Zabezpečení bezdrátových sítí IEEE 802.11

Zabezpečení bezdrátových sítí IEEE 802.11

Zabezpečení bezdrátových sítí
IEEE 802.11
Tomáš Vaněk
Autor: Tomáš Vaněk
Název díla: Zabezpečení bezdrátových sítí IEEE 802.11
Zpracoval(a): České vysoké učení technické v Praze
Fakulta elektrotechnická
Kontaktní adresa: Technická 2, Praha 6
Inovace předmětů a studijních materiálů pro
e-learningovou výuku v prezenční a kombinované
formě studia
Evropský sociální fond
Praha & EU: Investujeme do vaší budoucnosti
VYSVĚTLIVKY
Definice
Zajímavost
Poznámka
Příklad
Shrnutí
Výhody
Nevýhody
ANOTACE
Tento modul poskytuje přehled bezpečnostních mechanismů používaných v bezdrátových
sítích. Podrobně jsou probrány způsoby zajištění utajení, integrity a autentizace v sítích IEEE
802.11 pomocí protokolů WEP, WPA a WPA2.
CÍLE
Student získá přehled v oblasti bezdrátových sítí. Seznámí se s funkcí protokolů pro
zabezpečení bezdrátových sítí, nejčastějšími útoky a způsoby obrany proti nim.
LITERATURA
[1]
Chandra, Praphul, Bulletproof Wireless Security.: Elsevier, 2005, 240 str. ISBN 07506-7746-5
[2]
Brown Edwin, 802.1x Port-Based Authentication, Auerbach Publications, 2007, 238
str., ISBN 1-4200-4464-8
[3]
Nakhjiri Madjid, Nakhjiri Mahsa. AAA and Network Security for Mobile Access;
Radius, Diameter, EAP, PKI and IP mobility: WILEY, 2006, 280 str., ISBN 978-0-47001194-7
[4]
Pužmanová Rita, Bezpečnost bezdrátové komunikace, CP Books, 2005, 180 stran,
ISBN: 80-251-0791-4
Obsah
1 Zabezpečení bezdrátových sítí obecně ............................................................................... 6
1.1
Úvod ........................................................................................................................... 6
1.2
Proč bezdrátové sítě zabezpečovat? ........................................................................... 7
2 Protokol WEP ....................................................................................................................... 8
2.1
Základní informace o protokolu WEP........................................................................ 8
2.2
Utajení dat pomocí protokolu WEP ........................................................................... 9
2.3
Autentizace u protokolu WEP .................................................................................. 11
2.4
Zajištění integrity pomocí protokolu WEP .............................................................. 12
2.5
Shrnutí informací o protokolu WEP ......................................................................... 13
3 Protokol WPA..................................................................................................................... 14
3.1
Základní informace o WPA ...................................................................................... 14
3.2
Utajení pomocí protokolu TKIP ............................................................................... 15
3.3
WPA – Integrita WPA – Integrita ............................................................................ 17
3.4
WPA – autentizace pomocí PSK .............................................................................. 18
3.5
WPA – autentizace pomocí IEEE 802.1x ................................................................ 21
3.6
Shrnutí informací o protokolu WPA ........................................................................ 24
4 Protokol WPA2 neboli IEEE 802.11i ............................................................................... 25
4.1
Základní informace o 802.11i ................................................................................. 25
4.2
RSN – Robust Security Network.............................................................................. 27
4.3
WPS – WiFi Protected Setup ................................................................................... 31
4.4
Alternativní možnosti zabezpečení bezdrátové sítě ................................................. 33
1 Zabezpečení bezdrátových sítí obecně
1.1 Úvod
Bezdrátové sítě patří do kategorie počítačových sítí. V bezdrátových sítích je
signál přenášen volným prostorem nejčastěji pomocí elektromagnetického vlnění,
výjimečně pomocí světla v oblasti infračervené části spektra. Stejně jako se
počítačové sítě dělí dle dosahu na LAN (Local Area Network), MAN
(Metropolitan Area Network) WAN (Wide Area Network), lze i bezdrátové
technologie rozdělit na WPAN (Wireless Personal Area Network), WLAN
(Wireless Local Area Network), WMAN (Wireless Metropolitan Area Network),
WWAN (Wireless Wide Area Network). V dnešní době asi nejrozšířenější
WLAN technologií je IEEE (Institute of Electrical and Electronics Engineers)
802.11 známá pod komerční zkratkou WiFi (Wireless Fidelity). Existuje řada
rozšíření původní normy 802.11, které zvyšují přenosové rychlosti, přidávají
podporu v nových frekvenčních pásmech, či jiné funkcionality, které v době
schválení standardu nebyly požadovány. Jednou z nich je i doporučení IEEE
802.11i, které se komplexně zabývá zabezpečením ve WiFi, které budu v tomto
modulu probráno.
1.2 Proč bezdrátové sítě zabezpečovat?
Problematika zabezpečení bezdrátových je velmi důležitá a od počátku jejich
praktického nasazení aktuální. U klasických „kabelových“ sítí a je zcela jedno
jestli jsou realizované pomocí optických vláken, koaxiálních párů nebo UTP
(Unshielded Twisted Pair), je vždy zřejmé, kudy se šíří signál s přenášenou
informací. To bohužel neplatí pro bezdrátové sítě. V bezdrátových sítích nelze
dostatečně omezit přístup k fyzickému médiu. Tuto negativní vlastnost je
u bezdrátových technologií potřeba vykompenzovat externími bezpečnostními
mechanismy.
Některé moderní systémy (např. BeamFlex od Ruckus Wireless nebo AutoCell od
firmy Netgear) umožňují částečně potlačit nemožnost omezení přístupu k médiu.
