Recommandations d'usage pour
les réseaux maillés Locustworld

by Don Moskaluk
March 25, 2004

La technologie de réseau maillé est en train de créer de nouvelles opportunités et va considérablement changer le monde de l'informatique. Comme avec la technologie filaire, le sans-fil et le maillage présentent des risques de sécurité.

L'encryption du maillage Locustworld est forte.

Les caractéristiques de base de la sécurité d'une MeshAP sont les suivantes :

Pour empêcher le spoofing, chaque noeud a une adresse IP certifiée.

Les nœuds échangent les clés avec les endpoints en utilisant une encryption RSA 2048 bits puis encodent les données avec de l’AES128 bit et une surcouche Blowfish.

Une clé partagée supplémentaire peut être utilisée avec les clés dynamiques pour créer un maillage privé. En conséquence, celui-ci ne se connectera pas avec les réseaux maillés voisins, même s’ils possèdent un ESSID identique. Cette technique peut également prévenir l’injection hostile de routes dans votre réseau.

Par dessus cela, on peut utiliser WEP au niveau 2, et si on utilise 2 liens radio ou des ponts wlan-ethernet, on peut utiliser WEP au niveau du backbone avec les cellules locales non cryptées.

SSL est disponible pour la sécurité point-à-point et la MeshAP supporte également les tunnels PPTP et IPSEC pour sécuriser le dernier bond jusqu’au client.

Les réseaux maillés sans fil, qui utilisent les fréquences radio pour diffuser dans la bande de fréquence 2.4Ghz, peuvent être aussi simples que 2 ordinateurs équipés de carte Wifi ou aussi complexes que des centaines de machines communiquant à travers les MeshAP Locust. Celles-ci sont relativement bon marché et faciles à installer. Mais elles introduisent également un certain nombre de risques en matière de sécurité, et il est important d’implémenter des mesures fortes par l’intermédiaire de www.wiana.org afin de diminuer ces risques.

Nous allons énumérer ici les risques potentiels et les recommandations d’usage associées qui vous aideront a sécuriser votre réseau maillé sans-fil et à en comprendre les principales caractéristiques.

Risque 1:

Politiques insuffisantes et connaissance globale

Bien que l’établissement de politiques de sécurité puisse sembler une évidente nécessité, les “Mesh ISP” omettent parfois cette étape ou, plus souvent, d’informer les clients des risques associés à l’utilisation du réseau maillé sans-fil sans prendre en compte les politiques de sécurité.

Une fois que les politiques sont implémentées, il est critique de les communiquer afin d’augmenter la connaissance et la compréhension du client.



Améliorations

Développez des politiques globales de “Mesh ISP” avec des procédures détaillées concernant les périphériques sans fil maillés et leur utilisation.

Mettez régulièrement à jour ces politiques et procédures afin de suivre les technologies et les tendances. Alors que chaque « Mesh ISP » aura des besoins spécifiques, exigez au minimum l’enregistrement de tous les LAN comme partie de la stratégie de sécurité globale.Et parce qu’une politique n’est pas efficace si les clients ne la suivent pas, surveillez le réseau afin de vous assurer que les dits clients ont un comportement en accord.

Conduisez régulièrement des sessions de communication et d’information aussi bien pour les administrateurs systèmes que pour les clients. Il est important de maintenir les administrateurs informés des avancées techniques et des protocoles, mais il est aussi important que les clients comprennent les raisons de ces protocoles. Un client informé aura plus tendance à aller dans le sens des mesures de sécurité, sans protestation. Ces sessions de communication devront souligner l’importance de la vigilance.



Risque 2:

Contraintes d’accès

Les points d’accès des réseaux sans-fil maillés envoient régulièrement des signaux annonçant leur présence afin que les clients puissent les trouver et initier une connection. La transmission de ce signal a lieu quand les trames 802.11 ( beacon ) contenant le ESSID(Extended Service Set Identifier) de la MeshAP sont envoyées non cryptés. (les ESSID sont des noms ou des descriptions utilisées afin de différencier les réseaux sans-fils). Ceci facilite le travail des clients non autorisés, qui peuvent apprendre le nom du réseau et ainsi tenter une attaque ou une intrusion.

Améliorations

Activez les options de sécurité disponibles. Celles ci sont désactivées par défaut.

