2. 2008 sz WiFi biztonság 2
Vezetéknélküli technológiák
• WiFi - Wireless Fidelity
– Maximum: 100 m, 100 Mbps
– Világrekord: er sítetlen 11Mbps, 125 mérföld!
• WiMAX – Worldwide Interopability
for Microwave Access
– Maximum: 50 km, 75 Mbps
• Bluetooth
– Maximum: 100 (10) m, 768 Kbps
• Más technológiák
– GPRS, UMTS, 3G, Wireless USB, …
3. 2008 sz WiFi biztonság 3
Vezetéknélküli hálózatok
• El nyök a korábbi vezetékes hálózatokkal szemben
– Felhasználók
• Egy zsinórral kevesebb (Laptop, PDA)
• Internet elérés a frekventált helyeken (HOTSPOT)
– Adminisztrátorok
• Könnyen telepíthet , könnyen karbantartható
– Nem igényel kábelezést
• Olyan helyekre is elvihet , ahova vezetéket nehezen lehet kihúzni
– Üzleti szempont
• Hosszútávon olcsóbb üzemeltetni
– Átállni azonban nagy beruházást jent
5. 2008 sz WiFi biztonság 5
802.11 család
• IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999)
• IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001)
• IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999)
• IEEE 802.11c - Bridge operation procedures; included in the IEEE 802.1D standard (2001)
• IEEE 802.11d - International (country-to-country) roaming extensions (2001)
• IEEE 802.11e - Enhancements: QoS, including packet bursting (2005)
• IEEE 802.11f - Inter-Access Point Protocol (2003)
• IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003)
• IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004)
• IEEE 802.11i - Enhanced security (2004)
• IEEE 802.11j - Extensions for Japan (2004)
• IEEE 802.11k - Radio resource measurement enhancements
• IEEE 802.11l - (reserved, typologically unsound)
• IEEE 802.11m - Maintenance of the standard; odds and ends.
• IEEE 802.11n - Higher throughput improvements
• IEEE 802.11o - (reserved, typologically unsound)
• IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars)
• IEEE 802.11q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking)
• IEEE 802.11r - Fast roaming
• IEEE 802.11s - ESS Mesh Networking
• IEEE 802.11T - Wireless Performance Prediction (WPP) - test methods and metrics
• IEEE 802.11u - Interworking with non-802 networks (e.g., cellular)
• IEEE 802.11v - Wireless network management
• IEEE 802.11w - Protected Management Frames
6. 2008 sz WiFi biztonság 6
Vezetéknélküli hálózat elemei
• Vezetéknélküli hálózati kártya
– Leginkább könnyen mozgatható eszközökhöz
Laptop, PDA és TablePC
• De ma már fényképez gép, videójáték,
mobiltelefon …
– Beépített eszközök, PCMCIA, CF kártya, USB
eszköz, stb..
– Egyedi MAC cím
• Hozzáférési pont (Access Point – AP)
– A vezetéknélküli eszközök rádiókapcsolatban
vannak a hozzáférési ponttal
7. 2008 sz WiFi biztonság 7
HOTSPOT
• Frekventált helyek ahol sok potenciális
felhasználó lehet
– Reptéri terminálok
– Kávézók, szórakozóhelyek
• Internet elérés
• A felhasználók fizetnek a szolgáltatásért
– Szállodák
8. 2008 sz WiFi biztonság 8
Vezetéknélküli hálózatok kihívásai
• Legf bb kihívások
– Rádióhullámok interferenciája
• Több hozzáférési pont elhelyezése
• Egymást zavaró adások
• Tereptárgyak hatásai
– Eszközök tápellátása (részben vezetékes..)
• Tápfelhasználás optimalizálása
– Mozgás a hozzáférési pontok között
• Handover
• Szolgáltató-váltás
– Biztonság
9. 2008 sz WiFi biztonság 9
Vezetéknélküli hálózatok
biztonsága
• Vezetékes hálózat esetében az infrastruktúrához
való hozzáférés már sok behatolót megállít
• Vezetéknélküli hálózat esetén azonban
megsz nik ez a korlát
– A fizikai közeg nem biztosít adatbiztonságot, a
küldött/fogadott adatokat mindenki észleli
– A támadó nehézségek nélkül és észrevétlenül
hozzáfér a hálózathoz
– A hálózat eljut az épületen kívülre is
10. 2008 sz WiFi biztonság 10
Vezetéknélküli hálózatok
biztonsága 2.
