Version PDF - Herve Schauer Consultants

Transcription

HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Atelier sécurité du WiFi
avec Microsoft
La sécurité du WiFi,
un enjeu majeur
Poggi Jérôme
<[email protected]>
Plan
Principe des réseaux sans fil
Vocabulaire
Technologie
Risques
Interceptions et écoutes
Injections de données
Dénis de service
Solutions
Auditer et surveiller
Outils d'
audit
WPA, 802.1X, 802.11i
Réseaux Wireless sécurisés avec Windows XP et Windows Server 2003
2
Copyright Hervé Schauer Consultants 20002003 Reproduction Interdite
Vocabulaire
WiFi
Marque commerciale du WECA garantissant une compatibilité entre des équipements sans fil utilisant la norme IEEE 802.11b
Wardriving
Chercher des équipement WiFi avec une voiture et cartographier le résultat
Concours mondial : http://www.worldwidewardrive.org/
Warchalking : Faire des marques à la craie indiquant la proximité d'
un réseaux sans fil
3
La technologie
IEEE 802.11b (WiFi), sur 2,4 GHz, 11 Mb/s
La principale technologie, disponible depuis 1997
Amélioration des vitesse de 11Mb/s à 22Mb/s et 44Mb/s
IEEE 802.11a (WiFi5), sur 5 GHz, 54 Mb/s
Disponible depuis fin 2001 mais cher
IEEE 802.11g, IEEE 802.11e sur 2,4 GHz, 54Mb/s
Remplaceront respectivement IEEE 802.11b et IEEE 802.11a
En partie disponible sur le marché (sauf 802.11e)
Compatibilité ascendante entre les normes
Qualité de service définie dans IEEE 802.11f
Gestion dynamique puissance / fréquences dans IEEE 802.11h
Vitesse allant de 2Mb/s à 104Mb/s suivant la distance et le constructeur
4
Risques
De nouveaux risques
Plus de limite physique du réseau
Équivalent à avoir une prise réseau sur le trottoir !
Possibilité de capter de très loin le signal
Dénis de service aisés et multiples
5
Attaques des réseaux sans fil
Le WarDriving
Quadrillage d'
une ville avec un ordinateur portable, une carte 802.11b et une antenne externe
De nombreux logiciels sont disponibles sur tous les systèmes d'
exploitation
Un récepteur GPS pour la localisation
Le parking visiteurs ou la voie publique
Plus de sécurité physique à outrepasser
Conséquences
Écoute et interception de trafic
Insertion de trafic
Introduction d'
une station ou d'
un serveur illicite dans le réseau
Rebonds
6
Usurpations et écoutes
Il est facile de se faire passer pour un autre équipement
Usurpation de l'
adresse MAC
Très simple à faire
Tous les équipements écoutent et reçoivent tous les paquets
Une borne est équivalente à un HUB et non un SWITCH
L'
écoute est simple
Les ondes radio passent la plupart des obstacles
Risques
Espionnage simplifié
Vol d'
informations
Interception
7
WEP (Wired Equivalent Privacy)
Basé sur l'
algorithme de chiffrement RC4
Vecteur Clef partagée
d'
initialisation (IV)
24 bits
40 bits (x4)
24 bits
104 bits
WEP
WEP2
Clef RC4 K=IV,k
64 bits (4x)
128 bits
Confidentialité (+ intégrité) des données
Données
IV
Clef
Keystream = RC4 (IV,k)
XOR
RC4
IV
N° Clef
Données
Également utilisé pour l'
authentification des stations
Défi (en clair)
Défi (chiffré en WEP)
8
CRC-32
CRC-32
Vulnérabilités
Contre la confidentialité
Faiblesse de RC4 (key scheduling algorithm weakness)
Réutilisation du flux de codons (keystream reuse)
Attaque exhaustive
Contre l'
intégrité
Modification de paquets
Injection de faux paquets
Contre l'
authentification auprès de l'
AP Fausse authentification (authentication spoofing)
