Outils libres d'audit et d'intrusion pour les réseaux Wi-Fi

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Solution Linux Paris 2006 Mardi 31 janvier 2006 Outils libres d'audit et d'intrusion pour les réseaux Wi-Fi Guillaume Lehembre <Guillaume.Lehembre@hsc.fr>

Plan Introduction au Wi-Fi Déroulement typique d'un test d'intrusion sur les réseaux sans fil Découverte de réseaux environnants Cassage de clé WEP et WPA[2] PSK Intrusion Attaques sur les postes clients Windows Conclusion - Recommandations Références - 2 -

Introduction Norme IEEE 802.11 (a/b/g) sur 2.4Ghz et 5 Ghz Succès du Wi-Fi : facilité de déploiement, mobilité Le Wi-Fi étend le réseau au delà des limites physiques de l'entreprise Accroît les risques de malveillance (écoute, intrusion, DoS, etc.) La sécurité globale du réseau Wi-Fi est primordiale Mécanismes de sécurité faillibles (WEP) mais toujours largement déployé Approche possible pour vérifier le niveau de sécurité : le test d'intrusion éventuellement couplé à un audit - 3 -

Déroulement d'un test d'intrusion Wi-Fi Tests d'intrusions souvent scénarisés «Boîte noire» pour tendre vers la «Boîte blanche» Déroulement typique d'un test d'intrusion Découverte des réseaux environnants Analyse des trames balises et des trames de données Analyse du trafic de clients légitimes Tentative de cassage de clés suivant le chiffrement choisi Connexion au réseau Attaques à partir du réseau sans fil Linux est LA plate-forme de choix pour conduire un test d'intrusion Pilotes multiples et adaptés, injection de trafic, outils classiques d'intrusion :-) - 4 -

Découvertes des réseaux environnants Utilisation de scanner passifs Plus lents que les scanner actifs mais indétectables Kismet (http://www.kismetwireless.net/) WiFiScanner (http://www.hsc.fr/ressources/outils/wifiscanner/) Et des antennes amplificatrices Directionnelles Omnidirectionnelles - 5 -

Découvertes des réseaux environnants Informations découvrables (trames balises) : Débits supportés Puissance des bornes Chiffrement utilisé (WEP, WPA[2] Personnel/Entreprise) Tags constructeurs Hostname des bornes (merci Cisco), rèvèle parfois sa localisation... Ne pas oublier d'analyser les éventuelles Probe Response! $ tethereal -r probe-response.cap -x -V [...] Vendor Specific Tag Number: 221 (Vendor Specific) Tag length: 22 Tag interpretation: WPA IE, type 1, version 1 Tag interpretation: Multicast cipher suite: TKIP Tag interpretation: # of unicast cipher suites: 1 Tag interpretation: Unicast cipher suite 1: TKIP Tag interpretation: # of auth key management suites: 1 Tag interpretation: auth key management suite 1: WPA [...] - 6 -

Cassage de clés Les protocoles de chiffrements WEP et WPA-PSK sont cassables : En moins de 10 minutes pour du WEP 128 bits en injectant du trafic En un temps raisonnable si la PSK (WPA[2]) est issue d'un mot de passe trivial Outils : Aircrack (http://freshmeat.net/projects/aircrack/) - v2.4 Weplab (http://freshmeat.net/projects/weplab/) - v0.1.2 Airsnort (http://airsnort.shmoo.com/) - v0.2.7e Outils introduisant l'optimisation proposée par KoreK se basant sur la capture d' «IV uniques» et non plus des «IV faibles» nécessitant la capture d'un trafic important - 7 -

Cassage de clés WEP Il suffit d'un seul paquet chiffré pour pouvoir casser le WEP et d'un client associé! Le paquet est décrypté grâce à l'attaque de KoreK Une requête ARP est forgée (en utilisant la suite chiffrante extraite) Cette requête est rejouée avec toujours l'iv du paquet décrypté La borne accepte la requête ARP (l'incrémentation de l'iv n'étant pas obligatoire dans le protocole WEP) et la rechiffre pour la transmettre au client associé (en incrémentant l'iv!) Il faut ~ 500 000 IV uniques pour pouvoir casser une clé WEP 128 bits Seul Aircrack est capable de faire de l'injection de paquets et uniquement sous Linux :-)! Nécessite des pilotes modifiés pour l'injection, uniquement avec les chipset Prism2/3, Prism54, Atheros, Ralink - 8 -

Pilotes Éviter d'utiliser les pilotes Wi-Fi du noyau Linux Privilégier la compilation manuelle de pilotes pour disposer d'une version récente permettant l'injection de trafic Principaux pilotes à avoir : Chipset Atheros : madwifi, madwifi-ng (http://madwifi.org) Chipset Prism 2/2.5/3 : Host AP (http://hostap.epitest.fi, ) Wlan-NG ( http://www.linux-wlan.org/) Hostapd permet de créer des bornes évoluées (support de nombreuses méthodes EAP, 802.1x, WPA, WPA2, etc.) - 9 -

