WiFi biztonság Dr. Fehér Gábor feher@tmit.bme.hu BME-TMIT
Vezetéknélküli technológiák WiFi - Wireless Fidelity Maximum: 100 m, 100 Mbps Világrekord: erősítetlen 11Mbps, 125 mérföld! WiMAX Worldwide Interopability for Microwave Access Maximum: 50 km, 75 Mbps Bluetooth Maximum: 100 (10) m, 768 Kbps Más technológiák GPRS, UMTS, 3G, Wireless USB, 2008 ősz WiFi biztonság 2
Vezetéknélküli hálózatok Előnyök a korábbi vezetékes hálózatokkal szemben Felhasználók Egy zsinórral kevesebb (Laptop, PDA) Internet elérés a frekventált helyeken (HOTSPOT) Adminisztrátorok Könnyen telepíthető, könnyen karbantartható Nem igényel kábelezést Olyan helyekre is elvihető, ahova vezetéket nehezen lehet kihúzni Üzleti szempont Hosszútávon olcsóbb üzemeltetni Átállni azonban nagy beruházást jent 2008 ősz WiFi biztonság 3
WiFi hálózati szabványok A jelenlegi átviteli szabványok IEEE 802.11b 11Mbps 2.4 GHz IEEE 802.11g 54Mbps 2.4 GHz IEEE 802.11a 54Mbps 5 GHz IEEE 802.11n 300Mbps 2.4, 5 GHz 2008 ősz WiFi biztonság 4
802.11 család IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999) IEEE 802.11c - Bridge operation procedures; included in the IEEE 802.1D standard (2001) IEEE 802.11d - International (country-to-country) roaming extensions (2001) IEEE 802.11e - Enhancements: QoS, including packet bursting (2005) IEEE 802.11f - Inter-Access Point Protocol (2003) IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004) IEEE 802.11i - Enhanced security (2004) IEEE 802.11j - Extensions for Japan (2004) IEEE 802.11k - Radio resource measurement enhancements IEEE 802.11l - (reserved, typologically unsound) IEEE 802.11m - Maintenance of the standard; odds and ends. IEEE 802.11n - Higher throughput improvements IEEE 802.11o - (reserved, typologically unsound) IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars) IEEE 802.11q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking) IEEE 802.11r - Fast roaming IEEE 802.11s - ESS Mesh Networking IEEE 802.11T - Wireless Performance Prediction (WPP) - test methods and metrics IEEE 802.11u - Interworking with non-802 networks (e.g., cellular) IEEE 802.11v - Wireless network management IEEE 802.11w - Protected Management Frames 2008 ősz WiFi biztonság 5
Vezetéknélküli hálózat elemei Vezetéknélküli hálózati kártya Leginkább könnyen mozgatható eszközökhöz Laptop, PDA és TablePC De ma már fényképezőgép, videójáték, mobiltelefon Beépített eszközök, PCMCIA, CF kártya, USB eszköz, stb.. Egyedi MAC cím Hozzáférési pont (Access Point AP) A vezetéknélküli eszközök rádiókapcsolatban vannak a hozzáférési ponttal 2008 ősz WiFi biztonság 6
HOTSPOT Frekventált helyek ahol sok potenciális felhasználó lehet Reptéri terminálok Kávézók, szórakozóhelyek Internet elérés A felhasználók fizetnek a szolgáltatásért Szállodák 2008 ősz WiFi biztonság 7
Vezetéknélküli hálózatok kihívásai Legfőbb kihívások Rádióhullámok interferenciája Több hozzáférési pont elhelyezése Egymást zavaró adások Tereptárgyak hatásai Eszközök tápellátása (részben vezetékes..) Tápfelhasználás optimalizálása Mozgás a hozzáférési pontok között Handover Szolgáltató-váltás Biztonság 2008 ősz WiFi biztonság 8
Vezetéknélküli hálózatok biztonsága Vezetékes hálózat esetében az infrastruktúrához való hozzáférés már sok behatolót megállít Vezetéknélküli hálózat esetén azonban megszűnik ez a korlát A fizikai közeg nem biztosít adatbiztonságot, a küldött/fogadott adatokat mindenki észleli A támadó nehézségek nélkül és észrevétlenül hozzáfér a hálózathoz A hálózat eljut az épületen kívülre is 2008 ősz WiFi biztonság 9
