User Tools

Site Tools


formationsecurite:wifi
  • Introduction: bêtises, resituer
  • théorie concernant le wireless (modèle OSI)
  • architecture: topologies
  • sécurité

Introduction

Sans fil: il y a plein de technologies, Wifi, edge, etc.). Wifi est celui qui s'est développé le plus aujourd'hui. Wifi = wireless fidelity, mais souvent installation de piètre qualité, sans sécurité

Pourquoi la technologie wifi?

  • UMTS pas développé, UMTS: large bande pour GSM
    • vitesse théorique: 2 ~Mb/s
    • commencé à en parler vers 1998-99 (rappel: GSM: 1995-96, permettant rien en data et 9600 bps en fax)
    • voix ne rapporte pas, data ça paie (lourd, c'est riche)
      • WAP = HTML pour GSM (flop)
      • problème: bande passante insuffisante → UMTS
      • adoption de la technologie
        • créée en labo
        • utilisé si client emballé
        • vitesse d'adoption diffère selon la technologie et la facilité de mise en oeuvre
        • UMTS: adoption: provider doit l'installer → comment faire pour que les providers l'adoptent? → leur faire gagner de l'argent → one-to-one marketing → tu passes par galerie Toison d'Or: tu as une annonce: si tu viens dans mon magasin dans la 1/2 heure, tu as -20%
        • licence à prendre chez les gouvernements: concours de beauté: on met autour de la tables les intéressés potentiels → chacun fait une offre, on montre les 3 premiers, on annonce, et on refait un tour de table le lendemain, rinse and repeat 2-3 fois
          • en Belgique: Rik Daems pas tiré ce qu'il fallait: Accenture sort un rapport: 7 ans pour atteindre le break-even, mais 7 ans: technologie dépassée, donc pas trop rapporté
          • Proximus devait être opérationnel pour 2002 mais Proximus = Belgacom → entrée en bourse → repoussé à 2003, puis 2004: couvre 3 villes, en 2005, ça commence (N.B: Mobistar a déployé du EDGE, pas UMTS)
          • UMTS = 3G, EDGE = 2.5G, GPRS = 56 k (comme modem analogique)
  • demande end user: mobilité (laptops) → il faut de la bande passante
  • facilité d'utilisation: ça marche du premier coup
  • connexion entre 2 bâtiments:
    • il fallait passer par un provider telecom → fibre ou câble: très cher (oligopole, 1000-2000 EUR pour un ligne de 512 ~kb/s par mois
    • Wifi: 700 EUR pour une connexion à 1 ~Mb/s (en 7 mois rentable sur investissement de 3 ans)

Donc, le wifi est tombé au bon moment.

home != professionnel

Home: broadband est arrivé:

  • mid-90s: 1 PC par ménage
  • fin 90s: broadband
  • début 2000s: plusieurs PCs à la maison (les enfants jouent: dans leur chambre)
  • partage de la connexion (accès internet): filaire: chiant → wifi nickel

Professionnel:

  • câblage en fonction des bureaux, OK
    • salle de réunion: il faut que tout le monde soit connecté? problème → solution: Wifi
      • causer quand on veut pas travailler
      • inviter les clients
      • regarder le foot
  • interconnexion buildings
  • pas câbler pour autre raison que distance
    • chez Delvaux: ateliers modulables: changement régulièrement de topologie, il faut rester câblé → wifi

Mobilité:

  • hommes d'affaire: en voyage: avec modem: coûte cher et crâme (N.B: hôtel: break-even: 7 à 10 ans, il faut souvent relooker → pas câbles) → wiki
  • aéroport: check-in, temps → VIP lounge → connexions internet avec carte à gratter en Wifi

2 types de réseaux wifi professionnels (définition du formateur):

  • open: un maximum de personnes doivent pouvoir s'y connecter (hôtel, Mc Do, etc.) → sécurité pas prioritaire
  • closed: connexion entre 2 bâtiments d'une boîte → sécurité prioritaire
  • Reseaucitoyen: initiative: wifi coûte pas cher, mais quand même trop cher → antennes artisanales, OS libre → en Afrique, câblage pas rentable → solution !dérive → services sur le réseau (Carl pas d'accord)

Security gap

différence entre l'endroit où on est et celui où on devrait être. Par définition, le sans fil n'est pas sécurisé: le médium est l'air, on ne contrôle pas où la transmission s'arrête. Wifi venu avec WEP, qui n'est pas sécurisé. → Hotspots ouverts pour tout le monde, aux frais de celui qui déploie.

