Sécurité des réseaux sans fil

Transcription

Introduction
•
L’histoire des réseaux 802.11 est émaillée de vulnérabilités
•
Les protections tardent à se généraliser et ne couvrent toujours pas
50 % des réseaux wifi sont ouverts
•
25 % des réseaux sécurisés sont en fait mal protégés
•
Les entreprises sont les mauvaix élèves ...
Les implémentations présentent des vulnérabilités
•
•
•
tous les problèmes
...
C´
08/01/08
Anas Abou El Kalam - Sécurité Wi-Fi
1
Introduction
08/01/08
2
Problèmes
•
Un réseau sans-fil présente les mêmes vulnérabilités qu’un réseau filaire
•
Serveur DHCP malicieux, ARP / DNS spoofing, DoS, ...
•
Mais aussi qlq spécificités wifi
•
Rayon d’action : propagation incontrôlable des ondes radio
•
•
Écoute : plus facile que pour les réseaux filaires
•
Attaques spécifiques : Rogue AP, WarXing, ....
Plus globalement
•
Risques d’intrusion, interception de données
Détournement de connexion Internet
Brouillage des transmissions
DoS
•
08/01/08
3
...
08/01/08
4
Agenda
Agenda
Les réseaux Wi-Fi ouverts
Suivi des clients enregistrés
Le cas du WEP...
Protection des stations Wi-Fi
Sécurité : WPA, WPA2 and 802.11i
Le cas du WEP...
Authentification Wi-Fi
Limites
Aspects légaux
Auditer son réseau Wi-Fi
Aspects légaux
Bibliography
Bibliography
08/01/08
5
Réseaux Wi-Fi ouverts
08/01/08
Ces réseaux ne disposent d’aucune protection
Accès Wi-Fi public, souvent commerciaux ou communautaires
Systèmes basés sur un portail captif
Pas de problème de compatibilité
Authentification à une application Web d’enregistrement
Configuration par défaut des équipements
Mise en place d’autorisations pour l’accès Internet
Partage de connexion
•
6
Hotspots Wi-Fi
•
•
Suivi des clients enregistré
L’erreur est de croire qu’un réseau Wi-Fi est équivalent à un réseau
•
Ethernet ...
Problèmes posés : aucune sécurité !
Accès non limité,
pas de chiffrement,
Accès à internet
Comment suivre les clients ?
Comment protéger les clients ?
08/01/08
7
•
08/01/08
Nécessité de limiter / conditionner l'accès au réseau
8
Portails captifs
Suivi des clients
Authentification tierce pour réseau ouvert...
•
Trafic sortant interdit
Comment suivre un client authentifié ?
Pas beaucoup de choix
Trafic HTTP redirigé vers vers un portail
Adresse MAC
Accès autorisé une fois enregistré
Adresse IP
Adresses MAC and IP en même temps
•
Seulement voilà, on peut usurper ces paramètres...
Problèmatique...
Comment différencier les clients enregistrés des autres ?
08/01/08
9
Quid des clients ?
08/01/08
10
Limites : Contourner les AP (Le Rogue AP)
•
•
Le réseau est ouvert...
On monte un AP factice pour le réseau cible
Même SSID
N’importe qui peut y accéder
Meilleure puissance perçue
Les communications ne sont pas chiffrées
Interception des communications
Aucune mesure de protection pour les clients
Exposition
•
Permet de voler les login/passwords ou faire valider ses identifiants réseau
•
Airsnarf !!
Les clients peuvent être attaqués facilement
08/01/08
11
08/01/08
12
Limites des autorisation par @MAC
Limites des autorisation par @IP
Un réseau Wi-Fi est un réseau de type
Un réseau Wi-Fi est un domaine de collision
Ethernet
Changer son adresse MAC est trivial
Vulnérable aux attaques de niveau 2
Pas de conflits au niveau MAC
Vulnérable à corruption cache ARP
Prenez juste une IP différente
•
Possibilité de Spoofer une @ IP
•
Ifconfig, macchanger, etc.
Pollisilité de rediriger le trafic
•
Voir LSM 2002[BLA02], arp-sk[ARPS] ou
MISC3[MISC] pour détails
08/01/08
13
Autres attaques : usurpation de client
•
08/01/08
14
Autres problèmes
On peut usurper l’identité d’un client enregistré
•
Les portails captifs présentent souvent des vulnérabilités exploitables
Adresse MAC
Certificat pour l'accès SSL à la page d'enregistrement
Adresse IP
Mauvaises configurations
Pas de perturbation induite
Encapsulation possible dans DNS (Tunnels DNS [OZY][NSTX])
Mais...
Applications web vulnérables
On peut également le désassocier et prendre sa place
•
Modification des arguments, SQL injection
Etc.
En résumé...
Il y a mille façon de mettre en oeuvre un portail captif
vulnerable
08/01/08
15
08/01/08
16
Autres exemples de failles ...
•
Récap
Les clients d’un hotspot Wi-Fi sont très exposés
Corruption de traffic par injection
Les trames Wi-Fi peuvent être capturée
Ecouter le trafic Wi-Fi
Pas d’intégrité des flux
Donc ..
Injecter de fausses réponses en usurpant l’AP
•
L’utilisation de hotspot Wi-Fi induit un risque important
Applications :
•
Elle suppose une période d’exposition pre-enregistrement
fausses réponses DNS, contenu malicieux, etc.
Le strict minimum de la sécurité wifi
Communication par injection
•
Pas de confidentialité
•
WarXing = wardriving + warchalking
Repérer les requêtes intéressantes
•
•
L’injection de trame à destination des stations permet de les atteindre.
•
...
08/01/08
Eviter valeurs par défaut lors de l'installation de l'AP
•
Il suffit d’écouter les réponses et de continuer.
•
Une infrastructure adaptée ==> réglage portée
•
•
Filtrage, mais facilement contournable :-(
•
Cacher SSID, idem :-( (voir transp. suivant)
17
Récap
Changer Mdp, désactiver broadcast
08/01/08
• Existe
t-il des solutions
plus robustes ??
18
Agenda
•
Suivi des clients enregistrés
Mais attention !!
–
