Introduction. Problèmes

Transcription

1 Introduction L histoire des réseaux est émaillée de vulnérabilités Les protections tardent à se généraliser et ne couvrent toujours pas tous les problèmes 50 % des réseaux wifi sont ouverts 25 % des réseaux sécurisés sont en fait mal protégés Les entreprises sont les mauvaix élèves... Les implémentations présentent des vulnérabilités... C 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 1 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 2 Introduction Problèmes Un réseau sans-fil présente les mêmes vulnérabilités qu un réseau filaire Serveur DHCP malicieux, ARP / DNS spoofing, DoS,... Mais aussi qlq spécificités wifi Rayon d action : propagation incontrôlable des ondes radio Écoute : plus facile que pour les réseaux filaires Attaques spécifiques : Rogue AP, WarXing,... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 3 Plus globalement Risques d intrusion, interception de données Détournement de connexion Internet Brouillage des transmissions DoS... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 4

2 Agenda Agenda Les réseaux Wi-Fi ouverts Le cas du WEP... Sécurité : WPA, WPA2 and i Authentification Wi-Fi Limites Aspects légaux Auditer son réseau Wi-Fi Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi Le cas du WEP... Sécurité : WPA, WPA2 and i Authentification Wi-Fi Aspects légaux Auditer son réseau Wi-Fi Bibliography Bibliography 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 5 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 6 Réseaux Wi-Fi ouverts Ces réseaux ne disposent d aucune protection Pas de problème de compatibilité Configuration par défaut des équipements Partage de connexion Hotspots Wi-Fi Accès Wi-Fi public, souvent commerciaux ou communautaires Systèmes basés sur un portail captif Authentification à une application Web d enregistrement Mise en place d autorisations pour l accès Internet Suivi des clients enregistré L erreur est de croire qu un réseau Wi-Fi est équivalent à un réseau Ethernet... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 7 Problèmes posés : aucune sécurité! Accès non limité, pas de chiffrement, Accès à internet Comment suivre les clients? Comment protéger les clients? 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 8 Nécessité de limiter / conditionner l'accès au réseau

3 Portails captifs Suivi des clients Authentification tierce pour réseau ouvert... Trafic sortant interdit Trafic HTTP redirigé vers vers un portail Accès autorisé une fois enregistré Comment suivre un client authentifié? Pas beaucoup de choix Adresse MAC Adresse IP Adresses MAC and IP en même temps Seulement voilà, on peut usurper ces paramètres... Problèmatique... Comment différencier les clients enregistrés des autres? 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 9 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 10 Quid des clients? Limites : Contourner les AP (Le Rogue AP) Le réseau est ouvert... N importe qui peut y accéder Les communications ne sont pas chiffrées Aucune mesure de protection pour les clients Exposition Les clients peuvent être attaqués facilement On monte un AP factice pour le réseau cible Même SSID Meilleure puissance perçue Interception des communications Permet de voler les login/passwords ou faire valider ses identifiants réseau Airsnarf!! 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 11 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 12

4 Limites des autorisation Limites des autorisation Un réseau Wi-Fi est un domaine de collision Changer son adresse MAC est trivial Pas de conflits au niveau MAC Prenez juste une IP différente Ifconfig, macchanger, etc. Un réseau Wi-Fi est un réseau de type Ethernet Vulnérable aux attaques de niveau 2 Vulnérable à corruption cache ARP Possibilité de Spoofer IP Pollisilité de rediriger le trafic Voir LSM 2002[BLA02], arp-sk[arps] ou MISC3[MISC] pour détails 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 13 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 14 Autres attaques : usurpation de client Autres problèmes On peut usurper l identité d un client enregistré Adresse MAC Adresse IP Pas de perturbation induite Mais... On peut également le désassocier et prendre sa place Les portails captifs présentent souvent des vulnérabilités exploitables Certificat pour l'accès SSL à la page d'enregistrement Mauvaises configurations Encapsulation possible dans DNS (Tunnels DNS [OZY][NSTX]) Applications web vulnérables Modification des arguments, SQL injection Etc. En résumé... Il y a mille façon de mettre en oeuvre un portail captif vulnerable 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 15 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 16

5 Autres exemples de failles... Récap Corruption de traffic par injection Les trames Wi-Fi peuvent être capturée Ecouter le trafic Wi-Fi Repérer les requêtes intéressantes Injecter de fausses réponses en usurpant l AP Applications : fausses réponses DNS, contenu malicieux, etc. Communication par injection L injection de trame à destination des stations permet de les atteindre. Il suffit d écouter les réponses et de continuer /01/08 Anas Abou El Kalam - Sécurité Wi-Fi 17 Les clients d un hotspot Wi-Fi sont très exposés Pas de confidentialité Pas d intégrité des flux WarXing = wardriving + warchalking Donc.. L utilisation de hotspot Wi-Fi induit un risque important Elle suppose une période d exposition pre-enregistrement Le strict minimum de la sécurité wifi Une infrastructure adaptée ==> réglage portée Eviter valeurs par défaut lors de l'installation de l'ap Changer Mdp, désactiver broadcast Filtrage, mais facilement contournable :-( Cacher SSID, idem :-( (voir transp. suivant) 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 18 Existe t-il des solutions plus robustes?? Récap Mais attention!! le filtrage d'adresses MAC la simple observation du trafic permet de repérer des adresses MAC autorisées et de les usurper, ce qui est trivial sur un réseau WiFi ; le masquage de SSID le nom du réseau est toujours présent en clair dans les requêtes d'association et n'est ni nécessaire pour casser une clé WEP, ni pour communiquer si on dispose d'une adresse MAC associée au même moment à usurper. Agenda Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi Le cas du WEP... Le protocole (authentification & chiffrement) Récupération et exploitation de keystreams Faiblesses, Attaques... Sécurité : WPA, WPA2 and i Authentification Wi-Fi Aspects légaux Auditer son réseau Wi-Fi Bibliography 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 19 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 20