9
Réutilisation du flux de codons
La réutilisation d'
une même clef RC4 permet de décrypter
Si C1 = P1  K et C2 = P2  K
alors C1  C2 = P1  P2
C : Message chiffré
P : Message en clair
K : Flux de codons
Puis texte en clair connu ou analyse syntaxique
Application à WEP
Or, dans WEP, K = RC4(IV,k)
k fixe (clef partagée, en général fixée une fois pour toutes)
IV variable de 24 bits et public
224 IV possibles => collisions fréquentes
5 heures maximum à 11Mbps avant collision
WEP n'
impose rien sur les IV
En général les cartes commencent à 0 et incrémentent de 1 à chaque paquet
C'
est la carte qui choisit l'
IV (la plupart du temps)
Possibilité de se constituer un dictionnaire de flux de codons par IV
Constitution par collision d'
IV ou capture d'
authentification
16 Go environ
10
Faiblesse de l'
implémentation de RC4
Fluhrer, Mantin et Shamir : "Weaknesses in the Key Scheduling Algorithm of RC4"
Invariance weakness : clefs faibles
IV weakness
Faiblesse introduite par l'
utilisation de RC4 avec IV+clef secrète
Certains IV ("cas résolu") permettent de retrouver des bits de la clef secrète
Stubblefield, Ioannidis et Rubin : "Using the Fuhrer, Mantin and Shamir Attack to Break WEP"
Exploitation pratique de la faiblesse précédente
Nécessite un nombre important de paquets
plusieurs heures d'
écoute : environ 1 à 2 Millions de paquets
Programmes de mise en œ uvre publics
Airsnort (http://airsnort.shmoo.com/)
Cassage de clef
WEPCrack (http://wepcrack.sourceforge.net/)
Cassage de clef
Attaque exhaustive
WepWedgie (http://sourceforge.net/projects/wepwedgie/)
Injection de paquets
11
Attaque exhaustive
Clef hexadécimale (espace total utilisable)
WEP simple : 40 bits = attaque exhaustive réalisable (5 octets)
WEP2 : 104 bits = attaque à priori non praticable (13 octets)
Clef ASCII
Certains produits permettent de préciser la clef en ASCII
~625 soit 916 millions de clefs à tester : rapide
09, AZ, az : 10 + 26 +26 = 62
Environ 1200 fois moins que l'
attaque exhaustive complète
Clef dérivée d'
une passphrase
Certains produits permettent de choisir une passphrase à partir de laquelle ils génèrent la clef
Suivant la méthode de dérivation utilisée, possibilité de réduction drastique de l'
espace des clefs
Exemple pour SMC avec une clef de 40 bits : 224 (16M) possibilités seulement, voire 221 (2M) si le mot de passe est en ASCII
=> cassable en quelques secondes
Attaques par dictionnaire
http://lava.net/~newsham/wlan/
12
Modification de paquets
La valeur de vérification d'
intégrité (ICV) est une simple somme de contrôle (CRC32)
Fonction linéaire du message : (M1M2) = (M1)  (M2)
Ne nécessite pas de connaître une clef pour le calcul
RC4 conserve la linéarité, ce qui permet de modifier les messages et l'
ICV en conséquence
Texte de départ = M, chiffré en C=RC4(K)  [M, (M)]
On veut C'
= RC4(K)  [(M  M), (M  M)]
On en déduit : C'
= C  [M, (M)]
13
Injections de paquets
Récupérer un IV et le flux de codons (keystream) correspondant
Par collision d'
IV
En capturant une authentification (défi, WEP(défi))
C = keystream  [M, (M)]
Le calcul de (M) ne nécessite pas de connaître une clef secrète
WEP autorise la réutilisation de l'
IV
Autant de fois que souhaité
N'
importe quand
L'
injection de faux trafic permet de faciliter le décryptage
WepWedgie (http://sourceforge.net/projects/wepwedgie/)
14
