Académique Documents
Professionnel Documents
Culture Documents
Hakin9 Wifi FR
Hakin9 Wifi FR
et WPA2
Dossier
Guillaume Lehembre
Degr de difficult
La mort du WEP
Le WEP (Wired Equivalent Privacy) est le protocole de chiffrement par dfaut introduit dans
la 1re norme 802.11 datant de 1999. Il est bas
sur l'algorithme de chiffrement RC4 avec une cl
secrte de 40 ou 104 bits combine un vecteur d'initialisation (Initialisation Vector IV) de
24 bits afin de chiffrer un message en clair M et
sa somme de contrle (checksum) l'ICV (Integrity Check Value). Le message chiffr est alors
dtermin en utilisant la formule suivante :
12
hakin9 N 1/2006
www.hakin9.org
Description
Septembre 1995
Octobre 2000
Mai 2001
Juillet 2001
Aot 2001
Aot 2001
Sortie de AirSnort
Fvrier 2002
Aot 2004
Juillet/Aot 2004
www.hakin9.org
hakin9 N 1/2006
13
Dossier
Requte ARP
Driver
madwifi (monitor mode enabled)
BSSID
00:13:10:1F:9A:72
PWR
62
Beacons
305
# Data
16
BSSID
00:13:10:1F:9A:72
STATION
00:0C:F1:19:77:5C
la taille alloue aux IV est trop faible (24 bits moins de 5000 paquets sont ncessaire pour avoir
50% de chance de collision) et la
rutilisation des IV est autorise
(pas de protection contre le rejeu
des messages),
aucun vrai contrle d'intgrit (le
CRC32 est normalement utilis
pour la dtection d'erreur et n'est
pas une fonction cryptographique
pour l'intgrit du fait de sa linarit),
aucun mcanisme interne de mise jour des cls n'est prsent.
Cassage de cl WEP en
utilisant Aircrack
14
hakin9 N 1/2006
PWR
56
CH
1
MB
48
Packets
1
ENC
WEP
ESSID
hakin9demo
ESSID
hakin9demo
www.hakin9.org
# aireplay -3 \
-b 00:13:10:1F:9A:72 \
-h 00:0C:F1:19:77:5C \
-x 600 ath0
(...)
Read 980 packets
(got 16 ARP requests),
sent 570 packets...
Autres types
d'attaques bases sur
Aircrack
# aireplay -0 0
Attaque 2 : D-authentification
Attaque 3 : Dcrypter un
paquet chiffr avec le
protocole WEP sans connatre
la cl
-a 00:13:10:1F:9A:72
ath0
www.hakin9.org
hakin9 N 1/2006
15
Dossier
Attaque 4 : Fausse
authentification
16
hakin9 N 1/2006
La norme 802.11i
.A.......r....w\
.....p.@.......,
\.'...h.#..GZ.[v
.x.....0...hV.Sl
pF_..K....j.4wt.
.......5#.U...[.
.+>.[...";.D7...
;....C....Q`
frames written in
frames written in
1120ms
2013ms
frames written in
frames written in
2072ms
2076ms
www.hakin9.org
.A.......r....w\
...............,
\.'.I.`.%.KF....
..S.o-.....3..Q.
I.R.
l'authentification 802.1X,
la drivation et la distribution des
cls,
le chiffrement et l'intgrit au sein
d'une RSNA.
Dans les rseaux sans fil, le point d'accs joue le rle de contrleur. Chaque port physique (port virtuel dans le cas des rseaux
sans fil) est divis en deux ports logiques appells PAE (Port
Access Entity). Le PAE d'authentification est toujours ouvert et
autorise toutes les trames d'authentification le traverser tandis
que le PAE de service est uniquement ouvert aprs une authentification russie (i.e. dans un tat autoris) pour une dure limite
(3600 secondes par dfaut). La dcision relative l'accs revient
la troisime entit appelle serveur d'authentification (qui peut
tre soit un serveur Radius ddi ou par exemple pour les parti-
www.hakin9.org
hakin9 N 1/2006
17
Dossier
Phase 3 : Hirarchie et
distribution des cls
18
hakin9 N 1/2006
Phase 2 : Authentification
802.1X
www.hakin9.org
de confirmer la connaissance de
la PMK par le client,
de driver une nouvelle PTK,
d'installer les cls de chiffrement
et d'intgrit,
de chiffrer le transport de la
GTK,
de confirmer la suite de chiffrement choisie.
www.hakin9.org
hakin9 N 1/2006
19
Dossier
20
hakin9 N 1/2006
www.hakin9.org
Phase 4 : Chiffrement et
intgrit au sein d'une RSNA
Toutes les cls gnres prcdemment sont utilises dans les protocoles de chiffrement et d'intgrit au
sein d'une RSNA :
l'intgrit des messages : un nouveau MIC (Message Integrity Code) bas sur l'algorithme Michael
peut tre implment de manire
logicielle sur des processeurs
lents.
