Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 9: WLAN: WEP, WPA/WPA2 Dr.

Transkript

1 Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 9: WLAN: WEP, WPA/WPA2 Dr. Erwin Hoffmann

2 "Drahtlose Netze" - Orientierung Neben der klassischen Verkabelung über vorwiegende Twisted Pair Kabel (im TK-Bereich ungeschirmt; im LAN-Bereich geschirmt), nimmt die Nutzung "Drahtloser" Netze immer mehr zu. Neben der Anbindung von Peripherie-Komponenten via BlueTooth (früher IrDA) sind heute WLANs in der häuslichen Wohnung aber auch kommerziell via. sog. HotSpots von grosser Bedeutung. Als Alternative zu WLANs werden im häuslichen Bereich eine sog. "HomePlug" Adapter genutzt, die eine Spielart von "Powerline" realisieren. Der Zugriffs aufs klassische LAN wird mittels Outlets (Dosen) geregelt; bei drahtlosen Netzen entfällt dieses Sicherheitsfeature -- jeder kann Zugriff erhalten. Wireless Netze sind mittels kryptographischer Massnahmen mehr oder weniger gut geschützt.

3 WLANs nach IEEE Standard Frequenz Kanäle Datenrate IEEE a GHz Mbit/s IEEE b GHz Mbit/s IEEE g GHz Mbit/s IEEE n 2.4/5 GHz? 300 Mbit/s (Kanalbündelung) Zulässige (Sender-)Strahlungswerte: 2.4 GHz => 100 mw (effektiv 100 mw) 5.5 GHz => 500 mw (effektiv 1000 mw) Effektive isotrope Strahlungsleistung: + elektrische Sendeleistung (dbm) + Verstärkung eines zusätzlichen Verstärkers (db) (falls vorhanden) - Dämpfung der Kabel (db/m x Länge) - Dämpfung der Stecker (db) (meist vernachlässigbar) - Dämpfung eines Blitzschutzadapters (db) (falls vorhanden) + Gewinn der Antenne (dbi)

4 WLANs - Physikalischer Aufbau Access-Point Netzwerk (Infrastruktur Mode) Vermaschtes Peer-2-Peer Netzwerk (Ad-Hoc Mode) AccessPoint AccessPoint Extended Access-Point Netzwerk (Infrastruktur Mode) Repeater oder Bridge

5 WLAN Sicherheit Die Sicherheit bei WLANs wird bestimmt durch die physikalische Reichweite, die öffentliche Bekanntgabe des Netzes, der Möglichkeit, das Einbuchen ins WLAN auf Endgeräte mit identifizierte MAC-Adresse zu beschränken, keine DHCP IP-Adressen-Vergabe über das WLAN vorzunehmen, sondern mit vor-konfigurierten IP-Adressen zu arbeiten, sowie in der Wahl der Verschlüsselungsmethode (WEP bzw. WPAx). und die durch den hierdurch notwendigen Pre-Shared Key PSK erfolgte Authentisierung der Clients. Eine explitzite Zugriffskontrolle ist in WLANs nicht vorgesehen. Ergänzend kann in grösseren WLAN-Netze (kommerziell über Hotspots angeboten) eine Benutzerautentisierung mittels EAP und über einen RADIUS-Server erfolgen.

6 WLAN Security Matrix Protokoll Verschlüsselung Key- Management Node Authentisierung (Phase 1) Benutzer- Authentisierung (Phase 2) WEP (Wired Equivalent Privacy) WPA (WiFI Protected Access) WPA2 (WiFi Protected Access 2) WEP-40, WEP- 104, WEP 256 (RC4 Strom- Chiffren mit 24 Bit IV) TKIP (Temporal Key Integrity Protocol) +RC4 CCMP [Counter Mode with CBC- MAC Protocol ](AES + CBC- MAC) None, IEEE802X; wechselnder Key- Index (1 von 4), wechselnde Keys None, WPA PSK (WPA Personal) WPA-EAP (WPA Enterprise) EAP-PEAP (Protected EAP), EAP-TLS EAP-Tunneled TLS (mit anonymen Benutzer,) Zertifikate Radius MD5 MSCHAPv2

