Détecter les AP voyous

votre réseau.

Trouver les AP voyous n’est pas facile mais c’est nécessaire pour une bonne sécurité. Windows 2003 a un nouveau snap-in Microsoft Management Console (MMC) appelé Wireless Network Monitor que vous pouvez utiliser pour journaliser l’activité client du réseau et pour trouver les AP. Cependant, installer Windows 2003 sur un portable juste pour un snap-in MMC est lourd, coûteux et inutile. La plupart des portables et des PDA avec des NIC sans fil intégrées possèdent des outils capables de détecter des AP voyous.

Si votre portable ou PDA n’est pas équipé d’un tel outil ou si vous voulez des fonctions élaborées du genre GPS (qui, lorsqu’il est utilisé avec une antenne directionnelle et une boussole, permet de trouver par triangulation un AP voyou), vous pourriez juger préférable un outil gratuit tel que NetStumbler. Il en existe deux versions à http://www.netstumbler.com/downloads : une pour Windows 2000 et versions ultérieures et une pour les appareils de type Windows CE, appelée MiniStumbler. La figure 2 montre NetStumbler fonctionnant sur un portable Dell qui possède XP Service Pack 2 (SP2) et une NIC sans fil Dell TrueMobile 1400, l’une des nombreuses NIC sans fil reconnues par NetStumbler.

Vous pouvez utiliser NetStumbler pour traquer les AP voyous, simplement en le lançant sur un portable et en vous promenant avec celui-ci. Dès que NetStumbler détecte des AP, il les affiche sur l’écran avec diverses informations : l’adresse MAC de l’AP, le canal sur lequel il écoute, si le cryptage est actif et l’identité du fournisseur. NetStumbler montre également le SNR (signal-to-noise ratio) pour le signal radio. Plus le signal est élevé, plus l’AP est proche.

Avant de pouvoir détecter des AP voyous, vous devez connaître l’adresse MAC et le SSID de chaque AP utilisé légitimement dans l’entreprise. Lorsque vous déployez les AP, enregistrez leurs adresses IP, leur SSID et l’endroit où vous les avez placés. En vous déplaçant avec NetStumbler, intéressez-vous aux AP qui ont un SSID insolite ou une adresse MAC inconnue. Quand vous les trouvez, retenez votre emplacement puis marchez dans des directions différentes en remarquant dans quelle direction le numéro SNR augmente. Si vous continuez à marcher dans ce sens, vous rencontrerez peut-être l’AP ou au moins vous déterminerez la zone générale où il se trouve, pour un examen physique plus approfondi à une date ultérieure. N’oubliez qu’un AP peut fort bien se trouver à l’étage voisin.

Sachez surtout qu’un pirate doué peut fort bien établir un AP avec le même SSID que votre réseau, pour essayer de capturer les utilisateurs non méfiants. Une fois connectés à l’AP d’un attaquant, les utilisateurs légitimes essaieront de se connecter aux ressources de votre réseau comme le serveur de courriel et les applications Web. Bien qu’ils ne puissent pas se connecter à ces ressources par l’intermédiaire de l’AP de l’attaquant, ils pourraient naïvement révéler leurs noms et mots de passe utilisateur avant d’abandonner, de guerre lasse. Apprenez à l’équipe du help desk de se méfier des appels concernant des problèmes de connectivité de réseau sans fil qui pourraient pointer vers de tels AP. Et assurez-vous que le personnel du help desk demande aux utilisateurs d’indiquer leur emplacement. Suivez les rapports en utilisant NetStumbler ou d’autres outils et vérifiez l’adresse MAC de tous les AP de la zone, pour vous assurer que tous sont légitimes.

Si vous souhaitez plus d’informations sur la sécurité d’un réseau sans fil pour les entreprises de toutes tailles et même pour les utilisateurs domestiques lisez l’ouvrage Deploying Secure 802.11 Wireless Networks with Microsoft Windows de Joseph Davies (Microsoft Press, 2003). Une excellente ressource en ligne se trouve à cette adresse. Bien que cette page soit dans la section Windows 2003 du site Microsoft Web, elle contient des liens vers l’information pour XP.