Scurit en milieu Wifi

frati@unice.fr

Scurit

Diffrences avec et sans fil

Les failles de scurit : attaques &
menaces

Solutions de scurit &
recommandations
 Wired Equivalent Privacy (WEP)


Scurit : la spcificit du sans-fil

Propagation par ondes radio

Technologie diffusant les donnes dans une zone sans
frontire absolue entranant :
 interception et coute faciles depuis la voie publique

 un problme de confidentialit
 un problme dintgrit
 insertion dans le trafic possible

Support non protg des signaux environnants

Sensibilit au brouillage entranant :
 un problme de continuit de service
 dni de service par brouillage possible

Menaces

Un monde cruel
 War driving

attaques classifies
en deux groupes
principaux :
 les attaques
passives
 et les attaques
actives

Attaques passives

Ecoute passive


Zone de couverture radio d'un AP dborde du domaine

priv
L'attaque passive la plus rpandue :



d'autant plus facile que le mdia est lair (difficilement

matrisable)

recherche de point d'accs (appele Wardriving)

les points d'accs sont facilement dtectables grce un
scanner (+ antennes directives type Yagi permettant d'couter
le trafic radio distance hors de la zone de couverture de lAP)

Il existe deux types de scanners :




les passifs (Kismet, Wifiscanner, Prismstumbler) ne laissant

pas de traces (signatures), quasiment indtectables
et les actifs (Netstumbler, dstumbler) dtectables en cas
d'coute, ils envoient des " probe request ".

e.g. WarChalking
www.warchalking.org

WarChalking

Scans : actifs vs. passifs

Scanning actif

La station client recherche

un point daccs sur les 14
canaux disponibles en
mettant

Lorsquun point daccs est
localis, la station client
essaye de sy associer

Une recherche sur les 14
canaux dure 1/3 de
seconde

))

))

))

))

))

))

Scanning passif

La station cliente coute

lactivit sur ses canaux

Une fois un signal dtect,
la station met une
demande dassociation

Un scanning passif de tous
les canaux dure 1.5
seconde

Attaques passives

Les sites dtects sont ensuite indiqus par un marquage
extrieur ( la craie) suivant un code (warchalking)

Une premire analyse du trafic permet de trouver :






le SSID (nom du rseau),

l'adresse MAC du point d'accs,
le dbit,
l'utilisation du cryptage WEP
et la qualit du signal.

Associ un GPS, ces logiciels permettent de localiser

(latitude longitude) ces point d'accs.

A un niveau suprieur des logiciels (type Airsnort ou
Wepcrack) permettent, en quelques heures (suivant le
trafic), de dchiffrer les cls WEP et ainsi avec des outils
d'analyse de rseaux conventionnels la recherche
d'informations peut aller plus loin.

Le pirate peut passer une attaque dite active.

Attaques actives

Rvisions : les diffrentes attaques
connues dans les rseaux filaires et
qui touchent aussi le monde du Wifi :
 DoS (Denial of Service)
 Spoofing (usurpation d'identit)
 Man in the middle

DoS (Denial of Service)

alternative d'autres formes d'attaques car :





Il est plus simple mettre en oeuvre,

Il ncessite moins de connaissances
Il est moins facilement traable qu'une attaque directe visant entrer
dans un systme pour en prendre le contrle.

But : empcher des utilisateurs lgitimes d'accder des

services en saturant ces services de fausses requtes
Egalement bas sur des " bugs " logiciels
En Wifi, cela consiste notamment bloquer des points d'accs
soit en l'inondant de requte de dsassociation ou de
dsauthentification (programme de type Airjack), ou plus
simplement en brouillant les signaux hertzien.

Spoofing (usurpation d'identit)

Technique permettant un
pirate d'envoyer une machine
des paquets semblant provenir
d'une adresse IP autre que
celle de la machine du pirate

N'est pas pour autant un
changement d'adresse IP

Cest une mascarade (il s'agit
du terme technique) de
l'adresse IP au niveau des
paquets mis, c'est--dire que
les paquets envoys sont
modifis afin qu'ils semblent
parvenir d'une autre machine.

Mthode de IP spoofing

Le pirate est capable dintercepter la
rponse et continuer la conversation la
place de la source relle (session
hijacking)

Le pirate nest pas forcment interess par
la rponse (blind spoof) car il peut la
deviner ou simplement occuper un serveur
avec des communications inutiles

Le pirate peut intentionnellement ne pas
vouloir la rponse mais la faire adresser
une machine cible dans le but de provoquer
un dni de service (Smurf attack)

Man in the middle en milieu WiFi

consiste disposer un point d'accs tranger
proximit des autres points daccs lgitimes

les stations dsirant se connecter au rseau
livreront au point daccs "flon" (rogue AP) leurs
informations ncessaires la connexion

ces informations pourront tre utilises par une
station pirate

il suffit tout simplement une station pirate
coutant le trafic, de rcuprer l'adresse MAC d'une
station lgitime et de son point daccs, et de
s'intercaler au milieu.

Man in the middle

Ecoute du trafic pour rcuprer

SSID, @MAC de lAP,
Intercepte en usurpant
les identits vritables
Prend place au milieu :
filtre, espionne

SOLUTIONS

INTERNES STANDARDISEES
INTERNES TEMPORAIRES
INTERNES FUTURES
EXTERNES

INTERNES STANDARDISEES

Ces solutions sont implantes sur la
totalit du matriel standardis
802.11
 Accs au rseau (SSID)
 Contrle daccs (ACL)
 WEP

Accs rseau (SSID)

Le premier mcanisme de scurit de 802.11 est le

contrle d'accs par identifiant du rseau ou SSID
(Service Set ID)

Toutes les stations et tous les points d'accs

appartenant au mme rseau possdent le mme SSID
(mode infrastructure et Ad-Hoc)

Toute station voulant se connecter un rseau 802.11 doit

fournir ce SSID au point d'accs

C'est le seul mcanisme de scurit obligatoire dans

Wi-Fi.

Accs rseau (faiblesses)

Cette protection est trs sommaire, car le point d'accs envoie

priodiquement en clair cet identifiant dans des trames balises
(beacons), le rseau est dit "ouvert"
Une simple coute permet de rcuprer le SSID du rseau. Par
ailleurs il suffit de spcifier comme SSID le mot "any" dans la
configuration de la carte Wi-Fi de la station, pour rcuprer tous
les SSID des rseaux ouverts
Certain constructeurs offrent la possibilit d'empcher les
broadcasts de SSID du point d'accs, on dit que le rseau est
ferm (on ne peut pas fermer des rseaux en mode Ad-Hoc)

 Attention : On ne peut pas empcher totalement la diffusion du

SSID, car lors de la phase d'authentification entre une station et
un point d'accs, il est transmis en clair.
 Attention : Les points d'accs possdent un SSID par dfaut propre

chaque constructeur, si cet SSID n'est pas modifi par l'utilisateur, il est
facilement trouvable. Il en va de mme pour le mot de passe ncessaire
la configuration du pont d'accs, celui- ci doit tre modifi par
l'utilisateur.

Liste de contrle d'accs

Protection consistant n'autoriser l'accs au rseau
qu' des stations dont l'adresse MAC a t
enregistre dans une liste

Il est trs facile pour un pirate :

 de rcuprer une adresse autorise (celles-ci sont

transmises en clair)
 et de la substituer avec la sienne (MAC@ spoofing)

 Attention : Il s'agit donc d'une protection trs

facilement contournable (SMAC KLCconslting.net)

Solutions complmentaires

Architecturale
 utilisation dune DMZ (AP derrire
firewall)
 Utilisation de VPN avec authentification
forte

IDS: systmes de dtection dintrusion
 intrusion dun client non autoris
 intrusion dun point daccs flon (rogue
access point)

Rsum sur ces failles de scurit

WiFi comporte de nombreuses failles de scurit :

 SSID (Service Set ID) :

transmis en clair par lAP

le mcanisme closed network interdit sa transmission dans les balises

en mode ad-hoc, le SSID est systmatiquement transmis en clair

mme en mode ferm, le SSID est transmis en clair pendant
lassociation

utilisation du SSID par dfaut, configur par les constructeurs
(tsunami, )

 ACL

optionnel, donc peu souvent utilis

repose sur lidentification de ladresse MAC

il suffit de sniffer le rseau puis de copier une adresse MAC

Accs au rseau et chiffrement

Le standard 802.11 a dvelopp un
protocole de scurisation pour protger
les rseaux sans fil de faon tout aussi
efficace que pour les rseaux filaires : le
WEP

WEP ou Wired Equivalent Privacy

But : pallier galement les faiblesses
prcdemment exprimes

WEP (Wireless Equivalent Privacy)

Mcanisme utilisant une cl partage
 cl symtrique pour encryption et dcryption

Cl partage par tous les clients du rseau et par le point d'accs

Plusieurs longueurs de cl possible
64 et 128 bits (sachant que 24 bits servent pour l'initialisation de la cl)

Le chiffrement : prvient des coutes clandestines par chiffrement des
donnes transmises

Lauthentification : protge laccs au rseau sans fil (mais dconseill)

Lintgrit : vrifie lintgrit des donnes en gnrant un checksum

Chiffrement et contrle
d'intgrit

se base sur l'algorithme RC4 :





dvelopp par Ron Rivest en 1987 pour RSA Security

algorithme cl symtrique secrte
l'authentification permettant de s'assurer que la station possde bien la cl

1.

Elaboration du Key Scheduling Algorithme : On concatne (ajoute) la cl

partage (40 ou 104 bits) et un vecteur d'initialisation de 24 bits (IV :
Initialisation Vector qui change chaque trame envoye), formant ainsi la graine
(seed) de RC4 appel aussi Key Scheduling Algorithme (64 ou 128 bits).
[KeyIV] *
En parallle on effectue, avec un CRC 32, un calcul d'intgrit (non chiffr) ou
ICV (Integrity Check Value) sur les donnes. Les donnes sont, ensuite,
concatnes avec cet ICV. [DataICV] *
Cette graine est place dans un gnrateur de nombre pseudo alatoire (PRNG :
Pseudo Random Number Generator) qui cre une squence pseudo alatoire.
[PRNG (KeyIV)] *
On applique un XOR (opration logique de OU exclusif) bit bit entre cette
squence et les donnes concatnes avec l'ICV, formant ainsi les donnes
cryptes. [(DataICV)( PRNG (KeyIV))] *
Les donnes chiffres sont transmises et l'IV est rajout la trame.

Le chiffrement et le contrle d'intgrit se droulent en plusieurs

tapes :

2.
3.
4.

Remarque : le chiffrement n'est appliqu que sur les donnes de la trame MAC, l'entte, l'IV et le CRC sont transmis en clair.
* := concatnation ; = " ou " exclusif

Chiffrement des donnes

Processus de chiffrement
En-tte
Initialization
vector
TRANSMISSION
Initialization
vector

PRNG
(RC4)

Clef secrte
partage
Donnes

Donnes
chiffres
CRC

CRC32

Trame chiffre
ICV

Les trames MAC chiffres

Une trame nest chiffre que partiellement :
Donnes chiffres

En-tte
4 octets

IV
4 octets

Donnes

ICV

4 bits

4 octets

Vecteur dinitialisation
3 octets

CRC
4 octets

Key
ID

Pad
6 bits

2 bits

 IV : vecteur dinitialisation dfini dans le WEP

 Pad : ne contient que des 0
 Key ID : valeur dune des 4 clefs permettant de
dchiffrer la trame

Dchiffrement et contrle
d'intgrit

Le dchiffrement et le contrle d'intgrit se droulent en

plusieurs tapes comme prcdemment, mais en sens
inverse :
1.

2.
3.

La cl partage est concatne avec l'IV de la trame reue,

puis l'ensemble est introduit dans le PRNG pour donner la
bonne squence pseudo alatoire qui a t utilis pour le
chiffrement.
On effectue un XOR entre cette squence alatoire et les
donnes chiffres reues. On obtient les donnes et l'ICV en
clair.
On effectue un contrle (ICV') sur ces donnes en clair que
l'on compare avec l'ICV reu. Si ICV'=ICV on peut tre sr des
donnes.

Dchiffrement des donnes

Processus de dchiffrement
Clef secrte partage

En-tte
Initialization
vector
RCEPTION

Donnes
chiffres
CRC
Trame chiffre

PRNG
(RC4)

Donnes
Donnes
+ ICV

CRC32

ICV

ICV
=
ICV

ICV
Contrle
dintgrit

De plus

Difficile utiliser
 distribution des cls

sur les AP

sur les postes clients

 changement des cls

exemple: dpart d'un collaborateur

Authentification

Le mcanisme d'authentification utilise une cl
partage pour l'envoi des donnes chiffres

deux mcanismes d'authentification
 Open System Authentication
 Shared Key Authentication

 Attention : Cest la mme cl WEP utilise

pendant la phase dauthentification qui sert
galement lencryption des donnes
 Shared Key Authentication est donc dconseille

Open System Authentication

mcanisme par dfaut

il n'y a pas d'authentification vritable

toute station dsirant se connecter est
automatiquement authentifie

Requte dauthentification
Confirmation

Shared Key Authentication

mcanisme se droulant en quatre tapes :

1. la station envoie une requte d'authentification au PA

2. le PA envoie un texte en clair 128 bits gnr par
l'algorithme WEP (challenge request)
3. la station chiffre ce texte avec la cl partage et l'envoie
dans une trame d'authentification (challenge response)
4. le PA dchiffre le texte reu avec la mme cl partage et
le compare avec le texte prcdent
5. s'il y a galit il confirme la
station son authentification et
la station peut alors s'associer.
Sinon le PA envoie une trame
d'authentification ngative.
Requte dauthentification
Challenge text
Challenge response
Confirmation

Le WEP a aussi ses faiblesses

Propres l'algorithme RC4 utilis

Mais aussi la conception de WEP (6440bits, 128104bits)

1.

A-La principale vient de la cl qui est fabrique par la concatnation d'une

cl unique, partage par tous les membres du rseau et d'une longueur
maximale de 104 bits, et d'un vecteur d'initialisation.

cette cl est trop courte

et l'IV est transmis en clair

 on peut donc facilement au bout d'un certain temps d'coute dduire la cl, en
sachant que gnralement le vecteur d'initialisation dmarre 0 en dbut de
transmission (logiciel spcifique de type Airsnort ou Wepcrack)

1.

B-D'autre part le CRC utilis est trop faible. (possibilit par des pirates de
modifier des paquets ou d'injecter de faux paquets dont le CRC a pu tre modifi)

2.

C- Une autre faille provient de la squence d'authentification (Shared Key

Authentication) o un texte en clair est envoy par l'AP et sa version code
renvoye par la station. Une simple coute permet d'obtenir ces deux lments
ce qui permet de calculer beaucoup plus facilement la cl.

Remarque : Tout algorithme de scurit ncessite de la part du processeur plus de calcul et

ceci entrane une baisse des performances notamment sur le dbit. Cette baisse est
trs variable suivant les cartes, le fait d'activer le WEP peut faire chuter de 5 50% le
rendement du processeur de la carte Wi-fi.

Quest-ce que WEP+ ? RC4 Fast Packet Keying : clef de chiffrement unique pour chaque trame

SOLUTIONS INTERNES TEMPORAIRES

Ces solutions sont implantes
aujourd'hui sur la majorit du
matriel ou en cours d'implantation
au travers de patches softwares sur
une partie du matriel plus ancien

WPA (Wi-Fi Protected Access)

Face la faiblesse du WEP, et en attendant un
standard propre la scurit des rseaux sans fil
802.11, le groupe de travail IEEE802.11i a
dvelopp une solution temporaire : le WPA

Le WPA a le double avantage de pouvoir tre
implant sur le matriel dj existant (remise
jour du firmware) et d'tre compatible avec la
future norme de scurit 802.11i

WPA est obligatoire pour l'homologation WiFi
depuis Aout 2003

Composants du WPA
 Le WPA est compos de deux lments

TKIP (Temporal Key Integrity Protocol)
 cryptage
 et le contrle d'intgrit des donnes

802.1x
 authentification

WPA
TKIP (Temporal Key Integrity Protocol)

Protocole permettant le cryptage et le contrle d'intgrit des

donnes
Ce protocole utilise toujours RC4 (d'o sa compatibilit avec le
matriel supportant le WEP) comme algorithme de cryptage
avec une cl de 128 bits, par contre l'IV (vecteur d'initialisation)
passe 48 bits
De plus, il y a une cl par station (et non une pour tout le rseau
avec WEP)
Cette cl est gnre et change/drive automatiquement
de faon priodique (re-keying)
Contrle d'intgrit des donnes



s'effectue par un code de hachage de 8 octets appel MIC (Message

Integrity Code) ou Michael. Ce code porte aussi sur les adresses
MAC, ce qui vite de modifier ou forger des trames
il utilise aussi un numro de squence sur les paquets, permettant un
contrle de bon squencement

TKIP est souvent disponible sous forme de mise jour logicielle

(firmware) des matriels existant

WPA
802.1x

Protocole dauthentification donnant accs au port

datant de 2001

dvelopp pour les commutateurs LAN (prises ethernet
dans des lieux publics) puis adopt pour le sans fil

l'volution de diffrents protocoles (PPP, RADIUS, EAP)
dvelopps pour l'authentification

Ce protocole vise :



standardiser un mcanisme de relais

d'authentification au niveau 2 que ce soit un rseau
filaire ou sans fil
et contrler l'accs aux ressources si l'accs physique
n'est pas contrlable (ce qui est le cas dans un
environnement radio)

WPA 802.1x
Les lments impliqus

Le protocole fonctionne partir de trois lments :




Le client (station) ou systme authentifier

Le contrleur (point d'accs) ou systme
authentificateur
Le serveur d'authentification (serveur plac sur le
LAN).

802.1x est aussi appel Port-based Network

Access Control



Il introduit une notion de port contrl par

l'authentification
Une station ne pourra accder aux ressources d'un LAN
que si elle a t auparavant authentifie

WPA - 802.1x - Fonctionnement

Concrtement, la station va se connecter au point d'accs par

un PAE (Port Access Entity)
PAE divis en deux ports :



un port contrl (connexion ouverte ou ferme) donnant accs

la ressource en cas de succs de l'authentification
et un port non-contrl (connexion toujours ouverte) servant
l'authentification o tout autre trafic est rejet

Le port contrl peut tre ouvert ou ferm suivant le contrle

qui a t dfini au moyen d'une variable
(AuthControlledPortControl) peut prendre trois tats :




ForceUnauthorized : l'accs au port contrl est interdit

(connexion toujours ouverte)
ForceAuthorized : l'accs au port contrl est autoris
(connexion toujours ferme)
Auto (par dfaut) : l'accs dpend du rsultat de l'authentification

Contrle d'accs:
IEEE 802.1X, EAP, RADIUS

WPA - 802.1x - Authentification par RADIUS

On utilise le protocole EAP pour vhiculer l'authentification lors

d'une session :



EAPOL (Extensive Authentication Protocol Over Lan ) entre la station

et le point d'accs
et EAP entre le PA et le serveur

On utilise surtout un serveur RADIUS (Remote Authentication

Dial In User Server) car ce protocole peut encapsuler tous les
protocoles d'authentification possibles




la station et le serveur partagent un secret (cl, certificat)

ds que le serveur reoit une requte du point d'accs pour une
station, il renvoie un challenge la station
ce challenge ne peut tre rsolu que par ce secret partag et permettre
ainsi l'authentification

RADIUS
Remote Authentication Dial-in User Service
RFC 2865 2869, 2548 (Microsoft), 3162 (IPv6)

WPA - 802.1x
Types d'authentifications les plus connues

Authentification par mot de passe :




Authentification par carte puce :




EAP-MD5, il est de moins en moins utilis

LEAP (Lightweight EAP) protocole propritaire Cisco

EAP-SIM (Subsciber Identity Module), utilis pour les points d'accs public (hot
spot), utilise la carte puce SIM du GSM, permet la mise en place de facturation
EAP-AKA (Authentification and Key Agreement), utilise le systme
d'authentification de la carte SIM de l'UMTS, il est compatible avec le GSM

Authentification par certificat :



EAP-TLS (Transport Layer Security), bas sur les mcanismes SSL (Secure
Socket Layer) est trs utilis : il utilise une infrastructure cl publique PKI qui
gnre et distribue des cls WEP dynamiques (par utilisateur, par session et par
paquet). Ncessite un certificat pour chaque client
EAP-TTLS (Tunneled TLS) et Protected EAP : Pour palier certaines faiblesses
du protocole EAP (dfaut de protection de l'identit de l'utilisateur, problme lors
de reconnexion rapide), le protocole PEAP a t dvelopp. Ce protocole utilise
MS-CHAP v2 pour l'authentification