6 WEP : le protocole de chiffrement WEP : le déchiffrement Chiffrement RC4 Authentification par challenge de chiffrement Somme de contrôle CRC32 (ICV) Etape 1 : déchiffrer Renverser le procédé de chiffrement C 1 = P RC4(IV k) = ([C' ICV(C')] RC4(IV k) = [C' ICV(C')] Etape 2 : vérifie l intégrité du message reçu Vérifier contrôle d intégrité du plaintext déchiffré : Calculer CRC32(C') puis ICV(CRC32(C')) Comparer ce checksum avec celui reçu 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 21 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 22 WEP : l'authentification L'authentification est réalisée en vérifiant que la partie qui demande à s'authentifier possède bien la clé WEP Le point d'accès envoie un challenge aléatoire de 128 octets à partir duquel la station désireuse de s'associer devra construire une trame de réponse correctement chiffrée à renvoyer. Il suffira alors à l'ap de vérifier le bon déchiffrement de cette trame. Les problèmes... Le protocole WEP souffre de problèmes de conception La rotation des clés se fait sur 24 bits L intégrité est vérifiée avec un CRC32 Les données protégées fournissent des clairs connus L utilisation de RC4 ne respecte pas les contraintes Tout ceci conduit à des attaques qui permettent de mettre à mal la sécurité du réseau sans fil Alors.. WEP ou... Weak Encryption Protocol... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 23 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 24

7 Les problèmes... Wep n'inclue aucun mécanisme permettant d'empêcher le rejeu ou l'injection arbitraire de données; CRC32 est généralement utilisé pour détecter erreurs transmissions... CRC32 n'a pas les propriétés nécessaires pour assurer un bon contrôle d'intégrité, en particularité à cause de sa linéarité. XOR est également linéaire le contrôle d'intégrité ne fonctionne donc pas. l'authentification est unilatérale. Un AP malicieux pourrait transformer un client en oracle en lui fournissant des messages à chiffrer sous forme de challenge Le mécanisme d'authentification entraîne l'envoie du challenge d'abord en clair, puis chiffré. attaque en clair connu qui nous permet d'extraire suffisament de données pour pouvoir répondre à n'importe quel challenge, et donc nous 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 25 authentifier sans connaissance préalable de la clé. Authentification?? G le challenge et R sa réponse R = RC4(IV K) XOR (G ICV(G)) RC4(IV K) = R XOR (G ICV(G)) Un attaquant ayant observé une authentification connait R et G et peut donc déduire la valeur de RC4(IV K)!! S'il reçoit un nouveau challenge G', il calculera sa réponse R' en réutilisant le même IV et donc cette sortie de RC4 : R' = RC4(IV K) XOR (G' ICV(G')) L'authentification n'est donc pas efficace!! 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 26 Et le chiffrement?? trois règles de bases dans l'utilisation de RC4 : ne jamais utiliser deux fois la même clé dans le même contexte ; jeter les 512 premiers octets de la sortie RC4 pour éviter les problèmes liés à l'utilisation de clés faibles ; ne pas chiffrer plus de 2^36 octets de données avec la même clé. Problèmes du RC4 La seule partie changeante de la clés est l'iv ce qui nous donne un espace de clés de 24 bits seulement. théorème des anniversaires ==> une collision de clé a 99% de chances de se produire après l'envoi de seulement trames. La première règle n'est donc pas respectée fuites d'information utilisables pour réduire l'effort nécessaire à la découverte de la clé. Si deux trames C et C' sont chiffrée avec le même IV, on aura : Ces règles sont ils respéctées? 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 27 P = RC4(IV K) XOR (M ICV(M)) P' = RC4(IV K) XOR (M' ICV(M')) En posant C = M ICV(M), on obtient : P XOR P' = C XOR C' 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 28

