Das TCP/IP-Schichtenmodell. Systemsicherheit 13: Layer 2-Sicherheit. Layer 2: Ethernet & Co. Gliederung. Point-to-Point Protocol (2)



Ähnliche Dokumente
Systemsicherheit 4: Wireless LAN

Systemsicherheit 13: Layer 2-Sicherheit

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Netzsicherheit. Das TCP/IP-Schichtenmodell

Systemsicherheit 13: Layer 2-Sicherheit

Systemsicherheit (Diplom) Netzsicherheit (Master)

Vorlesung Netzsicherheit

8 Sichere Kommunikationsdienste ITS-8.1 1

RADIUS (Remote Authentication Dial In User Service)

Internet-Zugangsprotokolle Das Point-to-Point-Protocol (PPP) Prof. B. Plattner

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

Sicherheitsrisiken bei WLAN

IT-Sicherheit - Sicherheit vernetzter Systeme -

Firewalls und Virtuelle Private Netze

2 Point-To-Point Sicherheit

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

NCP Exclusive Remote Access Client (ios) Release Notes

NCP Exclusive Remote Access Client (ios) Release Notes

WLAN-Sicherheit. Markus Oeste. 27. Januar Konferenzseminar Verlässliche Verteilte Systeme Lehr- und Forschungsgebiet Informatik 4 RWTH Aachen

NCP Secure Enterprise Client (ios) Release Notes

NCP Secure Enterprise Client (ios) Release Notes

Werner Anrath. Inhalt

NCP Secure Enterprise Client (ios) Release Notes

Modul 4: IPsec Teil 1

NCP Secure Enterprise Client (ios) Release Notes

Wireless LAN (WLAN) Sicherheit

Leistungsnachweis-Klausur Kurs Sicherheit im Internet I Ergänzungen Lösungshinweise

WLAN Angriffsszenarien und Schutz. OSZ IMT - FA16 Jirka Krischker & Thomas Roschinsky

Einführung in die Kryptographie ,

Wireless LAN Sicherheit

Netzwerktechnologien 3 VO

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium Andreas Aurand Network Consultant NWCC, HP.

Angriffe auf RC4. Andreas Klein. Tagung der Fachgruppe Computeralgebra, Kassel Universität Kassel

Grundlagen WLAN. René Pfeiffer 18. Juni CaT. René Pfeiffer (CaT) Grundlagen WLAN 18.

Kapitel 11: Netzsicherheit - Schicht 2: Data Link Layer. IT-Sicherheit

Kapitel 11: Netzsicherheit - Schicht 2: Data Link Layer. IT-Sicherheit

Fachbereich Medienproduktion

2G04: VPN Überblick und Auswahlkriterien

Netze und Protokolle für das Internet

Funknetzwerke und Sicherheit in Funknetzwerken. Hendrik Busch, PING e.v.

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

Kapitel 9: Netzsicherheit - Schicht 2: Data Link Layer. IT-Sicherheit

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

P107: VPN Überblick und Auswahlkriterien

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

VIRTUAL PRIVATE NETWORKS

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

Wired Equivalent Privacy - WEP

RADIUS Protokoll + Erweiterungen

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Layer 2 Forwarding Protokoll

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Vorlesung Netzsicherheit

Wireless Security. IT Security Workshop Moritz Grauel Matthias Naber

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Kurs 1866 Sicherheit im Internet

IT-Sicherheit - Sicherheit vernetzter Systeme -

Sicherheitskonzepte für das Internet

Mobilkommunikationsnetze Security -

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

Collax Windows-L2TP/IPsec VPN Howto

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

NCP Secure Entry macos Client Release Notes

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Rechnern netze und Organisatio on

Mobilkommunikationsnetze. - IEEE Security -

Sicherheit in WLAN. Sämi Förstler Michael Müller

VPN VPN requirements Encryption

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Sicherheitsrisiken in Ethernet, WEP und WAN-Techniken

IT-Sicherheit - Sicherheit vernetzter Systeme -

RADIUS. Moritz Blanke (KaWo1) TANAG 2017

WLAN an der Ruhr-Universität Bochum

Vorlesung. Rechnernetze II Teil 14. Sommersemester 2004

Mobil im Internet. Dozent

Vorlesung SS 2001: Sicherheit in offenen Netzen

Internet Security Vortrag

Wireless LAN Sicherheit

Werner Anrath. Inhalt

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Grundkurs Computernetzwerke

IPv6 Chance und Risiko für den Datenschutz im Internet

Sicherheit bei Wireless LANs

3.2 Vermittlungsschicht

Sicherheit in Wireless LANs

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Inhalt W-LAN. Standardisierungen. Inhalt. Institute of Electrical and Electronics Engineers (IEEE) IEEE 802

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 6. Übungsblattes Netzwerk-Sicherheit

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.


