WiFi biztonság Dr. Fehér Gábor
[email protected] BME-TMIT
Vezetéknélküli technológiák •
WiFi - Wireless Fidelity – Maximum: 100 m, 100 Mbps – Világrekord: erősítetlen 11Mbps, 125 mérföld!
•
WiMAX – Worldwide Interopability for Microwave Access – Maximum: 50 km, 75 Mbps
•
Bluetooth – Maximum: 100 (10) m, 768 Kbps
• Más technológiák – GPRS, UMTS, 3G, Wireless USB, … 2008 ősz
WiFi biztonság
2
Vezetéknélküli hálózatok • Előnyök a korábbi vezetékes hálózatokkal szemben – Felhasználók • Egy zsinórral kevesebb (Laptop, PDA) • Internet elérés a frekventált helyeken (HOTSPOT)
– Adminisztrátorok • Könnyen telepíthető, könnyen karbantartható – Nem igényel kábelezést
• Olyan helyekre is elvihető, ahova vezetéket nehezen lehet kihúzni
– Üzleti szempont • Hosszútávon olcsóbb üzemeltetni – Átállni azonban nagy beruházást jent
2008 ősz
WiFi biztonság
3
WiFi hálózati szabványok • A jelenlegi átviteli szabványok – IEEE 802.11b – IEEE 802.11g – IEEE 802.11a – IEEE 802.11n
2008 ősz
11Mbps 2.4 GHz 54Mbps 2.4 GHz 54Mbps 5 GHz 300Mbps 2.4, 5 GHz
WiFi biztonság
4
802.11 család • • • • • • • • • • • • • • • • • • • • • • • •
IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999) IEEE 802.11c - Bridge operation procedures; included in the IEEE 802.1D standard (2001) IEEE 802.11d - International (country-to-country) roaming extensions (2001) IEEE 802.11e - Enhancements: QoS, including packet bursting (2005) IEEE 802.11f - Inter-Access Point Protocol (2003) IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004) IEEE 802.11i - Enhanced security (2004) IEEE 802.11j - Extensions for Japan (2004) IEEE 802.11k - Radio resource measurement enhancements IEEE 802.11l - (reserved, typologically unsound) IEEE 802.11m - Maintenance of the standard; odds and ends. IEEE 802.11n - Higher throughput improvements IEEE 802.11o - (reserved, typologically unsound) IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars) IEEE 802.11q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking) IEEE 802.11r - Fast roaming IEEE 802.11s - ESS Mesh Networking IEEE 802.11T - Wireless Performance Prediction (WPP) - test methods and metrics IEEE 802.11u - Interworking with non-802 networks (e.g., cellular) IEEE 802.11v - Wireless network management IEEE 802.11w - Protected Management Frames
2008 ősz
WiFi biztonság
5
Vezetéknélküli hálózat elemei • Vezetéknélküli hálózati kártya – Leginkább könnyen mozgatható eszközökhöz Laptop, PDA és TablePC • De ma már fényképezőgép, videójáték, mobiltelefon …
– Beépített eszközök, PCMCIA, CF kártya, USB eszköz, stb.. – Egyedi MAC cím
• Hozzáférési pont (Access Point – AP) – A vezetéknélküli eszközök rádiókapcsolatban vannak a hozzáférési ponttal
2008 ősz
WiFi biztonság
6
HOTSPOT • Frekventált helyek ahol sok potenciális felhasználó lehet – Reptéri terminálok – Kávézók, szórakozóhelyek • Internet elérés • A felhasználók fizetnek a szolgáltatásért
– Szállodák
2008 ősz
WiFi biztonság
7
Vezetéknélküli hálózatok kihívásai • Legfőbb kihívások – Rádióhullámok interferenciája • Több hozzáférési pont elhelyezése • Egymást zavaró adások • Tereptárgyak hatásai
– Eszközök tápellátása (részben vezetékes..) • Tápfelhasználás optimalizálása
– Mozgás a hozzáférési pontok között • Handover • Szolgáltató-váltás
– Biztonság 2008 ősz
WiFi biztonság
8
Vezetéknélküli hálózatok biztonsága • Vezetékes hálózat esetében az infrastruktúrához való hozzáférés már sok behatolót megállít • Vezetéknélküli hálózat esetén azonban megszűnik ez a korlát – A fizikai közeg nem biztosít adatbiztonságot, a küldött/fogadott adatokat mindenki észleli – A támadó nehézségek nélkül és észrevétlenül hozzáfér a hálózathoz – A hálózat eljut az épületen kívülre is
