Ingénieur de recherche et développement en sécurité (Laboratoire Sécurité des Services et Réseaux, France Télécom Division R&D)

Transcription

1 LES LIAISONS SANS FIL DANS L'INDUSTRIE Les nouveaux mécanismes de sécurité dans les réseaux radio IEEE Mots clés Réseau, Sécurité, Wi-Fi, Wi-Fi Protected Access Par Laurent BUTTI Ingénieur de recherche et développement en sécurité (Laboratoire Sécurité des Services et Réseaux, France Télécom Division R&D) Depuis 2003, des améliorations majeures dans la sécurité des réseaux radio IEEE ont vu le jour. Elles sont maintenant en voie de démocratisation et vont se déployer progressivement dans les milieux résidentiels et industriels. Introduction Les mécanismes de sécurité prévus à l'origine dans la norme [IEEE et [IEEE ] ont rapidement révélé des problèmes majeurs qui rendent leur utilisation tout aussi compliquée qu'inefficace : c'est la faillite consommée en 2000 et 2001 des mécanismes de sécurité connus sous le nom de Wired Equivalent Privacy (WEP). En effet, des failles conceptuelles dans la spécification originelle ont montré sa friabilité jusqu'à être complètement cassées en 2001 [FMS]. De 2001 à 2003, les nouveaux mécanismes de sécurité n'étant pas encore suffisamment matures, il a fallu s'appuyer sur des solutions techniques tierces afin de proposer des accès sécurisés via des réseaux Wi-Fi. Cependant, la récente arrivée du standard Wi-Fi Protected Access (WPA) est en train de changer la situation en permettant la démocratisation de technologies de sécurité robustes. Les produits sont maintenant disponibles chez la plupart des constructeurs, et il devient possible de déployer ces technologies dans des contextes résidentiels et industriels. 2. Préliminaires Les problèmes de sécurité de la norme IEEE Cette partie résume les failles de sécurité découvertes sur les mécanismes de sécurité spécifiés dans la norme IEEE :. Pas de but précis : IEEE énonçait uniquement que le protocole WEP était «intended to provide functionnality for the wireless Local Area Network (LAN) equivalent to that provided by the physical security attributes inherent to a wired medium» ;. Pas de mécanisme d'authentification robuste : les deux mécanismes d'authentification, le premier ESSENTIEL SYNOPSIS Les nouveaux mécanismes de sécurité normalisés dans le groupe de travail IEEE i ont été conçus pour être à la fois robustes et flexibles ;. Ces nouveaux mécanismes ont commencé à être disponibles depuis l'arrivée de Wi-Fi Protected Access (VVPA) ; Selon le contexte de déploiement, les contraintes sur le support côté client et les mécanismes de hand-over doivent être étudiés avec attention.. New wireless security standards currently being standardized in IEEE are i designed to be both robust and flexible ; e These new wireless security mechanisms are beginning to be available since WPA specification ;. Regarding the deployment context, client support and handover mechanisms constraints must be carefully evaluated.