Vezetéknélküli hálózatok biztonsága 2. Felmerülő biztonsági kérdések Hitelesítés A felhasználó hitelesítése A szolgáltató hitelesítése A hitelesítés védelme Sikeres hitelesítés után az adatok védelme Anonimitás (jelenleg nem cél) 2008 ősz WiFi biztonság 10
A vezetéknélküli hálózatok ellenségei Wardriving Behatolás idegen hálózatokba Autóból WLAN vadászat Rácsatlakozás a szomszédra Ingyen Internet az utcán Szolgálatmegtagadás Frekvenciatartomány zavarása (jamming) DoS támadás Evil Twin (rogue AP) Hamis AP felállítása Felhasználók adatainak gyűjtése Visszaélés más személyiségével Lehallgatás 2008 ősz WiFi biztonság 11
Wardriving www.wifiterkep.hu: AP titkosított: 56% (8193db) AP nyílt: 44% (6315db) 2008 ősz WiFi biztonság 12
Hitelesítés problémái Kihívás-válasz alapú hitelesítés Vezetékes környezetben jól működik A felhasználó bízhat a szolgáltatóban Vezetéknélküli környezetben már nem tökéletes A támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak (és protokollok) eseték egyszerű a szótáras támadás 2008 ősz WiFi biztonság 13
Hitelesítés problémái 2. Man-in-the-middle támadások Vezetékes környezetben nincsenek támadók a drótban (reméljük..) Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt Azonban a támadónak a közelben kell lennie (De lehet az épületen kívül is!) 2008 ősz WiFi biztonság 14
Szolgáltatásbiztonság problémái Hamis hozzáférési pontok (rogue AP) Könnyű telepíteni egy PDA is lehet AP! A felhasználó nem feltétlenül ismeri az APt Pl.: HOTSPOT környezet Szolgálatmegtagadás DoS Szolgálatmegtagadás elárasztással egy vezetékes eszközről Fizikai akadályoztatás (jammer) 2008 ősz WiFi biztonság 15
Hozzáférés-védelem Fizikai korlátozás A támadónak hozzáférés szükséges a hálózathoz Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni Gyakorlatban kerítés vagy vastag betonfal Nem biztonságos! A támadó bejuthat a hálózat területére Nagyobb antennát alkalmazhat 2008 ősz WiFi biztonság 16
Hozzáférés-védelem MAC szűrés Minden hálózati csatolónak egyedi címe van MAC cím (6 bájt) Egyedi a csatoló szempontjából Hozzáférés szűrése MAC címek alapján A hozzáférési pontnak listája van az engedélyezett csatlakozókról Esetleg tiltólista is lehet a kitiltott csatlakozókról Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) Nagyon sok helyen ezt használják Nem biztonságos! Az eszközök megszerzése már hozzáférést biztosít Nem a felhasználót azonosítja A MAC címek lehallgathatóak és egy másik eszköz is felvehet engedélyezett MAC címet Több hozzáférési pont menedzsmentje nehéz Linux: ifconfig eth0 down hw ether 01:02:03:04:05:06 ifconfig eth0 up Windows: A csatoló driver legtöbbször támogatja, ha nem akkor registry módosítás 2008 ősz WiFi biztonság 17
Hozzáférés-védelem - Hálózat elrejtése A hozzáférési pontot a neve azonosítja Service Set ID SSID Az SSIDt, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) A hozzáférési pont elrejtése A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem látszik Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni Nem biztonságos! A csatlakozó kliensek nyíltan küldik az SSIDt A támadó a csatlakozás lehallgatással felderítheti az SSIDt Népszerűbb eszközök gyári SSID beállításai tsunami Cisco, 101 3Com, intel - Intel, linksys Linksys 2008 ősz WiFi biztonság 18
