Upload
kiss-gabor
View
182
Download
2
Embed Size (px)
Citation preview
2008 ősz WiFi biztonság 2
Vezetéknélküli technológiák
• WiFi - Wireless Fidelity– Maximum: 100 m, 100 Mbps– Világrekord: erősítetlen 11Mbps, 125 mérföld!
• WiMAX – Worldwide Interopabilityfor Microwave Access– Maximum: 50 km, 75 Mbps
• Bluetooth– Maximum: 100 (10) m, 768 Kbps
• Más technológiák– GPRS, UMTS, 3G, Wireless USB, …
2008 ősz WiFi biztonság 3
Vezetéknélküli hálózatok
• Előnyök a korábbi vezetékes hálózatokkal szemben– Felhasználók
• Egy zsinórral kevesebb (Laptop, PDA)• Internet elérés a frekventált helyeken (HOTSPOT)
– Adminisztrátorok• Könnyen telepíthető, könnyen karbantartható
– Nem igényel kábelezést
• Olyan helyekre is elvihető, ahova vezetéket nehezen lehet kihúzni
– Üzleti szempont• Hosszútávon olcsóbb üzemeltetni
– Átállni azonban nagy beruházást jent
2008 ősz WiFi biztonság 4
WiFi hálózati szabványok
• A jelenlegi átviteli szabványok
– IEEE 802.11b 11Mbps 2.4 GHz– IEEE 802.11g 54Mbps 2.4 GHz
– IEEE 802.11a 54Mbps 5 GHz– IEEE 802.11n 300Mbps 2.4, 5 GHz
2008 ősz WiFi biztonság 5
802.11 család• IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999)• IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001)• IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999)• IEEE 802.11c - Bridge operation procedures; included in the IEEE 802.1D standard (2001)• IEEE 802.11d - International (country-to-country) roaming extensions (2001)• IEEE 802.11e - Enhancements: QoS, including packet bursting (2005)• IEEE 802.11f - Inter-Access Point Protocol (2003)• IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003)• IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004)• IEEE 802.11i - Enhanced security (2004)• IEEE 802.11j - Extensions for Japan (2004)• IEEE 802.11k - Radio resource measurement enhancements• IEEE 802.11l - (reserved, typologically unsound)• IEEE 802.11m - Maintenance of the standard; odds and ends.• IEEE 802.11n - Higher throughput improvements• IEEE 802.11o - (reserved, typologically unsound)• IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars)• IEEE 802.11q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking)• IEEE 802.11r - Fast roaming• IEEE 802.11s - ESS Mesh Networking• IEEE 802.11T - Wireless Performance Prediction (WPP) - test methods and metrics• IEEE 802.11u - Interworking with non-802 networks (e.g., cellular)• IEEE 802.11v - Wireless network management• IEEE 802.11w - Protected Management Frames
2008 ősz WiFi biztonság 6
Vezetéknélküli hálózat elemei
• Vezetéknélküli hálózati kártya– Leginkább könnyen mozgatható eszközökhöz
Laptop, PDA és TablePC• De ma már fényképezőgép, videójáték,
mobiltelefon …– Beépített eszközök, PCMCIA, CF kártya, USB
eszköz, stb..– Egyedi MAC cím
• Hozzáférési pont (Access Point – AP)– A vezetéknélküli eszközök rádiókapcsolatban
vannak a hozzáférési ponttal
2008 ősz WiFi biztonság 7
HOTSPOT
• Frekventált helyek ahol sok potenciális felhasználó lehet– Reptéri terminálok
– Kávézók, szórakozóhelyek• Internet elérés• A felhasználók fizetnek a szolgáltatásért
– Szállodák
2008 ősz WiFi biztonság 8
Vezetéknélküli hálózatok kihívásai
• Legfőbb kihívások– Rádióhullámok interferenciája
• Több hozzáférési pont elhelyezése• Egymást zavaró adások• Tereptárgyak hatásai
– Eszközök tápellátása (részben vezetékes..)• Tápfelhasználás optimalizálása
– Mozgás a hozzáférési pontok között• Handover• Szolgáltató-váltás
– Biztonság
2008 ősz WiFi biztonság 9
Vezetéknélküli hálózatok biztonsága
• Vezetékes hálózat esetében az infrastruktúrához való hozzáférés már sok behatolót megállít
• Vezetéknélküli hálózat esetén azonban megszűnik ez a korlát– A fizikai közeg nem biztosít adatbiztonságot, a
küldött/fogadott adatokat mindenki észleli– A támadó nehézségek nélkül és észrevétlenül
hozzáfér a hálózathoz– A hálózat eljut az épületen kívülre is
2008 ősz WiFi biztonság 10
Vezetéknélküli hálózatok biztonsága 2.
