TU München, Lehrstuhl Sicherheit in der Informatik 1



Ähnliche Dokumente
Technische Universität München

Wireless LAN (WLAN) Sicherheit

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Sicherer Netzzugang im Wlan

Wireless Local Area Network (Internet Mobil) Zengyu Lu

Wireless Installationshandbuch

Virtuelle Präsenz. Sicherheit und Privatsphäre in WLAN Technik. Xu,Wenjia. Sicherheit und Privatsphäre 1

Sicherheit in Wireless LANs

Inhalt W-LAN. Standardisierungen. Inhalt. Institute of Electrical and Electronics Engineers (IEEE) IEEE 802

Wireless Security. IT Security Workshop Moritz Grauel Matthias Naber

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

WLAN. 1. Definition. 3. Nutzungsmöglichkeiten

Wireless LAN. Goodbye Kabelsalat!

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Grundlagen WLAN. René Pfeiffer 18. Juni CaT. René Pfeiffer (CaT) Grundlagen WLAN 18.


HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

Quelle: Stand April 2002

Mobilkommunikationsnetze Security -

Genereller Aufbau von Funknetzen. WLAN: IEEE b. Drahtloses Ethernet. Entwurfsziele für drahtlose Netze (WLAN/WPAN)

Wissenschaftliches Experiment

Fachbereich Medienproduktion

WLAN Konfiguration. Michael Bukreus Seite 1

Matthias Hofherr. WLAN-Sicherheit. Professionelle Absicherung von Netzen. Heise

Proseminar Kryptographische Protokolle: WLAN. Danilo Bürger

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

Internet-Praktikum II Lab 4: Wireless LAN - WLAN

Funknetzwerke und Sicherheit in Funknetzwerken. Hendrik Busch, PING e.v.

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

Sicherheit bei WLANs. Ausarbeitung von Sebastian Zaccheddu im Rahmen des Seminars. Rechnernetze

W-LAN Hacking. Marcel Klein. Chaos Computer Club Cologne e.v. U September Grundlagen W-LAN Hacking Hands-on

W-LAN - Sicherheit. Cornelia Mayer Andreas Pollhammer Stefan Schwarz. 31. Jänner / 27

Wireless LAN. Hauptseminarvortrag Wireless LAN Martin Hoffmann. 1. Grundlegende Aspekte Technik

WLAN-Technologien an der HU

Sicherheit bei Wireless LANs

WirelessLAN Installationshandbuch

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Wired Equivalent Privacy - WEP

Frequently-Asked-Questions zu Wireless LAN Standards und Security

Projekt u23 Symmetrische Kryptografie, Betriebsmodi von Blockchiffren

l Wireless LAN Eine Option für Firmennetzwerke der Druckereibranche? WLAN Eine Option für Unternehmen? Komponenten eines WLAN-Netzwerks

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

WLAN-Sicherheit. Markus Oeste. 27. Januar Konferenzseminar Verlässliche Verteilte Systeme Lehr- und Forschungsgebiet Informatik 4 RWTH Aachen

Sicherheit in WLAN. Sämi Förstler Michael Müller

Sicherheitsrisiken bei WLAN

Multimedia und Datenkommunikation

IEEE 802.1x Erfahrungsbericht aus der Fraunhofergesellschaft

Durchgängige WLAN Security mit Zentralem Management. Markus Kohlmeier DTS Systeme GmbH

WLAN an der Ruhr-Universität Bochum

WLAN an der Ruhr-Universität Bochum

WLAN-Sicherheit. de Lorenzo, Hopfgartner, Wilker. May 8, de Lorenzo, Hopfgartner, Wilker WLAN-Sicherheit May 8, / 39

Authentikation und digitale Signatur

Wireless Local Area Network

Sichere für Rechtsanwälte & Notare

ComputeriaUrdorf «Sondertreff»vom30. März2011. Workshop mit WLAN-Zugriff auf das Internet

David Indermühle 25.November 2012

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Wireless LAN. nach IEEE

Dynamische Verschlüsselung in Wireless LANs

Installationsanleitung zum Access Point Wizard

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Synchronisierung. Kommunikationstechnik, SS 08, Prof. Dr. Stefan Brunthaler 73

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Standortbericht bintec elmeg GmbH

Wireless Local Area Network (WLAN) Elise Kengni Talla Fachbereich Mathematik und Informatik Universität Marburg

Andreas Dittrich 10. Januar 2006

Inhalt: 1. Layer 1 (Physikalische Schicht) 2. Layer 2 (Sicherungsschicht) 3. Layer 3 (Vermittlungsschicht) 4. Layer 4 (Transportschicht) 5.

