WiFi biztonság. Dr. Fehér Gábor. BME-TMIT

Átírás

1 WiFi biztonság Dr. Fehér Gábor BME-TMIT

2 Vezetéknélküli technológiák WiFi - Wireless Fidelity Maximum: 100 m, 100 Mbps Világrekord: erősítetlen 11Mbps, 125 mérföld! WiMAX Worldwide Interopability for Microwave Access Maximum: 50 km, 75 Mbps Bluetooth Maximum: 100 (10) m, 768 Kbps Más technológiák GPRS, UMTS, 3G, Wireless USB, 2008 ősz WiFi biztonság 2

3 Vezetéknélküli hálózatok Előnyök a korábbi vezetékes hálózatokkal szemben Felhasználók Egy zsinórral kevesebb (Laptop, PDA) Internet elérés a frekventált helyeken (HOTSPOT) Adminisztrátorok Könnyen telepíthető, könnyen karbantartható Nem igényel kábelezést Olyan helyekre is elvihető, ahova vezetéket nehezen lehet kihúzni Üzleti szempont Hosszútávon olcsóbb üzemeltetni Átállni azonban nagy beruházást jent 2008 ősz WiFi biztonság 3

4 WiFi hálózati szabványok A jelenlegi átviteli szabványok IEEE b 11Mbps 2.4 GHz IEEE g 54Mbps 2.4 GHz IEEE a 54Mbps 5 GHz IEEE n 300Mbps 2.4, 5 GHz 2008 ősz WiFi biztonság 4

5 család IEEE The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) IEEE b - Enhancements to to support 5.5 and 11 Mbit/s (1999) IEEE c - Bridge operation procedures; included in the IEEE 802.1D standard (2001) IEEE d - International (country-to-country) roaming extensions (2001) IEEE e - Enhancements: QoS, including packet bursting (2005) IEEE f - Inter-Access Point Protocol (2003) IEEE g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE h - Spectrum Managed a (5 GHz) for European compatibility (2004) IEEE i - Enhanced security (2004) IEEE j - Extensions for Japan (2004) IEEE k - Radio resource measurement enhancements IEEE l - (reserved, typologically unsound) IEEE m - Maintenance of the standard; odds and ends. IEEE n - Higher throughput improvements IEEE o - (reserved, typologically unsound) IEEE p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars) IEEE q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking) IEEE r - Fast roaming IEEE s - ESS Mesh Networking IEEE T - Wireless Performance Prediction (WPP) - test methods and metrics IEEE u - Interworking with non-802 networks (e.g., cellular) IEEE v - Wireless network management IEEE w - Protected Management Frames 2008 ősz WiFi biztonság 5

6 Vezetéknélküli hálózat elemei Vezetéknélküli hálózati kártya Leginkább könnyen mozgatható eszközökhöz Laptop, PDA és TablePC De ma már fényképezőgép, videójáték, mobiltelefon Beépített eszközök, PCMCIA, CF kártya, USB eszköz, stb.. Egyedi MAC cím Hozzáférési pont (Access Point AP) A vezetéknélküli eszközök rádiókapcsolatban vannak a hozzáférési ponttal 2008 ősz WiFi biztonság 6

7 HOTSPOT Frekventált helyek ahol sok potenciális felhasználó lehet Reptéri terminálok Kávézók, szórakozóhelyek Internet elérés A felhasználók fizetnek a szolgáltatásért Szállodák 2008 ősz WiFi biztonság 7

8 Vezetéknélküli hálózatok kihívásai Legfőbb kihívások Rádióhullámok interferenciája Több hozzáférési pont elhelyezése Egymást zavaró adások Tereptárgyak hatásai Eszközök tápellátása (részben vezetékes..) Tápfelhasználás optimalizálása Mozgás a hozzáférési pontok között Handover Szolgáltató-váltás Biztonság 2008 ősz WiFi biztonság 8

9 Vezetéknélküli hálózatok biztonsága Vezetékes hálózat esetében az infrastruktúrához való hozzáférés már sok behatolót megállít Vezetéknélküli hálózat esetén azonban megszűnik ez a korlát A fizikai közeg nem biztosít adatbiztonságot, a küldött/fogadott adatokat mindenki észleli A támadó nehézségek nélkül és észrevétlenül hozzáfér a hálózathoz A hálózat eljut az épületen kívülre is 2008 ősz WiFi biztonság 9

