Redes Inalámbricas – Tema 2. Seguridad
Transcripción
Redes Inalámbricas – Tema 2. Seguridad
Redes Inalámbricas – Tema 2. Seguridad La tecnología 802.11: WEP y el estándar 802.11i Seguridad en MANET Redes Inalámbricas Ad Hoc Máster Ingeniería de Telecomunicación, Universidad de Málaga 2 WEP y IEEE802.11i Wireless LAN Security Issues Issue Wireless sniffer can view all WLAN data packets Anyone in AP coverage area can get on WLAN Redes Inalámbricas Ad H Hoc Wireless LAN ((WLAN)) client 802.11 WEP Solution Encrypt all data transmitted between client and AP Without encryption key, user cannot transmit or receive data Wired LAN access point (AP) Goal: Make WLAN security equivalent to that of wired LANs (Wired Equivalent Privacy) 3 WEP y IEEE802.11i WEP – Protection for 802.11b Wired Equivalent Privacy No worse than what you get with wire-based systems. Criteria: “Reasonably strong” Self-synchronizing Self synchronizing – stations often go in and out of coverage Computationally efficient – in HW or SW since low MIPS CPUs might be used Cifrado 64 bits Reduce el ancho en 1 Mbps Cifrado 128 bits Reduce el ancho entre 1 y 2 Mbps Impacto dependerá del hardware y del número de usuarios Optional – not required to used it Redes Inalámbricas Ad H Hoc Objectives: confidentiality integrity authentication 4 WEP y IEEE802.11i WEP – How It Works Secret key (40 bits or 104 bits) can use up to 4 different keys Initialization vector (24 bits, by IEEE std.) total of 64 or 128 bits “of protection.” Redes Inalámbricas Ad H Hoc RC4-based RC4 based pseudo random number generator (PRNG) Integrity Check Value (ICV): CRC 32 Protocolo de Encriptación WEP IV = 4 bytes; 3 bytes IV; 1 byte KeyID 5 WEP y IEEE802.11i WEP Encryption Process 1) Compute ICV using CRC-32 over plaintext msg. plaintext message. g 2)) Concatenate ICV to p 3) Choose random IV and concat it to secret key and input it to RC4 to produce pseudo random key sequence. 4) Encrypt plaintext + ICV by doing bitwise XOR with key sequence to produce ciphertext. 5) Put IV in front of cipertext cipertext. Redes Inalámbricas Ad H Hoc Initialization Vector (IV) Secret Key Seed WEP PRNG Key Sequence Plaintext Integrity Algorithm Integrity Check Value (ICV) IV Ciphertext Message 6 WEP y IEEE802.11i WEP Decryption Process 1) IV of message used to generate key sequence, k. 2) Ciphertext XOR k original plaintext + ICV. 3) Verify by computing integrity check on plaintext (ICV’) and comparing to recovered ICV. 4) If ICV ICV’ then message is in error; send error to MAC management and back to sending station. Secret Key Redes Inalámbricas Ad H Hoc IV Message Ciphertext WEP PRNG Key Sequence Plaintext Seed Integrity Algorithm ICV’ ICV ICV’ - ICV 7 WEP y IEEE802.11i WEP Station Authentication Wireless Station (WS) sends Authentication Request to Access Point (AP). AP sends (random) challenge text T. WS sends challenge response (encrypted T). AP sends ACK/NACK. WS Challenge Text Challenge Response Shared WEP Key Redes Inalámbricas Ad H Hoc Authentication Request Ack Challenge ENC Client SharedKey {Challenge} Success/Failure Auth. Req. AP AP Access Point 8 WEP y IEEE802.11i WEP Weaknesses Forgery Attack Packet headers are unprotected, can fake src and dest addresses. AP will ill then th decrypt d t data d t to t send d tto other th d destinations. ti ti Can fake CRC-32 by flipping bits. Replay Can eavesdrop and record a session and play it back later. Collision (24 bit IV; how/when does it change?) Sequential: roll-over in < ½ day on a busy net Random: After 5000 packets, > 50% of reuse. Weak Key Redes Inalámbricas Ad H Hoc If ciphertext and plaintext are known, attacker can determine key. Certain RC4 weak keys reveal too many bits. Can then determine RC4 base key. Well known attack described in Fluhrer/Mantin/Shamir paper “Weaknesses in the Key Scheduling Algorithm of RC4”, Scott Fluhrer, Itsik Mantin, and Adi Shamir g AirSnort: http://airsnort.shmoo.com/ p // / using Also: WEPCrack http://wepcrack.sourceforge.net/ 9 Cronología de RIP WEP Fallos de Seguridad de Wep Debilidad del algoritmo RC2 IVs demasiado cortos Se permite la reutilización de IV CRC no es criptográficamente seguro Wep no incorpora un método de distribución de claves Redes Inalámbricas Ad H Hoc 10 WEP y IEEE802.11i