Kismet - Le Tutorial Facile - Wireless et Sécurité

Kismet Wireless et Securité
Dernière modif: Mar 26 2008

Outil
Installation
Ergonomie
Forum

Détails Kismet, c'est quoi?
Captures d'écran
Prérequis
Installation
Configurations
Plate-forme
Protocole 802.11
Journaux
Wireless et sécurité

Français pas encore vérifié!

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Les ondes transportant les données wireless se propagent librement dans l'air et peuvent être interceptées par n'importe qui autour de votre maison.
Pour cette raison, il est très important de sécuriser votre environnement wireless pour le garder privé.

Dans un réseau câblé, l'accès physique au réseau peut être contrôlé en sécurisant les connections réseaux d'un switch ou hub.
Dans un environnement wireless, un point d'accès diffuse des données au travers d'ondes tout autour de lui. Pour cette raison et comme il n'est pas possible de limiter la diffusion d'ondes, n'importe qui avec une réceptionnant le signal de façon suffisante peut soit:
écouter le trafic entre un client et un point d'accès et lire les données ou
se connecter, en cas de défaillance de la sécurité, au point d'accès et accéder aux ressources du réseau

Le processus d'autorisation d'accès est appelé authentification et le chiffrement des données confidentialité.

Regardons comment sécuriser votre environnement wireless de la maison:

                               1. Changement du SSID par défaut
                               2. Désactivation du "SSID broadcasting"
                               3. Configuration d'une stratégie de sécurité wireless
                               4. Divers

1. Changement du SSID par défaut

Le SSID (Service Set IDentifier) se réfère à un nom de réseau wireless et est contenu dans un champ de certaines trames de gestion.
Un client wireless a besoin de connaître le SSID du réseau sur lequel il veut se connecter. Le SSID peut être fourni par le point d'accès quand il est configuré pour broadcaster son SSID. (Voir section suivante) Dans le cas contraire, le client doit connaître le SSID pour pouvoir transmettre.

Il est important de comprendre que le SSID n'offre aucune protection au niveau de la sécurité parce qu'il est transmis en texte clair et peut être détecté par des sniffer wireless passif comme Kismet.

Voici quelques exemples de paramétrage du SSID sur des équipements wireless bien connu:
- Linksys (acheté par Cisco in 2005): Un leader dans les environnements de particulier et petit business.
- Cisco Systems: Un leader dans les environnements moyens à grands.

Linksys WAG54G - Paramétrage du SSID

Wireless -> Basic Wireless Settings -> Wireless Network Name (SSID)

linksys wireless set ssid

Cisco Aironet 1240 - Paramétrage su SSID

SECURITY -> SSID Manager -> < NEW > -> SSID

Vous pouvez voir qu'avec le point d'accès Cisco, vous pouvez configurer plusieurs SSID et activé les technologies 802.11a et b/g. Avec le point d'accès pour la maison de Linksys, vous êtes limités à 802.11b/g et un SSID unique mais cela est suffisant pour un environnement de particulier.

Haut de la page

2. Désactivation du "SSID broadcasting" / activation du "SSID cloaking"

Pour accéder à un réseau wireless, un client doit connaître le nom du réseau ou SSID avant de pouvoir s'authentifier avec un point d'accès.
Quand un client ne connaît pas le SSID, il peut l'obtenir de deux façons:
Passivement: le client écoute des trames beacon. Activement: le client envoie des "probe requests" autour de lui. Les points d'accès répondent avec des "probe responses".

Les trames beacon et probe response envoyés par le point d'accès sont extrêmement similaires. Ils contiennent des informations sur le point d'accès comme le nom du réseau (SSID), les débits supportés, le nom et constructeur de l'AP, etc...

Quand le SSID broadcasting est désactivé (ou quand le SSID cloaking est activé), les points d'accès envoient des trames "probe request" et beacon contenant un champ SSID blanc avec comme résultat que le client n'obtient pas le SSID.

Vous pouvez voir ci-dessous deux exemples montrant sur la gauche, une partie d'une trame beacon ou "probe response" où le le champ SSID est blanc et sur la droite, une partie d'une trame beacon ou "probe response" où le le SSID (OPENMANIAK) fournit au client.