• Felmerülő biztonsági kérdések– Hitelesítés
• A felhasználó hitelesítése• A szolgáltató hitelesítése• A hitelesítés védelme
– Sikeres hitelesítés után az adatok védelme
– Anonimitás (jelenleg nem cél)
2008 ősz WiFi biztonság 11
A vezetéknélküli hálózatok ellenségei
• Wardriving – Behatolás idegen hálózatokba– Autóból WLAN vadászat– Rácsatlakozás a szomszédra– Ingyen Internet az utcán
• Szolgálatmegtagadás– Frekvenciatartomány
zavarása (jamming)– DoS támadás
• Evil Twin (rogue AP) – Hamis AP felállítása– Felhasználók adatainak
gyűjtése– Visszaélés más
személyiségével
• Lehallgatás
Wardriving
2008 ősz WiFi biztonság 12
www.wifiterkep.hu:AP titkosított: 56% (8193db)AP nyílt: 44% (6315db)
2008 ősz WiFi biztonság 13
Hitelesítés problémái
• Kihívás-válasz alapú hitelesítés– Vezetékes környezetben jól működik
• A felhasználó bízhat a szolgáltatóban
– Vezetéknélküli környezetben már nem tökéletes
• A támadó könnyen megszerezheti a kihívást és a választ is
• Gyenge jelszavak (és protokollok) eseték egyszerűa szótáras támadás
2008 ősz WiFi biztonság 14
Hitelesítés problémái 2.
• Man-in-the-middle támadások– Vezetékes környezetben nincsenek támadók
a drótban (reméljük..)– Vezetéknélküli környezetben a támadó
könnyen megszemélyesíthet egy másik eszközt
• Azonban a támadónak a közelben kell lennie(De lehet az épületen kívül is!)
2008 ősz WiFi biztonság 15
Szolgáltatásbiztonság problémái
• Hamis hozzáférési pontok (rogue AP)– Könnyű telepíteni – egy PDA is lehet AP!
– A felhasználó nem feltétlenül ismeri az APtPl.: HOTSPOT környezet
• Szolgálatmegtagadás DoS– Szolgálatmegtagadás elárasztással egy
vezetékes eszközről
– Fizikai akadályoztatás (jammer)
2008 ősz WiFi biztonság 16
Hozzáférés-védelem – Fizikai korlátozás
• A támadónak hozzáférés szükséges a hálózathoz– Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki
lehet zárni– Gyakorlatban kerítés vagy vastag betonfal
• Nem biztonságos!– A támadó bejuthat a hálózat területére– Nagyobb antennát alkalmazhat
2008 ősz WiFi biztonság 17
Hozzáférés-védelem – MAC szűrés
• Minden hálózati csatolónak egyedi címe van– MAC cím (6 bájt)– Egyedi a csatoló szempontjából
• Hozzáférés szűrése MAC címek alapján– A hozzáférési pontnak listája van az engedélyezett csatlakozókról
• Esetleg tiltólista is lehet a kitiltott csatlakozókról– Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja)– Nagyon sok helyen ezt használják
• Nem biztonságos!– Az eszközök megszerzése már hozzáférést
biztosít• Nem a felhasználót azonosítja
– A MAC címek lehallgathatóak és egymásik eszköz is felvehet engedélyezettMAC címet
– Több hozzáférési pont menedzsmentjenehéz
Linux:ifconfig eth0 down hw ether 01:02:03:04:05:06ifconfig eth0 upWindows:A csatoló driver legtöbbször támogatja, ha nem akkor registry módosítás
2008 ősz WiFi biztonság 18
Hozzáférés-védelem - Hálózat elrejtése
• A hozzáférési pontot a „neve” azonosítja– Service Set ID – SSID– Az SSIDt, valamint a hozzáférési pont képességeit időközönként
broadcast hirdetik (beacon)
• A hozzáférési pont elrejtése– A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem
látszik– Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni
• Nem biztonságos!– A csatlakozó kliensek nyíltan küldik az SSIDt– A támadó a csatlakozás lehallgatással felderítheti az SSIDt
– Népszerűbb eszközök gyári SSID beállításai• “tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys
2008 ősz WiFi biztonság 19
Hozzáférés-védelem –Felhasználó hitelesítés
• A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát
• A hitelesítés nehézségei– Nyílt hálózat, bárki hallgatózhat
• A kihívás-válasz alapú hitelesítés esetén támadó könnyen megszerezheti a kihívást és a választ is
• Gyenge jelszavak eseték egyszerű a szótáras támadás– Man-in-the-middle támadások
• Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt
• A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz
– Legjobb a felhasználót hitelesíteni nem az eszközét• Felhasználói jelszavak (mindenkinek külön)
2008 ősz WiFi biztonság 20
Hitelesítés – Hálózati jelszavak