Hozzáférés-védelem Felhasználó hitelesítés A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát A hitelesítés nehézségei Nyílt hálózat, bárki hallgatózhat A kihívás-válasz alapú hitelesítés esetén támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak eseték egyszerű a szótáras támadás Man-in-the-middle támadások Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz Legjobb a felhasználót hitelesíteni nem az eszközét Felhasználói jelszavak (mindenkinek külön) 2008 ősz WiFi biztonság 19
Hitelesítés Hálózati jelszavak A felhasználók használhatják a hálózatot ha ismerik a hálózat titkos jelszavát Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó WEP és WPA-PSK hitelesítés Részletesebben a titkosításnál Nem biztonságos! A támadó megszerezheti a hitelesítési üzeneteket és szótáras támadást tud végrehajtani Egyszerű a hálózati jelszó esetén a támadó könnyen célt ér A hálózati jelszó sok gépen van telepítve vagy sok felhasználó ismeri ezért cseréje nehezen megoldható A WEP esetén a hitelesítés meghamisítható 2008 ősz WiFi biztonság 20
Hitelesítés Captive portal Hitelesítés web felületen keresztül Egyszerű a felhasználónak A kliensen egy web browser kell hozzá A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó A felhasználó hitelesítés után folytathatja a böngészést A weblapon akár elő is fizethet a felhasználó a szolgáltatásra A legtöbb HOTSPOT ezt használja Nem igényel szakértelmet a használata Nem kell telepíteni vagy átállítani a felhasználó gépét Nem biztonságos! Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát A felhasználó megtéveszthető hamis szolgáltatóval A támadó folytathatja a felhasználó nevében a hozzáférést 2008 ősz WiFi biztonság 21
Adatkapcsolat biztonsága A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is Az adatokat titkosítani kell a hálózaton Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet WEP Wired Equivalent Privacy WPA WiFi Protected Access 802.11i 802.11 Enhanced security WPA2 nek is nevezik 2008 ősz WiFi biztonság 22
Adatkapcsolat biztonsága: WEP Cél a vezetékes hálózatokkal azonos biztonság Hitelesítés és titkosítás Elsősorban titkosítás RC4 folyamkódoló Kulcsfolyam és adat XOR kapcsolata 40 vagy 104 bites kulcsok 4 kulcs is használható (KA) 24 bites Inicializáló vektor (IV) Hitelesítés megvalósítása Kihívás alapú, a válasz a titkosított kihívás Titkosított Csak opcionális Integritásvédelem CRC ellenőrző összeg (ICV) WEP csomag Fejléc IV KA Üzenet ICV 2008 ősz WiFi biztonság 23
WEP Titkosítás A titkosításhoz hálózat színtű statikus, közös titok Azonos kulcsok, a felhasználók látják egymás forgalmát Folyamkódolás: ha két csomag azonos kulccsal van kódolva, akkor az egyik ismeretében a másik megfejthető a kulcs ismerete nélkül A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV) amely minden csomagra egyedivé teszi a csomagkulcsot Az inicializáló vektor 24 bites, így 2 24 csomag után biztos ismétlődés Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul Születésnapi paradoxon miatt már 2 12 csomag után ütközés! AZ IV számozásra nincs szabály (gyakorlatilag eggyel nő) Sok esetben a kulcs feltörése sem okoz gondot Legtöbbször jelszóból generálják -> szótáras támadás A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a kulcs 2008 ősz WiFi biztonság 24
WEP integritásvédelem és hitelesítés A CRC kód jó hibadetektáló és hibajavító kód Védelem a zaj ellen, de a szándékos felülírás ellen nem véd A CRC érték titkosítva található a csomag végén A csomag módosítása esetén a CRC érték újraszámolható, a jelszó ismerete nélkül A csomag IP fejlécében a biteket felülírva a csomagokat el lehet terelni Kihívás-válasz alapú hitelesítés A támadó lehallgathatja a nyílt kihívást és a titkosított választ Egy új nyílt kihívásra ő maga is előállíthatja a választ a már ismert kulcsfolyam segítségével A megfelelő biteket átállítja (XOR) A CRC értéket újra számolja 2008 ősz WiFi biztonság 25
