Wpa C Wlan It Oeste

WLAN-Sicherheit Markus Oeste Konferenzseminar Verl¨ assliche Verteilte Systeme Lehr- und Forschungsgebiet Informatik 4 RWTH Aachen

27. Januar 2006

Einleitung

Sicherheitsprotokolle

1

Einleitung Motivation Grundlagen

2

Sicherheitsprotokolle WEP WPA WPA2

3

Zusammenfassung

Zusammenfassung

Einleitung

Sicherheitsprotokolle

Zusammenfassung

Motivation

Problematik WLAN

Passiver Lauscher: Schneidet Netzwerkverkehr mit Aktiver Lauscher: Schneidet Netzwerkverkehr mit und sendet (modifizierte) Datenpakete (Man-In-The-Middle-Angriff) St¨ orsender, Jammer (DoS-Angriff)

Einleitung

Sicherheitsprotokolle

Zusammenfassung

Grundlagen

Sicherheitsanforderungen

Vertraulichkeit: Die u urfen nur vom ¨bertragenen Daten d¨ Sender und Empf¨anger gelesen werden k¨ onnen. Integrit¨ at: Es darf nicht m¨ oglich sein, den Inhalt einer gesendeten Nachricht zu ver¨andern. Authentisierung: Der Absender einer Nachricht muss seine Identit¨at gegen¨ uber dem Empf¨anger nachweisen.

Einleitung

Sicherheitsprotokolle

Zusammenfassung

Grundlagen

IEEE 802.11 Standard f¨ ur drahtlose lokale Netzwerke Standard 802.11 802.11a 802.11b 802.11g

Jahr 1997 1999 1999 2003

Datentansfer (brutto) 1,2 MBit/s 54 MBit/s 11 MBit/s 54 MBit/s

Frequenzband 2,4 GHz 5 GHz 2,4 GHz 2,4 GHz

802.11n 802.11p

Ende 2006 Ende 2008

540 MBit/s 27 MBit/s

5 GHz 5 GHz

Bemerkung seit 2002 in Deutschland freigegeben weit verbreitet weit verbreitet Abw¨ artskompatible zu 802.11b Erweiterung von 802.11a Einsatz von Fahrzeug-zu-Fahrzeug-Netzen

Betriebsarten: Ad-hoc Modus: Clients kommunizieren direkt miteinander Infrastuktur-Modus: Clients kommunizieren u ¨ber einen Access Point (AP) miteinander

Einleitung

Sicherheitsprotokolle

Zusammenfassung

Grundlagen

Sicherheit im 802.11

Sicherheit sollte durch das WEP-Protokoll (Wired Equivalent Privacy) gegeben sein 2001 wurden gravierende Schw¨achen im WEP-Protokoll ver¨offentlicht Neue Sicherheit durch die 2004 verabschiedete Erweiterung 802.11i

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WEP

Authentifizierung

Shared Key Authentication: Authentifizierung u ¨ber Shared Key (SK) Challange-Response: Client beweist dem AP dass er den SK kennt ⇒ Der SK muss vorher bei Client und AP hinterlegt werden

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WEP

Vorbereitung zur Ver- und Entschl¨usselung

Cyclic Redundance Check (CRC): Funktion die mittels ufsumme Polynomdivision und Generatorpolynom eine Pr¨ berechnet RC4-Algorithmus Schneller, symmetrischer Blockchiffrier-Algorithmus Variable Schl¨ ussell¨ange (bis 2048 Bit)

Initialisierungsvektor (IV): 24 Bit Zahl SK besteht aus 5 oder 13 Zeichen (40 oder 104 Bit)

Einleitung

Sicherheitsprotokolle

WEP

Ver- und Entschl¨usselung Verschl¨ usselung: Nachricht M → Chiffretext C P := M k CRC (M) Z

:= RC 4(IV k SK )

C

:= P ⊕ Z

¨ Ubertragung: IV k C Entschl¨ usselung: Chiffretext C → Nachricht M Z C ⊕Z

= RC 4(IV k SK ) = P ⊕Z ⊕Z =P

P = M k CRC (M) Akzeptiere, wenn CRC (M) (berechnet) gleich CRC (M) (¨ ubertragen)

