A Evolução dos
Mecanismos de Segurança para
Redes sem fio 802.11
Agenda
• Introdução a redes wireless
– Requisitos de Segurança
• Recursos de (in)segurança em redes 802.11b
– Mecanismos de segurança nativos, controle de acesso – Vulnerabilidades nos protocolos
– Problemas comuns de configuração – Problemas nos equipamentos
• Ataques
– Ataques de autenticação, Hijacking
– Problemas de chave, Wardriving e Warbiking
Agenda
• Defesas
– Resposta dos fabricantes – Evolução dos protocolos – WPA
– 802.11i
– VPNs, criptografia e Controle de acesso – Configurações rígidas
– Isolamento e Monitoração
• Conclusões
Objetivos
• Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso
• Compreender os recursos de segurança providos pelo padrão 802.11b
• Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos
• Estabelecer uma ligação com os ataques clássicos
• Discorrer sobre as comunidades de exploradores de redes wireless
• Propor e discutir formas práticas de mitigar as
vulnerabilidades
Introdução a Redes Wireless
Redes 802.11b
• Camada Física:
– Direct Sequence Spread Spectrum (DSSS) – Frequency Hopping Spread Spectrum (FHSS) – Banda ISM de 2.4 a 2.5GHz
• Velocidades (bitrates):
– 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g)
• Alcance típico:
– 50 metros em ambientes fechados, 500 metros ao ar livre
– Pode variar fortemente dependendo da potência, tipo e disposição das antenas, cobertura por APs, amplificadores
– Antes externas direcionais podem chegar a 400 m
– Configurações especiais podem chegar a mais de 20 Km
DSSS
FHSS
Introdução a Redes Wireless
Topologias
• Modo Infra-Estrutura: estende a cobertura geográfica da rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio
– Access Point (AP): bridge [WLAN] [LAN]
– Célula: área coberta por um AP
– Basic Service Set (BSS): “conjunto de serviços básicos” de uma célula
– Extended Service Set (ESS): “conjunto de serviços estendido”
oferecido por todas as células de uma rede de infraestrutura
• Modo Ad-Hoc:
– Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos)
– Dispensa a “rede infra-estrutura” (LAN convencional cabeada)
Introdução a Redes Wireless
Resumindo
• Filosofia de projeto:
Fácil instalação + Fácil acesso
=
Problema de Segurança
(é claro que os engenheiros pensaram em tudo ...)
Introdução a Redes Wireless
Requisitos de Segurança
• Criptografia e Privacidade
– “dados cifrados não devem decifrados por pessoas não autorizadas”
• Autenticação e Controle de Acesso
– Identificar, Autenticar, Autorizar usuários, servidores, Aps
– Framework
Recursos de (in)segurança
Escopo da Segurança em redes sem fio
Recursos de (in)segurança
WEP – Wired Equivalency Privacy
• Criptografia e autenticação no nível do link wireless
– Ou seja, não provê segurança fim-a-fim – Em outras palavras, só no trecho wireless – Furadíssimo, como veremos adiante
• Não prescinde outros mecanismos “tradicionais”
de segurança
– Muito pelo contrário, torna-os muito mais necessários,
dado que introduz vários novos riscos
Recursos de (in)segurança
WEP – Serviços
• Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede
– Somente pessoas autorizadas podem se conectar na minha rede?
– Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado
– Somente as pessoas autorizadas podem ver meus dados?
• Integridade:
– Temos certeza que os dados transitando na rede não
foramadulterados?
Recursos de (in)segurança
WEP – Autenticação
• Não-criptográfica:
– Modo aberto: SSID nulo
– Modo fechado: requer SSID específico
– Trivialmente suscetível a ataque
de replay
Recursos de (in)segurança
Sniffing e SSID
Recursos de (in)segurança
WEP – Autenticação
• Criptográfico:
– Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP
– O AP autentica o cliente
– O cliente não autentica o AP
– Suscetível a vários ataques, inclusive o famoso “man-in-themiddle ”
Recursos de (in)segurança
Criptografia do WEP
Recursos de (in)segurança
Criptografia do WEP – RC4
• Algoritmo de cifragem proprietário da RSADSI
– Otimizado para implementação rápida em software
– Era segredo industrial da RSADSI até ser analisado por engenharia reversa e postado na rede em 1994.