10 Vezetéknélküli hálózatok biztonsága 2. Felmerülő biztonsági kérdések Hitelesítés A felhasználó hitelesítése A szolgáltató hitelesítése A hitelesítés védelme Sikeres hitelesítés után az adatok védelme Anonimitás (jelenleg nem cél) 2008 ősz WiFi biztonság 10

11 A vezetéknélküli hálózatok ellenségei Wardriving Behatolás idegen hálózatokba Autóból WLAN vadászat Rácsatlakozás a szomszédra Ingyen Internet az utcán Szolgálatmegtagadás Frekvenciatartomány zavarása (jamming) DoS támadás Evil Twin (rogue AP) Hamis AP felállítása Felhasználók adatainak gyűjtése Visszaélés más személyiségével Lehallgatás 2008 ősz WiFi biztonság 11

12 Wardriving AP titkosított: 56% (8193db) AP nyílt: 44% (6315db) 2008 ősz WiFi biztonság 12

13 Hitelesítés problémái Kihívás-válasz alapú hitelesítés Vezetékes környezetben jól működik A felhasználó bízhat a szolgáltatóban Vezetéknélküli környezetben már nem tökéletes A támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak (és protokollok) eseték egyszerű a szótáras támadás 2008 ősz WiFi biztonság 13

14 Hitelesítés problémái 2. Man-in-the-middle támadások Vezetékes környezetben nincsenek támadók a drótban (reméljük..) Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt Azonban a támadónak a közelben kell lennie (De lehet az épületen kívül is!) 2008 ősz WiFi biztonság 14

15 Szolgáltatásbiztonság problémái Hamis hozzáférési pontok (rogue AP) Könnyű telepíteni egy PDA is lehet AP! A felhasználó nem feltétlenül ismeri az APt Pl.: HOTSPOT környezet Szolgálatmegtagadás DoS Szolgálatmegtagadás elárasztással egy vezetékes eszközről Fizikai akadályoztatás (jammer) 2008 ősz WiFi biztonság 15

16 Hozzáférés-védelem Fizikai korlátozás A támadónak hozzáférés szükséges a hálózathoz Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni Gyakorlatban kerítés vagy vastag betonfal Nem biztonságos! A támadó bejuthat a hálózat területére Nagyobb antennát alkalmazhat 2008 ősz WiFi biztonság 16

17 Hozzáférés-védelem MAC szűrés Minden hálózati csatolónak egyedi címe van MAC cím (6 bájt) Egyedi a csatoló szempontjából Hozzáférés szűrése MAC címek alapján A hozzáférési pontnak listája van az engedélyezett csatlakozókról Esetleg tiltólista is lehet a kitiltott csatlakozókról Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) Nagyon sok helyen ezt használják Nem biztonságos! Az eszközök megszerzése már hozzáférést biztosít Nem a felhasználót azonosítja A MAC címek lehallgathatóak és egy másik eszköz is felvehet engedélyezett MAC címet Több hozzáférési pont menedzsmentje nehéz Linux: ifconfig eth0 down hw ether 01:02:03:04:05:06 ifconfig eth0 up Windows: A csatoló driver legtöbbször támogatja, ha nem akkor registry módosítás 2008 ősz WiFi biztonság 17

18 Hozzáférés-védelem - Hálózat elrejtése A hozzáférési pontot a neve azonosítja Service Set ID SSID Az SSIDt, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) A hozzáférési pont elrejtése A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem látszik Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni Nem biztonságos! A csatlakozó kliensek nyíltan küldik az SSIDt A támadó a csatlakozás lehallgatással felderítheti az SSIDt Népszerűbb eszközök gyári SSID beállításai tsunami Cisco, 101 3Com, intel - Intel, linksys Linksys 2008 ősz WiFi biztonság 18

19 Hozzáférés-védelem Felhasználó hitelesítés A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát A hitelesítés nehézségei Nyílt hálózat, bárki hallgatózhat A kihívás-válasz alapú hitelesítés esetén támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak eseték egyszerű a szótáras támadás Man-in-the-middle támadások Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz Legjobb a felhasználót hitelesíteni nem az eszközét Felhasználói jelszavak (mindenkinek külön) 2008 ősz WiFi biztonság 19