2008 ősz
WiFi biztonság
9
Vezetéknélküli hálózatok biztonsága 2. • Felmerülő biztonsági kérdések – Hitelesítés • A felhasználó hitelesítése • A szolgáltató hitelesítése • A hitelesítés védelme
– Sikeres hitelesítés után az adatok védelme – Anonimitás (jelenleg nem cél)
2008 ősz
WiFi biztonság
10
A vezetéknélküli hálózatok ellenségei • Wardriving – Behatolás idegen hálózatokba – Autóból WLAN vadászat – Rácsatlakozás a szomszédra – Ingyen Internet az utcán
• Evil Twin (rogue AP) – Hamis AP felállítása – Felhasználók adatainak gyűjtése – Visszaélés más személyiségével
• Szolgálatmegtagadás – Frekvenciatartomány zavarása (jamming) – DoS támadás 2008 ősz
• Lehallgatás WiFi biztonság
11
Wardriving
www.wifiterkep.hu: AP titkosított: 56% (8193db) AP nyílt: 44% (6315db)
2008 ősz
WiFi biztonság
12
Hitelesítés problémái • Kihívás-válasz alapú hitelesítés – Vezetékes környezetben jól működik • A felhasználó bízhat a szolgáltatóban
– Vezetéknélküli környezetben már nem tökéletes • A támadó könnyen megszerezheti a kihívást és a választ is • Gyenge jelszavak (és protokollok) eseték egyszerű a szótáras támadás 2008 ősz
WiFi biztonság
13
Hitelesítés problémái 2. • Man-in-the-middle támadások – Vezetékes környezetben nincsenek támadók a drótban (reméljük..) – Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt • Azonban a támadónak a közelben kell lennie (De lehet az épületen kívül is!)
2008 ősz
WiFi biztonság
14
Szolgáltatásbiztonság problémái • Hamis hozzáférési pontok (rogue AP) – Könnyű telepíteni – egy PDA is lehet AP! – A felhasználó nem feltétlenül ismeri az APt Pl.: HOTSPOT környezet
• Szolgálatmegtagadás DoS – Szolgálatmegtagadás elárasztással egy vezetékes eszközről – Fizikai akadályoztatás (jammer) 2008 ősz
WiFi biztonság
15
Hozzáférés-védelem – Fizikai korlátozás • A támadónak hozzáférés szükséges a hálózathoz – Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni – Gyakorlatban kerítés vagy vastag betonfal
• Nem biztonságos! – A támadó bejuthat a hálózat területére – Nagyobb antennát alkalmazhat
2008 ősz
WiFi biztonság
16
Hozzáférés-védelem – MAC szűrés •
Minden hálózati csatolónak egyedi címe van – –
•
MAC cím (6 bájt) Egyedi a csatoló szempontjából
Hozzáférés szűrése MAC címek alapján –
A hozzáférési pontnak listája van az engedélyezett csatlakozókról •
– –
•
Esetleg tiltólista is lehet a kitiltott csatlakozókról
Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) Nagyon sok helyen ezt használják
Nem biztonságos! –
Az eszközök megszerzése már hozzáférést biztosít •
– –
2008 ősz
Nem a felhasználót azonosítja
A MAC címek lehallgathatóak és egy másik eszköz is felvehet engedélyezett MAC címet Több hozzáférési pont menedzsmentje nehéz
Linux: ifconfig eth0 down hw ether 01:02:03:04:05:06 ifconfig eth0 up Windows: A csatoló driver legtöbbször támogatja, ha nem akkor registry módosítás
WiFi biztonság
17
Hozzáférés-védelem - Hálózat elrejtése • A hozzáférési pontot a „neve” azonosítja – Service Set ID – SSID – Az SSIDt, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon)
• A hozzáférési pont elrejtése – A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem látszik – Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni
• Nem biztonságos! – A csatlakozó kliensek nyíltan küldik az SSIDt – A támadó a csatlakozás lehallgatással felderítheti az SSIDt – Népszerűbb eszközök gyári SSID beállításai • “tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys 2008 ősz
WiFi biztonság
18