Il faut sécuriser, d'une part en configurant différemment, ensuite parce qu'il y a des nouveaux standards. Ce qui fait qu'aujourd'hui on a toujours un problème: j'installe d'abord (et ça marche), je comprends après. Contre-exemple: firewall: au départ, très complexe: on l'adopte pas. Une fois qu'on a eu un firewall simplifé, ça s'est répandu.

Le Wifi est donc utilisé sans être convenablement sécurisé.

Autres technologies

  • UWG
  • VoIP and Voice over WLANs: 802.11e
  • Wimax: 802.16: local loop en wireless - encore émergent en 2005

Wifi technology fundamentals

Standards 802.11

couche datalink: couche LLC et MAC

  • LLC: services connexion avec et sans accusé de réception, services avec accusé de réception sans connexion
  • MAC
    • CSMA/CA cf. CSMA/CD: il y a un bus qui écoute qui envoie sur le câble, si collision → signal de bourrage → PC arrêt d'émettre pendant un temps → pas possible en wifi (trop grandes distances)
    • CSMA/CA: CA = collision avoidance: on a un AP et des clients. La machine un veut émettre
      • elle envoie un RTS (request to send) à l'AP et voilà combien de temps il me faut pour émettre
      • AP envoie CTS (clear to send): tout le monde se tait sauf celle qui a émis le RTS

= distributed coordination function (DCF) (N.B: il existe aussi une autre méthode: pool)

  • shared media: quand travaille en 11 Mb, on partage avec les autres clients → limiter le nombre de clients par AP
  • la bande passante par client diminue plus vite que le quotient: ce n'est pas linéaire (collisions + trames de management)

Access Point censé permettre à des client l'accès à un réseau filaire: bridge de type transceiver

Basic service set (BSS)

Il couvre une seule fréquence (une cellule): plus on s'éloigne du centre de la cellule, moins le signal est bon. Le BSS est en mode infrastructure, elle a besoin d'un AP. Toutes les stations communiquent pas l'AP. SSID: service ID

Independant Basic Service Set

= mode ad-hoc = peer tot peer

Distribution System

Plusieurs AP reliés par filaire, le client peut passer d'une cellule à l'autre = roaming

Couche physique

802.11b défini avec DSSS de l'ISM: transfert de données: 1, 2, 5.5, 11 Mbps Il y a 14 canaux (fréquences): Europe: ETSI (13) et USA: FCC (11) Il y a 2 sets de canaux:

  • non overlapping: 3 canaux qui n'interfèrent pas: Europe: 1, 7, 13; USA: 1, 6, 11 → data rate + élevé
  • half-overlapping: canaux qui interfèrent: couvre mieux, fréquency hopping (saut d'une fréquence à une autre), mais data rate moins bon (1-2 Mbps)

802.11a: BP divisée en sous-canaux pour faire du multiplexage → 54 Mbps théorique Commence à perdre de la vitesse en Europe.

802.11g: mutilplexage OFDM avec RTS et CTS → compabilité b et g (pas avec a)

Processus d'association

Client dans une micro-cellule et veut faire partie du réseau. Il existe 2 méthodologies standards:

  • scanning passif: écoute et repère les beacon frames: émet trame sur laquelle elle travaille son SSID
    • quand le client a repéré le beacon frame, il peut essayer de se connecter → je vais dehors tout nu et je sors en criant “Je suis tout nu”
  • scanning actif: AP ne broadcast pas les beacon frames: le client émet: s'il y a une AP là au bout, réponds-moi (avec beacon frame)

→ on ne peut pas cache l'existence un réseau wifi.

