Wpa Good Wolfkleinert
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Wpa Good Wolfkleinert as PDF for free.
More details
- Words: 3,259
- Pages: 43
WLAN-Sicherheit Rüdiger Helge Wolf, Stephan Kleinert Wintersemester 2005/2006 Seminar: Computersicherheit für Paranoiker Dozent: Prof. Thomas Ludwig
1
Wer weiß nichts mit dem Begriff WLAN anzufangen? http://www.google.de/search?hl=de&q=WLAN&btnG=Google-Suche&meta=
liefert 18.7 Millionen Hits Wireless Local Area Network oder Wireless LAN: Drahtloses Netzwerk 2
Mittlerweile kann auch Otto Normalverbraucher etwas mit dem Begriff WLAN anfangen - es ist der Standard für Drahtlosnetzwerke.
Rahmendaten Standard
IEEE 802.11b
Frequenz
2.4GHz-Band (Mikrowellenbereich)
Wellenlänge
12,5 cm
Kanäle
USA 13, Europa 11, Japan 14
Sendeleistung
100 mW EIRP (= 20 dBm)
Reichweite
30-100 Meter (Freifeld)
Übertragungsrate
11 MBit/s
3
Um den Begriff ein wenig mit Leben zu füllen, hier einige (für Techies hinreichend bekannte) Rahmendaten. IEEE: Institute of Electrical and Electronics Engineers ERP: Effective Radiated Power; das eingefügte i steht für einen isotropen Strahler
Agenda
• Einführung ‣ IEEE-Standards • Überblick • Konkurrenz / Alternativen • Zukünftige Entwicklung • Angriffe • Abwehr • Verschlüsselung • Demonstration • Fazit 4
IEEE-Standards: Überblick • • •
Bereich 802 (Februar 1980) - Lokale Netzwerke Unterbereich 802.11 (1997) - Drahtlose Netzwerke Gegenüberstellung:
802.11
a
Frequenz (GHz)
5
verabschiedet Bandbreite (mbps) Modulationsverfahren Verbreitung
b
g 2,4
1999
2003
54
11
54
OFDM
DSSS
beides
-
+
++
5
Hier eine kurze Gegenüberstellung der gebrächlichen Standards. 802.11 a und b stammen von 1999, wobei 802.11 a erst 2002 in kastrierter Form in Deutschland zugelassen wurde. Apple war an der Verbreitung von 802.11 b maßgeblich beteiligt (AirPort); seit 2003 gibt es den kompatiblen Nachfolger 802.11 g.
Alternativen und Konkurrenz • •
Zahlreiche proprietäre Erweiterungen der IEEE-Standards
•
Ziel: Höhere Datenübertragungsrate
Andere Nahbereichsfunktechniken im 2,4 GHz-Band:
• • • • •
Bluetooth HomeRF ZigBee nanoNET, wirelessUSB, UWB, ... Babyphone, Funkmodems, ... 6
Neben Störquellen wie Mikrowellenherden und Radaranlagen gibt es weitere Funktechniken im lizenzfreien 2,4 GHz-Band, die je nach Anwendung auch eine Konkurrenz für WLAN sein können - insbesondere HomeRF, das in den USA recht verbreitet ist, und Bluetooth. Während sich Bluetooth und WLAN gut vertragen, ist der parallele Betrieb mehrerer WLAN-Netze zwangsläufig von deutlichen Einbußen begleitet bis zum Zusammenbruch der Netze.
Alternativen und Konkurrenz - II
Ausbreitung von 802.11a (Quelle:Intersil) 7
Alternativen und Konkurrenz - II
Ausbreitung von 802.11g (Quelle:Intersil) 8
Zukünftige Entwicklung (1)
• WiMax: IEEE 802.16, 3.5 GHz, 70 MBit/s, 30W
• IEEE 802.11n: 5 GHz, evtl. auch 2.4 GHz, 540 MBit/s, 1W
9
WiMax ist im Moment state-of-the-art: Bei der Tour de France 2005 wurde die Presse an den Etappenzielen jeweils darüber angebunden, in Deutschland gibt es u.a. in Kaiserslautern und Heidelberg (FH als Kunde) Installationen, Düsseldorf plant die Einrichtung. In Berlin gibt es seit November 2005 das erste WiMax für Endkunden. 802.11n soll 2006 als Standard verabschiedet werden, deswegen unterscheiden sich die Angaben darüber z. Zt. noch.
Zukünftige Entwicklung (2)
10
Diagramm zu Reichweite/Datenrate von Nahbereichsfunktechniken, Quelle: c’t
Agenda • Einführung • IEEE-Standards ‣ Angriffe • Potential • The Hitchhikers Guide To Wardriving • Abwehr • Verschlüsselung • Demonstration • Fazit 11
Potential •
Was unterscheidet ein WLAN von einem drahtgebundenen Netz? ➡ das Kabel!
•
Möglichkeiten:
• • • • •
Abhören Verbinden Datenzugriff Stören Services anbieten 12
Drahtlose Netze befreien die Nutzer von Netzwerkkabeln - aber die dadurch gewonnene Freiheit bedeutet auch ein Risiko: Wo ich keinen physischen Netzzugriff mehr brauche, kann ich den Zugang auch nicht mehr über Netzwerkdosen, Patchpanels etc. kontrollieren - ich weiß einfach nicht mehr, wer in meinem Netz ist, wer die Daten sehen kann. Jeder, der die Funkwellen auffängt, kann sie auswerten, d.h. den Datenverkehr mitlesen, die Verbindung abhören. Je nach Einstellungen kann er sich auch mit dem Netz verbinden, auf im Netz angebotene Daten zugreifen. Auf jeden Fall kann er von außen das Netz stören, im ungünstigsten Fall gelingt es, Services anzubieten, über die der Angreifer, falls sie genutzt werden, alle Macht hat... Im Folgenden mehr. !Vortrag: Shared Media (Datenzugriff), Collision Domain = Reichweite des Senders, Bandbreite wird unter Clients geteilt...DOS!
The Hitchhikers Guide To Wardriving • Wir basteln uns einen WLAN-Empfänger • Antenne • “Funkgerät” 13
Um ein WLAN abzuhören, genügt uns der Promiscuos Mode, in den sich Netzwerkinterfaces schalten lassen, nicht: In dieser Betriebsart werden lediglich die Pakete des Netzwerkes, mit dem der Client gerade verbunden ist, an das Betriebssystem durchgeschleust. Wir wollen aber alles sehen, was an WLANs in der Luft ist. Wir brauchen also eine Antenne, um die Daten aufzufangen. Und das, was wir empfangen, müssen wir auswerten also: Wie werden die Daten verschickt?