• A felhasználók használhatják a hálózatot ha ismerik a hálózat titkos jelszavát– Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó
• WEP és WPA-PSK hitelesítés– Részletesebben a titkosításnál
• Nem biztonságos!– A támadó megszerezheti a hitelesítési üzeneteket és szótáras
támadást tud végrehajtani• Egyszerű a hálózati jelszó esetén a támadó könnyen célt ér
– A hálózati jelszó sok gépen van telepítve vagy sok felhasználóismeri ezért cseréje nehezen megoldható
– A WEP esetén a hitelesítés meghamisítható
2008 ősz WiFi biztonság 21
Hitelesítés – Captive portal• Hitelesítés web felületen keresztül
– Egyszerű a felhasználónak– A kliensen egy web browser kell hozzá– A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható
• A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja
– Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó– A felhasználó hitelesítés után folytathatja a böngészést– A weblapon akár elő is fizethet a felhasználó a szolgáltatásra
• A legtöbb HOTSPOT ezt használja– Nem igényel szakértelmet a használata– Nem kell telepíteni vagy átállítani a felhasználó gépét
• Nem biztonságos!– Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli
adatforgalmát– A felhasználó megtéveszthető hamis szolgáltatóval– A támadó folytathatja a felhasználó nevében a hozzáférést
2008 ősz WiFi biztonság 22
Adatkapcsolat biztonsága
• A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is– Az adatokat titkosítani kell a hálózaton– Csak az ismerhesse az adatokat, aki ismeri a
titkosítás kulcsát– A hitelesítéssel összehangolva mindenkinek egyedi
kulcsa lehet
• WEP – Wired Equivalent Privacy• WPA – WiFi Protected Access• 802.11i – 802.11 Enhanced security
– WPA2 –nek is nevezik
2008 ősz WiFi biztonság 23
Adatkapcsolat biztonsága: WEP
• Cél a vezetékes hálózatokkal azonos biztonság
• Hitelesítés és titkosítás– Elsősorban titkosítás
• RC4 folyamkódoló– Kulcsfolyam és adat XOR kapcsolata
• 40 vagy 104 bites kulcsok– 4 kulcs is használható (KA)
• 24 bites Inicializáló vektor (IV)
– Hitelesítés megvalósítása• Kihívás alapú, a válasz a titkosított kihívás• Csak opcionális
– Integritásvédelem• CRC ellenőrző összeg (ICV) Fejléc IV KA Üzenet ICV
WEP csomag
Titkosított
2008 ősz WiFi biztonság 24
WEP – Titkosítás
• A titkosításhoz hálózat színtű statikus, közös titok– Azonos kulcsok, a felhasználók látják egymás forgalmát
• Folyamkódolás: ha két csomag azonos kulccsal van kódolva, akkor az egyik ismeretében a másik megfejthető a kulcs ismerete nélkül– A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV)
amely minden csomagra egyedivé teszi a csomagkulcsot– Az inicializáló vektor 24 bites, így 224 csomag után biztos ismétlődés
• Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul• „Születésnapi paradoxon” miatt már 212 csomag után ütközés!• AZ IV számozásra nincs szabály (gyakorlatilag eggyel nő)
– Sok esetben a kulcs feltörése sem okoz gondot• Legtöbbször jelszóból generálják -> szótáras támadás• A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a
kulcs
2008 ősz WiFi biztonság 25
WEP – integritásvédelem és hitelesítés
• A CRC kód jó hibadetektáló és hibajavító kód– Védelem a zaj ellen, de a szándékos felülírás ellen nem véd– A CRC érték titkosítva található a csomag végén– A csomag módosítása esetén a CRC érték újraszámolható, a
jelszó ismerete nélkül• A csomag IP fejlécében a biteket felülírva a csomagokat el lehet
terelni
• Kihívás-válasz alapú hitelesítés– A támadó lehallgathatja a nyílt kihívást és a titkosított választ– Egy új nyílt kihívásra ő maga is előállíthatja a választ a már
ismert kulcsfolyam segítségével• A megfelelő biteket átállítja (XOR)• A CRC értéket újra számolja
2008 ősz WiFi biztonság 26
WEP biztonság
• A WEP biztonság nem létezik– Csupán hamis biztonságérzet a felhasználókban
• A kulcsméretet megemelték 104 bitre– Nem csak ez volt a hiba
• 104 bites hálózati kulcs feltörése már akár 500.000 megfigyelt titkosított csomag esetén is
• A megfigyelés ideje rövidíthető hamis csomagok beszúrásával
– A többi gyengeség továbbra is megmaradt!
