Sicherheit im Internet. WLAN Sicherheit

Transkript

1 ruhr-universität bochum Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr.E.h. Wolfgang Weber Sicherheit im Internet WLAN Sicherheit Seminar Datenverarbeitung WS 2002/03 Referent: cand.-ing. André Große Bley Betreuer: Dr.-Ing. Thomas Droste SEMINAR DATENVERARBEITUNG WS 2002/03 URL:

2 INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Einleitung Sicherheit im kabelgebundenen Ethernet Wireless LAN (WLAN) Sicherheitsmechanismen von IEEE Service Set Identifier - SSID Adressfilter Authentifizierung Open System Authentification Shared Key Authentification Wired Equivalent Privacy - WEP Der Zufallsgenerator RC Angriffe auf WLANs Passive Angriffe Aktive Angriffe Benötigte Geräte Versteckter SSID Schwächen des Adressfilters Schwächen der Authentifizierung Schwächen von WEP Die Gefahren von doppelt benutzen Schlüsselfolgen Schwachstellen von RC Allgemeine Sicherheitsprobleme Möglichkeiten zur Schaffung höherer Sicherheit Honeypots Virtual private Networks - VPNs IPSEC Ausblick 21 2

3 Kapitel 1 Einleitung 1 Einleitung Die Wireless Local Area Networks (WLANs) gewinnen heute immer mehr an Bedeutung. Vom Prinzip her gibt es WLANs relativ lange, meist als Punkt-zu-Punkt Verbindung zwischen Gebäuden ausgelegt. Fallende Preise bei den Komponenten sorgen inzwischen selbst im Privatbereich für Verbreitung. Der Grossteil der aktuellen WLAN-Komponenten arbeitet nach dem Standard IEEE b. Dieser erlaubt Datenraten von bis zu 11 MBit/s, die im Vergleich zum aktuellen Ethernet mit bis zu 10 GBit/s (IEEE 802.3ae) sehr langsam erscheinen, allerdings kein Kabel benötigen. Daher eignen sie sich besonders für mobile Geräte wie z.b. PDAs und Laptops. In den Medien ist immer mehr von Hotspots die Rede. Das sind öffentlich zugängige WLANs, die an bestimmten Plätzen wie z.b. Cafes oder Flughäfen verfügbar sind und drahtlosen Internet- Zugang ermöglichen. Je nach Anbieter ist eine Nutzung ohne vorherige Anmeldung unentgeltlich möglich oder nicht. Daher sehen manche Experten in WLANs eine Konkurrenz zu UMTS. Natürlich stellt sich die Frage, wie es mit der Sicherheit bei WLANs aussieht. Der Netzwerkbetreuer möchte nicht, dass jeder die übertragenen Daten mitlesen kann oder über das WLAN in das Firmen-LAN einbrechen kann. 1.1 Sicherheit im kabelgebundenen Ethernet In einer Netzwerkstruktur aus Abbildung 1 ist offensichtlich, dass jede Station an dem Kabelstrang sämtlichen Datenverkehr mithören und Pakete fälschen kann. Hier teilen sich die Stationen das gemeinsame Medium, den Ether. Heute ist überwiegend eine sternförmige Verkabelung, wie in Abbildung 2 gezeigt, anzutreffen. Die Zusammenführung der einzelnen Netzwerkkabel erfolgt in einem Hub oder Switch. Hier ist es nicht mehr offensichtlich, dass jede Station den Datenverkehr der anderen mithören kann. Der Hub verteilt alle Daten, die er an einem Port empfängt an alle anderen weiter. Damit liegt an jeder Station der Datenverkehr der anderen an. Wird der Hub durch ein Switch ersetzt, entstehen virtuelle Punkt-zu-Punkt Verbindungen. Ein Switch bietet keine 100%ige Sicherheit, da er nicht zuverlässig das Abhören von anderen Stationen unterbindet. Spezielle Angriffe ermöglichen es, Pakete zu empfangen, die an andere gerichtet sind. Moderne Switches erschweren dies durch MAC-Filter, die einen hohen Wartungsaufwand erfordern und die Flexibilität einschränken. Zusammenfassend lässt sich sagen, dass ein LAN solange sicher ist, wie kein Angreifer Zugang 3

4 Einleitung Kapitel 1 Abbildung 1: Eine Büroetage mit 10Base2/5 Verkabelung zum Medium und der Hardware hat. Abbildung 2: Eine Büroetage mit sternförmiger Verkabelung In Abbildung 2 ist ein Accesspoint mit in das Netzwerk eingebunden. 1.2 Wireless LAN (WLAN) Bei WLAN wird das Netzwerkkabel durch Funk ersetzt. Die Ausbreitungseigenschaften des Signals hängen von diversen Faktoren wie z.b. Frequenz, Sendeleistung und Umgebung ab und sind schwer vorhersehbar. Abbildung 3 zeigt die Ausbreitung der Funksignale in einem 4

5 Kapitel 1 Einleitung Büroraum mit zwei Metallschreibtischen und einer offenen Tür. So ist es durchaus möglich, dass die WLAN-Signale ausserhalb des Firmengeländes empfangen werden können. Damit hat ein Angreifer zugang zum Übertragungsmedium, ohne dass er dafür das Firmengelände betreten muss. Eine Richtantenne ist für das verwendetete ISM 1 -Frequenzband (IEEE b benutzt das 2,4 GHz-Band) klein und bietet hohe Antennengewinne. Somit ist ein mit der in der WLAN-Karte integrierten Antenne nicht mehr ausreichendes Signal kein Kriterium für ein sicheres Netzwerk. Auch ist es denkbar, dass kleinere Änderungen im Ausbreitungsbereich durch Reflektionen für ein stärkeres Signal ausserhalb des gewünschten Bereiches sorgen. Abbildung 3: Ausbreitung in einem Büro Die verwendete spread spectrum Modulation an sich sorgt für ein unauffälliges Signal, das knapp über dem Rauschpegel liegt. Der Empfänger muss wissen nach welchem Verfahren das Spektrum des Sendesignals aufgeweitet wird, um das Signal empfangen zu können. Allerdings ist bei WLANs dieses Verfahren im Standard festgeschrieben und für alle Karten gleich. Dies ist Voraussetzung, damit verschiedene Karten miteinander kommunizieren können. Eine manuelle Änderung des Verfahrens ist nicht möglich. Somit ist die erhöhte Störsicherheit der einzige Vorteil, den spread spectrum bei WLANs nach IEEE bringt 1 ISM: Industrial, Sciencetific, Medical 5