Hozzáférés-védelem – Felhasználó hitelesítés • A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát • A hitelesítés nehézségei – Nyílt hálózat, bárki hallgatózhat • A kihívás-válasz alapú hitelesítés esetén támadó könnyen megszerezheti a kihívást és a választ is • Gyenge jelszavak eseték egyszerű a szótáras támadás
– Man-in-the-middle támadások • Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt • A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz
– Legjobb a felhasználót hitelesíteni nem az eszközét • Felhasználói jelszavak (mindenkinek külön) 2008 ősz
WiFi biztonság
19
Hitelesítés – Hálózati jelszavak • A felhasználók használhatják a hálózatot ha ismerik a hálózat titkos jelszavát – Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó
• WEP és WPA-PSK hitelesítés – Részletesebben a titkosításnál
• Nem biztonságos! – A támadó megszerezheti a hitelesítési üzeneteket és szótáras támadást tud végrehajtani • Egyszerű a hálózati jelszó esetén a támadó könnyen célt ér
– A hálózati jelszó sok gépen van telepítve vagy sok felhasználó ismeri ezért cseréje nehezen megoldható – A WEP esetén a hitelesítés meghamisítható 2008 ősz
WiFi biztonság
20
Hitelesítés – Captive portal •
Hitelesítés web felületen keresztül – – –
•
A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja – – –
•
Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó A felhasználó hitelesítés után folytathatja a böngészést A weblapon akár elő is fizethet a felhasználó a szolgáltatásra
A legtöbb HOTSPOT ezt használja – –
•
Egyszerű a felhasználónak A kliensen egy web browser kell hozzá A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható
Nem igényel szakértelmet a használata Nem kell telepíteni vagy átállítani a felhasználó gépét
Nem biztonságos! – – –
2008 ősz
Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát A felhasználó megtéveszthető hamis szolgáltatóval A támadó folytathatja a felhasználó nevében a hozzáférést WiFi biztonság
21
Adatkapcsolat biztonsága • A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is – Az adatokat titkosítani kell a hálózaton – Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát – A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet
• WEP – Wired Equivalent Privacy • WPA – WiFi Protected Access • 802.11i – 802.11 Enhanced security – WPA2 –nek is nevezik 2008 ősz
WiFi biztonság
22
Adatkapcsolat biztonsága: WEP • Cél a vezetékes hálózatokkal azonos biztonság • Hitelesítés és titkosítás – Elsősorban titkosítás • RC4 folyamkódoló – Kulcsfolyam és adat XOR kapcsolata
• 40 vagy 104 bites kulcsok – 4 kulcs is használható (KA)
• 24 bites Inicializáló vektor (IV)
– Hitelesítés megvalósítása • Kihívás alapú, a válasz a titkosított kihívás • Csak opcionális WEP csomag
– Integritásvédelem • CRC ellenőrző összeg (ICV) 2008 ősz
Titkosított
WiFi biztonság
Fejléc
IV KA
Üzenet
ICV 23
WEP – Titkosítás • A titkosításhoz hálózat színtű statikus, közös titok – Azonos kulcsok, a felhasználók látják egymás forgalmát
• Folyamkódolás: ha két csomag azonos kulccsal van kódolva, akkor az egyik ismeretében a másik megfejthető a kulcs ismerete nélkül – A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV) amely minden csomagra egyedivé teszi a csomagkulcsot – Az inicializáló vektor 24 bites, így 224 csomag után biztos ismétlődés • Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul • „Születésnapi paradoxon” miatt már 212 csomag után ütközés! • AZ IV számozásra nincs szabály (gyakorlatilag eggyel nő)
– Sok esetben a kulcs feltörése sem okoz gondot • Legtöbbször jelszóból generálják -> szótáras támadás • A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a kulcs 2008 ősz
WiFi biztonság
24
