Embed Size (px)
Citation preview
Drahtlose Netze
Veranstaltung� Sicherheit in Rechnernetzen
Übersicht
� Sicherheitsprobleme in drahtlosen Netzen� Bluetooth� Kurzübersicht Funktion� Sicherheitsmechanismen und Schwachpunkte
� UMTS� Sicherheitsmechanismen und deren Schwachstellen
� WLAN� WEP und EAP� Angriffspunkte
UMTS
� Universal Mobile Telecommunications System
� Mobilfunk der 3. Generation
� 1998 von der ITU entwickelt
� Soll zukünftig GPRS (General Packet Radio Service) ersetzen
Technische Daten
� Frequenzbereich 1900-2200MHz
� Übertragungsrate von 384 kBit/s bis 2 MBit/s
� Benutzt derzeit als Grundlage GSM (Global System for Mobile Communications) Struktur
UMTS Begriffe
� Mobilstation (MS)� Ausstattung des Teilnehmers besteht aus� Mobile Equipment (ME) - das Gerät an sich� International Mobile Equipment Identity (IMEI) -
Kombination aus Typzulassungscode und Seriennummer
� Beinhaltet üblicherweise auch dieUniversal Subscriber Identity Module (USIM) Karte� Zugangsberechtigung und verantwortlich für
Verschlüsselung und Authentifizierung
UMTS Begriffe� International Mobile Subscriber Identity (IMSI)� Permanente Teilnehmeridentität
� Home Location Register (HLR)� Komponente des Netzbetreibers� Beinhaltet alle relevanten Teilnehmerdaten� VLRs fordern von hier Daten zur lokalen
Authentifikation
� Visitor Location Register (VLR)� Speichern temporär Daten über Nutzer, die sich in
ihrem Zuständigkeitsbereich aufhalten
UMTS Begriffe
� Authentication Center (AuC)� Meist Teil des HLR� Erzeugt und ordnet geheimen individuellen
Teilnehmerschlüssels (Shared Secret) der IMSI zu
� Equipment Identity Register (EIR)� Speichert die weltweit eindeutigen IMEI Nummern� Rückverfolgung verlorenen oder gestohlener Geräte
anhand dieses Registers möglich
Sicherheitsarchitektur
1. Netzzugangssicherheit
2. Sicherheit im Netzbereich
3. Sicherheit im Benutzerbereich
4. Sicherheit im Anwendungsbereich
5. Sichtbarkeit und Konfigurierbarkeit der Sicherheitsmechanismen
Sicherheitsarchitektur
HE (Home Environment)SN (Serving Network)AN (Access Network)
Netzzugangssicherheit
� Geheimhaltung der Teilnehmereigenschaften� IMSI, Standort und angeforderte Dienste
� Gegenseitige Authentifizierung von Netz und Teilnehmer� Sichere Vereinbarung des Authentifizierun-
gsalgorithmus zwischen MS und Netz� Teilnehmer- und Netzauthentifizierung
Netzzugangssicherheit
� Vertraulichkeit der Kommunikationsinhalte� Sichere Vereinbarung des Verschlüsselungs-
algorithmus zwischen MS und Netz� Das gleiche gilt für Chiffrierschlüssel� Vertraulichkeit der Signalisierung- und
Kommunikationsdaten während der Übertragung
Netzzugangssicherheit
� Datenintegrität der gesendeten Kommunikationsinhalte� Sichere Vereinbarung des Integritätsalgorithmus
und -schlüssels� Sicherstellung der Datenintegrität
� Identifikation der Mobilgeräte� Herausgabe der IMEI nur bei Notrufen und wenn
sich Netz gegenüber MS authentifiziert hat
Sicherheit im Netzbereich
� Authentifizierung der einzelnen Instanzen� Vereinbarungsmöglichkeiten� Authentifizierung untereinander, um manipulative
Operations- und Wartungsbefehle abzuwehren
� Vertraulichkeit der Daten� Wie bei Netzzugangssicherheit
Sicherheit im Netzbereich
� Datenintegrität� Auch hier wie Netzzugangssicherheit� Herkunftsauthentizität
