Systemsicherheit 13: Layer 2-Sicherheit

Transkript

1 Systemsicherheit 13: Layer 2-Sicherheit Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP, ) Transportschicht (TCP, UDP) Internetschicht (IP) Netzwerkschicht PPP (PPTP, L2TP, L2F), (z.b. Ethernet, TokenRing, ) WLAN, UMTS, DVB

2 Gliederung Layer 2: Ethernet, PPP: Point-to-Point protocol PAP und CHAP AAA: Authentication, Autorisation and Accounting (RADIUS, SecureID) PPP-Extensions: L2F, PPTP, L2TP Der PPTP-Angriff von Schneier und Mudge WLAN WEP: Wired Equivalent Privacy What s Wrong With WEP? (Borisov, Goldberg, Wagner) Key Scheduling Weaknesses in RC4 (Fluhrer, Mantin, Shamir) Layer 2: Ethernet & Co Übertragungsprotokoll für Teilnetze mit gleicher Technologie Ethernet: ursprünglich Broadcast-Netz PPP: Punkt-zu-Punkt-Verbindung WLAN: Broadcast-Netz DVB: Broadcast-Netz mit Fehlerkorrektur

3 Point-to-Point Protocol (PPP) RFC 1661: The Point to Point Protocol (PPP). W. Simpson, Juy 1994 Benötigt: Voll-Duplex, simultane, bidirektionale Verbindung zwischen zwei Hosts (z.b. ISDN) Encapsulation: Verpackt beliebige Protokolle Link Control Protocol: Aushandlung von PPP-Optionen, auch Authentisierung Network Control Protocol: Zusätzliche Protokolle, z.b. für die Zuweisung von IP-Adressen Point-to-Point Protocol (2) Encapsulation: Format des PPP-Pakets Weiße Felder: Standard-Festlegungen Graue Felder: RFC 1661 Protocol: IANA-Nummer des transportierten Protokolls (z.b. IP, oder c023 für PAP) FCS: Frame Check Sequence (Fehlerkorrektur) 1 Byte 1 Byte 1 Byte 2 Byte variabel 2 oder 4 Byte Flag Address Control Protocol Daten Padding FCS

4 Point-to-Point Protocol (3) Ablauf eines PPP-Verbindungsaufbaus UP OPENED SUCCESS/NONE Dead > Establish > Authenticate ^ FAIL FAIL +< DOWN CLOSING Terminate <---+< Network < Point-to-Point Protocol (4) Ablauf eines PPP-Verbindungsaufbaus 1. PPP-Pakete mit protocol=c021 LCP 2. PPP-Pakete mit protocol=c023 PAP/c223 CHAP 3. PPP-Pakete mit protocol=8*** NCP 4. PPP-Pakete mit protocol=???? IP

5 RFC 1334: PPP Authentication Protocols Password Authentication Protocol (PAP) Voraussetzung: PPP-Verbindung steht Client sendet wiederholt (im Klartext) das Paar (ID, Passwort) Network Access Server (NAS) überprüft das Passwort gegen den zur ID gespeicherten Wert (besser: den Hashwert des Passworts) Überprüfung erfolgreich: ACK Überprüfung nicht erfolgreich: NACK RFC 1334: PPP Authentication Protocols (2) Password Authentication Protocol (PAP): Datenformate Ankündigung mit Type=3 Length=4 Authentication-Protocol=c Handshake mit Code Identifier Length Data Code: 1 Authenticate-Request 2 Authenticate-Ack 3 Authenticate-Nak

6 RFC 1994: PPP Authentication Protocols (3) Challenge Handshake Authentication Protocol (CHAP) Voraussetzung: PPP-Verbindung steht Network Access Server (NAS) sendet challenge -Nachricht Client antwortet mit res = hash(secret, challenge) NAS überprüft, ob res = hash(secret, challenge) ist Überprüfung erfolgreich: ACK Überprüfung nicht erfolgreich: NACK RFC 1994: PPP Authentication Protocols (4) Challenge Handshake Authentication Protocol (CHAP) Ankündigung mit Type=3 Length=5 Authentication-Protocol=c Algorithm Algorithm: 0-4 unused (reserved) 5 MD5 [3]

