Scurit des WLANs

Introduction

Histoire
Lhistoire des rseaux 802.11 est maille de vulnrabilits Les protections tardent se gnraliser et ne couvrent toujours pas tous les problmes 50 % des rseaux wifi sont ouverts 25 % des rseaux scuriss sont en fait mal protgs Les entreprises sont les mauvais lves ... Les implmentations prsentent des vulnrabilits
Rseaux sans fil

Histoire

Rseaux sans fil

Problmes.
Un rseau sans-fil prsente les mmes vulnrabilits quun rseau filaire Serveur DHCP malicieux, ARP / DNS spoofing, DoS, ... Mais aussi qlq spcificits wifi Rayon daction : propagation incontrlable des ondes radio coute : plus facile que pour les rseaux filaires Attaques spcifiques : Rogue AP, WarXing, .... Plus globalement Risques dintrusion, interception de donnes Dtournement de connexion Internet Brouillage des transmissions DoS

Rseaux sans fil

Agenda
Les rseaux Wi-Fi ouverts Le cas du WEP... Scurit : WPA, WPA2 and 802.11i Authentification Wi-Fi .

Rseaux sans fil

Agenda
Les rseaux Wi-Fi ouverts Le cas du WEP... Scurit : WPA, WPA2 and 802.11i Authentification Wi-Fi
 Suivi des clients enregistrs  Protection des stations Wi-Fi

Rseaux sans fil

Exemple des rseaux ouverts

Accs Wi-Fi public, souvent commerciaux ou communautaires Systmes bass sur un portail captif Authentification une application Web denregistrement Mise en place dautorisations pour laccs Internet Suivi des clients enregistr Problmes poss : aucune scurit ! Accs non limit, pas de chiffrement, Accs internet Comment suivre les clients ? Comment protger les clients ? Ncessit de limiter / conditionner l'accs au rseau
Rseaux sans fil

Hotspot

Exemple des rseaux ouverts

Accs Wi-Fi public, souvent commerciaux ou communautaires Systmes bass sur un portail captif Authentification une application Web denregistrement Mise en place dautorisations pour laccs Internet Suivi des clients enregistr Problmes poss : aucune scurit ! Accs non limit, pas de chiffrement, Accs internet Comment suivre les clients ? Comment protger les clients ? Ncessit de limiter / conditionner l'accs au rseau
Rseaux sans fil

Hotspot

Portails captifs
Authentification tierce pour rseau ouvert... Trafic sortant interdit Trafic HTTP redirig vers vers un portail Accs autoris une fois enregistr
Problmatique... Comment diffrencier les clients enregistrs des autres ?

Rseaux sans fil

Portails captifs
Les portails captifs prsentent souvent des vulnrabilits exploitables  Certificat pour l'accs SSL la page
   
d'enregistrement Mauvaises configurations Applications web vulnrables Modification des arguments, SQL injection Etc.

En rsum... Il y a mille faon de mettre en oeuvre un portail captif vulnerable

Rseaux sans fil

10

Suivi des clients

Comment suivre un client authentifi ? Pas beaucoup de choix Adresse MAC Adresse IP Adresses MAC and IP en mme temps Seulement voil, on peut usurper ces paramtres...

Rseaux sans fil

11

Quid des clients ?

Le rseau est ouvert... Nimporte qui peut y accder Les communications ne sont pas chiffres Aucune mesure de protection pour les clients Exposition Les clients peuvent tre attaqus facilement

Rseaux sans fil

12

Limites : Contourner les AP (Le Rogue AP)

On monte un AP factice pour le rseau cible Mme SSID Meilleure puissance perue Interception des communications Permet de voler les login/passwords ou faire valider ses identifiants rseau
Rseaux sans fil

13

Limites des autorisations par @MAC

Un rseau Wi-Fi est un domaine de collision Changer son adresse MAC est trivial Pas de conflits au niveau MAC Prenez juste une IP diffrente (Ifconfig, macchanger, etc.)
Rseaux sans fil