– Implementável de cabeça em pouco mais de um minuto.
– Chave de até 2048 bits
– Stream cipher: entrada e saída de 8 bits (1 byte) de cada vez
– Desconfortavelmente simples, mas seguro se usado
com algumas precauções
Recursos de (in)segurança
Críticas a Criptografia do WEP
• Gerenciamento de chaves
– Totalmente manual
• Chaves raramente são mudadas (quando em absoluto)
• Mudar chaves de centenas ou milhares de placas em uma instalação típica é insano
• Tamanho de chaves pequeno
– A maior parte das placas/instalações só suporta 40 bits
• Feito, à época, para evitar problemas de exportação
• Placas com cripto de 104 bits custam bem mais caro e são mais raras
• Padece de várias fraquezas criptográficas fundamentais
Recursos de (in)segurança
Críticas a Criptografia do WEP
• IV de 24 bits é muito pouco
– O padrão WEP não especifica como gerar o IV – Algumas placas o fazem sequencialmente
• Fácil de prever e detectar
• E ainda resetam para zero quando o cartão é reinserido
• O IV é repetido a cada 4823 pacotes
• O CRC torna trivial descobrir se você acertou o
par (IV, K)
Recursos de (in)segurança
Criptografia: Propriedades
• Propriedades do (XOR): ⊕
– a a = 0 ⊕ – a 0 = a ⊕
• Isso torna perigoso jamais reusar a mesma chave:
– c1 = p1 RC4(k,IV) e c2 = p2 RC4(k,IV) ⊕ ⊕
– c1 c2 = ( p1 RC4(k,IV) ) ( p2 RC4(k,IV) ) ⊕ ⊕ ⊕ ⊕ – = p1 p2 RC4 (k,IV) RC4 (k,IV) ⊕ ⊕ ⊕
– = p1 p2 ⊕
• Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam
fácil prever ou deduzir p1 p2 ⊕
Recursos de (in)segurança
Integridade WEP
• CRC (Cyclic Redundancy Check) de 32 bits é computado para cada pacote e anexado ao pacote
– CRCs são otimizados para detectar erros de transmissão – São notoriamente inadequados para prover garantias
criptograficamente aceitáveis contra adulteração intencional
• Também burlável:
– É viável fazer alterações no texto cifrado e “compensar” o CRC
• Já aconteceu outras vezes, no SSH1 e no PPTP da MS
– Deveria ter sido usado um MAC (Message Authentication Code)
com resistencia criptográfica, à base de MD5 ou SHA1
Recursos de (in)segurança Aps Impostores
• Em redes em modo abertas, quem impede um atacante de instalar seu próprio AP?