WEP – integritásvédelem és hitelesítés • A CRC kód jó hibadetektáló és hibajavító kód – Védelem a zaj ellen, de a szándékos felülírás ellen nem véd – A CRC érték titkosítva található a csomag végén – A csomag módosítása esetén a CRC érték újraszámolható, a jelszó ismerete nélkül • A csomag IP fejlécében a biteket felülírva a csomagokat el lehet terelni
• Kihívás-válasz alapú hitelesítés – A támadó lehallgathatja a nyílt kihívást és a titkosított választ – Egy új nyílt kihívásra ő maga is előállíthatja a választ a már ismert kulcsfolyam segítségével • A megfelelő biteket átállítja (XOR) • A CRC értéket újra számolja 2008 ősz
WiFi biztonság
25
WEP biztonság • A WEP biztonság nem létezik – Csupán hamis biztonságérzet a felhasználókban
• A kulcsméretet megemelték 104 bitre – Nem csak ez volt a hiba • 104 bites hálózati kulcs feltörése már akár 500.000 megfigyelt titkosított csomag esetén is • A megfigyelés ideje rövidíthető hamis csomagok beszúrásával
– A többi gyengeség továbbra is megmaradt! 2008 ősz
WiFi biztonság
26
WEP törések • 2002 – „Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A. Stubblefield, J. Ioannidis, A. Rubin” • Korrelációk a kulcs és a kulcsfolyam között • 4.000.000 – 6.000.000 csomag
• 2004 – KoReK, fejlesztett FMS támadás • Még több korreláció a kulcs és a kulcsfolyam között • 500.000 – 2.000.000 csomag (104 bites WEP)
• 2006 – KoReK, Chopchop támadás • Az AP segítségével a titkosított CRC miatt bájtonként megfejthető a titkosított üzenet
• 2007 – PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még több korreláció • 60.000 – 90.000 csomag (104 bites WEP) 2008 ősz
WiFi biztonság
27
Chop-chop • A csomag tartalmának megfejtése bájtonként – A legutolsó bájtot megjósoljuk, majd elvesszük és igazítjuk a titkosított CRC-t – Ha jót jósoltunk, akkor helyes a CRC • Küldjük vissza a csomagot az AP-nek • Néhány AP hibajelzést ad, ha a felhasználó még nincsen hitelesítve, de a csomag korrekt – Tudjuk, ha jól jósolunk
• Az tetszőleges hosszú üzenet megfejtése átlagosan hossz x 128 üzenetben történik – Mindig megfejthető – A kulcsot nem fogjuk megismerni 2008 ősz
WiFi biztonság
28
Adatszerzés WEP töréshez • Hamisított csomagok – De-authentication – ARP response kicsikarása • Módosított ARP request / Gratuitous ARP üzenet • WEP esetén könnyen módosítható a titkosított is
• „Caffé latte” támadás – Nem szükséges a WEP hálózatban lenni • A Windows tárolja a WEP kucsokat, hamis AP megtévesztheti • Hamis ARP üzenetekkel 90.000 csomag gyűjtése • 6 perces támadás 2008 ősz
WiFi biztonság
29
WEP patch • • • •
Nagy kulcsok Gyenge IVk elkerülése ARP filter WEP Chaffing – Megtévesztő WEP csomagok injektálása. Hatására a WEP törésnél hibás adatok alapján számolódik a kulcs – A törő algoritmusok javíthatóak..
2008 ősz
WiFi biztonság
30
RADIUS hitelesítés • Remote Authentication Dial In User Service – Eredetileg a betárcsázós felhasználóknak (Merit Networks és Livingston Enterprises) – Ma már széleskörű használat • Azonosítás nem csak dial-in felhasználáskor • Távközlésben számlázáshoz
• AAA szolgáltatás nyújtása 2008 ősz
WiFi biztonság
31
RADIUS tulajdonságok • Legfőbb tulajdonságok – UDP alapú (kapcsolatmentes) – Állapotmentes – Hop by hop biztonság
• Hiányosságok – End to end biztonság támogatása – Skálázhatósági problémák 2008 ősz
WiFi biztonság
32
RADIUS felépítése • Kliens-szerver architektúra
Felhasználó
Kliens
Szerver
NAS
RADIUS
• A szerepek nem változnak – A felhasználó a kliens – A hitelesítő a szerver – De van RADIUS – RADIUS kapcsolat is 2008 ősz
WiFi biztonság
33