Tyto systémy využívají více antén, u kterých dokáží dynamicky měnit své
vyzařovací charakteristiky. Tyto techniky byly primárně vyvinuty pro potlačování
interferencí a zvyšování propustnosti bezdrátových sítí, ale dynamickým
tvarováním laloků, také přispívají k tomu, že AP (Access Point) nevyzařuje
kontinuálně signál do míst, kde se nenachází žádný klient (na rozdíl od v běžných
AP se všesměrovou anténou). V tomto modulu se těmito systémy nebudeme
zaobírat, ale pokud byste se o nich chtěli dozvědět více, klíčová slova jsou
beamforming, smart antennas, spatial multiplexing a MIMO (Multiple-Input and
Multiple-Output).
Pojem bezpečnost resp. přesněji informační bezpečnost, protože nám jde
o ochranu přenášených informací je komplexní pojem. Cílem informační
bezpečnosti je dosažení několika základních dílčích cílů:
•
Autentizace
•
Integrita
•
Utajení
Kromě těchto základních cílů, kterých budeme chtít dosáhnout vždy, se
v některých případech můžeme setkat i s dalšími jako je nepopiratelnost.
7
2 Protokol WEP
2.1 Základní informace o protokolu WEP
Protokol WEP byl prvním volitelným způsobem zabezpečení přítomným již
v původním doporučení IEEE 802.11.
Zkratka WEP( Wired Equivalent Privacy), měla už podle svého názvu běžným
uživatelům naznačovat, že jejich data jsou chráněna na stejné úrovni, jako je tomu
v případě technologií využívajících metalické (či optické) vedení.
Nicméně realita byla poněkud jiná. Kvůli nevhodné implementaci šifrovacího
algoritmu, chybějícímu managementu klíčů a částečné předvídatelnosti obsahu
zašifrovaných dat (některá pole záhlaví protokolů) byly velmi rychle popsány
metody vedoucí k prolomení protokolu WEP a odhalení klíče.
8
2.2 Utajení dat pomocí protokolu WEP
Způsob, jakým jsou u protokolu WEP utajena přenášená data vidíte na obrázku.
Utajení přenášených pomocí protokolu WEP.
Obrázek má tři základní části. V první části je znázorněn generátor proudu klíče
založený na proudové šifře RC4.
Autorem algoritmu RC4 je Ron Rivest z RSA Laboratories, který se asi nejvíce
proslavil jako spoluautor systému RSA (Rivest-Shamir-Adleman). Zkratka RC4
tak znamená Rivest Cipher č.4 (někdy označované jako Ron's Code) kde číslo
udává, o kolikátý algoritmus tohoto autora jde. Mezi další známé kryptografické
algoritmy Rona Rivesta patří blokové šifry RCR5 a její nástupce RC6, který byl
jedním z pěti finalistů výběrového řízení na standard AES, který posléze vyhrál
algoritmus Rijndael.
RC4 je původně proprietární (neveřejný) algoritmus RSA Laboratories, který byl
později zveřejněn a následně uvolněn pod licencí Public Domain. Název RC4 je
nicméně stále ochrannou známkou RSA Laboratories.
Jedná se o proudovou šifru s velmi jednoduchou strukturou, kterou lze velmi
efektivně implementovat jak softwarově, tak hardwarově.
•
Algoritmus je inicializován tajným klíčem a inicializačním vektorem (IV),
který se mění pro každý paket. IV je jednoduše připojen před tajný klíč
a výsledný řetězec inicializuje vlastní kryptografické jádro algoritmu RC4.
•
Užitečná data, ke kterým byl předtím spočítán kontrolní součet (pomocí CRC32) jsou operací XOR přičtena k proudu klíče, který vystupuje z generátoru.
9
•
Před takto zašifrovaná data je dále připojen IV v otevřeném tvaru. Protože
jednotlivé MPDU (Message Protocol Data Unit) mohou být doručeny
v různém pořadí, IV se musí přenášet v otevřeném tvaru, aby příjemce mohl
paket dešifrovat. Příjemce totiž neví, jaký IV byl použit při šifrování.
Struktura rámce protokolu WEP je znázorněna na následujícím obrázku.
Struktura rámce protokolu WEP.
Původní norma IEEE 802.11 definovala pouze WEP s klíčem délky 64 bitů,
s efektivní délkou 40bitů, protože úvodních 24 bitů tvoří IV. Později se objevili
varianty s klíčem délky 128 nebo 256 bitů (resp. efektivní délkou 104 a 232 bitů).
10
2.3 Autentizace u protokolu WEP
Protokol WEP podporuje dvě možnosti autentizace. První z nich se označuje jako
Open System a druhá nazvaná Shared-key.
V případě prvního způsobu jde o dvoucestnou výměnu (2-way handshake), kdy je
autentizován každý uživatel, který pošle požadavek na autentizaci se správně
vyplněným identifikátorem sítě (SSID).
Ve druhém případě se jedná o čtyřcestnou výměnu(4-way handshake). Zde
účastník odešle požadavek na autentizaci. AP mu v odpovědi odešle náhodně
vygenerovaný řetězec, který účastník zašifruje sdíleným WEP klíčem a odešle
zpět na AP. AP (které zná sdílený klíč) dešifruje přijatý řetězec a porovná ho
s odeslaným. V případě shody je stanice autentizována.
Shared-key autentizace je kupodivu z bezpečnostního hlediska horší než Open
System. Nebezpečnost tohoto způsobu autentizace spočívá v tom, že
potencionální útočník, který od počátku monitoruje komunikaci, může zachytit jak
výzvu, tak zašifrovanou výzvu odeslanou jako odpověď. Má tedy k dispozici pár
OT-ŠT, ví jakým algoritmem byl OT zašifrován a to mu ještě víc usnadní
kryptoanalýzu a získání WEP klíče.
Protokol WEP neposkytuje žádný bezpečný způsob autentizace klienta a AP.
