Sicherheitsstandards in drahtlosen Industrienetzen

Transkript

1 Sicherheitsstandards in drahtlosen Industrienetzen Andreas Pretschner, Sebastion Winkler, Steffen Kotkowskij Siemens Automatisierungskreis, Dortmund Mai 2007

2 Table of contents 1. Einführung 2. Wireless LAN - eine Begriffsbestimmung (a) IEEE x Standards (b) Verwendete Technologien (c) Topologien 3. Sicherheit in wireless LAN (a) Angrifssmöglichkeiten (b) Authentifizierung (c) WEP/WPA - Mechanismen (d) einfache Gegenmaßnahmen (e) praktische Versuche an Siemens-Versuchsanlage 4. Zusammenfassung SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

3 Einführung Was ist WLAN Abkürzung für Wireless Local Area Network Draht- und kabelloses Netzwerk z.b. in Universitäten, auf Messen, Bahnhöfen, Flughäfen und neuerdings Zügen und Flugzeugen, und natürlich zunehmend in industriellen Bereichen z.b. die Vernetzung von Häusern oder Unternehmensstandorten und Produktionsanlagen Das Aufspüren offener W- LANs sorgte schon Anfang 2002 weltweit für Aufsehen In den Metropolen (z.b. London) fand man immer öfter kryptische Kreidezeichnungen an Hauswänden Die Zeichen machten auf das verfügbare Funknetzwerk aufmerksam und luden zum kostenlosen Surfen ein. Diese Markierungen wurden als als Warchalk (engl.: Kriegskreide ) bekannt SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

4 Beispiel-Scan SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

5 IEEE-Standards-I Geschichtliche Entwicklung 1980: Gründung der IEEE 802 Normen (Netzwerk) 1987: 802.4L (Token Bus) beginnt Forschung auf dem Gebiet drahtloser Netze 1990: Existenz proprietärer WLAN-Lösungen 1997: offiziell verabschiedet 1999: Gründung der Wireless Ethernet Compatibility Alliance, später Umbenennung in WiFi-Alliance Institute of Electrical and Electronics Engineers (IEEE) 1963 durch Verbindung zwischen American Institute of Electronical Engineers (AIEE) und Institute of Radio Engineers (IRE) entstanden SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

6 IEEE-Standards-II IEEE Einführung 1997 Datentransferrate: 1-2 Mbit/s Frequenzbereich: 2,4 GHz Sendeleistung: max. 100 mw (2,5 GHz Band) Veraltet, nicht mehr breit genutzt IEEE a Einführung 1999 Datentransferrate: 54 Mbit/s Frequenzbereich: 5 GHz Sendeleistung: max. 60 / 200 mw (5 GHz Band) Reichweite:15 bis 25m darf (ohne h-Erweiterung) nur im Indoorbereich genutzt werden wenig verbreitet SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

7 IEEE b Einführung 1999 Datentransferrate: 11 Mbit/s Frequenzbereich: 2,4 GHz Reichweite: 300m Kompatibel mit g relative weit verbreitet IEEE b+ Kein Offizieller Standard Datentransferrate: 22 Mbit/s Frequenzbereich: 2,4 GHz IEEE-Standards-II IEEE c auch bekannt als Wireless- Bridging Ermöglicht die Kommunikation zwischen AP s SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

8 IEEE-Standards-II IEEE d auch bekannt als World-Mode Harmonisierung div. WLAN-Parameter Ermöglicht autom. Berücksichtigung von länderspezifischen Unterschieden bzw. gesetzlichen Auflagen Ermöglicht Roaming unter versch. länderspezifischen WLAN- Karten IEEE e QoS-Dienste (Quality of Service) Interessant für VoIP, sowie Audio- und Video- Streaming IEEE f IAPP (Inter Access Point Protocol) Ermöglicht Roaming über mehrere WLAN-Zellen, Streaming wenn AP s über LAN- Brigdes verbunden sind SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

9 IEEE-Standards-II IEEE g Einführung 2002/2003 Datentransferrate: 54MBit/s Frequenzbereich: 2,4 GHz Reichweite: 600m weit verbreitet Proprietäre Erweiterung auf 108 MBit/s Kein offizieller Standard IEEE h Ergänzungsstandard zur Regulierung der Signalstärke und für Dynamische Frequenzwahl TPC (Transmission Power Control) reduziert Sendeleistung auf ein Minimum DFS (Dynamic Frequency Selection) wechselt Frequenz falls Medium gestört / bereits belegt Beschränkung auf Indoorbereich bleibt SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

