801.11 Wi-Fi Sécurité.

Présentation au sujet: "801.11 Wi-Fi Sécurité."— Transcription de la présentation:

1 Wi-Fi Sécurité

2

3 Les étapes sécurisation WiFi

4 Authentification la base
SSID Echange du SSID pour l’authentification. Les bases Régler la portée des points d’accès, Protéger point d’accès, Vérifier les conditions d’utilisation après un reset, Retirer le SSID de la trame beacon éventuellement. Filtrage du nom de réseau (SSID) Ne pas choisir un nom de réseau, en rapport direct avec la société Quand le PA le permet, retirer le SSID de la trame Beacon Assez facilement contournable avec un sniffer. Filtrage des adresses MAC : Une adresse MAC est obligatoirement transmise en clair par logiciel. Liste des adresses autorisées et refusées. Si l’AP le permet, associer le nom de l’utilisateur avec l’adresse MAC Comme pour le filtrage SSID: trop facilement contournable avec un sniffer. Il faut traiter les pertes et les vols. Certaines cartes sans fil permettent de changer leurs adresses MAC Quand il y a plusieurs PAs (Point d'Accès), il faut maintenir la cohérence. La liste des adresses MAC ne peut pas être très longue. (1000 nœuds maxi.)

5 Sécurité de base, WEP La sécurité de base existante consiste en deux sous-systèmes: Un algorithme d’authentification à clef partagée (Shared Key Authentication) Une technique de chiffrement et d’encapsulation des données appelée WEP (Wired Equivalent Privacy) Authentification clé WEP: Clé privée d’authentification délivrée hors bande L’AP transmet une phrase aléatoire en texte (challenge-plain text) La station crypte la phrase et la retransmet au PA

6 Le process ICV Integrity Check Value (CRC)
The pseudorandom number generator (PRNG) is a set of rules used to expand the key into a keystream. Un générateur de nombres aléatoires utilisant le code Ron 4 (RC4 –PRNG) de RSA Data Security élabore un vecteur d'initialisation (IV) de 24 bits , qui associé à l'une des quatre clés partagées possibles (40 ou104 bits) programmées dans le RLAN, constitue une clé de chiffrage de taille 64 ou 128 bits. A chaque paquet, le vecteur d'initialisation est régénéré, la clé de chiffrement change donc à chaque trame transmise. La plupart du temps cet IV est incrémenté de 1, et comme on le verra plus loin, il est placé en clair devant les données cryptées, ICV Integrity Check Value (CRC) IV vecteur d’initialisation, choisit aléatoirement

7 WPA i Data is encrypted using the RC4 stream cipher, with a 128-bit key and a 48-bit initialization vector (IV). One major improvement in WPA over WEP is the Temporal Key Integrity Protocol (TKIP), which dynamically changes keys as the system is used. When combined with the much larger IV, this defeats the well-known key recovery attacks on WEP. In addition to authentication and encryption, WPA also provides vastly improved payload integrity. The cyclic redundancy check (CRC) used in WEP is inherently insecure; it is possible to alter the payload and update the message CRC without knowing the WEP key. A more secure message authentication code (usually known as a MAC, but here termed a MIC for "Message Integrity Code") is used in WPA, an algorithm named "Michael". The MIC used in WPA includes a frame counter, which prevents replay attacks being executed; this was another weakness in WEP. WPA was formulated an intermediate step towards improved security for two reasons: first, i's work lasted far longer than originally anticipated, spanning four years, during a period of ever-increasing worries about wireless security; second, it encompasses as a subset of i only elements that were backwards compatible with WEP for even the earliest b adapters. WPA firmware upgrades have been provided for the vast majority of wireless network interface cards ever shipped; access points sold before 2003 generally needed to be replaced. By increasing the size of the keys and IVs, reducing the number of packets sent with related keys, and adding a secure message verification system, WPA makes breaking into a Wireless LAN far more difficult. The Michael algorithm was the strongest that WPA designers could come up with that would still work with most older network cards; however it is subject to a packet forgery attack. To limit this risk, WPA networks shut down for 30 seconds whenever an attempted attack is detected.

