introduction problèmesirt.enseeiht.fr/anas/cours/secwifi.pdf08/01/08 anas abou el kalam -...

08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 1

��


Introduction

• L’histoire des réseaux 802.11 est émaillée de vulnérabilités

• Les protections tardent à se généraliser et ne couvrent toujours pas

tous les problèmes

• 50 % des réseaux wifi sont ouverts

• 25 % des réseaux sécurisés sont en fait mal protégés

• Les entreprises sont les mauvaix élèves ...

• Les implémentations présentent des vulnérabilités

• ...

C´


Introduction


Problèmes

• Un réseau sans-fil présente les mêmes vulnérabilités qu’un réseau filaire• Serveur DHCP malicieux, ARP / DNS spoofing, DoS, ...

• Mais aussi qlq spécificités wifi• Rayon d’action : propagation incontrôlable des ondes radio

• Écoute : plus facile que pour les réseaux filaires• Attaques spécifiques : Rogue AP, WarXing, ....

• Plus globalement• Risques d’intrusion, interception de données

Détournement de connexion Internet

Brouillage des transmissions

DoS• ...


Agenda

Les réseaux Wi-Fi ouverts

Le cas du WEP...

Sécurité : WPA, WPA2 and 802.11i

Authentification Wi-Fi

Limites

Aspects légaux

Auditer son réseau Wi-Fi

Bibliography


Agenda


Suivi des clients enregistrés

Protection des stations Wi-Fi

Le cas du WEP...



Aspects légaux

Auditer so n réseau Wi-Fi

Bibliography


Réseaux Wi-Fi ouverts

• Ces réseaux ne disposent d’aucune protection

Pas de problème de compatibilité

Configuration par défaut des équipements

Partage de connexion

• L’erreur est de croire qu’un réseau Wi-Fi est équivalent à un réseau

Ethernet ...


Hotspots Wi-Fi

• Accès Wi-Fi public, souvent commerciaux ou communautaires

Systèmes basés sur un portail captif

Authentification à une application Web d’enregistrement

Mise en place d’autorisations pour l’accès Internet

Suivi des clients enregistré

• Problèmes posés : aucune sécurité !

Accès non limité,

pas de chiffrement,

Accès à internet

Comment suivre les clients ?

Comment protéger les clients ?

• Nécessité de limiter / conditionner l'accès au réseau


Portails captifs

Authentification tierce pour réseau ouvert...

Trafic sortant interdit

Trafic HTTP redirigé vers vers un portail

Accès autorisé une fois enregistré

Problèmatique ...

Comment différencier les clients enregistrés des autres ?


Suivi des clients

• Comment suivre un client authentifié ?

Pas beaucoup de choix

Adresse MAC

Adresse IP

Adresses MAC and IP en même temps

• Seulement voilà, on peut usurper ces paramètres...


Quid des clients ?

• Le réseau est ouvert...

N’importe qui peut y accéder

Les communications ne sont pas chiffrées

Aucune mesure de protection pour les clients

Exposition

Les clients peuvent être attaqués facilement


Limites : Contourner les AP (Le Rogue AP)

• On monte un AP factice pour le réseau cible

Même SSID

Meilleure puissance perçue

Interception des communications

• Permet de voler les login/passwords ou faire valider ses identifiants réseau

• Airsnarf !!


Limites des autorisation par @MAC

Un réseau Wi-Fi est un domaine de collision

Changer son adresse MAC est trivial

Pas de conflits au niveau MAC

Prenez juste une IP différente

• Ifconfig, macchanger , etc.


Limites des autorisation par @IP

Un réseau Wi-Fi est un réseau de type

Ethernet

Vulnérable aux attaques de niveau 2

Vulnérable à corruption cache ARP

• Possibilité de Spoofer une @ IP

Pollisilité de rediriger le trafic

• Voir LSM 2002[BLA02], arp-sk[ARPS] ou

MISC3[MISC] pour détails


Autres attaques : usurpation de client

• On peut usurper l’identité d’un client enregistré

Adresse MAC

Adresse IP

Pas de perturbation induite

Mais...

On peut également le désassocier et prendre sa place


Autres problèmes

• Les portails captifs présentent souvent des vulnérabilités exploitables

Certificat pour l'accès SSL à la page d'enregistrement

Mauvaises configurations

Encapsulation possible dans DNS (Tunnels DNS [OZY][NSTX])

Applications web vulnérables

• Modification des arguments, SQL injection

Etc.

En résumé...

Il y a mille façon de mettre en oeuvre un portail c aptif

vulnerable


Autres exemples de failles ...

• Corruption de traffic par injection

Les trames Wi-Fi peuvent être capturée

Ecouter le trafic Wi-Fi

Repérer les requêtes intéressantes

Injecter de fausses réponses en usurpant l’AP

Applications :

fausses réponses DNS, contenu malicieux, etc.

• Communication par injection

• L’injection de trame à destination des stations permet de les atteindre.

Il suffit d’écouter les réponses et de continuer.

• ...


Récap

Les clients d’un hotspot Wi-Fi sont très exposés

• Pas de confidentialité

• Pas d’intégrité des flux

WarXing = wardriving + warchalking

Donc ..

• L’utilisation de hotspot Wi-Fi induit un risque important

• Elle suppose une période d’exposition pre-enregistrement

Le strict minimum de la sécurité wifi

• Une infrastructure adaptée ==> réglage portée

• Eviter valeurs par défaut lors de l'installation de l'AP

• Changer Mdp, désactiver broadcast

• Filtrage, mais facilement contournable :-(

• Cacher SSID, idem :-( (voir transp. suivant)

• Existe t-il des solutions plus robustes ??


Récap

• Mais attention !!

– le filtrage d'adresses MAC

• la simple observation du trafic permet de repérer des adresses

MAC autorisées et de les usurper, ce qui est trivial sur un réseau

WiFi ;

– le masquage de SSID

le nom du réseau est toujours présent en clair dans les requêtes

d'association et n'est ni nécessaire pour casser une clé WEP, ni

pour communiquer si on dispose d'une adresse MAC associée au

même moment à usurper.