8 Problèmes du RC4 Recap : vulnérabilités du RC4 Et La deuxième règle (clés faibles)? il se trouve qu'on reconnait les clés faibles à leurs trois premiers octets!! c'est à dire l'iv, qui est transmis en clair dans l'entête de la trame. La simple observation du trafic permet donc de repérer les trames chiffrées avec des clés faibles WEP présentent plusieurs vulnérabilités, dont certaines sont structurelles et inehrente au protocole lui même : 1.Problèmes du mécanisme d'authentification, Problèmes de l'utilisation du CRC32 ou encore 3.Possibilités de rejeu/injection. et ensuite d'attaquer RC4... Et La troisième (clés ) règle? WEP n'a aucune condition d'arrê!! Your Wireless Network Has No Clothes [ASW01] Et ce n'est pas tout!!!! 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 29 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 30 Autres attaques... On a déjà vu qu'une faille dans le mécanisme d'authentification permettant à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de manière à s'authentifier sans pour autant être en possession de la clé WEP La sortie RC4(IV K) qu'il récupère est en effet longue de 144 octets, ce qui est largement suffisant pour chiffrer quelques requêtes, comme un requête ARP ou HTTP par exemple. L'attaquant est donc en mesure, à partir de l'observation d'une authentification, d'injecter des paquets cohérents dans le réseau, pouvant ainsi commencer à le stimuler pour faire de la découverte... Autres attaques... On a déjà vu qu'une faille dans le mécanisme d'authentification permettant à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de manière à s'authentifier sans pour autant être en possession de la clé WEP La sortie RC4(IV K) qu'il récupère est en effet longue de 144 octets, ce qui est largement suffisant pour chiffrer quelques requêtes, comme un requête ARP ou HTTP par exemple. L'attaquant est donc en mesure, à partir de l'observation d'une authentification, d'injecter des paquets cohérents dans le réseau, pouvant ainsi commencer à le stimuler pour faire de la découverte... Il sera également en mesure de déchiffrer les 144 premiers octets de tout paquet chiffré avec l'iv en question Il sera également en mesure de déchiffrer les 144 premiers octets de tout paquet chiffré avec l'iv en question 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 31 Ouawww!! mais peut ont faire mieux? 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 32

9 La fragmentation : principe Nous disposons de cas de clair connu et la norme nous dit que chaque fragment de trame est chiffré individuellement Fragmentation : exploitation entêtes ARP, IP Nous connaissons les 8 premiers octets pour IP et ARP, donc au moins 8 octets de keystream (0xAAAA et 0xAAAA ) Principe de l attaque On récupère un keystream par clair connu On utilise ce keystream pour chiffrer des fragments d une même trame L AP réassemble et rechiffre la trame On récupère un keystream plus long par clair connu sur la trame émise par l AP C est une expansion de keystream[bhl06] Ouawww!! mais peut ont faire mieux? 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 33 Ok ok, mais peut on tout simpelment casser la clés? 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 34 Tables IV / Keystream K étant fixe, la valeur d un keystream ne dépend que de IV Idée : pour chaque IV possible, on essaye de récupérer le keystream correspondante Nous savons déjà récupérer 140 octets Nous pouvons générer du trafic arbitraire tout est bon pour générer des trames dont nous sommes capables de prédire le contenu les plus longues possibles Nous pouvons récupérer des keystreams plus longs Ainsi on aura construit une table associant à chaque IV la sortie RC4 correspondante sur la longueur maximale. Une telle table représente environ 25Go mais permet de déchiffrer/chiffrer n importe quelle trame à la volée. On peut accélérer l attaque en désassociant les clients... Plus généralement... La possession d un keystream permet : d injecter des données arbitraires sur le réseau de déchiffrer des morceaux de trames chiffrées avec même keystream Exploiter les keystreams C est un attaque très efficace et facilement exploitable dont les conséquences sont très intéressantes 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 35 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 36

10 Exploitation du CRC32 Exploitation du CRC32 Attaques par bit flipping Une attaque courante sur les protocoles cryptographiques On capture un contenu chiffré On modifie des bits du contenu On rejoue ce contenu et on observe la réaction Concrêtement, on peut manipuler l'équation produisant le payload chiffré lorsqu'on introduit une modification si M'= M Mod P' = RC4(IV K) (M' ICV(M')) = RC4(IV K) (M XOR Mod ICV(M XOR Mod)) = RC4(IV K) (M ICV(M)) XOR (Mod ICV(Mod)) = P (Mod ICV(Mod)) Attaques par bit flipping Une attaque courante sur les protocoles cryptographiques On capture un contenu chiffré On modifie des bits du contenu On rejoue ce contenu et on observe la réaction Parade? Ajouter une couche de contrôle d intégrité Idée : compenser la somme d intégrité... si nous disposons d'une trame chiffrée, le calcul d'une nouvelle trame modifiée ne dépend que de la modification qu'on veut apporter. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 37 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 38 Déchiffrement de paquet Attaques statistiques Arbaugh publie une première attaque contre WEP[ARB01] Korek publie une attque similaire[ko04b] avec un outil appelé Chopchop Capture d une trame multicast/broadcast Suppression du dernier octet de données 3Hypothèse sur la valeur de l octet supprimé Construction de la trame modifié par compensation de l ICV En 1995, Roos et Wagner[RW95] mettent en exergue un problème dans RC4 Il existe des classes de clés faibles Elles induisent des relations entre les états internes Si On peut en retouver des octets en étudiant les premiers tours[mir02] Ce problème n est pas pris en compte lors de la conception de WEP On regarde si l AP accepte la trame Très efficace sur les petits paquets comme ARP (10-20s par paquet). Reprise des travaux... En 2001, Fluhrer, Mantin et Shamir publient une attaque[fms01] basée sur ces travaux contre WEP, dite FMS 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 39 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 40