WEP törések• 2002
– „Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A. Stubblefield, J. Ioannidis, A. Rubin”
• Korrelációk a kulcs és a kulcsfolyam között• 4.000.000 – 6.000.000 csomag
• 2004– KoReK, fejlesztett FMS támadás
• Még több korreláció a kulcs és a kulcsfolyam között• 500.000 – 2.000.000 csomag (104 bites WEP)
• 2006– KoReK, Chopchop támadás
• Az AP segítségével a titkosított CRC miatt bájtonként megfejthető a titkosított üzenet
• 2007– PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még
több korreláció• 60.000 – 90.000 csomag (104 bites WEP)
2008 ősz WiFi biztonság 27
Chop-chop
• A csomag tartalmának megfejtése bájtonként– A legutolsó bájtot megjósoljuk, majd elvesszük és
igazítjuk a titkosított CRC-t– Ha jót jósoltunk, akkor helyes a CRC
• Küldjük vissza a csomagot az AP-nek• Néhány AP hibajelzést ad, ha a felhasználó még nincsen
hitelesítve, de a csomag korrekt– Tudjuk, ha jól jósolunk
• Az tetszőleges hosszú üzenet megfejtése átlagosan hossz x 128 üzenetben történik– Mindig megfejthető– A kulcsot nem fogjuk megismerni
2008 ősz WiFi biztonság 28
Adatszerzés WEP töréshez
• Hamisított csomagok– De-authentication– ARP response kicsikarása
• Módosított ARP request / Gratuitous ARP üzenet• WEP esetén könnyen módosítható a titkosított is
• „Caffé latte” támadás– Nem szükséges a WEP hálózatban lenni
• A Windows tárolja a WEP kucsokat, hamis AP megtévesztheti
• Hamis ARP üzenetekkel 90.000 csomag gyűjtése• 6 perces támadás
2008 ősz WiFi biztonság 29
WEP patch
• Nagy kulcsok• Gyenge IVk elkerülése• ARP filter• WEP Chaffing
– Megtévesztő WEP csomagok injektálása. Hatására a WEP törésnél hibás adatok alapján számolódik a kulcs
– A törő algoritmusok javíthatóak..
2008 ősz WiFi biztonság 30
2008 ősz WiFi biztonság 31
RADIUS hitelesítés
• Remote Authentication Dial In User Service– Eredetileg a betárcsázós felhasználóknak
(Merit Networks és Livingston Enterprises)
– Ma már széleskörű használat• Azonosítás nem csak dial-in felhasználáskor• Távközlésben számlázáshoz
• AAA szolgáltatás nyújtása
2008 ősz WiFi biztonság 32
RADIUS tulajdonságok
• Legfőbb tulajdonságok– UDP alapú (kapcsolatmentes)
– Állapotmentes– Hop by hop biztonság
• Hiányosságok– End to end biztonság támogatása– Skálázhatósági problémák
2008 ősz WiFi biztonság 33
RADIUS felépítése
• Kliens-szerver architektúra
• A szerepek nem változnak– A felhasználó a kliens– A hitelesítő a szerver– De van RADIUS – RADIUS kapcsolat is
Felhasználó NAS RADIUS
Kliens Szerver
2008 ősz WiFi biztonság 34
Diameter
• Kétszer nagyobb mint a RADIUS
• A jövő AAA szolgáltatása (IETF)– Még mindig nincs kész…
– TCP vagy SCTP (Stream Control Transmission Protocol) protokoll
– kérdés/válasz típusú + nem kért üzenetek a szervertől– Hop-by-hop titkosítás (közös titok)– End-to-end titkosítás
2008 ősz WiFi biztonság 35
RADIUS - Diameter
• Diameter jobb: (Nem csoda, ezért csinálták)– Jobb skálázhatóság– Jobb üzenetkezelés (hibaüzenetek)– Együttműködés, kompatibilitás, bővíthetőség– Nagyobb biztonság
• IPSec (+ TLS)• End-to-end titkosítás
• RADIUS még foltozható, de lassan már kár ragaszkodni hozzá
• Diameter hátránya:– nagy komplexitás– Még mindig egyeztetnek róla…
2008 ősz WiFi biztonság 36
Hitelesítés – 802.1X és EAP• 802.1X: Port Based Network Access Control
– IEEE specifikáció a LAN biztonság javítására (2001)– Külső hitelesítő szerver: RADIUS (de facto)
• Remote Authentication Dial-In User Service– Tetszőleges hitelesítő protokoll: EAP és EAPoL