• Felmerül biztonsági kérdések
– Hitelesítés
• A felhasználó hitelesítése
• A szolgáltató hitelesítése
• A hitelesítés védelme
– Sikeres hitelesítés után az adatok védelme
– Anonimitás (jelenleg nem cél)
11. 2008 sz WiFi biztonság 11
A vezetéknélküli hálózatok
ellenségei
• Wardriving – Behatolás
idegen hálózatokba
– Autóból WLAN vadászat
– Rácsatlakozás a szomszédra
– Ingyen Internet az utcán
• Szolgálatmegtagadás
– Frekvenciatartomány
zavarása (jamming)
– DoS támadás
• Evil Twin (rogue AP) – Hamis
AP felállítása
– Felhasználók adatainak
gy jtése
– Visszaélés más
személyiségével
• Lehallgatás
12. Wardriving
2008 sz WiFi biztonság 12
www.wifiterkep.hu:
AP titkosított: 56% (8193db)
AP nyílt: 44% (6315db)
13. 2008 sz WiFi biztonság 13
Hitelesítés problémái
• Kihívás-válasz alapú hitelesítés
– Vezetékes környezetben jól m ködik
• A felhasználó bízhat a szolgáltatóban
– Vezetéknélküli környezetben már nem
tökéletes
• A támadó könnyen megszerezheti a kihívást és a
választ is
• Gyenge jelszavak (és protokollok) eseték egyszer
a szótáras támadás
14. 2008 sz WiFi biztonság 14
Hitelesítés problémái 2.
• Man-in-the-middle támadások
– Vezetékes környezetben nincsenek támadók
a drótban (reméljük..)
– Vezetéknélküli környezetben a támadó
könnyen megszemélyesíthet egy másik
eszközt
• Azonban a támadónak a közelben kell lennie
(De lehet az épületen kívül is!)
15. 2008 sz WiFi biztonság 15
Szolgáltatásbiztonság problémái
• Hamis hozzáférési pontok (rogue AP)
– Könny telepíteni – egy PDA is lehet AP!
– A felhasználó nem feltétlenül ismeri az APt
Pl.: HOTSPOT környezet
• Szolgálatmegtagadás DoS
– Szolgálatmegtagadás elárasztással egy
vezetékes eszközr l
– Fizikai akadályoztatás (jammer)
16. 2008 sz WiFi biztonság 16
Hozzáférés-védelem – Fizikai
korlátozás
• A támadónak hozzáférés szükséges a hálózathoz
– Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki
lehet zárni
– Gyakorlatban kerítés vagy vastag betonfal
• Nem biztonságos!
– A támadó bejuthat a hálózat területére
– Nagyobb antennát alkalmazhat
17. 2008 sz WiFi biztonság 17
Hozzáférés-védelem – MAC
sz rés
• Minden hálózati csatolónak egyedi címe van
– MAC cím (6 bájt)
– Egyedi a csatoló szempontjából
• Hozzáférés sz rése MAC címek alapján
– A hozzáférési pontnak listája van az engedélyezett csatlakozókról
• Esetleg tiltólista is lehet a kitiltott csatlakozókról
– Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja)
– Nagyon sok helyen ezt használják
• Nem biztonságos!
– Az eszközök megszerzése már hozzáférést
biztosít
• Nem a felhasználót azonosítja
– A MAC címek lehallgathatóak és egy
másik eszköz is felvehet engedélyezett
MAC címet
– Több hozzáférési pont menedzsmentje
nehéz
Linux:
ifconfig eth0 down hw ether 01:02:03:04:05:06
ifconfig eth0 up
Windows:
A csatoló driver legtöbbször támogatja, ha nem
akkor registry módosítás
18. 2008 sz WiFi biztonság 18
Hozzáférés-védelem - Hálózat
elrejtése
• A hozzáférési pontot a „neve” azonosítja
– Service Set ID – SSID
– Az SSIDt, valamint a hozzáférési pont képességeit id közönként
broadcast hirdetik (beacon)
• A hozzáférési pont elrejtése
– A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem
látszik
– Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni
• Nem biztonságos!