• Mesmo em redes fechadas, descobrindo-se os parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle
• É visível, porém, para alguns softwares de
monitoração
Recursos de (in)segurança
Backdoors nos firmwares
• Envia-se a string “gstsearch” em um broadcast (!) para a porta UDP 27155 e o AP responde com:
– Senha do administrador – Chave mestra WEP
– Filtro de MAC
• Testado como vulnerável: WISECOM GL2422AP-0T
• Suspeita-se vulnerável (baseado no mesmo firmware):
– D-Link DWL-900AP+ B1 version 2.1 and 2.2 – ALLOY GL-2422AP-S
– EUSSO GL2422-AP
– LINKSYS WAP11-V2.2
Ataques
Ataques clássicos
• Todos os ataques clássicos de TCP/IP se aplicam normalmente – amplo playground:
–
ARP spoofing: redirecionar tráfego para o impostor viafalsificação/personificação do endereço MAC
–
DNS spoofing: redirecionar tráfego para o impostor via adulteraçãodos pacotes DNS
–
Smurf: sobrecarga de broadcasts para negação de serviço/saturaçãodo canal
–
DHCP spoofing: servidor DHCP impostor força configuraçãoimprópria dos clientes
• Chaves má escolhidas
– Suscetíveis a ataques clássicos de dicionário
– Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é
Ataques
Man-in-the-middle
Ataques
Chosen-Plaintext Attack
Ataques
Bit Flipping
Ataques
Warchalking
• Marcas com giz identificando locais onde há conectividade
wireless e os parâmetros da rede
Ataques
NodeDB.com - Warchalking
• Warchalking via web: DB de APs
Ataques
Warchalking.com.br
• Agora também em português
Ataques
WorldWideWarDriving.org
• Esforço para mapear Aps
Defesas
Resposta dos Fabricantes (Wi-Fi)
• Aumentar o tamanho da chave WEP Compartilhada
(Agere 152 bits, US Robotics 256 bits) apenas adia a descoberta
• Problemas com performance
• Troca dinâmica de chaves (Cisco e Microsoft)
• Overhead na transmissão (802.11b)
• Falta de Interoperabilidade
• Wi-Fi propõe o WPA
• IEEE Task Group “I” standard 802.11i
Defesas
WPA – Wi-Fi Protected Access
• Novo padrão de autenticação mútua - EAP
• TKIP – Temporal Key Integrity Protocol
• Michael Message Integrity Check
Defesas
WPA – EAP
• Novo padrão de autenticação mútua
– Suplicante, Autenticador, Servidor de Autenticação RADIUS – Atualização de Firmware
– Compatibilidade com Hardwares legados
Defesas
WPA – EAP
• Procedimentos de Autenticação:
– Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados.
– O autenticador requer a identificação do suplicante.
– O suplicante responde com a identificação que é imediatamente repassada para o servidor de autenticação.
– O servidor autentica a identidade do suplicante e envia uma
mensagem do tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado.
– O suplicante requisita a identificação do servidor. O servidor atende.
– O suplicante valida a identificação do servidor e todo trafego é
liberado.
Defesas
WPA – EAP
Defesas
WPA – EAP
• EAP – LEAP usuário e senha / Cisco Systems
• EAP – TLS (RFC2716) utiliza certificados digitais X.509
• EAP – TTLS like EAP – TLS; suplicate utiliza senha para se autenticar / Funk Software
• EAP – PEAP evolução do EAP
• Pre – Shared Key like WEP; manter compatibilidade
Defesas
WPA – TKIP Temporal Key Integrity Protocol
• Chave Compartilhada de 128 bits
• Um IV de 48 bits
• MAC Address
• Mantém o RC4 Compatibilidade
Defesas
WPA – Michael Message Integrity Check
• Substitui o CRC
• MIC (Message) - Redundância de 64 bits calculada com o algoritmo “Michel”
• Verifica erros na transmissão
• Detecta manipulação deliberada
Defesas
WPA – Conclusão
• Resolve diversos problemas conhecidos do WEP:
– Autenticação Mútua – TKIP
– Michael Message Integrity Check
• Entretando, WPA ainda não é a solução definitiva:
– Criptografia Fraca
– WPA2 substituição do RC4 pelo AES.
– Queda de Performance
Defesas
802.11i
• Resolve problemas conhecidos do WPA:
– Novo Padrão IEEE – Draft 3 – Poucos hardwares compatíveis – Autenticação Mútua – EAP
– Mantém TKIP Compatibilidade
– Introduz o CCMP (Counter Mode with Cipher Block Chaning Message Authentication Code Protocol) AES
– Necessidade de uso de co-processadores criptográficos devido a utilização do algoritmo AES.
– Novos Protocolos
• RSN (Substituo padronizado do WEP) – Robust Security Network (EAP, CCMP, Michael)
• WRAP – Wireless Robust Authentication Protocol – Suporta Roaming