Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

Matériels de formation pour les formateurs du sans fil

Securite du Sans Fil

2

Objectifs

‣ Comprendre quelles sont les questions de sécurité qui sont importantes à considérer lors de la conception de réseaux WiFi Etre introduit au cryptage, comment il marche, et pourquoi il peut résoudre certains problèmes de sécurité Comprendre le problème de la distribution des clés Etre en mesure de déterminer la meilleure configuration de sécurité pour votre système sans fil

3

Pourquoi la sécurité sans fil est un problème?

‣ Le sans fil est un milieu partagé

‣ Les attaquants sont relativement anonymes

‣ Les utilisateurs finaux sont peu instruits

‣ Déni de service (Denial-of-service) est très simple

‣ Les attaques malveillantes automatisées sont de plus en plus complexes

‣ Des outils sophistiqués sont disponibles gratuitement

4

Les attaques peuvent venir de loin

5

5

6

Les attaques peuvent être complètement indétectables

7

Qui crée des problèmes de sécurité?

‣ Les usagers involontaires

‣ Les wardrivers

‣ Les oreilles indiscrètes (espions: individus et des sociétés)

‣ Les ordinateurs infectés par un virus

‣ Les points d'accès illicites

‣ Les usagers malveillants

8

Les usagers involontaires peuvent accidentellement choisir le mauvais réseau sans même s'en rendre compte.

Ils peuvent involontairement révéler des informations sur eux-mêmes (les mots de passe, e-mail, les visites de pages web, etc.) sans se rendre compte que quelque chose n’est pas bon.

9War Games (1983) starred Matthew Broderick, John Wood, and Ally Sheedy

10

War driving map from WiGLE.net10

11

Points d'accès illicites

Les points d'accès peuvent tout simplement être installés de façon incorrecte par des usagers légitimes. Quelqu'un peut vouloir une meilleure couverture sans fil dans son bureau, ou il pourrait trouver les mesures de sécurité sur le réseau sans fil de l'entreprise trop difficiles à respecter.

En installant un point d'accès bon marché sans autorisation, les utilisateurs peuvent ouvrir l'ensemble du réseau à des attaques potentielles de l'intérieur.

En outre, les oreilles indiscrètes qui ont l'intention de recueillir des données ou faire des dommages au réseau peuvent intentionnellement installer un point d'accès sur votre réseau, constituant ainsi une "porte arrière".

12

Les oreilles indiscrètesEn utilisant un outil de surveillance passif (tel que Kismet), un espion peut enregistrer toutes les données du réseau à partir d'une grande distance, sans jamais faire connaître sa présence.

13

Les utilisateurs malicieux

14

Considérations de sécurité de base

‣La sécurité physique: Est-ce que le matériel est bien protégé?

‣Authentification: A qui êtes-vous en train de parler réellement?

‣Confidentialité: Est-ce les communications peuvent être interceptées par un tiers? Quelle quantité de données enregistrez vous sur vos utilisateurs?

‣Anonymat: Est-il souhaitable que les utilisateurs restent anonymes?

‣Comptabilité: Est-ce que certains utilisateurs utilisent trop de ressources? Savez-vous quand votre réseau est attaqué et non pas simplement surchargé?

15

Problemes de securite physique

16

Protéger votre réseau sans fil

Voici quelques mesures de sécurité qui peuvent être utilisées pour protéger vos utilisateurs et votre réseau sans fil.

‣ Réseaux fermés

‣ Le filtrage MAC

‣ Portails captifs

‣ Cryptage WEP

‣ Cryptage WPA

‣ Cryptage fort de bout en bout

‣ Strong end-to-end encryption16

17

Les réseaux fermés

En cachant le SSID (c.-à-d pas l’afficher dans les balises), vous pouvez empêcher votre réseau d'être affiché par les utilitaires d’affichage de réseau.

Avantages: ‣Fonctionnalité de sécurité standard supportée par presque

tous les points d'accès.‣Les utilisateurs indésirables ne peuvent pas choisir

accidentellement un réseau «fermé» à partir d'une liste de réseaux.