10 IEEE-Standards-II IEEE i Einführung 2004 Bietet verbesserte Authentifizierungs- und Verschlüsselungsverfahren Viele Geräte verfügten durch WPA (WiFi Protected Access) schon vorher über einige Funktionen i. d. R. durch Firmwareupdate nachrüstbar IEEE n 5 GHz (geplant) bis zu 540Mbit/s Konkurrenz für LAN SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

11 Theoretische Übertragungsraten nach b 11 MBit/s nach a/g 54 MBit/s Übertragungsraten in der Praxis: nach b 5 MBit/s nach a/g 23 MBit/s Übertragungsraten Gründe: - Dämpfung, Reflektion, Beugung - Mehrwegausbreitung - Störung - Verschlüsselungen SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

12 Technologien Ziel der Modulationsverfahren: Stör- und Abhörsicherheit, Stabilität, höhere Datenrate FHSS (Frequency - Hopping - Spread - Spectrum) - Senden von Daten-Bursts über zahlreiche Frequenzen - Ständiges hin- und herspringen in einem best. Frequenzbereich/ Limitierte Frequenzbereich - Bluetooth: 1600 Sprünge/ Sekunde, WLAN: 2,5 Sprünge/ Sekunde DSSS (Direct - Sequence - Spread - Spectrum) Höhere Datenrate als bei FHSS - Unterteilt Daten in Portionen und sendet diese simultan über verschiedene Frequenzen - Nutzt die gesamt Frequenz-Bandbreite SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

13 Technologien OFDM (Orthogonal - Frequency - Division - Multiplexing) - Mehrträgerverfahren (werden mehrere tausend Träger gleichzeitig moduliert) - resultierende Hochfrequenzsignal liegt um ein Tausendfaches länger, stabil in der Luft SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

14 Angriffsmöglichkeiten Da die Datenpakete im WLAN per Funk übertragen werden, kann jeder die Pakete mitlesen. Mit Richtantennen kann dies über große Entfernungen geschehen WLAN-Karte muß lediglich in den Promiscuous Mode geschaltet werden (Promiscuous Mode: Alle Pakete werden empfangen, nicht nur die an einen adressiert sind. ( ) bzw. Monitormode zum aktiven Angriff) SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

15 Ad-hoc-Modus Topologien Verbindungen zwischen Computern werden nach Bedarf hergestellt keine Strukturen oder Fixpunkte im Netzwerk kein Access-Point Netzwerkpakete werden direkt von den vorgesehenen Übertragungs- und Empfangsstationen gesendet und empfangen Peer-to-Peer Vorteile einfache Methode zur Verbindung einzelner WLAN-Clients kostengünstig leicht konfigurierbar keine weitere Hardware erforderlich Nachteile sehr begrenzte Reichweite keine Verschlüsselungsmethoden SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

16 Infrastructure-Mode Datentransfer läuft über den Access-Point Topologien der AP dient als Bridge zum drahtgebundenen Netz und als Repeater kann bei zentraler Aufstellung Reichweite verdoppeln Vorteile Hohe Reichweite Automatischer Übergang in anderen Access-Point bei Verlassen des Ursprünglichen Unendliche Anschlussmöglichkeiten Nachteile Anschaffung teuer Anspruchsvollere Konfiguration SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

17 Access-Points (AP) - für Aufbau einer WLAN- Infrastruktur - Netzwerkressourcen werden mobilen Endgeräten zugänglich gemacht 3 Betriebsarten: - Access-Point-Betrieb - Client-Betrieb mit Anschluss an Computer - Repeater-Funktion Hardware W-LAN Router - Kombinationen aus WAN- Router und Access-Point - ermöglichen neben AP- Funktionalität den Zugang zum Internet oder einem Netzwerk über Routing SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

18 Angriffsmöglichkeiten - DoS-Angriffe Ein Angreifer simuliert so viele WLAN- Clients, dass sich rechtmäßige Benutzer nicht mehr anmelden können. Durch ein gefälschtes Deauthentication- Paket kann der Angreifer WLAN-Clients abmelden. SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

19 Angriffsmöglichkeiten - Address Spoofing - Jede Netzwerkkarte verfügt über eine eindeutige Hardewareadresse, die so genannte: MAC Adresse (Media Access Control Address) - Zum Schutz kann in einem Access Point, definiert werden welche MAC-Adresse Zugang in das WLAN bekommt (=MAC- Adressfilter) Problem: MAC-Adressen können Software-technisch vorgetäuscht werden 2 Möglichkeiten um an die MAC-Adresse zu kommen MAC-Adresse kann durch abhören erfahren werden, da sie im Klartext Übertragen wird. Eigenen Access Point in der Nähe des WLANs installieren. Berechtigter PC meldet sich an und überträgt seine MAC Adresse. SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

