Vous êtes sur la page 1sur 12

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Octobre 2004

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Table des matires


Ncessit dun systme de dtection et prvention des intrusions Architectures intgres et de recouvrement Elimination des lacunes de la couverture Un dploiement et une gestion simplifis Fonctions amliores de confinement des attaques Avantages financiers Surveillance et gestion radiofrquence en temps rel Dtection et limination des points daccs illicites Dtection et vitement des interfrences Dtection des attaques FakeAP Dtection des usurpations didentit de points daccs Dtection des trames de dsauthentification factices Dtection des attaques FATA-Jack Dtection des points daccs pot de miel Dtection des attaques Man-in-the-Middle Analyse avance des signatures IDS Signature dattaque par flood de trames de gestion Signature de trame de dsauthentification de diffusion Signature dattaque par flood EAPOL Signature NetStumbler Signature Wellenreiter Signature de trame Probe Response NULL Signature de stations valides, SSID non valide Signature dOUI non valides Signature de cls WEP IV faibles Des rseaux fiables

3 3
3 4 4 4

5
6 6 6 6 6 6 6 6

7
7 9 9 9 9 10 10 10 10

10

2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Ncessit dun systme de dtection et prvention des intrusions


Les radiofrquences sont un univers ciel ouvert , partag par tous ceux qui transmettent et/ou reoivent des donnes sur le mme spectre radio. La norme 802.11, largement utilise sur les rseaux LAN sans fil (WLAN) des entreprises, exploite les bandes radio qui ne font lobjet daucune licence (autrement dit publiques) pour la communication. Cela rend les rseaux sans fil 802.11 particulirement vulnrables aux intrusions non autorises et autres attaques malveillantes. Les dploiements de rseaux WLAN traditionnels requirent une quipe TI qui surveille physiquement lespace hertzien laide de dispositifs de balayage RF manuels pour dtecter tout comportement suspect. Parce que cette approche noffre quun instantan de lactivit et requiert des ressources humaines onreuses, elle savre peu efficace et revient souvent extrmement cher. Pour prserver les rseaux WLAN de lentreprise des menaces la scurit susceptibles de compromettre les donnes et/ou dinterrompre les communications, la nouvelle gnration de systmes WLAN intgre par consquent une fonction de dtection et prvention en temps rel des intrusions plusieurs niveaux de protection WLAN, qui assure la protection complte du rseau WLAN tout en limitant au maximum les dpenses en matriel et de fonctionnement. Airespace est le premier fournisseur intgrer compltement un systme de protection sans fil (le Wireless Protection System, ou WPS) des fonctions WLAN intelligentes. Plus spcifiquement, Airespace combine la surveillance radiofrquence en temps rel (24h/24, 7 jours/7) des fonctions danalyse de haut niveau pour offrir une protection complte contre les intrusions, permettant aux entreprises de prserver leur espace hertzien sans avoir recourir divers systmes pour garantir la scurit, la gestion et lacheminement du trafic. Qui plus est, les fonctions WPS de Airespace sont troitement associes la surveillance en temps rel, la gestion dynamique de la radiofrquence, lanalyse des signatures dattaques et des fonctions dinformations sur le positionnement afin doffrir une solution de scurit de bout en bout complte pour les applications essentielles au fonctionnement de lentreprise.

