Wireless LAN IEEE Wireless LAN: perchè? Wireless Storia. Funzionalità, protocolli, (in)sicurezza

Transcript

1 Wireless LAN IEEE Funzionalità, protocolli, (in)sicurezza 02/06/03 Wireless LAN: perchè? Indubbia facilità d uso: consente di accedere alle risorse di rete senza essere vincolati a cavi, presenza di prese di rete (pensate alla filosofia degli open space o a un aula convegni) Risparmio sui costi di attivazione (niente cablaggi) Tecnologia di moda (geek( geek-effect) Iniziano a diffondersi anche tecnologie WAN e MAN di tipo wireless,, nonché l idea di reti pubbliche (con problemi legislativi ) Impianti Informatici - A.A. 2002/2003 2/44 Wireless Storia 1997: IEEE sviluppa lo standard per l interoperabilità tra reti wired wired (ethernet( ethernet) ) e reti wireless.. Velocità 1-2Mbps1 1999: IEEE presenta lo standard a, che opera sui 5GHz e raggiunge i 54Mbps 1999: IEEE fa seguire anche l b, che opera sui 2,4 GHz,, raggiunge gli 11 Mbps (equivalenti a una ethernet) ) ed attualmente è lo standard dominante Attualmente IEEE lavora su evoluzioni dello standard: g, i, x Impianti Informatici - A.A. 2002/2003 3/44

2 IEEE Anno 1987 IEEE specifica i primi standard per le reti wireless compatibili col protocollo ethernet: velocita 1-2 Mbps Le reti usano gli stessi protocolli per: Media Access Control (MAC) Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA) Le differenze sono solo nel layer fisico di trasporto (PHY layer) Impianti Informatici - A.A. 2002/2003 4/44 IEEE a IEEE a opera nella banda dei 5 GHz Utilizza la codifica OFDM (Orthogonal( Frequency Division Multiplexing) Esistono specifiche per data rate di 6, 9, 12, 18, 24, 36, 48, e 54 Mbps Potrebbe diventare lo standard futuro per il WI-FI, tuttavia l aumento di banda richiede la diminuzione del range (35 m circa invece dei 100 di b) Creato nel 1999, ma solo alcuni prodotti di Atheros e Card Access lo implementano già Impianti Informatici - A.A. 2002/2003 5/44 IEEE b È lo standard di fatto (creato nel 1999) Ha due versioni a 5.5 o 11 Mbps (oltre alle versioni originali da 1 e 2 Mbps) Opera nella banda dei 2.4 GHz con modulazione DSSS (Direct Sequence Spread Spectrum) Prevede l uso di fino a 14 canali per evitare interferenze tra reti diverse, ma reti multiple con SSID (Service( Set ID) diversi possono coesistere sullo stesso canale Impianti Informatici - A.A. 2002/2003 6/44

3 Altri standard futuri D: Additional Regulatory Domains E: Quality of Service (QoS) F: Inter-Access Point Protocol (IAPP) G: Higher data rates at 2.4 GHz H: Dynamic Channel Selection and Transmission Power Control I: Authentication and Security Impianti Informatici - A.A. 2002/2003 7/44 Prestazioni Il canale è condiviso (come in rete su hub) Nella modalità infrastrutturale,, le base station vengono lentamente caricate dall associazione dei client: : in generale, 50 dispositivi sono il massimo consigliabile per ogni access point Il tipo di traffico è importante: il traffico isocrono (video, audio, telemetrie real-time time) e multicast sono i più pesanti per le reti Impianti Informatici - A.A. 2002/2003 8/44 Struttura e pianificazione Il raggio per una rete wireless rimane al di sotto dei 100 metri (Possono essere utilizzate antenne ed amplificatori) Esistono due tipi di dispositivi : Client Base station (dette anche Access Point) Due modalità per la rete: Ad hoc: solo client Infrastructure: client + stazioni base Impianti Informatici - A.A. 2002/2003 9/44