– A csatlakozó kliensek nyíltan küldik az SSIDt
– A támadó a csatlakozás lehallgatással felderítheti az SSIDt
– Népszer bb eszközök gyári SSID beállításai
• “tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys
19. 2008 sz WiFi biztonság 19
Hozzáférés-védelem –
Felhasználó hitelesítés
• A vezetéknélküli hozzáféréshez a felhasználónak vagy
gépének el ször hitelesítenie kell magát
• A hitelesítés nehézségei
– Nyílt hálózat, bárki hallgatózhat
• A kihívás-válasz alapú hitelesítés esetén támadó könnyen
megszerezheti a kihívást és a választ is
• Gyenge jelszavak eseték egyszer a szótáras támadás
– Man-in-the-middle támadások
• Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet
egy másik eszközt
• A forgalmat rajta keresztül folyik így hozzájut a hitelesítési
adatokhoz
– Legjobb a felhasználót hitelesíteni nem az eszközét
• Felhasználói jelszavak (mindenkinek külön)
20. 2008 sz WiFi biztonság 20
Hitelesítés – Hálózati jelszavak
• A felhasználók használhatják a hálózatot ha ismerik a
hálózat titkos jelszavát
– Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó
• WEP és WPA-PSK hitelesítés
– Részletesebben a titkosításnál
• Nem biztonságos!
– A támadó megszerezheti a hitelesítési üzeneteket és szótáras
támadást tud végrehajtani
• Egyszer a hálózati jelszó esetén a támadó könnyen célt ér
– A hálózati jelszó sok gépen van telepítve vagy sok felhasználó
ismeri ezért cseréje nehezen megoldható
– A WEP esetén a hitelesítés meghamisítható
21. 2008 sz WiFi biztonság 21
Hitelesítés – Captive portal
• Hitelesítés web felületen keresztül
– Egyszer a felhasználónak
– A kliensen egy web browser kell hozzá
– A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható
• A captive portal esetén a felhasználó els web kérését a hozzáférési pont a
hitelesítéshez irányítja
– Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó
– A felhasználó hitelesítés után folytathatja a böngészést
– A weblapon akár el is fizethet a felhasználó a szolgáltatásra
• A legtöbb HOTSPOT ezt használja
– Nem igényel szakértelmet a használata
– Nem kell telepíteni vagy átállítani a felhasználó gépét
• Nem biztonságos!
– Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli
adatforgalmát
– A felhasználó megtéveszthet hamis szolgáltatóval
– A támadó folytathatja a felhasználó nevében a hozzáférést
22. 2008 sz WiFi biztonság 22
Adatkapcsolat biztonsága
• A hozzáférés-védelmen túl gondoskodni kell a
felhasználó adatainak biztonságáról is
– Az adatokat titkosítani kell a hálózaton
– Csak az ismerhesse az adatokat, aki ismeri a
titkosítás kulcsát
– A hitelesítéssel összehangolva mindenkinek egyedi
kulcsa lehet
• WEP – Wired Equivalent Privacy
• WPA – WiFi Protected Access
• 802.11i – 802.11 Enhanced security
– WPA2 –nek is nevezik
23. 2008 sz WiFi biztonság 23
Adatkapcsolat biztonsága: WEP
• Cél a vezetékes hálózatokkal azonos biztonság
• Hitelesítés és titkosítás
– Els sorban titkosítás
• RC4 folyamkódoló
– Kulcsfolyam és adat XOR kapcsolata
• 40 vagy 104 bites kulcsok
– 4 kulcs is használható (KA)
• 24 bites Inicializáló vektor (IV)
– Hitelesítés megvalósítása
• Kihívás alapú, a válasz a titkosított kihívás
• Csak opcionális
– Integritásvédelem
• CRC ellen rz összeg (ICV) Fejléc IV KA Üzenet ICV
WEP csomag
Titkosított
24. 2008 sz WiFi biztonság 24
WEP – Titkosítás
• A titkosításhoz hálózat színt statikus, közös titok
– Azonos kulcsok, a felhasználók látják egymás forgalmát
• Folyamkódolás: ha két csomag azonos kulccsal van
kódolva, akkor az egyik ismeretében a másik
megfejthet a kulcs ismerete nélkül
– A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV)
amely minden csomagra egyedivé teszi a csomagkulcsot
– Az inicializáló vektor 24 bites, így 224 csomag után biztos ismétl dés
• Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul
• „Születésnapi paradoxon” miatt már 212 csomag után ütközés!