11 Description de la FMS Amélioration à la FMS Une clé faible est caractérisée par ses 3 premiers octets Les 3 premiers octets représentent IV Un IV faible est de la forme (B + 3) 0xFF k Les probabilités d avoir des IV faibles sont fortes : 1 sur pour des clés de 40bits, 1 sur 5000 pour 104 bits... L exploitation de ces résultats montrent qu on a 5% de chances de trouver un octet de clé si on a un IV faible Généralisation 60 trames faibles sont nécessaires pour dépasser 50% de En 2004, Korek publie une généralisation de la FMS[KO04a] L attaque est généralisée à tous les IV Le nombre de trames nécessaires est divisé par 2, voire 4 En 2007, d autres relations sont mise en exergue[kle06] et exploitée [PTW07] Le nombre de trames nécessaires tombe à 40000! Les 50% de chance de succès sont très rapidement dépassés! chances de succ`es pour un octet On a besoin d environ 4 millions de trames que la clé soit de 40 ou /01/08 Anas Abou El Kalam - Sécurité Wi-Fi 41 bits pour dépasser 50% 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 42 La FMS en pratique Agenda La mise en oeuvre la plus efficace utilise du rejeu de paquets et est publiée par Christophe Devine avec aircrack/aireplay[airc] Capture d une requête ARP Rejeu de la trame Génération d une réponse On boucle pour augmenter le trafic et collecter des trames Cassage de la clé WEP par FMS Temps de réalisation Récupérer une clé WEP est alors une question de minutes[wacr] Aircrack : permet, à partir d'une capture réseau contenant suffisament de paquets chiffrés avec des IV différents, de casser une clé en une 10e de s. Aireplay : stimuler de réseau, soit par injection de trames arbitraires avec Les réseaux Wi-Fi ouverts Le cas du WEP... Sécurité : x, WPA, WPA i Fonctionnement x, WPA, WPA i Différences WPA // WPA2 Failles... Compatibilités Règles bon usage Evolutions? Authentification Wi-Fi Aspects légaux Auditer son réseau Wi-Fi Bibliography les techniques 08/01/08 précédemment Anas évoquées, Abou El Kalam soit - Sécurité par Wi-Fi rejeu de trafic /01/08 Anas Abou El Kalam - Sécurité Wi-Fi 44

12 802.11x 802.1x WPA-EAP (ou WPA Enterprise ou EAPOL pour EAP Over Lan) S'applique au sans fil, mais aussi au filaire. Utilise un serveur d'authentification au lieu de la simple clé WEP. Chaque utilisateur sans fil possède ses propres login/pwd. L'intérêt pour une entreprise est de pouvoir réutiliser les comptes réseaux déjà existants (e.g., sur serveur LDAP ou serveur de domaine Microsoft). Pendant la phase d authentification La station ne peut accéder qu au serveur d authentification Tous les autres flux sont bloqués par l AP Les flux vers réseau interne sont permis seulement après authentification 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi x Avantages Clé spécifique pour chaque client Vraie confidentialité entre client et AP Renouvellement possible de clés Rend plus difficile la cryptanalyse Usage d un serveur d authentification (e.g., RADIUS) Administration centralisée Inconvénients Ecoute du trafic d authentification Attaque «man in the middle» Déni de service Complexité Besoin d un serveur d authentification Déploiement de certificats 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 46 Très nombreuses options possibles WPA Ne nécessite pas d'application web intermédiaire Ne nécessite pas de période de vulnérabilité Facile à déployer en env SOHO (e.g.,wpa-psk avec phrasepasse ) Recommandation transitoire[wpa] de la Wi-Fi Alliance (2003) issue des travaux en cours de l IEEE Pour être WPA le produit doit implémenter 802.1x & TKIP ==> WPA fournit Nouvelle authentification basée sur PSK ou 802.1x (dit WPA-EAP) Plusieurs méthodes d'authentification Nouvel algorithme de génération et de rotation des clés (TKIP) L IV passe de 24 à 48 bits... avec des vraies clés de 128 bits + MIC Mécanisme de gestion des clés (possibilité de modifier clé ++ fois/s) Nouvel algorithme de vérification d intégrité basé sur SHA1 avec séquencement appelé Michael La solution tient la route... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 47 WPA (Wi-Fi Protected Access) Avantages WPA introduit un véritable concept de session, absent dans WEP WPA adresse également les problèmes de rejeu et d'injection de trafic À l'issue de la phase d'authentification, chaque client se retrouve avec une clé de session propre qui servira à initialiser TKIP (Temporal Key Integrity Protocol) pour finalement chiffrer en RC4 Le filtrage des IVs faibles est standard La clé est renouvelée tout les paquets Inconvénient TKIP repose toujours sur RC4 (et donc ses faiblesses) WAP N'est pas applicable aux réseaux Ad-hoc. Temps de latence lors de la ré-authentification lors du passage d une borne à l autre 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 48 Problème pour applis Temps Réel