Diameter • Kétszer nagyobb mint a RADIUS • A jövő AAA szolgáltatása (IETF) – Még mindig nincs kész… – TCP vagy SCTP (Stream Control Transmission Protocol) protokoll – kérdés/válasz típusú + nem kért üzenetek a szervertől – Hop-by-hop titkosítás (közös titok) – End-to-end titkosítás 2008 ősz
WiFi biztonság
34
RADIUS - Diameter • Diameter jobb: (Nem csoda, ezért csinálták) – – – –
Jobb skálázhatóság Jobb üzenetkezelés (hibaüzenetek) Együttműködés, kompatibilitás, bővíthetőség Nagyobb biztonság • IPSec (+ TLS) • End-to-end titkosítás
• RADIUS még foltozható, de lassan már kár ragaszkodni hozzá • Diameter hátránya: – nagy komplexitás – Még mindig egyeztetnek róla… 2008 ősz
WiFi biztonság
35
Hitelesítés – 802.1X és EAP • 802.1X: Port Based Network Access Control – IEEE specifikáció a LAN biztonság javítására (2001) – Külső hitelesítő szerver: RADIUS (de facto) • Remote Authentication Dial-In User Service
– Tetszőleges hitelesítő protokoll: EAP és EAPoL • Extensible Authentication Protocol over LAN • Különböző EAP metódusok különböző hitelesítésekhez: EAP-MD5 Challenge, EAP-TLS, EAP-SIM, … • Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS
• A 802.1X nagyon jól illik a WLAN környezetbe: – Felhasználó alapú hitelesítés megvalósítható – A hitelesítést nem a hozzáférési pont végzi • Egyszerű és olcsó hozzáférési pont, egyszerű üzemeltetés • Hitelesítés típusa egyszerűen módosítható • Központosított hitelesítés
– A hitelesítés védelme megoldható 2008 ősz
WiFi biztonság
36
802.1X – Hozzáférés szűrés • Kezdetben csak EAPoL forgalom Csak akkor mehet adatforgalom, ha hitelesítve lett 802.1X segítségével
Hitelesített EAPoL
Szűrt
EAPoL
A hitelesítés nélkül csak EAPoL forgalom. Továbbításáról a hozzáférési pont gondoskodik 2008 ősz
WiFi biztonság
37
802.1X protokollok Felhasználó Supplicant (STA)
Hozzáférési pont Authenticator (AP)
EAP-TLS
Hitelesítő szerver Authentication server (AS)
EAP-TLS EAP
2008 ősz
EAPol
RADIUS
802.11
IP/UDP WiFi biztonság
38
Kulcsok • Master Key (MK) – A viszony alatt fennálló szimmetrikus kulcs a felhasználó (STA) és a hitelesítő szerver között (AS) – Csak ők birtokolhatják (STA és AS) – Minden más kulcs ebből származik
• Pairwise Master Key (PMK) – Frissített szimmetrikus kulcs a felhasználó (STA) és a hozzáférési pont (AP) között – A felhasználó (STA) generálja a kulcsot MK alapján – A hozzáférési pont (AP) a hitelesítő szervertől (AS) kapja 2008 ősz
WiFi biztonság
39
Kulcsok (folyt.) • Pairwise Transient Key (PTK) – A felhasznált kulcsok gyűjteménye – Key Confirmation Key (PTK bitek 1-128) • A PMK ismeretének bizonyítása
– Key Encryption Key (PTK bitek 129-256) • Más kulcsok terjesztése
– Temporal Key (TK) (PTK bitek 257-..) • Az adatforgalom biztosítása
2008 ősz
WiFi biztonság
40
Kulcs hierarchia Master Key (MK) TLS-PRF Pairwise Master Key (PMK) EAPoL-PRF Pairwise Transient Key (PTK) 256-
0-127 128-255 Key Confirmation Key (KCK)
Temporal Key (TK)
Key Encryption Key (KEK) 2008 ősz
WiFi biztonság
41
802.1X – Működési fázisok
1
Képesség felderítés
2
802.1X hitelesítés (Pairwise Master Key generálása) 3
4
802.1X kulcsmenedzsment (Pairwise Transient Key generálása)
Kulcskiosztás (PMK)
Adatvédelem (Tempolral Key) 2008 ősz
WiFi biztonság
42
802.1x hitelesítés
802.1x/EAP-Req. Identity 802.1x/EAP-Resp. Identity AAA Access Request/Identity
Kölcsönös azonosítás a választott EAP típus alapján PMK származtatása
PMK származtatása AAA Accept + PMK
802.1x/EAP-Success 2008 ősz
WiFi biztonság
43
802.1x hitelesítés gondok • Az EAP nem biztosít védelmet – Hamisított AAA-Accept üzenetek
• RADIUS – Statikus kulcs a hozzáférési pont (AP) és a hitelesítő szerver (AS) között – A hozzáférési pont minden üzenettel együtt egy kihívást is küld • Hamisított üzenetekre a RADIUS szerver gond nélkül válaszol