Agenda


Suivi des clients enregistrés

Protection des stations Wi-Fi

Le cas du WEP...

Le protocole (authentification & chiffrement)

Récupération et exploitation de keystreams

• Faiblesses, Attaques ...



Aspects légaux


Bibliography


WEP : le protocole de chiffrement

• Chiffrement RC4

• Authentification par

challenge de chiffrement

• Somme de contrôle

CRC32 (ICV)


WEP : le déchiffrement

Etape 1 : déchiffrerEtape 1 : déchiffrer • Renverser le procédé de chiffrement

• C1’= P ⊕ RC4(IV| k)

= ([ C' | ICV(C') ] ⊕ RC4(I V|k )

= [ C' | ICV(C') ]

Etape 2 : vérifie l’intégrité du message reçuEtape 2 : vérifie l’intégrité du message reçu

Vérifier contrôle d’intégrité du plaintext déchiffré : • Calculer CRC32(C') puis ICV(CRC32(C'))

Comparer ce checksum avec celui reçu


WEP : l'authentification

L'authentification est réalisée en vérifiant que la partie qui demande à

s'authentifier possède bien la clé WEP

Le point d'accès envoie un challenge aléatoire de 128 octets à partir

duquel la station désireuse de s'associer devra construire une trame de

réponse correctement chiffrée à renvoyer.

Il suffira alors à l'AP de vérifier le bon déchiffrement de cette trame.


Les problèmes ...

• Le protocole WEP souffre de problèmes de conception

– La rotation des clés se fait sur 24 bits

• L’intégrité est vérifiée avec un CRC32

– Les données protégées fournissent des clairs connus

• L’utilisation de RC4 ne respecte pas les contraintes

• Tout ceci conduit à des attaques qui permettent de mettre à mal la sécurité

du réseau sans fil

Alors ..

WEP ou ... Weak Encryption Protocol...


Les problèmes ...

Wep n'inclue aucun mécanisme permettant d'empêcher le rejeu ou l'injection arbitraire de données;

CRC32 est généralement utilisé pour détecter erreurs transmissions ...

• CRC32 n'a pas les propriétés nécessaires pour assurer un bon contrôle d'intégrité, en particularité à cause de sa linéarité.

XOR est également linéaire

le contrôle d'intégrité ne fonctionne donc pas.

l'authentification est unilatérale.

• Un AP malicieux pourrait transformer un client en oracle en lui fournissant des messages à chiffrer sous forme de challenge

Le mécanisme d'authentification entraîne l'envoie du challenge d'abord en clair, puis chiffré.

attaque en clair connu qui nous permet d'extraire suffisament de données pour pouvoir répondre à n'importe quel challenge, et donc nous authentifier sans connaissance préalable de la clé.


Authentification ??

G le challenge et R sa réponse

R = RC4(IV|K) XOR (G|ICV(G))

RC4(IV|K) = R XOR (G|ICV(G))

Un attaquant ayant observé une authentification connait R et G et peut donc

déduire la valeur de RC4(IV | K) !!

S'il reçoit un nouveau challenge G', il calculera sa réponse R' en réutilisant le même IV et donc cette sortie de RC4 :

R' = RC4(IV|K) XOR (G'|ICV(G'))

L'authentification n'est donc pas efficace !!


Et le chiffrement ??

trois règles de basesrègles de bases dans l'utilisation de RC4 :

• ne jamais utiliser deux fois la même clé dans le même contexte ;

• jeter les 512 premiers octets de la sortie RC4 pour éviter les problèmes

liés à l'utilisation de clés faibles ;

• ne pas chiffrer plus de 2^36 octets de données avec la même clé.

Ces règles sont ils respéctées ?Ces règles sont ils respéctées ?Ces règles sont ils respéctées ?Ces règles sont ils respéctées ?


Problèmes du RC4

La seule partie changeante de la clés est l'IV

• ce qui nous donne un espace de clés de 24 bits seulement .

théorème des anniversaires

==> une collision de clé a 99% de chances de se produire après l'envoi de

seulement 12000 trames.

La première règle n'est donc pas respectée

fuites d'information utilisables pour réduire l'effort nécessaire à la

découverte de la clé.

Si deux trames C et C' sont chiffrée avec le même IV , on aura :

P = RC4(IV|K) XOR (M|ICV(M))

P' = RC4(IV|K) XOR (M'|ICV(M'))

En posant C = M|ICV(M) , on obtient :

P XOR P' = C XOR C'


Problèmes du RC4

Et La deuxième règle (clés faibles) ?

il se trouve qu'on reconnait les clés faibles à leurs trois premiers octets !!

• c'est à dire l'IV , qui est transmis en clair dans l'entête de la trame.

La simple observation du trafic permet donc de repérer les trames chiffrées

avec des clés faibles

• et ensuite d'attaquer RC4 ...

Et La troisième (clés ≠ ) règle ?

• WEP n'a aucune condition d'arrê !!


Recap : vulnérabilités du RC4

WEP présentent plusieurs vulnérabilités, dont certaines sont structurelles et

inehrente au protocole lui même :

1.Problèmes du mécanisme d'authentification,

• Problèmes de l'utilisation du CRC32 ou encore

3.Possibilités de rejeu/injection.

”Your 802.11 Wireless Network Has No Clothes” [ASW01]

Et ce n'est pas tout !!!!


Autres attaques ...

On a déjà vu qu'une faille dans le mécanisme d'authentification permettant

à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle

pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de

manière à s'authentifier sans pour autant être en possession de la clé WEP

La sortie RC4(IV|K) qu'il récupère est en effet longue de 144 octets ,

ce qui est largement suffisant pour chiffrer quelques requêtes, comme un

requête ARP ou HTTP par exemple.