Inconvénients: ‣L'utilisateur doit connaître le nom du réseau à l'avance.‣Les réseaux « fermés » ne sont pas faciles à trouver lors

d’une inspection de site, et pourtant, ils sont faciles à trouver en utilisant les outils de surveillance passifs.

18

Filtrage MAC

Un filtre MAC peut être appliqué à un point d'accès pour déterminer (contrôler) les dispositifs qui peuvent être autorisés à se connecter.

Avantages: ‣Fonctionnalité de sécurité standard supportée par

presque tous les points d'accès.‣Seuls les appareils possédant la même adresse

MAC peuvent se connecter à votre réseau.

Inconvénients: ‣Les tables MAC ne sont pas pratiques à entretenir.‣ Les adresses MAC sont transmises en clair

(même si vous utilisez le chiffrement WEP), et sont facilement copiées et réutilisées.

19

Portails Captifs

Un portail captif est un mécanisme d'authentification utile dans les cafés, hôtels, et autres milieux où l'accès utilisateur occasionnel est nécessaire.

En utilisant un navigateur Web pour l'authentification, les portails captifs travaillent avec pratiquement tous les ordinateurs portables et systèmes d'exploitation. Les portails captifs sont typiquement utilisés sur les réseaux ouverts, sans autres méthodes d'authentification (WEP ou comme filtres MAC).

Comme ils n’offrent pas un encryptage fort, les portails captifs ne sont pas un très bon choix pour les réseaux qui doivent être verrouillés afin de ne permettre l'accès qu’aux utilisateurs de confiance.

20

Portails Captifs

21

Portails Captifs Populaires

Ces portails captifs open source de supportent des « pages de garde (splash pages) », l'authentification RADIUS, comptabilité, billetterie pré-payée, et de nombreuses autres fonctionnalités.

‣ Coova (http://coova.org/)WiFi Dog (http://www.wifidog.org/) m0n0wall (http://m0n0.ch/wall/)

22

Écoute clandestine

En écoutant passivement aux données du réseau, des utilisateurs malveillants peuvent collecter des informations privées.

23

Man-in-the-middle (MITM)

Le man-in-the-middle contrôle effectivement tout ce que l'utilisateur voit, et peut enregistrer et de manipuler l'ensemble du trafic.

24

L’encryption peut aiderL’encryption peut aider à protéger le trafic des oreilles indiscrètes. Certains points d'accès peuvent tenter d'isoler les machines clientes.

Mais sans une infrastructure à clé publique, un encryptage fort ne suffit pas à protéger complètement contre ce genre d'attaque.

25

Les bases du cryptage

‣L’encryptage des informations est relativement facile

‣La distribution de clés est difficile

‣L'identification unique est un défi pour le sans fil

‣La cryptographie à clé publique résout un grand nombre (mais pas tous) des problèmes

‣Le Man-in-the-middle est toujours possible si le cryptage est utilisé sans une infrastructure à clé publique (PKI)

‣ Il n’existe pas de PKI qui est entièrement sécurisé

26

Faillite du PKI: 2001

« À la fin de Janvier 2001, VeriSign delivra par erreur deux certificats de signature de code de classe 3 à quelqu'un qui prétendait faussement représenter Microsoft. Les certificats furent été émis au nom de Microsoft, en particulier "Microsoft Corporation". Après la délivrance des certificats, un audit de routine VeriSign découvrit l'erreur en mi-Mars, environ 6 semaines plus tard. »

http://amug.org/~glguerin/opinion/revocation.html

27

Faillite PKI: 2009http://www.networkworld.com/news/2009/010609-verisign-ssl-certificate-exploit.html

27

28

Encryptage WEP

Une partie de la norme 802.11, Wired Equivalent Privacy permet le cryptage partagé de base de couche deux. WEP fonctionne avec presque tous les périphériques WiFi modernes.

Avantages: fonctionnalité de sécurité standard supportée par presque tous les points d'accès.

Inconvénients: clé partagée, de nombreuses failles de sécurité, méthodes de spécification clé incompatibles, maintenance à long terme est impossible sur les grands réseaux.

En bref: Utilisez WPA2-PSK à la place.

