Wifi biztonság

WiFi biztonság

Dr. Fehér Gá[email protected]

BME-TMIT

2008 ősz WiFi biztonság 2

Vezetéknélküli technológiák

• WiFi - Wireless Fidelity– Maximum: 100 m, 100 Mbps– Világrekord: erősítetlen 11Mbps, 125 mérföld!

• WiMAX – Worldwide Interopabilityfor Microwave Access– Maximum: 50 km, 75 Mbps

• Bluetooth– Maximum: 100 (10) m, 768 Kbps

• Más technológiák– GPRS, UMTS, 3G, Wireless USB, …


Vezetéknélküli hálózatok

• Előnyök a korábbi vezetékes hálózatokkal szemben– Felhasználók

• Egy zsinórral kevesebb (Laptop, PDA)• Internet elérés a frekventált helyeken (HOTSPOT)

– Adminisztrátorok• Könnyen telepíthető, könnyen karbantartható

– Nem igényel kábelezést

• Olyan helyekre is elvihető, ahova vezetéket nehezen lehet kihúzni

– Üzleti szempont• Hosszútávon olcsóbb üzemeltetni

– Átállni azonban nagy beruházást jent


WiFi hálózati szabványok

• A jelenlegi átviteli szabványok

– IEEE 802.11b 11Mbps 2.4 GHz– IEEE 802.11g 54Mbps 2.4 GHz

– IEEE 802.11a 54Mbps 5 GHz– IEEE 802.11n 300Mbps 2.4, 5 GHz


802.11 család• IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999)• IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001)• IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999)• IEEE 802.11c - Bridge operation procedures; included in the IEEE 802.1D standard (2001)• IEEE 802.11d - International (country-to-country) roaming extensions (2001)• IEEE 802.11e - Enhancements: QoS, including packet bursting (2005)• IEEE 802.11f - Inter-Access Point Protocol (2003)• IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003)• IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004)• IEEE 802.11i - Enhanced security (2004)• IEEE 802.11j - Extensions for Japan (2004)• IEEE 802.11k - Radio resource measurement enhancements• IEEE 802.11l - (reserved, typologically unsound)• IEEE 802.11m - Maintenance of the standard; odds and ends.• IEEE 802.11n - Higher throughput improvements• IEEE 802.11o - (reserved, typologically unsound)• IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars)• IEEE 802.11q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking)• IEEE 802.11r - Fast roaming• IEEE 802.11s - ESS Mesh Networking• IEEE 802.11T - Wireless Performance Prediction (WPP) - test methods and metrics• IEEE 802.11u - Interworking with non-802 networks (e.g., cellular)• IEEE 802.11v - Wireless network management• IEEE 802.11w - Protected Management Frames


Vezetéknélküli hálózat elemei

• Vezetéknélküli hálózati kártya– Leginkább könnyen mozgatható eszközökhöz

Laptop, PDA és TablePC• De ma már fényképezőgép, videójáték,

mobiltelefon …– Beépített eszközök, PCMCIA, CF kártya, USB

eszköz, stb..– Egyedi MAC cím

• Hozzáférési pont (Access Point – AP)– A vezetéknélküli eszközök rádiókapcsolatban

vannak a hozzáférési ponttal


HOTSPOT

• Frekventált helyek ahol sok potenciális felhasználó lehet– Reptéri terminálok

– Kávézók, szórakozóhelyek• Internet elérés• A felhasználók fizetnek a szolgáltatásért

– Szállodák


Vezetéknélküli hálózatok kihívásai

• Legfőbb kihívások– Rádióhullámok interferenciája

• Több hozzáférési pont elhelyezése• Egymást zavaró adások• Tereptárgyak hatásai

– Eszközök tápellátása (részben vezetékes..)• Tápfelhasználás optimalizálása

– Mozgás a hozzáférési pontok között• Handover• Szolgáltató-váltás

– Biztonság


Vezetéknélküli hálózatok biztonsága

• Vezetékes hálózat esetében az infrastruktúrához való hozzáférés már sok behatolót megállít

• Vezetéknélküli hálózat esetén azonban megszűnik ez a korlát– A fizikai közeg nem biztosít adatbiztonságot, a

küldött/fogadott adatokat mindenki észleli– A támadó nehézségek nélkül és észrevétlenül

hozzáfér a hálózathoz– A hálózat eljut az épületen kívülre is


Vezetéknélküli hálózatok biztonsága 2.