      SSID BROADCASTING DÉSACTIVÉ                    SSID BROADCASTING ACTIVÉ

Tagged parameters (176 bytes)
   SSID parameter set: "\000"
      Tag Number: 0 (SSID parameter set)
      Tag length: 1
      Tag interpretation: Tagged parameters (180 bytes)
   SSID parameter set: "OPENMANIAK"
      Tag Number: 0 (SSID parameter set)
      Tag length: 11
      Tag interpretation: OPENMANIAK
Consultez également des exemples de trames complètes:
Trame "Beacon" - SSID broadcasting désactivé
Trame "Probe response"" - SSID broadcasting activé

Donc, comment est-ce possible pour un pirate de connaître le SSID?
Il est important de ne jamais oublier que les données du wireless sont transportées n'importe où autour d'un point d'accès. Le pirate va donc écouter passivement avec Kismet les trames wireless de gestion (comme les requêtes/réponses d'authentification) échangées entre un client connaissant le SSID et un point d'accès et ainsi sera capable de voir le SSID. Comme vu ci-dessus, le SSID voyage en texte clair.

Quand un client est authentifié avec un point d'accès et transfert des données, il n'est pas possible de voir le SSID parce que le SSID est présent seulement dans des trames wireless de gestion. Vous pouvez utilisez des outils comme Aircrack-ng pour forcer la déauthentification du client qui va ensuite essayer de se reconnecter et à ce moment va utiliser des trames contenant le SSID. Kismet qui écoute passivement les ondes wireless, va à ce moment être au courant du SSID.

Bien-sûr, si aucun client n'est connecté à un point d'accès, il n'est pas possible de voir son SSID. Donc, la désactivation du "SSID broadcasting" offre une petite protection contre le "war driving" où quelqu'un se balade en voiture avec un sniffer wireless lié à un système GPS pour déterminer sur une carte les points d'accès ainsi que les couvertures wireless. Rappelez-vous que, dans ce cas, le SSID est le seul paramètre inconnu du pirate. Tous les autres paramètres comme le type de chiffrement, la puissance, les débites supportés, etc ... sont connus en raison des trames beacon ou probe response envoyées par le point d'accès.

Par défaut, la plupart des équipements wireless sont configurés pour ne pas broadcaster leur SSID. Il est donc toujours mieux de désactiver cette fonctionnalité dans votre environnement privé ou professionnel pour améliorer un petit peu la sécurité même si cela ne l'amène pas à un niveau suffisant.
Consultez la section suivante pour sécuriser pleinement votre réseau wireless.

Notez que dans un environnement public (hotspot) comme un aéroport, les points d'accès sont configurés pour broadcaster leur SSID pour indiquer aux clients sur quel réseau se connecter.

Exemples de désactivations du SSID broadcasting:

Linksys WAG54G - Désactivation du SSID broadcasting

Wireless -> Basic Wireless Settings -> Wireless SSID Broadcast -> Disable

linksys Désactivation du SSID broadcasting

Cisco Aironet 1240 - Désactivation du SSID broadcasting

SECURITY -> SSID Manager -> Set Single Guest Mode SSID -> NONE

Sur le point d'accès Cisco, associer un SSID au "Guest mode" (mode invité) signifie que vous activez le broadcasting pour cet SSID.

Haut de la page

3. 3. Établir une stratégie de sécurité wireless

Il est commun de voir des points d'accès avec des paramètres de sécurités absents ou faibles. Vous devez absolument configurer un mode de sécurité suffisant, c'est la chose la plus importante à faire sur votre point d'accès.

Quel est le danger si aucun paramètre n'est appliquée?
N'importe qui capturant le signal comme un voisin ou une personne dans la rue sera capable de se connecter à votre réseau wireless. Il pourra ainsi surfer sur Internet au travers de votre connexion internet et consommer votre bande passante ou faire des activités illégales caché derrière voter réseau. Une autre menace peut être dirigé contre vos machines personnelles comme votre ordinateur mobile ou poste de travail parce que le pirate, une fois connecté à votre réseau wireless, sera dans le même domaine de broadcast et ainsi capable de construire de dangereuses attaques comme celles contre le protocole ARP.