• L'attaquant est donc en mesure, à partir de l'observation d'une

authentification, d'injecter des paquets cohérents dans le réseau,

pouvant ainsi commencer à le stimuler pour faire de la découverte ...

• Il sera également en mesure de déchiffrer les 144 premiers octets

de tout paquet chiffré avec l'IV en question08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 32

Autres attaques ...

On a déjà vu qu'une faille dans le mécanisme d'authentification permettant

à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle

pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de

manière à s'authentifier sans pour autant être en possession de la clé WEP

La sortie RC4(IV|K) qu'il récupère est en effet longue de 144 octets ,

ce qui est largement suffisant pour chiffrer quelques requêtes, comme un

requête ARP ou HTTP par exemple. • L'attaquant est donc en mesure, à partir de l'observation d'une

authentification, d'injecter des paquets cohérents dans le réseau,

pouvant ainsi commencer à le stimuler pour faire de la découverte ...

• Il sera également en mesure de déchiffrer les 144 premiers octets

de tout paquet chiffré avec l'IV en question

Ouawww !! mais peut ont faire mieux ?


La fragmentation 802.11 : principe

• Nous disposons de cas de clair connu et la norme nous dit que chaque

fragment de trame est chiffré individuellement

• Principe de l’attaque

– On récupère un keystream par clair connu

– On utilise ce keystream pour chiffrer des fragments d’une même trame

– L’AP réassemble et rechiffre la trame

– On récupère un keystream plus long par clair connu sur la trame émise

par l’AP

• C’est une expansion de keystream[BHL06]

Ouawww !! mais peut ont faire mieux ?


Fragmentation 802.11 : exploitation entêtes ARP, IP

Nous connaissons les 8 premiers octets pour IP et ARP, donc aumoins 8 octets de keystream (0xAAAA030000000800 et 0xAAAA030000000806)

Ok ok, mais peut on tout simpelment casser la clés ?


Tables IV / Keystream

• K étant fixe, la valeur d’un keystream ne dépend que de IV• Idée : pour chaque IV possible, on essaye de récupérer le keystream

correspondante

Nous savons déjà récupérer 140 octets

Nous pouvons générer du trafic arbitraire• tout est bon pour générer des trames dont nous sommes capables de

prédire le contenu les plus longues possibles

Nous pouvons récupérer des keystreams plus longs• Ainsi on aura construit une table associant à chaque IV la sortie RC4

correspondante sur la longueur maximale.• Une telle table représente environ 25Go mais permet de

déchiffrer/chiffrer n’importe quelle trame à la volée.

On peut accélérer l’attaque en désassociant les clients...


Plus généralement ...

• La possession d’un keystream permet :

d’injecter des données arbitraires sur le réseau

de déchiffrer des morceaux de trames chiffrées avec même keystream

• Exploiter les keystreams

C’est un attaque très efficace et facilement exploitable dont les

conséquences sont très intéressantes


Exploitation du CRC32

• Attaques par bit flipping• Une attaque courante sur les protocoles cryptographiques• On capture un contenu chiffré

On modifie des bits du contenu

On rejoue ce contenu et on observe la réaction• Concrêtement, on peut manipuler l'équation produisant le payload chiffré

lorsqu'on introduit une modification

si M'= M ⊕ Mod

P' = RC4(IV|K) ⊕ (M'|ICV(M'))

= RC4(IV|K) ⊕ (M XOR Mod|ICV(M XOR Mod))

= RC4(IV|K) ⊕ (M|ICV(M)) XOR (Mod|ICV(Mod))

= P ⊕ (Mod|ICV(Mod))

• si nous disposons d'une trame chiffrée, le calcul d'une nouvelle trame

modifiée ne dépend que de la modification qu'on veut apporter.08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 38

Exploitation du CRC32

• Attaques par bit flipping

• Une attaque courante sur les protocoles cryptographiques

• On capture un contenu chiffré

On modifie des bits du contenu

On rejoue ce contenu et on observe la réaction

• Parade ?

• Ajouter une couche de contrôle d’intégrité

Idée : compenser la somme d’intégrité...


Déchiffrement de paquet

Arbaugh publie une première attaque contre WEP[ARB01] Korek publie

une attque similaire[KO04b] avec un outil appelé Chopchop

• Capture d’une trame multicast/broadcast

• Suppression du dernier octet de données

•3Hypothèse sur la valeur de l’octet supprimé

• Construction de la trame modifié par compensation de l’ICV

• On regarde si l’AP accepte la trame

Très efficace sur les petits paquets comme ARP (10-20s par paquet).


Attaques statistiques

• En 1995, Roos et Wagner[RW95] mettent en exergue un problème dans

RC4

• Il existe des classes de clés faibles

• Elles induisent des relations entre les états internes Si

• On peut en retouver des octets en étudiant les premiers tours[MIR02]

Ce problème n’est pas pris en compte lors de la conception de WEP

• Reprise des travaux...

• En 2001, Fluhrer, Mantin et Shamir publient une attaque[FMS01]

basée sur ces travaux contre WEP, dite FMS


Description de la FMS

• Une clé faible est caractérisée par ses 3 premiers octets

• Les 3 premiers octets représentent IV

• Un IV faible est de la forme (B + 3) | 0xFF k

• Les probabilités d’avoir des IV faibles sont fortes : 1 sur 13000 pour des

clés de 40bits, 1 sur 5000 pour 104 bits...

• L’exploitation de ces résultats montrent qu’on a 5% de chances de trouver

un octet de clé si on a un IV faible

Généralisation

• 60 trames faibles sont nécessaires pour dépasser 50% de

• chances de succ`es pour un octet

On a besoin d’environ 4 millions de trames que la clé soit de 40 ou 104

bits pour dépasser 50%08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 42

Amélioration à la FMS

• En 2004, Korek publie une généralisation de la FMS[KO04a]

• L’attaque est généralisée à tous les IV

Le nombre de trames nécessaires est divisé par 2, voire 4

• En 2007, d’autres relations sont mise en exergue[KLE06] et exploitée

[PTW07]

Le nombre de trames nécessaires tombe à 40000 !

