WLAN Security. Bernhard Thaler Raiffeisen Informatik GmbH

Transkript

1 WLAN Security Bernhard Thaler Raiffeisen Informatik GmbH

2 Vorstellung des Vortragenden Bernhard Thaler Raiffeisen Informatik GmbH IT-Security Analyst Absolvent FH St. Pölten Bachelorstudiengang IT-Security CERT (Computer Emergency Response Team) zeitnahe Erkennung von Schwachstellen und technischen Sicherheitsproblemen Klassifizierung möglicher Angriffsvektoren aktive Information von Kunden über Sicherheitsprobleme und adäquate Maßnahmenempfehlungen Penetration Tests Security Audits Raiffeisen Informatik

3 WLAN Sicherheit allgemein Attacken auf WLAN Netzwerke Attacken auf WLAN Clients Schlussfolgerungen und Maßnahmen Raiffeisen Informatik

4 PEAP MSCHAPv2 Hotspot RADIUS IEEE g AES EAP-TLS 802.1X MAC Channel TKIP ISM RC4 PSK VPN IEEE n SSL WEP IEEE a MD5 EAP-TTLS EAP-FAST LEAP Wardriving Access Point WPA2 TLS IEEE b SSID WPA Raiffeisen Informatik

5 Überblick Wireless LAN Standards 1997: Datenrate bis 2 MBit/s Frequenzband: 2,4 GHz 1999: b Datenrate bis 11 MBit/s Frequenzband: 2,4 GHz 1999: a Datenrate bis 54 MBit/s Frequenzband: 5,2 GHz 2003: g Datenrate bis 54 MBit/s Frequenzband: 2,4 GHz 2009: n Datenrate bis 600 MBit/s Frequenzband: 2,4 GHz + 5 GHz (optional) Raiffeisen Informatik

6 WLAN Risiken und Maßnahmen Aufzeichnung vertraulicher Daten Verschlüsselung WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wifi Protected Access 2) unberechtigter Netzwerkzugriff DoS (Denial of Service) Rogue Access Points Honeypots Authentifizierung Shared Authentication EAP (Extensible Authentication Protocol) QoS (Quality of Service) e WIDS (Wireless Intrusion Detection) WIPS (Wireless Intrusion Prevention) Raiffeisen Informatik

7 A History of WLAN (In-)Security WEP (Wired Equivalent Privacy) 2001: FMS (Fluhrer, Mantin, Shamir) Attack 2004: KoreK Attack 2004: KoreK ChopChop Attack 2007: PTW (Pyshkin, Tews, Weinmann) Attack 2007: Caffé Latte Attack 2008: Fragmentation Attack Conclusio kein Schutz für vertrauliche Daten in Wireless LAN Infrastrukturen Angriffswerkzeuge seit mehr als 8 Jahren öffentlich verfügbar, aktiv genutzt vollständige Kompromittierung der Datenkommunikation (dauerhaft) möglich Raiffeisen Informatik

8 A History of WLAN (In-)Security WPA/WPA2 (Wi-Fi Protected Access) TKIP (Temporal Key Integrity Protocol) 2004: Hash-Lookup Table Attack 2008: TKIP Adapted ChopChop Attack 2009: TKIP Message Falsification Attack Conclusio dynamische Verschlüsselung Schlüsselhierarchie Zeitintervall für Schlüsselerneuerung Angriffswerkzeuge frei verfügbar, Angriff nur unter Bedingungen ausführbar: teilweise Kompromittierung des Netzwerks möglich, Zeitraum eingeschränkt Raiffeisen Informatik

9 A History of WLAN (In-)Security WPA/WPA2 AES (Advanced Encryption Standard) 2004: Hash-Lookup Table Attack Conclusio keine praktikablen Attacken auf den Verschlüsselungsalgorithmus AES publiziert derzeitige Angriffsvektoren Brute-Force Attacken Dictionary Attacken (Hybrid-)Rainbow-Table Attacken WPA(2)-PSK (Pre-Shared Key) Raiffeisen Informatik