20 Hitelesítés Hálózati jelszavak A felhasználók használhatják a hálózatot ha ismerik a hálózat titkos jelszavát Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó WEP és WPA-PSK hitelesítés Részletesebben a titkosításnál Nem biztonságos! A támadó megszerezheti a hitelesítési üzeneteket és szótáras támadást tud végrehajtani Egyszerű a hálózati jelszó esetén a támadó könnyen célt ér A hálózati jelszó sok gépen van telepítve vagy sok felhasználó ismeri ezért cseréje nehezen megoldható A WEP esetén a hitelesítés meghamisítható 2008 ősz WiFi biztonság 20

21 Hitelesítés Captive portal Hitelesítés web felületen keresztül Egyszerű a felhasználónak A kliensen egy web browser kell hozzá A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó A felhasználó hitelesítés után folytathatja a böngészést A weblapon akár elő is fizethet a felhasználó a szolgáltatásra A legtöbb HOTSPOT ezt használja Nem igényel szakértelmet a használata Nem kell telepíteni vagy átállítani a felhasználó gépét Nem biztonságos! Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát A felhasználó megtéveszthető hamis szolgáltatóval A támadó folytathatja a felhasználó nevében a hozzáférést 2008 ősz WiFi biztonság 21

22 Adatkapcsolat biztonsága A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is Az adatokat titkosítani kell a hálózaton Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet WEP Wired Equivalent Privacy WPA WiFi Protected Access i Enhanced security WPA2 nek is nevezik 2008 ősz WiFi biztonság 22

23 Adatkapcsolat biztonsága: WEP Cél a vezetékes hálózatokkal azonos biztonság Hitelesítés és titkosítás Elsősorban titkosítás RC4 folyamkódoló Kulcsfolyam és adat XOR kapcsolata 40 vagy 104 bites kulcsok 4 kulcs is használható (KA) 24 bites Inicializáló vektor (IV) Hitelesítés megvalósítása Kihívás alapú, a válasz a titkosított kihívás Titkosított Csak opcionális Integritásvédelem CRC ellenőrző összeg (ICV) WEP csomag Fejléc IV KA Üzenet ICV 2008 ősz WiFi biztonság 23

24 WEP Titkosítás A titkosításhoz hálózat színtű statikus, közös titok Azonos kulcsok, a felhasználók látják egymás forgalmát Folyamkódolás: ha két csomag azonos kulccsal van kódolva, akkor az egyik ismeretében a másik megfejthető a kulcs ismerete nélkül A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV) amely minden csomagra egyedivé teszi a csomagkulcsot Az inicializáló vektor 24 bites, így 2 24 csomag után biztos ismétlődés Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul Születésnapi paradoxon miatt már 2 12 csomag után ütközés! AZ IV számozásra nincs szabály (gyakorlatilag eggyel nő) Sok esetben a kulcs feltörése sem okoz gondot Legtöbbször jelszóból generálják -> szótáras támadás A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a kulcs 2008 ősz WiFi biztonság 24

25 WEP integritásvédelem és hitelesítés A CRC kód jó hibadetektáló és hibajavító kód Védelem a zaj ellen, de a szándékos felülírás ellen nem véd A CRC érték titkosítva található a csomag végén A csomag módosítása esetén a CRC érték újraszámolható, a jelszó ismerete nélkül A csomag IP fejlécében a biteket felülírva a csomagokat el lehet terelni Kihívás-válasz alapú hitelesítés A támadó lehallgathatja a nyílt kihívást és a titkosított választ Egy új nyílt kihívásra ő maga is előállíthatja a választ a már ismert kulcsfolyam segítségével A megfelelő biteket átállítja (XOR) A CRC értéket újra számolja 2008 ősz WiFi biztonság 25

26 WEP biztonság A WEP biztonság nem létezik Csupán hamis biztonságérzet a felhasználókban A kulcsméretet megemelték 104 bitre Nem csak ez volt a hiba 104 bites hálózati kulcs feltörése már akár megfigyelt titkosított csomag esetén is A megfigyelés ideje rövidíthető hamis csomagok beszúrásával A többi gyengeség továbbra is megmaradt! 2008 ősz WiFi biztonság 26

