La sicurezza delle reti wireless 802.11
Transcript
La sicurezza delle reti wireless 802.11
La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Net&System Security 2003 Pisa, 21 ottobre 2003 A cura di Claudio Ferrero e Davide Ferri AGENDA (PARTE TEORICA) • • • • Problematiche di sicurezza delle WLAN Stato dell’arte della tecnologia Le vulnerabilità del WEP L’evoluzione degli standard 2 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WIRELESS versus WIRED PROS: forniscono tutte le funzionalità delle rispettive wired non ci sono problemi di cablaggio offrono mobilità ai propri utenti CONS: le caratteristiche dell’accesso al canale radio espongono intrinsecamente la rete ad un numero crescente di minacce per la sicurezza dei dati 3 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WIRELESS LAN: Tipologie di minacce Si possono identificare le seguenti tipologie tipiche di violazione di una rete wireless, a cui possono ricondursi i problemi di sicurezza più ricorrenti: eavesdropping accessi non autorizzati interferenza e jamming danni materiali 4 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica AGENDA (PARTE TEORICA) • • • • Problematiche di sicurezza delle WLAN Stato dell’arte della tecnologia Le vulnerabilità del WEP L’evoluzione degli standard 5 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica IL WEP (WIRED EQUIVALENT PRIVACY) Standardizzato dall’IEEE 802.11b Working Group doveva nell’intenzione dei suoi progettisti: garantire per le reti wireless un livello di privacy equivalente a quello delle reti wired crittografando i segnali radio fornire un meccanismo di autenticazione all’interno della rete WEP utilizza i seguenti algoritmi: RC4 stream cipher Cyclic Redundancy Code (CRC) checksum 6 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica LA CIFRATURA 7 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica L’AUTENTICAZIONE L’IEEE 802.11 prevede due differenti meccanismi di autenticazione Open System Authentication: “Essentially it is a null authentication algorithm” (IEEE 802.11, section 8.1.1) Shared Key Authentication: l’accesso alla rete è controllato e si impediscono gli accessi agli utenti non autorizzati sfruttando il paradigma challenge - response 8 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica AGENDA (PARTE TEORICA) • • • • Problematiche di sicurezza delle WLAN Stato dell’arte della tecnologia Le vulnerabilità del WEP L’evoluzione degli standard 9 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WEAKNESS #1: KEYs IEEE 802.11 non specifica nessun meccanismo di gestione delle chiavi la gestione manuale delle chiavi è insicura ed è soggetta ad errori la condivisione di un’unica chiave per tutte le stazioni di una BSS introduce aggiuntive problematiche di sicurezza si autentica la scheda e non l’utente Lunghezza della chiave lo standard permette l’utilizzo di chiavi a 40 bit… tale lunghezza non è sufficiente a garantire un buon livello di sicurezza 10 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WEAKNESS #2: WEP CONFIDENTIALITY Anche se le chiavi sono ben distribuite e di lunghezza adeguata il WEP è insicuro a causa del riuso del keystream Consideriamo i plaintexts M1 e M2 cifrati con lo stesso IV1: C1 = P1 ⊕ RC4 (IV1, KBSS) , C2 = P2 ⊕ RC4 (IV1, KBSS) Allora C1⊕ C2 = (P1⊕ RC4(IV1, KBSS)) ⊕ (P2⊕ RC4(IV1, KBSS)) = P1 ⊕ P2 Conclusione: se un attaccante conosce P1 e C1 può scoprire P2 da C2 senza conoscere la KBSS i crittografici chiamano questo tipo di attacco “attack with known-plaintext” Quanto spesso viene riutilizzato lo stesso keystream ? una BSS con molto traffico esaurisce lo spazio disponibile degli IV (24 bit) in meno di una giornata 11 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WEAKNESS #3: WEP DATA INTEGRITY WEP utilizza l’algoritmo CRC-32 per assicurare l’integrità dei dati trasmessi l’università di Berkeley ha dimostrato che il CRC-32 non è appropriato per il WEP in quanto utilizza un checksum lineare, di conseguenza è possibile modificare un testo cifrato, ed i bit di differenza tra il checksum originale e quello modificato possono essere calcolati. Conclusione: un attaccante può alterare un testo cifrato ed “aggiustarne” il checksum in maniera appropriata. Il destinatario del messaggio non si accorge quindi che i dati ricevuti sono stati alterati. http://www.isaac.cs.berkeley.edu 12 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WEAKNESS #4: RC4 KEY SCHEDULING Nell’Agosto 2001 un nuovo tipo di attacco al WEP viene scoperto la chiave può essere