LNWN II. HIPERLAN, Bluetooth versus GPRS, UMTS Marcel Porz Malte Koopmann Mathias Harms

Aktuelle Themen im Bereich der Netze

Verschlüsselung eines drahtlosen Netzwerkes

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

WLAN: Single SSID + Multiple VLANs = Multicast-Problem

Das Kerberos-Protokoll

WLAN Angriffsszenarien und Schutz. OSZ IMT - FA16 Jirka Krischker & Thomas Roschinsky

Sicherheitsanforderungen in naher Zukunft

Sicherheit ist jederzeit gewährleistet - dieser Repeater unterstützt mit WEP, WPA und WPA2 modernste Verschlüsselungsstandards.

WLAN & Sicherheit IEEE

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Wireless LAN (WLAN) Security

WLAN vs. UMTS. Partnerschaft oder Konkurrenz? René Büst Rechnernetze & Datenübertragung Sommersemester by René Büst

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 26. Januar 2016 WS 2015/2016

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Anleitung zur Einrichtung des WDS / WDS with AP Modus

Netzsicherheit. Das TCP/IP-Schichtenmodell

Thema: VLAN. Virtual Local Area Network

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Primzahlen und RSA-Verschlüsselung

Beweisbar sichere Verschlüsselung

1.1 SIF - Bestehende Konfiguration nicht konvertiert Alert - Alert nicht funktionsfähig. 1.3 Ethernet - MAC-Adresse ignoriert

Arbeitskreis Security

Energieeffiziente Empfänger in Sensornetzwerken

WLAN MUW-NET Howto für Windows XP SP2, SP3

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Transkript:

Kapitel 4 Drahtlose LANs (Wireless LAN, WLAN) WLAN: IEEE Standard 802.11 kostengünstige, einfache Netzanbindung mobiler Geräte Einsatzbereiche: u.a. Campus-Netze mit einer drahtlosen Netzinfrastruktur oder auch Ad-hoc-Netze ohne Netzinfrastruktur Gesundheitsbereich, Fabrikhallen, Bankenbereich oder auch Hot Spots: Flughäfen, Bahnhöfe, Protokollarchitektur Endgerät (Terminal) Anwendung TCP IP 802.11 MAC 802.11 PHY Zugangspunkt (Access point) 802.11 MAC 802.11 PHY Infrastrukturnetz 802.3 MAC 802.3 PHY Festes Endgerät (Fixed terminal) Anwendung TCP IP 802.3 MAC 802.3 PHY Überwachung des Mediums Modulation der Daten Kodierung/Dekodierung Steuerung Medienzugriff Fragmentierung Nutzdaten Verschlüsselung 1 2 4.1 Einführung Einordnung in IEEE 802-Familie Bluetooth HiperLAN/2 3 Überblick über die IEEE 802.11 Standards Funkspektrum zwischen 2,4 und 2,48 GHz, 5GHz Kurzbeschreibung der Standards: siehe C. Eckert, IT Sicherheit Charakteristika 802.11a 54-MBit/s-WLAN im 5 GHz-Band 802.11b 11-MBit/s-WLAN im 2,4-GHz-Band 802.11c Wireless Bridging: 802.11d "World Mode", Anpassung an regionsspezifische Regulatorien 802.11e QoS- und Streaming-Erweiterung für 802.11a/g/h 802.11f Roaming für 802.11a/g/h (Inter Access Point Protocol IAPP) 802.11g 54-MBit/s-WLAN im 2,4-GHz-Band 802.11h 54-MBit/s-WLAN im 5-GHz-Band mit DFS und TPC 802.11i Authentifizierung/Verschlüsselung für 802.11a/b/g/h 802.11n 600-MBit/s-WLAN im 2,4 o. 5-GHz-Band (noch nicht verabschiedet) 4 TU München, Lehrstuhl Sicherheit in der Informatik 1

