Matériels de formation pour les formateurs du sans fil Securite du Sans Fil.

Présentation au sujet: "Matériels de formation pour les formateurs du sans fil Securite du Sans Fil."— Transcription de la présentation:

1 Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

2 2 Objectifs Comprendre quelles sont les questions de sécurité qui sont importantes à considérer lors de la conception de réseaux WiFi Etre introduit au cryptage, comment il marche, et pourquoi il peut résoudre certains problèmes de sécurité Comprendre le problème de la distribution des clés Etre en mesure de déterminer la meilleure configuration de sécurité pour votre système sans fil

3 3 Pourquoi la sécurité sans fil est un problème? Le sans fil est un milieu partagé Les attaquants sont relativement anonymes Les utilisateurs finaux sont peu instruits Déni de service (Denial-of-service) est très simple Les attaques malveillantes automatisées sont de plus en plus complexes Des outils sophistiqués sont disponibles gratuitement

4 4 Les attaques peuvent venir de loin

5 5 5

6 6 Les attaques peuvent être complètement indétectables

7 7 Qui crée des problèmes de sécurité? Les usagers involontaires Les wardrivers Les oreilles indiscrètes (espions: individus et des sociétés) Les ordinateurs infectés par un virus Les points d'accès illicites Les usagers malveillants

8 8 Les usagers involontaires peuvent accidentellement choisir le mauvais réseau sans même s'en rendre compte. Ils peuvent involontairement révéler des informations sur eux- mêmes (les mots de passe, e-mail, les visites de pages web, etc.) sans se rendre compte que quelque chose nest pas bon.

9 9 War Games (1983) starred Matthew Broderick, John Wood, and Ally Sheedy

10 10 War driving map from WiGLE.net 10

11 11 Points d'accès illicites Les points d'accès peuvent tout simplement être installés de façon incorrecte par des usagers légitimes. Quelqu'un peut vouloir une meilleure couverture sans fil dans son bureau, ou il pourrait trouver les mesures de sécurité sur le réseau sans fil de l'entreprise trop difficiles à respecter. En installant un point d'accès bon marché sans autorisation, les utilisateurs peuvent ouvrir l'ensemble du réseau à des attaques potentielles de l'intérieur. En outre, les oreilles indiscrètes qui ont l'intention de recueillir des données ou faire des dommages au réseau peuvent intentionnellement installer un point d'accès sur votre réseau, constituant ainsi une "porte arrière".

12 12 Les oreilles indiscrètes En utilisant un outil de surveillance passif (tel que Kismet), un espion peut enregistrer toutes les données du réseau à partir d'une grande distance, sans jamais faire connaître sa présence.

13 13 Les utilisateurs malicieux

14 14 Considérations de sécurité de base La sécurité physique: Est-ce que le matériel est bien protégé? Authentification: A qui êtes-vous en train de parler réellement? Confidentialité: Est-ce les communications peuvent être interceptées par un tiers? Quelle quantité de données enregistrez vous sur vos utilisateurs? Anonymat: Est-il souhaitable que les utilisateurs restent anonymes? Comptabilité: Est-ce que certains utilisateurs utilisent trop de ressources? Savez-vous quand votre réseau est attaqué et non pas simplement surchargé?

15 15 Problemes de securite physique

16 16 Protéger votre réseau sans fil Voici quelques mesures de sécurité qui peuvent être utilisées pour protéger vos utilisateurs et votre réseau sans fil. Réseaux fermés Le filtrage MAC Portails captifs Cryptage WEP Cryptage WPA Cryptage fort de bout en bout Strong end-to-end encryption 16

17 17 Les réseaux fermés En cachant le SSID (c.-à-d pas lafficher dans les balises), vous pouvez empêcher votre réseau d'être affiché par les utilitaires daffichage de réseau. Avantages: Fonctionnalité de sécurité standard supportée par presque tous les points d'accès. Les utilisateurs indésirables ne peuvent pas choisir accidentellement un réseau «fermé» à partir d'une liste de réseaux. Inconvénients: L'utilisateur doit connaître le nom du réseau à l'avance. Les réseaux « fermés » ne sont pas faciles à trouver lors dune inspection de site, et pourtant, ils sont faciles à trouver en utilisant les outils de surveillance passifs.

