Cédric Blancher Wi-Fi et Portails captifs 1/38 Wi-Fi et Portails captifs Principes et limitations Cédric Blancher cedric.blancher(at)eads.net EADS Innovation Works Computer Security research lab - EADS/CTO/IW/SE/CS Suresnes, France 10 mai 2007 Paris
Cédric Blancher Wi-Fi et Portails captifs 2/38 Au menu... 1 2 3 4 5
EADS Innovation Works Cédric Blancher Wi-Fi et Portails captifs 3/38 Laboratoire de recherche en Sécurité Informatique, Suresnes, France Quelques réalisations Publications Travaux sur le Blackberry Première étude approfondie de Skype Outils: Scapy[Scapy], Wifitap[Wifitap], rr0d[rr0d], etc.
Cédric Blancher Cédric Blancher Wi-Fi et Portails captifs 4/38 Ingénieur-Chercheur en charge du laboratoire de recherche en SSI Spécialisé en sécurité réseau Enseignant dans divers master(e)s Intervenant en conférences URLs... Site: http://sid.rstack.org/ Blog: http://sid.rstack.org/blog/
Cédric Blancher Wi-Fi et Portails captifs 5/38 Outline 1 2 3 4 5
Cédric Blancher Wi-Fi et Portails captifs 6/38 Hotspot Un réseau Wi-Fi ouvert, qui n offre donc aucune sécurité Accès non limité Pas de chiffrement Accès à Internet Nécessité de limiter/conditionner l accès au réseau Motivation... C est la seule configuration qui marche à tous les coups...
Cédric Blancher Wi-Fi et Portails captifs 6/38 Hotspot Un réseau Wi-Fi ouvert, qui n offre donc aucune sécurité Accès non limité Pas de chiffrement Accès à Internet Nécessité de limiter/conditionner l accès au réseau Motivation... C est la seule configuration qui marche à tous les coups...
Cédric Blancher Wi-Fi et Portails captifs 7/38 Portail captif Authentification tierce pour réseau ouvert... Trafic sortant interdit Trafic HTTP redirigé vers vers un portail Accès autorisé une fois enregistré Problèmatique... Comment différencier les clients enregistrés des autres?
Cédric Blancher Wi-Fi et Portails captifs 7/38 Portail captif Authentification tierce pour réseau ouvert... Trafic sortant interdit Trafic HTTP redirigé vers vers un portail Accès autorisé une fois enregistré Problèmatique... Comment différencier les clients enregistrés des autres?
Suivi des clients enregistrés Cédric Blancher Wi-Fi et Portails captifs 8/38 Un portail captif doit offrir une connectivité IP... Les éléments utilisables sont les identifiants réseau : adresse MAC adresse IP Mais... On peut usurper ces paramètres...
Suivi des clients enregistrés Cédric Blancher Wi-Fi et Portails captifs 8/38 Un portail captif doit offrir une connectivité IP... Les éléments utilisables sont les identifiants réseau : adresse MAC adresse IP Mais... On peut usurper ces paramètres...
Quid des clients? Cédric Blancher Wi-Fi et Portails captifs 9/38 Le réseau est ouvert... N importe qui peut y accéder Les communications ne sont pas chiffrées Aucune mesure de protection pour les clients Exposition Les clients peuvent être attaqués facilement
Quid des clients? Cédric Blancher Wi-Fi et Portails captifs 9/38 Le réseau est ouvert... N importe qui peut y accéder Les communications ne sont pas chiffrées Aucune mesure de protection pour les clients Exposition Les clients peuvent être attaqués facilement
Cédric Blancher Wi-Fi et Portails captifs 10/38 Outline 1 2 3 4 5
Limitations de sécurité des hotspots Les hotspots présentent des limitations Pour le gestionnaire de l infrastructure réseau Pour les clients du réseau Cédric Blancher Wi-Fi et Portails captifs 11/38
Cédric Blancher Wi-Fi et Portails captifs 12/38 Outline 1 2 3 4 5
Cédric Blancher Wi-Fi et Portails captifs 13/38 Le Rogue AP On monte un AP factice pour le réseau cible Même SSID Meilleure puissance perçue Interception des communications Permet de voler les login/passwords ou faire valider ses identifiants réseau
Usurper une adresse MAC Un réseau Wi-Fi est un domaine de collision Usurper une adresse MAC est trivial Pas de conflit au niveau MAC Prendre une IP différente Voir ifconfig, macchanger, etc. Cédric Blancher Wi-Fi et Portails captifs 14/38
Usurper une adresse IP Un réseau Wi-Fi est un réseau de type Ethernet Vulnérables aux attaques de niveau 2 Vulnérable à la corruption de cache ARP Possibilité d usurper une adresse IP Voir MISC n 3, arp-sk[arp-sk] Cédric Blancher Wi-Fi et Portails captifs 15/38
Usurper une adresse MAC et une adresse IP Un peu plus compliqué MAC et IP sont filtrés en sortie par le firewall Le cache ARP reconstruit les paquets entrant Incohérence entre deux couches possible Smarter Spoofing... Cédric Blancher Wi-Fi et Portails captifs 16/38
Usurpation de client On peut usurper l identité d un client enregistré Adresse MAC Adresse IP Pas de perturbation induite Mais... On peut également le désassocier et prendre sa place Cédric Blancher Wi-Fi et Portails captifs 17/38
Usurpation de client On peut usurper l identité d un client enregistré Adresse MAC Adresse IP Pas de perturbation induite Mais... On peut également le désassocier et prendre sa place Cédric Blancher Wi-Fi et Portails captifs 17/38