8 WPA (Wi-Fi Protect Access)
WPA a été créé par « The WI-FI Alliance, un groupement industriel qui possède le label Wi-Fi et certifie les les produits qui portent ce logo, les résultats seront le i ratifier en Juin 2004 Les points essentiels Authentification – PSK / Entreprise WPA entreprise est architecturé avec l’utilisation d’un protocole d’autentification x, un authentification server, qui distribue les clés à chaque clients; cependant. Le WPA-PSK, est la version la plus simple, c’est le « Pre-Shared Key" (PSK) mode, dans lequel les utilisateurs utilisent la même identification Cryptage TKIP WPA2 est la certification du standard IEEE i plus plus.. WPA2 implémente les éléments définis dans le standard en particulier " the Michael algorithm " est remplacé paru un message authentication code, CCMP, qui est considéré très secure et introduction du AES en option pour le cryptage WPA development WPA was created by The Wi-Fi Alliance, an industry trade group, which owns the trademark to the Wi-Fi name and certifies devices that carry that name. Certifications for implementations of WPA started in April 2003 and became mandatory in November The full i was ratified in June 2004. WPA is designed for use with an 802.1X authentication server, which distributes different keys to each user; however, it can also be used in a less secure "pre-shared key" (PSK) mode, where every user is given the same passphrase. The Wi-Fi Alliance calls the pre-shared key version WPA-Personal or WPA2-Personal and the 802.1X authentication version WPA-Enterprise or WPA2-Enterprise. Data is encrypted using the RC4 stream cipher, with a 128-bit key and a 48-bit initialization vector (IV). One major improvement in WPA over WEP is the Temporal Key Integrity Protocol (TKIP), which dynamically changes keys as the system is used. When combined with the much larger IV, this defeats the well-known key recovery attacks on WEP. In addition to authentication and encryption, WPA also provides vastly improved payload integrity. The cyclic redundancy check (CRC) used in WEP is inherently insecure; it is possible to alter the payload and update the message CRC without knowing the WEP key. A more secure message authentication code (usually known as a MAC, but here termed a MIC for "Message Integrity Code") is used in WPA, an algorithm named "Michael". The MIC used in WPA includes a frame counter, which prevents replay attacks being executed; this was another weakness in WEP. WPA was formulated an intermediate step towards improved security for two reasons: first, i's work lasted far longer than originally anticipated, spanning four years, during a period of ever-increasing worries about wireless security; second, it encompasses as a subset of i only elements that were backwards compatible with WEP for even the earliest b adapters. WPA firmware upgrades have been provided for the vast majority of wireless network interface cards ever shipped; access points sold before 2003 generally needed to be replaced. By increasing the size of the keys and IVs, reducing the number of packets sent with related keys, and adding a secure message verification system, WPA makes breaking into a Wireless LAN far more difficult. The Michael algorithm was the strongest that WPA designers could come up with that would still work with most older network cards; however it is subject to a packet forgery attack. To limit this risk, WPA networks shut down for 30 seconds whenever an attempted attack is detected. [edit] WPA2 WPA2 is the certified form of IEEE i tested by the Wi-Fi Alliance. WPA2 implements the mandatory elements of i [1]. In particular, the Michael algorithm is replaced by a message authentication code, CCMP, that is considered fully secure and RC4 is replaced by AES. Official support for WPA2 in Microsoft Windows XP was rolled out on the 1st of May Driver upgrades for network cards may be required. Apple Computer supports WPA2 on all AirPort Extreme-enabled Macintoshes, the AirPort Extreme Base Station, and the AirPort Express. Firmware upgrades needed are included in AirPort 4.2, released July 14, 2005.

9 Un apport déterminant WPA: TKIP
TKIP (Temporal Key Integrity Protocol) est essentiellement un upgrade qui tend à pallier les défauts connus du WEP, du cryptage RC4 Le vecteur d’initialisation est hashé (empreinte cryptée) , évitant le snooping de paquets, et permettant de procurer un message d’intégrité (MIC).. TKIP inclus également le mode de gestion de clé dynamiques, qui constitue une première parade assez efficace, contre les crackers de clé WEP, utilisés en mode passif. Il est généralement implémenté en firmware ou en logiciel , donc permet les upgrade faciles des points d’accès et ponts . TKIP spécifie les règles d’utilisation : de l’IV, des bases de modification des clés (re-keing),des procédures éventuelles 8021.x par paquet, et le mode mixte du code d’intégrité (MIC). La performance du débit peut s’en trouver affectée, mais compte tenu de la simplicité d’implémentation d’une part, et le gain en sécurité ,d’autre part, cette solution peut être acceptable pour sécuriser des réseaux de petite et moyenne dimension, tout en considérant les limites de ce mécanisme.

