A IEEE 802.11 szabvány szerinti vezeték nélküli hálózatok (WiFi) biztonsága 1
Miről lesz szó Mi az a WiFi Miért jó? Biztonsági megoldások, tévedések SSID broadcast, MAC szűrés, WEP Feltörés elméletben, gyakorlatban Védelmi lehetőségek Egy kis sport 2
WiFi A WiFi kifejezést a Wi-Fi Alliance hozta létre olyan termékek minősítésére, melyek megfelelnek az IEEE 802.11 szabványnak Az általuk kidolgozott módszer szerint tesztelik az eszközöket az együttműködés szempontjából, majd Wi-Fi CERTIFIED minősítést adnak a megfelelteknek, persze nem kis összegért. 3
Miért jó? Kényelem, kötetlenség Egyszerű konfigurálhatóság Olcsó A teljes hálózati infrastruktúra kiépítésének költsége a vezetékeshez képes töredéke lehet. nincs gödör nincs falbontás van ahol ez nem is lenne lehetséges 4
Kockázatok Kapunk egy levelet az internetszolgáltatónktól, hogy elértük a havi limit 100%-át, pedig alig volt forgalmunk. Valószínű egyik leleményes szomszéd a mi hozzáférésünket használta. 5
Információszivárgás A hálózat által sugárzott jelek nem állnak meg a falnál, akár 100 méterre is jól foghatók. A vételhez nem szükséges speciális eszköz, bárki az utcáról is belehallgathat a hálózatunk forgalmába, mivel a hálózatok magukat hirdetik. Bizalmas információk kiszivárgása: Bankkártyaadatok magán-, vagy üzleti jellegű adatok 6
WarSpamming A támadó könnyen törhető AP(access point)-ket, és a mögötte lévő levelezőrendszert felhasználva rengeteg anonim spam-et küld. Az elküldött spam-ek száma gyakorlatilag csak a sávszélességtől függ. Mivel a valódi küldő azonosságát nem lehet meghatározni (kivéve ha tettenérik) ezért nagyon kedvelt módszer. Számunkra viszont nagyon hátrányos mert egyes spamszűrő rendszerek akár el is dobhatják a tőlünk érkező leveleket, de egyes országokban akár bíróságra is kerülhet a dolog. Itt viszont nekünk kell bizonyítani, hogy nem tőlünk származik. 7
Más hálózatok feltörése Egy cracker tevékenysége során megpróbálja elrejteni a rá utaló nyomokat. Vezetékes hálózat használata esetén ez akár nehezebb is lehet mint a cél feltörése. Ha keres egy könnyen törhető WiFi hálózatot akkor anélkül érheti el a kiszemelt rendszert, hogy bármilyen információ kiderülne róla. Esetleg a WiFi csatolójának MAC címét naplózhatja az AP, de ez akár lehet hamis is. 8
Ismeretlen AP Egy alkalmazott telepít a vállalata hálózatára egy AP-t. Ez esetben az AP nem része a cég biztonságpolitikájának és kiszámíthatatlan károkat okozhat. 9
Biztonsági megoldások A rendszer tervezésekor: SSID Broadcasting tiltás Hálózati azonosító (MAC) szűrés Titkosítás: WEP 10
SSID broadcasting 5 fajtája van: beacon: valójában ez az SSID broadcasting probe request probe response association request reassociation request Az SSID broadcasting kikapcsolása csak a beaconingot kapcsolja ki. Ezzel a saját helyzetünket nehezítjük, lehetetlenné tesszük a roamingot, a klienseknek pedig kézzel kell beírni az SSID-t. 11
MAC szűrés MAC frame format Mivel a WiFi hálózatoknál a MAC címek titkosítatlanul utaznak, ezért elég addig sniffelni amíg egy kliens nem kapcsolódik a hálózathoz, és máris van egy használható MAC címünk. 12
A WEP titkosítás Az RC4-en alapul: Szimmetrikus Adatfolyam-kódoló Van egy mindkét fél által ismert titkos kulcs amely lehet 40 vagy 104 bites Szükséges egy inicializációs vektor (IV), hogy ne ismétlődhessen a kulcs, mivel így könnyű lenne feltörni. Ez 24 bites, és a tikos kulcshoz fűzik. A vezetéknélküli csatoló, vagy AP állítja elő, a szabvány nem tartalmazza milyen módon. 13
Mit kell kódolni WEP Frame Body: Kódolandó a Data és az ICV 14
A kódolási folyamat 15
A kódolási folyamat 2. 1. A titkos kulcshoz fűzi az IV-t. 2. Az eredményt átadja a PRNG-nek, ami egy végtelen hosszú pszeudorandom sorozatot állít elő, a kulcsszekvenciát. 3. A titkosítandó üzenetre számol egy CRC értéket(icv) és ezt hozzáfűzi. Ez lesz a kódolás alapja. 4. Ezt XOR-olja a kulcsszekvenciával és megkaptuk a kódolt üzenetet. 5. Az IV-t beleteszi a küldendő csomagba, hogy a fogadó dekódolni tudja az üzenetet. 16
Dekódolás Magyarázat: lásd a kódolásnál Kivéve az ICV ellenőrzése 17
