39
Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

Embed Size (px)

Citation preview

Page 1: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

Matériels de formation pour les formateurs du sans fil

Securite du Sans Fil

Page 2: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

2

Objectifs

‣ Comprendre quelles sont les questions de sécurité qui sont importantes à considérer lors de la conception de réseaux WiFi Etre introduit au cryptage, comment il marche, et pourquoi il peut résoudre certains problèmes de sécurité Comprendre le problème de la distribution des clés Etre en mesure de déterminer la meilleure configuration de sécurité pour votre système sans fil

Page 3: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

3

Pourquoi la sécurité sans fil est un problème?

‣ Le sans fil est un milieu partagé

‣ Les attaquants sont relativement anonymes

‣ Les utilisateurs finaux sont peu instruits

‣ Déni de service (Denial-of-service) est très simple

‣ Les attaques malveillantes automatisées sont de plus en plus complexes

‣ Des outils sophistiqués sont disponibles gratuitement

Page 4: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

4

Les attaques peuvent venir de loin

Page 5: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

5

5

Page 6: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

6

Les attaques peuvent être complètement indétectables

Page 7: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

7

Qui crée des problèmes de sécurité?

‣ Les usagers involontaires

‣ Les wardrivers

‣ Les oreilles indiscrètes (espions: individus et des sociétés)

‣ Les ordinateurs infectés par un virus

‣ Les points d'accès illicites

‣ Les usagers malveillants

Page 8: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

8

Les usagers involontaires peuvent accidentellement choisir le mauvais réseau sans même s'en rendre compte.

Ils peuvent involontairement révéler des informations sur eux-mêmes (les mots de passe, e-mail, les visites de pages web, etc.) sans se rendre compte que quelque chose n’est pas bon.

Page 9: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

9War Games (1983) starred Matthew Broderick, John Wood, and Ally Sheedy

Page 10: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

10

War driving map from WiGLE.net10

Page 11: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

11

Points d'accès illicites

Les points d'accès peuvent tout simplement être installés de façon incorrecte par des usagers légitimes. Quelqu'un peut vouloir une meilleure couverture sans fil dans son bureau, ou il pourrait trouver les mesures de sécurité sur le réseau sans fil de l'entreprise trop difficiles à respecter.

En installant un point d'accès bon marché sans autorisation, les utilisateurs peuvent ouvrir l'ensemble du réseau à des attaques potentielles de l'intérieur.

En outre, les oreilles indiscrètes qui ont l'intention de recueillir des données ou faire des dommages au réseau peuvent intentionnellement installer un point d'accès sur votre réseau, constituant ainsi une "porte arrière".

Page 12: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

12

Les oreilles indiscrètesEn utilisant un outil de surveillance passif (tel que Kismet), un espion peut enregistrer toutes les données du réseau à partir d'une grande distance, sans jamais faire connaître sa présence.

Page 13: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

13

Les utilisateurs malicieux

Page 14: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

14

Considérations de sécurité de base

‣La sécurité physique: Est-ce que le matériel est bien protégé?

‣Authentification: A qui êtes-vous en train de parler réellement?

‣Confidentialité: Est-ce les communications peuvent être interceptées par un tiers? Quelle quantité de données enregistrez vous sur vos utilisateurs?

‣Anonymat: Est-il souhaitable que les utilisateurs restent anonymes?

‣Comptabilité: Est-ce que certains utilisateurs utilisent trop de ressources? Savez-vous quand votre réseau est attaqué et non pas simplement surchargé?

Page 15: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

15

Problemes de securite physique

Page 16: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

16

Protéger votre réseau sans fil

Voici quelques mesures de sécurité qui peuvent être utilisées pour protéger vos utilisateurs et votre réseau sans fil.

‣ Réseaux fermés

‣ Le filtrage MAC

‣ Portails captifs

‣ Cryptage WEP

‣ Cryptage WPA

‣ Cryptage fort de bout en bout

‣ Strong end-to-end encryption16

Page 17: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

17

Les réseaux fermés

En cachant le SSID (c.-à-d pas l’afficher dans les balises), vous pouvez empêcher votre réseau d'être affiché par les utilitaires d’affichage de réseau.

Avantages: ‣Fonctionnalité de sécurité standard supportée par presque

tous les points d'accès.‣Les utilisateurs indésirables ne peuvent pas choisir

accidentellement un réseau «fermé» à partir d'une liste de réseaux.

