Redes Inalámbricas – Tema 2. Seguridad

Transcripción

Redes Inalámbricas – Tema 2.
Seguridad
La tecnología 802.11: WEP y el estándar 802.11i
Seguridad en MANET

Redes Inalámbricas Ad Hoc
Máster Ingeniería de Telecomunicación, Universidad de Málaga
2
WEP y IEEE802.11i
Wireless LAN Security Issues
Issue
 Wireless sniffer can view all WLAN data
packets
 Anyone in AP coverage area can get on
WLAN
Redes Inalámbricas Ad H
Hoc
Wireless LAN
((WLAN))
client
802.11 WEP Solution
 Encrypt all data transmitted
between client and AP
 Without encryption key, user
cannot transmit or receive data
Wired LAN
access point (AP)
Goal: Make WLAN security equivalent to that of wired LANs (Wired Equivalent
Privacy)
3
WEP y IEEE802.11i
WEP – Protection for 802.11b
 Wired Equivalent Privacy
 No worse than what you get with wire-based systems.
 Criteria:
 “Reasonably strong”
 Self-synchronizing
Self synchronizing – stations often go in and out of coverage
 Computationally efficient – in HW or SW since low MIPS CPUs might be used
Cifrado 64 bits  Reduce el ancho en 1 Mbps
Cifrado 128 bits  Reduce el ancho entre 1 y 2 Mbps
Impacto dependerá del hardware y del número de usuarios
 Optional – not required to used it
Hoc
 Objectives:
 confidentiality
 integrity
 authentication
4
WEP y IEEE802.11i
WEP – How It Works
 Secret key (40 bits or 104 bits)
 can use up to 4 different keys
 Initialization vector (24 bits, by IEEE std.)
 total of 64 or 128 bits “of protection.”
Hoc
 RC4-based
RC4 based pseudo random number generator (PRNG)
 Integrity Check Value (ICV): CRC 32
Protocolo de
Encriptación
WEP
IV = 4 bytes; 3 bytes IV; 1 byte KeyID
5
WEP y IEEE802.11i
WEP Encryption Process
1) Compute ICV using CRC-32 over plaintext msg.
plaintext message.
g
2)) Concatenate ICV to p
3) Choose random IV and concat it to secret key and input it to RC4 to
produce pseudo random key sequence.
4) Encrypt plaintext + ICV by doing bitwise XOR with key sequence to
produce ciphertext.
5) Put IV in front of cipertext
cipertext.
Hoc
Initialization
Vector (IV)
Secret Key
Seed
WEP PRNG
Key
Sequence
Plaintext
Integrity Algorithm
Integrity Check Value (ICV)
IV
Ciphertext
Message
6
WEP y IEEE802.11i
WEP Decryption Process
1) IV of message used to generate key sequence, k.
2) Ciphertext XOR k  original plaintext + ICV.
3) Verify by computing integrity check on plaintext (ICV’) and comparing
to recovered ICV.
4) If ICV  ICV’ then message is in error; send error to MAC
management and back to sending station.
Secret Key
Hoc
IV
Message
Ciphertext
WEP PRNG
Key
Sequence
Plaintext
Seed
Integrity Algorithm
ICV’
ICV
ICV’ - ICV
7
WEP y IEEE802.11i
WEP Station Authentication
 Wireless Station (WS) sends
Authentication Request to Access Point
(AP).
 AP sends (random) challenge text T.
 WS sends challenge response (encrypted
T).
 AP sends ACK/NACK.
WS
Challenge Text
Challenge Response
Shared WEP Key
Hoc
Authentication Request
Ack
Challenge
ENC
Client
SharedKey
{Challenge}
Success/Failure
Auth. Req.
AP
AP
Access Point
8
WEP y IEEE802.11i
WEP Weaknesses
 Forgery Attack
 Packet headers are unprotected, can fake src and dest addresses.
 AP will
ill then
th decrypt
d
t data
d t to
t send
d tto other
th d
destinations.
ti ti
 Can fake CRC-32 by flipping bits.
 Replay
 Can eavesdrop and record a session and play it back later.
 Collision (24 bit IV; how/when does it change?)
 Sequential: roll-over in < ½ day on a busy net
 Random: After 5000 packets, > 50% of reuse.
 Weak Key
Hoc
 If ciphertext and plaintext are known, attacker can determine key.
 Certain RC4 weak keys reveal too many bits. Can then determine RC4 base key.
 Well known attack described in Fluhrer/Mantin/Shamir paper
 “Weaknesses in the Key Scheduling Algorithm of RC4”, Scott Fluhrer, Itsik Mantin,
and Adi Shamir
g AirSnort: http://airsnort.shmoo.com/
p //
/
 using
 Also: WEPCrack
http://wepcrack.sourceforge.net/
9
Cronología de RIP WEP
 Fallos de Seguridad de Wep
Debilidad del algoritmo RC2
IVs demasiado cortos
Se permite la reutilización de IV
CRC no es criptográficamente
seguro
 Wep no incorpora un método de
distribución de claves
Hoc