27 WEP törések 2002 Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A. Stubblefield, J. Ioannidis, A. Rubin Korrelációk a kulcs és a kulcsfolyam között csomag 2004 KoReK, fejlesztett FMS támadás Még több korreláció a kulcs és a kulcsfolyam között csomag (104 bites WEP) 2006 KoReK, Chopchop támadás Az AP segítségével a titkosított CRC miatt bájtonként megfejthető a titkosított üzenet 2007 PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még több korreláció csomag (104 bites WEP) 2008 ősz WiFi biztonság 27

28 Chop-chop A csomag tartalmának megfejtése bájtonként A legutolsó bájtot megjósoljuk, majd elvesszük és igazítjuk a titkosított CRC-t Ha jót jósoltunk, akkor helyes a CRC Küldjük vissza a csomagot az AP-nek Néhány AP hibajelzést ad, ha a felhasználó még nincsen hitelesítve, de a csomag korrekt Tudjuk, ha jól jósolunk Az tetszőleges hosszú üzenet megfejtése átlagosan hossz x 128 üzenetben történik Mindig megfejthető A kulcsot nem fogjuk megismerni 2008 ősz WiFi biztonság 28

29 Adatszerzés WEP töréshez Hamisított csomagok De-authentication ARP response kicsikarása Módosított ARP request / Gratuitous ARP üzenet WEP esetén könnyen módosítható a titkosított is Caffé latte támadás Nem szükséges a WEP hálózatban lenni A Windows tárolja a WEP kucsokat, hamis AP megtévesztheti Hamis ARP üzenetekkel csomag gyűjtése 6 perces támadás 2008 ősz WiFi biztonság 29

30 WEP patch Nagy kulcsok Gyenge IVk elkerülése ARP filter WEP Chaffing Megtévesztő WEP csomagok injektálása. Hatására a WEP törésnél hibás adatok alapján számolódik a kulcs A törő algoritmusok javíthatóak ősz WiFi biztonság 30

31 RADIUS hitelesítés Remote Authentication Dial In User Service Eredetileg a betárcsázós felhasználóknak (Merit Networks és Livingston Enterprises) Ma már széleskörű használat Azonosítás nem csak dial-in felhasználáskor Távközlésben számlázáshoz AAA szolgáltatás nyújtása 2008 ősz WiFi biztonság 31

32 RADIUS tulajdonságok Legfőbb tulajdonságok UDP alapú (kapcsolatmentes) Állapotmentes Hop by hop biztonság Hiányosságok End to end biztonság támogatása Skálázhatósági problémák 2008 ősz WiFi biztonság 32

33 RADIUS felépítése Kliens-szerver architektúra Kliens Szerver Felhasználó NAS RADIUS A szerepek nem változnak A felhasználó a kliens A hitelesítő a szerver De van RADIUS RADIUS kapcsolat is 2008 ősz WiFi biztonság 33

34 Diameter Kétszer nagyobb mint a RADIUS A jövő AAA szolgáltatása (IETF) Még mindig nincs kész TCP vagy SCTP (Stream Control Transmission Protocol) protokoll kérdés/válasz típusú + nem kért üzenetek a szervertől Hop-by-hop titkosítás (közös titok) End-to-end titkosítás 2008 ősz WiFi biztonság 34

35 RADIUS - Diameter Diameter jobb: (Nem csoda, ezért csinálták) Jobb skálázhatóság Jobb üzenetkezelés (hibaüzenetek) Együttműködés, kompatibilitás, bővíthetőség Nagyobb biztonság IPSec (+ TLS) End-to-end titkosítás RADIUS még foltozható, de lassan már kár ragaszkodni hozzá Diameter hátránya: nagy komplexitás Még mindig egyeztetnek róla 2008 ősz WiFi biztonság 35

