Sie sind auf Seite 1von 21

WLAN-Sicherheit

Markus Oeste

Konferenzseminar Verlässliche Verteilte Systeme


Lehr- und Forschungsgebiet Informatik 4
RWTH Aachen

27. Januar 2006


Einleitung Sicherheitsprotokolle Zusammenfassung

1 Einleitung
Motivation
Grundlagen

2 Sicherheitsprotokolle
WEP
WPA
WPA2

3 Zusammenfassung
Einleitung Sicherheitsprotokolle Zusammenfassung

Motivation

Problematik WLAN

Passiver Lauscher: Schneidet Netzwerkverkehr mit


Aktiver Lauscher: Schneidet Netzwerkverkehr mit und sendet
(modifizierte) Datenpakete (Man-In-The-Middle-Angriff)
Störsender, Jammer (DoS-Angriff)
Einleitung Sicherheitsprotokolle Zusammenfassung

Grundlagen

Sicherheitsanforderungen

Vertraulichkeit: Die übertragenen Daten dürfen nur vom


Sender und Empfänger gelesen werden können.
Integrität: Es darf nicht möglich sein, den Inhalt einer
gesendeten Nachricht zu verändern.
Authentisierung: Der Absender einer Nachricht muss seine
Identität gegenüber dem Empfänger nachweisen.
Einleitung Sicherheitsprotokolle Zusammenfassung

Grundlagen

IEEE 802.11
Standard für drahtlose lokale Netzwerke

Standard Jahr Datentansfer (brutto) Frequenzband Bemerkung


802.11 1997 1,2 MBit/s 2,4 GHz
802.11a 1999 54 MBit/s 5 GHz seit 2002 in Deutschland freigegeben
802.11b 1999 11 MBit/s 2,4 GHz weit verbreitet
802.11g 2003 54 MBit/s 2,4 GHz weit verbreitet
Abwärtskompatible zu 802.11b
802.11n Ende 2006 540 MBit/s 5 GHz
802.11p Ende 2008 27 MBit/s 5 GHz Erweiterung von 802.11a
Einsatz von Fahrzeug-zu-Fahrzeug-Netzen

Betriebsarten:
Ad-hoc Modus: Clients kommunizieren direkt miteinander
Infrastuktur-Modus: Clients kommunizieren über einen
Access Point (AP) miteinander
Einleitung Sicherheitsprotokolle Zusammenfassung

Grundlagen

Sicherheit im 802.11

Sicherheit sollte durch das WEP-Protokoll (Wired Equivalent


Privacy) gegeben sein
2001 wurden gravierende Schwächen im WEP-Protokoll
veröffentlicht
Neue Sicherheit durch die 2004 verabschiedete Erweiterung
802.11i
Einleitung Sicherheitsprotokolle Zusammenfassung

WEP

Authentifizierung

Shared Key Authentication: Authentifizierung über Shared


Key (SK)
Challange-Response: Client beweist dem AP dass er den SK
kennt
⇒ Der SK muss vorher bei Client und AP hinterlegt werden
Einleitung Sicherheitsprotokolle Zusammenfassung

WEP

Vorbereitung zur Ver- und Entschlüsselung

Cyclic Redundance Check (CRC): Funktion die mittels


Polynomdivision und Generatorpolynom eine Prüfsumme
berechnet
RC4-Algorithmus
Schneller, symmetrischer Blockchiffrier-Algorithmus
Variable Schlüssellänge (bis 2048 Bit)
Initialisierungsvektor (IV): 24 Bit Zahl
SK besteht aus 5 oder 13 Zeichen (40 oder 104 Bit)
Einleitung Sicherheitsprotokolle Zusammenfassung

WEP

Ver- und Entschlüsselung


Verschlüsselung: Nachricht M → Chiffretext C

P := M k CRC (M)
Z := RC 4(IV k SK )
C := P ⊕ Z

Übertragung: IV k C
Entschlüsselung: Chiffretext C → Nachricht M

Z = RC 4(IV k SK )
C ⊕Z = P ⊕Z ⊕Z =P
P = M k CRC (M)

