Professional Documents
Culture Documents
bezprzewodowych standardu
802.11
KRZYSZTOF GIERŁOWSKI
WEP (Wired Equivalent Privacy)
Podstawowy protokół bezpieczeństwa zdefiniowany w standardzie IEEE
802.11b.
Podstawowe cele WEP:
◦ ochrona informacji w warstwie łącza danych,
◦ zapewnienie bezpieczeństwa na poziomie co porównywalnym z
bezpieczeństwem sieci przewodowych.
Elementy bezpieczeństwa:
◦ uwierzytelnienie,
◦ integralność,
◦ poufność,
◦ niezaprzeczalność.
Poufność – koder strumieniowy RC4
◦ XOR jawnej informacji ze
strumieniem klucza
◦ strumień klucza
generowany jest przez
szyfr RC4
Wiadomość 0 1 1 0 1 0 0 1
◦ koder strumieniowy RC4 XOR
WEP Key
IV Shared Key
Ramka 1:
C1 = P1 RC4(v,k)
Ramka 2:
C2 = P2 RC4(v,k)
C1 C2 =
=(P1 RC4(v,k)) (P2 RC4(v,k))=
= P1 P2
Wektor IV
Standard nie precyzuje sposobu wyboru IV
Różne implementacje:
◦ stały IV – wymaga zmiany tajnego klucza przy
każdej ramce,
◦ rosnący IV – skutkuje ponownym użyciem klucza
szyfrującego gdy dwie stacje wyślą po jednej
ramce,
◦ losowy IV – po ~4800 ramkach,
prawdopodobieństwo ponownego wystąpienia
klucza wynosi 50%, czyli należy zmieniać tajny
klucz co około 3 s.
„Słabe” klucze WEP
Nagłówek SNAP 0xAA 0xAA 0x00 0x00 0x00 0x00 0x80 0x00
8 bajtów ciągu szyfrującego 0xC0 0x15 0x7E 0xA5 0x3F 0x22 0xEA 0xA1
Wartość pierwszych bajtów pola danych ramki jest znana – nagłówek SNAP. Pozwala
na ustalenie pierwszych bajtów ciągu szyfrującego.
Umożliwia to zawężenie możliwych wartości klucza szyfrującego i/lub ustalenie
wartości niektórych bitów.
Ze względu na sposób tworzenia klucza szyfrującego, pojawiają się „słabe klucze” dla
których układ bitów w pierwszych 3 bajtach klucza powoduje pojawianie się
podobnych układów w pierwszych bajtach ciągu szyfrującego.
Klucze te są rozpoznawalne po zawartości IV.
Fragmentation
Integralność
Do pakietów dołączana jest suma kontrolna ICV
(32‐bitowa funkcja kontroli CRC‐32).
Nie jest to kryptograficzna metoda obliczania
integralności danych.
Nie obejmuje całej ramki (na przykład nagłówka).
Słabości w tym elemencie protokołu pozwalają na:
◦ łatwą modyfikację danych nagłówka,
◦ modyfikację danych bez rozszyfrowania,
◦ odtworzenie wcześniej zapisanego ruchu sieciowego.
WEP – Uwierzytelnianie
Wired Equivalent Privacy (WEP)
Nadawca wprowadza wspólny, stały klucz WEP (40
bitów) oraz dane do przesłania.
Nadawca oblicza ICV (CRC‐32) obejmujące pole
danych.
Nadawca tworzy klucz szyfrujący poprzez zestawienie
wybranego wektora IV i wprowadzonego klucza
sekretnego
Pola danych i ICV są szyfrowane otrzymanym kluczem.
Nagłówek i IV są dołączane w postaci
niezaszyfrowanej.
Ataki pasywne:
◦ FMS,
◦ SNAP header,
◦ IV reuse.
Active attacks:
◦ Traffic replay,
◦ MAC address forging, identity hijacking,
◦ Man‐in‐the‐middle,
◦ Bit‐flipping,
◦ Header modification.
Man in the Middle
Klient nie jest w stanie potwierdzić tożsamości systemu
bezprzewodowego.
Możliwe zastosowanie:
◦ atak Denial of Service,
◦ wykradzenie danych uwierzytelniających użytkownika,
◦ wykradzenie poufnych informacji przesyłanych przez użytkownika.
Bit Flipping
Możliwa jest modyfikacja danych bez ich
rozszyfrowania.
Atak można wykorzystać jako część ataku Denial of
Service lub w dla zwiększenia szans złamania klucza
szyfrującego.
Bit Flipping – wykorzystanie
Modyfikacja nagłówka
Brak ochrony nagłówka ramki umożliwia jej dowolne przekierowanie.
Brak ochrony przed retransmisją ruchu.
Można to wykorzystać, na przykład, w celu przechwycenia danych w części
przewodowej.
Odszyfrowana ramka
Odszyfrowana
ramka
Zmiana adresu docelowego
ChopChop
Z1 Z2 Z3 Z4 Z5 Z6 Z7
Z8 EICV
Z1 Z2 Z3 Z4 Z5 Z6 Z7 N‐EICV?
