LES RESEAUX LOCAUX PRESENTATION

SANS FIL: IEEE 802.11 GENERALE

1. Introduction gnrale
SECURITE
2. Systmes dinformation
3. Rgles de scurit

Dr SIDI ALI MEBAREK Zerrouk

INTTIC

INTRODUCTION GNRALE SYSTEMES DINFORMATION

Les rseaux dentreprises permettent lchange dinformations Fonctions des SI
et lexcution dapplications distribues.
Saisir et stocker linformation de lentreprise

Traiter linformation
Ces rseaux hbergent:
Diffuser
Echange de donnes

Le systme dinformation de lentreprise Scuriser le SI?
Rduire les risques pour que les donnes:

Les donnes sensibles (Techniques de fabrications, informations sur les

Ne soient altres.
clients,)

Ne puisse pas tre changes.

Informations ne doivent tre accessibles quaux personnes Comment Scuriser le SI?
autorises. Prendre en compte tous les vulnrabilits (risques) possibles et les rduire au
maximum.
Le principal inconvnient des rseaux wifi est quil n ya aucun moyen
Attaques volontaires,
physique qui permette dempcher les intrusions dans le rseau
Accidents,

Erreurs humaines,
Ncessit de renforcer la scurit.
etc.

WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
3 Zerrouk 4 Zerrouk
 RGLES DE SCURIT (1/2)
1. Authentification / Identification: Permet de vrifier lidentit des 3. Intgrit des donnes: les donnes ne doivent pas tre
processus communicants
Comparaison des donnes provenant
de lutilisateur qui se connecte aux donnes stockes dans un site
protg.
2. Confidentialit: laccs aux donnes (ressources) doit tre rserv
quaux personnes autorises
ncessit de mettre en place:

Des rgles daccs (qui est autoris accder et quoi?)

Des mcanismes dauthentification et d identification des utilisateurs

comparaison des informations provenant de lutilisateur qui se connecte
aux informations stockes dans un site protg.

De protection de donnes au cours du transport
cryptage de donnes.
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
5 Zerrouk
VULNERABILITES ET
ATTAQUES
1. Spcificits des rseaux sans fil
2. Failles de scurit
3. Vulnrabilits
4. Attaques
RGLES DE SCURIT (2/2)
perdues ou modifies de faon illgitimes
Ncessit de mise
en place de signature (empreinte) numrique.
4. Disponibilit: Le SI (rseau) doit accessible tout le temps
(service permanent). La disponibilit peut tre remis en cause:

par brouillage,

par DoS (saturation de lAP grce la multiplicit du nombre de demande
dassociation).
5. Non rpudiation : Permet d'empcher qu'un expditeur puisse
nier ultrieurement avoir envoy un message
peut
seffectuer laide dune signature cl publique ou par un
tiers de confiance certifiant que la communication a eu lieu.
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
6 Zerrouk
VULNRABILIT DANS LES RSEAUX
SANS FIL
Pour scuriser un rseau de faon efficace, il est ncessaire
didentifier les vulnrabilits (failles) puis de les liminer
systmatiquement.
Les vulnrabilits sont exploites pour pntrer dans le rseau de
lentreprise et mettre en danger le SI ainsi que les donnes
sensibles (Information client, techniques de fabrications,..)
Dans un rseau sans fil (non scuris) lanalyse de trafic permet
dextraire un certain nombre dinformations:

Nom utilisateur

Mot de passe

E-mail

Autres donnes
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
8 Zerrouk
 VULNRABILIT DANS LES RSEAUX ATTAQUES (1/3)
Il nexiste pas de rseaux invulnrables :
1. PAR INTERCEPTION DE DONNEES
1. Rseaux cbls
barrires physiques limitent laccs au
War1driving:
rseau (quipements dinterconnexion placs dans des Recherche laide dun vhicule les point daccs et noter leur
endroits scuris, ports non utiliss dsactivs,..) position ainsi que leur caractristiques
attaque.

2. Rseaux sans fil
support non protgs
il existe pas de

Ecoute: Analyse de trames (scanner WiFi)
limites gographiques qui empche le rayonnement. Des
Possibilit dexploitation dinformations confidentielles (mot de
attaques peuvent tre lances (dans la zone de couverture ou
passe, documents confidentiels, numros de cartes bancaire)
dehors de celle-ci) en utilisant:
Ncessit de scuriser les changes par cryptage avec un algorithme

Systmes dcoute (scanner)
le plus puissant possible sans dtriorer les performances du rseau.

Antennes directives
War: Wireless Access Research

WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
9 Zerrouk 10 Zerrouk

ATTAQUES (2/3) ATTAQUES (3/3)

2. ATTAQUES PAR INTRUSION
Introduction au sein dun rseau WiFi afin de consulter/modifier les 3. Attaque par relecture:
donnes dun SI (BDD, Fichiers, e-Mail,) et daccder Internet
Enregistrer les trames mis par une station lgitime au
(navigation ou transactions illgales); moment o elle se connecte.
Attaque de dictionnaire:
Rmettre toutes ces trames aprs un certain temps.