YOU RE BEING WATCHED TRICKS UND TOOLS DER HACKER

Grundkurs Routing im Internet mit Übungen

Projektierung und Betrieb von Rechnernetzen

Transkript:

Das TCP/IP-Schichtenmodell Systemsicherheit 13: Layer 2-Sicherheit Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht (IP) Netzwerkschicht (PPTP, L2TP, L2F), (z.b. Ethernet, TokenRing,...) WLAN, UMTS, DVB Gliederung Layer 2: Ethernet,... : Point-to-Point protocol HDLC: High-Level Data Link Protocol PAP und CHAP AAA: Authentication, Autorisation and Accounting (RADIUS, SecureID) -Extensions: L2F, PPTP, L2TP Der PPTP-Angriff von Schneier und Mudge WLAN WEP: Wired Equivalent Privacy DVB: IP über Satellit Layer 2: Ethernet & Co Übertragungsprotokoll für Teilnetze mit gleicher Technologie Ethernet: ursprünglich Broadcast-Netz : Punkt-zu-Punkt-Verbindung WLAN: Broadcast-Netz DVB: Broadcast-Netz mit Fehlerkorrektur Point-to-Point Protocol () RFC 1661: The Point to Point Protocol (). W. Simpson, Juy 1994 Benötigt: Voll-Duplex, simultane, bidirektionale Verbindung zwischen zwei Hosts (z.b. ISDN) Encapsulation: Verpackt beliebige Protokolle Link Control Protocol: Aushandlung von -Optionen, auch Authentisierung Network Control Protocol: Zusätzliche Protokolle, z.b. für die Zuweisung von IP-Adressen Point-to-Point Protocol (2) Encapsulation: Format des -Pakets Weiße Felder: Standard-Festlegungen Graue Felder: RFC 1661 Protocol: IANA-Nummer des transportierten Protokolls (z.b. IP, oder c023 für PAP) FCS: Frame Check Sequence (Fehlerkorrektur) 1 Byte 1 Byte 1 Byte 2 Byte variabel 2 oder 4 Byte Flag 01111110 Address 11111111 Control 00000011 Protocol Daten Padding FCS

Point-to-Point Protocol (3) Ablauf eines -Verbindungsaufbaus +------+ +-----------+ +--------------+ UP OPENED SUCCESS/NONE Dead -------> Establish ----------> Authenticate --+ +------+ +-----------+ +--------------+ ^ FAIL FAIL +<--------------+ +----------+ +-----------+ +---------+ DOWN CLOSING +------------ Terminate <---+<---------- Network <-+ +-----------+ +---------+ Point-to-Point Protocol (4) Ablauf eines -Verbindungsaufbaus 1. -Pakete mit protocol=c021 LCP 2. -Pakete mit protocol=c023 PAP/c223 CHAP 3. -Pakete mit protocol=8*** NCP 4. -Pakete mit protocol=???? IP RFC 1334: Authentication Protocols Password Authentication Protocol (PAP) Voraussetzung: -Verbindung steht Client sendet wiederholt (im Klartext) das Paar (ID, Passwort) Network Access Server (NAS) überprüft das Passwort gegen den zur ID gespeicherten Wert (besser: den Hashwert des Passworts) Überprüfung erfolgreich: ACK Überprüfung nicht erfolgreich: NACK RFC 1334: Authentication Protocols (2) Password Authentication Protocol (PAP): Datenformate Ankündigung mit 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Type=3 Length=4 Authentication-Protocol=c023 Handshake mit 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Code Identifier Length Data... +-+-+-+-+ Code: 1 Authenticate-Request 2 Authenticate-Ack 3 Authenticate-Nak RFC 1994: Authentication Protocols (3) Challenge Handshake Authentication Protocol (CHAP) Voraussetzung: -Verbindung steht Network Access Server (NAS) sendet challenge -Nachricht Client antwortet mit res = hash(secret, challenge) NAS überprüft, ob res = hash(secret, challenge) ist Überprüfung erfolgreich: ACK Überprüfung nicht erfolgreich: NACK RFC 1994: Authentication Protocols (4) Challenge Handshake Authentication Protocol (CHAP) Ankündigung mit 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Type=3 Length=5 Authentication-Protocol=c223 Algorithm +-+-+-+-+-+-+-+-+ Algorithm: 0-4 unused (reserved) 5 MD5 [3]