WEP biztonság A WEP biztonság nem létezik Csupán hamis biztonságérzet a felhasználókban A kulcsméretet megemelték 104 bitre Nem csak ez volt a hiba 104 bites hálózati kulcs feltörése már akár 500.000 megfigyelt titkosított csomag esetén is A megfigyelés ideje rövidíthető hamis csomagok beszúrásával A többi gyengeség továbbra is megmaradt! 2008 ősz WiFi biztonság 26
WEP törések 2002 Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A. Stubblefield, J. Ioannidis, A. Rubin Korrelációk a kulcs és a kulcsfolyam között 4.000.000 6.000.000 csomag 2004 KoReK, fejlesztett FMS támadás Még több korreláció a kulcs és a kulcsfolyam között 500.000 2.000.000 csomag (104 bites WEP) 2006 KoReK, Chopchop támadás Az AP segítségével a titkosított CRC miatt bájtonként megfejthető a titkosított üzenet 2007 PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még több korreláció 60.000 90.000 csomag (104 bites WEP) 2008 ősz WiFi biztonság 27
Chop-chop A csomag tartalmának megfejtése bájtonként A legutolsó bájtot megjósoljuk, majd elvesszük és igazítjuk a titkosított CRC-t Ha jót jósoltunk, akkor helyes a CRC Küldjük vissza a csomagot az AP-nek Néhány AP hibajelzést ad, ha a felhasználó még nincsen hitelesítve, de a csomag korrekt Tudjuk, ha jól jósolunk Az tetszőleges hosszú üzenet megfejtése átlagosan hossz x 128 üzenetben történik Mindig megfejthető A kulcsot nem fogjuk megismerni 2008 ősz WiFi biztonság 28
Adatszerzés WEP töréshez Hamisított csomagok De-authentication ARP response kicsikarása Módosított ARP request / Gratuitous ARP üzenet WEP esetén könnyen módosítható a titkosított is Caffé latte támadás Nem szükséges a WEP hálózatban lenni A Windows tárolja a WEP kucsokat, hamis AP megtévesztheti Hamis ARP üzenetekkel 90.000 csomag gyűjtése 6 perces támadás 2008 ősz WiFi biztonság 29
WEP patch Nagy kulcsok Gyenge IVk elkerülése ARP filter WEP Chaffing Megtévesztő WEP csomagok injektálása. Hatására a WEP törésnél hibás adatok alapján számolódik a kulcs A törő algoritmusok javíthatóak.. 2008 ősz WiFi biztonság 30
RADIUS hitelesítés Remote Authentication Dial In User Service Eredetileg a betárcsázós felhasználóknak (Merit Networks és Livingston Enterprises) Ma már széleskörű használat Azonosítás nem csak dial-in felhasználáskor Távközlésben számlázáshoz AAA szolgáltatás nyújtása 2008 ősz WiFi biztonság 31
RADIUS tulajdonságok Legfőbb tulajdonságok UDP alapú (kapcsolatmentes) Állapotmentes Hop by hop biztonság Hiányosságok End to end biztonság támogatása Skálázhatósági problémák 2008 ősz WiFi biztonság 32
RADIUS felépítése Kliens-szerver architektúra Kliens Szerver Felhasználó NAS RADIUS A szerepek nem változnak A felhasználó a kliens A hitelesítő a szerver De van RADIUS RADIUS kapcsolat is 2008 ősz WiFi biztonság 33
Diameter Kétszer nagyobb mint a RADIUS A jövő AAA szolgáltatása (IETF) Még mindig nincs kész TCP vagy SCTP (Stream Control Transmission Protocol) protokoll kérdés/válasz típusú + nem kért üzenetek a szervertől Hop-by-hop titkosítás (közös titok) End-to-end titkosítás 2008 ősz WiFi biztonság 34
RADIUS - Diameter Diameter jobb: (Nem csoda, ezért csinálták) Jobb skálázhatóság Jobb üzenetkezelés (hibaüzenetek) Együttműködés, kompatibilitás, bővíthetőség Nagyobb biztonság IPSec (+ TLS) End-to-end titkosítás RADIUS még foltozható, de lassan már kár ragaszkodni hozzá Diameter hátránya: nagy komplexitás Még mindig egyeztetnek róla 2008 ősz WiFi biztonság 35
Hitelesítés 802.1X és EAP 802.1X: Port Based Network Access Control IEEE specifikáció a LAN biztonság javítására (2001) Külső hitelesítő szerver: RADIUS (de facto) Remote Authentication Dial-In User Service Tetszőleges hitelesítő protokoll: EAP és EAPoL Extensible Authentication Protocol over LAN Különböző EAP metódusok különböző hitelesítésekhez: EAP-MD5 Challenge, EAP-TLS, EAP-SIM, Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS A 802.1X nagyon jól illik a WLAN környezetbe: Felhasználó alapú hitelesítés megvalósítható A hitelesítést nem a hozzáférési pont végzi Egyszerű és olcsó hozzáférési pont, egyszerű üzemeltetés Hitelesítés típusa egyszerűen módosítható Központosított hitelesítés A hitelesítés védelme megoldható 2008 ősz WiFi biztonság 36
802.1X Hozzáférés szűrés Kezdetben csak EAPoL forgalom Csak akkor mehet adatforgalom, ha hitelesítve lett 802.1X segítségével Hitelesített EAPoL Szűrt EAPoL A hitelesítés nélkül csak EAPoL forgalom. Továbbításáról a hozzáférési pont gondoskodik 2008 ősz WiFi biztonság 37
802.1X protokollok Felhasználó Supplicant (STA) Hozzáférési pont Authenticator (AP) Hitelesítő szerver Authentication server (AS) EAP-TLS EAPol EAP RADIUS EAP-TLS 802.11 IP/UDP 2008 ősz WiFi biztonság 38
Kulcsok Master Key (MK) A viszony alatt fennálló szimmetrikus kulcs a felhasználó (STA) és a hitelesítő szerver között (AS) Csak ők birtokolhatják (STA és AS) Minden más kulcs ebből származik Pairwise Master Key (PMK) Frissített szimmetrikus kulcs a felhasználó (STA) és a hozzáférési pont (AP) között A felhasználó (STA) generálja a kulcsot MK alapján A hozzáférési pont (AP) a hitelesítő szervertől (AS) kapja 2008 ősz WiFi biztonság 39
Kulcsok (folyt.) Pairwise Transient Key (PTK) A felhasznált kulcsok gyűjteménye Key Confirmation Key (PTK bitek 1-128) A PMK ismeretének bizonyítása Key Encryption Key (PTK bitek 129-256) Más kulcsok terjesztése Temporal Key (TK) (PTK bitek 257-..) Az adatforgalom biztosítása 2008 ősz WiFi biztonság 40
Kulcs hierarchia Master Key (MK) TLS-PRF Pairwise Master Key (PMK) EAPoL-PRF Pairwise Transient Key (PTK) 0-127 128-255 256- Key Confirmation Key (KCK) Temporal Key (TK) Key Encryption Key (KEK) 2008 ősz WiFi biztonság 41
802.1X Működési fázisok 1 2 Képesség felderítés 802.1X hitelesítés (Pairwise Master Key generálása) 4 802.1X kulcsmenedzsment (Pairwise Transient Key generálása) 3 Kulcskiosztás (PMK) Adatvédelem (Tempolral Key) 2008 ősz WiFi biztonság 42
802.1x hitelesítés 802.1x/EAP-Req. Identity 802.1x/EAP-Resp. Identity PMK származtatása 802.1x/EAP-Success Kölcsönös azonosítás a választott EAP típus alapján AAA Access Request/Identity AAA Accept + PMK PMK származtatása 2008 ősz WiFi biztonság 43
802.1x hitelesítés gondok Az EAP nem biztosít védelmet Hamisított AAA-Accept üzenetek RADIUS Statikus kulcs a hozzáférési pont (AP) és a hitelesítő szerver (AS) között A hozzáférési pont minden üzenettel együtt egy kihívást is küld Hamisított üzenetekre a RADIUS szerver gond nélkül válaszol Megoldást a DIAMETER hitelesítő jelenthet Sajnos úgy látszik ez sem fogja tökéletesen megoldani a problémát 2008 ősz WiFi biztonság 44
