1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych.

Transkrypt

1 Bezpieczeństwo w Systemach Komputerowych WLAN Zagrożenia dla WEP/WPA/WPA2 Haking 12/2010, WPA2-PSK Haking 11/2010, niekonwencjonalne ataki Haking 9/2008, Hakowanie Wi-Fi Haking 4/2008, Hakowanie Wi-Fi Haking 1/2006, Hakowanie Wi-Fi Literatura Jon Erickson, Hacking: Sztuka penetracji, Helion, 2004 (WEP) 1 2 Rodzaje sieci bezprzewodowych Technologie bezprzewodowe (wybrane) Zalety/wady sieci bezprzewodowych Wi-Fi(802.11abgn) WiMAX(802.16abcde) (mobilna wersja WiMax to WiBro) LTE Infrared(IrDA) Bluetooth ZigBee ( ) zastosowania przemysłowe Radio Frequency Identification(RFID) Zalety: - szybkość oraz niski koszt instalacji - mobilność (w zasięgu AP) - niskie koszty użytkowania (współdzielenie łącza internetowego) - rozwiązanie problemu ostatniej mili (ISP użytkownik). Wady: - łatwość podsłuchu i nieautoryzowanego dostępu - możliwość zakłócania pracy sieci - znacznie mniejsze pasmo niż w sieciach kablowych 5 6 1

2 Stosowane częstotliwości Polska/Świat od do LTE Rozporządzenie ministra infrastruktury z (Dz.U.nr138poz1162) - pasmo 2400,0 2483,5 MHz (pasmo ogólnodostępne) - maksymalna moc 10mW dla urządzeń ogólnego stosowania - maksymalna moc 100mW dla lokalnych sieci radiowych -pasmo MHz - maksymalna moc 200mW -pasmo MHz - maksymalna moc 1W Modulacja przepustowość [Mb/s] pasmo [GHz] Wi-Fi FHSS/DSSS 2 2, Wi-Fi b DSSS 11 2, Wi-Fi a OFDM Wi-Fi g DSSS/OFDM 54 2, Wi-Fi n OFDM do 600 2,4 lub Wi-Fi ac do WiMAX e 4 (30km) 3,4-3, G GSM (EDGE) 0,296 3G UMTS (HSDPA) 14 3G (HSPA+) 28 LTE OFDM do Topologie sieci bezprzewodowych Topologie sieci bezprzewodowych 9 10 Mechanizmy bezpieczeństwa Podstawowe mechanizmy bezpieczeństwa: - SSID (Service Set Identifier) - MAC weryfikacja - WEP (Wired Equivalent Privacy) Zaawansowane mechanizmy bezpieczeństwa: - Standard IEEE i - WPA (WiFi Protected Access) - WPA2 (WiFi Protected Access)

3 SSID identyfikator sieci SSID Można podłączyć się do sieci jeżeli znamy jej identyfikator SSID SSID zawarty jest w ramce rozgłoszeniowej beacon Ochrona: WYŁĄCZYĆ rozgłaszanie SSID Sterowniki (np. Windows) nie wykrywają sieci z ukrytym SSID Za pomocą snifferów sieci bezprzewodowych można przechwycić SSID nawet przy wyłączeniu rozgłaszania: - gdy odłączymy legalnego klienta(deautentykacja) lub - SSID pojawia się w pakietach wysyłanych przez klientów: probe request weryfikacja MAC weryfikacja MAC Możemy akceptować użytkowników w oparciu o ich adres MAC Ochrona: UTWORZENIE w punkcie dostępowym LISTY adresów MAC, które będą dopuszczone do łączenia się z AP. Można dokonać przechwycenia przesyłanych pakietów w sieci czyli przechwycenia legalnych adresów MAC (adresy MAC nie są szyfrowane) następnie podszyć się pod legalną maszynę weryfikacja MAC podsłuch adresów WEP WEP (Wired Equivalent Privacy) 1999r. w założeniach miał być bezpiecznym mechanizmem uwierzytelniania i szyfrowania przesyłanych danych: - 64 (lub 128) bitowy klucz składający się z: - 24-bitowego wektora inicjującego IV - 40 lub 104 bitowego (5 lub 13 znaków) klucza WEP - wektor inicjujący IV utrudnia analizę statystyczną szyfrogramu (zmiana wektora następuje przy szyfrowaniu kolejnego pakietu)