The Hitchhikers Guide To Wardriving (1/6): Channels und Channelhopping
• Kanäle: • Unterteilung des Frequenzbandes • !Überlappung! - deswegen nur 3 bzw. 4 überlappungsfreie Kanäle
• Mithören: Channel hopping 14
Kanäle entstehen dadurch, daß wir den zur Verfügung stehenden Frequenzbereich nochmals unterteilen. Allerdings treten Überlappungen auf - was auf Channel 1 gesendet wird, "hören" wir auch auch Kanal 2. Das können wir uns beim Abhören zunutze machen: Wenn wir geschickt springen, können wir mehr Pakete auffangen, als wenn wir tatsächlich in ungefähr einem Dutzend Kanälen herumsuchen müßten. Überlappungsfreie Kanäle: 1/6/11; geringe Überlappung: 1/5/9/13
The Hitchhikers Guide To Wardriving (2/6): Modulation und Monitor Mode Modulationsverfahren 802.11a: DSSS Direct Sequence Spread Spectrum 802.11b: OFDM Optical Frequency Division Multiplex 802.11g: Beides Monitor Mode (RFMON):
WLAN - Karte als einfacher "Empfänger" 15
Modulation ist der Ausdruck dafür, wie Nullen und Einsen in Wellen gewandelt werden. Dazu gibt es verschieden ausgeklügelte Verfahren, die versuchen, unter den gegebenen Bedingungen und widrigen Umständen Übertragungssicherheit trotz hoher Verbindungsgeschwindigkeit zu realisieren. Für uns ist das hier nicht weiter von Interesse - gehört haben sollte man allerdings, daß 802.11a ein Verfahren namens DSSS einsetzt, 802.11b jedoch OFDM. In sehr grober Näherung könnte man OFDM mit paralleler und DSSS mit serieller Übertragung verbildlichen. 802.11g nutzt eigentlich DSSS, kann aber, um Kompatibilität mit b-Netzen zu gewährleisten, auch OFDM. Da wir die Mechanismen für die Umsetzung dieser schon nicht mehr trivialen Techniken schon in unseren WLAN-Karten haben, würden wir sie auch gerne nutzen. Und tatsächlich gibt es in den Chipsätzen meist noch ein Relikt aus der Testphase des WLAN - den RFMON oder Monitor Mode, der die Daten, die die Karte empfängt, einfach ausgibt. Das heißt, auch kaputte Pakete werden angezeigt!
The Hitchhikers Guide To Wardriving (3/6): Netztopologien, Betriebsarten und SSID
• Ad-hoc-Modus: Vernetzung ohne Hierarchie
• Infrastuktur-Modus: Basistation koordiniert die Netzknoten
• Trennung verschiedener Netze per Service Set Identifier (SSID)
16
Um mit den abgefangenen Daten auch etwas anfangen zu können, sollte man wissen, daß es zwei Betriebsarten (Modi) für den Betrieb von WLANs gibt: Im Ad-hoc-Modus sind die Netzknoten gleichberechtigt, was eine Planung hinfällig macht. FIXME: Stimmt das, daß nur zwei Teilnehmer erlaubt sind? Netze dieser Art sind schnell aufgebaut, bieten aber weniger Kontrollmöglichkeiten. Im Infrastrukturmodus muß sich ein Client zunächst bei einem Access Point anmelden, um in das Netzwerk aufgenommen zu werden. Um verschiedene Netze auseinander halten zu können, wird ein "Netzwerkname", die SSID, vergeben. Normalerweise versendet ein AP, auch wenn kein Client online ist, sogenannte Broadcasts, um seine SSID publik zu machen, also zu verkünden: Hier ist ein Netz. Eine recht einfache Form der Zugriffsbeschränkung ist es, diese Broadcasts auszuschalten allerdings bringt sie nicht viel, weil die SSID im Klartext vor dem Datenpaket steht - was wir dank einfach mithören können.
The Hitchhikers Guide To Wardriving (4/6): Software
• aktive Sniffer: Netstumbler, Wellenreiter • passive Sniffer: Kismet • (Rogue APs, AirSnarf) • Gegenmaßnahmen: fakeAP, IDS 17
Die Software, die die aufgefangenen Pakete in Zusammenhang bringt und die Informationen aufbereitet anzeigt, bezeichnet man als Sniffer. Passive Sniffer beschränken sich auf den Empfang von Daten, können also nicht erkannt werden; aktive Sniffer können Pakete generieren, um z.B. WLANs ohne eingebuchte Clients erkennen zu können. Diese Pakete wiederum können empfangen werden und die Anwesenheit eines Lauschers verraten. Um Sniffern das Leben schwer zu machen, gibt es die Möglichkeit, weitere Netzwerke vorzutäuschen, um zu erreichen, daß der Angreifer den Wald vor lauter Bäumen nicht mehr sieht: fakeAP, bis jetzt nur eine Proof-ofconcept-Implementierung, täuscht spielend auch mehrere Tausend Netzwerke vor. Allerdings kommt diese Technik wohl nur für Netze in Frage, die kaum ausgelastet sind, da dafür Bandbreite benötigt wird.
The Hitchhikers Guide To Wardriving (5/6): Software live
18
Ein kleines Beispiel, was man so auf einer nicht besonders gut organisierten Wardrive-Session alles in Erfahrung bringen kann... später mehr dzau.
The Hitchhikers Guide To Wardriving (6/6): Rechtliche Aspekte § 202a Ausspähen von Daten (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
19
Der Knackpunkt ist der Passus "besonders gesichert". Ein Router, out-ofthe-box in Betrieb genommen, stellt keine Sicherung dar. Die Veränderung der voreingestellten SSID sowie das Abschalten der Broadcasts auch noch nicht - der Betrieb von Kismet ist also rechtlich unbedenklich.
Agenda • Einführung • IEEE-Standards • Angriffe ‣ Abwehr • Verschlüsselung • Demonstration • Fazit 20
Abwehr • Erkennung: Kismet im IDS
➡ passive Sniffer nicht erkennbar
• ACLs: MAC-Filtering
➡ MAC-Adresse spoofbar
• Verschlüsselung 21
Kismet und andere Sniffer können aber auch eine Schutzwirkung haben: Als Sensoren in ein IDS eingebunden, warnen sie vor Lücken in den eigenen Reihen, sei es durch Fehlkonfigurationen oder das Aufstellen von eigenen Geräten durch arglose Mitarbeiter (rogue APs). Allerdings bleibt ein großer blinder Fleck: Passive Scanner können nicht entdeckt werden. Eine weiter Möglichkeit besteht darin, nur bestimmte Netzwerkkarten für das WLAN zuzulassen - bereits für mittlere Unternehmen ist das allerdings schon nicht mehr praktisch durchführbar. Außerdem ist es nicht der Weisheit letzter Schluss: Die MAC-Adresse läßt sich spielend leicht vortäuschen. Bessere Lösung: Verschlüsselung
Agenda
• Einführung • IEEE-Standards • Angriffe • Abwehr ‣ Verschlüsselung • WEP • WPA • Andere Techniken • Demonstration • Fazit
22
Verschlüsselung
• Warum ist Verschlüsselung sinnvoll?
23
Selbst wenn es einen nicht stört, dass andere Leute über den heimischen WLAN-Router Zugang zum Internet erlangen, so birgt die standardmässige “Offenheit” von Funknetzwerken eine grosse Gefahr: Das Ausspähen sensibler Daten. Passwörter, PINs, ja, ganze Remote-Shell-Sitzungen können an einem ungeschützten WLAN problemlos von Dritten mitgeschnitten werden.
WEP
Wired Equivalent Privacy
•
•
Verschlüsselung
• • •
Shared-Key-Verfahren RC4-Algorithmus Initialisierungsvektor
Authentifizierung
• •
Open System Authentication Shared Key Authentication
24
Schon bei der Festlegung des Standards 802.11 im Jahre 1997 machte man sich Gedanken darüber, wie Daten vor unbefugtem Zugriff geschützt werden sollten. Ergebnis war der WEP-Standard, welcher eine Verschlüsselung und Integritätsprüfung der Nutzdaten ermöglichen soll.
WEP
Verschlüsselung en détail 40Bit Key 24Bit IV
} Klartext
32Bit CRC
⊕♁ RC4 Schlüsselstrom
24Bit IV
Chiffretext
25
CRC (Cyclic Redundancy Check) 40Bit-Key: Ein (im ungünstigsten Fall) vom User gewählter Schlüssel, der als Grundlage für den Schlüsselstrom gilt. IV: Initialisierungsvektor; da der gleiche Schlüssel immer auch den gleichen Schlüsselstrom ergibt, wird an den Schlüssel ein zufällig ermittelter 24Bit-Wert angehängt. Dieser muss natürlich im Klartext an die Gegenstelle geschickt werden. RC4-Schlüsselstrom: Eine Pseudo-Zufallbitreihenfolge, die mit gleichem Schlüssel immer gleich bleibt. Die Schlüssellänge war ursprünglich auf 40 Bit begrenzt, weil für Verschlüsselungsalgorithmen mit größeren Schlüsseln ein Exportverbot seitens der USA galt.
WEP
Schwachstellen (1)
• • •
Integrity Check Value ist nur CRC32
• •
Gleicher Schlüssel für Authentifizierung und Verschlüsselung
•
Initialisierungsvektor viel zu kurz
Replay-Angriffe ohne Weiteres möglich Man-In-The-Middle-Angriffe: Authentifizierung: Nur Clients, nicht APs.
Bestimmte Schlüssel sind für eine RC-4-Verschlüsselung ungeeignet
26
Zunächst ein grober Überblick über die Schwachstellen von WEP. ReplayAngriffe und der Initialisierungsvektor werden noch genauer zu betrachten sein. CRC32 ist aufgrund seiner Linearität für kryptographische Zwecke unbrauchbar - der CRC-Wert kann ohne Kenntnis der ursprünglichen Nachricht für eine neue Nachricht passend gemacht werden (CRC(m1) + CRC(m2) = CRC(m1+m2)) Man-In-The-Middle-Angriffe: Da sich nur Clients bei Access Points authentifizieren müssen (und nicht andersherum) ist es für einen Angreifer möglich, einen eigenen Access Point einzubringen, mit dem der Client dann unwissentlich kommuniziert. Schlüsselmanagement ist in WEP nicht vorhanden. In der Praxis heisst das, dass oft über Monate wenn nicht sogar Jahre hinweg ein und derselbe Schlüssel verwendet wird. Ganz davon abgesehen dass dies eine Einladung zu Brute-Force-Angriffen ist, muss der Schlüssel allen Teilnehmern im WLAN bekannt sein -> gute Chancen für “social engineering”.
WEP
Schwachstellen (2)
•
•
Initialisierungsvektor
•
ist mit 24 Bit (224 = 16.777.216 verschiedene Werte) viel zu kurz
•
Wiederholung nach durchschnittlich 5000 gesendeten Paketen
Woher bekommt man Pakete?
• •
Mit Karte im RFMON-Modus mitschneiden Nicht genug Pakete?
•
Re-Injection mitgeschnittener Pakete
27
Einige APs erlauben sich den Luxus, die IV einfach mit jedem gesendeten Paket zu inkrementieren. Doch selbst bei einer perfekten Verteilung der IVs dauert es bei einem gut ausgelasteten Netzwerk im Schnitt einen halben Tag, bis ein IV wiederverwendet wird. WEP bietet keinen Schutz vor der Wiedereinspeisung mitgeschnittener Pakete. Dies ist eine gute Möglichkeit, Datenverkehr zum Belauschen zu erzeugen.
WEP
Schwachstellen (3) 24Bit IV
Chiffretext 1
die gleiche 24Bit IV
Chiffretext 1I
= Klartext I
Klartext II
RC4
RC4
= Klartext I
Klartext II 28
Eine einfache Methode, um aus zwei mitgeschnittenen verschlüsselten Nachrichten wieder Klartext zu gewinnen.
WPA
Wi-Fi Protected Access
•
• •
Soll drei grundlegende Schwachstellen beim Einsatz von WEP beseitigen
• • •
Authentifizierung
•
Verschiedene Instanzen führen eine Authentifizierung durch: Supplicant, Authenticator und AuthenticationServer
Integritätsprüfung Verschlüsselung
Kernstück: Standard 802.1x
EAP
•
Extensible Authentication Protocol 29
Nachdem im Jahre 2001 klar wurde, dass WEP nicht als sicher betrachtet werden kann, bemühten sich die Hersteller um Schadensbegrenzung. Da sich die Verabschiedung des neuen Sicherheitsstandards IEE802.11i verzögerte, wurde unter dem Begriff WPA eine Teilmenge dieses Standards vorweggenommen, die sich auf den vorhandenen Gräten mit vertretbarem Aufwand nachrüsten ließ. Den auffälligste Unterschied zum WEP-Protokoll stellt der zugrundeligende Standard 802.1x und das damit eng verbundene EAP statt, welche im Enterprise-Bereich (grosse Netzwerke) eine Rolle spielen. Beides werden wir im Folgenden genauer betrachten, um danach WPA-Implementierungen im Home-Bereich zu untersuchen.
WPA
Das 802.1x - Modell Authentication Server
Authenticator Supplicant EAP
LAN oder WLAN
30
Der 802.1x-Standard (auf dem WPA aufbaut) sieht eine Authentifizierung über einen speziellen RADIUS-Authentifizierungsserver (Remote Authentication Dial-In User Service) vor, der über eine vom zu schützenden Netz unabhängige Netzwerkverbindung mit dem Authenticator (beispielsweise einem Access Point) verbunden ist.
WPA
EAP - Extensible Authentication Protocol
EAP
LEAP
EAP-TLS
EAP-MD5
EAP-TTLS
PEAP
PEAPv0/EAP-MSCHAPv2
EAP-SIM
EAP-AKA
PEAPv1/EAP-GTC
31
EAP (“eep”) kein Sicherheitsmechanismus an sich sondern ein Authentifizierungs-Framework, das einige oft benötigte Funktionen und das Aushandeln (“Negotiation”) des zu verwendenden AuthentifizierungsMechanismus (“EAP-Methode”) zur Verfügung stellt. Derzeit tummeln sich ca. 40 verschiedene EAP-Methoden im Internet, einige davon durch IETF-RFCs (Internet Engineering Taskforce) definiert, andere proprietär. Es würde den Rahmen dieses Vortrags bei weitem sprengen, sich sämtliche möglichen EAP-Methoden vorzunehmen, dennoch sei an dieser Stelle zumindest erwähnt, dass es sichere und unsichere Methoden gibt. Als Beispiel sei EAP-MD5 erwähnt, das sich bei der Authentifizierung einer MD5-Hashfunktion bedient, die als sehr anfällig für Wörterbuchattacken gilt. Auch für das proprietäre LEAP (Lightweight EAP) von Cisco existiert ein Programm namens ASLEAP (wie in “Asleep behind the wheel” - eine Anspielung auf die Tatsache, das Cisco ewig nicht auf die Bedrohung reagierte), das mit einem Brute-Force-Angriff insbesondere bei kurzen Passwörtern gute Ergebnisse erzielt.
WPA
TKIP - Temporal Key Integrity Protcol - Überblick
• •
Vergrößerung IV 24 Bit -> 48 Bit TSC - TKIP Sequence Counter
•
Gegenstelle akzeptiert nur noch mit TSC < max(TSC)-16
• • •
Vermeidung schwacher Schlüssel Schlüsselhierarchien Integritätsprüfung durch Message Integrity Code 32
Weitere Verbesserungen von WPA gegenüber WEP (gilt sowohl für die Enterprise- als auch für die PSK-Version). Am wichtigsten hier ist der TSC, der die bei WEP beliebten Re-Inject-Angriffe unmöglich macht. Ebenfalls sehr wichtig: Durch die Schlüsselgenerierung können jene Schlüssel, die einen unsicheren RC4-Datenstrom erzeugen, vermiden werden.
WPA
Temporal Key Integrity Protcol - Schlüsselhierarchien WPA PSK
WPA Enterprise Auth Server
Supplicant
hat t ug er ze
erze u
ist
hat
schickt
gt
PSK
256Bit PMK (Pairwise Master Key)
128 Bit PTKs (Pairwise Transient Keys)
EAPOLIntegritätsprüfung
Datenverschlüsselung
Integritätsprüfung 33
EAPOLVerschlüsselung
WPA
Temporal Key Integrity Protcol - Integritätsprüfung
• •
32 Bit ICV (Integrity Check Value) zusätzlich: MIC (Message Integrity Code): 802.11 Header
•
48 Bit IV
Daten
64 Bit MIC
32 Bit ICV
Bei zwei MIC Prüffehlern innerhalb einer Sekunde: Gegenwärtig gültige Schlüssel löschen und eine Minute lang keine neuen mehr erzeugen.
•
MIC Prüfung erst nach erfolgreicher ICV und TSCPrüfung
34
Zur Erinnerung: TSC = TKIP Sequence Counter. Erst wenn der Fall eingetreten ist, dass sowohl TSC als auch der MIC nicht stimmen, wird der MIC-Failure-Zähler um eins hochgesetzt.
Ausblick: WPA2 • WPA2 - eigentlich 802.11i • wurde (endlich) am 24. Juni 2004 verabschiedet
• Benutzt AES-Verschlüsselung, statt (wie bei WEP und WPA) einen RC4-Datenstrom.
• Weitere Verbesserungen im Bereich Integritätsprüfung und Schlüsselmanagement 35
Bei der AES-Verschlüsselung wird nicht wie bei WEP und WPA einfach ein Datenstrom erzeugt, mit dem der Klartext geXORt wird, sondern es werden 4x4-Felder von Bytes nach einem komplexen Algorithmus verschlüsselt, der dennoch in Hardware relativ einfach zu realisieren ist.
The Hitchhikers Guide To Wardriving (5/6): Software live
36
Dieses Schaubild zeigt uns zunächst mal, dass eine Bahnfahrt von Speyer nach Heidelberg unzumutbar lange dauert, nämlich von 23:06 bis 0:27 Uhr. Was es uns ausserdem zeigt ist die Tatsache, dass man in dieser Zeit mit einer Karte im RFMON-Modus und Channel Hopping in der Lage ist, 43 drahtlose Netzwerke zu finden. Von diesen 43 Systemen ist ganz genau eines per WPA gesichert, alle anderen entweder über WEP oder überhaupt nicht. Drei davon verstecken zumindest ihre SSID, schützen aber auch nur per WEP. Fazit: 42 potentiell unsichere Netzwerke. Wobei wir wetten wollen, dass einige der Spezialisten, deren SSID “NETGEAR” oder “SMC” lautet, ihren AP mit den Standardeinstellungen betreiben.
Andere Techniken
• Anwendungsebene • https://... • ssh • VPN • IPSec, PPTP, SSL, ... 37
Daten, die schon von verschlüsselt wurden, werden durch die Übertragung nicht sicherer oder unsicherer, als sie sind - es bleibt aber zu berücksichtigen, daß die Pakete von jedem, der in Reichweite des Netzes ist, empfangen und einer ausführlichen Untersuchung zugeführt werden kann. Als zusätzliche oder alternative Sicherung eignen sich insbesondere Virtuelle Private Netze, deren Daseinszweck darin besteht, private Daten durch öffentliche Netze zu tunneln.
Virtual Private Networks (VPNs) Internet
192.168.42.x 17.254.3.x 72.14.207.x 147.142.207.x 207.46.250.x 38
IPSec über VPN
• Virtual Private Networks != Verschlüsselung!
• SSL, IPSec, ...
39
Agenda • Einführung • IEEE-Standards • Angriffe • Abwehr • Verschlüsselung ‣ Demonstration • Fazit 40
Knacken eines WEP-Schlüssels, sollte nicht viel länger als 5 Minuten dauern. Währenddessen kann man schon mal mit der abschließenden Diskussion beginnen.
Agenda • Einführung • IEEE-Standards • Angriffe • Abwehr • Verschlüsselung • Demonstration ‣ Fazit 41
Fazit • Wenn WLAN, dann verschlüsselt • WPA: nicht für kritische Daten • VPN: hoher Ressourcenverbrauch • Restrisiko nicht vernachlässigbar 42
Als abschließende Bemerkung sei noch einmal zusammengefaßt, daß an wirksamer Verschlüsselung bei einem drahtlosen Medium generell kein Weg vorbei geht - und genauso, daß ein Restrisiko bleibt, dessen man sich bewußt sein muß. Da die Verschlüsselung gemäß WPA (und auch WEP) in der Hardware realisiert wird, kommt es zu keiner erhöhten CPU-Last od. dgl. bei Einsatz derselben. Auch die Datenübertragungsrate wird durch keine der Techniken in Mitleidenschaft gezogen (!); werden entsprechend sicherere Verfahren verwendet, ist in gleichem Maße wie bei drahtgebundenen Netzen mit verringerter Bandbreite und erhöhter CPU-Last zu rechnen.
Literatur Armin Medosch: Freie Netze - Geschichte, Politik und Kultur offener WLAN-Netze. Heise, Hannover 2004, ISBN 3936931100 (Das Buch steht unter einer Creative Commons-Lizenz und kann als PDF-Datei heruntergeladen werden) ftp://ftp.heise.de/pub/tp/buch_11.pdf Wikipedia-Artikel zu: WLAN - WiMax - HiperLan - IEEE - ETSI - 802.11 - WarDriving Promiscuous Mode - Monitor Mode - SSID - VPN - IPSec Michael Schmidt: “Die WEP-Wall bricht”, in: c’t Ausgabe 10/05, Seite 182 Dr. Alfred Arnold: “Jenseits von WEP - WLAN-Verschlüsselung durchleuchtet”, in: c’t Ausgabe 21/04, Seite 214 Dusan Zivadinovic: Schöne neue Funk-Welt, in: c't Ausgabe 2/05, Seite 128 Joerg Heidrich: Rechte und Pflichten des Netzbetreibers, in: c't Ausgabe 13/04, Seite 102 Matthias Hofherr: WLAN-Sicherheit - professionelle Absicherung von 802.11-Netzen. Heise, Hannover 2005, ISBN: 3936931259
43
1
Wer weiß nichts mit dem Begriff WLAN anzufangen? http://www.google.de/search?hl=de&q=WLAN&btnG=Google-Suche&meta=
liefert 18.7 Millionen Hits Wireless Local Area Network oder Wireless LAN: Drahtloses Netzwerk 2
Mittlerweile kann auch Otto Normalverbraucher etwas mit dem Begriff WLAN anfangen - es ist der Standard für Drahtlosnetzwerke.