10 Schwachstellen WEP Verschlüsselung basiert auf RC4 Stromchiffre verwendet Initialisierungsvektoren IV (Initialisierungsvektor) FMS Attacke schwache Initialisierungsvektoren notwendig ChopChop Attacke einzelne IVs PTW-Attacke beliebige IVs 95% Wahrscheinlichkeit für Erfolg Caffé Latte/Fragmentation Attack Anzahl notwendiger IVs durch Frame Injection noch geringer WEP Key IV (24 Bit) + Secret Secret: 54 Bit oder 104 Bit Quelle: Church Of Wifi Raiffeisen Informatik

11 Schwachstellen WEP Verschlüsselung basiert auf RC4 Stromchiffre verwendet Initialisierungsvektoren ICV (Integrity Check Value) CRC-32 nicht kollisionsfrei Bit-Flipping : Veränderung einzelner Bits in bekannten Pakten (ICMP, ARP) möglich kein Replay-Schutz korrekter ICV impliziert korrekten WEP key Replay unveränderter Frames möglich kein Schlüsselmanagement unsichere Shared Authentication Quelle: Church Of Wifi Raiffeisen Informatik

12 Demo 1 Attacke auf mit WEP gesichertes WLAN Raiffeisen Informatik

13 WPA und WPA2 bieten (mehr) Sicherheit 2003: IEEE i ratifiziert ( Wifi-Protected Access WPA/WPA2) TKIP rückwärtskompatibel zu WEP 256 Bit Master Key 128 Bit Temporary Keys CRC32 -> MIC (Message Integrity Check) (64 Bit) Reihenfolge von IVs wird geprüft (TSC) CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) basiert auf standardisiertem Verschlüsselungsalgorithmus AES CM (Counter Mode): Datenverschlüsselung CBC-MAC (Cipher Block Chaining MAC): Datenintegrität und Verschlüsselung 128 Bit Schlüssel 48 Bit Initialisierungsvektor Raiffeisen Informatik

14 WPA und WPA2 bieten (mehr) Sicherheit PMK (Pairwise Master Key) schützt PTK HMAC-SHA1 Hashes in Folge beginnend mit PSK SSID SSID Length PTK (Pairwise Transient Key) wird aus MAC des AP und des Clients und Zufallszahlen generiert teilt sich eigentlich in 5 Schlüssel HMAC MIC Key EAPOL KEK (Key Encryption Key) TEK (Temporal Encryption Key) TX/RX Michael Key TEK wird dynamisch erneuert, bevor IVs aufgebraucht sind keine Wiederholung von IVs, daher keine (bekannten) statistischen Angriffsmethoden Raiffeisen Informatik

15 WPA TKIP Angriffe 2008: TKIP Adapted ChopChop Attack 2009: TKIP Message Falsification Attack Verwendung von IEEE e (QoS) 8 Kanäle können vom Angreifer gleichzeitig verwendet werden erlaubt mehrere (unentdeckte) Angriffe auf MIC/ICV Re-Injection von kurzen Paketen wie ARP, DNS-Queries oder TCP SYN nur wenige Bytes unbekannt, diese mittels ChopChop Methode erraten nach 6-15 Minuten können wenige Pakete (zb.: 7) eingeschleust werden Ergebnis erlaubt nur MitM Angriffe auf einzelne Clients (zb.: ARP Poisoning) Sicherheit des TKIP Algorithmus damit nicht gefährdet aber: nahezu jede WLAN-Komponente seit 2003 unterstützt AES, Wechsel zur Verminderung des Restrisikos ratsam Raiffeisen Informatik

16 WPA/WPA2 Schwachstelle dynamische Schlüsselgenerierung schafft Sicherheit nur teilweise Kompromittierung möglich (zeitlich) Zeitintervall zur Schlüsselerneuerung (Standard: 60 Minuten) Wurzel der Schlüsselhierarchie dennoch statisch PMK wird nach Algorithmus statisch generiert PSK PMK PSK SSID SSID Length PTK geheim öffentlich öffentlich TEK Raiffeisen Informatik

17 WPA/WPA2 Schwachstelle SSID + SSID Länge auch wenn versteckt, von Clients beim Anmeldevorgang an den AP im Klartext übertragen Sicherheit des PMK hängt daher von PSK ab vergleichbar mit der Sicherheit von Passwörtern PSK muss mindestens 6 und maximal 63 Zeichen haben mögliche Angriffsvektoren Brute-Force Attacke mögliche Versuche Dictionary-Attacke Hash-Lookup Table Attacke vorberechnete PMK-Hashes (schneller als Brute-Force Angriff) Raiffeisen Informatik