802.1x hitelesítés lépései A hitelesítést a hitelesítő szerver (AS) kezdeményezi és ő választja meg a módszert A hitelesítő legtöbbször RADIUS szerver Tapasztalatok, fejlesztések A hitelesítő módszer legtöbbször EAP-TLS Több kell, mint kihívás alapú hitelesítés Privát/publikus kulcsok használata Sikeres hitelesítés esetén a hozzáférési pont (AP) megkapja a Pairwise Master Key (PMK) t is Otthoni és ad-hoc környezetben nem szükséges hitelesítő központ Pre-shared Key (PSK) használta PMK helyett Az otthoni felhasználó ritkán kezel kulcsokat.. 2008 ősz WiFi biztonság 45
802.1X kulcsmenedzsment A Pairwise Master Key (PMK) segítségével a felhasználó (STA) és a hozzáférési pont (AP) képes előállítani a Pairwise Transient Key (PTK) t A PMK kulcsot (ha a hitelesítő szerverben (AS) lehet bízni, akkor csak ők ismerik A PTK kulcsot mindketten (STA és AP) származtatják (nem utazik a hálózaton!) és ellenőrzik, hogy a másik fél valóban ismeri 4 utas kézfogás A többi kulcsot vagy egyenesen a PTK ból származtatják (megfelelő bitek) vagy a KEK segítségével szállítják a hálózaton (pl. Group TK) 2008 ősz WiFi biztonság 46
4 utas kézfogás Véletlen SNonce PTK előállítása: (PMK, ANonce, SNonce, AP MAC, STA AMC) EAPoL-Key(ANonce) EAPoL-Key(SNonce, MIC) EAPoL-Key(ANonce, MIC) Véletlen ANonce PTK előállítása EAPoL-Key(MIC) 2008 ősz WiFi biztonság 47
4 utas kézfogás lépései MIC: Az üzenetek integritásának védelme Man-in-the-middle támadások kizárása A 2. üzenet mutatja, hogy A felhasználó (STA) ismeri PMK t A megfelelő ANonce t kapta meg A 3. üzenet mutatja, hogy A hozzáférési pont (AP) ismeri PMK t A megfelelő SNonce t kapta meg A 4. üzenet csak azért van, hogy teljes legyen a kérdés/válasz működés 2008 ősz WiFi biztonság 48
EAP Extensible Authentication Protocol Több különböző hitelesítési módszer egyetlen protokollal A különböző módszerek (method) esetében más és más az üzenet tartalma Ugyanakkor a hozzáférési pontnak elegendő az EAP protokollt ismerni EAP-Success: sikeres hitelesítés EAP-Faliure: sikertelen hitelesítés EAP példák Jelszavas EAP-MSCHAPv2 EAP-MD5 Tanúsítvány alapú EAP-TLS Egyszer jelszó EAP-OTP SIM kártya EAP-SIM Peer Hitelesíto átjáró EAP szerver EAP metódus EAP Alsó réteg (pl. PPP) EAP Alsó réteg (pl. PPP) EAP Alsó réteg (pl. IP) EAP metódus EAP Alsó réteg (pl. IP) 2008 ősz WiFi biztonság 49
EAP-MSCHAPv2, EAP-TLS EAP-MSCHAPv2 (Microsoft Challenege Handshake Authentication Protocol v2) Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval kombinált kihívást küldi vissza A kliens is küld kihívást és ellenőrzi, hogy a hitelesítő valóban ismeri az ő jelszavát -> kölcsönös hitelesítés Microsoft környezetben használt EAP-TLS (Transport Layer Security) Mind a kliens, mind a hitelesítő tanúsítvánnyal rendelkezik A felek kölcsönösen ellenőrzik a tanúsítványokat Nagyon biztonságos, de költséges, mert tanúsítványokat kell karbantartani 2008 ősz WiFi biztonság 50
EAP hitelesítések védelme EAP-TTLS és PEAP Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de nyíltan utaznak Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a jelszó is megszerezhető Az EAP kommunikációt védeni kell! EAP-TTLS - Tunneled Transport Layer Security IETF draft: Funk, Meetinghouse PEAP - Protected EAP IETF draft: Microsoft (+ Cisco és RSA) Önmagában nem hitelesítés csak az EAP csatorna titkosítása Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, Hitelesítés lépései 1. lépés: Titkos csatorna felépítése (TLS) Csak a szerver azonosítja magát tanúsítvány segítségével 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában A felhasználó hitelesíti magát 2008 ősz WiFi biztonság 51