• Felmerülő biztonsági kérdések– Hitelesítés

• A felhasználó hitelesítése• A szolgáltató hitelesítése• A hitelesítés védelme

– Sikeres hitelesítés után az adatok védelme

– Anonimitás (jelenleg nem cél)


A vezetéknélküli hálózatok ellenségei

• Wardriving – Behatolás idegen hálózatokba– Autóból WLAN vadászat– Rácsatlakozás a szomszédra– Ingyen Internet az utcán

• Szolgálatmegtagadás– Frekvenciatartomány

zavarása (jamming)– DoS támadás

• Evil Twin (rogue AP) – Hamis AP felállítása– Felhasználók adatainak

gyűjtése– Visszaélés más

személyiségével

• Lehallgatás

Wardriving


www.wifiterkep.hu:AP titkosított: 56% (8193db)AP nyílt: 44% (6315db)


Hitelesítés problémái

• Kihívás-válasz alapú hitelesítés– Vezetékes környezetben jól működik

• A felhasználó bízhat a szolgáltatóban

– Vezetéknélküli környezetben már nem tökéletes

• A támadó könnyen megszerezheti a kihívást és a választ is

• Gyenge jelszavak (és protokollok) eseték egyszerűa szótáras támadás


Hitelesítés problémái 2.

• Man-in-the-middle támadások– Vezetékes környezetben nincsenek támadók

a drótban (reméljük..)– Vezetéknélküli környezetben a támadó

könnyen megszemélyesíthet egy másik eszközt

• Azonban a támadónak a közelben kell lennie(De lehet az épületen kívül is!)


Szolgáltatásbiztonság problémái

• Hamis hozzáférési pontok (rogue AP)– Könnyű telepíteni – egy PDA is lehet AP!

– A felhasználó nem feltétlenül ismeri az APtPl.: HOTSPOT környezet

• Szolgálatmegtagadás DoS– Szolgálatmegtagadás elárasztással egy

vezetékes eszközről

– Fizikai akadályoztatás (jammer)


Hozzáférés-védelem – Fizikai korlátozás

• A támadónak hozzáférés szükséges a hálózathoz– Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki

lehet zárni– Gyakorlatban kerítés vagy vastag betonfal

• Nem biztonságos!– A támadó bejuthat a hálózat területére– Nagyobb antennát alkalmazhat


Hozzáférés-védelem – MAC szűrés

• Minden hálózati csatolónak egyedi címe van– MAC cím (6 bájt)– Egyedi a csatoló szempontjából

• Hozzáférés szűrése MAC címek alapján– A hozzáférési pontnak listája van az engedélyezett csatlakozókról

• Esetleg tiltólista is lehet a kitiltott csatlakozókról– Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja)– Nagyon sok helyen ezt használják

• Nem biztonságos!– Az eszközök megszerzése már hozzáférést

biztosít• Nem a felhasználót azonosítja

– A MAC címek lehallgathatóak és egymásik eszköz is felvehet engedélyezettMAC címet

– Több hozzáférési pont menedzsmentjenehéz

Linux:ifconfig eth0 down hw ether 01:02:03:04:05:06ifconfig eth0 upWindows:A csatoló driver legtöbbször támogatja, ha nem akkor registry módosítás


Hozzáférés-védelem - Hálózat elrejtése

• A hozzáférési pontot a „neve” azonosítja– Service Set ID – SSID– Az SSIDt, valamint a hozzáférési pont képességeit időközönként

broadcast hirdetik (beacon)

• A hozzáférési pont elrejtése– A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem

látszik– Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni

• Nem biztonságos!– A csatlakozó kliensek nyíltan küldik az SSIDt– A támadó a csatlakozás lehallgatással felderítheti az SSIDt

– Népszerűbb eszközök gyári SSID beállításai• “tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys


Hozzáférés-védelem –Felhasználó hitelesítés

• A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát

• A hitelesítés nehézségei– Nyílt hálózat, bárki hallgatózhat

• A kihívás-válasz alapú hitelesítés esetén támadó könnyen megszerezheti a kihívást és a választ is