RFC 1994: Authentication Protocols (5) Challenge Handshake Authentication Protocol (CHAP) Handshake mit 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Code Identifier Length Data... +-+-+-+-+ Code: 1 Challenge 2 Response 3 Success 4 Failure -Erweiterungen Viele neue Vorschläge zu findet man unter http://ietf.org/html.charters/pppext-charter.html The Encryption Control Protocol (ECP) (RFC 1968) Extensible Authentication Protocol (EAP) (RFC 2284) The DES Encryption Protocol, Version 2 (DESE-bis) (RFC 2419) The Triple-DES Encryption Protocol (3DESE) (RFC 2420) Microsoft CHAP Extensions (RFC 2433) EAP TLS Authentication Protocol (RFC 2716) Microsoft CHAP Extensions, Version 2 (RFC 2759) Microsoft Point-To-Point Encryption (MPPE) Protocol (RFC 3078) AAA: Authentication, Authorization and Accounting AAA wird vor allem von Internet Service Providern (ISP, z.b. T-Online) benötigt, um gegenüber Kunden abrechnen zu können. Architektur: RADIUS (RFC 2058) AAA-Protokolle: PAP (meistens) CHAP SecureID Kerberos Remote Authentication Dial-In User Service (RADIUS) RFC 2058: RADIUS (Lucent Technologies) Client-Server-Lösung zur Authentisierung von Kunden Kunde ID, Passwort OK, Dienst NAS: RADIUS- Client E K (ID, Passwort) OK, Konfiguration RADIUS- Server SecureID Produktlinie von RSA Inc. Alle 10 Sekunden wird im Client-Token und im Server eine neue Zufallszahl generiert Server überprüft, ob eine gesendete Zufallszahl im zulässigen Zeitfenster liegt. Kerberos (MIT) Kerberos wurde 1987 am MIT entwickelt 1: A, B S Ta, Ts: Timestamps L: Lifetime Kxy: Gemeinsamer Schlüssel von X und Y 2: {Ts, L, Kab, B,{Ts, L, Kab, A} Kbs } Kas A 3:{Ts, L, Kab, A} Kbs, {A,Ta} Kab 4: {Ta+1} Kab B

-Verlängerung bietet heute die besten AAA-Features Viele Außendienst-Mitarbeiter wählen sich über eine direkte Modem-Verbindung und ins Firmennetz ein Idee: Verlängere über ein IP Backbone-Netz Einwahl von Mitarbeitern lokal bei einem ISP Authentifizierung am NAS der Firma Problem: Verschlüsselung! PAP über übers Internet ist nicht sehr sicher. -Verlängerung (2) Client-initiierter Tunnel 1. Client stellt IP-Verbindung zum NAS der Firma her 2. Client sendet -Pakete über diese Verbindung Remote User GRE/UDP IP1 ISDN ISP NAS GRE/UDP IP1 Internet Home-NAS Intranet -Verlängerung (3) NAS-initiierter Tunnel 1. Client stellt -Verbindung zum NAS des ISP her 2. NAS sendet -Pakete über IP-Verbindung an den NAS der Firma Remote User ISDN ISP NAS GRE/UDP IP1 Internet Home-NAS Intranet Layer 2: PPTP, NCP PPTP verlängert mit Hilfe von GRE (Generic Routing Encapsulation) PPTP-Kontrollnachrichten mit TCP Transportnetzwerk: IP Verschlüsselung und Authentikation auf -Ebene ( link encryption ): Microsoft: EAP-TLS NCP: TLS auf Layer 2 Sicherheitsprobleme bei PPTP v1 (Mudge, Schneier, 1998) IP GRE- - Payload (verschlüsselt) Layer 2: L2TP Best of PPTP (Microsoft) und L2F (Cisco) Verlängert -Tunnel mit UDP (auch Kontrollnachrichten) Transportnetzwerk: IP (fertig), X.25, Frame Relay, ATM (geplant) Authentikation auf -Ebene (PAP, CHAP,...) Verschlüsselung mit IPSec ESP http://ietf.org/html.charters/l2tpext-charter.html Kryptoanalyse von MS-PPTPv1 B. Schneier and Mudge, "Cryptanalysis of Microsoft's Point-to-Point Tunneling Protocol (PPTP)," Proceedings of the 5th ACM Conference on Communications and Computer Security, ACM Press, pp. 132-141. http://www.counterpane.com/pptp.html. IP ESP UDP L2TP- - Payload Padding ESP- Auth.- Trailer