Ways to Improve Security with WEP Use WEP(!) Change wireless network name from default any, 101, tsunami Turn on closed group feature, if available in AP Turns off beacons, so you must know name of the wireless network MAC access control table in AP Use Media Access Control address of wireless LAN cards to control access Use Radius support if available in AP Redes Inalámbricas Ad H Hoc Define user profiles based on user name and password War Driving in New Orleans (back in December 2001) Equipment Laptop, wireless card, software GPS, booster antenna (optional) Results 64 Wireless LAN’s Only 8 had WEP Enabled (12%) 62 AP’s & 2 Peer to Peer Networks 25 Default (out of the box) Settings (39%) 29 Used The Company Name For ESSID (45%) 11 War Driving Locating wireless access points while in motion http://www.wardrive.net/ Adversarial Tools Redes Inalámbricas Ad H Hoc Laptop with wireless adapter External omni-directional omni directional antenna Net Stumbler or variants http://www.netstumbler.com/ GPS With GPS Support Send constant probe requests Redes Inalámbricas Ad H Hoc 12 WEP y IEEE802.11i War Driving in New Orleans (back in December 2001) 13 Descubriendo Clave Wep 1) airodump Herramienta de sniffing para descubrir redes 2) aireplay Herramienta de inyección para incrementar el tráfico. Requiere modo monitor, monitor equivalente al modo promiscuo Con los drivers parcheados permite con una tarjeta, capturar e inyectar tráfico simultaneamente 3) aircrack Redes Inalámbricas Ad H Hoc Crackeador de claves que utiliza los Ivs recogidos 14 Descubriendo Clave Wep: secuencia de comandos #airodump ath0 claves-wep 0 Escanea todos los canales y el resultado en un fichero claves-wep Detectamos un punto de acceso con seguridad Wep y una estación asociado al mismo y vemos en que canal está #airodump ath0 claves-wep 1 Ponemos a escanear el canal 1 en concreto #aireplay -3 –b 00:13:10:…. –h 00:0C:ab: …. –x 600 ath0 Redes Inalámbricas Ad H Hoc Procedemos a inyección ó depaquetes en la red objetivo para obtener nuevos IV. La inyección comenzará cuando se capture una petición ARP en la red objetivo #aircrack –x -0 claves-wep.cap Una vez tengamos suficientes IVs podremos desencriptar la clave 15 Descubriendo Clave Wep Redes Inalámbricas Ad H Hoc Otros tipo de ataque Aircrack Deautenticación: Para recuperar SSID ocultos, denegación de servicios o ataques a WPA Autenticación falsa: Sirve para lanzar ataques sin necesidad de un cliente g legítimo. Otros: chopchop, CRC, … 16 Quick and dirty 802.11 Security Methods Redes Inalámbricas Ad H Hoc SSID Closed mode y securityy MAC layer 17 Quick and dirty Security Methods: Closed Mode of Operation Hide SSID All devices in a WLAN have to have same SSID to communicate SSID is not released Redes Inalámbricas Ad H Hoc Beacon messages are removed Client has to know exact SSID to connect Make active scanning, send probe request 18 Attacking to 802.11 Closed Mode Client l ent Connection onnect on Disassociate Client Impersonate AP Redes Inalámbricas Ad H Hoc Client sends Probe Request which includes SSID in clear Capture Probe Request Packets for SSID information AP 19 Man-in-the-middle Attack Application Server AP Access Point Redes Inalámbricas Ad H Hoc Client Impersonate AP to the client Impersonate Client to the AP Wired Network 20 Quick and dirty 802.11 Security Methods Redes Inalámbricas Ad H Hoc SSID Closed mode y securityy MAC layer 21 Quick and dirty security Methods: MAC Layer Security Based on MAC addresses MAC filters Allow associate of a MAC Deny associate of a MAC Wired Network Redes Inalámbricas Ad H Hoc ? MAC: 00:05:30:AA:AA:AA MAC: 00:05:30:BB:CC:EE 22 Bypass MAC Filters: MAC Spoofing Wired Network W AP Access Point Legitimate Client 802.11 1 Application Server Probe Request Probe Respond Authentication Request Authentication Respond Association Request Association Response Disassociate Access to Network Redes Inalámbricas Ad H Hoc Monitor Set MAC address of Legitimate Client by using SMAC or variants 2 Association Request Association Response Access to Network 3 4 5 23 Rouge AP Install fake AP and web server software Convince wireless client to: Disassociate from legitimate AP Associate to fake AP Bring B ing simila similar web eb application to user se to