IV ütközés Stream kódolóknál fontos, hogy ugyan az a kulcs ne szerepeljen többször, mert ez lehetőséget ad a feltörésre. A WEP 24 bites IV-t használ, melyet az üzenet titkosítatlan részében küld el. A lehetséges IV-k száma 2 24= 16 777 216 ami első látásra soknak tűnhet 1500 bájtos csomagokkal 11Mbps-nél kb. 5 óra alatt fogynak el a felhasználható IV-k. 18
IV ütközés Születésnapi paradoxon: egy szobában 23 vagy több véletlenszerűen kiválasztott ember van. Annak a valószínűsége, hogy közülük legalább kettőnek egybeesik a születésnapja 50%. 60 vagy több embernél ez már nagyobb mint 99%. Ezt figyelembe véve várhatóan 4096 csomag után bekövetkezik az IV ütközés, vagyis két azonos kulccsal kódolt üzenet. 19
IV ütközés esetén rc4(x) xor rc4(y) = X xor Y Ha több azonos IV-vel kódolt üzenetünk van, statisztikai módszerekkel következtethetünk a tartalmukra. X xory xorx = Y Ha ismerünk egy üzenetet kódolatlanul és kódolva, akkor az összes ugyanolyan IV-vel rendelkező üzenetet meg tudjuk fejteni. 20
IV ütközés Ha ismerjük: X, rc4(x) akkor bármilyen helyesen kódolt üzenetet el tudunk küldeni a hálózatra. RC4(X) xor X xor Y = RC4(Y) Dekódoló táblát lehet felépíteni, ami tartalmaz minden IV-hez kapcsolódó RC4 kulcssorozatot, így a teljes forgalom dekódolható 21
FMS módszer A módszer az RC4 hiányosságait használja ki. Ezekre a Princeton egyetemen dolgozó Wagner hívta fel a figyelmet 1995-ben. 1999-ben megszületett a WEP, mely sorról-sorra implementálta az RC4 összes hibáját, amelyre már 4 évvel korábban felhívták a figyelmet. Fluhrer, Mantin és Shamir dolgozta ki részletesen a módszert. 22
Az FMS módszer A titkosított csomag legtöbbször IP, vagy ARP Az RFC 1042 szabvány miatt garantált, hogy titkosítatlan szöveg első bájtja 0xAA X xor rc4(x) = kulcs Vagyis ismerjük a kulcsfolyam 1. bájtját Ebből az RC4 egy hiányosságát kihasználva un. gyenge IV-k esetén 5% valószínűséggel ki lehet találni a titkos kulcs n. bájtját. Gyenge IV: (n+3,0xff,x) 23
Törés a gyakorlatban FMS módszer használata a leggyakoribb, mert kész eszközök állnak rendelkezésre és gyors. 2-10 perc elegendő a titkos kulcs megszerzéséhez. A szükséges szoftverek mindegyike megtalálható az Auditor Security Collection Live CD-n. 24
Hardvereszközök 25
Szoftvereszközök Elvégzendő feladatok, szükséges szoftverek: SSID meghatározása, AP és kliens MAC címének meghatározása: Kismet Csomagok és IV-k gyűjtése: Airodump Forgalom növelése: Aireplay Gyűjtött csomagok és IV-k statisztikai elemzése: Aircrack 26
SSID, MAC Ha az SSID broadcasting ki van kapcsolva az AP-n és/vagy nem ismerjük a MAC szűréshez beállított címeket, kell egy a sniffelés folyamán csatlakozó kliens, mert az ekkor használt keretekben utaznak ezek az adatok titkosítás nélkül. 27
Replay attack A forgalom növelésére használják, mert a módszerhez sok különböző IV szükséges. Egy kliens üzenetét kapja el, majd gyakran újraadja. Az üzenet érvényes mivel egy csatlakozott, autentikált klienstől származik, így teljesen normális hálózati forgalomnak tűnik. A megfelelő csomag az ARP, mivel rövid, fix méretű (68 byte), és könnyen felismerhető. 28
Kulcs meghatározás Az AP folyamatosan küldi a válaszokat különböző IV-vel, így a szükséges mennyiség hamar összegyűlik. A kapott IV-ket az aircrack statisztikai módszerekkel elemzi és meghatározza a titkos kulcsot 29
WPA Átmeneti megoldás amíg a 802.11i el nem készül. Megmaradt az RC4 kódolás, de az IV 24-ről 48 bitesre nőtt, ami megnehezíti a dekódolást. CRC helyett MIC, ez tartalmaz egy keretszámlálót, amivel megakadályozható a replay támadás. TKIP: Temporal Key Integrity Protocol bizonyos időközönként automatikusan megváltoztatja a titkos kulcsot. 30
WPA2 Megfelel az IEEE 802.11i-nek RC4 helyett AES. Emiatt nagyobb hardverigény EAP: Extensible Authentication Protocol ezáltal lehetővé válik az autentikáció. Pl.: Radius, LDAP 31
Sport wardriving, warflying, warcycling, stb. Feladat: AP-k keresése. Szükséges hozzá: WiFi csatolóval ellátott PDA vagy notebook, GPS (opcionális) Program, mely gyűjti az információkat Pocket warrior Netstumbler Kismet 32
Eredmények Budapest: útvonal 20 km Összes AP: 145 db Default beállítással: 22 db Titkosítatlan: 98 db WEP, WPA: 47 db Törhető a titkosítottakból: 86% 33
Warflying 34
Eredmények Los Angeles környéke 2004. április 4584 access point 1406 titkosított 3178 titkosítatlan 35