• Extensible Authentication Protocol over LAN• Különböző EAP metódusok különböző hitelesítésekhez: EAP-MD5
Challenge, EAP-TLS, EAP-SIM, …• Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS
• A 802.1X nagyon jól illik a WLAN környezetbe:– Felhasználó alapú hitelesítés megvalósítható– A hitelesítést nem a hozzáférési pont végzi
• Egyszerű és olcsó hozzáférési pont, egyszerű üzemeltetés• Hitelesítés típusa egyszerűen módosítható• Központosított hitelesítés
– A hitelesítés védelme megoldható
2008 ősz WiFi biztonság 37
802.1X – Hozzáférés szűrés
• Kezdetben csak EAPoL forgalom
Hitelesített
Szűrt
A hitelesítés nélkül csak EAPoL forgalom. Továbbításáról a hozzáférési pont gondoskodik
Csak akkor mehet adatforgalom, ha hitelesítve lett 802.1X segítségével
EAPoLEAPoL
2008 ősz WiFi biztonság 38
802.1X protokollokFelhasználó
Supplicant (STA)Hozzáférési pont
Authenticator (AP)
Hitelesítő szerverAuthentication server (AS)
802.11 IP/UDP
EAPol RADIUS
EAP
EAP-TLS EAP-TLS
2008 ősz WiFi biztonság 39
Kulcsok
• Master Key (MK)– A viszony alatt fennálló szimmetrikus kulcs a
felhasználó (STA) és a hitelesítő szerver között (AS)– Csak ők birtokolhatják (STA és AS)– Minden más kulcs ebből származik
• Pairwise Master Key (PMK)– Frissített szimmetrikus kulcs a felhasználó (STA) és a
hozzáférési pont (AP) között– A felhasználó (STA) generálja a kulcsot MK alapján– A hozzáférési pont (AP) a hitelesítő szervertől (AS)
kapja
2008 ősz WiFi biztonság 40
Kulcsok (folyt.)
• Pairwise Transient Key (PTK)– A felhasznált kulcsok gyűjteménye
– Key Confirmation Key (PTK bitek 1-128)• A PMK ismeretének bizonyítása
– Key Encryption Key (PTK bitek 129-256)• Más kulcsok terjesztése
– Temporal Key (TK) (PTK bitek 257-..)• Az adatforgalom biztosítása
2008 ősz WiFi biztonság 41
Kulcs hierarchiaMaster Key (MK)
Pairwise Master Key (PMK)
TLS-PRF
EAPoL-PRF
Pairwise Transient Key (PTK)
Key Confirmation Key (KCK)
Key Encryption Key (KEK)
Temporal Key (TK)
0-127
128-255
256-
2008 ősz WiFi biztonság 42
802.1X – Működési fázisok
Képesség felderítés
802.1X hitelesítés (Pairwise Master Key generálása)
802.1X kulcsmenedzsment(Pairwise Transient Key generálása)
Kulcskiosztás (PMK)
Adatvédelem (Tempolral Key)
1
2
43
2008 ősz WiFi biztonság 43
802.1x hitelesítés
802.1x/EAP-Req. Identity
802.1x/EAP-Resp. Identity
AAA Access Request/Identity
Kölcsönös azonosítása választott EAP típus alapján
PMK származtatása PMK származtatása
AAA Accept + PMK
802.1x/EAP-Success
2008 ősz WiFi biztonság 44
802.1x hitelesítés gondok
• Az EAP nem biztosít védelmet– Hamisított AAA-Accept üzenetek
• RADIUS– Statikus kulcs a hozzáférési pont (AP) és a hitelesítő
szerver (AS) között– A hozzáférési pont minden üzenettel együtt egy
kihívást is küld• Hamisított üzenetekre a RADIUS szerver gond nélkül
válaszol
– Megoldást a DIAMETER hitelesítő jelenthet• Sajnos úgy látszik ez sem fogja tökéletesen megoldani a
problémát
2008 ősz WiFi biztonság 45
802.1x hitelesítés lépései
• A hitelesítést a hitelesítő szerver (AS) kezdeményezi és ő választja meg a módszert– A hitelesítő legtöbbször RADIUS szerver
• Tapasztalatok, fejlesztések
– A hitelesítő módszer legtöbbször EAP-TLS• Több kell, mint kihívás alapú hitelesítés• Privát/publikus kulcsok használata
• Sikeres hitelesítés esetén a hozzáférési pont (AP) megkapja a Pairwise Master Key (PMK) –t is
• Otthoni és ad-hoc környezetben nem szükséges hitelesítő központ– Pre-shared Key (PSK) használta PMK helyett– Az otthoni felhasználó ritkán kezel kulcsokat..