Kryptoanalyse von MS-PPTPv1(2) Wörterbuch-Attacken Annahme: Passwörter werden gehasht, oder immer mit dem gleichen Schlüssel verschlüsselt. Angreifer bildet den Hashwert aller Worte in einem Wörterbuch. Die Paare (Wort, Hashwert) werden nach Hashwert sortiert. Ein gehashtes Passwort kann in dieser Liste leicht gefunden werden. Funktioniert, weil nur wenige Zeichenkombinationen als Passwörter verwendet werden (kleines Wörterbuch) Gegenmaßnahme: Für jeden Benutzer ein öffentlich bekanntes Salt einführen. Das hat zur Konsequenz, dass für jeden Benutzer ein eigenes Wörterbuch angelegt werden muss. Kryptoanalyse von MS-PPTPv1(3) Authentisierung/Verschlüsselung bei MS-PPTPv1: 1. Passwort im Klartext senden/keine Verschlüsselung möglich 2. Hashwert des Passworts senden/ keine Verschlüsselung möglich 3. MS-CHAP: Hashwert des Passworts wird zum Verschlüsseln der Challenge benutzt/ Verschlüsselung möglich Kryptoanalyse von MS-PPTPv1(4) Umwandeln eines Passworts in einen kryptographischen Schlüssel: Windows NT Hash (sichere Variante) LAN Manager Hash: 1. Wandle das Passwort in einen 14-Byte-String um, entweder durch Kürzen längerer Passworte, oder durch Anfügen von Nullen an kürzere Passworte 2. Wandle alle Klein- in Grossbuchstaben um. Zahlen und andere Zeichen werden nicht verändert. 3. Teile den String in zwei 7-Byte-Hälften. 4. Verwende jede der beiden Hälften als 56-Bit DES-Schlüssel und verschlüssele damit jeweils eine feste Konstante. 5. Füge die beiden Ergebnisse zu einem 16-Byte-Wert zusammen. Kryptoanalyse von MS-PPTPv1(5) Angriff auf Authentisierungs-Variante 2: Windows NT Hash und LAN Manager Hash werden immer beide gesendet Greife zuerst den LAN Manager Hash an: Wörterbuch-Attacke gegen die beiden 8-Byte Hälften des Hashs. Längere Passwörter sind nicht sicherer als 7-Byte Passwörter Größe des benötigten Wörterbuchs wird durch die Umwandlung von Klein- in Grossbuchstaben weiter reduziert Es gibt kein Salt, also kann das gleiche Wörterbuch für alle Benutzer verwendet werden Aus dem so gefundenen Passwort kann man das Originalpasswort durch Variation der Groß-Kleinschreibung und Anwendung des Windows NT Hash berechnen. Kryptoanalyse (6) MS-CHAP: Berechnung des LMH Passwort Umwandlung in 14-Byte-String: Abschneiden nach Byte 14 Anfügen von Nullen Passwort000000 Kryptoanalyse von MS-PPTPv1(7) MS-CHAP: Berechnung der Response Passwort Umwandlung Klein- in Großbuchstaben LMH-Funktion WNTH-Funktion PASSWORT000000 Splitten in zwei 7-Byte-Hälften PASSWOR T000000 KONSTANTE LMH-Wert 00000 DES DES DES WNTH-Wert 00000 DES DES DES Challenge DES DES RES1 RES2 RES3 RES4 RES5 RES6 HASHWER1 HASHWER2

