La demande de mobilité des utilisateurs ayant augmenté, les réseaux Wifi se sont fortement développés ces dernières années. De ce fait, et au vu de l’accès au réseau que ce service propose, de multiples attaques existent, engendrant une nécessité d’utiliser des systèmes de défense plus ou moins perfectionnés. Les Wireless Intrusion Prevention System font partie de ces systèmes de défense.

Définition des Wireless Intrusion Prevention System : les WIPS

Étant données les caractéristiques physiques des systèmes, ces réseaux sont particulièrement sensibles à des attaques bien spécifiques. Celles-ci vont utiliser le fait que l’on puisse facilement intercepter ou encore envoyer des trames sur le trafic radio. Ces attaques radio peuvent aller de l’écoute simple des machines présentes à l’installation de points d’accès illégitimes (Rogue AP) en passant par l’imitation d’un point d’accès ou encore un brouillage radio.

Afin de prévenir ces attaques au mieux, les Wireless Intrusion Prevention System (WIPS) sont utilisés. Ce sont des systèmes permettant l’écoute radio et la reconnaissance de modèles d’attaques afin d’alerter l’administrateur du système de la menace.

Un WIPS est composé de trois parties : un système radio permettant d’écouter le trafic, un serveur de management, permettant de stocker l’ensemble des données et enfin une console de management, permettant à l’utilisateur d’avoir une interface facile d’utilisation.

Différents types de solutions sont possibles, selon l’utilisation qui sera faite du WIPS :

– Integrated WIPS : le point d’accès Wifi scanne le réseau lorsqu’elle ne reçoit ni n’envoie rien. Il s’agit de la solution la moins chère ;

– Hybrid WIPS : le point d’accès Wifi peut scanner le réseau, même durant l’envoi ou la réception de données de clients ;

– Overlay WIPS : il s’agit d’une solution WIPS indépendante, comprenant des boitiers spécifiques.

Selon les solutions utilisées, le WIPS peut reconnaitre différentes attaques, dont au minimum la détection d’un point d’accès illégitime (Rogue AP) sur le réseau et la détection de points d’accès de réseaux voisins (exemple : entreprise voisine, réseaux particuliers). Certaines plateformes donnent également la possibilité de réagir face à une attaque de déni de service ou DoS, c’est-à-dire de pouvoir éventuellement configurer un seuil de tolérance et moduler la réaction à avoir une fois ce seuil dépassé. La plupart des dispositifs permettent aussi de lancer des contre-attaques à ces attaques radio. Elles se concrétisent souvent par l’envoi de trames de désassociation.

Limites à l’utilisation des WIPS

Afin de se protéger, il est pertinent d’acquérir des solutions WIPS et de les configurer suivant son besoin. L’intérêt est ici d’avoir une réaction rapide à l’attaque, voire immédiate dans le meilleur des cas. La personnalisation peut passer par la mise en place de filtres, permettant alors de mettre en évidence le point d’accès illégitime pour déclencher ensuite une réponse. Un bon moyen de se protéger serait également d’envoyer un rapport aux équipes d’administration du réseau, dès qu’une attaque de ce type est repérée. De cette manière, elles peuvent réagir manuellement et rapidement. Enfin, automatiser la réponse à incident en fonction de l’attaque repérée semble être le moyen le plus simple de procéder, mais peut amener des risques de faux positifs.

Cependant, peu de solutions de WIPS intégrés proposent de telles possibilités de personnalisation aussi poussées. La plupart proposent un classement manuel des points d’accès détectés, c’est-à-dire déclarer ces points d’accès voisins comme connus et donc non dangereux. Elles proposent également la possibilité de créer des rapports ponctuels ou selon une fréquence donnée, sur des sujets divers, sans entrer dans le détail des attaques détectées. De plus, la contre-mesure permettant de se protéger contre ces attaques radio utilise une action qui s’apparente à du déni de service ou DoS, par l’envoi de trames de désassociation. Outre l’illégalité de cette réaction (tout du moins en France), elle peut s’avérer inefficace. En effet, certains appareils utilisent l’amendement 802.11w sorti en 2009 qui protège les appareils de certaines attaques DoS par l’envoi de trames de management et notamment les attaques DoS par trames de désassociation ou de désauthentification.

En conclusion

Les WIPS peuvent être des outils très utiles pour la sécurisation d’un service Wifi. Ils permettent entre autres de détecter des points d’accès voisins ou encore illégitimes et d’avoir une analyse des trames circulant dans le périmètre physique du réseau Wifi. Ils offrent une possibilité de contre-attaque sous forme d’envoi de trames de désassociation. Cependant, la performance de ces outils dépend en grande partie de l’utilisation qui en est faite et de sa configuration, malheureusement limitée dans le cas de WIPS intégrés, ainsi que par les protections mises en place sur les points d’accès illégitimes.

____________
Madeleine Wouters est consultante Sécurité chez NetXP