Segurança em Redes 802.11

Henrique Ribeiro e Joffre Gavinho Filho

henrique.ufrj@gmail.comjoffreufrj@gmail.com

Sumário

Introdução WEP WPA WPA2 IEEE 802.11w Conclusão

Introdução Motivações

Proteção dos dados trafegados pelo ar De interceptação por terceiros De interceptação por outras estações na rede

Controle de acesso à rede Proteção dos recursos disponibilizados na rede

Introdução

Requisitos de segurança de redes Auditoria Autenticação Confidencialidade Controle de Acesso Disponibilidade Integridade Irretratabilidade

Introdução

Algoritmos de segurança para redes 802.11 Algoritmos pré-RSNA

WEP Open System Authentication

Algoritmos RSNA TKIP CCMP IEEE 802.11w

WEP Wired Equivalent Privacy

Publicado em 1999, junto com o 802.11 Oferece criptografia e compressão Opera na camada de enlace Utiliza uma chave compartilhada de 40 ou 104 bits Tem controle de integridade próprio (ICV) Utiliza o algoritmo de criptografia RC4 Requer poucos recursos computacionais

WEP Open System Authentication

Publicado em 1999, junto com o padrão 802.11 Padrão de autenticação nulo para redes abertas Não oferece criptografia ou compressão Apenas cumpre a obrigatoriedade de

autenticação

WEP Autenticação com o WEP

Utiliza técnica do texto-desafio Não autentica usuário

WEP Formato do MPDU do WEP

Initialization Vector: Semente (seed) + Chave Data: Dados transmitidos Integrity Check Value: Checagem de integridade

WEP Integrity Check Value

Checagem de integridade do WEP Não invalida o FCS IEEE 32-bit CRC

Cyclic Redundancy Check Função Hash polinomial Facilmente implementada em hardware Divisão polinomial do bloco de dados por um

polinômio gerado

WEP Algoritmo de criptografia RC4

Rivest Cipher 4, publicado em 1987 Algoritmo de fluxo (simétrico e chaves estáticas) Utiliza um gerador de números aleatórios

(PRNG) Dois tamanhos de chave possíveis

WEP-40: chave de 40 bits WEP-104: chave de 104 bits

WEP Encapsulamento WEP

Chave RC4 = nº aleatório (IV) + chave WEP O IV é passado em texto claro Faz a operação XOR sobre blocos da

mensagem

WEP Dinâmica da comunicação WEP

WEP Problemas do WEP

Chave estática e pequena Reuso de chaves (repetição do IV) IV transmitido em texto claro Admite reenvio de pacotes (Replay attack) Fraqueza do algoritmo de criação de IVs Confiança plena do lado do AP

WEP Vulnerabilidades publicadas

Ataque estatístico aos primeiros bytes dos IVs Publicado por S. Fluhrer, I. Mantin e A. Shamir (2001). Necessita de 4.000.000 pacote, em média.

Ataque Chopchop (bit-flipping) Publicado informalmente por KoreK (2004) Explora respostas do AP para obter dados

Ataque estatístico que estende o de 2001 Publ. por E. Tews, R. Weinmann e A. Pyshkin (2007). Necessita de 40.000 pacotes (50% de chance) ou

85.000 pacotes (95% de chance).

WEP Vulnerabilidades publicadas

Ataque Caffé Latte Publicado por V. Ramachandran e M. S. Ahmad

(2007) Abusa da confiança do lado do AP

Correlação 1º byte do IV – 3 bits iniciais da

chave Publicado por G. Paul, S. Rathi e S. Maitra (2008). Comprova experimento empírico de Roos (1995)

WEP Soluções para o WEP

WEP2 Apresentado nos drafts iniciais do IEEE 802.11i Expandia tanto a chave quanto o IV para 128 bits

WEPplus Algoritmo proprietário da Agere Systems Buscava evitar Ivs fracos

Dynamic WEP Algoritmo proprietário da 3Com Buscava modificar a chave dinamicamente

WPA Wi-Fi Protected Access

Publicado em 2003, pela Wi-Fi Alliance Anexado ao padrão 802.11 em 2007 Impulsionado pelas demandas de mercado Baseado no draft IEEE 802.11i Introduz dois modos de operação

Pessoal Corporativo

Utiliza o algoritmo de criptografia RC4

WPA Melhoramentos em relação ao WEP

Uso de um novo protocolo de segurança Temporal Key Integrity Protocol (TKIP)

Nova camada de checagem de integridade Message Integrity Code (MIC)

Sequenciamento dos quadros Hierarquia de chaves Medidas contra envio de quadros forjados

WPA Autenticação com o WPA (Modo Pessoal)

Pre-Shared Key (WPA-PSK) Não autentica usuário

WPA Autenticação com o WPA (Modo

Corporativo) Utiliza IEEE 802.1x (EAP + RADIUS) Autentica o usuário

WPA Chaves utilizadas pelo WPA

Pairwise Master Key (PMK) Modo Pessoal: Configurada diretamente nas estações Modo Corporativo: Negociada via IEEE 802.1x

Pairwise Transient Key (PTK) Derivada da PMK Composta por 5 chaves (TK, MIC Keys, KEK e KCK)

Group Transient Key (GTK) Derivada da PMK Usada pelo AP para endereçar grupos

WPA Chaves utilizadas pelo WPA

Temporal Key (TK) Parte da chave usada pelo RC4

Temporal MIC Keys (TMK) Par de chaves usada pelo Algoritmo Michael Garante a integridade dos dados transmitidos