Analogie avec une carte réseau filaire:

  • intégrité came
  • décapsuler
  • vérifier dans header que c'est bien pour soi ou broadcast

Mais on peut aussi mettre la carte en mode de proscuité (promiscuous) → sniffer

~L'AP répond avec un trame qui donne une ID.

A la fin de l'association, on fait partie du réseau.

Windows XP fait du passive scanning. Pour faire de l'active scanning, il faut un logiciel. Exemple: netstumbler.

802.11c et d: supplément à la MAC layer → AP peuvent communiquer à différentes puissances

802.11e: QoS en plus pour voice et data. Pas encore de standards implémenté, mais propriétaire (Cisco)

802.11f: interopérabilité pour le roaming

802.11h: réguler la puissance d'émission en fonction de la distance émetteur-récepteur pour réduire les interférences.

802.11i: pour pallier aux insuffisances du WEP, nouveaux standards de sécurité de wifi: TKIP, AES, etc.

Introduction to wireless radio technology

Frequence

Signal peut être représenté par une onde: sinusoïde. fréquence = nombre de cycles par seconde. T (période) = durée d'un cycle f = 1 / T

Longueur d'onde (lambda) en mètres = C / f

Plus la fréquence augmente, plus la longueur d'onde diminue.

Haute fréquence = petites antennes

Bande passante analogique: différence entre la plus haute et la plus basse fréquence Bande pasante digitale: quantité d'informations par unité de temps

Spectre

Spectre de la lumière = décomposition de la lumière (arc-en-ciel) en différentes couleurs possibles → fréquences possibles

Puissance du signal

On dit wifi portée de 100 m. Pourquoi?

  • puissance émise < puissance minimum pour atteindre le récepteur
  • bruit → bruit + signal fait que le récepteur ne peut distinguer le signal du bruit

P1 = puissance émise P0 = puissance reçue log(10) ~P0/P1 = BEL 10 bels = 1 décibel = 1 dB log = fonction inverse des exposants.

dB < 0 → perte de puissance dB > 0 → gain de puissance

perte de 10 dB → diminution de puissance du signal d'un facteur 10 (reçu 1/10e de la puissance émise) perte de 20 dB → diminution de puissance du signal d'un facteur 100 (reçu 1/100e de la puissance émise)

Uniformiser: decibel-milliwatt (dBm), on ramène la fraction comme si on avait émis 1 mW.

On parle de dBm EIRP (effective isotropic radiated power).

Signal bruit

2 types de bruit:

  • white noise = thermal noise = gaussian noise: le bruit émis au départ de l'émission, soit il s'amplifie, soit il se réduit = bruit inhérant à l'émission
    • signal diminue avec la transmission; pareil pour le bruit; on ne sait pas qui diminue plus vite
  • impulse noise: le bruit lors de la transmission

Mesurer le signal, c'est bien, mais il faut aussi mesurer le bruit. → la mesure intéressante, c'est le rapport entre le signal et le bruit

Avec la valeur de la puissance émise et le rapport signal bruit, on peut estimer la qualité d'une connexion.

A la réception, on mesure le signal (ex: -45 dBm) et on mesure le bruit (-95 dBm) → le rapport 10^-4.5 / 10^-9.5 = 10^5 → 50 dB C'est très bien. Plus il est élevé, mieux c'est.

Antenna Fundamentals

Transformer électricité en radio-fréquences.

