Segurança em Redes 802.11
Henrique Ribeiro e Joffre Gavinho Filho
[email protected]
[email protected]
Sumário

Introdução
WEP

WPA

WPA2

IEEE 802.11w

Conclusão

Introdução
Motivações


Proteção dos dados trafegados pelo ar

De interceptação por terceiros

De interceptação por outras estações na rede

Controle de acesso à rede

Proteção dos recursos disponibilizados na rede
Introdução
Requisitos de segurança de redes


Auditoria

Autenticação

Confidencialidade

Controle de Acesso

Disponibilidade

Integridade

Irretratabilidade
Introdução
Algoritmos de segurança para redes 802.11



Algoritmos pré-RSNA

WEP

Open System Authentication
Algoritmos RSNA

TKIP

CCMP

IEEE 802.11w
WEP
Wired Equivalent Privacy


Publicado em 1999, junto com o 802.11

Oferece criptografia e compressão

Opera na camada de enlace

Utiliza uma chave compartilhada de 40 ou 104
bits

Tem controle de integridade próprio (ICV)

Utiliza o algoritmo de criptografia RC4

Requer poucos recursos computacionais
WEP
Open System Authentication


Publicado em 1999, junto com o padrão 802.11

Padrão de autenticação nulo para redes abertas

Não oferece criptografia ou compressão

Apenas cumpre a obrigatoriedade de
autenticação
WEP
Autenticação com o WEP


Utiliza técnica do texto-desafio

Não autentica usuário
WEP
Formato do MPDU do WEP


Initialization Vector: Semente (seed) + Chave

Data: Dados transmitidos

Integrity Check Value: Checagem de integridade
WEP
Integrity Check Value


Checagem de integridade do WEP

Não invalida o FCS

IEEE 32-bit CRC
Cyclic Redundancy Check


Função Hash polinomial

Facilmente implementada em hardware

Divisão polinomial do bloco de dados por um
polinômio gerado
WEP
Algoritmo de criptografia RC4


Rivest Cipher 4, publicado em 1987

Algoritmo de fluxo (simétrico e chaves estáticas)

Utiliza um gerador de números aleatórios
(PRNG)

Dois tamanhos de chave possíveis

WEP-40: chave de 40 bits

WEP-104: chave de 104 bits
WEP
Encapsulamento WEP


Chave RC4 = nº aleatório (IV) + chave WEP

O IV é passado em texto claro

Faz a operação XOR sobre blocos da
mensagem
WEP

Dinâmica da comunicação WEP
WEP
Problemas do WEP


Chave estática e pequena

Reuso de chaves (repetição do IV)

IV transmitido em texto claro

Admite reenvio de pacotes (Replay attack)

Fraqueza do algoritmo de criação de IVs

Confiança plena do lado do AP
WEP
Vulnerabilidades publicadas


Ataque estatístico aos primeiros bytes dos IVs

Publicado por S. Fluhrer, I. Mantin e A. Shamir
(2001).



Necessita de 4.000.000 pacote, em média.
Ataque Chopchop (bit-flipping)

Publicado informalmente por KoreK (2004)

Explora respostas do AP para obter dados
Ataque estatístico que estende o de 2001

Publ. por E. Tews, R. Weinmann e A. Pyshkin (2007).

Necessita de 40.000 pacotes (50% de chance) ou
WEP
Vulnerabilidades publicadas


Ataque Caffé Latte

Publicado por V. Ramachandran e M. S. Ahmad
(2007)


Abusa da confiança do lado do AP
Correlação 1º byte do IV – 3 bits iniciais da
chave

Publicado por G. Paul, S. Rathi e S. Maitra (2008).