– Megoldást a DIAMETER hitelesítő jelenthet • Sajnos úgy látszik ez sem fogja tökéletesen megoldani a problémát 2008 ősz
WiFi biztonság
44
802.1x hitelesítés lépései • A hitelesítést a hitelesítő szerver (AS) kezdeményezi és ő választja meg a módszert – A hitelesítő legtöbbször RADIUS szerver • Tapasztalatok, fejlesztések
– A hitelesítő módszer legtöbbször EAP-TLS • Több kell, mint kihívás alapú hitelesítés • Privát/publikus kulcsok használata
• Sikeres hitelesítés esetén a hozzáférési pont (AP) megkapja a Pairwise Master Key (PMK) –t is • Otthoni és ad-hoc környezetben nem szükséges hitelesítő központ – Pre-shared Key (PSK) használta PMK helyett – Az otthoni felhasználó ritkán kezel kulcsokat.. 2008 ősz
WiFi biztonság
45
802.1X kulcsmenedzsment • A Pairwise Master Key (PMK) segítségével a felhasználó (STA) és a hozzáférési pont (AP) képes előállítani a Pairwise Transient Key (PTK) –t – A PMK kulcsot (ha a hitelesítő szerverben (AS) lehet bízni, akkor csak ők ismerik – A PTK kulcsot mindketten (STA és AP) származtatják (nem utazik a hálózaton!) és ellenőrzik, hogy a másik fél valóban ismeri • 4 utas kézfogás
– A többi kulcsot vagy egyenesen a PTK –ból származtatják (megfelelő bitek) vagy a KEK segítségével szállítják a hálózaton (pl. Group TK) 2008 ősz
WiFi biztonság
46
4 utas kézfogás
Véletlen ANonce EAPoL-Key(ANonce) Véletlen SNonce PTK előállítása: (PMK, ANonce, SNonce, AP MAC, STA AMC) EAPoL-Key(SNonce, MIC) PTK előállítása EAPoL-Key(ANonce, MIC) EAPoL-Key(MIC) 2008 ősz
WiFi biztonság
47
4 utas kézfogás lépései • MIC: Az üzenetek integritásának védelme • Man-in-the-middle támadások kizárása – A 2. üzenet mutatja, hogy • A felhasználó (STA) ismeri PMK –t • A megfelelő ANonce –t kapta meg
– A 3. üzenet mutatja, hogy • A hozzáférési pont (AP) ismeri PMK –t • A megfelelő SNonce –t kapta meg
• A 4. üzenet csak azért van, hogy teljes legyen a kérdés/válasz működés 2008 ősz
WiFi biztonság
48
EAP – Extensible Authentication Protocol • Több különböző hitelesítési módszer egyetlen protokollal – A különböző módszerek (method) esetében más és más az üzenet tartalma – Ugyanakkor a hozzáférési pontnak elegendő az EAP protokollt ismerni • EAP-Success: sikeres hitelesítés • EAP-Faliure: sikertelen hitelesítés
• EAP példák – Jelszavas • EAP-MSCHAPv2 • EAP-MD5
– Tanúsítvány alapú • EAP-TLS
– Egyszer jelszó • EAP-OTP
– SIM kártya • EAP-SIM
2008 ősz
Peer
Hitelesíto átjáró
EAP metódus
EAP szerver EAP metódus
EAP
EAP
EAP
EAP
Alsó réteg (pl. PPP)
Alsó réteg (pl. PPP)
Alsó réteg (pl. IP)
Alsó réteg (pl. IP)
WiFi biztonság
49
EAP-MSCHAPv2, EAP-TLS • EAP-MSCHAPv2 (Microsoft Challenege Handshake Authentication Protocol v2) – Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval kombinált kihívást küldi vissza – A kliens is küld kihívást és ellenőrzi, hogy a hitelesítő valóban ismeri az ő jelszavát -> kölcsönös hitelesítés – Microsoft környezetben használt
• EAP-TLS (Transport Layer Security) – Mind a kliens, mind a hitelesítő tanúsítvánnyal rendelkezik – A felek kölcsönösen ellenőrzik a tanúsítványokat – Nagyon biztonságos, de költséges, mert tanúsítványokat kell karbantartani 2008 ősz
WiFi biztonság
50
EAP hitelesítések védelme – EAP-TTLS és PEAP •
Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de nyíltan utaznak – Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a jelszó is megszerezhető
•
Az EAP kommunikációt védeni kell! – EAP-TTLS - Tunneled Transport Layer Security • IETF draft: Funk, Meetinghouse
– PEAP - Protected EAP • IETF draft: Microsoft (+ Cisco és RSA)
– Önmagában nem hitelesítés csak az EAP csatorna titkosítása – Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, …
•
Hitelesítés lépései – 1. lépés: Titkos csatorna felépítése (TLS) • Csak a szerver azonosítja magát tanúsítvány segítségével
– 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában • A felhasználó hitelesíti magát 2008 ősz
WiFi biztonság
51
EAP-TTLS üzenetek Csak domain név! A felhasználó nevét nem szabad küldeni! 1. Lépés – Titkosított csatorna építése EAP-Response: Identity EAP-Request: EAP-TTLS/Start TLS felépítése 2. Lépés – Hitelesítés Hitelesítő üzenetek EAP-Success 2008 ősz
WiFi biztonság
52
Protokoll rétegek • EAP-TTLS / PEAP rétegződés EAP módszer (MD5, OTP, …) EAP (EAP-TTLS esetén más is) TLS EAP-TTLS EAP Vivő protokoll (PPP, EAPoL, RADIUS, …)
2008 ősz
WiFi biztonság
53
EAP módszerek összehasonlítása •
Erőforrásigény – Tanúsítványok erősebbek a jelszavaknál, de nagyobb az erőforrásigényük, működtetésükhöz több adminisztráció kell (PKI – Public Key Infrastructure)
•
Kölcsönösség – Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesítő is
EAP-MD5
EAPMSCHAPv2
EAP-TLS
EAP-TTLS
PEAP
Hitelesítés
MD5
LMHASH és NTHASH
Tanúsítványok
Bármi
EAP módszerek
Szükséges tanúsítványok
-
-
Kliens és szerver
Szerver
Szerver
Hitelesítés iránya
Kliens hitelesítése
Kölcsönös
Kölcsönös
Kölcsönös
Kölcsönös
Felhasználó identitásának védelme
Nincs
Nincs
Nincs
TLS
TLS
2008 ősz
WiFi biztonság
54
IEEE 802.11i • A 802.11i célja, hogy végre biztonságos legyen a WiFi hálózat – A szabvány 2004 –es – Addig is kellett egy használható módszer • WPA – WiFi Protected Access – A 802.11i –vel párhuzamosan fejlesztették
– A 802.11i –t így WPA2 –nek is nevezik
2008 ősz
WiFi biztonság
55
WPA - Wi-Fi Protected Access • Wi-Fi Allience a WEP problémáinak kijavítására (2003) – – – – –
Erős biztonság Hitelesítés és adatbiztonság Minden környezetben (SOHO és Enterprise) A meglévő eszközökön csak SW frissítés Kompatibilis a közelgő 802.11i szabvánnyal
• A fokozott biztonság mellett cél a gyors elterjedés is! – A WEP mihamarabbi leváltása 2008 ősz
WiFi biztonság
56
WPA - TKIP • A WEP összes ismert hibájának orvoslása, megőrizve minél több WEP implementációt • Titkosítás: Temporal Key Integrity Protocol (TKIP) – – – –
Per-packet key mixing (nem csak hozzáfűzés) Message Integrity Check (MIC) - Michael Bővített inicializáló vektor (48 bit IV) sorszámozási szabályokkal Idővel lecserélt kulcsok (Nem jó, de muszáj)
• Hitelesítés: 802.1X és EAP – A hitelesítés biztosítása • Kölcsönös hitelesítés is (EAP-TLS)
– A hitelesítés változhat a környezettől függően (SOHO <> Enterprise <> HOTSPOT) 2008 ősz
WiFi biztonság
57
TKIP • Per Packet Keying
IV
• Az IV változásával minden üzenetnek más kulcsa lesz • Minden terminálnak más kulcsa lesz, akkor is, ha az alap kulcs véletlenül egyezne • A packet kulcsot használjuk az eredeti WEP kulcs helyett 2008 ősz
Alap kulcs
MAC cím
Kulcskeverés
IV
WiFi biztonság
„Packet key”
WEP
58
TKIP – kulcs keverés • 128 bites ideiglenes kulcs (A hitelesítésből származik) • Csomagkulcs előállítása 2 lépésben – Feistel alapú kódoló használata (Doug Whiting és Ron Rivest) – 1. lépés • A forrás MAC címének, az ideiglenes kulcsnak és az IV felső 32 bitjének keverése • Az eredmény ideiglenesen tárolható, 216 kulcsot lehet még előállítani. Ez javítja a teljesítményt
– 2. lépés • Az IV és a kulcs függetlenítése 48 bites IV 16 bit Alsó IV
32 bit Felső IV
MAC cím Kulcs
24 bit
Kulcskeverés 1. fázis
IV
d
RC4 rejtjelező kulcsa 104 bit IV
Csomagkulcs
Kulcskeverés 2. fázis A d egy töltelék bájt, a gyenge kulcsok elkerülésére.
