Wifi biztonság

WiFi biztonság
Dr. Fehér Gábor
feher@tmit.bme.hu
BME-TMIT

2008 sz WiFi biztonság 2
Vezetéknélküli technológiák
• WiFi - Wireless Fidelity
– Maximum: 100 m, 100 Mbps
– Világrekord: er sítetlen 11Mbps, 125 mérföld!
• WiMAX – Worldwide Interopability
for Microwave Access
– Maximum: 50 km, 75 Mbps
• Bluetooth
– Maximum: 100 (10) m, 768 Kbps
• Más technológiák
– GPRS, UMTS, 3G, Wireless USB, …

Vezetéknélküli hálózatok
• El nyök a korábbi vezetékes hálózatokkal szemben
– Felhasználók
• Egy zsinórral kevesebb (Laptop, PDA)
• Internet elérés a frekventált helyeken (HOTSPOT)
– Adminisztrátorok
• Könnyen telepíthet , könnyen karbantartható
– Nem igényel kábelezést
• Olyan helyekre is elvihet , ahova vezetéket nehezen lehet kihúzni
– Üzleti szempont
• Hosszútávon olcsóbb üzemeltetni
– Átállni azonban nagy beruházást jent

WiFi hálózati szabványok
• A jelenlegi átviteli szabványok
– IEEE 802.11b 11Mbps 2.4 GHz
– IEEE 802.11g 54Mbps 2.4 GHz
– IEEE 802.11a 54Mbps 5 GHz
– IEEE 802.11n 300Mbps 2.4, 5 GHz

802.11 család
• IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999)
• IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001)
• IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999)
• IEEE 802.11c - Bridge operation procedures; included in the IEEE 802.1D standard (2001)
• IEEE 802.11d - International (country-to-country) roaming extensions (2001)
• IEEE 802.11e - Enhancements: QoS, including packet bursting (2005)
• IEEE 802.11f - Inter-Access Point Protocol (2003)
• IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003)
• IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004)
• IEEE 802.11i - Enhanced security (2004)
• IEEE 802.11j - Extensions for Japan (2004)
• IEEE 802.11k - Radio resource measurement enhancements
• IEEE 802.11l - (reserved, typologically unsound)
• IEEE 802.11m - Maintenance of the standard; odds and ends.
• IEEE 802.11n - Higher throughput improvements
• IEEE 802.11o - (reserved, typologically unsound)
• IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment (such as ambulances and passenger cars)
• IEEE 802.11q - (reserved, typologically unsound, can be confused with 802.1q VLAN trunking)
• IEEE 802.11r - Fast roaming
• IEEE 802.11s - ESS Mesh Networking
• IEEE 802.11T - Wireless Performance Prediction (WPP) - test methods and metrics
• IEEE 802.11u - Interworking with non-802 networks (e.g., cellular)
• IEEE 802.11v - Wireless network management
• IEEE 802.11w - Protected Management Frames

Vezetéknélküli hálózat elemei
• Vezetéknélküli hálózati kártya
– Leginkább könnyen mozgatható eszközökhöz
Laptop, PDA és TablePC
• De ma már fényképez gép, videójáték,
mobiltelefon …
– Beépített eszközök, PCMCIA, CF kártya, USB
eszköz, stb..
– Egyedi MAC cím
• Hozzáférési pont (Access Point – AP)
– A vezetéknélküli eszközök rádiókapcsolatban
vannak a hozzáférési ponttal

HOTSPOT
• Frekventált helyek ahol sok potenciális
felhasználó lehet
– Reptéri terminálok
– Kávézók, szórakozóhelyek
• Internet elérés
• A felhasználók fizetnek a szolgáltatásért
– Szállodák

Vezetéknélküli hálózatok kihívásai
• Legf bb kihívások
– Rádióhullámok interferenciája
• Több hozzáférési pont elhelyezése
• Egymást zavaró adások
• Tereptárgyak hatásai
– Eszközök tápellátása (részben vezetékes..)
• Tápfelhasználás optimalizálása
– Mozgás a hozzáférési pontok között
• Handover
• Szolgáltató-váltás
– Biztonság

biztonsága
• Vezetékes hálózat esetében az infrastruktúrához
való hozzáférés már sok behatolót megállít
• Vezetéknélküli hálózat esetén azonban
megsz nik ez a korlát
– A fizikai közeg nem biztosít adatbiztonságot, a
küldött/fogadott adatokat mindenki észleli
– A támadó nehézségek nélkül és észrevétlenül
hozzáfér a hálózathoz
– A hálózat eljut az épületen kívülre is

biztonsága 2.
• Felmerül biztonsági kérdések
– Hitelesítés
• A felhasználó hitelesítése
• A szolgáltató hitelesítése
• A hitelesítés védelme
– Sikeres hitelesítés után az adatok védelme
– Anonimitás (jelenleg nem cél)