Vergleich der wichtigsten technischen Daten 802.11b+ 2,4 GHz 22 MBit 6-8 MBit 100mW 30-50 indoor, outdoor 802.11b/g proprietär 802.11g 2,4 GHz 54 MBit 15-19 MBit 100mW 30-50 indoor, outdoor 802.11b/b+ 802.11h 5 GHz 54 MBit 28 MBit 200mW Verabschiedung 11/2009 geplant 802.11n 2,4 GHz/ 5 GHz 600 MBit* 74 MBit 30-50 50-90 indoor, outdoor 802.11b/g Ad hoc-netz AP 4.2 Betriebsmodi / Systemarchitekturen Ad-hoc-Netz: direkte Kommunikation zwischen Endgeräten Infrastruktur-Modus: Teilnehmer Access Point (AP) AP: Verbindung zwischen dem funk- und drahtgebundenen Netz Existierendes Festnetz AP Standard 802.11 802.11a 802.11b Frequenzbereich 2,4 GHz 5 GHz 2,4 GHz Datenrate brutto 1-2 MBit 54 MBit 11 MBit Datenrate netto 32 MBit 4-6 MBit Sendeleistung 100mW 30mW 100mW Reichweite (m) 10-15 30-50 Einsatz (RegTP) indoor indoor, outdoor Kompatibel zu 802.11b - 802.11b+/g Infrastruktur- Modus * Vier Kanäle zu je 150 MBit möglich z.b. auch bei Car2Car Kommunikation! AP: Access Point 5 6 Komponenten: Endgerät: WLAN-Karte, WLAN-Adapter. Router, Access Punkt, Antenne Ad-hoc-Netz Direkte Kommunikation mit begrenzter Reichweite STA 1 IBSS 1 IBSS 2 STA 2 STA 4 STA 5 STA 3 Station (STA): Rechner mit Zugriff auf das drahtlose Medium Independent Basic Service Set (IBSS): Gruppe von Stationen, die dieselbe Funkfrequenz nutzen 7 Infrastrukturnetz 802.11 LAN 802.x LAN Station (STA) Rechner mit Zugriff auf STA 1 BSS 1 das drahtlose Medium und AP Portal Funkkontakt zum Access Point Distribution System AP Basic Service Set (BSS) Gruppe von Stationen, die dieselbe Funkfrequenz nutzen, Access Point (AP) BSS 2 STA 2 STA3 sowohl in das Funk-LAN als 802.11 LAN auch das Festnetz integriert Portal: Übergang in ein anderes Festnetz Distribution System: Verbindung verschiedener Zellen, um ein Netz (ESS: Extended Service Set) zu bilden 8 TU München, Lehrstuhl Sicherheit in der Informatik 2

4.3 WLAN-Grundlagen im Überblick Konzentration auf einige Aspekte, die für das Verständnis der Sicherheitsproblem wichtig sind Vertiefende Beschreibung: J. Schiller: Mobile Communications. Addison-Wessley, 2. ed., pp. 201-298, 2003. 4.3.1 Physikalische Schicht (Bitübertragungsschicht) Nutzung Funkspektrums zwischen 2,4 und 2,48 GHz, 5GHz Störung der Funkwellen durch andere elektromagnetische Quellen ist möglich, Beispiele? Konsequenzen? Datenübertragungsrate: bis 11 MBits/s bei 802.11b, 54 MBit/s bei 11g, 600 MBit/s bei 11n Signalreichweite: 30 250 m, durchdringt auch feste Gegenstände 9 Modulationsverfahren für die Funkschnittstelle: Bandspreizverfahren: (Spread Spectrum) u.a. Frequenzsprung (FHSS), Direct Sequence (DSSS) Spreizung: Robustheit der Übertragung gegen Störung Sicherheit: Spreizverfahren erhöhen Übertragungszuverlässigkeit, liefern aber keinen Beitrag zur Sicherheit! FHSS (Frequency Hopping Spread Spectrum) Pseudozufälliger Wechsel der Trägerfrequenz Datenrate 1 bzw. optional 2 MBit/s (ursprünglicher 802.11) Vorteile: Interferenz auf kurze Perioden begrenzt nutzt nur schmalen Bereich des Spektrums zu einem Zeitpunkt Nachteile: einfacher abzuhören nicht so robust wie DSSS 10 DSSS (Direct Sequence Spread Spectrum) Datenrate 1 bzw. optional 2 MBit/s Spreizung des zu übertragenden Signals über mehrere Frequenzbereiche die Spreizung erfolgt durch die Modulation der Trägerfrequenz mit einer pseudozufälligen Codesequenz (chipping sequence) im 802.11 Standard: 11 Chips, d.h. Jedes übertragene Bit wird als 11Bit langer Barker-Code im Frequenzband dargestellt. t b 0 1 t c 0110101 0110101 0110101 1001010 t b : Bitdauer t c : chip Dauer Nutzdaten XOR chipping sequence = resultierendes Signal wesentlich unempfindlicher gegen Funkstörungen als FHSS durch redundante Bits des Chipping Codes 4.3.2 Medienzugangsschicht (MAC) Aufgaben: Steuerung/Kontrolle des Medienzugriffs (hier Funkmedium) Roaming, Authentifizierung,... 802.11: Gleiches MAC-Zugriffsverfahren für die verschiedenen Übertragungsverfahren (FHSS, DSSS, ) auf der Bitübertragungsschicht (Physical Layer) Infrarot FHSS (850... 950 nm) 2,4 GHz band Mb/s: 1; 2 Mb/s: 1; 2 802.2 Logical Link Control 802.11 MAC DSSS 2,4 GHz band Mb/s: 1; 2; 5,5; 11 OFDM 2,4 u. 5 GHz band Mb/s : 6; 9; 12; 18; 24; 36; 48; 54 Data Link Layer Physical Layer 11 12 TU München, Lehrstuhl Sicherheit in der Informatik 3