Inconvénients: ‣L'utilisateur doit connaître le nom du réseau à l'avance.‣Les réseaux « fermés » ne sont pas faciles à trouver lors

d’une inspection de site, et pourtant, ils sont faciles à trouver en utilisant les outils de surveillance passifs.

Page 18: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

18

Filtrage MAC

Un filtre MAC peut être appliqué à un point d'accès pour déterminer (contrôler) les dispositifs qui peuvent être autorisés à se connecter.

Avantages: ‣Fonctionnalité de sécurité standard supportée par

presque tous les points d'accès.‣Seuls les appareils possédant la même adresse

MAC peuvent se connecter à votre réseau.

Inconvénients: ‣Les tables MAC ne sont pas pratiques à entretenir.‣ Les adresses MAC sont transmises en clair

(même si vous utilisez le chiffrement WEP), et sont facilement copiées et réutilisées.

Page 19: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

19

Portails Captifs

Un portail captif est un mécanisme d'authentification utile dans les cafés, hôtels, et autres milieux où l'accès utilisateur occasionnel est nécessaire.

En utilisant un navigateur Web pour l'authentification, les portails captifs travaillent avec pratiquement tous les ordinateurs portables et systèmes d'exploitation. Les portails captifs sont typiquement utilisés sur les réseaux ouverts, sans autres méthodes d'authentification (WEP ou comme filtres MAC).

Comme ils n’offrent pas un encryptage fort, les portails captifs ne sont pas un très bon choix pour les réseaux qui doivent être verrouillés afin de ne permettre l'accès qu’aux utilisateurs de confiance.

Page 20: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

20

Portails Captifs

Page 21: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

21

Portails Captifs Populaires

Ces portails captifs open source de supportent des « pages de garde (splash pages) », l'authentification RADIUS, comptabilité, billetterie pré-payée, et de nombreuses autres fonctionnalités.

‣ Coova (http://coova.org/)WiFi Dog (http://www.wifidog.org/) m0n0wall (http://m0n0.ch/wall/)

Page 22: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

22

Écoute clandestine

En écoutant passivement aux données du réseau, des utilisateurs malveillants peuvent collecter des informations privées.

Page 23: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

23

Man-in-the-middle (MITM)

Le man-in-the-middle contrôle effectivement tout ce que l'utilisateur voit, et peut enregistrer et de manipuler l'ensemble du trafic.

Page 24: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

24

L’encryption peut aiderL’encryption peut aider à protéger le trafic des oreilles indiscrètes. Certains points d'accès peuvent tenter d'isoler les machines clientes.

Mais sans une infrastructure à clé publique, un encryptage fort ne suffit pas à protéger complètement contre ce genre d'attaque.

Page 25: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

25

Les bases du cryptage

‣L’encryptage des informations est relativement facile

‣La distribution de clés est difficile

‣L'identification unique est un défi pour le sans fil

‣La cryptographie à clé publique résout un grand nombre (mais pas tous) des problèmes

‣Le Man-in-the-middle est toujours possible si le cryptage est utilisé sans une infrastructure à clé publique (PKI)

‣ Il n’existe pas de PKI qui est entièrement sécurisé

Page 26: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

26

Faillite du PKI: 2001

« À la fin de Janvier 2001, VeriSign delivra par erreur deux certificats de signature de code de classe 3 à quelqu'un qui prétendait faussement représenter Microsoft. Les certificats furent été émis au nom de Microsoft, en particulier "Microsoft Corporation". Après la délivrance des certificats, un audit de routine VeriSign découvrit l'erreur en mi-Mars, environ 6 semaines plus tard. »

http://amug.org/~glguerin/opinion/revocation.html

Page 28: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

28

Encryptage WEP

Une partie de la norme 802.11, Wired Equivalent Privacy permet le cryptage partagé de base de couche deux. WEP fonctionne avec presque tous les périphériques WiFi modernes.

Avantages: fonctionnalité de sécurité standard supportée par presque tous les points d'accès.

Inconvénients: clé partagée, de nombreuses failles de sécurité, méthodes de spécification clé incompatibles, maintenance à long terme est impossible sur les grands réseaux.

En bref: Utilisez WPA2-PSK à la place.

Page 29: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

29

Encryptage WPALe WPA2 (802.11i) est maintenant la norme pour l'accès Wi-Fi protégé. Il utilise le port d’authentification 802.1x avec l'Advanced Encryption Standard (AES) pour fournir une authentification et un cryptage forts.Avantages:

•Nettement plus forte que la protection WEPStandard ouvertVérification des clients et points d'accès.

•Bon pour les réseaux «campus» ou de «bureau»Inconvénients: Quelques problèmes d'interopérabilité vendeur, configuration complexe, protection seulement au niveau de la couche deux.

Page 30: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

30

WPA-PSK (clé pré-partagée)

•Phrase de passe de 8 à 64 caractères

•Bien que le WPA-PSK est plus fort que WEP, des problèmes subsistent

•Eglise des tables arc-en-ciel WPA2-PSK: 1 million de mots de passe communs x 1.000 SSID communs. 40 Go de tables de conversion disponibles sur DVDs.

http://www.renderlab.net/projects/WPA-tables/

PSK est synonyme de Pre-Shared Key. L'intention derrière WPA-PSK était de fournir une solution WPA simple comparable à WEP, mais plus sécurisée.

Page 31: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

31

WPA-TKIP exploitsLes nouvelles attaques sont sans cesse lancées a mesure que de nouvelles méthodes sont découvertes. Cette technique peut injecter des paquets de petite taille (tels que les ARP ou paquets DNS) dans un réseau WPA-TKIP.

http://bit.ly/11ipM6

Page 32: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

32

Logiciel de cryptage fort

‣ SSL (Secure Socket Layer)

‣ SSH (Secure Shell)

‣ OpenVPN

‣ IPSec (Internet Protocol Security)

‣ PPTP (Point-to-Point Tunneling Protocol)

Un bon logiciel de sécurité de bout en bout doit fournir une forte authentification, un fort cryptage et une forte gestion de clés.

Les examples comprennent:

Page 33: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

33

Les tunnels cryptésLe cryptage de bout en bout offre une protection tout le long du chemin jusqu’à l'extrémité distante de la connexion.

Page 34: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

34

Le cryptage SSLLe SSL est intégré dans de nombreux programmes populaires sur Internet, y compris les navigateurs Web et les clients de messagerie.

Page 35: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

35

Les tunnels SSHLe SSH est reconnu pour offrir un accès shell en ligne de commande, mais c’est aussi un outil d'usage général pour la réalisation des es tunnels TCP et le cryptage de proxy SOCKS.

Page 36: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

36

OpenVPN

‣ Supporte Windows Vista/XP/2000, Linux, BSD, Mac OS X

‣ SSL/TLS ou cryptage a clés partagées

‣ VPN de couche 2 ou traffic pour la couche 3

‣ Robuste et très flexible: peut fonctionner sur TCP, UDP, ou même SSH!

OpenVPN est une solution VPN puissante a travers différentes plates-formes.

Page 37: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

37

Autres VPNsIPSec, PPTP, VPN Cisco, etc. fournissent un cryptage de bout en bout.

En fournissant une authentification et un crytptage forts, les VPNs rendent l'utilisation des réseaux non sécurisés fiable, tels que les hotspots sans fil ouverts et l'Internet

Page 38: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

38

Résumé

La sécurité est un sujet complexe aux multiples facettes. Aucun système de sécurité n’est réussie si elle empêche aux gens d'utiliser efficacement le réseau.

En utilisant un cryptage de bout en bout fort, vous pouvez empêcher les autres d'utiliser ces mêmes outils pour attaquer vos réseaux, et rendre fiable l'utilisation des réseaux complètement non fiables (à partir d'un point d'accès sans fil public jusqu’à l'Internet).

En apprenant à choisir les paramètres de sécurité WiFi appropriés, vous pouvez limiter le type d'attaques qui peuvent être lancées sur votre réseau, faire face à un problème ou planifier la croissance du réseau.

Page 39: Matériels de formation pour les formateurs du sans fil Securite du Sans Fil

Pour plus de détails sur les sujets abordés dans cette leçon, veuillez, s'il vous plaît, vous référer au livre « Réseaux sans fil dans les Pays en Développement », disponible en téléchargement gratuit dans de nombreuses langues sur http://wndw.net/

Pour plus de détails sur les sujets abordés dans cette leçon, veuillez, s'il vous plaît, vous référer au livre « Réseaux sans fil dans les Pays en Développement », disponible en téléchargement gratuit dans de nombreuses langues sur http://wndw.net/

Merci pour votre attentionMerci pour votre attention