Janvier 2006 – Dominique Skrzypezyk Sécurité des WLAN.
-
Upload
ilbert-rigaud -
Category
Documents
-
view
104 -
download
0
Transcript of Janvier 2006 – Dominique Skrzypezyk Sécurité des WLAN.
Janvier 2006 – Dominique Skrzypezyk
Sécurité des WLANSécurité des WLAN
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
• Propriété du média Ondes radio-électriques Support non-protégé des signaux externes
(brouillage, DoS) Caractéristiques de propagation complexes Pas de frontières absolues ni observables Une borne radio est équivalente à un Hub et
non un switch
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
Client
Point d’Accès
Wired Ethernet LAN
Facilité d’interception avec
des Sniffers Standards !
“Avoir du WLAN c’est comme avoir une prise ethernet dans la rue”
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
• Fonctionnalités des équipements Équipements bon marchés et faciles à mettre en
œuvre (déploiement sauvage de réseaux sans que le service « réseaux » soit averti)
Bornes mises en œuvre par défaut, sans sécurité (pas de SSID, SSID donnant des infos sur le propriétaire, pas de mise en œuvre du chiffrement, communauté SNMP par défaut et administration par une interface Web ouverte à tous)
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
• Positionnement dans l’architecture De nombreuses bornes déployées dans le réseau
interne, à l’intérieur du périmètre de l’entreprise Pas d’authentification ni sécurité appropriée Pas de construction d’une architecture adéquate
(facilité apparente de déploiement et d’installation)
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
• Attaques contre les réseaux sans fil Le War Driving
• Quadrillage d’une ville avec un ordinateur portable, une carte 802.11b et une antenne externe, de nombreux logiciels disponibles, un récepteur GPS pour la localisation
Le parking visiteur• Plus de sécurité physique à outrepasser
Conséquences• Écoutes de trafic, insertion de trafic, introduction d’une
station ou d’un serveur illicite dans le réseau, rebonds
Janvier 2006 – Dominique Skrzypezyk
Le risque
Janvier 2006 – Dominique Skrzypezyk
http://www.wifiledefrance.com/old/index.html
Le risque
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
Janvier 2006 – Dominique Skrzypezyk
Le risqueLe risque
• Brouillage radio Bande de fréquences libres Aucune garantie de non perturbation Utilisé par une multitude de produits
Bluetooth Micro ondes Vidéo surveillance
Brouilleurs professionnels 500 euros en vente libre en France
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
État des lieuxÉtat des lieux
• SSID : Service Set Identifier
• Open / Shared Authentification
• Filtrage d’adresses MAC
• WEP : Wired Equivalent Privacy
Janvier 2006 – Dominique Skrzypezyk
SSID : Service Set IdentifierSSID : Service Set Identifier
SSID• Définition du nom du réseau
sur lequel on veut se connecter : authentification et association
• Le SSID n’est pas un mécanisme de sécurité
• Transmit en clair dans les requêtes ‘probe’, même lorsque l’on désactive la fonction ‘Broadcast SSID’ (qui ne concerne que les beacons)
SSID = Frog SSID = Toad
Probe (Frog)
Prob
e (F
rog)Probe R
esp. (Frog)
SSID = Frog
SSID in Clear Text
Client
AP AP
Janvier 2006 – Dominique Skrzypezyk
SSID : Service Set IdentifierSSID : Service Set Identifier
Janvier 2006 – Dominique Skrzypezyk
Open / Shared AuthentificationOpen / Shared Authentification
Authentification
• Authentification ouverte
Aucune authentification
• Authentification à clé partagée
Un ‘Challenge text’ est envoyé pour authentification
Faille du mécanisme de chiffrement
Le texte en clair, ainsi que son correspondant chiffrés sont accessibles
Authentication Request packetAuthentication response packet
Open Authentication
Authentication Request packetChallenge text packetChallenge response packet with predet. WEPAuthentication response packet
Shared Key Authentication
Janvier 2006 – Dominique Skrzypezyk
Filtrage d’adresses MACFiltrage d’adresses MAC
• Sur les bases radio , listes des adresses MAC autorisés à se connecter
• Difficile à maintenir
• Possibilité apprentissage
• Linux ( Changement @ MAC)
Janvier 2006 – Dominique Skrzypezyk
WEP : Wired Equivalent PrivacyWEP : Wired Equivalent Privacy
RC4
Random Number Generator (24 bits)
WEP Key
40 or 104 bits40 or 104 bits
Seed
Frame PayloadCRC-32
ICV
MAC AddressesIn the clear
24 bits Initialisation Vector24 bits Initialisation Vector
24 bits24 bits
IV IV In the clearIn the clear
WEP WEP EncryptedEncryptedPayloadPayload
AndAndICVICV
CRC-32CRC-32
Janvier 2006 – Dominique Skrzypezyk
WEP : Wired Equivalent PrivacyWEP : Wired Equivalent Privacy
• To encrypt, XOR key stream with plain textKey stream Plain Text => Cipher Text
• To decrypt, XOR key stream with cipher textKey Stream Cipher Text => Plain Text
XOR
XOR
“WIRELESS” = 58495245C455353
Key Stream = 123456789ABCDEF
4A7D043D6FBE9CKey Stream = 123456789ABCDEF
“WIRELESS” = 58495245C455353
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• Principes généraux
• Contre la confidentialité
• Contre l’intégrité
• Contre l’authentification auprès de l’AP
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• Principes généraux
• Pas d’état protocolaire • Sujet à des attaques en rejouant une séquence mémorisée
• Une fois capturée, une trame chiffrée WEP peut etre rejouée à l’infini par un attaquant
• La trame rejouée sera déchiffrée et traitée par l’AP ou le client comme la trame d’origine
• Dangereux pour les protocoles non connectés ( UDP : NFS, NTP …)
• La même clé est utilisée par tous les clients
• Perte de carte ( cisco clé stockée sur la carte)
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• Principes généraux
• Perte de PC ( Carte Agere, Intel : le SSID et clé stockés dans base de registre)
• clés globales : en cas de perte ou de vol, re-paramétrage d’un site entier
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• Confidentialité
• Comment avoir du texte en clair ?• Certains trafics IP sont prédictible• Authentication partagée• Envoyer des paquets depuis l’extérieur (ping vers un client WLAN)
• Une fois que le texte en clair et le texte chiffré est connu, la chaîne chiffrée est facile à retrouver :
Key stream = Cipher Text Plain Text• Calcul :
KS PT = CT KS PT PT = CT PT ( PT de chaque côté) KS = CT PT (PT PT = 0)
Janvier 2006 – Dominique Skrzypezyk
• Confidentialité
• Ks = RC4 (IV, k)• k : fixe (clé partagée en général fixée une fois pour toutes)• IV variable 24 bits et public
• 2^24 possibilités collisions fréquentes• 5 heures maximum à 11 Mbit/s• WEP n’impose rien sur les IV• En général, les cartes commencent à 0 et incrémentent de 1
• Possibilité de se constituer un dictionnaire par IV• 16 Go environ
• Etude sur faiblesse RC4 et IV• Fluhrer, Mantin et Shamir
Les faiblesses de la sécuritéLes faiblesses de la sécurité
Janvier 2006 – Dominique Skrzypezyk
• Confidentialité
• programmes publics pour casser le WEP• Airsnort ( http://airsnort.shmoo.com)• WEPCrack ( http://wepcrack.sourceforge.net)• Winaircrack
• Attaques exhaustive• Clé hexa sur 40 bits : réalisable
• Clé hexa sur 104 bits : a priori plus difficile
• clé ASCII : 1200 fois moins de possibilités• clé dérivée d’un passphrase : suivant la méthode de dérivation utilisée , grosse réduction de l’espace des clés
Les faiblesses de la sécuritéLes faiblesses de la sécurité
Janvier 2006 – Dominique Skrzypezyk
• Intégrité
• Checksum linéaire : possibilité de modifier les bits d’un message sans que cette modification de soit détectée à la reception• Checksum fonction des data uniquement• Possibilité de modifié MAC source ou destination• CRC en clair dans les premieres versions puis chiffré WEP
Les faiblesses de la sécuritéLes faiblesses de la sécurité
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• Usurpation de Borne
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• “Virtual Carrier-sense Attack”
Janvier 2006 – Dominique Skrzypezyk
Les faiblesses de la sécuritéLes faiblesses de la sécurité
• Inondation Utilisation de paquets dé-association, dé-authentification Saturation de la bande …
• Outils « d’audit » nombreux sur Internet Netstumbler sous Windows http://www.netstumbler.com Kismet, Wifiscanner … CD-ROM bootable Utilisation pour audit ?
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
802.11 i802.11 i
• RSN ( Network Security Robust )
• Réponse de l’IEEE aux Pbs de sécurité Authentification Confidentialité
• Ratifié en Juin 2004
• Produits sur le marché fin 2004
Janvier 2006 – Dominique Skrzypezyk
802.11 i802.11 i
• Faire patienter : trouver des solutions entre 2001 et fin 2004
Janvier 2006 – Dominique Skrzypezyk
• WPA (Wireless Protected Access) sous ensemble de 802.11i
WPA (Wireless Protected Access)
WPA (Wireless Protected Access)
Janvier 2006 – Dominique Skrzypezyk
WPA (Wireless Protected Access)
WPA (Wireless Protected Access)
• Disponible depuis le Avril 2003• Faire patienter en attendant 802.11 i• Amélioration du WEP(logiciel: upgrade de firmware)• Supporter le matériel existant ( CPU algo de crypto)• Certification « Wifi Protected Access Products » à
partir de mi 2003• Niveau Authentification : 802.1X • Niveau confidentialité: TKIP (Temporal Key integrity
Protocol)
Janvier 2006 – Dominique Skrzypezyk
WPA et authentificationWPA et authentification
• 802.1x• Un standard réseau utilisé dans les commutateurs• Norme développée à l’origine pour les VLANs• Commun à toutes les normes 802.3, 802.5, etc …• Cadre permettant l’élaboration de mécanismes :
D’authentification et d’autorisation pour l’accès au réseau De distribution de clés de session
• Utilise un serveur d’authentification externe ( Radius …)
• Utilise mais n’impose pas un protocole d’authentification ( EAP …)
Janvier 2006 – Dominique Skrzypezyk
WPA et confidentialitéWPA et confidentialité
• AméliorAmélior ation du chiffrement WEPation du chiffrement WEPMIC & Sequence number
MIC -> intégrité du paquet (8 octets)
Sequence Number -> empêcher le rejeux
TKIP (Temporal Key Integrity code « Michael »)
Janvier 2006 – Dominique Skrzypezyk
• MIC & Sequence numberMIC utilise un algoritme de hashing pour estampiller la trame
Avant ICV (Integrity Check Value) 4 octets en fonction des data uniquement ( pas @ Mac)
MIC est basé sur la source et la destination MAC, sur les données
Tout changement de ces champs modifie le MIC
Le MIC est chiffré par le WEP
Numéro de séquence est ajouté pour éviter le rejeux
WPA et confidentialitéWPA et confidentialité
Janvier 2006 – Dominique Skrzypezyk
• MIC & Sequence number
DA SA IV Data SEQ ICV
WEP Encrypted
MIC
DA SA IV Data ICV
WEP Encrypted
WEP Frame - No MIC
WEP Frame - MIC
WPA et confidentialitéWPA et confidentialité
Janvier 2006 – Dominique Skrzypezyk
• Avant TKIP « la même clé pour tous les paquet sauf IV »
IV base key
RC4
stream cipher
no key hashing
plaintext data
encrypted data
XOR
WPA et confidentialitéWPA et confidentialité
Janvier 2006 – Dominique Skrzypezyk
• TKIP (Temporal Key Integrity Protocol) Aussi appelé WEP2 Principe : avoir une clé unique par paquet Utilise toujours RC4 Clé sur 104 bit Vecteur d’initialisation sur 24 bits Conserve les faiblesses de RC4
WPA et confidentialitéWPA et confidentialité
Janvier 2006 – Dominique Skrzypezyk
• Avec TKIP
plaintext data
encrypted data
RC4
stream cipher
IV base key
hash
XOR
packet keyIV
key hashing
WPA et confidentialitéWPA et confidentialité
Janvier 2006 – Dominique Skrzypezyk
WPA à la maisonWPA à la maison
• WPA-Personnal• Généralement pas de serveur radius disponible• Pas d’authentification 802.1x• PSK ( Pre Shared Key)
• Configuration d’une pass phrase • Secret partagé entre la borne et les mobiles• Pass phrase utilisée pour l’authentification• L’AP fournit à chaque mobile une clé de session• Clé de session rafraîchi à intervalles réguliers
Janvier 2006 – Dominique Skrzypezyk
802.11 i802.11 i
• Amélioration déjà apportées par WPA• Niveau chiffrement RC4 AES• AES ( Advanced Encrytion Standard) : Algorithme de
chiffrement très sécurisé• AES choisit pour remplacer le DES ou 3DES dans
les VPNs• AES mode CCMP : Counter-Mode Cipher-Block-
Chaining MAC Protocol• AES clé par paquet sur 128 bits• MIC idem : TKIP 2^24 trames, AES 2^64 trames
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X
• 802.1x : Juin 2001• IEEE 802.1x est un standard de :
• Contrôle d’accès• D’authentification• Gestion des clés
• Fonctionne sur tout type de LAN ( MAC Layer)• Tocken ring• FDDI (802.5)• 802.3• 802.11
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X802.1X802.1X
• Contrôle d’accès basé sur la notion de ports• 802.1x découpe les ports physiques d’un commutateur ou
les ports virtuels d’une borne sans fil en deux ports logiques appelés PAE (Port Access Entity)
PAE d’authentification (Authenticator PAE) toujours ouvert PAE de service ou port contrôlé : ouvert après authentification
Normal Data
Authentication Traffic
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X
• EAP ( Extensible Authentification Protocol)• Développé à l’origine comme extension de PPP• Tunnel pour l’authentification• Encapsule différentes méthodes d’authentification
• Mot de passe• Biométrie• Carte à puce• Certificats …
• 802.1x transporte EAP ( méthode d’authentification) sur un LAN filaire ou Wireless : EAPOL EAP Over Lan
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X802.1X802.1X
• 802.1x définit l’architecture suivante : ( 3 entités)• Supplicant : utilisateur ou client qui veut utiliser le service
réseau ( Connectivité MAC)
• Authenticator server : Le serveur réalisant l’authentification, généralement un serveur Radius
• Authenticator ou « network port » : équipement offrant ou non la connexion réseau au supplicant en fonction du résultat de l’authentification. Joue le rôle de relai entre le supplicant et l’authenticator server durant la phase d’authentification
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
Principes EAPRADIUS Server
EAPOL Start
Identity Request
Identity Response
EAP Request EAP Request
EAP ResponseEAP Response
EAP Success
EAPOW Key
Access Request
Access ChallengeAccess Challenge
Access RequestAccess Request
Access Success
Start Process
Ask Client for Identity
Provide Identity
Start Using WEP
Deliver Broadcast Key, Encrypted with Session Key
Pass Request to RADIUS
Perform Sequence Defined by Authentication Method (e.g. EAP-TLS, Cisco-EAP Wireless )
Pass Session Key to AP
AP
Client Receives or Derives Session Key
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
802.1x/EAP ( Extensible Authentication Protocol)• Méthodes basées sur des mots de passe :
EAP-MD5 (condensat du user/passwd) LEAP (Lightweight EAP propriétaire CISCO)
• Méthodes basées sur des certificats : EAP-TLS (Transport Layerl Security) EAP-TTLS (utilise TLS pour échanger des infos
complémentaires) PEAP (Protected EAP)
• Méthodes utilisant des cartes ou calculettes EAP-SIM (utilise la carte à puce du GSM) EAP-AKA (utilise le système d’authentification de l’UMTS) GSS-API (tout le reste …)
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
EAP-MD5• Création d’une emprunte MD5 de chaque paquet• Assure l’authenticité des messages EAP• Rapide et facile à mettre en œuvre• Ne supporte pas les certificats• Trafic non chiffré, sensible aux écoutes• Adapté à un réseau filaire• N’est plus supporté dans les clients Microsoft …• Ne plus utiliser
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
LEAP• Lightweight Extensible Authentication Protocol• Améliore le WEP ( rafraichissement régulier des clés)• Propriétaire Cisco• Authentification mutuelle :
Le serveur authentifié par le client Le client authentifié par le serveur
• Basé sur username et password (Pas de certificats)• Poste de travail : Client LEAP gratuit• Authenticator : Base radio Cisco obligatoire• Authenticator server : Radius Cisco + autres marques
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
EAP TLS (Transport Layer Security)• Basée sur des certificats : un certificat par supplicant, un certificat
pour l’authenticator server• Authentification mutuelle entre le client et le serveur
d’authentification• Nécessite un serveur de certificats ( IAS server …)• Génère et distribue des clés WEP dynamiques :
• Par utilisateur / session / nombre de paquets transmis
• Poste de travail : disponible en standard sous Windows XP, avec service pack sous W2000 ou 98
• Authenticator : mis en œuvre par la plupart des access points
• Authenticator server : Méthode Standard largement disponible sur les serveurs radius
• Mise en œuvre un peu complexe
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
PEAP(Protected Extensible Authentication Protocol)• proposé et soutenu par RSA, Cisco, Microsoft• Authentification mutuelle entre le supplicant et l’authenticator server
• Utilise un certificat coté authenticator server
• Utilise User password coté supplicant• Poste de travail : disponible en standard sous Windows XP, avec
service pack sous W2000 ou 98
• Authenticator : la tendance va vers une mise en œuvre par la plupart des access points
• Authenticator server : Méthode en cours de vulgarisation sur les serveurs radius
• Réponse à la complexité de mise en œuvre de TLS
• A utiliser.
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
EAP-PEAPEAP-PEAP
AccessPointClient RADIUS
Server
OTP(ActivCard,
CryptoCard, PassGo, RSA, …)
Start
IdentityIdentity
Request Identity
EAP in EAP Authentication
AP Blocks all Requests until
Authentication Completes
Broadcast Key
Key Length
AP Sends Client Broadcast Key, Encrypted
with Session Key
Client SideAuthenticatio
n
Client SideAuthenticatio
n
Server Certificate Server Certificate
CertificateAuthority
Encrypted Tunnel EstablishedServer SideAuthenticatio
n
Server SideAuthenticatio
n
Janvier 2006 – Dominique Skrzypezyk
EAP TTLS (Tunneled Transport Layer Security)• Extension de TLS
• Authentification mutuelle entre le supplicant et l’authenticator server
• Utilise un certificat coté authenticator server
• Réponse à la complexité de mise en œuvre de TLS• Possibilité pas de certificat sur le supplicant
802.1X802.1X
Janvier 2006 – Dominique Skrzypezyk
802.1X802.1X
Serveur radius ( logiciel ou appliance )• Remote Access Dial-in User Service• Sélectionner le logiciel en fonction du type d’authentification• Proxi Radius et royaumes• Free radius ( www.freeradius.org)• OpenRadius, GnuRadius• Ap Cisco Aironet 1200 (Radius intégré)• Funk Software Stell Belted Radius• Microsoft Radius serveur IAS• Choisir un Radius supportant PEAP ou EAP-TTLS …
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
• Basé sur les réseaux privés virtuels (VPN) et sur Ipsec
• Authentification : login-password, mots de passe dynamiques, certificats
• Confidentialité : chiffrement DES, 3DES, AES
• Intégrité : MD5-HMAC et SHA-HMAC
Tunnel IpsecTunnel Ipsec
Janvier 2006 – Dominique Skrzypezyk
• Installation de gateway VPN
• Installation de clients Ipsec sur les postes sans fils ( terminaux logistiques …)
• Modif logiciel sur les postes …
• Importance de l’overhead (20 à 30 %)
• Solution très robuste
Tunnel IpsecTunnel Ipsec
Janvier 2006 – Dominique Skrzypezyk
WLAN DMZ
Intranet Entreprise
SiSi SiSi
Concentrateur VPN
Ressources Entreprise
• Technologie éprouvée
• Indépendance vis-à-vis d’implémentations constructeurs
• Ne protège pas pour autant le réseau WLAN
• Complexité d’utilisation dans un Intranet
• Traffic chiffré sur LAN !?
Tunnel IpsecTunnel Ipsec
Janvier 2006 – Dominique Skrzypezyk
SommaireSommaire
• Le risque
• État des lieux
• Les faiblesses de la sécurité
• 802.11 i
• 802.1X
• Tunnel Ipsec
• Autres sécurités
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• Couverture radio• Bien connaître la couverture radio des AP
• Essayer de la limiter aux bâtiments, aux terrains privés
• Positionnement des antennes
• Utilisation d’antennes directionnelles
• Limiter la puissance des émetteurs
• Papier peint anti-propagation ondes …
Janvier 2006 – Dominique Skrzypezyk
Routing between vlan : Filtrers IP, port …
FIBRE 1Gbit/s
CiscoCatalyst
5500
CiscoCatalyst
5500
1924F
C19_ZB1
1924F
C19_SB
AP1AP2
Trunk : all Vlan
Bureautique VLAN
Radio VLAN
Autres sécuritésAutres sécurités
• Utilisation des VLANs sur le réseau filaire• Vlan dédié à la radio
• Filtre entre VLAN radio et filaires
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• Audit de site (radio)• Répertorier les réseaux Wifi existants
• Déplacement sur le site avec PC ou Palm équipé d’un logiciel d’analyse de site
• Logiciel netstumbler
• Logiciel libre pour palm
• Fonctionnalité détection rogue AP
• Sur les derniers access point
• Sur un canal ou tous ?
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• statistiques• Suivi des volumes
• Suivi des charges et heures de connections
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• Filtrage entre le monde radio et filaire• Utilisation de firewall
• Utilisation de gateway Wireless
• Passerelle par défaut du monde radio
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• Portail captif• Interception et re-direction du traffic HTTP
• Signature obligatoire avant d’avoir accès au services
• Principe utilisé par les hotspots ( Orange, SFR …)
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• Sécurité fonction de l’authentification• AP connecté en trunk au réseau filaire
• Assignation d’un Vlan en fonction de l’authentification
• 1 SSID par VLAN
• Ap récents
Trunk 802.1QVLAN 1 & 2
SSID-1WEP 128
SSID-2Cisco-EAP
Janvier 2006 – Dominique Skrzypezyk
Autres sécuritésAutres sécurités
• Utiliser l’espace radio
• Honey pot• Offrir un service ouvert
• SSID broadcasté, pas d’authentification, pas de chiffrement
• Faire tomber sur un VLAN spécifique
• Fournir un service internet ( visiteur)
• Ne rien fournir …
• Brouilleur …