Sécuriser un réseau wifi avec Wknock (Laurent Oudot - Blackhat 2005)

Par Rédaction, secuobs.com
Le 20/04/2005

---

Résumé : Sécuriser un réseau WIFI n’est pas chose aisée et nombres d’attaques récentes de type MITM (Man In The Middle) ou DoS (Déni de service) sont connues et utilisées. Les solutions telles que le filtrage par adresse MAC ou le cryptage par clé WEP ne sont pas non plus des solutions suffisantes même si leur implémentation est un minimum. - Lire l'article



Sécuriser un réseau WIFI n’est pas chose aisée et nombres d’attaques récentes de type MITM (Man In The Middle) ou DoS (Déni de service) sont connues et utilisées. Les solutions telles que le filtrage par adresse MAC ou le cryptage par clé WEP ne sont pas non plus des solutions suffisantes même si leur implémentation est un minimum.

Le français Laurent OUDOT, lors de la dernières conférence Blackhat qui a eu lieu en avril 2005 à Amsterdam, a présenté une nouvelle approche de cette sécurisation pour les administrateurs. La première étape d’un hack de type WIFI étant de trouver un signal, il est donc essentiel de rendre confidentiel un maximum ce signal.

Actuellement employé au CEA (commissariat à l’énergie atomique) et membre de l’équipe indépendante de chercheurs en sécurité RstAck, Laurent OUDOT (lien est coutumier des conférences de sécurité (Defcon, Blackhat, Core), il est également l’auteur ou co-auteur de différents documents techniques publiés notamment sur le site spécialisé Security Focus, le magasine MISC ou sa participation au Honeynet Project.

Le principe exposé se rapproche de la sécurité par l’obscurité sans être réellement de ce type. Tout d’abord la borne WIFI (AP) doit être positionnée en mode de surveillance (mode monitor ou stealth mode). Lorsqu’aucun client n’est connecté, il n’y a pas d’échange de frames, l’AP n’est pas visible et les possibilités de Wardriving (technique de scans de réseaux WIFI avec des outils comme Kissmet ou Airsnort) sont donc réduites dans ce cas.

Pour se connecter un client doit connaître le SSID de l’AP (à configurer avec les wireless-tools usuels comme iwconfig), l’AP passe alors en mode master et est visible par tout le monde (et donc sujet aux attaques classique). Sinon il reste en mode monitor et invisible. Toutes les 60 secondes l’AP se positionne à nouveau en mode monitor, si un client est toujours connecté il revient en mode master sinon il reste en mode monitor (timeout, désassociation). Il est également possible de changer différentes options pour chaque session (WEP, ESSID).

Le principal problème de cette technique et de pouvoir sécuriser plusieurs sessions clientes, afin de le solutionner il est possible d’ajouter une deuxième carte WIFI sur l’AP, cette carte sera utilisée comme un canal d’échange de données de session (clé WEP & co) avec les clients alors que la deuxième carte passera d’un mode inactif sans client à un mode monitor lorsque un ou des clients auront pu négocier leur accès via la première carte.

Afin de mettre en place ce type de technique de sécurisation, saluons l’initiative de Laurent OUDOT qui met à la disposition de tous un ensemble d’outils en licence GPL (Opensource, libre et gratuit) via le projet WKnock disponible à l’URL lien

Il est également possible de mettre en place un autre réseau WIFI indépendant du réseau de production et actif lorsque celui-ci n’est pas activé afin de surveiller les activités sensibles (Wireless Honeypot), pour plus d’informations voir l’URL suivante :

lien