6 Sicherheitsmechanismen von IEEE Kapitel 2 2 Sicherheitsmechanismen von IEEE Service Set Identifier - SSID Der SSID ist eine eindeutige Kennung des Funknetzes. Eine Komponente wird üblicherweise so konfiguiert, dass sie Anmeldungen nur für das eigene Netz akzeptiert. Meist ist allerdings die Standard-Einstellung so gewählt, dass alle SSIDs akzeptiert werden. Der SSID ist nur zur Anmeldung an ein Netz nötig, die weitere Kommunikation findet mit der Adresse des Accesspoints (BSSID 2 ) statt. Mehrere Accesspoints können den selben SSID nutzen, um in größeren Netzen Roaming zu ermöglichen. IEEE definiert keine Vorgehensweise für das Handover. Ein Accesspoint versendet in regelmässigen 3 Abständen Beacon 4 -Frames, die unter anderem die Parameter für das spread spectrum und den SSID enthalten. Der Beacon ist ein management- Frame, das laut Standard immer unverschlüsselt übertragen wird. Es ist unbedingt nötig, damit eine Station erfährt, welche Parameter ein Accesspoint verwendet und welche Optionen er unterstützt. Ohne Beacon ist keine Verbindung mit dem Funknetzwerk möglich. Einige Produkte erlauben es ein Beacon-Frame ohne SSID zu verschicken. Somit wird der Umgebung der eigene SSID nicht aufgezwungen. In diesem Fällen wirkt der SSID wie ein einfaches Passwort, das den Zugang zum Funknetz sichert. 2.2 Adressfilter Einige Accesspoints besitzen einen MAC 5 -Adressfilter, der nur bekannte Stationen zulässt. Andere werden abgelehnt und eventuell protokolliert. Die MAC-Adresse oder Hardware-Adresse einer Netzwerkkarte ist eine eindeutige Kennung (bei Ethernet 48 Bit lang). In einem Netz darf keine MAC-Adresse doppelt vergeben werden. Die Wartungsaufwand für den Adressfilter nimmt mit der mit Anzahl der Stationen und Accesspoints schnell zu. 2 BSSID: basic service set identification 3 üblich: mehrfach in der Sekunde 4 Signalfeuer 5 MAC: Medium Access Control, die die Rolle des Data Link Layer bei Ethernet hat 6

7 Kapitel 2 Sicherheitsmechanismen von IEEE Authentifizierung IEEE definiert zwei Arten der Authentifizierung von Stationen: Open System und Shared Key Open System Authentification Diese Art der Authentifizierung ist die Einfachste und wird in Abbildung 4 veranschaulicht. Eine Station sendet eine Anfrage an den Accesspoint. Dieser antwortet, kann aber in der Antwort die Authentifizierung ablehnen, z.b. wenn die MAC Adresse nicht in der Liste der erlaubten ist oder zu viele Stationen an diesem Acccesspoint angemeldet sind. Dieses Verfahren bietet keinerlei Sicherheit und ist für offene Netzwerke ( Hotspots) gedacht. Es ist abschaltbar. Authentication Frame(Empty) Authentication Frame(Status) Abbildung 4: Open System Authentification Shared Key Authentification Dieses Verfahren benutzt einen Schlüssel, den Accesspoint und die Station, die sich anmelden möchte, kennen müssen. Der Ablauf ist in Abbildung 5 dargestellt. Auf die Anfrage der Station hin generiert der Accesspoint einen Zufallsstring (Challenge), der an die Station gesendet wird. Diese verschlüsselt den Zufallsstring mit dem in der Station hinterlegten Schlüssel und einem Zufallswert und sendet den verschlüsselten String samt Zufallswert zurück. Der Zufallswert wird im Klartext übertragen. Mit dem Zufallswert und dem im Accesspoint hinterlegten Schlüssel verschlüsselt der Accesspoint sein vorher gesendeten Zufallstext. Stimmt dieses Ergebnis mit dem Empfangenen überein, dann hat der Sender den gleichen Schlüssel wie der Accesspoint. Damit ist die Authentifizierung gelungen. Das Ergebnis wird der Station mitgeteilt. Bei Misserfolg kann ein Grund für die Verweigerung übermittelt werden. Zum Verschlüsseln wird ein Algorithmus mit dem Namen WEP 6 benutzt. 6 WEP: Wired Equivalent Privacy 7

8 { Sicherheitsmechanismen von IEEE Kapitel 2 Authentication Frame(Empty) Authentication Frame(Challenge Text) Authentication Frame(Encrypted Challenge) Authentication Frame(Status) Abbildung 5: Shared Key Authentification 2.4 Wired Equivalent Privacy - WEP Aufgrund der potentiellen Sicherheitsprobleme eines Funknetzwerkes sieht IEEE einen Verschlüsselungsalgorithmus vor. Der Name wired equivalent privacy soll eine mit dem kabelgebundenen Ethernet vergleichbare Sicherheit suggerieren. Es gibt drei große Ziele von WEP: Vertraulichkeit: Das Hauptziel soll Mitlesen vermeiden. Zugriffskontrolle: Alle nicht (korrekt) verschlüsselten Pakete werden auf Wunsch ignoiert. Korrektheit der Daten: Verändern von Daten soll ausgeschlossen werden. WEP verschlüsselt nur Datenframes. Managementframes und Frameheader werden weiterhin unverschlüsselt übertragen. Die Daten werden vor dem Verschlüsseln durch eine 32 Bit Prüfsumme (ICV 7 ) ergänzt. Die verschlüsselten Daten werden in einen IEEE Datenrahmen eingebettet (siehe Abbildung 6). Der Verschlüsselungsalgorithmus selbst basiert auf einem Al- DATEN CRC32 DATEN ICV IV WEP Key 1 WEP Key 2 WEP Key 3 WEP Key 4} } Seed RC4 PRNG XOR DATEN ICV FCS Adressen WEP=1 (...) 7 ICV: integrity check value Abbildung 6: Die WEP-Verschlüsselung 8