29

Encryptage WPALe WPA2 (802.11i) est maintenant la norme pour l'accès Wi-Fi protégé. Il utilise le port d’authentification 802.1x avec l'Advanced Encryption Standard (AES) pour fournir une authentification et un cryptage forts.Avantages:

•Nettement plus forte que la protection WEPStandard ouvertVérification des clients et points d'accès.

•Bon pour les réseaux «campus» ou de «bureau»Inconvénients: Quelques problèmes d'interopérabilité vendeur, configuration complexe, protection seulement au niveau de la couche deux.

30

WPA-PSK (clé pré-partagée)

•Phrase de passe de 8 à 64 caractères

•Bien que le WPA-PSK est plus fort que WEP, des problèmes subsistent

•Eglise des tables arc-en-ciel WPA2-PSK: 1 million de mots de passe communs x 1.000 SSID communs. 40 Go de tables de conversion disponibles sur DVDs.

http://www.renderlab.net/projects/WPA-tables/

PSK est synonyme de Pre-Shared Key. L'intention derrière WPA-PSK était de fournir une solution WPA simple comparable à WEP, mais plus sécurisée.

31

WPA-TKIP exploitsLes nouvelles attaques sont sans cesse lancées a mesure que de nouvelles méthodes sont découvertes. Cette technique peut injecter des paquets de petite taille (tels que les ARP ou paquets DNS) dans un réseau WPA-TKIP.

http://bit.ly/11ipM6

32

Logiciel de cryptage fort

‣ SSL (Secure Socket Layer)

‣ SSH (Secure Shell)

‣ OpenVPN

‣ IPSec (Internet Protocol Security)

‣ PPTP (Point-to-Point Tunneling Protocol)

Un bon logiciel de sécurité de bout en bout doit fournir une forte authentification, un fort cryptage et une forte gestion de clés.

Les examples comprennent:

33

Les tunnels cryptésLe cryptage de bout en bout offre une protection tout le long du chemin jusqu’à l'extrémité distante de la connexion.

34

Le cryptage SSLLe SSL est intégré dans de nombreux programmes populaires sur Internet, y compris les navigateurs Web et les clients de messagerie.

35

Les tunnels SSHLe SSH est reconnu pour offrir un accès shell en ligne de commande, mais c’est aussi un outil d'usage général pour la réalisation des es tunnels TCP et le cryptage de proxy SOCKS.

36

OpenVPN

‣ Supporte Windows Vista/XP/2000, Linux, BSD, Mac OS X

‣ SSL/TLS ou cryptage a clés partagées

‣ VPN de couche 2 ou traffic pour la couche 3

‣ Robuste et très flexible: peut fonctionner sur TCP, UDP, ou même SSH!

OpenVPN est une solution VPN puissante a travers différentes plates-formes.

37

Autres VPNsIPSec, PPTP, VPN Cisco, etc. fournissent un cryptage de bout en bout.

En fournissant une authentification et un crytptage forts, les VPNs rendent l'utilisation des réseaux non sécurisés fiable, tels que les hotspots sans fil ouverts et l'Internet

38

Résumé

La sécurité est un sujet complexe aux multiples facettes. Aucun système de sécurité n’est réussie si elle empêche aux gens d'utiliser efficacement le réseau.

En utilisant un cryptage de bout en bout fort, vous pouvez empêcher les autres d'utiliser ces mêmes outils pour attaquer vos réseaux, et rendre fiable l'utilisation des réseaux complètement non fiables (à partir d'un point d'accès sans fil public jusqu’à l'Internet).

En apprenant à choisir les paramètres de sécurité WiFi appropriés, vous pouvez limiter le type d'attaques qui peuvent être lancées sur votre réseau, faire face à un problème ou planifier la croissance du réseau.

Pour plus de détails sur les sujets abordés dans cette leçon, veuillez, s'il vous plaît, vous référer au livre « Réseaux sans fil dans les Pays en Développement », disponible en téléchargement gratuit dans de nombreuses langues sur http://wndw.net/

Pour plus de détails sur les sujets abordés dans cette leçon, veuillez, s'il vous plaît, vous référer au livre « Réseaux sans fil dans les Pays en Développement », disponible en téléchargement gratuit dans de nombreuses langues sur http://wndw.net/

Merci pour votre attentionMerci pour votre attention