Changez les réglages par défaut. Par exemple, le ESSID par défaut des MeshAP est « Locustworld ». Ne pas changer ces réglages facilite l’accès des clients non autorisés (LocustWorld est Open Source). Définissez une convention complexe de nommage des ESSID. Ne laissez pas les ESSID refléter des informations identifiables. Utilisez plutôt des chaînes de caractères dénuées de sens, longues, incluants des lettres, des nombres et des symboles.

Déplacez ou encryptez les ESSID et les clés WEP(Wired Equivalent Privacy) qui sont habituellement stockées dans la base de registre Windows. Déplacer ces fichiers privilégiés complique la tâche du hacker voulant récupérer des informations sensibles, et peut ainsi prévenir, ou tout au moins retarder une attaque ou une intrusion.

Notez que le cryptage du maillage est plus fort que celui du WEP, et avec PPTP ou IPSEC, vous disposez d’une installation très sécurisée. On peut également utiliser WEP.

Utilisez un réseau fermé. Avec un réseau fermé, les clients tapent un ESSID dans l’application cliente au lieu de la sélectionner a partir d’une liste. Cette caractéristique complique l’accès pour le client légitime, mais une éducation sur les stratégies de réduction du risque peut réduire les résistances potentielles.

Pour tirer parti au maximum des avantages d’un réseau fermé, changez régulièrement le ESSID afin que le client qui est parti ne puisse avoir de nouveau accès au réseau. Développez et implémentez un processus de gestion des ESSID qui les renouvelle régulièrement et informe les clients autorisés du nouveau ESSID.

Suivez l’équipement du client. Requiert que les réseaux maillés sans-fils soient placés derrière la patte principale de routage afin que la MeshAP puisse les désactiver si nécessaire. Si des LANs sont utilisés chez les particuliers, ceci nécessite des configurations de sécurité spécifiques, notamment concernant l’encryption et les tunnels VPN.

Changez le mot de passe root sur les MeshAP

Risque 3:

MeshAP solitaires

Les MeshAP solitaires sont celles installés par des clients sans coordination avec leur “Mesh ISP”. Parce que les points d’accès sont abordables et faciles à installer, leur utilisation pirate va se développer de plus en plus.

Les MeshAP solitaires sont souvent mal configurées et laissent passer du traffic qui peut s’avérer difficile à cerner pour les logiciels IDS.

Améliorations

Conduisez des audits réguliers des sites pour déterminer la localisation de toutes les MeshAP. Assurez vous que les MeshAP ne sont pas situées près d’équipements émettant des interférences, tels que des micro-ondes, des circuits électriques ou des ascenseurs.

Fournissez des antennes

Installez les patches et les mises à jour du logiciel MeshAP

WIANA ou RADIUS est une étape d’authentification additionnelle. Interfacez ce serveur d’authentification avec une base de donneés cliente afin de s’assurer que le client demandeur est autorisé.

Forcez un délai mininum de 30 minutes pour la ré-authentification de tous les clients.

Risque 4:

Analyse du trafic et écoute clandestine

Sans pour autant avoir accès au réseau, les parties non autorisées peuvent passivement capturer les données confidentielles du client traversant le réseau via les ondes radios jusqu’à la MeshAP et les lire dans la mesure où elles sont envoyées en texte clair. Un attaquant peut alors modifier un message légitime en supprimant, changeant, ajoutant, ou réordonnant le message. L’attaquant peut aussi surveiller les transmissions et retransmettre les messages en tant que client légitime.

Actuellement, les réseaux sans-fils clients sont caractérisés par les faibles mécanismes de contrôle d’accès des normes 802.11b ou g, résultant en une faible authentification des messages.