4 Rete ad-hoc Molto semplice da attivare Le schede comunicano tra loro come in una rete ethernet Devono essere tutte nel raggio operativo tra loro Possono essere usati dispositivi come le antenne omnidirezionali per accrescere il raggio Impianti Informatici - A.A. 2002/ /44 Rete ad infrastruttura Esistono client e access point.. I client si devono associare con un AP. Gli AP possono cercare attivamente i client o attendere in modalità passiva le beacon frames Si possono costruire reti complesse in cui molti AP interconnessi coprono grandi aree. Viene utilizzato lo spanning-tree protocol per il bridging Il roaming tra vari AP è garantito dallo Stefano standard Zanero Impianti Informatici - A.A. 2002/ /44 Problematiche di sicurezza Il rischio per una rete wireless è dato da: rischi normali di una rete wired + rischi intrinseci ai protocolli wireless. Il rischio intrinseco principale deriva dalla natura del mezzo trasmissivo (onde radio), che per sua natura non è confinabile. Tutto ciò che viene trasmesso può essere sniffato : serve una protezione crittografica forte. In mancanza di mezzi di autenticazione affidabili, il wireless può rendere possibile l accesso alle reti protette da firewall, consentendo di bypassare la protezione offerta da questo (è come mettere una presa di rete direttamente in strada!). Esistono concreti rischi di attacchi Denial of Service contro gli apparati wireless,, sia operati a livello radio che a livello di protocollo. Impianti Informatici - A.A. 2002/ /44

5 Requisiti di sicurezza Nell elaborazione dello standard IEEE b sono stati presi in considerazione tre requisiti di sicurezza: Autenticazione dei client e controllo dell accesso alle risorse Confidenzialità dei dati trasmessi Integrità dei dati, che non devono essere modificati Lo standard prevede che questi requisiti debbano essere almeno equivalenti a quelli di una rete wired Questo livello di sicurezza avrebbe dovuto essere garantito dal protocollo WEP (Wired Equivalent Privacy). Impianti Informatici - A.A. 2002/ /44 Protocolli di sicurezza wireless Schemi di autenticazione e di crittografia possibili: Nessuno WEP (Wired( Equivalent Privacy contenuto in b) EAP (Extensible( Authentication Protocol 802.1x), in diverse varianti: EAP-MD5 EAP-TSL Estensioni Proprietarie: LEAP ( Cisco ) PEAP ( CISCO+Microsoft ) Impianti Informatici - A.A. 2002/ /44 Open Authentication Soluzione semplice, creiamo una rete totalmente aperta Facilità di configurazione (out of the box): molti venditori di hardware usano questa configurazione di default per semplicità. Interoperabilità massima Performance massima (difficile pensare di cifrare 54Mbps a 128bit) Purtroppo, nessuna sicurezza! Può andare bene per una rete di una sala congresso ad esempio (come al DEI) Impianti Informatici - A.A. 2002/ /44

6 Wired Equivalent Privacy Il WEP è un algoritmo a base criptografica, che cerca di garantire autenticazione, integrità e confidenzialità. Si basa su una chiave condivisa (shared( key) che deve essere conosciuta dall Access Point e dai client,, con tutte le difficoltà tipiche. Si basa sull algoritmo RC4 (uno stream cipher ) di Ron Rivest,, protetto come trade secret da RSA security fino al 199x Impianti Informatici - A.A. 2002/ /44 WEP: dettagli algoritmici Header Layer 3 (header + dati) CRC-32 Layer 3 (header + dati) Integrity check IV Chiave RC4 Stream cipher: il flusso di byte segreti dipende da segreto non da plaintext Header IV Cyphertext Impianti Informatici - A.A. 2002/ /44 WEP: dettagli che contano Stream cipher in modo CFB: XOR con lo stream dei dati in transito, uno XOR a destinazione decripta Problema generico di questo tipo di algoritmi: dipendono solo da chiave e posizione; quindi il key stream è identico a parità di segreto anche per plain text diversi Per mitigare questo problema, si usa un Initialization Vector (IV) di 24 bit, che si combina con la chiave (di 40 o 104 bit) e viene pretrasmesso in chiaro Impianti Informatici - A.A. 2002/ /44

7 Un protocollo nato male RC4 è esportabile facilmente solo nella versione a bit (per accordi con tra RSA e NSA sotto l ITAR), quindi la versione a bit di WEP non è standardizzata Lo standard b come funzione MIC (Message Integrity Code) il CRC-32, che è distributivo rispetto allo XOR: CRC(A xor B) = CRC(A) xor CRC(B) RC4 usa proprio xor per criptare! Impianti Informatici - A.A. 2002/ /44 Una sequenza di problemi (1) Nel 2000, J. Walker studia il riuso degli IV in WEP Lo spazio è piccolo (2 24 ) e quindi c è alta probabilità di riutilizzo Access point che si sovrappongono con lo stesso meccanismo di generazione di IV possono esaurirlo rapidamente Se cercano di dividersi lo spazio, la situazione peggiora! Impianti Informatici - A.A. 2002/ /44 Una sequenza di problemi (2) Nel 2001 Borisov, Goldberg e Wagner estendono i risultati di Walker per creare attacchi pratici sul reuse Inoltre, descrivono un metodo per cambiare bit arbitrari di un messaggio criptato senza conoscere la chiave, utilizzando la distributività del CRC rispetto allo XOR Questo pericoloso attacco all integrità dipende dalla mancanza di una chiave di firma nel MIC Impianti Informatici - A.A. 2002/ /44