36 Hitelesítés 802.1X és EAP 802.1X: Port Based Network Access Control IEEE specifikáció a LAN biztonság javítására (2001) Külső hitelesítő szerver: RADIUS (de facto) Remote Authentication Dial-In User Service Tetszőleges hitelesítő protokoll: EAP és EAPoL Extensible Authentication Protocol over LAN Különböző EAP metódusok különböző hitelesítésekhez: EAP-MD5 Challenge, EAP-TLS, EAP-SIM, Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS A 802.1X nagyon jól illik a WLAN környezetbe: Felhasználó alapú hitelesítés megvalósítható A hitelesítést nem a hozzáférési pont végzi Egyszerű és olcsó hozzáférési pont, egyszerű üzemeltetés Hitelesítés típusa egyszerűen módosítható Központosított hitelesítés A hitelesítés védelme megoldható 2008 ősz WiFi biztonság 36

37 802.1X Hozzáférés szűrés Kezdetben csak EAPoL forgalom Csak akkor mehet adatforgalom, ha hitelesítve lett 802.1X segítségével Hitelesített EAPoL Szűrt EAPoL A hitelesítés nélkül csak EAPoL forgalom. Továbbításáról a hozzáférési pont gondoskodik 2008 ősz WiFi biztonság 37

38 802.1X protokollok Felhasználó Supplicant (STA) Hozzáférési pont Authenticator (AP) Hitelesítő szerver Authentication server (AS) EAP-TLS EAPol EAP RADIUS EAP-TLS IP/UDP 2008 ősz WiFi biztonság 38

39 Kulcsok Master Key (MK) A viszony alatt fennálló szimmetrikus kulcs a felhasználó (STA) és a hitelesítő szerver között (AS) Csak ők birtokolhatják (STA és AS) Minden más kulcs ebből származik Pairwise Master Key (PMK) Frissített szimmetrikus kulcs a felhasználó (STA) és a hozzáférési pont (AP) között A felhasználó (STA) generálja a kulcsot MK alapján A hozzáférési pont (AP) a hitelesítő szervertől (AS) kapja 2008 ősz WiFi biztonság 39

40 Kulcsok (folyt.) Pairwise Transient Key (PTK) A felhasznált kulcsok gyűjteménye Key Confirmation Key (PTK bitek 1-128) A PMK ismeretének bizonyítása Key Encryption Key (PTK bitek ) Más kulcsok terjesztése Temporal Key (TK) (PTK bitek ) Az adatforgalom biztosítása 2008 ősz WiFi biztonság 40

41 Kulcs hierarchia Master Key (MK) TLS-PRF Pairwise Master Key (PMK) EAPoL-PRF Pairwise Transient Key (PTK) Key Confirmation Key (KCK) Temporal Key (TK) Key Encryption Key (KEK) 2008 ősz WiFi biztonság 41

42 802.1X Működési fázisok 1 2 Képesség felderítés 802.1X hitelesítés (Pairwise Master Key generálása) X kulcsmenedzsment (Pairwise Transient Key generálása) 3 Kulcskiosztás (PMK) Adatvédelem (Tempolral Key) 2008 ősz WiFi biztonság 42

43 802.1x hitelesítés 802.1x/EAP-Req. Identity 802.1x/EAP-Resp. Identity PMK származtatása 802.1x/EAP-Success Kölcsönös azonosítás a választott EAP típus alapján AAA Access Request/Identity AAA Accept + PMK PMK származtatása 2008 ősz WiFi biztonság 43

44 802.1x hitelesítés gondok Az EAP nem biztosít védelmet Hamisított AAA-Accept üzenetek RADIUS Statikus kulcs a hozzáférési pont (AP) és a hitelesítő szerver (AS) között A hozzáférési pont minden üzenettel együtt egy kihívást is küld Hamisított üzenetekre a RADIUS szerver gond nélkül válaszol Megoldást a DIAMETER hitelesítő jelenthet Sajnos úgy látszik ez sem fogja tökéletesen megoldani a problémát 2008 ősz WiFi biztonság 44

45 802.1x hitelesítés lépései A hitelesítést a hitelesítő szerver (AS) kezdeményezi és ő választja meg a módszert A hitelesítő legtöbbször RADIUS szerver Tapasztalatok, fejlesztések A hitelesítő módszer legtöbbször EAP-TLS Több kell, mint kihívás alapú hitelesítés Privát/publikus kulcsok használata Sikeres hitelesítés esetén a hozzáférési pont (AP) megkapja a Pairwise Master Key (PMK) t is Otthoni és ad-hoc környezetben nem szükséges hitelesítő központ Pre-shared Key (PSK) használta PMK helyett Az otthoni felhasználó ritkán kezel kulcsokat ősz WiFi biztonság 45

