Segurança em Redes 802.11 Henrique Ribeiro e Joffre Gavinho Filho [email protected] [email protected] Sumário Introdução WEP WPA WPA2 IEEE 802.11w Conclusão Introdução Motivações Proteção dos dados trafegados pelo ar De interceptação por terceiros De interceptação por outras estações na rede Controle de acesso à rede Proteção dos recursos disponibilizados na rede Introdução Requisitos de segurança de redes Auditoria Autenticação Confidencialidade Controle de Acesso Disponibilidade Integridade Irretratabilidade Introdução Algoritmos de segurança para redes 802.11 Algoritmos pré-RSNA WEP Open System Authentication Algoritmos RSNA TKIP CCMP IEEE 802.11w WEP Wired Equivalent Privacy Publicado em 1999, junto com o 802.11 Oferece criptografia e compressão Opera na camada de enlace Utiliza uma chave compartilhada de 40 ou 104 bits Tem controle de integridade próprio (ICV) Utiliza o algoritmo de criptografia RC4 Requer poucos recursos computacionais WEP Open System Authentication Publicado em 1999, junto com o padrão 802.11 Padrão de autenticação nulo para redes abertas Não oferece criptografia ou compressão Apenas cumpre a obrigatoriedade de autenticação WEP Autenticação com o WEP Utiliza técnica do texto-desafio Não autentica usuário WEP Formato do MPDU do WEP Initialization Vector: Semente (seed) + Chave Data: Dados transmitidos Integrity Check Value: Checagem de integridade WEP Integrity Check Value Checagem de integridade do WEP Não invalida o FCS IEEE 32-bit CRC Cyclic Redundancy Check Função Hash polinomial Facilmente implementada em hardware Divisão polinomial do bloco de dados por um polinômio gerado WEP Algoritmo de criptografia RC4 Rivest Cipher 4, publicado em 1987 Algoritmo de fluxo (simétrico e chaves estáticas) Utiliza um gerador de números aleatórios (PRNG) Dois tamanhos de chave possíveis WEP-40: chave de 40 bits WEP-104: chave de 104 bits WEP Encapsulamento WEP Chave RC4 = nº aleatório (IV) + chave WEP O IV é passado em texto claro Faz a operação XOR sobre blocos da mensagem WEP Dinâmica da comunicação WEP WEP Problemas do WEP Chave estática e pequena Reuso de chaves (repetição do IV) IV transmitido em texto claro Admite reenvio de pacotes (Replay attack) Fraqueza do algoritmo de criação de IVs Confiança plena do lado do AP WEP Vulnerabilidades publicadas Ataque estatístico aos primeiros bytes dos IVs Publicado por S. Fluhrer, I. Mantin e A. Shamir (2001). Necessita de 4.000.000 pacote, em média. Ataque Chopchop (bit-flipping) Publicado informalmente por KoreK (2004) Explora respostas do AP para obter dados Ataque estatístico que estende o de 2001 Publ. por E. Tews, R. Weinmann e A. Pyshkin (2007). Necessita de 40.000 pacotes (50% de chance) ou WEP Vulnerabilidades publicadas Ataque Caffé Latte Publicado por V. Ramachandran e M. S. Ahmad (2007) Abusa da confiança do lado do AP Correlação 1º byte do IV – 3 bits iniciais da chave Publicado por G. Paul, S. Rathi e S. Maitra (2008). Comprova experimento empírico de Roos (1995) WEP Soluções para o WEP WEP2 Apresentado nos drafts iniciais do IEEE 802.11i Expandia tanto a chave quanto o IV para 128 bits WEPplus Algoritmo proprietário da Agere Systems Buscava evitar Ivs fracos Dynamic WEP Algoritmo proprietário da 3Com Buscava modificar a chave dinamicamente WPA Wi-Fi Protected Access Publicado em 2003, pela Wi-Fi Alliance Anexado ao padrão 802.11 em 2007 Impulsionado pelas demandas de mercado Baseado no draft IEEE 802.11i Introduz dois modos de operação Pessoal Corporativo Utiliza o algoritmo de criptografia RC4 WPA Melhoramentos em relação ao WEP Uso de um novo protocolo de segurança Temporal Key Integrity Protocol (TKIP) Nova camada de checagem de integridade Message Integrity Code (MIC) Sequenciamento dos quadros Hierarquia de chaves Medidas contra envio de quadros forjados WPA Autenticação com o WPA (Modo Pessoal) Pre-Shared Key (WPA-PSK) Não autentica usuário WPA Autenticação com o WPA (Modo Corporativo) Utiliza IEEE 802.1x (EAP + RADIUS) Autentica o usuário WPA Chaves utilizadas pelo WPA Pairwise Master Key (PMK) Modo Pessoal: Configurada diretamente nas estações Modo Corporativo: Negociada via IEEE 802.1x Pairwise Transient Key (PTK) Derivada da PMK Composta por 5 chaves (TK, MIC Keys, KEK e KCK) Group Transient Key (GTK) Derivada da PMK Usada pelo AP para endereçar grupos WPA Chaves utilizadas pelo WPA Temporal Key (TK) Temporal MIC Keys (TMK) Par de chaves usada pelo Algoritmo Michael Garante a integridade dos dados transmitidos EAPOL-Key Encryption Key (KEK) Parte da chave usada pelo RC4 Chave de encriptação usada pelo EAP EAPOL-Key Confirmation Key (KCK) Chave de checagem de integridade usada pelo EAP WPA Formato do MPDU do TKIP Initialization Vector: Similar ao IV do WEP