SIFS: PIFS: DIFS: DIFS Medium belegt DIFS PIFS SIFS Wartezeit 1. Sendewillige Station hört das Medium ab (CCA-Signal) 2. Medium für die Dauer eines DIFS frei nach DIFS gesendet Short Inter-Frame Spacing Point Coordination Function Inter-Frame Spacing Distributed Coordination Function Inter-Frame Spacing Medien-Zugriffsverfahren: idr CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) Daten können nach Abwarten von DIFS gesendet werden Empfänger antworten sofort (nach SIFS) CCA- Signal Wettbewerbsfenster (zufälliger Backoff-Mechanismus) nächster Rahmen Zeitschlitz (50 μs/20 μs) t 3. Medium belegt auf freies DIFS warten und zusätzlich um eine zufällige Backoff-Zeit verzögern 4. Fairness durch zusätzlichen Backoff- Algorithmus Backoff-Timer 13 4.4 Zugang zum Drahtlosen Netz WLAN Client muss Access Punkt kennen/identifizieren: Identifikation des Access Points (AP) Jeder AP besitzt eine SSID (Service Set Identifier), AP sendet in festen Intervallen Beacon-Frames mit SSID Unterbinden des Broadcasts der SSID : Cloaked mode Alternative: Client erfragt SSIDs mittels Probe-Nachrichten Sicherheit: noch keine SSID (oder ESSID) werden im Klartext übertragen D.h. Kenntnis der SSID ist kein Authentifikationsnachweis Bem: Client kontaktiert den AP mit der größten Signalstärke 14 Identifikation des Clients durch AP Vergabe von Netznamen auch an Clients (SSID, ESSID) nur Clients mit dem SSID des AP werden akzeptiert Alternativ: Client-Identifikation über MAC-Adresse Zugangskontrolle: ACLs mit MAC-Adressen MAC-Adresse 03-4523-45-23-12 Bem.: Filtern der MAC-Adressen nicht im Standard enthalten, aber Standard-konform Adressen- Vergleich Access Point Manuelle Pflege der Listen! Fremde MAC- Adressen werden abgewiesen ACL-Liste 02-2F-3A-83-AD-09 65-E5-66-23-54-A6 89-45-65-A4-E7-98... 15 4.5 Sicherheit Identitätsprüfung ist keine Authentifizierung! Zugangskontrolle basiert auf der (fälschbaren) Identität von Clients Vergabe von Netznamen: falls in AP any eingetragen ist, wird jeder Client, der das Netz nutzen möchte, akzeptiert Fazit: Schwache Authentisierung: MAC-Adresse ist kein Authentizitätsnachweis Zusätzliche Authentifizierungsmaßnahmen sind notwendig Weitere Sicherheitsprobleme? 16 TU München, Lehrstuhl Sicherheit in der Informatik 4

Mögliche Angriffspunkte: Missbrauch von Ressourcen... Nutzer Mitlesen Angreifer Fälschen Identität übernehmen Access Point LAN Missbrauch von Ressourcen Internet SPAM Datenabruf Illegale Inhalte... Internet Problembereich 1: Konfiguration des AP Standardeinstellung: häufig schwache Mechanismen Standard-Passwörter werden nicht geändert, Default-SSID, 17 Problembereich 2: Abhören: WLAN-Funkwellen haben eine Ausbreitung von bis zu 150 m mit Spezialantennen und -equipment ist es aber möglich, schwache Signale noch in 1,5 km Entfernung aufzuzeichnen. Wellen breiten sich auch in vertikaler Richtung aus: relevant, wenn das Gebäude mehrstöckig ist und evtl. auch andere Firmen im gleichen Gebäudekomplex untergebracht sind. Bem.: durch elektromagnetische Abschirmung lässt sich ein Abhören der Funksignale verhindern (selten eingesetzt) Mauern behindern Signalausbreitung, schirmen aber nicht ab! Fazit: Abhören ist einfach möglich, verschiedene Tools dafür! z.b. für WarDriving 18 Beispiel: WarDriving Frei verfügbare Sniff-Tools, um gezielt nach APs zu suchen u.a. NetStumbler: http://www.stumbler.net oder AirCrack NG: http://www.aircrack-ng.org Vorgehen: mit WLAN-fähigem Laptop und Sniff-Tools: Herumfahren im PKW (War Driving): Auffangen von Signalen von Access Points Loggen von MAC-Adressen, SSIDs, Hersteller-Namen, Signal Stärke, Frage: Was hat der Angreifer von dieser Information? Problembereich 3: Spoofing Manipulierbare MAC-Adressen (Session hijacking) MAC-Adresse 03-4523-45-23-12 Nutzer ACL-Liste 03-4523-45-23-12 65-E5-66-23-54-A6 Access Point MAC in Klartext übertragen Angreifer MAC-Adresse 89-45-65-A4-E7-98 Angreifer... wartet bis Client sich abmeldet oder sendet disassociate message an Client 19 20 TU München, Lehrstuhl Sicherheit in der Informatik 5