2 Les nouveaux mécanismes de sécurité dans les réseaux radio IEEE ouvert (i.e. pas d'authentification) et le deuxième par secret partagé entre le client et le point d'accès qui présente une faiblesse intrinsèque, ne remplissent pas le besoin d'authentification robuste ; Pas de mécanisme de confidentialité et d'intégrité robuste : le protocole WEP basé sur l'algorithme Rivest Cipher 4 (RC4) souffre de défauts majeurs qui ont été identifiés en 2000 et 2001, ces failles de sécurité permettent par exemple de réaliser des attaques par injection de paquets ou de récupérer le secret partagé menant à la compromission de la confidentialité de la voie radio dans des temps raisonnables (de l'ordre de l'heure en pratique) ; Pas de mécanisme de distribution de clé dynamique : le secret partagé doit être distribué manuellement entre tous les points d'accès et cartes clientes, ce qui pour des raisons logistiques, n'est réalisable que dans un contexte avec très peu d'équipements. En effet, la compromission d'un secret partagé compromet entièrement la sécurité de l'infrastructure Le groupe de travail i de IEEE Conscient des problématiques de sécurité soulevées dans la partie précédente, le groupe de travail IEEE a créé le sous-groupe «IEEE 802.lli», lui donnant la responsabilité du domaine «Medium Access Control Security Enhancements». Son but est de spécifier les nouveaux mécanismes de sécurité pour les réseaux de type IEEE et de proposer des solutions aux faiblesses découvertes dans la spécification originelle. Ce groupe de travail propose donc de résoudre les failles de sécurité historiques en définissant :. Un but précis : permettre une communication sécurisée sur un lien non sécurisé ;. Deux mécanismes d'authentification robustes : «Pre-Shared Key» (PSK), et «Extensible Authentication Protocol» (EAP) ;. Deux mécanismes de confidentialité et d'intégrité robustes : «Temporal Key Integrity Protocol» (TKIP), et Counter Mode CBC-MAC Protocol» (CCMP) ;. Un mécanisme de distribution de clé dynamique : basé sur «Port Based Network Access Control» (IEEE 802. lx') ;. Un ensemble de procédures pour établir une communication sécurisée : «Robust Security Network Association» (RSNA). Ce standard a beaucoup évolué au fur et à mesure des efforts réalisés dans les différentes réunions, et a récemment été approuvé 2 en juin L'entité de certification d'interopérabilité : la Wi-Fi Alliance La Wi-Fi Alliance est une entité de certification qui a pour but de spécifier des standards d'interopérabilité et un label de certification. Elle permet d'assurer une compatibilité entre les équipements Wi-Fi (points d'accès et cartes clientes). Les membres de la Wi-Fi Alliance sont essentiellement des constructeurs, car la certification l'interopérabilité Wi-Fi leur apporte un label reconnu assurant de leurs produits L'évolution court terme : Wi-Fi Protected Access Alliance WPA est une spécification publiée par la Wi-Fi en novembre En publiant cette spécification, la Wi-Fi Alliance proposait une solution comprenant des fonctionnalités de sécurité issues de travaux de normalisation dans IEEE 802.lli, sans attendre son adoption. WPA est donc un sous-ensemble de la norme IEEE 802.lli Draft 3.0 (version draft à la date de novembre 2002), qui reprend les éléments comme étant jugés les plus stables à la date de la spécification. WPA comprend :. Deux mécanismes d'authentification robustes : «Pre-Shared Key» (PSK), et «Extensible Authentication Protocol» (EAP) ;. Un mécanisme de confidentialité et d'intégrité robuste : «Temporal Key Integrity Protocol» (TKIP) ;. Un mécanisme de distribution de clé dynamique : basé sur «Port Based Network Access Control» (IEEE X). De plus, WPA doit remplir les fonctions suivantes :. Il doit être «backward-compatible» : compatibilité en mode historique WEP ;. Il doit pouvoir être disponible sur les équipements historiques : avec