collect passwords pass o ds Adversarial tools: Any web server running on Unix or MS environments Fake AP (http://www.blackalchemy.to/project/fakeap/) Redes Inalámbricas Ad H Hoc AP Wired Network Reconnect to louder AP Run fake • AP softwar software • Web Server Application Server: i.e. Web Server 24 IEEE 802.11i: Introducción Las redes inalámbricas 802.11 siguen teniendo la fama de inseguras q Desde el año 2004 se cuenta con el estándar 802.11i,, que proporciona una alta seguridad a este tipo de redes no hay descrito ningún ataque efectivo sobre WPA2 en modo infraestructura (correctamente configurado) WEP dejó de ser una opción a partir del año 2001 ¡pero seguimos burlándonos de él! ya no forma parte del estándar 802.11 (su uso está desaprobado por el añadido 802.11i Redes Inalámbricas Ad H Hoc La tecnología actual permite redes Wi-Fi Wi Fi seguras 25 Cronología de la seguridad en 802.11 802.11a 802.11 802.11b 1997 1999 2001 Redes Inalámbricas Ad H Hoc Wi-Fi Wi Fi WEP 802.11g 802.11i 2003 2004 WPA WPA2 26 ¿En qué falló WEP? utiliza una única clave secreta para todo: autenticación, confidencialidad y se usa en todos los dispositivos y durante todo el tiempo la gestión de las claves es manual la autenticación es sólo para el dispositivo cliente no se autentica al usuario, ni se autentica la red el IV es demasiado pequeño y la forma de usarlo debilita el protocolo la integridad no funciona (CRC no es un buen código) Redes Inalámbricas Ad H Hoc y no incluye y las direcciones fuente y destino 27 ¿Qué podemos hacer? Redes Inalámbricas Ad H Hoc No intentar resolverlo todo de una protocolos adecuados para p cada funcionalidad Buscar los p Permitir la gestión automática de las claves de cifrado Cambiar frecuentemente las claves, obteniéndolas automáticamente Autenticar al usuario, no al dispositivo Autenticar a la red (también hay redes ‘malas’) Utilizar protocolos robustos de autenticación, integridad y confidencialidad 28 Primera aproximación: 802.1X Control de acceso basado en el puerto de red: una vez autenticada y asociada una estación, no se le da acceso a la red hasta que no se autentique correctamente el usuario Componentes: suplicante, autenticador y servidor de autenticación Utiliza EAP como marco de autenticación Redes Inalámbricas Ad H Hoc EAP permite el uso de distintos protocolos de autenticación: MD5, MS-CHAPv2, … La utilización ó de un método é criptográfico á en la autenticación permite generar claves secretas ttambién bié se pueden d distribuir di t ib i de d manera segura 29 IEEE 802.1X y EAP PAE: Port Access Entity PAE de autenticación y PAE de Servicio Comunicación Suplicante - Autenticador: EAP Si EAP tiene éxito: Suplicante y Servidor de Autenticación tendrán una claves maestra secreta para comunicarse Redes Inalámbricas Ad H Hoc Comunicación Autenticador – Servidor de Autenticación: Radius 30 Primera solución: WPA Mientras en el IEEE se trabaja en el nuevo estándar 802.11i, las debilidades de WEP (seguridad, autenticación y encriptación) exigen protocolos de cifrado en niveles superiores a la capa de enlace La industria es reacia a adoptar las redes 802.11 El consorcio i Wi-Fi Wi Fi Alli Alliance decide d id sacar ell estándar tá d comercial i l WPA (Wi-Fi Protected Access) Se basa en un borrador del estándar 802 802.11i 11i y es un subconjunto del mismo compatible hacia delante Redes Inalámbricas Ad H Hoc Soluciona todos los problemas que plantea WEP con medidas válidas a medio plazo Separación de los procesos de: Autenticación 802.1X Integración y privacidad TKIP 31 La confidencialidad en WPA: TKIP TKIP (Temporal Key Integrity Protocol) es el protocolo de cifrado diseñado para sustituir a WEP reutilizando el hardware existente Forma parte del estándar 802.11i aunque se considera un protocolo ‘a desaprobar’ Entre E t sus características: t í ti Redes Inalámbricas Ad H Hoc utiliza claves maestras de las que se derivan las claves el IV se incrementa considerablemente ((de 24 a 48 bits)) cada trama tiene su propia clave RC4 impide las retransmisiones de tramas antiguas comprueba la integridad con el algoritmo Michael no ofrece la máxima seguridad, pero incorpora contramedidas ante los ataques (desconexión 60 s y generación de claves) 32 ¿Cómo se configura WPA? Autenticación 802.11 abierta Autenticación 802.1X ((en modo infraestructura)) Métodos EAP con túnel TLS identidad externa anónima, si es posible Restricción ó de los servidores RADIUS aceptados Cifrado: TKIP Redes Inalámbricas Ad H Hoc ¿Y si estamos en un entorno SOHO? no hay servidores RADIUS no podemos d autenticar t ti all usuario i como hasta h t ahora h no podemos generar la clave maestra utilizamos una clave pre-compartida entre todos ¡! 