Protection des stations Wi-Fi
le filtrage d'adresses MAC
•
Le cas du WEP...
la simple observation du trafic permet de repérer des adresses
Le protocole (authentification & chiffrement)
MAC autorisées et de les usurper, ce qui est trivial sur un réseau
WiFi ;
–
Récupération et exploitation de keystreams
•
le masquage de SSID
Faiblesses, Attaques ...
le nom du réseau est toujours présent en clair dans les requêtes
d'association et n'est ni nécessaire pour casser une clé WEP, ni
pour communiquer si on dispose d'une adresse MAC associée au
Aspects légaux
Bibliography
même moment à usurper.
08/01/08
19
08/01/08
20
WEP : le protocole de chiffrement
WEP : le déchiffrement
Etape 1 : déchiffrer
•
Chiffrement RC4
•
Renverser le procédé de chiffrement
•
Authentification par
•
C1’= P ⊕ RC4(IV|k)
challenge de chiffrement
•
= ([C' | ICV(C')] ⊕ RC4(IV|k)
Somme de contrôle
= [C' | ICV(C')]
CRC32 (ICV)
Etape 2 : vérifie l’intégrité du message reçu
Vérifier contrôle d’intégrité du plaintext déchiffré :
•
Calculer CRC32(C') puis ICV(CRC32(C'))
Comparer ce checksum avec celui reçu
08/01/08
21
WEP : l'authentification
08/01/08
22
Les problèmes ...
L'authentification est réalisée en vérifiant que la partie qui demande à
•
s'authentifier possède bien la clé WEP
Le point d'accès envoie un challenge aléatoire de 128 octets à partir
duquel la station désireuse de s'associer devra construire une trame de
réponse correctement chiffrée à renvoyer.
Il suffira alors à l'AP de vérifier le bon déchiffrement de cette trame.
•
Le protocole WEP souffre de problèmes de conception
–
La rotation des clés se fait sur 24 bits
•
L’intégrité est vérifiée avec un CRC32
–
Les données protégées fournissent des clairs connus
•
L’utilisation de RC4 ne respecte pas les contraintes
Tout ceci conduit à des attaques qui permettent de mettre à mal la sécurité
du réseau sans fil
Alors ..
WEP ou ...
Weak Encryption Protocol...
08/01/08
23
08/01/08
24
Les problèmes ...
Authentification ??
Wep n'inclue aucun mécanisme permettant d'empêcher le rejeu ou l'injection
arbitraire de données;
G le challenge et R sa réponse
R = RC4(IV|K) XOR (G|ICV(G))
CRC32 est généralement utilisé pour détecter erreurs transmissions ...
•
CRC32 n'a pas les propriétés nécessaires pour assurer un bon contrôle
d'intégrité, en particularité à cause de sa linéarité.
XOR est également linéaire
Un attaquant ayant observé une authentification connait R et G et peut donc
déduire la valeur de RC4(IV | K) !!
le contrôle d'intégrité ne fonctionne donc pas.
S'il reçoit un nouveau challenge G', il calculera sa réponse R' en réutilisant le
même IV et donc cette sortie de RC4 :
l'authentification est unilatérale.
•
RC4(IV|K) = R XOR (G|ICV(G))
Un AP malicieux pourrait transformer un client en oracle en lui fournissant
des messages à chiffrer sous forme de challenge
Le mécanisme d'authentification entraîne l'envoie du challenge d'abord en
clair, puis chiffré.
R' = RC4(IV|K) XOR (G'|ICV(G'))
L'authentification n'est donc pas efficace !!
attaque en clair connu qui nous permet d'extraire suffisament de données
pour pouvoir répondre à n'importe quel challenge, et donc nous
08/01/08
25
authentifier sans connaissance préalable de la clé.
Et le chiffrement ??
08/01/08
26
Problèmes du RC4
La seule partie changeante de la clés est l'IV
trois règles de bases dans l'utilisation de RC4 :
•
• ne jamais utiliser deux fois la même clé dans le même contexte ;
• jeter les 512 premiers octets de la sortie RC4 pour éviter les problèmes
ce qui nous donne un espace de clés de 24 bits seulement.
théorème des anniversaires
==> une collision de clé a 99% de chances de se produire après l'envoi de
seulement 12000 trames.
liés à l'utilisation de clés faibles ;
• ne pas chiffrer plus de 2^36 octets de données avec la même clé.
La première règle n'est donc pas respectée
fuites d'information utilisables pour réduire l'effort nécessaire à la
découverte de la clé.
Si deux trames C et C' sont chiffrée avec le même IV, on aura :
P = RC4(IV|K) XOR (M|ICV(M))
P' = RC4(IV|K) XOR (M'|ICV(M'))
Ces règles sont ils respéctées ?
08/01/08
En posant C = M|ICV(M), on obtient :
27
08/01/08
Abou El Kalam - Sécurité Wi-Fi
P Anas
XOR
P' = C XOR C'
28
Problèmes du RC4
Recap : vulnérabilités du RC4
Et La deuxième règle (clés faibles) ?
il se trouve qu'on reconnait les clés faibles à leurs trois premiers octets !!
•
1.Problèmes du mécanisme d'authentification,
c'est à dire l'IV, qui est transmis en clair dans l'entête de la trame.
La simple observation du trafic permet donc de repérer les trames chiffrées
• Problèmes de l'utilisation du CRC32 ou encore
3.Possibilités de rejeu/injection.
avec des clés faibles
•
WEP présentent plusieurs vulnérabilités, dont certaines sont structurelles et
inehrente au protocole lui même :
et ensuite d'attaquer RC4 ...
Et La troisième (clés ≠ ) règle ?
•
WEP n'a aucune condition d'arrê !!
”Your 802.11 Wireless Network Has No Clothes” [ASW01]
Et ce n'est pas tout !!!!
08/01/08
29
Autres attaques ...
à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle
pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de
manière à s'authentifier sans pour autant être en possession de la clé WEP
La sortie RC4(IV|K) qu'il récupère est en effet longue de 144 octets,