A vezetéknélküli hálózatok
ellenségei
• Wardriving – Behatolás
idegen hálózatokba
– Autóból WLAN vadászat
– Rácsatlakozás a szomszédra
– Ingyen Internet az utcán
• Szolgálatmegtagadás
– Frekvenciatartomány
zavarása (jamming)
– DoS támadás
• Evil Twin (rogue AP) – Hamis
AP felállítása
– Felhasználók adatainak
gy jtése
– Visszaélés más
személyiségével
• Lehallgatás

Wardriving
www.wifiterkep.hu:
AP titkosított: 56% (8193db)
AP nyílt: 44% (6315db)

Hitelesítés problémái
• Kihívás-válasz alapú hitelesítés
– Vezetékes környezetben jól m ködik
• A felhasználó bízhat a szolgáltatóban
– Vezetéknélküli környezetben már nem
tökéletes
• A támadó könnyen megszerezheti a kihívást és a
választ is
• Gyenge jelszavak (és protokollok) eseték egyszer
a szótáras támadás

Hitelesítés problémái 2.
• Man-in-the-middle támadások
– Vezetékes környezetben nincsenek támadók
a drótban (reméljük..)
– Vezetéknélküli környezetben a támadó
könnyen megszemélyesíthet egy másik
eszközt
• Azonban a támadónak a közelben kell lennie
(De lehet az épületen kívül is!)

Szolgáltatásbiztonság problémái
• Hamis hozzáférési pontok (rogue AP)
– Könny telepíteni – egy PDA is lehet AP!
– A felhasználó nem feltétlenül ismeri az APt
Pl.: HOTSPOT környezet
• Szolgálatmegtagadás DoS
– Szolgálatmegtagadás elárasztással egy
vezetékes eszközr l
– Fizikai akadályoztatás (jammer)

Hozzáférés-védelem – Fizikai
korlátozás
• A támadónak hozzáférés szükséges a hálózathoz
– Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki
lehet zárni
– Gyakorlatban kerítés vagy vastag betonfal
• Nem biztonságos!
– A támadó bejuthat a hálózat területére
– Nagyobb antennát alkalmazhat

Hozzáférés-védelem – MAC
sz rés
• Minden hálózati csatolónak egyedi címe van
– MAC cím (6 bájt)
– Egyedi a csatoló szempontjából
• Hozzáférés sz rése MAC címek alapján
– A hozzáférési pontnak listája van az engedélyezett csatlakozókról
• Esetleg tiltólista is lehet a kitiltott csatlakozókról
– Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja)
– Nagyon sok helyen ezt használják
– Az eszközök megszerzése már hozzáférést
biztosít
• Nem a felhasználót azonosítja
– A MAC címek lehallgathatóak és egy
másik eszköz is felvehet engedélyezett
MAC címet
– Több hozzáférési pont menedzsmentje
nehéz
Linux:
ifconfig eth0 down hw ether 01:02:03:04:05:06
ifconfig eth0 up
Windows:
A csatoló driver legtöbbször támogatja, ha nem
akkor registry módosítás

Hozzáférés-védelem - Hálózat
elrejtése
• A hozzáférési pontot a „neve” azonosítja
– Service Set ID – SSID
– Az SSIDt, valamint a hozzáférési pont képességeit id közönként
broadcast hirdetik (beacon)
• A hozzáférési pont elrejtése
– A hozzáférési pont nem küld SSIDt a hirdetésekben, így a hálózat nem
látszik
– Aki nem ismeri a hálózat SSIDt, az nem tud csatlakozni
– A csatlakozó kliensek nyíltan küldik az SSIDt
– A támadó a csatlakozás lehallgatással felderítheti az SSIDt
– Népszer bb eszközök gyári SSID beállításai
• “tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys

Hozzáférés-védelem –
Felhasználó hitelesítés
• A vezetéknélküli hozzáféréshez a felhasználónak vagy
gépének el ször hitelesítenie kell magát
• A hitelesítés nehézségei
– Nyílt hálózat, bárki hallgatózhat
• A kihívás-válasz alapú hitelesítés esetén támadó könnyen
megszerezheti a kihívást és a választ is
• Gyenge jelszavak eseték egyszer a szótáras támadás
– Man-in-the-middle támadások
• Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet
egy másik eszközt
• A forgalmat rajta keresztül folyik így hozzájut a hitelesítési
adatokhoz
– Legjobb a felhasználót hitelesíteni nem az eszközét
• Felhasználói jelszavak (mindenkinek külön)