Comprova experimento empírico de Roos (1995)
WEP
Soluções para o WEP




WEP2

Apresentado nos drafts iniciais do IEEE 802.11i

Expandia tanto a chave quanto o IV para 128 bits
WEPplus

Algoritmo proprietário da Agere Systems

Buscava evitar Ivs fracos
Dynamic WEP

Algoritmo proprietário da 3Com

Buscava modificar a chave dinamicamente
WPA
Wi-Fi Protected Access


Publicado em 2003, pela Wi-Fi Alliance

Anexado ao padrão 802.11 em 2007

Impulsionado pelas demandas de mercado

Baseado no draft IEEE 802.11i

Introduz dois modos de operação


Pessoal

Corporativo
Utiliza o algoritmo de criptografia RC4
WPA
Melhoramentos em relação ao WEP


Uso de um novo protocolo de segurança


Temporal Key Integrity Protocol (TKIP)
Nova camada de checagem de integridade

Message Integrity Code (MIC)

Sequenciamento dos quadros

Hierarquia de chaves

Medidas contra envio de quadros forjados
WPA
Autenticação com o WPA (Modo Pessoal)


Pre-Shared Key (WPA-PSK)

Não autentica usuário
WPA

Autenticação com o WPA (Modo
Corporativo)

Utiliza IEEE 802.1x (EAP + RADIUS)

Autentica o usuário
WPA
Chaves utilizadas pelo WPA


Pairwise Master Key (PMK)

Modo Pessoal: Configurada diretamente nas
estações



Modo Corporativo: Negociada via IEEE 802.1x
Pairwise Transient Key (PTK)

Derivada da PMK

Composta por 5 chaves (TK, MIC Keys, KEK e KCK)
Group Transient Key (GTK)

Derivada da PMK

Usada pelo AP para endereçar grupos
WPA
Chaves utilizadas pelo WPA


Temporal Key (TK)



Temporal MIC Keys (TMK)

Par de chaves usada pelo Algoritmo Michael

Garante a integridade dos dados transmitidos
EAPOL-Key Encryption Key (KEK)


Parte da chave usada pelo RC4
Chave de encriptação usada pelo EAP
EAPOL-Key Confirmation Key (KCK)

Chave de checagem de integridade usada pelo EAP
WPA
Formato do MPDU do TKIP


Initialization Vector: Similar ao IV do WEP

KeyID: Indica a identificação da chave

Extended IV: Estende o IV para 48 bits

Data: Dados transmitidos

Message Integrity Code: Proteção contra
ataques

Integrity Check Value: Checagem de integridade
WPA
Message Integrity Code


Nova camada de controle de integridade

Provê proteção extra contra alguns ataques

Pode invocar contra medidas

Utiliza o algoritmo Michael

O ICV é calculado usando as entradas e saídas
do algoritmo Michael
WPA
Message Integrity Code



Entradas do algoritmo Michael

Endereço de destino (DA)

Endereço de origem (SA)

Temporal MIC Key (TMK)

Dados
Saída do algoritmo Michael

Message Integrity Code (MIC)
WPA
Encapsulamento TKIP


Ainda utiliza o algoritmo de criptografia RC4

Inclui o algoritmo Michael (controle de
integridade)
WPA
Problemas do WPA


Utiliza o algoritmo de criptografia RC4

MIC não impede os ataques a que se propôs


Ataques de bit-flipping

Ataques de injeção de pacotes
Vulnerabilidades no modo pessoal

Ataques de força bruta

Ataques de dicionário
WPA
Vulnerabilidades publicadas



Ataque Chopchop (bit-flipping)

Publicado por M. Beck e E. Tews (2008)

Adaptação do ataque apresentado por KoreK

Pode ser usado para injetar quadros pequenos

Depende da implementação de QoS
Injeção de quadros

Publicado por F. Halvorsen e O. Haugen (2009)

Estende o ataque de 2008

Pode injetar quadros de tamanho maiores
WPA
Vulnerabilidades publicadas



Ataque de interceptação (man-in-the-middle)

Publicado por T. Ohigashi e M. Morii (2009)

Estende o ataque de 2008

Não depende da implementação de QoS
Injeção de quadros

Publicado por M. Beck (2010)