2008 ősz WiFi biztonság 46
802.1X kulcsmenedzsment
• A Pairwise Master Key (PMK) segítségével a felhasználó (STA) és a hozzáférési pont (AP) képes előállítani a Pairwise Transient Key (PTK) –t– A PMK kulcsot (ha a hitelesítő szerverben (AS) lehet
bízni, akkor csak ők ismerik– A PTK kulcsot mindketten (STA és AP)
származtatják (nem utazik a hálózaton!) és ellenőrzik, hogy a másik fél valóban ismeri
• 4 utas kézfogás
– A többi kulcsot vagy egyenesen a PTK –ból származtatják (megfelelő bitek) vagy a KEK segítségével szállítják a hálózaton (pl. Group TK)
2008 ősz WiFi biztonság 47
4 utas kézfogás
EAPoL-Key(ANonce)
EAPoL-Key(SNonce, MIC)
Véletlen ANonce
PTK előállítása: (PMK, ANonce,SNonce, AP MAC, STA AMC)
PTK előállításaEAPoL-Key(ANonce, MIC)
EAPoL-Key(MIC)
Véletlen SNonce
2008 ősz WiFi biztonság 48
4 utas kézfogás lépései
• MIC: Az üzenetek integritásának védelme
• Man-in-the-middle támadások kizárása– A 2. üzenet mutatja, hogy
• A felhasználó (STA) ismeri PMK –t• A megfelelő ANonce –t kapta meg
– A 3. üzenet mutatja, hogy• A hozzáférési pont (AP) ismeri PMK –t• A megfelelő SNonce –t kapta meg
• A 4. üzenet csak azért van, hogy teljes legyen a kérdés/válasz működés
2008 ősz WiFi biztonság 49
EAP – Extensible Authentication Protocol
• Több különböző hitelesítési módszer egyetlen protokollal– A különböző módszerek (method) esetében más és más az üzenet tartalma– Ugyanakkor a hozzáférési pontnak elegendő az EAP protokollt ismerni
• EAP-Success: sikeres hitelesítés• EAP-Faliure: sikertelen hitelesítés
• EAP példák– Jelszavas
• EAP-MSCHAPv2• EAP-MD5
– Tanúsítvány alapú• EAP-TLS
– Egyszer jelszó• EAP-OTP
– SIM kártya• EAP-SIM
EAPmetódus
EAP
Alsó réteg(pl. PPP)
EAP
Alsó réteg(pl. PPP)
EAP
Alsó réteg(pl. IP)
EAPmetódus
EAP
Alsó réteg(pl. IP)
Peer Hitelesíto átjáró EAP szerver
2008 ősz WiFi biztonság 50
EAP-MSCHAPv2, EAP-TLS
• EAP-MSCHAPv2 (Microsoft Challenege Handshake Authentication Protocol v2)– Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval
kombinált kihívást küldi vissza– A kliens is küld kihívást és ellenőrzi, hogy a hitelesítő valóban
ismeri az ő jelszavát -> kölcsönös hitelesítés– Microsoft környezetben használt
• EAP-TLS (Transport Layer Security)– Mind a kliens, mind a hitelesítő tanúsítvánnyal rendelkezik– A felek kölcsönösen ellenőrzik a tanúsítványokat– Nagyon biztonságos, de költséges, mert tanúsítványokat kell
karbantartani
2008 ősz WiFi biztonság 51
EAP hitelesítések védelme –EAP-TTLS és PEAP
• Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de nyíltan utaznak
– Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a jelszó is megszerezhető
• Az EAP kommunikációt védeni kell!– EAP-TTLS - Tunneled Transport Layer Security
• IETF draft: Funk, Meetinghouse– PEAP - Protected EAP
• IETF draft: Microsoft (+ Cisco és RSA)– Önmagában nem hitelesítés csak az EAP csatorna titkosítása– Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, …
• Hitelesítés lépései– 1. lépés: Titkos csatorna felépítése (TLS)
• Csak a szerver azonosítja magát tanúsítvány segítségével– 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában
• A felhasználó hitelesíti magát
2008 ősz WiFi biztonság 52
1. Lépés – Titkosított csatorna építése
EAP-TTLS üzenetek
EAP-Response: IdentityEAP-Request: EAP-TTLS/Start
TLS felépítése
2. Lépés – Hitelesítés
EAP-Success
Hitelesítő üzenetek
Csak domain név! A felhasználónevét nem szabad küldeni!