• AZ IV számozásra nincs szabály (gyakorlatilag eggyel n )
– Sok esetben a kulcs feltörése sem okoz gondot
• Legtöbbször jelszóból generálják -> szótáras támadás
• A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a
kulcs
25. 2008 sz WiFi biztonság 25
WEP – integritásvédelem és
hitelesítés
• A CRC kód jó hibadetektáló és hibajavító kód
– Védelem a zaj ellen, de a szándékos felülírás ellen nem véd
– A CRC érték titkosítva található a csomag végén
– A csomag módosítása esetén a CRC érték újraszámolható, a
jelszó ismerete nélkül
• A csomag IP fejlécében a biteket felülírva a csomagokat el lehet
terelni
• Kihívás-válasz alapú hitelesítés
– A támadó lehallgathatja a nyílt kihívást és a titkosított választ
– Egy új nyílt kihívásra maga is el állíthatja a választ a már
ismert kulcsfolyam segítségével
• A megfelel biteket átállítja (XOR)
• A CRC értéket újra számolja
26. 2008 sz WiFi biztonság 26
WEP biztonság
• A WEP biztonság nem létezik
– Csupán hamis biztonságérzet a felhasználókban
• A kulcsméretet megemelték 104 bitre
– Nem csak ez volt a hiba
• 104 bites hálózati kulcs feltörése már akár 500.000
megfigyelt titkosított csomag esetén is
• A megfigyelés ideje rövidíthet hamis csomagok
beszúrásával
– A többi gyengeség továbbra is megmaradt!
27. WEP törések
• 2002
– „Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A.
Stubblefield, J. Ioannidis, A. Rubin”
• Korrelációk a kulcs és a kulcsfolyam között
• 4.000.000 – 6.000.000 csomag
• 2004
– KoReK, fejlesztett FMS támadás
• Még több korreláció a kulcs és a kulcsfolyam között
• 500.000 – 2.000.000 csomag (104 bites WEP)
• 2006
– KoReK, Chopchop támadás
• Az AP segítségével a titkosított CRC miatt bájtonként megfejthet a titkosított
üzenet
• 2007
– PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még
több korreláció
• 60.000 – 90.000 csomag (104 bites WEP)
2008 sz WiFi biztonság 27
28. Chop-chop
• A csomag tartalmának megfejtése bájtonként
– A legutolsó bájtot megjósoljuk, majd elvesszük és
igazítjuk a titkosított CRC-t
– Ha jót jósoltunk, akkor helyes a CRC
• Küldjük vissza a csomagot az AP-nek
• Néhány AP hibajelzést ad, ha a felhasználó még nincsen
hitelesítve, de a csomag korrekt
– Tudjuk, ha jól jósolunk
• Az tetsz leges hosszú üzenet megfejtése
átlagosan hossz x 128 üzenetben történik
– Mindig megfejthet
– A kulcsot nem fogjuk megismerni
2008 sz WiFi biztonság 28
29. Adatszerzés WEP töréshez
• Hamisított csomagok
– De-authentication
– ARP response kicsikarása
• Módosított ARP request / Gratuitous ARP üzenet
• WEP esetén könnyen módosítható a titkosított is
• „Caffé latte” támadás
– Nem szükséges a WEP hálózatban lenni
• A Windows tárolja a WEP kucsokat, hamis AP
megtévesztheti
• Hamis ARP üzenetekkel 90.000 csomag gy jtése
• 6 perces támadás
2008 sz WiFi biztonság 29
30. WEP patch
• Nagy kulcsok
• Gyenge IVk elkerülése
• ARP filter
• WEP Chaffing
– Megtéveszt WEP csomagok injektálása.
Hatására a WEP törésnél hibás adatok
alapján számolódik a kulcs
– A tör algoritmusok javíthatóak..
2008 sz WiFi biztonság 30
31. 2008 sz WiFi biztonság 31
RADIUS hitelesítés
• Remote Authentication Dial In User
Service
– Eredetileg a betárcsázós felhasználóknak
(Merit Networks és Livingston Enterprises)
– Ma már széleskör használat
• Azonosítás nem csak dial-in felhasználáskor
• Távközlésben számlázáshoz
• AAA szolgáltatás nyújtása
32. 2008 sz WiFi biztonság 32
RADIUS tulajdonságok
• Legf bb tulajdonságok
– UDP alapú (kapcsolatmentes)
– Állapotmentes
– Hop by hop biztonság
• Hiányosságok
– End to end biztonság támogatása
– Skálázhatósági problémák
33. 2008 sz WiFi biztonság 33
RADIUS felépítése
• Kliens-szerver architektúra
• A szerepek nem változnak
– A felhasználó a kliens
– A hitelesít a szerver
– De van RADIUS – RADIUS kapcsolat is
Felhasználó NAS RADIUS
Kliens Szerver
34. 2008 sz WiFi biztonság 34
Diameter
• Kétszer nagyobb mint a RADIUS
• A jöv AAA szolgáltatása (IETF)
– Még mindig nincs kész…
– TCP vagy SCTP (Stream Control Transmission
Protocol) protokoll
– kérdés/válasz típusú + nem kért üzenetek a szervert l
– Hop-by-hop titkosítás (közös titok)
– End-to-end titkosítás
35. 2008 sz WiFi biztonság 35
RADIUS - Diameter
• Diameter jobb: (Nem csoda, ezért csinálták)
– Jobb skálázhatóság
– Jobb üzenetkezelés (hibaüzenetek)
– Együttm ködés, kompatibilitás, b víthet ség
– Nagyobb biztonság
• IPSec (+ TLS)
• End-to-end titkosítás
• RADIUS még foltozható, de lassan már kár ragaszkodni
hozzá
• Diameter hátránya:
– nagy komplexitás
– Még mindig egyeztetnek róla…
36. 2008 sz WiFi biztonság 36
Hitelesítés – 802.1X és EAP
• 802.1X: Port Based Network Access Control
– IEEE specifikáció a LAN biztonság javítására (2001)
– Küls hitelesít szerver: RADIUS (de facto)
• Remote Authentication Dial-In User Service
– Tetsz leges hitelesít protokoll: EAP és EAPoL
• Extensible Authentication Protocol over LAN
• Különböz EAP metódusok különböz hitelesítésekhez: EAP-MD5
Challenge, EAP-TLS, EAP-SIM, …
• Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS
• A 802.1X nagyon jól illik a WLAN környezetbe:
– Felhasználó alapú hitelesítés megvalósítható
– A hitelesítést nem a hozzáférési pont végzi
• Egyszer és olcsó hozzáférési pont, egyszer üzemeltetés
• Hitelesítés típusa egyszer en módosítható
• Központosított hitelesítés
– A hitelesítés védelme megoldható
37. 2008 sz WiFi biztonság 37
802.1X – Hozzáférés sz rés
• Kezdetben csak EAPoL forgalom
Hitelesített
Sz rt
A hitelesítés nélkül csak EAPoL forgalom.
Továbbításáról a hozzáférési pont gondoskodik
Csak akkor mehet adatforgalom, ha
hitelesítve lett 802.1X segítségével
EAPoLEAPoL
39. 2008 sz WiFi biztonság 39
Kulcsok
• Master Key (MK)
– A viszony alatt fennálló szimmetrikus kulcs a
felhasználó (STA) és a hitelesít szerver között (AS)
– Csak k birtokolhatják (STA és AS)
– Minden más kulcs ebb l származik
• Pairwise Master Key (PMK)
– Frissített szimmetrikus kulcs a felhasználó (STA) és a
hozzáférési pont (AP) között
– A felhasználó (STA) generálja a kulcsot MK alapján
– A hozzáférési pont (AP) a hitelesít szervert l (AS)
kapja
43. 2008 sz WiFi biztonság 43
802.1x hitelesítés
802.1x/EAP-Req. Identity
802.1x/EAP-Resp. Identity
AAA Access Request/Identity
Kölcsönös azonosítás
a választott EAP típus alapján
PMK származtatása PMK származtatása
AAA Accept + PMK
802.1x/EAP-Success
44. 2008 sz WiFi biztonság 44
802.1x hitelesítés gondok
• Az EAP nem biztosít védelmet
– Hamisított AAA-Accept üzenetek
• RADIUS
– Statikus kulcs a hozzáférési pont (AP) és a hitelesít
szerver (AS) között
– A hozzáférési pont minden üzenettel együtt egy
kihívást is küld
• Hamisított üzenetekre a RADIUS szerver gond nélkül
válaszol
– Megoldást a DIAMETER hitelesít jelenthet
• Sajnos úgy látszik ez sem fogja tökéletesen megoldani a
problémát
45. 2008 sz WiFi biztonság 45
802.1x hitelesítés lépései
• A hitelesítést a hitelesít szerver (AS) kezdeményezi és
választja meg a módszert
– A hitelesít legtöbbször RADIUS szerver
• Tapasztalatok, fejlesztések
– A hitelesít módszer legtöbbször EAP-TLS
• Több kell, mint kihívás alapú hitelesítés
• Privát/publikus kulcsok használata
• Sikeres hitelesítés esetén a hozzáférési pont (AP)
megkapja a Pairwise Master Key (PMK) –t is
• Otthoni és ad-hoc környezetben nem szükséges
hitelesít központ
– Pre-shared Key (PSK) használta PMK helyett
– Az otthoni felhasználó ritkán kezel kulcsokat..
46. 2008 sz WiFi biztonság 46
802.1X kulcsmenedzsment
• A Pairwise Master Key (PMK) segítségével a
felhasználó (STA) és a hozzáférési pont (AP)
képes el állítani a Pairwise Transient Key (PTK) –t
– A PMK kulcsot (ha a hitelesít szerverben (AS) lehet
bízni, akkor csak k ismerik
– A PTK kulcsot mindketten (STA és AP)
származtatják (nem utazik a hálózaton!) és ellen rzik,
hogy a másik fél valóban ismeri
• 4 utas kézfogás
– A többi kulcsot vagy egyenesen a PTK –ból
származtatják (megfelel bitek) vagy a KEK
segítségével szállítják a hálózaton (pl. Group TK)
47. 2008 sz WiFi biztonság 47
4 utas kézfogás
EAPoL-Key(ANonce)
EAPoL-Key(SNonce, MIC)
Véletlen ANonce
PTK el állítása: (PMK, ANonce,
SNonce, AP MAC, STA AMC)
PTK el állítása
EAPoL-Key(ANonce, MIC)
EAPoL-Key(MIC)
Véletlen SNonce
48. 2008 sz WiFi biztonság 48
4 utas kézfogás lépései
• MIC: Az üzenetek integritásának védelme
• Man-in-the-middle támadások kizárása
– A 2. üzenet mutatja, hogy
• A felhasználó (STA) ismeri PMK –t
• A megfelel ANonce –t kapta meg
– A 3. üzenet mutatja, hogy
• A hozzáférési pont (AP) ismeri PMK –t
• A megfelel SNonce –t kapta meg
• A 4. üzenet csak azért van, hogy teljes legyen a
kérdés/válasz m ködés
49. 2008 sz WiFi biztonság 49
EAP – Extensible Authentication
Protocol
• Több különböz hitelesítési módszer egyetlen protokollal
– A különböz módszerek (method) esetében más és más az üzenet tartalma
– Ugyanakkor a hozzáférési pontnak elegend az EAP protokollt ismerni
• EAP-Success: sikeres hitelesítés
• EAP-Faliure: sikertelen hitelesítés
• EAP példák
– Jelszavas
• EAP-MSCHAPv2
• EAP-MD5
– Tanúsítvány alapú
• EAP-TLS
– Egyszer jelszó
• EAP-OTP
– SIM kártya
• EAP-SIM
EAP
metódus
EAP
Alsó réteg
(pl. PPP)
EAP
Alsó réteg
(pl. PPP)
EAP
Alsó réteg
(pl. IP)
EAP
metódus
EAP
Alsó réteg
(pl. IP)
Peer Hitelesíto átjáró EAP szerver
50. 2008 sz WiFi biztonság 50
EAP-MSCHAPv2, EAP-TLS
• EAP-MSCHAPv2 (Microsoft Challenege Handshake
Authentication Protocol v2)
– Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval
kombinált kihívást küldi vissza
– A kliens is küld kihívást és ellen rzi, hogy a hitelesít valóban
ismeri az jelszavát -> kölcsönös hitelesítés
– Microsoft környezetben használt
• EAP-TLS (Transport Layer Security)
– Mind a kliens, mind a hitelesít tanúsítvánnyal rendelkezik
– A felek kölcsönösen ellen rzik a tanúsítványokat
– Nagyon biztonságos, de költséges, mert tanúsítványokat kell
karbantartani
51. 2008 sz WiFi biztonság 51
EAP hitelesítések védelme –
EAP-TTLS és PEAP
• Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de
nyíltan utaznak
– Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a
jelszó is megszerezhet
• Az EAP kommunikációt védeni kell!
– EAP-TTLS - Tunneled Transport Layer Security
• IETF draft: Funk, Meetinghouse
– PEAP - Protected EAP
• IETF draft: Microsoft (+ Cisco és RSA)
– Önmagában nem hitelesítés csak az EAP csatorna titkosítása
– Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, …
• Hitelesítés lépései
– 1. lépés: Titkos csatorna felépítése (TLS)
• Csak a szerver azonosítja magát tanúsítvány segítségével
– 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában
• A felhasználó hitelesíti magát
52. 2008 sz WiFi biztonság 52
1. Lépés – Titkosított csatorna építése
EAP-TTLS üzenetek
EAP-Response: Identity
EAP-Request: EAP-TTLS/Start
TLS felépítése
2. Lépés – Hitelesítés
EAP-Success
Hitelesít üzenetek
Csak domain név! A felhasználó
nevét nem szabad küldeni!