Rahmendaten Standard
IEEE 802.11b
Frequenz
2.4GHz-Band (Mikrowellenbereich)
Wellenlänge
12,5 cm
Kanäle
USA 13, Europa 11, Japan 14
Sendeleistung
100 mW EIRP (= 20 dBm)
Reichweite
30-100 Meter (Freifeld)
Übertragungsrate
11 MBit/s
3
Um den Begriff ein wenig mit Leben zu füllen, hier einige (für Techies hinreichend bekannte) Rahmendaten. IEEE: Institute of Electrical and Electronics Engineers ERP: Effective Radiated Power; das eingefügte i steht für einen isotropen Strahler
Agenda
• Einführung ‣ IEEE-Standards • Überblick • Konkurrenz / Alternativen • Zukünftige Entwicklung • Angriffe • Abwehr • Verschlüsselung • Demonstration • Fazit 4
IEEE-Standards: Überblick • • •
Bereich 802 (Februar 1980) - Lokale Netzwerke Unterbereich 802.11 (1997) - Drahtlose Netzwerke Gegenüberstellung:
802.11
a
Frequenz (GHz)
5
verabschiedet Bandbreite (mbps) Modulationsverfahren Verbreitung
b
g 2,4
1999
2003
54
11
54
OFDM
DSSS
beides
-
+
++
5
Hier eine kurze Gegenüberstellung der gebrächlichen Standards. 802.11 a und b stammen von 1999, wobei 802.11 a erst 2002 in kastrierter Form in Deutschland zugelassen wurde. Apple war an der Verbreitung von 802.11 b maßgeblich beteiligt (AirPort); seit 2003 gibt es den kompatiblen Nachfolger 802.11 g.
Alternativen und Konkurrenz • •
Zahlreiche proprietäre Erweiterungen der IEEE-Standards
•
Ziel: Höhere Datenübertragungsrate
Andere Nahbereichsfunktechniken im 2,4 GHz-Band:
• • • • •
Bluetooth HomeRF ZigBee nanoNET, wirelessUSB, UWB, ... Babyphone, Funkmodems, ... 6
Neben Störquellen wie Mikrowellenherden und Radaranlagen gibt es weitere Funktechniken im lizenzfreien 2,4 GHz-Band, die je nach Anwendung auch eine Konkurrenz für WLAN sein können - insbesondere HomeRF, das in den USA recht verbreitet ist, und Bluetooth. Während sich Bluetooth und WLAN gut vertragen, ist der parallele Betrieb mehrerer WLAN-Netze zwangsläufig von deutlichen Einbußen begleitet bis zum Zusammenbruch der Netze.
Alternativen und Konkurrenz - II
Ausbreitung von 802.11a (Quelle:Intersil) 7
Alternativen und Konkurrenz - II
Ausbreitung von 802.11g (Quelle:Intersil) 8
Zukünftige Entwicklung (1)
• WiMax: IEEE 802.16, 3.5 GHz, 70 MBit/s, 30W
• IEEE 802.11n: 5 GHz, evtl. auch 2.4 GHz, 540 MBit/s, 1W
9
WiMax ist im Moment state-of-the-art: Bei der Tour de France 2005 wurde die Presse an den Etappenzielen jeweils darüber angebunden, in Deutschland gibt es u.a. in Kaiserslautern und Heidelberg (FH als Kunde) Installationen, Düsseldorf plant die Einrichtung. In Berlin gibt es seit November 2005 das erste WiMax für Endkunden. 802.11n soll 2006 als Standard verabschiedet werden, deswegen unterscheiden sich die Angaben darüber z. Zt. noch.
Zukünftige Entwicklung (2)
10
Diagramm zu Reichweite/Datenrate von Nahbereichsfunktechniken, Quelle: c’t
Agenda • Einführung • IEEE-Standards ‣ Angriffe • Potential • The Hitchhikers Guide To Wardriving • Abwehr • Verschlüsselung • Demonstration • Fazit 11
Potential •
Was unterscheidet ein WLAN von einem drahtgebundenen Netz? ➡ das Kabel!
•
Möglichkeiten:
• • • • •
Abhören Verbinden Datenzugriff Stören Services anbieten 12
Drahtlose Netze befreien die Nutzer von Netzwerkkabeln - aber die dadurch gewonnene Freiheit bedeutet auch ein Risiko: Wo ich keinen physischen Netzzugriff mehr brauche, kann ich den Zugang auch nicht mehr über Netzwerkdosen, Patchpanels etc. kontrollieren - ich weiß einfach nicht mehr, wer in meinem Netz ist, wer die Daten sehen kann. Jeder, der die Funkwellen auffängt, kann sie auswerten, d.h. den Datenverkehr mitlesen, die Verbindung abhören. Je nach Einstellungen kann er sich auch mit dem Netz verbinden, auf im Netz angebotene Daten zugreifen. Auf jeden Fall kann er von außen das Netz stören, im ungünstigsten Fall gelingt es, Services anzubieten, über die der Angreifer, falls sie genutzt werden, alle Macht hat... Im Folgenden mehr. !Vortrag: Shared Media (Datenzugriff), Collision Domain = Reichweite des Senders, Bandbreite wird unter Clients geteilt...DOS!
The Hitchhikers Guide To Wardriving • Wir basteln uns einen WLAN-Empfänger • Antenne • “Funkgerät” 13
Um ein WLAN abzuhören, genügt uns der Promiscuos Mode, in den sich Netzwerkinterfaces schalten lassen, nicht: In dieser Betriebsart werden lediglich die Pakete des Netzwerkes, mit dem der Client gerade verbunden ist, an das Betriebssystem durchgeschleust. Wir wollen aber alles sehen, was an WLANs in der Luft ist. Wir brauchen also eine Antenne, um die Daten aufzufangen. Und das, was wir empfangen, müssen wir auswerten also: Wie werden die Daten verschickt?