2 fonctions:

  • recevoir
  • envoyer

2 grands types:

  • omni-directionnelles
  • (uni)-directionnelles

Radiation pattern (3D): azimuth (angle horizontal) + elevation (dimension verticale)

Polarisation de la radiation: manière dont est émis le signal (vertical ou horizontal)

Mettre un filtre de polarisation sur l'écran

Pour une antenne, angle maximum = 90°

  • patch antenna: omni mais rien derrière
  • yagi: on focalise le champ, donc angle réduit
  • diversity antenna: 2 antennes sur un AP distantes de 1/2 de la longueur d'onde qui reçoivent et émettent toutes les 2
    • si on a des connecteurs externes et qu'on veut travailler en diversity, il faut faire attention entre la distance entre

L'environnement métallique va jouer sur les radiations (réflexions). Le signal va arriver à destination plusieurs fois (= multipath), non seulement avec une amplitude (puissance) différente, mais aussi à un moment différent → dégradation du signal

Notion de gain

mesuré en dBi: decibel isotropique: antenne théorique Une antenne de 3 dBi double son efficacité par rapport à une antenne 0 dBi, une de 20 dBi est 100 fois plus efficace qu'une 0 dBi Plus dBi élevé, plus gain important.

dBd = decibel dipole x dBd = x + 2.14 dBi

dBm EIRP…

Distance de transmission horizontale

Carré de la distance = 1 / puissance signal

2 m nécessite une puissance x 4 m → puissance doit être multipliée par 4 (pour couvrir le double de la distance)

Si on veut un data rate (débit), plus la distance est courte courte → 11 Mbs longue → 1 Mbs (sauf si on augmente la puissance, mais varie avec le carré de la distance + limitation légale)

Plus les fréquences sont élevées, plus le signal s'atténue vite. Le 802.11a en 54 Mbs: on ne peut pas couvrir de grandes distances.

Offre à un client: il faut d'abord faire un site survey (problème: ça coûte: matériel, antennes, gens) = conseil, rapport de faisabilité Faire un map de signalisation: regarde les zones à couvrir, puis placer l'AP quelque part et voir si on couvre tout.

Outdoor, règles à respecter: ligne de mire entre les 2 points à relier: pas d'obstacles entre les 2 (fenêtre = pas un obstacle). Si antenne externe, perte de signal dans le câble.

Si la distance à relier est plus grande que 10 km, il faut tenir compte de la courbure de la Terre. Soit aller plus haut (toit, mât), soit mettre une antenne relais entre les 2.

Zone de Fresnel: signal forme un globe, voir qu'on est bien dedans.

Exemples: antennes indoor Dipôle: 1 Mb 106 m, 11 Mbps: 40 m Patch: 1 Mbps: 213 m, 11 Mbps: 61m

Wifi Topologies Architecture

Quand on change une antenne, il faut éteindre l'AP au préalable.

Chacun des 3 binômes va faire un site survey avec un portable: 8 points au 1er étage, 4 points au rez-de-chaussée, 3 points dehors. Pour chaque point, noter:

  • signal
  • bruit
  • rapport signal / bruit
  • qualité de la connexion

On change l'antenne: diversity, patch, yagi. Quand on analyse le bâtiment, on voit qu'il y a une structure métallique (cage de l'ascenseur). Avec la yagi et la patch, on capte partout. Avec la diversity, on ne reçoit pas derrière la structure métallique parce que la puissance est plus faible (avec la yagi et la patch, on traverse la structure métallique). On se trouve dans une structure hyper-métallique, donc ça rebondit, c'est pourquoi on capte partout avec une yagi (antenne directionnelle).

On couvre énormément. Il y a 3 zones (gauche, centrale et droite):

  • gauche: très bonne couverture
  • droite: qualité faible
  • milieu: ça dépend où par rapport à la cage d'ascenseur.

Pour tout couvrir, il faudrait 3 AP avec antennes diversity, un par zone. Serveur Carl:

  • installer Windows 2003 (nom machine: DC1)
  • installer le service DNS (pas configurer)
  • IP fixe: 10.0.05/27 (masque: 255.255.255.224), DNS: 10.0.0.5
  • installer l'active directory (+ configuration DNS)
dcpromo
  • domaine: domain1.be
  • dans le DNS, créer la reverse lookup zone
ipconfig /registerdns

Workstation Dimitri:

  • Windows XP professional
  • Service pack 2
  • IP fixe: 10.0.0.6/27
  • rentrer dans le domaine domain1.be: My Computer → clic droit → properties → onglet Network Identification → properties
  • DNS: 10.0.0.5
ipconfig /registerdns
  • mettre la carte PCI
  • installer les pilotes et tous les utilitaires