7 WLANs: Infrastruktur Mode Der Access Point (AP) ist der "Anker" des WLANs. Der AP wird über eine max. 32 Zeichen langen Service Set Identifier (SSID bzw. ESSID) identifiziert (bei AVM ist z.b. voreingestellt "FritzBox 3120") und Broadcastet die SSID über Beacon Frames ins WLAN. Diese Beaconing kann auch abgestellt werden und das Netzwerk lässt sich somit öffentlich für normale Anwender "verstecken". Die SSID wird im Klartext übertragen Clients können die Herausgabe der AP SSID durch "Probe Requests" erzwingen. Alle angeschlossenen Stationen müssen die vergebene SSID besitzen, um sich in das so identifizierte Netz einzubuchen. Ein AP mit SSID "ANY" akzeptiert alle Verbindungswünsche (=> Hotspots). Für private WLANs sollte das Beaconing abgestellt und die SSID z.b. auf die Serien-Nummer des Gerätes umgestellt werden.

8 WLANs - SSID und Management Frames Quelle: Thomas Otto, Netzwerkautentifizierung im WLAN, TU Braunschweig

9 WLANs: Übertragungssicherheit Integrity Check Value ICV Die zu übertragenden WLAN-Frames werden durch eine 4 Byte FCS (File Check Sequence) nach CRC-32 gesichert. Ist die Nutzinformation verschlüsselt (nach WEP oder WPA), wird die verschlüsselte Sequence mit dem FCS gesichert. Der CRC-Algorithmus dient aber nicht nur dazu, Bit-Fehler zu erkennen, sondern kann auch genutzt werden Bit-Fehler in gewissem Umfang zu korrigieren. Daher gilt: CRC32(Paket_1+Paket_2) = CRC32(Paket_1) + CRC32(Paket_2) Hierdurch ist es möglich, per MitM fehlerhafte Pakete mit gültigen Checksummen einzuschleusen. Da diese Paket nicht de-chiffriert werden kann, fordert es der Empfänger erneut an, was zu einer DoS-Attacke genutzt werden kann. Für den Empfänger ist dieser Zustand (im Gegensatz zu offensichtlich fehlerhaften oder fehlenden Paketen) nicht trivial zu erkennen.

10 WLANs: Verschlüsselung Das Protokoll unterstützt die folgenden Verschlüsselungsverfahren: Open System: Keine Client Authentisierung und keine Verschlüsselung Der Client sendet einen "Open System" Management Frame an den AP, den dieser bestätigt. Hierdurch wird der Client im WLAN aufgenommen. WEP (Wireless Equivalent Privacy) mit einem "Pre-Shared Key" von 64 oder 128 Bit Länge als Protokollbestandteil von WPA (WiFi Protected Access) TKIP WPA2 mit CCMP (dies ist de-facto der IEEE i als Nachfolger von WEP

11 WLANs: WEP Verschlüsselung Der in IEEE beschriebene WLAN (oder WiFi) Standard umfasst auch die Verschlüsselung mittels WEP: "The service is intended to provide functionalitiy for the wirelesss LAN equivalent to that provided by the physical security attributes inherent to a wired medium." Grundlage ist ein zwischen den am WLAN teilnehmenden Stationen "geteilter" Schlüssel (Pre-shared Secret PSK) mit 64 Bit oder 128 Bit Länge, wobei vier Schlüssel generiert bzw. genutzt werden müssen. Die Nummer des verwendeten WEP Schlüssels wird im Key-ID Feld des Frames mitgeteilt. Ablauf der Verschlüsselung: Berechne den ICV über die Daten. Wähle einen der 4 WEP Schlüssel aus. Generiere 24 Bit Zufallszahl, der Initialisierungsvektor IV. Verschlüssele Daten per RC4 und mit dem IV und 24 Bit des PSKs XORed mit den Daten und dem ICV. Jedes Frame wird somit mit einem anderen Schüssel verschlüsselt; 2 24 Schlüssel. Quelle: Thomas Otto, Netzwerkautentifizierung im WLAN, TU Braunschweig

12 WLAN: WEP Client Authentisierung WEP benutzt ein einfaches Challenge/Response Verfahren: Challenge: Der AP generiert einen 128 Byte Challenge und sendet ihn an den Client. Response: Der Client wählt einen 24 Bit Initialisierungs Vektor IV, verschlüsselt diesen mit dem Challenge und sendet dies als Challenge-Response an den AP. Reponse = Challenge x RC4(IV,PSK) Authentisierung: Der AP entschlüsselt das Challenge und weiss nun, dass der Client über einen gültigen PSK verfügt. Es findet nur eine Authentisierung in Richtung Client => AP statt; nicht aber umgekehrt. Client AP Mgmt-Frame (Auth, 'Shared Key', S=1) Mgmt-Frame (Auth, 'Shared Key', S=2) Challenge=asföajf Mgmt-Frame (Auth, 'Shared Key', S=3) Response=WEP(asföajf,PSK) Mgmt-Frame (Auth, 'Shared Key', S=4) (Autenticated)