Zusammenfassung

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WEP

Schw¨achen Generierung der Zufallszahl im RC4-Algorithmus geschieht mit einem teilweise bekannten Zufallswert: Z = RC 4(IV k SK ) ⇒ Wenn der IV eine bestimmte Form hat, kann mit W’keit von 5% ein unbekannter 8 Bit Block aus dem SK berechnet werden ⇒ 500.000 - 5.000.000 WEP-Datenpakete mitschneiden ⇒ Statistische Berechnung des SK auf den mitgeschnittenen WEP-Datenpaketen (Rekonstruktion des SK) Mitschneiden bei mittlerer Netzauslastung in wenigen Stunden Mit speziellen Angriffen (z.B. paket injection) sogar in Minuten m¨ oglich Falls zu einem Chiffretext die Nachricht bekannt ist, k¨onnen beliebige g¨ ultige WEP-Datenpakete erzeugt werden, ohne dass der SK bekannt sein muss IV wird im Klartext u ¨bertragen Identit¨at der Kommunikationsparter durch die MAC-Adresse ⇒ Keine der Sicherheitsanforderungen wird von WEP erf¨ ullt

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA

IEEE erarbeitete neuen Sicherheitsstandard: 802.11i 802.11i wurde im Juni 2004 verabschiedet Wi-Fi Alliance: 1999 gegr¨ undete Organisation bestehend aus u ¨ber 200 Unternehmen, die Produkt auf dem 802.11 basierenden Standard zertifiziert

Problem: WLAN war nicht mehr sicher und Verabschiedung von 802.11i war f¨ ur 2004 geplannt ⇒ Wi-Fi Alliance gibt Teilmenge einer Vorabversion von 802.11i als Quasi-Standard WPA (Wi-Fi Protected Access) heraus (2003) Anforderungen an WPA: WPA sollte auf WEP/RC4-Hardware implementierbar sein Schl¨ usselverwaltungsprotokoll Temporal Key Integrity Protocol (TKIP) Integrit¨ atssicherung durch Message Integrity Check Algorithmus Michael Authentifikation mittels Pre-Shared Key (PSK) oder Extensible Authentication Protcol (EAP)

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA

Schl¨usselerzeugung PSK: 8-63 ASCII-Zeichen (Passphrase) Aus PSK und SSID wird mittels Hash-Funktion (hash) der Pairwise Master Key (PMK) berechnet: hash(PSK , SSID) = PMK PMK wird zur Authentifizierung und zur tempor¨aren Schl¨ usselerzeugung verwendet (4-Way Handshake) Aus PMK wird mittels Pseudozufallszahlen-Funktion (PZ ) der Pairwise Transient Key (PTK) berechnet: PZ (PMK , Z1 , Z2 , MACAP , MACClient ) = PTK PTK hat zeitlich begrenzte G¨ ultigkeit Pairwise Master Key (PMK)

Pairwise Transient Key (PTK)

EAPOL Key

EAPOL MIC Key

Session Key

Michael Key

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA

4-Way Handshake AP: PSK, PMK Erzeuge Zufallszahl Z1

Client: PSK, PMK Z1

 Berechne PTK Teste MIC (Z2 ) Erstelle GTK (Group Temporal Key)

-

Z2 , MIC (Z2 )

Erzeuge Zufallszahl Z2 Berechnet PTK

OK1 , MIC (OK1 ), Encrypt(GTK)



OK2 , MIC (OK2 )

Teste MIC (OK1 ) Decrypt(GTK )

Teste MIC (OK2 )

Wenn alle MIC-Werte g¨ ultig sind ⇒ PTK wird akzeptiert Rekeying ist von AP und Client jederzeit m¨ oglich

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA

Ver- und Entschl¨usselung Verschl¨ usselung: Nachricht M → Chiffretext C P := M k Michael(M) k CRC (M k Michael(M)) Z

:= RC 4(IV k KSession )

C

:= P ⊕ Z

¨ IV k C Ubertragung: Entschl¨ usselung: Chiffretext C → Nachricht M Z C ⊕Z

= RC 4(IV k KSession ) = P ⊕Z ⊕Z =P

P = M k Michael(M) k CRC (M k Michael(M)) Akzeptiere, wenn IV um eins inkrementiert Michael(M) g¨ ultig CRC (M k Michael(M)) g¨ ultig

