Upload
eleonore-henneberg
View
102
Download
0
Tags:
Embed Size (px)
Citation preview
This document is for informational purposes only, and Tekelec reserves the right to change any aspect of the products, features or functionality described in this document without notice. Please contact Tekelec for additional information and updates.
Sicherheit in Drahtlose NetzwerkeDr. Dorgham Sisalem
Agenda
› Was ist ein Netzwerk?
› Sicherheitsrisiken und Lösungen Abhören und Verschlüsselung Manipulation und Prüfsummen Zugangskontrolle
› WLAN: IEEE 802.11 Einführung Sicherheitsmechanismen und deren Lücken
• WEP, WAP, WAP2
› GSM und UMTS
2 |
Drahtlose Netzwerke
› Media Access Control (MAC) Adresse Identifiziert eindeutig eine Hardware Schnittstelle in einem Gerät
• Sollte global eindeutig sein• Wird zum Datenaustausch in einem lokalen Netzwerk benutzt
4 |
Wireless DSL Router
MAC: 58:b0:35:fc:3f:b9
Google.com
(173.194.69.99)
217.9.36.239
facebook.com
(69.171.229.74)
Network ID: S
tarbucks hotspot
Address: 58:b0:35:fc:3f:b9
Network ID: Starbucks hotspotAddress: 58:b0:35:fc:3f:b9
Network ID: Starbucks hotspot
Address: 58:b0:35:fc:3f:b9
To:173.194.69.99To: 58:b0:35:fc:3f:b9
Wireless DSL Router
MAC: 88:b0:46:2c:3B:a8
Network ID: S
tarbucks hotspot
Address: 88:b0:46:2c:3B:a8
To:173.194.69.99
This document is for informational purposes only, and Tekelec reserves the right to change any aspect of the products, features or functionality described in this document without notice. Please contact Tekelec for additional information and updates.
Sicherheitsrisiken und Lösungen
5 |
› Nicht autorisierte Informationsgewinnung
Risiko: Abhören
6 |
To Bank
Überweise 10$ an 1234
DSL Router Benutzer A
Anbieter Router
› Fest Netz Angreifer benötigt zugang zu einem Router oder Kabel
Konto Nummer von A ist 1234
Benutzer A
› Drahrloses Netzwerk In einem ungeschützten Netzwerk kann theoretisch jeder in der Reichweite der
Basis Station alle Daten abhören
Lösung: Verschlüsselung
7 |
Verschlüsselung
Schlüssel
Entschlüsselung
Schlüssel
Klartext Geheimtext Klartext
› Klartext mit der Hilfe eines Schlüssels und eines Verschlüsselungsverfahren in eine nicht einfach interpretierbare Zeichenfolge (Geheimtext) umwandeln.
› Symmetrische Verschlüsselung:
› Schlüssel wird für Verschlüsselung und Entschlüsselung verwendet
11001010 XOR---------0110
11000110 XOR---------1010
1100
1100 0110 0101 1010 0110 1010
1100
X Y ⊕0 0 0
1 0 1
0 1 1
1 1 0
› Einfaches Beispiel for symetrische Verschlüsselung: XOR
Ist dies brauchbar?