recuperata in tempi brevi (poche ore) sniffando il traffico di una BSS l’attacco fa uso delle seguenti proprietà dell’RC4 e del suo utilizzo nel WEP: i bit di una chiave usata dall’RC4 sono deducibili se: molti msg sono cifrati con keystream generati da un IV e da una chiave fissa, e gli IV ed i primi due ottetti di un testo chiaro sono deducibili a partire da un msg cifrato gli IV nel WEP sono in chiaro i primi due bytes di un pacchetto cifrato possono essere indovinati L’attacco è descritto dal report “Using the Fluhrer, Mantin, and Shamir Attacl to Break WEP” di A. Stubblefield, J. Ioannis , A.D. Rubin 13 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica WEP’s WEAKNESSES: CONSEGUENZE Nascono e si proliferano svariati tool automatici (Kismet, AirSnort, Wep-Crack, …) in grado di effettuare uno scan delle reti wireless presenti sniffare i dati in transito carpire informazioni sulla rete (SID, indirizzamento, MAC Address, …) dedurre la chiave WEP in uso (che di fatto dà la possibilità ad un attaccante di fare ciò che vuole) In America prima ed in Europa in seguito nasce il fenomeno del WarDriving (cui fanno seguito il WarWalking, WarBiking, etc.) 14 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica AGENDA (PARTE TEORICA) • • • • Problematiche di sicurezza delle WLAN Stato dell’arte della tecnologia Le vulnerabilità del WEP L’evoluzione degli standard 15 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica EVOLUZIONE DEGLI STANDARD: 802.11i 16 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica SECURITY CAPABILITY DISCOVERY 802.11: Beacon / Probe Response permettono ad una STA di scoprire l’esistenza di un AP 802.11i: in tali msg un AP potrà pubblicare le sue security capability (RSN IE) in termini di meccanismi di autenticazione e crittografia supportati Una STA potrà selezionare tali meccanismi durante la procedura di associazione con l’AP l’associazione NON va a buon fine se non c’e’ matching In tale fase la STA si “autentica” all’AP in modalità Open, ma la vera e propria autenticazione della STA avverrà nella fase successiva (802.1x authentication) 17 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica 802.1X AUTHENTICATION (I) 802.11i prevede l’utilizzo dello standard IEEE 802.1x per “Port base Network Access Control” 802.1x È lo standard per Port based Network Access Control E’ Applicabile alle reti 802.3 Ethernet, Token Ring, Wireless LAN Definisce l’Extensible Application Protocol over LANs (EAPOL), un protocollo che fornisce un framework per la negoziazione di un meccanismo di autenticazione Si basa sul PPP Extensible Authentication Protocol Non definisce esplicitamente nessun meccanismo di autenticazione Non è un protocollo di autenticazione Non garantisce un algoritmo di autenticazione sicuro per applicazioni wireless 18 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica 802.1X AUTHENTICATION (II) Esistono diversi tipi di EAP EAP – TLS (Transport Layer Security) EAP – TTLS (EAP Tunneled TLS Authentication Protocol) EAP – MD5 PEAP LEAP … 802.11i NON specifica l’utilizzo di un particolare metodo EAP, stabilisce però alcuni vincoli cui deve sottostare un metodo per poter essere ritenuto valido: garantire mutua autenticazione (ora si autentica l’utente e non il dispositivo); poter derivare una chiave di sessione (per risolvere i problemi legati alla gestione delle chiavi) 19 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica MODELLO DI FUNZIONAMENTO 20 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica 802.1x KEY MANAGEMENT 802.11i apporta considerevoli estensioni all’IEEE 802.1x per quanto riguarda il key management durante la fase di autenticazione STA ed AS derivano una chiave di sessione PMK (Pairwise Master Key) AS distribuisce poi la PMK all’AP (cui è associata quella stazione) partendo dalla PMK, STA ed AP eseguono in sequenza due procedure (4-way handshake e 2-way handshake) in cui derivano due chiavi PTK (Pairwise Transient Key) per la protezione del traffico unicast GTK (GroupTransient Key) per la protezione del traffico multicast 21 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica 802.1x/EAP CONCLUSIONI 802.1x / EAP rafforza l’architettura di sicurezza di una rete wireless permette di autenticare un soggetto e non solo una scheda risolve il problema di gestione delle chiavi per il WEP (weakness #1) se genera chiavi dinamiche per sessione rende più arduo un attacco basato su RC4 key scheduling Non si risolvono comunque tutte le debolezze del WEP Weakness #2: WEP confidentiality Weakness #3: WEP data integrity Weakness #4: RC4 Key Scheduling 22 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica DATA PROTECTION 802.11i definisce due differenti meccanismi per la protezione dei dati: TKIP (Temporal Key Integrity Protocol) CCMP (Counter Mode with CBC-MAC Protocol) La coesistenza di due soluzioni deriva dalla necessità di avere una soluzione di media robustezza in grado di funzionare con l’hw attuale (TKIP) ed una più robusta pensata per prodotti di nuova generazione (CCMP) 23 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica TKIP (Temporal Key integrity Protocol) TKIP estende la soluzione WEP apportando i seguenti correttivi: (1) estensione dell’IV da 24 a 48 bit. Inoltre l’IV viene trattato come sequence number dei pacchetti, fornendo funzionalità anti-replay. (vedi weakness #2) (2) il key stream viene ora generato a partire da una chiave RC4 unica per pacchetto. L’univocità è garantita legando la sua generazione alla PTK generata dinamicamente, all’IV esteso e al TA (vedi weakness #4) (3) il Message Integrity Code (MIC) è ora calcolato sostituendo CRC-32 con un algoritmo crittografico chiamato Michael (vedi weakness #3) 24 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica CCMP (Counter Mode with CBC-MAC Protocol) Abbandona completamente il retaggio WEP e rappresenta una soluzione innovativa nel panorama delle tecniche crittografiche perché: Utilizza l’Advanced Encryption Standard (AES) Utilizza una modalità crittografica combined mode, cioè un’unica primitiva crittografica garantisce contemporaneamente cifratura ed autenticazione 802.11i sta analizzando due soluzioni alternative: WRAP basato sulla modalità OCB (Offset Codebook Block) CCMP basato sulla modalità CCM (Counter Mode with CBC-MAC) 25 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Agenda (PARTE PRATICA) • Circondati da informazioni • Alzare barricate • Altri pericoli e vulnerabilità 26 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Wardriving • Nasce come assonanza di Wardialing (War Games) • Consiste nell’andare in giro con qualunque mezzo di trasporto,un dispositivo portatile, una scheda wifi ed un’antenna a caccia di reti wireless. • L’arte delle antenne 27 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Antenne artigianali 28 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Le informazioni disponibili sull’etere • Le informazioni ricavabili dall’etere: – Canale radio – Beacon – Velocità Æ 802.11, 802.11b o 802.11g – MAC address Æ Produttore degli apparati – Uso di cifratura – Presenza di traffico Æ Persone in ufficio – (SSID) luogo) Æ (descrizione proprietario o del – (indirizzo IP) Æ Mappa indirizzamento – (dati) 29 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Wardriving 30 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Wardriving Antenna 12 dB 31 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Wardriving • 80 Km percorsi • 10 ore • 69 Access Point ¾ 23 wep ¾ 46 in chiaro • 5 reti ad Hoc • 14 schede isolate 13 marzo 2003 32 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Agenda (PARTE PRATICA) • Circondati da informazioni • Alzare barricate • Altri pericoli e vulnerabilità 33 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica SSID • Individua una “virtual LAN” • In pratica serve ad individuare il MAC address dell’Access Point • Il SSID è un parametro per il funzionamento della WLAN, non si può basare la sicurezza sul solo SSID. • È buona abitudine non diffondere in broadcast il SSID 34 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Ottenere il SSID • Questo parametro è necessario per accedere ad una WLAN • Se viene diffuso in broadcast è sufficiente un analizzatore di protocolli per trovarlo in ogni pacchetto di beacon. • Se non viene diffuso bisogna mettersi in ascolto e cercare dei pacchetti di probe response oppure inviare esplicitamente all’AP un pacchetto di probe request ed attendere la risposta. 802.11 Management - Probe Request 802.11 Management - Probe Response SSID SSID Element ID: 0 SSID Length: 0 [25] [24] Element ID: 0 SSID Length: 3 [37] SSID: csp [36] [38-40] 35 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Ottenere il SSID 36 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Filtri sui MAC address • Dove possibile, è utile restringere l’accesso all’AP alle sole schede wireless note attivando ACL. • Tutti gli AP recenti offrono la possibilità di usare ACL • Le ACL sono utili anche sui servizi di rete come il DHCP 37 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Superare una ACL • Attraverso un analizzatore di protocolli si individuano i mac address accreditati sulla rete wireless • Sostituzione del MAC address: – In linux con il comando ifconfig: Ifconfig eth1 hw ether 00:40:96:55:44:33 – Con windows occorre editare il registro : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972E325-11CE-BFC1-08002BE10318} e cercare o inserire la seguente voce NetworkAddress con il valore del mac valido. 38 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Superare una ACL • Esempio di MAC address spoofing con Windows 2000 39 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Superare una ACL • Esempio di MAC address spoofing con Windows XP 40 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Cifratura ed autenticazione • Autenticazione shared key • Cifratura WEP • Sostituzione frequente delle chiavi 41 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Ottenere la chiave wep • Il primo modo di ricavare la chiave è la ricerca in chiaro • Il secondo modo è di utilizzare la nota vulnerabilità del wep che viene sfruttata da tools come airsnort e wep crack. • Il terzo modo è di utilizzare un attacco di brute-force. Per le chiavi da 40 bit si stimano circa due settimane di computazione su una macchina ad alte prestazioni. 42 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Esperienza CSP Rottura di chiavi WEP • All’inizio del 2002 sono state effettuate delle prove con Airsnort • Gli scopi erano: – Valutare il comportamento di schede diverse – Valutare il tempo necessario – Valutare il numero di pacchetti necessari • Le – – – schede testate sono state: Aironet 4800 - 3Com airconnect Orinoco silver - CompaQ WL110 Nokia D211 - ZyAir B-100 43 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Esperienza CSP Rottura di chiavi WEP:risultati • La chiave è stata rotta • Il tempo necessario per rompere la chiave a 128 bit è circa il doppio della chiave a 64 bit. • Per rompere una chiave da 64 bit servono circa 14001600 in circa 3 ore di traffico intenso • Per rompere la chave da 128 bit servono circa 3500 pacchetti con IV deboli in circa 10 ore di traffico intenso • Alcune schede non producono pacchetti utili all’attacco 44 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Esperienza CSP Rottura di chiavi WEP 45 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Agenda (PARTE PRATICA) • Circondati da informazioni • Alzare barricate • Altri pericoli e vulnerabilità 46 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Denial of service • Un attaccante può effettuare un attacco di tipo denial of service sfruttando lo standard 802.11. • Inviando dei pacchetti di disassociazione a nome dell’AP (con il suo mac address) si possono fare disassociare tutte le stazioni (con mac ff:ff:ff:ff:ff:ff) o una in particolare (specificando il mac della vittima) • La stazione non si può appellare e deve disconnettersi. • Un tool che esegue questo tipo di attacco è: Airjack. 47 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Esperienza CSP su Denial of Service 48 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica LEAP • Fonte: http://forums.cisco.com/eforum/servlet/NetProf?page=netprof&CommCmd =MB%3Fcmd%3Ddisplay_location%26location%3D.ee9424e • Durante l’autenticazione Radius lo username è in chiaro e la password può essere recuperata attraverso dictionary attack. • Si tratta di un attacco difficile che non garantisce il risultato. • La raccomandazione è di usare password robuste. 49 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Attaccare il WPA • Non è ancora utilizzato, ma già si parla di vulnerabilità DoS • L’algoritmo “Michael”, per proteggersi da attacchi di tipo brute-force, disattiva la scheda wireless per un minuto se riconosce principi di attacco. • Per causare un DoS è sufficiente inviare burst di 2 pacchetti di tipo autenticazione (errati) ogni minuto. 50 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica Conclusioni • In attesa che venga adottato lo standard 802.11i la sicurezza si deve costruire con acl, cifratura WEP e sostituzione frequente delle chiavi. • Anche la fase di progetto deve essere fatta con cura, ad esempio evitando di collegare gli AP sulla rete interna, ma a monte di un firewall. • Se si lavora con dati sensibili valutare bene l’opportunità di usare la wireless. • Dove possibile utilizzare VPN 51 La sicurezza delle reti wireless 802.11: dalla teoria alla pratica SecureLAB [email protected] [email protected] Domande ? Pisa, 21 ottobre 2003