Fausse authentification
Cas particulier de la modification de paquet
Défi (en clair)
Défi (chiffré en WEP)
Capturer une authentification valide
Texte en clair connu = défi de l'
AP
Texte chiffré correspondant = réponse de la station
Modifier ce paquet pour une réponse à défi'
Peut aussi se faire en injection de paquet
Peut aussi générer un déni de service
Remplissage des tables de stockage
Allocation de bande passante
15
Usurpation de Borne / Client
L'
adresse MAC est modifiable à souhait
Historiquement l'
adresse MAC ne change pas : identifiant unique
Il est aisé de se faire passer pour une autre machine
Sur les cartes avec le composant PrismII, il est même possible de la reflasher
Permet de faire de l'
interception : Man In The Middle
16
“ Virtual Carriersense Attack”
L'
attaque la plus perfectionné !
Non publique, mais documentée et démontrée publiquement à USENIX
Réservation exclusive de la bande passante
http://www.cse.ucsd.edu/~savage/papers/UsenixSec03.pdf
L'
attaquant dispose exclusivement de toute la bande passante au moment ou il le désire.
Aucune parade existante
Ne nécessite qu'
un simple PDA iPAQ sous Linux
17
Brouillage radio
Le WiFi utilise la bande des 2,4Ghz (2401Mhz à 2495Mhz)
Cette bande de fréquence libre est dite IMS : Industrial, Medical and Scientific
Aucune garantie de non perturbation
Utilisée par une multitude de produits
Téléphone DECT
BlueTooth, WiFi
Microondes
Radio Amateurs
Anciennement utilisée par les militaires
18
Inondation de désassociation / désauthentification
Utilisation de paquets de désassociation ou de
désauthentification
Usurpation de la borne
Bas niveau donc passe toute les protections de niveau supérieur
WPA, 802.11i, EAP/TLS, PEAP ...
Pourquoi ? : Les paquets d'
administration ne sont jamais authentifiés
La protection contre cette attaque nécessite une modification du Firmware et de la norme 802.11
Le réseau est inutilisable durant cette attaque
Programmes disponibles :
Airjack : http://802.11ninja.net/
19
Vol de paquets en attente
Un client peut passer en économie d'
énergie et n'
écouter le réseau qu'
à des temps déterminés pour consommer le moins possible.
La borne conserve dans un tampon les paquets en attente
Usurpation de l'
adresse MAC du client et récupération des paquets
Le client légitime n'
a jamais vus les paquets
Désynchronisation des piles TCP
Perte de données
Attaque fonctionnelle et simple à effectuer
20
Désynchronisation des clients en économie d'
énergie
Dans le mode d'
économie d'
énergie
Chaque client écoute le réseau à un instant donné
Envois de trames beacon usurpés avec une période d'
envoi erronée
Désynchronisation du client par rapport à la borne
Le client ne reçoit pas les paquets lui indiquant qu'
il a des paquets en attente
Il ne les réclamera jamais
Méthode théorique non encore démontrée ni testée
21
Solutions
Intégrer la sécurité dès le début du projet de déploiement
Mettre en place une politique d'
audit systématique ou de surveillance passive
Audit manuel avec un PDA ou un PC portable : Wardriving
Interne ou par une société extérieure
Implantation de bornes intelligentes (ex : CISCO avec WLSE monitor)
http://www.cisco.com/en/US/products/sw/cscowork/ps3915/
Pose de bornes d'
écoute passive (ex : RFGrabber de WildPackets)
http://www.wildpackets.com/products/rfgrabber
Savoir quoi faire lors d'