8 Una sequenza di problemi (3) Pochi mesi dopo, W. Arbaugh utilizza il metodo per un attacco che permette di recuperare il key stream (non la chiave) estendendolo byte per byte: Supponiamo di aver riconosciuto n byte criptati (per esempio, una richiesta DHCP) Possiamo da ciò dedurre n byte del key stream Con n byte di key stream possiamo iniettare messaggi arbitrari di lunghezza (n-4) Generiamo un messaggio di lunghezza (n-3) che se ricevuto genera una risposta (ping( ping?) Proviamo a criptarlo con gli n byte della chiave + un guess guess per l ultimo byte Se riceviamo risposta è giusto Impianti Informatici - A.A. 2002/ /44 Una sequenza di problemi (4) L attacco di Walker dimostra l insufficienza anche teorica del concetto di IV L attacco di Borisov-Goldberg Goldberg-Wagner dimostra che l integrità non è garantita nemmeno se l attaccante non conosce il key stream L attacco di Arbaugh consente di recuperare il key stream,, e di costruire un dizionario sui vari IV, ma richiede tempo (media 18h, pessimo 55h) e spazio (ordine dei GB). È un attacco attivo, cioè richiede di trasmettere pacchetti Nessuno degli attacchi compromette la chiave WEP Impianti Informatici - A.A. 2002/ /44 Il colpo di grazia Poco dopo, Fluhrer, Shamir e Mantin pubblicano un articolo sulle vulnerabilità di RC4 Sviluppano un attacco probabilistico passivo che consente di estrarre informazioni sulla chiave dal key stream L attacco funziona se RC4 viene usato con una chiave costante + una serie di byte variabili e esposti: esattamente il caso di WEP! Usa una classe di IV deboli Impianti Informatici - A.A. 2002/ /44

9 Implementazioni pratiche Stubblefield, Ioannidis e Rubin (ma anche Hulton e altri) usano questo attacco contro WEP Serve un volume sufficiente di traffico, circa 5mln di pacchetti (su una rete utilizzata può bastare qualche ora a raccoglierli), ma con ottimizzazioni anche 1mln Bastano poi pochi secondi a rompere la chiave L attacco non richiede l emissione di pacchetti, è completamente silenzioso Impianti Informatici - A.A. 2002/ /44 Tool AirSnort Funziona con schede Orinoco,, Prism2, Cisco Implementazione dell attacco come descritto da Stubblefield et al. (ma il codice non è il loro) Esiste anche WepCrack: sourceforge.net/projects/wepcrack Impianti Informatici - A.A. 2002/ /44 Screenshot di AirSnort Impianti Informatici - A.A. 2002/ /44

10 Altri tool utili wavemon per rivelare l intensità e la direzione del segnale wireless projects.html kismet per individuare con comodità le reti esistenti, verificare se sono protette da WEP o meno e scoprirne il SSID airtraf è un ottimo tool,, un tempo free ( airtraf.sourceforge.net/download.php). Ora è open source ma commerciale ( Impianti Informatici - A.A. 2002/ /44 oad.html) Impianti Informatici - A.A. 2002/ /44 Impianti Informatici - A.A. 2002/ /44

11 Impianti Informatici - A.A. 2002/ /44 Wardriving applied Ingredienti: Un automobile (consigliate 2 persone, uno guida e l altro guarda il portatile) Un portatile o un palmare Una scheda wireless Kismet o airtraf (NetStumbler per Win, MacStumbler per Mac) (opzionale) un GPS (opzionale) un antenna omnidirezionale (opzionale) un antenna direzionale (opzionale) un inverter Impianti Informatici - A.A. 2002/ /44 Wardriving: : strumenti Impianti Informatici - A.A. 2002/ /44

