This document is for informational purposes only, and Tekelec reserves the right to change any aspect of the products, features or functionality described in this document without notice. Please contact Tekelec for additional information and updates.

Sicherheit in Drahtlose NetzwerkeDr. Dorgham Sisalem

Agenda

› Was ist ein Netzwerk?

› Sicherheitsrisiken und Lösungen Abhören und Verschlüsselung Manipulation und Prüfsummen Zugangskontrolle

› WLAN: IEEE 802.11 Einführung Sicherheitsmechanismen und deren Lücken

• WEP, WAP, WAP2

› GSM und UMTS

2 |

Drahtlose Netzwerke

› Media Access Control (MAC) Adresse Identifiziert eindeutig eine Hardware Schnittstelle in einem Gerät

• Sollte global eindeutig sein• Wird zum Datenaustausch in einem lokalen Netzwerk benutzt

4 |

Wireless DSL Router

MAC: 58:b0:35:fc:3f:b9

Google.com

(173.194.69.99)

217.9.36.239

facebook.com

(69.171.229.74)

Network ID: S

tarbucks hotspot

Address: 58:b0:35:fc:3f:b9

Network ID: Starbucks hotspotAddress: 58:b0:35:fc:3f:b9

Network ID: Starbucks hotspot

Address: 58:b0:35:fc:3f:b9

To:173.194.69.99To: 58:b0:35:fc:3f:b9

Wireless DSL Router

MAC: 88:b0:46:2c:3B:a8

Network ID: S

tarbucks hotspot

Address: 88:b0:46:2c:3B:a8

To:173.194.69.99

This document is for informational purposes only, and Tekelec reserves the right to change any aspect of the products, features or functionality described in this document without notice. Please contact Tekelec for additional information and updates.

Sicherheitsrisiken und Lösungen

5 |

› Nicht autorisierte Informationsgewinnung

Risiko: Abhören

6 |

To Bank

Überweise 10$ an 1234

DSL Router Benutzer A

Anbieter Router

› Fest Netz Angreifer benötigt zugang zu einem Router oder Kabel

Konto Nummer von A ist 1234

Benutzer A

› Drahrloses Netzwerk In einem ungeschützten Netzwerk kann theoretisch jeder in der Reichweite der

Basis Station alle Daten abhören

Lösung: Verschlüsselung

7 |

Verschlüsselung

Schlüssel

Entschlüsselung

Schlüssel

Klartext Geheimtext Klartext

› Klartext mit der Hilfe eines Schlüssels und eines Verschlüsselungsverfahren in eine nicht einfach interpretierbare Zeichenfolge (Geheimtext) umwandeln.

› Symmetrische Verschlüsselung:

› Schlüssel wird für Verschlüsselung und Entschlüsselung verwendet

11001010 XOR---------0110

11000110 XOR---------1010

1100

1100 0110 0101 1010 0110 1010

1100

X Y ⊕0 0 0

1 0 1

0 1 1

1 1 0

› Einfaches Beispiel for symetrische Verschlüsselung: XOR

Ist dies brauchbar?

Lösung: Verschlüsselung

8 |

› Asymmetrische Verschlüsselung:

› Unterschiedliche Schlüssel werden für Verschlüsselung (+K: Public Key) und Entschlüsselung (-K: Private Key) verwendet

› Bei Kenntnisse des Public Key und Verschlüsselte Daten ist es unmöglich die Daten zu entschlüsseln

› Wird bei SSL und Secure-HTTP benutzt

› Da es aufwendig ist wird es hauptsächlich dazu benutzt um einen Symmetric Key auszuhandeln

Plain-

text

EncryptCipher-

text

Cipher-

text

DecryptPlain-

text

+K

Risiko: Dateninmanipulation

› Zu schützende Daten sollten nicht unbemerkt verändert werden (z.B. Verhindern der Manipulation von Nachrichten)

