A IEEE szabvány szerinti vezeték nélküli hálózatok (WiFi) biztonsága

A IEEE 802.11 szabvány szerinti vezeték nélküli hálózatok (WiFi) biztonsága

2006.04.20.

Matiscsák Anita, Bikki Balázs: WiFi hálózatok biztonsági szempontból

1

Miről lesz szó • • •

Mi az a WiFi Miért jó? Biztonsági megoldások, tévedések – SSID broadcast, MAC szűrés, WEP • Feltörés elméletben, gyakorlatban • Védelmi lehetőségek • Egy kis sport

2006.04.20.


2

WiFi • A WiFi kifejezést a Wi-Fi Alliance hozta létre olyan termékek minősítésére, melyek megfelelnek az IEEE 802.11 szabványnak • Az általuk kidolgozott módszer szerint tesztelik az eszközöket az együttműködés szempontjából, majd Wi-Fi CERTIFIED minősítést adnak a megfelelteknek, persze nem kis összegért.

2006.04.20.


3

Miért jó? • • • •

Kényelem, kötetlenség Egyszerű konfigurálhatóság Olcsó A teljes hálózati infrastruktúra kiépítésének költsége a vezetékeshez képes töredéke lehet. – nincs gödör – nincs falbontás – van ahol ez nem is lenne lehetséges

2006.04.20.


4

Kockázatok • Kapunk egy levelet az internetszolgáltatónktól, hogy elértük a havi limit 100%-át, pedig alig volt forgalmunk. • Valószínű egyik leleményes szomszéd a mi hozzáférésünket használta.

2006.04.20.


5

Információszivárgás • A hálózat által sugárzott jelek nem állnak meg a falnál, akár 100 méterre is jól foghatók. • A vételhez nem szükséges speciális eszköz, bárki az utcáról is belehallgathat a hálózatunk forgalmába, mivel a hálózatok magukat hirdetik. • Bizalmas információk kiszivárgása: – Bankkártyaadatok – magán- , vagy üzleti jellegű adatok

2006.04.20.


6

WarSpamming • A támadó könnyen törhető AP(access point)-ket, és a mögötte lévő levelezőrendszert felhasználva rengeteg anonim spam-et küld. Az elküldött spam-ek száma gyakorlatilag csak a sávszélességtől függ. Mivel a valódi küldő azonosságát nem lehet meghatározni (kivéve ha tettenérik) ezért nagyon kedvelt módszer. • Számunkra viszont nagyon hátrányos mert egyes spamszűrő rendszerek akár el is dobhatják a tőlünk érkező leveleket, de egyes országokban akár bíróságra is kerülhet a dolog. Itt viszont nekünk kell bizonyítani, hogy nem tőlünk származik.

2006.04.20.


7

Más hálózatok feltörése • Egy cracker tevékenysége során megpróbálja elrejteni a rá utaló nyomokat. • Vezetékes hálózat használata esetén ez akár nehezebb is lehet mint a cél feltörése. • Ha keres egy könnyen törhető WiFi hálózatot akkor anélkül érheti el a kiszemelt rendszert, hogy bármilyen információ kiderülne róla. • Esetleg a WiFi csatolójának MAC címét naplózhatja az AP, de ez akár lehet hamis is. 2006.04.20.


8

Ismeretlen AP • Egy alkalmazott telepít a vállalata hálózatára egy AP-t. • Ez esetben az AP nem része a cég biztonságpolitikájának és kiszámíthatatlan károkat okozhat.

2006.04.20.


9

Biztonsági megoldások • A rendszer tervezésekor: – SSID Broadcasting tiltás – Hálózati azonosító (MAC) szűrés – Titkosítás: WEP

2006.04.20.


10

SSID broadcasting • 5 fajtája van: – beacon: valójában ez az SSID broadcasting – probe request – probe response – association request – reassociation request • Az SSID broadcasting kikapcsolása csak a beaconingot kapcsolja ki. Ezzel a saját helyzetünket nehezítjük, lehetetlenné tesszük a roamingot, a klienseknek pedig kézzel kell beírni az SSID-t.