Lösung: Verschlüsselung
8 |
› Asymmetrische Verschlüsselung:
› Unterschiedliche Schlüssel werden für Verschlüsselung (+K: Public Key) und Entschlüsselung (-K: Private Key) verwendet
› Bei Kenntnisse des Public Key und Verschlüsselte Daten ist es unmöglich die Daten zu entschlüsseln
› Wird bei SSL und Secure-HTTP benutzt
› Da es aufwendig ist wird es hauptsächlich dazu benutzt um einen Symmetric Key auszuhandeln
Plain-
text
EncryptCipher-
text
Cipher-
text
DecryptPlain-
text
+K
Risiko: Dateninmanipulation
› Zu schützende Daten sollten nicht unbemerkt verändert werden (z.B. Verhindern der Manipulation von Nachrichten)
9 |
DSL Router Benutzer A
Anbieter Router
To Bank
Überweise 10$ an 1234To Bank
Überweise 10$ an amazon
To Bank
Überweise 100$ an Attacker
› Fest Netz Angreifer benötigt zugang zu einem Router oder Kabel
Datenintegrität
› Drahtloses Netzwerk In einem ungeschützten Netzwerk ist eine Man-in-the-Middle (MITM)
Attacke einfach:• Angreifer verschickt Beacons mit dem selben SSID mit höher Frequenz und
Signalstärke• Benutzer benutzt Angreifer als Base Station• Angreifer manipuliert die Daten und leitet sie weiter an das die echte Station
10 |
Wireless DSL Router
MAC X:Y:X:Z
Benutzer A
Anbieter Router
StationA:B:C:D scheint näher zu sein
To BANK
Überweise 10$ an amazon
From BankTo Bank
Überweise 100$ an Angrifer
To Bank
Überweise 100$ an Angreifer
Angreifer Wireless DSL Router
MAC: A:B:C:D
Network ID: S
tarbucks hotspot
Address: A:B:C:D
Network ID: Starbucks hotspotAddress: :X:Y:X:Z
From Bank
From Bank
Lösung: Prüfsumme
› Eine Zusammenfassung einer Nachricht Sender und Empfänger benutzen die selben Algorithmen um die
Prüfsumme zu erstellen Bei Bit Fehler und Manipulation würde nicht die selbe Prüfsumme
rauskommen Prüfsumme wird gemeinsam mit dem eigentlichen Daten verschlüsselt
und verschickt
› Schützt nicht gegen die Manipulation von Daten aber hilft beim Entdecken von Manipulation oder Übertragungsfehler
11 |
Verschlüsselung
(Klartext und Signatur)Entschlüsselung
Schlüssel Schlüssel
Klartext + signatur Geheimtext Klartext
1100 1100 11001111 0101 1010 ---------------------0011 1001 0110
1100
0101 1010 0011 10010110
1100
› Einfaches Beispiel für Prüfsumme: Quersumme aller Daten
KlartextSignatur
Überprüfe Signatur
Klartext + signature
01011010 OR---------1111
1111 0101 10101100 1100 11000011 1001 0110 ---------------------1111 0101 1010
01011010 OR---------1111
1111 0101 1010 0101 1010
Ist dies brauchbar?
Risiko: Authentizität (authenticity)
› Echtheit und Glaubwürdigkeit eines Objekts bzw. Subjekts gewährleisten (z.B. einer Nachricht, eines Absenders, Access-Points, Servers, etc.) Netzwerk Authentifizierung wird benötigt um Man-in-the-Middle Angriffe zu verhindern Benutzer Authentifizierung wird benötigt um Missbrauch zu verhindern
12 |
DSL Router Benutzer A
Anbieter Router
Sind die Daten von A?
Höchst wahrscheinlich Sind die Daten von meinem DSL router?
Höchst wahrscheinlich
To google
From google
To google
From google
Wireless DSL Router
Benutzer A
Anbieter Router
Sind die Daten von A?
Jedes Gerät in Reichweite kann Daten schicken
Sind die Daten von meinem DSL router?
Angreifer kann auch Beacon mit “Starbucks Hotspot” verschicken
To google
From google
To google
From google
Lösung: Passwort basierte Authentifizierung
13 |
› Benutzer startet eine Sitzung und fügt sein Passwort hinzu
› Server kennt das Passwort und falls das verschickte Passwort stimmt erhält der Benutzer Zugang.
Wireless DSL Router
Benutzer A hat passwort 1010
Benutzer: A
Passwort 1010
Zugang gewährt Benutzer A
Passwort 1010
Ist dies tatsächlich sicher?