9 Kapitel 2 Sicherheitsmechanismen von IEEE gorithmus von Gilbert Vernam, der diesen 1918 für das amerikanische Militär entwickelte. Der Algorithmus verknüpft die Bitfolge des Urtextes mit einer Schlüsselfolge mittels des ausschliessenden oders. Die Entschlüsselung wird auf die gleiche Weise durchgeführt. Beide Seiten benötigen den gleichen Schlüsselstrom, daher ist dieser Algorithmus ein symmetrisches Verfahren. Die Schlüsselfolge muss mindestens genausolang sein, wie die zu verschlüsselnden Daten. Wenn die Schlüsselfolge zufällig ist und nur ein mal verwendet wird, ist der Vernam- Algorithmus das einzig beweisbar sichere Verschlüsselungsverfahren. In der Praxis ist es nicht immer möglich, die Schlüsselfolge auf einem sicheren Weg zum Empfänger zu übertragen. Ein weiteres Problem stellt der Speicherplatzbedarf dar. Daher wird die Schlüsselfolge meist durch einen Algorithmus generiert, der ausgehend von einem vergleichsweise kurzen Startwert (Seed) eine Schlüsselfolge erzeugt. WEP setzt dafür einen RC4-Pseudozufallsgenerator (PRNG 8 ) ein. Zu Beginn jedes Paketes bekommt dieser Zufallsgenerator einen neuen Startwert (Seed), der sich aus einem der vier vom Benutzer vorgegebenen Schlüssel (WEP-Keys) und einem initialisation Vector (IV) zusammensetzt. Der Standard sagt nichts genaues über diesen IV aus. Es wird nur empfohlen, für jedes Paket einen anderen IV zu verwenden. Es gibt zwei verbreitete Implementierungen: Der IV wird bei Initialisierung der Karte auf 0 gesetzt und nach jedem Paket um eins inkrementiert. Für jedes Paket wird ein zufälliger IV benutzt. Ein konstanter IV ist auch möglich, ohne den Standard zu verletzen. Es ist nicht bekannt, ob dies in der Praxis eingesetzt wird. Alle denkbaren Implementierungen verletzen die Forderung nach Einmaligkeit der Schlüsselfolgen. Andere Verschlüsselungsverfahren benutzen einen Startwert für eine gesamte Verbindung oder einen längeren Teil einer Verbindung. WLAN garantiert - ähnlich wie herkömmliches Ethernet nach IEEE die Übertragung eines Paketes nicht. Ein verlorenes Paket desynchronisiert Sender und Empfänger. Als Abhilfe wird der IV benutzt, der zum Empfänger übertragen wird. Mit dem IV werden aus einem WEP-Schlüssel verschiedene Schlüsselfolgen generiert. Angenommen, ein Angreifer schafft es, bestimmte Bits in der Luftschnittstelle zu kippen, wie z.b. die Zieladresse eines IP-Paketes. Erlangt er den Klartext, kann er durch XOR-Verknüpfung 8 PRNG: Pseudo Random Number Generator 9

10 Sicherheitsmechanismen von IEEE Kapitel 2 von Klartext und verschlüsseltem Text die Schlüsselfolge bestimmen. Der ICV ermöglicht es, dies zu bemerken. Somit wird das manipulierte Paket verworfen. Die Prüfsumme des Gesamtpaketes (FCS 9 ) ist dafür nicht tauglich, da sie vom Angreifer neu berechnet werden kann. Die FCS sichert den Inhalt des Rahmens, um Übertragungsfehler zu erkennen. Sie schützt nicht vor Manipulationen. WEP-Schlüssel sind 64 oder 128 Bit lang. Da der IV zum Schlüssel gehört, beträgt die effektive Schlüssellänge 40 oder 104 Bit. Der Standard sieht vier Schlüssel vor, die jeweils vom Sender ausgewählt werden. Im Rahmen wird die Nummer des benutzten Schlüssels übermittelt. Damit ist es denkbar, verschiedenen Stationen jeweils einen anderen Schlüssel zuzuweisen oder die Schlüssel zyklisch zu tauschen. Einige Hersteller verwenden zusätzlich längere Schlüssel oder IVs. Diese Erweiterungen sind aber nicht kompatibel zu Produkten anderer Hersteller. Das IEEE sieht für das kommende WEP2 einen 128 Bit IV vor. Eine kompatible Veriante ist WEP plus, welches z.b. von Orinoco eingesetzt wird. Dort werden bestimmte IV-Werte vermieden, die zu besonders schlechten Schlüsseln führen. Da der IV vom Sender vorgegeben und zum Empfänger übermittelt wird, ist dieses Verfahren mit jeder bestehenden Hardware kompatibel. Es wird nicht verhindert, dass die Gegenseite mit schwachen Schlüsseln antwortet Der Zufallsgenerator RC4 Der Algorithmus RC4 wurde von Ronald L. Rivest entwickelt. Der Name steht für Ron s Code 4. Der Algorithmus war bis zum 13. September 1994 geheim, er ist anonym und ohne Erlaubnis von Rivest in die Usenet-Gruppe sci.crypt geposted worden. Der Algorithmus kann in zwei Teile unterteilt werden: 1. Der key scheduling algorithm (KSA) erzeugt mit Hilfe des Schlüssels eine Permutation S von 0..N 1. Dazu wird das Feld S mit den Werten von 0..N 1 vorbelegt. Danach erfolgt eine Vertauschung in Abhängigkeit des Schlüssels [MAZ96]. Dieser Algorithmus wird bei jedem neuen Frame aufgerufen, da sich der Schlüssel (bestehend aus WEP-Key und IV) ändert. 2. Der eigentliche Zufallsgenerator arbeitet ähnlich. Aus den Permutationen wird ein Wert ausgewählt, und die beiden Elemente, aus denen der Wert generiert wird, vertauscht. Die 9 FCS: Frame Check Sequence 10