Manipulierbare MAC-Adressen (Session hijacking) (Teil 2) MAC-Adresse 03-4523-45-23-12 Nutzer ACL-Liste 03-4523-45-23-12 65-E5-66-23-54-A6 nach Abmelden des Nutzers übernimmt der Angreifer die Session Access Point MAC in Klartext übertragen Angreifer MAC-Adresse 89-45-65-A4-E7-98 manipulierte MAC-Adresse 03-4523-45-23-12 Angreifer... wartet bis Client sich abmeldet oder sendet disassociate message an Client Access Point-Spoofing Szenario: Station St1 sucht Kontakt zu AP2, um auf Server 2 zuzugreifen AP1 sendet mit höherer Signalstärke, ggf. mit SSID von AP2 St1 glaubt, dass AP1 der richtige Partner ist Potentielle Konsequenzen? Server 1? AP1 St1 Server 2 AP2 u.a. Missbrauch der Ressourcen in vermeintlich gesicherten Netzen! Fazit: stärkere Sicherheits-Mechanismen sind erforderlich! Authentizität, Vertraulichkeit, Integritäts-Maßnahmen 21 22 4.6 WEP (Wired Equivalent Privacy) Ziele: Vertraulichkeit, Integrität und Authentizität Soll eine dem kabelgebundenen Ethernet gleiche Sicherheit bieten Bem: Welche Sicherheit bietet eigentlich ein kabelgebundenes Ethernet? 4.6.1 WEP-Authentifikation 2 Modi: Open : keine Authentisierung Shared Key : CR mit Pre-Shared Key K, manuelles Eintragen des Schlüssels K bei AP und den Clients Symmetrisches Challenge Response: einseitige Authentifikation 4.6.2 WEP-Vertraulichkeit Punkt-zu-Punkt-Verschlüsselung: AP zu WLAN-Client RC4-basierte Stromchiffre: Generierung des Schlüsselstroms Key Ausgangspunkt ist ein gemeinsamer geheimer Schlüssel K: Schlüssellänge ist 40 oder optional 104 Bit Pre-shared secret, manuell eingetragen, für alle Clients gleich Schlüsselstromgenerierung ist abhängig von dem Schlüssel K und einem 24-bit Initialisierungsvektor IV Mit der Stromchiffre RC4 und dem Schlüssel K' = IV K wird ein Schlüsselstrom Key = RC4(K') generiert Klartext M wird verschlüsselt zu: C = M Key. Übertragung von C und IV über die Funkschnittstelle 23 24 TU München, Lehrstuhl Sicherheit in der Informatik 6

4.6.3 WEP-Integrität Integritätswert: 32-Bit Cyclic Redundancy Check (CRC) Vorgehen: Sender: berechnet 32-Bit CRC-Wert der zu sendenden Nachricht M Prüfsummenberechnung: M = M CRC(M) Gesamtnachricht besteht aus n+1+m Bits und ist durch das Polynom G(x) teilbar mit Rest 0 Integritätsprüfung durch Empfänger: Division von M durch das Polynom G(x). Ist der Rest 0, so sind keine Übertragungsfehler aufgetreten. Frage: Qualität der Integritätsprüfung? 25 RC4 PRNG 32 bit CRC Zusammenfassung der WEP-gesicherten Datenübertragung Initialisation Vector (IV) Secret key K Plaintext Schlüsselstrom Key Aktionen auf der Seite des Empfängers: Basis: K empfängt IV und berechnet Key = RC4(IV K) entschlüsselt C mit C Key = M' CRC(M')' prüft die Prüfsumme: CRC(M')' = CRC(M') IV Cipher text 26 4.6.4 Sicherheitsprobleme beim WEP Gravierende Designschwächen in allen drei Schutzbereichen Authentifikationsprobleme: Einseitige Authentifikation: AP-Spoofing ist möglich Client-Spoofing-Angriff Angreifer zeichnet (RAND, RES) auf Berechnen des Schlüsselstroms RC4(K) durch: RC4(K) = RES RAND (Kennt er auch K) Anmelde-Request an Access Point AP sendet Challenge RAND zum Angreifer Angreifer: RES = (RAND CRC-32(RAND )) RC4(K) senden von RES und IV (IV ist wiederverwendbar!) Vertraulichkeitsprobleme: WEP anfällig gegen Known-Plaintext-Angriffe Mögliche Attacke: gegeben sei Klartext M und C = M RC4(K) bei festem Schlüssel K gilt: sei (M, C ) ein weiteres mit K erzeugtes Klartext-Kryptotext-Paar, es gilt: M M' = C C, damit gilt: M = (C C') M' d.h. man erhält den Klartext M, ohne den Schlüssel K zu kennen falls Schlüsselstrom wiederholt verwendet wird WEP: Initialisierungsvektor (24 Bit), soll Wiederholung verhindern IV ist zu kurz, erneute Verwendung nach wenigen Stunden 27 28 TU München, Lehrstuhl Sicherheit in der Informatik 7