un problème, réagir rapidement Authentification complète et mutuelle entre les 3 parties
L'
utilisateur
La Machine
La borne
22
Outils d'
audit
Outils d'
audit libre
NetStumbler sous Windows
http://www.netstumbler.com/
Peu fiable et non passif
Kismet : http://www.kismetwireless.net/
Fiable et passif
Wifiscanner : http://www.wifiscanner.org/ ou http://www.hsc.fr/tools/wifiscanner/
Fiable et passif
Wellenreiter, airtraf, ...
CDROM bootable
WarLinux : http://sourceforge.net/projects/warlinux/
23
Signatures des outils d'
audit
Certain outils d'
audit laissent des signatures :
Netstumbler
Envois de trames DataNull et ProbeRequest (avec un SSID identifié)
Flurble gronk bloopit, bnip Frundletrune
All your 802.11b are belong to us
Dstumbler
Numéros de séquence identifiés et toujours les mêmes
Wellenreiter
Envois de ProbeRequest avec un SSID identifié
this_is_used_for_wellenreiter
24
Signatures des systèmes d'
exploitation
Windows XP
Envois de trames ProbeRequest avec un SSID contenant une partie de la mémoire
0000
0010
0020
0030
0040
40
ff
1c
16
00
00
ff
1e
05
00
00
ff
0c
19
00
00
ff
04
0e
00
ff
ff
06
15
ff
ff
0c
02
ff
30
09
0e
ff
03
1d
05
ff
00
1d
08
ff
20
0f
07
00
08
02
01
02
04
03
04
2d
02
15
02
5a
0e
1f
04
2b
0c
17
0b
b6
04
0b
16
@...........-Z+.
......0.. ......
................
................
....
Envois de trames ProbeRequest avec le SSID des 6 derniers SSID connus
Tentative de connexion sur les réseaux connus
Exemple de capture : Aéroport de Toulouse
Apple Network ebcf5d, eurospot
IT WLAN, KYOCERA IT WLAN
KYOCERA NEUSS WLAN, Micros97
Linux
Beaucoup de SSID par défaut
MacOS
Envois de trames ProbeRequest avec un SSID préformaté
"00-30-1e-fa-87-40-088aa102",00,FF:FF:FF:FF:FF:FF,00:30:65:13:46:FD,FF:FF:FF:FF:FF:FF,PRBREQ
25
WPA
Profil de 802.11i promu par le WECA
Permet de combler une partie des problèmes du WEP
Utilisation de TKIP : changement des clefs de chiffrement de façon périodique
Vecteur d'
initialisation de 48bits (281 474 976 710 656 possibilités)
Impossibilité de réutiliser un même IV avec la même clef
Utilisation du MIC qui est un contrôle d'
intégrité de tout le message
Le WPA n'
intègre pas les sécurisation que le 802.11i apporte :
La sécurisation des réseaux multipoint AdHoc
La sécurisation des paquets de désauthentification/désassociation
N'
implémente pas AES comme algorithme de chiffrement
26
802.1X
Permet de n'
ouvrir le réseau qu'
après authentification
Permet une gestion des clefs
Interopérabilité entre les systèmes d'
exploitation
Linux : Xsupplicant ( http://www.open1x.org/ )
Windows : Natif
FreeBSD, MacOS ...
Que ce soit pour les serveurs comme pour les clients
27
Conclusion
Les réseaux sans fil nécessitent de l'
attention
Il faut les surveiller
Les considérer comme des points d'
entrée pour des attaquants
Il faut les sécuriser
les mettre dans une DMZ
Auditer et rechercher
Une tâche à ne pas négliger
Mettre en place des solutions de sécurité réputées
WPA, 802.1X
802.11i
28
Références
http://www.ieee.org/
http://www.hsc.fr/
http://home.jwu.edu/jwright/papers/l2wlanids.pdf
http://ramp.ucsd.edu/~bellardo/
http://www.drizzle.com/~aboba/IEEE/
29
Merci
30

Version PDF - Herve Schauer Consultants

Transcription

Documents pareils

Oeuvres complètes

Le squelette humain : les os

Les documents à conserver

Bienvenue dans le logiciel de gestion d`un tournoi de Football