3. Introdução
Motivações
Proteção dos dados trafegados pelo ar
De interceptação por terceiros
De interceptação por outras estações na rede
Controle de acesso à rede
Proteção dos recursos disponibilizados na rede
4. Introdução
Requisitos de segurança de redes
Auditoria
Autenticação
Confidencialidade
Controle de Acesso
Disponibilidade
Integridade
Irretratabilidade (não-repúdio)
5. Introdução
Algoritmos de segurança para redes 802.11
Algoritmos pré-RSNA (Robust Security Network
Association)
WEP
Open System Authentication
Algoritmos RSNA
TKIP (Temporal Key Integrity Protocol)
CCMP
IEEE 802.11w
6. WEP
Wired Equivalent Privacy
Publicado em 1999, junto com o 802.11
Oferece criptografia e compressão
Opera na camada de enlace
Utiliza uma chave compartilhada de 40 ou 104
bits
Tem controle de integridade próprio
Utiliza o algoritmo de criptografia RC4
Requer poucos recursos computacionais
7. WEP - Padrão de autenticação
Open System Authentication
Publicado em 1999, junto com o padrão 802.11
Não oferece criptografia ou compressão
Apenas cumpre a obrigatoriedade de
autenticação
9. WEP
Formato do MPDU do WEP
Initialization Vector (IV): Semente (seed) +
Chave
Data: Dados transmitidos
Integrity Check Value (ICV): Checagem de
integridade
10. WEP
Integrity Check Value (ICV)
Checagem de integridade do WEP
IEEE 32-bit CRC
Cyclic Redundancy Check
Função Hash polinomial
Facilmente implementada em hardware
Divisão polinomial do bloco de dados por um
polinômio gerado
11. WEP
Algoritmo de criptografia RC4
Rivest Cipher 4, publicado em 1987
Algoritmo de fluxo (simétrico e chaves estáticas)
Utiliza um gerador de números aleatórios
Dois tamanhos de chave possíveis
WEP-40:
chave de 40 bits
WEP-104: chave de 104 bits
12. WEP
Encapsulamento WEP
Chave RC4 = nº aleatório (IV) + chave WEP
O IV é passado em texto claro
Faz a operação XOR sobre blocos da
mensagem
14. WEP
Problemas do WEP
Chave estática e pequena
Reuso de chaves (repetição do IV)
IV transmitido em texto claro
Admite reenvio de pacotes (Replay attack)
Fraqueza do algoritmo de criação de IVs
Confiança plena do lado do AP
15. WEP
Vulnerabilidades publicadas
Ataque estatístico aos primeiros bytes dos IVs
Publicado por S. Fluhrer, I. Mantin e A. Shamir (2001).
Necessita de 4.000.000 pacote, em média.
Ataque Chopchop (bit-flipping)
Publicado informalmente por KoreK (2004)
Explora respostas do AP para obter dados
Ataque estatístico que estende o de 2001
Publ. por E. Tews, R. Weinmann e A. Pyshkin (2007).
Necessita de 40.000 pacotes (50% de chance) ou 85.000
pacotes (95% de chance).
16. WEP
Vulnerabilidades publicadas
Ataque Caffé Latte
Publicado por V. Ramachandran e M. S. Ahmad
(2007)
Abusa da confiança do lado do AP
Correlação 1º byte do IV – 3 bits iniciais da
chave
Publicado por G. Paul, S. Rathi e S. Maitra (2008).
Comprova experimento empírico de Roos (1995)
17. WEP
Soluções para o WEP
WEP2
Apresentado nos drafts iniciais do IEEE 802.11i
Expandia tanto a chave quanto o IV para 128 bits
WEP plus
Algoritmo proprietário da Agere Systems
Buscava evitar IVs fracos
Dynamic WEP
Algoritmo proprietário da 3Com
Buscava modificar a chave dinamicamente
19. WPA
Wi-Fi Protected Access (WPA)
Publicado em 2003 pela Wi-Fi Alliance
Anexado ao padrão 802.11 em 2007
Impulsionado pelas demandas de mercado
Baseado no draft IEEE 802.11i
Introduz dois modos de operação
Pessoal
Corporativo
Utiliza o algoritmo de criptografia RC4
20. WPA
Melhoramentos em relação ao WEP
Uso de um novo protocolo de segurança
Temporal Key Integrity Protocol (TKIP)
Nova camada de checagem de integridade
Message Integrity Code (MIC)
No WEP era usado apenas o ICV (Integrity Check Value)
Sequenciamento dos quadros
Hierarquia de chaves
Medidas contra envio de quadros forjados
21. WPA
Autenticação com o WPA (Modo Pessoal)
Pre-Shared Key (WPA-PSK)
Não autentica usuário
22. WPA
Autenticação com o WPA (Modo
Corporativo)
Utiliza IEEE 802.1x (EAP + RADIUS)
Autentica o usuário
23. WPA
Chaves utilizadas pelo WPA
Pairwise Master Key (PMK)
Modo Pessoal: Configurada diretamente nas estações
Modo Corporativo: Negociada via IEEE 802.1x
Pairwise Transient Key (PTK)
Derivada da PMK
Composta por várias outras chaves (TK, MIC Keys, KEK e KCK)
Group Transient Key (GTK)
Derivada da PMK
Usada pelo AP para endereçar grupos (mensagens broadcast)
24. WPA
Chaves utilizadas pelo WPA
Temporal Key (TK)
Parte da chave usada pelo RC4
Temporal MIC Keys (TMK)
Par de chaves usada pelo Algoritmo Michael
Garante a integridade dos dados transmitidos
EAPOL-Key Encryption Key (KEK)
Chave de encriptação usada pelo EAP
EAPOL-Key Confirmation Key (KCK)