14

Limites des autorisations par @IP

Vulnrable aux attaques de niveau 2 Vulnrable corruption cache ARP Possibilit de Spoofer une @ IP Possibilit de rediriger le trafic
Rseaux sans fil

15

Autres attaques :
On peut usurper lidentit dun client enregistr  Adresse MAC  Adresse IP  Pas de perturbation induite Mais... On peut galement le dsassocier et prendre sa place

Rseaux sans fil

16

Autres attaques :
Corruption de traffic par injection  Les trames Wi-Fi peuvent tre capture  Ecouter le trafic Wi-Fi  Reprer les requtes intressantes  Injecter de fausses rponses en usurpant lAP  Applications :
fausses rponses DNS, contenu malicieux, etc.

Communication par injection  Linjection de trame destination des stations

permet de les atteindre.  Il suffit dcouter les rponses et de continuer.

17

Rseaux sans fil

En rsum
Les clients dun hotspot Wi-Fi sont trs exposs  Pas de confidentialit  Pas dintgrit des flux Donc .. Lutilisation de hotspot Wi-Fi induit un risque important Elle suppose une priode dexposition pre-enregistrement Le strict minimum de la scurit wifi Une infrastructure adapte ==> rglage porte Eviter valeurs par dfaut lors de l'installation de l'AP dsactiver broadcast Filtrage, mais facilement contournable Cacher SSID Existe t-il des solutions plus robustes ??
Rseaux sans fil

18

En rsum
Les clients dun hotspot Wi-Fi sont trs exposs  Pas de confidentialit  Pas dintgrit des flux Donc .. Lutilisation de hotspot Wi-Fi induit un risque important Elle suppose une priode dexposition pre-enregistrement Le strict minimum de la scurit wifi Une infrastructure adapte ==> rglage porte Eviter valeurs par dfaut lors de l'installation de l'AP dsactiver broadcast Filtrage, mais facilement contournable Cacher SSID Existe t-il des solutions plus robustes ??
Rseaux sans fil

19

Agenda
Les rseaux Wi-Fi ouverts Suivi des clients enregistrs Protection des stations Wi-Fi Le cas du WEP...  Le protocole (authentification & chiffrement)  Rcupration et exploitation de keystreams  Faiblesses, Attaques ... Scurit : WPA, WPA2 and 802.11i Authentification Wi-Fi
Rseaux sans fil

20

WEP
Wired Equivalent Privacy Cest un mcanisme de scurit bas sur un chiffrement cl secrte symtrique de 40 ou 104 bits (WEP-40 et WEP-104). Le chiffrement sopre la vole dans la couche MAC en applicant un ou exclusif sur la squence en claire et sur une squence pseudo-alatoire. Le chiffrement concerne uniquement le corps de la trame. Le WEP va chiffrer ce contenu et lencapsuler dans un MSDU WEP
Rseaux sans fil

21

WEP: oprations
Source

WEP MSDU

Receiver
Rseaux sans fil

22

WEP: oprations
1- la cl K est concatne un vecteur dinitialisation IV de 24 bits. Cet IV change pour chaque trame 2- le rsultat sera la graine du RC4 (Rivest Cipher 4) qui va gnrer une squence pseudo-alatoire (key stream). 3- La squence chiffrer est concatne son ICV (Integrity Check Value) qui nest autre quun CRC32 de 4 octets. 3- un ou exclusif est appliqu entre la squence pseudo-alatoire et les donne en clair + ICV. 4- le rsultat forme les donnes chiffres auxquelles est concatne lIV car le rcepteur a besoin du IV pour dchiffrer. Le tout forme le MSDU WEP