Explora a fraqueza do algoritmo Michael

Pode injetar quadros de tamanho arbitrário
WPA2
Wi-Fi Protected Access 2


Publicado em 2004 como padrão IEEE 802.11i

Anexado ao padrão 802.11 em 2007

Tem dois modos de operação

Pessoal

Corporativo

Introduz novo protocolo de segurança

Ainda compatível com protocolos anteriores
WPA2
Melhoramentos em relação ao WPA


Uso de um novo protocolo de segurança


CTR with CBC-MAC Protocol (CCMP)

Counter Mode

Cipher-Block Chaining Message Authentication Code
Uso de algoritmo de criptografia em blocos

Advanced Encryption Standard (AES)

Constitui uma Robust Security Network (RSN)

Protege determinados campos do cabeçalho
WPA2
Autenticação com o WPA2 (Modo Pessoal)


Pre-Shared Key (WPA2-PSK)

Não autentica usuário
WPA2
Autenticação com WPA2 (Modo Corporativo)


Utiliza IEEE 802.1x (EAP + RADIUS)

Autentica o usuário
WPA2
CTR with CBC-MAC Protocol (CCMP)


Utiliza as mesmas chaves utilizadas pelo TKIP

Não utiliza o ICV, somente o MIC

Destroi todas as chaves ao fim da sessão


Exceção: PMK Caching
Associação de segurança em uma ESS

Hand-off (Roaming)

Preauthentication
WPA2
Formato do MPDU do CCMP



CCMP Header

Packet Number: Sequenciamento de quadros

KeyID: Indica a identificação da chave
Message Integrity Code

Gerado pelo CCM
WPA2
Additional Authentication Data (AAD)


Proteção de integridade dos campos do
cabeçalho

Dados do Cabeçalho MAC

Frame Control (FC)

Address (A1, A2, A3 e A4)

Sequence Control (SC)

QoS Control (QC)
WPA2
Number used Once (Nonce)


Similar ao IV do WPA

Proteção contra ataques de replay

Dados utilizados

Priority: Obtido no QC do cabeçalho MAC

Address 2 (A2): Endereço MAC na posição 2

Packet Number (PN): Sequenciamento do CCMP
WPA2
Encapsulamento CCMP


O CCMP não definie seu algoritmo de
criptografia

O AES é definido no padrão 802.11
WPA2
Problemas do WPA2


Vulnerabilidade no modo pessoal

Ataques de força bruta

Ataques de dicionário
Vulnerabilidades publicadas


Abuso da GTK (Hole 196)

Publicada por M. S. Ahmad (2010)

Cliente envia mensagens para endereços de grupos

Permite ataques man-in-the-middle (ARP Poisoning),
injeção de código e negação de serviço (DoS)
IEEE 802.11w
IEEE 802.11w-2009


Padrão publicado em 2009

Aumenta a segurança das redes 802.11

Protege para quadros de gerenciamento

Visa dificultar:

Injeção de quadros de gerenciamento

Ataques de negação de serviço (DoS)

Ataques request replay
IEEE 802.11w
IEEE 802.11w-2009


Impulsionado pelos novos padrões

IEEE 802.11k-2008


IEEE 802.11r-2008


Hand-off rápido entre BSSs
IEEE 802.11u


Gerenciamento de recursos do rádio
Interoperação com redes não-802.11
IEEE 802.11v

Gerenciamento dinâmico de redes sem fio
IEEE 802.11w
Problemas do IEEE 802.11w


Depende da troca das chaves dinâmicas

Expõe informações de associação e
autenticação

Não protege quadros de controle

Inefetivo contra RF-Jamming
Conclusão
Segurança em redes sem fio


WEP e WPA: obsoletos

Utilizar sempre WPA2


Algoritmos de segurança e criptografia: CCMP + AES

No modo pessoal, escolher chave difícil de adivinhar
Faltam produtos que implementem o IEEE
802.11w

Não existe rede totalmente segura
Segurança em Redes 802.11
Henrique Ribeiro e Joffre Gavinho Filho
[email protected]
[email protected]