Examinons maintenant deux différents protocoles de sécurité utilisé dans le wireless. WEP et WAP/WPA2. Avant d'entrer dans les détails, n'oubliez jamais que WEP ne doit pas être utilisé pour sécuriser du wireless étant donné que c'est un jeu d'enfant de le cracker.

WEP (Wired Equivalent Privacy)

WEP utilise l'algorithme de chiffrement RC4 pour la confidentialité et CRC-32 pour l'intégrité. Il ne fournit aucun mécanisme d'authentification.
Il utilise une clef de 40 ou 104 bits qui est associée à un vecteur d'initialisation (IV) de 24 bits. La concaténation de la clef WEP partagée avec le IV est appelé préparations des clefs (key schedule) ou "seed" et est d'une longueur de 64 (40 + 24) ou 128 bits (104 + 24).
WEP est vulnérable en raison de relativement courts IVs et de clefs qui restent statiques. Si un hacker collecte assez de trames basées sur même IV, appelé "weak IV" (IV faible), il peut déterminer la clef partagée.

La suite de programmes de crack wireless Airodump-ng/Aireplay-ng/Aircrack-ng peut être utilisée pour cracker une clef WEP en quelques minutes même si aucune donnée est échangée entre un point d'accès et un client.

Airodump-ng ou Kismet
Aireplay-ng
Aircrack-ng/ptw Captures des données wireless.
Force le point d'accès à générer du trafic.
Cracke les clefs WEP à partir de données capturées.
Aircrack-ng est optionnel. Il est utilisé quand aucune donnée n'est échangée entre un client et le point d'accès. Aireplay-ng force le point d'accès à générer du trafic qui sera capturé avant d'être utilisé par Aircrack-ng pour cracker la clef. Seuls quelques cartes wireless supportent Aireplay-ng.
Aircrack-ptw sorti en avril 2007 et inclus dans Aircrack-ng réduit significativement le nombre de données à capturer avant de pouvoir cracker la clef.

WPA/WPA2 (Wi-Fi Protected Access)

WPA amélioré par TKIP a été crée avant le standard de sécurité 802.11i (WPA2) pour fournir une solution immédiate suivant de sérieux problèmes de sécurité par rapport au protocole WEP. (voir ci-dessus)

Le nouveau protocole de sécurité, WPA 802.11i ou WPA2 a été ratifié en juin 2004 et corrige toutes les faibleses de WEP.

Il est divisé en trois catégories principales:

1. TKIP: Temporary Key Integrity Protocol

TKIP est une solution à court terme qui corrige toutes les faiblessses de WEP. Il fournit un mécanisme de renouvellement des clefs et un mélange des clefs par paquet. Contrairement à ce qui est généralement indiqué par des administrateurs réseaux ou même des constructeurs, il ne fournit pas de confidentialité mais de l'intégrité parce qu'il n'est pas un algorithme de chiffrement. C'est le protocole de chiffrement RC4 qui est utilisé avec TKIP.
TKIP offre l'avantage de ne pas avoir l'obligation de mettre à jour le matériel wireless que l'on utilise avec WEP
TKIP est utilisé par WPA.

2. AES-CCMP: Advanced Encryption Standard - Counter Mode CBC-MAC Protocol

CCMP utilise AES comme algorithme de chiffrement. (AES est le successeur de DES) CCMP fournit l'intégrité et la confidentialité.
AES-CCMP requière plus de puissance de calcul que TKIP et la migration de WEP à WPA2 du nouveau matériel. Depuis au alentour de 2005/2006, tous les bons points d'accès ou clients wireless supportent WPA2.
AES est utilisé pour WPA or WPA2 et est le seul choix pour WPA2.

3. 802.1X

802.1x est un mécanisme de contrôle d'accès au réseau basé sur les ports. Soit TKIP soit AES-CCMP peuvent être utilisé dans le case de l'authentification 802.1x.

Pour rappel, TKIP et AES peuvent être utilisé par WPA mais WPA2 n'utilise qu'AES.
Ci-dessous, vous pouvez trouver des définitions de mots clefs qui définissent la sécurisation de liens:

- Confidentialité - Les données ne peuvent pas être vues dans un format lisible.
  Algorithmes typiques de chiffrement symétrique: DES, 3DES, AES, Blowfish

- Intégrité - Les données ne peuvent pas être modifiées.
  Algorithmes typiques de hachage: sha1, md5

- Authentification - Les passerelles VPN s'assurent de l'identité de l'autre.
  Algorithmes typiques: RSA, DH

WAP and WPA2 fournissent deux types d'authentification:

- Enterprise (Entreprise) (peut ne pas être disponible sur certains modèles de maison)

L'authentification IEEE 802.1x est basée sur des protocoles EAP comme EAP-TLS/TTLS ou PEAP.
EAP (Extensible Authentication Protocol)[RFC 3748] est juste le protocole de transport optimisé pour l'authentification et non pas la méthode d'authentification elle-même.
La plupart du temps, l'authentification 802.1x n'est pas faite par Le point d'accès mais par un autre équipement appelé RADIUS. Le point d'accède relaie les messages d'authentification entre le client et le RADIUS.
La méthode d'authentification entreprise est utilisée dans des environnements professionnels parce qu'il demande des configurations relativement complexes et du matériel couteux.

- Personal (Personnel)

Le point d'accès et le client partage une clef similaire appelé clef partagée (shared key) ou mot de passe (passphrase).
Soyez attentif à ne surtout pas utiliser des mots de passe trop simple (vulnérables contre des attaques par dictionnaire) ou trop courts (vulnérables contre les attaque brute force).
La méthode d'authentification personnelle est utilisée dans des environnements de maison parce qu'il est bon marché et facilement configurable.

Lors de la sélection de la stratégie de sécurité et comme un règle de sécurité général, choississez toujours le protocole de sécurité le plus élevé disponible à la fois sur le client et le point d'accès.
Si vous utilisez WPA2 et un mot de passe assez compliqué, vous pouvez dormir sur vos deux oreilles, votre réseau wireless ne peut tout simplement pas être hacké.
Rappelez-vous que n'importe que méthode de chiffrement avec une clef partagée faible est facilement cassable.

Voici une liste des différentes solutions de sécurité triées depuis la plus sécurisée.

1. WPA2
2. WPA - AES
3. WPA - TKIP (Peut être utilisé avec du matériel ancien)

Linksys WAG54G - Mode de sécurité

- Mode de sécurité:

Wireless -> Wireless Security -> Security Mode

linksys wireless mode de sécurité

"WPA2-mixed" (WPA2-mixé) signifie que le client wireless peut soit utiliser "WPA-personal" ou "WPA2-personal". Si vos clients supportent tous WPA2, forcez le mode de sécurité à "WPA2-personal".
Il s'agit d'une réglé de sécurité générale de forcer le protocole le plus sécurisé supporté par à la fois le client et le point d'accès. Si les cartes de vos clients datent de 2005 ou après, elles devraient supporter WPA2 sans problème.
Consultez également des détails sur "WAP-Personal".

- mode WPA:

Wireless -> Wireless Security -> Security Mode -> WPA-Personal

linksys wireless mode de securité wpa

- mode WPA2:

Wireless -> Wireless Security -> Security Mode -> WPA2-Personnal

linksys wireless mode de sécurité wpa2

Cisco Aironet 1240 - Mode de sécurité

SECURITY -> Encryption Manager -> VLAN -> Cipher

Regardons les différents choix de chiffrement proposé par le point d'accès Cisco Aironet:
Le signe "+" signifie littéralement "ou".

"CKIP", "CMIC" et "CKIP-CMIC" peuvent être rapidement oubliés parce qu'ils sont propriétaires Cisco et non supportés par les clients non-Cisco.

Les seuls choix sécurisé sont: "AES-CCMP", "AES-CCMP + TKIP", "TKIP". Bien-sûr, "AES-CCMP" est le choix le plus sécurisé.

Les autres choix incluent le protocole WEP comme solution possible de sécurité et ne doivent PAS être choisi parce WEP est facilement crackable! Il s'agit de: "WEP 128 bits", "WEP 40 bits", "TKIP + WEP 128 bits", "TKIP + WEP 40 bits", "AES CCMP + TKIP + WEP 128 bits", "AEC CCMP + TKIP + WEP 40 bits".