Autre problèmes D autres problèmes peuvent apparaître dans la mise en oeuvre Certificat pour l accès SSL à la page d enregistrement Faille dans l envoi des identifiants de connexion[fon] Encapsulation possible sur DNS[Nstx] Protection de l infrastructure de gestion Plages d adresses magiques Problèmes d application Web: modification des arguments, SQL injection, etc. Problèmes de configuration Etc. En résumé... Il y a mille façon de mettre en œuvre un portail captif vulnerable Cédric Blancher Wi-Fi et Portails captifs 18/38
Autre problèmes D autres problèmes peuvent apparaître dans la mise en oeuvre Certificat pour l accès SSL à la page d enregistrement Faille dans l envoi des identifiants de connexion[fon] Encapsulation possible sur DNS[Nstx] Protection de l infrastructure de gestion Plages d adresses magiques Problèmes d application Web: modification des arguments, SQL injection, etc. Problèmes de configuration Etc. En résumé... Il y a mille façon de mettre en œuvre un portail captif vulnerable Cédric Blancher Wi-Fi et Portails captifs 18/38
Cédric Blancher Wi-Fi et Portails captifs 19/38 Portail captif Le portail captif pêche par le suivi des clients enregistrés Impossibilité de prouver l identité d un utilisateur Possible répudiation des actions effectuées Risques juridiques résultant des actions effectuées Exposition d éléments de l infrastructure Donc... Les portails captifs ne constituent pas une bonne solution pour le gestionnaire d infrastructure
Cédric Blancher Wi-Fi et Portails captifs 19/38 Portail captif Le portail captif pêche par le suivi des clients enregistrés Impossibilité de prouver l identité d un utilisateur Possible répudiation des actions effectuées Risques juridiques résultant des actions effectuées Exposition d éléments de l infrastructure Donc... Les portails captifs ne constituent pas une bonne solution pour le gestionnaire d infrastructure
Cédric Blancher Wi-Fi et Portails captifs 20/38 Outline 1 2 3 4 5
Cédric Blancher Wi-Fi et Portails captifs 21/38 Réseau ouvert Un hotspot Wi-Fi est un réseau ouvert Écoute du trafic Attaques de niveau 2 et 3 Attaque directe des clients Manipulation du trafic Wi-Fi En somme... Le contexte est infiniment plus hostile qu avec un réseau filaire
Cédric Blancher Wi-Fi et Portails captifs 21/38 Réseau ouvert Un hotspot Wi-Fi est un réseau ouvert Écoute du trafic Attaques de niveau 2 et 3 Attaque directe des clients Manipulation du trafic Wi-Fi En somme... Le contexte est infiniment plus hostile qu avec un réseau filaire
Isolation de stations vise à interdire les communications entre stations Wi-Fi Tous les trafic Wi-Fi est relayé par l AP Si la trame vient du Wi-Fi et va sur le Wi-Fi, on la détruit Pas de communication WLAN à LAN Permet de résoudre le problème des stations qui s attaquent entre elles Cédric Blancher Wi-Fi et Portails captifs 22/38
Perturbation de trafic On peut écouter et injecter ce qu on veut Écoute passive du réseau Repérage de requêtes intéressantes Insertion de réponses adaptées malicieuses[airpwn] Applications... Détournement, failles de navigateur, failles DHCP, etc. Cédric Blancher Wi-Fi et Portails captifs 23/38
Perturbation de trafic On peut écouter et injecter ce qu on veut Écoute passive du réseau Repérage de requêtes intéressantes Insertion de réponses adaptées malicieuses[airpwn] Applications... Détournement, failles de navigateur, failles DHCP, etc. Cédric Blancher Wi-Fi et Portails captifs 23/38
Injection de trafic On peut injecter des trames arbitraires Sans passer le point d accès En usurpant une identité si besoin On peut toujours écouter les réponses Permet de contourner l isolation de stations Cédric Blancher Wi-Fi et Portails captifs 24/38
Communication complète On peut pousser le concept un cran plus loin On injecte des paquets On capture les réponses On traite les réponses Et on continue... Permet de communiquer malgré l isolation de stations[wifitap] Cédric Blancher Wi-Fi et Portails captifs 25/38
Sans compter les problèmes classiques... Toutes les communications peuvent être écoutées et interceptées Vol de données personnelles Vol d identifiants de connexion Phishing, Pharming, etc. Man In The Middle et manipulation de connexions Firewall mal configuré Etc. Cédric Blancher Wi-Fi et Portails captifs 26/38
Cédric Blancher Wi-Fi et Portails captifs 27/38 Récap... Les clients d un hotspot Wi-Fi sont très exposés Pas de confidentialité Pas d intégrité des flux Donc... L utilisation de hotspot Wi-Fi induit un risque important Elle suppose une période d exposition pre-enregistrement
Cédric Blancher Wi-Fi et Portails captifs 27/38 Récap... Les clients d un hotspot Wi-Fi sont très exposés Pas de confidentialité Pas d intégrité des flux Donc... L utilisation de hotspot Wi-Fi induit un risque important Elle suppose une période d exposition pre-enregistrement
Cédric Blancher Wi-Fi et Portails captifs 28/38 Outline 1 2 3 4 5
Cédric Blancher Wi-Fi et Portails captifs 29/38 Constat La plupart des hotspots Wi-Fi nécessitent un login/password Beaucoup d utilisateurs sont connus Ils disposent d identifiants pour l accès Offre distribuée géographiquement Repose sur un serveur d authentification On peut peut-être trouver mieux et plus simple?