7 RFC 1994: PPP Authentication Protocols (5) Challenge Handshake Authentication Protocol (CHAP) Handshake mit Code Identifier Length Data Code: 1 Challenge 2 Response 3 Success 4 Failure PPP-Erweiterungen Viele neue Vorschläge zu PPP findet man unter The PPP Encryption Control Protocol (ECP) (RFC 1968) PPP Extensible Authentication Protocol (EAP) (RFC 2284) The PPP DES Encryption Protocol, Version 2 (DESE-bis) (RFC 2419) The PPP Triple-DES Encryption Protocol (3DESE) (RFC 2420) Microsoft PPP CHAP Extensions (RFC 2433) PPP EAP TLS Authentication Protocol (RFC 2716) Microsoft PPP CHAP Extensions, Version 2 (RFC 2759) Microsoft Point-To-Point Encryption (MPPE) Protocol (RFC 3078)

8 AAA: Authentication, Authorization and Accounting AAA wird vor allem von Internet Service Providern (ISP, z.b. T-Online) benötigt, um gegenüber Kunden abrechnen zu können. Architektur: RADIUS (RFC 2058) AAA-Protokolle: PAP (meistens) CHAP SecureID Kerberos Remote Authentication Dial-In User Service (RADIUS) RFC 2058: RADIUS (Lucent Technologies) Client-Server-Lösung zur Authentisierung von Kunden Kunde ID, Passwort OK, Dienst NAS: RADIUS- Client E K (ID, Passwort) OK, Konfiguration RADIUS- Server

9 SecureID Produktlinie von RSA Inc. Alle 10 Sekunden wird im Client-Token und im Server eine neue Zufallszahl generiert Server überprüft, ob eine gesendete Zufallszahl im zulässigen Zeitfenster liegt. Kerberos (MIT) Kerberos wurde 1987 am MIT entwickelt 1: A, B S Ta, Ts: Timestamps L: Lifetime Kxy: Gemeinsamer Schlüssel von X und Y 2: {Ts, L, Kab, B,{Ts, L, Kab, A} Kbs } Kas A 3:{Ts, L, Kab, A} Kbs, {A,Ta} Kab 4: {Ta+1} Kab B

10 PPP-Verlängerung PPP bietet heute die besten AAA-Features Viele Außendienst-Mitarbeiter wählen sich über eine direkte Modem-Verbindung und PPP ins Firmennetz ein Idee: Verlängere PPP über ein IP Backbone-Netz Einwahl von Mitarbeitern lokal bei einem ISP Authentifizierung am NAS der Firma Problem: Verschlüsselung! PAP über PPP übers Internet ist nicht sehr sicher. PPP-Verlängerung (2) Client-initiierter Tunnel 1. Client stellt IP-Verbindung zum NAS der Firma her 2. Client sendet PPP-Pakete über diese Verbindung Remote User IP2 PPP GRE/UDP IP1 PPP ISDN ISP NAS IP2 PPP GRE/UDP IP1 Internet Home-NAS IP2 Intranet

11 PPP-Verlängerung (3) NAS-initiierter Tunnel 1. Client stellt PPP-Verbindung zum NAS des ISP her 2. NAS sendet PPP-Pakete über IP-Verbindung an den NAS der Firma Remote User IP2 PPP ISDN ISP NAS IP2 PPP GRE/UDP IP1 Internet Home-NAS IP2 Intranet Layer 2: PPTP, NCP PPTP verlängert PPP mit Hilfe von GRE (Generic Routing Encapsulation) PPTP-Kontrollnachrichten mit TCP Transportnetzwerk: IP Verschlüsselung und Authentikation auf PPP-Ebene ( link encryption ): Microsoft: EAP-TLS NCP: TLS auf Layer 2 Sicherheitsprobleme bei PPTP v1 (Mudge, Schneier, 1998) IP Header GRE- Header PPP- Header PPP Payload (verschlüsselt)

12 Layer 2: L2TP Best of PPTP (Microsoft) und L2F (Cisco) Verlängert PPP-Tunnel mit UDP (auch Kontrollnachrichten) Transportnetzwerk: IP (fertig), X.25, Frame Relay, ATM (geplant) Authentikation auf PPP-Ebene (PAP, CHAP, ) Verschlüsselung mit IPSec ESP IP Header ESP Header UDP Header L2TP- Header PPP- Header PPP Payload Padding ESP- Auth.- Trailer Kryptoanalyse von MS-PPTPv1 B. Schneier and Mudge, "Cryptanalysis of Microsoft's Point-to-Point Tunneling Protocol (PPTP)," Proceedings of the 5th ACM Conference on Communications and Computer Security, ACM Press, pp

