Wifi 5555
Wifi 5555
Wifi 5555
Plan
La technologie sans ls Faiblesses et Attaques Architecture S ecurisation des postes clients S ecurisation des points dacc` es Authentication des clients S ecurisation des echanges
Introduction au Wi
Wireless Fidelity. Nouvelles familles de technologies pour la couche physique. Utilisent les ondes radio pour transporter le signal. Nom IEEE802.11 IEEE802.11b IEEE802.11g IEEE802.11a HomeRF HyperLAN Bluetooth (IEEE802.15) D ebit Max. 2Mb/s 11Mb/s 54Mb/s 54Mb/s 2Mb/s 54Mb/s 1Mb/s Fr eq. 2.4 GHz 2.4GHz 2.4GHz 5GHz ? 5GHz 2.4GHz Modulation FH DSSS OFDM OFDM ? OFDM ? Remarques
station mobile
IEEE802.11b : canaux
5MHz Europe EtatsUnis, Canada Japon
2.400GHz
9 10 2.455GHz
11
12
13 14 2.480GHz
IEEE802.11b : BSS
Basic Service Set Un ensemble de points dacc` es et les stations mobiles associ ees. SSID : identicateur de r eseau - cha ne de caract` eres. Pour joindre un r eseau Wi, une station doit conna tre le BSSID du r eseau. Facile : il peut etre broadcast e p eriodiquement par les points dacc` es. il sut d ecouter pour d ecouvrir les r eseaux disponibles. War Driving : cartographie des r eseaux Wi accessibles. (Avec un portable et un GPS). http://www.stumbler.net/index.php?cat=5 http://www.dachb0den.com/projects/dstumbler.html Un point dacc` es se comporte comme un HUB ecoute du trac possible.
SIARS Toulouse 2003 5
WEP
Wired Equivalent Privacy. M ecanisme de chirement du contenu des paquets Wi. Algorithme ` a cl e secr` ete : RC4 (40 ou 128 bits). Principe : un mot de passe est positionn e sur les points dacc` es et les stations mobiles. Sans le mot de passe, pas de communication. Probl` emes : interop erabilit e dicile entre impl ementations de Web (correspondance mot de passe / cl e, longueur des cl es). gestion des cl es : comment diuser la cl e WEP ` a tous les utilisateurs / visiteurs. Comment la changer p eriodiquement sur plusieurs points dacc` es et plusieurs stations ? faiblesses dans limpl ementation : crackage de la cl e possible en quelques minutes avec susamment de paquets captur es. http://www.dachb0den.com/projects/bsd-airtools.html
SIARS Toulouse 2003 6
Internet
Attaquant
routeur
Point dacces
stations mobiles
Point dacc` es Wi : enorme prise RJ 45 de 50m de diam` etre. d eborde du p erim` etre de s ecurit e physique en libre-service Attaques : D enis de service bande passante partag ee et limit ee d ebit utile limit e par la station la plus faible point(s) dacc` es parasite(s) Interception du trac m edia partag e attaque facile. snier passif arp poisoning Utilisation non autoris ee Voir war-driving ci-dessus,... installation de bornes non autoris ees : renforcent limpact des probl` emes ci-dessus.
S ecurisation : architecture
Internet
routeur
Point dacces
stations mobiles
Buts : emp echer les acc` es non autoris es s ecuriser les connexions Moyens : outils pour la s ecurit e locale : mises ` a jour, anti-virus, conguration rigoureuse, ltre de paquets, etc. protocoles de transport s ecuris es : SSH, SSL, IPsec Si le mobile ne change jamais de r eseau : xer le SSID ( eviter lutilisation de ANY) utiliser une entr ee statique dans la table ARP pour le routeur
10
Restreindre lacc` es aux interfaces dadministration : autoriser ladministration uniquement depuis le r eseau laire positionner un mot de passe dadministration restreindre les acc` es SNMP Activer les logs : utiliser la possibilit e denvoyer les logs vers un syslog ext erieur utiliser les trap SNMP surveiller les connexions - rep erer les connexions non autoris ees Autres (pas tr` es ecace mais augmente un peu la s ecurit e malgr e tout) : activer le WEP ltrage par adresse MAC supprimer les broadcast SSID
11
Authentication : portail
Solution la plus simple ` a mettre en oeuvre Principe : aecter aux utilisateurs non authenti es une adresse IP dans un r eseau non routable ou une passerelle sp ecique. Apr` es authentication, param` etres normaux. Exemples dimpl ementation : NoCatAuth http://nocat.net/ OpenBSD authpf http://www.openbsd.org/faq/pf/authpf.html Probl` emes : ne g` ere pas le chirement potentiellement contournable (car bas e uniquement sur les adresses IP). Possibilit e de compl eter par IPsec entre le routeur et les stations mobiles.
12
Solution g en erale aux probl` emes de s ecurit e sur les r eseaux publics : authentication et chirement au niveau 2 : IEEE 802.1X & Co. Domaine qui evolue vite en ce moment (2003) : Portail HTTP / SSH LEAP (Cisco + Microsoft) IEEE 802.1X WPA (Wi Protected Access) IEEE 802.11i (int egr e dans 802.11g) Principe : Syst` emes de niveau 2. Authentication entre le point dacc` es et le client. bas es sur le protocole dauthentication EAP utilisent un serveur Radius permettent la n egociation des cl es WEP Impl ementation de IEEE802.1X pour Unix : Open1x http://open1x.sourceforge.net/
13
1 4 5
2 3
serveur radius
1. Le poste non authenti e arrive sur un point dacc` es. Pr esente sa demande dauthentication 2. Le point dacc` es v erie lauthentication vis-` a-vis dun serveur (EAP) 3. Le serveur valide lauthentication. 4. Le point dacc` es ouvre le r eseau au niveau 2. 5. La station mobile peut communiquer ` a travers le point dacc` es.
14
Conclusion
Les r eseaux sans l sont l` a pour durer. Ils sont d ej` a largement d eploy es. La technologie evolue rapidement. Il faut les prendre en compte pour assurer la s ecurit e de nos syst` emes.
15
Bibliographie
802.11 Security, B.Potter & B. Fleck, OReilly, D ecembre 2002. S ecurit e des r eseaux sans le 802.11b, Herv e Schauer, mars 2002 http: //www.hsc.fr/ressources/presentations/asprom02/index.html.en S ecurit e Informatique num ero 40, Juin 2002, http://www.cnrs.fr/Infosecu/num40-sansFond.pdf D eploiement & s ecurit e des r eseaux sans l (802.11b), D. Azuelos, Mai 2003 http: //www.urec.cnrs.fr/securite/CNRS/vCARS/DOCUMENTS/Azuelos.pdf Recommandation du CERT-A, aou t 2002 http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002.pdf
16