11
2.4 Zajištění integrity pomocí protokolu WEP
Ochranu přenášených dat z hlediska datové integrity je zajištěno polem ICV
(Integrity Check Value). Protože je použito pouze zabezpečení pomocí CRC-32
(Cyclic Reduntant Check), data ve skutečnosti nejsou nijak chráněna proti
úmyslné modifikaci. Cyklické kódy slouží pouze k detekci chyb vzniklých během
přenosu či zpracování dat, ale nedokáže ochránit data proti úmyslným změnám.
Útočník totiž po případné modifikaci dokáže jednoduše spočítat novou hodnotu
CRC a celý datový paket se tak příjemci jeví jako neporušený.
Ochrana proti Replay útokům a DoS útokům také chybí, což znamená, že útočník
dokáže zaznamenat probíhající komunikaci a později znovu vložit do
komunikačního řetězce, aniž by to příjemce dokázal odhalit.
Protokol WEP neobsahuje žádné mechanismy zajišťující integritu přenášených
dat mezi klient a AP proti aktivnímu útočníkovi.
12
2.5 Shrnutí informací o protokolu WEP
Výhody:
•
nejméně výpočetně náročný
Nevýhody:
•
krátký šifrovací klíč
•
klíče jsou statické (nemění se v čase)
•
neexistuje mechanismus pro automatickou výměnu klíčů (nutná manuální
změna na všech zařízeních – koncové stanice i AP)
•
existence slabých klíčů
•
chybějící ochrana proti DoS a replay útokům
•
zajištění integrity pouze pomocí CRC-32
•
náchylnost RC4 na útok typu related-key (toto je obecná vlastnost RC4, která
je ve WEPu zesílena způsobem práce s IV a celkovým designem protokolu)
•
slabá a pouze jednostranná autentizace pomocí metody Shared-key
13
3 Protokol WPA
3.1 Základní informace o WPA
WPA
(WiFi Protected Access) představoval mezikrok mezi starým
a nebezpečným protokolem WEP a zcela novým komplexním doporučením IEEE
802.11i. Vývoj a schvalování standardu trvá obvykle řadu let, a protože
bezpečnostní rizika WEPu byla dobře známa a současně docházelo na přelomu
20. a 21. století k masivnímu rozšiřování technologie IEEE 802.11, nebylo možné
čekat na schválení konečného standardu. Přibližně v poločase celého procesu
(říjen 2002) tedy došlo k publikování vybraných (a již hotových částí budoucího
standardu) pod hlavičkou organizace WiFi Alliance (http://www.wi-fi.org). Tato
organizace sdružující výrobce zařízení pracujících ve standardu IEEE 802.11
a certifikující jejich výrobky označením „WiFi certified“ tak vydala popis
zabezpečení bezdrátových sítí nazvaný WPA. Ten vycházel ze 3. pracovního
návrhu standardu IEEE 802.11i a řešil nejpalčivější problémy WEP při
současném zachování zpětné kompatibility s již existujícími zařízeními.
Základními vlastnostmi WPA jsou:
•
autentizace pomocí IEEE 802.1x nebo pomocí PSK (Pre-Shared Key)
•
šifrování pomocí protokolu TKIP (Temporal Key Integrity Protocol)
•
zajištění integrity dat pomocí algoritmu MIC (Message Integrity Code)
•
kompatibilita se stávajícími zařízeními (podporu WPA lze přidat pouhou
změnou ve firmwaru zařízení)
14
3.2 Utajení pomocí protokolu TKIP
Způsob, jakým jsou u protokolu TKIP utajena přenášená data vidíte na obrázku.
Utajení přenášených pomocí protokolu TKIP.
Obrázek má tři základní části a vychází z obrázku popisujícího protokol WEP.
Černě jsou vyznačeny ty části protokolu, která zůstaly v zásadě stejná jako
u WEPu. Červeně a zeleně jsou znázorněny nové funkční bloky. Červený blok
představuje inovovaný proces přípravy klíče pro lepší inicializaci proudové šifry
RC4. Protokol TKIP používá stejný šifrovací algoritmus RC4 jako WEP, ale na
rozdíl od WEP podporuje TKIP dynamické klíče, které se mění automaticky
každých 10000 paketů. Dále používá delší klíče, a důkladnější (a tím pádem
i bezpečnější) způsob inicializace šifry RC4. V neposlední řadě došlo
k prodloužení IV na 48 bitů. U protokolu WEP probíhala inicializace šifrovacího
algoritmu RC4 tak, že za 24bitový IV byl připojen krátký 40bitový klíč.
U protokolu TKIP je celý proces složitější, složený ze dvou fází, ve kterých
dochází k promíchání jednotlivých vstupů. V prvním kroku je nejprve promíchán
128bitový TKIP klíč s 48bitovou MAC adresou zařízení a 32 bity IV (pole
TSC2..5). Poté následuje druhá fáze, kdy je k výsledku předchozí operace
přimíchán opět 128bitový TKIP klíč a dále ještě zbývajících 16 bitů IV (pole
TSC0 a TSC1). Promíchání je technicky vyřešeno jako nelineární subsituce
realizovaná pomocí S-boxu. Výstup má délku 128 bitů a je dále použit
k inicializaci proudové šifry RC4.
15
Struktura rámce protokolu TKIP.
Na obrázku jsou záhlaví protokolu TKIP s vyznačením šifrované části paketu.
Pole WEPSeed se nepoužívá a obsahuje vždy hodnotu (TSC1 | 0x20) &&0x7f.
Bity označené RSVD se nepoužívají (ReSeRVeD), ExtIV má hodnotu 1 a bit
KeyID obsahuje hodnotu indexu klíče tak, jak jí poskytla metoda
MLME.SETKEYS.request.
Struktura rámce protokolu TKIP.
Kromě datové části paketu je šifrován i kryptografický kontrolní součet MIC
a také ICV původního protokolu WEP.
