Janvier 2006 – Dominique Skrzypezyk Sécurité des WLAN.

Janvier 2006 – Dominique Skrzypezyk

Sécurité des WLANSécurité des WLAN


SommaireSommaire

• Le risque

• État des lieux

• Les faiblesses de la sécurité

• 802.11 i

• 802.1X

• Tunnel Ipsec

• Autres sécurités


Le risqueLe risque

• Propriété du média Ondes radio-électriques Support non-protégé des signaux externes

(brouillage, DoS) Caractéristiques de propagation complexes Pas de frontières absolues ni observables Une borne radio est équivalente à un Hub et

non un switch


Le risqueLe risque

Client

Point d’Accès

Wired Ethernet LAN

Facilité d’interception avec

des Sniffers Standards !

“Avoir du WLAN c’est comme avoir une prise ethernet dans la rue”


Le risqueLe risque

• Fonctionnalités des équipements Équipements bon marchés et faciles à mettre en

œuvre (déploiement sauvage de réseaux sans que le service « réseaux » soit averti)

Bornes mises en œuvre par défaut, sans sécurité (pas de SSID, SSID donnant des infos sur le propriétaire, pas de mise en œuvre du chiffrement, communauté SNMP par défaut et administration par une interface Web ouverte à tous)


Le risqueLe risque

• Positionnement dans l’architecture De nombreuses bornes déployées dans le réseau

interne, à l’intérieur du périmètre de l’entreprise Pas d’authentification ni sécurité appropriée Pas de construction d’une architecture adéquate

(facilité apparente de déploiement et d’installation)


Le risqueLe risque

• Attaques contre les réseaux sans fil Le War Driving

• Quadrillage d’une ville avec un ordinateur portable, une carte 802.11b et une antenne externe, de nombreux logiciels disponibles, un récepteur GPS pour la localisation

Le parking visiteur• Plus de sécurité physique à outrepasser

Conséquences• Écoutes de trafic, insertion de trafic, introduction d’une

station ou d’un serveur illicite dans le réseau, rebonds


Le risque


http://www.wifiledefrance.com/old/index.html

Le risque


Le risqueLe risque


Le risqueLe risque

• Brouillage radio Bande de fréquences libres Aucune garantie de non perturbation Utilisé par une multitude de produits

Bluetooth Micro ondes Vidéo surveillance

Brouilleurs professionnels 500 euros en vente libre en France


SommaireSommaire

• Le risque

• État des lieux


• 802.11 i

• 802.1X

• Tunnel Ipsec



État des lieuxÉtat des lieux

• SSID : Service Set Identifier

• Open / Shared Authentification

• Filtrage d’adresses MAC

• WEP : Wired Equivalent Privacy


SSID : Service Set IdentifierSSID : Service Set Identifier

SSID• Définition du nom du réseau

sur lequel on veut se connecter : authentification et association

• Le SSID n’est pas un mécanisme de sécurité

• Transmit en clair dans les requêtes ‘probe’, même lorsque l’on désactive la fonction ‘Broadcast SSID’ (qui ne concerne que les beacons)

SSID = Frog SSID = Toad

Probe (Frog)

Prob

e (F

rog)Probe R

esp. (Frog)

SSID = Frog

SSID in Clear Text

Client

AP AP


SSID : Service Set IdentifierSSID : Service Set Identifier


Open / Shared AuthentificationOpen / Shared Authentification

Authentification

• Authentification ouverte

Aucune authentification

• Authentification à clé partagée

Un ‘Challenge text’ est envoyé pour authentification

Faille du mécanisme de chiffrement

Le texte en clair, ainsi que son correspondant chiffrés sont accessibles

Authentication Request packetAuthentication response packet

Open Authentication

Authentication Request packetChallenge text packetChallenge response packet with predet. WEPAuthentication response packet

Shared Key Authentication


Filtrage d’adresses MACFiltrage d’adresses MAC

• Sur les bases radio , listes des adresses MAC autorisés à se connecter

• Difficile à maintenir

• Possibilité apprentissage

• Linux ( Changement @ MAC)


WEP : Wired Equivalent PrivacyWEP : Wired Equivalent Privacy

RC4

Random Number Generator (24 bits)

WEP Key

40 or 104 bits40 or 104 bits

Seed

Frame PayloadCRC-32

ICV

MAC AddressesIn the clear

24 bits Initialisation Vector24 bits Initialisation Vector

24 bits24 bits

IV IV In the clearIn the clear

WEP WEP EncryptedEncryptedPayloadPayload

AndAndICVICV

CRC-32CRC-32


WEP : Wired Equivalent PrivacyWEP : Wired Equivalent Privacy

• To encrypt, XOR key stream with plain textKey stream Plain Text => Cipher Text

• To decrypt, XOR key stream with cipher textKey Stream Cipher Text => Plain Text

XOR

XOR

“WIRELESS” = 58495245C455353

Key Stream = 123456789ABCDEF

4A7D043D6FBE9CKey Stream = 123456789ABCDEF

“WIRELESS” = 58495245C455353


SommaireSommaire

• Le risque

• État des lieux


• 802.11 i

• 802.1X

• Tunnel Ipsec



Les faiblesses de la sécuritéLes faiblesses de la sécurité

• Principes généraux

• Contre la confidentialité

• Contre l’intégrité

• Contre l’authentification auprès de l’AP




• Pas d’état protocolaire • Sujet à des attaques en rejouant une séquence mémorisée

• Une fois capturée, une trame chiffrée WEP peut etre rejouée à l’infini par un attaquant

• La trame rejouée sera déchiffrée et traitée par l’AP ou le client comme la trame d’origine

• Dangereux pour les protocoles non connectés ( UDP : NFS, NTP …)

• La même clé est utilisée par tous les clients

• Perte de carte ( cisco clé stockée sur la carte)




• Perte de PC ( Carte Agere, Intel : le SSID et clé stockés dans base de registre)

• clés globales : en cas de perte ou de vol, re-paramétrage d’un site entier



• Confidentialité

• Comment avoir du texte en clair ?• Certains trafics IP sont prédictible• Authentication partagée• Envoyer des paquets depuis l’extérieur (ping vers un client WLAN)

• Une fois que le texte en clair et le texte chiffré est connu, la chaîne chiffrée est facile à retrouver :

Key stream = Cipher Text Plain Text• Calcul :

KS PT = CT KS PT PT = CT PT ( PT de chaque côté) KS = CT PT (PT PT = 0)



• Ks = RC4 (IV, k)• k : fixe (clé partagée en général fixée une fois pour toutes)• IV variable 24 bits et public

• 2^24 possibilités collisions fréquentes• 5 heures maximum à 11 Mbit/s• WEP n’impose rien sur les IV• En général, les cartes commencent à 0 et incrémentent de 1

• Possibilité de se constituer un dictionnaire par IV• 16 Go environ

• Etude sur faiblesse RC4 et IV• Fluhrer, Mantin et Shamir




• programmes publics pour casser le WEP• Airsnort ( http://airsnort.shmoo.com)• WEPCrack ( http://wepcrack.sourceforge.net)• Winaircrack

• Attaques exhaustive• Clé hexa sur 40 bits : réalisable

• Clé hexa sur 104 bits : a priori plus difficile

• clé ASCII : 1200 fois moins de possibilités• clé dérivée d’un passphrase : suivant la méthode de dérivation utilisée , grosse réduction de l’espace des clés



• Intégrité

• Checksum linéaire : possibilité de modifier les bits d’un message sans que cette modification de soit détectée à la reception• Checksum fonction des data uniquement• Possibilité de modifié MAC source ou destination• CRC en clair dans les premieres versions puis chiffré WEP




• Usurpation de Borne



• “Virtual Carrier-sense Attack”



• Inondation Utilisation de paquets dé-association, dé-authentification Saturation de la bande …

• Outils « d’audit » nombreux sur Internet Netstumbler sous Windows http://www.netstumbler.com Kismet, Wifiscanner … CD-ROM bootable Utilisation pour audit ?


SommaireSommaire

• Le risque

• État des lieux


• 802.11 i

• 802.1X

• Tunnel Ipsec



802.11 i802.11 i

• RSN ( Network Security Robust )

• Réponse de l’IEEE aux Pbs de sécurité Authentification Confidentialité

• Ratifié en Juin 2004

• Produits sur le marché fin 2004


802.11 i802.11 i

• Faire patienter : trouver des solutions entre 2001 et fin 2004


• WPA (Wireless Protected Access) sous ensemble de 802.11i

WPA (Wireless Protected Access)





• Disponible depuis le Avril 2003• Faire patienter en attendant 802.11 i• Amélioration du WEP(logiciel: upgrade de firmware)• Supporter le matériel existant ( CPU algo de crypto)• Certification « Wifi Protected Access Products » à

partir de mi 2003• Niveau Authentification : 802.1X • Niveau confidentialité: TKIP (Temporal Key integrity

Protocol)


WPA et authentificationWPA et authentification

• 802.1x• Un standard réseau utilisé dans les commutateurs• Norme développée à l’origine pour les VLANs• Commun à toutes les normes 802.3, 802.5, etc …• Cadre permettant l’élaboration de mécanismes :

D’authentification et d’autorisation pour l’accès au réseau De distribution de clés de session

• Utilise un serveur d’authentification externe ( Radius …)

• Utilise mais n’impose pas un protocole d’authentification ( EAP …)


WPA et confidentialitéWPA et confidentialité

• AméliorAmélior ation du chiffrement WEPation du chiffrement WEPMIC & Sequence number

MIC -> intégrité du paquet (8 octets)

Sequence Number -> empêcher le rejeux

TKIP (Temporal Key Integrity code « Michael »)


• MIC & Sequence numberMIC utilise un algoritme de hashing pour estampiller la trame

Avant ICV (Integrity Check Value) 4 octets en fonction des data uniquement ( pas @ Mac)

MIC est basé sur la source et la destination MAC, sur les données

Tout changement de ces champs modifie le MIC

Le MIC est chiffré par le WEP

Numéro de séquence est ajouté pour éviter le rejeux



• MIC & Sequence number

DA SA IV Data SEQ ICV

WEP Encrypted

MIC

DA SA IV Data ICV

WEP Encrypted

WEP Frame - No MIC

WEP Frame - MIC



• Avant TKIP « la même clé pour tous les paquet sauf IV »

IV base key

RC4

stream cipher

no key hashing

plaintext data

encrypted data

XOR



• TKIP (Temporal Key Integrity Protocol) Aussi appelé WEP2 Principe : avoir une clé unique par paquet Utilise toujours RC4 Clé sur 104 bit Vecteur d’initialisation sur 24 bits Conserve les faiblesses de RC4



• Avec TKIP

plaintext data

encrypted data

RC4

stream cipher

IV base key

hash

XOR

packet keyIV

key hashing



WPA à la maisonWPA à la maison

• WPA-Personnal• Généralement pas de serveur radius disponible• Pas d’authentification 802.1x• PSK ( Pre Shared Key)

• Configuration d’une pass phrase • Secret partagé entre la borne et les mobiles• Pass phrase utilisée pour l’authentification• L’AP fournit à chaque mobile une clé de session• Clé de session rafraîchi à intervalles réguliers


802.11 i802.11 i

• Amélioration déjà apportées par WPA• Niveau chiffrement RC4 AES• AES ( Advanced Encrytion Standard) : Algorithme de

chiffrement très sécurisé• AES choisit pour remplacer le DES ou 3DES dans

les VPNs• AES mode CCMP : Counter-Mode Cipher-Block-

Chaining MAC Protocol• AES clé par paquet sur 128 bits• MIC idem : TKIP 2^24 trames, AES 2^64 trames


SommaireSommaire

• Le risque

• État des lieux


• 802.11 i

• 802.1X

• Tunnel Ipsec



802.1X802.1X

• 802.1x : Juin 2001• IEEE 802.1x est un standard de :

• Contrôle d’accès• D’authentification• Gestion des clés

• Fonctionne sur tout type de LAN ( MAC Layer)• Tocken ring• FDDI (802.5)• 802.3• 802.11


802.1X802.1X802.1X802.1X

• Contrôle d’accès basé sur la notion de ports• 802.1x découpe les ports physiques d’un commutateur ou

les ports virtuels d’une borne sans fil en deux ports logiques appelés PAE (Port Access Entity)

PAE d’authentification (Authenticator PAE) toujours ouvert PAE de service ou port contrôlé : ouvert après authentification

Normal Data

Authentication Traffic


802.1X802.1X

• EAP ( Extensible Authentification Protocol)• Développé à l’origine comme extension de PPP• Tunnel pour l’authentification• Encapsule différentes méthodes d’authentification

• Mot de passe• Biométrie• Carte à puce• Certificats …

• 802.1x transporte EAP ( méthode d’authentification) sur un LAN filaire ou Wireless : EAPOL EAP Over Lan


802.1X802.1X802.1X802.1X

• 802.1x définit l’architecture suivante : ( 3 entités)• Supplicant : utilisateur ou client qui veut utiliser le service

réseau ( Connectivité MAC)

• Authenticator server : Le serveur réalisant l’authentification, généralement un serveur Radius

• Authenticator ou « network port » : équipement offrant ou non la connexion réseau au supplicant en fonction du résultat de l’authentification. Joue le rôle de relai entre le supplicant et l’authenticator server durant la phase d’authentification


802.1X802.1X


Principes EAPRADIUS Server

EAPOL Start

Identity Request

Identity Response

EAP Request EAP Request

EAP ResponseEAP Response

EAP Success

EAPOW Key

Access Request

Access ChallengeAccess Challenge

Access RequestAccess Request

Access Success

Start Process

Ask Client for Identity

Provide Identity

Start Using WEP

Deliver Broadcast Key, Encrypted with Session Key

Pass Request to RADIUS

Perform Sequence Defined by Authentication Method (e.g. EAP-TLS, Cisco-EAP Wireless )

Pass Session Key to AP

AP

Client Receives or Derives Session Key

802.1X802.1X


802.1x/EAP ( Extensible Authentication Protocol)• Méthodes basées sur des mots de passe :

EAP-MD5 (condensat du user/passwd) LEAP (Lightweight EAP propriétaire CISCO)

• Méthodes basées sur des certificats : EAP-TLS (Transport Layerl Security) EAP-TTLS (utilise TLS pour échanger des infos

complémentaires) PEAP (Protected EAP)

• Méthodes utilisant des cartes ou calculettes EAP-SIM (utilise la carte à puce du GSM) EAP-AKA (utilise le système d’authentification de l’UMTS) GSS-API (tout le reste …)

802.1X802.1X


EAP-MD5• Création d’une emprunte MD5 de chaque paquet• Assure l’authenticité des messages EAP• Rapide et facile à mettre en œuvre• Ne supporte pas les certificats• Trafic non chiffré, sensible aux écoutes• Adapté à un réseau filaire• N’est plus supporté dans les clients Microsoft …• Ne plus utiliser

802.1X802.1X


LEAP• Lightweight Extensible Authentication Protocol• Améliore le WEP ( rafraichissement régulier des clés)• Propriétaire Cisco• Authentification mutuelle :

Le serveur authentifié par le client Le client authentifié par le serveur

• Basé sur username et password (Pas de certificats)• Poste de travail : Client LEAP gratuit• Authenticator : Base radio Cisco obligatoire• Authenticator server : Radius Cisco + autres marques

802.1X802.1X


EAP TLS (Transport Layer Security)• Basée sur des certificats : un certificat par supplicant, un certificat

pour l’authenticator server• Authentification mutuelle entre le client et le serveur

d’authentification• Nécessite un serveur de certificats ( IAS server …)• Génère et distribue des clés WEP dynamiques :

• Par utilisateur / session / nombre de paquets transmis

• Poste de travail : disponible en standard sous Windows XP, avec service pack sous W2000 ou 98

• Authenticator : mis en œuvre par la plupart des access points

• Authenticator server : Méthode Standard largement disponible sur les serveurs radius

• Mise en œuvre un peu complexe

802.1X802.1X


PEAP(Protected Extensible Authentication Protocol)• proposé et soutenu par RSA, Cisco, Microsoft• Authentification mutuelle entre le supplicant et l’authenticator server

• Utilise un certificat coté authenticator server

• Utilise User password coté supplicant• Poste de travail : disponible en standard sous Windows XP, avec

service pack sous W2000 ou 98

• Authenticator : la tendance va vers une mise en œuvre par la plupart des access points

• Authenticator server : Méthode en cours de vulgarisation sur les serveurs radius

• Réponse à la complexité de mise en œuvre de TLS

• A utiliser.

