. Les documents synthétiques et clairs sur le sujet sont quasi inexistants ou nécessitent rapidement des connaissances très pointues. Nous proposons, dans cet article, de brosser un panorama des solutions de sécurité retenues dans les normes 802.11 et de les détailler de façon didactique.
Cet article introduit tout d'abord les notions utiles sur les réseaux 802.11. Il présente ensuite dans sa globalité la solution de sécurité telle qu'adoptée, puis passe en revue les différentes composantes de sécurité définies, comme les solutions d'authentification, de gestion des clés cryptographiques et des associations de sécurité, et de protection des échanges de données. L'article présente enfin un nouveau type de réseau – les réseaux maillés (mesh) – en cours de normalisation, avec les solutions préconisées par l'IEEE.
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
VERSIONS
- Version archivée 1 de août 2003 par Paul MÜHLETHALER
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Réseaux sans fil > Sécurité dans les réseaux 802.11 > Gestion des clés et des associations de sécurité
Présentation
Protection des échanges de données sur un lien radioArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
4. Gestion des clés et des associations de sécurité
802.11i définit l'ensemble des protocoles permettant d'établir des clés cryptographiques et des associations de sécurité entre différents équipements de l'architecture du réseau sans fil (STA, AP, AS). Le but est de sécuriser les échanges de données entre ces équipements et de maintenir le niveau de sécurité de ces échanges au fil du temps. Les éléments de sécurité introduits par 802.11i par rapport à la solution WEP d'origine sont souvent référencés sous la mention RSN ou RSNA.
Ce paragraphe décrit tout d'abord les grands principes de la gestion des clés et des associations de sécurité dans les réseaux 802.11i, puis il précise pour chaque type de connexion STA-AP, STA-STA, et pour les clés de groupe, la manière de le faire.
4.1 Principes de gestion des clés et des associations de sécurité
Chaque session sécurisée entre deux équipements fait appel à sa propre association de sécurité et ses propres clés cryptographiques. Les clés et associations de sécurité définies dans 802.11i sont présentées dans les encadrés 4 et 5.
Les clés dérivent toutes les unes des autres de façon hiérarchique, avec à la racine de l'arbre, la clé MSK partagée à la fin de la phase d'authentification entre AS et STA. Cette hiérarchie de clés est décrite aux figures 10 et 11. Leur principe de dérivation satisfait au principe d'indépendance des clés cryptographiques tel que le décrit le RFC 5247. Dans ce RFC, il est en effet précisé :
-
PMKSA (Pairwise Master Key Security Association ) : association de sécurité établie entre STA et AP suite à la phase d'authentification PSK ou 802.1X. Cette association contient entre autres la clé PMK, un identifiant d'association de sécurité, l'adresse MAC de l'authentificateur et la durée de vie de l'association.
-
PTKSA (Pairwise Transient Key Security Association ) : association de sécurité établie entre STA et AP suite au 4-Way Handshake entre STA et AP. Cette association contient la clé PTK (donc KCK, KEK, TK). Elle contient également l'ensemble des fonctions cryptographiques...
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Gestion des clés et des associations de sécurité
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - PUJOLLE (G.) - Sécurité des réseaux WiFi. - Chapitre issu de « La sécurité dans les réseaux sans fil et mobiles 2 : Technologies du marché », Traité IC2, série Réseaux et Télécoms, É. LAVOISIER, ISBN 2 978-2-7462-1698-3, mai 2007.
-
(2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) Éd - La sécurité dans les réseaux sans fil et mobiles. - Traité IC2, série Réseaux et Télécoms, 3 volumes, Éd. Lavoisier, ISBN 978-2-7462-1697-6, ISBN 2 978-2-7462-1698-3, ISBN 3 978-2-7462-1699-0, mai 2007.
-
(3) - CHEIKHROUHOU (O.), LAURENT (M.), BEN ABDALLAH (A.), BEN JEMAA (M.) - An EAP-EHash authentication method adapted to resource constrained terminals. - Annales des Télécommunications, Engineering Collection, ISSN 0003-4347 (Print) 1958-9395 (Online), DOI 10.1007/s12243-009-0135-9, nov. 2009 http://www.springerlink.com/content/82237j3147550556/
-
(4) - DANTU (R.), CLOTHIER (G.), ATRI (A.) - EAP methods for wireless networks. - Computer Standards and interfaces, vol. 29, Issue 3, ISBN 0920-5489, p. 289-301, mars 2007.
-
...
DANS NOS BASES DOCUMENTAIRES
Club de la Sécurité de l'Information Français, menaces informatiques et pratiques de sécurité en France, Édition 2008 https://clusif.fr/publications/menaces-informatiques-pratiques-de-securite-france-edition-2018-rapport/ (page consultée le 23 décembre 2009)
HAUT DE PAGE
IEEE 802.11s TG (01-09), IEEE p. 802.11s/d2.06 : Part 11 : Wireless LAN MAC and physical layer specifications, amendment 10 : Mesh networking. IEEE draft
IEEE 802.11 TG (06-07), IEEE std. 802.11-2007 (revision of IEEE std. 802.11-1999) : Part 11 : Wireless LAN MAC and physical layer specifications. IEEE standard
IEEE 802.1X TG (12-04), IEEE std. 802.1x-2004 : Port based network access control. IEEE standard
IEEE 802.11i TG (07-04), IEEE std. 802.11i : IEEE standard for information technologies- telecommunication and information exchange between systems – local and metropolitan area networks – specific requirements. Part 11 : Wireless LAN MAC and physical layer specifications, Amendment 6 : MAC security enhancements. IEEE standard
IEEE 802.11 TG (06-07), IEEE std. 802.11-2007 (revision of IEEE std. 802.11-1999) : Part 11 : Wireless LAN MAC and physical layer specifications....
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