9 |

DSL Router Benutzer A

Anbieter Router

To Bank

Überweise 10$ an 1234To Bank

Überweise 10$ an amazon

To Bank

Überweise 100$ an Attacker

› Fest Netz Angreifer benötigt zugang zu einem Router oder Kabel

Datenintegrität

› Drahtloses Netzwerk In einem ungeschützten Netzwerk ist eine Man-in-the-Middle (MITM)

Attacke einfach:• Angreifer verschickt Beacons mit dem selben SSID mit höher Frequenz und

Signalstärke• Benutzer benutzt Angreifer als Base Station• Angreifer manipuliert die Daten und leitet sie weiter an das die echte Station

10 |

Wireless DSL Router

MAC X:Y:X:Z

Benutzer A

Anbieter Router

StationA:B:C:D scheint näher zu sein

To BANK

Überweise 10$ an amazon

From BankTo Bank

Überweise 100$ an Angrifer

To Bank

Überweise 100$ an Angreifer

Angreifer Wireless DSL Router

MAC: A:B:C:D

Network ID: S

tarbucks hotspot

Address: A:B:C:D

Network ID: Starbucks hotspotAddress: :X:Y:X:Z

From Bank

From Bank

Lösung: Prüfsumme

› Eine Zusammenfassung einer Nachricht Sender und Empfänger benutzen die selben Algorithmen um die

Prüfsumme zu erstellen Bei Bit Fehler und Manipulation würde nicht die selbe Prüfsumme

rauskommen Prüfsumme wird gemeinsam mit dem eigentlichen Daten verschlüsselt

und verschickt

› Schützt nicht gegen die Manipulation von Daten aber hilft beim Entdecken von Manipulation oder Übertragungsfehler

11 |

Verschlüsselung

(Klartext und Signatur)Entschlüsselung

Schlüssel Schlüssel

Klartext + signatur Geheimtext Klartext

1100 1100 11001111 0101 1010 ---------------------0011 1001 0110

1100

0101 1010 0011 10010110

1100

› Einfaches Beispiel für Prüfsumme: Quersumme aller Daten

KlartextSignatur

Überprüfe Signatur

Klartext + signature

01011010 OR---------1111

1111 0101 10101100 1100 11000011 1001 0110 ---------------------1111 0101 1010

01011010 OR---------1111

1111 0101 1010 0101 1010

Ist dies brauchbar?

Risiko: Authentizität (authenticity)

› Echtheit und Glaubwürdigkeit eines Objekts bzw. Subjekts gewährleisten (z.B. einer Nachricht, eines Absenders, Access-Points, Servers, etc.) Netzwerk Authentifizierung wird benötigt um Man-in-the-Middle Angriffe zu verhindern Benutzer Authentifizierung wird benötigt um Missbrauch zu verhindern

12 |

DSL Router Benutzer A

Anbieter Router

Sind die Daten von A?

Höchst wahrscheinlich Sind die Daten von meinem DSL router?

Höchst wahrscheinlich

To google

From google

To google

From google

Wireless DSL Router

Benutzer A

Anbieter Router

Sind die Daten von A?

Jedes Gerät in Reichweite kann Daten schicken

Sind die Daten von meinem DSL router?

Angreifer kann auch Beacon mit “Starbucks Hotspot” verschicken

To google

From google

To google

From google

Lösung: Passwort basierte Authentifizierung

13 |

› Benutzer startet eine Sitzung und fügt sein Passwort hinzu

› Server kennt das Passwort und falls das verschickte Passwort stimmt erhält der Benutzer Zugang.

Wireless DSL Router

Benutzer A hat passwort 1010

Benutzer: A

Passwort 1010

Zugang gewährt Benutzer A

Passwort 1010

Ist dies tatsächlich sicher?