EAP-TTLS üzenetek Csak domain név! A felhasználó nevét nem szabad küldeni! 1. Lépés Titkosított csatorna építése EAP-Response: Identity EAP-Request: EAP-TTLS/Start 2. Lépés Hitelesítés TLS felépítése Hitelesítő üzenetek EAP-Success 2008 ősz WiFi biztonság 52
Protokoll rétegek EAP-TTLS / PEAP rétegződés EAP módszer (MD5, OTP, ) EAP (EAP-TTLS esetén más is) TLS EAP-TTLS EAP Vivő protokoll (PPP, EAPoL, RADIUS, ) 2008 ősz WiFi biztonság 53
EAP módszerek összehasonlítása Erőforrásigény Tanúsítványok erősebbek a jelszavaknál, de nagyobb az erőforrásigényük, működtetésükhöz több adminisztráció kell (PKI Public Key Infrastructure) Kölcsönösség Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesítő is Hitelesítés EAP-MD5 MD5 EAP- MSCHAPv2 LMHASH és NTHASH Szükséges tanúsítványok - - Hitelesítés iránya Felhasználó identitásának védelme Kliens hitelesítése EAP-TLS EAP-TTLS PEAP Tanúsítványok Kliens és szerver Bármi Szerver EAP módszerek Szerver Kölcsönös Kölcsönös Kölcsönös Kölcsönös Nincs Nincs Nincs TLS TLS 2008 ősz WiFi biztonság 54
IEEE 802.11i A 802.11i célja, hogy végre biztonságos legyen a WiFi hálózat A szabvány 2004 es Addig is kellett egy használható módszer WPA WiFi Protected Access A 802.11i vel párhuzamosan fejlesztették A 802.11i t így WPA2 nek is nevezik 2008 ősz WiFi biztonság 55
WPA - Wi-Fi Protected Access Wi-Fi Allience a WEP problémáinak kijavítására (2003) Erős biztonság Hitelesítés és adatbiztonság Minden környezetben (SOHO és Enterprise) A meglévő eszközökön csak SW frissítés Kompatibilis a közelgő 802.11i szabvánnyal A fokozott biztonság mellett cél a gyors elterjedés is! A WEP mihamarabbi leváltása 2008 ősz WiFi biztonság 56
WPA - TKIP A WEP összes ismert hibájának orvoslása, megőrizve minél több WEP implementációt Titkosítás: Temporal Key Integrity Protocol (TKIP) Per-packet key mixing (nem csak hozzáfűzés) Message Integrity Check (MIC) - Michael Bővített inicializáló vektor (48 bit IV) sorszámozási szabályokkal Idővel lecserélt kulcsok (Nem jó, de muszáj) Hitelesítés: 802.1X és EAP A hitelesítés biztosítása Kölcsönös hitelesítés is (EAP-TLS) A hitelesítés változhat a környezettől függően (SOHO <> Enterprise <> HOTSPOT) 2008 ősz WiFi biztonság 57
TKIP Per Packet Keying IV Alap kulcs MAC cím Az IV változásával minden üzenetnek más kulcsa lesz Minden terminálnak más kulcsa lesz, akkor is, ha az alap kulcs véletlenül egyezne A packet kulcsot használjuk az eredeti WEP kulcs helyett Kulcskeverés IV Packet key WEP 2008 ősz WiFi biztonság 58
TKIP kulcs keverés 128 bites ideiglenes kulcs (A hitelesítésből származik) Csomagkulcs előállítása 2 lépésben Feistel alapú kódoló használata (Doug Whiting és Ron Rivest) 1. lépés A forrás MAC címének, az ideiglenes kulcsnak és az IV felső 32 bitjének keverése Az eredmény ideiglenesen tárolható, 2 16 kulcsot lehet még előállítani. Ez javítja a teljesítményt 2. lépés Az IV és a kulcs függetlenítése 48 bites IV 32 bit 16 bit Felső IV Alsó IV IV RC4 rejtjelező kulcsa 24 bit 104 bit d IV Csomagkulcs MAC cím Kulcs Kulcskeverés 1. fázis Kulcskeverés 2. fázis A d egy töltelék bájt, a gyenge kulcsok elkerülésére. 2008 ősz WiFi biztonság 59
IV sorszámozás IV szabályok Mindig 0-ról indul kulcskiosztás után Ellentétben a WEP-pel, itt ez nem gond, mert úgy is más kulcsunk lesz minden egyeztetésnél Minden csomagnál eggyel nő az IV Ha nem, akkor eldobjuk az üzenetet A 48 bites IV már nem merül ki Ha mégis, akkor leáll a forgalom, új kulcs kell 2008 ősz WiFi biztonság 60
