WEP - Angriffe - DFN-CERT

12. DFN-CERT Workshop
Wireless Security
W(EP|PA|PA2)
[email protected]
Überblick
WEP
Cisco LEAP
WPA
WPA2 / 802.11i
Zusammenfassung / Schutzmaßnahmen
WEP
WEP = Wired Equivalent Privacy
Optionaler Schutzmechanismus des 802.11
Standards
Design-Ziel: Schaffung der selben Sicherheit
wie bei drahtgebundenem LAN
Aufgaben
Vertraulichkeit
Authentisierung
WEP - Verschlüsselung
WEP - Authentisierung
WEP- Schwachstellen
Nur Daten-Frames werden verschlüsselt,
keine Verifikation von Management Frames
IVs: 24 Bit, zu klein
Keine vernünftigen Integrity Checks (nur
CRC32)
statische Schlüssel, kein re-keying
Replay Angriffe möglich
WEP - Angriffe
Newsham: Key-Generator Angriff
Schwachstelle in vielen Key Generator
verkleinert Schlüsselraum
Brute Force Angriff möglich
FMS (Fluhrer, Mantin, Shamir)
"schwache IVs" können Teile des Schlüssels
angreifbar machen
Tools: Airsnort
ca. 5-10 Mio. Pakete benötigt
WEP - Angriffe
Improved FMS
benötigt ebenfalls "schwache IVs"
verwendet effizientere Prüfmethoden
Tools: dwepcrack
ca. 500.000 - 2 Mio. Pakete
statistischer KoreK-Angriff
Tools: aircrack, weplab
benötigt nur einzigartige IVs (keine schwachen)
ab 75.000 Pakete erfolgreich
WEP - Angriffe
WEP - Angriffe
Reinjection
Anstatt auf Pakete zu warten, werden diese
selbst produziert
verschlüsselte Pakete mit bestimmter Länge
werden aufgezeichnet (arp Broadcasts, DHCP,
pings) und re-injeziert
Erzeugen neuen Netzwerk-Traffic
Tools: reinj.c, aireplay
WEP - Zusammenfassung
WEP ist gebrochen
Proprietäre Erweiterung (WEP-Plus etc.)
lösen das Problem nicht
Manuelles Re-Keying "in regelmässigen
Abständen" ist sinnlos
Der Mythos "SOHO Netze mit wenig
Netzwerkverkehr sind relativ sicher" ist
genau das: ein Mythos
Cisco LEAP
proprietäre Hersteller-Lösung
versucht, Verbesserungen einzuführen, als
Ersatz für Standard-WEP
Ziel: einfache Handhabung, verbesserte
Sicherheit
Verwendet als erste Wireless-Lösung 802.1x
Gegenwärtig noch sehr stark verbreitet
Häufig auch bei embedded Systemen
anzutreffen
LEAP - Authentisierung
LEAP - Angriffe
LEAP basiert auf MS-CHAP, ergänzt um
beidseitige Authentisierung
Schlüssel: pre-shared Key
Anfällig für Wörterbuch- und Brute-Force
Angriffe
Tools: Asleap von Joshua Wright
benötigt Mitschnitt der Auth-Phase
Angreifer kann gezielt DeAuth durchführen
Kombinierbar mit "John the Ripper" ListenPermutation
LEAP- Angriffe
WPA
WPA = Wi-Fi Protected Access
Hersteller-Standard
Füllt (zeitliche) Lücke zwischen WEPDebakel und 802.11i
Vorgabe: sanfte Migration, keine Änderung
der Hardware
Damit bleibt RC4-Verschlüsselung von WEP
erhalten
WPA
Folgende Pseudoformel beschreibt WPA:
WPA =
{802.1X + EAP + TKIP + MIC + (RADIUS*X)}
If WPA-PSK, X=0; ELSE X=1
WPA
Authentisierung: 802.1x
WPA
WPA
EAP benötigt Authentisierungs-Methode auf
Upper Layer
EAP-TLS, EAP-Kerberos, EAP-MD5...
Die Wahl der richtigen Methode entscheidet
über Sicherheits-Klasse des Netzes
Die sichersten Verfahren erzeugen (wie
üblich) den größten Aufwand
z.B. EAP-TLS: benötigt eine PKI
WPA
Nachteil der meisten EAP-Auth-Methoden:
Die User-Identität ist frei zugänglich
Die letzte EAP-Bestätigung oder Ablehnung
kann gefälscht werden
Einsatz von Tunnel-Verfahren
EAP-TTLS, EAP-PEAP
Bauen erst TLS-Tunnel zum Server auf
nachgelagerte Authentisierungs-Phase
WPA
Vertraulichkeit, Integrität
TKIP (Temporal Key Integrity Protocol)
IV (48 Bit): keine (schnellen) Wiederholungen
IV als Sequence Counter gegen Replay Angriffe
Vermeidung von "schwachen IVs"
MIC: Kryptographische Prüfsummme (MICHAEL)
statt nur Integrity Check Value (ICV)
Dynamisches Re-Keying (pro Paket)
Verschlüsselung: weiterhin RC4 (wegen HardwareKompatibilität)
WPA
Kennt zwei verschiedene Modi
WPA PSK
statt RADIUS-Server: Pre-Shared Keys
für SOHO-Bereich gedacht
Anfällig für Wörterbuch-Angriffe
WPA Enterprise
benötigt eigenen Radius Server
WPA - Angriffe
Wörterbuchangriff gegen WPA PSK
Tool: z.B. coWPAtty von Joshua Wright
Als Input reicht ein aufgezeichneter TKIP
Handshake
Prüft (offline) gegen Wörterbuch
Der Angriff ist allerdings aufgrund von 4096
Hashsummen Berechnungen sehr langsam
Highend-PC: ca. 70 Tests/Sekunde möglich
Gegenmaßnahmen:
Zufällige, sehr lange Passwörter
WPA - Angriffe
802.11i
Unterschiede zu WPA:
AES-CCMP (Counter Mode-CBC MAC Protocol)
statt TKIP
Benötigt neue Hardware
Geringere Schlüssellängen nötig
Schneller und sicherer
Behebt potentielle Schwachstelle mit TKIP/MIC
•
•
•
•
Wahrscheinlichkeit für identische Prüfsumme: 1:1.000.000
Brute Force Angriff möglich
Sicherheitsmaßnahme: 60 Sekunden Blackout des AP
Denial-of-Service Angriff möglich
Sicherheitsmaßnahmen
Abhängig vom Bedarfs-Profil:
WEP deaktivieren
LEAP wenn möglich ablösen, ansonsten:
möglichst lange, zufällige Passwörter verwenden
Umstieg zumindest auf WPA
WPA-Enterprise, wenn Infrastruktur vorhanden
WPA-PSK für kleine Netze, mit langem Zufalls-PW
WPA/WPA2
Wahl einer geeigneten "sicheren" AuthentisierungsMethode ( z.B. EAP-TLS, EAP-LEAP, EAP-TTLS)
Sicherheitsmaßnahmen
Installation eines Wireless IDS
Hauptgefahr: Rogue Access Points
Angreifer oder Mitarbeiter schließt AP an PC im
inneren Firmennetzwerk an
Umgeht gesamte externe Sicherheitsvorkehrungen
Erkennung von Angriffen auf 802.11
Kommunikation
Benötigt flächendeckende Absicherung
verteiltes Systemen mit mehreren Sensoren
High Gain Antennen