13 WPA2 et i WPA2 et i : authentification mutuelle i est un standard de l IEEE pour la sécurité Wi-Fi, ratifié en WPA2 est une recommandation de la Wi-Fi Alliance extraite de i WPA2 fournit Chiffrement au niveau liaison RSN (Robust Security Network) : negociation paramètres de sécurité Support des réseau Ad-Hoc Authentification mutuelle par secret partagé (WPA2-PSK ou WPA2 Personal) 802.1x (WPA2-EAP) via un RADIUS externe / EAP-TLS Gestion des clés : 4-way Handshake, Group Key Handshake, etc. Chiffrement avec AES (Advanced Encryption Standard)- CCMP AES: clés 128-bit, bloques 128-bit, mode Counter + CBC-MAC 48-bit Packet Number pour empêcher les rejeux RSNA Establishment Procedures Network and Security Capability Discovery Open System Authentication and Association EAP/802.1X/RADIUS Authentication 4-Way Handshake Group Key Handshake Secure Data Communications RSNA security analysis gives: can provide satisfactory authentication and key management could be problematic in Transient Security Networks (TSN) reflection attack could be possible if not implemented correctly Plus puissant que TKIP Vérification 08/01/08 d intégrité par Anas CCMP Abou El Kalam (Counter-mode/CBC-MAC - Sécurité Wi-Fi Protocol) 49 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 50 WPA2 et i : authentification mutuelle Supplicant UnAuth/UnAsso Auth/Assoc c 802.1X Blocked 802.1X No MSK PMK UnBlocked Key Blocked No New PTK/GTK Key Association EAP/802.1X/RADIUS Authentication 4-Way Handshake Group Key Handshake Data Communication Authenticator UnAuth/UnAsso Auth/Assoc c802.1x Blocked No PMK 802.1X UnBlocked Key Blocked New No PTK/GTK Key MS K Authentic a-tion Server (RADIUS) No MSK Key 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 51 WPA2 et i : 4 way handshake L'AP doit s'authentifier auprès du client Les clés pour chiffrer le trafic doivent être générées L'échange EAP (antérieur) fournit clés psecrête partagée PMK (Pairwise Master Key) PMK doit s'exposer le mois possible 4-way handshake est utilisé pour établir PTK (Pairwise Transient Key : 64 bits) PTK : PMK nonce AP nonce STA The résultat est soumis à une fonction de hashage Le handshake fournit également le GTK (Group Temporal Key), utilisé pour chiffrer / calculer MIC pour trafic multicast 1. AP envoie nonce à STA. Le client a mnt tous attributs pour générer PTK 2. STA envoie nonce avec MIC à AP 3. AP envoie GTK et N Sqce + MIC. Le N Sqce sera ulitisé pour trafic multicast / broadcast ==> les stations puisse détecter les rejeux 4. STA envoie confirmation à AP ote : PTK est utilisé pour générer 5 clés STA Génération PTK Snonce + MIC GTK + MIC ACK Anonce... PTK Derived Random GTK 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 52 AP

14 Différences Qlq failles Très peu de différences entre WPA et WPA2 WPA ne supporte pas les liens Ad-Hoc WPA ne possède pas la notion de RSN WPA2 permet les réauthentification rapide en cas de roaming WPA2 facilite la mixité des moyens de sécurité En dehors de cela, c est pratiquement la même chose. En particulier, on peut Chiffrer en AES sur WPA Chiffrer en TKIP avec WPA2 Des études sont été faites sur la sécurité WPA/WPA2 On peut retrouver une PSK faible (<20 chars)[mos03] L injection de demande d authentification écroule l AP[HM04] (DoS) L abus des contre-mesure contre le rejeu bloque le réseau (DoS) Attaque contre la TEK dans TKIP en 2105[MRH04] sans exploitation pratique Le trafic de gestion n est toujours pas protégé Cependant, rien ne vous prot`ege d attaque en DoS physique (réservation de bande passante, brouillage) 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 53 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 54 Compatibilité WPA Support WPA dans les OS du marché Windows XP SP1 + Patch (Windows Update) Windows XP SP2, Vista et 2003 Windows Mobile 2003 SE and 5.0 Autres Windows avec wpa supplicant autre client tierce-partie MacOS X 10.3 La plupart des drivers Linux avec wpa supplicant NetBSD et FreeBSD avec wpa supplicant Support AP pour Linux et FreeBSD hostapd Pas de support sous OpenBSD 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 55 Compatibilité WPA2 Support WPA dans les OS du marché Windows XP SP2 avec patch Windows 2003 avec patch Windows Vista Autres Windows avec wpa supplicant ou autre client tierce-partie MacOS 10.4 La plupart des drivers Linux avec wpa supplicant NetBSD et FreeBSD avec wpa supplicant Support AP pour Linux et FreeBSD avec hostapd Pas de support sous OpenBSD fabricants seulement proposent des matériels agréés WPA2 Cisco, Intel (dont les chipset Centrino), Broadcom, Realtek, Atheros et Instant802 Networks, RaLink 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 56

15 C/C Rappel des règles de bon sens Alors? Les portails ne sont pas une bonne solution Ni pour les clients Ni pour les gestionnaires de réseau WEP qui est cassé depuis longtemps et ne protège de rien Les solutions sont là x pour l authentification WPA/WPA2 pour la protection de la session Vous n avez pas confiance en WPA ou WPA2? Utilisez IPSEC! AES = algorithme de chiffrement standard du gouvernement américain AES (requis par i) est obligatoire dans certification FIPS FIPS est exigée dans marchés gouvernementaux américains et par ++ entreprises internationales dans appels offre sécurité 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 57 Positionner correctement les AP Bien régler la fréquence les AP ne doivent pas être liés aux réseaux de câbles, désactiver la diffusion du SSID dans les AP, et activer le masquage du SSID, désactiver la communication client-client dans le AP, changer les paramètres par défaut des AP (le SSID, les pwd, IP, etc.), mettre à jour en temps réel le firmare des AP et des cartes sans fil, activer le contrôle d accès au niveau MAC & IP (activer les deux), activer le chiffrement ( min de 128 ou de 256-bits), éviter l utilisation des clés secrètes WEP faciles à déviner, utiliser les AP gérant le WPA / WPA2 (TKIP, AES et 802.1X), désactiver le protocole DHCP sur les réseaux WLAN, surtout pour étendues observer la création de nouveaux AP car le pirate peut installer un AP jumeau vérifi er si les employés n installent pas des AP sans autorisation, installer un faux point d accès, afin de tromper l adversaire, sécuriser les AP contre un accès physique (... pirate qui remet params par défaut) 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 58 Rappel des règles de bon sens Sécuriser toutes les stations clientes et tous les serveurs (fermeture ports inutiles, pare-feu, IDS); malheuresement, certains logiciels clients (p. ex., 3Com) stockent la clé WEP sous la forme non codée dans le registre Windows IDS / firewall analyse des numéros de séquence, types bizarres des de diffusion générale MAC bizarres sur le réseau, par ex préfixes OUI (Organizationally Unique Identifier) non accordés par IEEE, Mettre en route les mécanismes classiques de sécurité IPSec, VPN, architecture sécurisé... Les drivers Wi-Fi présentent des failles... On peut atteindre le client directement L attaque visant le driver, on ne peut pas la filtrer Le driver écoute qu il soit associé ou non Beaucoup de travaux en ce moment, et pas mal de failles découvertes[but07] Surface vulnérable? Tout ordinateur avec un carte Wi-Fi active... les utilisateurs des réseaux WLAN doivent être authentifiés (VPN, SSH, 802.1X...) 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 59 C/C : évolutions La normalisation arrive enfin à maturité Transfert problème / solutions des bornes vers les commutateurs/serveurs Administration centralisée Attitude active et automatique face aux attaques Produits dimensionnés / adaptables pour l entreprise Conformes avec les normes en vigueur Fournissant des services adaptés aux besoins des entreprises Mais attention... Des failles dans les implémentations sont toujours possibles Des failles dans la configuration sont très souvent présentes Qls défis QoS, DoS, facilité admin,... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 60

16 Agenda Rappels : Archi d'authentification WPA2 Les réseaux Wi-Fi ouverts Le cas du WEP... Sécurité : WPA, WPA2 and i Servers d'authentification Wi-Fi Architectures d'authentification wifi EAP Protocoles d'authentification wifi : Vue d'ensemble RADIUS Aspects légaux Auditer son réseau Wi-Fi Bibliography WPA Personal permet de mettre en oeuvre une infrastructure sécurisée basée sur le WPA sans mettre en oeuvre de serveur d'authentification. Repose sur l'utilisation d'une clé partagée, appelées PSK pour Preshared Key, renseignée dans le point d'accès ainsi que dans les postes clients. Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur prédéfinie. En effet, le WPA permet de saisir une «passphrase», traduite en PSK par un algorithme de hachage. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 61 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 62 Rappels : Archi d'authentification WPA2 WPA Enterprise impose l'utilisation d'une infrastructure d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification, généralement un serveur RADIUS (Remote Authentication Dial-in User Service), et d'un contrôleur réseau (le point d'accès). Actuellement ce qu il y a de plus sûr en terme de sécurité. WPA s'appuie sur la famille 802.1x et le protocole EAP, extension du protocole PPP (Point-to-Point Protocol), qui peut supporter de nombreux mécanismes d authentification cartes à jeton, mots de passe à usage unique authentification par clé publique / cert utilisation cartes à puce. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 63 EAP (Extensible Authentification Protocol) L'authentification générée par WPA 2 est considérée comme forte quand elle est couplée à EAP, EAP authentifie le point d'accès avant de connecter l'utilisateur. L'U fournit cert que lui a transmis le point d'accès, qui en vérifie la validité EAP est conçu pour transporter des scénarios d'authentification 4 types de messages requête, réponses, succès, Échec 3 catégories d'acteur Supplicant : poste demandant accès réseau Authenticator : dispositif Wi-Fi relai (également client RADIUS) Serveur authentification : serveur implémentant solution RADIUS 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 64