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA

Sicherheitsanalyse IV ist jetzt 48 Bit lang ⇒ Keine zwei WPA-Datenpakete mit dem gleichen IV ⇒ Gr¨oßere RC4-Schw¨ache: Angreifer kennt noch mehr Bit der Eingabe von RC4 (48 anstatt 24 Bit) ⇒ Erwartete Anzahl an WPA-Datenpakete um 8 Bit des Session Keys zu berechnen: 366.000 Kein Sicherheitsrisiko, weil Sp¨atestens nach 65.536 WPA-Datenpakete: Rekeying ⇒ Session Key ist dann nicht mehr g¨ ultig

PTK ist nur f¨ ur eine Session g¨ ultig ⇒ WPA weist nicht mehr die gravierenden Schw¨achen von WEP auf

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA

Identit¨ at u ¨ber die MAC-Adresse der WLAN-Netzwerkkarte und dem PSK Unterscheidung notwendig: netzinterner Angreifer (kennt PSK) ↔ netzexterner Angreifer Netzinterne Angreifer kann: Den 4-Way Handshake anderer unbemerkt mitschneiden ⇒ Den PTK berechnen ⇒ Daten mitlesen und ver¨ andern ⇒ Eine andere Identit¨ at annehmen Netzexterne Angreifer kann: Den 4-Way Handshake mitschneiden, aber daraus keine Informationen gewinnen, weil er den PSK nicht kennt ⇒ PMK und PTK nicht berechnen ⇒ Daten weder lesen noch ver¨ andern ⇒ Er kann zwar seine Identit¨ at ¨ andern, aber sich nicht als einen anderer Client im Netzwerk Identifizieren ⇒ Brute Force Angriff auf den PSK machen ⇒ Bei einem guten PSK erf¨ ullt WPA die Sicherheitsanforderungen vor netzexternen Angreifern

Einleitung

Sicherheitsprotokolle

Zusammenfassung

WPA2

Implementiert die 802.11i Erweiterung Verwendet AES anstelle von TKIP und Michael WEP/RC4-APs k¨ onnen AES nicht effizient berechnen ⇒ Neue APs erforderlich Linux, Windows oder Hersteller-Treiber machen WLAN-Netzwerkkarten WPA2 f¨ahig 4-Way Handshake wie bei WPA Pairwise Master Key (PMK)

Pairwise Transient Key (PTK)

EAPOL Key

EAPOL MIC Key

Session / MIC Key

Abbildung: WPA2 Schl¨ usselerzeugung

Einleitung

Sicherheitsprotokolle

WPA2

Ver- und Entschl¨usselung Verschl¨ usselung: Nachricht M → Chiffretext C P := M k MIC (M) P1 k ... k Pm

P

=

Zi

:= AES(IV + i − 1, KSession ), 1 ≤ i ≤ m

Ci

:= Zi ⊕ Pi

C

:= C1 k ... k Cm

¨ IV k C Ubertragung: Entschl¨ usselung: Chiffretext C → Nachricht M Verschl¨ ussele C Akzeptiere, wenn MIC (M) g¨ ultig ist

Zusammenfassung

Einleitung

Sicherheitsprotokolle

WPA2

Sicherheitsanalyse

WPA2 ist mindestens so sicher wie WPA Netzinterne Angreifer: Daten k¨onnen gelesen und ver¨andert werden Identit¨at kann gef¨alscht werden Netzexterne Angreifer: Sicher solange ein guter PSK gew¨ahlt wird Schutz vor netzinternen Angreifern bei WPA und WPA2: EAP-Protokoll mit Authentifizierungsserver H¨oherwertige Protokolle (z.B. VPN)

Zusammenfassung

Einleitung

Sicherheitsprotokolle

802.11 Standard f¨ ur WLANs Sicherheitsanforderungen f¨ ur WLANs Sicherheitsprotokolle: WEP, WPA, WPA2 WEP: Erf¨ ullt keine der Sicherheitsanforderungen WPA und WPA2 sicher Wenn man den netzinternen Clients vertraut Bei guter Wahl des PSKs vor netzexternen Angreifern

Zusammenfassung

Einleitung

Sicherheitsprotokolle

Vielen Dank f¨ ur Eure Aufmerksamkeit!

Zusammenfassung