Sicurezza delle reti wireless

Sicurezza delle reti wireless
Daniele Mazzocchi
[email protected]
Istituto Superiore Mario Boella
Lo standard 802.11
§ approvato nel 1997 da IEEE
§ nel 1999 ratificati gli standard 802.11a e
802.11b
§ 802.11b: 2,4 GHz, 11 Mbps
§ 802.11a: 5 GHz, 54 Mbps
§ in corso di standardizzazione 802.11g
§ 802.11g: 2,4 GHz, 54 Mbps
Architettura 802.11
infrastruttura di rete wired
ESS
access
point
BSS
Associazione alla rete
§ broadcast probe da
parte dei client
§ oppure annuncio
broadcast da parte AP
§ richiesta di
autenticazione con
specifica di SSID
§ richiesta di
associazione con AP
specifico
probe
SSID
n
o
c
y
l
p
e
r
probe
auth request
auth reply
assoc reques
t
assoc reply
Il contesto
§ panoramica sul wireless
§ attuali meccanismi di sicurezza
§ SSID
§ MAC filtering
§ WEP
§ vulnerabilità note
§ autenticazione utente
Problemi di sicurezza
specifici del wireless
§ le architetture di sicurezza tradizionali sono
basate parzialmente su difese perimetrali
§ qual è il perimetro da difendere ?
§ firewall
§ perchè attaccare il fw quando si può attaccare
un access point ?
§ autenticazione
§ dato che non è più chiara l’estensione del
perimentro fisico bisogna proteggere le risorse
di rete diversamente
Estensione della copertura
Possibilità di attacco
SSID
§ Service Set ID
§ identificatore della rete wireless
§ di solito una stringa ASCII
§ deve essere conosciuto per l’accesso
§ segreto condiviso ??
§ broadcast Probe Request (richiesta delle
reti disponibili in area di copertura)
§ AP Beacon Frame (annuncio SSID)
SSID: suggerimenti
§ può essere scoperto intercettando
comunque il traffico altrui
§ in ogni caso
§ modificare il SSID predefinito con uno non
facile da indovinare
§ configurare gli AP in modo che ignorino i
broadcast Probe Request
§ massimizzare l’intervallo di trasmissione dei
“Beacon frame”
§ costringere i client a compiere un active scanning
MAC filtering
§ se si conoscono a priori i client
autorizzati si può inserire la lista dei
MAC address autorizzati sugli AP
§ svantaggi
§ scalabilità
§ MAC spoofing
§ sicurezza fisica
§ in caso di furto non c’è più sicurezza
Wired Equivalent Privacy
(WEP)
§ sicurezza equivalente a quella delle reti wired
§ utilizzo dell’algoritmo RC4
§ la chiave WEP + initialization vector (IV) vengono inviati
ad un generatori di numeri pseudo-casuali
§ IV, messaggio cifrato e checksum per l’integrità
sono inviati nel pacchetto 802.11
§ checksum non dipende dalla chiave WEP
§ IV è cambiato periodicamente
§ il come dipende dall’implementazione specifica (meglio
se in ogni pacchetto)
§ pacchetti cifrati separatamente
Lunghezza delle chiavi WEP
§ la versione iniziale dello standard
prevedeva chiavi a 40 bit
§ 40bit in realtà è la lunghezza del segreto: in
più c’è IV da 24 bit per una chiave di 64bit
§ disponibili ora soluzioni a 128bit: 104-bit di
segreto più un IV da 24-bit
§ nessuna protocollo definito di keymanagement
Cifratura WEP
Dati
IV
Chiave
simmetrica
CRC
RC4
keystream
IV Ciphertext
Message
Dati
CRC
Decifratura WEP
Message
IV Ciphertext
Dati
RC4
CRC
keystream
CRC
chiave
simmetrica
?
WEP Key Management
§
§
§
§
chiavi statiche
distribuzione manuale
fino a 4 chiavi diverse
impostate come valori esadecimali
oppure stringhe ASCII
Problemi di WEP
§ autenticazione dei messaggi debole
§ la combinazione RC4/CRC-32 rende
possibile modificare i pacchetti in transito
§ riuso del keystream
§ uno dei classici problemi di qualunque
stream cipher
§ problema nel key scheduling di RC4
§ Fluhrer, Martin e Shamir 2001
§ usato da tutti i tool di crack
Key scheduling per RC4
§ nel 2001 Fluhrer, Martin e Shamir scoprono
una vulnerabilità nel key scheduling di RC4
§ la conoscenza di parte della chiave segreta
unitamente a quella del primo byte del
keystream possono permettere di
recuperare l’intera chiave segreta
§ ma con WEP purtroppo la prima parte della
chiave è costituita dall’IV che è in chiaro...