10 Apport TKIP Vecteur d'initialisation de 48-bits : Le WEP n'utilise qu'un vecteur d'initialisation de 24-bits. Le crackage de la clé WEP provient du fait que le pirate peut déterminer la clé WEP à partir du vecteur d'initialisation de 24-bits. En utilisant un vecteur d'initialisation de 48-bits, il est bien plus difficile à déterminer. Le PA génère et distribue les clés de cryptage Description de clé de cryptage de façon périodique à chaque client. En fait, chaque trame utilise une nouvelle clé. Cela évite d'utiliser une même clé WEP pendant des semaines voire des mois. Code d'intégrité du message : Ce code, appelé également "Michael" (MIC : Message Integrity Code) permet de vérifier l'intégrité de la trame. Le WEP utilise une valeur de vérification d'intégrité (ICV) de 4 octets (comme un CRC pour un fichier ZIP par exemple). Le WPA rajoute un MIC de 8 octets. Serveur de clés wep : L’avantage de TKIP est de pouvoir l’implanter directement sur le matériel existant en changeant uniquement le logiciel des cartes sans fil et des AP (Access Point).

11

12

13 Configuration WPA ap#conf ter
Enter configuration commands, one per line. End with CNTL/Z. ap(config)#dot11 ssid celeste ap(config-ssid)#authentication open ap(config-ssid)#authentication key-management wpa ap(config-ssid)#wpa-psk ascii margeride ap(config-ssid)#guest-mode ap(config-ssid)#exit ap(config)#interface dot11Radio 0 ap(config-if)#encryption mode ciphers tkip ap(config-if)#ssid celeste ap(config-if)#no shutdown ap(config-if)# * %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset * %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 19 seconds * %DOT11-6-FREQ_USED: Interface Dot11Radio0, frequency 2417 selected * %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up * %LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed state to up * %DOT11-7-AUTH_FAILED: Station 000e.35be.47bf Authentication failed * %DOT11-6-ASSOC: Interface Dot11Radio0, Station 000e.35be.47bf Associated KEY_MGMT[WPA PSK]

14 Config PC

15 Etude trame Cas numéro un sans cryptage: CaptureWiFi.pcap trame 563 par exemple Cas numéro deux avec cryptage TKIP: Capture par exemple CaptureWLANCours01.pcap filtre: wlan.tkip.extiv Cas numéro trois cryptage CCMP: Capture par exemple CaptureWLANCours01.pcap filtre: wlan.ccmp.extiv

16 CCMP Counter Mode with Cipher Block chaining Message Protocol Suite d’opération pour assure la confidentialité, l’intégrité et l’authentification en utilisant des technologies de cryptage symétrique par block CCM utilise counter (CTR) mode pour la confidentialité CCM utilise CCM avec CBC-Mac pour l’authentification et l’intégrité Cypher Block Chaining Message Authentification Code Les algorithmes de base étant l’AES Advanced Encryption Standard Methode préconisée par la NIST ( National Institude of Standards and Technology elle-même sous l’autorité US Federal Information Security) Solution long terme État de l’art cryptographique La meilleure à ce jour

17 Authentication CCMP ou TKIP une technologie d’Authentification avec un chiffrement symétrique Quels mécanismes pour distribuer/attribuer les clés? Multiple Les clefs doivent être liées avec le dispositif d’authentification. WPA-PSK Clé partagé identique, pour une utilisation SOHO WPA Entreprise, Avec serveur d’authentification SOHO small office, home office

18 Authentification centralisé
Une authenfication centralisée avec un serveur Facilité l’administration des utilisateurs, Plus simple qu’un gestion de clé manuelle pour chaque utilisateur!! Ce serveur peut être interne au PA, ou LDAP dans l’entreprise, et utiliser un protocole d’authentification radius par exemple