possible mise à jour logicielle des cartes et points d'accès. La spécification WPA a pour but d'apporter rapidement des mécanismes de sécurité robustes, facilement utilisables avec les cartes et point d'accès déjà existants (mise à jour software), et ce pour couvrir les différents contextes de déploiement : entreprise, hot spots, et résidentiel. Ce standard est communément appelé WPAI. Suite à la ratification récente de l'ieee i, la Wi-Fi Alliance proposera certainement un nouveau standard, IEEE s'appuie i sur ce standard approuvé en Accessible sur http ://grouper.ieee.org/c.roups/802/1 1/pi ivate/draft-standards/11 i/p i-d 1 O.O.pdf No 10

3 LES LIAISONS SANS FIL DANS L'INDUSTRIE e? L==M 0-e ib)? - - Client Access Point Méthode d'authentification EAP EAP over AAA Serveur d'authentification Méthode d'authentification EAP Figure 1. Schéiiia d,iiithentli (,-citioii, par EAP. WPA2, qui sera basé sur la norme IEEE i ratifiée. Il sera donc possible, en fonction de l'état de la disponibilité des produits, de choisir entre WPAL et WPA La certification de la Wi-Fi Alliance réseau, ce qui permettra ensuite l'établissement de clés de session pour la paire client/point d'accès ; le client et le réseau pourront alors communiquer de manière sécurisée grâce aux protocoles de confidentialité et d'intégrité utilisant ces clés de session. Cette méthode d'authentification fait intervenir une entité d'authentification dans le réseau. La certification WPA apporte les mêmes garanties que la certification originelle Wi-Fi par la Wi-Fi Alliance. Elle permet de valider l'interopérabilité entre les différents produits sur les aspects sécurité propres à la spécification WPA en plus des aspects classiques de la certification Wi-Fi. Les nouveaux produits certifiés Wi- Fi à fin août 2003, doivent aussi être certifiés WPAI. L'état actuel des produits certifiés WPA est disponible à l'adresse suivante : http :// TID=2. Cette certification obligatoire des nouveaux produits t permet une démocratisation à base de WPA. plus rapide des technologies 3. Les mécanismes de sécurité de IEEE i 3.1. L'authentification et le contrôle d'accès Deux mécanismes d'authentification sont définis dans la spécification Extensible Authentication Protocol (EAP) Protocole de transport d'authentification standardisé par l'internet Engineering Task Force (IETF). Il permet à la fois d'apporter une couche d'abstraction pour l'authentification et d'encapsuler la méthode d'authentification la plus adaptée selon le contexte. A la suite de cette authentification, une Pairwise Master Key (PMK) est générée par paire client et serveur d'authentification) sur le Cette méthode d'authentification est adaptée quelle que soit la situation (en utilisant la méthode d'authentification la plus pertinente), adéquate (serveur d'authentification mais nécessite une infrastructure sur le réseau). Actuellement, de nombreuses méthodes d'authentification EAP sont standardisées ou en cours de standardisation à l'internet Engineering Task Force (IETF), dont les plus connues :. Transport Layer Security (EAP-TLS) : méthode d'authentification mutuelle par certificat ;. Protected EAP (EAP-TLS-EAP) ou Tunneled TLS : méthodes d'authentification du serveur par certificat, et encapsulation d'une autre méthode d'authentification dans le tunnel sécurisé TLS : elle ont pour but de fournir une méthode d'authentification mutuelle à complexité asymétrique (typiquement un identifiant/mot de passe pour l'authentification du client) ;. Microsoft Challenge Handshake Authentication Protocol (EAP-MS-CHAPv2) : méthode d'authentification par identifiant/mot de passe ;. Pre-Shared Key (EAP-PSK) : méthode d'authentification mutuelle par secret partagé ;. Subscriber Identity Module et Authentication and Key Agreement (EAP-SIM et EAP-AKA) : méthodes d'authentification les mécanismes d'authentification Pre-Shared Key (PSK) mutuelles reposant sur GSM et UMTS. Clé partagée entre les utilisateurs de confiance sur un même réseau Wi-Fi et les points d'accès. C'est en fait l'équivalent de l'authentification par secret partagé qui j Le serveur d'authentification est généralement basé sur un protocole Authentication Authorization Accounting (AAA) comme le Remote Access Dial User In Service (RADIUS). N 10