Kryptoanalyse von MS-PPTPv1(8) MS-CHAP: Berechnung des Passworts P 0,...,P 13 LMH-Funktion WNTH-Funktion H 0,...,H 15 00000 WNTH-Wert 00000 DES DES DES DES DES DES R 0... R 23 RES4 RES5 RES6 Challenge Kryptoanalyse von MS-PPTPv1(9) MS-CHAP: Berechnung des Passworts: 1. Teste alle möglichen Werte (2 16 ) für H14 und H15. Die richtigen Werte sind gefunden, wenn die Verschlüsselung der Challenge mit DES und dem Schlüssel H14 H15 0 0 0 0 0 den Wert R16 R23 ergibt. 2. Teste alle wahrscheinlichen Möglichkeiten (die 7 letzten Byte von möglichen Passwörtern, ggf. mit vielen Nullen) für P7,, P13. Die meisten falschen Werte können aussortiert werden, indem man den LM-Hash von P7,, P13 bildet und überprüft, ob die letzten beiden Bytes gleich H14 und H15 sind. Kryptoanalyse von MS-PPTPv1(10) MS-CHAP: Berechnung des Passworts: 3. Die N verbleibenden Möglichkeiten für P7,, P13 kann man wie folgt testen: Berechne für den Kandidaten P7,, P13 den Wert H8,, H13, H14, H15. (H14 und H15 sind bereits bekannt.) Für jeden der 28 möglichen Werte von H7, verschlüssele die Challenge mit H7 H8 H13. Wenn das Ergebnis gleich R8 R15 ist, so sind H7 und damit auch P7,, P13 mit an Sicherheit grenzender Wahrscheinlichkeit die korrekten Werte. Liefert kein möglicher Wert für H7 das gewünschte Resultat, so war der Kandidat falsch. Kryptoanalyse von MS-PPTPv1(11) MS-CHAP: Berechnung des Passworts: 4. Wenn P7,, P13 bekannt sind, so kann man P0,, P6 durch eine Wörterbuchattacke ermitteln, indem man zu jedem möglichen Wert die LMH-Response berechnet und mit dem tatsächlichen Wert vergleicht. Da kein Salt verwendet wird, kann dieses Wörterbuch für alle PPTP- Clients verwendet werden. Der beschriebene Angriff wurde im Cracker-Tool L0phtcrack implementiert. Gliederung Layer 2: Ethernet,... : Point-to-Point protocol HDLC: High-Level Data Link Protocol PAP und CHAP AAA: Authentication, Autorisation and Accounting (RADIUS, SecureID) -Extensions: L2F, PPTP, L2TP Der PPTP-Angriff von Schneier und Mudge WLAN WEP: Wired Equivalent Privacy What s Wrong With WEP? (Borisov, Goldberg, Wagner) Key Scheduling Weaknesses in RC4 (Fluhrer, Mantin, Shamir) DVB: IP über Satellit WLAN: IEEE 802.11 Erster Standard 1997: IEEE 802.11 2,4 GHz Industry, Scientific an Medical (ISM) Band 1 oder 2 Mbps Frequency Hopping Spread Spectrum oder Direct Sequence Spread Spectrum Mittlerweile gibt es IEEE 802.11 a,b,c,d,e,f,g,h,i,j,k,l,m,n 2 Modi: Infrastructure: Alle Hosts sind über Access Point verbunden Ad-Hoc: Je zwei Hosts können direkt kommunizieren Standard beinhaltet Wired Equivalent Privacy (WEP), vollständig gebrochen: Walker (Oct 2000), Borisov, Goldberg, Wagner(Jan 2001), Fluhrer, Mantin, Shamir (Aug 2001)