• Gyenge jelszavak eseték egyszerű a szótáras támadás– Man-in-the-middle támadások

• Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt

• A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz

– Legjobb a felhasználót hitelesíteni nem az eszközét• Felhasználói jelszavak (mindenkinek külön)


Hitelesítés – Hálózati jelszavak

• A felhasználók használhatják a hálózatot ha ismerik a hálózat titkos jelszavát– Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó

• WEP és WPA-PSK hitelesítés– Részletesebben a titkosításnál

• Nem biztonságos!– A támadó megszerezheti a hitelesítési üzeneteket és szótáras

támadást tud végrehajtani• Egyszerű a hálózati jelszó esetén a támadó könnyen célt ér

– A hálózati jelszó sok gépen van telepítve vagy sok felhasználóismeri ezért cseréje nehezen megoldható

– A WEP esetén a hitelesítés meghamisítható


Hitelesítés – Captive portal• Hitelesítés web felületen keresztül

– Egyszerű a felhasználónak– A kliensen egy web browser kell hozzá– A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható

• A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja

– Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó– A felhasználó hitelesítés után folytathatja a böngészést– A weblapon akár elő is fizethet a felhasználó a szolgáltatásra

• A legtöbb HOTSPOT ezt használja– Nem igényel szakértelmet a használata– Nem kell telepíteni vagy átállítani a felhasználó gépét

• Nem biztonságos!– Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli

adatforgalmát– A felhasználó megtéveszthető hamis szolgáltatóval– A támadó folytathatja a felhasználó nevében a hozzáférést


Adatkapcsolat biztonsága

• A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is– Az adatokat titkosítani kell a hálózaton– Csak az ismerhesse az adatokat, aki ismeri a

titkosítás kulcsát– A hitelesítéssel összehangolva mindenkinek egyedi

kulcsa lehet

• WEP – Wired Equivalent Privacy• WPA – WiFi Protected Access• 802.11i – 802.11 Enhanced security

– WPA2 –nek is nevezik


Adatkapcsolat biztonsága: WEP

• Cél a vezetékes hálózatokkal azonos biztonság

• Hitelesítés és titkosítás– Elsősorban titkosítás

• RC4 folyamkódoló– Kulcsfolyam és adat XOR kapcsolata

• 40 vagy 104 bites kulcsok– 4 kulcs is használható (KA)

• 24 bites Inicializáló vektor (IV)

– Hitelesítés megvalósítása• Kihívás alapú, a válasz a titkosított kihívás• Csak opcionális

– Integritásvédelem• CRC ellenőrző összeg (ICV) Fejléc IV KA Üzenet ICV

WEP csomag

Titkosított


WEP – Titkosítás

• A titkosításhoz hálózat színtű statikus, közös titok– Azonos kulcsok, a felhasználók látják egymás forgalmát

• Folyamkódolás: ha két csomag azonos kulccsal van kódolva, akkor az egyik ismeretében a másik megfejthető a kulcs ismerete nélkül– A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV)

amely minden csomagra egyedivé teszi a csomagkulcsot– Az inicializáló vektor 24 bites, így 224 csomag után biztos ismétlődés

• Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul• „Születésnapi paradoxon” miatt már 212 csomag után ütközés!• AZ IV számozásra nincs szabály (gyakorlatilag eggyel nő)

– Sok esetben a kulcs feltörése sem okoz gondot• Legtöbbször jelszóból generálják -> szótáras támadás• A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a

kulcs


WEP – integritásvédelem és hitelesítés

• A CRC kód jó hibadetektáló és hibajavító kód– Védelem a zaj ellen, de a szándékos felülírás ellen nem véd– A CRC érték titkosítva található a csomag végén– A csomag módosítása esetén a CRC érték újraszámolható, a

jelszó ismerete nélkül• A csomag IP fejlécében a biteket felülírva a csomagokat el lehet

terelni

• Kihívás-válasz alapú hitelesítés– A támadó lehallgathatja a nyílt kihívást és a titkosított választ– Egy új nyílt kihívásra ő maga is előállíthatja a választ a már

ismert kulcsfolyam segítségével• A megfelelő biteket átállítja (XOR)• A CRC értéket újra számolja


WEP biztonság

• A WEP biztonság nem létezik– Csupán hamis biztonságérzet a felhasználókban

• A kulcsméretet megemelték 104 bitre– Nem csak ez volt a hiba

• 104 bites hálózati kulcs feltörése már akár 500.000 megfigyelt titkosított csomag esetén is

• A megfigyelés ideje rövidíthető hamis csomagok beszúrásával

– A többi gyengeség továbbra is megmaradt!