AP et bridge

AP: amener clients sur réseau câblé, voir AP entre eux Bridge: pour point à point

multi AP = extended infrastructure topology

  • roaming: on doit toujours rester dans une micro-cel; or, forme = cercle → 10-15% d'overlap (2 ou 3 cel), tous les APs dans le même broadcast domain = même VLAN; pour éviter micro-cel qui s'overlappent, on met des canaux différents (utiliser la technique de ruche avec les hexagones ou un programme propriétaire fourni par le constructeur d'AP: l'AP peut détecter les autres APs, le programme joue sur la vitesse de transfert de données et la puissance pour moduler la taille des micro-cels)
  • load balancing: nombre de clients par AP limité: micro-cel très proches; pas le même canal
  • redondance: même canal (un seul AP parle, l'autre se tait)
  • répéter le signal pour couvrir plus loin que l'AP seul → repeater: 2 AP, un configuré comme répéteur (pas de port ethernet, même canal → BP divisée par 2), l'autre pas; il faut un overlap de 50% de la couverture.

Bridge topologies

Root on bridge = accepte les associations avec clients = master bridge Root off bridge n'accepte pas les clients, mais bien un autre bridge (les 2 types) ou un repeater

Point to point

On peut aggréger les liaisons pour augmenter la vitesse de transmission

Point-to-multipoint

C'est le maillon le plus faible de la chaîne (le plus lent) qui détermine la vitesse de transmission de tout le réseau.

Securite

Risques

  • authentification (basée sur SSID)
  • encryption
  • intégrité (man in the middle)

Attaque: footprinting: reconnaissance, trouver l'existence (SSID) du réseau avec un active scanning. Ensuite, voir s'il y a une authentification.

On peut aussi voir si le réseau est sain (ex: rogue AP: quelqu'un de la boîte a mis le sien sans autorisation).

Avec MAC adress + SSID (si par défaut), on peut trouver la marque de l'AP et le mot de passe par défaut.

WEP: encryption RC4 (mauvais algorithme) + authentification: airsnort craque en peu de temps (de l'ordre de l'heure) la clef. Authentification: Clef de 40 bits à mettre sur les clients. → passer à 128 ou 256 bits: pas suffisant (une journée pour craquer) Encryption: vu que authentification pas bonne, encryption pas bonne Intégrité: pas de signature, pas bon

Authentification MAC: bidon (spoofing);

Contre-mesures

Nouvelles solutions: bonnes pratiques

  • site survey: voir jusqu'où on émet (restreindre)
  • pas broadcaster son SSID
  • jamais utiliser le default SSID
  • positive wardriving: vérifier qu'il n'y a pas d'AP non autorisé (rogue)
  • filter sur les MAC adresses
  • si doit faire avec WEP: utiliser les clefs les plus longues (min. 128 bits), utiliser les 4 clefs, utiliser la rotation des clefs avec le délai le plus court, user + passwd sur le radius de l'AP
  • utiliser WPA = WEP + TKIP + 802.1x
    • TKIP = temporal key integrity protocol:
    • 802.1x = EAP ajouter plus de paramètres pour l'authentification
      • Lightweight EAP: fourni par la borne en interne
      • EAP TLS: il faut un certificat pour l'utilisateur, mais la 1ere phase n'est pas encryptée
      • P EAP TLS (P = protected) pour la 1ere phase d'authentification
  • utiliser WPA2 = AES + TKIP + 802.1x

Authentification

Client démarre: coucou, je veux m'associer. AP: passer par le serveur radius

RADIUS: remote access internet (= IAS chez MS), serveur d'authentification. Client du radius = AP Quand on veut s'associer, AP interroge radius. l'AP dit au client: c'est telle méthode que le serveur radius veut, fournis-la Le client donne de quoi s'authentifier → AP qui le passe au radius qui va interroger la DB.