› Ermöglicht Authentifizierung nur in einer Richtung
› Passwort ist nicht geschützt gegen Abhören
Lösung: Challenge basierte Authentifizierung
14 |
› Es wird nur der Beweis verschickt dass man den Passwort kennt
› Benutzer startet eine Sitzung
› Server fordert den Benutzer nachzuweisen, dass er den Passwort kennt
› Was ist das Ergebnis von Verschlüsselung von einem zufälligen text?
› Benutzer verschlüsselt den Text und verschickt es zurück
› Nur Benutzer mit Kenntnissen des richtigen Schlüssels können auch das richtige Ergebnis liefern
Wireless DSL Router
Benutzer A hat passwort 1010
1100 verschlüsselt= 0110
Benutzer: A
Verschlüssele 1100 Benutzer A
Passwort 1010
1100 Verschlüsselt= 0110
Ist dies tatsächlich sicher?
Was Noch?
› Privacy Ein Angreifer kann die MAC Adresse eines Benutzers beobachten
• Bewegungsprofil eines Benutzer ist nicht geschützt
› Verfügbarkeit Denial of Service (DoS)
• Angreifer sendet oder Empfängt Daten mit einer hohen Bandbreite Die Verfügbare Bandbreite für die andere Benutzer wird reduziert
Signal Störung (Jamming)• Angreifer sendet auf der selben Frequenz wie das Netzwerk eventuell mit
stärkerer Leistung Signalstärke wird reduziert.
15 |
This document is for informational purposes only, and Tekelec reserves the right to change any aspect of the products, features or functionality described in this document without notice. Please contact Tekelec for additional information and updates.
Wireless LAN: IEEE 802.11
16 |
Wireless LAN
› Wireless Local Area Networks (WLAN) wurde 1997 vom Institute of Electrical and Electronics Engineers (IEEE) unter der Nummer 802.11 veröffentlicht
› Zugriff auf den Funkkanal erfolgt ähnlich wie Ethernet
› Erste Version für 1 Mb/s und 2 Mb/s 802.11b
• Erst populäre WLAN Technologie• Bis maximal 11 Mb/s• Frequenzbereich 2.4 GHz
Ähnlicher Bereich wie Bluetooth oder Babyphones, Überwachungsanlagen!
17 |
Wireless LAN
802.11a• Bis maximal 54 Mb/s• Frequenzbereich um 5GHz
Ähnlicher Frequenzbereich wie Radar
Inkompatible zu 802.11b
Schwächere Leistung und Verbreitung
802.11g• Bis maximal 54 Mb/s• Frequenzbereich 2.4 GHz • Kompatible mit 802.11b
802.11n• Bis maximal 600 Mb/s• Frequenzbereich 2.4 GHz oder 5 GHz• Erste Produkte auf dem Markt
18 |
Zugangskontrolle in 802.11: Erster Versuch
› Wer darf Daten über das drahtlose Netzwerk verschicken: Open System Authentication
• Jeder darf Daten schicken. Daten können nur weiter verschickt wenn der Sender das richtige Passwort kennt
Shared Key Authentication• Wer Daten schicken möchte muss erstmal Kenntnis vom Passwort
nachweisen
1.) A B: (Authentication, 1, IdentityA)
2.) B A: (Authentication, 2, Random TextB)
3.) A B: {Authentication, 3, Random TextB}KA,B // verschlüsselt
mit KA,B
4.) B A: (Authentication, 4, Successful)• Ein Angreifer der Nachrichten 2 und 3 Abhört hat dann Zugriff aufs
gemeinsame Schlüssel!
19 |
WEP: Wireless Equivalent Privacy
› Bietet Verschlüsselung und Integritätsschutz Jede Nachricht wird mit einem neuen Schlüssel verschlüsselt
• RC4 stream cipher• Initialization Vector (IV) + Key werden benutzt um anhand eines Pseudo
Random Number Generators (PRNG) neue Key Stream zu erzeugen
Jede Nachricht wir durch eine Prüfsumme geschützt Cyclic Redundancy Check –CRC)
20 |
WEP
PRNG||KBSS
||
IV
seedkeystream
M
CRC algorithm ICV
Ciphertext
Message
IV
WEP is NOT Secure!