54. 2008 sz WiFi biztonság 54
EAP módszerek
összehasonlítása
• Er forrásigény
– Tanúsítványok er sebbek a jelszavaknál, de nagyobb az er forrásigényük,
m ködtetésükhöz több adminisztráció kell (PKI – Public Key Infrastructure)
• Kölcsönösség
– Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesít is
EAP-MD5
EAP-
MSCHAPv2
EAP-TLS EAP-TTLS PEAP
Hitelesítés MD5
LMHASH és
NTHASH
Tanúsítványok Bármi
EAP
módszerek
Szükséges
tanúsítványok - -
Kliens és
szerver
Szerver Szerver
Hitelesítés iránya
Kliens
hitelesítése
Kölcsönös Kölcsönös Kölcsönös Kölcsönös
Felhasználó
identitásának
védelme
Nincs Nincs Nincs TLS TLS
55. 2008 sz WiFi biztonság 55
IEEE 802.11i
• A 802.11i célja, hogy végre biztonságos
legyen a WiFi hálózat
– A szabvány 2004 –es
– Addig is kellett egy használható módszer
• WPA – WiFi Protected Access
– A 802.11i –vel párhuzamosan fejlesztették
– A 802.11i –t így WPA2 –nek is nevezik
56. 2008 sz WiFi biztonság 56
WPA - Wi-Fi Protected Access
• Wi-Fi Allience a WEP problémáinak kijavítására
(2003)
– Er s biztonság
– Hitelesítés és adatbiztonság
– Minden környezetben (SOHO és Enterprise)
– A meglév eszközökön csak SW frissítés
– Kompatibilis a közelg 802.11i szabvánnyal
• A fokozott biztonság mellett cél a gyors
elterjedés is!
– A WEP mihamarabbi leváltása
57. 2008 sz WiFi biztonság 57
WPA - TKIP
• A WEP összes ismert hibájának orvoslása, meg rizve
minél több WEP implementációt
• Titkosítás: Temporal Key Integrity Protocol (TKIP)
– Per-packet key mixing (nem csak hozzáf zés)
– Message Integrity Check (MIC) - Michael
– B vített inicializáló vektor (48 bit IV) sorszámozási szabályokkal
– Id vel lecserélt kulcsok (Nem jó, de muszáj)
• Hitelesítés: 802.1X és EAP
– A hitelesítés biztosítása
• Kölcsönös hitelesítés is (EAP-TLS)
– A hitelesítés változhat a környezett l függ en (SOHO <>
Enterprise <> HOTSPOT)
58. 2008 sz WiFi biztonság 58
TKIP
• Per Packet Keying
• Az IV változásával
minden üzenetnek más
kulcsa lesz
• Minden terminálnak más
kulcsa lesz, akkor is, ha
az alap kulcs véletlenül
egyezne
• A packet kulcsot
használjuk az eredeti
WEP kulcs helyett
IV Alap kulcs
Kulcs-
keverés
IV „Packet key” WEP
MAC cím
59. 2008 sz WiFi biztonság 59
TKIP – kulcs keverés
• 128 bites ideiglenes kulcs (A hitelesítésb l származik)
• Csomagkulcs el állítása 2 lépésben
– Feistel alapú kódoló használata (Doug Whiting és Ron Rivest)
– 1. lépés
• A forrás MAC címének, az ideiglenes kulcsnak és az IV fels 32 bitjének
keverése
• Az eredmény ideiglenesen tárolható, 216 kulcsot lehet még el állítani. Ez
javítja a teljesítményt
– 2. lépés
• Az IV és a kulcs függetlenítése
48 bites IV
32 bit 16 bit
Fels IV Alsó IV
Kulcskeverés
1. fázis
Kulcskeverés
2. fázis
MAC cím
Kulcs
IV IVd Csomagkulcs
24 bit 104 bit
RC4 rejtjelez kulcsa
A egy td öltelék bájt, a gyenge
kulcsok elkerülésére.
60. 2008 sz WiFi biztonság 60
IV sorszámozás
• IV szabályok
– Mindig 0-ról indul kulcskiosztás után
• Ellentétben a WEP-pel, itt ez nem gond, mert úgy
is más kulcsunk lesz minden egyeztetésnél
– Minden csomagnál eggyel n az IV
• Ha nem, akkor eldobjuk az üzenetet
• A 48 bites IV már nem merül ki
– Ha mégis, akkor leáll a forgalom, új kulcs kell
61. 2008 sz WiFi biztonság 61
MIC
• Message Integrity Code
• Michael algoritmus (Neils Ferguson)
– 64 bites kulcs 64 bites hitelesítés
– Er ssége: kb. 30 bit, azaz a támadó 231 üzenet megfigyelésével
képes egy hamisat létrehozni
• Nem túl er s védelem
• De egy er sebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon
rontaná a teljesítményt
• + védelem: ha aktív támadást észlel (percen belül ismétl d rossz
MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra
változatni
• Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a
kulcs
– Már nem csak az adatot védjük, hanem a forrás és cél MAC
címeket is!
– Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van
biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám)
62. 2008 sz WiFi biztonság 62
TKIP m ködése
Kulcskeverés
Sorszám
48 bit
Forrás
MAC
Kulcs1
128 bit
Michael
Kulcs2
64 bit
Adat
MSDU
Darabolás
MIC
MSDU
WEP
Csomagkulcs
MPDU(k)
Titkosított
adat
63. 2008 sz WiFi biztonság 63
WEP és WPA
• A WPA-t úgy tervezték, hogy minimális er forrás ráfordítással
kijavítsa a WEP hibát
• Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell
WEP WPA
Titkosítás Egyszer eszközökkel, könnyen
feltörhet
A WEP minden hibája kijavítja
40 bites kulcsok
(szabvány szerint)
128 bites kulcsok
Statikus – mindenki ugyanazt a
kulcsot használja a hálózatban
Dinamikus kulcsok
felhasználónként,
csomagonként
Kulcsok manuális disztribúciója,
azok kézi bevitele
Kulcsok automatikus
disztrbúciója
Hitelesítés Gyakorlatilag nincs, csak a
kulcson keresztül.
802.1x és EAP
64. WPA crack (2008)
• ARP, ismeretlen 12 + 2 byte
– 8: MIC
– 4: ICV
– 2: hálózati IP címek utolsó része
• Chop-chop törhet , ha
– Léteznek más QoS osztályok (WME)
• Visszajátszás elleni védelem miatt
2008 sz WiFi biztonság 64
65. 2008 sz WiFi biztonság 65
802.11i (WPA2)
• IEEE - 2004 –ben jelent meg
– WPA +
• Biztonságos gyors hálózatváltások
• A hitelesítés biztonságos feloldása
• Új titkosító protokollok: AES-CCMP, WRAP
– Már szükséges a HW módosítása is, az új
titkosító miatt
• Lassabb elterjedés, bár esetenként a driver is
megcsinálhatja
66. 2008 sz WiFi biztonság 66
CBC-MAC
• Cipher Block Chaining Message Authentication
Code
• Módszer
– 1. Az els blokk titkosítása
– 2. Az eredmény és a következ blokk XOR kapcsolat,
aztán titkosítás
– 3. A második lépés ismétlése
– Szükséges a kitöltés!
67. 2008 sz WiFi biztonság 67
CCMP
• Counter Mode CBC-MAC Protocol
– Az AES titkosító használata
• El re számolható (számláló módban)
• Párhuzamosítható
• Nagy biztonság
– Titkosítás és integritás védelemhez ugyanaz a kulcs
• Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond
Integritás védelem
CBC-MAC TitkosításMPDU
Kulcs
IV és CTR
IV CTR
Sorszám
Titkosított adat
AES AES
68. 2008 sz WiFi biztonság 68
CCMP el nyök
• Egyetlen kulcs elegend
– Titkosítás és integritás védelemhez ugyanaz a kulcs
– Általában nem jó, ha ugyanazt a kulcsot használjuk,
de itt nincs gond
• AES el nyök
– El re számolható (kulcs ismeretében)
– Párhuzamosítható
– Nagy biztonság
• Mentes a szabadalmaktól
– A WRAP nem volt az, így megbukott
69. 2008 sz WiFi biztonság 69
WLAN rádiós réteg védelme
WEP
WPA
TKIP
WPA2
CCMP
Titkosító
RC4, 40 vagy 104 bites
kulcs
RC4, 128 és 64
bites kulcs
AES, 128 bites
kulcs
Inicializáló
vektor
24 bites IV 48 bites IV 48 bites IV
Csomagkulcs Összef zés TKIP kulcskeverés nem szükséges
Fejléc
integritása
nincs védve
Forrás és cél MAC
Michael
CCM
Adatok
integritása
CRC-32 Michael CCM
Visszajátszás
védelem
nincs védelem IV szabályok IV szabályok
Kulcs-
menedzsment
nincs IEEE 802.1X IEEE 802.1X