Integritätsprobleme: CRC ist linear, d.h. CRC-32(M M') = CRC-32(M) CRC-32(M') d.h. aus der Bit-Differenz zweier Eingabetexte M, M ist die Bit-Differrenz der zugehörigen CRC-Werte zu berechnen Beispiel: Gegeben sei Klartext M und zugehöriger Kryptotext C Angreifer hört C ab und versucht, F = M D einzuspielen Berechnung von C' = C (D CRC-32(D)), überträgt C Empfänger entschlüsselt C : C (D CRC-32(D)) RC4(K), (M CRC-32(M) RC4(K) ) (D CRC-32(D)) RC4(K) = (M D CRC-32(M D)) = F CRC-32(F) : wird akzeptiert Empfänger erkennt durchgeführte Manipulation an M nicht Weiterentwicklung der Sicherheitsdienste: 802.1x, 802.11i und WPA Zur Verbesserung der Authentifikation: Rückgriff auf das 802.1x Framework IEEE 802.1x IEEE 802.11i Unternehmen Verschlüsselung mit TKIP Vor der Ratifizierung von 802.11i bereits als schnelle Verbesserung entwickelt WPA Authentifizierung mittels EAP Schlüsselmanagement Verschlüsselung mit TKIP Authentifizierung mittels EAP Schlüsselmanagement Authentifizierung mittels EAP Schlüsselmanagement Kleine WLANs Verschlüsselung mit TKIP 29 30 4.7 Wi-Fi Protected Access (WPA) Interimslösung der Hersteller unter Leitung der WiFi Alliance Ziel: Ablösung der Sicherheitsdienste von WEP, unter Wahrung der Abwärtskompatibilität, ohne neue Hardware zu erfordern Beseitigung (soweit möglich) der WEP-Sicherheitsprobleme Schrittweise Migration zum neuen Standard 802.11i, WiFi Alliance: zertifiziert die Interoperabilität von WLAN-Produkten WPA umfasst Schlüsselmanagement, auch im 802.11i TKIP (Temporal Key Integrity Protocol), auch in 802.11i EAP-gestützte Authentifizierung unter Nutzung von 802.1X 31 32 TU München, Lehrstuhl Sicherheit in der Informatik 8

4.7.1 Schlüsselmanagement Basis: gute paarweise Master-Keys PMK 256 Bit Pairwise Master Key: zwischen AP und Endgerät Zwei Vorgehensweisen zur Etablierung des PMK Pre-shared z.b. durch manuelles Eintragen über 802.1X-Protokoll (siehe 4.7.3) Aufbau einer Schlüsselhierarchie: PMK bildet die Wurzel zweite Ebene: Pairwise Transient Key PTK (512 Bit bei TKIP) Aufteilen des PTK in (4 bei TKIP, 3 bei CCMP) Schlüssel Schlüssel 1 und 2: Verschlüsselung und Integrität von EAPOL-Nachrichten (beim 802.1x Protokoll) Schlüssel 3: paarweiser Kommunikationsschlüssel Schlüssel 4: zwei paarweise Integritätsschlüssel a 64 Bit 33 Schlüsselhierarchie bei TKIP und 802.11i Ausgehend von PMK werden in AP und Station die PTK berechnet Durchführen eines 4-Wege-Handshakes hierfür aus PTK leiten die Partner die eigentlichen Schlüssel ab 34 4-Wege-Handshake zur Berechnung der temporären Schlüssel Protokollnachrichten werden als EAPOL-Nachrichten ausgetauscht AP Station (1) ANonce generiere SNonce berechne PTK (s.u.) (2) SNonce, MIC über SNonce MIC: Integritätswert Berechne PTK mit Schlüssel 2 (3) Aktiviere PTK, MIC gesichert (4) Bestätigte Aktivierung, MIC gesichert PTK: PRF(PMK, ANonce, SNonce, Mac_Adresse_AP, Mac_Adresse_Station) 4.7.2 Temporal Key Integrity Protocol (TKIP) Software-Patch für WEP für existierende Hardware, Wrapper Beibehalten der bestehenden Hardware der APs, d.h. keine aufwändigen Cryptoverfahren, da zu wenig CPU-Power in APs Verbesserungen des TKIP gegenüber WEP: 1. Unterschiedliche Schlüssel für jede Verbindung u. Richtung 2. Message Integrity Code (MIC) pro Paket anstelle des einfachen CRC 3. Sequenznummern gegen Replay-Angriffe 4. Schlüsselerneuerungsprotokoll, Beibehalten von RC4-Verschlüsselung 35 36 TU München, Lehrstuhl Sicherheit in der Informatik 9