10
WEP y IEEE802.11i
Ways to Improve Security with WEP
 Use WEP(!)
 Change wireless network name from
default
 any, 101, tsunami
 Turn on closed group feature, if available
in AP
 Turns off beacons, so you must know
name of the wireless network
 MAC access control table in AP
 Use Media Access Control address of
wireless LAN cards to control access
 Use Radius support if available in AP
Hoc
 Define user profiles based on user name
and password
 War Driving in New Orleans
(back in December 2001)
 Equipment
 Laptop, wireless card, software
 GPS, booster antenna (optional)
 Results
 64 Wireless LAN’s
 Only 8 had WEP Enabled (12%)
 62 AP’s & 2 Peer to Peer Networks
 25 Default (out of the box) Settings
(39%)
 29 Used The Company Name For
ESSID (45%)
11
War Driving
 Locating wireless access points while in motion
 http://www.wardrive.net/
 Adversarial Tools
Hoc




Laptop with wireless adapter
External omni-directional
omni directional antenna
Net Stumbler or variants http://www.netstumbler.com/
GPS
With GPS Support
Send constant probe requests
Hoc
12
WEP y IEEE802.11i
War Driving in New Orleans
(back in December 2001)
13
Descubriendo Clave Wep
 1) airodump
 Herramienta de sniffing para descubrir redes
 2) aireplay
 Herramienta de inyección para incrementar el tráfico.
 Requiere modo monitor,
monitor equivalente al modo promiscuo
 Con los drivers parcheados permite con una tarjeta, capturar e inyectar tráfico
simultaneamente
 3) aircrack
Hoc
 Crackeador de claves que utiliza los Ivs recogidos
14
Descubriendo Clave Wep: secuencia de comandos
 #airodump ath0 claves-wep 0
 Escanea todos los canales y el resultado en un fichero claves-wep
 Detectamos un punto de acceso con seguridad Wep y una estación asociado al
mismo y vemos en que canal está
 #airodump ath0 claves-wep 1
 Ponemos a escanear el canal 1 en concreto
 #aireplay -3 –b 00:13:10:…. –h 00:0C:ab: …. –x 600 ath0
Hoc
 Procedemos a inyección
ó depaquetes en la red objetivo para obtener nuevos IV. La
inyección comenzará cuando se capture una petición ARP en la red objetivo
 #aircrack –x -0 claves-wep.cap
 Una vez tengamos suficientes IVs podremos desencriptar la clave
15
Descubriendo Clave Wep
Hoc
 Otros tipo de ataque Aircrack
 Deautenticación: Para recuperar SSID ocultos, denegación de servicios o
ataques a WPA
 Autenticación falsa: Sirve para lanzar ataques sin necesidad de un cliente
g
legítimo.
 Otros: chopchop, CRC, …
16
Quick and dirty 802.11 Security Methods
Hoc
 SSID Closed mode
y securityy
 MAC layer
17
Quick and dirty Security Methods:
Closed Mode of Operation
 Hide SSID
 All devices in a WLAN have to have same SSID to communicate
 SSID is not released
Hoc
 Beacon messages are removed
 Client has to know exact SSID to connect
Make active scanning, send probe request
18
Attacking to 802.11 Closed Mode
Client
l ent Connection
onnect on
Disassociate
Client
Impersonate AP
Hoc
Client sends Probe Request which includes SSID in clear
Capture Probe Request Packets
for SSID information
AP
19
Man-in-the-middle Attack
Application
Server
AP
Access Point
Hoc
Client
Impersonate AP
to the client
Impersonate Client
to the AP
Wired Network
20
Quick and dirty 802.11 Security Methods
Hoc
 SSID Closed mode
y securityy
 MAC layer
21
Quick and dirty security Methods: MAC Layer Security
 Based on MAC addresses
 MAC filters
 Allow associate of a MAC
 Deny associate of a MAC
Wired Network
Hoc
?
MAC: 00:05:30:AA:AA:AA
MAC: 00:05:30:BB:CC:EE
22
Bypass MAC Filters: MAC Spoofing
Wired Network
W
AP
Access Point
Legitimate Client
802.11
1
Application Server
Probe Request
Probe Respond
Authentication Request
Authentication Respond
Association Request
Association Response
Disassociate
Access to Network
Hoc
Monitor
Set MAC address of Legitimate Client by
using SMAC or variants
2
Association Request
Association Response
Access to Network
3
4
5
23
Rouge AP