2008 ősz
WiFi biztonság
59
IV sorszámozás • IV szabályok – Mindig 0-ról indul kulcskiosztás után • Ellentétben a WEP-pel, itt ez nem gond, mert úgy is más kulcsunk lesz minden egyeztetésnél
– Minden csomagnál eggyel nő az IV • Ha nem, akkor eldobjuk az üzenetet
• A 48 bites IV már nem merül ki – Ha mégis, akkor leáll a forgalom, új kulcs kell 2008 ősz
WiFi biztonság
60
MIC • Message Integrity Code • Michael algoritmus (Neils Ferguson) – 64 bites kulcs 64 bites hitelesítés – Erőssége: kb. 30 bit, azaz a támadó 231 üzenet megfigyelésével képes egy hamisat létrehozni • Nem túl erős védelem • De egy erősebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon rontaná a teljesítményt • + védelem: ha aktív támadást észlel (percen belül ismétlődő rossz MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra változatni • Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a kulcs
– Már nem csak az adatot védjük, hanem a forrás és cél MAC címeket is! – Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám) 2008 ősz
WiFi biztonság
61
TKIP működése Forrás MAC
Kulcs1 128 bit
Sorszám Kulcskeverés 48 bit
Csomagkulcs MPDU(k)
Kulcs2 64 bit Adat MSDU
2008 ősz
WEP
Darabolás Michael
Titkosított adat
MIC MSDU
WiFi biztonság
62
WEP és WPA Titkosítás
Hitelesítés
WEP
WPA
Egyszerű eszközökkel, könnyen feltörhető 40 bites kulcsok (szabvány szerint) Statikus – mindenki ugyanazt a kulcsot használja a hálózatban
A WEP minden hibája kijavítja
Kulcsok manuális disztribúciója, azok kézi bevitele Gyakorlatilag nincs, csak a kulcson keresztül.
128 bites kulcsok Dinamikus kulcsok felhasználónként, csomagonként Kulcsok automatikus disztrbúciója 802.1x és EAP
• A WPA-t úgy tervezték, hogy minimális erőforrás ráfordítással kijavítsa a WEP hibát • Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell 2008 ősz
WiFi biztonság
63
WPA crack (2008) • ARP, ismeretlen 12 + 2 byte – 8: MIC – 4: ICV – 2: hálózati IP címek utolsó része
• Chop-chop törhető, ha – Léteznek más QoS osztályok (WME) • Visszajátszás elleni védelem miatt 2008 ősz
WiFi biztonság
64
802.11i (WPA2) • IEEE - 2004 –ben jelent meg – WPA + • Biztonságos gyors hálózatváltások • A hitelesítés biztonságos feloldása • Új titkosító protokollok: AES-CCMP, WRAP
– Már szükséges a HW módosítása is, az új titkosító miatt • Lassabb elterjedés, bár esetenként a driver is megcsinálhatja 2008 ősz
WiFi biztonság
65
CBC-MAC • Cipher Block Chaining Message Authentication Code • Módszer – 1. Az első blokk titkosítása – 2. Az eredmény és a következő blokk XOR kapcsolat, aztán titkosítás – 3. A második lépés ismétlése – Szükséges a kitöltés! 2008 ősz
WiFi biztonság
66
CCMP • Counter Mode CBC-MAC Protocol – Az AES titkosító használata • Előre számolható (számláló módban) • Párhuzamosítható • Nagy biztonság
– Titkosítás és integritás védelemhez ugyanaz a kulcs • Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond
Sorszám Kulcs
IV és CTR
MPDU
2008 ősz
CTR
IV AES Integritás védelem
CBC-MAC
WiFi biztonság
AES
Titkosítás
Titkosított adat
67
CCMP előnyök • Egyetlen kulcs elegendő – Titkosítás és integritás védelemhez ugyanaz a kulcs – Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond
• AES előnyök – Előre számolható (kulcs ismeretében) – Párhuzamosítható – Nagy biztonság
• Mentes a szabadalmaktól – A WRAP nem volt az, így megbukott 2008 ősz
WiFi biztonság
68
WLAN rádiós réteg védelme WEP
WPA TKIP
WPA2 CCMP
RC4, 40 vagy 104 bites kulcs
RC4, 128 és 64 bites kulcs
AES, 128 bites kulcs
Inicializáló vektor
24 bites IV
48 bites IV
48 bites IV
Csomagkulcs
Összefűzés
TKIP kulcskeverés
nem szükséges
Fejléc integritása
nincs védve
Forrás és cél MAC Michael
CCM
Adatok integritása
CRC-32
Michael
CCM
Visszajátszás védelem
nincs védelem
IV szabályok
IV szabályok
Kulcsmenedzsment
nincs
IEEE 802.1X
IEEE 802.1X
Titkosító
2008 ősz
WiFi biztonság
69
Irodalom • Phishing – http://www.technicalinfo.net/papers/Phishing.html
• SPAM – http://spamlinks.net/
2008 ősz
WiFi biztonság
70