11 Kapitel 2 Sicherheitsmechanismen von IEEE Positionen der Elemente werden für den nächsten Aufruf des Zufallsgenerators gespeichert [MAZ96]. Die Länge des Schlüssels K ist meist geringer als N, daher wird K als periodisch angenommen. Ein Angriff auf den RC4-Zufallsgenerator wird wegen des nötigen Zeitaufwandes als unausführbar angenommen [FMS01]. RC4 ist weit verbreitet, er wird z.b. von SSL und SSH eingesetzt. Der Algorithmus wurde nie patentiert, so dass keine Lizenzgebühren gezahlt werden müssen. Dies ist in der heutigen Zeit ein sehr wichtiges Entscheidungsmerkmal für einen Algorithmus. 11

12 Angriffe auf WLANs Kapitel 3 3 Angriffe auf WLANs Trotz aller Sicherheitsvorkehrungen sind inzwischen einige Angriffe auf WLANs bekannt. Diese können allgemein in aktive und passive Angriffe unterschieden werden. 3.1 Passive Angriffe Diese Angriffe sind durch reines Mithören des Datenverkehres möglich. Der Angreifer schneidet über einen beliebig langen Zeitraum den Datenverkehr mit. Er versucht ihn ohne Verbindung zum Funknetz zu entschlüsseln oder die von ihm gewünschten Informationen zu erlangen. Da der Angreifer nicht senden muss, ist eine Entdeckung sehr unwahrscheinlich. 3.2 Aktive Angriffe Aktive Angriffe setzen Aktionen des Angreifers voraus, z.b. Senden von IP-Traffic über das Internet oder Senden von unverschlüsselten Broadcasts an das Funknetzwerk, in der Hoffnung, dass ein Konfigurationsfehler vorliegt. Durch die Aktivitäten ist eine Entdeckung des Angreifers möglich, da ein Netzwerkadministrator erhöhten Traffic oder auffällig hohe Fehlerraten bemerken kann. 3.3 Benötigte Geräte Viele Angriffe sind mit einem Rechner mit Funknetzwerkkarte möglich. Zur Verbesserung der Empfangsleistung empfiehlt sich eine externe (Richt-)Antenne. Die Software für die Angriffe ist frei im Netz verfügbar, wie z.b. Airsnort [AIR01]. Daher können die meisten Angriffe von jedem durchgeführt werden. Es ist keinerlei Hintergrundwissen nötig. Für speziellere Angriffe sind aufwendige Geräte oder eine neue Firmware für bestehende WLAN-Karten nötig. Auch eignet sich nicht jeder Chipsatz zum Mitschneiden von verschlüsselten Daten. Die WLAN Karte soll nur unverschlüsselte Daten an den Rechner schicken. Daten, die sie nicht entschlüsseln kann, da z.b. die Schlüssel fehlen, müssen verworfen werden. Einige Karten kennen einen promiscous mode, in dem sämtliche Daten an den Rechner weitergeleitet werden. Durch den geringen Aufwand gibt es neue elektronische Sportarten, Wardriving und Warchalking. Die Script-Kiddies begeben sich auf die Suche nach Funknetzwerken, um ihren Standort und die Parameter wie z.b. SSID oder die Geschwindigkeit des verfügbaren Internetzuganges in 12

13 Kapitel 3 Angriffe auf WLANs Karten zu vermerken. Die Warchalker markieren Funknetzwerke mit Kreide 10 zeichen an Hauswänden. Abbildung 7 zeigt die Symbole für offene, geschlossene und verschlüsselte WLANs. ssid bandwidth ssid ssid W bandwidth Access contact Abbildung 7: Kreidezeichen für verschiedene WLANs Natürlich gibt es auch Netze, die absichtlich für jedermann zugängig sind, z.b. um Kunden in einem Cafe oder Hotel den drahtlosen Netzzugang während ihres Aufenthaltes als Service anzubieten. Im Internet gibts es zahlreiche Listen und Projekte, wie z.b. [WAV02], [MO202]. 3.4 Versteckter SSID Zum Anmelden an ein richtig konfiguiertes Funknetzwerk wird der korrekte SSID benötigt. Wenn der Betreiber des Funknetzwerkes die Übertragung der SSID in den Beacon-Frames abschaltet, muss die Station den SSID kennen. Andere Stationen sehen zwar, dass ein Funknetzwerk vorhanden ist, kennen den SSID aber nicht. Der dadurch erreichte Schutz ist sehr gering. Zum Mitschneiden des Datenverkehrs wird der SSID nicht benötigt. Weiterhin kann der Angreifer den SSID erlangen, in dem er den Anmeldevorgang einer Station an das Netzwerk mitschneidet. Eine Station sendet den SSID im Klartext bei der Anmeldung (association). 3.5 Schwächen des Adressfilters Selbst ein perfekt gewarteter Adressfilter bringt keinerlei Sicherheit. Ein Angreifer kann die MAC-Adressen der beteiligten Stationen mitlesen, da diese immer im Klartext übertragen werden. Sieht der Angreifer nun ein deassociation-paket einer Station, mit der sich diese Station vom Funknetz abmeldet, kann er die MAC-Adresse dieser Station übernehmen. Wartet er nicht, bis sich die betroffene Station vom Netz abmeldet, fällt er durch Fehlverhalten des Netzes auf. Die MAC-Adresse ist problemlos durch Software zu ändern. Die meisten Treiber bieten von sich aus eine Option zum ändern an. 10 engl.: chalk 13