KeyID: Indica a identificação da chave Extended IV: Estende o IV para 48 bits Data: Dados transmitidos Message Integrity Code: Proteção contra ataques Integrity Check Value: Checagem de integridade WPA Message Integrity Code Nova camada de controle de integridade Provê proteção extra contra alguns ataques Pode invocar contra medidas Utiliza o algoritmo Michael O ICV é calculado usando as entradas e saídas do algoritmo Michael WPA Message Integrity Code Entradas do algoritmo Michael Endereço de destino (DA) Endereço de origem (SA) Temporal MIC Key (TMK) Dados Saída do algoritmo Michael Message Integrity Code (MIC) WPA Encapsulamento TKIP Ainda utiliza o algoritmo de criptografia RC4 Inclui o algoritmo Michael (controle de integridade) WPA Problemas do WPA Utiliza o algoritmo de criptografia RC4 MIC não impede os ataques a que se propôs Ataques de bit-flipping Ataques de injeção de pacotes Vulnerabilidades no modo pessoal Ataques de força bruta Ataques de dicionário WPA Vulnerabilidades publicadas Ataque Chopchop (bit-flipping) Publicado por M. Beck e E. Tews (2008) Adaptação do ataque apresentado por KoreK Pode ser usado para injetar quadros pequenos Depende da implementação de QoS Injeção de quadros Publicado por F. Halvorsen e O. Haugen (2009) Estende o ataque de 2008 Pode injetar quadros de tamanho maiores WPA Vulnerabilidades publicadas Ataque de interceptação (man-in-the-middle) Publicado por T. Ohigashi e M. Morii (2009) Estende o ataque de 2008 Não depende da implementação de QoS Injeção de quadros Publicado por M. Beck (2010) Explora a fraqueza do algoritmo Michael Pode injetar quadros de tamanho arbitrário WPA2 Wi-Fi Protected Access 2 Publicado em 2004 como padrão IEEE 802.11i Anexado ao padrão 802.11 em 2007 Tem dois modos de operação Pessoal Corporativo Introduz novo protocolo de segurança Ainda compatível com protocolos anteriores WPA2 Melhoramentos em relação ao WPA Uso de um novo protocolo de segurança CTR with CBC-MAC Protocol (CCMP) Counter Mode Cipher-Block Chaining Message Authentication Code Uso de algoritmo de criptografia em blocos Advanced Encryption Standard (AES) Constitui uma Robust Security Network (RSN) Protege determinados campos do cabeçalho WPA2 Autenticação com o WPA2 (Modo Pessoal) Pre-Shared Key (WPA2-PSK) Não autentica usuário WPA2 Autenticação com WPA2 (Modo Corporativo) Utiliza IEEE 802.1x (EAP + RADIUS) Autentica o usuário WPA2 CTR with CBC-MAC Protocol (CCMP) Utiliza as mesmas chaves utilizadas pelo TKIP Não utiliza o ICV, somente o MIC Destroi todas as chaves ao fim da sessão Exceção: PMK Caching Associação de segurança em uma ESS Hand-off (Roaming) Preauthentication WPA2 Formato do MPDU do CCMP CCMP Header Packet Number: Sequenciamento de quadros KeyID: Indica a identificação da chave Message Integrity Code Gerado pelo CCM WPA2 Additional Authentication Data (AAD) Proteção de integridade dos campos do cabeçalho Dados do Cabeçalho MAC Frame Control (FC) Address (A1, A2, A3 e A4) Sequence Control (SC) QoS Control (QC) WPA2 Number used Once (Nonce) Similar ao IV do WPA Proteção contra ataques de replay Dados utilizados Priority: Obtido no QC do cabeçalho MAC Address 2 (A2): Endereço MAC na posição 2 Packet Number (PN): Sequenciamento do CCMP WPA2 Encapsulamento CCMP O CCMP não definie seu algoritmo de criptografia O AES é definido no padrão 802.11 WPA2 Problemas do WPA2 Vulnerabilidade no modo pessoal Ataques de força bruta Ataques de dicionário Vulnerabilidades publicadas Abuso da GTK (Hole 196) Publicada por M. S. Ahmad (2010) Cliente envia mensagens para endereços de grupos Permite ataques man-in-the-middle (ARP Poisoning), injeção de código e negação de serviço (DoS) IEEE 802.11w IEEE 802.11w-2009 Padrão publicado em 2009 Aumenta a segurança das redes 802.11 Protege para quadros de gerenciamento Visa dificultar: Injeção de quadros de gerenciamento Ataques de negação de serviço (DoS) Ataques request replay IEEE 802.11w IEEE 802.11w-2009 Impulsionado pelos novos padrões IEEE 802.11k-2008 IEEE 802.11r-2008 Hand-off rápido entre BSSs IEEE 802.11u Gerenciamento de recursos do rádio Interoperação com redes não-802.11 IEEE 802.11v Gerenciamento dinâmico de redes sem fio IEEE 802.11w Problemas do IEEE 802.11w Depende da troca das chaves dinâmicas Expõe informações de associação e autenticação Não protege quadros de controle Inefetivo contra RF-Jamming Conclusão Segurança em redes sem fio WEP e WPA: obsoletos Utilizar sempre WPA2 Algoritmos de segurança e criptografia: CCMP + AES No modo pessoal, escolher chave difícil de adivinhar Faltam produtos que implementem o IEEE 802.11w Não existe rede totalmente segura Segurança em Redes 802.11 Henrique Ribeiro e Joffre Gavinho Filho [email protected] [email protected]