16
3.3 WPA – Integrita WPA – Integrita
V zeleném bloku je znázorněn nový protokol MIC pro zajištění integrity
přenášených dat. Ten je vypočten z užitečných da, zdrojové adresy, cílové adresy
a hodnoty pole priorita. MIC slouží k ochraně dat proti úmyslné modifikaci
a vícenásobnému použití zpráv (replay attack).
Základem protokolu MIC je rychlý algoritmus Michael, který kromě vstupu,
kterým je vlastní datový rámec používá ještě 64bitový tajný klíč k získání
výstupní 64bitové hodnoty uložené v poli MIC. Algoritmus Michael využívá
Feistelovo schéma s operacemi XOR, sčítání mod 232 a rotace vlevo a vpravo
v jednotlivých krocích.
MIC byl vyvinut s cílem kompatibility se staršími zařízeními, což se projevilo
v jeho nižší bezpečnosti. Odolnost proti aktivním útokům je slabá. Pokud je
v přijatém rámci detekován chybný MIC (a současně nebyla detekována chyba
v CRC), jedná se zřejmě o pokus o aktivní útok. Úspěšný útok by útočníkovi
umožnil injekci zfalšovaných rámců do sítě a další útoky na šifrovací klíč
protokol TKIP. Proto obsahuje MIC další administrativní opatření omezující
možnost těchto útoků. Pokud jsou za jednu minutu detekovány dvě chyby v MIC,
dojde na 60 sekund k přerušení komunikace mezi AP a koncovou stanicí a poté
k dojednání nových TKIP klíčů. To platí i pro skupinové klíče GTK (Group
Transient Key).
WPA používá k zajištění integrity nový protokol MIC, čímž je zajištěna ochrana
proti úmyslným modifikacím přenášených zpráv.
17
3.4 WPA – autentizace pomocí PSK
WPA definuje dva způsoby autentizace. Jednak pomocí předsdílených klíčů –
PSK, což je způsob vhodný pro malé (domácí) sítě a poté pomocí mechanismu
IEEE 802.1x a protokolu EAP (Extensible Authentication Protocol).
V případě PSK je jak na AP, tak i na klientech umístěn 256bitový klíč, který
v průběhu další výměny plní funkci PMK (Pairwise Master Key). PMK se
obvykle nezadává přímo, ale místo něj se zadá heslo (passphrase) délky 8-63
znaků, které se převádí na PMK pomocí vztahu
PMK = PBKDF2(HMAC-SHA1, passphrase, ssid, 4096, 256)
kde PBKDF2 (Password-Based Key Derivation Function) je funkce definovaná
v PKCS#5 2.0 a RFC2898. Protože kromě hesla je dalším parametrem i SSID sítě,
je z bezpečnostního hlediska vhodné zvolit si pokud možno unikátní SSID, aby
byla omezena možnost využití předpočítaných slovníků na útoky typu rainbow
attack. Číslo 4096 zde udává počet iterací funkce HMAC-SHA1 a 256 je délka
výstupu.
Z klíče PMK je v průběhu čtyřcestné výměny (4-way handshake) odvozen PTK.
Celý proces je znázorněn na obrázku. Stanice i AP vygenerují náhodná čísla
ANonce a SNonce, která jsou spolu s PMK a MAC adresami obou zařízení
použita k odvození PTK.
PTK=PRF-512(PMK, „Pairwise Key Expansion“, MIN(MACadresa-stanice,
MACadresa-AP)||MAX(MACadresa-stanice,
MACadresa-AP)||MIN(ANonce,
SNonce)||MAX(ANOnce, SNonce))
Odvození klíčů pro multicastovou/broadcastovu komunikaci je provedeno
analogicky s tím rozdílem, že se na něm nepodílí stanice, ale pouze AP. Klíče
PTK jsou unikátní pro každou stanici, klíče GTK jsou společné pro všechna
zařízení komunikující v rámci daného AP.
GTK=PRF-256(GMK, "Group key expansion", MACadresa-AP||GNonce)
Řetězce „Pairwise Key Expansion“ a „Group Key Expansion“ jsou textové
řetězce daného tvaru. Většina zpráv je podepsána pomocí algoritmu MIC. Klíče
pro MIC jsou součástí PTK a jsou tím pádem odvozeny v průběhu odvozování
PTK. PRF-256 a PRF-512 jsou pseudonáhodné funkce založené na HMAC-SHA1
produkující výstup délky 256 resp. 512 bitů.
18
Odvození šifrovacích klíčů u WPA-PSK
Klíče PTK a GTK jsou použity pro zabezpečení vlastní komunikace mezi stanicí
a APOD. Tyto klíče se mění každých 10 000 paketů.
Postupné odvození klíčů pro unicastovou a multicastovou komunikaci je
znázorněno na následujících dvou obrázcích.
19
Odvození klíčů používaných pro zabezpečení unicastové komunikace protokoly TKIP a MIC.
Odvození klíčů používaných pro zabezpečení multicastové komunikace protokoly TKIP a MIC.
Pokud se nepoužívá PSK, ale autentizace pomocí 802.1x, pak je PMK odvozený
z MSK (Master Session Key). PMK je dále využit ve čtyřcestné výměně (4-way
handshake) k ustanovení dočasných šifrovacích klíčů (PTK – Pairwise Transient
Key) zcela stejným způsobem, jako v případě předsdílených klíčů.
Autentizace pomocí předsdílených klíčů je vhodná pro menší sítě, kde se
nevyplatí provozovat autentizaci podle doporučení IEEE 802.1x.
20
3.5 WPA – autentizace pomocí IEEE 802.1x
IEEE 802.1X je obecný bezpečnostní rámec bezpečnou autentizaci v LAN.
Nejčastěji se dnes používá v bezdrátových sítích WiFi, ale stejně tak je možné ho
použít i v klasických LAN realizovaných pomocí metalických nebo optických
kabelů.