46 802.1X kulcsmenedzsment A Pairwise Master Key (PMK) segítségével a felhasználó (STA) és a hozzáférési pont (AP) képes előállítani a Pairwise Transient Key (PTK) t A PMK kulcsot (ha a hitelesítő szerverben (AS) lehet bízni, akkor csak ők ismerik A PTK kulcsot mindketten (STA és AP) származtatják (nem utazik a hálózaton!) és ellenőrzik, hogy a másik fél valóban ismeri 4 utas kézfogás A többi kulcsot vagy egyenesen a PTK ból származtatják (megfelelő bitek) vagy a KEK segítségével szállítják a hálózaton (pl. Group TK) 2008 ősz WiFi biztonság 46

47 4 utas kézfogás Véletlen SNonce PTK előállítása: (PMK, ANonce, SNonce, AP MAC, STA AMC) EAPoL-Key(ANonce) EAPoL-Key(SNonce, MIC) EAPoL-Key(ANonce, MIC) Véletlen ANonce PTK előállítása EAPoL-Key(MIC) 2008 ősz WiFi biztonság 47

48 4 utas kézfogás lépései MIC: Az üzenetek integritásának védelme Man-in-the-middle támadások kizárása A 2. üzenet mutatja, hogy A felhasználó (STA) ismeri PMK t A megfelelő ANonce t kapta meg A 3. üzenet mutatja, hogy A hozzáférési pont (AP) ismeri PMK t A megfelelő SNonce t kapta meg A 4. üzenet csak azért van, hogy teljes legyen a kérdés/válasz működés 2008 ősz WiFi biztonság 48

49 EAP Extensible Authentication Protocol Több különböző hitelesítési módszer egyetlen protokollal A különböző módszerek (method) esetében más és más az üzenet tartalma Ugyanakkor a hozzáférési pontnak elegendő az EAP protokollt ismerni EAP-Success: sikeres hitelesítés EAP-Faliure: sikertelen hitelesítés EAP példák Jelszavas EAP-MSCHAPv2 EAP-MD5 Tanúsítvány alapú EAP-TLS Egyszer jelszó EAP-OTP SIM kártya EAP-SIM Peer Hitelesíto átjáró EAP szerver EAP metódus EAP Alsó réteg (pl. PPP) EAP Alsó réteg (pl. PPP) EAP Alsó réteg (pl. IP) EAP metódus EAP Alsó réteg (pl. IP) 2008 ősz WiFi biztonság 49

50 EAP-MSCHAPv2, EAP-TLS EAP-MSCHAPv2 (Microsoft Challenege Handshake Authentication Protocol v2) Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval kombinált kihívást küldi vissza A kliens is küld kihívást és ellenőrzi, hogy a hitelesítő valóban ismeri az ő jelszavát -> kölcsönös hitelesítés Microsoft környezetben használt EAP-TLS (Transport Layer Security) Mind a kliens, mind a hitelesítő tanúsítvánnyal rendelkezik A felek kölcsönösen ellenőrzik a tanúsítványokat Nagyon biztonságos, de költséges, mert tanúsítványokat kell karbantartani 2008 ősz WiFi biztonság 50

51 EAP hitelesítések védelme EAP-TTLS és PEAP Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de nyíltan utaznak Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a jelszó is megszerezhető Az EAP kommunikációt védeni kell! EAP-TTLS - Tunneled Transport Layer Security IETF draft: Funk, Meetinghouse PEAP - Protected EAP IETF draft: Microsoft (+ Cisco és RSA) Önmagában nem hitelesítés csak az EAP csatorna titkosítása Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, Hitelesítés lépései 1. lépés: Titkos csatorna felépítése (TLS) Csak a szerver azonosítja magát tanúsítvány segítségével 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában A felhasználó hitelesíti magát 2008 ősz WiFi biztonság 51

52 EAP-TTLS üzenetek Csak domain név! A felhasználó nevét nem szabad küldeni! 1. Lépés Titkosított csatorna építése EAP-Response: Identity EAP-Request: EAP-TTLS/Start 2. Lépés Hitelesítés TLS felépítése Hitelesítő üzenetek EAP-Success 2008 ősz WiFi biztonság 52