Chave de checagem de integridade usada pelo EAP
25. WPA
Formato do MPDU do TKIP
Initialization Vector: Similar ao IV do WEP
KeyID: Indica a identificação da chave
Extended IV: Estende o IV para 48 bits
Data: Dados transmitidos
Message Integrity Code (MIC): Proteção contra ataques
Integrity Check Value (ICV): Checagem de integridade
26. WPA
Message Integrity Code (MIC)
Nova camada de controle de integridade
Provê proteção extra contra alguns ataques
Pode invocar contra medidas
Utiliza o algoritmo Michael
O ICV é calculado usando as entradas e saídas
do algoritmo Michael
27. WPA
Message Integrity Code (MIC)
Entradas do algoritmo Michael
Endereço de origem (SA)
Temporal MIC Key (TMK)
Endereço de destino (DA)
Dados
Saída do algoritmo Michael
Message Integrity Code (MIC)
29. WPA
Problemas do WPA
Utiliza o algoritmo de criptografia RC4
MIC não impede os ataques a que se propôs
Ataques de bit-flipping
Ataques de injeção de pacotes
Vulnerabilidades no modo pessoal
Ataques de força bruta
Ataques de dicionário
30. WPA
Vulnerabilidades publicadas
Ataque Chopchop (bit-flipping)
Adaptação do ataque apresentado por KoreK
Pode ser usado para injetar quadros pequenos
Publicado por M. Beck e E. Tews (2008)
Depende da implementação de QoS
Injeção de quadros
Publicado por F. Halvorsen e O. Haugen (2009)
Estende o ataque de 2008
Pode injetar quadros de tamanho maiores
31. WPA
Vulnerabilidades publicadas
Ataque de interceptação (man-in-the-middle)
Estende o ataque Chopchop de 2008
Publicado por T. Ohigashi e M. Morii (2009)
Não depende da implementação de QoS
Injeção de quadros
Publicado por M. Beck (2010)
Explora a fraqueza do algoritmo Michael
Pode injetar quadros de tamanho arbitrário
33. WPA2
Wi-Fi Protected Access 2
Publicado em 2004 como padrão IEEE 802.11i
Anexado ao padrão 802.11 em 2007
Tem dois modos de operação
Pessoal
Corporativo
Introduz novo protocolo de segurança
Compatível com protocolos anteriores
34. WPA2
Melhoramentos em relação ao WPA
Uso de um novo protocolo de segurança
CTR with CBC-MAC Protocol (CCMP)
Counter Mode
Cipher-Block Chaining Message Authentication Code
Uso de algoritmo de criptografia em blocos
Advanced Encryption Standard (AES)
Constitui uma Robust Security Network (RSN)
Protege determinados campos do cabeçalho
35. WPA2
Autenticação com o WPA2 (Modo Pessoal)
Pre-Shared Key (WPA2-PSK)
Não autentica usuário
36. WPA2
Autenticação com WPA2 (Modo
Corporativo)
Utiliza IEEE 802.1x (EAP + RADIUS)
Autentica o usuário
37. WPA2
CCMP
Utiliza as mesmas chaves utilizadas pelo TKIP
Não utiliza o ICV, somente o MIC
Destroi todas as chaves ao fim da sessão
Exceção: PMK Caching
Associação de segurança em uma ESS (Extended
Service Set)
Hand-off
Preauthentication
38. WPA2
Formato do MPDU do CCMP
CCMP Header
Packet Number: Sequenciamento de quadros
KeyID: Indica a identificação da chave
Message Integrity Code (MIC)
39. WPA2
Additional Authentication Data (AAD)
Proteção de integridade dos campos do
cabeçalho
Dados do Cabeçalho MAC
Frame Control (FC)
Address (A1, A2, A3 e A4)
Sequence Control (SC)
QoS Control (QC)
40. WPA2
Number used Once (Nonce)
Similar ao IV do WPA
Proteção contra ataques de replay
Dados utilizados
Priority: Obtido no cabeçalho MAC
Address 2 (A2): Endereço MAC na posição 2
Packet Number (PN): Sequenciamento do CCMP
42. WPA2
Problemas do WPA2
Vulnerabilidade no modo pessoal
Ataques de força bruta
Ataques de dicionário
Vulnerabilidades publicadas
Abuso da GTK (Hole 196)
Publicada por M. S. Ahmad (2010)
Cliente envia mensagens para endereços de grupos
Permite ataques man-in-the-middle (ARP Poisoning),
injeção de código e negação de serviço (DoS)
44. IEEE 802.11w
IEEE 802.11w-2009
Padrão publicado em 2009
Aumenta a segurança das redes 802.11
Protege para quadros de gerenciamento
Visa dificultar:
Injeção de quadros de gerenciamento
Ataques de negação de serviço (DoS)
Ataques request replay
45. IEEE 802.11w
IEEE 802.11w-2009
Impulsionado pelos novos padrões
IEEE 802.11k-2008
IEEE 802.11r-2008
Hand-off rápido entre BSSs
IEEE 802.11u
Gerenciamento de recursos do rádio
Interoperação com redes não-802.11
IEEE 802.11v
Gerenciamento dinâmico de redes sem fio
46. IEEE 802.11w
Problemas do IEEE 802.11w
Depende da troca das chaves dinâmicas
Expõe informações de associação e
autenticação
Não protege quadros de controle
Inefetivo contra RF-Jamming
47. Conclusão
Segurança em redes sem fio
WEP e WPA: obsoletos
Utilizar sempre WPA2
Algoritmos de segurança e criptografia: CCMP + AES
No modo pessoal, escolher chave difícil de adivinhar
Faltam produtos que implementem o IEEE
802.11w
Não existe rede totalmente segura