 Install fake AP and web server software
 Convince wireless client to:
 Disassociate from legitimate AP
 Associate to fake AP
 Bring
B ing simila
similar web
eb application to user
se to collect passwords
pass o ds
 Adversarial tools:
 Any web server running on Unix or MS environments
 Fake AP (http://www.blackalchemy.to/project/fakeap/)
Hoc
AP
Wired Network
Reconnect
to louder AP
Run fake
• AP softwar
software
• Web Server
Application Server:
i.e. Web Server
24
IEEE 802.11i: Introducción
 Las redes inalámbricas 802.11 siguen teniendo la fama de inseguras
q
 Desde el año 2004 se cuenta con el estándar 802.11i,, que
proporciona una alta seguridad a este tipo de redes
 no hay descrito ningún ataque efectivo sobre WPA2 en modo infraestructura
(correctamente configurado)
 WEP dejó de ser una opción a partir del año 2001
 ¡pero seguimos burlándonos de él!
 ya no forma parte del estándar 802.11 (su uso está desaprobado por el añadido
802.11i
Hoc
 La tecnología actual permite redes Wi-Fi
Wi Fi seguras
25
Cronología de la seguridad en 802.11
802.11a
802.11
802.11b
1997
1999
2001
Hoc
Wi-Fi
Wi
Fi
WEP
802.11g
802.11i
2003
2004
WPA
WPA2
26
¿En qué falló WEP?
 utiliza una única clave secreta para todo: autenticación,
confidencialidad
 y se usa en todos los dispositivos y durante todo el tiempo
 la gestión de las claves es manual
 la autenticación es sólo para el dispositivo cliente
 no se autentica al usuario, ni se autentica la red
 el IV es demasiado pequeño y la forma de usarlo debilita el protocolo
 la integridad no funciona (CRC no es un buen código)
Hoc
 y no incluye
y las direcciones fuente y destino
27
¿Qué podemos hacer?
Hoc
 No intentar resolverlo todo de una
protocolos adecuados para
p
cada funcionalidad
 Buscar los p
 Permitir la gestión automática de las claves de cifrado
 Cambiar frecuentemente las claves, obteniéndolas automáticamente
 Autenticar al usuario, no al dispositivo
 Autenticar a la red (también hay redes ‘malas’)
 Utilizar protocolos robustos de autenticación, integridad y
confidencialidad
28
Primera aproximación: 802.1X
 Control de acceso basado en el puerto de
red:
 una vez autenticada y asociada una
estación, no se le da acceso a la red
hasta que no se autentique
correctamente el usuario
 Componentes: suplicante, autenticador
y servidor de autenticación
 Utiliza EAP como marco de autenticación
Hoc
 EAP permite el uso de distintos
protocolos
de autenticación: MD5, MS-CHAPv2, …
 La utilización
ó de un método
é
criptográfico
á
en la autenticación permite generar claves
secretas
 ttambién
bié se pueden
d distribuir
di t ib i de
d manera
segura
29
IEEE 802.1X y EAP
 PAE: Port Access Entity
 PAE de autenticación y PAE de Servicio
 Comunicación Suplicante - Autenticador: EAP
 Si EAP tiene éxito: Suplicante y Servidor de Autenticación tendrán una claves
maestra secreta para comunicarse
Hoc
 Comunicación Autenticador – Servidor de Autenticación: Radius
30
Primera solución: WPA
 Mientras en el IEEE se trabaja en el nuevo estándar 802.11i, las
debilidades de WEP (seguridad, autenticación y encriptación) exigen
protocolos de cifrado en niveles superiores a la capa de enlace
 La industria es reacia a adoptar las redes 802.11
 El consorcio
i Wi-Fi
Wi Fi Alli
Alliance decide
d id sacar ell estándar
tá d comercial
i l WPA
(Wi-Fi Protected Access)
 Se basa en un borrador del estándar 802
802.11i
11i y es un subconjunto del
mismo
 compatible hacia delante
Hoc
 Soluciona todos los problemas que plantea WEP con medidas válidas a
medio plazo
 Separación de los procesos de:
 Autenticación  802.1X
 Integración y privacidad  TKIP
31
La confidencialidad en WPA: TKIP
 TKIP (Temporal Key Integrity Protocol) es el protocolo de cifrado
diseñado para sustituir a WEP reutilizando el hardware existente
 Forma parte del estándar 802.11i
 aunque se considera un protocolo ‘a desaprobar’
 Entre
E t sus características:
t í ti
Hoc