› Ab 2001 wurden mehrere Sicherheitslücken bei WEP entdeckt Schlechte Implementierung CRC nicht geeignet zum Schutz gegen Manipulation Design Probleme
21 |
WEP: Passwort Entschlüsseln
› WEP kann mir 40 oder 104 Bit Schlüssel benutzt werden Brute Force Suche nach einem 40 Bit Schlüssel kann etliche Tage
dauern
› Ein 40 Bit Schlüssel wird durch 10 Hexadezimale Ziffern angegeben.
› Um jedoch die Eingaben der Passwörter zu vereinfachen erlauben einige Hersteller die Eingabe von ein paar ASCII Zeichen Diese Zeichen werden dann als Eingabe für einen Schlüssel-Generator
benutzt Dadurch verringern die möglichen Schlüssel von 40 Bits auf ungefähr 20
Bits• Ein 20 Bit Schlüssel ist innerhalb von Sekunden zu entschlüsseln
22 |
Daten Manipulation mit WEP
› Die Prüfsumme (CRC) von WEP bietet keinen ausreichenden Schutz gegen Manipulation
› A verschickt eine Nachricht (M) an B die von E abgefangen wird (z.B. MITM Attacke) A B: (IV, C) mit C = RC4(IV, K) (M, CRC(M))
› Der Angreifer kann nun eine neue verschlüsselte Nachricht (C’) die nach dem Entschlüsseln die Nachricht (M’) ergibt mit einer Korrekten Prüfsumme CRC(M’): E wählt eine zufällige Bit Reihe C’ = C (, CRC()) = RC4(IV, K) (M, CRC(M)) (, CRC())
= RC4(IV, K) (M , CRC(M) CRC())= RC4(IV, K) (M , CRC(M ))= RC4(IV, K) (M’, CRC(M’))
Beachte: Der Angreifer weiß weder M, noch M’ noch K
23 |
WEP Design Schwächen
› WEP und RC4 sind eigentlich sicher Wenn pro Nachricht einen neuen Schlüssel benutzt wird
› Bei WEP wird jedoch der selbe Keystream mehrmals benutzt Für jede Nachricht wird ein Keystream generiert anhand von IV und K Wenn zwei Nachrichten (P1 and P2) mit dem selben IV verschlüsselt
werden: • C1 = P1 RC4(IV, KBSS)
• C2 = P2 RC4(IV, KBSS)
dann:• C1 C2 = (P1 RC4(IV, KBSS)) (P2 RC4(IV, K)) = P1 P2
Falls P1 and C1 bekannt sind dann kann der Angreifer auch P2 und RC4(IV, KBSS) entschlüsseln• Inhalt einer Nachricht kann öfters erraten werden
24 |
WEP Design Schwächen
› Der Angreifer kann nun all Nachrichten mit dem selben IV entschlüsseln
› Der Angreifer kann Nachrichten schicken und mit RC4(IV, K) verschlüsseln
› IV kann sich wiederholen entweder wegen Schlechter Implementierung Das IV ist 24 Bits lang. Je nach Auslastung des Netzes wird die
Base Station den selben IV über kurz oder lang wieder benutzen müssen
25 |
Security Framework IEEE 802.11i
› IEEE 802.11i definiert eine Sicherheitsarchitektur Zugangkontrolle durch IEEE 802.1X Stärkere Verschlüsselungsmechanismen Bessere Prüfsummen
26 |
Zugangskontrolle mit 802.1X
› Sichere Authentifizierung des Benutzers und des Netzwerks Jeder Benutzer hat einen eigenen Schlüssel was von einem
Server verwaltet wird Ist primär für größere Netzwerke gedacht
27 |
Wireless DSL Router
Benutzer A
Passwort K
Authentifikation der Basis Station
Aufbau einer Sicheren Verbindung
Ähnlich dem Aufbau einer sicheren Verbindung zur einer Bank
Authentication:: Benutzer A