Hitelesítés – Hálózati jelszavak
• A felhasználók használhatják a hálózatot ha ismerik a
hálózat titkos jelszavát
– Ellentétben az SSIDvel, itt nem megy nyíltan a jelszó
• WEP és WPA-PSK hitelesítés
– Részletesebben a titkosításnál
– A támadó megszerezheti a hitelesítési üzeneteket és szótáras
támadást tud végrehajtani
• Egyszer a hálózati jelszó esetén a támadó könnyen célt ér
– A hálózati jelszó sok gépen van telepítve vagy sok felhasználó
ismeri ezért cseréje nehezen megoldható
– A WEP esetén a hitelesítés meghamisítható

Hitelesítés – Captive portal
• Hitelesítés web felületen keresztül
– Egyszer a felhasználónak
– A kliensen egy web browser kell hozzá
– A hitelesítés biztonsága TLS segítségével, tanúsítványokkal megoldható
• A captive portal esetén a felhasználó els web kérését a hozzáférési pont a
hitelesítéshez irányítja
– Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó
– A felhasználó hitelesítés után folytathatja a böngészést
– A weblapon akár el is fizethet a felhasználó a szolgáltatásra
• A legtöbb HOTSPOT ezt használja
– Nem igényel szakértelmet a használata
– Nem kell telepíteni vagy átállítani a felhasználó gépét
– Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli
adatforgalmát
– A felhasználó megtéveszthet hamis szolgáltatóval
– A támadó folytathatja a felhasználó nevében a hozzáférést

Adatkapcsolat biztonsága
• A hozzáférés-védelmen túl gondoskodni kell a
felhasználó adatainak biztonságáról is
– Az adatokat titkosítani kell a hálózaton
– Csak az ismerhesse az adatokat, aki ismeri a
titkosítás kulcsát
– A hitelesítéssel összehangolva mindenkinek egyedi
kulcsa lehet
• WEP – Wired Equivalent Privacy
• WPA – WiFi Protected Access
• 802.11i – 802.11 Enhanced security
– WPA2 –nek is nevezik

Adatkapcsolat biztonsága: WEP
• Cél a vezetékes hálózatokkal azonos biztonság
• Hitelesítés és titkosítás
– Els sorban titkosítás
• RC4 folyamkódoló
– Kulcsfolyam és adat XOR kapcsolata
• 40 vagy 104 bites kulcsok
– 4 kulcs is használható (KA)
• 24 bites Inicializáló vektor (IV)
– Hitelesítés megvalósítása
• Kihívás alapú, a válasz a titkosított kihívás
• Csak opcionális
– Integritásvédelem
• CRC ellen rz összeg (ICV) Fejléc IV KA Üzenet ICV
WEP csomag
Titkosított

WEP – Titkosítás
• A titkosításhoz hálózat színt statikus, közös titok
– Azonos kulcsok, a felhasználók látják egymás forgalmát
• Folyamkódolás: ha két csomag azonos kulccsal van
kódolva, akkor az egyik ismeretében a másik
megfejthet a kulcs ismerete nélkül
– A hálózati kulcsot kiegészítik egy publikus inicializáló vektorral (IV)
amely minden csomagra egyedivé teszi a csomagkulcsot
– Az inicializáló vektor 24 bites, így 224 csomag után biztos ismétl dés
• Valójában nem kell ennyi csomag, ugyanis a legtöbb IV nulláról indul
• „Születésnapi paradoxon” miatt már 212 csomag után ütközés!
• AZ IV számozásra nincs szabály (gyakorlatilag eggyel n )
– Sok esetben a kulcs feltörése sem okoz gondot
• Legtöbbször jelszóból generálják -> szótáras támadás
• A kulcs és IV összeillesztése miatt sok megfigyelt csomagból támadható a
kulcs

WEP – integritásvédelem és
hitelesítés
• A CRC kód jó hibadetektáló és hibajavító kód
– Védelem a zaj ellen, de a szándékos felülírás ellen nem véd
– A CRC érték titkosítva található a csomag végén
– A csomag módosítása esetén a CRC érték újraszámolható, a
jelszó ismerete nélkül
• A csomag IP fejlécében a biteket felülírva a csomagokat el lehet
terelni
• Kihívás-válasz alapú hitelesítés
– A támadó lehallgathatja a nyílt kihívást és a titkosított választ
– Egy új nyílt kihívásra maga is el állíthatja a választ a már
ismert kulcsfolyam segítségével
• A megfelel biteket átállítja (XOR)
• A CRC értéket újra számolja

WEP biztonság
• A WEP biztonság nem létezik
– Csupán hamis biztonságérzet a felhasználókban
• A kulcsméretet megemelték 104 bitre
– Nem csak ez volt a hiba
• 104 bites hálózati kulcs feltörése már akár 500.000
megfigyelt titkosított csomag esetén is
• A megfigyelés ideje rövidíthet hamis csomagok
beszúrásával
– A többi gyengeség továbbra is megmaradt!

WEP törések
• 2002
– „Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, A.
Stubblefield, J. Ioannidis, A. Rubin”
• Korrelációk a kulcs és a kulcsfolyam között
• 4.000.000 – 6.000.000 csomag
• 2004
– KoReK, fejlesztett FMS támadás
• Még több korreláció a kulcs és a kulcsfolyam között
• 500.000 – 2.000.000 csomag (104 bites WEP)
• 2006
– KoReK, Chopchop támadás
• Az AP segítségével a titkosított CRC miatt bájtonként megfejthet a titkosított
üzenet
• 2007
– PTW (Erik Tews, Andrei Pychkine and Ralf-Philipp Weinmann), még
több korreláció
• 60.000 – 90.000 csomag (104 bites WEP)

Chop-chop
• A csomag tartalmának megfejtése bájtonként
– A legutolsó bájtot megjósoljuk, majd elvesszük és
igazítjuk a titkosított CRC-t
– Ha jót jósoltunk, akkor helyes a CRC
• Küldjük vissza a csomagot az AP-nek
• Néhány AP hibajelzést ad, ha a felhasználó még nincsen
hitelesítve, de a csomag korrekt
– Tudjuk, ha jól jósolunk
• Az tetsz leges hosszú üzenet megfejtése
átlagosan hossz x 128 üzenetben történik
– Mindig megfejthet
– A kulcsot nem fogjuk megismerni

Adatszerzés WEP töréshez
• Hamisított csomagok
– De-authentication
– ARP response kicsikarása
• Módosított ARP request / Gratuitous ARP üzenet
• WEP esetén könnyen módosítható a titkosított is
• „Caffé latte” támadás
– Nem szükséges a WEP hálózatban lenni
• A Windows tárolja a WEP kucsokat, hamis AP
megtévesztheti
• Hamis ARP üzenetekkel 90.000 csomag gy jtése
• 6 perces támadás

WEP patch
• Nagy kulcsok
• Gyenge IVk elkerülése
• ARP filter
• WEP Chaffing
– Megtéveszt WEP csomagok injektálása.
Hatására a WEP törésnél hibás adatok
alapján számolódik a kulcs
– A tör algoritmusok javíthatóak..

RADIUS hitelesítés
• Remote Authentication Dial In User
Service
– Eredetileg a betárcsázós felhasználóknak
(Merit Networks és Livingston Enterprises)
– Ma már széleskör használat
• Azonosítás nem csak dial-in felhasználáskor
• Távközlésben számlázáshoz
• AAA szolgáltatás nyújtása

RADIUS tulajdonságok
• Legf bb tulajdonságok
– UDP alapú (kapcsolatmentes)
– Állapotmentes
– Hop by hop biztonság
• Hiányosságok
– End to end biztonság támogatása
– Skálázhatósági problémák

RADIUS felépítése
• Kliens-szerver architektúra
• A szerepek nem változnak
– A felhasználó a kliens
– A hitelesít a szerver
– De van RADIUS – RADIUS kapcsolat is
Felhasználó NAS RADIUS
Kliens Szerver

Diameter
• Kétszer nagyobb mint a RADIUS
• A jöv AAA szolgáltatása (IETF)
– Még mindig nincs kész…
– TCP vagy SCTP (Stream Control Transmission
Protocol) protokoll
– kérdés/válasz típusú + nem kért üzenetek a szervert l
– Hop-by-hop titkosítás (közös titok)
– End-to-end titkosítás

RADIUS - Diameter
• Diameter jobb: (Nem csoda, ezért csinálták)
– Jobb skálázhatóság
– Jobb üzenetkezelés (hibaüzenetek)
– Együttm ködés, kompatibilitás, b víthet ség
– Nagyobb biztonság
• IPSec (+ TLS)
• End-to-end titkosítás
• RADIUS még foltozható, de lassan már kár ragaszkodni
hozzá
• Diameter hátránya:
– nagy komplexitás
– Még mindig egyeztetnek róla…

Hitelesítés – 802.1X és EAP
• 802.1X: Port Based Network Access Control
– IEEE specifikáció a LAN biztonság javítására (2001)
– Küls hitelesít szerver: RADIUS (de facto)
• Remote Authentication Dial-In User Service
– Tetsz leges hitelesít protokoll: EAP és EAPoL
• Extensible Authentication Protocol over LAN
• Különböz EAP metódusok különböz hitelesítésekhez: EAP-MD5
Challenge, EAP-TLS, EAP-SIM, …
• Megoldható a hitelesítés védelme is: PEAP és EAP-TTLS
• A 802.1X nagyon jól illik a WLAN környezetbe:
– Felhasználó alapú hitelesítés megvalósítható
– A hitelesítést nem a hozzáférési pont végzi
• Egyszer és olcsó hozzáférési pont, egyszer üzemeltetés
• Hitelesítés típusa egyszer en módosítható
• Központosított hitelesítés
– A hitelesítés védelme megoldható

802.1X – Hozzáférés sz rés
• Kezdetben csak EAPoL forgalom
Hitelesített
Sz rt
A hitelesítés nélkül csak EAPoL forgalom.
Továbbításáról a hozzáférési pont gondoskodik
Csak akkor mehet adatforgalom, ha
hitelesítve lett 802.1X segítségével
EAPoLEAPoL

802.1X protokollok
Felhasználó
Supplicant (STA)
Hozzáférési pont
Authenticator (AP)
Hitelesít szerver
Authentication server (AS)
802.11 IP/UDP
EAPol RADIUS
EAP
EAP-TLS EAP-TLS

Kulcsok
• Master Key (MK)
– A viszony alatt fennálló szimmetrikus kulcs a
felhasználó (STA) és a hitelesít szerver között (AS)
– Csak k birtokolhatják (STA és AS)
– Minden más kulcs ebb l származik
• Pairwise Master Key (PMK)
– Frissített szimmetrikus kulcs a felhasználó (STA) és a
hozzáférési pont (AP) között
– A felhasználó (STA) generálja a kulcsot MK alapján
– A hozzáférési pont (AP) a hitelesít szervert l (AS)
kapja

Kulcsok (folyt.)
• Pairwise Transient Key (PTK)
– A felhasznált kulcsok gy jteménye
– Key Confirmation Key (PTK bitek 1-128)
• A PMK ismeretének bizonyítása
– Key Encryption Key (PTK bitek 129-256)
• Más kulcsok terjesztése
– Temporal Key (TK) (PTK bitek 257-..)
• Az adatforgalom biztosítása

Kulcs hierarchia
Master Key (MK)
Pairwise Master Key (PMK)
TLS-PRF
EAPoL-PRF
Pairwise Transient Key (PTK)
Key Confirmation Key (KCK)
Key Encryption Key (KEK)
Temporal Key (TK)
0-127
128-255
256-

802.1X – M ködési fázisok
Képesség felderítés
802.1X hitelesítés (Pairwise Master Key generálása)
802.1X kulcsmenedzsment
(Pairwise Transient Key generálása)
Kulcskiosztás (PMK)
Adatvédelem (Tempolral Key)
1
2
4
3

802.1x hitelesítés
802.1x/EAP-Req. Identity
802.1x/EAP-Resp. Identity
AAA Access Request/Identity
Kölcsönös azonosítás
a választott EAP típus alapján
PMK származtatása PMK származtatása
AAA Accept + PMK
802.1x/EAP-Success

802.1x hitelesítés gondok
• Az EAP nem biztosít védelmet
– Hamisított AAA-Accept üzenetek
• RADIUS
– Statikus kulcs a hozzáférési pont (AP) és a hitelesít
szerver (AS) között
– A hozzáférési pont minden üzenettel együtt egy
kihívást is küld
• Hamisított üzenetekre a RADIUS szerver gond nélkül
válaszol
– Megoldást a DIAMETER hitelesít jelenthet
• Sajnos úgy látszik ez sem fogja tökéletesen megoldani a
problémát

802.1x hitelesítés lépései
• A hitelesítést a hitelesít szerver (AS) kezdeményezi és
választja meg a módszert
– A hitelesít legtöbbször RADIUS szerver
• Tapasztalatok, fejlesztések
– A hitelesít módszer legtöbbször EAP-TLS
• Több kell, mint kihívás alapú hitelesítés
• Privát/publikus kulcsok használata
• Sikeres hitelesítés esetén a hozzáférési pont (AP)
megkapja a Pairwise Master Key (PMK) –t is
• Otthoni és ad-hoc környezetben nem szükséges
hitelesít központ
– Pre-shared Key (PSK) használta PMK helyett
– Az otthoni felhasználó ritkán kezel kulcsokat..

