La sicurezza delle reti wireless 802.11

Transcript

La sicurezza delle reti
wireless 802.11:
dalla teoria alla pratica
Net&System Security 2003
Pisa, 21 ottobre 2003
A cura di Claudio Ferrero e Davide Ferri
AGENDA (PARTE TEORICA)
•
•
•
•
Problematiche di sicurezza delle WLAN
Stato dell’arte della tecnologia
Le vulnerabilità del WEP
L’evoluzione degli standard
2
La sicurezza delle reti wireless 802.11: dalla teoria alla pratica
WIRELESS versus WIRED
PROS:
forniscono tutte le funzionalità delle rispettive
wired
non ci sono problemi di cablaggio
offrono mobilità ai propri utenti
CONS:
le caratteristiche dell’accesso al canale radio
espongono intrinsecamente la rete ad un
numero crescente di minacce per la sicurezza
dei dati
3
WIRELESS LAN: Tipologie di minacce
Si possono identificare le seguenti tipologie
tipiche di violazione di una rete wireless, a cui
possono ricondursi i problemi di sicurezza più
ricorrenti:
eavesdropping
accessi non autorizzati
interferenza e jamming
danni materiali
4
•
•
•
•
5
IL WEP (WIRED EQUIVALENT PRIVACY)
Standardizzato dall’IEEE 802.11b Working
Group doveva nell’intenzione dei suoi
progettisti:
garantire per le reti wireless un livello di
privacy equivalente a quello delle reti wired
crittografando i segnali radio
fornire un meccanismo di autenticazione
all’interno della rete
WEP utilizza i seguenti algoritmi:
RC4 stream cipher
Cyclic Redundancy Code (CRC) checksum
6
LA CIFRATURA
7
L’AUTENTICAZIONE
L’IEEE 802.11 prevede due differenti
meccanismi di autenticazione
Open System Authentication: “Essentially it
is a null authentication algorithm” (IEEE
802.11, section 8.1.1)
Shared Key Authentication: l’accesso alla
rete è controllato e si impediscono gli
accessi agli utenti non autorizzati sfruttando
il paradigma challenge - response
8
•
•
•
•
9
WEAKNESS #1: KEYs
IEEE 802.11 non specifica nessun meccanismo
di gestione delle chiavi
la gestione manuale delle chiavi è insicura
ed è soggetta ad errori
la condivisione di un’unica chiave per tutte
le stazioni di una BSS introduce aggiuntive
problematiche di sicurezza
si autentica la scheda e non l’utente
Lunghezza della chiave
lo standard permette l’utilizzo di chiavi a 40
bit… tale lunghezza non è sufficiente a
garantire un buon livello di sicurezza
10
WEAKNESS #2: WEP CONFIDENTIALITY
Anche se le chiavi sono ben distribuite e di lunghezza
adeguata il WEP è insicuro a causa del riuso del
keystream
Consideriamo i plaintexts M1 e M2 cifrati con lo stesso IV1:
C1 = P1 ⊕ RC4 (IV1, KBSS) , C2 = P2 ⊕ RC4 (IV1, KBSS)
Allora
C1⊕ C2 = (P1⊕ RC4(IV1, KBSS)) ⊕ (P2⊕ RC4(IV1, KBSS)) = P1 ⊕ P2
Conclusione: se un attaccante conosce P1 e C1 può scoprire
P2 da C2 senza conoscere la KBSS
i crittografici chiamano questo tipo di attacco “attack with
known-plaintext”
Quanto spesso viene riutilizzato lo stesso keystream ?
una BSS con molto traffico esaurisce lo spazio disponibile
degli IV (24 bit) in meno di una giornata
11
WEAKNESS #3: WEP DATA INTEGRITY
WEP utilizza l’algoritmo CRC-32 per assicurare
l’integrità dei dati trasmessi
l’università di Berkeley ha dimostrato che il
CRC-32 non è appropriato per il WEP in
quanto utilizza un checksum lineare, di
conseguenza è possibile modificare un testo
cifrato, ed i bit di differenza tra il checksum
originale e quello modificato possono essere
calcolati.
Conclusione: un attaccante può alterare un
testo cifrato ed “aggiustarne” il checksum in
maniera appropriata. Il destinatario del
messaggio non si accorge quindi che i dati
ricevuti sono stati alterati.
http://www.isaac.cs.berkeley.edu
12
WEAKNESS #4: RC4 KEY SCHEDULING
Nell’Agosto 2001 un nuovo tipo di attacco al WEP viene
scoperto
la chiave può essere recuperata in tempi brevi (poche
ore) sniffando il traffico di una BSS
l’attacco fa uso delle seguenti proprietà dell’RC4 e del
suo utilizzo nel WEP:
i bit di una chiave usata dall’RC4 sono deducibili se:
molti msg sono cifrati con keystream generati da un IV e da
una chiave fissa, e
gli IV ed i primi due ottetti di un testo chiaro sono deducibili
a partire da un msg cifrato
gli IV nel WEP sono in chiaro
i primi due bytes di un pacchetto cifrato possono essere
indovinati
L’attacco è descritto dal report “Using the Fluhrer, Mantin,
and Shamir Attacl to Break WEP” di A. Stubblefield, J.
Ioannis , A.D. Rubin
13
WEP’s WEAKNESSES: CONSEGUENZE
Nascono e si proliferano svariati tool automatici
(Kismet, AirSnort, Wep-Crack, …) in grado di
effettuare uno scan delle reti wireless
presenti
sniffare i dati in transito
carpire informazioni sulla rete (SID,
indirizzamento, MAC Address, …)
dedurre la chiave WEP in uso (che di fatto dà
la possibilità ad un attaccante di fare ciò che
vuole)
In America prima ed in Europa in seguito nasce
il fenomeno del WarDriving (cui fanno seguito il
WarWalking, WarBiking, etc.)
14
•
•
•
•
15
EVOLUZIONE DEGLI STANDARD: 802.11i
16
SECURITY CAPABILITY DISCOVERY
802.11: Beacon / Probe Response permettono ad
una STA di scoprire l’esistenza di un AP
802.11i: in tali msg un AP potrà pubblicare le sue
security capability (RSN IE) in termini di
meccanismi di autenticazione e crittografia
supportati
Una STA potrà selezionare tali meccanismi durante
la procedura di associazione con l’AP
l’associazione NON va a buon fine se non c’e’
matching
In tale fase la STA si “autentica” all’AP in modalità
Open, ma la vera e propria autenticazione della
STA avverrà nella fase successiva (802.1x
authentication)
17
802.1X AUTHENTICATION (I)
802.11i prevede l’utilizzo dello standard IEEE 802.1x
per “Port base Network Access Control”
802.1x
È lo standard per Port based Network Access Control
E’ Applicabile alle reti 802.3 Ethernet, Token Ring,
Wireless LAN
Definisce l’Extensible Application Protocol over LANs
(EAPOL), un protocollo che fornisce un framework
per la negoziazione di un meccanismo di
autenticazione
Si basa sul PPP Extensible Authentication Protocol
Non definisce esplicitamente nessun meccanismo di
autenticazione
Non è un protocollo di autenticazione
Non garantisce un algoritmo di autenticazione sicuro
per applicazioni wireless
18
802.1X AUTHENTICATION
(II)
Esistono diversi tipi di EAP
EAP – TLS (Transport Layer Security)
EAP – TTLS (EAP Tunneled TLS Authentication
Protocol)
EAP – MD5
PEAP
LEAP
…
802.11i NON specifica l’utilizzo di un particolare metodo
EAP, stabilisce però alcuni vincoli cui deve sottostare un
metodo per poter essere ritenuto valido:
garantire mutua autenticazione (ora si autentica
l’utente e non il dispositivo);
poter derivare una chiave di sessione (per risolvere i
problemi legati alla gestione delle chiavi)
19
MODELLO DI FUNZIONAMENTO
20
802.1x KEY MANAGEMENT
802.11i apporta considerevoli estensioni all’IEEE 802.1x
per quanto riguarda il key management
durante la fase di autenticazione STA ed AS derivano
una chiave di sessione PMK (Pairwise Master Key)
AS distribuisce poi la PMK all’AP (cui è associata
quella stazione)
partendo dalla PMK, STA ed AP eseguono in
sequenza due procedure (4-way handshake e 2-way
handshake) in cui derivano due chiavi
PTK (Pairwise Transient Key) per la protezione del
traffico unicast
GTK (GroupTransient Key) per la protezione del
traffico multicast
21
802.1x/EAP CONCLUSIONI
802.1x / EAP
rafforza l’architettura di sicurezza di una rete
wireless
permette di autenticare un soggetto e non solo una
scheda
risolve il problema di gestione delle chiavi per il WEP
(weakness #1)
se genera chiavi dinamiche per sessione rende più
arduo un attacco basato su RC4 key scheduling
Non si risolvono comunque tutte le debolezze del WEP
Weakness #2: WEP confidentiality
Weakness #3: WEP data integrity
Weakness #4: RC4 Key Scheduling
22
DATA PROTECTION
802.11i definisce due differenti meccanismi
per la protezione dei dati:
TKIP (Temporal Key Integrity Protocol)
CCMP (Counter Mode with CBC-MAC
Protocol)
La coesistenza di due soluzioni deriva dalla
necessità di avere una soluzione di media
robustezza in grado di funzionare con l’hw
attuale (TKIP) ed una più robusta pensata per
prodotti di nuova generazione (CCMP)
23
TKIP (Temporal Key integrity Protocol)

TKIP estende la soluzione WEP apportando i
seguenti correttivi:
(1) estensione dell’IV da 24 a 48 bit. Inoltre l’IV
viene trattato come sequence number dei
pacchetti, fornendo funzionalità anti-replay.
(vedi weakness #2)
(2) il key stream viene ora generato a partire da
una chiave RC4 unica per pacchetto.
L’univocità è garantita legando la sua
generazione alla PTK generata
dinamicamente, all’IV esteso e al TA (vedi
weakness #4)
(3) il Message Integrity Code (MIC) è ora
calcolato sostituendo CRC-32 con un algoritmo
crittografico chiamato Michael (vedi weakness
#3)
24
CCMP (Counter Mode with CBC-MAC Protocol)
Abbandona completamente il retaggio WEP e
rappresenta una soluzione innovativa nel
panorama delle tecniche crittografiche perché:
Utilizza l’Advanced Encryption Standard (AES)
Utilizza una modalità crittografica combined
mode, cioè un’unica primitiva crittografica
garantisce contemporaneamente cifratura ed
autenticazione
802.11i sta analizzando due soluzioni
alternative:
WRAP basato sulla modalità OCB (Offset
Codebook Block)
CCMP basato sulla modalità CCM (Counter
Mode with CBC-MAC)

25
Agenda (PARTE PRATICA)
• Circondati da informazioni
• Alzare barricate
• Altri pericoli e vulnerabilità
26
Wardriving
• Nasce come assonanza di Wardialing (War Games)
• Consiste nell’andare in giro con qualunque mezzo di
trasporto,un dispositivo portatile, una scheda wifi ed
un’antenna a caccia di reti wireless.
• L’arte delle antenne
27
Antenne artigianali
28
Le informazioni disponibili sull’etere
• Le informazioni ricavabili dall’etere:
– Canale radio
– Beacon
– Velocità
Æ 802.11, 802.11b o 802.11g
– MAC address Æ Produttore degli apparati
– Uso di cifratura
– Presenza di traffico Æ Persone in ufficio
– (SSID)
luogo)
Æ (descrizione proprietario o del
– (indirizzo IP) Æ Mappa indirizzamento
– (dati)
29
Wardriving
30
Wardriving
Antenna 12 dB
31
Wardriving
• 80 Km percorsi
• 10 ore
• 69 Access Point
¾ 23 wep
¾ 46 in chiaro
• 5 reti ad Hoc
• 14 schede isolate
13 marzo 2003
32
33
SSID
• Individua una “virtual LAN”
• In pratica serve ad individuare il MAC address
dell’Access Point
• Il SSID è un parametro per il funzionamento della
WLAN, non si può basare la sicurezza sul solo SSID.
• È buona abitudine non diffondere in broadcast il SSID
34
Ottenere il SSID
• Questo parametro è necessario per accedere ad una WLAN
• Se viene diffuso in broadcast è sufficiente un analizzatore
di protocolli per trovarlo in ogni pacchetto di beacon.
• Se non viene diffuso bisogna mettersi in ascolto e cercare
dei pacchetti di probe response oppure inviare
esplicitamente all’AP un pacchetto di probe request ed
attendere la risposta.
802.11 Management - Probe Request
802.11 Management - Probe Response
SSID
SSID
Element ID:
0
SSID
Length:
0
[25]
[24]
Element ID:
0
SSID
Length:
3
[37]
SSID:
csp
[36]
[38-40]
35
Ottenere il SSID
36
Filtri sui MAC address
• Dove possibile, è utile restringere l’accesso all’AP alle
sole schede wireless note attivando ACL.
• Tutti gli AP recenti offrono la possibilità di usare ACL
• Le ACL sono utili anche sui servizi di rete come il DHCP
37
Superare una ACL
• Attraverso un analizzatore di protocolli si
individuano i mac address accreditati sulla rete
wireless
• Sostituzione del MAC address:
– In linux con il comando ifconfig:
Ifconfig eth1 hw ether 00:40:96:55:44:33
– Con windows occorre editare il registro :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972E325-11CE-BFC1-08002BE10318}
e cercare o inserire la seguente voce
NetworkAddress con il valore del mac valido.
38
Superare una ACL
• Esempio di MAC address spoofing con Windows 2000
39
Superare una ACL
• Esempio di MAC address spoofing con Windows XP
40
Cifratura ed autenticazione
• Autenticazione shared key
• Cifratura WEP
• Sostituzione frequente delle chiavi
41
Ottenere la chiave wep
• Il primo modo di ricavare la chiave è la ricerca in chiaro
• Il secondo modo è di utilizzare la nota vulnerabilità del
wep che viene sfruttata da tools come airsnort e wep
crack.
• Il terzo modo è di utilizzare un attacco di brute-force.
Per le chiavi da 40 bit si stimano circa due settimane di
computazione su una macchina ad alte prestazioni.
42
Esperienza CSP Rottura di chiavi WEP
• All’inizio del 2002 sono state effettuate delle prove con
Airsnort
• Gli scopi erano:
– Valutare il comportamento di schede diverse
– Valutare il tempo necessario
– Valutare il numero di pacchetti necessari
• Le
–
–
–
schede testate sono state:
Aironet 4800
- 3Com airconnect
Orinoco silver
- CompaQ WL110
Nokia D211
- ZyAir B-100
43
Esperienza CSP Rottura di chiavi WEP:risultati
• La chiave è stata rotta
• Il tempo necessario per rompere la chiave a 128 bit è
circa il doppio della chiave a 64 bit.
• Per rompere una chiave da 64 bit servono circa 14001600 in circa 3 ore di traffico intenso
• Per rompere la chave da 128 bit servono circa 3500
pacchetti con IV deboli in circa 10 ore di traffico intenso
• Alcune schede non producono pacchetti utili all’attacco
44
Esperienza CSP Rottura di chiavi WEP
45
46
Denial of service
• Un attaccante può effettuare un attacco di tipo denial
of service sfruttando lo standard 802.11.
• Inviando dei pacchetti di disassociazione a nome dell’AP
(con il suo mac address) si possono fare disassociare
tutte le stazioni (con mac ff:ff:ff:ff:ff:ff) o una in
particolare (specificando il mac della vittima)
• La stazione non si può appellare e deve disconnettersi.
• Un tool che esegue questo tipo di attacco è: Airjack.
47
Esperienza CSP su Denial of Service
48
LEAP
• Fonte:
http://forums.cisco.com/eforum/servlet/NetProf?page=netprof&CommCmd
=MB%3Fcmd%3Ddisplay_location%26location%3D.ee9424e
• Durante l’autenticazione Radius lo username è in chiaro e
la password può essere recuperata attraverso dictionary
attack.
• Si tratta di un attacco difficile che non garantisce il
risultato.
• La raccomandazione è di usare password robuste.
49
Attaccare il WPA
• Non è ancora utilizzato, ma già si parla di vulnerabilità
DoS
• L’algoritmo “Michael”, per proteggersi da attacchi di tipo
brute-force, disattiva la scheda wireless per un minuto
se riconosce principi di attacco.
• Per causare un DoS è sufficiente inviare burst di 2
pacchetti di tipo autenticazione (errati) ogni minuto.
50
Conclusioni
• In attesa che venga adottato lo standard 802.11i la
sicurezza si deve costruire con acl, cifratura WEP e
sostituzione frequente delle chiavi.
• Anche la fase di progetto deve essere fatta con cura, ad
esempio evitando di collegare gli AP sulla rete interna,
ma a monte di un firewall.
• Se si lavora con dati sensibili valutare bene l’opportunità
di usare la wireless.
• Dove possibile utilizzare VPN
51
SecureLAB
[email protected]
[email protected]
Domande ?
Pisa, 21 ottobre 2003