2006.04.20.


11

MAC szűrés

MAC frame format

Mivel a WiFi hálózatoknál a MAC címek titkosítatlanul utaznak, ezért elég addig sniffelni amíg egy kliens nem kapcsolódik a hálózathoz, és máris van egy használható MAC címünk.

2006.04.20.


12

A WEP titkosítás • Az RC4-en alapul: – Szimmetrikus – Adatfolyam-kódoló • Van egy mindkét fél által ismert titkos kulcs amely lehet 40 vagy 104 bites • Szükséges egy inicializációs vektor (IV), hogy ne ismétlődhessen a kulcs, mivel így könnyű lenne feltörni. Ez 24 bites, és a tikos kulcshoz fűzik. A vezetéknélküli csatoló, vagy AP állítja elő, a szabvány nem tartalmazza milyen módon. 2006.04.20.


13

Mit kell kódolni WEP Frame Body:

• Kódolandó a Data és az ICV

2006.04.20.


14

A kódolási folyamat

2006.04.20.


15

A kódolási folyamat 2. 1. A titkos kulcshoz fűzi az IV-t. 2. Az eredményt átadja a PRNG-nek, ami egy végtelen hosszú pszeudorandom sorozatot állít elő, a kulcsszekvenciát. 3. A titkosítandó üzenetre számol egy CRC értéket(ICV) és ezt hozzáfűzi. Ez lesz a kódolás alapja. 4. Ezt XOR-olja a kulcsszekvenciával és megkaptuk a kódolt üzenetet. 5. Az IV-t beleteszi a küldendő csomagba, hogy a fogadó dekódolni tudja az üzenetet.

2006.04.20.


16

Dekódolás

• Magyarázat: lásd a kódolásnál • Kivéve az ICV ellenőrzése

2006.04.20.


17

IV ütközés • Stream kódolóknál fontos, hogy ugyan az a kulcs ne szerepeljen többször, mert ez lehetőséget ad a feltörésre. • A WEP 24 bites IV-t használ, melyet az üzenet titkosítatlan részében küld el. • A lehetséges IV-k száma 224=16 777 216 ami első látásra soknak tűnhet • 1500 bájtos csomagokkal 11Mbps-nél kb. 5 óra alatt fogynak el a felhasználható IV-k.

2006.04.20.


18

IV ütközés • Születésnapi paradoxon: egy szobában 23 vagy több véletlenszerűen kiválasztott ember van. Annak a valószínűsége, hogy közülük legalább kettőnek egybeesik a születésnapja 50%. 60 vagy több embernél ez már nagyobb mint 99%. • Ezt figyelembe véve várhatóan 4096 csomag után bekövetkezik az IV ütközés, vagyis két azonos kulccsal kódolt üzenet.

2006.04.20.


19

IV ütközés esetén • rc4(X) xor rc4(Y) = X xor Y • Ha több azonos IV-vel kódolt üzenetünk van, statisztikai módszerekkel következtethetünk a tartalmukra. • X xor Y xor X = Y • Ha ismerünk egy üzenetet kódolatlanul és kódolva, akkor az összes ugyanolyan IV-vel rendelkező üzenetet meg tudjuk fejteni.

2006.04.20.


20

IV ütközés • Ha ismerjük: X, rc4(X) akkor bármilyen helyesen kódolt üzenetet el tudunk küldeni a hálózatra. • RC4(X) xor X xor Y = RC4(Y) • Dekódoló táblát lehet felépíteni, ami tartalmaz minden IV-hez kapcsolódó RC4 kulcssorozatot, így a teljes forgalom dekódolható

2006.04.20.


21

FMS módszer • A módszer az RC4 hiányosságait használja ki. • Ezekre a Princeton egyetemen dolgozó Wagner hívta fel a figyelmet 1995-ben. • 1999-ben megszületett a WEP, mely sorról-sorra implementálta az RC4 összes hibáját, amelyre már 4 évvel korábban felhívták a figyelmet. • Fluhrer, Mantin és Shamir dolgozta ki részletesen a módszert.