ce qui est largement suffisant pour chiffrer quelques requêtes, comme un
requête ARP ou HTTP par exemple.
L'attaquant est donc en mesure, à partir de l'observation d'une
authentification, d'injecter des paquets cohérents dans le réseau,
30
On a déjà vu qu'une faille dans le mécanisme d'authentification permettant
à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle
pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de
manière à s'authentifier sans pour autant être en possession de la clé WEP
La sortie RC4(IV|K) qu'il récupère est en effet longue de 144 octets,
ce qui est largement suffisant pour chiffrer quelques requêtes, comme un
requête ARP ou HTTP par exemple.
• L'attaquant est donc en mesure, à partir de l'observation d'une
authentification, d'injecter des paquets cohérents dans le réseau,
pouvant ainsi commencer à le stimuler pour faire de la découverte ...
•
pouvant ainsi commencer à le stimuler pour faire de la découverte ...
•
Autres attaques ...
On a déjà vu qu'une faille dans le mécanisme d'authentification permettant
•
08/01/08
Il sera également en mesure de déchiffrer les 144 premiers octets
de tout paquet chiffré avec l'IV en question
Il sera également en mesure de déchiffrer les 144 premiers octets
Ouawww !! mais peut ont faire mieux ?
de tout paquet chiffré avec l'IV en question
08/01/08
31
08/01/08
32
La fragmentation 802.11 : principe
•
Fragmentation 802.11 : exploitation entêtes ARP, IP
Nous disposons de cas de clair connu et la norme nous dit que chaque
Nous connaissons les 8 premiers octets pour IP et ARP, donc au
moins 8 octets de keystream (0xAAAA030000000800 et 0xAAAA030000000806)
fragment de trame est chiffré individuellement
•
Principe de l’attaque
–
On récupère un keystream par clair connu
–
On utilise ce keystream pour chiffrer des fragments d’une même trame
–
L’AP réassemble et rechiffre la trame
–
On récupère un keystream plus long par clair connu sur la trame émise
par l’AP
•
C’est une expansion de keystream[BHL06]
Ouawww !! mais peut ont faire mieux ?
08/01/08
33
Tables IV / Keystream
08/01/08
Ok
ok, mais peut 34
on tout
simpelment casser la clés ?
Plus généralement ...
•
K étant fixe, la valeur d’un keystream ne dépend que de IV
•
Idée : pour chaque IV possible, on essaye de récupérer le keystream
•
La possession d’un keystream permet :
d’injecter des données arbitraires sur le réseau
correspondante
de déchiffrer des morceaux de trames chiffrées avec même keystream
Nous savons déjà récupérer 140 octets
Nous pouvons générer du trafic arbitraire
•
tout est bon pour générer des trames dont nous sommes capables de
Exploiter les keystreams
C’est un attaque très efficace et facilement exploitable dont les
prédire le contenu les plus longues possibles
Nous pouvons récupérer des keystreams plus longs
•
•
conséquences sont très intéressantes
Ainsi on aura construit une table associant à chaque IV la sortie RC4
correspondante sur la longueur maximale.
•
Une telle table représente environ 25Go mais permet de
déchiffrer/chiffrer n’importe quelle trame à la volée.
On peut accélérer l’attaque en désassociant les clients...
08/01/08
35
08/01/08
36
Exploitation du CRC32
Exploitation du CRC32
Attaques par bit flipping
• Une attaque courante sur les protocoles cryptographiques
• On capture un contenu chiffré
On modifie des bits du contenu
On rejoue ce contenu et on observe la réaction
• Concrêtement, on peut manipuler l'équation produisant le payload chiffré
lorsqu'on introduit une modification
si M'= M ⊕ Mod
•
•
•
Une attaque courante sur les protocoles cryptographiques
•
On capture un contenu chiffré
On modifie des bits du contenu
On rejoue ce contenu et on observe la réaction
•
P' =
=
=
=
Attaques par bit flipping
RC4(IV|K) ⊕ (M'|ICV(M'))
RC4(IV|K) ⊕ (M XOR Mod|ICV(M XOR Mod))
RC4(IV|K) ⊕ (M|ICV(M)) XOR (Mod|ICV(Mod))
P ⊕ (Mod|ICV(Mod))
Parade ?
•
Ajouter une couche de contrôle d’intégrité
Idée : compenser la somme d’intégrité...
si nous disposons d'une trame chiffrée, le calcul d'une nouvelle trame
modifiée ne dépend que de la modification qu'on veut apporter.
•
08/01/08
37
Déchiffrement de paquet
08/01/08
38
Attaques statistiques
Arbaugh publie une première attaque contre WEP[ARB01] Korek publie
une attque similaire[KO04b] avec un outil appelé Chopchop
•
En 1995, Roos et Wagner[RW95] mettent en exergue un problème dans
RC4
•
Capture d’une trame multicast/broadcast
•
Il existe des classes de clés faibles
•
Suppression du dernier octet de données
•
Elles induisent des relations entre les états internes Si
•
On peut en retouver des octets en étudiant les premiers tours[MIR02]
•3Hypothèse
sur la valeur de l’octet supprimé
•
Construction de la trame modifié par compensation de l’ICV
•
On regarde si l’AP accepte la trame
Ce problème n’est pas pris en compte lors de la conception de WEP
Très efficace sur les petits paquets comme ARP (10-20s par paquet).
•
Reprise des travaux...
•
En 2001, Fluhrer, Mantin et Shamir publient une attaque[FMS01]
basée sur ces travaux contre WEP, dite FMS
08/01/08
39
08/01/08
40
Description de la FMS
•
Une clé faible est caractérisée par ses 3 premiers octets
•
Les 3 premiers octets représentent IV
•