4 Les nouveaux mécanismes de sécurité dans les réseaux radio IEEE [ : iil 1 TTLS ou E : :] - AKA/SIM MSCHAP v2 Méthodes EAP EAP Couche EAP 1 EAP Couche EAP Figure 2. Les méthodes d'aiitheiitificatioiz EAP Couche lien (EAP) depuis le client vers le réseau (et vice-versa) afin de laisser se dérouler la procédure d'authentification ; «Port contrôlé» : il est en position ouverte avant toute authentification et se ferme si l'authentification a réussi, à la suite d'une notification du serveur d'authentification, afin de laisser passer les trames de données (autres que EAP). 1 En conséquence, à la suite de l'authentification, le processus d'autorisation est ensuite réalisé, via la norme IEEE X, au niveau 2 (les couches supérieures seront alors montées si, et seulement si, l'authentification a réussi). était présente dans la spécification IEEE originelle. La principale différence est que cette PSK est issue d'une dérivation en fonction de plusieurs paramètres connus : Service Set IDentifier (SSID), longueur du SSID et d'une graine 5. Cette PSK est alors assimilée à la PMK, qui permet ensuite l'établissement de clés de session pour la paire client/point d'accès ; le client et le réseau pourront alors communiquer de manière sécurisée grâce aux protocoles de confidentialité et d'intégrité utilisant ces clés de session. En pratique, l'utilisateur et l'administrateur introduiront un secret commun (ou graine) dans les équipements (logiciel client et point d'accès), qui permettra de générer une PSK. Cette méthode d'authentification ne fait pas intervenir d'entité dans le réseau. Cette méthode d'authentification est quant à elle parfaitement adaptée dans un milieu nécessitant une simplicité et une facilité de mise en oeuvre dans un environnement fermé (au sens nombre d'utilisateurs et d'équipements très limité). Le contrôle d'accès est réalisé grâce à la norme IEEE X qui définit les notions suivantes : Port contrôle (laisse passer les trames de données versle réseau lorsque 1 autheiitificaticn a reussu LAN ou WLAN Figiti-e 4. Foiictioiiiieiiieiit de IEEE 802. IX Les échanges de clés Port non contrdlé (laisse passer les trames d'authentification EAP vers le serveur d'authentification) Un nouveau mécanisme d'échange de clés en deux c phases est défini «4-way handshake» dans la spécification. Il permet l'établissement d'une hiérarchie de clés, qui sera utilisée pour la confidentialité et l'intégrité de la voie radio pour le trafic unicast «Group key handshake» / Il permet l'établissement d'une hiérarchie de clés, qui sera utilisée pour la confidentialité et l'intégrité de la voie CD radio pour le trafic multicast. Pre-Shared Key Pre-Shared Key Ce nouveau mécanisme permet de s'assurer : que les clés générées sont bien fraîches (non rejouées), que le client et le point d'accès discutent bien entre eux (pas d'homme au milieu), et que la hiérarchie a bien été dérivée de la même manière sur chacun des deux côtés (validation). Figtire 3. S (héiiia d'aittheiitificcitioiz lcii- PSK La confidentialité et l'intégrité 9 «Port non contrôlé» : il est toujours en position fermé et laisse passer les trames d'authentification Deux nouveaux mécanismes de confidentialité et d'intégrité ZD sont définis dans la spécification : 4 QLli coi-iespoiid ali noiii du réseau IEEE La graine représente les informations qui seront rentrées par l'utilisateur et l'administrateur. Nc 10