Architekturu IEEE 802.1x tvoří tři funkční entity:
•
suplikant - koncové zařízením resp. program, který je spuštěn na koncovém
zařízení, které se chce připojit do sítě
•
autentizátor – aktivní síťový prvek, se kterým komunikuje suplikant. V praxi
se jedná nejčastěji o bezdrátový přístupový bod (AP) nebo přepínač
•
autentizační server – zařízení rozhodující o autentizaci suplikantů.
Komunikuje s autentizátory nejčastěji pomocí protokolu RADIUS (Remote
Access Dial In Users Service).
Pro komunikaci mezi suplikantem a autentizátorem se používá autentizační
protokol EAP.
RADIUS je aplikační protokol typu klient/server využívající na transportní vrstvě
UDP. Obvykle je implementován jako služba běžící na počítači s unixovým OS
nebo MS Windows Server. RADIUS plní funkce:
1. autentizace zařízení nebo uživatelů před jejich přístupem do sítě
2. autorizace těchto uživatelů nebo zařízení pro konkrétní služby
3. účtování použití těchto služeb,
a patří tedy do kategorie AAA (Authentication, Authorization, Accounting)
protokolů.
Na následujících obrázcích je znázorněn proces autentizace pomocí 802.1x. Před
autentizací může koncová stanice komunikovat s autentizátorem pouze
protokolem EAP. Jiný typ komunikace je zahozen. Autentizátor vysílá periodické
žádosti o autentizaci, na které stanice (pokud daný způsob autentizace podporuje)
odpoví. Přihlašovací údaje jsou předány na autentizační server, který je vyhodnotí
a v případě oprávněného požadavku povolí přístup stanice do sítě. Kromě tohoto
pokynu dodá ještě na autentizátor i MSK, který je dále použit k 4-way handshaku
mezi koncovou stanicí a autentizátorem.
21
Autentizace pomocí IEEE 802.1x – stav před autentizací.
Autentizace pomocí IEEE 802.1x – stav po autentizaci klienta.
22
Odvození šifrovacích klíčů v případě autentizace pomocí IEEE 802.1x
V bezdrátových sítích Wi-Fi se při 802.1x autentizaci mezi suplikantem
a autentizátorem používá jedna z následujících variant protokolu EAP:
•
EAP-TLS
•
EAP-TTLS/MSCHAPv2
•
PEAPv0/EAP-MSCHAPv2
•
PEAPv1/EAP-GTC
•
EAP-AKA
Protokol EAPOL, který byl použit u WPA-PSK je použit až při následném 4-way
handshaku.
Autentizace pomocí 802.1x je vhodná všude tam, kde přínos z vyššího stupně
zabezpečení vynahradí náklady a obtíže spojené s vybudováním 802.1x
infrastruktury.
23
3.6 Shrnutí informací o protokolu WPA
Výhody:
•
dynamické klíče
•
autentizace pomocí IEEE 802.1x nebo PSK
•
odolné proti replay útokům
•
nevyžadoval změny v HW
Nevýhody:
•
lze prolomit slovníkovým útokem v případě nekvalitního klíče a PSK
•
jsou publikovány útoky umožňující dešifrování krátkých paketů se víceméně
známým obsahem (ARP requesty) s následnou možností ho až sedmkrát
znovu použít k zašifrování a injekci krátkého zfalšovaného paketu do sítě (do
velikosti cca 550B). Útok vyžaduje podporu QoS (802.11e) na straně AP,
kvůli existenci oddělených prioritních front.
•
používá starší algoritmus RC4
24
4 Protokol WPA2 neboli IEEE 802.11i
4.1 Základní informace o 802.11i
Cílem doporučení IEEE 802.11i je komplexní zajištění informační bezpečnosti
pro bezdrátové sítě založené na standardu IEEE 802.11b/g/a/h/n. Protože
rozšiřuje existující metodu WPA, bývá v praxi často označováno jako WPA2.
Varianta s ověřováním pomocí PSK (ať již jde o WPA-PSK nebo WPA2-PSK) se
často v konfiguračních programech síťových karet a AP označuje jako WPAPersonal, zatímco WPA/WPA2 s autentizací pomocí EAP se označuje jako WPAEnterprise
Základním rozdíl WPA2 oproti WPA tkví ve změně šifrovacího algoritmu
v celém bezpečnostním postupu. Algoritmus RC4 byl nahrazen algoritmem AES
(Advanced Encryption Standard).
V souvislosti s tím došlo i k vypuštění
algoritmu MIC, který nebyl příliš bezpečný a zajištění integrity je u WPA2 řešeno
pomocí speciálního režimu činnosti šifrovacího algoritmu AES. Tento režim se
jmenuje CCMP (Counter Mode with Cipher Block Chaining Message
Authentication Code Protocol), ve kterém je možné současně zrealizovat utajení
přenášené informace i zajištění její integrity.
Podporu algoritmu AES (a tím i celého standardu 802.11i) nebylo možné přidat
pouhou změnou firmwaru, protože samotné šifrovací algoritmy jsou v AP
a síťových kartách z důvodu minimalizace zpoždění v průběhu zpracování
implementovány přímo v hardware. Od března 2006 musí být každé zařízení,
které chce být certifikováno označením „WiFi“ podporovat algoritmus AES resp.
standard IEEE 802.11i.
Také na straně koncových stanic je podpora WPA2 přítomna ve všech moderních
operačních systémech.
Seznam OS podporujících standard IEEE 802.11i:
•
Windows XP od aktualizace SP3
•
Windows Vista od aktualizace SP2
•
Windows 7
•
Linux – pomocí wpa_supplicant od verze 0.2.1
•
Mac OS X od verze 10.4
•
iOS od verze 3.2 pro iPhone
•
iOS od verze 4.1 pro iPhone
•
Android od verze 2.1
•
Symbian S60
25
•
Maemo5
Z následujících dvou obrázků je vidět, že použití AES v režimu CCMP je kromě
vyšší bezpečnosti (AES vs. RC4) i efektivnější, protože již není potřeba
algoritmus MIC pro zajištění integrity.