4 Działanie mechanizmu WEP WEP WEP - obliczamy sumę kontrolną algorytmem CRC32 (kontrola redundancji cyklicznej), określaną jako ICV (Integrity Check Value) i dołączamy na koniec tekstu -Klucz WEP o długości 40 lub 104 bitów, na podstawie hasła - Do klucza dołączamy 24 bitowy wektor inicjujący IV - Klucz + IV to ziarno szyfru strumieniowego RC4 - Dane z ICV oraz strumień klucza są argumentami funkcjixor - Do szyfrogramu dołączany jest IV w celu umożliwienia odbiorcy odszyfrowania ramki - Odbiorca ramki odszyfrowuje ją, oblicza ICV, a następnie porównuje wynik z tym, co dotarło do niego w polu ICV. Jeśli wartości się zgadzają, to ramka zostaje uznana za niesfałszowaną WEP WEP (+) Małe wymagania co do mocy obliczeniowej oraz łatwość implementacji (30 linijek kodu) (-) WEP często jest wyłączany by zapewnić otwartość sieci, uproszczenie konfiguracji oraz max prędkości transmisji. (-) Wymaga wprowadzenia klucza na wszystkich urządzeniach (-) Klucz WEP można złamać w krótkim czasie ; WEP został zastąpiony w 2004 roku przez WPA i WPA Aby udoskonalić standard powołano grupę roboczą zajmującą się standardem i (model bezpieczeństwa): Elementy modelu bezpieczeństwa: - Protokół EAP (ang. Extensible Authentication Protocol) modelu 802.1X wymusza stosowanie uwierzytelniania użytkowników oraz wzajemne uwierzytelnianie - MIC (Message Integrity Check) ochrona integralności - Tryby szyfrowania danych: - TKIP (Temporal Key Integrity Protocol) - AES-CCMP Uwaga: w i z 2002 roku nie było AES-CCMP, został on dodany w 2004 roku 23 WPA (ang. Wi-Fi Protected Access) = = kluczowe komponenty standardu i 1) Mechanizm MIC 2) Szyfrowanie TKIP: - Mieszanie 1: TTAK (TKIP-mixed Transmitter Address and Key): - TA: Transmitter address- adres MAC nadawcy - TK:TemporalKey chwilowyklucz - TSC: TKIP Sequence Counter numer pakietu (odpowiednik IV), pozwala na wykrycie ataku powtórzeniowego - Mieszanie2:RC4Key - TTAK - TK - TSC 24 4

5 Dwa podejścia do szyfrowania: -TKIP zastosowany w WPA - AES zastosowany w WPA2 Dwa tryby pracy: - Enterprise: serwer uwierzytelniania (RADIUS) - Personal/PSK (ang. PreShared Key): klucz inicjujący ręcznie wprowadzany na AP i każdej stacji klienta!!!

6 WEP/WPA - ataki WEP/WPA Zagrożenia - Wykrywanie sieci - Rodzaje ataków na klucz WEP - Łamanie klucza WEP - Ataki na WPA/WPA Wykrywanie sieci Wykrywanie sieci Wykrywanie sieci Aplikacja dołączaną do większości bezprzewodowych kart sieciowych - opcja nazwana Site Survey. Narzędzia o znacznie szerszych możliwościach - NetStumbler (inaczej Network Stubler) (Windows) - Kismet (Linux/Unix) większe możliwości niż NetStumbler: wykrywanie sieci z ukrytym SSID oraz możliwość przechwytywania i zapisywania pakietów do pliku Rodzaje ataków Klasyfikacje ataków(cel ataku) - Atak na klucz(k): pozwala uwierzytelnić się, deszyfrować - Atak na strumień klucza (S): pozwala deszyfrować lub szyfrować pakiety w celu wykonania specyficznego ataku Klasyfikacje ataków(rodzaj ataku) - Atak pasywny(p): zbieranie pakietów - Atak aktywny(a): wstrzykiwanie pakietów Rodzaje ataków na klucz WEP - (KP) Pełen przegląd - (KP) 2001: Atak FMS (słabe wektory IV) - (KP) 2002: Zoptymalizowany atak FMS h1kari ego - (KP) 2004: Uogólniony atak FMS KoreK a - (SA)->(KA) 2004: Atak ChopChop - (K_) 2007: Atak PTW (minimalizacja liczby pakietów)

7 (KP) Pełen przegląd (KP) Atak FMS(2001) - zbieramy kilka pakietów danych - generujemy wszystkie możliwe klucze i dla każdego klucza: - deszyfrujemy pakiet(y) i obliczamy sumę kontrolną z danych - gdy obliczona suma kontrolna = odszyfrowana to mamy klucz WEP - złamanie klucza wymaga kilku miesięcy - wep_tools, dwepcrack, wepattack - Tim Newsham znalazł lukę w algorytmie z kluczem 40bitowym, która redukuje przestrzeń do 21 bitów, przez co proces łamania trwa kilka minut - Utrudnienie klucz 104 bitowy 37 W 2001 roku trzej analitycy kryptografii: Fluhrer, Mantin i Shamir, odkryli słabość algorytmu szyfrowania RC4: dane XOR strumień klucza = szyfrogram -> szyfrogram XOR dane = strumień klucza przechwytujemy Dla tzw. słabych wektorów IV, 1-y bajt strumienia klucza jest skorelowany z n-tym bajtem hasła WEP!!! znamy: 1-ybajtstrumienia!!! zgadujemy: 1-y bajt danych (zazwyczaj nagłówek postaci: 0xAA) 38 (KP)AtakFMScd. - Trzeba zebrać słabe wektory IV postaci (n+3, 255, X), gdzie: - n to bajt klucza WEP do złamania - X wartość od 0 do 255 (256 możliwości) - Dla klucza WEP 40-bitowego (5 znaków): 5*256= 1280 słabych IV - Chcąc uzyskać 50% szanse zgadnięcia hasła potrzebujemy od 4 mlndo6mlnpakietów (do 2 godzin przy intensywnym ruchu) - jest to atak STATYSTYCZNY korelacja jest probabilistyczna (KP) Zoptymalizowany atak FMS(2002) (KP) Atak KoreK a(2004) - David Hulton h1kari metoda uwzględniająca w obliczeniach nie tylko pierwszy bajt szyfrogramu, ale również 3 kolejne bajty - Zmniejszenie niezbędnej ilości danych - Nowe korelacje odkryte przez KoreK a i wcześniej - Chcąc uzyskać 50% szanse zgadnięcia hasła potrzebujemy 0,5mlnpakietów (około 10 minut na 128 bitowy klucz WEP)

8 (SA) Atak ChopChop(2004) W 2001 Wiliam Arbaugh zaproponował atak indukcyjny Idea została zaimplementowana w 2004 przez KoreK a i nazwana przez niego atakiem ChopChop Celem jest strumień klucza (S) Po raz pierwszy pojawił się atak wstrzykujący pakiety (A) (SA) Atak ChopChop(2004) cd. - Należy przechwycić dowolny pakiet (szyfrogram) - Mając szyfrogram możemy zgadnąć (!) strumień klucza 1. Usuwamy (ang. chop) z szyfrogramu bajt odpowiadający ostatniemu bajtowi plaintextu; zgadujemy jego wartość (256 możliwości) i modyfikujemy szyfrogram (matematyka); wysyłamy nowy pakiet do AP 2. AP wysyła odpowiedź dla Poprawnego Pakietu!!! 3. Uzyskanie odpowiedzi: znamy ostatni bajt plaintextu (zgadywaliśmy) i ostatni bajt strumienia klucza (zależny od zgadniętego bajtu)!!! 4. Goto (SA)->(KA) Atak ChopChop(2004) - Uwaga: strumień klucza jest zazwyczaj wykorzystywany w następnym etapie, do utworzenia pakietu ARP, za pomocą packetforge-ng. - Utworzony pakiet będzie wstrzykiwany poleceniem: aireplay-ng -2 - Zbierane są odpowiedzi, które pozwolą nam na złamanie klucza programem aircrack-ng (K_)AtakPTW Gonein120seconds(2007) - W 2007 Pychkine, Tews, Weinmann podali nową metodę bazującą na pracy Andreasa Kleina z 2005 roku (praca była po niemiecku) - nowa korelacja: wszystkie pakiety mogą być wykorzystane bitowy klucz, 40kpakietów,prawd.50%(<1minuta) bitowy klucz, 85k pakietów, prawd. 95% (2 minuty) WPA - bruteforce WPA cloud cracker (KP)AtaknaWPA Jeżeli zostanie użyty krótki i mało skomplikowany klucz, intruz może przechwycić wymianę kluczy podczas 4 stopniowego procesu handshakingu (atak deautoryzacji na zalogowanego klient), a następnie przeprowadzić atak słownikowy (na przechwyconym pakiecie) w celu złamania klucza (60 kluczy/sek) Długi klucz z użyciem znaków specjalnych zwiększa bezpieczeństwo (powyżej 20 znaków, maksymalnie 63 znaki) (KP)(2009) CLOUD CRACKER atak słownikowy - klaster z 400 procesorów oraz specjalny słownik (300 mln haseł) - 20 minut (przeglądanie słownika w poszukiwaniu hasła)!!! Co zrobić? - Losowe hasło (żeby nie było w słowniku) - Losowa nazwa ESSID (żeby nie była w słowniku) używana jest do hashowania haseł - zmienić protokół na WPA2 - AES (??? - też łamalne przez CC)

9 WPA cloud cracker Ataki na WPA (1/3) (SA)AtaknaWPA TKIP(Beck, Tews) (2008) Gone in 900 Seconds, Some Crypto Issues with WPA - W 2008 Beck, Tews pokazali zmodyfikowany atak ChopChop - Wykonujemy zmodyfikowany atak ChopChop (zgadujemy bajty i wysyłamy do AP w celu potwierdzenia poprawności) - Celem jest zgadnięcie strumienia klucza(~15 minut) UWAGA: Więcej niż 1 niepowodzenie weryfikacji na minutę: zablokowanie komunikacji na 60 sek i ustalenie nowego PTK zatem po niepowodzeniu trzeba odczekać 60s by wysłać kolejny pakiet!!! Ataki na WPA (2/3) Ataki na WPA (3/3) (SA)AtaknaWPA(Beck,Tews) (2008)cd. - Pakiety ARP są krótkie i znaczna zawartość tych pakietów jest znana idealnie nadają się do zgadywania strumienia - Mając strumień klucza możemy szyfrować fałszywe pakiety ARP i zmienić routing - Zabezpieczenie: krótkie okresy wymiany kluczy (< 120 sekund) (SA) Atak na WPA(Ohigashi, Morii)(2009) - W 2009 japończycy: Toshihiro Ohigashi i Masakatsu Morii pokazali, że są w stanie złamać WPA w ciągu kilkunastu sekund z wykorzystaniem ataku Man-in-the middle - Ulepszony atak na strumień klucza(podatność w TKIP) - merged-wpa-tkip-broken-5.html Atak na WPA2 (1/1) Atak na WPS (1/5) (KA)AtaknaWPA2(Md Sohail Ahmad) (2010) - Atak na WPA2 (HOLE 196) jest wynikiem błędu projektowego i pozwala na wykonanie ataku MiTM - Żeby wykonać atak, trzeba samemu być uwierzytelnionym. - Wykorzystuje się znany klucz grupowy, fałszuje się broadcasta i szyfruje go kluczem grupowym - Urządzenia w sieci odpowiadają swoimi kluczami użytkownika - Rozwiązanie tunele VPN (KP)(2011)AtaknaWPS Wi-FiProtectedSetup sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf Dla ułatwienia konfiguracji sieci Wi-Fi, zaproponowano rozwiązanie nazwane Wi-Fi Protected Setup, które wymaga wykonania: - wciśnięcia przycisków na obu urządzeniach - wpisaniu PINu klienta w oknie AP - wpisaniu PINu AP w oknie klienta To trzecie rozwiązanie pozwala wykonać atak na WPA2!!!

10 Atak na WPS (2/5) Atak na WPS (3/5) (KP)(2011)AtaknaWPS Wi-FiProtectedSetup 8-bitowy PIN do szybkiej i bezpiecznej konfiguracji Błąd w implementacji tylko kombinacji do sprawdzenia!!! Większość routerów nie wykrywa ataku i nie blokuje go!!! Atak na WPS (4/5) Podsumowanie Przewaga zalet (mobilność, koszty) nad wadami (bezpieczeństwo) WEP łamalny dowolny klucz w b.krótkim czasie WPA (TKIP) łamalny krótki klucz w sensownym czasie (atak słownikowy/brutalny) lub zdobycie strumienia szyfrującego WPA2 (AES) znany atak na klucz użytkownika WPS zalecane wyłączyć!!!