Un IV faible est de la forme (B + 3) | 0xFF k
Amélioration à la FMS
•
•
Les probabilités d’avoir des IV faibles sont fortes : 1 sur 13000 pour des
En 2007, d’autres relations sont mise en exergue[KLE06] et exploitée
[PTW07]
clés de 40bits, 1 sur 5000 pour 104 bits...
•
L’attaque est généralisée à tous les IV
Le nombre de trames nécessaires est divisé par 2, voire 4
•
•
En 2004, Korek publie une généralisation de la FMS[KO04a]
Le nombre de trames nécessaires tombe à 40000 !
L’exploitation de ces résultats montrent qu’on a 5% de chances de trouver
•
Les 50% de chance de succès sont très rapidement dépassés !
un octet de clé si on a un IV faible
Généralisation
•
60 trames faibles sont nécessaires pour dépasser 50% de
•
chances de succ`es pour un octet
On a besoin d’environ 4 millions de trames que la clé soit de 40 ou 104
08/01/08
bits pour dépasser 50%
41
La FMS en pratique
par Christophe Devine avec aircrack/aireplay[AIRC]
Capture d’une requête ARP
•
Rejeu de la trame
•
Génération d’une réponse
•
On boucle pour augmenter le trafic et collecter des trames
•
Cassage de la clé WEP par FMS
Temps de réalisation
•
42
Agenda
La mise en oeuvre la plus efficace utilise du rejeu de paquets et est publiée
•
08/01/08
Récupérer une clé WEP est alors une question de minutes[WACR]
Aircrack : permet, à partir d'une capture réseau contenant suffisament de
Le cas du WEP...
Sécurité : 802.11x, WPA, WPA2 802.11i
• Fonctionnement 802.11x, WPA, WPA2 802.11i
• Différences WPA // WPA2
• Failles ...
• Compatibilités
• Règles bon usage
•Evolutions ?
Aspects légaux
Bibliography
paquets chiffrés avec des IV différents, de casser une clé en une 10e de s.
Aireplay : stimuler de réseau, soit par injection de trames arbitraires avec
08/01/08
Anasévoquées,
Abou El Kalam soit
- Sécurité
les techniques
précédemment
parWi-Fi
rejeu de trafic.
43
08/01/08
44
802.11x
802.11x
•
802.1x ≡ WPA-EAP (ou WPA Enterprise ou EAPOL pour EAP Over Lan)
•
S'applique au sans fil, mais aussi au filaire.
•
Utilise un serveur d'authentification au lieu de la simple clé WEP.
•
Avantages
•
Clé spécifique pour chaque client
•
•
•
Chaque utilisateur sans fil possède ses propres login/pwd.
•
L'intérêt pour une entreprise est de pouvoir réutiliser les comptes
réseaux déjà existants (e.g., sur serveur LDAP ou serveur de domaine Microsoft).
Vraie confidentialité entre client et AP
Renouvellement possible de clés
•
•
Rend plus difficile la cryptanalyse
Usage d’un serveur d’authentification (e.g., RADIUS)
•
•
•
Pendant la phase d’authentification
•
Inconvénients
La station ne peut accéder qu’au serveur d’authentification
Tous les autres flux sont bloqués par l’AP
Les flux vers réseau interne sont permis seulement après authentification
08/01/08
45
WPA
•
Ecoute du trafic d’authentification
•
Attaque « man in the middle »
•
Déni de service
•
Complexité
•
Besoin d’un serveur d’authentification
•
Déploiement de certificats
08/01/08nombreuses
• Très
Anas Abou
El Kalam - Sécurité Wi-Fi
options
possibles
46
WPA (Wi-Fi Protected Access)
Ne nécessite pas d'application web intermédiaire
Ne nécessite pas de période de vulnérabilité
Facile à déployer en env SOHO (e.g.,WPA-PSK avec phrasepasse )
Recommandation transitoire[WPA] de la Wi-Fi Alliance (2003) issue des
travaux en cours de l’IEEE
Pour être WPA le produit doit implémenter 802.1x & TKIP ==> WPA fournit
• Nouvelle authentification basée sur PSK ou 802.1x (dit WPA-EAP)
Plusieurs méthodes d'authentification
• Nouvel algorithme de génération et de rotation des clés (TKIP)
• L’IV passe de 24 à 48 bits
• ... avec des vraies clés de 128 bits + MIC
• Mécanisme de gestion des clés (possibilité de modifier clé ++ fois/s)
• Nouvel algorithme de vérification d’intégrité basé sur SHA1 avec
séquencement appelé Michael
•
Avantages
•
47
WPA introduit un véritable concept de session, absent dans WEP
WPA adresse également les problèmes de rejeu et d'injection de trafic
•
À l'issue de la phase d'authentification, chaque client se retrouve avec
une clé de session propre qui servira à initialiser TKIP (Temporal Key
Integrity Protocol) pour finalement chiffrer en RC4
Le filtrage des IVs faibles est standard
La clé est renouvelée tout les 10000 paquets
•
Inconvénient
•
TKIP repose toujours sur RC4 (et donc ses faiblesses)
• WAP N'est pas applicable aux réseaux Ad-hoc.
•
La solution tient la route ...
08/01/08
Administration centralisée
Temps de latence lors de la ré-authentification lors du passage d’une
borne à l’autre
08/01/08
Problème pour applis Temps Réel
48
WPA2 et 802.11i
WPA2 et 802.11i : authentification mutuelle
802.11i est un standard de l’IEEE pour la sécurité Wi-Fi, ratifié en 2004.
WPA2 est une recommandation de la Wi-Fi Alliance extraite de 802.11i
• WPA2 fournit
• Chiffrement au niveau liaison
• RSN (Robust Security Network) : negociation paramètres de sécurité
– Support des réseau Ad-Hoc
– Authentification mutuelle par
• secret partagé (WPA2-PSK ou WPA2 Personal)
• 802.1x (WPA2-EAP) via un RADIUS externe / EAP-TLS
• Gestion des clés : 4-way Handshake, Group Key Handshake, etc.
– Chiffrement avec AES (Advanced Encryption Standard)- CCMP
•
• RSNA Establishment Procedures
•
AES: clés 128-bit, bloques 128-bit, mode “Counter” + CBC-MAC