18 18 Filtrage MAC Un filtre MAC peut être appliqué à un point d'accès pour déterminer (contrôler) les dispositifs qui peuvent être autorisés à se connecter. Avantages: Fonctionnalité de sécurité standard supportée par presque tous les points d'accès. Seuls les appareils possédant la même adresse MAC peuvent se connecter à votre réseau. Inconvénients: Les tables MAC ne sont pas pratiques à entretenir. Les adresses MAC sont transmises en clair (même si vous utilisez le chiffrement WEP), et sont facilement copiées et réutilisées.

19 19 Portails Captifs Un portail captif est un mécanisme d'authentification utile dans les cafés, hôtels, et autres milieux où l'accès utilisateur occasionnel est nécessaire. En utilisant un navigateur Web pour l'authentification, les portails captifs travaillent avec pratiquement tous les ordinateurs portables et systèmes d'exploitation. Les portails captifs sont typiquement utilisés sur les réseaux ouverts, sans autres méthodes d'authentification (WEP ou comme filtres MAC). Comme ils noffrent pas un encryptage fort, les portails captifs ne sont pas un très bon choix pour les réseaux qui doivent être verrouillés afin de ne permettre l'accès quaux utilisateurs de confiance.

20 20 Portails Captifs

21 21 Portails Captifs Populaires Ces portails captifs open source de supportent des « pages de garde (splash pages) », l'authentification RADIUS, comptabilité, billetterie pré-payée, et de nombreuses autres fonctionnalités. Coova (http://coova.org/)WiFi Dog (http://www.widog.org/) m0n0wall (http://m0n0.ch/wall/)

22 22 Écoute clandestine En écoutant passivement aux données du réseau, des utilisateurs malveillants peuvent collecter des informations privées.

23 23 Man-in-the-middle (MITM) Le man-in-the-middle contrôle effectivement tout ce que l'utilisateur voit, et peut enregistrer et de manipuler l'ensemble du trafic.

24 24 Lencryption peut aider Lencryption peut aider à protéger le trafic des oreilles indiscrètes. Certains points d'accès peuvent tenter d'isoler les machines clientes. Mais sans une infrastructure à clé publique, un encryptage fort ne suffit pas à protéger complètement contre ce genre d'attaque.

25 25 Les bases du cryptage Lencryptage des informations est relativement facile La distribution de clés est difficile L'identification unique est un défi pour le sans fil La cryptographie à clé publique résout un grand nombre (mais pas tous) des problèmes Le Man-in-the-middle est toujours possible si le cryptage est utilisé sans une infrastructure à clé publique (PKI) Il nexiste pas de PKI qui est entièrement sécurisé

26 26 Faillite du PKI: 2001 « À la fin de Janvier 2001, VeriSign delivra par erreur deux certificats de signature de code de classe 3 à quelqu'un qui prétendait faussement représenter Microsoft. Les certificats furent été émis au nom de Microsoft, en particulier "Microsoft Corporation". Après la délivrance des certificats, un audit de routine VeriSign découvrit l'erreur en mi-Mars, environ 6 semaines plus tard. » http://amug.org/~glguerin/opinion/revocation.html

27 27 Faillite PKI: 2009 http://www.networkworld.com/news/2009/010609-verisign-ssl-certificate-exploit.html 27

28 28 Encryptage WEP Une partie de la norme 802.11, Wired Equivalent Privacy permet le cryptage partagé de base de couche deux. WEP fonctionne avec presque tous les périphériques WiFi modernes. Avantages: fonctionnalité de sécurité standard supportée par presque tous les points d'accès. Inconvénients: clé partagée, de nombreuses failles de sécurité, méthodes de spécification clé incompatibles, maintenance à long terme est impossible sur les grands réseaux. En bref: Utilisez WPA2-PSK à la place.