Rseaux sans fil

23

WEP: notations
Le WEP se rsume par: C = WEP(P,IV,k)= P RC4(IV,k) O C est la squence chiffre, P la squence en claire et k la cl. RC4(IV,k) nest autre que le key stream Le dchiffrement se fait par: Casser le chiffrement est thoriquement dur puisque un IV diffrent est utilis pour chaque paquet  Cest comme si on utilisait une cl diffrente pour
chaque trame P = C RC4(IV, k)

Rseaux sans fil

24

WEP: notations
IV (per frame) KS: 40-bit secret symmetric key plaintext frame data plus CRC key sequence generator ( for given KS , IV)
k1 IV k 2IV k3 IV kN IV k N+1IV kN+1 IV d1 c1 d2 c2 d3 dN c3 cN
CRC1 CRC 4 c N+1 cN+4

802.11 header

IV

WEP-encrypted data plus CRC

Figure 7.8-new1: 802.11 WEP protocol

Rseaux sans fil

25

WEP: dchiffrement
Renverser le procd de chiffrement C= P RC4(IV|k) = ([C' | ICV(C')] RC4(IV|k) = [C' | ICV(C')] vrrifie linttgrit du message reu Vrifier contrle dintgrit du plaintext dchiffr:  Calculer CRC32(C') puis

ICV(CRC32(C'))  Comparer ce checksum avec celui reu

26

Rseaux sans fil

WEP: Authentification
L'authentification est ralise en vrifiant que la station qui demande s'authentifier possde bien la cl WEP Le point d'accs envoie un challenge alatoire de 128 octets partir duquel la station dsireuse de s'associer devra construire une trame de rponse correctement chiffre renvoyer. Il suffira alors l'AP de vrifier le bon dchiffrement de cette trame.

Rseaux sans fil

27

WEP: faiblesses, Authentification

Si G le challenge et R sa rponse R = RC4(IV|K) XOR (G|ICV(G)) RC4(IV|K) = R XOR (G|ICV(G)) Un attaquant ayant observ une authentification connait R et G et peut donc dduire la valeur de RC4(IV | K) !! S'il reoit un nouveau challenge G', il calculera sa rponse R' en rutilisant le mme IV et donc cette sortie de RC4 : R' = RC4(IV|K) XOR (G'|ICV(G')) L'authentification n'est donc pas efficace !!

Rseaux sans fil

28

WEP: faiblesses, Chiffrement

utilisation deux fois la mme cl dans le mme Contexte: La seule partie changeante de la cls est l'IV (24 bits)ce qui nous donne un espace de cls de 2^24 bits seulement thorme des anniversaires ==> une collision de cl a 99% de chances de se produire aprs l'envoi de seulement 12000 trames. Si deux trames C et C' sont chiffre avec le mme IV, on aura : P = RC4(IV|K) XOR (M|ICV(M)) P' = RC4(IV|K) XOR (M'|ICV(M')) En posant C = M|ICV(M), on obtient : P XOR P=C XOR C Lattaquant peut alors avoir une table (IV, P P). Des mthodes permettent dobtenir les trames individuelle
Rseaux sans fil

29

WEP: faiblesses du RC4

2001: Analyse de RC4 par Fluhrer, Mantin, Shamir:

2002: outils: AirSnort, wepcrack 2004: amliorations diverses 2005: nouvelles analyses de RC4 par Klein, plus de corrlations
Ncessite 40k paquets (50%), 60k -> 80%, 85k -> 95% Avec des techniques actives (rinjection ARP, deauth): 1 min du trafic, 3s de calcul (Pentium 1.7 GHz) Outil aircrack-ng

Dcouverte de la cl partir du flux chiffr, 40 bit ou 104 bit Augmentation pour passer de 40 104 bits linaire Ncessite 4M-6M paquets capturs

Ncessitent 500k-2M paquets capturs pour la cl de 104 bit

Rseaux sans fil

30

WEP: faiblesses
Problme de gestion des cls:
 Cl de session statique. Connatre cette cl suffit pour

dcrypter toutes les communications.  pas de gestion centralise des cls. Les cls restent souvent les mmes pour de longues priodes.  Risque de fuite de la cl vu que souvent, la cl est manuellement transmise aux utilisateurs.

