SECURITE DES RESEAUX WIFI - AFI Manel - ARFAOUI Chayma -BAHRI Zeineb -BEN HASSINE Ikram -CHERIF Fatma
Plan Présentation Moyen de sécurisation Cryptage (WEP , WPA) Authentification (ACL ,Radius) Augmenter la sécurité (VPN, NAT, Firewall) Algorithme RC4 Mode de fonctionnement WEP , WPA Conclusion
Présentation -WiFi = Wireless Fidelity - un réseau répondant à la norme 802.11 - les informations sont transmises par ondes radios (sans fils) Parmi les menaces pour la sécurité d’un réseau WiFi : Interception de données Détournement de connexion Brouillage des transmissions Dénis de service Principal avantage du WiFi Les informations sont transmises par ondes radios (sans fils). Deux grandes menaces pour la sécurité d’un réseau WiFi : Détournement de connexion Interception des données Nécessité de sécuriser ces réseaux dès leur installation. Le Wi-Fi (Wireless Fidelity) est une des technologies sans fil dominante actuellement avec un support de plus en plus intégré dans les équipements : ordinateurs portables, agendas électroniques, téléphones portables, etc. Malheureusement, un aspect de la configuration est souvent oublié et méconnu : la sécurité. Voyons un peu le niveau de sécurité des différents systèmes de chiffrement pouvant être utilisés dans les implémentations modernes du Wi-Fi. Interception les ondes radio étant un support de transmission partagé quiconque se trouvant dans la zone de couverture peut écouter le support et s'introduire dans le réseau Deni serviceAinsi, les méthodes d'accès au réseau et d'association étant connus, il est simple pour un pirate d'envoyer des paquets demandant la désassociation de la station. Il s'agit d'un déni de service, c'est-à-dire d'envoyer des informations de telle manière à perturber volontairement le fonctionnement du réseau sans fil. Brouillage envoyé une fréquence proche de celle utliser ds le réseau détournement de connexion dont le but est d'obtenir l'accès à un réseau local ou à internet
Moyens de sécurisation Protection du point d’accès Choix de l’emplacement physique Changer les paramètres constructeurs par défaut : Login Administrateur, Mot de passe, IP Changer le SSID Masquer le SSID Mettre en place un filtrage des adresses MAC (Mode Association) Désactiver le service DHCP Réduire la puissance d’émission
1- Authentification ACL (Access Control List) = filtrer les adresses MAC des ordinateurs qui souhaitent se connecter au point d’accès RADIUS (Remote Access Dial In User Service)= authentifier les utilisateurs distants(login , mot de passe) Utilisateur Serveur RADIUS Client RADIUS Demande de connexion Demande de l’authentification Réponse(nom, mot de passe) Réponse de l’utilisateur Sucées/Echec de l’ authentification Sucées/Echec de la connexion L’utilisateur communique son nom et son mot de passe. Le serveur Radius autorise ou non l’accès au réseau. Le serveur Radius donne à la machine cliente les informations de configuration TCP/IP nécessaires.
2- Augmenter la sécurité VPN (Virtual Private Network) = réseaux privés virtuels qui relie da façon sécurisée un ensemble d’ordinateur au dessus d’un réseau non sécurisé. Encapsulation du trafic TCP/IP à l’intérieur de paquets IP à travers un tunnel VPN. VPN (Virtual Private Network) = réseaux privés virtuels qui relie da façon sécurisée un ensemble d’ordinateur au dessus d’un réseau non sécurisé. Encapsulation du trafic TCP/IP à l’intérieur de paquets IP à travers un tunnel VPN. Point d'accès Internet Réseau Distant Liaisons physiques Tunnel VPN Internet Connexion de l’utilisateur au point d’accès pour accéder à Internet Lancement de la connexion VPN vers le réseau distant Après authentification, connexions cryptées entre l’utilisateur et le réseau distant Point d'accès Liaisons physiques Réseau Distant Tunnel VPN
NAT (Network Address Translation) = conçu pour pallier le manque d’adresses IPv4 sur internet, permet de relier un réseau internet. Internet 192.168.0.1 192.168.0.3 192.168.0.2 192.168.0.100 Adresse IP publique 192.168.0.254 Chaque fois qu’un utilisateur se connecte à Internet, le NAT traduit l’adresse privée en adresse publique. Une seule adresse IP est visible du côté réseau public.
Firewall - Système logiciel ou hardware, - Filtrage de communication entre plusieurs réseaux, - Blocage de service à partir du numéro de port. Internet
3- Cryptage WEP (Wired Equivalent Privacy) Contraintes - Mécanisme simple de chiffrement de données du standard 802.11, - Cryptage des données émises par radio, - Utilise algorithme symétrique RC4, - Configuration possible jusqu’à 4 clés de 64, 128 ou 256 bits. Solution de confidentialité, authentification et d’intégrité Contraintes - faible sécurisation - clé constante - possibilité de casser la clé WEP - les autres machines qui partagent la clé peuvent lire vos trames La clé est utilisée de manière constante pour chiffrer le flot de données. Les clés (5 ou 13 Caractères) sont trop faibles. La même clé est partagée par tous. Offrir une solution de confidentialité
WPA (Wireless Protected Access) Nouveau protocole qui remplace le WEP Niveau de sécurité supérieur Utilise des clés dynamiques. Utilise aussi RC4 (clés 128 bits) + protocole TKIP (Temporal Key Integrity Protocol) le protocole TKIP (Temporal Key Integrity Protocol) qui génère régulièrement des nouvelles clés de chiffrement en se servant des adresses MAC comme vecteurs chiffrement en se servant des adresses MAC comme vecteurs d’initialisation
WPA (Propriétés) WPA est conçu pour fonctionner avec un serveur d’authentification 802.1X Utilisation d’un protocole (TKIP) pour pallier les failles de WEP (changement de clé de chiffrement de manière périodique). Utilisation d’un code de vérification d’intégrité (MIC) en remplacement de CRC.
Algorithme RC4 RC4: Rivest Cipher 4 Algorithme simple permettant le cryptage et le décryptage RC4 génère, à partir d’une clé de taille fixe, un flux de bits pseudo-aléatoires Les données à chiffrer sont combinées (via un simple ou-exclusif) avec ce flux A la réception, il suffit de combiner les données chiffrées avec le flux pseudo- aléatoire pour obtenir les données en clair
Modes de fonctionnement de WEP Données Keystream = RC4 (IV,K) IV Clé RC4 IV Clé + Le principe du WEP consiste à définir dans un premier temps la clé secrète. Cette clé doit être déclarée au niveau du point d'accès et des clients. Elle sert à créer un nombre pseudo - aléatoire d'une longueur égale à la longueur de la trame. Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo - aléatoire comme masque grâce à un OU Exclusif entre ce nombre et la trame.
Modes de fonctionnement de WPA 14 Modes de fonctionnement de WPA Données Keystream = RC4 (IV,K) IV Clé dynamique RC4 IV Clé dynamique + TKIP
Conclusion Malgré les problèmes de sécurité intrinsèques, les réseaux sans fil continuent à se développer. Connaissance des problèmes liés au WIFI limiter les effets néfastes
MERCI POUR VOTRE ATTENTION