Akzeptiere, wenn
CRC (M) (berechnet) gleich CRC (M) (übertragen)
Einleitung Sicherheitsprotokolle Zusammenfassung

WEP

Schwächen

Generierung der Zufallszahl im RC4-Algorithmus geschieht mit


einem teilweise bekannten Zufallswert: Z = RC 4(IV k SK )
⇒ Wenn der IV eine bestimmte Form hat, kann mit W’keit von
5% ein unbekannter 8 Bit Block aus dem SK berechnet werden
⇒ 500.000 - 5.000.000 WEP-Datenpakete mitschneiden
⇒ Statistische Berechnung des SK auf den mitgeschnittenen
WEP-Datenpaketen (Rekonstruktion des SK)
Mitschneiden bei mittlerer Netzauslastung in wenigen Stunden
Mit speziellen Angriffen (z.B. paket injection) sogar in
Minuten möglich
Falls zu einem Chiffretext die Nachricht bekannt ist, können
beliebige gültige WEP-Datenpakete erzeugt werden, ohne dass der
SK bekannt sein muss
IV wird im Klartext übertragen
Identität der Kommunikationsparter durch die MAC-Adresse
⇒ Keine der Sicherheitsanforderungen wird von WEP erfüllt
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA

IEEE erarbeitete neuen Sicherheitsstandard: 802.11i


802.11i wurde im Juni 2004 verabschiedet
Wi-Fi Alliance: 1999 gegründete Organisation bestehend aus über 200
Unternehmen, die Produkt auf dem 802.11 basierenden Standard
zertifiziert

Problem: WLAN war nicht mehr sicher und Verabschiedung von 802.11i
war für 2004 geplannt
⇒ Wi-Fi Alliance gibt Teilmenge einer Vorabversion von 802.11i als
Quasi-Standard WPA (Wi-Fi Protected Access) heraus (2003)
Anforderungen an WPA:
WPA sollte auf WEP/RC4-Hardware implementierbar sein
Schlüsselverwaltungsprotokoll Temporal Key Integrity Protocol (TKIP)
Integritätssicherung durch Message Integrity Check Algorithmus Michael
Authentifikation mittels Pre-Shared Key (PSK) oder Extensible
Authentication Protcol (EAP)
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA

Schlüsselerzeugung
PSK: 8-63 ASCII-Zeichen (Passphrase)
Aus PSK und SSID wird mittels Hash-Funktion (hash) der
Pairwise Master Key (PMK) berechnet:
hash(PSK , SSID) = PMK
PMK wird zur Authentifizierung und zur temporären
Schlüsselerzeugung verwendet (4-Way Handshake)
Aus PMK wird mittels Pseudozufallszahlen-Funktion (PZ ) der
Pairwise Transient Key (PTK) berechnet:
PZ (PMK , Z1 , Z2 , MACAP , MACClient ) = PTK
PTK hat zeitlich begrenzte Gültigkeit

Pairwise Master Key (PMK)

Pairwise Transient Key (PTK)

EAPOL Key EAPOL MIC Key Session Key Michael Key


Einleitung Sicherheitsprotokolle Zusammenfassung

WPA

4-Way Handshake

AP: PSK, PMK Client: PSK, PMK


Erzeuge Zufallszahl Z1
Z1 -
Erzeuge Zufallszahl Z2
Berechnet PTK
 Z2 , MIC (Z2 )
Berechne PTK
Teste MIC (Z2 )
Erstelle GTK
(Group Temporal Key)
OK1 , MIC (OK1 ), Encrypt(GTK-
)
Teste MIC (OK1 )
Decrypt(GTK )
 OK2 , MIC (OK2 )
Teste MIC (OK2 )

Wenn alle MIC-Werte gültig sind ⇒ PTK wird akzeptiert


Rekeying ist von AP und Client jederzeit möglich
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA

Ver- und Entschlüsselung


Verschlüsselung: Nachricht M → Chiffretext C
P := M k Michael(M) k CRC (M k Michael(M))
Z := RC 4(IV k KSession )
C := P ⊕ Z
Übertragung: IV k C
Entschlüsselung: Chiffretext C → Nachricht M
Z = RC 4(IV k KSession )
C ⊕Z = P ⊕Z ⊕Z =P
P = M k Michael(M) k CRC (M k Michael(M))
Akzeptiere, wenn
IV um eins inkrementiert
Michael(M) gültig
CRC (M k Michael(M)) gültig
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA

Sicherheitsanalyse

IV ist jetzt 48 Bit lang


⇒ Keine zwei WPA-Datenpakete mit dem gleichen IV
⇒ Größere RC4-Schwäche: Angreifer kennt noch mehr Bit der
Eingabe von RC4 (48 anstatt 24 Bit)
⇒ Erwartete Anzahl an WPA-Datenpakete um 8 Bit des Session
Keys zu berechnen: 366.000
Kein Sicherheitsrisiko, weil
Spätestens nach 65.536 WPA-Datenpakete: Rekeying
⇒ Session Key ist dann nicht mehr gültig

PTK ist nur für eine Session gültig


⇒ WPA weist nicht mehr die gravierenden Schwächen von WEP
auf
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA

Identität über die MAC-Adresse der WLAN-Netzwerkkarte und dem PSK


Unterscheidung notwendig:
netzinterner Angreifer (kennt PSK) ↔ netzexterner Angreifer
Netzinterne Angreifer kann:
Den 4-Way Handshake anderer unbemerkt mitschneiden
⇒ Den PTK berechnen
⇒ Daten mitlesen und verändern
⇒ Eine andere Identität annehmen
Netzexterne Angreifer kann:
Den 4-Way Handshake mitschneiden, aber daraus keine Informationen
gewinnen, weil er den PSK nicht kennt
⇒ PMK und PTK nicht berechnen
⇒ Daten weder lesen noch verändern
⇒ Er kann zwar seine Identität ändern, aber sich nicht als einen anderer
Client im Netzwerk Identifizieren
⇒ Brute Force Angriff auf den PSK machen
⇒ Bei einem guten PSK erfüllt WPA die Sicherheitsanforderungen vor
netzexternen Angreifern
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA2

Implementiert die 802.11i Erweiterung


Verwendet AES anstelle von TKIP und Michael
WEP/RC4-APs können AES nicht effizient berechnen
⇒ Neue APs erforderlich
Linux, Windows oder Hersteller-Treiber machen
WLAN-Netzwerkkarten WPA2 fähig
4-Way Handshake wie bei WPA

Pairwise Master Key (PMK)

Pairwise Transient Key (PTK)

EAPOL Key EAPOL MIC Key Session / MIC Key

Abbildung: WPA2 Schlüsselerzeugung


Einleitung Sicherheitsprotokolle Zusammenfassung

WPA2

Ver- und Entschlüsselung

Verschlüsselung: Nachricht M → Chiffretext C

P := M k MIC (M)
P = P1 k ... k Pm
Zi := AES(IV + i − 1, KSession ), 1 ≤ i ≤ m
Ci := Zi ⊕ Pi
C := C1 k ... k Cm

Übertragung: IV k C
Entschlüsselung: Chiffretext C → Nachricht M
Verschlüssele C
Akzeptiere, wenn MIC (M) gültig ist
Einleitung Sicherheitsprotokolle Zusammenfassung

WPA2

Sicherheitsanalyse

WPA2 ist mindestens so sicher wie WPA


Netzinterne Angreifer:
Daten können gelesen und verändert werden
Identität kann gefälscht werden
Netzexterne Angreifer:
Sicher solange ein guter PSK gewählt wird
Schutz vor netzinternen Angreifern bei WPA und WPA2:
EAP-Protokoll mit Authentifizierungsserver
Höherwertige Protokolle (z.B. VPN)
Einleitung Sicherheitsprotokolle Zusammenfassung

802.11 Standard für WLANs


Sicherheitsanforderungen für WLANs
Sicherheitsprotokolle: WEP, WPA, WPA2
WEP: Erfüllt keine der Sicherheitsanforderungen
WPA und WPA2 sicher
Wenn man den netzinternen Clients vertraut
Bei guter Wahl des PSKs vor netzexternen Angreifern
Einleitung Sicherheitsprotokolle Zusammenfassung

Vielen Dank für Eure Aufmerksamkeit!