› Ermöglicht Authentifizierung nur in einer Richtung

› Passwort ist nicht geschützt gegen Abhören

Lösung: Challenge basierte Authentifizierung

14 |

› Es wird nur der Beweis verschickt dass man den Passwort kennt

› Benutzer startet eine Sitzung

› Server fordert den Benutzer nachzuweisen, dass er den Passwort kennt

› Was ist das Ergebnis von Verschlüsselung von einem zufälligen text?

› Benutzer verschlüsselt den Text und verschickt es zurück

› Nur Benutzer mit Kenntnissen des richtigen Schlüssels können auch das richtige Ergebnis liefern

Wireless DSL Router

Benutzer A hat passwort 1010

1100 verschlüsselt= 0110

Benutzer: A

Verschlüssele 1100 Benutzer A

Passwort 1010

1100 Verschlüsselt= 0110

Ist dies tatsächlich sicher?

Was Noch?

› Privacy Ein Angreifer kann die MAC Adresse eines Benutzers beobachten

• Bewegungsprofil eines Benutzer ist nicht geschützt

› Verfügbarkeit Denial of Service (DoS)

• Angreifer sendet oder Empfängt Daten mit einer hohen Bandbreite Die Verfügbare Bandbreite für die andere Benutzer wird reduziert

Signal Störung (Jamming)• Angreifer sendet auf der selben Frequenz wie das Netzwerk eventuell mit

stärkerer Leistung Signalstärke wird reduziert.

15 |

This document is for informational purposes only, and Tekelec reserves the right to change any aspect of the products, features or functionality described in this document without notice. Please contact Tekelec for additional information and updates.

Wireless LAN: IEEE 802.11

16 |

Wireless LAN

› Wireless Local Area Networks (WLAN) wurde 1997 vom Institute of Electrical and Electronics Engineers (IEEE) unter der Nummer 802.11 veröffentlicht

› Zugriff auf den Funkkanal erfolgt ähnlich wie Ethernet

› Erste Version für 1 Mb/s und 2 Mb/s 802.11b

• Erst populäre WLAN Technologie• Bis maximal 11 Mb/s• Frequenzbereich 2.4 GHz

Ähnlicher Bereich wie Bluetooth oder Babyphones, Überwachungsanlagen!

17 |

Wireless LAN

802.11a• Bis maximal 54 Mb/s• Frequenzbereich um 5GHz

Ähnlicher Frequenzbereich wie Radar

Inkompatible zu 802.11b

Schwächere Leistung und Verbreitung

802.11g• Bis maximal 54 Mb/s• Frequenzbereich 2.4 GHz • Kompatible mit 802.11b

802.11n• Bis maximal 600 Mb/s• Frequenzbereich 2.4 GHz oder 5 GHz• Erste Produkte auf dem Markt

18 |

Zugangskontrolle in 802.11: Erster Versuch

› Wer darf Daten über das drahtlose Netzwerk verschicken: Open System Authentication

• Jeder darf Daten schicken. Daten können nur weiter verschickt wenn der Sender das richtige Passwort kennt

Shared Key Authentication• Wer Daten schicken möchte muss erstmal Kenntnis vom Passwort

nachweisen

1.) A B: (Authentication, 1, IdentityA)

2.) B A: (Authentication, 2, Random TextB)

3.) A B: {Authentication, 3, Random TextB}KA,B // verschlüsselt

mit KA,B

4.) B A: (Authentication, 4, Successful)• Ein Angreifer der Nachrichten 2 und 3 Abhört hat dann Zugriff aufs

gemeinsame Schlüssel!

19 |

WEP: Wireless Equivalent Privacy

› Bietet Verschlüsselung und Integritätsschutz Jede Nachricht wird mit einem neuen Schlüssel verschlüsselt

• RC4 stream cipher• Initialization Vector (IV) + Key werden benutzt um anhand eines Pseudo

Random Number Generators (PRNG) neue Key Stream zu erzeugen

Jede Nachricht wir durch eine Prüfsumme geschützt Cyclic Redundancy Check –CRC)

20 |

WEP

PRNG||KBSS

||

IV

seedkeystream

M

CRC algorithm ICV

Ciphertext

Message

IV

WEP is NOT Secure!