WLAN: Sicherheitsmaßnahmen ohne WEP Service Set IDentification (SSID) SSIDs sollen ein Funknetz in logiche Einheiten unterteilen Ein Access Point akzeptiert alle Hosts mit gleicher SSID SSIDs werden im Klartext übertragen Fazit: Wird als Sicherheitsmaßnahme eingesetzt (Open Systems Authentication), ist aber keine. MAC Adress Filtering Für jeden Access Point wird eine Liste mit zugelassenen MAC- Adressen erstellt Schwer zu administrieren MAC Spoofing ist möglich WEP 40-/104-Bit-Schlüssel RC4 64-/128-Bit-Schlüsselfolge XOR Klartext Chiffretext 24-Bit IV CRC 24-Bit IV WEP (2) Die Daten M bilden zusammen mit der CRC-Prüfsumme c(m) den Klartext P=M c(m) Der geheime symmetrische Schlüssel k bildet zusammen mit dem Initialisierungsvektor IV die Eingabe für den RC4- Algorithmus Die Ausgabe von RC4 wird mit dem Klartext P XORt. Das Ergebnis ist der Chiffretext. Der Chiffretext wird zusammen mit IV auf dem Funkkanal übertragen. Es gibt kein Schlüsselmanagement! In der Regel werden alle Hosts eines WLAN mit demselben RC4- Schlüssel konfiguriert! WEP: Keystream Reuse Der Schlüssel zur Verschlüsselung von WEP-Paketen hängt nur von dem Schlüssel und dem IV ab: RC4(k,IV) IV wird im Klartext übertragen Falls C1 = P1 RC4(k,IV) und dann C2 = P2 RC4(k,IV) C1 C2 = P1 RC4(k,IV) P2 RC4(k,IV) = P1 P2 Es gibt Methoden, um P1 und P2 aus P1 P2 zu berechnen. Decryption Dictionaries mit 2 24 Einträgen für festen Schlüssel k (egal welcher Länge) möglich! WEP: Keystream Reuse (2) Wann ist Keystream Reuse möglich? Annahmen: A: Für jeden Hosts ein eigener Schlüssel B: Nur ein Schlüssel k für das gesamte Netzwerk Spätestens nach 2 24 Nachrichtenpaketen... A:... eines Hosts! B:... des Netzwerks!! Bei einem AP mit 1500 Byte-Paketen und 11 Mbps ist das nach 5 Stunden der Fall. Dann müsste eigentlich der Schlüssel (manuell!) gewechselt werden. Mit Wahrscheinlichkeit 1/2 schon nach ca. 5000 Paketen (Geburtstagsparadoxon!) Mit noch größerer Wahrscheinlichkeit, wenn ein Gerät (mehrfach belegt) den IV immer von 0 hochzählt (nach Reset). WEP: Modifikation von Nachrichten Die WEP-Prüfsumme ist linear, d.h. es gilt c(x Y) = c(x) c(y) Angriff: Berechne D = M neu M original Berechne D c(d) Berechne C = C D c(d) = RC4(k,IV) M c(m) D c(d) = RC4(k,IV) (M D) (c(m) c(d)) = RC4(k,IV) M c(m ) C wird vom Empfänger zu M neu entschlüsselt

WEP: Modifikation von Nachrichten (2) Anwendungen: Verschlüsselung beliebiger Nachrichten an Empfänger: Sende bekannten Plaintext P=M c(m) an den Empfänger (z.b. eine SPAM-Mail) Zeichne das verschlüsselte Paket, insbesondere den IV, auf Modifiziere P zu beliebigem P und sende das Paket Funktioniert, weil alte IVs weiter verwendet werden dürfen ohne Alarm auszulösen Entschlüsselung durch IP Redirection Modifiziere die IP-Adresse IP original in M (teilweise oder ganz bekannt) in IP Angreifer. AP entschlüsselt, Firewalls lassen IP von innen nach außen durch. Problem: Prüfsummen in IP- und TCP- WEP: Modifikation von Nachrichten (2) Anwendungen: Entschlüsselung durch IP Redirection Problem: Prüfsummen in IP- und TCP- Prüfsumme des Originalpakets ist bekannt: Diffrenz der Prüfsummen kann mit großern W. geraten werden Ändere anderes feld so ab, dass die Prüfsumme gleich bleibt TCP-Ack-Attacke Ändere ein paar Bits in M ab Wenn TCP-Prüfsumme weiterhin korrekt, wird ein kurzes ACK gesendet (sonst: silently discard packet ) Dies liefert Information über den Klartext RC4 Ron Rivest 1987 Geheim bis 1994 Besteht aus zwei Phasen In der Key Setup-Phase (KSA) wird mit Hilfe des Schlüssels ein interner Startzustand aus den 2 8! x (2 8 ) 2 2 1700 möglichen Zuständes ausgewählt In der Ausgabephase (PRGA) werden aus dem Startzustand Nachfolgezustände generiert und dabei jeweils ein Byte ausgegeben. RC4 KSA(K) Initialization (N=2 8 ): For i = 0... N-1 S[i] = i j = 0 Scrambling For i = 0... N-1 j = j + S[i] + K[i mod L] Swap( S[i], S[j] ) PRGA(K) Initialization: i = 0 j = 0 Generation Loop i = i+1 j = j + S[i] Swap( S[i], S[j] ) Output Z = S[ S[i] + S[j] ] RC4 mit bekanntem IV Idee: Beobachte nur das 1. Byte der Ausgabe Dieses Byte wird aus dem Startzustand wie folgt erzeugt: i = 0+1 = 1 j = 0 + S[1] =: X Swap( S[1], S[X] ) Output Z = S[ S[1] + S[X] ] X Y Z 0 1...... X... X+Y... RC4 mit IV vor dem geheimen Schlüssel Ziel: Berechne den geheimen Schlüssel Byte für Byte Annahme: Die ersten Bytes K[3],..., K[A+2] des geheimen Schlüssels sind bereits berechnet, gesucht ist K[A+3] Suche WEP-Pakete mit IVs der Form (A+3, N-1, X) für ca. 60 verschiedene Werte von X. Da wir jetzt die ersten A+3 Schlüsselbytes A+3, N-1, X, K[3],..., K[A+2] kennen, können wir KSA nachvollziehen.