802.1x et WPA/WPA2 Cédric Blancher Wi-Fi et Portails captifs 30/38 802.1x est un framework d authentification Multiples méthodes d authentification Authentification de niveau 2 Repose sur un serveur d authentification Ne nécessite pas d application Web intermédiaire Permet la génération de clés de chiffrement Ne nécessite pas de période de vulnérabilité Tout est là! La plupart des OS, drivers et AP du marchés supportent 802.1x, WPA et WPA2 L infrastructure d authentification est là
802.1x et WPA/WPA2 Cédric Blancher Wi-Fi et Portails captifs 30/38 802.1x est un framework d authentification Multiples méthodes d authentification Authentification de niveau 2 Repose sur un serveur d authentification Ne nécessite pas d application Web intermédiaire Permet la génération de clés de chiffrement Ne nécessite pas de période de vulnérabilité Tout est là! La plupart des OS, drivers et AP du marchés supportent 802.1x, WPA et WPA2 L infrastructure d authentification est là
Cédric Blancher Wi-Fi et Portails captifs 31/38 Bénéfices Pour le client Authentification immédiate de l infrastructure Pas de période non protégée Session chiffrée Pour le gestionnaire Authentification des utilisateurs Suivi efficace des clients Mais... Problèmes de compatibilité? Quid des utilisateurs non connus?
Cédric Blancher Wi-Fi et Portails captifs 31/38 Bénéfices Pour le client Authentification immédiate de l infrastructure Pas de période non protégée Session chiffrée Pour le gestionnaire Authentification des utilisateurs Suivi efficace des clients Mais... Problèmes de compatibilité? Quid des utilisateurs non connus?
En tant que client... Cédric Blancher Wi-Fi et Portails captifs 32/38 La situation du client sur un hotspot est quelque peu compliquée Update, update, update Firewall, firewall, firewall VPN, VPN, VPN Plus important... L infrastructure doit traiter de manière particulière les accès des postes nomades[roaming]
En tant que client... Cédric Blancher Wi-Fi et Portails captifs 32/38 La situation du client sur un hotspot est quelque peu compliquée Update, update, update Firewall, firewall, firewall VPN, VPN, VPN Plus important... L infrastructure doit traiter de manière particulière les accès des postes nomades[roaming]
Cédric Blancher Wi-Fi et Portails captifs 33/38 Outline 1 2 3 4 5
Cédric Blancher Wi-Fi et Portails captifs 34/38 Conclusion Les portails ne sont pas une bonne solution Ni pour les clients Ni pour les gestionnaires de réseau Les solutions sont là... 802.1x pour l authentification WPA/WPA2 pour la protection de la session Doit-on trainer des solutions dédé-la-bricole ad vitam eternam au nom de la compatibilité?
Dernière planche... Cédric Blancher Wi-Fi et Portails captifs 35/38 That s all folks! Merci pour votre attention Questions? Ces transparents sont disponbiles sur http://sid.rstack.org/pres/
Cédric Blancher Wi-Fi et Portails captifs 36/38 Outline 1 2 3 4 5
Cédric Blancher Wi-Fi et Portails captifs 37/38 I P. Biondi, Scapy http://www.secdev.org/projects/scapy/ C. Blancher, Wifitap http://sid.rstack.org/index.php/wifitap F. Desclaux, rr0d http://rr0d.droids-corp.org/ F. Raynal Arp-sk http://sid.rstack.org/arp-sk Thomer M. Gil NSTX (IP-over-DNS) HOWTO http://thomer.com/howtos/nstx.html
Cédric Blancher Wi-Fi et Portails captifs 38/38 II Bryan Burns, Airpwn http://airpwn.sourceforge.net/ C. Blancher, JSSI de l OSSIR, 2005, Mobilité, le trou dans la cuirasse? http://sid.rstack.org/pres/0505_jssi_roaming.pdf C. Blancher, 2006, Quand l insécurité touche le FON http://sid.rstack.org/blog/index.php/2006/09/16/122-quand-l-insecur