17 EAP (Extensible Authentification Protocol) EAP (Extensible Authentification Protocol) EAP-MD5 Client (C) authentifié par Serveur (S) en utilisant mécanisme défi-réponse S envoie valeur aléatoire (défi), C calcul MD5 (défi pwd) qu il renvoie au serveur. S, qui connaît pwd, calcule sa propre empreinte, compare et valide ou non Ecoute trafic + attaque dictionnaire ==> trouver pwd LEAP (Lightweight EAP) méthode propre à Cisco Utilisation secrets partagés pour authentifier mutuellement S et C Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse EAP-TTLS (tunneled Transport Secure Layer) utilise TLS comme un tunnel pour échanger des couples attribut valeur à la PEAP (Protected EAP) très semblable à EAP-TTLS mais développé Microsoft Se sert d un tunnel TLS pour faire circuler de l EAP On peut alors utiliser toutes les méthodes d auth. supportées par EAP EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) C est la plus sûre. S et C ont leurs certificats qui va servir à les authentifier mutuellement Auth C peut se faire de différentes façons : A l aide d un certificat personnel associé à la machine, l authentification a lieu au démarrage de la machine. A l aide d un certificat personnel associé à l utilisateur l authentification a lieu après l entrée en session ("logon") de l utilisateur. Relativement contraignant car nécessité déployer PKI / IGC manière 08/01/08 de RADIUS11 servant Anas Abou à El l authentification. Kalam - Sécurité Wi-Fi 65 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 66 EAP : recap Exemple de protocoles d'authentification Architecture AAA (Authentification Authorization Accounting) Principaux protocoles d'authentification : TACACS, TACACS+, XTACACS Assez rependus, utilisent TCP ne sont pas des standards Kerberos Standard, dans Win 2000/3 Active Directory, déploiement/interopérabilité complexe RADIUS (Remote Authentification Dial In User Service) Standard, S'appuie sur UDP... Le plus approprié 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 67 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 68

18 RADIUS : propriétés RADIUS : ex de fonctionnement globale Protocole de transport des infos d'authentification Standard : RFC (2138 : aspect authentification, 2139 : suivi activités). Gratuit, et son code est public et c'est un protocole ouvert. Fonctionnement basé sur C/S chargé de définir accès utilisateurs distants Serveur RADIUS (sous Win/Linux) relié à une base d'identification Client RADIUS appelé NAS (Network Access Server) faisant office d'intermédiaire entre l'utilisateur final et le serveur. UDP ==> Fiabilité transport port UDP 1645 pour authentification 1646 pour suivi activités L' transactions est chiffré et authentifiée grâce à une clé partagée Mécanisme utile lorsqu'une entreprise veut externaliser la gestion de l'accès distant tout en gardant le contrôle sur sa sécurité. Un serveur RADIUS peut jouer rôle de client pour un autre serveur RADIUS ++ possibilités: succès/échec tentative d'authentification peut dépendre du : serveur d'accès depuis lequel requête a été envoyée, heure, Le NAS envoie la requête de connexion par l utilisateur x. Le serveur interroge le LDAP de l école pour vérifier l identité du client. L authentification a-t-elle fonctionné. Le serveur renvoie ACCEPT ou REJECT au NAS Si l authentification est réussie, le NAS laisse passer le client vers le réseau et ce dernier obtient une adresse IP grâce au serveur DHCP. Possiblilité 08/01/08 de définir restrictions Anas Abou El pour Kalam transactions - Sécurité Wi-Fi / ajouter fonctionalités 69 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 70 RADIUS : fonctionnement 1 Utilisateur qui souhaite établir connexion, contacte serveur d'accès distant : remote access server (RAS) ou network access (NAS) qui est client RADIUS L'utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance au serveur d'accès (requête de type access-request) : son login et son mot de passe. Le NAS achemine la demande au serveur RADIUS Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. RADIUS retourne une des quatre réponses suivantes : ACCEPT : l'autorisation est acceptée, des informations supplémentaires comme l'adresse IP ou le masque de réseau sont envoyées. REJECT : le nom d'utilisateur et le mot de passe sont erronés. CHALLENGE : le serveur souhaite plus d'informations CHANGE PASSWORD : le serveur demande un nouveau mot de passe Après avoir sélectionné un protocole d'authification, il faut déterminer la manière 08/01/08 dont on va s'authentifier. Anas Abou El Kalam - Sécurité Wi-Fi 71 pwd statique, OTP, carte à puce, clé USB, biométrie,... RADIUS : cas d'1 auth. Par pwd dynamique Serveur envoie un challenge (numéro) à l'utilisateur. L'utilisateur génère un nouveau pwd en utilisant son authentificateur L utilisateur envoie ensuite un access-request contenant le pwd généré. Serveur vérifie infos reçues et renvoie : access-accept ou access-reject Clients autorisés à émettre requête vers serveur sont identifiés et clef partagée (secret). Chiffrement pwd : MD5 (secret) XOR pwd Note Un certain nombre de fonctions de suivi d'activité sont définies dans la norme (accounting-request/accounting-response). Suite à la phase dite d'authentification débute une phase d'autorisation 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 72