RC4 mit IV vor dem geheimen Schlüssel KSA Scrambling Schritt 0: i=0, j=0+s[0]+k[0]=a+3 A+3 N-1 X K[3]...... K[A+2] K[A+3]... 0 1 2......... A+2 A+3... A+3 1 2 3...... A+2 0... KSA Schritt 1: i=1, j=(a+3)+s[1]+k[1]=a+3+1+n-1=a+3 A+3 N-1 X K[3]...... K[A+2] K[A+3]... 0 1 2......... A+2 A+3... A+3 0 2 3...... A+2 1... RC4 mit IV vor dem geheimen Schlüssel KSA Schritt 2: i=2, j=(a+3)+s[2]+k[2]=a+3+2+x A+3 N-1 X K[3]...... K[A+2] K[A+3] 0 1 2......... A+2 A+3 A+3 0 A+5+X 3...... A+2 1 KSA Schritt 3 bis A+2: J enthält jetzt den (zufälligen) Wert X, daher können alle weiteren Swap-Operationen als zufällig angesehen werden. Nach Schritt A+2 kennt der Angreifer den Wert j A+2 und die genauen Werte der Permutation S A+2 [0],..., S A+2 [N-1] Wenn S A+2 [0] und S A+2 [1] nicht mehr mit dem Bild oben übereinstimmen, wird die Brechnung abgebrochen und IV verworfen.......... RC4 mit IV vor dem geheimen Schlüssel KSA Schritt A+3: i=a+3, j A+3 =j A+2 +S A+2 [A+3]+K[A+3] Angreifer kennt j A+2, S A+2 [0],..., S A+2 [N-1] Falls der Angreifer S A+3 [A+3]=S A+2 [j A+3 ] kennen würde: Könnte er diesen Wert in S A+2 [0],..., S A+2 [N-1] suchen und daraus j A+3 bestimmen. Dann ist K[A+3] = j A+3 -j A+2 -S A+2 [A+3] Frage: Wann ist das der Fall? A+3 N-1 X K[3]...... K[A+2] K[A+3]... 0 1 2......... A+2 A+3... A+3 0 S A+2 [2] S A+2 [3]......... S A+2 [j A+3 ]... RC4 mit IV vor dem geheimen Schlüssel F: Wann kennt ein Angreifer S A+2 [j A+3 ]? A: Wenn die Elemente A[0]=A+3, A[1]=0 und A[A+3] von den nachfolgenden Swap-Operationen nicht verändert werden. 1. Schritt PRGA(K): i = 0+1, j = 0+S[1]=0, z = S[ S[1]+S[0] ] = S[0 + A+3] = S[A+3] = S A+2 [j A+3 ] Dies ist für jeden passenden IV mit W. 0,05 der Fall Nach ca. 60 passenden IVs ist die W. > 0,5. A+3 N-1 X K[3]...... K[A+2] K[A+3]... 0 1 2......... A+2 A+3... A+3 0 S A+2 [2] S A+2 [3]......... S A+2 [j A+3 ]... Fazit: RC4, IVs und WEP Bedingt durch die 802.11-Codierung ist das erste Byte des Klartextes eines WEP-Pakets immer bekannt Der Angriff von Fluhrer et. al. kann daher durchgeführt werden. Komplexität wächst nur linear mit der Schlüssellänge Implementiert in zahllosen Wardriving-Tools: http://www.wardrive.net/wardriving/tools/ Fazit: WEP ist nicht mehr zu retten!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback