Version PDF - Herve Schauer Consultants

Transcription

HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Solution Linux Paris 2006
Mardi 31 janvier 2006
Outils libres d'audit et
d'intrusion pour les réseaux
Wi-Fi
Guillaume Lehembre
<[email protected]>
Plan
Introduction au Wi-Fi
Déroulement typique d'un test d'intrusion sur les réseaux sans fil
Découverte de réseaux environnants
Cassage de clé WEP et WPA[2] – PSK
Intrusion
Attaques sur les postes clients Windows
Conclusion - Recommandations
Références
-2-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Introduction
Norme IEEE 802.11 (a/b/g) sur 2.4Ghz et 5 Ghz
Succès du Wi-Fi : facilité de déploiement, mobilité
Le Wi-Fi étend le réseau au delà des limites physiques de
l'entreprise
 Accroît les risques de malveillance (écoute, intrusion, DoS, etc.)
 La sécurité globale du réseau Wi-Fi est primordiale
Mécanismes de sécurité faillibles (WEP) mais toujours largement déployé
Approche possible pour vérifier le niveau de sécurité : le test
d'intrusion éventuellement couplé à un audit
-3-
Déroulement d'un test d'intrusion Wi-Fi
Tests d'intrusions souvent scénarisés
 « Boîte noire » pour tendre vers la « Boîte blanche »
Déroulement typique d'un test d'intrusion
Découverte des réseaux environnants
Analyse des trames balises et des trames de données
Analyse du trafic de clients légitimes
Tentative de cassage de clés suivant le chiffrement choisi
Connexion au réseau
Attaques à partir du réseau sans fil
Linux est LA plate-forme de choix pour conduire un test d'intrusion
 Pilotes multiples et adaptés, injection de trafic, outils classiques
d'intrusion :-)
-4-
Découvertes des réseaux environnants
Utilisation de scanner passifs
 Plus lents que les scanner actifs mais indétectables
Kismet (http://www.kismetwireless.net/)
WiFiScanner (http://www.hsc.fr/ressources/outils/wifiscanner/)
Et des antennes amplificatrices
Directionnelles
Omnidirectionnelles
-5-
Découvertes des réseaux environnants
Informations découvrables (trames balises) :
Débits supportés
Puissance des bornes
Chiffrement utilisé (WEP, WPA[2] Personnel/Entreprise)
Tags constructeurs
Hostname des bornes (merci Cisco), rèvèle parfois sa localisation ...
Ne pas oublier d'analyser les éventuelles Probe Response !
$ tethereal -r probe-response.cap -x -V
[...]
Vendor Specific
Tag Number: 221 (Vendor Specific)
Tag length: 22
Tag interpretation: WPA IE, type 1, version 1
Tag interpretation: Multicast cipher suite: TKIP
Tag interpretation: # of unicast cipher suites: 1
Tag interpretation: Unicast cipher suite 1: TKIP
Tag interpretation: # of auth key management suites: 1
Tag interpretation: auth key management suite 1: WPA
[...]
-6-
Cassage de clés
Les protocoles de chiffrements WEP et WPA-PSK sont cassables :
En moins de 10 minutes pour du WEP 128 bits en injectant du trafic
En un temps raisonnable si la PSK (WPA[2]) est issue d'un mot de
passe trivial
Outils :
Aircrack (http://freshmeat.net/projects/aircrack/) - v2.4
Weplab (http://freshmeat.net/projects/weplab/) - v0.1.2
Airsnort (http://airsnort.shmoo.com/) - v0.2.7e
Outils introduisant l'optimisation proposée par KoreK se basant sur
la capture d' « IV uniques » et non plus des « IV faibles »
nécessitant la capture d'un trafic important
-7-
Cassage de clés – WEP
Il suffit d'un seul paquet chiffré pour pouvoir casser le WEP et d'un
client associé !
Le paquet est décrypté grâce à l'attaque de KoreK
Une requête ARP est forgée (en utilisant la suite chiffrante extraite)
Cette requête est rejouée avec toujours l'IV du paquet décrypté
La borne accepte la requête ARP (l'incrémentation de l'IV n'étant pas
obligatoire dans le protocole WEP) et la rechiffre pour la transmettre au
client associé (en incrémentant l'IV !)
Il faut ~ 500 000 IV uniques pour pouvoir casser une clé WEP 128 bits
Seul Aircrack est capable de faire de l'injection de paquets et
uniquement sous Linux :-) !
 Nécessite des pilotes modifiés pour l'injection, uniquement avec les
chipset Prism2/3, Prism54, Atheros, Ralink
-8-
Pilotes
Éviter d'utiliser les pilotes Wi-Fi du noyau Linux
Privilégier la compilation manuelle de pilotes pour disposer d'une
version récente permettant l'injection de trafic
Principaux pilotes à avoir :
Chipset Atheros : madwifi, madwifi-ng (http://madwifi.org)
Chipset Prism 2/2.5/3 : Host AP (http://hostap.epitest.fi, ) Wlan-NG (
http://www.linux-wlan.org/)
 Hostapd permet de créer des bornes évoluées (support de
nombreuses méthodes EAP, 802.1x, WPA, WPA2, etc.)
-9-
Cassage de clés – WPA[2] en mode PSK
La fonction de génération de la PSK à partir d'un mot de passe
empêche des attaques par dictionnaire efficaces ( peu de
tentatives par secondes comparé à des attaques classiques)
Nécessite la capture du 4-Way Handshake pour une attaque horsligne sur la PSK