14 Angriffe auf WLANs Kapitel Schwächen der Authentifizierung Eine Open System Authentification stellt keinerlei Sicherheit dar, dies ist allerdings beabsichtigt. Die Shared Key Authentification hat einen groben Designfehler: Der Accesspoint generiert mit Hilfe des Zufallsgenerators eine 128 bit lange Zeichenfolge, die im Klartext an die sich authentifizierende Station gesendet wird. Diese verschlüsselt die Folge mit ihrem Schlüssel und sendet das Ergebnis zurück an den Accesspoint (vgl ) Ein Angreifer kann bei der Authentifizierung einer Station sowohl den Klartext als auch den verschlüsslten Text mitschneiden. Daraus lassen sich sehr einfach die ersten 128 Bit der Schlüsselfolge für den von der Station benutzen IV bestimmen. Mit dieser Schlüsselfolge kann sich der Angreifer erfolgreich authentifizieren. Er wählt den zu der mitgeschnittenen Folge zugehörigen IV und verschlüsselt die Challenge mit der Schlüsselfolge. Dadurch denkt der Accesspoint, dass der Angreifer im Besitz des richtigen Schlüssels ist und authorisiert den Angreifer. Ist WEP nicht aktiviert, oder akzeptiert der Accesspoint sowohl verschlüsselte als auch unverschlüsselte Pakete, ist der Angreifer im Netz und kann sich z.b. per DHCP eine IP-Adresse zuweisen lassen. Danach kann er die Netzwerkstruktur auf weitere Schwachstellen untersuchen. Damit ist das erste Ziel von WEP - sichere Authentifizierung - in der Praxis nicht erreicht. 3.7 Schwächen von WEP Die fatalste Schwäche ergibt sich aus der mehrfachen Benutzung einer Schlüsselfolge. Wenn ein Angreifer eine Schlüsselfolge kennt, kann er alle mit dieser Schlüsselfolge verschlüsselten Daten entschlüsseln. Bei WEP sind aus einem WEP-Schlüssel theoretisch 2 24 verschiedene Schlüsselfolgen möglich. Je nach verwendetem IV-Algorithmus kommt es früher oder später zu einer IV-Kollision, das heisst erneute Verwendung eines IVs. Bei der Methode, die den IV nach jedem Paket inkrementiert kann dies nach einem Rechnerneustart geschehen. Oder nach einer ausreichenden Anzahl von Paketen. Wird die durchschnittliche Paketlänge z.b. zu 1000 Bytes angenommen, erfolgt die erste Kollision bei einem kontinuierlichen Datenstrom in weniger als einer halben Stunde. Bei einer zufälligen Auswahl des IVs kommt es Aufgrund des Birthday Paradox noch schneller zu Kollisionen. Walker führt in [WAL00] eine Kollisionswahrscheinlichkeit von 99% nach 2 bis 3 Sekunden an. 14

15 Kapitel 3 Angriffe auf WLANs Die Gefahren von doppelt benutzen Schlüsselfolgen Kennt der Angreifer einen Klartext zu einer verschlüsselten Nachricht, kann er alle mit der selben Schlüsselfolge verschlüsselten Nachrichten entschlüsseln. Das in Netzwerken häufig eingesetzte Protokoll, TCP/IP Version 4, erlaubt die Vorhersage von einigen Feldern des Headers, wie z.b. Protokoll Version, Header Länge, Optionen, Pakettyp und Sequenznummern. Mit Kenntnis eines Headers und der verwendeten Systeme lassen sich vorherige und folgende Header recht genau bestimmen. DHCP 11 -Anfragen und Antworten enthalten noch mehr bekannte Felder. Damit kann ein Teil der Schlüsselfolge bestimmt werden. Unter der Annahme, dass Text übertragen wird, lassen sich fehlende Teile der Schlüsselfolgen durch Wörterbücher erraten. Selbst wenn kein Klartext bekannt ist, kann die Schlüsselfolge unter Umständen ermittelt werden. Dazu ist eine ausreichende Anzahl von verschlüsselten Texten, die mit der selben Schlüsselfolge verschlüsselt worden sind, nötig. Vom Prinzip her reichen zwei Texte. Mit steigender Zahl von Texten führt dieser Angriff schneller zum Erfolg. Durch die ICV kann mit recht hoher Sicherheit festgestellt werden, ob ein Paket korrekt entschlüsselt wurde. Der Angreifer kann sich eine Datenbank mit den bereits erlangten Schlüsselfolgen anlegen. Die dafür nötige Datenmenge (maximal 2313 Byte pro IV) ist problemlos zu bewältigen. Die meisten Pakete sind in der Praxis kürzer, da das klassische Ethernet eine maximale Payloadlänge von 1500 Byte zulässt. Natürlich kann ein Angreifer gezielt bekannte Daten an eine Station schicken, sofern dies nicht durch eine Firewall verhindert wird. Andersherum ist es auch denkbar, dass ein Angreifer den Internetdatenverkehr und den Funkverkehr abhört. Durch Vergleiche von Paketgrößen, Paketfolgen und IP-Adressen kann festgestellt werden, welche Daten von einer bestimmten Station kommen. Eine recht unauffällige Methode besteht auch darin, eine an dem Empfänger zu schicken. Niemand schöpft bei einer Spam-Mail grossartig Verdacht. Falls das Funknetz sowohl WEP-nutzende und nicht WEP-nutzende Stationen zulässt, werden Broadcasts sowohl Verschlüsselt als auch unverschlüsselt durch den Accesspoint versandt. Windows-Betriebssysteme nutzen häufig Broadcasts zur Namensauflösung und zum Bekanntmachen des Rechners im Netz. Ein Angreifer kann Broadcasts senden, um Schlüsselfolgen zu bestimmen. Dabei ist auffallen durch die hohe Anzahl von Broadcasts oder durch eine Firewall, die Alarm schlägt, möglich. WEP2 erschwert dies durch den längeren IV. Der Zeit und 11 dynamic host configuration protocol 15