Ziel: Verstärkung des Schlüsselmanagements und Integrität TKIP Schlüssel 128 Bit Verschlüsselungsschlüssel pro Session (abgeleitet aus PTK) unterschiedliche Schlüssel (64 Bit) pro Richtung 64 Bit Daten-Integritäts-Schlüssel (MIC-Schlüssel) Access Point und Station nutzen unterschiedliche Schlüssel, d.h. für jede Richtung wird ein Schlüssel benötigt WEP-Paket bei TKIP vergröbert Integritätsschlüssel DA SA Payload 8 byte MIC Michael 37 Paketverschlüsselung (D. Whiting, R. Rivest) Partner berechnen PTK aus Master Key Schlüsselteil 3 des PTK (128 Bit) ist der Kommunikationsschlüssel (Session Key TK): daraus die per Paket-Schlüssel PPK berechnen Problem: Hardware interpretiert Paket wie unter WEP, Vorgehen zur Schlüsselberechnung: 2 Phasen: Mixen 128 Bit Session Key PTK Sender MAC-Adresse: 00-A0-C9-BA-4D-5F Sequenznummer Phase 1 Mixer 32 Bit 16 Bit Phase 2 Mixer 80 Bit Temporärer Zwischen-Schlüssel + IV 104 Bit per Paket- Schlüssel PPK 38 Phase1: Erzeugen eines temporären Schlüssels Eingabe: Sender-MAC-Adresse, PTK, 32-Bit der Sequenznummer Funktion: Byteweises und Ergebnis als Index in eine S-Box Berechnung ist aufwändig, Zwischenschlüssel vorab berechnen, wird im Gerät gespeichert für spätere (erneute) Verwendung Bem.: Unter Verwendung des Zwischenschlüssels können 2 16 Paket- Schlüssel erzeugt werden, danach Phase 1 erneut ausführen Phase 2: Verschleiern des Zusammenhangs von IV und Paket-Key Mixen von Schlüsselbits und Sequenznr: Streuen der Bits mittels einer Substitutionschiffre (S-Box), wie auch in Phase 1 Ausgabe: 104-Bit Per-Paket Schlüssel (als WEP-Key interpretiert) 24 Bit IV, also insgesamt 128 Bit Schlüssel Arbeitsweise TKIP und Michael, zusammengefasst Fazit: deutliche Verbesserung gegenüber WEP, interoperabel mit WEP aber Schwächen! 39 40 TU München, Lehrstuhl Sicherheit in der Informatik 10

4.7.3 Authentifikation basierend auf IEEE 802.1X Hintergrund: IEEE 802.1X Allgemeines Authentifikationsframework, das in verschiedenen Kontexten verwendet werden kann, z.b. WLAN-Authentifikation Rollen im 802.1X Framework: Supplicant (im vorliegenden Kontext ist das die WLAN-Karte): nutzt MAC-Verbindungen zum Authenticator Authenticator (AP): Vermittler zwischen Supplicant und Authentifikationsserver Authentication Server (z.b. RADIUS-Server, Kerberos) Authentifizierung an einem Authentifizierungsdienst, z.b. mittels Smartcard, Client-Zertifikate oder Passwort IEEE 802.1X Architektur: Allgemeiner Überblick Dual-Port Architektur Supplicant Authenticator Authentication Server EAPoL/ EAPoW Angebotene Dienste; kontrollierter Port WLAN unautorisiert unkontrollierter Port LAN EAP over RADIUS 41 42 Nutzung des EAP Typischer Protokollablauf: Idee: das EAP kapselt Anfrage/Antwort-Nachrichten von beliebigen Authentifizierungsprotokollen (TLS, CHAP, Kerberos,..) d.h. EAP-Nachrichten transportieren Authentifizierungsdaten WLAN: EAP-Daten direkt in 802.11-Paketen verschickt, EAP over LAN 43 Supplicant Associate EAP Identity Request EAP Identity Response EAP Auth Request EAP Auth Response EAP-Success Port Status: AP EAP Identity Response EAP Auth Request EAP Auth Response Authentication Daten Normale Daten EAP-Success Authentication Server Bem: bei Success: Übertragung von Credentials bzw. Master-Keys für sichere Kommunikation Sicherheit von 802.1X? Stärken Schwächen? 44 TU München, Lehrstuhl Sicherheit in der Informatik 11