 Possibilité avec Aircrack de désassocier un client légitime pour qu'il réinitie le 4-Way Handshake
La PTK servant à dériver toutes les clés ne dépend que d'un
élément secret : le mot de passe utilisé pour la génération de la
PSK
PSK
PRF utilisant HMAC-SHA1
PTK
KCK
- 10 -
KEK
KCK = clé assurant l'intégrité des
messages du 4-Way Handshake
KEK = clé assurant le chiffrement
des messages du 4-Way Handshake
TEK
TEK = clé assurant le chiffrement des
données « utiles »
Cassage de clés – WPA[2] en mode PSK
Déroulement de l'attaque :
1. L'attaquant choisi un mot de passe (dictionnaire, etc.)
2. Calcule la PSK grâce au calcul normalisé puis la PTK
3. Dérive les différentes clés (KEK, KCK, TEK, etc.)
4. A partir de la KCK, l'attaquant recalcule le MIC du 2nd message
1.Si le MIC calculé est identique au MIC du second message, le mot de
passe utilisé pour la dérivation de la PSK est trouvé !
2.Sinon il faut choisir un nouveau mot de passe (retour à l'étape 1)
PSK
PSK
Choix aléa SNonce
* Informations publiques
pour un attaquant
* Champs fixes
La STA
dérive la PTK
EAPoL-Key
ANonce
EAPoL-Key
SNonce + MIC + STA RSN IE
Choix aléa ANonce
Assure l'intégrité du message
grâce à la KCK
L'AP
dérive la PTK
PSK = PBKDF2(passphrase, SSID, ssidLength, 4096, 256)
PTK = PRF-X(PSK, « Pairwise key expansion »,
Min(AP_Mac, STA_Mac) || Max(AP_Mac, STA_Mac) || Min(ANonce, SNonce) || Max
(ANonce, Snonce))
- 11 -
Connexion au réseau
Pour les cas simples (WEP statique), les Wireless Tools suffisent
Pour le WEP dynamique, WPA, WPA2, il est nécessaire d'utiliser
wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/)
Beaucoup de réseaux audités implémentent du PEAP-MSCHAPv2
 utilisation d'un mot de passe utilisateur et/ou machine
 possibilité de lancer des attaques par dictionnaire mais pas d'outils
automatiques disponibles
Message EAP Response Identity :
[...]
802.1X Authentication
Version: 1
Type: EAP Packet (0)
Length: 19
Extensible Authentication Protocol
Code: Response (2)
Id: 2
Length: 19
Type: Identity [RFC3748] (1)
Identity (14 bytes): TestWi-Fi
[...]
- 12 -
Intrusion
Techniques similaires aux tests d'intrusions internes filaires (scan,
divulgation anonyme d'informations, exploitation de failles, etc.)
Tentatives de rebonds sur d'autres clients sans fils si l'établissement
d'un VPN est nécessaire pour l'accès au SI
Internet
Tête de
Relais
applicatif tunnel
VPN
DNS
Réseau interne
- 13 -
Attaques sur les postes clients Windows
Recherche automatiquement à s'associer aux « réseaux favoris »
Même si le niveau de sécurité n'est pas le même !
Effectue implicitement une requête DHCP une fois associé
But de l'attaquant : Usurper la borne + Faire serveur DHCP
Une ligne de commande sous Linux pour se transformer en borne !
# iwconfig ath0 essid "test" channel 1 mode Master
 Problématique de la sécurité du poste client
Association au
réseau puis requête
DHCP
= connectivité IP
= DANGER !
- 14 -
L'attaquant usurpe le
SSID « Maison »
(mode Infrastructure
ou Ad-Hoc) et dispose
« Maison » d'un serveur DHCP
Probe Request :
« Maison »
« Test_Wi-Fi »
« John »
... Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Conclusion – Recommandations
Le test d'intrusion permet d'évaluer la sécurité des réseaux sans fil
Plate-forme idéale : Linux :-)
Recommandations :
Bannir l'utilisation du WEP ou l'implémenter avec une solution type
VPN
Privilégier dans la mesure du possible le WPA et le WPA2
Segmenter / Filtrer l'infrastructure Wi-Fi du réseau local
Empêcher le trafic sans fil inter-clients
Adapter la puissance des bornes
Activer l'interface Wi-Fi au besoin sur les postes clients
Garder un réseau filaire à portée ...
... le brouillage est si facile à faire ...
- 15 -
Références
Normes IEEE 802.11a/b/g
Norme IEEE 802.11i
« Real 802.11 Security – Wi-Fi Protected Access and 802.11i » –
John Edney & William A. Arbaugh – Addison-Wesley – ISBN 0-32113620-9
« Sécurité Wi-Fi : WEP, WPA, WPA2 » - Guillaume Lehembre hakin9 1/2006 (14),
http://www.hsc.fr/ressources/articles/hakin9_wifi/index.html.fr
- 16 -
Merci de votre attention
Questions ?
http://www.hsc.fr
- 17 -
Prochains rendez-vous
Conférence ISO17799 / ISO27001 : 7 mars 2006
http://www.issafrance.org/
Formation ISO27001 Lead Auditor : 20-24 mars, Paris
Certification ISO27001 Lead Auditor par LSTI
http://www.hsc.fr/services/formations/
Rencontres Sécurité : 6 avril 2006, CNIT Paris-La-Defense
http://www.rencontresecurite.com/
Formations SecurityCertified : 24-28 avril & 29 mai - 2 juin
Permettant de passer la certification SCNP
http://www.hsc.fr/services/formations/
- 18 -

Version PDF - Herve Schauer Consultants

Transcription

Documents pareils

Introduction - Herve Schauer Consultants

Oeuvres complètes

Les documents à conserver