• Les 50% de chance de succès sont très rapidement dépassés !


La FMS en pratique

La mise en oeuvre la plus efficace utilise du rejeu de paquets et est publiée

par Christophe Devine avec aircrack/aireplay[AIRC]

• Capture d’une requête ARP

• Rejeu de la trame

• Génération d’une réponse

• On boucle pour augmenter le trafic et collecter des trames

• Cassage de la clé WEP par FMS

Temps de réalisation

• Récupérer une clé WEP est alors une question de minutes[WACR]

Aircrack : permet, à partir d'une capture réseau contenant suffisament de

paquets chiffrés avec des IV différents, de casser une clé en une 10e de s.

Aireplay : stimuler de réseau, soit par injection de trames arbitraires avec

les techniques précédemment évoquées, soit par rejeu de trafic. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 44

Agenda


Le cas du WEP...

Sécurité : 802.11x, WPA, WPA2 802.11i

• Fonctionnement 802.11x, WPA, WPA2 802.11i

• Différences WPA // WPA2

• Failles ...

• Compatibilités

• Règles bon usage

•Evolutions ?


Aspects légaux


Bibliography


802.11x

• 802.1x ≡ WPA-EAP (ou WPA Enterprise ou EAPOL pour EAP Over Lan)

• S'applique au sans fil, mais aussi au filaire.

• Utilise un serveur d'authentification au lieu de la simple clé WEP.

• Chaque utilisateur sans fil possède ses propres login/pwd.

• L'intérêt pour une entreprise est de pouvoir réutiliser les comptes réseaux déjà existants (e.g., sur serveur LDAP ou serveur de domaine Microsoft).

• Pendant la phase d’authentification

La station ne peut accéder qu’au serveur d’authentificationTous les autres flux sont bloqués par l’AP

• Les flux vers réseau interne sont permis seulement après authentification


802.11x

• Avantages• Clé spécifique pour chaque client

• Vraie confidentialité entre client et AP• Renouvellement possible de clés

• Rend plus difficile la cryptanalyse• Usage d’un serveur d’authentification (e.g., RADIUS)

• Administration centralisée• Inconvénients

• Ecoute du trafic d’authentification• Attaque « man in the middle »• Déni de service• Complexité• Besoin d’un serveur d’authentification• Déploiement de certificats• Très nombreuses options possibles


WPA

Ne nécessite pas d'application web intermédiaire

Ne nécessite pas de période de vulnérabilité

Facile à déployer en env SOHO (e.g.,WPA-PSK avec phrasepasse )

Recommandation transitoire[WPA] de la Wi-Fi Alliance (2003) issue des

travaux en cours de l’IEEE

Pour être WPA le produit doit implémenter 802.1x & TKIP ==> WPA fournit• Nouvelle authentification basée sur PSK ou 802.1x (dit WPA-EAP)

Plusieurs méthodes d'authentification• Nouvel algorithme de génération et de rotation des clés (TKIP )• L’IV passe de 24 à 48 bits

• ... avec des vraies clés de 128 bits + MIC• Mécanisme de gestion des clés (possibilité de modifier clé ++ fois/s)• Nouvel algorithme de vérification d’intégrité basé sur SHA1 avec

séquencement appelé Michael

La solution tient la route ...08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 48

WPA (Wi-Fi Protected Access)

• Avantages

• WPA introduit un véritable concept de session, absent dans WEP

WPA adresse également les problèmes de rejeu et d'injection de trafic

• À l'issue de la phase d'authentification, chaque client se retrouve avec

une clé de session propre qui servira à initialiser TKIP (Temporal Key

Integrity Protocol) pour finalement chiffrer en RC4

Le filtrage des IVs faibles est standard

La clé est renouvelée tout les 10000 paquets

• Inconvénient

• TKIP repose toujours sur RC4 (et donc ses faiblesses)• WAP N'est pas applicable aux réseaux Ad-hoc.

• Temps de latence lors de la ré-authentification lors du passage d’une

borne à l’autre

Problème pour applis Temps Réel


WPA2 et 802.11i

• 802.11i est un standard de l’IEEE pour la sécurité Wi-Fi, ratifié en 2004.• WPA2 est une recommandation de la Wi-Fi Alliance extraite de 802.11i• WPA2 fournit

• Chiffrement au niveau liaison• RSN (Robust Security Network) : negociation paramètres de sécurité– Support des réseau Ad-Hoc– Authentification mutuelle par

• secret partagé (WPA2-PSK ou WPA2 Personal)

• 802.1x (WPA2-EAP) via un RADIUSRADIUS externe / EAP-TLS

• Gestion des clés : 4-way Handshake, Group Key Handshake, etc.

– Chiffrement avec AES ( Advanced Encryption Standard ) - CCMP

� AES: clés 128-bit, bloques 128-bit, mode “Counter” + CBC-MAC

� 48-bit Packet Number pour empêcher les rejeux

• Plus puissant que TKIP– Vérification d’intégrité par CCMP (Counter-mode/CBC-MAC Protocol ) 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 50

WPA2 et 802.11i : authentification mutuelle

• RSNA Establishment Procedures

– Network and Security Capability Discovery

– 802.11 Open System Authentication and Association

– EAP/802.1X/RADIUS Authentication

– 4-Way Handshake

– Group Key Handshake

– Secure Data Communications

• RSNA security analysis gives:

– can provide satisfactory authentication and key management

– could be problematic in Transient Security Networks (TSN)

– reflection attack could be possible if not implemented correctly


WPA2 et 802.11i : authentification mutuelle

Authentic

a-tion

Server

(RADIUS)