2006.04.20.


22

Az FMS módszer • A titkosított csomag legtöbbször IP, vagy ARP • Az RFC 1042 szabvány miatt garantált, hogy titkosítatlan szöveg első bájtja 0xAA • X xor rc4(X) = kulcs • Vagyis ismerjük a kulcsfolyam 1. bájtját • Ebből az RC4 egy hiányosságát kihasználva un. gyenge IV-k esetén 5% valószínűséggel ki lehet találni a titkos kulcs n. bájtját. • Gyenge IV: (n+3,0xFF,x) 2006.04.20.


23

Törés a gyakorlatban • FMS módszer használata a leggyakoribb, mert kész eszközök állnak rendelkezésre és gyors. • 2-10 perc elegendő a titkos kulcs megszerzéséhez. • A szükséges szoftverek mindegyike megtalálható az Auditor Security Collection Live CD-n.

2006.04.20.


24

Hardvereszközök

2006.04.20.


25

Szoftvereszközök • Elvégzendő feladatok, szükséges szoftverek: – SSID meghatározása, AP és kliens MAC címének meghatározása: Kismet – Csomagok és IV-k gyűjtése: Airodump – Forgalom növelése: Aireplay – Gyűjtött csomagok és IV-k statisztikai elemzése: Aircrack

2006.04.20.


26

SSID, MAC • Ha az SSID broadcasting ki van kapcsolva az AP-n és/vagy nem ismerjük a MAC szűréshez beállított címeket, kell egy a sniffelés folyamán csatlakozó kliens, mert az ekkor használt keretekben utaznak ezek az adatok titkosítás nélkül.

2006.04.20.


27

Replay attack • A forgalom növelésére használják, mert a módszerhez sok különböző IV szükséges. • Egy kliens üzenetét kapja el, majd gyakran újraadja. • Az üzenet érvényes mivel egy csatlakozott, autentikált klienstől származik, így teljesen normális hálózati forgalomnak tűnik. • A megfelelő csomag az ARP, mivel rövid, fix méretű (68 byte), és könnyen felismerhető. 2006.04.20.


28

Kulcs meghatározás • Az AP folyamatosan küldi a válaszokat különböző IV-vel, így a szükséges mennyiség hamar összegyűlik. • A kapott IV-ket az aircrack statisztikai módszerekkel elemzi és meghatározza a titkos kulcsot

2006.04.20.


29

WPA • Átmeneti megoldás amíg a 802.11i el nem készül. • Megmaradt az RC4 kódolás, de az IV 24-ről 48 bitesre nőtt, ami megnehezíti a dekódolást. • CRC helyett MIC, ez tartalmaz egy keretszámlálót, amivel megakadályozható a replay támadás. • TKIP: Temporal Key Integrity Protocol bizonyos időközönként automatikusan megváltoztatja a titkos kulcsot. 2006.04.20.


30

WPA2 • Megfelel az IEEE 802.11i-nek • RC4 helyett AES. Emiatt nagyobb hardverigény • EAP: Extensible Authentication Protocol ezáltal lehetővé válik az autentikáció. Pl.: Radius, LDAP

2006.04.20.


31

Sport • wardriving, warflying, warcycling, stb. • Feladat: AP-k keresése. • Szükséges hozzá: WiFi csatolóval ellátott PDA vagy notebook, GPS (opcionális) • Program, mely gyűjti az információkat – Pocket warrior – Netstumbler – Kismet 2006.04.20.


32

Eredmények • • • • • •

Budapest: útvonal 20 km Összes AP: 145 db Default beállítással: 22 db Titkosítatlan: 98 db WEP, WPA: 47 db Törhető a titkosítottakból: 86%

2006.04.20.


33

Warflying

2006.04.20.


34

Eredmények • • • • •

Los Angeles környéke 2004. április 4584 access point 1406 titkosított 3178 titkosítatlan

2006.04.20.


35

A IEEE szabvány szerinti vezeték nélküli hálózatok (WiFi) biztonsága

Recommend Documents