53 Protokoll rétegek EAP-TTLS / PEAP rétegződés EAP módszer (MD5, OTP, ) EAP (EAP-TTLS esetén más is) TLS EAP-TTLS EAP Vivő protokoll (PPP, EAPoL, RADIUS, ) 2008 ősz WiFi biztonság 53

54 EAP módszerek összehasonlítása Erőforrásigény Tanúsítványok erősebbek a jelszavaknál, de nagyobb az erőforrásigényük, működtetésükhöz több adminisztráció kell (PKI Public Key Infrastructure) Kölcsönösség Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesítő is Hitelesítés EAP-MD5 MD5 EAP- MSCHAPv2 LMHASH és NTHASH Szükséges tanúsítványok - - Hitelesítés iránya Felhasználó identitásának védelme Kliens hitelesítése EAP-TLS EAP-TTLS PEAP Tanúsítványok Kliens és szerver Bármi Szerver EAP módszerek Szerver Kölcsönös Kölcsönös Kölcsönös Kölcsönös Nincs Nincs Nincs TLS TLS 2008 ősz WiFi biztonság 54

55 IEEE i A i célja, hogy végre biztonságos legyen a WiFi hálózat A szabvány 2004 es Addig is kellett egy használható módszer WPA WiFi Protected Access A i vel párhuzamosan fejlesztették A i t így WPA2 nek is nevezik 2008 ősz WiFi biztonság 55

56 WPA - Wi-Fi Protected Access Wi-Fi Allience a WEP problémáinak kijavítására (2003) Erős biztonság Hitelesítés és adatbiztonság Minden környezetben (SOHO és Enterprise) A meglévő eszközökön csak SW frissítés Kompatibilis a közelgő i szabvánnyal A fokozott biztonság mellett cél a gyors elterjedés is! A WEP mihamarabbi leváltása 2008 ősz WiFi biztonság 56

57 WPA - TKIP A WEP összes ismert hibájának orvoslása, megőrizve minél több WEP implementációt Titkosítás: Temporal Key Integrity Protocol (TKIP) Per-packet key mixing (nem csak hozzáfűzés) Message Integrity Check (MIC) - Michael Bővített inicializáló vektor (48 bit IV) sorszámozási szabályokkal Idővel lecserélt kulcsok (Nem jó, de muszáj) Hitelesítés: 802.1X és EAP A hitelesítés biztosítása Kölcsönös hitelesítés is (EAP-TLS) A hitelesítés változhat a környezettől függően (SOHO <> Enterprise <> HOTSPOT) 2008 ősz WiFi biztonság 57

58 TKIP Per Packet Keying IV Alap kulcs MAC cím Az IV változásával minden üzenetnek más kulcsa lesz Minden terminálnak más kulcsa lesz, akkor is, ha az alap kulcs véletlenül egyezne A packet kulcsot használjuk az eredeti WEP kulcs helyett Kulcskeverés IV Packet key WEP 2008 ősz WiFi biztonság 58

59 TKIP kulcs keverés 128 bites ideiglenes kulcs (A hitelesítésből származik) Csomagkulcs előállítása 2 lépésben Feistel alapú kódoló használata (Doug Whiting és Ron Rivest) 1. lépés A forrás MAC címének, az ideiglenes kulcsnak és az IV felső 32 bitjének keverése Az eredmény ideiglenesen tárolható, 2 16 kulcsot lehet még előállítani. Ez javítja a teljesítményt 2. lépés Az IV és a kulcs függetlenítése 48 bites IV 32 bit 16 bit Felső IV Alsó IV IV RC4 rejtjelező kulcsa 24 bit 104 bit d IV Csomagkulcs MAC cím Kulcs Kulcskeverés 1. fázis Kulcskeverés 2. fázis A d egy töltelék bájt, a gyenge kulcsok elkerülésére ősz WiFi biztonság 59

60 IV sorszámozás IV szabályok Mindig 0-ról indul kulcskiosztás után Ellentétben a WEP-pel, itt ez nem gond, mert úgy is más kulcsunk lesz minden egyeztetésnél Minden csomagnál eggyel nő az IV Ha nem, akkor eldobjuk az üzenetet A 48 bites IV már nem merül ki Ha mégis, akkor leáll a forgalom, új kulcs kell 2008 ősz WiFi biztonság 60