MIC Message Integrity Code Michael algoritmus (Neils Ferguson) 64 bites kulcs 64 bites hitelesítés Erőssége: kb. 30 bit, azaz a támadó 2 31 üzenet megfigyelésével képes egy hamisat létrehozni Nem túl erős védelem De egy erősebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon rontaná a teljesítményt + védelem: ha aktív támadást észlel (percen belül ismétlődő rossz MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra változatni Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a kulcs Már nem csak az adatot védjük, hanem a forrás és cél MAC címeket is! Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám) 2008 ősz WiFi biztonság 61
TKIP működése Forrás MAC Kulcs1 128 bit Sorszám 48 bit Kulcs2 64 bit Adat MSDU Kulcskeverés Michael Csomagkulcs Darabolás MIC MSDU MPDU(k) WEP Titkosított adat 2008 ősz WiFi biztonság 62
WEP és WPA Titkosítás Hitelesítés WEP Egyszerű eszközökkel, könnyen feltörhető 40 bites kulcsok (szabvány szerint) Statikus mindenki ugyanazt a kulcsot használja a hálózatban Kulcsok manuális disztribúciója, azok kézi bevitele Gyakorlatilag nincs, csak a kulcson keresztül. WPA A WEP minden hibája kijavítja 128 bites kulcsok Dinamikus kulcsok felhasználónként, csomagonként Kulcsok automatikus disztrbúciója 802.1x és EAP A WPA-t úgy tervezték, hogy minimális erőforrás ráfordítással kijavítsa a WEP hibát Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell 2008 ősz WiFi biztonság 63
WPA crack (2008) ARP, ismeretlen 12 + 2 byte 8: MIC 4: ICV 2: hálózati IP címek utolsó része Chop-chop törhető, ha Léteznek más QoS osztályok (WME) Visszajátszás elleni védelem miatt 2008 ősz WiFi biztonság 64
802.11i (WPA2) IEEE - 2004 ben jelent meg WPA + Biztonságos gyors hálózatváltások A hitelesítés biztonságos feloldása Új titkosító protokollok: AES-CCMP, WRAP Már szükséges a HW módosítása is, az új titkosító miatt Lassabb elterjedés, bár esetenként a driver is megcsinálhatja 2008 ősz WiFi biztonság 65
CBC-MAC Cipher Block Chaining Message Authentication Code Módszer 1. Az első blokk titkosítása 2. Az eredmény és a következő blokk XOR kapcsolat, aztán titkosítás 3. A második lépés ismétlése Szükséges a kitöltés! 2008 ősz WiFi biztonság 66
CCMP Counter Mode CBC-MAC Protocol Az AES titkosító használata Előre számolható (számláló módban) Párhuzamosítható Nagy biztonság Titkosítás és integritás védelemhez ugyanaz a kulcs Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond Sorszám Kulcs IV és CTR IV CTR AES AES MPDU Integritás védelem CBC-MAC Titkosítás Titkosított adat 2008 ősz WiFi biztonság 67
CCMP előnyök Egyetlen kulcs elegendő Titkosítás és integritás védelemhez ugyanaz a kulcs Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond AES előnyök Előre számolható (kulcs ismeretében) Párhuzamosítható Nagy biztonság Mentes a szabadalmaktól A WRAP nem volt az, így megbukott 2008 ősz WiFi biztonság 68
WLAN rádiós réteg védelme Titkosító Inicializáló vektor WEP RC4, 40 vagy 104 bites kulcs WPA TKIP RC4, 128 és 64 bites kulcs WPA2 CCMP AES, 128 bites kulcs 24 bites IV 48 bites IV 48 bites IV Csomagkulcs Összefűzés TKIP kulcskeverés nem szükséges Fejléc integritása Adatok integritása Visszajátszás védelem Kulcsmenedzsment nincs védve Forrás és cél MAC Michael CCM CRC-32 Michael CCM nincs védelem IV szabályok IV szabályok nincs IEEE 802.1X IEEE 802.1X 2008 ősz WiFi biztonság 69
Irodalom Phishing http://www.technicalinfo.net/papers/phishing.html SPAM http://spamlinks.net/ 2008 ősz WiFi biztonság 70