16 Angriffe auf WLANs Kapitel 3 Speicheraufwand der Attacke wird verlängert, aber die Attacke an sich wird nicht unmöglich. Aufgrund dieser Schwächen ist die Vertraulichkeit der übertragenen Daten nur bedingt gewährleistet. Die Sicherstellung der Integrität der übertragenen Daten ist theoretisch schnell wiederlegt. Zur Bildung des ICV wird ein lineares Verfahren (CRC32) eingesetzt. Bei linearen Verfahren ist vorhersagbar, welche Bits sich in der CRC bei Änderungen der gesichterten Daten ändern. Die Prüfsumme des IEEE Rahmens (FCS) ist problemlos berechenbar. Vom Prinzip her ist die ICV nutzlos und erleichtert die Entschlüsselung eines Paketes. Einzig allein der hohe Aufwand, gezielt Bits auf der Luftschnittstelle zu manipulieren spricht in der Praxis noch gegen diesen Angriff. AMD kündigt z.b. WLAN Chipsätze an, bei denen der größte Teil der Datenaufbereitung durch den Treiber erledigt wird [AMD02]. Dies kann diesen Angriff erleichtern. Der Angreifer kann die Zieladresse von IP-Paketen auf einen von ihm kontrollierten Rechner ändern und hat somit wieder den verschlüsselten Text und den zugehörigen Klartext. Das Einspeisen gefälschter Daten ist ebenfalls leicht möglich, da der Sender den IV vorgibt. Der Angreifer verschlüsselt sein Paket mit einer ihm bekannten Schlüsselfolge und setzt den Wert des IV entsprechend. Das Datenpaket kann nicht länger als der Schlüssel sein, was aber durch die Fragmentierung der Pakete umgangen werden kann. Ein Datenpaket kann aus mehreren Teilen, den Fragmenten zusammengesetzt werden. Bis jetzt ist ein großer Aufwand nötig, um die Daten zu dekodieren. Der Angreifer muss höchstens 2 24 Schlüsselfolgen erraten. Dies erfordert einen hohen Zeitaufwand. Er erlangt nicht den ursprünglich verwendeten WEP-Schlüssel. Jetzt stellt sich die Frage, ob es nicht doch möglich ist, aus einer Schlüsselfolge den verwendeten Startwert des RC4-Algorithmus (WEP-Key) zu bestimmen. Ein Brute-Force-Attack mit durchprobieren aller (ca ) Möglichkeiten benötigt sehr viel Zeit. 3.8 Schwachstellen von RC4 Die Schlüsselfolgen werden bekanntlich aus einem Startwert mittels des RC4-Pseudozufallsgenerators ermittelt. Dieser ist so aufgebaut, dass es vom Prinzip her unmöglich ist, aus einer Schlüsselfolge den Startwert zu bestimmen. Dennoch gibt es weak keys 12, bei denen ein Rückschluss von der Schlüsselfolge auf den Startwert möglich ist. Walker gibt in [WAL00] an, dass es bei teilweise bekannten Schlüsseln möglich ist, den gesamten Schlüssel aus den ersten Bytes 12 engl.: schwache Schlüssel 16

17 Kapitel 3 Angriffe auf WLANs der Zufallsfolge zu bestimmen. 3.9 Allgemeine Sicherheitsprobleme IEEE regelt keine Verteilung der Schlüssel. Ein Gerät kann bis zu vier Schlüssel verwalten. Der aktuell verwendete Schlüssel wird im Rahmen bekanntgegeben. Sowohl Sender als auch Empfänger müssen den gleichen Schlüssel benutzen, um miteinander kommunizieren zu können. WEP ist ein symmetrisches Verschlüsselungsverfahren. Mit dem Schlüssel kann sowohl ver- als auch entschlüsselt werden. Der Schlüssel ist an jeden Funknetznutzer weiterzugeben. Der Nutzer kann den Schlüssel weitergeben - wissentlich, oder unwissentlich. Unwissentliche Weitergabe kann durch trojanische Pferde erfolgen. Änderungen des Schlüssels sind nur mit relativ hohem Aufwand möglich. Selbst Netzwerkhardware kann Sicherheitsprobleme besitzen. Produkte eines Herstellers, der seine Produkte an verschiedene OEMs weiterverkauft, haben nicht dokumentierte Funktionen, mit der leicht Passwörter und WEP-Keys ausgelesen werden können. Ein Firmwareupdate ändert dieses Verhalten nicht [MOB02]. Nicht zu unterschätzen sind die Gefahren, die von fehlkonfiguierter Netzwerkhardware ausgehen. Der Benutzer baut die Geräte auf, ohne genauer die Anleitung zu lesen. So bleiben alle Einstellungen auf den Standard-Werten, die Authentifizierung und Verschlüsselung deaktiviert und den SSID auf einen Standard-Namen gesetzt haben. Die Standardeinstellungen wird ein Angreifer mit Sicherheit zuerst ausprobieren. Vielen ist nicht bewusst, dass sehr viele aktive Netzwerkkomponenten fernwartbar und fernkonfiguierbar sind, z.b. über Web-Interfaces, telnet oder SNMP 13. Auch hier sind oft standard- Passwörter gesetzt, die aus Bequemlichkeit oder Unwissenheit nicht geändert werden. Oftmals sind diese Geräte direkt aus dem Internet erreichbar. Darüber kann ein Angreifer die Konfiguration auslesen und ändern. Einige Accesspoints werden mit einer Software geliefert, die anhand eines Passwortes WEP- Schlüssel generiert. Diese Programme sind mit Vorsicht zu geniessen, da die generierten Schlüssel oft sehr leicht Anhand eines Wörterbuches erraten werden können. 13 SNMP: Simple network management protocol 17