33 La solución definitiva: 802.11i = WPA2 El protocolo CCMP ofrece el cifrado (mediante AES) y la protección de integridad se considera el algoritmo de cifrado más seguro hoy en día (no se ha ideado ningún ataque contra el mismo) p hardware para p no penalizar p necesita soporte aunque se han incorporado mejoras en el diseño para hacerlo más eficiente Se establece el concepto RSN: Robust Security Networks La asociación recibe el nombre de RSNA si éstas se producen con intercambio de claves con un 4-Way Handshake Redes Inalámbricas Ad H Hoc AES (Advanced Encription Standard) es a CCMP lo que RC4 es a TKIP TKIP se diseño para acomodar al hardware WEP existente CCMP es un diseño completamente nuevo diseñado por expertos en seguridad y encriptación TSN: TSN Transitional T iti l Security S it Network. N t k Arquitectura 802.11i que permite estaciones tanto WEP como RSN 34 Las 4 fases del protocolo 802.11i Redes Inalámbricas Ad H Hoc El establecimiento de un contexto seguro 802.11i consta de 4 fases 35 ¿Cómo se configura WPA2? Autenticación 802.11 abierta Autenticación 802.1X ((en modo infraestructura)) Métodos EAP con túnel TLS identidad externa anónima, si es posible Restricción ó de los servidores RADIUS aceptados Cifrado: AES ¿Y si estamos en un entorno SOHO? Redes Inalámbricas Ad H Hoc utilizamos una clave pre-compartida entre todos esta t clave l sirve i de d autenticación t ti ió esta es la clave maestra a partir de la que generar el resto LA PALABRA DE PASO HA DE TENER MÁS DE 20 CARACTERES 36 WPA y WPA2 WPA puede ejecutarse con todo el hardware que soportase WEP (sólo necesita una actualización de firmware) WPA2 necesita hardware reciente (2004 ) WPA acabará siendo comprometido a medio plazo y sólo se recomienda i d como transición t i ió a WPA2 Algunos AP permiten emplear un modo mixto que acepta tanto clientes WPA como clientes WPA2 en la misma celda Redes Inalámbricas Ad H Hoc hay una pequeña degradación en las claves de grupo (este modo nos ha dado problemas con algunas PDA) 37 Pre-autenticación 802.1X El proceso de establecer la asociación y generar las claves es costoso y puede afectar a la movilidad La pre-autenticación consiste en establecer el contexto de seguridad con un AP mientras se está asociado a otro El tráfico t áfi entre t lla estación t ió y ell nuevo AP viaja i j por la l red d cableada bl d Cuando, finalmente, se produce el roaming, el cliente indica que ya está hecha la asociación inicial Redes Inalámbricas Ad H Hoc Sólo disponible p en WPA2 (excluido ( en WPA)) 38 Soporte 802.11i en los S. Operativos Windows Mobile ¡Cada PDA es un mundo! Incluye el suplicante 802.1X Soporta sólo WPA (cifrado TKIP) métodos EAP: EAP-TLS EAP TLS y EAP EAP-PEAP/MS-CHAP-V2 PEAP/MS CHAP V2 Redes Inalámbricas Ad H Hoc Windows XP SP2 Incluye el suplicante 802.1X Soporta WPA (de fábrica). Se puede aplicar la actualización a WPA2 (si la tarjeta lo soporta) p a través de Windows Update p esta actualización no se aplica métodos EAP: EAP-TLS y EAP-PEAP/MS-CHAP-V2 permite restringir los servidores RADIUS aceptados almacena en caché las credenciales del usuario ¡siempre! 39 Soporte 802.11i en los S. Operativos Windows Vista Redes Inalámbricas Ad H Hoc Incluye el suplicante 802.1X Soporta WPA y WPA2 métodos EAP: EAP-TLS y EAP-PEAP/MS-CHAP-V2 incorpora una API (EAPHost) que permite desarrollar nuevos suplicantes y nuevos métodos EAP permite restringir los servidores RADIUS aceptados permite elegir si se almacenan o no, no en caché, caché las credenciales del usuario Permite definir perfiles de conexión para configurar las redes inalámbricas sin la intervención del usuario incluso l con opciones que no podrá d á modificar df Informa de la seguridad de las redes disponibles MAC WPA2 está soportado tras la actualización 4.2 del software Apple AirPort: los mac con Airport Extreme, la estación base Airport Extreme Base Station y Airport Express. 