utiliza claves maestras de las que se derivan las claves
el IV se incrementa considerablemente ((de 24 a 48 bits))
cada trama tiene su propia clave RC4
impide las retransmisiones de tramas antiguas
comprueba la integridad con el algoritmo Michael
no ofrece la máxima seguridad, pero incorpora contramedidas ante los
ataques (desconexión 60 s y generación de claves)
32
¿Cómo se configura WPA?
 Autenticación 802.11 abierta
 Autenticación 802.1X ((en modo infraestructura))
 Métodos EAP con túnel TLS
 identidad externa anónima, si es posible
 Restricción
ó de los servidores RADIUS aceptados
 Cifrado: TKIP
Hoc
 ¿Y si estamos en un entorno SOHO?




no hay servidores RADIUS
no podemos
d
autenticar
t ti
all usuario
i como hasta
h t ahora
h
no podemos generar la clave maestra
 utilizamos una clave pre-compartida entre todos ¡!
33
La solución definitiva: 802.11i = WPA2
 El protocolo CCMP ofrece el cifrado (mediante AES) y la protección de
integridad
 se considera el algoritmo de cifrado más seguro hoy en día (no se ha ideado
ningún ataque contra el mismo)
p
hardware para
p
no penalizar
p
 necesita soporte
 aunque se han incorporado mejoras en el diseño para hacerlo más eficiente
 Se establece el concepto RSN: Robust Security Networks
 La asociación recibe el nombre de RSNA si éstas se producen con
intercambio de claves con un 4-Way Handshake
Hoc
 AES (Advanced Encription Standard) es a CCMP lo que RC4 es a TKIP
 TKIP se diseño para acomodar al hardware WEP existente
 CCMP es un diseño completamente nuevo diseñado por expertos en seguridad y
encriptación
 TSN:
TSN Transitional
T
iti
l Security
S
it Network.
N t
k
 Arquitectura 802.11i que permite estaciones tanto WEP como RSN
34
Las 4 fases del protocolo 802.11i
Hoc
 El establecimiento de un contexto seguro 802.11i consta de 4 fases
35
¿Cómo se configura WPA2?
 Autenticación 802.11 abierta
 Autenticación 802.1X ((en modo infraestructura))
 Métodos EAP con túnel TLS
 identidad externa anónima, si es posible
 Restricción
ó de los servidores RADIUS aceptados
 Cifrado: AES
 ¿Y si estamos en un entorno SOHO?
Hoc
 utilizamos una clave pre-compartida entre todos
 esta
t clave
l
sirve
i
de
d autenticación
t ti ió
 esta es la clave maestra a partir de la que generar el resto
LA PALABRA DE PASO HA DE TENER MÁS DE 20 CARACTERES
36
WPA y WPA2
 WPA puede ejecutarse con todo el hardware que soportase WEP (sólo
necesita una actualización de firmware)
 WPA2 necesita hardware reciente (2004 )
 WPA acabará siendo comprometido a medio plazo y sólo se
recomienda
i d como transición
t
i ió a WPA2
 Algunos AP permiten emplear un modo mixto que acepta tanto
clientes WPA como clientes WPA2 en la misma celda
Hoc
 hay una pequeña degradación en las claves de grupo
(este modo nos ha dado problemas con algunas PDA)
37
Pre-autenticación 802.1X
 El proceso de establecer la asociación y generar las claves es costoso y
puede afectar a la movilidad
 La pre-autenticación consiste en establecer el contexto de seguridad
con un AP mientras se está asociado a otro
 El tráfico
t áfi entre
t lla estación
t ió y ell nuevo AP viaja
i j por la
l red
d cableada
bl d
 Cuando, finalmente, se produce el roaming, el cliente indica que ya
está hecha la asociación inicial
Hoc
 Sólo disponible
p
en WPA2 (excluido
(
en WPA))
38
Soporte 802.11i en los S. Operativos
 Windows Mobile




¡Cada PDA es un mundo!
Incluye el suplicante 802.1X
Soporta sólo WPA (cifrado TKIP)
métodos EAP: EAP-TLS
EAP TLS y EAP
EAP-PEAP/MS-CHAP-V2
PEAP/MS CHAP V2
Hoc
 Windows XP SP2
 Incluye el suplicante 802.1X
 Soporta WPA (de fábrica). Se puede aplicar la actualización a WPA2 (si la tarjeta lo
soporta)
p
a través de Windows Update
p
esta actualización no se aplica
 métodos EAP: EAP-TLS y EAP-PEAP/MS-CHAP-V2
 permite restringir los servidores RADIUS aceptados
 almacena en caché las credenciales del usuario ¡siempre!
39
 Windows Vista







Hoc

Incluye el suplicante 802.1X
Soporta WPA y WPA2
métodos EAP: EAP-TLS y EAP-PEAP/MS-CHAP-V2
incorpora una API (EAPHost) que permite desarrollar nuevos suplicantes y nuevos
métodos EAP
permite restringir los servidores RADIUS aceptados
permite elegir si se almacenan o no,
no en caché,
caché las credenciales del usuario
Permite definir perfiles de conexión para configurar las redes inalámbricas sin la
intervención del usuario
incluso
l
con opciones que no podrá
d á modificar
df
Informa de la seguridad de las redes disponibles
 MAC
 WPA2 está soportado tras la actualización 4.2 del software Apple AirPort: los mac
con Airport Extreme, la estación base Airport Extreme Base Station y Airport
Express.
40
 Linux
Dependiendo de la distribución puede incluir o no el suplicante 802.1X
Se recomienda utilizar wpa-supplicant y Network Manager para la configuración
Soporta WPA y WPA2
admite la mayoría de métodos EAP: EAP
EAP-TLS,
TLS, EAP
EAP-TTLS/PAP,
TTLS/PAP, EAP
EAP-PEAP/MS-CHAPPEAP/MS CHAP
V2, …
 permite restringir los servidores RADIUS aceptados
 permite elegir si se almacenan o no,
no en caché,
caché las credenciales del usuario
 la configuración puede ser a través de ficheros o mediante la interfaz gráfica
Hoc




Archivo de configuración
de wpa_supplicant
para WPA2
41
eduroam
 Es una iniciativa a nivel internacional que permite la movilidad de sus
miembros de manera ‘transparente’
 con la misma configuración de la red inalámbrica se puede conectar un usuario en
cualquier institución adherida a eduroam
p la institución de origen
g (con
(
seguridad
g
 la autenticación del usuario la hace siempre
en el tránsito de credenciales)
 es sencillo detectar si tenemos soporte para eduroam: el SSID es eduroam
 Más información:
 http://www.eduroam.es, http://eduroam.upv.es
Hoc
 Atención: el cifrado puede ser distinto en cada red
Hoc
42
eduroam en Europa
43
Seguridad 802.11 en la Red
 Enlaces Web
 La Red inalámbrica de la UPV:
Hoc
 http://wifi.upv.es
Redes Inalámbricas – Tema 6.
Seguridad
La tecnología 802.11: WEP y el estándar 802.11i
Seguridad en MANET
Redes Inalámbricas Ad Hoc
Máster Ingeniería de Telecomunicación, Universidad de Málaga
45
Routing security vulnerabilities
 Wireless medium is easy to snoop on
y, it is hard to guarantee
g
access
 Due to ad hoc connectivityy and mobility,
to any particular node (for instance, to obtain a secret key)
 Easier for trouble-makers to insert themselves into a mobile ad hoc
network
t
k ((as compared
d tto a wired
i d network)
t
k)
 Open medium
 Dynamic topology
 Distributed cooperation
(absence of central authorities)
 Constrained capability
Hoc
(energy)
46
Securing Ad Hoc Networks
 Definition of “Attack” RFC 2828 — Internet Security Glossary :
 “ An assault on system security that derives from an intelligent threat, i.e., an
i lli
intelligent
act that
h is
i a deliberate
d lib
attempt (especially
(
i ll in
i the
h sense off a method
h d or
technique) to evade security services and violate the security policy of the
system.”
Hoc
 Goals
 Availability: ensure survivability of the network despite denial of service attacks.
The DoS can be targeted at any layer
 Confidentiality: ensures that certain information is not disclosed to unauthorized
entities. Eg Routing information information should not be leaked out because it
can help to identify and locate the targets
 Integrity: guarantee that a message being transferred is never corrupted.
 Authentication: enables a node to ensure the identity of the nodes communicating.
 Non-Repudiation:
N R
di ti
ensures that
th t th
the origin
i i off the
th message cannott d
deny h
having
i sentt
the message
47
Routing attacks
Classification:
 External attack vs. Internal attack
 External: Intruder nodes can pose to be a part of the network injecting erroneous
routes, replaying old information or introduce excessive traffic to partition the
network
 Internal: The nodes themselves could be compromised. Detection of such nodes is
difficult since compromised nodes can generate valid signatures.
 Passive attack vs
vs. Active attack
Hoc
 Passive attack: “Attempts to learn or make use of information from the system but
does not affect system resources” (RFC 2828)
 Active attack: “Attempts to alter system resources or affect their operation” (RFC
2828)
48
Passive Attacks
Sniffer
Hoc
Passive attacks
Interception (confidentiality)
Release of message contents
Traffic analysis
49
Active attacks
Active attacks
Hoc
Interruption
(availability)
Modification
(integrity)
Fabrication
(integrity)
50
Referencia de obligada lectura
 Security in Mobile Ad Hoc Networks: Challenges and Solutions
Hoc
 IEEE Wireless Communications. February 2004.

Redes Inalámbricas – Tema 2. Seguridad

Transcripción

Documentos relacionados

Protocolos de seguridad en redes inalám bricas

presentaciones electronicas mediante powerpoint (xp)

Santiago de Cali, 10 de Marzo 2015 PROFESORA PATRICIA