Architectures intgres et de recouvrement


Dans un systme WLAN de Airespace, les points daccs et contrleurs utiliss pour fournir les services 802.11 sont galement utiliss pour surveiller simultanment la radiofrquence. Une infrastructure unique est ainsi utilise pour lacheminement du trafic et la scurit du rseau WLAN. Cela prsente un certain nombre davantages non ngligeables sur dautres solutions dans lesquelles un systme de dtection des intrusions (IDS) isol doit recouvrir une infrastructure WLAN spare. Notamment : Pas de lacune de la couverture ou de lacune cache - Les systmes IDS de recouvrement surveillent lespace hertzien en utilisant des capteurs radio distribus connects un serveur IDS isol. Lorsque de tels systmes sont dploys, les quipes TI sont obliges de choisir entre cot et efficacit. Lassociation dun capteur radio chaque point daccs assure une couverture optimale du rseau, mais peut savrer extrmement coteuse. Le dploiement dun nud de surveillance tous les 3 5 points daccs peut quant lui rduire les cots dinvestissement, mais aussi gnrer des lacunes dans la couverture radiofrquence et ainsi fournir un accs au rseau dans une zone qui nest plus sous surveillance. Les points daccs Airespace, qui grent chacun la dtection/prvention des intrusions et lacheminement du trafic simultanment, assurent une protection optimale sans aucun cot dinvestissement en matriel supplmentaire.
2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Planification, dploiement et gestion simplifis - La conception dun systme de recouvrement optimal peut demander beaucoup de temps et de ressources. Sa gestion en continu peut par ailleurs tre complique du fait quelle requiert plusieurs outils de gestion rseau : un pour la gestion des systmes WLAN et un autre pour la surveillance des signatures IDS. La solution de dtection et prvention des intrusions de Airespace sintgre harmonieusement dans le logiciel Airespace Control System (ACS) pour fournir une interface de gestion unique aux administrateurs. Les organisations peuvent ainsi mieux contrler toutes les fonctions de gestion essentielles du rseau WLAN, la diffrence des systmes de recouvrement qui requirent une deuxime console de gestion pour configurer et surveiller les signatures IDS. Fonctions amliores de confinement des attaques - Le systme IDS de Airespace est intgr tout le matriel Airespace et a par consquent un accs direct linfrastructure WLAN. Cela permet au systme Airespace de rpondre immdiatement aux alarmes dintrusion critiques et, si ncessaire, de prendre les mesures appropries pour confiner les points daccs illicites, attaques touchant la scurit radiofrquence et intrusions malveillantes. Ces mesures peuvent inclure linscription de clients sur liste noire , le confinement de dispositifs, une interdiction daccs au rseau ou lenvoi de notifications dalarme critique un administrateur pour quil tudie le problme plus en profondeur. Avantages financiers - La solution de dtection et prvention des intrusions de Airespace nexige aucune infrastructure RF parallle, quil sagisse de capteurs radio, de points daccs supplmentaires ddis la surveillance de lespace hertzien ou dun serveur IDS isol. Tous les points daccs Airespace assurent la fois, et simultanment, les services IDS et de distribution rseau. Le systme offre galement aux administrateurs la possibilit (le cas chant) de configurer les PA Airespace comme des dispositifs ddis la surveillance de lespace hertzien sils ont des besoins de dploiement spciaux. Rsultat : le systme Airespace affiche un cot total de proprit bien infrieur celui des systmes de recouvrement ou autres qui ncessitent un matriel et des logiciels de surveillance ddis. De plus, si des entreprises disposant dj dun rseau WLAN souhaitent simplement y ajouter des fonctions IDS, le systme Airespace est une solution beaucoup plus rentable du fait quelle assure la fois les services de distribution et la protection contre les intrusions.
Figure 1
Tout le matriel Airespace est quip en srie de la fonction IDS. Aucun capteur de recouvrement ou serveur ddi isol nest requis. Les points daccs Airespace assurent la fois les services de surveillance IDS et de distribution WLAN, simultanment. Le systme Airespace peut rpondre aux attaques lances contre les rseaux sans fil par des contremesures appropries, incluant notamment llimination des points daccs illicites (si ncessaire).
Solution IDS Airespace Point daccs illicite
Capteur A

Systme de recouvrement
Alarme

Capteur B

PA

Point daccs illicite


Utilisateur WLAN

Elimination

PA

PA

PA

Systmes Airespace IDS intgr

Dispositif IDS isol

2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Il est important de noter que mme les infrastructures WLAN qui permettent lquipe TI de configurer les points daccs en tant que tels ou comme des dispositifs de surveillance de laccs crent toujours, dun point de vue technique, un rseau de recouvrement. Ceci parce quun groupe de matriel est requis pour assurer la surveillance et les fonctions de dtection/prvention des intrusions, et un autre pour grer lacheminement du trafic. Un seul matriel peut certes agir la fois en tant que point daccs et dispositif de surveillance de laccs, mais pas simultanment. Rsultat : cela exige toujours un investissement en matriel supplmentaire et ne simplifie pas la conception du rseau.