4 composantes:

  • client
  • AP (pass through)
  • RADIUS (sous n'importe quel OS)
  • base de données (LDAP, peu importe l'OS)

Encryption

But du wifi: accès au serveur de mail interne. On va utiliser IPSEC (uniquement sur la carte wifi), avec domaine (Kerberos) ou AES.

Outils

  • outils fournis par le constructeur
  • netstumbler: rapport signal / bruit, mais avec certaines cartes, pas possible → utilise une autre valeur RSSI.
  • Retina Network Security Scanner

Pratique

  • installer sur la machine XP netstumbler 0.4
  • faire un screen de ce qu'on peut trouver dans le coin

Windows 2003: Control Panel → Add / Remove Programs → Add / Remove Windows Component

  • installer IIS: Application Servers → IIS: Details → ajouter Frontpage extensions → WWW Service: Details
    • Internet Data connection, remote admin, SSI, WebDav, WWW service
  • Certificate server → CA → enterprise root (domain1.be_CA)
  • Networking services → IAS Internet Authentication Server (Radius)

Sur XP: Se logger en tant qu'administrateur du domaine Mettre à jour les GPOs:

gpupdate /target:computer /force

Faire une requête de certificat pour l'utilisateur (administrator) et pour la machine (xp1):

<code>mmc</code>
* ajouter certificates pour users
* certificates -> request certificate -> administrator 
* ajouter certificates pour computers
* certificates -> request certificate

Désinstaller les pilotes et les utilitaires Cisco (avec reboot en prime). Réinstaller le pilote et rien d'autre (reboot).

Configurer le radius sur Windows : dire qui sont les clients (slide 128) Internet Authentication Services → clic droit → new client → client_radius_ap_cisco → shared key = 12345678

Switch en mode 2003: Domaine: AD Users & Computers → domain1.be → clic droit → raise domain functional level → windows 2003 server Foret: AD Domains & Trusts → sommet → clic droit → raise foret functional level → windows 2003

Vérifier que administrator → dial in →

IAS → Remote access policies → clic droit → New remote access policy → set up a custom policy → add policy condition → NAS-Port-Type → Add → Wireless IEEE 802.11 → Add → Grant remote access permission → Edit profile → Authentication tab → tout décocher → clic EAP Methods → add EAP types → PEAP → edit → add → smart card or certif → edit → verifier que c'est le certificat qu'on a fait en installant le service certificats → virer password (chap)

AP Cisco: Connexion via le switch (IP: 10.0.0.1) Security → SSID Manager → Authentication Settings → Open authentication → with EAP (apply) Security → Encryption Manager → WEP 40 bits → Encryption keys 2 (WEP) → 40 bits → entrer un clef (1234567890) Security → Server manager → Corporate server:

  • Server: 10.0.0.5
  • shared secret: 12345678
  • authentication port: 1812
  • accounting port: 1812

Default server priorities: EAP authentication → Priority 1: 10.0.0.5 → apply Security →

Workstation XP: My network connexions → clic droit → properties → Wireless network connection 2 → clic droit → proprietes

  • tab general → ~TCP/IP → properties → IP: 10.0.0.11 netmask 255.255.255.224 dns 10.0.0.5

tab Wireless network → preferred networks: tsunami1 → properties: tab association: SSID: tsunami1 Network auth open Data encryption: wep key: 12345678

Tab authentication

  • PEAP → propriétés
    • cocher “fast reconnect”
    • validate server certificate → choisir le certificat qu'on a crée: domain1.beCA
    • Select authentication method → smart card or other certificates → configure → validate server certificate → choisir le certificat qu'on a crée: domain1.beCA

OK partout et puis dans la fenetre Network connections, faire refresh (F5) jusqu'à ce qu'on ait la connexion (négociation avec le serveur radius prend un peu de temps).

Mettre l'AP dans une DMZ (entre FW vers internet et autre FW vers l'intérieur), et connexion vers réseau privé en VPN.

formationsecurite/wifi.txt · Last modified: 2013/01/30 17:52 (external edit)