29 29 Encryptage WPA Le WPA2 (802.11i) est maintenant la norme pour l'accès Wi-Fi protégé. Il utilise le port dauthentification 802.1x avec l'Advanced Encryption Standard (AES) pour fournir une authentification et un cryptage forts. Avantages: Nettement plus forte que la protection WEPStandard ouvertVérification des clients et points d'accès. Bon pour les réseaux «campus» ou de «bureau» Inconvénients: Quelques problèmes d'interopérabilité vendeur, configuration complexe, protection seulement au niveau de la couche deux.

30 30 WPA-PSK (clé pré-partagée) Phrase de passe de 8 à 64 caractères Bien que le WPA-PSK est plus fort que WEP, des problèmes subsistent Eglise des tables arc-en-ciel WPA2-PSK: 1 million de mots de passe communs x 1.000 SSID communs. 40 Go de tables de conversion disponibles sur DVDs. –http://www.renderlab.net/projects/WPA-tables/http://www.renderlab.net/projects/WPA-tables/ PSK est synonyme de Pre-Shared Key. L'intention derrière WPA-PSK était de fournir une solution WPA simple comparable à WEP, mais plus sécurisée.

31 31 WPA-TKIP exploits Les nouvelles attaques sont sans cesse lancées a mesure que de nouvelles méthodes sont découvertes. Cette technique peut injecter des paquets de petite taille (tels que les ARP ou paquets DNS) dans un réseau WPA-TKIP. http://bit.ly/11ipM6

32 32 Logiciel de cryptage fort SSL (Secure Socket Layer) SSH (Secure Shell) OpenVPN IPSec (Internet Protocol Security) PPTP (Point-to-Point Tunneling Protocol) Un bon logiciel de sécurité de bout en bout doit fournir une forte authentification, un fort cryptage et une forte gestion de clés. Les examples comprennent:

33 33 Les tunnels cryptés Le cryptage de bout en bout offre une protection tout le long du chemin jusquà l'extrémité distante de la connexion.

34 34 Le cryptage SSL Le SSL est intégré dans de nombreux programmes populaires sur Internet, y compris les navigateurs Web et les clients de messagerie.

35 35 Les tunnels SSH Le SSH est reconnu pour offrir un accès shell en ligne de commande, mais cest aussi un outil d'usage général pour la réalisation des es tunnels TCP et le cryptage de proxy SOCKS.

36 36 OpenVPN Supporte Windows Vista/XP/2000, Linux, BSD, Mac OS X SSL/TLS ou cryptage a clés partagées VPN de couche 2 ou traffic pour la couche 3 Robuste et très flexible: peut fonctionner sur TCP, UDP, ou même SSH! OpenVPN est une solution VPN puissante a travers différentes plates-formes.

37 37 Autres VPNs IPSec, PPTP, VPN Cisco, etc. fournissent un cryptage de bout en bout. En fournissant une authentification et un crytptage forts, les VPNs rendent l'utilisation des réseaux non sécurisés fiable, tels que les hotspots sans fil ouverts et l'Internet

38 38 Résumé La sécurité est un sujet complexe aux multiples facettes. Aucun système de sécurité nest réussie si elle empêche aux gens d'utiliser efficacement le réseau. En utilisant un cryptage de bout en bout fort, vous pouvez empêcher les autres d'utiliser ces mêmes outils pour attaquer vos réseaux, et rendre fiable l'utilisation des réseaux complètement non fiables (à partir d'un point d'accès sans fil public jusquà l'Internet). En apprenant à choisir les paramètres de sécurité WiFi appropriés, vous pouvez limiter le type d'attaques qui peuvent être lancées sur votre réseau, faire face à un problème ou planifier la croissance du réseau.

39 Pour plus de détails sur les sujets abordés dans cette leçon, veuillez, s'il vous plaît, vous référer au livre « Réseaux sans fil dans les Pays en Développement », disponible en téléchargement gratuit dans de nombreuses langues sur http://wndw.net/ Merci pour votre attention