20 Einfache Gegenmaßnahmen ESSID (Extended-Service-Set-Identifier) - Name eines drahtlosen Netzes - Broadcast der ESSID deaktivieren MAC-Adresse (Media Access Control) - Eindeutige und einmalige Identifikationsnummer - Wird vom jeweiligen Hersteller vergeben - ACL (Access Control List) einpflegen DHCP (Dynamic-Host-Configuration-Protocol) - Weist Clients entsprechend dem Netzwerk eine gültige IP, Subnetmask,Gateway und DNS-Server zu - DHCP deaktiveren SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

21 WEP (Wired Equivalent Privacy) WEP - WEP ist ein Verschlüsselungsverfahren nach IEEE auf Basis einer RC4-Chiffrierung (RSA) - Ziel von WEP war es, eine dem Kabel vergleichbare Abhörsicherheit Deswegen auch der Name: Wired Equivalent Privacy Funktionen die WEP bietet: - Paketverschlüsselung (Datenstromchiffrierung) - Authentifizierung 1. Open System Authentification (Jeder Client wird zugelassen) 2. Shared Key Authentification (Jeder ist im Besitz des gleichen Schlüssel) SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

22 WEP (Paketvermittlung) SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

23 WEP (Paketvermittlung) SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

24 Open System - es wird jeder Client zugelassen Shared System - Authentifizierung durch WEP Authentifizierung SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

25 Sicherheit WEP (Wired Equivalent Privacy) - Verfahren zur Datenverschlüsselung und Authentifizierung - Beruht auf RC4 Algorithmus, dessen Schwächen seit 1994 bekannt sind nicht besonders sicher - Schlüssellänge sollte mindestens 128Bit betragen - in regelmäßigen Abständen Schlüssel ändern WPA (Wi-Fi Protected Access) - Standard für Verschlüsselung und Authentifizierung - entwickelt um grundlegende Schwächen von WEP zu beheben Nachfolger von WEP - Parallel zu WEP einsetzbar VPN (Virtual Private Network) - Ermöglicht sichere Datenübertragung durch einen verschlüsselten IPv4- bzw. IPv6-Tunnel SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

26 Sicherheit Sicherheitsprobleme bei der Verschlüsselung IV-Wert wird wiederholt - Pakete werden mit der gleichen Schlüssel IV-Kombination codiert werden (2 24 ) Möglichkeiten (bei einem 11 MBit AP mit durchschnittlicher Belastung dauert das ca. 1 Stunde) Prüfsumme (ICV = Integrity Check Value) kann nach der Verschlüsselung des Paketes immer noch verändert werden RC4-Algorithmus ist relativ sicher (bei WEP jedoch schlecht eingesetzt - Ermittlung des ersten Byte des RC4-Schlüsselstromes ist möglich Shared - Key - Verfahren (Jeder Client + AP haben den gleichen Schlüssel) Es gibt kein Schlüsselmanagement! SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

27 WPA(WiFi Protected Access) WPA ist eine vorgezogene i Technologie, die als Ersatz für WEP dient Verwendet auch den RC4 - Algorithmus Schutz durch dynamische Schlüssel, die auf dem TKIP (Temporal Key Integrity Protocol) basieren. Zusätzlich wird die Anmeldung von Nutzern über das Extensible Authentication Protocol (EAP) erfordert SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

28 WPA(WiFi Protected Access) WPA bietet zwei Authentifizierungsmöglichkeiten Managed Key Die Zugangskennungen werden auf einem zentralen Server verwaltet Pre-Shared-Keys(PSK) Alles Nutzer eines Netzes melden sich mit dem selben Kennwort an Bei schlechtem Passwort Risiko Auf gibt es bereits WPA-PSK-Cracker SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

29 WPA Wirkung des Standards IEEE i SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

30 Sicherheitslösung mit VPN Firewall Paketfilter, oft zusammen mit Intrusion Detection System Entweder als Hardware Lösung zwischen WAN und (W)LAN oder als Software-Lösung auf jedem Client IPsec Sicherheitserweiterung für das IP-Protokoll VPN (Virtual Private Network) Ermöglicht sichere Datenübertragung durch einen verschlüsselten IPv4- bzw. IPv6 Tunnel SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