§ è facile ottenere il primo byte
Problema di RC4
§ Il keystream viene rivelato in caso di
attacco known-plaintext,
§ se intercetto il pacchetto cifrato C e
conosco inoltre P
§ posso calcolare la quantità KS = P ⊕ C
§ ma KS = RC4(K, IV)
§ questo diventa un problema in caso di
riuso del keystream
§ se vedo passare lo stesso IV e la chiave non è
cambiata...
Il rischio nel riutilizzo del
keystream
IV,
C=P ⊕ RC4(K, IV)
IV,
C’=P’ ⊕ RC4(K, IV)
§ se IV si ripete
§ prendo le due quantità C e C’ e calcolo M= C ⊕ C’
§ ma M risulta essere pari a P ⊕ P’
§ da P ⊕ P’ posso risalire talvolta ad entrambe le quantità P
e P’
Attacco 1: riuso del
keystream
§ WEP non usa RC4 correttamente
§ IV si ripete frequentemente
§ spesso IV è un contatore che parte da zero
§ reboot azzera il contatore
§ IV lungo 24 bit e quindi ci sono solo circa 16
milioni di IV distinti possibili
§ se scelgo IV random per il birthday paradox
§ dopo 5000 frame 50% probabilità riuso
§ dopo 20000 frame 90% probabilità riuso
Attacco 2: pacchetti
falsificati
(M,CRC(M)) ⊕RC4(K,IV)
§ pacchetti falsificati
§ se conosco RC4(K, IV)
§ dato che il meccanismo di integrità CRC non dipende
da nessuna chiave posso creare pacchetti arbitrari che
sono accettati come autentici
§ l’access control non funziona
Attacco 3: modifica dei
pacchetti
P))
(
C
R
(P, C
4(K)
C
R
⊕
(P, CRC
(P)) ⊕
RC4(K)
⊕ (∆, C
RC(∆))
§ CRC è lineare
§ CRC(P ⊕ ∆) = CRC(P) ⊕ CRC(∆)
§ il pacchetto P ⊕ ∆ ha un CRC valido
§ un attaccante può modificare a piacimento i
pacchetti senza decifrarli !!!
Attacco 4: estensione del
keystream
§ dato di partenza: conosco un keystream K1...Kn lungo
n byte
§ voglio ricavare un ulteriore byte Kn+1
§ il CRC è lungo 4 byte
§ quello che cifro è la sequenza M1,M2,...,Mn3,ICV1,ICV2,ICV3,ICV4 (questa sequenza è lunga n+1 byte)
§ quello che invio all’AP è M1⊕K1, M2⊕K2,..., Mn-3⊕Kn3,ICV1⊕Kn-2,ICV2⊕Kn-1,ICV3⊕Kn,B con B=0
§ itero finchè AP non accetta (B=B’)
§ a quel punto scopro Kn+1=ICV4⊕B’
§ al massimo 256 tentativi
Autenticazione in 802.11
§ Autenticazione: Open e Shared
§ Open system authentication: meccanismo
di default
§ qualunque client può associarsi all’AP
§ Shared key authentication: usa un segreto
condiviso (la chiave WEP) per autenticare
il client presso l’AP
§ protocollo challenge-response
Autenticazione
§ l’AP invia un challenge
random
§ il client cifra il challenge
con RC4 usando un
keystream derivato da un
IV e dalla chiave
condivisa
§ chi osserva può ricavare
subito RC4(IV,K)= C⊕R
ed autenticarsi a sua
volta...
challenge C
R=C⊕RC4(IV,K
)
auth OK
Prima conclusione
§ il livello di sicurezza possibile con
l’attuale dello standard 802.11 è
inadeguato
§ WEP sostanzialmente inadeguato
§ autenticazione praticamente inesistente
Soluzioni per WEP
§ IEEE 802.11 TGi sta lavorando a due
soluzioni
§ breve termine:
§ un protocollo leggero denominato TKIP
§ implementabile sull’hw attuale degli AP
§ 33 o 25 MHz ARM7 o i486 già al 90% di utilizzo
della CPU soltanto con WEP
§ aggiornamento solo software/firmware
§ lungo termine:
§ uso di AES al posto di RC4
Soluzioni a lungo termine
§ uso di AES
§ prima proposta: WRAP
§ AES in modalità OCB
§ sostituto da CCMP per problemi di IPR
§ proposta attuale CCMP
§ AES in modalità CCM
§ cifratura usando il counter mode ed integrità
protetta usando CBC-MAC
CBC MAC
§ come la cifratura CBC, in uscita solo l’ultimo
blocco usato come MAC
§ richiede c0 = IV (Initialization Vector)
§ sicuro solo se applicato a messaggi di
lunghezza fissa (OK nel nostro caso)
dd11
IV
IV
⊕
dd22
⊕
k
cc11
dd……
cc22
k
cc33
X9.19
k1
⊕
⊕
k
ddFF
k
MAC
MAC
-1
DES
DES-1
k
DES
DES
Counter Mode
11
22
k
d1
jj
k
II11
II22
⊕ d2
⊕
cc11
cc22
N
N
k
k
IIjj
dj
⊕
ccjj
IINN
dN
⊕
ccNN
RSN: la nuova proposta
IEEE
§ Robust Security Network (RSN)
§ la sicurezza di RSN si basa su
§ Confidenzialità
§ TKIP (un protocollo per correggere WEP)
§ AES (lungo termine)
§ Security association management
§ procedura di negoziazione RSN per stabilire un
contesto di sicurezza
§ autenticazione IEEE 802.1X in sostituzione di
quella IEEE 802.11
§ IEEE 802.1X key management per distribuire le
chiavi
Temporal Key Integrity
Protocol (TKIP)
§ per ovviare ai problemi di WEP
§ novità ma nel solco della continuità con
WEP
§
§
§
§
nuovo meccanismo di integrità
contatore di sequenza
gestione dinamica delle chiavi
Key mixing
TKIP: idee fondamentali
§ mai riutilizzare lo stesso IV congiuntamente
alla stessa chiave in una determinata
sessione
§ prevenire il riuso del keystream
§ i riceventi scartano i pacchetti il cui IV è
minore o uguale all’ultimo pacchetto ricevuto
correttamente cifrato con la stessa chiave
§ si assume di ricevere i pacchetti in ordine.
Vengono evitati i replay attack
TKIP: altre considerazioni
§ viene generata una nuova chiave di
sessione random prima che il contatore
per IV vada in overflow
§ prevenire il riuso del keystream
§ nuova funzionalità di mixing tra IV e
valore della chiave di sessione segreta
al fine di evitare il problema di key
scheduling di RC4
§ nuovo IV lungo 48 bit
TKIP Message Integrity
Code (MIC)
§ per prevenire attacchi attivi viene introdotto
l’uso di un MIC noto come Michael
§ sviluppato da Niels Ferguson per Intersil
§ Michael usa una chiave a 64-bit e genera un
MIC lungo 64 bit
§ soluzione che non esclude completamente la
possibilità di attacchi
IEEE 802.1X
§ proposta per l’access control basato su porta
§ nelle reti wireless l’associazione
§ può essere usato per sostituire il processo di
autenticazione definito in IEEE 802.11
§ 802.1X può usare qualsiasi metodo EAP
configurato sul client e sul server AAA
§ TLS, Cisco LEAP (basato su MS-CHAPv1),
PEAP, TTLS
EAP
§ Extensible Authentication Protocol (EAP), RFC
2284
§ supporto per differenti metodi di autenticazione
§ creato originariamente per l’uso con PPP
§ debolezze note:
§ mancanza di protezione per l’identità dell’utente
§ nessun meccanismo standardizzato per lo scambio di
chiavi
§ nessun supporto definito per frammentazione
§ mancanza di supporto per riconnessione veloce
802.1x nel contesto 802.11
Wireless
Access Point
Radius Server
Laptop computer
Ethernet
Association
Access blocked
802.11
802.11 Associate-Request
RADIUS
802.11 Associate-Response
EAPOW-Start
EAPOW
EAP-Request/Identity
EAP-Response/Identity
EAP-Request
EAP-Response (credentials)
EAP-Success
Radius-Access-Request
Radius-Access-Challenge
Radius-Access-Request
Radius-Access-Accept
EAPOW-Key (WEP)Access allowed
Metodi EAP
§ EAP-TLS
§ usa l’handshake TLS per l’autenticazione mutua di client e
server
§ EAP-TTLS aggiunge flessibilità
§ usa la sicurezza offerta da TLS con server authentication
per eseguire un’autenticazione successiva del client con altri
metodi EAP oppure con protocolli quali PAP, CHAP, MSCHAP o MS-CHAP-V2
§ PEAP
§ Simile a EAP-TTLS ma permette solo l’uso di metodi EAP
per l’autenticazione
§ possibile riesumare sessioni
WPA
§ Wi-Fi Protected Access
§ soluzione di breve termine per 802.11
§ uso di TKIP al posto di WEP
§ autenticazione 802.1x
§ gestione dinamica delle chiave
§ per ottenere la certificazione Wi-Fi da fine
2003 sarà obbligatorio il supporto WPA
§ client per sistemi Windows reso disponibile
da Microsoft
§ aggiornamento proposto con Windows Update
VPN
§ una soluzione che prescinde da quelle
per la protezione a livello data link
(WEP)
§ tunnel IPsec per la protezione del traffico
tra il terminale e la rete
§ è sufficiente un IPsec client sul terminale
§ ci vuole in rete un apparato per la
terminazione del tunnel
§ soluzione che può servire in attesa degli
sviluppi di 802.11i
IDS: rischi specifici
§ IDS network based piazzati a valle dell’AP non sono in
grado di accorgersi di attacchi diretti da una stazione
wireless verso un’altra sulla stessa sottorete (in più
pacchetti cifrati)
§ flooding ed altre tecniche per DoS operano a livello
fisico e data link quindi l’IDS tradizionale è in difficoltà
§ difficile identificare la localizzazione fisica di un AP
non autorizzato
§ problemi con le comunicazioni peer-to-peer:
potrebbero fungere da bridge per attacco
all’infrastruttura wired
§ esempio di prodotto IDS specifico
http://www.airdefense.net/
War driving
§ ricerca di reti wireless “aperte”
§ strumenti
§ un automobile
§ un’antenna
§ un ricevitore GPS
§ programma molto diffuso
netstumbler
§ www.netstumbler.com
§ www.wigle.net
§ www.wifimaps.com
Strumenti
§ wepcrack (http://wepcrack.sourceforge.net/)
in linguaggio Perl
§ airsnort (http://airsnort.shmoo.com/) per
Linux
§ kismet (http://www.kismetwireless.net/)
§ kracker_jack (http://802.11ninja.net/)
§ wepattack (http://wepattack.sourceforge.net/)
§ void11 (http://www.wlsec.net/void11/)
Un’antenna direzionale
economica...
§ http://www.oreillynet.com/cs/weblog/view/wlg/448
Alcuni consigli generali
§ evitare di collocare gli AP all’interno della
parte protetta dal firewall: meglio DMZ
§ effettuare monitoraggio costante per
verificare la presenza di AP non autorizzati
§ modificare il SSID
§ abilitare WEP
§ passare a WPA non appena possibile
implementando una soluzione 802.1x
Bibliografia -1
§ The Unofficial 802.11 Security Web Page
(http://www.drizzle.com/~aboba/IEEE/)
§ NIST Wireless Security Guidance SP 800-48
(http://csrc.nist.gov/publications/nistpubs/80048/NIST_SP_800-48.pdf)
§ Le pagine di David Wagner sulla sicurezza del
wireless
(http://www.cs.berkeley.edu/~daw/research/wireles
s.html)
§ Intercepting Mobile Communications: The
Insecurity of 802.11 (2001) Borisov, Goldberg,
Wagner
Bibliografia -2
§ http://www.ittc.ku.edu/wlan/images.shtml per la mappe
di copertura
§ http://www.itoc.usma.edu/Documents/ITOC_TR-2003101_(G6).pdf
§ Weaknesses in the Key Scheduling Algorithm of RC4
http://www.crypto.com/papers/others/rc4_ksaproc.ps
§ Using the Fluhrer, Mantin, and Shamir Attack to Break
WEP
http://www.cs.rice.edu/~astubble/wep/wep_attack.html