IV : nouvelle mthode de slection de valeur des IV, reutilisation
de l'IV en temps que compteur
anti-rejeu (TSC, ou TKIP Sequence Counter) et augmentation de la taille de l'IV pour viter
sa rutilisation,
Per Packet Key Mixing : pour obtenir des cls en apparence non
lies,
www.hakin9.org
hakin9 N 1/2006
21
Dossier
22
hakin9 N 1/2006
www.hakin9.org
PWR
56
Beacons
112
# Data
16
BSSID
00:13:10:1F:9A:72
STATION
00:0C:F1:19:77:5C
PWR
34
CH
1
MB
48
Packets
1
ENC
WPA
ESSID
hakin9demo
ESSID
hakin9demo
Les faiblesses de
WPA/WPA2
www.hakin9.org
hakin9 N 1/2006
23
Dossier
# aireplay -0 1 -a <BSSID>
-c <client_mac> ath0
L'tape finale consiste lancer l'attaque par dictionnaire en utilisant Aircrack (voir le Listing 8). La Figure 15
illustre le rsultat de l'attaque.
L'autre faille principale du WPA
est un possible dni de service durant
le 4-Way Handshake. Changhua He
Sur Internet
24
hakin9 N 1/2006
http://www.cr0.net:8040/code/network/aircrack/ Aircrack
(Devine),
http://weplab.sourceforge.net/ Weplab (Sanchez),
http://www.wifinetnews.com/archives/002452.html WPA
PSK weakness (Moskowitz),
http://new.remote-exploit.org /images /5/5a /Cowpatty2.0.tar.gz Outil de cassage de cl WPA-PSK Cowpatty,
http://byte.csc.lsu.edu/~durresi/7502/reading/p43-he.pdf
Analysis of the 802.11i 4-Way Handshake (He, Mitchell),
http://www.cs.umd.edu/%7ewaa/1x.pdf An initial security
analysis of the IEEE 802.1X
standard (Arbaugh, Mishra),
http://support.microsoft.com/?kbid=893357 Mise jour
pour le WPA2 pour Microsoft Windows XP SP2,
http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant,
http://www.securityfocus.com/infocus/1814 WEP: Dead
Again, Part 1,
http://www.securityfocus.com/infocus/1824 WEP: Dead
Again, Part 2.
www.hakin9.org
Implmentation
de WPA/WPA2
dans les systmes
d'exploitation
propos de l'auteur
www.hakin9.org
hakin9 N 1/2006
25
Dossier
-dd -c /etc/wpa_supplicant.conf
-i ath0
Conclusion
Glossaire
26
AP Access Point, station de base pour un rseau Wi-Fi (appel aussi point d'accs ou borne) interconnectant les clients
sans fil entre eux ainsi qu'au rseau filaire.
ARP Address Resolution Protocol, protocole faisant la correspondance entre adresse IP et adresse MAC.
BSSID Basic Service Set Identifier, adresse MAC du point
d'accs.
CCMP Counter-Mode/Cipher Block Chaining Message
Authentication Code Protocol, protocole de chiffrement utilis dans WPA2 bas sur l'algorithme de chiffrement par bloc
AES.
CRC Cyclic Redundancy Check, algorithme de pseudointgrit utilis par le protocole WEP (comporte de nombreuses faiblesses).
EAP Extensible Authentication Protocol, cadre de travail
pour des mthodes d'authentification varies.
EAPOL EAP Over LAN, protocole utilis dans les rseaux
sans fil pour le transport d'EAP.
GEK Group Encryption Key, cl de chiffrement pour le trafic
en diffusion (aussi utilise pour l'intgrit des donnes dans
CCMP).
GIK Group Integrity Key, cl d'intgrit pour le trafic en
diffusion (utilis dans TKIP).
GMK Group Master Key, cl matresse de la hirarchie de
groupe.
GTK Group Transient Key, cl drive de la GMK.
ICV Integrity Check Value, champ de donne concatn
aux donnes en clair pour garantir l'intgrit (bas sur l'algorithme faible CRC32).
IV Initialization Vector, donne combine la cl de chiffrement afin de produire une suite chiffrante unique.
KCK Key Confirmation Key, cl d'intgrit utilise pour
protger les changes de cl.
KEK Key Encryption Key, cl de confidentialit utilise pour
protger les changes de cl.
MIC Message Integrity Code, champ de donne ajout
aux donnes en clair pour garantir l'intgrit (bas sur l'algorithme Michael).
MK Master Key, cl matresse connue du client 802.1x et
du serveur d'authentification l'issu du processus d'authentification 802.1x.
hakin9 N 1/2006
www.hakin9.org