13 Kryptoanalyse von MS-PPTPv1(2) Wörterbuch-Attacken Annahme: Passwörter werden gehasht, oder immer mit dem gleichen Schlüssel verschlüsselt. Angreifer bildet den Hashwert aller Worte in einem Wörterbuch. Die Paare (Wort, Hashwert) werden nach Hashwert sortiert. Ein gehashtes Passwort kann in dieser Liste leicht gefunden werden. Funktioniert, weil nur wenige Zeichenkombinationen als Passwörter verwendet werden (kleines Wörterbuch) Gegenmaßnahme: Für jeden Benutzer ein öffentlich bekanntes Salt einführen. Das hat zur Konsequenz, dass für jeden Benutzer ein eigenes Wörterbuch angelegt werden muss. Kryptoanalyse von MS-PPTPv1(3) Authentisierung/Verschlüsselung bei MS-PPTPv1: 1. Passwort im Klartext senden/keine Verschlüsselung möglich 2. Hashwert des Passworts senden/ keine Verschlüsselung möglich 3. MS-CHAP: Hashwert des Passworts wird zum Verschlüsseln der Challenge benutzt/ Verschlüsselung möglich

14 Kryptoanalyse von MS-PPTPv1(4) Umwandeln eines Passworts in einen kryptographischen Schlüssel: Windows NT Hash (sichere Variante) LAN Manager Hash: 1. Wandle das Passwort in einen 14-Byte-String um, entweder durch Kürzen längerer Passworte, oder durch Anfügen von Nullen an kürzere Passworte 2. Wandle alle Klein- in Grossbuchstaben um. Zahlen und andere Zeichen werden nicht verändert. 3. Teile den String in zwei 7-Byte-Hälften. 4. Verwende jede der beiden Hälften als 56-Bit DES-Schlüssel und verschlüssele damit jeweils eine feste Konstante. 5. Füge die beiden Ergebnisse zu einem 16-Byte-Wert zusammen. Kryptoanalyse von MS-PPTPv1(5) Angriff auf Authentisierungs-Variante 2: Windows NT Hash und LAN Manager Hash werden immer beide gesendet Greife zuerst den LAN Manager Hash an: Wörterbuch-Attacke gegen die beiden 8-Byte Hälften des Hashs. Längere Passwörter sind nicht sicherer als 7-Byte Passwörter Größe des benötigten Wörterbuchs wird durch die Umwandlung von Klein- in Grossbuchstaben weiter reduziert Es gibt kein Salt, also kann das gleiche Wörterbuch für alle Benutzer verwendet werden Aus dem so gefundenen Passwort kann man das Originalpasswort durch Variation der Groß-Kleinschreibung und Anwendung des Windows NT Hash berechnen.

15 Kryptoanalyse (6) MS-CHAP: Berechnung des LMH Passwort Umwandlung in 14-Byte-String: Abschneiden nach Byte 14 Anfügen von Nullen Passwort Umwandlung Klein- in Großbuchstaben PASSWORT Splitten in zwei 7-Byte-Hälften PASSWOR DES T DES KONSTANTE HASHWER1 HASHWER2 Kryptoanalyse von MS-PPTPv1(7) MS-CHAP: Berechnung der Response Passwort LMH-Funktion WNTH-Funktion LMH-Wert DES DES DES WNTH-Wert DES DES DES Challenge RES1 RES2 RES3 RES4 RES5 RES6

16 Kryptoanalyse von MS-PPTPv1(8) MS-CHAP: Berechnung des Passworts P 0,,P 13 LMH-Funktion WNTH-Funktion H 0,,H DES DES DES WNTH-Wert DES DES DES Challenge R 0 R 23 RES4 RES5 RES6 Kryptoanalyse von MS-PPTPv1(9) MS-CHAP: Berechnung des Passworts: 1. Teste alle möglichen Werte (2 16 ) für H14 und H15. Die richtigen Werte sind gefunden, wenn die Verschlüsselung der Challenge mit DES und dem Schlüssel H14 H den Wert R16 R23 ergibt. 2. Teste alle wahrscheinlichen Möglichkeiten (die 7 letzten Byte von möglichen Passwörtern, ggf. mit vielen Nullen) für P7,, P13. Die meisten falschen Werte können aussortiert werden, indem man den LM-Hash von P7,, P13 bildet und überprüft, ob die letzten beiden Bytes gleich H14 und H15 sind.

17 Kryptoanalyse von MS-PPTPv1(10) MS-CHAP: Berechnung des Passworts: 3. Die N verbleibenden Möglichkeiten für P7,, P13 kann man wie folgt testen: Berechne für den Kandidaten P7,, P13 den Wert H8,, H13, H14, H15. (H14 und H15 sind bereits bekannt.) Für jeden der 28 möglichen Werte von H7, verschlüssele die Challenge mit H7 H8 H13. Wenn das Ergebnis gleich R8 R15 ist, so sind H7 und damit auch P7,, P13 mit an Sicherheit grenzender Wahrscheinlichkeit die korrekten Werte. Liefert kein möglicher Wert für H7 das gewünschte Resultat, so war der Kandidat falsch. Kryptoanalyse von MS-PPTPv1(11) MS-CHAP: Berechnung des Passworts: 4. Wenn P7,, P13 bekannt sind, so kann man P0,, P6 durch eine Wörterbuchattacke ermitteln, indem man zu jedem möglichen Wert die LMH-Response berechnet und mit dem tatsächlichen Wert vergleicht. Da kein Salt verwendet wird, kann dieses Wörterbuch für alle PPTP- Clients verwendet werden. Der beschriebene Angriff wurde im Cracker-Tool L0phtcrack implementiert.

18 Gliederung Layer 2: Ethernet, PPP: Point-to-Point protocol PAP und CHAP AAA: Authentication, Autorisation and Accounting (RADIUS, SecureID) PPP-Extensions: L2F, PPTP, L2TP Der PPTP-Angriff von Schneier und Mudge WLAN WEP: Wired Equivalent Privacy What s Wrong With WEP? (Borisov, Goldberg, Wagner) Key Scheduling Weaknesses in RC4 (Fluhrer, Mantin, Shamir) WLAN: IEEE Erster Standard 1997: IEEE ,4 GHz Industry, Scientific an Medical (ISM) Band 1 oder 2 Mbps Frequency Hopping Spread Spectrum oder Direct Sequence Spread Spectrum Mittlerweile gibt es IEEE a,b,c,d,e,f,g,h,i,j,k,l,m,n 2 Modi: Infrastructure: Alle Hosts sind über Access Point verbunden Ad-Hoc: Je zwei Hosts können direkt kommunizieren Standard beinhaltet Wired Equivalent Privacy (WEP), vollständig gebrochen: Walker (Oct 2000), Borisov, Goldberg, Wagner(Jan 2001), Fluhrer, Mantin, Shamir (Aug 2001)

19 WLAN: Sicherheitsmaßnahmen ohne WEP Service Set IDentification (SSID) SSIDs sollen ein Funknetz in logische Einheiten unterteilen Ein Access Point akzeptiert alle Hosts mit vorgegebener SSID SSIDs werden im Klartext übertragen Fazit: Wird als Sicherheitsmaßnahme eingesetzt (Open Systems Authentication), ist aber keine. MAC Adress Filtering Für jeden Access Point wird eine Liste mit zugelassenen MAC- Adressen erstellt Schwer zu administrieren MAC Spoofing ist möglich WEP 40-/104-Bit-Schlüssel 24-Bit IV RC4 64-/128-Bit-Schlüsselfolge XOR Klartext CRC Chiffretext 24-Bit IV

20 WEP (2) Die Daten M bilden zusammen mit der CRC-Prüfsumme c(m) den Klartext P=M c(m) Der geheime symmetrische Schlüssel k bildet zusammen mit dem Initialisierungsvektor IV die Eingabe für den RC4- Algorithmus Die Ausgabe von RC4 wird mit dem Klartext P XORt. Das Ergebnis ist der Chiffretext. Der Chiffretext wird zusammen mit IV auf dem Funkkanal übertragen. Es gibt kein Schlüsselmanagement! In der Regel werden alle Hosts eines WLAN mit demselben RC4- Schlüssel konfiguriert! WEP: Keystream Reuse Der Schlüssel zur Verschlüsselung von WEP-Paketen hängt nur von dem Schlüssel und dem IV ab: RC4(k,IV) IV wird im Klartext übertragen Falls C1 = P1 RC4(k,IV) und dann C2 = P2 RC4(k,IV) C1 C2 = P1 RC4(k,IV) P2 RC4(k,IV) = P1 P2 Es gibt Methoden, um P1 und P2 aus P1 P2 zu berechnen. Decryption Dictionaries mit 2 24 Einträgen für festen Schlüssel k (egal welcher Länge) möglich!

21 WEP: Keystream Reuse (2) Wann ist Keystream Reuse möglich? Annahmen: A: Für jeden Hosts ein eigener Schlüssel B: Nur ein Schlüssel k für das gesamte Netzwerk Spätestens nach 2 24 Nachrichtenpaketen A: eines Hosts! B: des Netzwerks!! Bei einem AP mit 1500 Byte-Paketen und 11 Mbps ist das nach 5 Stunden der Fall. Dann müsste eigentlich der Schlüssel (manuell!) gewechselt werden. Mit Wahrscheinlichkeit 1/2 schon nach ca Paketen (Geburtstagsparadoxon!) Mit noch größerer Wahrscheinlichkeit, wenn ein Gerät (mehrfach belegt) den IV immer von 0 hochzählt (nach Reset). WEP: Modifikation von Nachrichten Die WEP-Prüfsumme ist linear, d.h. es gilt c(x Y) = c(x) c(y) Angriff: Berechne D = M neu M original Berechne D c(d) Berechne C = C D c(d) = RC4(k,IV) M c(m) D c(d) = RC4(k,IV) (M D) (c(m) c(d)) = RC4(k,IV) M c(m ) C wird vom Empfänger zu M neu entschlüsselt

22 WEP: Modifikation von Nachrichten (2) Anwendungen: Verschlüsselung beliebiger Nachrichten an Empfänger: Sende bekannten Plaintext P=M c(m) an den Empfänger (z.b. eine SPAM-Mail) Zeichne das verschlüsselte Paket, insbesondere den IV, auf Modifiziere P zu beliebigem P und sende das Paket Funktioniert, weil alte IVs weiter verwendet werden dürfen ohne Alarm auszulösen Entschlüsselung durch IP Redirection Modifiziere die IP-Adresse IP original in M (teilweise oder ganz bekannt) in IP Angreifer. AP entschlüsselt, Firewalls lassen IP von innen nach außen durch. Problem: Prüfsummen in IP- und TCP-Header WEP: Modifikation von Nachrichten (2) Anwendungen: Entschlüsselung durch IP Redirection Problem: Prüfsummen in IP- und TCP-Header Prüfsumme des Originalpakets ist bekannt: Differenz der Prüfsummen kann mit großer W. geraten werden Ändere anderes Headerfeld so ab, dass die Prüfsumme gleich bleibt TCP-Ack-Attacke Ändere ein paar Bits in M ab Wenn TCP-Prüfsumme weiterhin korrekt, wird ein kurzes ACK gesendet (sonst: silently discard packet ) Dies liefert Information über den Klartext

23 RC4 Ron Rivest 1987 Geheim bis 1994 Besteht aus zwei Phasen In der Key Setup-Phase (KSA) wird mit Hilfe des Schlüssels ein interner Startzustand aus den 2 8! x (2 8 ) möglichen Zuständes ausgewählt In der Ausgabephase (PRGA) werden aus dem Startzustand Nachfolgezustände generiert und dabei jeweils ein Byte ausgegeben. RC4 KSA(K) Initialization (N=2 8 ): For i = 0 N-1 S[i] = i j = 0 Scrambling For i = 0 N-1 j = j + S[i] + K[i mod L] Swap( S[i], S[j] ) PRGA(K) Initialization: i = 0 j = 0 Generation Loop i = i+1 j = j + S[i] Swap( S[i], S[j] ) Output Z = S[ S[i] + S[j] ]