› Ab 2001 wurden mehrere Sicherheitslücken bei WEP entdeckt Schlechte Implementierung CRC nicht geeignet zum Schutz gegen Manipulation Design Probleme

21 |

WEP: Passwort Entschlüsseln

› WEP kann mir 40 oder 104 Bit Schlüssel benutzt werden Brute Force Suche nach einem 40 Bit Schlüssel kann etliche Tage

dauern

› Ein 40 Bit Schlüssel wird durch 10 Hexadezimale Ziffern angegeben.

› Um jedoch die Eingaben der Passwörter zu vereinfachen erlauben einige Hersteller die Eingabe von ein paar ASCII Zeichen Diese Zeichen werden dann als Eingabe für einen Schlüssel-Generator

benutzt Dadurch verringern die möglichen Schlüssel von 40 Bits auf ungefähr 20

Bits• Ein 20 Bit Schlüssel ist innerhalb von Sekunden zu entschlüsseln

22 |

Daten Manipulation mit WEP

› Die Prüfsumme (CRC) von WEP bietet keinen ausreichenden Schutz gegen Manipulation

› A verschickt eine Nachricht (M) an B die von E abgefangen wird (z.B. MITM Attacke) A B: (IV, C) mit C = RC4(IV, K) (M, CRC(M))

› Der Angreifer kann nun eine neue verschlüsselte Nachricht (C’) die nach dem Entschlüsseln die Nachricht (M’) ergibt mit einer Korrekten Prüfsumme CRC(M’): E wählt eine zufällige Bit Reihe C’ = C (, CRC()) = RC4(IV, K) (M, CRC(M)) (, CRC())

= RC4(IV, K) (M , CRC(M) CRC())= RC4(IV, K) (M , CRC(M ))= RC4(IV, K) (M’, CRC(M’))

Beachte: Der Angreifer weiß weder M, noch M’ noch K

23 |

WEP Design Schwächen

› WEP und RC4 sind eigentlich sicher Wenn pro Nachricht einen neuen Schlüssel benutzt wird

› Bei WEP wird jedoch der selbe Keystream mehrmals benutzt Für jede Nachricht wird ein Keystream generiert anhand von IV und K Wenn zwei Nachrichten (P1 and P2) mit dem selben IV verschlüsselt

werden: • C1 = P1 RC4(IV, KBSS)

• C2 = P2 RC4(IV, KBSS)

dann:• C1 C2 = (P1 RC4(IV, KBSS)) (P2 RC4(IV, K)) = P1 P2

Falls P1 and C1 bekannt sind dann kann der Angreifer auch P2 und RC4(IV, KBSS) entschlüsseln• Inhalt einer Nachricht kann öfters erraten werden

24 |

WEP Design Schwächen

› Der Angreifer kann nun all Nachrichten mit dem selben IV entschlüsseln

› Der Angreifer kann Nachrichten schicken und mit RC4(IV, K) verschlüsseln

› IV kann sich wiederholen entweder wegen Schlechter Implementierung Das IV ist 24 Bits lang. Je nach Auslastung des Netzes wird die

Base Station den selben IV über kurz oder lang wieder benutzen müssen

25 |

Security Framework IEEE 802.11i

› IEEE 802.11i definiert eine Sicherheitsarchitektur Zugangkontrolle durch IEEE 802.1X Stärkere Verschlüsselungsmechanismen Bessere Prüfsummen

26 |

Zugangskontrolle mit 802.1X

› Sichere Authentifizierung des Benutzers und des Netzwerks Jeder Benutzer hat einen eigenen Schlüssel was von einem