WEP törések• 2002

– „Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A. Stubblefield, J. Ioannidis, A. Rubin”

• Korrelációk a kulcs és a kulcsfolyam között• 4.000.000 – 6.000.000 csomag

• 2004– KoReK, fejlesztett FMS támadás

• Még több korreláció a kulcs és a kulcsfolyam között• 500.000 – 2.000.000 csomag (104 bites WEP)

• 2006– KoReK, Chopchop támadás

• Az AP segítségével a titkosított CRC miatt bájtonként megfejthető a titkosított üzenet

• 2007– PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még

több korreláció• 60.000 – 90.000 csomag (104 bites WEP)


Chop-chop

• A csomag tartalmának megfejtése bájtonként– A legutolsó bájtot megjósoljuk, majd elvesszük és

igazítjuk a titkosított CRC-t– Ha jót jósoltunk, akkor helyes a CRC

• Küldjük vissza a csomagot az AP-nek• Néhány AP hibajelzést ad, ha a felhasználó még nincsen

hitelesítve, de a csomag korrekt– Tudjuk, ha jól jósolunk

• Az tetszőleges hosszú üzenet megfejtése átlagosan hossz x 128 üzenetben történik– Mindig megfejthető– A kulcsot nem fogjuk megismerni


Adatszerzés WEP töréshez

• Hamisított csomagok– De-authentication– ARP response kicsikarása

• Módosított ARP request / Gratuitous ARP üzenet• WEP esetén könnyen módosítható a titkosított is

• „Caffé latte” támadás– Nem szükséges a WEP hálózatban lenni

• A Windows tárolja a WEP kucsokat, hamis AP megtévesztheti

• Hamis ARP üzenetekkel 90.000 csomag gyűjtése• 6 perces támadás


WEP patch

• Nagy kulcsok• Gyenge IVk elkerülése• ARP filter• WEP Chaffing

– Megtévesztő WEP csomagok injektálása. Hatására a WEP törésnél hibás adatok alapján számolódik a kulcs

– A törő algoritmusok javíthatóak..



RADIUS hitelesítés

• Remote Authentication Dial In User Service– Eredetileg a betárcsázós felhasználóknak

(Merit Networks és Livingston Enterprises)

– Ma már széleskörű használat• Azonosítás nem csak dial-in felhasználáskor• Távközlésben számlázáshoz

• AAA szolgáltatás nyújtása


RADIUS tulajdonságok

• Legfőbb tulajdonságok– UDP alapú (kapcsolatmentes)

– Állapotmentes– Hop by hop biztonság

• Hiányosságok– End to end biztonság támogatása– Skálázhatósági problémák


RADIUS felépítése

• Kliens-szerver architektúra

• A szerepek nem változnak– A felhasználó a kliens– A hitelesítő a szerver– De van RADIUS – RADIUS kapcsolat is

Felhasználó NAS RADIUS

Kliens Szerver


Diameter

• Kétszer nagyobb mint a RADIUS

• A jövő AAA szolgáltatása (IETF)– Még mindig nincs kész…

– TCP vagy SCTP (Stream Control Transmission Protocol) protokoll

– kérdés/válasz típusú + nem kért üzenetek a szervertől– Hop-by-hop titkosítás (közös titok)– End-to-end titkosítás


RADIUS - Diameter

• Diameter jobb: (Nem csoda, ezért csinálták)– Jobb skálázhatóság– Jobb üzenetkezelés (hibaüzenetek)– Együttműködés, kompatibilitás, bővíthetőség– Nagyobb biztonság

• IPSec (+ TLS)• End-to-end titkosítás

• RADIUS még foltozható, de lassan már kár ragaszkodni hozzá

• Diameter hátránya:– nagy komplexitás– Még mindig egyeztetnek róla…


Hitelesítés – 802.1X és EAP• 802.1X: Port Based Network Access Control

– IEEE specifikáció a LAN biztonság javítására (2001)– Külső hitelesítő szerver: RADIUS (de facto)