24 RC4 mit bekanntem IV Idee: Beobachte nur das 1. Byte der Ausgabe von PRGA Dieses Byte wird aus dem Startzustand wie folgt erzeugt: i = 0+1 = 1 j = 0 + S[1] =: X Swap( S[1], S[X] ) Output Z = S[ S[1] + S[X] ] Fazit: Wenn wir den Wert der Speicherstellen 1 (=X) und x (=Y) kennen, dann können wir auch den Wert der Speicherstelle X+Y (=Z) berechnen. X Y Z 0 1 X X+Y RC4 mit IV vor dem geheimen Schlüssel Ziel: Berechne den geheimen Schlüssel Byte für Byte Annahme: Die ersten Bytes K[3],, K[A+2] des geheimen Schlüssels sind bereits berechnet, gesucht ist K[A+3] Suche WEP-Pakete mit IVs der Form (A+3, N-1, X) für ca. 60 verschiedene Werte von X. Da wir jetzt die ersten A+3 Schlüsselbytes A+3, N-1, X, K[3],, K[A+2] kennen, können wir KSA nachvollziehen.

25 RC4 mit IV vor dem geheimen Schlüssel KSA Scrambling Schritt 0: i=0, j=0+s[0]+k[0]=a+3 A+3 N-1 X K[3] K[A+2] K[A+3] A+2 A+3 A A+2 0 KSA Schritt 1: i=1, j=(a+3)+s[1]+k[1]=a+3+1+n-1=a+3 A+3 N-1 X K[3] K[A+2] K[A+3] A+2 A+3 A A+2 1 RC4 mit IV vor dem geheimen Schlüssel KSA Schritt 2: i=2, j=(a+3)+s[2]+k[2]=a+3+2+x A+3 N-1 X K[3] K[A+2] K[A+3] A+2 A+3 A+3 0 A+5+X 3 A+2 1 KSA Schritt 3 bis A+2: J enthält jetzt den (zufälligen) Wert X, daher können alle weiteren Swap-Operationen als zufällig angesehen werden. Nach Schritt A+2 kennt der Angreifer den Wert j A+2 und die genauen Werte der Permutation S A+2 [0],, S A+2 [N-1] Wenn S A+2 [0] und S A+2 [1] nicht mehr mit dem Bild oben übereinstimmen, wird die Brechnung abgebrochen und IV verworfen.

26 RC4 mit IV vor dem geheimen Schlüssel KSA Schritt A+3: i=a+3, j A+3 =j A+2 +S A+2 [A+3]+K[A+3] Angreifer kennt j A+2, S A+2 [0],, S A+2 [N-1] Falls der Angreifer S A+3 [A+3]=S A+2 [j A+3 ] kennen würde: Könnte er diesen Wert in S A+2 [0],, S A+2 [N-1] suchen und daraus j A+3 bestimmen. Dann ist K[A+3] = j A+3 - j A+2 - S A+2 [A+3] Frage: Wann ist das der Fall? A+3 N-1 X K[3] K[A+2] K[A+3] A+2 A+3 A+3 0 S A+2 [2] S A+2 [3] S A+2 [j A+3 ] RC4 mit IV vor dem geheimen Schlüssel F: Wann kennt ein Angreifer S A+2 [j A+3 ]? A: Wenn die Elemente A[0]=A+3, A[1]=0 und A[A+3] von den nachfolgenden Swap-Operationen nicht verändert werden. 1. Schritt PRGA(K): i = 0+1, j = 0+S[1]=0, z = S[ S[1]+S[0] ] = S[0 + A+3] = S[A+3] = S A+2 [j A+3 ] Dies ist für jeden passenden IV mit W. 0,05 der Fall Nach ca. 60 passenden IVs ist die W. > 0,5. A+3 N-1 X K[3] K[A+2] K[A+3] A+2 A+3 A+3 0 S A+2 [2] S A+2 [3] S A+2 [j A+3 ]

27 Fazit: RC4, IVs und WEP Bedingt durch die Codierung ist das erste Byte des Klartextes eines WEP-Pakets immer bekannt Der Angriff von Fluhrer et. al. kann daher durchgeführt werden. Komplexität wächst nur linear mit der Schlüssellänge Implementiert in zahllosen Wardriving-Tools: Fazit: WEP ist nicht mehr zu retten!