� System zur Aufzeichnung von Betrugsinformationen� Informationsaustausch der Provider untereinander� Informationen haben strafrechtlichen Bestand
Sicherheit im Benutzerbereich
� Nutzerauthentifizierung durch PIN (wie GSM)
� Verwendung einer USIM
� Zugriff auf Terminal (Mobilgerät) durch weiteren Zugriffscode gesichert
Sicherheit im Anwendungsbereich
� Möglichkeiten zum sicheren Datenaustausch zwischen USIM und Netz� Authentifizierung der Anwendungen untereinander� Schutz vor Replay Angriffen (FRESH Parameter)� Empfangsbestätigung� Verschlüsselung der Anwendungsdaten� Festellung der Reihenfolge empfangener Daten
Sicherheit im Anwendungsbereich
� Netzweiter vertraulicher Teilnehmerdatenverkehr� Im Gegensatz zu GSM wird der gesamte Datenstrom
verschlüsselt (nicht nur die Luftschnittstelle)
� Anwendungen können fest mit der USIM verbunden werden� Dafür gibt es Mobil Execution Environment (MExE)� Ähnlich der Java Virtual Machine� Nur vertrauswürdige Anwendungen dürfen
ausgeführt werden
Sichtbarkeit
� Sichtbarkeit� Verschlüsselung an oder aus� Verschlüsselung durchgängig?� Sicherheitslevel des Netzes, z.B. wenn Anwender
von UMTS Zelle in GSM Zelle wechselt
Konfigurierbarkeit
� Freigabe/Sperren der USIM Authentifizierung
� Akzeptanz/Abweisung unverschlüsselter Verbindungsanfragen
� Wahl (Akzeptanz) der Verschlüsselungsalgorithmen
Verwendete Sicherheitsalgorithmen
� Schlüsselstärke 128Bit
� Authentifizierung per Challenge-Response
� GSM-kompatible Algorithmen A3, A5, A8 und Comp128
� Für UMTS vorgegeben KASUMI (japanisch: Nebel)� 128 Bit Blockchiffre� Erweitert zur Stromchiffrierung durch f8/f9
Algorithmus
Integritätscheck mittels f9
Integritätscheck mittels f9
� Eingabe:� Integritätsschlüssel (IK)� Der IK wird während der Authentifizierungsphase mit
Hilfe des f4 Algorithmus und den Daten aus USIM und HLR/AuC berechnet
� Integritätssequenznummer COUNT-I� eine Netzseitig erzeugte Zufallszahl FRESH (Zum
Schutz vor Replay Angriffen)
Integritätscheck mittels f9
� Eingabe (forts.)� ein Richtungsbit DIRECTION� Signalisierungsnachricht MESSAGE
� Sender und Empfänger berechnen je Message Authentication Code MAC-I, bzw. XMAC-I.
� Der Empfänger der Nachricht kann nun MAC-I und XMAC-I auf Gleichheit prüfen und so die Integrität feststellen.
Verwendete Sicherheitsalgorithmen
� Verwendung eigener Algorithmen ist den jeweiligen Herstellern erlaubt
� Vorgeschlagene Algorithmen basierende auf MILENAGE� f1-f5
Verbesserungen zu GSM
� Verwendung offener Algorithmen
� Verdoppelung der Schlüssellänge auf 128 Bit
� Durchgehende Verschlüsselung
� Regelmäßige Erneuerung der Schlüssel (key refresh)
� Authentifizierung des HLR gegenüber der USIM
Verbesserungen zu GSM
� Ggf. Wahl der Verschlüsselungs- und Authentifizierungsalgorithmen
� Anzeige über Sicherheitsstandard des Netzes Statusmeldung bzgl. Verschlüsselung
� Integritätssicherung von Nutz- und Signaldaten
Schwachpunkte von UMTS
� Nutzung einer falschen Basisstation (BS)� MS kann während dessen keine Verbindung zum
Netz aufbauen
� Mit falscher BS + Kenntnis über einen ungenutzen Authentication Vector� Umleiten des Datenverkehrs über falsche BS� Abhören der (verschlüsselten) Daten
Schwachpunkte von UMTS
� Nachahmung eines Teilnehmers� Voraussetzung: Falsche BS, modifizierte MS +
ungenutzer Authentication Vector� Übernahme ein- und ausgehender Verbindungen
möglich� Telefonieren auf Kosten des legitimen Teilnehmers
möglich
� Wie bei allen Funkdiensten: Störsender
Zusammenfassung UMTS
� Viele Angriffsmöglichkeiten des GSM Netzes wurden beseitigt
� Verbesserte Informationspolitik
� Angriff/Manipulation zwar weiterhin möglich, Aufwand (Hardware/Wissen) aber deutlich gestiegen
Wireless Fidelity (Wi-Fi)
� IEEE 802.11 1997-1999� Unterpunkte 802.11a-i
� Zusätzlich 802.1X� Allgemein auch Wireless LAN (WLAN)
Übersicht WLAN
� WLANs entdecken
� WEP
� EAP-MD5
� Lösungsansätze zu aktuellen Sicherheitsproblemen
Aufspüren von WLANs
� Wird als WarXing bezeichnet
� Aktives scannen, z.B. mit Netstumbler� Keine spezielle Hardware notwendig� Kann getarnte oder beschränkte Netze nicht
entdecken� Kann geortet werden
� Passives scannen, z.B. mit Kismet� Aufwendiger zu implementieren� Nicht mit jeder Hardware lauffähig
Kismet
Kismet
Warchalking
Wired Equivalent Privacy (WEP)
� In IEEE 802.11 enthaltenes Sicherheitsprotokoll
� Ziele� Geheimhaltung der übertragenen Daten� Zugangsschutz zum drahtlosen Netz� Wahrung der Datenintegrität mittels ICV
� Basiert auf Rivest Cipher 4 (RC4) Algorithmus
WEP
� Schlüssellänge:� 40 Bit WEP (64) bzw. 104 Bit WEP(128)� + 24 Bit Initialisierungsvektor
� Verteilung der Schlüssel muss bei WEP manuell durchgeführt
Authentifizierung durch WEP
� Open System� Standrad Authentifizierung� Als Identität wird die MAC Adresse benutzt
� Shared Key� WEP muss aktiviert sein� Challenge-Respone mittels WEP-Schlüssels
WEP
� Folgende Grafiken (mit Seitenumbruch):� WEP Verschlüsselung� WEP Entschlüsselung
WEP Schwächen
� Schlüsselverwaltung
� Authentifizierung
� Geheimhaltung
� Integrität der Daten
� Zugriffskontrolle
Schlüsselverwaltung
� WEP verwendet maximal 4 Schlüssel� Bei größeren Netzen müssen Schlüssel mehrfach
verwendet werden� D.h. viele Leute hüten ein Geheimnis
� Verteilung ist nicht im Standard vorgeschrieben� Schlüsselverteilung erfolgt meist manuell� Wechsel findet selten statt� Häufig wird sogar nur ein Schlüssel verwendet
Wiederverwendung des RC4-Stroms
� Bei 24 Bit IV wiederholt sich der Schlüsselstrom in einem ausgelasteten Netz nach weniger als 1 Tag� Bei 5,5 MBit/s und Paketen mit 512 Byte tritt
Wiederholung bereits nach 3,3 Stunden ein� Wörterbuchangriff ist möglich
� Es wird im Standard nur empfohlen den IV jedes mal zu wechseln
Authentifizierung
� Open System ist voreingestellt und wird laut Untersuchung zu 60% beibehalten
� Challenge Text wird unverschlüsselt übertragen� Bereits ein 128 Byte langer Schlüsselstrom +
bekanntem IV kann zur Authentifizierung missbraucht werden
Geheimhaltung
� Für Angriffe auf WEP stehen bereits Werkzeuge zur Verfügung� z.B. Airsnort oder WebAttack� Angreifer benötigen nur geringe Kenntnisse
� Der Aufwand zum dechiffrieren liegt meist unter einer Woche
Integrität der Daten
� Die Integrität wird durch CRC-32 gewährleistet� Sicher gegen unbeabsichtigte Fehler� CRC ist aufgrund seiner Linearität jedoch nicht
sicher gegen absichtliche Manipulation
Zugriffskontrolle
� Ähnlich wie bei Geheimhaltung� Authentifizierung mittels Shared Key verhindert
„schnellen“ Zugriff� Mit einigem Zeitaufwand kann die Zugriffskontrolle
außer Kraft gesetzt werden
Einschätzung von WEP
� WEP wurde als Kompromiss zwischen Sicherheit und Effizienz geschaffen