No Key

Authenticator

UnAuth/UnAsso

c

802.1X Blocked

No Key

Supplicant

UnAuth/UnAsso

c

802.1X Blocked

No Key

Supplicant

Auth/Assoc

802.1X Blocked

No Key

Authenticator

Auth/Assoc

802.1X Blocked

No Key

Authentic

a-tion

Server

(RADIUS)

No Key

802.11

Association

EAP/802.1X/RADIUS

Authentication

Supplicant

Auth/Assoc

802.1X Blocked

MSK

Authenticator

Auth/Assoc

802.1X Blocked

No Key

Authentic

a-tion

Server

(RADIUS)

MSK

MS

K

Supplicant

Auth/Assoc

802.1X Blocked

PMK

Authenticator

Auth/Assoc

802.1X Blocked

PMK

Authentic

a-tion

Server

(RADIUS)

No Key

4-Way

Handshake

Supplicant

Auth/Assoc

802.1X

UnBlocked

PTK/GTK

Authenticator

Auth/Assoc

802.1X

UnBlocked

PTK/GTK

Authentic

a-tion

Server

(RADIUS)

No Key

Group Key

Handshake

Supplicant

Auth/Assoc

802.1X

UnBlocked

New GTK

Authenticator

Auth/Assoc

802.1X

UnBlocked

New GTK

Authentic

a-tion

Server

(RADIUS)

No Key

Data

Communication

Supplicant

Auth/Assoc

802.1X

UnBlocked

PTK/GTK

Authenticator

Auth/Assoc

802.1X

UnBlocked

PTK/GTK

Authentic

a-tion

Server

(RADIUS)

No Key


WPA2 et 802.11i : 4 way handshake

• L'AP doit s'authentifier auprès du client• Les clés pour chiffrer le trafic doivent être générées• L'échange EAP (antérieur) fournit clés psecrête partagée PMK (Pairwise Master Key )• PMK doit s'exposer le mois possible• 4-way handshake est utilisé pour établir PTK (Pairwise Transient Key : 64 bits )

• PTK : PMK | nonce AP | nonce STA | @MAC AP | @MAC STA • The résultat est soumis à une fonction de hashage• Le handshake fournit également le GTK (Group Temporal Key ), utilisé pour chiffrer / calculer MIC pour trafic multicast

GTK + MIC

ACK

Génération PTK

PTK DerivedRandom GTK

STA AP Anonce ...

Snonce + MIC

1. AP envoie nonce à STA. Le client a mnt tous

attributs pour générer PTK

2. STA envoie nonce avec MIC à AP

3. AP envoie GTK et N° Sqce + MIC. Le N°

Sqce sera ulitisé pour trafic multicast / broadcast

==> les stations puisse détecter les rejeux

4. STA envoie confirmation à AP

�ote : PTK est utilisé pour générer 5 clés


Différences

• Très peu de différences entre WPA et WPA2

WPA ne supporte pas les liens Ad-Hoc

WPA ne possède pas la notion de RSN

WPA2 permet les réauthentification rapide en cas de roaming

WPA2 facilite la mixité des moyens de sécurité

• En dehors de cela, c’est pratiquement la même chose.

En particulier, on peut

Chiffrer en AES sur WPA

Chiffrer en TKIP avec WPA2


Qlq failles

• Des études sont été faites sur la sécurité WPA/WPA2

• On peut retrouver une PSK faible (<20 chars)[MOS03]

• L’injection de demande d’authentification écroule l’AP[HM04] (DoS)

• L’abus des contre-mesure contre le rejeu bloque le réseau (DoS)

• Attaque contre la TEK dans TKIP en 2105[MRH04] sans

exploitation pratique

• Le trafic de gestion n’est toujours pas protégé

Cependant, rien ne vous prot`ege d’attaque en DoS physique (réservation

de bande passante, brouillage)


Compatibilité WPA

• Support WPA dans les OS du marché

Windows XP SP1 + Patch (Windows Update)

Windows XP SP2, Vista et 2003

Windows Mobile 2003 SE and 5.0

Autres Windows avec wpa supplicant autre client tierce-partie

MacOS X 10.3

La plupart des drivers Linux avec wpa supplicant

NetBSD et FreeBSD avec wpa supplicant

Support AP pour Linux et FreeBSD hostapd

• Pas de support sous OpenBSD


Compatibilité WPA2

Support WPA dans les OS du marché

Windows XP SP2 avec patch

Windows 2003 avec patch

Windows Vista

Autres Windows avec wpa supplicant ou autre client tierce-partie

MacOS 10.4

La plupart des drivers Linux avec wpa supplicant

NetBSD et FreeBSD avec wpa supplicant

Support AP pour Linux et FreeBSD avec hostapd

Pas de support sous OpenBSD

fabricants seulement proposent des matériels agréés WPA2

Cisco, Intel (dont les chipset Centrino), Broadcom, Realtek, Atheros et

Instant802 Networks, RaLink


C/C

Alors ?

Les portails ne sont pas une bonne solution

Ni pour les clients

Ni pour les gestionnaires de réseau

WEP qui est cassé depuis longtemps et ne protège de rien

Les solutions sont là...

802.1x pour l’authentification

WPA/WPA2 pour la protection de la session

Vous n’avez pas confiance en WPA ou WPA2 ? Utilisez IPSEC !