19 Authentification x 802.1X une boîte à outil générique pour les LANs afin de permettre: L’authentification sur un port Port = un point d’attachement d’un système à LAN, Dans le schéma on voit un port contrôlé et un port sans authentification Dans le cas ou le port est contrôlé, il va falloir mettre un processus d’authentication avant d’autoriser l’accès

20 Authentification 802.1 x État non authentifié État authentifié
4/11/2017 2:34 PM Authentification x État non authentifié État authentifié Accès bloqué Accès autorisé © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

21 Authentification 802.1X /EAP
Extensible Authentification Protocol, Protocole d’authentification Le boite à outils côté LAN assuré par 802.1X Un serveur d’authentification RADIUS Dérivation des clés de cryptage après l’authentification Mise en place politique de sécurité avec temps d’expiration des sessions, Plusieurs variantes sur le moyen authentification utilisateur EAP-TLS EAP-TTLS/MSCHAPv2 PEAPv0/EAP-MSCHAPv2 PEAPv1/EAP-GTC EAP-SIM EAP-PSK

22 Les variantes EAP-SIM EAP-PSK EAP-TLS (MS) PEAP (MS-Cisco) EAP-TTLS
(Funk) Authentification mot de passe Par carte sim OUI NON Certificats-client Certificats-serveur Niveau sécurité identité Fort moyen Echange clé dynamique Identification Mutuelle PEAP et TTLS très voisin, certificat sur le serveur mais pas sur les clients. On utilise le processus du système (AD ou LDAP pour identifier le client)

23 Exemple environnement

24 Exemple box Fichier: captureavec_filtre_eap_or_eapol.pcap
EAPOL – EAP over LAN Utilisé dans l’authentification PSK 972 à 978 EAP using SIM Utilisé pour identifier mobile pour accès WiFI avec son abonnement mobile 924 à 970

25 EAP radius EAP over RADIUS est la transmission d’EAP messages par l’access server au RADIUS server pour authentication. L’EAP message envoyé entre l’access client et l’access server est formatté comme un EAP-Message RADIUS attribute décrit dans le RFC 2869, section 5.13, et envoyé entre l’access server et the RADIUS server. L’access server devient uniquement un intermédiaire pour transmettre des EAP messages entre l’access client et le RADIUS server. Le traitement des messages EAP messages est faite au niveau de l’ access client et du server RADIUS, pas au niveau du l’access server, voir figure au dessus. EAP over RADIUS est utilisé dans des environnement ou RADIUS est utilisé pour fournir un service d’authentification. L’avantage d’utiliser EAP over RADIUS vient du fait que EAP types n’a pas besoin d’être installé sur chaque access server mais seulement au niveau du RADIUS server. Cependant, l’access server doit supporté la négociation EAP comme authentication protocol et la transmission de message EAP au serveur RADIUS. Dans un usage typique d’EAP over RADIUS, l’access server est configuré pour utiliser EAP et d’utiliser RADIUS comme authentification provider. When a connection attempt is made, the access client negotiates the use of EAP with the access server. When the client sends an EAP message to the access server, the access server encapsulates the EAP message as the EAP-Message attribute of a RADIUS Access-Request message and sends it to its configured RADIUS server. The RADIUS server processes the EAP message in the EAP-Message attribute and sends an EAP response message as a RADIUS Access-Challenge message with the EAP-Message attribute to the access server. The access server then forwards the EAP message to the access client.

26 802.1x/EAP Authentification

27 Plus de détails

28 Configuration WPA EAP-TLS
ap(config)# radius-server host ap(config)# aaa new-model ap(config)# aaa group server radius rad_eap ap(config-sg-radius)# server ap(config-sg-radius)# exit * %RADIUS-4-NOSERV: Warning: Server :1645,1646 is not defined.au ap(config)#aaa authentication login eap_method group rad_eap ap(config)#e xit ap# show run | include aaa aaa new-model aaa group server radius rad_eap aaa authentication login eap_method group rad_eap aaa session-id common ap# conf terminal Enter configuration commands, one per line. End with CNTL/Z. ap(config)# dot11 ssid soleil ap(config-ssid)# authentication open eap eap_method ap(config-ssid)# authentication network-eap eap_method ap(config-ssid)# authentication key-management wpa ap(config-ssid)# guest-mode ap(config-ssid)# exit ap(config)# interface dot11Radio 0 ap(config-if)# encryption mode ciphers tkip ap(config-if)# ssid soleil ap(config-if)# no shutdown ap(config-if)# * %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset * %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 26 seconds ap(config-if)#exit ap(config)#exit