19 RADIUS :choix solutions Agenda FreeRADIUS * Aradial WiFi * Bridgewater Wi-Fi AAA * Cisco Secure Access Control Server * Funk Odyssey * IEA RadiusNT * Infoblox RADIUS One Appliance * Interlink Secure.XS * LeapPoint AiroPoint Appliance * Meetinghouse AEGIS * OSC Radiator Les réseaux Wi-Fi ouverts Le cas du WEP... Sécurité : WPA, WPA2 and i Authentification Wi-Fi Limites Aspects légaux Auditer son réseau Wi-Fi Bibliography * Vircom VOP Radius... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 73 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 74 Aspects légaux Chercher à s'introduire dans un SI tombe sous le coup de la loi Godefrain: "Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatise de données sera puni d'un emprisonnement de 2 mois à un an et d'une amende de F à F ou de l'une de ces 2 peines seulement." Le seul fait d'entrer dans le système sans qu'il y ait lieu à considérer le but poursuivi ou les conséquences possibles, est incriminable en temps que tel. Le maintien volontaire dans un système d'autrui est incriminable. Exemples : Piratage d'un compte d'un autre utilisateur en utilisant un faux login Tentative de connexion à un système en utilisant combinaisons login/pwd Recherche d'infos afin de contourner mécanismes sécurité. Bien entendu, rien ne vous empêche de tester la sécurité de votre réseau afin de corriger les éventuelles failles de ce dernier. Agenda Les réseaux Wi-Fi ouverts Le cas du WEP... Sécurité : WPA, WPA2 and i Authentification Wi-Fi Limites Aspects légaux Auditer son réseau Wi-Fi Bibliography 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 75 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 76

20 Diagnostic vulnérabilités Agenda Netstumbler (Win, PDA, Pocket PC), Kismet (Linux, Win 32) - Découverte des réseaux Wi-Fi sous windows - Couplé avec un GPS, il est possible de réaliser des cartes. Ethereal (win, Linuw), tcpdump, airodump - Une fois la libpcap à jour, ils peuvent écouter/scanner/capturer le Airjack, Aeropeek.exe (Win) - injection paquets / forger trames désauthentification/désassociaon Aireplay - envois paquets afin de stimuler le reseau et capturer plus de paquets Aircrack - à partir des infos capturées à l'aide d'airodump va trouver la clef Les réseaux Wi-Fi ouverts Le cas du WEP... Sécurité : WPA, WPA2 and i Authentification Wi-Fi Limites Aspects légaux Auditer son réseau Wi-Fi Bibliography 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 77 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 78 Biblio Travaux de Cédric Blancher [IEEE04a] IEEE Std 802.1x, Port-Based Network Access Control, 2004, [IEEE99] ANSI/IEEE Std ,Wireless LAN Medium Access Control and Physical Layer Specifications, 1999, [IEEE04b] IEEE Std i, Medium Access Control Security Enhancements, 2004, [WPA] Wi-Fi Protected Access, access archive [WPA2] Wi-Fi Protected Access 2, access.asp [RW95] A. Roos and D.A. Wagner, Weak keys in RC4, sci.crypt Usenet newsgroup [WAL00] J. Walker, Unafe at any key size ; An analysis of WEP encapsulation, 2000, [ASW01] W.A. Arbaugh, N. Shankar and Y.C.J. Wan, Your Wireless Network Has No Clothes, 2001, waa/wireless.pdf [FMS01] S. Fluhrer, I. Mantin and A. Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, 2001, aboba/ieee/rc4 ksaproc.pdf [MIR02] I. Mironov, (Not so) Random shuffles of RC4, 2002, [MOS03] R. Moskowitz, Weakness in Passphrase Choice in WPA Interface, 2003, [HM04] C. He and J.C. Mitchell, 1 Message Attack on 4-Way Handshake, 2004, aboba/ieee/ i-1- Biblio [MRH04] V. Moen, H. Raddum and K.J. Hole, Weakness in the Temporal Key Hash of WPA, 2004, attack.pdf [KLE06] A. Klein, Attacks on the RC4 stream cipher, klein/rc4/rc4-en.ps [BHL06] A. Bittau, M. Handley and J. Lackey, The Final Nail in WEP s Coffin, [DNG06] L.K Deleuran, T.L Nielsen and H. Gammelmark, Insecurity of the IEEE Wired Equivalent Privacy (WEP) standard, ivan/cryptology-wep.pdf [PTW07] A. Pyshkin, E. Tews and R.P. Weinmann, Breaking 104 bit WEP in less than 60 seconds, [ABOB] Bernard Aboba, The Unofficial Security Web Page, aboba/ieee/ [WIFI] Wi-Fi Alliance, [MISC] MISC Magazine, [WACR] Cracking WEP in 10 minutes with WHAX, [ARB01] W.A. Arbaugh, An Inductive Chosen Plaintext Attack against WEP/WEP2, 2001, waa/attack/v3dcmnt.htm [BLA02] C. Blancher, Switched environments security, a fairy tale, 2002, LSM02 ARP.pdf [BLA03] C. Blancher, Layer 2 filtering and transparent firewalling, 2003, LSM03 L2 Filter.pdf [KO04a] Korek, [KO04b] Korek, Chopchop, 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 79 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 80