Professional Documents
Culture Documents
IEEE : Institute for Electronics and Electrical Engineering 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01
30 janvier 2003
le caractre intgre des contenus face des actes de malveillance (cf.2.2) ; la confidentialit des changes face des interceptions passives (cf. 2.3) ; la qualit des preuves techniques d'accs aux services et des actions, notamment pour assurer la facturation et lengagement des responsabilits (cf. 2.4). Ainsi, une bonne gestion des risques lis un rseau ncessite toujours une approche globale. Pour rpondre cet objectif, la mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit)2 est librement accessible en ligne.
2.1 ) Disponibilit
La disponibilit d'un rseau peut tre remise en cause soit par le brouillage radiolectrique, soit par une attaque en dni de service consistant rendre inoprant le rseau par un envoi massif dinformations. Le brouillage radiolectrique du rseau est relativement ais par exemple avec du bruit blanc3 diffus dans la gamme de frquence des 2,4 GHz et qui suffira empcher l'utilisation du rseau. Ralisable avec des composants du commerce, le brouillage peut tre gnral ou slectif. Un brouillage gnral interdira l'usage de la totalit du rseau. Un brouillage slectif pourra empcher la prise en compte des communications d'un lment du rseau. La perte de disponibilit pourrait devenir dfinitive (destruction des interfaces de rseau sans fil) dans le cas o la puissance du brouilleur s'avrerait trs suprieure au niveau admissible par les matriels viss. Le dni de service logique consiste saturer le point d'accs en multipliant artificiellement le nombre de demandes d'association. Le point d'accs considre alors que de nombreuses machines veulent se connecter. Or, il n'accepte en gnral que 256 associations (machines). Ne pouvant faire la distinction a priori entre une demande lgitime et une demande illicite, il va donc refuser toutes les demandes d'association et donc provoquer un dni de service. Par ailleurs, sur un poste autonome (PDA, portable), la surconsommation due l'obligation de rpondre aux sollicitations de l'attaquant provoque un affaiblissement rapide des batteries et donc une perte importante d'autonomie.
2.2 ) Intgrit
2.2.1 Intrusion Lintrusion revt un caractre actif, consistant pntrer un rseau directement, sans ncessairement usurper une identit, afin de pouvoir bnficier de l'infrastructure du rseau (accs Internet, intranet..), voire pour effectuer divers types dactes malveillants. Une intrusion est souvent facilite par l'absence totale d'authentification (cf. 6.1). Sur un rseau radio 802.11b chiffr, elle peut passer par une attaque de la cl de chiffrement, par dfaut la cl WEP ("Wire Equivalent Privacy").
Portable
point d'accs
Attaquant
Internet
routeur
2 3
http://www.ssi.gouv.fr/fr/confiance/documents/EBIOS_memento.pdf Bruit uniforme et constant dans la gamme de frquence considre 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01
30 janvier 2003
Pour ce faire, aprs avoir capt et enregistr une partie de la communication, lattaquant doit reconstituer la cl de chiffrement WEP. Cette reconstitution passe par une tude des flux de donnes chiffres circulant sur le rseau. Une fois la cl de chiffrement reconstitue, il est possible de s'introduire dans le rseau de manire transparente car on ne peut diffrencier un poste normalement autoris d'un poste usurpant la mme identit, contrairement au cas d'un rseau filaire bien configur. Il convient de noter que les machines d'un rseau interne sont bien souvent peu protges. Elles constituent des cibles de choix pour mener des attaques par rebond ou des agressions sur d'autres entits. Dans ce cas, le gestionnaire ou lexploitant du rseau radio deviendrait structurellement incapable de remonter la source de lagression.
2.2.2 Usurpations d'identit Lusurpation didentit, revt un caractre actif puisque lagent malveillant cherche pntrer le rseau en usurpant lidentit dune personne autorise, ceci pouvant parfois se faire de manire transparente. Une fois lopration russie, il a toute libert daction pour porter atteinte lintgrit du rseau en modifiant ou en supprimant les informations qui y circulent. Pour ce faire, lagent malveillant a la possibilit d'usurper soit lidentit dun point daccs, soit celle dun client. Dans la premire hypothse, lattaquant se place entre le client et le vritable point daccs tout en feignant dtre lgitime ; il peut alors loisir enregistrer et modifier les donnes transmises. Dans la seconde (cf. schma), il se fait passer pour un client pouvant lgitimement accder l'ensemble du rseau (sans fil et/ou filaire). L'aspect immatriel du rseau ne permet pas de distinguer le vritable client du faux. Dans ce cas, les informations qui normalement transitaient uniquement par le rseau filaire, peuvent tre droutes et passer dsormais sur le rseau radio.
attaquant
point d'accs
attaquant vu comme B
attaquant vu comme A
Serveur A
Ordinateur B
Ce type dattaques est actuellement possible car la norme 802.11b propose un "systme d'authentification" bas sur le contrle des adresses machines (MAC) transmises en clair. Ce systme ne peut tre considr comme un rel systme d'authentification.
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01
30 janvier 2003
2.3 ) Confidentialit
Un agent malveillant disposant du matriel adquat (un ordinateur portable ou simplement un PDA (assistant personnel) muni dune carte 802.11b), peut couter le rseau et par consquent capter et interprter les paquets dinformations circulant sur celui-ci. Ce phnomne est dautant plus dangereux quil est invisible et non dtectable, car compltement passif. Or, la majorit des cartes rseau sans fil peut tre configure cet effet et des manuels de fabrication d'antennes sont disponibles sur Internet. Pour quelques dizaines deuros, il devient possible de concevoir des antennes permettant daccrotre la distance de captation de plusieurs centaines de mtres sans pour autant perdre des informations. Par ailleurs, l'activation du protocole de chiffrement natif WEP ne suffit pas garantir la confidentialit des informations (cf. 2.2.a).
3- Planification et dploiement
La mise en place dun rseau sans fil est un projet part entire quil convient de bien tudier afin dviter tous les cueils dun "effet de mode". Pour un dploiement efficace, il est ncessaire de bien planifier les objectifs fonctionnels (gestion des services offerts et de leur qualit) et les objectifs de scurit (gestion des diffrents risques). Il doit galement respecter strictement lenveloppe financire, les contraintes rglementaires et les contraintes juridiques. L'aspect juridique ne sera pas trait dans ce document. Il faut planifier les objectifs et les mesures de scurit ncessaires avec laide dun spcialiste toujours distinct et indpendant du fournisseur, puis faire analyser ("auditer") intervalles rguliers l'efficacit des mesures prises par rapport aux objectifs viss. Cet auditeur effectuera ces tests de pntration en utilisant notamment les outils dagression disponibles dans le domaine public. La planification doit passer par ltude des divers aspects relatifs la mise en place dun rseau sans fil.
30 janvier 2003
Le rapport entre dbit rel et cot d'une solution filaire ou sans fil doit aussi tre tudi avec soin. Les frais lis la maintenance doivent galement tre pris en compte. Ils couvrent notamment la vrification priodique des matriels (puissance d'mission, plage de frquences annonces) et l'intgrit du rseau (bornes illicites).
Pour un rseau priv lenvironnement doit tre dfini : pour un tel rseau, dont la couverture est limite gographiquement (organisme, btiment, entreprise, cabinet mdical, mairie, etc.), lespace couvrir et lespace couvert non dsir doivent tre indentifis et contrls. Il convient aussi de sassurer de la non-prexistence ou proximit dautres rseaux ou quipements risquant dentraner des perturbations ; le positionnement des points daccs est un lment essentiel aussi bien pour la scurit du rseau que pour son bon fonctionnement ; une tude pralable par un spcialiste est fortement recommande ; ils doivent tre placs en fonction du type d'antenne utilise. En effet, la zone de couverture diffre suivant le modle (fouet, parabole). L'objectif vis est d'viter une trop grande diffusion hors du primtre vis de l'entit, leur nombre doit tre prcisment dtermin car il doit tre suffisant pour permettre une couverture de lensemble de la zone mais sans tre excessif pour viter tout risque de perturbations du rseau,
30 janvier 2003
la qualit du signal doit tre tudie (porte et perturbations lectromagntiques) pour chaque point daccs (puissance dmission et rglementation) ; les services dsirs doivent tre dfinis : quelles sont les informations diffuses sur le rseau (dialogue par messagerie, diffusion dinformations, remonte de donnes)? Quel est leur niveau de sensibilit ? Le rseau interne est-il connect dautres rseaux ? Est-il connect Internet ?
Pour un rseau public lenvironnement doit tre dfini : pour un tel rseau la couverture est gnralement ouverte et tendue. Ce type de rseau est aussi bien souvent connect au final un rseau filaire. Mis en place dans des lieux publics, il permet la fourniture de services Internet grand dbit, en particulier dans les lieux de passage ou salles dattentes, les hotspots . Les utilisateurs de terminaux portables (ordinateurs portables ou assistants numriques personnels (PDA)) peuvent alors jouir daccs Internet confortables dans des endroits tels que les aroports, les gares, les htels, les centres de congrs et les cafs Internet. Ce type de dploiement pourrait galement contribuer fournir un accs au "haut" dbit dans des zones du territoire aujourdhui mal desservies par les rseaux existants ; ltude de limplantation et de la couverture des points daccs doit tre faite par un spcialiste. La position des points daccs est cruciale pour le bon fonctionnement du rseau ; les services dsirs doivent tre dfinis : principalement ddis laccs Internet, ces rseaux doivent tre scuriss par un renforcement de lauthentification des utilisateurs interdisant le rejeu pour limiter le vol des autorisations daccs (pas de mots de passe mais des jetons logiciels ou matriels : OTP, cls USB, cartes puce, carte PCMCIA).
30 janvier 2003
Dans le cas des rseaux privs et conformment la lgislation en vigueur, la couverture du rseau devra, autant que possible, tre circonscrite dans le primtre de l'entit. Ceci est dautant plus ncessaire pour un rseau sans fil 802.11.b, qui peut tre cout, par exemple depuis le parking voisin par une personne installe avec son portable. La protection et la surveillance physique du site protger et de ses abords pourront alors limiter ce type de menaces. Des outils d'audit (tlchargeables sur Internet) pourront tre utiliss pour vrifier la couverture relle du rseau condition de les complter par des antennes fort gain. Si le dplacement ou la limitation en puissance des quipements mettant au del du primtre n'est pas possible, les zones identifies devront faire l'objet d'une surveillance particulire.
Dans l'hypothse o le rseau filaire ne serait pas considr comme sr, la communication entre les diffrentes machines de ce rseau doit utiliser un chiffrement adapt. Afin de limiter les tentatives d'accs frauduleux dont la responsabilit juridique incomberait au gestionnaire du rseau sans fil, il est indispensable de mettre en place un systme d'authentification forte. La norme 802.1X, une fois ses modes configurs correctement, permet l'authentification rciproque des clients et de l'infrastructure (cf. 6). La mise en place d'une infrastructure de gestion de cl est un pralable utile l'usage d'un systme d'authentification. La totalit de l'infrastructure filaire doit si possible tre configure pour utiliser IEEE 802.1X (point(s) d'accs, pare-feu, commutateur). La mise en place de 802.1X ncessite l'installation d'un ou plusieurs serveurs d'authentification RADIUS ("Remote Authentification Dial-In User Service") dont la configuration doit tre correctement ralise. Le point d'accs doit diffuser le minimum d'informations ncessaires la connexion des clients. En particulier, l'identifiant du rseau ("SSID") et les paquets de balise ("beacon") ne seront pas diffuss ou leur frquence de diffusion sera rduite au minimum. Le choix des matriels (points d'accs, carte rseau) doit dans la mesure du possible s'orienter vers des produits dont le micro-logiciel ("firmware") peut tre mis jour et qui intgrent l'authentification IEEE 802.1X ainsi que le WEP 128 bits. Un pare-feu ("firewall") doit tre install entre le rseau sans fil et le rseau filaire. Il peut tre galement prudent de distinguer ces deux rseaux tant en termes de confidentialit que de contrle d'accs. Le pare feu peut intgrer l'authentification IEEE 802.1.X si le point d'accs ne la gre pas. Le pare-feu doit galement contrler la couche applicative pour bloquer les attaques via des ports normalement autoriss (par exemple le port 80, virus, tunnels).
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01
30 janvier 2003
Des antivirus si possible diffrents, installs sur le pare-feu et sur les postes nomades permettent de limiter la propagation des chevaux de Troie et des virus. Enfin, sur le rseau filaire, il est prfrable d'utiliser des commutateurs ("switch") plutt que des concentrateurs ("hub") qui diffusent le trafic sur la totalit du rseau sans contrle possible.
6.2 ) Chiffrement
En aucun cas le chiffrement WEP propos par la norme IEEE 802.11 ne peut suffire lui seul garantir la confidentialit des informations. La plupart des quipements ne proposent que des cls d'une longueur de 40 bits insuffisante face aux attaques par "force brute". De plus, le chiffrement utilise l'algorithme RC4 dont la programmation est ralise de manire incorrecte. En consquence, le protocole rsultant est, au plan cryptographique, faible quelle que soit la taille de la cl employe. En particulier, des outils disponibles sur Internet permettent dobtenir le pseudo-ala gnr et de pntrer dans le rseau rapidement. Se pose galement le problme de la gestion des cls qui nest pas trait par le WEP : gnralement tous les utilisateurs partagent la mme cl, qui est stocke en clair sur un quipement mobile (fichier ou adaptateur suivant les constructeurs), donc expose. De plus, si un utilisateur la perd, il faut la remplacer sur tous les quipements, ce qui apparat vite trs contraignant. De ce fait, il est recommand dutiliser le protocole EAP pour la transmission des cls de chiffrement. L'volution de la norme 802.11i devrait intgrer d'autres moyens de chiffrement (AES) et d'authentification (IEEE 802.1X). Elle fait partie des normes futures, prvues pour 2003 et destines accrotre la qualit des rseaux sans fil. Ainsi, la norme 802.11i est destine amliorer la scurit, la 802.11e la qualit de service, la 802.11f intgrer la slection de frquence dynamique (DFS) et le contrle de puissance dmission (TPC). En parallle, dautres normes existent telles que la norme IEEE 802.11a ou la norme Hiperlan2, qui ont toutes deux la particularit dutiliser la bande de frquences des 5 GHz avec un dbit thorique de 54 Mbit/s.
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 41 46 37 20 - Fax 01 41 46 37 01
30 janvier 2003