Odvození klíčů používaných pro zabezpečení unicastové komunikace protokolem AES-CCMP.
Odvození klíčů používaných pro zabezpečení multicastové komunikace protokolem AES-CCMP.
Doporučení IEEE 802.11i neboli WPA2 obsahuje vše, co bylo ve WPA a navíc
přidává podporu šifrovacího algoritmu AES v režimu CCMP. WPA2 je nejlepším
možným způsobem zabezpečení bezdrátové sítě Wi-Fi.
26
4.2 RSN – Robust Security Network
V souvislosti s IEEE 802.11 se můžeme někdy setkat se zkratkou RSN (Robust
Security Network). Jedná se o komplexní pojem označující protokol řešící
zabezpečení komunikace v bezdrátových sítích IEEE 802.11. Pod pojmem
zabezpečení se zde myslí nejenom autentizace komunikujících entit, ale i výměna
šifrovacích klíčů (jak pro unicastovou tak pro broadcastovou komunikaci),
zajištění integrity přenášených dat a ochrana proti různým druhům aktivních
útoků. RSN je součástí standardu IEEE 802.11i.
Pro bezdrátové sítě, které používají RSN ale umožňují použití TKIP se v této
souvislosti používá označení TSN (Transient Security Network). TSN jsou nutné,
protože starší bezdrátová zařízení nemají potřebný hardware a/nebo výpočetní
výkon pro podporu AES-CCMP.
Protokol RSN pracuje v následujících krocích:
1. Bezdrátová síťová karta (NIC – Network Interface Card) vyšle zprávu
ProbeRequest
2. Bezdrátový přístupový bod (AP – Access Point) vyšle jako odpověď
zprávu ProbeResponse s rámcem RSN IE (Information Exchange). V RSN
IE jsou uloženy všechny podporované
1. autentizační sady
2. unicastové šifrovací sady
3. multicastové šifrovací sady
3. NIC si vyžádá autentizaci pomocí jedné z nabídnutých metod.
4. AP pro NIC zprostředkuje autentizaci. NIC se autentizuje vůči
autentizačnímu serveru (pokud se nejedná o PSK variantu).
5. NIC pošle zprávu Association Request s rámcem RSN IE.
6. AP pošle Association Response.
Slovem sada (suite) se rozumí ve standardu pevně definovaná kombinace různých kryptografických nástrojů
(symetrické, asymetrické šifrovací algoritmy, hashovací funkce, režimy činnosti pro blokové šifry,…)
eznam autentizačních sad
Hodnota
Význam
00:00:00:1
autentizace a správa klíčů pomocí 802.1x
žádná autentizace, správa klíčů pomocí 802.1x (PSK)
00:00:00:2
27
Seznam RSN šifrovacích sad
Hodnota
Význam
00:00:00:1
WEP
00:00:00:2
TKIP
00:00:00:3
WRAP
00:00:00:4
CCMP
00:00:00:5
WEP-104
WRAP (Wireless Robust Authenticated Protocol) je protokol založený na AES
v režimu OCB (Offset Code Book). WRAP je volitelná komponenta RSN. Kvůli
patentové ochraně se v praxi nepoužívá a je nahrazen protokolem CCMP.
Stavy protokolu IEEE 802.11i z pohledu stanice
28
Standard IEEE 802.11i definuje tři různé způsoby komunikace v rámci ESS
(Extended Service Set):
•
obousměrnou komunikaci 1:1 mezi bezdrátovými klienty a pevnou sítí
realizovanou prostřednictvím AP
•
jednosměrnou komunikaci 1:n mezi AP a stanicemi asociovanými s AP
•
obousměrnou přímo komunikaci 1:1 mezi dvěma bezdrátovými stanicemi
asociovanými ke stejnému AP
Nejvíce se používá první metoda. Všechny zmiňované způsoby komunikace
používají stejný způsob autentizace klienta vůči AP. V síti podporující 802.11i se
mezi klientem a AP vytvoří tzv. RSNA (Robust Security Network Association).
RSNA používá autentizaci založenou na IEEE 802.1x a EAP. Pro autentizaci AP
vůči klientovi jsou podporovány varianty protokolu EAP s certifikáty, konkrétně
profily označené EAP-TLS, EAP-TTLS a PEAP. Pro autentizaci klienta připadají
v úvahu kromě již zmiňovaných profilů ještě EAP-PSK nebo EAP-AKA. RSNA
definuje čtyři typy bezpečnostních asociací (SA – Security Association) mezi AP
a klientem. Jedná se o PMKSA, PTKSA, které jsou přítomné vždy a volitelné
GTKSA a STAKeySA.
SA definuje technické prostředky, kterými je dosažena bezpečná komunikace,
konkrétně:
•
bezpečnou transformaci přenášených dat
•
šifrovací klíče
•
šifrovací a autentizační procedury
•
sekvenční čítače
•
metody ošetření výjimek běžného chování.
Jak je vidět na obrázku, zatímco PMKSA a PTKSA jsou dojednávány mezi AP
a STA, GTKSA a STAKeySA jsou pouze staženy z AP.
Výměna bezpečnostních asociací mezi suplikantem a autentizátorem.
29
Dojednání konkrétních parametrů SA je prvním krokem pro ustanovení RSNA.
Podpora bezpečnostních procedur ze strany AP je ohlašována buď v beacon
rámcích, nebo v odpovědích na zprávu probe-request (tj. probe-response). Na
počátku výměny je PMK (Pairwise Master Key), který musí být znám jak AP, tak
i klientovi, aby bylo možné odvodit PMKSA. Existují dvě základní metody, jak
odvodit PMKSA. V prvním případě má AP a klient předsdílený klíč (PSK), který
plní roli PMK. AP a STA si prokáží držení PSK v průběhu 4-way handshaku. Ve
druhém (preferovaném) případě se klient (suplikant) účastní procesu vzájemné
autentizace s autentizačním serverem pomocí IEEE 802.1X a EAP.