802.1X802.1X


EAP-PEAPEAP-PEAP

AccessPointClient RADIUS

Server

OTP(ActivCard,

CryptoCard, PassGo, RSA, …)

Start

IdentityIdentity

Request Identity

EAP in EAP Authentication

AP Blocks all Requests until

Authentication Completes

Broadcast Key

Key Length

AP Sends Client Broadcast Key, Encrypted

with Session Key

Client SideAuthenticatio

n

Client SideAuthenticatio

n

Server Certificate Server Certificate

CertificateAuthority

Encrypted Tunnel EstablishedServer SideAuthenticatio

n

Server SideAuthenticatio

n


EAP TTLS (Tunneled Transport Layer Security)• Extension de TLS

• Authentification mutuelle entre le supplicant et l’authenticator server

• Utilise un certificat coté authenticator server

• Réponse à la complexité de mise en œuvre de TLS• Possibilité pas de certificat sur le supplicant

802.1X802.1X


802.1X802.1X

Serveur radius ( logiciel ou appliance )• Remote Access Dial-in User Service• Sélectionner le logiciel en fonction du type d’authentification• Proxi Radius et royaumes• Free radius ( www.freeradius.org)• OpenRadius, GnuRadius• Ap Cisco Aironet 1200 (Radius intégré)• Funk Software Stell Belted Radius• Microsoft Radius serveur IAS• Choisir un Radius supportant PEAP ou EAP-TTLS …


SommaireSommaire

• Le risque

• État des lieux


• 802.11 i

• 802.1X

• Tunnel Ipsec



• Basé sur les réseaux privés virtuels (VPN) et sur Ipsec

• Authentification : login-password, mots de passe dynamiques, certificats

• Confidentialité : chiffrement DES, 3DES, AES

• Intégrité : MD5-HMAC et SHA-HMAC

Tunnel IpsecTunnel Ipsec


• Installation de gateway VPN

• Installation de clients Ipsec sur les postes sans fils ( terminaux logistiques …)

• Modif logiciel sur les postes …

• Importance de l’overhead (20 à 30 %)

• Solution très robuste



WLAN DMZ

Intranet Entreprise

SiSi SiSi

Concentrateur VPN

Ressources Entreprise

• Technologie éprouvée

• Indépendance vis-à-vis d’implémentations constructeurs

• Ne protège pas pour autant le réseau WLAN

• Complexité d’utilisation dans un Intranet

• Traffic chiffré sur LAN !?



SommaireSommaire

• Le risque

• État des lieux


• 802.11 i

• 802.1X

• Tunnel Ipsec



Autres sécuritésAutres sécurités

• Couverture radio• Bien connaître la couverture radio des AP

• Essayer de la limiter aux bâtiments, aux terrains privés

• Positionnement des antennes

• Utilisation d’antennes directionnelles

• Limiter la puissance des émetteurs

• Papier peint anti-propagation ondes …


Routing between vlan : Filtrers IP, port …

FIBRE 1Gbit/s

CiscoCatalyst

5500

CiscoCatalyst

5500

1924F

C19_ZB1

1924F

C19_SB

AP1AP2

Trunk : all Vlan

Bureautique VLAN

Radio VLAN


• Utilisation des VLANs sur le réseau filaire• Vlan dédié à la radio

• Filtre entre VLAN radio et filaires



• Audit de site (radio)• Répertorier les réseaux Wifi existants

• Déplacement sur le site avec PC ou Palm équipé d’un logiciel d’analyse de site

• Logiciel netstumbler

• Logiciel libre pour palm

• Fonctionnalité détection rogue AP

• Sur les derniers access point

• Sur un canal ou tous ?



• statistiques• Suivi des volumes

• Suivi des charges et heures de connections



• Filtrage entre le monde radio et filaire• Utilisation de firewall

• Utilisation de gateway Wireless

• Passerelle par défaut du monde radio



• Portail captif• Interception et re-direction du traffic HTTP

• Signature obligatoire avant d’avoir accès au services

• Principe utilisé par les hotspots ( Orange, SFR …)



• Sécurité fonction de l’authentification• AP connecté en trunk au réseau filaire

• Assignation d’un Vlan en fonction de l’authentification

• 1 SSID par VLAN

• Ap récents

Trunk 802.1QVLAN 1 & 2

SSID-1WEP 128

SSID-2Cisco-EAP



• Utiliser l’espace radio

• Honey pot• Offrir un service ouvert

• SSID broadcasté, pas d’authentification, pas de chiffrement

• Faire tomber sur un VLAN spécifique

• Fournir un service internet ( visiteur)

• Ne rien fournir …

• Brouilleur …

Janvier 2006 – Dominique Skrzypezyk Sécurité des WLAN.

Documents

Transcript of Janvier 2006 – Dominique Skrzypezyk Sécurité des WLAN.