2008 ősz WiFi biztonság 53
Protokoll rétegek
• EAP-TTLS / PEAP rétegződés
Vivő protokoll (PPP, EAPoL, RADIUS, …)
EAP
EAP-TTLS
TLS
EAP (EAP-TTLS esetén más is)
EAP módszer (MD5, OTP, …)
2008 ősz WiFi biztonság 54
EAP módszerek összehasonlítása
• Erőforrásigény– Tanúsítványok erősebbek a jelszavaknál, de nagyobb az erőforrásigényük,
működtetésükhöz több adminisztráció kell (PKI – Public Key Infrastructure)
• Kölcsönösség– Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesítő is
EAP-MD5EAP-
MSCHAPv2EAP-TLS EAP-TTLS PEAP
Hitelesítés MD5LMHASH és
NTHASHTanúsítványok Bármi
EAP módszerek
Szükséges tanúsítványok - -
Kliens és szerver
Szerver Szerver
Hitelesítés irányaKliens
hitelesítéseKölcsönös Kölcsönös Kölcsönös Kölcsönös
Felhasználóidentitásának
védelmeNincs Nincs Nincs TLS TLS
2008 ősz WiFi biztonság 55
IEEE 802.11i
• A 802.11i célja, hogy végre biztonságos legyen a WiFi hálózat– A szabvány 2004 –es
– Addig is kellett egy használható módszer• WPA – WiFi Protected Access
– A 802.11i –vel párhuzamosan fejlesztették
– A 802.11i –t így WPA2 –nek is nevezik
2008 ősz WiFi biztonság 56
WPA - Wi-Fi Protected Access
• Wi-Fi Allience a WEP problémáinak kijavítására (2003)– Erős biztonság– Hitelesítés és adatbiztonság– Minden környezetben (SOHO és Enterprise)– A meglévő eszközökön csak SW frissítés– Kompatibilis a közelgő 802.11i szabvánnyal
• A fokozott biztonság mellett cél a gyors elterjedés is!– A WEP mihamarabbi leváltása
2008 ősz WiFi biztonság 57
WPA - TKIP
• A WEP összes ismert hibájának orvoslása, megőrizve minél több WEP implementációt
• Titkosítás: Temporal Key Integrity Protocol (TKIP)– Per-packet key mixing (nem csak hozzáfűzés)– Message Integrity Check (MIC) - Michael– Bővített inicializáló vektor (48 bit IV) sorszámozási szabályokkal– Idővel lecserélt kulcsok (Nem jó, de muszáj)
• Hitelesítés: 802.1X és EAP– A hitelesítés biztosítása
• Kölcsönös hitelesítés is (EAP-TLS)– A hitelesítés változhat a környezettől függően (SOHO <>
Enterprise <> HOTSPOT)
2008 ősz WiFi biztonság 58
TKIP
• Per Packet Keying
• Az IV változásával minden üzenetnek más kulcsa lesz
• Minden terminálnak más kulcsa lesz, akkor is, ha az alap kulcs véletlenül egyezne
• A packet kulcsot használjuk az eredeti WEP kulcs helyett
IV Alap kulcs
Kulcs-keverés
IV „Packet key” WEP
MAC cím
2008 ősz WiFi biztonság 59
TKIP – kulcs keverés• 128 bites ideiglenes kulcs (A hitelesítésből származik)• Csomagkulcs előállítása 2 lépésben
– Feistel alapú kódoló használata (Doug Whiting és Ron Rivest)– 1. lépés
• A forrás MAC címének, az ideiglenes kulcsnak és az IV felső 32 bitjének keverése
• Az eredmény ideiglenesen tárolható, 216 kulcsot lehet még előállítani. Ez javítja a teljesítményt
– 2. lépés• Az IV és a kulcs függetlenítése
48 bites IV32 bit 16 bit
Felső IV Alsó IV
Kulcskeverés1. fázis
Kulcskeverés2. fázis
MAC cím
Kulcs
IV IVd Csomagkulcs
24 bit 104 bitRC4 rejtjelező kulcsa
A egy td öltelék bájt, a gyenge kulcsok elkerülésére.