18 Möglichkeiten zur Schaffung höherer Sicherheit Kapitel 4 4 Möglichkeiten zur Schaffung höherer Sicherheit Für Nutzer mit höheren Ansprüchen an die Sicherheit gibt es Alternativen, die auf höherer Protokollebene ansetzen. Einige Möglichkeiten werden im folgenden kurz vorgestellt. Dabei werden keine proprietären Standards beachtet, da sie üblicherweise nicht Herstellerübergreifend verfügbar sind. Der Netzwerkbetreuer legt sich auf einen Hersteller fest, der unter Umständen bei der nächsten fälligen Erweiterung schon nicht mehr existiert oder die WLAN-Sparte eingestellt hat. 4.1 Honeypots Honeypots 14 sollen Angreifer beschäftigen. Sie werden recht oft in Netzwerken eingesetzt, damit sich Angreifer möglichst lange an etwas unwichtigem aufhalten. Meist werden dabei ausgiebig Protokolldateien generiert. Der Personenkreis, der sich für fremde Funknetze interessiert, sucht diese über die zugehörigen Beacon-Frames. Black Alchemy stellt eine freie Software vor, die tausende Beacon-Frames mit unterschiedlichen SSIDs aussendet [BLA01]. Ein unerfahrener Nutzer von Scanner-Software kann diese oftmals nicht von den richtigen Beacon-Frames unterscheiden. Seine Umgebung erscheint ihm voller Accesspoints. Ein Schutz wird damit nicht erreicht. Ein erfahrener Angreifer findet sehr schnell unter den vielen Netzen das, in dem Daten übertragen werden. 4.2 Virtual private Networks - VPNs Eine nach dem aktuellen Sicherheitsstandard sinnvolle Lösung ist, die Authentifizierung und Verschlüsselung von WLAN überhaupt nicht zu benutzen. Statt dessen wird das Funknetzwerk als eigenständiges, unsicheres Netzwerk betrachtet, dass keine direkte Verbindung zum drahtgebundenem Netzwerk hat. Es kann sinnvoll sein, den SSID zu verstecken, damit kein unbedarfter Nutzer auf der Suche nach einem Hotspot durch Zufall auf dieses Netzwerk stösst. Die anderen Sicherheitsmechanismen können deaktivert bleiben, da ihre Sicherheit als sehr gering eingestuft ist. Sie kosten unter Umständen, je nach verwendeter Hardware, Performance. Zusätzlich wird der nötige Verwaltungsaufwand eingespart. Die Verbindung der beiden Netze erfolgt über einen VPN-Server. In vielen Umgebungen ist eine Firewall vorhanden, die unter Umständen die benötigte Funktionalität für VPN besitzt. Bei 14 engl.: Honigtöpfe 18

19 Kapitel 4 Möglichkeiten zur Schaffung höherer Sicherheit modularen Firewalls ist die VPN-Komponente nachrüstbar. Allerdings sollte beachtet werden, dass eine proprietäre VPN-Lösung auch Probleme bereiten kann. Wichtig ist, dass die VPN- Client-Software für alle eingesetzen Betriebssysteme verfügbar ist. Zusätzlich ist eine einfache Administration erwünscht, verbunden mit eindeutiger Authentifizierung der Nutzer und sicherer Verschlüsselung. Nicht offengelegte Verschlüsselungen können laut Hersteller sehr sicher sein, aus Sicht von Kryptographie-Experten völlig unsicher. Fehler in der Implementierung sind ebenfalls möglich (vgl. [CIS02], [PIT02] oder [CSP02]). Daher empfiehlt es sich, ein Produkt eines Herstellers auszuwählen, der schon länger am Markt existiert und einen bekannten Standard einsetzt. Sinn eines VPNs ist es, jeden einzelnen Nutzer sicher zu authentifizieren. Denkbar ist dabei die übliche Nutzer/Passwort Abfrage oder auch der Einsatz einer Smartcard. Nach Authentifizierung handeln beide Seiten ein Verschlüsselungsverfahren aus und tauschen den Session-Key aus, mit dem diese Sitzung verschlüsselt wird. Oft wird der Key in regelmässigen Abständen gewechselt. Der Administrationsaufwand ist relativ gering. Der Netzwerkadministrator muss eine Liste der Nutzer mit Passwort pflegen, um die Schlüsselverwaltung kümmert sich die Software. Jeder Nutzer bekommt eine persönliche Zugangsberechtigung. Damit ist der jenige, der seine Daten weitergibt, schnell ermittelt und der Zugang wird gesperrt. Natürlich muss für ein sicheres Passwort gesorgt werden, das nicht leicht erraten werden kann. Mit etwas mehr Aufwand können die Rechner authentifiziert werden, um einen man in the middle Attack auszuschliessen. Dazu ist ein public key Verfahren denkbar, bei dem die Software den Rechner auf der anderen Seite der Verbindung erkennt. Da ein Angreifer den privaten Schlüssel des VPN-Servers nicht kennt, ist es dem Client möglich, festzustellen, dass er nicht mit dem VPN-Server verbunden ist. Andererseits kann der VPN-Server nur die Clients zulassen, dessen Schlüssel er kennt. Für einen Angreifer sind dann selbst Username und Passwort nutzlos, solange er nicht den privaten Schlüssel des Clients besitzt. Bei WLAN muss die Kommunikation zwischen den einzelnen mobilen Stationen über den VPN-Server geschehen, damit sie gesichert wird. Ein Standard für VPNs ist IPSEC 15. Dieser wird von der IETF 16 entwickelt und ist für jedermann einsehbar [ITF02]. Dieser Standard wurde von unabhängigen Spezialisten auf Fehler untersucht. Bis jetzt ist kein Angriff auf den Standard selbst bekannt. Einzelne Verschlüsselungsalgorithmen, die von IPSEC verwendet werden können, haben allerdings Schwächen. 15 IPSEC: IP SECurity 16 IETF: Internet Engineering Task Force 19