13 WLAN: Aushebelung von WEP FMS Attacke: Fluher, Mantin und Shamir beschreiben eine Design- Schwäche im RC4-Algorithmus durch den bei genügend vielen Paketen, der PSK ermittelt und somit der Datenstrom entschlüsselt werden kann. Schwache Schlüssel bzw. IV: Bei schlechtem PRNG wiederholt sich der IV öfter, sodass eine Attacke in wesentlich kürzerer Zeit zum Erfolgt führt. Neben dem -- zeitaufwändigen -- Ablauschen von Verbindungen, kann ein Angreifer mittels ARP-Request vom AP in kurzer Zeit sehr viele Pakete anfordern. Da diese Pakete quasi inhärent den Schlüssel tragen, können innerhalb sehr kurzer Zeit die vier PSKs ermittelt werden.

14 WEP: Cracken des Datenverkehrs Ein Angreifer kann folgende Schritte und Mechanismen zur Dechiffrierung des WEP-verschlüsselten Datenverkehrs einsetzen: Ermittlung der SSID der sendenden Station (AP) => Kismet. Evtl. Spoofing der MAC Adresse eines unbeteiligten Clients. Erzeugen > 1000 ARP Requests an die AP (und Analyse der ARP Response). Emittlung der WEP PSK => Aircrack, Weplab, chopchop. Dechiffrierung des WEP Datenverkehrs. Voraussetzungen für einen solchen Angriff: WLAN Karte mit bestimmten Eigenschaften (Überschreibung MAC- Adresse, Promiscous-Mode). Aufzeichnen des WLAN Datenverkehr in genügender Mengen (= Anzahl Datenpakete) bzw. aktiver Eingriff ins WLAN. Offline Dechiffrierung des Datenverkehrs ist nicht immer erfolgversprechend. Ein über OpenVPN bzw. FritzBox VPN gesicherter Datenverkehr ist davon unberührt.

15 WLAN: WEP+, EAP, WPA und i Als integraler Bestandteil von sollte ein neuer Verschlüsselungsstandard gekürt werden: IEEE i. Das Verfahren WEP+ ist eine "technische" Erweiterung von WEP (Orinoco), bei dem unsichere PSKs vermieden und der IV schneller gewechselt wird. Ergänzend zu WEP kann EAP eingesetzt werden. Über den EAP-Tunnel können die Stationen eine Re-Keying vornehmen, d.h. periodisch die PSKs tauschen. Als Interimslösung ( wurde unter Federführung von Microsoft WPA ins Leben gerufen. WPA2 kann als Implementierung von IEEE i gesehen werden.

16 WLAN: WPA Sicherheit WPA (Wi-Fi Protected Access) kann zwei unterschiedliche Methoden der Verschlüsselung nutzen: WPA unter Einsatz des Temporal Key Integrity Protocols TKIP. WPA2 mittels des i konformen Counter-Mode/CBC-Mac Protocol CCMP. Das Programm KisMAC liefert mittlerweile ein "Proof-of-Concept" zum cracken von WPA WLAN mit schwachen Keys. Die aktuellen APs bieten die Nutzung beider Verfahren alternativ an (FritzBox), d.h. abhängig von der Qualifikation der Clients können beide Verfahren (nicht jedoch WEP) parallel im WLAN benutzt werden.