48-bit Packet Number pour empêcher les rejeux
– Network and Security Capability Discovery
– 802.11 Open System Authentication and Association
– EAP/802.1X/RADIUS Authentication
– 4-Way Handshake
– Group Key Handshake
– Secure Data Communications
• RSNA security analysis gives:
– can provide satisfactory authentication and key management
– could be problematic in Transient Security Networks (TSN)
– reflection attack could be possible if not implemented correctly
• Plus puissant que TKIP
–
Vérification
d’intégrité par
(Counter-mode/CBC-MAC
08/01/08
AnasCCMP
Abou El Kalam
- Sécurité Wi-Fi
Protocol)49
WPA2 et 802.11i : authentification mutuelle
Supplicant
UnAuth/UnAsso
Auth/Assoc
c
802.1X
Blocked
802.1X
No
MSK
PMK
UnBlocked
Key Blocked
No Key
New
PTK/GTK
GTK
Authentic
a-tion
Server
(RADIUS)
No
Key
MSK
802.11
Association
4-Way
Handshake
Data
Communication
50
• L'AP doit s'authentifier auprès du client
• Les clés pour chiffrer le trafic doivent être générées
• L'échange EAP (antérieur) fournit clés psecrête partagée PMK (Pairwise Master Key)
• PMK doit s'exposer le mois possible
• 4-way handshake est utilisé pour établir PTK (Pairwise Transient Key : 64 bits)
• PTK : PMK | nonce AP | nonce STA | @MAC AP | @MAC STA
• The résultat est soumis à une fonction de hashage
• Le handshake fournit également le GTK (Group Temporal Key), utilisé pour chiffrer / calculer
MIC pour trafic multicast
STA
1. AP envoie nonce à STA. Le client a mnt tous
attributs pour générer PTK
2. STA envoie nonce avec MIC à AP
3. AP envoie GTK et N° Sqce + MIC. Le N° Génération PTK
Sqce sera ulitisé pour trafic multicast / broadcast
==> les stations puisse détecter les rejeux
4. STA envoie confirmation à AP
MS
K
Group Key
Handshake
08/01/08
WPA2 et 802.11i : 4 way handshake
Authenticator
UnAuth/UnAsso
Auth/Assoc
c
802.1X
Blocked
802.1X
No
PMK
UnBlocked
Key Blocked
No Key
PTK/GTK
New
GTK
EAP/802.1X/RADIUS
Authentication
08/01/08
ote : PTK est utilisé pour générer 5 clés
AP
Anonce ...
Snonce + MIC
GTK + MIC
PTK Derived
Random GTK
ACK
51
08/01/08
52
Différences
•
•
Qlq failles
Très peu de différences entre WPA et WPA2
•
WPA ne supporte pas les liens Ad-Hoc
•
On peut retrouver une PSK faible (<20 chars)[MOS03]
WPA ne possède pas la notion de RSN
•
L’injection de demande d’authentification écroule l’AP[HM04] (DoS)
WPA2 permet les réauthentification rapide en cas de roaming
•
L’abus des contre-mesure contre le rejeu bloque le réseau (DoS)
WPA2 facilite la mixité des moyens de sécurité
•
Attaque contre la TEK dans TKIP en 2105[MRH04] sans
exploitation pratique
En dehors de cela, c’est pratiquement la même chose.
En particulier, on peut
•
Chiffrer en AES sur WPA
08/01/08
de bande passante, brouillage)
53
Compatibilité WPA
08/01/08
54
Compatibilité WPA2
Support WPA dans les OS du marché
Support WPA dans les OS du marché
Windows XP SP2 avec patch
Windows XP SP1 + Patch (Windows Update)
Windows 2003 avec patch
Windows XP SP2, Vista et 2003
Windows Vista
Windows Mobile 2003 SE and 5.0
Autres Windows avec wpa supplicant ou autre client tierce-partie
Autres Windows avec wpa supplicant autre client tierce-partie
MacOS 10.4
MacOS X 10.3
La plupart des drivers Linux avec wpa supplicant
La plupart des drivers Linux avec wpa supplicant
NetBSD et FreeBSD avec wpa supplicant
NetBSD et FreeBSD avec wpa supplicant
Support AP pour Linux et FreeBSD avec hostapd
Support AP pour Linux et FreeBSD hostapd
•
Le trafic de gestion n’est toujours pas protégé
Cependant, rien ne vous prot`ege d’attaque en DoS physique (réservation
Chiffrer en TKIP avec WPA2
•
Des études sont été faites sur la sécurité WPA/WPA2
Pas de support sous OpenBSD
Pas de support sous OpenBSD
fabricants seulement proposent des matériels agréés WPA2
Cisco, Intel (dont les chipset Centrino), Broadcom, Realtek, Atheros et
08/01/08
55
08/01/08
Instant802
Networks, RaLink
56
C/C
Rappel des règles de bon sens
Alors ?
Les portails ne sont pas une bonne solution
•
Ni pour les clients
Ni pour les gestionnaires de réseau
WEP qui est cassé depuis longtemps et ne protège de rien
Les solutions sont là...
802.1x pour l’authentification
WPA/WPA2 pour la protection de la session
Vous n’avez pas confiance en WPA ou WPA2 ? Utilisez IPSEC !
AES = algorithme de chiffrement standard du gouvernement américain
• AES (requis par 802.11i) est obligatoire dans certification FIPS-140-2
• FIPS-140-2 est exigée dans marchés gouvernementaux américains et par
++ entreprises internationales dans appels offre sécurité
08/01/08
57
Rappel des règles de bon sens
08/01/08
58
C/C : évolutions
Sécuriser toutes les stations clientes et tous les serveurs (fermeture ports inutiles,
pare-feu, IDS); malheuresement, certains logiciels clients (p. ex., 3Com) stockent la
clé WEP sous la forme non codée dans le registre Windows
IDS / firewall
• analyse des numéros de séquence, types bizarres des trames, @ de diffusion
générale (broadcast), @ MAC bizarres sur le réseau, par ex préfixes OUI
(Organizationally Unique Identifier) non accordés par IEEE,
Mettre en route les mécanismes classiques de sécurité
• IPSec, VPN, architecture sécurisé ...
Les drivers Wi-Fi présentent des failles...
On peut atteindre le client directement
L’attaque visant le driver, on ne peut pas la filtrer