Consultez le site web de Cisco pour obtenir des détails au sujets des algorithmes de chiffrement proposés.

Carton rouge aux constructeurs wireless qui n'indiquent pas assez clairement ou même, la plupart du temps, pas du tout que WEP n'est pas un protocole sécurisé et peut être facilement cracké. Ils devraient montrer un message d'avertissement quand WEP est choisi.
Le problème est que WEP est souvent le premier choix dans la liste déroulante des algorithmes de chiffrement et statistiquement quand des gens n'ont aucune idée sur les différentes possibilités dans un choix multiple, ils choississent la première.

Haut de la page

Divers:

Filtrage MAC

Le filtrage de MAC permet à un administrateur de permettre l'accès à seulement les ordinateurs avec des adresses MAC spécifiques. Il est quelque fois recommandé pour sécuriser le wireless mais en fait n'apporte qu'une amélioration très petite de la sécurité mais plutôt accroit significativement les tâches administrative.
Même su une adresse MAC est théoriquement gravé à l'intérieur d'une carte physique, il est facilement possible de la changer en une adresse autorisée. Des adresses autorisées peuvent être obtenues en sniffant le trafic wireless pour trouver un client parlant avec un point d'accès. Les adresses MAC source et destination sont visible en clair.
Regardons comment changer l'adresse MAC (12:34:56:78:90:ab) d'une interface réseau (eth0) sur un système Linux:

ifconfig eth0 hw ether 12:34:56:78:90:ab
Sur un système Windows, vous avez besoin d'un programme pour changer l'adresse MAC.

Désactivation du serveur DHCP

Désactiver le serveur DHCP and configurer seulement des adresses IP statiques ne vous apporter aucune sécurité parce que le hacker peut sniffer le trafic wireless pour déterminer dans quel réseau il/elle doit configurer son adresse IP statique.

"Rogue" AP:

Un "rogue AP" est un point d'accès non-autorisé. Son but est de contourner les vérifications de sécurité pour accéder à un réseau interne.

AP pirate (Fake AP):

Une attaque particulièrement pernicieuse survient lorsque le hacker configure un point d'accès comme un hotspot et broadcast son SSID pour inciter des gens à se connecter à son point d'accès.
Une fois que des gens sont connectés à son point d'accès, le pirate peut lancer des attaques particulièrement dangereuses parce qu'il est alors situé en "homme du milieu" ("man in the middle") et dans le même domaine de broadcast.
Beaucoup de gens ont leur ordinateur portable configuré pour se connecter automatiquement à un hotspot et ainsi vont se connecter à un AP pirate sans même le savoir.
Il est hautement recommandé de suivre les règles suivantes:
1. Configurez votre carte wireless pour ne PAS se connecter automatiquement à des réseaux non-préconfigurés. En d'autres termes, votre client wireless ne doit pas être configuré pour se connecter automatiquement à des hotspots.

Ci-dessous, un exemple avec l'utilitaire wireless de Dell:

"Wireless Networks" tab -> Options -> Advanced

cisco dell wirless WLAN Card Utility

"automatically connect to non-preferred networks" must be unchecked.

dell client connect
to non-prefered networks

2. Si vous accédez à un hotspot, utilisez UNIQUEMENT des protocoles sécurisés comme HTTPS ou SSH2 mais jamais des protocoles comme SMTP, HTTP or FTP. Vous devriez en plus avoir un pare-feu (firewall) personnel.

A propos des ondes

"Last but not least", une chose à ne jamais oublier avec le wireless est que, même avec les paramètres de sécurité les plus importants pour protéger vos données et authentifier vos utilisateurs, cela ne vous protégera pas contre des ondes externes à votre environnement qui vont créer des pertubations et rapidement dégrader les performances pour les utilisateurs. Les ondes perturbatrices peuvent venir d'autres points d'accès hors de votre contrôle ou s'une personne avec des équipements spécifiques pour faire assez de bruits pour rendre votre environnements wireless totalement inutilisable.

Si votre business est très important et demande une qualité de lien élevée et permanente, soyez toujours prêts à utiliser une solution basée sur des câbles en solution se secours au cas où votre wireless serait affecté par des problèmes de performances.

Haut de la page