LAN
Web auth
Access Point
security device
Station
LAN
HTTPS Backend
Login page RADIUS
Server
Kontrola dostępu 802.1x
802.1x & RADIUS
User database
RADIUS Server
802.1x
Server
Access router
RADIUS Server
4. Authentication 802.1x
802.1x Client Server
Metody uwierzytelniania
Protokoły uwierzytelniania
RADIUS
802.1x UDP
IP
802.11/802.3/... 802.3/...
802.1x EAP-TLS
high high high medium low
ceritficates
WPA-PSK:
Wewnętrzny mechanizm zarządzania kluczami, wewnętrzny mechanizm
uwierzytelniania.
Możliwa jest też konfiguracja „korporacyjna”, korzystająca tu z poprawionych
mechanizmów zarządzania kluczami:
RADIUS server, 802.1x klient, 802.1x suplikant
Hierarchia kluczy
Procesy kodowania i sprawdzania integralności wykorzystują
klucze.
Rodzaje kluczy:
◦ klucz uniwersalny (Master Key) – przy wykorzystaniu serwera
uwierzytelniania,
◦ parzysty klucz uniwersalny (Pair‐wise Master Key)
◦ klucze tymczasowe (Temporal Keys).
Podobieństwa z WPA:
◦ Uwierzytelnianie z użyciem serwera RADIUS lub WPA2‐PSK.
◦ Hierarchia kluczy.
Fazy pracy 802.11i
◦ Uzgodnienie polityki bezpieczeństwa
◦Uwierzytelnianie 802.1x
◦Wygenerowanie i dystrybucja kluczy
◦Zapewnienie poufności i integralności
danych
Fazy pracy 802.11i
Uzgodnienie polityki
bezpieczeństwa
Uwierzytelnianie 802.1x ‐ EAP
Wygenerowanie i dystrybucja kluczy
Klucz MK jest znany tylko suplikantowi i serwerowi uwierzytelniania.
Klucz PMK znany jest suplikantowi, serwerowi i klientowi (punkt
dostępowy).
Zasada działania:
◦ Pobierany jest pierwszy blok wiadomości i kodowany
przy użyciu algorytmu AES
◦ Rezultat poddawany jest operacji XOR z kolejnym
blokiem, a wynik znowu kodowany
◦ Operacja powtarzana jest z kolejnymi blokami, w
wyniku czego otrzymuje się 128-bitowy blok MIC
◦ Całość (bez nagłówka) szyfrowana AES-CTR.
WiFi Protected Setup (WPS)
Rozwiązanie ułatwiające podłączanie urządzeń do sieci zabezpieczonej
mechanizmami WPA/WPA2 – standaryzowane przez WiFi Alliance.
Możliwe tryby pracy – umożliwiają podłączenie urządzenia do sieci:
• PIN – poprzez wprowadzenie kodu PIN złożonego z 8 cyfr. Obligatoryjny dla
wszystkich urządzeń.
• Push‐button – po naciśnięciu przycisku (fizycznego lub wirtualnego) na urządzeniu
dostępowym (punkt dostępowy) i urządzeniu podłączanym. Obligatoryjny dla
punktów dostępowych i opcjonalny dla urządzeń klienckich.
• Near‐field communication – dzięki komunikacji urządzenia dostępowego oraz
podłączanego z użyciem NFC (zbliżeniowo). Opcjonalny.
• USB – dzięki przeniesieniu informacji dostępowej z urządzenia dostępowego do
klienckiego z użyciem pamięci flash USB. Opcjonalny i rzadko stosowany w
praktyce.
Późniejsza specyfikacja WiFi Direct wprowadza zmiany dotyczące wymaganej
obsługi poniższych trybów:
◦ PIN – obligatoryjny dla urządzeń wyposażonych w klawiaturę i wyświetlacz,
◦ Push‐button – obligatoryjny dla wszystkich urządzeń.
Podatności WPS PIN: online brute force
Tryb WPS PIN charakteryzuje się podatnością na atak brute‐force.
PIN definiowany przez użytkownika składa się z 8 cyfr. PIN przypisany na stałe do
urządzenia (sticker PIN), składa się z:
◦ 7 dowolnych cyfr,
◦ ostatniej cyfry będącej sumą kontrolną poprzedzających 7 cyfr.
Podczas uwierzytelniania PIN dzielony jest na 2 części po 4 cyfry, przetwarzane
oddzielnie – po każdej części następuje potwierdzenie lub odrzucenie klienta.
128 encryption
Key Size 40 bits
64 authentication
128 bits
EAP Request
Repeated as many
times as needed EAP Response with the same type or a Nak
CHAP
EAP
EAP
PAP
MD5 TLS TTLS PEAP MS-CHAPv2
EAP
802.1X
LEAP
Ease of use
PEAP
EAP-MD5
EAP-TTLS
EAP-TLS
Security
EAP‐MD5
EAP‐TLS
Protected EAP
EAP‐SIM