Authentication: Challenge
Authentication: Credentials K(Challenge)
DB
Was ist Passwort von A
Authentication: OK
Benutzer A hat das Passwort K
WPA: Wi-Fi Protected Access
› Eine Implementierung der IEEE 802.11i Spezifikation mit Einer verbesserten Version von WEP
• Temporal Key Integrity Protocol (TKIP)
Einer verbesserten Prüfsumme• Message Integrity Check (MIC) mit dem Namen Michael
Authentifizierung:• Enterprise: 802.1X• Personal: Für private Benutzer und kleinere Installationen anhand
eines gemeinsamen Passworts
28 |
WPA: Temporal Key Integrity Protocol (TKIP)
› Basiert weiterhin auf ähnliche Konzepte wie WEP (RC4) Abwärtskompatible zu WEP Hardware
› Vermeidet Attacken die durch das Wiederverwenden von IV und Keystream entstehen: Keystream entsteht durch IV, Schlüssel und eine Packet
abhängige Sequenz Nummer IV ist 48 Bits statt 24 Bits groß
29 |
Phase 2
Mixing
Phase 1
MixingKBSS
||
IV
Temporal key keystream
M
MIC algorithm ICV
Ciphertext
Message
IV
Sequence number
WPA2: Wi-Fi Protected Access
› Erste Angriffe gegen TKIP wurden schon in 2008 bekannt Angreifer kann einige Daten Pakete verschicken ohne Kenntnisse des
gemeinsamen Passworts Angriffe brauchen mehr Zeit und sind weniger effektiv als Angreifer auf
WEP
› WPA2 basiert nicht mehr auf RC4 und ist somit nicht mehr Hardware kompatible zu WEP
› Die Schlüssellänge beträgt 128 Bits
› Verschlüsselungsverfahren AES (Advanced Encryption standard) im speziellen Modus CCMP (Cipher Block chaining Message Authentication Code Protocol)
› Authentifizierung Ähnlich WPA
30 |
Global System for Mobile Communications: GSM
› Mobile Telephone Netze basierend auf GSM starteten in 1990
› Authentifizierung und Verschlüsselungsmaterial sind auf der SIM (Subscriber Identity Module) gespeichert Probleme mit schwachen Schlüssel sind somit vermieden
› Probleme Benutzer authentifiziert sich gegenüber des Netzwerks aber
Netzwerk authentifiziert sich nicht gegenüber dem Benutzer• Man-in-the-Middle Attacken möglich
SIM cloning• SIM inklusive der Benutzer Daten können kopiert werden• Betrifft nur den einen Benutzer
› UMTS und LTE basieren auf ähnliche Konzepte jedoch Benutzer und Netzwerk authentifizieren sich gegenseitig
31 |
Zusammenfassung
› Drahtlose Netzwerke sind leichter anzugreifen als Leitungsgebundene Netze
› Hauptsächliche Gefahren: Man in the Middle Abhören Daten Manipulation Unberechtigter Zugang
› WLAN unterstützt folgende Sicherheitslösungen an WEP: Zahlreiche Sicherheitslücken wurden bei WEP entdeckt WPA: Im wesentlichen sicherer als WEP aber da es auf ähnliche Konzepte wie
WEP basiert wurden auch schon einige Sicherheitslücken entdeckt WPA2: Gilt zur Zeit noch als sicher
› Mobile Netzwerke (GSM, GPRS, UMTS …) werden die Schlüssel und Authentifizierungsdaten auf der SIM gespeichert
32 |
33 |
Thank you !!
Questions Dorgham SisalemDirector Strategic ArchitectureMobile: +49 171 304 2053E-mail: [email protected]