Securite portail captif wifi

Le
Kevin Denis
Bonjour,

Je m'interesse a la securite d'un deploiement wifi a grande echelle;
par exemple le cas d'une universite.

Le wifi doit arroser l'ensemble du campus, et tous les etudiants
munis d'un compte peuvent utiliser le wifi.

Un portail captif est utilise, avec un serveur RADIUS derriere pour
la verification du couple login/password.

En sortie, seul le port 80 est autorise. Le debit est limite.

D'un point de vue securite, quel est votre avis?

. Je verrais le probleme de vol d'identifiant par faux portail captif.
. Le probleme de securite niveau local: qu'est ce qui empeche un
etudiant d'attaquer par wifi un autre ordinateur d'etudiant?
. Le snif du trafic?

Autre chose?

Merci
--
Kevin
Vos réponses
Trier par : date / pertinence
Cedric Blancher
Le #892404
Le Thu, 23 Mar 2006 15:30:17 +0000, Kevin Denis a écrit :
D'un point de vue securite, quel est votre avis?
. Je verrais le probleme de vol d'identifiant par faux portail captif.


Tout à fait.
On peut aussi regarder du côté d'un man in the middle à partir d'ARP
cache poisoning. Pour cela, on met son portail en HTTPS avec un certificat
distribué préalablement pour authentifier le portail.

. Le probleme de securite niveau local: qu'est ce qui empeche un
etudiant d'attaquer par wifi un autre ordinateur d'etudiant?


Rien. La seule parade disponible est l'isolation des stations, mais comme
c'est l'AP qui la fait, on la contourne par injection de trafic.

http://sid.rstack.org/pres/0602_Securecon_WirelessInjection.pdf

. Le snif du trafic?


Rien.

Et rien ne garantit non plus que les gens devront s'authentifier pour
sortir du réseau :

http://sid.rstack.org/pres/0602_ESW_CaptiveBypass.pdf


Pour moi, la solution, c'est pas de portail captif et un accès en WPA (et
WPA2 pourquoi pas) avec authentification 802.1x via le RADIUS que tu
prévoyais quand même d'utiliser. Ainsi tu obtiens :

. un AAA décent
. une authentification mutuelle pourvu que tu utilises un truc décent,
genre EAP-TLS ou PEAP, qui en plus te protège les identifiants
. des sessions chiffrées pour chaque client qui les oblige à forcément
passer par l'AP pour se foutre sur la gueule, et donc là, l'isolation
reprend du sens.

Bref, les portails captifs, c'est un peu se faire chier (je trouve) pour
un résultat qui n'est satisfaisant ni pour les clients (sécurité), ni
pour le gestionnaire d'infrastructure (contournement).


--
WIn95 a même réussi à indiquer des millions de couleurs sur un écran
alors que celui-ci n'était qu'en 256...
Bon faut dire que c'était sur un moniteur plug&play non reconnu par win
-+- LT in Guide du Macounet Pervers : le Plug & Play selon Redmond -+-

Publicité
Poster une réponse
Anonyme