The Hitchhikers Guide To Wardriving (1/6): Channels und Channelhopping
• Kanäle: • Unterteilung des Frequenzbandes • !Überlappung! - deswegen nur 3 bzw. 4 überlappungsfreie Kanäle
• Mithören: Channel hopping 14
Kanäle entstehen dadurch, daß wir den zur Verfügung stehenden Frequenzbereich nochmals unterteilen. Allerdings treten Überlappungen auf - was auf Channel 1 gesendet wird, "hören" wir auch auch Kanal 2. Das können wir uns beim Abhören zunutze machen: Wenn wir geschickt springen, können wir mehr Pakete auffangen, als wenn wir tatsächlich in ungefähr einem Dutzend Kanälen herumsuchen müßten. Überlappungsfreie Kanäle: 1/6/11; geringe Überlappung: 1/5/9/13
The Hitchhikers Guide To Wardriving (2/6): Modulation und Monitor Mode Modulationsverfahren 802.11a: DSSS Direct Sequence Spread Spectrum 802.11b: OFDM Optical Frequency Division Multiplex 802.11g: Beides Monitor Mode (RFMON):
WLAN - Karte als einfacher "Empfänger" 15
Modulation ist der Ausdruck dafür, wie Nullen und Einsen in Wellen gewandelt werden. Dazu gibt es verschieden ausgeklügelte Verfahren, die versuchen, unter den gegebenen Bedingungen und widrigen Umständen Übertragungssicherheit trotz hoher Verbindungsgeschwindigkeit zu realisieren. Für uns ist das hier nicht weiter von Interesse - gehört haben sollte man allerdings, daß 802.11a ein Verfahren namens DSSS einsetzt, 802.11b jedoch OFDM. In sehr grober Näherung könnte man OFDM mit paralleler und DSSS mit serieller Übertragung verbildlichen. 802.11g nutzt eigentlich DSSS, kann aber, um Kompatibilität mit b-Netzen zu gewährleisten, auch OFDM. Da wir die Mechanismen für die Umsetzung dieser schon nicht mehr trivialen Techniken schon in unseren WLAN-Karten haben, würden wir sie auch gerne nutzen. Und tatsächlich gibt es in den Chipsätzen meist noch ein Relikt aus der Testphase des WLAN - den RFMON oder Monitor Mode, der die Daten, die die Karte empfängt, einfach ausgibt. Das heißt, auch kaputte Pakete werden angezeigt!
The Hitchhikers Guide To Wardriving (3/6): Netztopologien, Betriebsarten und SSID
• Ad-hoc-Modus: Vernetzung ohne Hierarchie
• Infrastuktur-Modus: Basistation koordiniert die Netzknoten
• Trennung verschiedener Netze per Service Set Identifier (SSID)
16
Um mit den abgefangenen Daten auch etwas anfangen zu können, sollte man wissen, daß es zwei Betriebsarten (Modi) für den Betrieb von WLANs gibt: Im Ad-hoc-Modus sind die Netzknoten gleichberechtigt, was eine Planung hinfällig macht. FIXME: Stimmt das, daß nur zwei Teilnehmer erlaubt sind? Netze dieser Art sind schnell aufgebaut, bieten aber weniger Kontrollmöglichkeiten. Im Infrastrukturmodus muß sich ein Client zunächst bei einem Access Point anmelden, um in das Netzwerk aufgenommen zu werden. Um verschiedene Netze auseinander halten zu können, wird ein "Netzwerkname", die SSID, vergeben. Normalerweise versendet ein AP, auch wenn kein Client online ist, sogenannte Broadcasts, um seine SSID publik zu machen, also zu verkünden: Hier ist ein Netz. Eine recht einfache Form der Zugriffsbeschränkung ist es, diese Broadcasts auszuschalten allerdings bringt sie nicht viel, weil die SSID im Klartext vor dem Datenpaket steht - was wir dank einfach mithören können.
The Hitchhikers Guide To Wardriving (4/6): Software
• aktive Sniffer: Netstumbler, Wellenreiter • passive Sniffer: Kismet • (Rogue APs, AirSnarf) • Gegenmaßnahmen: fakeAP, IDS 17
Die Software, die die aufgefangenen Pakete in Zusammenhang bringt und die Informationen aufbereitet anzeigt, bezeichnet man als Sniffer. Passive Sniffer beschränken sich auf den Empfang von Daten, können also nicht erkannt werden; aktive Sniffer können Pakete generieren, um z.B. WLANs ohne eingebuchte Clients erkennen zu können. Diese Pakete wiederum können empfangen werden und die Anwesenheit eines Lauschers verraten. Um Sniffern das Leben schwer zu machen, gibt es die Möglichkeit, weitere Netzwerke vorzutäuschen, um zu erreichen, daß der Angreifer den Wald vor lauter Bäumen nicht mehr sieht: fakeAP, bis jetzt nur eine Proof-ofconcept-Implementierung, täuscht spielend auch mehrere Tausend Netzwerke vor. Allerdings kommt diese Technik wohl nur für Netze in Frage, die kaum ausgelastet sind, da dafür Bandbreite benötigt wird.
The Hitchhikers Guide To Wardriving (5/6): Software live
18
Ein kleines Beispiel, was man so auf einer nicht besonders gut organisierten Wardrive-Session alles in Erfahrung bringen kann... später mehr dzau.
The Hitchhikers Guide To Wardriving (6/6): Rechtliche Aspekte § 202a Ausspähen von Daten (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
19
Der Knackpunkt ist der Passus "besonders gesichert". Ein Router, out-ofthe-box in Betrieb genommen, stellt keine Sicherung dar. Die Veränderung der voreingestellten SSID sowie das Abschalten der Broadcasts auch noch nicht - der Betrieb von Kismet ist also rechtlich unbedenklich.
Agenda • Einführung • IEEE-Standards • Angriffe ‣ Abwehr • Verschlüsselung • Demonstration • Fazit 20
Abwehr • Erkennung: Kismet im IDS
➡ passive Sniffer nicht erkennbar
• ACLs: MAC-Filtering
➡ MAC-Adresse spoofbar
• Verschlüsselung 21
Kismet und andere Sniffer können aber auch eine Schutzwirkung haben: Als Sensoren in ein IDS eingebunden, warnen sie vor Lücken in den eigenen Reihen, sei es durch Fehlkonfigurationen oder das Aufstellen von eigenen Geräten durch arglose Mitarbeiter (rogue APs). Allerdings bleibt ein großer blinder Fleck: Passive Scanner können nicht entdeckt werden. Eine weiter Möglichkeit besteht darin, nur bestimmte Netzwerkkarten für das WLAN zuzulassen - bereits für mittlere Unternehmen ist das allerdings schon nicht mehr praktisch durchführbar. Außerdem ist es nicht der Weisheit letzter Schluss: Die MAC-Adresse läßt sich spielend leicht vortäuschen. Bessere Lösung: Verschlüsselung
Agenda
• Einführung • IEEE-Standards • Angriffe • Abwehr ‣ Verschlüsselung • WEP • WPA • Andere Techniken • Demonstration • Fazit
22
Verschlüsselung
• Warum ist Verschlüsselung sinnvoll?
23
Selbst wenn es einen nicht stört, dass andere Leute über den heimischen WLAN-Router Zugang zum Internet erlangen, so birgt die standardmässige “Offenheit” von Funknetzwerken eine grosse Gefahr: Das Ausspähen sensibler Daten. Passwörter, PINs, ja, ganze Remote-Shell-Sitzungen können an einem ungeschützten WLAN problemlos von Dritten mitgeschnitten werden.
WEP
Wired Equivalent Privacy
•
•
Verschlüsselung
• • •
Shared-Key-Verfahren RC4-Algorithmus Initialisierungsvektor
Authentifizierung
• •
Open System Authentication Shared Key Authentication
24
Schon bei der Festlegung des Standards 802.11 im Jahre 1997 machte man sich Gedanken darüber, wie Daten vor unbefugtem Zugriff geschützt werden sollten. Ergebnis war der WEP-Standard, welcher eine Verschlüsselung und Integritätsprüfung der Nutzdaten ermöglichen soll.