• Remote Authentication Dial-In User Service– Tetszőleges hitelesítő protokoll: EAP és EAPoL

• Extensible Authentication Protocol over LAN• Különböző EAP metódusok különböző hitelesítésekhez: EAP-MD5

Challenge, EAP-TLS, EAP-SIM, …• Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS

• A 802.1X nagyon jól illik a WLAN környezetbe:– Felhasználó alapú hitelesítés megvalósítható– A hitelesítést nem a hozzáférési pont végzi

• Egyszerű és olcsó hozzáférési pont, egyszerű üzemeltetés• Hitelesítés típusa egyszerűen módosítható• Központosított hitelesítés

– A hitelesítés védelme megoldható


802.1X – Hozzáférés szűrés

• Kezdetben csak EAPoL forgalom

Hitelesített

Szűrt

A hitelesítés nélkül csak EAPoL forgalom. Továbbításáról a hozzáférési pont gondoskodik

Csak akkor mehet adatforgalom, ha hitelesítve lett 802.1X segítségével

EAPoLEAPoL


802.1X protokollokFelhasználó

Supplicant (STA)Hozzáférési pont

Authenticator (AP)

Hitelesítő szerverAuthentication server (AS)

802.11 IP/UDP

EAPol RADIUS

EAP

EAP-TLS EAP-TLS


Kulcsok

• Master Key (MK)– A viszony alatt fennálló szimmetrikus kulcs a

felhasználó (STA) és a hitelesítő szerver között (AS)– Csak ők birtokolhatják (STA és AS)– Minden más kulcs ebből származik

• Pairwise Master Key (PMK)– Frissített szimmetrikus kulcs a felhasználó (STA) és a

hozzáférési pont (AP) között– A felhasználó (STA) generálja a kulcsot MK alapján– A hozzáférési pont (AP) a hitelesítő szervertől (AS)

kapja


Kulcsok (folyt.)

• Pairwise Transient Key (PTK)– A felhasznált kulcsok gyűjteménye

– Key Confirmation Key (PTK bitek 1-128)• A PMK ismeretének bizonyítása

– Key Encryption Key (PTK bitek 129-256)• Más kulcsok terjesztése

– Temporal Key (TK) (PTK bitek 257-..)• Az adatforgalom biztosítása


Kulcs hierarchiaMaster Key (MK)

Pairwise Master Key (PMK)

TLS-PRF

EAPoL-PRF

Pairwise Transient Key (PTK)

Key Confirmation Key (KCK)

Key Encryption Key (KEK)

Temporal Key (TK)

0-127

128-255

256-


802.1X – Működési fázisok

Képesség felderítés

802.1X hitelesítés (Pairwise Master Key generálása)

802.1X kulcsmenedzsment(Pairwise Transient Key generálása)

Kulcskiosztás (PMK)

Adatvédelem (Tempolral Key)

1

2

43


802.1x hitelesítés

802.1x/EAP-Req. Identity

802.1x/EAP-Resp. Identity

AAA Access Request/Identity

Kölcsönös azonosítása választott EAP típus alapján

PMK származtatása PMK származtatása

AAA Accept + PMK

802.1x/EAP-Success


802.1x hitelesítés gondok

• Az EAP nem biztosít védelmet– Hamisított AAA-Accept üzenetek

• RADIUS– Statikus kulcs a hozzáférési pont (AP) és a hitelesítő

szerver (AS) között– A hozzáférési pont minden üzenettel együtt egy

kihívást is küld• Hamisított üzenetekre a RADIUS szerver gond nélkül

válaszol

– Megoldást a DIAMETER hitelesítő jelenthet• Sajnos úgy látszik ez sem fogja tökéletesen megoldani a

problémát


802.1x hitelesítés lépései

• A hitelesítést a hitelesítő szerver (AS) kezdeményezi és ő választja meg a módszert– A hitelesítő legtöbbször RADIUS szerver

• Tapasztalatok, fejlesztések

– A hitelesítő módszer legtöbbször EAP-TLS• Több kell, mint kihívás alapú hitelesítés• Privát/publikus kulcsok használata

• Sikeres hitelesítés esetén a hozzáférési pont (AP) megkapja a Pairwise Master Key (PMK) –t is

• Otthoni és ad-hoc környezetben nem szükséges hitelesítő központ– Pre-shared Key (PSK) használta PMK helyett– Az otthoni felhasználó ritkán kezel kulcsokat..


802.1X kulcsmenedzsment

• A Pairwise Master Key (PMK) segítségével a felhasználó (STA) és a hozzáférési pont (AP) képes előállítani a Pairwise Transient Key (PTK) –t– A PMK kulcsot (ha a hitelesítő szerverben (AS) lehet

bízni, akkor csak ők ismerik– A PTK kulcsot mindketten (STA és AP)

származtatják (nem utazik a hálózaton!) és ellenőrzik, hogy a másik fél valóban ismeri

• 4 utas kézfogás

– A többi kulcsot vagy egyenesen a PTK –ból származtatják (megfelelő bitek) vagy a KEK segítségével szállítják a hálózaton (pl. Group TK)


4 utas kézfogás

EAPoL-Key(ANonce)

EAPoL-Key(SNonce, MIC)

Véletlen ANonce

PTK előállítása: (PMK, ANonce,SNonce, AP MAC, STA AMC)

PTK előállításaEAPoL-Key(ANonce, MIC)

EAPoL-Key(MIC)

Véletlen SNonce


4 utas kézfogás lépései

• MIC: Az üzenetek integritásának védelme

• Man-in-the-middle támadások kizárása– A 2. üzenet mutatja, hogy

• A felhasználó (STA) ismeri PMK –t• A megfelelő ANonce –t kapta meg

– A 3. üzenet mutatja, hogy• A hozzáférési pont (AP) ismeri PMK –t• A megfelelő SNonce –t kapta meg

• A 4. üzenet csak azért van, hogy teljes legyen a kérdés/válasz működés


EAP – Extensible Authentication Protocol

• Több különböző hitelesítési módszer egyetlen protokollal– A különböző módszerek (method) esetében más és más az üzenet tartalma– Ugyanakkor a hozzáférési pontnak elegendő az EAP protokollt ismerni

• EAP-Success: sikeres hitelesítés• EAP-Faliure: sikertelen hitelesítés

• EAP példák– Jelszavas

• EAP-MSCHAPv2• EAP-MD5

– Tanúsítvány alapú• EAP-TLS

– Egyszer jelszó• EAP-OTP

– SIM kártya• EAP-SIM

EAPmetódus

EAP

Alsó réteg(pl. PPP)

EAP

Alsó réteg(pl. PPP)

EAP

Alsó réteg(pl. IP)

EAPmetódus

EAP

Alsó réteg(pl. IP)

Peer Hitelesíto átjáró EAP szerver


EAP-MSCHAPv2, EAP-TLS

• EAP-MSCHAPv2 (Microsoft Challenege Handshake Authentication Protocol v2)– Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval

kombinált kihívást küldi vissza– A kliens is küld kihívást és ellenőrzi, hogy a hitelesítő valóban

ismeri az ő jelszavát -> kölcsönös hitelesítés– Microsoft környezetben használt

• EAP-TLS (Transport Layer Security)– Mind a kliens, mind a hitelesítő tanúsítvánnyal rendelkezik– A felek kölcsönösen ellenőrzik a tanúsítványokat– Nagyon biztonságos, de költséges, mert tanúsítványokat kell

karbantartani


EAP hitelesítések védelme –EAP-TTLS és PEAP

• Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de nyíltan utaznak

– Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a jelszó is megszerezhető

• Az EAP kommunikációt védeni kell!– EAP-TTLS - Tunneled Transport Layer Security

• IETF draft: Funk, Meetinghouse– PEAP - Protected EAP

• IETF draft: Microsoft (+ Cisco és RSA)– Önmagában nem hitelesítés csak az EAP csatorna titkosítása– Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, …

• Hitelesítés lépései– 1. lépés: Titkos csatorna felépítése (TLS)

• Csak a szerver azonosítja magát tanúsítvány segítségével– 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában

• A felhasználó hitelesíti magát


1. Lépés – Titkosított csatorna építése

EAP-TTLS üzenetek

EAP-Response: IdentityEAP-Request: EAP-TTLS/Start

TLS felépítése

2. Lépés – Hitelesítés

EAP-Success

Hitelesítő üzenetek

Csak domain név! A felhasználónevét nem szabad küldeni!


Protokoll rétegek

• EAP-TTLS / PEAP rétegződés

Vivő protokoll (PPP, EAPoL, RADIUS, …)

EAP

EAP-TTLS

TLS

EAP (EAP-TTLS esetén más is)

EAP módszer (MD5, OTP, …)


EAP módszerek összehasonlítása

• Erőforrásigény– Tanúsítványok erősebbek a jelszavaknál, de nagyobb az erőforrásigényük,

működtetésükhöz több adminisztráció kell (PKI – Public Key Infrastructure)

• Kölcsönösség– Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesítő is

EAP-MD5EAP-

MSCHAPv2EAP-TLS EAP-TTLS PEAP

Hitelesítés MD5LMHASH és

NTHASHTanúsítványok Bármi

EAP módszerek

Szükséges tanúsítványok - -

Kliens és szerver

Szerver Szerver

Hitelesítés irányaKliens

hitelesítéseKölcsönös Kölcsönös Kölcsönös Kölcsönös

Felhasználóidentitásának

védelmeNincs Nincs Nincs TLS TLS


IEEE 802.11i

• A 802.11i célja, hogy végre biztonságos legyen a WiFi hálózat– A szabvány 2004 –es

– Addig is kellett egy használható módszer• WPA – WiFi Protected Access

– A 802.11i –vel párhuzamosan fejlesztették

– A 802.11i –t így WPA2 –nek is nevezik


WPA - Wi-Fi Protected Access

• Wi-Fi Allience a WEP problémáinak kijavítására (2003)– Erős biztonság– Hitelesítés és adatbiztonság– Minden környezetben (SOHO és Enterprise)– A meglévő eszközökön csak SW frissítés– Kompatibilis a közelgő 802.11i szabvánnyal

• A fokozott biztonság mellett cél a gyors elterjedés is!– A WEP mihamarabbi leváltása


WPA - TKIP

• A WEP összes ismert hibájának orvoslása, megőrizve minél több WEP implementációt

• Titkosítás: Temporal Key Integrity Protocol (TKIP)– Per-packet key mixing (nem csak hozzáfűzés)– Message Integrity Check (MIC) - Michael– Bővített inicializáló vektor (48 bit IV) sorszámozási szabályokkal– Idővel lecserélt kulcsok (Nem jó, de muszáj)

• Hitelesítés: 802.1X és EAP– A hitelesítés biztosítása

• Kölcsönös hitelesítés is (EAP-TLS)– A hitelesítés változhat a környezettől függően (SOHO <>

Enterprise <> HOTSPOT)


TKIP

• Per Packet Keying

• Az IV változásával minden üzenetnek más kulcsa lesz

• Minden terminálnak más kulcsa lesz, akkor is, ha az alap kulcs véletlenül egyezne

• A packet kulcsot használjuk az eredeti WEP kulcs helyett

IV Alap kulcs

Kulcs-keverés

IV „Packet key” WEP

MAC cím


TKIP – kulcs keverés• 128 bites ideiglenes kulcs (A hitelesítésből származik)• Csomagkulcs előállítása 2 lépésben

– Feistel alapú kódoló használata (Doug Whiting és Ron Rivest)– 1. lépés

• A forrás MAC címének, az ideiglenes kulcsnak és az IV felső 32 bitjének keverése

• Az eredmény ideiglenesen tárolható, 216 kulcsot lehet még előállítani. Ez javítja a teljesítményt

– 2. lépés• Az IV és a kulcs függetlenítése

48 bites IV32 bit 16 bit

Felső IV Alsó IV

Kulcskeverés1. fázis

Kulcskeverés2. fázis

MAC cím

Kulcs

IV IVd Csomagkulcs

24 bit 104 bitRC4 rejtjelező kulcsa

A egy td öltelék bájt, a gyenge kulcsok elkerülésére.