Le driver écoute qu’il soit associé ou non
Beaucoup de travaux en ce moment, et pas mal de failles découvertes[BUT07]
Surface vulnérable ?
Tout ordinateur avec un carte Wi-Fi active...
les utilisateurs des réseaux WLAN doivent être authentifiés (VPN, SSH, 802.1X ...)
08/01/08
Positionner correctement les AP
Bien régler la fréquence
• les AP ne doivent pas être liés aux réseaux de câbles,
• désactiver la diffusion du SSID dans les AP, et activer le masquage du SSID,
• désactiver la communication client-client dans le AP,
• changer les paramètres par défaut des AP (le SSID, les pwd, l’@ IP, etc.),
• mettre à jour en temps réel le firmare des AP et des cartes sans fil,
• activer le contrôle d’accès au niveau MAC & IP (activer les deux),
• activer le chiffrement ( min de 128 ou de 256-bits),
• éviter l’utilisation des clés secrètes WEP faciles à déviner,
• utiliser les AP gérant le WPA / WPA2 (TKIP, AES et 802.1X),
• désactiver le protocole DHCP sur les réseaux WLAN, surtout pour étendues des @
• observer la création de nouveaux AP car le pirate peut installer un AP jumeau
• vérifi er si les employés n’installent pas des AP sans autorisation,
• installer un faux point d’accès, afin de tromper l’adversaire,
• sécuriser les AP contre un accès physique (... pirate qui remet params par défaut)
•
•
59
La normalisation arrive enfin à maturité
Transfert problème / solutions des bornes vers les commutateurs/Serveurs
Administration centralisée
Attitude active et automatique face aux attaques
Produits dimensionnés / adaptables pour l’entreprise
•
Conformes avec les normes en vigueur
•
Fournissant des services adaptés aux besoins des entreprises
Mais attention ...
•
Des failles dans les implémentations sont toujours possibles
•
Des failles dans la configuration sont très souvent présentes
Qls défis
•
QoS, DoS, facilité admin, ...
08/01/08
60
Agenda
Rappels : Archi d'authentification WPA2
WPA Personal
•
Le cas du WEP...
Servers d'Authentification Wi-Fi
permet de mettre en oeuvre une infrastructure sécurisée basée sur le
WPA sans mettre en oeuvre de serveur d'authentification.
•
Repose sur l'utilisation d'une clé partagée, appelées PSK pour Preshared Key, renseignée dans le point d'accès ainsi que dans les
postes clients.
•
Contrairement au WEP, il n'est pas nécessaire de saisir une clé de
longueur prédéfinie. En effet, le WPA permet de saisir une «
passphrase », traduite en PSK par un algorithme de hachage.
• Architectures d'authentification wifi
• EAP
• Protocoles d'authentification wifi : Vue d'ensemble
• RADIUS
Aspects légaux
Bibliography
08/01/08
61
Rappels : Archi d'authentification WPA2
WPA s'appuie sur la famille 802.1x et le protocole EAP,
EAP extension du
protocole PPP (Point-to-Point Protocol), qui peut supporter de nombreux
mécanismes d’authentification
cartes à jeton,
mots de passe à usage unique
authentification par clé publique / cert
– utilisation cartes à puce.
62
EAP (Extensible Authentification Protocol)
WPA Enterprise
• impose l'utilisation d'une infrastructure d'authentification 802.1x basée
sur l'utilisation d'un serveur d'authentification, généralement un
serveur RADIUS (Remote Authentication Dial-in User Service), et d'un
contrôleur réseau (le point d'accès).
• Actuellement ce qu’il y a de plus sûr en terme de sécurité.
08/01/08
08/01/08
63
L'authentification générée par WPA 2 est considérée comme forte quand
elle est couplée à EAP,
EAP authentifie le point d'accès avant de connecter l'utilisateur.
L'U fournit cert que lui a transmis le point d'accès, qui en vérifie la validité
EAP est conçu pour transporter
des scénarios d'authentification
4 types de messages
requête, réponses,
succès, Échec
3 catégories d'acteur
Supplicant : poste demandant
accès réseau
Authenticator : dispositif Wi-Fi
relai (également client RADIUS)
Serveur authentification :
serveur implémentant solution
RADIUS
08/01/08
64
EAP-MD5
•
Client (C) authentifié par Serveur (S) en utilisant mécanisme défi-réponse
PEAP (Protected EAP)
très semblable à EAP-TTLS mais développé Microsoft
•
S envoie valeur aléatoire (défi),
•
•
C calcul MD5 (défi | pwd) qu’il renvoie au serveur.
S, qui connaît pwd, calcule sa propre empreinte, compare et valide ou non
Ecoute trafic + attaque dictionnaire ==> trouver pwd
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
•
méthode propre à Cisco
•
Utilisation secrets partagés pour authentifier mutuellement S et C
C’est la plus sûre.
S et C ont leurs certificats qui va servir à les authentifier mutuellement
Auth C peut se faire de différentes façons :
A l’aide d’un certificat personnel associé à la machine,
l’authentification a lieu au démarrage de la machine.
Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse
A l’aide d’un certificat personnel associé à l’utilisateur
EAP-TTLS (tunneled Transport Secure Layer)
l’authentification a lieu après l’entrée en session ("logon") de l’utilisateur.
utilise TLS comme un tunnel pour échanger des couples attribut valeur à la
manière
08/01/08 de RADIUS11 servant
Anas Abou à
El l’authentification.
Kalam - Sécurité Wi-Fi
On peut alors utiliser toutes les méthodes d’auth. supportées par EAP
•
LEAP (Lightweight EAP)
•
Se sert d’un tunnel TLS pour faire circuler de l’EAP
•
Relativement contraignant car nécessité déployer PKI / IGC
65
EAP : recap
08/01/08
66
Exemple de protocoles d'authentification
Architecture AAA (Authentification Authorization Accounting)
Principaux protocoles d'authentification :
•
TACACS, TACACS+, XTACACS
•
Assez rependus, utilisent TCP
ne sont pas des standards
•
Kerberos
•
Standard, dans Win 2000/3 Active Directory,
déploiement/interopérabilité complexe
RADIUS (Remote Authentification Dial In User Service)
•
Standard, S'appuie sur UDP
... Le plus approprié
08/01/08
67
08/01/08
68
RADIUS : propriétés
Protocole de transport des infos d'authentification
Standard : RFC (2138 : aspect authentification, 2139 : suivi activités).
Gratuit, et son code est public et c'est un protocole ouvert.
Fonctionnement basé sur C/S chargé de définir accès utilisateurs distants
• Serveur RADIUS (sous Win/Linux) relié à une base d'identification
• Client RADIUS appelé NAS (Network Access Server) faisant office
d'intermédiaire entre l'utilisateur final et le serveur.
UDP ==> Fiabilité transport
• port UDP 1645 pour authentification 1646 pour suivi activités
L'∑ transactions est chiffré et authentifiée grâce à une clé partagée
• Mécanisme utile lorsqu'une entreprise veut externaliser la gestion de
l'accès distant tout en gardant le contrôle sur sa sécurité.
Un serveur RADIUS peut jouer rôle de client pour un autre serveur RADIUS
++ possibilités: succès/échec tentative d'authentification peut dépendre du :
• serveur d'accès depuis lequel requête a été envoyée, heure, jour, @IP
Possiblilité
de définir restrictions
08/01/08
Anas Abou Elpour
Kalamtransactions
- Sécurité Wi-Fi / ajouter fonctionalités
69
RADIUS : fonctionnement
1 Utilisateur qui souhaite établir connexion, contacte serveur d'accès distant :
remote access server (RAS) ou network access (NAS) qui est client RADIUS
L'utilisateur envoie une requête au NAS afin d'autoriser une connexion à
distance au serveur d'accès (requête de type access-request) : son login et
son mot de passe.
Le NAS achemine la demande au serveur RADIUS
Le serveur RADIUS consulte la base de données d'identification afin de
connaître le type de scénario d'identification demandé pour l'utilisateur.
RADIUS retourne une des quatre réponses suivantes :
•
ACCEPT : l'autorisation est acceptée, des informations supplémentaires
comme l'adresse IP ou le masque de réseau sont envoyées.
• REJECT : le nom d'utilisateur et le mot de passe sont erronés.
• CHALLENGE : le serveur souhaite plus d'informations
• CHANGE PASSWORD : le serveur demande un nouveau mot de passe
Après avoir sélectionné un protocole d'authification, il faut déterminer la
manière
dont on va s'authentifier.
08/01/08
71
• pwd statique, OTP, carte à puce, clé USB, biométrie, ...
RADIUS : ex de fonctionnement globale
Le NAS envoie la requête de connexion par
l’utilisateur x.
Le serveur interroge le LDAP de l’école pour vérifier
l’identité du client.
L’authentification a-t-elle fonctionné.
Le serveur renvoie ACCEPT ou REJECT au NAS
Si l’authentification est réussie, le NAS laisse passer
le client vers le réseau et ce dernier obtient une
adresse IP grâce au serveur DHCP.
08/01/08
70
RADIUS : cas d'1 auth. Par pwd dynamique
Serveur envoie un challenge (numéro) à l'utilisateur.
L'utilisateur génère un nouveau pwd en utilisant son authentificateur
L’utilisateur envoie ensuite un access-request contenant le pwd généré.
Serveur vérifie infos reçues et renvoie : access-accept ou access-reject
Clients autorisés à émettre requête vers serveur sont identifiés par @IP et clef
partagée (secret).
Chiffrement pwd : MD5 (secret) XOR pwd
Note
Un certain nombre de fonctions de suivi d'activité sont définies dans la
norme (accounting-request/accounting-response).
Suite à la phase dite d'authentification débute une phase d'autorisation
08/01/08
72
RADIUS :choix solutions
Agenda
FreeRADIUS
* Aradial WiFi
* Bridgewater Wi-Fi AAA
Le cas du WEP...
* Cisco Secure Access Control Server
* Funk Odyssey
* IEA RadiusNT
* Infoblox RADIUS One Appliance
Limites
* Interlink Secure.XS
Aspects légaux
* LeapPoint AiroPoint Appliance
* Meetinghouse AEGIS
Bibliography
* OSC Radiator
* Vircom VOP Radius
...
08/01/08
73
Aspects légaux
74
Agenda
Chercher à s'introduire dans un SI tombe sous le coup de la loi Godefrain:
"Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou
partie d'un système de traitement automatise de données sera puni d'un
emprisonnement de 2 mois à un an et d'une amende de 2 000 F à 50 000 F ou
de l'une de ces 2 peines seulement."
Le seul fait d'entrer dans le système sans qu'il y ait lieu à considérer le but
poursuivi ou les conséquences possibles, est incriminable en temps que tel.
Le maintien volontaire dans un système d'autrui est incriminable.
Exemples :
Piratage d'un compte d'un autre utilisateur en utilisant un faux login
Tentative de connexion à un système en utilisant combinaisons login/pwd
Recherche d'infos afin de contourner mécanismes sécurité.
Bien entendu, rien ne vous empêche de tester la sécurité de votre réseau afin
de corriger les éventuelles failles de ce dernier.
08/01/08
08/01/08
75
Le cas du WEP...
Limites
Aspects légaux
Bibliography
08/01/08
76
Diagnostic vulnérabilités