802.1X kulcsmenedzsment
• A Pairwise Master Key (PMK) segítségével a
felhasználó (STA) és a hozzáférési pont (AP)
képes el állítani a Pairwise Transient Key (PTK) –t
– A PMK kulcsot (ha a hitelesít szerverben (AS) lehet
bízni, akkor csak k ismerik
– A PTK kulcsot mindketten (STA és AP)
származtatják (nem utazik a hálózaton!) és ellen rzik,
hogy a másik fél valóban ismeri
• 4 utas kézfogás
– A többi kulcsot vagy egyenesen a PTK –ból
származtatják (megfelel bitek) vagy a KEK
segítségével szállítják a hálózaton (pl. Group TK)

4 utas kézfogás
EAPoL-Key(ANonce)
EAPoL-Key(SNonce, MIC)
Véletlen ANonce
PTK el állítása: (PMK, ANonce,
SNonce, AP MAC, STA AMC)
PTK el állítása
EAPoL-Key(ANonce, MIC)
EAPoL-Key(MIC)
Véletlen SNonce

4 utas kézfogás lépései
• MIC: Az üzenetek integritásának védelme
• Man-in-the-middle támadások kizárása
– A 2. üzenet mutatja, hogy
• A felhasználó (STA) ismeri PMK –t
• A megfelel ANonce –t kapta meg
– A 3. üzenet mutatja, hogy
• A hozzáférési pont (AP) ismeri PMK –t
• A megfelel SNonce –t kapta meg
• A 4. üzenet csak azért van, hogy teljes legyen a
kérdés/válasz m ködés

EAP – Extensible Authentication
Protocol
• Több különböz hitelesítési módszer egyetlen protokollal
– A különböz módszerek (method) esetében más és más az üzenet tartalma
– Ugyanakkor a hozzáférési pontnak elegend az EAP protokollt ismerni
• EAP-Success: sikeres hitelesítés
• EAP-Faliure: sikertelen hitelesítés
• EAP példák
– Jelszavas
• EAP-MSCHAPv2
• EAP-MD5
– Tanúsítvány alapú
• EAP-TLS
– Egyszer jelszó
• EAP-OTP
– SIM kártya
• EAP-SIM
EAP
metódus
EAP
Alsó réteg
(pl. PPP)
EAP
Alsó réteg
(pl. PPP)
EAP
Alsó réteg
(pl. IP)
EAP
metódus
EAP
Alsó réteg
(pl. IP)
Peer Hitelesíto átjáró EAP szerver

EAP-MSCHAPv2, EAP-TLS
• EAP-MSCHAPv2 (Microsoft Challenege Handshake
Authentication Protocol v2)
– Kihívás-válasz alapú hitelesítés, a felhasználó a jelszóval
kombinált kihívást küldi vissza
– A kliens is küld kihívást és ellen rzi, hogy a hitelesít valóban
ismeri az jelszavát -> kölcsönös hitelesítés
– Microsoft környezetben használt
• EAP-TLS (Transport Layer Security)
– Mind a kliens, mind a hitelesít tanúsítvánnyal rendelkezik
– A felek kölcsönösen ellen rzik a tanúsítványokat
– Nagyon biztonságos, de költséges, mert tanúsítványokat kell
karbantartani

EAP hitelesítések védelme –
EAP-TTLS és PEAP
• Az EAP hitelesítések ugyan nem tartalmaznak nyílt jelszavakat, de
nyíltan utaznak
– Az EAP kommunikáció megfigyelésével a felhasználó identitása vagy a akár a
jelszó is megszerezhet
• Az EAP kommunikációt védeni kell!
– EAP-TTLS - Tunneled Transport Layer Security
• IETF draft: Funk, Meetinghouse
– PEAP - Protected EAP
• IETF draft: Microsoft (+ Cisco és RSA)
– Önmagában nem hitelesítés csak az EAP csatorna titkosítása
– Hitelesítéssel kombinálva pl.: EAP-TTLS-TLS, PEAP-MSCHAPv2, …
• Hitelesítés lépései
– 1. lépés: Titkos csatorna felépítése (TLS)
• Csak a szerver azonosítja magát tanúsítvány segítségével
– 2. lépés: Aktuális hitelesítési módszer a titkosított csatornában
• A felhasználó hitelesíti magát

1. Lépés – Titkosított csatorna építése
EAP-TTLS üzenetek
EAP-Response: Identity
EAP-Request: EAP-TTLS/Start
TLS felépítése
2. Lépés – Hitelesítés
EAP-Success
Hitelesít üzenetek
Csak domain név! A felhasználó
nevét nem szabad küldeni!

Protokoll rétegek
• EAP-TTLS / PEAP rétegz dés
Viv protokoll (PPP, EAPoL, RADIUS, …)
EAP
EAP-TTLS
TLS
EAP (EAP-TTLS esetén más is)
EAP módszer (MD5, OTP, …)

EAP módszerek
összehasonlítása
• Er forrásigény
– Tanúsítványok er sebbek a jelszavaknál, de nagyobb az er forrásigényük,
m ködtetésükhöz több adminisztráció kell (PKI – Public Key Infrastructure)
• Kölcsönösség
– Ne csak a felhasználó legyen azonosítva, azonosítsa magát a hitelesít is
EAP-MD5
EAP-
MSCHAPv2
EAP-TLS EAP-TTLS PEAP
Hitelesítés MD5
LMHASH és
NTHASH
Tanúsítványok Bármi
EAP
módszerek
Szükséges
tanúsítványok - -
Kliens és
szerver
Szerver Szerver
Hitelesítés iránya
Kliens
hitelesítése
Kölcsönös Kölcsönös Kölcsönös Kölcsönös
Felhasználó
identitásának
védelme
Nincs Nincs Nincs TLS TLS

IEEE 802.11i
• A 802.11i célja, hogy végre biztonságos
legyen a WiFi hálózat
– A szabvány 2004 –es
– Addig is kellett egy használható módszer
• WPA – WiFi Protected Access
– A 802.11i –vel párhuzamosan fejlesztették
– A 802.11i –t így WPA2 –nek is nevezik

WPA - Wi-Fi Protected Access
• Wi-Fi Allience a WEP problémáinak kijavítására
(2003)
– Er s biztonság
– Hitelesítés és adatbiztonság
– Minden környezetben (SOHO és Enterprise)
– A meglév eszközökön csak SW frissítés
– Kompatibilis a közelg 802.11i szabvánnyal
• A fokozott biztonság mellett cél a gyors
elterjedés is!
– A WEP mihamarabbi leváltása

WPA - TKIP
• A WEP összes ismert hibájának orvoslása, meg rizve
minél több WEP implementációt
• Titkosítás: Temporal Key Integrity Protocol (TKIP)
– Per-packet key mixing (nem csak hozzáf zés)
– Message Integrity Check (MIC) - Michael
– B vített inicializáló vektor (48 bit IV) sorszámozási szabályokkal
– Id vel lecserélt kulcsok (Nem jó, de muszáj)
• Hitelesítés: 802.1X és EAP
– A hitelesítés biztosítása
• Kölcsönös hitelesítés is (EAP-TLS)
– A hitelesítés változhat a környezett l függ en (SOHO <>
Enterprise <> HOTSPOT)

TKIP
• Per Packet Keying
• Az IV változásával
minden üzenetnek más
kulcsa lesz
• Minden terminálnak más
kulcsa lesz, akkor is, ha
az alap kulcs véletlenül
egyezne
• A packet kulcsot
használjuk az eredeti
WEP kulcs helyett
IV Alap kulcs
Kulcs-
keverés
IV „Packet key” WEP
MAC cím

TKIP – kulcs keverés
• 128 bites ideiglenes kulcs (A hitelesítésb l származik)
• Csomagkulcs el állítása 2 lépésben
– Feistel alapú kódoló használata (Doug Whiting és Ron Rivest)
– 1. lépés
• A forrás MAC címének, az ideiglenes kulcsnak és az IV fels 32 bitjének
keverése
• Az eredmény ideiglenesen tárolható, 216 kulcsot lehet még el állítani. Ez
javítja a teljesítményt
– 2. lépés
• Az IV és a kulcs függetlenítése
48 bites IV
32 bit 16 bit
Fels IV Alsó IV
Kulcskeverés
1. fázis
Kulcskeverés
2. fázis
MAC cím
Kulcs
IV IVd Csomagkulcs
24 bit 104 bit
RC4 rejtjelez kulcsa
A egy td öltelék bájt, a gyenge
kulcsok elkerülésére.

IV sorszámozás
• IV szabályok
– Mindig 0-ról indul kulcskiosztás után
• Ellentétben a WEP-pel, itt ez nem gond, mert úgy
is más kulcsunk lesz minden egyeztetésnél
– Minden csomagnál eggyel n az IV
• Ha nem, akkor eldobjuk az üzenetet
• A 48 bites IV már nem merül ki
– Ha mégis, akkor leáll a forgalom, új kulcs kell

MIC
• Message Integrity Code
• Michael algoritmus (Neils Ferguson)
– 64 bites kulcs 64 bites hitelesítés
– Er ssége: kb. 30 bit, azaz a támadó 231 üzenet megfigyelésével
képes egy hamisat létrehozni
• Nem túl er s védelem
• De egy er sebb (HMAC-SHA-1 vagy DEC-CBC-MAC) már nagyon
rontaná a teljesítményt
• + védelem: ha aktív támadást észlel (percen belül ismétl d rossz
MIC), akkor azonnal megváltoztatja a kulcsot + 1 percig nem enged újra
változatni
• Nem egyirányú függvény! A korrekt MIC ismeretében meghatározható a
kulcs
– Már nem csak az adatot védjük, hanem a forrás és cél MAC
címeket is!
– Nincs külön sorszámozás, a visszajátszás elleni védelem úgy van
biztosítva, hogy a MIC értéket titkosítjuk (itt van sorszám)

TKIP m ködése
Kulcskeverés
Sorszám
48 bit
Forrás
MAC
Kulcs1
128 bit
Michael
Kulcs2
64 bit
Adat
MSDU
Darabolás
MIC
MSDU
WEP
Csomagkulcs
MPDU(k)
Titkosított
adat

WEP és WPA
• A WPA-t úgy tervezték, hogy minimális er forrás ráfordítással
kijavítsa a WEP hibát
• Sokkal jobbat is tudunk, de ehhez új hardver + új protokoll kell
WEP WPA
Titkosítás Egyszer eszközökkel, könnyen
feltörhet
A WEP minden hibája kijavítja
40 bites kulcsok
(szabvány szerint)
128 bites kulcsok
Statikus – mindenki ugyanazt a
kulcsot használja a hálózatban
Dinamikus kulcsok
felhasználónként,
csomagonként
Kulcsok manuális disztribúciója,
azok kézi bevitele
Kulcsok automatikus
disztrbúciója
Hitelesítés Gyakorlatilag nincs, csak a
kulcson keresztül.
802.1x és EAP

WPA crack (2008)
• ARP, ismeretlen 12 + 2 byte
– 8: MIC
– 4: ICV
– 2: hálózati IP címek utolsó része
• Chop-chop törhet , ha
– Léteznek más QoS osztályok (WME)
• Visszajátszás elleni védelem miatt

802.11i (WPA2)
• IEEE - 2004 –ben jelent meg
– WPA +
• Biztonságos gyors hálózatváltások
• A hitelesítés biztonságos feloldása
• Új titkosító protokollok: AES-CCMP, WRAP
– Már szükséges a HW módosítása is, az új
titkosító miatt
• Lassabb elterjedés, bár esetenként a driver is
megcsinálhatja

CBC-MAC
• Cipher Block Chaining Message Authentication
Code
• Módszer
– 1. Az els blokk titkosítása
– 2. Az eredmény és a következ blokk XOR kapcsolat,
aztán titkosítás
– 3. A második lépés ismétlése
– Szükséges a kitöltés!

CCMP
• Counter Mode CBC-MAC Protocol
– Az AES titkosító használata
• El re számolható (számláló módban)
• Párhuzamosítható
• Nagy biztonság
– Titkosítás és integritás védelemhez ugyanaz a kulcs
• Általában nem jó, ha ugyanazt a kulcsot használjuk, de itt nincs gond
Integritás védelem
CBC-MAC TitkosításMPDU
Kulcs
IV és CTR
IV CTR
Sorszám
Titkosított adat
AES AES

CCMP el nyök
• Egyetlen kulcs elegend
– Titkosítás és integritás védelemhez ugyanaz a kulcs
– Általában nem jó, ha ugyanazt a kulcsot használjuk,
de itt nincs gond
• AES el nyök
– El re számolható (kulcs ismeretében)
– Párhuzamosítható
– Nagy biztonság
• Mentes a szabadalmaktól
– A WRAP nem volt az, így megbukott

WLAN rádiós réteg védelme
WEP
WPA
TKIP
WPA2
CCMP
Titkosító
RC4, 40 vagy 104 bites
kulcs
RC4, 128 és 64
bites kulcs
AES, 128 bites
kulcs
Inicializáló
vektor
24 bites IV 48 bites IV 48 bites IV
Csomagkulcs Összef zés TKIP kulcskeverés nem szükséges
Fejléc
integritása
nincs védve
Forrás és cél MAC
Michael
CCM
Adatok
integritása
CRC-32 Michael CCM
Visszajátszás
védelem
nincs védelem IV szabályok IV szabályok
Kulcs-
menedzsment
nincs IEEE 802.1X IEEE 802.1X

Irodalom
• Phishing
– http://www.technicalinfo.net/papers/Phishing.html
• SPAM
– http://spamlinks.net/

Wifi biztonság

Recommended

Recommended

More Related Content

Similar to Wifi biztonság

Similar to Wifi biztonság (12)

Wifi biztonság