5 LES LIAISONS SANS FIL DANS L'INDUSTRIE TA (represented as VVEP - Phase 1 TTAK IV key + RC mixing Phase 2 -IV TSC key mixing RU 4 key Ciphertext DA + SA + WEP MPDU WEP seed 4 key) Priority + Encapsulation Plaintext MSDU Data Fragment (s) MIC I<ey Prionty + Plaintext Plaintext MSDU + MICM! C (s) Ciphertext Figure 5. Encapsalatiof2 TKIP (Source : IEEE). MAC header x Construct Consuct MD Plaintext MPDU Encrypted - Cotisttuct ccm Data, MIC Encrypted MPDU Nonce encryption Nonce encryption I Data TK " PN Increment PN Keyld CCMP header Construct Figtire 6. Eiii,apsitlatioii CCMP (Source : IEEE) Temporal Key Integrity Protocol Il permet de pallier toutes les faiblesses connues sur le protocole WEP. Ce protocole utilise le même algorithme de chiffrement que pour le protocole WEP, c'est-à-dire Rivest Cipher 4. Il utilise une fonction de mixage en amont sur le secret issu de l'authentification (qu'elle soit via EAP ou PSK) qui permet d'éviter les attaques pour récupérer le secret partagé. Il rajoute un compteur sur 48 bits (TKIP Sequence Counter) qui permet l'anti-rejeu. Le but, un Message Integrity Check qui permet d'assurer l'intégrité Counter Mode CBC-MAC Protocol Il n'a pas pour base le protocole WEP, comme c'est le cas de TKIP, car il est complétement nouveau. Il utilise l'algorithme Advanced Encryption Standard (AES) pour assurer la confidentialité et l'intégrité et utilise un compteur sur 48 bits (Packet Number) qui permet l'anti-rejeu. L'objectif d'avoir spécifié deux protocoles de confidentialité et d'intégrité est de pouvoir proposer deux évolutions : l'une à court terme, et l'autre à moyen terme. La première est d'utiliser un mécanisme de sécurité robuste (TKIP) fonctionnant sur du matériel historique qui ne supporte que l'algorithme de chiffrement RC4. En effet, il est alors possible (théoriquement) de mettre à jour les équipements (cartes clientes et points d'accès), par simple changement du firmware. Bien entendu, il faut s'assurer auprès du constructeur des possibilités des mises à jour des produits, qui relève en plus des contraintes de politique stratégique des constructeurs, des contraintes techniques. La deuxième est d'utiliser mécanisme de sécurité (CCMP) un considéré comme plus robuste que le premier (TKIP), mais qui utilise l'algorithme AES nécessitant généralement des cartes ou points d'accès récents. 4. Les contraintes d'utilisation 4.1. Le support côté client Côté client, le support des nouveaux mécanismes de sécurité intervient à plusieurs niveaux. Les firmware, driver et applicatif doivent supporter WPA pour que la

6 Les nouveaux mécanismes de sécurité dans les réseaux radio IEEE Cet encadré récapitule le déroulement d'une connexion client à un réseau, via un point d'accès, en respectant les mécanismes de sécurité de IEEE : i?. Le client recherche les réseaux Wi-Fi supportant les nouveaux mécanismes de sécurité ; 2. Le client s'authentifie (au sens IEEE , i.e. en mode ouvert) sur un point d'accès supportant les nouveaux mécanismes de sécurité ; 3. Le client s'associe sur ce même point d'accès ; 4. Le client et le réseau vont s'authentifier mutuellement ; 'Si authentification EAP : 4.1. Le réseau demande au client de s'authentifier ; Des échanges EAP ont lieu entre le client et le serveur d'authentification : c'est l'authentification mutuelle, 4.2. A la suite de ces échanges : Si l'authentification est réussie, alors une PMK est générée au niveau du client et du serveur d'authentification ; Si l'authentification a échoué, alors le client ne peut pas accéder au réseau Le serveur d'authentification envoie la PMK au-dessus d'un protocole AAA, permettant de notifier au point d'accès que l'authentification a réussi. 'Sf authentification PSK : La PMK est directement calculée de chacun des deux côtés dans le point d'accès et le client à partir d'informations connues à la fois du client et du point d'accès. 