Server verwaltet wird Ist primär für größere Netzwerke gedacht

27 |

Wireless DSL Router

Benutzer A

Passwort K

Authentifikation der Basis Station

Aufbau einer Sicheren Verbindung

Ähnlich dem Aufbau einer sicheren Verbindung zur einer Bank

Authentication:: Benutzer A

Authentication: Challenge

Authentication: Credentials K(Challenge)

DB

Was ist Passwort von A

Authentication: OK

Benutzer A hat das Passwort K

WPA: Wi-Fi Protected Access

› Eine Implementierung der IEEE 802.11i Spezifikation mit Einer verbesserten Version von WEP

• Temporal Key Integrity Protocol (TKIP)

Einer verbesserten Prüfsumme• Message Integrity Check (MIC) mit dem Namen Michael

Authentifizierung:• Enterprise: 802.1X• Personal: Für private Benutzer und kleinere Installationen anhand

eines gemeinsamen Passworts

28 |

WPA: Temporal Key Integrity Protocol (TKIP)

› Basiert weiterhin auf ähnliche Konzepte wie WEP (RC4) Abwärtskompatible zu WEP Hardware

› Vermeidet Attacken die durch das Wiederverwenden von IV und Keystream entstehen: Keystream entsteht durch IV, Schlüssel und eine Packet

abhängige Sequenz Nummer IV ist 48 Bits statt 24 Bits groß

29 |

Phase 2

Mixing

Phase 1

MixingKBSS

||

IV

Temporal key keystream

M

MIC algorithm ICV

Ciphertext

Message

IV

Sequence number

WPA2: Wi-Fi Protected Access

› Erste Angriffe gegen TKIP wurden schon in 2008 bekannt Angreifer kann einige Daten Pakete verschicken ohne Kenntnisse des

gemeinsamen Passworts Angriffe brauchen mehr Zeit und sind weniger effektiv als Angreifer auf

WEP

› WPA2 basiert nicht mehr auf RC4 und ist somit nicht mehr Hardware kompatible zu WEP

› Die Schlüssellänge beträgt 128 Bits

› Verschlüsselungsverfahren AES (Advanced Encryption standard) im speziellen Modus CCMP (Cipher Block chaining Message Authentication Code Protocol)

› Authentifizierung Ähnlich WPA

30 |

Global System for Mobile Communications: GSM

› Mobile Telephone Netze basierend auf GSM starteten in 1990

› Authentifizierung und Verschlüsselungsmaterial sind auf der SIM (Subscriber Identity Module) gespeichert Probleme mit schwachen Schlüssel sind somit vermieden

› Probleme Benutzer authentifiziert sich gegenüber des Netzwerks aber

Netzwerk authentifiziert sich nicht gegenüber dem Benutzer• Man-in-the-Middle Attacken möglich

SIM cloning• SIM inklusive der Benutzer Daten können kopiert werden• Betrifft nur den einen Benutzer

› UMTS und LTE basieren auf ähnliche Konzepte jedoch Benutzer und Netzwerk authentifizieren sich gegenseitig

31 |

Zusammenfassung

› Drahtlose Netzwerke sind leichter anzugreifen als Leitungsgebundene Netze

› Hauptsächliche Gefahren: Man in the Middle Abhören Daten Manipulation Unberechtigter Zugang

› WLAN unterstützt folgende Sicherheitslösungen an WEP: Zahlreiche Sicherheitslücken wurden bei WEP entdeckt WPA: Im wesentlichen sicherer als WEP aber da es auf ähnliche Konzepte wie

WEP basiert wurden auch schon einige Sicherheitslücken entdeckt WPA2: Gilt zur Zeit noch als sicher

› Mobile Netzwerke (GSM, GPRS, UMTS …) werden die Schlüssel und Authentifizierungsdaten auf der SIM gespeichert

32 |

33 |

Thank you !!

Questions Dorgham SisalemDirector Strategic ArchitectureMobile: +49 171 304 2053E-mail: dorgham.sisalem@tekelec.com