Améliorations

1. Crypter tout le trafic du maillage (ponts et equipements clients). Il existe un certain nombre de méthodes :

Utiliser un cryptage applicatif tel que Pretty Good Privacy (PGP), Secure Shell (SSH) ou Secure Sockets Layer (SSL)

Activer WEP, une méthode d’encryption censée donner aux clients du réseau sans-fil maillé une sécurité équivalente à celle d’un réseau filaire mais dont la sécurité a été remise en cause (son moteur RC4 a été cracké). Aussi bien les clés de 40 bits que celles de 128 ont été crackées – la clé de 128 bits ralentit juste le processus. Malgré ses faiblesses, la sécurité du WEP présente dans les réseaux maillés sans-fil peut retarder l’intrusion d’un client non autorisé ou empêcher entièrement les attaques d’un hacker novice. (Note : le réglage d’usine du WEP est OFF)

Exiger l’utilisation d’un VPN 3DES et cryptez tout le trafic, pas seulement les ID et mots de passe. Segmenter tout le trafic des réseaux maillés sans-fil derrière un pare-feu et configurer chaque client avec un client VPN afin de « tunneler »  les données vers un concentrateur VPN. Evaluer les caractéristiques suivantes lors de l’achat d’une technologie VPN : interoperabilité avec l’infrastructure existante, support des réseaux maillés sans-fil, filtrage de paquets ou firewall à états (stateful inspection), mises à jour de sécurité automatiques et console de gestion centralisée.



2. Implémenter un schéma d’authentification à 2 facteurs en utilisant des jetons d’accès pour les clients accédant une infrastructure critique.

3. Utiliser 802.11b pour la gestion des clés et les standards d’authentification du Wiana.

4. Utiliser les protocoles de la famille EAP(Extensible Authentication Protocols). 

5. Activer la fonctionnalité “Broadcast Key Rotation”. Régler la durée (en général 10 minutes ou moins) sur le point d’accès; à chaque tour de compteur, l’AP diffuse une nouvelle clé WEP en l’encryptant avec l’ancienne, réduisant ainsi la plage de temps disponible pour cracker une clé.

6. Restreindre les droits d’accès au LAN par rôle.

Risque 5:

Performance réseau insuffisante

Les réseaux maillés sans fils ont une capacité de transmission limitée. Les réseaux basés sur la norme 802.11b ont un débit de 11 Mbits/sec. La seule surcharge occasionnée par l’en tête MAC consume à elle seule la moitié du débit.

La capacité est partagée entre tous les clients associés avec une MeshAP, et les agrégations n’existent pas sur les MeshAP(mais devraient bientôt être disponibles). La performance réseau peut être grandement améliorée si le nombre approprié de points d’accès sont mis à disposition des clients.

Fréquemment, les intentions des clients non autorisés sont de profiter de la bande passante plutôt que d’espionner et modifier les données transitant dans le réseau sans-fil maillé. Cependant, ces clients non autorisés peuvent réduire la performance du réseau de manière significative au détriment des utilisateurs autorisés. Enfin, les attaques par déni de service peuvent désactiver ou interrompre vos activités. Une attaque DoS n’est pas forcément intentionnelle. Par exemple, des clients peuvent transférer de gros fichiers et ainsi causer une panne du réseau.

Une autre attaque DoS non intentionnelle peut se produire quand du trafic légitime utilise le même canal radio. Inversement, un déni de service peut être un débordement intentionnel, tel qu’un « ping flood » ayant pour but de causer des interruptions réseaux.

Améliorations

1. Surveillez continuellement les performances du réseau et enquêtez dès la constatation d’une anomalie.

2. Segmentez la couverture du point d’accès pour réduire le nombre de personnes utilisant chaque point d’accès.

3. Par l’intermédiaire du Wiana, utilisez le traffic-shaping pour permettre aux administrateurs de gérer leur trafic de manière proactive, plutôt que de réagir aux incidents.



Risque 6:

Attaques de hackers

Parce que les réseaux maillés sans-fil ne sont pas sécurisés entre le client et la MeshAP, ils sont propices aux attaques (virus, perte de confidentialité et d’intégrité des données, extraction des données sans détection, violations de confidentialité ou vol d’identité). Cependant, il faut souligner que le flooding de la couche radio est en général l’attaque la plus courante qu’un réseau maillé puisse encourir.

Améliorations

1. Déployez un NIDS (Network Based Intrusion Detection System) sur le réseau maillé sans-fil; regardez les journaux toutes les semaines. 

2. Utilisez et maintenez un logiciel antivirus. Utilisez un mécanisme de « push » des upgrades du serveur antivirus vers les clients.