18 WPA/WPA2 Cracking Hybride Hash Lookup Tables frei verfügbar WiGLE.net Top 1000 ESSIDs Default SSIDs SSIDs öffentlicher Netzwerke Wordlist von Wörtern mit Permutationen ca Wörter freier Download, ca. 40GB ( SSID nicht in der Table? Tools verfügbar, um Tables selbst zu erstellen Quelle: wigle.net Raiffeisen Informatik

19 WPA/WPA2 Cracking reduziert sich daher auf eine Frage der Rechenleistung. Supercomputer Rechenleistung: 1,5-2 TFLOPS mehrere Grafikkarten in einem Rechner niedrige Kosten unter Cloud-Services Amazon EC2 Quelle: Universität Bonn, Institut für Computer Science Raiffeisen Informatik

20 WPA/WPA2 Cracking Cracking-Performance auf unterschiedlichen Grafikkarten Quelle: Google Code Project Pyrit Raiffeisen Informatik

21 WPA/WPA2 Cracking - Angriffsszenario Angreifer zeichnet 4-Way Handshake auf enthält PMK enthält SSID enthält MAC-Adressen und Zufallszahlen zur Generierung des PTK Angreifer verwendet offline Tools, um PSK (Pre-Shared Key) zu errechnen Cowpatty ( Aircrack-NG ( Angreifer hat nun PSK und kann vertrauliche Daten im Netzwerk abhören, bis PSK auf allen WLAN Komponenten geändert wird Raiffeisen Informatik

22 Demo 2 Beurteilung der Sicherheit von WPA(2)-PSKs vergleichbar mit der Sicherheit von Passwörtern daher statistisch/kombinatorisch errechenbar Problem vergleichbar mit der Sicherheit von Passwörtern Vorlage: SANS Password Cracking Spreadsheet ( Raiffeisen Informatik

23 WPA(2) (in the) Enterprise Im Unternehmensumfeld wird WPA(2) üblicherweise nicht mit PSK (Pre- Shaerd Keys verwendet) sondern mittels eigener Authentifizierung gearbeitet. IEEE 802.1X Standard zur Authentifizierung des Zugriffs von Clients in drahtgebundene und drahtlose Netzwerke auf Layer2 verwendet unterschiedliche Front- und Back-End Authentifizierungsprotokolle EAP-MD5 EAP-LEAP EAP-PEAP EAP-TTLS EAP-TLS EAP-FAST RADIUS TACACS+ DIAMETER Supplicant Authenticator Authentication Server Raiffeisen Informatik

24 WPA(2) (in the) Enterprise Übersicht über EAP-Methoden EAP-MD5 PEAPv0 EAP-TLS EAP-FAST Authentifizierung Passwort Passwort Zertifikat Passwort Verschlüsselte Übertragung Nein Ja (TLS- Tunnel) Ja (TLS- Tunnel) Ja (TLS- Tunnel) mit PAC Serverauthentifizi erung Nein Optional Optional Ja Praktikable Attacken Dictionary Brute-Force MitM Dictionary Brute-Force MitM keine MitM Raiffeisen Informatik

25 WPA(2) (in the) Enterprise WPA PMKs werden nicht von einem PSK abgeleitet, sondern von einem benutzerpezifischen Authentifizierungsmittel Passwort Zertifikat Verwendung eines zufallsgenerierten PMK Hash Lookup Table Attacken nicht sinnvoll Dictionary Attacken nicht sinnvoll 802.1X verlangt regelmäßige Re-Authentifizierung des Clients spätester Zeitpunkt, an dem der PMK neu berechnet wird ansonsten gelten Zeitintervalle wie bei PSK (Standard: alle 60 Minuten) 802.1X erfüllt alle Anforderungen an Authentifizierung unberechtigte Clients werden so aus dem Netzwerk ausgeschlossen Raiffeisen Informatik

26 Paradigmenwechsel in der Angriffsmethode Bisherige Attacken konzentrieren sich auf die gesamte WLAN Infrastruktur. Quelle: flickr.com Neue Attacken konzentrieren sich auf die Anwender, welche über einzelne Schlüssel verfügen. Quelle: flickr.com Raiffeisen Informatik