5. Création des clés unicast de chiffrement et d'intégrité grâce au 4-way handshake ; 6. Création des clés multicast de chiffrement et d'intégrité grâce au Group key handshake ; 7. Installation des clés de chiffrement chez le client et sur le point d'accès ; 8. Passage du port contrôlé de la position «non autorisé» à la position «autorisé» Le client peut alors monter les interfaces réseau (IP) et accéder aux services derrière le point d'accès. Svnt72èse des iié (,aizisiies de coiinexioii btisés sitr les iiiécaiii.çiiies de séci,trité d'ieee i chaîne soit totalement fonctionnelle. de la disponibilité Il faut donc s'assurer du support de WPA sur les systèmes d'exploitation et les équipements avant de déployer. Par exemple, actuellement seul Windows XP SPI supporte WPA, et par conséquent, le support de WPA sur des systèmes d'exploitations différents (2000, 98, ME) nécessite soit des développements spécifiques, soit l'utilisation d'un logiciel tiers. Ce point critique doit être soigneusement pris en compte en cas de choix de technologies à base de WPA Les impacts des mécanismes de sécurité sur le hand-over Le hand-over est le mécanisme permettant de se déplacer de manière transparente d'un point d'accès à l'autre. A cause des mécanismes d'authentification robustes, il est alors nécessaire de réaliser une authentification sur le nouveau point d'accès sur lequel le client va se connecter. Il en résulte donc des impacts en terme de rapidité de hand-over. WPA dans sa première version impose une re-authentification complète à chaque hand-over, tandis que IEEE 802.lli offre un mécanisme optimisé appelé le «PMK Caching» qui a pour but d'éviter une re-authentification complète à chaque hand-over, améliorant alors grandement les performances. Dans des milieux temps réel, ce paramètre est à prendre en compte avec précautions. 5. Conclusion Les nouveaux mécanismes de sécurité de IEEE i offrent de nouvelles perspectives pour les réseaux sans-fil. La contrepartie d'une sécurité accrue est évidemment la nécessité de disposer de capacités de traitement et de mémoire plus élevées ; cela peut être aujourd'hui un obstacle pour la généralisation de ces solutions dans les applications industrielles, mais il est fort probable que ces obstacles seront progressivement surmontés. Au fur et à mesure de leur démocratisation, les mécanismes de sécurité de IEEE i permettront des accès à la fois simples d'usage et sécurisés. La certification WPA obligatoire et la récente adoption du standard IEEE Ji contribuent au déploiement de ces nouvelles technologies : nul doute qu'elles feront partie du paysage des réseaux sans-fil.

7 LES LIAISONS SANS FIL DANS L'INDUSTRIE Références [FMS) [\A/PA) Fluhrer, Mantin, and Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, http.ilciteseer. ni. nec. comlfluhrero 1 weaknesses. html, July Wi-Fi Alliance, Wi-Fi Protected Access}, [IEEE http.llwww.wi-fi.org, IEEE, Wireless LAN Medium Access Control and Physical Layer [IEEE il Specification, http.llgrouper.ieee.orglgroupsl8o2ll 1. IEEE, Medium Access Control Security Enhancements, http,llgrouper. ieee. orglgroupsis [IEEE 802,lX IEEE, Port Based Network Access Control, http.llwww.ieeebo2.orglllpagesib02. lx.html, [EAP] [RC4] 1 [AES] ) IETF, Extensible Authentication Protocol, http.llwww,ietf.orglhtml.chartersleap-charterhtml. RSA Security, Rivest Cipher4, httpllwwwrsasecuritycom, Joan Daemen, Vincent Rijmen, Advanced Encryption Standard, a u httpllcsrc.nist.govicryptotoolkitlaeslrindaell. e u Laurent Butti est spécialiste à France Télécom Division R&D en tanl qlj'ingéieur secuité résea.x act,ei-neil coiti bl] é, au developpement du pôle audit de sécurrte. et est, maintenant Impliqué dans les technologies réseaux locaux sans' " Til Laurent Butti est intervenu dans plusieurs contérences sur le domaine des,'eseaux sans-fil (LSM, ToorCon, EUlosec, FIRSl SAR..) Il est actuellement en charge des activités SÉCLJI té IEE 802 Il au sein de FI'ance Télécom Division R&D