Le contrle dintgrit nest pas efficace et il est facilement contournable. On peut changer le contenu dune trame et modifier le ICV facilement sans avoir connatre la cl. Pas de contrle daccs  Le contle par adresses MAC nest pas spcifique au
WEP et peut tre mis en place sans le WEP.

Rseaux sans fil

31

Agenda
Les rseaux Wi-Fi ouverts Le cas du WEP... Scurit : 802.11x, WPA, WPA2 802.11i  Fonctionnement 802.11x, WPA, WPA2 802.11i  Diffrences WPA // WPA2  Failles ...  Compatibilits  Rgles bon usage  Evolutions ? Authentification Wi-Fi
Rseaux sans fil

32

WPA et WPA2
Le systme WEP tant trs faible, deux tapes ont t ncessaires pour lamliorer WPA (WiFi Protected Access): dfinit par la WiFi Alliance:  Introduction du TKIP utilisant le RC4 mais remdiant aux
faiblesses du WEP  Objectif: faciliter la transition vers une scurit plus robuste.

WPA2 (802.11i): 802.11i introduit le RSNA: robust security network association pour complter WPA.  Introduction du chiffrement CCMP (counter mode with cipherblock chaining message)

Aprs le 802.11i, le WEP est devenu obsolte. Cependant, il figure toujours dans le standard pour des raisons daide la migration. Son usage est encore courant dans les dploiements et dans les quipements.

Rseaux sans fil

33

WPA et WPA2
Chiffrement: TKIP Authentification base sur:  PSK secret partag (WPA Personal) ou

La STA identifie lAP RSNA-capable partir des trames beacons et des trames Probe Response Authentification ouverte Ngociation du mode de chiffrement. Etablissement des cl temporaires partir du PSK

 802.1x

Rseaux sans fil

34

TKIP
Protocole TKIP: Temporal Key Integrity Protocol Utilise toujours le module WEP (RC4) qui va gnrer un keystream partir dun cl et dun IV (extended IV)  Avantage: facilit de migration technologique de WEP WPA La cl va tre priodiquement renouvele partir de la cl principale. (cl temporaire, TK)  Rekeying. Key mixing: chaque trame est chiffre avec une cl unique obtenue en applicant une fonction de mixing entre ladresse source TA, la cl temporaire TK un compteur de squence TSC (TKIP Sequence COUNTER)

Rseaux sans fil

35

TKIP

36

TA: transmitter address TK: temporal key TSC: TKIP Sequence COUNTER TTAK: TKIP-mixed transmit address and key

TKIP

Rseaux sans fil

37

TKIP

38

TKIP
Le TSC garantit larrive squentielle des trames pour viter toute attaque de rejeu Le TSC gnre les IVs de 48 bits Intgrit: algo Michael. Contrle d'intgrit bas sur le protocole Michael, plus puissant que le contrle ICV du WEP. Protge les donnes, DA, SA et priorit.  Protocole Michael : ajout d'un champ MIC (Message

Integrity Check) dans chaque MPDU.  Le tout va attaquer le bloc WEP.  Si deux trames avec ICVs corrects et MICs incorrects sont recues par lAP en un intervalle de temps < 60 sec, il suppose une attaque et relance la procdure de renouvellement de cl.

Rseaux sans fil

39

TKIP
Contrle d'intgrit bas sur le protocole Michael, plus puissant que le contrle ICV du WEP Le IV est utilis contre les attaques de relecture (l'IV joue un rle de compteur) : augmentation de la taille de l'IV 48 bits (WEP 24 bits) Intgre des mcanismes de distribution automatique et de changement de cls.  Gestion des cls en PSK et en 802.1X Utilise une cl diffrente pour le cryptage de chaque paquet grce au key mixing TKIP se base sur lencapsulation WEP. Avantage: facilit de migration technologique de WEP WPA
Rseaux sans fil

40

WAP2
Authentification mutuelle par  secret partag (WPA2-PSK ou WPA2 Personal)  802.1x (WPA2-EAP) via un RADIUS externe / EAP-TLS  Gestion des cls : 4-way Handshake, Group Key Handshake,
etc.