27 Angriffe auf WLAN Clients Authentifizierungsdaten des WLAN Clients stehlen Social Engineering Malware Attacken Phishing Wi-Fishing Ausnutzung fehlerhaft konfigurierter EAP-Authentifizierung derzeit nur bei Passwort-basierten Methoden möglich LEAP (Lightweight Extensible Authentication Protocol) EAP-MD5 EAP-MSCHAPv2 Raiffeisen Informatik

28 PEAP (Protected EAP) Raiffeisen Informatik

29 PEAP (Protected EAP) PEAP eigentlich sicheres Protokoll Outer Authentication : stellt verschlüsselten Tunnel für Authentifizierung bereit Inner Authentication : Verwendung einer anderen Authentifzierungsmethode EAP-MD5 EAP-MSCHAPv2 EAP-TLS Schwachstelle PEAP prüft Identität des Authentication Servers mittels Zertifikat nur optional Microsoft Windows erlaubt auch Benutzer, Vertrauensstellung zu Zertifikat zu bestätigen vgl. Webbrowser:Nachfrage bei HTTPS Zugriff auf Domain mit unbekanntem Root-Zertifikat Raiffeisen Informatik

30 PEAP (Protected EAP) Konfiguration MitM Attacke möglich MitM nicht Attacke möglich Raiffeisen Informatik

31 Demo 3 Attacke auf WPA2 PEAPv0 gesichertes Netzwerk Raiffeisen Informatik

32 Wi-Fishing vorgestellte Attacke kann gezielt zum Phishing verwendet werden Angreifer weiss/erkennt mit welcher SSID WLAN-Client sich verbinden will Probe Requests von WLAN Clients nach Hidden SSIDs Schwachstellen in Windows WLAN-Client Bevorzugte Netzwerke bis Microsoft KB (2007) aktiv nach SSIDs gesucht Automatische Verbindung Raiffeisen Informatik

33 Wi-Fishing Fallbeispiel öffentlicher Ort (Flughafen, Cafe, ) Angreifer sucht gezielt nach Probe Requests einzelner WLAN-Clients Angreifer generiert dynamisch Access Point mit gesuchter SSID zb.: mit Linux-basierten Notebook, airbase-ng Angreifer versucht Verbindungsanfragen von Clients zu bearbeiten Client Verbindung aufbauen lassen Authentifizierung oder Verschlüsselungsdaten stehlen Angriffsvektoren WEP Caffé Latte Attack (Angriffszeit wenige Minuten) WPA(2)-PSK offline Dictionary/Brute-Force Attacke auf PSK WPA(2) PEAPv0 MitM fake RADIUS Server Attacke Raiffeisen Informatik

34 Wi-Fishing automatisiertes Tool Wi-Fish Finder ( Quelle: Airtight Networks Raiffeisen Informatik

35 Schlussfolgerungen und Maßnahmen WEP sollte nicht mehr verwendet werden WPA TKIP wenn möglich, Umstieg auf WPA2 CCMP (AES) WLAN 802.1X sicherste Variante: EAP-TLS Verwendung clientseitiger Zertifikate <-> Aufwand Aufbau einer PKI PEAPv0 (PEAP mit MSCHAPv2) sichere Konfiguration verwenden (Servername, Serverzertifikat, fixe Vertrauensstellung) Microsoft KB Security Update anwenden Unverschlüsselte Netzwerke ausnahmslos mit VPN (IPSec, SSL-VPN) arbeiten Raiffeisen Informatik

36 Schlussfolgerungen und Maßnahmen Verwendung individueller SSIDs keine Default-SSIDs keine SSIDs aus den 1000 Top ESSIDs auf WiGLE.net WIDS/WIPS Absicherung vor Rogue Access Points Absicherung vor Fake AP Absicherung vor ausgewählten Attacken Raiffeisen Informatik

37 Vielen Dank für Ihre Aufmerksamkeit! Thank you for your attention! Raiffeisen Informatik GmbH Lilienbrunngasse 7-9 A-1020 Wien T +43 1/ F +43 1/ E info@r-it.at Raiffeisen Informatik

38 Fragen, Fragen, Fragen Raiffeisen Informatik