4.8 IEEE 802.11i (WPA2) (seit Juni 2004) Anforderungen: Pakete müssen authentifiziert und verschlüsselt werden Schlüssel nur für ein Paket verwenden Pakete müssen verschlüsselte Sequenznummer enthalten Gegenseitige Authentifizierung Integrität Verschlüsselung: TKIP (Temporary Key Integrity Protocol), optional -CCMP (Counter-Mode-CBC-MAC Protocol), obligatorisch Authentifikation: Rückgriff auf 802.1X, analog zu WPA 4.8.1 -CCMP (Counter-Mode-CBC-MAC Protocol) Verschlüsselungsalgorithmus: (Advanced Encryption Standard) Zur Erinnerung: ist eine symmetrische Block-Chiffre, übliche Modi für : ECB, Cipher-Block-Chaining (CBC), Counter Mode (CTR) CTR: Blocklänge 128 Bit, ctr (Counter), Schlüssel K (128Bit), Verschlüsselung mit CTR-Modus K M 1 ctr ctr+1 ctr+n-1 K C 1 M 2 C 2 M n 45 46 Background: Entwicklung des -CCMP für 802.11 -CCMP: 128 bit im Counter Mode mit CBC-MAC Protocol Neues Design, wenig Konzessionen bezgl. WEP (nicht kompatibel!) Aufwand: Costs 40 instructions/byte in Software, d.h. es wird neue Access-Point-Hardware benötigt Ziel: Long-term-Lösung Basierend auf starker Kryptographie, Erweiterbar, um eine Re-Konfigurierung zu unterstützen Adressierte Sicherheitsziele: Probleme von WEP beseitigen Block-Chiffre, keine Stromchiffre: Schlüssel; zur Integritätsberechnung und zur Verschlüsselung, d.h. nur ein Integritäts-Schlüssel (nicht kompatibel mit TKIP) -CCMP CCM = Counter Mode + CBC MAC Counter Mode für die Verschlüsselung und CBC-MAC für die Integritätssicherung verschlüsselt Header Payload MIC Authentifiziert Nutzung von CBC-MAC zur MIC-Berechnung über Plaintext Header, Länge des Plaintext Header und Payload Nutzung des CTR Modus, um Payload zu verschlüsseln Counter Werte: Init-Wert, +1, +2, +3, Nutzung des CTR Modus, um MIC zu verschlüsseln: Counter = 0 47 48 TU München, Lehrstuhl Sicherheit in der Informatik 12

CCM-MIC-Berechnung und Verschlüsselung K K IV (48bit) K MIC- K Berech. Klartextpaket K Verschlüsselung Verschl. Paket K Header Padding 128-bit M 1 128-bit M 2 Mn Ctr Ctr+1 K K Ctr=0 Header C1 C2 MIC' K 49 128 bit MIC Vergleich WEP TKIP CCMP Chiffre Größe des Chiffrierschlüssels Wiederholung eines Paketschlüssels Integritätssicherung der Paketdaten Integritätssicherung für den Header Erkennung von Replay-Attacken Schlüsselmanagement WEP RC4 48 oder 104 Bit 2 24 Pakete CRC32 keine keine keine TKIP RC4 Michael 104 Bit für Verschlüsselung, 64 Bit für Integrität 2 48 Pakete Quell- und Ziel-MAC werden von Michael abgesichert IV Sequenzzähler IEEE 802.1X Fazit: WLAn Sicherheitskonzepte, Protokolle Stärken, Schwächen? CCMP 128 Bit Neuer K nach 2 48 Paketen CCM CCM IV Sequenzzähler IEEE 802.1X 50 Einige ergänzende Literaturhinweise zu WLAN-Security Fluhrer, Scott, Itsik Mantin, and Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4. Presented to the Eighth Annual Workshop on Selected Areas in Cryptography, 2001 http://downloads.securityfocus.com/library/rc4_ksaproc.pdf Stubblefield, Adam, John Ioannidis, and Aviel D. Rubin: Using the Fluhrer, Mantin, and Shamir Attack to Break WEP. AT&T Labs Technical Report TD-4ZCPZZ. Revision 2, August 2001. http://www.cs.rice.edu/~astubble/wep Erik Tews, Ralf-Philipp Weinmann, Andrei Pyshkin: Breaking 104 bit WEP in less than 60 seconds, WISA 2007, LNCS 4867, pp. 188-202, Springer-Verlag Erik Tews and Martin Beck, Practical attacks against WEP and WPA, WISEC, 2009, Seite79-86, http://dl.aircrack-ng.org/breakingwepandwpa.pdf Jon Edney / William A. Arbaugh: Real 802.11 Security: Wi-Fi Protected Access and 802.11i, Addison-Wesley, 7. Auflage, Mai 2008 51 TU München, Lehrstuhl Sicherheit in der Informatik 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback