Charte d installation des réseaux sans-fils à l INSA de Lyon

Transcription

1 Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA de Lyon (Florence Quereyron et Damien Berjoan) sur le support de la DSI (dsi.insa-lyon.fr). La déclaration doit décrire : - l adresse IP, - la localisation exacte de la borne (batiment etage pièce), - la prise en compte de la sécurité physique des équipements, - la puissance d antenne, les canaux utilisés, - la configuration du point d accès (SSID, accès SNMP, logs de connexion) - les méthodes de chiffrement et d authentification, - le filtrage mis en place - le responsable de la borne. La DSI se réserve les canaux pour le service de WIFI global de l INSA. Il est conseillé d utiliser le canal 1 pour limiter les interférences. L installation d un point d accès non validé est contraire à la charte informatique. Il revient à donner son mot de passe à des tiers pour fournir un accès au système d information de l établissement: la responsabilité de l administrateur se trouve engagée dans toutes les utilisations abusives ou frauduleuses faits avec cet accès. Pour être validé, un point d accès doit répondre aux conditions suivantes : 1. La borne d accès doit être dans un lieu fermé et sécurisé pour éviter une réinitialisation sauvage remettant les valeurs par défaut (mots de passes connus et fonctionnement sans sécurité). 2. La borne doit avoir une IP fixe, ainsi que les postes clients. Ces adresses IP peuvent être publiques ou privées (type ) s il n y a pas besoin de connexion à internet. 3. Le SSID doit être différent de celui par défaut, difficile à trouver. Il faut réduire la fréquence de ces trames au maximum. Ce SSID ne doit pas donner d information sur la marque de la borne. 4. Le chiffrement doit être mis en œuvre : a. Soit par l utilistion d une clé WEP 128 bits changée fréquement (TKIP si possible). Cette clé ne doit pas être communiquée en claire sur le réseau radio (canal chiffré norme 802.1x) b. Soit le WPA c. Soit par VPN 5. Une administration à distance doit être mise en œuvre, non accessible à tous et surtout non accessible à travers le réseau sans fil. 6. Les utilisateurs doivent être authentifiés (base d utilisateur propriétaire, serveur RADIUS, serveur VPN ou certificats). Cette authentification doit être liée à l annuaire de l INSA (openldap ou Active Directory). 7. Les accès doivent être journalisés (logs) sur 1 an minimum. 8. Pour limiter les risques de piratage et en raison de soupçon de nocivité des micro-ondes sur la santé, il est recommander de limiter la puissance d émission pour ne déservir que le périmètre utile. La puissance du signal ne doit pas dépasser 60mW si des personnes sont localisées à moins d un mètre en dessous d une antenne. 9. La borne doit être reliée à un switch et pas à un HUB 10. Installation d un pare-feu entre le réseau sans fil et le réseau filaire ou connexion sur un VLAN filtré au niveau du CISR. INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 1/ 5

2 Les points d accès existant doivent aussi être déclarés sur le portail du CISR Conseils aux utilisateurs du WIFI : Sur un PC portable, il vaut mieux désactiver l interface sans fil lorsqu on ne l utilise pas (un portable connecté au réseau filaire peut devenir un routeur et transmettre des paquets sur le réseau de l établissement même en l absence d un point d accès lorsqu on a une interface sans fil active). Cela permet en plus d économiser les batteries! Ce document est basé sur : - la recommandation d utilisation du CCR de Jussieu et celle de l UPS - les recommandations du secrétariat général de la défense nationales : INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 2/ 5

3 Annexe l insécurité des réseaux sans-fil La nature même d un réseau sans fil facilite l écoute radio et l interception des données, à l intérieur comme à l extérieur des murs, car les ondes radio électriques (notées RF pour Radio Frequency) rendent très difficile la maîtrise de la propagation du signal. Intrinsèquement, elles ont la propriété de se propager dans toutes les directions avec une portée relativement grande. Dans la zone de couverture de la borne émettrice (ou point d accès, noté AP pour Access Point), n'importe quel utilisateur, muni d'un équipement avec émetteur/récepteur (PC portable, PDA, etc.), peut écouter les communications entre les équipements interconnectés par le réseau sans fil. En tout état de cause, la difficulté du réglage de la puissance du signal (quand elle existe...) ne permet pas de circonscrire précisément le périmètre du réseau. Des intrus peuvent facilement passer inaperçus (par exemple à partir d une automobile stationnée dans la rue) et l'écoute passive du trafic est difficilement détectable. Le protocole d'accès au réseau présente quant à lui des propriétés qui simplifient la vie des utilisateurs malveillants et il existe actuellement plusieurs logiciels freeware que l'on peut se procurer facilement sur Internet pour "casser" aisément les dispositifs de sécurité prévus dans les réseaux b. En résumé, il faut considérer qu un point d accès est en quelque sorte un hub ethernet sur lequel il ne serait pas nécessaire de disposer d un lien physique pour pouvoir se connecter. La fragilité du WEP Efficace en apparence, l utilisation de RC4 par le WEP comporte des failles de sécurité qui ont été exploitées après avoir été démontrées mathématiquement par Fluhrer, Mantin et Shamir. En réalité, 24 bits de la clé (IV) servent pour l'initialisation de RC4 et il reste donc seulement 40 bits pour le chiffrement avec une clé de 64 bits ou 104 bits pour la clé de 128 bits. De plus, la partie de la clé qui reste statique peut facilement être découverte en raison d une mauvaise utilisation des vecteurs d initialisation (compteurs, valeurs qui sont réinitialisées à zéro, générateur aléatoire de mauvaise qualité) ou parce que les en-têtes de certains paquets IP sont facilement reconnaissables. L écoute passive du trafic permet donc en un temps fini (parfois moins de 2 heures) de découvrir la clé du WEP par des attaques «en force brute» et «à clair connu». En conclusion, il faut être conscient que le WEP tel qu il est mis en œuvre par les équipements b offre une protection illusoire : il ne permet pas de garantir que la clé de chiffrement du trafic est un secret partagé exclusivement entre les équipements autorisés à se connecter au réseau sans fil. Quelques scénarios d attaques : Les réseaux WiFi basés sur les normes constituent des architectures de type LAN radio partagé, soit en mode infrastructure (tout le trafic passe par un nœud central appelé AP pour access point), soit en mode ad hoc (communication directe de poste à poste). Les menaces pesant sur ces architectures sont multiples, en voici quelques exemples : INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 3/ 5

4 L AP Sauvage : un utilisateur prend l'initiative d'installer un point d'accès et de le relier au réseau filaire du réseau de son entreprise : L'attaque MitM ou " man in the middle " : consiste à se mettre au milieu comme son nom l indique. L attaquant mettant en œuvre cette méthode, se place entre un access point et un client. Il est de ce fait en mesure de capturer tout le trafic passant entre ces deux points, par exemple lors d une authentification en EAP (PPP Extensible Authentification Protocol est la base de la norme IEEE 802.1x qui est de plus en plus utilisée dans les réseaux WiFi pour gérer l'authentification des clients.) : INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 4/ 5

5 L écoute passive : Deux utilisateurs échangeant des fichiers en mode «ad hoc». Session hijacking : qui consiste à «hijacker» une connexion, à la voler. Toujours sur le principe du point d accès et du client, l attaquant fait fermer la connexion au client en se faisant passer pour la borne WiFi, en spoofant (usurpant) l adresse MAC de ce point d accès. L attaquant n a plus qu à utiliser l adresse MAC du client qui a été volée et la borne ne le refusera pas. Le double attachement : un utilisateur utilise son portable professionnel pour se connecter à son point d'accès domestique. Le pirate s'associe avec ce point d'accès et parvient à récupérer des informations sensibles stockées sur le disque dur de la victime pendant que celui-ci est connecté. INSA de LYON D.S.I. Florence QUEREYRON Version provisoire Page 5/ 5