Pak je nutné PMK do AP dopravit nějakým zabezpečeným způsobem z použitého
autentizačního serveru (RADISU, Diameter). PTSKA slouží k ochraně
komunikace mezi klientem a jinými stanicemi ať již v rámci nebo mimo ESS, kdy
komunikace probíhá přes AP. Jedná se o nejběžnější způsob komunikace. Po
úspěšné autentizaci STA, získá AP od AS PMK. Poté AP iniciuje s klientem 4way handshake a dojde k ustanovení PTKSA. Poté je možná zabezpečená
komunikace mezi AP a klientem.
GTSKA může probíhat v rámci 4-way handshaku nebo samostatně jako "group
handshake".
GTKSA
slouží
k multicastové/broadcastové
komunikaci
a STAKeySA slouží k zabezpečení přímé komunikace mezi dvěma STA.
STAKeySA slouží k zabezpečení přímé komunikace dvou klientů bez účasti AP.
AP pošle STAKeySA oběma klienty podobně jako je distribuován GTKSA.
V praxi se tento typ SA používá pouze minimálně.
RSN je označení pro protokol komplexně řešící otázku zabezpečení
v bezdrátových sítích standardu IEEE 802.11. Je součástí IEEE 802.11i.
30
4.3 WPS – WiFi Protected Setup
WPS (Wi-Fi Protected Setup) je volitelný certifikační program Wi-Fi aliance,
určený k jednoduchému nastavení a konfiguraci zabezpečení bezdrátové sítě.
WPS bylo představeno v roce 2007 a je určeno pro SOHO (Small Office – Home
Office) prostředí. WPS je určeno pro uživatele s nízkou úrovní znalostí
konfigurace Wi-Fi sítě a umožňuje automatickou konfiguraci bezdrátové sítě
spolu s jejím zabezpečením.
Logo zařízení podporujících WPS
Protokol WPS definuje tři základní entity:
1. Registrátor (Registrar) – zařízení s právem udělit/odmítnout přístup do
sítě. Může být buď integrován do AP, nebo se může jednat o nezávislé
zařízení oddělené od AP. Registrátorem může být i koncová stanice.
2. Žadatel (Enrollee) – zařízení, které se chce připojit do sítě (koncová
stanice nebo přístupový bod).
3. AP – přístupový bod fungující jako proxy mezi Registrátorem a Žadatelem
WPS definuje tři možné varianty komunikace:
1. AP obsahující registrátor nakonfiguruje Žadatele (koncovou stanici).
V tomto případě proběhne relace skrz bezdrátovou síť pomocí zpráv EAP,
kdy na konci AP deasocijuje stanici a počká, až se stanici znovu připojí
s novou konfigurací, která byla předtím dohodnuta.
2. Registrátor na koncové stanici konfiguruje AP, který je v roli Žadatele.
Tento případ se dále dělí podle toho, na jakém médiu proběhne kom
komunikace (metalické nebo bezdrátové) a jestli již byl AP před
konfigurací s Registrátorem nakonfigurován. V případě metalického
spojení je použit protokol UPnP (Universal Plug and Play), který musí
být podporován oběma komunikujícími stranami. V tom případě je
provedena zkrácená verze protokolu s pouze dvěma zprávami bez
požadavku na autentizaci. V případě bezdrátového média se jedná o situaci
stejnou jako v bodě 1. s tím rozdílem, že se prohodí role komunikujících
stran. Co se týká konfigurace AP, od Registrátora se očekává, že se dotáže
uživatele, zda-li má provést rekonfiguraci AP, nebo ponechat existující
konfiguraci (pokud již byl AP předtím nakonfigurován).
3. Registrátor na koncové stanici konfiguruje Žadatele, kterým je také
koncová stanice. V tomto případě se AP chová jako proxy a pouze
předává zprávy mezi Registrátorem a Žadatelem
31
Existují několik způsobů konfigurace sítě pomocí WPS:
•
pomocí PINu
o povinná součást všech WPS kompatibilních zařízení
o k připojení do sítě je vyžadována znalost PINu
o pevný PIN připevněny na štítku zařízení
o nastavitelný PIN zobrazitelný v konfiguračním rozhraní AP
o nastavitelný PIN zobrazitelný na displeji (pokud má zařízení displej)
o registrátor (AP) detekuje koncové zařízení s podporou WPS a vyzve
k zadání PINu
•
pomocí PBC (Push Button Configuration)
o povinná součást AP (s podporou WPS)
o volitelná součást klientských zařízení
o registrátor (AP) je vybaveno tlačítkem
o po stisku tlačítka je po definovanou dobu (1-2 minuty) možné se k AP
připojit
o nebezpečí připojení neautorizovaných klientů v době
•
UFD (User Flash Drive)
o volitelná součást WPS
o out-of-band metoda
o data k připojení jsou mezi AP a Žadatelem přenesena na USB disku
•
NFC (Near Field Communication)
o volitelná součást WPS
o out-of-band způsob konfigurace
o data k připojení jsou mezi AP a Žadatelem přenesena pomocí RFID
(Radio-frequency identification)
WPS představuje jednoduchý způsob vytvoření zabezpečené bezdrátové sítě WiFi i bez hlubších technických znalostí problematiky bezdrátových sítí. Většina
dnešních AP tento způsob zabezpečení podporuje.
32
4.4 Alternativní možnosti zabezpečení
bezdrátové sítě
Kromě popsaných a standardizovaných metod zabezpečení se v praxi můžeme
setkat i s několika postupy, které bývají vydávány za formu zabezpečení, nicméně
ve skutečnosti pro útočníka nepředstavují žádný velký problém.