WEP
Verschlüsselung en détail 40Bit Key 24Bit IV
} Klartext
32Bit CRC
⊕♁ RC4 Schlüsselstrom
24Bit IV
Chiffretext
25
CRC (Cyclic Redundancy Check) 40Bit-Key: Ein (im ungünstigsten Fall) vom User gewählter Schlüssel, der als Grundlage für den Schlüsselstrom gilt. IV: Initialisierungsvektor; da der gleiche Schlüssel immer auch den gleichen Schlüsselstrom ergibt, wird an den Schlüssel ein zufällig ermittelter 24Bit-Wert angehängt. Dieser muss natürlich im Klartext an die Gegenstelle geschickt werden. RC4-Schlüsselstrom: Eine Pseudo-Zufallbitreihenfolge, die mit gleichem Schlüssel immer gleich bleibt. Die Schlüssellänge war ursprünglich auf 40 Bit begrenzt, weil für Verschlüsselungsalgorithmen mit größeren Schlüsseln ein Exportverbot seitens der USA galt.
WEP
Schwachstellen (1)
• • •
Integrity Check Value ist nur CRC32
• •
Gleicher Schlüssel für Authentifizierung und Verschlüsselung
•
Initialisierungsvektor viel zu kurz
Replay-Angriffe ohne Weiteres möglich Man-In-The-Middle-Angriffe: Authentifizierung: Nur Clients, nicht APs.
Bestimmte Schlüssel sind für eine RC-4-Verschlüsselung ungeeignet
26
Zunächst ein grober Überblick über die Schwachstellen von WEP. ReplayAngriffe und der Initialisierungsvektor werden noch genauer zu betrachten sein. CRC32 ist aufgrund seiner Linearität für kryptographische Zwecke unbrauchbar - der CRC-Wert kann ohne Kenntnis der ursprünglichen Nachricht für eine neue Nachricht passend gemacht werden (CRC(m1) + CRC(m2) = CRC(m1+m2)) Man-In-The-Middle-Angriffe: Da sich nur Clients bei Access Points authentifizieren müssen (und nicht andersherum) ist es für einen Angreifer möglich, einen eigenen Access Point einzubringen, mit dem der Client dann unwissentlich kommuniziert. Schlüsselmanagement ist in WEP nicht vorhanden. In der Praxis heisst das, dass oft über Monate wenn nicht sogar Jahre hinweg ein und derselbe Schlüssel verwendet wird. Ganz davon abgesehen dass dies eine Einladung zu Brute-Force-Angriffen ist, muss der Schlüssel allen Teilnehmern im WLAN bekannt sein -> gute Chancen für “social engineering”.
WEP
Schwachstellen (2)
•
•
Initialisierungsvektor
•
ist mit 24 Bit (224 = 16.777.216 verschiedene Werte) viel zu kurz
•
Wiederholung nach durchschnittlich 5000 gesendeten Paketen
Woher bekommt man Pakete?
• •
Mit Karte im RFMON-Modus mitschneiden Nicht genug Pakete?
•
Re-Injection mitgeschnittener Pakete
27
Einige APs erlauben sich den Luxus, die IV einfach mit jedem gesendeten Paket zu inkrementieren. Doch selbst bei einer perfekten Verteilung der IVs dauert es bei einem gut ausgelasteten Netzwerk im Schnitt einen halben Tag, bis ein IV wiederverwendet wird. WEP bietet keinen Schutz vor der Wiedereinspeisung mitgeschnittener Pakete. Dies ist eine gute Möglichkeit, Datenverkehr zum Belauschen zu erzeugen.
WEP
Schwachstellen (3) 24Bit IV
Chiffretext 1
die gleiche 24Bit IV
Chiffretext 1I
= Klartext I
Klartext II
RC4
RC4
= Klartext I
Klartext II 28
Eine einfache Methode, um aus zwei mitgeschnittenen verschlüsselten Nachrichten wieder Klartext zu gewinnen.
WPA
Wi-Fi Protected Access
•
• •
Soll drei grundlegende Schwachstellen beim Einsatz von WEP beseitigen
• • •
Authentifizierung
•
Verschiedene Instanzen führen eine Authentifizierung durch: Supplicant, Authenticator und AuthenticationServer
Integritätsprüfung Verschlüsselung
Kernstück: Standard 802.1x
EAP
•
Extensible Authentication Protocol 29
Nachdem im Jahre 2001 klar wurde, dass WEP nicht als sicher betrachtet werden kann, bemühten sich die Hersteller um Schadensbegrenzung. Da sich die Verabschiedung des neuen Sicherheitsstandards IEE802.11i verzögerte, wurde unter dem Begriff WPA eine Teilmenge dieses Standards vorweggenommen, die sich auf den vorhandenen Gräten mit vertretbarem Aufwand nachrüsten ließ. Den auffälligste Unterschied zum WEP-Protokoll stellt der zugrundeligende Standard 802.1x und das damit eng verbundene EAP statt, welche im Enterprise-Bereich (grosse Netzwerke) eine Rolle spielen. Beides werden wir im Folgenden genauer betrachten, um danach WPA-Implementierungen im Home-Bereich zu untersuchen.
WPA
Das 802.1x - Modell Authentication Server
Authenticator Supplicant EAP
LAN oder WLAN
30
Der 802.1x-Standard (auf dem WPA aufbaut) sieht eine Authentifizierung über einen speziellen RADIUS-Authentifizierungsserver (Remote Authentication Dial-In User Service) vor, der über eine vom zu schützenden Netz unabhängige Netzwerkverbindung mit dem Authenticator (beispielsweise einem Access Point) verbunden ist.
WPA
EAP - Extensible Authentication Protocol
EAP
LEAP
EAP-TLS
EAP-MD5
EAP-TTLS
PEAP
PEAPv0/EAP-MSCHAPv2
EAP-SIM
EAP-AKA
PEAPv1/EAP-GTC
31
EAP (“eep”) kein Sicherheitsmechanismus an sich sondern ein Authentifizierungs-Framework, das einige oft benötigte Funktionen und das Aushandeln (“Negotiation”) des zu verwendenden AuthentifizierungsMechanismus (“EAP-Methode”) zur Verfügung stellt. Derzeit tummeln sich ca. 40 verschiedene EAP-Methoden im Internet, einige davon durch IETF-RFCs (Internet Engineering Taskforce) definiert, andere proprietär. Es würde den Rahmen dieses Vortrags bei weitem sprengen, sich sämtliche möglichen EAP-Methoden vorzunehmen, dennoch sei an dieser Stelle zumindest erwähnt, dass es sichere und unsichere Methoden gibt. Als Beispiel sei EAP-MD5 erwähnt, das sich bei der Authentifizierung einer MD5-Hashfunktion bedient, die als sehr anfällig für Wörterbuchattacken gilt. Auch für das proprietäre LEAP (Lightweight EAP) von Cisco existiert ein Programm namens ASLEAP (wie in “Asleep behind the wheel” - eine Anspielung auf die Tatsache, das Cisco ewig nicht auf die Bedrohung reagierte), das mit einem Brute-Force-Angriff insbesondere bei kurzen Passwörtern gute Ergebnisse erzielt.
WPA
TKIP - Temporal Key Integrity Protcol - Überblick
• •
Vergrößerung IV 24 Bit -> 48 Bit TSC - TKIP Sequence Counter
•
Gegenstelle akzeptiert nur noch mit TSC < max(TSC)-16
• • •
Vermeidung schwacher Schlüssel Schlüsselhierarchien Integritätsprüfung durch Message Integrity Code 32
Weitere Verbesserungen von WPA gegenüber WEP (gilt sowohl für die Enterprise- als auch für die PSK-Version). Am wichtigsten hier ist der TSC, der die bei WEP beliebten Re-Inject-Angriffe unmöglich macht. Ebenfalls sehr wichtig: Durch die Schlüsselgenerierung können jene Schlüssel, die einen unsicheren RC4-Datenstrom erzeugen, vermiden werden.
WPA
Temporal Key Integrity Protcol - Schlüsselhierarchien WPA PSK
WPA Enterprise Auth Server
Supplicant
hat t ug er ze
erze u
ist
hat
schickt
gt
PSK
256Bit PMK (Pairwise Master Key)
128 Bit PTKs (Pairwise Transient Keys)
EAPOLIntegritätsprüfung
Datenverschlüsselung
Integritätsprüfung 33
EAPOLVerschlüsselung
WPA
Temporal Key Integrity Protcol - Integritätsprüfung
• •
32 Bit ICV (Integrity Check Value) zusätzlich: MIC (Message Integrity Code): 802.11 Header
•
48 Bit IV
Daten
64 Bit MIC
32 Bit ICV
Bei zwei MIC Prüffehlern innerhalb einer Sekunde: Gegenwärtig gültige Schlüssel löschen und eine Minute lang keine neuen mehr erzeugen.
•
MIC Prüfung erst nach erfolgreicher ICV und TSCPrüfung
34
Zur Erinnerung: TSC = TKIP Sequence Counter. Erst wenn der Fall eingetreten ist, dass sowohl TSC als auch der MIC nicht stimmen, wird der MIC-Failure-Zähler um eins hochgesetzt.
Ausblick: WPA2 • WPA2 - eigentlich 802.11i • wurde (endlich) am 24. Juni 2004 verabschiedet
• Benutzt AES-Verschlüsselung, statt (wie bei WEP und WPA) einen RC4-Datenstrom.
• Weitere Verbesserungen im Bereich Integritätsprüfung und Schlüsselmanagement 35
Bei der AES-Verschlüsselung wird nicht wie bei WEP und WPA einfach ein Datenstrom erzeugt, mit dem der Klartext geXORt wird, sondern es werden 4x4-Felder von Bytes nach einem komplexen Algorithmus verschlüsselt, der dennoch in Hardware relativ einfach zu realisieren ist.
The Hitchhikers Guide To Wardriving (5/6): Software live
36
Dieses Schaubild zeigt uns zunächst mal, dass eine Bahnfahrt von Speyer nach Heidelberg unzumutbar lange dauert, nämlich von 23:06 bis 0:27 Uhr. Was es uns ausserdem zeigt ist die Tatsache, dass man in dieser Zeit mit einer Karte im RFMON-Modus und Channel Hopping in der Lage ist, 43 drahtlose Netzwerke zu finden. Von diesen 43 Systemen ist ganz genau eines per WPA gesichert, alle anderen entweder über WEP oder überhaupt nicht. Drei davon verstecken zumindest ihre SSID, schützen aber auch nur per WEP. Fazit: 42 potentiell unsichere Netzwerke. Wobei wir wetten wollen, dass einige der Spezialisten, deren SSID “NETGEAR” oder “SMC” lautet, ihren AP mit den Standardeinstellungen betreiben.
Andere Techniken
• Anwendungsebene • https://... • ssh • VPN • IPSec, PPTP, SSL, ... 37
Daten, die schon von verschlüsselt wurden, werden durch die Übertragung nicht sicherer oder unsicherer, als sie sind - es bleibt aber zu berücksichtigen, daß die Pakete von jedem, der in Reichweite des Netzes ist, empfangen und einer ausführlichen Untersuchung zugeführt werden kann. Als zusätzliche oder alternative Sicherung eignen sich insbesondere Virtuelle Private Netze, deren Daseinszweck darin besteht, private Daten durch öffentliche Netze zu tunneln.
Virtual Private Networks (VPNs) Internet
192.168.42.x 17.254.3.x 72.14.207.x 147.142.207.x 207.46.250.x 38
IPSec über VPN
• Virtual Private Networks != Verschlüsselung!
• SSL, IPSec, ...
39
Agenda • Einführung • IEEE-Standards • Angriffe • Abwehr • Verschlüsselung ‣ Demonstration • Fazit 40
Knacken eines WEP-Schlüssels, sollte nicht viel länger als 5 Minuten dauern. Währenddessen kann man schon mal mit der abschließenden Diskussion beginnen.
Agenda • Einführung • IEEE-Standards • Angriffe • Abwehr • Verschlüsselung • Demonstration ‣ Fazit 41
Fazit • Wenn WLAN, dann verschlüsselt • WPA: nicht für kritische Daten • VPN: hoher Ressourcenverbrauch • Restrisiko nicht vernachlässigbar 42
Als abschließende Bemerkung sei noch einmal zusammengefaßt, daß an wirksamer Verschlüsselung bei einem drahtlosen Medium generell kein Weg vorbei geht - und genauso, daß ein Restrisiko bleibt, dessen man sich bewußt sein muß. Da die Verschlüsselung gemäß WPA (und auch WEP) in der Hardware realisiert wird, kommt es zu keiner erhöhten CPU-Last od. dgl. bei Einsatz derselben. Auch die Datenübertragungsrate wird durch keine der Techniken in Mitleidenschaft gezogen (!); werden entsprechend sicherere Verfahren verwendet, ist in gleichem Maße wie bei drahtgebundenen Netzen mit verringerter Bandbreite und erhöhter CPU-Last zu rechnen.
Literatur Armin Medosch: Freie Netze - Geschichte, Politik und Kultur offener WLAN-Netze. Heise, Hannover 2004, ISBN 3936931100 (Das Buch steht unter einer Creative Commons-Lizenz und kann als PDF-Datei heruntergeladen werden) ftp://ftp.heise.de/pub/tp/buch_11.pdf Wikipedia-Artikel zu: WLAN - WiMax - HiperLan - IEEE - ETSI - 802.11 - WarDriving Promiscuous Mode - Monitor Mode - SSID - VPN - IPSec Michael Schmidt: “Die WEP-Wall bricht”, in: c’t Ausgabe 10/05, Seite 182 Dr. Alfred Arnold: “Jenseits von WEP - WLAN-Verschlüsselung durchleuchtet”, in: c’t Ausgabe 21/04, Seite 214 Dusan Zivadinovic: Schöne neue Funk-Welt, in: c't Ausgabe 2/05, Seite 128 Joerg Heidrich: Rechte und Pflichten des Netzbetreibers, in: c't Ausgabe 13/04, Seite 102 Matthias Hofherr: WLAN-Sicherheit - professionelle Absicherung von 802.11-Netzen. Heise, Hannover 2005, ISBN: 3936931259
43
Related Documents
Wpa Good Wolfkleinert
October 2019 8
Wpa Good So Vortrag
October 2019 10
Wpa Good Securingwlan
October 2019 9
Wpa
June 2020 12
Wpa Wpa Supplicant-devel
October 2019 26