20 Möglichkeiten zur Schaffung höherer Sicherheit Kapitel IPSEC IPSEC ergänzt das Internet Protocol IP um Authentifizierung und Verschlüsselung. Es ist dabei für IPv4 und IPv6 einsetzbar. IPSEC kennt zwei Modi: Transport Mode. In diesem Modus werden Verbindungen zwischen Rechnern direkt gesichert. Dazu werden zwischen dem für die Weiterleitung sorgenden IP-Header und dem Datenpaket die IPSEC-Informationen gepackt. Tunnel Mode. Dieser Modus verpackt IP Pakete in neue IP-Pakete ( IP in IP encapsulation ) und bietet sich daher für VPNs an. Der VPN-Server kann nach Prüfung und Dekodierung der Daten das ursprüngliche IP-Paket an das Ziel weiterleiten. Dies geschieht transparent. IPSEC besteht in wesentlichen aus drei Unterprotokollen: encapsulated security payload (ESP), authentification header (AH) und Internet Security Association and Key Management Protocol (ISAKMP). Der AH stellt die Integrität und Authentizität der übertragenen Daten sicher. Dazu wird über eine Einweghashfunktion eine Prüfsumme gebildet, die den zu übertragenen Daten vorangestellt wird. Im Transport mode können nicht alle Felder des Headers gesichert werden, da sie von Routern auf dem Übertragungsweg verändert werden dürfen. Meist stehen mehrere Verfahren zur Prüfsummbildung zur Verfügung. All diese Verfahren haben ihre Vor- und Nachteile, wie Sicherheit und benötigte Rechenleistung. Niemand darf an die verwendeten Schlüssel gelangen, da sonst jedes beliebige Paket manipuliert werden kann. Dazu wird nach Änderung des Paketes eine neue Prüfsumme berechnet. Aus Sicherheitsgründen wird der Schlüssel in festlegbaren Abständen gewechselt. Dadurch wird ein eventuell nach langer Zeit erlangter Schlüssel wertlos. Der AH kann natürlich nicht das Mitlesen der Daten verhindern. Dafür sorgt ESP, das neben den Merkmalen von AH noch Verschlüsselung bietet. Auch hier gibt es verschiedene Algorithmen mit unterschiedlichen Vor- und Nachteilen. ISAKMP sorgt für die Authentifizierung des Nutzers und handelt mit der Gegenseite ein Verschlüsselungsverfahren und einen Sessionkey aus. 20

21 Kapitel 5 Ausblick 5 Ausblick Das IEEE arbeitet an schnelleren WLAN-Standards. Dabei wird der Sicherheit inzwischen mehr Aufmerksamkeit gewidmet. Für Authentifizierung und Key-Management befindet sich IEEE 802.1X in Arbeit, das zur Authentifizierung einen RADIUS 17 -Server benutzt. Diese Server werden seit langer Zeit von Internet-Service-Providern für Authentifizierung und Abrechnung von Wählleitungskunden oder VPN-Nutzern benutzt. IEEE 802.1X definiert zusätzlich die Schlüsselverteilung, so dass Schlüssel ausgetauscht werden können. Damit lässt sich das Hauptproblem von WEP (vgl. 3.7) durch Schlüsselwechsel vermeiden. Zusätzlich schlägt das IEEE WEP2 mit einem 128 Bit IV vor, so dass IV-Kollisionen weitaus seltener vorkommen. RSA schlägt RC4 fast packet keying vor, das eine Hash-Funktion auf den WEP-Schlüssel, die MAC-Adresse und den IV als Startwert für den Zufallsgenerator nutzt. Den absolut sicheren und zugleich vernünftig handhabbaren Verschlüsselungsalgorithmus gibt es nicht. Die heutzutage zur Verfügung stehende Rechenleistung erlaubt einerseits stärkere Verschlüsselungen, aber andererseits aufwendigere Attacken. Die heute aktuellen Betriebssysteme beherrschen alle von Haus aus IPSEC. Dadurch ist es langfristig denkbar, dass komplette Netzwerke durch IPSEC im transport mode gesichert werden. 17 Remote Authentication Dial In User Service 21

22 LITERATUR LITERATUR Literatur [AIR01] [AMD02] The Schmoo Group: Air Snort, Advanced Microsystems: The AMD Alchemy Solutions - Am1772 Wireless LAN Chipset, DownloadableAssets/26875A_WLAN_chipset.pdf [BGW01] Nikita Borisov, Ian Goldberg, David Wagner: Intercepting Mobile Communications: The Insecurity of DRAFT -, [BLA01] Black Alchemy Enterprises: Fake AP, [CIS02] Counterpane Internet Security: Analysis of Microsoft PPTP Version 2, [CSP02] Cisco Systems Product Security Incident Response Team: Cisco VPN 5000 Client Multiple Vulnerabilities, [FMS01] Scott Fluhrer, Itsik Mantin, Adi Shamir: Weakness in the Key Scheduling Algorithm of RC4, [ITF02] Internet Engineering Task Force: IP Security Protocol (ipsec), [MAZ96] [MOB02] David Mazieres: Arc4 random number generator for OpenBSD MobileaccesS: Sicherheitslücke bei DLink 900AP+ und anderen! &msgid=599&sid= zusätzlich: &file=article&sid=141&mode=&order=0&thold=0 [MO202] MobileaccesS: Wireless LAN HotSpots, 22

23 LITERATUR LITERATUR [PIT02] [WAL00] phion Information Technologies: Microsoft PPTP Server and Client remote vulnerability, Jesse R. Walker: Unsafe at any key size; An analysis of the WEP encapsulation, Intel Corporation, 2001 [WAV02] Wavehan Projekt : aktive Netzforschung, Alle Links im WWW sind Stand November