� Die kryptografische Exportbeschränkung seitens der USA floss mit ein
� WEP wird mittlerweile als unsicher eingestuft und wird zukünftig nicht mehr verwendet� Ziele von WEP wurden nicht erreicht
� Wenn keine andere Sicherung zur Verfügung steht, sollte es dennoch eingesetzt werden
Sicherheit durch 802.1X
� Alternative zu WEP
� Ursprünglich für drahtgebundene Netze gedacht
� Basiert auf EAP (Extensible Authentication Protocol)� für PPP (point-to-point protocol) entwickelt
802.1X Komponenten
� Client (Supplicant)� Der zukünftige Teilnehmer
� Authentifizierer (Authenticator)� Kommunikationspartner des Clients� meist der Access-Point
� Authentifizierungsserver (Authentication Server)� übleicherweise RADIUS Server (Remote Access Dial-
up User Service)
802.1X Autorisation
� Nach der Authentifikation erfolgt die Autorisation über Ports� unkontrollierter Port steht immer zur Verfügung, ist
aber nur eingeschränkt nutzbar� kontrollierter Port steht nur zur Verfügung wenn
Autorisation erfolgreich war
EAP over LAN
� Zwischen Client und Authentifizierer wird das EAP Paket eingekapselt� EAPOL (EAP over LAN)
EAP over LAN� Version derzeit immer 1
� Paket-Typ
0 Kennzeichnet gekapseltes EAP Paket
1 EAPOL-Start, Beginn der Authentifizierung
2 EAPOL-Logoff, Abmeldung des Clients
3 EAPOL-Key, Austausch von Schlüsselinformationen
4 EAPOL-Encapsulated-ASF-Alert, Alarmmeldungen über den unautorisierten Port senden
� Rumpflänge + Paketrumpf� Die eigentlichen Daten sowie deren Umfang
Authentifizierung mittels EAP-MD5
� Kommunikation zwischen Authentifizierer und Authentifizierungsserver� meist über EAP over Radius
� An- und Abmeldung im folgenden dargestellt� Die Antwort MD5- Challenge besteht aus� 16 Byte MD5 Hash über Konkatenation von EAP-ID,
zugehöriges Passwort und Challenge-Text
Probleme
� Authentifizierer muss sich nicht dem Client gegenüber authentifizieren� Man-in-the-Middle Angriff sehr leicht möglich
� Authentifizierung nur beim Verbindungsaufbau� Hijacking möglich
� Bei der Authentifizierung werden Identität und Challenge am Klartext übertragen� Der MD5 Hash aus Challenge, Passwort und
Identität kann für Wörterbuchangriff genutzt werden
Problemlösungsansätze
� MAC Zugangsliste� Nachteil: Aufwendige Administration und spezielle
Hardware erlaubt Manipulation der Adresse
� EAP-TLS� Transport Layer Security (TLS) gilt bisher als sicher� Beidseitige Authentifizierung mittels Zertifikaten� Nachteil: Hoher Konfigurationsaufwand
Problemlösungsansätze
� Sicherungsmaßnahmen auf höheren Schichten� Absicherung einzelner Dienste� Mögliche Probleme jedoch durch gefälschte MAC-
Adressen
� Abgrenzung des Netzes� Zwischen drahtlosem und drahtgebundenen Netz
wird eine Firewall geschaltet� Drahtloser Bereich wird durch eigenes IDS
überwacht
Problemlösungsansätze
� Verwendung des neuen Standards 802.11i� Derzeit noch im Entwicklungsstadium
� Der als WPA 2 (Wi-Fi Protected Access) bezeichnete Standard setzt neue Hardware voraus
Zusammenfassung
� Drahtlose Netze sind leichter angreifbar als drahtbebundene
� Halbwegs sichere WLANs erfordern hohen Administrationsaufwand
� Für weniger vertrauliche Daten dennoch brauchbar
� Detaillierte Ausarbeitung zum Thema WLAN� Diplomarbeit - Sicherheit in drahtlosen Netzen
(Marco Helmers)