Comparatif

Authentifications par noms dutilisateurs / mots de passe

LEAP (Lightweight EAP)
 Solution CISCO
 Authentification de type challenge-response
 base sur un serveur RADIUS
 Authentification mutuelle (utilisateur point daccs)
 Gestion de cls WEP dynamiques par session et par
utilisateur

EAP-MD5
 Mthode simple de challenge/rponse
 Pas dauthentification mutuelle
 Protocole non adapt aux rseaux sans fil
 Attaque par dictionnaire possible

Comparatif

Authentifications bases sur des certificats

PEAP (Protected EAP)
 Authentification mutuelle
 Utilisation serveur RADIUS supportant TLS
 Authentification utilisateur par login/mot de passe
 Gestion des cls WEP dynamiques

EAP-TLS (Transport Layer Security)
 Authentification mutuelle
 Bas sur SSL/TLS
 Utilisation dun serveur de certificats
 Implmentation de certificats pour les clients
 Gestion des cls WEP dynamiques

Rcapitulatif

WPA 802.1x
Squence de contrle daccs avanc au LAN

SOLUTIONS INTERNES FUTURES 802.11i (ou WPA2)

le WPA tait une solution temporaire

la norme dfinitive 802.11i a t ratifie en Juillet 2004

Nouvelle norme 802.11i la scurisation des WLANs
802.11



RSN == Robust Security Network

TSN == Transitional Security Network (RSN + WEP)

WPA est bas sur draft RSN avec seulement mthode TKIP
(Temporal Key Integrity Protocol)

SOLUTIONS INTERNES FUTURES 802.11i (ou WPA2)

cette norme doit palier les manques de WPA et apporter
des solutions sur diffrents points :





un SSID scuris
une dconnexion rapide et scurise
d-authentification et d-association scurises
le chiffrement des donnes renforc par lajout du
standard amricain AES

AES-CCMP (Advanced Encryption Standard-Counter

mode with CBC Mac Protocol) est le protocole
remplaant TKIP et utilisant AES la place de RC4

mise en place d'une authentification mutuelle station et

point d'accs

Remarque : AES est un algorithme de cryptage trs puissant cl symtrique

mais ncessite une grosse puissance de calcul et ne peut tre utilis par les
anciennes cartes  upgrade matriel

Quel WPA ?

WPA pre-shared key (PSK)
 tous les utilisateurs partagent une mme phrase
secrte

WPA-Personal ou WPA2-Personal

La phrase secrte peut contenir de 8 63 caractres
ASCII ou 64 symboles hexadcimaux (256 bits)

Une cl donne sous la forme de caractres ASCII est
convertie vers la cl de 256 bits grce une fonction de
hachage cryptographique (la Pairwise Master Key, PMK)

WPA enterprise
 avec identification 802.1x

WPA-Enterprise ou WPA2-Enterprise

Serveur RADIUS

Prise en charge officielle de WPA2

Microsoft Windows XP
 Update for Windows XP (KB893357)
 (01/05/2005)
 une mj pilotes de carte rseau peut s'avrer
ncessaire

Apple Computer
 Macintoshs avec carte AirPort Extreme
 sur AirPort Extreme Base Station et AirPort Express
aprs mj firmware en AirPort 4.2 (14/07/2005)

Linux
 wpa_supplicant pour WPA/WPA2/IEEE 802.1X
Supplicant

SOLUTIONS EXTERNES
VPN (Virtual Private Network)

Malgrs faiblesses du WEP



Alternative intressante mais




scuriser un rseau travers le concept de rseau priv virtuel

attention la consommation lectrique et la complexit de

mise en uvre
qui va terminer les VPN de lautre ct (WLAN
Switch/controler)

VPN rpondent aux trois besoins fondamentaux





cryptage des donnes

authentification des htes
contrle d'intgrit

Rsum
Pas de WEP
Choix administrateur
Activation de WEP
Upgrade logiciel &| firmware
WPA

802.1x EAP, TKIP

Upgrade matriel

WPA2

Mort du WEP

La position de WiFi Alliance

optionnel

obligatoire depuis 09/2003

Certification WPA
optionnel

Certification WPA2

2003

2004

obligatoire

2005