Surveillance et gestion radiofrquence en temps rel


Il ny a aucun moyen de prdire la date ou lheure laquelle un WLAN peut faire lobjet dune attaque. Cest pourquoi les administrateurs du rseau ont besoin dune solution WLAN avec fonctions de surveillance radiofrquence en temps rel pour maintenir une visibilit constante dans lespace arien. De plus, il est ais de confondre des phnomnes de faible gravit, comme les interfrences causes par un caf du voisinage, avec des menaces plus relles. Les administrateurs de rseau exigent en consquence la prsence de radiofrquence en temps rel intelligente au sein du WLAN pour les aider analyser les activits radiofrquence et leur permettre de prendre des dcisions avises concernant ltat gnral du rseau en termes de scurit. Airespace intgre les fonctions de surveillance radiofrquence en temps rel et de gestion radiofrquence dynamique de son logiciel AireWave Director son systme Wireless Protection System pour offrir une solution de dtection et prvention des intrusions complte. Le logiciel AireWave Director, install sur tout le matriel Airespace, identifie, analyse, corrige et enregistre automatiquement toutes les activits RF potentiellement nuisibles, limitant ainsi leur impact sur les performances et la scurit des rseaux WLAN. Cela assure la protection en temps rel contre les types dactivits malveillantes suivantes :

Figure 2
Le systme Airespace utilise le logiciel AireWave Director pour surveiller en permanence lespace hertzien la recherche de points daccs suspects. Si des points daccs illicites font leur apparition, le systme les localise avec prcision, leur interdit laccs au rseau sans fil et avertit lquipe de service de leur existence.

2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Points daccs illicites/rseaux ad hoc - Le systme WLAN de Airespace utilise une technologie faisant lobjet de brevets en cours de dpt pour surveiller en permanence lespace hertzien et rechercher les points daccs inattendus. Si des points daccs ou clients illicites font leur apparition, le systme WLAN les localise avec prcision et peut les empcher (ainsi que tous les clients associs) daccder au rseau en les confinant. En plus des points daccs illicites, la solution IDS de Airespace dtecte galement les clients tournant en mode ad hoc. Si un administrateur choisit dinterdire les communications ad hoc, les dispositifs qui violent cette politique peuvent tre confins. Interfrences RF - Le systme WLAN de Airespace surveille activement le rseau sans fil et y recherche les interfrences. Lorsquun trafic ou des interfrences potentiellement nuisibles sont dtects, le systme Wireless Protection System de Airespace aide en identifier la source et prendre les mesures appropries, telles que le dni daccs au rseau ou des ajustements dans lattribution des canaux. FakeAP - Dans cette attaque, le pirate informatique submerge lespace hertzien de centaines de trames balises portant des SSID factices. Cette attaque rsulte, entre autres, en un dni de service de tous les clients sans fil qui finissent par traiter tous les SSID factices Usurpation didentit dun point daccs - Dans cette attaque, un point daccs illicite usurpe lidentit dun point daccs autoris en lui attribuant son adresse MAC. Rsultat : un certain nombre dexploits, comme des attaques de type Manin-the-Middle ou par dni de service (DoS), peuvent tre excuts contre les clients qui sassocient, sans le savoir, au point daccs usurpateur. Trames de dsauthentification factices - Dans cette attaque, le pirate informatique envoie une trame de dsauthentification 802.11 un client en utilisant le BSSID du point daccs du client. Se traduit par une autre attaque par dni de service. FATA-Jack - FATA-Jack est une attaque par dni de service qui utilise le pilote AirJack pour envoyer des paquets dchec dauthentification factices aux clients accompagns du code de motif Previous authentication failed (chec de lauthentification prcdente). La source MAC est usurpe afin que les clients pensent que le paquet provient dun point daccs valide. Envoie un paquet toutes les 2,5 secondes. Points daccs pot de miel - Dans cette attaque, le point daccs illicite affiche un SSID valide avec le BSSID dun point daccs autoris usurp, ou un BSSID alatoire. Le but de cette attaque est dassocier un client au point daccs illicite. Dtection des attaques Monkey-Jack et Man-in-the-Middle - Lattaque MonkeyJack combine lattaque par trames de dsauthentification de diffusion et une attaque par usurpation dadresse MAC. Aprs avoir entran la perte de connexion du client, lattaquant pige ce dernier en le rassociant un point daccs illicite et en sinsrant entre le client et le point daccs. Le systme Airespace dtecte non seulement les activits et prend les contre-mesures appropries pour chacune des attaques dcrites ci-dessus, mais utilise galement des fonctions avances permettant dobtenir des informations sur le positionnement afin de localiser plus facilement la source des activits indsirables. Cela permet dacclrer la rsolution des problmes. En associant les informations sur le positionnement un logiciel de corrlation dvnements intelligent, Airespace aide les quipes TI rduire considrablement les faux positifs (ou fausses alertes) lors de la dtection dattaques sur les rseaux WLAN.
6
2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Analyse avance des signatures IDS


