Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013
W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2
Opcje autentykacji 802.11 Shared Key zaszłość z czasów WEP a Nie Używać! Open autentykacja bez klucza współdzielonego WEP MAC (L2) PSK (L2) 802.1x (L2) HTTP (L3) VPN (L3) 3
Open vs. Shared Key Authentication 4
L2 czy L3 Uwierzytelnianie w warstwie 2 czy 3? Problem jajka i kury najpierw adres IP czy najpierw autentykacja Problem nr. 2 jak zmienić VLAN (adres IP) po autentykacji L3 Skąd wziąć poświadczenia i jak ustawić profil sieci bezprzewodowej na urządzeniu 5
L2 MAC Adres MAC przesyłany w każdym nagłówku czystym tekstem nie jest tajny Możliwość podszywania się/przejęcia sesji Używany jako identyfikator urządzenia w rozwiązaniach BYOD, korelowany z użytkownikiem (ręczna lub automatyczna rejestracja) Możliwość stworzenia zewnętrznej bazy adresów MAC i autentykacji za pomocą RADIUS a (username: MAC, pass: MAC) 6
L2 PSK PSK TYLKO W DOMU! klucz współdzielony! Jak coś jest współdzielone to nie jest tajne kłopoty w przypadku kradzieży urządzenia/odejścia pracownika etc. WPS jako uproszczenie prostego mechanizmu użytkownik nie jest w stanie sam wymyśleć frazy, dlatego zastąpmy ją PIN em lub guzikiem na obudowie. WPS z PIN em = 11h do podłączenia 8 cyfr, ostatnia sumą kontrolną. Odrębna weryfikacja połowy PIN u (4 tajne + 3 tajne cyfry + suma kontrolna) 10 000 i 1000 kombinacji do złamania 7
L2 802.1x z EAP Najlepszy możliwy mechanizm uwierzytelniania w sieci bezprzewodowej Wzajemna autentykacja (klient->infrastruktura/infrastruktura->klient) Wiele opcji autentykacji (Nazwa użytkownika i hasło, hasło jednorazowe, certyfikat) Różny stopień trudności wdrożenia, w zależności od wybranej opcji 8
802.1x EAP 9
Typy EAP Podstawowe: PEAP EAP-TLS i inne: EAP MD5 EAP-TTLS EAP-FAST LEAP 10
PEAP Wymyślony przez Microsoft wspierany na wszystkich komputerach z MS Windows i bardzo powszechny Uwierzytelnianie klienta Nazwa użytkownika i hasło Uwierzytelnianie infrastruktury Certyfikat serwera RADIUS Wewnętrzna metoda MSCHAPv2 Bezpieczeństwo zależy od dobrej implementacji 11
PEAP - konfiguracja Diabeł tkwi w szczegółach 12
EAP-TLS Uważany za najbezpieczniejszą metodę autentykacji Wymaga wdrożenia pełnej infrastruktury klucza publicznego (PKI) Nie posiada wewnętrznej metody Uwierzytelnianie klienta Certyfikat klienta Uwierzytelnianie infrastruktury Certyfikat serwera RADIUS 13
EAP inne EAP-MD5 najbardziej prymitywny, nie stosowany w Wi-Fi ze względu na marne bezpieczeństwo LEAP rozwijany przez Cisco, podatny na ataki, niebezpieczny EAP-FAST następca LEAP. Rozwijany przez Cisco. Funkcjonalnie podobny do EAP-TLS z dodatkową opcjonalną fazą 0 (Anonymous Provisioning), wykorzystuje PAC zamiast certyfikatów cyfrowych. Faza 0 podatna na ataki podszywania 14
L3 HTTP(S) Mechanizm opiera się na przekierowaniu na formularz logowania http(s) Dane nie są zaszyfrowane, autentykacja tak (SSL) Podatność na ataki typu hotspot injection Podatność na tunelowanie (np. DNS) Można używać jej z prostym mechanizmem autentykacji L2 np. PSK 15
Hotspot Injection 16
Tunelowanie DNS 17
L3 - VPN Kiedyś popularna metoda autentykacji, szczególnie w czasach niebezpiecznego WEP a Zakłada brak szyfrowania w L2, najczęściej stosowany IPSEC (L3) Eksponowana Infrastruktura Firmy (Koncentrator VPN, router, DNS, DHCP) VRRP/HSRP/LLDP/CDP? 18
Odnajdowanie sieci bezprzewodowej Dwie metody -> aktywnie i pasywnie Klient odnajduje sieć bezprzewodową na dwa sposoby: Aktywny (słucha ramek beacon) Pasywny (wysyła ramki probe request i odpowiedzi) W skanowaniu pasywnym wysyła nazwę sieci w każdej ramce probe request Czy aby na pewno ukrywać SSID? 20