29 Utilisation certificats
PKI, Clé publique, Certificat, CA

30 PKI, Problèmes à résoudre
Comment ratacher une clé publique à son propriétaire? Comment être sur de l’authenticité d’un certificat? Comment résoudre alors ce problème d’authenticité du certificats? Qu’est-ce qu’une autorité de certification?

31 PKI, Certificats Une carte d’identité numérique dans un monde cybernétique où CA (Certifying Authority) jouerait le rôle de la préfecture où un annuaire LDAP serait une base de données de tous les français. Plusieurs cas d’utilisation serveurs ou utilisateurs. Permet d’authentifier, chiffrer des données sur un réseau en fonction de l’utilisation. Utilisation: Authentification utilisateurs, serveur WEB, mail

32 PKI, Certification Créer, gèrer, distribuer des certificats.
Les acteurs sont les autorités de certifications (CA Certifying Authorities). La certification est essentiellement utilisée pour authentifier la clé publique d ’un interlocuteur. Son rôle est attribué à: Des organismes compétents et qualifiées reconnus comme tiers de confiance, Des serveurs dédiés dans l’entreprise, appelés serveur de certificaton.

33 PKI, Certification «Notaire Electronique» Des Acteurs :
Service de délivrance de Certificat (standard X509) Service de Datation de Documents Des Acteurs : VeriSign, Thawte, Certinomis (la poste) Les logiciel pour contruire sa solution Services offerts par les serveurs Windows ou solutions OpenSource Gère la liste de révocation des certificats

34 Process vérification certificat utilisateur

35 En conclusion: Une PKI peut se définir de la façon suivante:
Une PKI est une infrastructure formée de serveurs et de certificats, créant, gérant et mettant à disposition des certificats numériques dont l’authenticité est certifiée par l’autorité de certification représentant et utilisant cette PKI.

36 Cas sécurité Wifi-EAP-TLS
Serveur CA Cas d’une infrastructure PKI, avec utilisation serveur CA, et certificat. L’utilisateur envoi son certificat, le serveur radius vérifie qu’il émane bien d’un CA approuvé. Puis vérifie l’identité et ses droits d’accès, pour lui permettre l’accès. Certificat utilisateur Certificat Serveur Radius Certificat CA Certificat Serveur Radius Certificat CA Serveur radius Certificat Utilisateur Certificat CA Le serveur authentifie l’utilisateur, l’utilisateur authentifie le serveur par une infrastructure PKI, le client et le serveur posséde un certficat, délivré par une CA.