En plus de scruter toute activit inhabituelle dans lespace hertzien, le systme Airespace est livr avec un moteur danalyse des signatures IDS avance pour aider identifier les exploits et attaques WLAN connus. Lorsque lanalyse des signatures gnre un vnement, le systme rpond par une alarme directement lie cet vnement spcifique et lance les mesures appropries pour le confiner.

Figure 3
A la diffrence des systmes de recouvrement qui exigent que tous les paquets capturs soient redirigs vers un serveur ddi isol pour tre analyss, le systme Airespace intgre la fonction IDS directement au sein du logiciel Airespace Control System. Les administrateurs peuvent ainsi grer toutes les fonctions IDS par le biais dune interface unique.

Le systme WLAN de Airespace gre les signatures dattaques de faon extrmement efficace. A la diffrence de certains systmes dautres fournisseurs qui exigent que tous les paquets capturs soient redirigs vers un commutateur WLAN centralis (ou un serveur IDS isol) pour tre analyss, le systme WLAN de Airespace inspecte tous les paquets directement au point daccs. Cette architecture permet Airespace doffrir une protection optimale du rseau WLAN sans en sacrifier les performances. Lorsquune attaque est dtecte, les mesures de confinement appropries sont communiques sur la totalit du systme WLAN de Airespace. Des politiques uniformes peuvent ainsi tre mises en application au sein de lentreprise, contrant toute tentative des intrus de lancer une nouvelle attaque depuis un autre emplacement physique. Voici certaines des signatures dintrusions de rseau sans fil critiques mises en place par le systme WLAN de Airespace : Signature dattaque par flood de trames de gestion - Dans cette attaque, le pirate informatique submerge un point daccs de trames de gestion 802.11. Cette attaque rsulte en un dni de service de toutes les stations qui se sont associes ou ont essay de sassocier au point daccs. Les implmentations de cette attaque incluent les sous-types de trames de gestion suivants reus par un point daccs :
2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Flood de trames Association Request (requte dassociation) Flood de trames Reassociation Request (requte de r-association) Flood de trames Probe Request (requte denqute) Flood de trames Disassociation (dsassociation) Flood de trames Deauthentication (dsauthentification) Sous-types de trames de gestion 6 et 7 rservs Sous-type de trame de gestion D rserv Sous-types de trames de gestion E et F rservs
Figure 4
Le systme Airespace est mis jour mesure que de nouvelles signatures dattaques sont identifies pour garantir une protection contre les intrusions complte. En plus des signatures dattaques connues, le systme Airespace permet aux administrateurs de crer et de mettre en application des signatures IDS personnalises.

Pour confiner cette attaque DoS, le systme WLAN de Airespace identifie les trames de gestion qui correspondent parfaitement aux caractristiques de la signature dattaque par flood de trames de gestion Airespace. Lune des variables de cette signature correspond la frquence de transmission de ces paquets. Si la frquence de ces trames est suprieure la valeur dfinie dans la signature, le point daccs qui dtecte ces trames dclenche une alarme. Selon la faon dont ladministrateur configure le systme Airespace, les mesures lances peuvent inclure lisolation du dispositif incrimin par confinement ou par lenvoi dune notification dalarme un administrateur pour quil tudie le problme plus en profondeur.
8
2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Signature de trame de dsauthentification de diffusion - Dans cette attaque, le pirate informatique envoie une trame de dsauthentification 802.11 ladresse de destination MAC de diffusion dune autre station. Cette attaque dsassocie ladresse de destination du point daccs et lui fait perdre sa connexion. Si cette action est rpte, la station est sujette un dni de service. Airjack est un exemple doutil de piratage qui implmente cette attaque. Le systme Airespace confine cette attaque au moyen dune signature de trame de dsauthentification de diffusion. Si un point daccs dtecte une station qui transmet des trames de dsauthentification de diffusion correspondant aux caractristiques de la signature de trame de dsauthentification de diffusion, une alarme est gnre. Selon la faon dont ladministrateur configure le systme Airespace, le dispositif incrimin peut tre confin afin que ses signaux ninterfrent plus avec les clients autoriss et/ou le systme peut envoyer une notification dalarme ladministrateur pour une tude plus pousse. Signature dattaque par flood EAPOL - Dans cette attaque, le pirate informatique submerge lespace hertzien de trames EAPOL avec des requtes dauthentification 802.1x. Rsultat : le serveur dauthentification 802.1x ne peut pas rpondre toutes les requtes et est incapable denvoyer des rponses dauthentification russie aux clients valides. Se traduit par un dni de service de toutes les stations affectes. Le systme WLAN de Airespace identifie cette attaque au moyen dune signature dattaque par flood EAPOL. Ds que le nombre maximum de paquets EAPOL autoriss est dpass, le systme WLAN de Airespace dclenche une alarme et lance les mesures de confinement appropries. Signature NetStumbler - NetStumbler est un utilitaire dcoute de rseaux sans fil qui rapporte les informations diffuses aux points daccs, telles que le canal, les informations RSSI, le nom du fabricant de la carte rseau, le SSID, lactivation ou non de WEP et les latitude et longitude du dispositif excutant NetStumbler lorsquun systme GPS y est associ. NetStumbler diffuse des paquets avec une signature unique et peut par consquent tre dtect par lanalyse des signatures IDS de Airespace. En mode danalyse actif, Netstumbler utilise lOID 0x00601d (Lucent) et le PID 0x0001 dans len-tte SNAP. Si NetStumbler russit authentifier un point daccs et sy associer, il envoie une trame de donnes avec les chanes suivantes, selon la version de NetStumbler : Version 3.2.0 3.2.3 3.3.0 Chane Flurble gronk bloopit, bnip Frundletrune All your 802.11b are belong to us (envoie des blancs)

Le systme Airespace identifie cette attaque au moyen dune signature NetStumbler correspondant aux dtails indiqus ci-dessus. Une fois lattaque dtecte, une alarme spcifique lie lvnement est gnre et la position du dispositif incrimin est identifie. Signature Wellenreiter - Similaire Netstumbler, Wellenreiter est un logiciel dcoute et de dcouverte de rseaux WLAN capable de rvler les informations des points daccs et des stations. LIDS de Airespace dtecte cette attaque au moyen dune signature unique spcifique au programme Wellenreiter. Une fois lattaque dtecte, une alarme spcifique lie lvnement est gnre et la position du dispositif incrimin est identifie. 9

2004 Airespace, Inc. Tous droits rservs.

Livre blanc Dtection et prvention des intrusions sur le rseau sans fil

Pour chacune des autres attaques indiques ci-dessous, le systme Airespace dtecte une signature unique, laquelle il rpond par une alarme approprie, et localise le dispositif. Signature de trame Probe Response NULL - Certaines cartes pour rseaux sans fil ont tendance se bloquer si elles reoivent une trame Probe Response (rponse denqute) NULL. Cette attaque est identifie par le systme Airespace au moyen dune signature de trame Probe Response NULL. Signature de stations valides, SSID non valide - Un client ayant prcdemment t authentifi sur le rseau sans fil peut essayer de sassocier un point daccs en affichant un SSID qui nest pas reconnu sur le rseau. Il peut sagir dun client mal configur, ou dun client illicite qui tente douvrir une porte drobe dans le rseau. Dans tous les cas, un ensemble de signatures indiquant les SSID autoriss sur le rseau permet didentifier cette attaque. Signature dOUI non valides - Les signatures personnalises peuvent non seulement dtecter les attaques, mais aussi tre utilises pour configurer les identifiants uniques dorganisation (OUI) autoriss sur un rseau sans fil. Par exemple, si un rseau utilise uniquement des cartes rseau de clients Cisco et Netgear, les signatures peuvent tre configures pour dtecter les OUI qui ne correspondent aucun de ces deux fournisseurs et mettre en application les mesures appropries. LIDS de Airespace prend en charge la cration de signatures personnalises pour permettre aux administrateurs de mettre en application des types de paquets non approuvs par le biais de lanalyse des signatures IDS. Signature de cls WEP IV faibles - Certains vecteurs dinitialisation (IV, pour Intitialization Vector) utiliss en combinaison avec des cls WEP statiques sont considrs comme faibles et exposent par consquent le WEP aux programmes de craquage de cls tels que Airsnort ou WEPCrack. Un grand nombre de cartes pour rseaux WLAN rcentes filtrent dj ces IV faibles avant quils ne soient diffuss dans lespace hertzien, rduisant ainsi le niveau de vulnrabilit. Mais ce nest pas le cas de nombreuses cartes pour rseaux WLAN plus anciennes. Grce la signature de dtection des cls IV faibles de Airespace, les entreprises sont protges face ce type de vulnrabilit.

Des rseaux fiables


Le caractre essentiel de la scurit des rseaux sans fil au sein dune entreprise ne fait aucun doute. Le moyen le plus efficace de garantir le contrle complet de lespace hertzien est dintgrer des dispositifs de protection au systme WLAN, de faon permettre lquipe TI de visualiser lespace hertzien et de contrler la faon dont il est utilis. Airespace a dfini la norme dans le domaine de la scurit des rseaux WLAN en intgrant la dtection et la prvention des intrusions sur le rseau sans fil directement au sein de linfrastructure LAN sans fil. Cela rduit les cots de dploiement WLAN en supprimant le besoin de rseaux de recouvrement IDS spars, de points daccs supplmentaires ddis la surveillance et de serveurs et dispositifs IDS isols. Seul Airespace combine protection WLAN et gestion radiofrquence en temps rel. Les anomalies RF peuvent ainsi tre dtectes et analyses rapidement pour dterminer les risques potentiels dcoulant dune menace. Qui plus est, les paramtres de configuration du WLAN, tels que lassignation des canaux, peuvent tre ajusts de faon dynamique pour limiter les risques dattaque.

10

2004 Airespace, Inc. Tous droits rservs.

Airespace fournit le seul systme WLAN informations sur le positionnement intgres pour une meilleure dtection et prvention des intrusions. Cela facilite lidentification de la source des menaces potentielles, ce qui rduit les faux positifs et acclre la rsolution des problmes. Enfin, Airespace offre la solution IDS la plus robuste du secteur pour les rseaux WLAN dentreprise. Les mises jour des signatures en temps rel permettent de maintenir le systme Airespace jour sans interrompre le fonctionnement du rseau, garantissant 24 heures sur 24 et 7 jours sur 7 la scurit WLAN des applications dimportance critique pour lentreprise.

Sige mondial 110 Nortech Parkway San Jose, CA 95134 Etats-Unis Tl. : 408.635.2000 Fax : 408.635.2020 Sige pour la zone EMEA 3000 Cathedral Hill Guildford, Surrey GU2 7YB Royaume-Uni Tl. : +44 (0) 01483.243632 Fax : +44 (0) 01483.243501 Airespace K.K. Yurakucho Denki Building South Tower 10F 1-7-1, Yuraku-cho, Chiyoda-ku, Tokyo, Japon 100-0006 Tl. : + 81-3-5288-8511 Fax : + 81-3-5288-8525 www.airespace.com

2004 Airespace, Inc. Tous droits rservs. LIT 10-04-1-W-IDS