Agenda
Netstumbler (Win, PDA, Pocket PC), Kismet (Linux, Win 32)
- Découverte des réseaux Wi-Fi sous windows
- Couplé avec un GPS, il est possible de réaliser des cartes.
Le cas du WEP...
Ethereal (win, Linuw), tcpdump, airodump
- Une fois la libpcap à jour, ils peuvent écouter/scanner/capturer le 802.11
Airjack, Aeropeek.exe (Win)
- injection paquets / forger trames désauthentification/désassociaon
Aireplay
Limites
- envois paquets afin de stimuler le reseau et capturer plus de paquets
Aspects légaux
Aircrack
- à partir des infos capturées à l'aide d'airodump va trouver la clef
Bibliography
08/01/08
77
Biblio
78
Biblio
Travaux de Cédric Blancher
•[IEEE04a] IEEE Std 802.1x, Port-Based Network Access Control, 2004,
http://standards.ieee.org/getieee802/download/802.1X-2004.
•[IEEE99] ANSI/IEEE Std 802.11,Wireless LAN Medium Access Control and Physical Layer
Specifications, 1999, http://standards.ieee.org/getieee802/download/802.11-1999.
•[IEEE04b] IEEE Std 802.11i, Medium Access Control Security Enhancements, 2004,
http://standards.ieee.org/getieee802/download/802.11i-2004.
[WPA] Wi-Fi Protected Access, http://www.wi-fi.org/OpenSection/protected access archive
[WPA2] Wi-Fi Protected Access 2, http://www.wi-fi.org/OpenSection/protected access.asp
[RW95] A. Roos and D.A. Wagner, Weak keys in RC4, sci.crypt Usenet newsgroup
[WAL00] J. Walker, Unafe at any key size ; An analysis of WEP encapsulation, 2000,
http://www.dis.org/wl/pdf/unsafew.pdf
•[ASW01] W.A. Arbaugh, N. Shankar and Y.C.J. Wan, Your 802.11 Wireless Network Has No
Clothes, 2001, http://www.cs.umd.edu/∼waa/wireless.pdf
•[FMS01] S. Fluhrer, I. Mantin and A. Shamir, Weaknesses in the Key Scheduling Algorithm of
RC4, 2001, http://www.drizzle.com/∼aboba/IEEE/rc4 ksaproc.pdf
[MIR02] I. Mironov, (Not so) Random shuffles of RC4, 2002,
http://eprint.iacr.org/2002/067.pdf
[MOS03] R. Moskowitz, Weakness in Passphrase Choice in WPA Interface, 2003,
http://wifinetnews.com/archives/002452.html
•[HM04] C. He and J.C. Mitchell, 1 Message Attack on 4-Way Handshake, 2004,
http://www.drizzle.com/∼aboba/IEEE/11-04-0497-00-000i-1-
08/01/08
08/01/08
79
[MRH04] V. Moen, H. Raddum and K.J. Hole, Weakness in the Temporal Key Hash of WPA, 2004,
http://www.nowires.org/Papers-PDF/WPA attack.pdf
[KLE06] A. Klein, Attacks on the RC4 stream cipher, http://cage.ugent.be/∼klein/RC4/RC4-en.ps
[BHL06] A. Bittau, M. Handley and J. Lackey, The Final Nail in WEP’s Coffin,
http://www.cs.ucl.ac.uk/staff/M.Handley/papers/fragmentation.
[DNG06] L.K Deleuran, T.L Nielsen and H. Gammelmark, Insecurity of the IEEE 802.11 Wired
Equivalent Privacy (WEP) standard, http://www.daimi.au.dk/∼ivan/cryptology-wep.pdf
[PTW07] A. Pyshkin, E. Tews and R.P. Weinmann, Breaking 104 bit WEP in less than 60 seconds,
http://eprint.iacr.org/2007/120.pdf
[ABOB] Bernard Aboba, The Unofficial 802.11 Security Web Page,
http://www.drizzle.com/∼aboba/IEEE/
[WIFI] Wi-Fi Alliance, http://www.wi-fi.org/
[MISC] MISC Magazine, http://www.miscmag.com/
[WACR] Cracking WEP in 10 minutes with WHAX, http://sid.rstack.org/videos/aircrack/whaxaircrack-wep.C´
[ARB01] W.A. Arbaugh, An Inductive Chosen Plaintext Attack against WEP/WEP2, 2001,
http://www.cs.umd.edu/∼waa/attack/v3dcmnt.htm
[BLA02] C. Blancher, Switched environments security, a fairy tale, 2002,
http://sid.rstack.org/pres/0207 LSM02 ARP.pdf
[BLA03] C. Blancher, Layer 2 filtering and transparent firewalling, 2003,
http://sid.rstack.org/pres/0307 LSM03 L2 Filter.pdf
[KO04a] Korek, http://www.netstumbler.org/showthread.php?p=89036
[KO04b] Korek, Chopchop, http://www.netstumbler.org/showthread.php?t=12489
08/01/08
80
Biblio
[MRH04] V. Moen, H. Raddum and K.J. Hole, Weak
[BUT07] L. Butti, Wi-Fi Advanced Fuzzing,
http://www.blackhat.com/presentations/bh-eu-07/Butti/Presentation/
[AIRC] C. Devine, Aircrack, http://www.cr0.net:8040/code/network/aircrack/
[AIRP] Airpwn, http://www.evilscheme.org/defcon/
[ARPS] Arp-sk, http://sid.rstack.org/arp-sk/
[EBT] Ebtables, http://ebtables.sourceforge.net/
[HAP] Hostap Linux driver, http://hostap.epitest.fi/
[HAPD] Hostapd authenticator,
http://hostap.epitest.fi/hostapd/
[MADW] Madwifi project, http://madwifi.sourceforge.net/
[NSTX] Nstx, http://nstx.dereference.de/nstx/
[OZY] OzymanDNS, http://www.doxpara.com/ozymandns src 0.1.tgz
[PR54] Prism54 Linux driver, http://prism54.org/
[PYTH] Python, http://www.python.org/
[RT25] RT2500 Linux driver, http://rt2x00.serialmonkey.com/
[RTL8] RTL8180 Linux driver, http://rtl8180-sa2400.sourceforge.net/
[SCAP] Scapy, http://www.secdev.org/projects/scapy/
[WLAN] Linux Wlan-ng, http://www.linux-wlan.org/
[WPAS] Wpa supplicant, http://hostap.epitest.fi/wpa supplicant/
[WTAP] Wifitap, http://sid.rstack.org/index.php/Wifitap EN
[ISCD] ISC Handler’s Diary, http://isc.sans.org/diary.php?date=2005-06-26
08/01/08
81

Sécurité des réseaux sans fil

Transcription

Documents pareils

Hotel Nord Est

thermes d`amneville (57)

Hotel Residence Madison

Demi-Pension Pension complète 24.03 - 18.06

(clé XG-760N). - Assistance

PC NUC 4H10 win7

Fiche technique Fujitsu-Siemens Amilo Pa1510 - Ordi-zen

liste des hotels

HOTELS

Support de formation

Conçue pour vous transporter Notre toute nouvelle flotte