Chiffrement avec AES (Advanced Encryption Standard)- CCMP  AES: cls 128-bit, bloques 128-bit, mode Counter + CBCMAC

Rseaux sans fil

41

802.1X authentication model

the supplicant requests access to the services (wants to connect to the network) the authenticator controls access to the services (controls the state of a port) the authentication server authorizes access to the services the supplicant authenticates itself to the authentication server if the authentication is successful, the authentication server instructs the authenticator to switch the port on the authentication server informs the supplicant that access is allowed
Rseaux sans fil

42

802.1X authentication model

supplicant -> mobile device (STA) authenticator -> access point (AP) authentication server-> server application running on the AP or on a dedicated machine port -> logical state implemented in software in the AP one more thing is added to the basic 802.1X model in 802.11i: successful authentication results not only in switching the port on, but also in a session key between the mobile device and the authentication server the session key is sent to the AP in a secure way
 this assumes a shared key between the AP and the auth server

this key is usually set up manually

Rseaux sans fil

43

Hirarchie des cl
PMK: Pairwise master key PTK: Pairwise Transient Key GMK: Group Master Key. Chez lAP GTK: Group Transient Key  Pour le trafic de diffusion

Rseaux sans fil

44

Hirarchie des cl
PK: pairwise key  unicast GK: group key  Multic/broadcast Preshared vs. Server Based keys

Rseaux sans fil

45

802.1X authentication model

EAP (Extensible Authentication Protocol) [RFC 3748] carrier protocol designed to transport the messages of real authentication protocols (e.g., TLS) very simple, four types of messages:
   
EAP request carries messages from the supplicant to the authentication server EAP response carries messages from the authentication server to the supplicant EAP success signals successful authentication EAP failure signals authentication failure

authenticator doesnt understand what is inside the EAP messages, it recognizes only EAP success and failure EAPOL (EAP over LAN) [802.1X] used to encapsulate EAP messages into LAN protocols (e.g., Ethernet) EAPOL is used to carry EAP messages between the STA and the AP RADIUS (Remote Access Dial-In User Service) [RFC 2865-2869, RFC 2548] used to carry EAP messages between the AP and the auth server
Rseaux sans fil

46

802.1X authentication model

L'change EAP (4 handshake) fournit cls secrte partage PMK (Pairwise Master Key), Le handshake fournit galement le GTK (Group Temporal Key), utilis pour chiffrer les trafic multicast

Rseaux sans fil

47

802.1X authentication model

Rseaux sans fil

48

802.1X authentication model

Rseaux sans fil

49

802.1X authentication model

Rseaux sans fil

50

tape 1 : Association WiFi

Open system

Connexion 802.1X

Requte d'authentification

Succs

Requte d'association

Succs

Rseaux sans fil

51

tape 2 : Authentification 802.1x

Open system
802.1x/EAP RADIUS

Connexion 802.1X

EAPoL Start Identit? toto Je propose TLS Je suis d'accord toto Je propose TLS Je suis d'accord

Authentification TLS et ngociation de la PMK Succs Succs + cl PMK crypte

Rseaux sans fil

52

tape 3:Drivation-change de cls

802.1x/EAP

Connexion 802.1X

Le client et l'AP disposent de la PMK

Ngociation de la PTK 4 way handshake

Tunnel crypt avec PTK GTK GTK

L'AP gnre la GMK, GTK

Ok! OK

Trafic crypt avec PTK ou GTK

Rseaux sans fil

53