EAPOL-Key Encryption Key (KEK) Chave de encriptação usada pelo EAP

EAPOL-Key Confirmation Key (KCK) Chave de checagem de integridade usada pelo EAP

WPA Formato do MPDU do TKIP

Initialization Vector: Similar ao IV do WEP KeyID: Indica a identificação da chave Extended IV: Estende o IV para 48 bits Data: Dados transmitidos Message Integrity Code: Proteção contra

ataques Integrity Check Value: Checagem de integridade

WPA Message Integrity Code

Nova camada de controle de integridade Provê proteção extra contra alguns ataques Pode invocar contra medidas Utiliza o algoritmo Michael O ICV é calculado usando as entradas e saídas

do algoritmo Michael

WPA Message Integrity Code

Entradas do algoritmo Michael Endereço de destino (DA) Endereço de origem (SA) Temporal MIC Key (TMK) Dados

Saída do algoritmo Michael Message Integrity Code (MIC)

WPA Encapsulamento TKIP

Ainda utiliza o algoritmo de criptografia RC4 Inclui o algoritmo Michael (controle de

integridade)

WPA Problemas do WPA

Utiliza o algoritmo de criptografia RC4 MIC não impede os ataques a que se propôs

Ataques de bit-flipping Ataques de injeção de pacotes

Vulnerabilidades no modo pessoal Ataques de força bruta Ataques de dicionário

WPA Vulnerabilidades publicadas

Ataque Chopchop (bit-flipping) Publicado por M. Beck e E. Tews (2008) Adaptação do ataque apresentado por KoreK Pode ser usado para injetar quadros pequenos Depende da implementação de QoS

Injeção de quadros Publicado por F. Halvorsen e O. Haugen (2009) Estende o ataque de 2008 Pode injetar quadros de tamanho maiores

WPA Vulnerabilidades publicadas

Ataque de interceptação (man-in-the-middle) Publicado por T. Ohigashi e M. Morii (2009) Estende o ataque de 2008 Não depende da implementação de QoS

Injeção de quadros Publicado por M. Beck (2010) Explora a fraqueza do algoritmo Michael Pode injetar quadros de tamanho arbitrário

WPA2 Wi-Fi Protected Access 2

Publicado em 2004 como padrão IEEE 802.11i Anexado ao padrão 802.11 em 2007 Tem dois modos de operação

Pessoal Corporativo

Introduz novo protocolo de segurança Ainda compatível com protocolos anteriores

WPA2 Melhoramentos em relação ao WPA

Uso de um novo protocolo de segurança CTR with CBC-MAC Protocol (CCMP)

Counter Mode Cipher-Block Chaining Message Authentication Code

Uso de algoritmo de criptografia em blocos Advanced Encryption Standard (AES)

Constitui uma Robust Security Network (RSN) Protege determinados campos do cabeçalho

WPA2 Autenticação com o WPA2 (Modo Pessoal)

Pre-Shared Key (WPA2-PSK) Não autentica usuário

WPA2 Autenticação com WPA2 (Modo

Corporativo) Utiliza IEEE 802.1x (EAP + RADIUS) Autentica o usuário

WPA2 CTR with CBC-MAC Protocol (CCMP)

Utiliza as mesmas chaves utilizadas pelo TKIP Não utiliza o ICV, somente o MIC Destroi todas as chaves ao fim da sessão

Exceção: PMK Caching

Associação de segurança em uma ESS Hand-off (Roaming) Preauthentication

WPA2 Formato do MPDU do CCMP

CCMP Header Packet Number: Sequenciamento de quadros KeyID: Indica a identificação da chave

Message Integrity Code Gerado pelo CCM

WPA2 Additional Authentication Data (AAD)

Proteção de integridade dos campos do

cabeçalho Dados do Cabeçalho MAC

Frame Control (FC) Address (A1, A2, A3 e A4) Sequence Control (SC) QoS Control (QC)

WPA2 Number used Once (Nonce)

Similar ao IV do WPA Proteção contra ataques de replay Dados utilizados

Priority: Obtido no QC do cabeçalho MAC Address 2 (A2): Endereço MAC na posição 2 Packet Number (PN): Sequenciamento do CCMP

WPA2 Encapsulamento CCMP

O CCMP não definie seu algoritmo de

criptografia O AES é definido no padrão 802.11

WPA2 Problemas do WPA2

Vulnerabilidade no modo pessoal Ataques de força bruta Ataques de dicionário

Vulnerabilidades publicadas Abuso da GTK (Hole 196)

Publicada por M. S. Ahmad (2010) Cliente envia mensagens para endereços de grupos Permite ataques man-in-the-middle (ARP Poisoning),

injeção de código e negação de serviço (DoS)

IEEE 802.11w IEEE 802.11w-2009

Padrão publicado em 2009 Aumenta a segurança das redes 802.11 Protege para quadros de gerenciamento Visa dificultar:

Injeção de quadros de gerenciamento Ataques de negação de serviço (DoS) Ataques request replay

IEEE 802.11w IEEE 802.11w-2009

Impulsionado pelos novos padrões IEEE 802.11k-2008

Gerenciamento de recursos do rádio

IEEE 802.11r-2008 Hand-off rápido entre BSSs

IEEE 802.11u Interoperação com redes não-802.11

IEEE 802.11v Gerenciamento dinâmico de redes sem fio

IEEE 802.11w Problemas do IEEE 802.11w

Depende da troca das chaves dinâmicas Expõe informações de associação e

autenticação Não protege quadros de controle Inefetivo contra RF-Jamming

Conclusão Segurança em redes sem fio

WEP e WPA: obsoletos Utilizar sempre WPA2

Algoritmos de segurança e criptografia: CCMP + AES No modo pessoal, escolher chave difícil de adivinhar

Faltam produtos que implementem o IEEE

802.11w Não existe rede totalmente segura

Segurança em Redes 802.11

Henrique Ribeiro e Joffre Gavinho Filho

henrique.ufrj@gmail.comjoffreufrj@gmail.com