37 Synoptique Le serveur envoie son certificat
Le client envoie son certificat IEEE 802.1X Authentication Process for EAP-TLS The following is the EAP-TLS authentication process for a wireless client authenticating to a wireless AP configured to use a RADIUS server as its authentication server: Association and request for identity If the wireless AP observes a new wireless client associating with it, the wireless AP transmits an EAP-Request/Identity message to the wireless client. Alternately, when a wireless client associates with a new wireless AP, it transmits an EAP-Start message. If the IEEE 802.1X process on the wireless AP receives an EAP-Start message from a wireless client, it transmits an EAP-Request/Identity message to the wireless client. EAP-Response/Identity response If there is no user logged on to the wireless client, it transmits an EAP-Response/Identity message containing the computer name. For Windows wireless clients, the FQDN of the computer account is sent. If there is a user logged on to the wireless client, it transmits an EAP-Response/Identity message containing the user name. For Windows wireless clients, the UPN of the user account is sent. The wireless AP forwards the EAP-Response/Identity message to the RADIUS server in the form of a RADIUS Access-Request message. EAP-Request from the RADIUS server (Start TLS) The RADIUS server sends a RADIUS Access-Challenge message containing an EAP-Request message with the EAP-Type set to EAP-TLS, requesting a start to the TLS authentication process. The wireless AP forwards the EAP message to the wireless client. EAP-Response from the wireless client (TLS Client Hello) The wireless client sends an EAP-Response message with the EAP-Type set to EAP-TLS, indicating the TLS client hello. The wireless AP forwards the EAP message to the RADIUS server in the form of a RADIUS Access-Request message. EAP Request from the RADIUS server (RADIUS server’s certificate) The RADIUS server sends a RADIUS Access-Challenge message containing an EAP-Request message with the EAP-Type set to EAP-TLS, and includes the RADIUS server’s certificate chain. EAP-Response from the wireless client (wireless client’s certificate) The wireless client sends an EAP-Response message with the EAP-Type set to EAP-TLS, and includes the wireless client’s certificate chain. EAP-Request from the RADIUS server (Cipher suite, TLS complete) The RADIUS server sends an EAP-Request message with the EAP-Type set to EAP-TLS, and includes the cipher suite and an indication that TLS authentication message exchanges are complete. EAP-Response from the wireless client The wireless client sends an EAP-Response message with the EAP-Type set to EAP-TLS. EAP-Success from the RADIUS server The RADIUS server derives the per-client unicast session key and the signing key from the keying material that is a result of the EAP-TLS authentication process. Next, the RADIUS server sends a RADIUS Access-Accept message containing an EAP-Success message and the MS-MPPE-Send-Key and MS-MPPE-Recv-Key attributes to the wireless AP. The wireless AP uses the key encrypted in the MS-MPPE-Send-Key attribute as the per-client unicast session key for data transmissions to the wireless client (truncated to the appropriate WEP key length). The wireless AP uses the key encrypted in the MS-MPPE-Recv-Key attribute as a signing key for data transmissions to the wireless client that require signing (truncated to the appropriate WEP key length). The wireless client derives the per-client unicast session key (the same value as the decrypted MS-MPPE-Send-Key attribute in the RADIUS message sent to the wireless AP) and the signing key (the same as value as the decrypted MS-MPPE-Recv-Key attribute in the RADIUS message sent to the wireless AP) from the keying material that is a result of the EAP-TLS authentication process. Therefore, both the wireless AP and the wireless client are using the same keys for both the encryption and signing of unicast data. The wireless AP forwards the EAP-Success message to the wireless client. The EAP-Success message does not contain the per-station unicast session or signing keys. Multicast/global encryption key to the wireless client The wireless AP derives the multicast/global encryption key by generating a random number or by selecting it from a previously set value. Next, the wireless AP sends an EAPOL-Key message to the wireless client containing the multicast/global key that is encrypted using the per-client unicast session key. The Key field of the IEEE 802.1X EAPOL-Key message is RC4-encrypted using the per-client unicast session key and portions of the message are signed with Hashed Message Authentication Code-Message Digest 5 (HMAC-MD5) using the per-client unicast signing key. Upon receiving the EAPOL-Key message, the wireless client uses the per-client unicast session key to verify the signed portions of the EAPOL-Key message and decrypt the multicast/global key. Next, the wireless LAN network adapter driver indicates the per-client unicast session key, the per-client unicast signing key, and the multicast/global key to the wireless LAN network adapter. After the keys have been indicated, the wireless client begins protocol configuration using the wireless adapter (such as using DHCP to obtain an IP address configuration). When the wireless AP changes the multicast/global key, it generates and sends EAPOL-Key messages to its connected wireless clients. Each EAPOL-Key message contains the new multicast/global key encrypted with the particular wireless client’s per-client unicast session key. Figure 8 summarizes this process.

38 En résumé I

39 En résumé II

40 En résume III

41 Conclusion Le wifi oui Mais: plusieurs péchés capitaux à ne pas négliger: La couche physique La puissance d’émission Les maillons faibles L’administration Le manque d’isolement Les configurations par défaut Veuillez noter que l'utilisation de brouilleurs, notamment de téléphones mobiles, est interdite en France ainsi que dans les pays européens, sauf s'ils sont utilisés pour les besoins de l'ordre public, de la défense et de la sécurité nationale ou du service public de la justice, comme le précise l'article L du code des postes et des communications électroniques (CP&CE)