2008 ősz WiFi biztonság 60
IV sorszámozás
• IV szabályok– Mindig 0-ról indul kulcskiosztás után
• Ellentétben a WEP-pel, itt ez nem gond, mert úgy is más kulcsunk lesz minden egyeztetésnél
– Minden csomagnál eggyel nő az IV• Ha nem, akkor eldobjuk az üzenetet
• A 48 bites IV már nem merül ki– Ha mégis, akkor leáll a forgalom, új kulcs kell
2008 ősz WiFi biztonság 61
MIC
• Message Integrity Code• Michael algoritmus (Neils Ferguson)
– 64 bites kulcs 64 bites hitelesítés– Erőssége: kb. 30 bit, azaz a támadó 231 üzenet megfigyelésével
képes egy hamisat létrehozni• Nem túl erős védelem• De egy erősebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon
rontaná a teljesítményt• + védelem: ha aktív támadást észlel (percen belül ismétlődő rossz
MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra változatni
• Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a kulcs
– Már nem csak az adatot védjük, hanem a forrás és cél MAC címeket is!
– Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám)
2008 ősz WiFi biztonság 62
TKIP működése
KulcskeverésSorszám48 bit
ForrásMAC
Kulcs1128 bit
Michael
Kulcs264 bit
AdatMSDU
Darabolás
MIC
MSDU
WEP
Csomagkulcs
MPDU(k)
Titkosítottadat
2008 ősz WiFi biztonság 63
WEP és WPA
• A WPA-t úgy tervezték, hogy minimális erőforrás ráfordítással kijavítsa a WEP hibát
• Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell
WEP WPA
Titkosítás Egyszerű eszközökkel, könnyen feltörhető
A WEP minden hibája kijavítja
40 bites kulcsok (szabvány szerint)
128 bites kulcsok
Statikus – mindenki ugyanazt a kulcsot használja a hálózatban
Dinamikus kulcsok felhasználónként,
csomagonként Kulcsok manuális disztribúciója,
azok kézi bevitele Kulcsok automatikus
disztrbúciója Hitelesítés Gyakorlatilag nincs, csak a
kulcson keresztül. 802.1x és EAP
WPA crack (2008)
• ARP, ismeretlen 12 + 2 byte– 8: MIC
– 4: ICV– 2: hálózati IP címek utolsó része
• Chop-chop törhető, ha– Léteznek más QoS osztályok (WME)
• Visszajátszás elleni védelem miatt
2008 ősz WiFi biztonság 64
2008 ősz WiFi biztonság 65
802.11i (WPA2)
• IEEE - 2004 –ben jelent meg– WPA +
• Biztonságos gyors hálózatváltások• A hitelesítés biztonságos feloldása• Új titkosító protokollok: AES-CCMP, WRAP
– Már szükséges a HW módosítása is, az új titkosító miatt
• Lassabb elterjedés, bár esetenként a driver is megcsinálhatja
2008 ősz WiFi biztonság 66
CBC-MAC
• Cipher Block Chaining Message Authentication Code
• Módszer– 1. Az első blokk titkosítása– 2. Az eredmény és a következő blokk XOR kapcsolat,
aztán titkosítás– 3. A második lépés ismétlése
– Szükséges a kitöltés!
2008 ősz WiFi biztonság 67
CCMP
• Counter Mode CBC-MAC Protocol– Az AES titkosító használata
• Előre számolható (számláló módban)• Párhuzamosítható
• Nagy biztonság
– Titkosítás és integritás védelemhez ugyanaz a kulcs• Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond
Integritás védelem
CBC-MAC TitkosításMPDU
KulcsIV és CTR
IV CTRSorszám
Titkosított adatAES AES
2008 ősz WiFi biztonság 68
CCMP előnyök
• Egyetlen kulcs elegendő– Titkosítás és integritás védelemhez ugyanaz a kulcs– Általában nem jó, ha ugyanazt a kulcsot használjuk,
de itt nincs gond
• AES előnyök– Előre számolható (kulcs ismeretében)– Párhuzamosítható– Nagy biztonság
• Mentes a szabadalmaktól– A WRAP nem volt az, így megbukott
2008 ősz WiFi biztonság 69
WLAN rádiós réteg védelme
WEPWPA
TKIP
WPA2
CCMP
TitkosítóRC4, 40 vagy 104 bites
kulcsRC4, 128 és 64
bites kulcsAES, 128 bites
kulcs
Inicializáló
vektor24 bites IV 48 bites IV 48 bites IV
Csomagkulcs Összefűzés TKIP kulcskeverés nem szükséges
Fejléc
integritásanincs védve
Forrás és cél MACMichael
CCM
Adatok
integritásaCRC-32 Michael CCM
Visszajátszás
védelemnincs védelem IV szabályok IV szabályok
Kulcs-
menedzsmentnincs IEEE 802.1X IEEE 802.1X
2008 ősz WiFi biztonság 70
Irodalom
• Phishing– http://www.technicalinfo.net/papers/Phishing.html
• SPAM– http://spamlinks.net/