61 MIC Message Integrity Code Michael algoritmus (Neils Ferguson) 64 bites kulcs 64 bites hitelesítés Erőssége: kb. 30 bit, azaz a támadó 2 31 üzenet megfigyelésével képes egy hamisat létrehozni Nem túl erős védelem De egy erősebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon rontaná a teljesítményt + védelem: ha aktív támadást észlel (percen belül ismétlődő rossz MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra változatni Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a kulcs Már nem csak az adatot védjük, hanem a forrás és cél MAC címeket is! Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám) 2008 ősz WiFi biztonság 61

62 TKIP működése Forrás MAC Kulcs1 128 bit Sorszám 48 bit Kulcs2 64 bit Adat MSDU Kulcskeverés Michael Csomagkulcs Darabolás MIC MSDU MPDU(k) WEP Titkosított adat 2008 ősz WiFi biztonság 62

63 WEP és WPA Titkosítás Hitelesítés WEP Egyszerű eszközökkel, könnyen feltörhető 40 bites kulcsok (szabvány szerint) Statikus mindenki ugyanazt a kulcsot használja a hálózatban Kulcsok manuális disztribúciója, azok kézi bevitele Gyakorlatilag nincs, csak a kulcson keresztül. WPA A WEP minden hibája kijavítja 128 bites kulcsok Dinamikus kulcsok felhasználónként, csomagonként Kulcsok automatikus disztrbúciója 802.1x és EAP A WPA-t úgy tervezték, hogy minimális erőforrás ráfordítással kijavítsa a WEP hibát Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell 2008 ősz WiFi biztonság 63

64 WPA crack (2008) ARP, ismeretlen byte 8: MIC 4: ICV 2: hálózati IP címek utolsó része Chop-chop törhető, ha Léteznek más QoS osztályok (WME) Visszajátszás elleni védelem miatt 2008 ősz WiFi biztonság 64

65 802.11i (WPA2) IEEE ben jelent meg WPA + Biztonságos gyors hálózatváltások A hitelesítés biztonságos feloldása Új titkosító protokollok: AES-CCMP, WRAP Már szükséges a HW módosítása is, az új titkosító miatt Lassabb elterjedés, bár esetenként a driver is megcsinálhatja 2008 ősz WiFi biztonság 65

66 CBC-MAC Cipher Block Chaining Message Authentication Code Módszer 1. Az első blokk titkosítása 2. Az eredmény és a következő blokk XOR kapcsolat, aztán titkosítás 3. A második lépés ismétlése Szükséges a kitöltés! 2008 ősz WiFi biztonság 66

67 CCMP Counter Mode CBC-MAC Protocol Az AES titkosító használata Előre számolható (számláló módban) Párhuzamosítható Nagy biztonság Titkosítás és integritás védelemhez ugyanaz a kulcs Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond Sorszám Kulcs IV és CTR IV CTR AES AES MPDU Integritás védelem CBC-MAC Titkosítás Titkosított adat 2008 ősz WiFi biztonság 67

68 CCMP előnyök Egyetlen kulcs elegendő Titkosítás és integritás védelemhez ugyanaz a kulcs Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond AES előnyök Előre számolható (kulcs ismeretében) Párhuzamosítható Nagy biztonság Mentes a szabadalmaktól A WRAP nem volt az, így megbukott 2008 ősz WiFi biztonság 68

69 WLAN rádiós réteg védelme Titkosító Inicializáló vektor WEP RC4, 40 vagy 104 bites kulcs WPA TKIP RC4, 128 és 64 bites kulcs WPA2 CCMP AES, 128 bites kulcs 24 bites IV 48 bites IV 48 bites IV Csomagkulcs Összefűzés TKIP kulcskeverés nem szükséges Fejléc integritása Adatok integritása Visszajátszás védelem Kulcsmenedzsment nincs védve Forrás és cél MAC Michael CCM CRC-32 Michael CCM nincs védelem IV szabályok IV szabályok nincs IEEE 802.1X IEEE 802.1X 2008 ősz WiFi biztonság 69

70 Irodalom Phishing SPAM ősz WiFi biztonság 70