17 WLAN: WPA TKIP WPA gesicherte WLAN nutzten die folgenden Mechanismen: Symmetrische Verschlüsselung via RC4. Key Mixing, d.h. Nutzung eines permanenten und eines temporären Schlüssels. Zusätzlicher Michael Message Integrity Check (Michael-MIC). Neuer Key-Austausch über Nonces. Schlüssel wird über Passphrase geschützt. Die Hardware Implementierung von WPA lehnt sich an die von WEP an, sodass auch ältere Komponenten WPA nutzen können. Quelle: Lars Richter, TU Chemnitz

18 WLAN: WPA Sicherheit Mittels des TKIP erfolgt die Generierung des RC4-Schlüssels in zwei Stufen: In Stufe 1 wird der temporäre Key (aufwändig) mit 128 Bit gebildet und es fliessen die MAC-Adressen von Empfänger und Sender ein. Hiermit ist sichergestellt, dass der Key abhängig vom Empfänger (=MAC Adresse gebildet wird). In Stufe 2 fliesst der IV nun mir 48 Bit ein, dessen Wert sich bei jedem Paket um +1 erhöht (Sequenzierung). Zusätzlich wird dem Paket ein neuer Hash-Wert, der Michael-MIC) zugewiesen, der ohne den Verschlüsselungs-Key auskommt. Hierdurch kann sicher gestellt werden, dass sich trotz der schwachen RC4 Verschlüsselung, die Schlüssel nun erst alle 280 Billionen Pakete wiederholen, bevor der TKIP gewechselt werden muss. Der Michael-MIC hat trotz des Schlüsselllänge von 64 Bit nur eine Stärke von 40 Bit. WPA sieht vor, dass bei > 2 fehlerhaften Michael-MIC Pakete/Minute der Datentransfer abbricht und die Verbindung neu initiiert wird.

19 WLAN: WPA Key Handshake Standard WLAN-Hardware kann 4 PSK abspeichern (WEP). Bei WPA wird pro Client ein Session-Key in einem Handshake-Verfahren erzeugt bzw. genutzt. Pairwise Handshake: Client und AP schicken sich Zufallswerte (Nonces) als Challenge. Mittels des temporären Keys (Master Secret) werden zusammen mit den empfangenen Nonces Hashes erzeugt und daraus der Session Key gebildet. Der AP verlangt nun vom Client den Session Key zu installieren. Ist dies erfolgt nutzt auch der AP den Session Key. Group Handshake: Mittels des Session Key überträgt der AP den Group Key mittels Session Key verschlüsselt an den Client. Der Group Key dient zur Verschlüsselung von Broad- und Multicast Messages an die Clients. Clients können eine Rekeying des Gruppenkeys anfordern.

20 WLAN: Handshake mit Passphrase Die Authentisierung von Clients wird bei WPA durch einen PSK realisiert. In grösseren Netzwerken kann das PSK auf z.b. einem Radius-Server hinterlegt werden, und ist über eine Passphrase zugänglich. In kleineren Netzen wird das PSK von AP gebildet mittels der SSID und der Passphrase über einen Hashwert gebildet (FritzBox: "Netzwerkkennwort"). Die Passphrase ist zwischen 8 und 64 Zeichen lang (in gemischter Schreibweise). Das aus dem PSK gebildete Master Secret unterschiedet sich daher bei jedem Client durch die MAC-Adresse des WLAN-Adapters, bei jeder Session durch die zufälligen Nonces im Handshake-Verfahren.

21 WLAN: Schlüsselverhandlung Wie WEP nutzt auch WPA in der Regel die RC-4 Verschlüsselung mit Schlüsselllängen von einheitlich 40 Bit. WPA ermöglicht aber die Bekanntgabe der Schlüsselllängen und Chiffren im Rahmen des AP-Beaconings: Group-Key Verschlüsselung über TKIP oder WEP für gemischte Netze. Unterschiedliche Chiffren für den Pair-Key Austausch bei WPA. Unterstützte Autentisierungsverfahren, wie EAP/802.1x und PSK. Der AP broadcastet diese Informationen alle 10 Sekunden ins WLAN. Clients können somit ermitteln, ob sie für das angebotene WLAN geeignet sind.

22 Von der WiFi Gruppe wurde das WPA2-CCMP Verfahren entwickelt, das 2004 als IEEE i Standard verabschiedet wurde. Kernelemente: Verschlüsselungsverfahren AES- CCM mit WPA-TKIP als Backup- Lösung. Statt des Michael-MIC wird der CCM eingesetzt. WPA2 ist auf älteren WLAN- Chipsets nicht lauffähig. Viele WLAN-Komponenten sind daher nicht WPA2/802.11i tauglich. Kryptographische Elemente müssen zur Erzielung per Treiber im Betriebssystem implementiert werden (Unix: wpa_supplicant) i: WLAN mit WPA2 Quelle: Alfred Arnold, Heise Security