31 Anmerkung Log-Funktion des AP s nutzen und regelmäßig überprüfen Platzierung des AP s planen Selber die Sicherheit des WLAN s überprüfen Vorteile - Keine lokalen Kabel - Keine Verkabelungskosten - Mobilität Nutzung Nachteile: - hohe Anschaffungskosten - geringe Sicherheit - Verfügbare Bandbreite - geringe Reichweite - zuviele Lösungen am Markt SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

32 Ergebnisse Zu Testzwecken stand die Vorführanlage von Siemens zur Verfügung. Dabei handelt es sich um ein Modell einer in der Industrie möglichen Nackenkissenproduktionsanlage, welche sich aus den vier Bereichen Schnitt, Bedruckung, Lager und Warte zusammen setzt, in denen je ein Access Point vom Typ SCALANCE W788 verbaut ist. Eine grobe Topologie der drahtlos kommunizierenden Anlagenbereiche zeigt Abbildung 1. Die Kommunikation untereinander kann mittes iwlan nur über die Warte erfolgen. Druck Lager Warte Schnitt S 613 S 613 Angreifer Z Abbildung 1: Schematische Darstellung der Siemens iwlan Vorführanlage SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai First Previous Next Last Go Back Bookmarks Full Screen Close Quit

33 Versuchswahl Praktische Angriffe auf WPA wären ergebnislos geblieben, da für einen Angriff lediglichwörterbuch- und Brute-Force-Attacke zur Verfügung stehen. Wegen der vernachlässigbaren Aussicht auf Erfolg und des benötigten Zeitaufwandes wurde dieser Versuch unterlassen, WPA anzugreifen. Die Ergebnisse machen deutlich, dass WEP allein keinen Schutz bietet. Der Schutz, den WEP einem Angreifer gegenüber bietet, besteht einzig im zeitlichen Vorsprung des Betreibers. Rückwirkend hat der Angreifer Zugang zu übertragenen Daten und kann künftig im Netzwerk agieren. SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

34 Ergebnisse - ein Ausschnitt Die Konfiguration der Anlage wurde beibehalten. Die Bereiche der Produktion waren mittels integrierter Bridge-Funktion an die Warte gekoppelt und hatten somit über diese auch auf die anderen Fertigungsbereiche Zugriff. Die Bridges waren mit WEP verschlüsselt. Der voreingestellte 40 Bit Schlüssel lautete PN CA. Diese Einstellung wird am Beispiel des Lagers in Abbildung 2 dargestellt. Abbildung 2: Konfiguration des Bridge-Modus an SCALANCE W788 AP SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

35 Durchführung Das Vorgehen lief ausschließlich auf das aktive Angreifen unter Zuhilfenahme der Aircrack Suite hinaus, da die Anlage selbst nur minimalen Datenverkehr verursachte. Ein passiver Angriff hätte den zur Verfügung stehenden Zeitrahmen gesprengt. Im ersten Test wurde beabsichtigt, die Vorführanlage zu kompromittieren. Vorteilhaft für für den Angreifer erwies sich dabei eine Fakeauthentication-Attack. Die Vorgabe der Identität des Access Points in diesem Fall von Zuschnitt im Netzwerk Siemens Wireless Network 1 an die Warte bewirkte dies mit dem Versuch der gefälschten Authentifizierung Ergebnis Der Angreifer hatte genug Einfluß auf die Anlage, so dass derjenige Access Point, dessen Identität er annehmen wollte, seinen Betrieb einstellte und nur durch den kompletten Neustart des betreffenden Bereiches der Anlage diesen wieder aufnahm. SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai

36 Durchführung Die von Siemens zu Versuchszwecken bereit gestellte Vorführanlage bietet mit den SCALANCE S613 Modulen den Einsatz von VPN neben WEP und selbstverständlich auch höheren Verschlüsselungen seitens der iwlan SCALANCE W Access Points. Die durchgeführten Versuche an der Anlage mit der Kombination von WEP und VPN zeigen ebenfalls, dass dem Angreifer selbst beim Erraten des richtigen WEP-Schlüssels keine nutzbringenden Informationen zukommen. Die Ergebnisse der Untersuchung machen deutlich, dass das auf der SCALANCE Serie aufbauende drahtlose Netzwerk als sicher zu bezeichnen ist. Die darin implementierten Sicherheitsstandards genügen derzeit jeder Forderung nach Sicherheit. SAK 2007 Die digitale Fabrik am Übergang zur Realen Fabrik Mai