IV sorszámozás

• IV szabályok– Mindig 0-ról indul kulcskiosztás után

• Ellentétben a WEP-pel, itt ez nem gond, mert úgy is más kulcsunk lesz minden egyeztetésnél

– Minden csomagnál eggyel nő az IV• Ha nem, akkor eldobjuk az üzenetet

• A 48 bites IV már nem merül ki– Ha mégis, akkor leáll a forgalom, új kulcs kell


MIC

• Message Integrity Code• Michael algoritmus (Neils Ferguson)

– 64 bites kulcs 64 bites hitelesítés– Erőssége: kb. 30 bit, azaz a támadó 231 üzenet megfigyelésével

képes egy hamisat létrehozni• Nem túl erős védelem• De egy erősebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon

rontaná a teljesítményt• + védelem: ha aktív támadást észlel (percen belül ismétlődő rossz

MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra változatni

• Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a kulcs

– Már nem csak az adatot védjük, hanem a forrás és cél MAC címeket is!

– Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám)


TKIP működése

KulcskeverésSorszám48 bit

ForrásMAC

Kulcs1128 bit

Michael

Kulcs264 bit

AdatMSDU

Darabolás

MIC

MSDU

WEP

Csomagkulcs

MPDU(k)

Titkosítottadat


WEP és WPA

• A WPA-t úgy tervezték, hogy minimális erőforrás ráfordítással kijavítsa a WEP hibát

• Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell

WEP WPA

Titkosítás Egyszerű eszközökkel, könnyen feltörhető

A WEP minden hibája kijavítja

40 bites kulcsok (szabvány szerint)

128 bites kulcsok

Statikus – mindenki ugyanazt a kulcsot használja a hálózatban

Dinamikus kulcsok felhasználónként,

csomagonként Kulcsok manuális disztribúciója,

azok kézi bevitele Kulcsok automatikus

disztrbúciója Hitelesítés Gyakorlatilag nincs, csak a

kulcson keresztül. 802.1x és EAP

WPA crack (2008)

• ARP, ismeretlen 12 + 2 byte– 8: MIC

– 4: ICV– 2: hálózati IP címek utolsó része

• Chop-chop törhető, ha– Léteznek más QoS osztályok (WME)

• Visszajátszás elleni védelem miatt



802.11i (WPA2)

• IEEE - 2004 –ben jelent meg– WPA +

• Biztonságos gyors hálózatváltások• A hitelesítés biztonságos feloldása• Új titkosító protokollok: AES-CCMP, WRAP

– Már szükséges a HW módosítása is, az új titkosító miatt

• Lassabb elterjedés, bár esetenként a driver is megcsinálhatja


CBC-MAC

• Cipher Block Chaining Message Authentication Code

• Módszer– 1. Az első blokk titkosítása– 2. Az eredmény és a következő blokk XOR kapcsolat,

aztán titkosítás– 3. A második lépés ismétlése

– Szükséges a kitöltés!


CCMP

• Counter Mode CBC-MAC Protocol– Az AES titkosító használata

• Előre számolható (számláló módban)• Párhuzamosítható

• Nagy biztonság

– Titkosítás és integritás védelemhez ugyanaz a kulcs• Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond

Integritás védelem

CBC-MAC TitkosításMPDU

KulcsIV és CTR

IV CTRSorszám

Titkosított adatAES AES


CCMP előnyök

• Egyetlen kulcs elegendő– Titkosítás és integritás védelemhez ugyanaz a kulcs– Általában nem jó, ha ugyanazt a kulcsot használjuk,

de itt nincs gond

• AES előnyök– Előre számolható (kulcs ismeretében)– Párhuzamosítható– Nagy biztonság

• Mentes a szabadalmaktól– A WRAP nem volt az, így megbukott


WLAN rádiós réteg védelme

WEPWPA

TKIP

WPA2

CCMP

TitkosítóRC4, 40 vagy 104 bites

kulcsRC4, 128 és 64

bites kulcsAES, 128 bites

kulcs

Inicializáló

vektor24 bites IV 48 bites IV 48 bites IV

Csomagkulcs Összefűzés TKIP kulcskeverés nem szükséges

Fejléc

integritásanincs védve

Forrás és cél MACMichael

CCM

Adatok

integritásaCRC-32 Michael CCM

Visszajátszás

védelemnincs védelem IV szabályok IV szabályok

Kulcs-

menedzsmentnincs IEEE 802.1X IEEE 802.1X


Irodalom

• Phishing– http://www.technicalinfo.net/papers/Phishing.html

• SPAM– http://spamlinks.net/

Technology

Wifi biztonság