Sécurité WiFi
Révision datée du 2 janvier 2013 à 19:08 par 212.198.6.129 (discussion)
- La sécurité du Wifi ne peut passer que par un cryptage efficace.
- Cacher le SSID et/ou filtrer les adresses MAC est inefficace en terme de sécurité (cela n'a qu'un aspect décourageant relativement facile a contourner).
- En effet, le SSID et les adresse MAC autorisées sont visibles "dans l'air".
- En pratique dès qu'une station wifi se connecte, le SSID et au moins une adresse mac autorisée sont révélés.
- changer son adresse mac et dé-associer une station cible (en vue de prendre sa place) sont des opérations triviales.
- cryptage avec clef pré partagée (Pre Shared Key)
- Le WEP 64 bits (RC4) est cassable en simple brut force (255^5 soit 1000 milliards de combinaisons en RC4 soit 10 jours avec une machine récente) mais aussi par cryptanalyse (bien plus rapidement).
- Le WEP 128 bits (comme le WEP 64 d'ailleurs) est cassable par cryptanalyse
- Le WEP 256 bits n'est pas standard est reste cassable par cryptanalyse
- Le WPA1-PSK (WEP128 + rotation de clef TKIP, protocole WPA) reste sujet a des attaques mais convient pour des applications sans enjeu de sécurité
- Le WPA2-PSK ou 802.11i/RSN (AES + rotation de clef CCMP, protocole 802.11i/WPA2/RSN) est robuste
- cryptage avec authentification 802.1x
- WEP + 802.1x(EAP-MD5) + clef dynamique: non standard, authentification faible, pas d'authentification mutuelle
- WEP + 802.1x(LEAP) + TKIP: c'est la généralisation de ce modèle qui va s'appeler WPA. LEAP est sujet à des attaques
- WPA1/2 + 802.1x: le 802.1x n'est pas robuste par lui-même,c'est la robustesse de la méthode EAP qui va jouer:
- EAP-MD5: faible, ne permet pas de passer les info permettant l'échange initial de clef, ne convient pas au WPA.
- LEAP: faible
- PEAP-MsCHAPv2: robuste (monde microsoft) 1 certificat cote serveur pour construire le tunnel PEAP, puis authentification par login/challenge dans le tunnel (MsCHAP)
- EAP-TTLS: robuste (meme principe mis en oeuvre par funk-software/certicom donc pas supporté nativement dans le monde microsoft) tunnel TLS, puis login/challenge dans le tunnel
- EAP-TLS: robuste (1 certificat de chaque cote), inconvenient, l'identité (CN du certificat) passe en clair et la gestion de certificat côté client demande de monter une PKI.
kismet = affichage du réseau + dump des paquets (dans /var/log/kismet/)
apt-get install kismet # cf. /usr/share/doc/kismet/README.gz, "12. Capture Sources": sed -i -e 's/^source=/source=rt2500,wlan0,s1/' /etc/kismet/kismet.conf # or sed -i -e 's/^source=/source=ath5k,wlan0,s1/' /etc/kismet/kismet.conf # or ... # Lenny's version can't work as non-root sudo kismet
Pour casser les clefs: aircrack-ng. Notamment:
- aircrack-ng /var/log/kismet/*.dump : crack de paquets enregistrés
- aireplay: génération de traffic artificiel avec l'AP (à tester, apparemment c'est mieux quand il y a un client existant)
Changer l'adresse mac:
ifconfig wlan0 hw ether 00:0D:D5:02:AF:8A