Attaque on-line
Recherche de mots de passe par dictionnaire jusqu
trouver le bon . Prend beaucoup de temps
le pirate risque dtre repr 4. Attaque par dnis de service
Empcher le rseau de

Attaque off-line
utilise le principe de fonctionnement du protocole fonctionner normalement.
dauthentification:
Brouillage des communications par ondes radio (signal
Serveur envoie un dfi (texte alatoire)
Client utilise (dfi + mot de passe)

puissant + bonne frquence)
rseau inutilisable
gnrer une rponse qui est fonction de lalgorithme utilis
Serveur utilise le
mme algorithme pour vrifier que la rponse est bonne (c.a.d. le mot de passe)

Inonder un site web par des requtes.
Le pirate utilise le dialogue dauthentification russi (dfi + rponse correcte)

recherche du mot passe par dictionnaire.
Solution: Configuration de systmes pour dtecter les tentatives dintrusion.
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
11 Zerrouk 12 Zerrouk
 SOLUTIONS DE SECURITE
1. Solutions intgrs la norme IEEE 802.11
a. Rgles de protections lmentaires:

Limiter la couverture.
Rduire la puissance dmission
Eviter les AP
SCURIT DANS LES RSEAUX pirates
davoir une bonne couverture.

Masquer le SSID
protection faible (scanner
connaissance du SSID:
WIFI transmis en clair dans sa requte dassociation).

Filtrage par adresse MAC
Inconvnients

Assez lourd mettre en place
conserver la liste des adresses MAC de
1. Solutions de scurit tous les quipements autoriss se connecter au rseau.
2. Evolution de la scurit
Usurpation didentit (scanner
lire une @MAC dun utilisateur
lgitime .
3. Scurit WEP
b. Cryptage WEP (Wired Equivalent Privacy)
4. Scurit WPA et WPA2
5. Architecture 802.1x 2. Solutions avances
a. WPA (WiFi Protected Access)
b. IEEE 802.11i (WPA 2) (Base sur lauthentification 802.1x et les cryptages
AES et TKIP). Dr. SIDI ALI MEBAREK
14 WiFi:Introduction_Securit
Zerrouk

AUTHENTIFICATION IEEE 802.11 EVOLUTION DE LA SCURIT

Il existe principalement 2 mcanismes dauthentification :
Robustesse Robust
1. Open System Authentification (rseau non
RSN
802.11i
Security
scuris)
Mode ouvert Objectif final Network
Aucune information didentification nest
requise
rponse toujours positive Transitional
WPA

TSN
Tous les clients sont automatiquement authentifis Security
Objectif transitoire Networks

2. Shared Key Authentificiation

WEP
(rseau scuris)
utilisation dune cl
secrte (passphrase) qui doit tre connue
Temps
la fois de la station et du point daccs.

Autres Solutions (VPN, Pare-feu,..)
Si les informations relatives la scurit sont
correctes, lAP autorise laccs au rseau.
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
15 Zerrouk 16 Zerrouk
 SCURIT WEP SCURIT WPA (WiFi Protected Access)
Le WPA permet de pallier aux insuffisances du
Le WEP est bas sur lutilisation WEP
Solution transitoire avant validation
dune cl statique, unique et de la norme IEEE 802.11i (WPA2)
symtrique commune toutes les
communications Cryptage :

Protocole TKIP (Temporal Key Integrity

Algorithme de cryptage RC4 Protocol) bas sur RC4
(Rivest Cipher 4)
Cryptage
Utilise une cl dynamique qui change
par flux (octet par octet) rgulirement Possibilit de Mise jour
des AP existants (firmware)

Possibilit de casser la cl
aprs analyse du trafic
Accs Deux variantes:
aux ressources du rseau. WPA-PSK
base sur des cls partages (dynamiques)
WPA-Entreprise
base sur le protocole 802.1x

Remarque: Trames de gestion et de contrle non cryptes.

WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
17 Zerrouk 18 Zerrouk

SCURIT IEEE 802.11i (WPA2) SCURIT IEEE 802.11i (WPA2)

Norme IEEE 802.11i (WPA2): Norme de
Proprits 802.11i:
 Le Contrle daccs
802.1x
securit intgre dans les rseaux WiFi de
 La Confidentialit
AES/COUNTER
nouvelles gnrations (802.11n, 802.11ac)
 Le contrle dintgrit
AES/CBC-MAC CCMP?
Cryptage:
 Hirarchie des cls
semblable celle de WPA

Base sur lutilisation de cls dynamiques
(gnrer et distribuer automatiquement).

Algorithme AES (Advanced Encryption Deux variantes:
Standard)

WPA2-PSK

Ncessite une puissance de calcul
imortante (non supporte par les anciens
WPA2-Entreprise
base sur le protocole IEEE802.1x
AP)
pas de possibilit de Mise jour du
firmware. Cryptages WEP et TKIP conservs
compatibilit

Compatible avec WPA
Supporte
galement le protocole TKIP.

WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
19 Zerrouk 20 Zerrouk
 Modes de fonctionnement: WPA/WPA2 WPA--PSK: WPA Personal
SCURIT WPA
WPA WPA2
(SoHo)
Authentification:
MODE PERSONNEL (1) PSK
Cryptage/Dcryptage: Cryptage/Dcryptage:

Utilise une cl partage PSK (Pre-Shared Key) quil faut
(SOHO, Home/Personal)
TKIP-MIC AES-CCMP configurer dans tous les quipements.
Authentication:
MODE ENTREPRISE (2) IEEE 802.1x/EAP

Cl WPA plus longue que la cl WEP (passphrase).
(Education, Finances, Cryptage/Dcryptage: Cryptage/Dcryptage:
Gouvernement,.) TKIP-MIC AES-CCMP

(1) Ne ncessite pas de serveur dauthentification, mode peu scuris, Les

utilisateurs utilisent la mme? cl secrte = passphrase).
(2) Ncessite un serveur dauthentification (type Radius) pour lauthentification
et la Distribution des cls (Une cl par utilisateur) Gestion centralise des
utilisateurs
EAP: Extensible Authentication Protocol
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
21 Zerrouk 22 Zerrouk

SCURIT WPA
WPA--Entreprise
Utilisation dune architecture IEEE 802.1x
Installation

Utilisation dun serveur dauthentification de type RADIUS
compatible avec la mthodes dauthentification AP.

Activer la gestion IEEE 802.1x au niveau de tous les AP

Choisir le type de cryptage (TKIP ou AES)
AES recommand
si tous quipements le supportent (plus scuris que TKIP)

Configurer la connexion IEEE 802.1x au niveau des diffrents
utilisateurs.

Choisir une mthode dauthentification EAP
Architecture IEEE 802.1x

La qualit de la scurit WPA-Entreprise et WPA2-Entreprise
dpend du choix du protocole dauthentification EAP (Extensible
Authentication Protocol)

EAP a t dfini par lIETF (Internet Engineering Task Force) il
est la base de IEEE 802.1x

Il permet didentifier et dauthentifier les utilisateurs avant toute
autorisation daccs au rseau

Il gre plusieurs mthodes dauthentification: (Mot de passe,
Carte puce, Certificats lectroniques, Biomtrie, Etc.

WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
23 Zerrouk 24 Zerrouk
 Architecture IEEE 802.1x Principaux Mcanismes d'authentication
TROIS Acteurs physiques EAP
Client (Supplicant)
Equipements
munis dune carte Wi-Fi
EAP-TLS: authentification mutuelle (client et serveur)
Contrleur daccs ou Authentificateur par certificats.
(authenticator)
Point daccs

EAP-TTLS et EAP-PEAP: authentification mutuelle
Serveur dauthentification
RADIUS

certificat (serveur), login/mot de passe
client
PAE:
EAP-SIM: Authentification par catte SIM
Port Access Entity
DEUX Protocoles dauthentification
EAP (EAPOL)
Entre le Client et le Point daccs
RADIUS
Entre le Point daccs et le Serveur

UNE Mthode dauthentification de type EAP

WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
25 Zerrouk 26 Zerrouk

SPCIFICIT DES RSEAUX SANS FIL

(1/3)
1. Milieu de propagation
milieu ouvert

Impossible de limiter le rayonnement dans une zone restreinte
ANNEXES connue avec prcision.

Nimporte quel individu disposant dquipements appropris
(antenne directive, scanner, ) peut:

couter le trafic sur le rseau (coute passive
extraction
dinformations relatives au rseau puis connexion au rseau
mme sans tre autoris le faire).

Sintroduire dans le rseau (intrusion ou usurpation
didentit )
Solution: Scuriser de laccs

28
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
Zerrouk
 SPCIFICIT DES RSEAUX SANS FIL SPCIFICIT DES RSEAUX SANS FIL
(2/3) (3/3)
3. Sensibilit aux interfrences radiolectrique
2. Propagation en ligne droite (Bandes WiFi)
Obstacles

Interfrences
( taux derreur,  porte,  dbit,..):
rencontrs sur leur trajectoire
 Multi trajets

dviation (Diffraction, Rflexion, Rfraction)
 Mme bandes de frquence (Bluetooth, fours micro-

absorption par les obstacles. ondes, etc.)

Zone de couverture dpend de lenvironnement
(indoor/outdoor) Solution: Utilisation de la MIMO

Niveaux de puissances de rception variables
(dplacement du personnel dans la zone couverte). 4. Sensibilit au brouillage radiolectrique

Solution: ??? Solution: Dtection de sources parasites (analyseur de spectre)

29
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK WiFi:Introduction_Securit
30 Dr. SIDI ALI MEBAREK
Zerrouk Zerrouk

FAILLES DE SECURITE
Les risques dattaques lis la mauvaise protection sont
multiples et peuvent tre rpertoris comme suit:

Linterception des donnes

Fin chapitre

Lintrusion dans le systme

Le dni de service

Lusurpation didentit

Lattaque par porte dissimule

Lattaque de lhomme au milieu
(man in the middle)

Solution:
Rduction ou limination des failles
de scurit
Cryptage des donnes
802.11
WiFi:Introduction_Securit Dr. SIDI ALI MEBAREK
31 Zerrouk