Cassage de clés WPA[2] en mode PSK La fonction de génération de la PSK à partir d'un mot de passe empêche des attaques par dictionnaire efficaces ( peu de tentatives par secondes comparé à des attaques classiques) Nécessite la capture du 4-Way Handshake pour une attaque horsligne sur la PSK Possibilité avec Aircrack de désassocier un client légitime pour qu'il réinitie le 4-Way Handshake La PTK servant à dériver toutes les clés ne dépend que d'un élément secret : le mot de passe utilisé pour la génération de la PSK PSK PTK PRF utilisant HMAC-SHA1 KCK = clé assurant l'intégrité des messages du 4-Way Handshake KEK = clé assurant le chiffrement des messages du 4-Way Handshake - 10 - KCK KEK TEK TEK = clé assurant le chiffrement des données «utiles»

Cassage de clés WPA[2] en mode PSK Déroulement de l'attaque : 1. L'attaquant choisi un mot de passe (dictionnaire, etc.) 2. Calcule la PSK grâce au calcul normalisé puis la PTK 3. Dérive les différentes clés (KEK, KCK, TEK, etc.) 4. A partir de la KCK, l'attaquant recalcule le MIC du 2 nd message 1.Si le MIC calculé est identique au MIC du second message, le mot de passe utilisé pour la dérivation de la PSK est trouvé! 2.Sinon il faut choisir un nouveau mot de passe (retour à l'étape 1) PSK PSK * Informations publiques pour un attaquant * Champs fixes Choix aléa SNonce La STA dérive la PTK EAPoL-Key ANonce EAPoL-Key SNonce + MIC + STA RSN IE Choix aléa ANonce Assure l'intégrité du message grâce à la KCK L'AP dérive la PTK PSK = PBKDF2(passphrase, SSID, ssidlength, 4096, 256) PTK = PRF-X(PSK, «Pairwise key expansion», Min(AP_Mac, STA_Mac) Max(AP_Mac, STA_Mac) Min(ANonce, SNonce) Max (ANonce, Snonce)) - 11 -

Connexion au réseau Pour les cas simples (WEP statique), les Wireless Tools suffisent Pour le WEP dynamique, WPA, WPA2, il est nécessaire d'utiliser wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/) Beaucoup de réseaux audités implémentent du PEAP-MSCHAPv2 utilisation d'un mot de passe utilisateur et/ou machine possibilité de lancer des attaques par dictionnaire mais pas d'outils automatiques disponibles Message EAP Response Identity : - 12 - [...] 802.1X Authentication Version: 1 Type: EAP Packet (0) Length: 19 Extensible Authentication Protocol Code: Response (2) Id: 2 Length: 19 Type: Identity [RFC3748] (1) Identity (14 bytes): TestWi-Fi [...]

Intrusion Techniques similaires aux tests d'intrusions internes filaires (scan, divulgation anonyme d'informations, exploitation de failles, etc.) Tentatives de rebonds sur d'autres clients sans fils si l'établissement d'un VPN est nécessaire pour l'accès au SI Internet Relais applicatif Tête de tunnel VPN DNS Réseau interne - 13 -

Attaques sur les postes clients Windows Recherche automatiquement à s'associer aux «réseaux favoris» Même si le niveau de sécurité n'est pas le même! Effectue implicitement une requête DHCP une fois associé But de l'attaquant : Usurper la borne + Faire serveur DHCP Une ligne de commande sous Linux pour se transformer en borne! # iwconfig ath0 essid "test" channel 1 mode Master Problématique de la sécurité du poste client - 14 - Probe Request : «Maison» «Test_Wi-Fi» «John»... Association au réseau puis requête DHCP = connectivité IP = DANGER! «Maison» L'attaquant usurpe le SSID «Maison» (mode Infrastructure ou Ad-Hoc) et dispose d'un serveur DHCP

Conclusion Recommandations Le test d'intrusion permet d'évaluer la sécurité des réseaux sans fil Plate-forme idéale : Linux :-) Recommandations : Bannir l'utilisation du WEP ou l'implémenter avec une solution type VPN Privilégier dans la mesure du possible le WPA et le WPA2 Segmenter / Filtrer l'infrastructure Wi-Fi du réseau local Empêcher le trafic sans fil inter-clients Adapter la puissance des bornes Activer l'interface Wi-Fi au besoin sur les postes clients Garder un réseau filaire à portée...... le brouillage est si facile à faire... - 15 -

Références Normes IEEE 802.11a/b/g Norme IEEE 802.11i «Real 802.11 Security Wi-Fi Protected Access and 802.11i» John Edney & William A. Arbaugh Addison-Wesley ISBN 0-321- 13620-9 «Sécurité Wi-Fi : WEP, WPA, WPA2» - Guillaume Lehembre - hakin9 1/2006 (14), http://www.hsc.fr/ressources/articles/hakin9_wifi/index.html.fr - 16 -

Merci de votre attention Questions? http://www.hsc.fr - 17 -

Prochains rendez-vous Conférence ISO17799 / ISO27001 : 7 mars 2006 http://www.issafrance.org/ Formation ISO27001 Lead Auditor : 20-24 mars, Paris Certification ISO27001 Lead Auditor par LSTI http://www.hsc.fr/services/formations/ Rencontres Sécurité : 6 avril 2006, CNIT Paris-La-Defense http://www.rencontresecurite.com/ Formations SecurityCertified : 24-28 avril & 29 mai - 2 juin Permettant de passer la certification SCNP http://www.hsc.fr/services/formations/ - 18 -