AES = algorithme de chiffrement standard du gouvernement américain

• AES (requis par 802.11i) est obligatoire dans certification FIPS-140-2

• FIPS-140-2 est exigée dans marchés gouvernementaux américains et par

++ entreprises internationales dans appels offre sécurité


Rappel des règles de bon sens

• Positionner correctement les AP• Bien régler la fréquence• les AP ne doivent pas être liés aux réseaux de câbles,

• désactiver la diffusion du SSID dans les AP, et activer le masquage du SSID,

• désactiver la communication client-client dans le AP,

• changer les paramètres par défaut des AP (le SSID, les pwd, l’@ IP, etc.),

• mettre à jour en temps réel le firmare des AP et des cartes sans fil,

• activer le contrôle d’accès au niveau MAC & IP (activer les deux),

• activer le chiffrement ( min de 128 ou de 256-bits),

• éviter l’utilisation des clés secrètes WEP faciles à déviner,

• utiliser les AP gérant le WPA / WPA2 (TKIP, AES et 802.1X),

• désactiver le protocole DHCP sur les réseaux WLAN, surtout pour étendues des @

• observer la création de nouveaux AP car le pirate peut installer un AP jumeau

• vérifi er si les employés n’installent pas des AP sans autorisation,

• installer un faux point d’accès, afin de tromper l’adversaire,

• sécuriser les AP contre un accès physique (... pirate qui remet params par défaut)

•


Rappel des règles de bon sens

Sécuriser toutes les stations clientes et tous les serveurs (fermeture ports inutiles,

pare-feu, IDS); malheuresement, certains logiciels clients (p. ex., 3Com) stockent la

clé WEP sous la forme non codée dans le registre Windows

IDS / firewall• analyse des numéros de séquence, types bizarres des trames, @ de diffusion

générale (broadcast), @ MAC bizarres sur le réseau, par ex préfixes OUI

(Organizationally Unique Identifier) non accordés par IEEE,

Mettre en route les mécanismes classiques de sécurité• IPSec, VPN, architecture sécurisé ...

Les drivers Wi-Fi présentent des failles...

On peut atteindre le client directement

L’attaque visant le driver, on ne peut pas la filtrer

Le driver écoute qu’il soit associé ou non

Beaucoup de travaux en ce moment, et pas mal de failles découvertes[BUT07]

Surface vulnérable ?

Tout ordinateur avec un carte Wi-Fi active...

les utilisateurs des réseaux WLAN doivent être authentifiés (VPN, SSH, 802.1X ...)08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 60

C/C : évolutions

La normalisation arrive enfin à maturité

Transfert problème / solutions des bornes vers les commutateurs/Serveurs

Administration centralisée

Attitude active et automatique face aux attaques

Produits dimensionnés / adaptables pour l’entreprise

• Conformes avec les normes en vigueur

• Fournissant des services adaptés aux besoins des entreprises

Mais attention ...

• Des failles dans les implémentations sont toujours possibles

• Des failles dans la configuration sont très souvent présentes

Qls défis

• QoS, DoS, facilité admin, ...


Agenda


Le cas du WEP...


Servers d'Authentification Wi-Fi

• Architectures d'authentification wifi

• EAP

• Protocoles d'authentification wifi : Vue d'ensembl e

• RADIUS

Aspects légaux


Bibliography


Rappels : Archi d'authentification WPA2

WPA Personal

• permet de mettre en oeuvre une infrastructure sécurisée basée sur le WPA sans mettre en oeuvre de serveur d'authentification.

• Repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-shared Key, renseignée dans le point d'accès ainsi que dans les postes clients.

• Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur prédéfinie. En effet, le WPA permet de saisir une « passphrase », traduite en PSK par un algorithme de hachage.


WPA Enterprise • impose l'utilisation d'une infrastructure d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification, généralement un serveur RADIUSRADIUS (Remote Authentication Dial-in User Service), et d'un contrôleur réseau (le point d'accès). • Actuellement ce qu’il y a de plus sûr en terme de sécurité.

WPA s'appuie sur la famille 802.1x et le protocole EAPEAP, extension du protocole PPP (Point-to-Point Protocol), qui peut supporter de nombreux mécanismes d’authentification

cartes à jeton,

mots de passe à usage unique

authentification par clé publique / cert – utilisation cartes à puce.

Rappels : Archi d'authentification WPA2


EAP (Extensible Authentification Protocol)

L'authentification générée par WPA 2 est considérée comme forte quand

elle est couplée à EAP,

EAP authentifie le point d'accès avant de connecter l'utilisateur.

L'U fournit cert que lui a transmis le point d'accès, qui en vérifie la validité

EAP est conçu pour transporter des scénarios d'authentification

4 types de messages

requête, réponses, succès, Échec

3 catégories d'acteur Supplicant : poste demandant accès réseau Authenticator : dispositif Wi-Fi relai (également client RADIUS) Serveur authentification : serveur implémentant solution RADIUS



EAP-MD5EAP-MD5

• Client (C) authentifié par Serveur (S) en utilisant mécanisme défi-réponse

S envoie valeur aléatoire (défi),

• C calcul MD5 (défi | pwd) qu’il renvoie au serveur.

S, qui connaît pwd, calcule sa propre empreinte, compare et valide ou non

Ecoute trafic + attaque dictionnaire ==> trouver pwd

LEAPLEAP (Lightweight EAP)

• méthode propre à Cisco

• Utilisation secrets partagés pour authentifier mutuellement S et C

Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse

EAP-TTLS (tunneled Transport Secure Layer)

utilise TLS comme un tunnel pour échanger des couples attribut valeur à la

manière de RADIUS11 servant à l’authentification. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 66


PEAP (Protected EAP)• très semblable à EAP-TTLS mais développé Microsoft• Se sert d’un tunnel TLS pour faire circuler de l’EAP • On peut alors utiliser toutes les méthodes d’auth. supportées par EAP

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)• C’est la plus sûre. • S et C ont leurs certificats qui va servir à les authentifier mutuellement

Auth C peut se faire de différentes façons :

A l’aide d’un certificat personnel associé à la machine,

l’authentification a lieu au démarrage de la machine.

A l’aide d’un certificat personnel associé à l’utilisateur

l’authentification a lieu après l’entrée en session ("logon") de l’utilisateur.

Relativement contraignant car nécessité déployer PKI / IGC


EAP : recap


Exemple de protocoles d'authentification

Architecture AAA (Authentification Authorization Accounting)

Principaux protocoles d'authentification :

• TACACS, TACACS+, XTACACSTACACS, TACACS+, XTACACS

• Assez rependus, utilisent TCP

ne sont pas des standards

• KerberosKerberos

• Standard, dans Win 2000/3 Active Directory,

déploiement/interopérabilité complexe

RADIUSRADIUS (Remote Authentification Dial In User Service)

• Standard, S'appuie sur UDP

... Le plus approprié


RADIUS : propriétés

Protocole de transport des infos d'authentification

Standard : RFCRFC (2138 : aspect authentification, 2139 : suivi activités).

Gratuit, et son code est public et c'est un protocole ouvert.

Fonctionnement basé sur C/S chargé de définir accès utilisateurs distants • Serveur RADIUS (sous Win/Linux) relié à une base d'identification• Client RADIUS appelé NAS (Network Access Server ) faisant office

d'intermédiaire entre l'utilisateur final et le serveur.

UDP ==> Fiabilité transport• port UDP 1645 pour authentification 1646 pour suivi activités

L'∑ transactions est chiffré et authentifiée grâce à une clé partagée• Mécanisme utile lorsqu'une entreprise veut externaliser la gestion de

l'accès distant tout en gardant le contrôle sur sa sécurité.

Un serveur RADIUS peut jouer rôle de client pour un autre serveur RADIUS

++ possibilités: succès/échec tentative d'authentification peut dépendre du :• serveur d'accès depuis lequel requête a été envoyée, heure, jour, @IP

Possiblilité de définir restrictions pour transactions / ajouter fonctionalités


RADIUS : ex de fonctionnement globale

Le NAS envoie la requête de connexion par

l’utilisateur x.

Le serveur interroge le LDAP de l’école pour vérifier

l’identité du client.

L’authentification a-t-elle fonctionné.

Le serveur renvoie ACCEPT ou REJECT au NAS

Si l’authentification est réussie, le NAS laisse passer

le client vers le réseau et ce dernier obtient une

adresse IP grâce au serveur DHCP.


RADIUS : fonctionnement

1 Utilisateur qui souhaite établir connexion, contacte serveur d'accès distant :

remote access server (RAS) ou network access (NAS) qui est client RADIUS

L'utilisateur envoie une requête au NAS afin d'autoriser une connexion à

distance au serveur d'accès (requête de type access-request) : son login et

son mot de passe.

Le NAS achemine la demande au serveur RADIUS

Le serveur RADIUS consulte la base de données d'identification afin de

connaître le type de scénario d'identification demandé pour l'utilisateur.

RADIUS retourne une des quatre réponses suivantes :• ACCEPT : l'autorisation est acceptée, des informations supplémentaires

comme l'adresse IP ou le masque de réseau sont envoyées.• REJECT : le nom d'utilisateur et le mot de passe sont erronés.• CHALLENGE : le serveur souhaite plus d'informations• CHANGE PASSWORD : le serveur demande un nouveau mot de passe

Après avoir sélectionné un protocole d'authification, il faut déterminer la

manière dont on va s'authentifier.• pwd statique, OTP, carte à puce, clé USB, biométrie, ...


RADIUS : cas d'1 auth. Par pwd dynamique

Serveur envoie un challenge (numéro) à l'utilisateur.

L'utilisateur génère un nouveau pwd en utilisant son authentificateur

L’utilisateur envoie ensuite un access-request contenant le pwd généré.

Serveur vérifie infos reçues et renvoie : access-accept ou access-reject

Clients autorisés à émettre requête vers serveur sont identifiés par @IP et clef

partagée (secret).

Chiffrement pwd : MD5 (secret) XOR pwd

Note

Un certain nombre de fonctions de suivi d'activité sont définies dans la

norme (accounting-request/accounting-response).

Suite à la phase dite d'authentification débute une phase d'autorisation


RADIUS :choix solutions

FreeRADIUS

* Aradial WiFi

* Bridgewater Wi-Fi AAA

* Cisco Secure Access Control Server

* Funk Odyssey

* IEA RadiusNT

* Infoblox RADIUS One Appliance

* Interlink Secure.XS

* LeapPoint AiroPoint Appliance

* Meetinghouse AEGIS

* OSC Radiator

* Vircom VOP Radius

... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 74

Agenda


Le cas du WEP...



Limites

Aspects légaux


Bibliography


Aspects légaux

Chercher à s'introduire dans un SI tombe sous le coup de la loi Godefrain:

"Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou

partie d'un système de traitement automatise de données sera puni d'un

emprisonnement de 2 mois à un an et d'une amende de 2 000 F à 50 000 F ou

de l'une de ces 2 peines seulement."

Le seul fait d'entrer dans le système sans qu'il y ait lieu à considérer le but

poursuivi ou les conséquences possibles, est incriminable en temps que tel.

Le maintien volontaire dans un système d'autrui est incriminable.

Exemples :

Piratage d'un compte d'un autre utilisateur en utilisant un faux login

Tentative de connexion à un système en utilisant combinaisons login/pwd

Recherche d'infos afin de contourner mécanismes sécurité.

Bien entendu, rien ne vous empêche de tester la sécurité de votre réseau afin

de corriger les éventuelles failles de ce dernier.


Agenda


Le cas du WEP...



Limites

Aspects légaux


Bibliography


Diagnostic vulnérabilités

� Netstumbler (Win, PDA, Pocket PC), Kismet (Linux, Win 32)

- Découverte des réseaux Wi-Fi sous windows

- Couplé avec un GPS, il est possible de réaliser des cartes.

� Ethereal (win, Linuw), tcpdump, airodump

- Une fois la libpcap à jour, ils peuvent écouter/scanner/capturer le 802.11

� Airjack, Aeropeek.exe (Win)

- injection paquets / forger trames désauthentification/désassociaon

� Aireplay

- envois paquets afin de stimuler le reseau et capturer plus de paquets

� Aircrack

- à partir des infos capturées à l'aide d'airodump va trouver la clef


Agenda


Le cas du WEP...



Limites

Aspects légaux


Bibliography


Biblio

Travaux de Cédric Blancher•[IEEE04a] IEEE Std 802.1x, Port-Based Network Access Control, 2004, http://standards.ieee.org/getieee802/download/802.1X-2004.•[IEEE99] ANSI/IEEE Std 802.11,Wireless LAN Medium Access Control and Physical Layer Specifications, 1999, http://standards.ieee.org/getieee802/download/802.11-1999.•[IEEE04b] IEEE Std 802.11i, Medium Access Control Security Enhancements, 2004, http://standards.ieee.org/getieee802/download/802.11i-2004.[WPA] Wi-Fi Protected Access, http://www.wi-fi.org/OpenSection/protected access archive [WPA2] Wi-Fi Protected Access 2, http://www.wi-fi.org/OpenSection/protected access.asp[RW95] A. Roos and D.A. Wagner, Weak keys in RC4, sci.crypt Usenet newsgroup[WAL00] J. Walker, Unafe at any key size ; An analysis of WEP encapsulation, 2000,

http://www.dis.org/wl/pdf/unsafew.pdf•[ASW01] W.A. Arbaugh, N. Shankar and Y.C.J. Wan, Your 802.11 Wireless Network Has No Clothes, 2001, http://www.cs.umd.edu/∼waa/wireless.pdf•[FMS01] S. Fluhrer, I. Mantin and A. Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, 2001, http://www.drizzle.com/∼aboba/IEEE/rc4 ksaproc.pdf[MIR02] I. Mironov, (Not so) Random shuffles of RC4, 2002,

http://eprint.iacr.org/2002/067.pdf[MOS03] R. Moskowitz, Weakness in Passphrase Choice in WPA Interface, 2003,

http://wifinetnews.com/archives/002452.html•[HM04] C. He and J.C. Mitchell, 1 Message Attack on 4-Way Handshake, 2004, http://www.drizzle.com/∼aboba/IEEE/11-04-0497-00-000i-1-


Biblio

[MRH04] V. Moen, H. Raddum and K.J. Hole, Weakness in the Temporal Key Hash of WPA, 2004,http://www.nowires.org/Papers-PDF/WPA attack.pdf[KLE06] A. Klein, Attacks on the RC4 stream cipher, http://cage.ugent.be/∼klein/RC4/RC4-en.ps[BHL06] A. Bittau, M. Handley and J. Lackey, The Final Nail in WEP’s Coffin,http://www.cs.ucl.ac.uk/staff/M.Handley/papers/fragmentation.[DNG06] L.K Deleuran, T.L Nielsen and H. Gammelmark, Insecurity of the IEEE 802.11 Wired Equivalent Privacy (WEP) standard, http://www.daimi.au.dk/∼ivan/cryptology-wep.pdf[PTW07] A. Pyshkin, E. Tews and R.P. Weinmann, Breaking 104 bit WEP in less than 60 seconds,http://eprint.iacr.org/2007/120.pdf[ABOB] Bernard Aboba, The Unofficial 802.11 Security Web Page, http://www.drizzle.com/∼aboba/IEEE/[WIFI] Wi-Fi Alliance, http://www.wi-fi.org/[MISC] MISC Magazine, http://www.miscmag.com/[WACR] Cracking WEP in 10 minutes with WHAX, http://sid.rstack.org/videos/aircrack/whax-aircrack-wep.C´[ARB01] W.A. Arbaugh, An Inductive Chosen Plaintext Attack against WEP/WEP2, 2001,http://www.cs.umd.edu/∼waa/attack/v3dcmnt.htm[BLA02] C. Blancher, Switched environments security, a fairy tale, 2002,http://sid.rstack.org/pres/0207 LSM02 ARP.pdf[BLA03] C. Blancher, Layer 2 filtering and transparent firewalling, 2003,http://sid.rstack.org/pres/0307 LSM03 L2 Filter.pdf[KO04a] Korek, http://www.netstumbler.org/showthread.php?p=89036[KO04b] Korek, Chopchop, http://www.netstumbler.org/showthread.php?t=12489


Biblio

[MRH04] V. Moen, H. Raddum and K.J. Hole, Weak[BUT07] L. Butti, Wi-Fi Advanced Fuzzing,http://www.blackhat.com/presentations/bh-eu-07/Butti/Presentation/[AIRC] C. Devine, Aircrack, http://www.cr0.net:8040/code/network/aircrack/[AIRP] Airpwn, http://www.evilscheme.org/defcon/[ARPS] Arp-sk, http://sid.rstack.org/arp-sk/[EBT] Ebtables, http://ebtables.sourceforge.net/[HAP] Hostap Linux driver, http://hostap.epitest.fi/[HAPD] Hostapd authenticator,http://hostap.epitest.fi/hostapd/[MADW] Madwifi project, http://madwifi.sourceforge.net/[NSTX] Nstx, http://nstx.dereference.de/nstx/[OZY] OzymanDNS, http://www.doxpara.com/ozymandns src 0.1.tgz[PR54] Prism54 Linux driver, http://prism54.org/[PYTH] Python, http://www.python.org/[RT25] RT2500 Linux driver, http://rt2x00.serialmonkey.com/[RTL8] RTL8180 Linux driver, http://rtl8180-sa2400.sourceforge.net/[SCAP] Scapy, http://www.secdev.org/projects/scapy/[WLAN] Linux Wlan-ng, http://www.linux-wlan.org/[WPAS] Wpa supplicant, http://hostap.epitest.fi/wpa supplicant/[WTAP] Wifitap, http://sid.rstack.org/index.php/Wifitap EN[ISCD] ISC Handler’s Diary, http://isc.sans.org/diary.php?date=2005-06-26

introduction problèmesirt.enseeiht.fr/anas/cours/secwifi.pdf08/01/08 anas abou el kalam -...

Documents