3. Sauvegardez fréquemment les données et effectuez des restaurations régulières.

Risque 7:

Mapping des machines

L’ “Host mapping” permet d’accéder à une adresse publique (ou une adresse LAN) à partir de la passerelle jusqu’à un périphérique sans-fil ou filaire n’importe où dans le maillage. Par exemple, pour le partage de fichier Windows, il est possible d’entrer l’URL IP et la machine se connectera directement au partage de fichier.

Améliorations

Il est recommandé de fixer l’adresse à l’extrémité supérieure de l’intervalle 192.168.X.220-240 (range DHCP distribué par la Meshbox à laquelle l’hôte est connecté)

Le type de noeud de la passerelle distante doit être « IP ». Avec un hôte « mappé », on peut accéder aux partages de fichier en tapant simplement l’IP dans la barre d’adresse de l’explorateur Windows. Vos clients doivent être prévenus et encouragés à interdire le partage. Le mapping des hôtes entraîne des implications non négligeables en matière de sécurité pour le périphérique distant. Ce risque n’est présent que si le nœud distant a une connectivité Internet.



Risque 8:

MAC spoofing/session hijacking

Les réseaux sans fils maillés n’authentifient pas les trames, ce qui peut entraîner l’altération de trames, les détournements de sessions, ou le vol d’informations d’authentification par un imposteur.

C’est pourquoi les données contenues dans ces trames ne peuvent être considérées comme authentiques, dans la mesure ou il n’y a pas de protection contre la forge d’adresse MAC source.

Parce que les attaquants peuvent observer les adresses MAC des stations sur le réseau, ils peuvent réutiliser ces adresses pour des communications malicieuses. Enfin, les adresses des stations, et non les clients eux-mêmes, sont authentifiées. Ce n’est pas une technique d’authentification forte, et une tierce partie non autorisée peut la compromettre sans difficulté.

Améliorations

1. Limitez l’accès à des adresses MAC spécifiques qui sont filtrées par un firewall. Cette technique n’est pas idéale puisque les adresses MAC peuvent être forgées, mais elle améliore la sécurité globale. Une autre difficulté avec cette technique est la maintenance supplémentaire engendrée. Une adresse MAC est liée à un périphérique matériel, donc à chaque fois qu’un périphérique autorisé est ajouté ou enlevé du réseau, son adresse MAC doit être enregistrée dans la base de données. On préférera donc utiliser un couple USERID/Password en plus de l’adresse MAC.

2. Surveillez les journaux toutes les semaines et scannez les hôtes critiques quotidiennement.

3. Utilisez une méthode d’encryption reconnue telle que SSH, TLS ou IPSEC.

Risque 9:

Insuffisances en matière de sécurité physique

Les périphériques sans-fil communs tels que les PDAs, les laptop et les MeshAP sont faciles à perdre ou à voler en raison de leur petite taille et de leur portabilité. Dans l’éventualité d’un vol, la partie non autorisée peut compromettre de tels équipements afin d’obtenir des informations concernant la configuration du réseau maillé sans-fil.

Améliorations

1. Mettez en place des contrôles de sécurité physiques, notamment des barrières ou des gardiens afin de prévenir le vol des équipements ou les accès non autorisés

2. Etiquetez et maintenez des inventaires de tous les les réseaux maillés sans-fil et leur équipements associés.

3. Utilisez une authentification indépendante du périphérique, afin que les périphériques perdus ou volés ne puissent avoir accès au maillage.

Résumé

Après avoir examiné quelques risques associés aux réseaux maillés sans-fil, leur nature à haut risque devient assez évidente. Afin de modérer ces risques, les administrateurs systèmes doivent exécuter des évaluations continues afin de, non seulement s’assurer qu’ils comprennent les risques qu’ils affrontent, mais surtout qu’ils prennent les mesure nécessaires afin de les atténuer.

De façon générale, les plus grandes faiblesses de sécurité des réseaux maillés sans-fil ne sont pas les imperfections techniques, mais les installations « out-of-the-box » non sécurisées. Ce risque peut être surmonté en faisant attention aux détails. Mais il faut se rappeler que le facteur humain est le maillon le plus faible et ce risque doit être considéré lors de la nomination d’un administrateur réseau et de la mise en place de procédures appropriées.

 


 

 
 
Send mail to webmaster@moskaluk.com with questions or comments about this web site.
Copyright ©  2004, 2005,2006, 2007, 2008  Moskaluk Inc.
Last modified: December 30, 2004