40 Soporte 802.11i en los S. Operativos Linux Dependiendo de la distribución puede incluir o no el suplicante 802.1X Se recomienda utilizar wpa-supplicant y Network Manager para la configuración Soporta WPA y WPA2 admite la mayoría de métodos EAP: EAP EAP-TLS, TLS, EAP EAP-TTLS/PAP, TTLS/PAP, EAP EAP-PEAP/MS-CHAPPEAP/MS CHAP V2, … permite restringir los servidores RADIUS aceptados permite elegir si se almacenan o no, no en caché, caché las credenciales del usuario la configuración puede ser a través de ficheros o mediante la interfaz gráfica Redes Inalámbricas Ad H Hoc Archivo de configuración de wpa_supplicant para WPA2 41 eduroam Es una iniciativa a nivel internacional que permite la movilidad de sus miembros de manera ‘transparente’ con la misma configuración de la red inalámbrica se puede conectar un usuario en cualquier institución adherida a eduroam p la institución de origen g (con ( seguridad g la autenticación del usuario la hace siempre en el tránsito de credenciales) es sencillo detectar si tenemos soporte para eduroam: el SSID es eduroam Más información: http://www.eduroam.es, http://eduroam.upv.es Redes Inalámbricas Ad H Hoc Atención: el cifrado puede ser distinto en cada red Redes Inalámbricas Ad H Hoc 42 eduroam en Europa 43 Seguridad 802.11 en la Red Enlaces Web La Red inalámbrica de la UPV: Redes Inalámbricas Ad H Hoc http://wifi.upv.es Redes Inalámbricas – Tema 6. Seguridad La tecnología 802.11: WEP y el estándar 802.11i Seguridad en MANET Redes Inalámbricas Ad Hoc Máster Ingeniería de Telecomunicación, Universidad de Málaga 45 Routing security vulnerabilities Wireless medium is easy to snoop on y, it is hard to guarantee g access Due to ad hoc connectivityy and mobility, to any particular node (for instance, to obtain a secret key) Easier for trouble-makers to insert themselves into a mobile ad hoc network t k ((as compared d tto a wired i d network) t k) Open medium Dynamic topology Distributed cooperation (absence of central authorities) Constrained capability Redes Inalámbricas Ad H Hoc (energy) 46 Securing Ad Hoc Networks Definition of “Attack” RFC 2828 — Internet Security Glossary : “ An assault on system security that derives from an intelligent threat, i.e., an i lli intelligent act that h is i a deliberate d lib attempt (especially ( i ll in i the h sense off a method h d or technique) to evade security services and violate the security policy of the system.” Redes Inalámbricas Ad H Hoc Goals Availability: ensure survivability of the network despite denial of service attacks. The DoS can be targeted at any layer Confidentiality: ensures that certain information is not disclosed to unauthorized entities. Eg Routing information information should not be leaked out because it can help to identify and locate the targets Integrity: guarantee that a message being transferred is never corrupted. Authentication: enables a node to ensure the identity of the nodes communicating. Non-Repudiation: N R di ti ensures that th t th the origin i i off the th message cannott d deny h having i sentt the message 47 Routing attacks Classification: External attack vs. Internal attack External: Intruder nodes can pose to be a part of the network injecting erroneous routes, replaying old information or introduce excessive traffic to partition the network Internal: The nodes themselves could be compromised. Detection of such nodes is difficult since compromised nodes can generate valid signatures. Passive attack vs vs. Active attack Redes Inalámbricas Ad H Hoc Passive attack: “Attempts to learn or make use of information from the system but does not affect system resources” (RFC 2828) Active attack: “Attempts to alter system resources or affect their operation” (RFC 2828) 48 Passive Attacks Sniffer Redes Inalámbricas Ad H Hoc Passive attacks Interception (confidentiality) Release of message contents Traffic analysis 49 Active attacks Active attacks Redes Inalámbricas Ad H Hoc Interruption (availability) Modification (integrity) Fabrication (integrity) 50 Referencia de obligada lectura Security in Mobile Ad Hoc Networks: Challenges and Solutions Redes Inalámbricas Ad H Hoc IEEE Wireless Communications. February 2004.