12 Wardriving: : risultati Risultati: se fate un giro per il quadrilatero milanese, in 20 minuti di guida rileverete reti wireless,, di cui 5 al massimo protette da WEP (e quindi non protette affatto) Ricordate: il wardriving non è un reato, ma il collegamento a una rete wireless altrui sì (art. 615/ter c.p.) Impianti Informatici - A.A. 2002/ /44 Suggerimenti per la sicurezza Una rete protetta da WEP non può essere resa sicura al 100% Possiamo però indicare alcuni palliativi Usare il WEP a 128bit: almeno vi difenderete dall attaccante casuale o che vuole solo navigare a scrocco SSID non prevedibile e broadcast del SSID non abilitato filtro sui MAC address autorizzati ad associarsi Il consiglio base è considerare l AP come un nodo non affidabile: posizionatelo nella DMZ ed utilizzate una VPN per accedere tramite esso alle risorse importanti Impianti Informatici - A.A. 2002/ /44 Altri algoritmi: EAP Extensible Authentication Protocol (RFC 2284) e una estensione di PPP, adottato da 802.1x Consente di autenticare l utente su un server esterno (tipicamente RADIUS) Supporta differenti meccanismi di autenticazione (MD5, kerberos,, One Time Password, smart card...) l Access Point fa solo da tramite per consentire il dialogo di autenticazione l autenticazione è centralizzata Non può essere utilizzato per lo scambio di chiavi Impianti Informatici - A.A. 2002/ /44

13 EAP + MD5 L autenticazione MD5 si basa su una coppia username/password Il protocollo non supporta keymanagement o generazione dinamica di chiavi (quindi non risolve i problemi del WEP) L autenticazione non è mutua: solo l utente si autentica. L attacker può utilizzare un AP fasullo per ingannare l utente e accedere a informazioni custodite sul client. Impianti Informatici - A.A. 2002/ /44 EAP + TLS RFC 2716 Utilizza TLS (Transport( Layer Security) ) e i certificati digitali. TLS è la versione 3.1 di SSL, i due protocolli sono incompatibili ma fondamentalmente identici Supporta la generazione dinamica di chiavi di sessione L autenticazione è mutua Per contro richiede l esistenza di una PKI (Public Key Infrastructure) ) per i certificati Impianti Informatici - A.A. 2002/ /44 EAP + TTLS Tunneled Transport Layer Security: : il client usa login+password inviate in un tunnel TLS per autenticarsi L autenticazione è mutua perché il server usa il suo certificato digitale per identificarsi al client In questo caso non serve una PKI Impianti Informatici - A.A. 2002/ /44

14 Estensioni di EAP: LEAP/PEAP LEAP è una estensione proprietaria Cisco, perciò l interoperabilità con client di altri fornitori non è garantita Utilizza MS-CHAPv1 per l autenticazione L autenticazione è mutua Vengono generate chiavi dinamiche legate alla sessione PEAP: Protected EAP, altro standard proposto da Microsoft e Cisco,, basato su CHAPv2 Impianti Informatici - A.A. 2002/ /44 IEEE 802.1x.1X perché si adatta sia a reti wired wired che wireless wireless Lo standard proposto cerca di risolvere il problema dell autenticazione. Al momento integra i protocolli LEAP ed EAP-TLS Utilizza il protocollo RADIUS (Remote Access Dial-In User Service) Impianti Informatici - A.A. 2002/ /44 IEEE i - TKIP Standard ancora in draft (ma ormai in fase finale), che cerca di aggiornare WEP TKIP (Temporal( Key Integrity Protocol) ) usa ancora RC4, ma con chiave variabile ogni 10kb di dati Le periferiche basate su WEP possono essere aggiornate mediante cambio di firmware Una evoluzione di i basata su AES è attesa per la fine dell anno, ma richiederà un upgrade hardware Impianti Informatici - A.A. 2002/ /44

15 Bibliografia J. Walker,, Unsafe at any key size: an analysis of WEP encapsulation, IEEE /362 00/362,, IEEE Press, 2000 N. Borisov,, I. Goldberg,, D. Wagner, Intercepting mobile communications: : the insecurity of , Proc. 7th Ann. Intl. Conf. Mobile Computing and Networking,, ACM Press 2001 W. A. Arbaugh,, An inductive chosen plaintext attack against WEP/WEP2, IEEE , Verlag,, 2001 S. Fluhrer,, I. Mantin,, A. Shamir,, Weaknesses in the key scheduling algorithm of RC4, Proc. 8th Ann. Workshop Selected Areas in Cryptography, Springer Stefano 2001 Zanero Impianti Informatici - A.A. 2002/ /44 Risorse web E. Danyelyan,, : pubs/int/cisco-1-1.html1.html Security in Wireless Networks: rr.sans.org/wireless/wireless_net3.php Using the Fluhrer, Mantin,, and Shamir Attack to Break WEP: DRAFT Special Publication , Wireless Network Security: : , Bluetooth,, and Handheld Devices: csrc.nist.gov/publications/drafts/draft-sp pdf A Technical Comparison of TTLS and PEAP by Matthew Gast: wireless/2002/10/17/ /2002/10/17/peap.html Impianti Informatici - A.A. 2002/ /44