WEP - Angriffe - DFN-CERT

12. DFN-CERT Workshop
Wireless Security
W(EP|PA|PA2)
matthias_hofherr@genua.de

WEP
Cisco LEAP
WPA
WPA2 / 802.11i
Überblick
Zusammenfassung / Schutzmaßnahmen

WEP
WEP = Wired Equivalent Privacy
Optionaler Schutzmechanismus des 802.11
Standards
Design-Ziel: Schaffung der selben Sicherheit
wie bei drahtgebundenem LAN
Aufgaben
Vertraulichkeit
Authentisierung

WEP - Verschlüsselung

WEP - Authentisierung

WEP- Schwachstellen
Nur Daten-Frames werden verschlüsselt,
keine Verifikation von Management Frames
IVs: 24 Bit, zu klein
Keine vernünftigen Integrity Checks (nur
CRC32)
statische Schlüssel, kein re-keying
Replay Angriffe möglich

WEP - Angriffe
Newsham: Key-Generator Angriff
Schwachstelle in vielen Key Generator
verkleinert Schlüsselraum
Brute Force Angriff möglich
FMS (Fluhrer, Mantin, Shamir)
"schwache IVs" können Teile des Schlüssels
angreifbar machen
Tools: Airsnort
ca. 5-10 Mio. Pakete benötigt

Improved FMS
WEP - Angriffe
benötigt ebenfalls "schwache IVs"
verwendet effizientere Prüfmethoden
Tools: dwepcrack
ca. 500.000 - 2 Mio. Pakete
statistischer KoreK-Angriff
Tools: aircrack, weplab
benötigt nur einzigartige IVs (keine schwachen)
ab 75.000 Pakete erfolgreich

WEP - Angriffe

Reinjection
WEP - Angriffe
Anstatt auf Pakete zu warten, werden diese
selbst produziert
verschlüsselte Pakete mit bestimmter Länge
werden aufgezeichnet (arp Broadcasts, DHCP,
pings) und re-injeziert
Erzeugen neuen Netzwerk-Traffic
Tools: reinj.c, aireplay

WEP - Zusammenfassung
WEP ist gebrochen
Proprietäre Erweiterung (WEP-Plus etc.)
lösen das Problem nicht
Manuelles Re-Keying "in regelmässigen
Abständen" ist sinnlos
Der Mythos "SOHO Netze mit wenig
Netzwerkverkehr sind relativ sicher" ist
genau das: ein Mythos

Cisco LEAP
proprietäre Hersteller-Lösung
versucht, Verbesserungen einzuführen, als
Ersatz für Standard-WEP
Ziel: einfache Handhabung, verbesserte
Sicherheit
Verwendet als erste Wireless-Lösung 802.1x
Gegenwärtig noch sehr stark verbreitet
Häufig auch bei embedded Systemen
anzutreffen

LEAP - Authentisierung

LEAP - Angriffe
LEAP basiert auf MS-CHAP, ergänzt um
beidseitige Authentisierung
Schlüssel: pre-shared Key
Anfällig für Wörterbuch- und Brute-Force
Angriffe
Tools: Asleap von Joshua Wright
benötigt Mitschnitt der Auth-Phase
Angreifer kann gezielt DeAuth durchführen
Kombinierbar mit "John the Ripper" Listen-
Permutation

LEAP- Angriffe

WPA
WPA = Wi-Fi Protected Access
Hersteller-Standard
Füllt (zeitliche) Lücke zwischen WEP-
Debakel und 802.11i
Vorgabe: sanfte Migration, keine Änderung
der Hardware
Damit bleibt RC4-Verschlüsselung von WEP
erhalten

WPA
Folgende Pseudoformel beschreibt WPA:
WPA =
{802.1X + EAP + TKIP + MIC + (RADIUS*X)}
If WPA-PSK, X=0; ELSE X=1

WPA
Authentisierung: 802.1x

WPA

WPA
EAP benötigt Authentisierungs-Methode auf
Upper Layer
EAP-TLS, EAP-Kerberos, EAP-MD5...
Die Wahl der richtigen Methode entscheidet
über Sicherheits-Klasse des Netzes
Die sichersten Verfahren erzeugen (wie
üblich) den größten Aufwand
z.B. EAP-TLS: benötigt eine PKI

WPA
Nachteil der meisten EAP-Auth-Methoden:
Die User-Identität ist frei zugänglich
Die letzte EAP-Bestätigung oder Ablehnung
kann gefälscht werden
Einsatz von Tunnel-Verfahren
EAP-TTLS, EAP-PEAP
Bauen erst TLS-Tunnel zum Server auf
nachgelagerte Authentisierungs-Phase

WPA
Vertraulichkeit, Integrität
TKIP (Temporal Key Integrity Protocol)
IV (48 Bit): keine (schnellen) Wiederholungen
IV als Sequence Counter gegen Replay Angriffe
Vermeidung von "schwachen IVs"
MIC: Kryptographische Prüfsummme (MICHAEL)
statt nur Integrity Check Value (ICV)
Dynamisches Re-Keying (pro Paket)
Verschlüsselung: weiterhin RC4 (wegen Hardware-
Kompatibilität)

WPA
Kennt zwei verschiedene Modi
WPA PSK
statt RADIUS-Server: Pre-Shared Keys
für SOHO-Bereich gedacht
Anfällig für Wörterbuch-Angriffe
WPA Enterprise
benötigt eigenen Radius Server

WPA - Angriffe
Wörterbuchangriff gegen WPA PSK
Tool: z.B. coWPAtty von Joshua Wright
Als Input reicht ein aufgezeichneter TKIP
Handshake
Prüft (offline) gegen Wörterbuch
Der Angriff ist allerdings aufgrund von 4096
Hashsummen Berechnungen sehr langsam
Highend-PC: ca. 70 Tests/Sekunde möglich
Gegenmaßnahmen:
Zufällige, sehr lange Passwörter

WPA - Angriffe

802.11i
Unterschiede zu WPA:
AES-CCMP (Counter Mode-CBC MAC Protocol)
statt TKIP
Benötigt neue Hardware
Geringere Schlüssellängen nötig
Schneller und sicherer
Behebt potentielle Schwachstelle mit TKIP/MIC
• Wahrscheinlichkeit für identische Prüfsumme: 1:1.000.000
• Brute Force Angriff möglich
• Sicherheitsmaßnahme: 60 Sekunden Blackout des AP
• Denial-of-Service Angriff möglich

Sicherheitsmaßnahmen
Abhängig vom Bedarfs-Profil:
WEP deaktivieren
LEAP wenn möglich ablösen, ansonsten:
möglichst lange, zufällige Passwörter verwenden
Umstieg zumindest auf WPA
WPA-Enterprise, wenn Infrastruktur vorhanden
WPA-PSK für kleine Netze, mit langem Zufalls-PW
WPA/WPA2
Wahl einer geeigneten "sicheren" Authentisierungs-
Methode ( z.B. EAP-TLS, EAP-LEAP, EAP-TTLS)

Sicherheitsmaßnahmen
Installation eines Wireless IDS
Hauptgefahr: Rogue Access Points
Angreifer oder Mitarbeiter schließt AP an PC im
inneren Firmennetzwerk an
Umgeht gesamte externe Sicherheitsvorkehrungen
Erkennung von Angriffen auf 802.11
Kommunikation
Benötigt flächendeckende Absicherung
verteiltes Systemen mit mehreren Sensoren
High Gain Antennen