•
Skryté SSID
Každé AP vysílá periodicky beacon rámce (typicky každých 100ms), které
obsahují identifikátor bezdrátové sítě tzv. SSID (Service Set Identifier). Jde
o ASCII řetězec délky max. 32 znaků, který používají klienti v každém rámci
určeném pro AP. Všechna bezdrátová zařízení pokoušející se o vzájemnou
komunikaci mezi sebou si musí předávat ten samý SSID. Při vypnutí vysílání
SSID nebudou beacon rámce tento řetězec obsahovat (přestože na AP bude nadále
nastaven) a mohlo by se zdát, že útočník tím pádem nemá šanci se do dané
bezdrátové sítě přihlásit. Nicméně útočníkovi stačí pouze zachytit libovolný
rámec jiného legitimního účastníka a v něm je SSID uloženo v otevřeném tvaru.
Tento způsob ochrany tedy lze jednoduše překonat.
•
Kontrola MAC adres
Každý síťový adaptér je vybaven unikátní fyzickou adresou svázanou se síťovou
kartou. Proto by se mohlo zdát, že autentizace založená na kontrole MAC adres
představuje dobrý způsob autentizace v bezdrátových sítích. Ale není tomu tak.
V dnešních počítačích není těžké si MAC adresu síťového adaptéru změnit
a vydávat se tak za jiného účastníka. Tento útok opět předpokládá zachycení
provozu legitimního účastníka a získání jeho MAC adresy. To je velmi
jednoduché, protože MAC adresa je uložena v každém rámci. Po získání cizí
MAC adresy tak útočník pouze počká, až legitimní účastník přestane komunikovat
a následně si změní svojí MAC adresu a může se za něj vydávat. Dalším
problémem je fakt, že velikost seznamu kontrovaných MAC adres u AP je
poměrně malá (typicky 16-32 záznamů), takže ve větších sítích by tento
mechanismus nešel použít. Nemluvě o skutečnosti, že je potřeba každou novou
stanici ručně zadat do seznamu povolených stanic.
Volně dostupný nástroj pro
http://www.technitium.com/
změnu
MAC
adres
pod
Windows
síťového
provozu
Volně dostupný nástroj pro prolomení protokolu WEP
http://www.aircrack-ng.org/
Volně
dostupný
program
http://www.wireshark.org/
pro
zachytávání
Vypnutí vysílání SSID ani kontrola MAC nepředstavují silnou a účinnou metodu
zabezpečení bezdrátové sítě. Lze je využít jako doplňkové metody pro
33
zabezpečení domácí sítě, ale vždy v kombinaci se zabezpečením pomocí WPAPSK nebo WPA2-PSK. Pro podnikové sítě jsou tyto metody zcela nevhodné.
Po krátkém oddychu a načerpání sil si ověřte nabyté znalosti.
1. Jak je u protokolu WEP zajištěna integrita přenášených dat proti
úmyslným změnám?
a) Pomocí protokolu TKIP.
b) Pomocí algoritmu CRC32.
c) Není zajištěna.
d) Pomocí algoritmu MIC.
správné řešení: c
2. Protokol TKIP používá klíč délky:
a) 64 bitů
b) 128 bitů
c) 256 bitů
d) 1024 bitů
správné řešení: b
3. Základem protokolu TKIP je algoritmus:
a) AES
b) DES
c) RSA
d) RC4
správné řešení: d
4. Nejstarší protokol pro zabezpeční bezdrátových sítí 802.11 se jmenuje:
a) WEP
b) WPA
c) DES
d) WPS
správné řešení: a
34
5. Nejstarší protokol pro zabezpečení bezdrátových sítí 802.11 využívá
šifrovací algoritmus:
a) DES
b) AES
c) RC4
d) 3DES
správné řešení: c
6. Autentizace pomocí IEEE 802.1x je podporována od doporučení:
a) WEP
b) WPA
c) WPA2
d) WPA3
správné řešení: b
7. Protokol pro šifrování dat v bezdrátových sítích IEEE 802.11 založený na
proudové šifře RC4 a pracující s dynamickými klíči se jmenuje
a) WEP
b) DES
c) TKIP
d) WPA
správné řešení: c
8. WPA pro zajištění integrity v bezdrátových sítí 802.11 používá algoritmus
a) DES
b) RSA
c) AES
d) MIC
správné řešení: d
35
9. Autentizační server využívaný v IEEE 802.1x se jmenuje:
a) RADIUS
b) TACACS
c) TACACS+
d) Kerberos
správné řešení: a
10. Jaké způsob autentizace je vhodný pro domácí použití ?
a) WPA-PSK
b) Shared
c) Open
d) IEEE 802.1x
správné řešení: a
11. Jak se označuje jednoduchý způsob zabezpečení a konifgurace
bezdrátové sítě nevyžadující technické znalosti dané problematiky ?
a) PES
b) WES
c) WPS
d) WPA
správné řešení: c
12. Jaký způsob autentizace je vhodný pro instituci velikosti ČVUT-FEL
(tisíce uživatelů) ?
a) WPA-PSK
b) 802.1x
c) TKIP
d) AES
správné řešení: b
36
13. Omezení přístupu do bezdrátové sítě pomocí kontroly MAC adres je:
a) vhodné pro velké sítě
b) vhodné pro sítě libovolné velikosti
c) možné jednoduše obejít
d) součástí doporučení 802.11i
správné řešení: c
14. Mezi základní bloky doporučení 802.1x patří:
a) suplikant
b) certifikační autorita
c) autentizátor
d) autentizační token
správné řešení: a, c
15. Standard IEEE 802.1x se používá k:
a) Autentizaci v mobilních sítích druhé generace.
b) Autentizaci v lokálních bezdrátových sítích.
c) Autentizaci v lokálních sítích realizovaných technologií Ethernet (UTP, nebo
optika)
d) Autentizaci v mobilních sítích první generace.
správné řešení: b, c
16. Protokol WEP podporuje autentizaci typu:
a) Open
b) Shared
c) Private
d) PSK
správné řešení: a, b
37